Khi chúng ta nói một giải pháp là không thực tế, chúng tôi không có nghĩa là nó hoàn toàn không thể hoạt động; thay vào đó, chúng tôi muốn nói rằng nó có những thiếu sót nghiêm trọng so với các cách khác để giải quyết cùng một vấn đề. Ví dụ, một người có thể sử dụng máy bay để đi thăm người hàng xóm sống cách đó 100 mét; tất cả chúng ta đều đồng ý rằng có nhiều phương pháp dễ dàng hơn đáng kể và vì vậy việc sử dụng máy bay là "không thực tế".
Vấn đề mà QKD cố gắng giải quyết là liên lạc an toàn; nghĩa là, làm thế nào Alice có thể gửi tin nhắn cho Bob theo cách "an toàn". Tất nhiên, để cố gắng xác định tính thực tế, chúng ta cần xem xét các giải pháp khả thi khác và cách chúng so sánh với giải pháp QKD. Trong trường hợp này, các lựa chọn thay thế rõ ràng bao gồm một hệ thống hoàn toàn dựa trên đối xứng (ví dụ: hệ thống giống Kerberos) và thứ gì đó sử dụng mật mã hậu lượng tử (ví dụ: Classic McEliece và Sphincs+) [1].
Dòng suy nghĩ mà tôi phác thảo dưới đây là ý kiến của hầu hết các chuyên gia và sẽ làm cho nó tương đối rõ ràng.
Dưới đây là danh sách một số điểm chính mà các giải pháp khác nhau:
QKD yêu cầu các loại phương tiện cụ thể để hoạt động
Tính đến thời điểm hiện tại, QKD chỉ có thể được chứng minh trên sợi quang có chiều dài từ ngắn đến trung bình (<400 km) và liên lạc trong không gian tự do (chĩa tia laser vào mục tiêu nằm trong tầm nhìn) [2]. Nếu mạng hiện tại của bạn sử dụng một lượng đáng kể bất kỳ phương tiện nào khác (ví dụ: lò vi sóng hoặc vệ tinh hoặc cáp quang đường dài hoặc WiFi), thì bạn sẽ phải làm lại một phần lớn mạng của mình (và chúc may mắn khi cố gắng có được kết nối an toàn từ London đến Tokyo chẳng hạn).
Ngược lại, các giải pháp thay thế không có hạn chế như vậy.
Các giả định bảo mật là gì?
Những người ủng hộ QKD thường đưa ra tuyên bố "các định luật của Cơ học lượng tử ngụ ý định lý không sao chép, do đó dữ liệu của bạn được chứng minh là an toàn". Mặc dù phần đầu tiên chắc chắn là đúng, nhưng không nhất thiết phải đảm bảo rằng dữ liệu được bảo mật. Xét cho cùng, các định luật của Cơ học lượng tử không chứng minh rằng thiết bị QKD của bạn thực sự đang hoạt động như thiết kế và không chứng minh rằng không có các cuộc tấn công kênh phụ (tức là các cuộc tấn công mà kẻ thù lợi dụng thông tin ngoài mô hình trừu tượng). cung cấp cho kẻ tấn công) có sẵn. Đó là những giả định bảo mật mà người dùng QKD cần thực hiện (ngoài giả định "QM là một mô tả tốt về vũ trụ" tương đối an toàn). Giờ đây, các nhà cung cấp QKD đã nhận thức được điều này và cố gắng cung cấp các biện pháp bảo vệ - bạn vẫn cần giả định rằng họ không bỏ sót điều gì. Xem ví dụ này bài viết từ The Register.
Khi chúng tôi xem xét các giải pháp thay thế, chúng dựa trên độ phức tạp (nghĩa là chúng cho rằng vấn đề tính toán mà kẻ tấn công phải giải quyết là quá khó). Thoạt nhìn, điều này có vẻ như là một giả định [3] mạnh mẽ hơn; tuy nhiên, chúng tôi có thể sử dụng tiền điện tử được thiết kế quá mức với chi phí khá rẻ (ví dụ: tổ hợp 5xAES256 hoặc AES-ChaCha-Serpent hoặc McEliece với kích thước ma trận gấp đôi); làm như vậy chắc chắn phải trả giá; tuy nhiên chi phí nhỏ hơn nhiều so với hệ thống QKD. Do đó, tôi sẽ gọi điểm này là hòa ...
Bạn dự định xác thực trao đổi khóa như thế nào?
