这是我目前对量子密码术工作原理的理解:(第一位是量子密钥分配)
爱丽丝通过诸如光纤之类的量子通道向鲍勃发送光子束。这些光子中的每一个代表一点信息(0或1),并且已经以某种方式(直线或对角线)极化。鲍勃使用一组偏振滤光片(这些被称为碱吗?)与光子检测器组合来拾取这些光子。如果来自爱丽丝的偏振光子通过鲍勃一端的相应滤波器,他将收到光子的相关位(0或1)。如果光子通过错误的滤波器,则它有50%的概率得到0或1。来自爱丽丝的所有光子都通过鲍勃的滤波器,鲍勃获得0和1的字符串。然后,他通过公共渠道与Alice交流了他使用的偏振器(滤光片),然后Alice告诉他哪些滤光片是正确的。结果,双方都有一个经过筛选的密钥。
[这是C. H. Bennett和G. Brassard的“ BB84”协议:量子密码学:公钥分发和抛硬币,最初是在IEEE ICCSSP程序中进行的; 1984年] 图像来源:法国尼斯物理系,物理系
下一部分我不太确定。据我了解,这个新的0和1s字符串(经过筛选的密钥)成为加密和解密算法的新参数,允许Alice和Bob之间进行通信。我的理解是,在经典密码学中,Eve截取了加密的消息并利用其计算能力试图找出密钥。
在这个量子版本中,有什么使它比经典版本更安全的呢?像以前一样,为什么Eve不能像传统密码学那样截获该加密的消息,并像往常一样尝试找出密钥(由0和1组成的字符串)?
如果我的理解存在问题,或者问题模棱两可,请通知我。我正在寻找答案。

评论

“然后他通过公共渠道与Alice交流了他使用了哪些偏振器(滤光片),然后Alice告诉他哪些滤光片是正确的。”可以进一步澄清。不幸的是,我在此站点上使用了量子一词后才听到白噪声。

@back_seat_driver因此,这意味着如果Bob以此顺序使用DRRDRRD作为其过滤器,其中D表示对角线,R表示直线,他告诉Alice这个字符串。然后Alice确认正确使用了哪些过滤器。

太好了,现在我们对要转移的内容一无所知!但是,您的d / r字符串是如何转移的?

@back_seat_driver,它通过公共(不安全)通道进行通信。另外,您知道有人可以回答我的问题吗?

有很多人可以回答这个问题!这个答案是正确的,还是植根于现实是一个更好的问题!遵循不确定性原则,我将无济于事。

#1 楼

TL; DR答案是经典密码学。
除了量子链接之外,与量子密码学(更确切地说,量子密钥分配)的安全数据通信还使用经典链接,许多数学上可证明的经典密码学以及最初使用的建立过程
要执行相同的操作,古典密码使用“一次性密码”;或假设对手具有一定的计算能力和一些未经证实的数学假设。但是假设可能会出错,并且存在未来进度允许解密存档拦截的风险。纯量子密钥分配通过在未经证实的假设上仅依靠物理来避免特定的风险。

量子密钥分配(QKD)现在是量子密码术(QC)的一个子领域,还包括:


后量子密码学,探讨可用于抵御昆腾计算机攻击的经典计算机上可用的加密方法,如果它们可用于攻击当今的密码学。

量子随机数生成,旨在产生可证明安全的近完美的随机秘密非共享位的源,该源可证明根源于某些已识别的量子物理学现象;

Quantum密码分析,使用Quantum计算机研究任何类型的密码学攻击,以及使用任何类型的设备针对Quantum Key Distribution进行攻击量子随机数生成。

问题中引用的开创性BB84文章中的思想实验可以导致实用的QKD。我解释了如何给出链接,但没有给出数学解释。这是出于对量子方面的无知,出于信息理论方面的懒惰以及30000个字符限制的借口。

A.问题阻止直接使用筛分钻头
该问题仅概述了文章的一个子集,并停止获取经过筛选的位。这些绝对不适合直接使用,并且不能实现量子密钥分发(QKD),这主要有以下三个原因:

错误地渗入了经过筛选的位中

该模型(即使在撰写本文时,也比实际的硬件和已知的量子物理学定律进行了极大简化),使得在没有被夏娃搞乱的情况下,爱丽丝和鲍勃的端头上有很多经过筛选的位不同。因此,筛选后的位不能用作密码的密钥,因为解密可能会失败。

筛选后的位还不够秘密

窃听者可以获得有关筛选后的大量知识位。这使得它们不能直接用作密钥流,因为夏娃的部分知识使机密性受到威胁。引用该文章,对手的量子模型提供的最佳保险仅是:

被窃听者了解到,该窃听者知道光子的原始基础,因此无法测量传输中的光子仅在完成测量后,才能产生有关该光子编码的密钥位的信息的超过1/2个预期位。


这些筛选位与谁共享?

文章的第一部分和问题假设经典渠道是易受窃听的,但对消息的注入或篡改却不敏感

这样的保险,爱丽丝(Alice)和鲍勃(Bob)将不确定谁与他们的筛子真正共享!可能是Eve而不是Bob接收了Alice的光子并“通过公共通道与Alice进行通信”,因此Alice与Eve共享了经过筛选的位。如果夏娃真的是谁给他发送了光子并“告诉他哪个滤镜是正确的”,鲍勃也面临着类似的问题。当数据传输时间到来时,这将允许中间人攻击。

B.植根于信息论的经典密码学将它们全部修复

秘密密钥和解协议可消除错误,并且更多地使用编码理论和错误检测与纠正来构建安全的除筛选外的秘密密钥和解协议也运行在经典渠道上。其目的是

以较低的相反几率去除或修复筛选后的位中的错误;
获得实际错误率的上限,这归因于夏娃从事间谍活动。量子通道;
通过在经典通道上运行协议来获取并最小化泄漏的信息的上限,假定夏娃被仔细审查;
推导出仍然存在的熵(如果有)的下限其余的部分;

这种对帐协议可以放松一点熵,使其在实践中可用,并且可以在信息理论上得到证明;但是没有一个简单的这样的人知道。受到最严格审查的里程碑是以下协议中的级联协议:Gilles Brassard和Louis Salvail的“公开讨论的秘密密钥和解”,在Eurocrypt 1993中进行。

私密性放大提炼了一个共享密钥

在对帐后(如果有的话)可证明残留的熵被蒸馏成接近完美的熵。古典密码学家将使用哈希,但是可证明的信息理论在该类别中没有提供。 ID Quantique的2020年白皮书提供了基本的隐私放大协议,但这仅用于说明。
此外,要用作不断增长的近乎完美的随机秘密共享位的来源,必须从结果中删除足够的位,以便更新设置密钥(请参阅下面的3)。审查这种圆形性的文章都使用了通用可组合量子隐私放大这一名称的变体。

经典的设置密钥和加密技术使经典通道变得安全

本文提出的方法是最常见的方法:

Alice和Bob事先同意了一个小秘密密钥,他们将其用于创建Wegman-Carter身份验证标签

类似于经典密码学的低端技术关键仪式:鲍勃亲自遇到爱丽丝,每次掷20次骰子,并将结果写为20个字符,在纸上形成两行。化学碳副本可确保Alice和Bob保持相同的注释。它们被密封在两个不透明的防篡改信封中,以确保保密直到使用。鲍勃回来时保护着信封。另外,爱丽丝(Alice)可以完成整个工作,而值得信赖的快递员则将鲍勃(Bob)交给鲍勃(Bob)签名。
对于两个经典通信渠道中的每一个,发件人在该渠道上生成的设置密钥的一半都将用作密钥。信息论消息验证码(如Mark N. Wegman,J。Lawrence Carter的通用哈希;新的哈希函数及其在验证和集合相等中的使用,《计算机与系统科学杂志》,1981年),对发送的所有数据进行了计算在筛选和和解的渠道上。 MAC(本文中的两个“标签”之一)在其保护的常规通道上发送。接收者可以重新计算并检查它,这给出了明显的伪造赔率。我们的示例中的80位半密钥可以提供40位安全性:比百万分之一的未被发现的伪造机率高,这可以满足任何有理智的人。
设置密钥传输必须确保完整性,但可能有所不同当不再需要保密时,例如在经典的非对称密码学中。但是,在对帐之后,但在可以信任QKD建立的密钥之前