Trao đổi khóa đơn giản chỉ có thể bảo vệ bạn khỏi những người quan sát thụ động. Nhưng các đối thủ trong thế giới thực có xu hướng từ chối tuân theo các mô hình tấn công lý tưởng hóa tốt đẹp của chúng ta. Nếu bạn muốn (và bạn muốn) bảo vệ chống lại các đối thủ đang hoạt động, những kẻ có thể thực hiện các cuộc tấn công trung gian, bạn cần trao đổi khóa được xác thực (xem ví dụ: tờ giấy này). Bạn sẽ xác thực như thế nào, với điều kiện là không tồn tại sơ đồ chữ ký lượng tử ít giả định kỳ diệu nào? Bạn có hai lựa chọn:
(1) Với sơ đồ chữ ký truyền thống (bảo mật bằng máy tính). Nhưng sau đó, bạn đã từ bỏ lý do ban đầu bạn sử dụng QKD, đó là để ngăn ngừa các giả định tính toán. Nếu bạn chọn (1), thì bạn chắc chắn nên cân nhắc việc chỉ chạy một cổ điển giao thức trao đổi khóa được xác thực với bảo mật tính toán, ví dụ: một dựa trên LWE hoặc các giả định lý thuyết mã hóa. (*)
(2) Với một khóa ngắn ngẫu nhiên được chia sẻ trước, được nhà sản xuất mã hóa cứng trong thiết bị, sau đó sử dụng Carter-Wegman MAC và QKD để tạo lại tài liệu khóa được chia sẻ trong suốt quá trình. Nhưng sau đó, xin chúc mừng: bạn đã thay thế thành công giả định về độ cứng tính toán đã được nghiên cứu kỹ lưỡng bằng một giả định thiết lập đáng tin cậy: giả định rằng nhà sản xuất là một bên thứ ba hoàn toàn đáng tin cậy, người đã trung thực mã hóa cứng các khóa giống hệt nhau ngẫu nhiên thống nhất trong các thiết bị và tất nhiên không lưu giữ bất kỳ dấu vết nào của khóa này cũng như không chia sẻ nó với bất kỳ ai khác. Nếu bạn đã quen thuộc với mật mã, điều này sẽ rung lên một hồi chuông cảnh báo: tránh loại giả định thiết lập đáng tin cậy này là toàn bộ điểm của mật mã ngay từ đầu. Trong trường hợp này, tôi mong bạn cân nhắc rằng "LWE an toàn" là một an toàn hơn nhiều giả định rằng "các nhà sản xuất của tôi hoàn toàn trung thực, không tham lam, không thể bị hỏng và sẽ không giữ hoặc chia sẻ chìa khóa với bất kỳ ai".
(*) Để cho đầy đủ, có hai cách chúng ta nên giảm bớt (1) một chút: (a) người ta có thể thích có quyền riêng tư hoàn hảo và xác thực tính toán, vì cái trước là vĩnh viễn và cái sau là tại chỗ; (b) chữ ký có thể được xây dựng từ mật mã đối xứng và về mặt lý thuyết có thể tồn tại mật mã đối xứng trong khi mật mã khóa công khai (cần thiết cho trao đổi khóa) thì không. Bây giờ, đó là một cửa sổ lý thuyết nhỏ, nhưng nếu đây là điều bạn sợ hãi và bạn sẵn sàng trả chi phí QKD để đối phó với nỗi sợ hãi này, thì về mặt kỹ thuật, đó là một lý do hợp lệ.
Bạn dự định làm gì với khóa được chia sẻ này?
QKD chỉ cung cấp chìa khóa cho cả hai bên; làm cách nào để chúng ta sử dụng khóa này để bảo vệ thông báo (xét cho cùng, đó là toàn bộ điểm của bài tập này)?
Nếu bạn dự định sử dụng chúng để mã hóa dữ liệu của mình bằng AES, thì bạn lại đang đưa ra một giả định tính toán và bạn lại đánh mất quyền riêng tư hoàn hảo tuyệt vời mà QKD đã hứa sẽ đi kèm. Vì vậy, một lần nữa, ở đây, bạn không phải trả giá bằng QKD để có được sự bảo mật hoàn hảo, mà chỉ để có được khả năng dựa vào giả định đối xứng hậu lượng tử (ví dụ: "AES an toàn trước các máy tính lượng tử") thay vì giả định khóa công khai. Và, hãy nhớ rằng, một trong những lựa chọn thay thế của chúng tôi đã chỉ dựa vào giả định đối xứng này.
Mặt khác, nếu bạn sử dụng luồng khóa do QKD tạo để mã hóa trực tiếp dữ liệu (với MAC bảo mật thông tin, người ta sẽ hy vọng như vậy), thì chúng ta sẽ gặp phải vấn đề tiếp theo - hệ thống QKD không nhanh như vậy. Bây giờ, chúng đã trở nên nhanh hơn theo thời gian và do hiệu suất đó là một vấn đề kỹ thuật, không phải giới hạn dựa trên vật lý, nên có vẻ hợp lý là tốc độ tăng sẽ tiếp tục theo thời gian. Tuy nhiên, tốc độ hiện tại của chúng chậm hơn nhiều so với tốc độ chạy của mạng thực - đây là một nút thắt cổ chai đáng kể về hiệu suất.
Trị giá
Ngay bây giờ, các hệ thống QKD rất đắt tiền (chi phí đã giảm; tuy nhiên chúng vẫn rất đắt). Ngược lại, các giải pháp thay thế có thể được thực hiện trên phần cứng tiêu chuẩn với giá rẻ.
Điểm mấu chốt: các lựa chọn thay thế là tốt hoặc tốt hơn trên tất cả các điểm.
[1]: Một giải pháp thay thế thứ ba mà tôi chọn không mở rộng sẽ là "one-time-pad". Tôi tin rằng điều đó cũng không thực tế; tuy nhiên nó có thể chịu so sánh với OTP...
[2]: Rối lượng tử đã được chứng minh là một bằng chứng về khái niệm giữa mặt đất và vệ tinh, tuy nhiên vẫn còn một chặng đường dài để đi giữa những gì họ có và một hệ thống có thể sử dụng thực tế.
[3]: "Mạnh mẽ hơn" có nghĩa là "chúng ta phải đảm nhận nhiều hơn". Trong trường hợp này, "mạnh hơn" là một điều xấu - chúng tôi muốn các giả định bảo mật của mình càng yếu càng tốt.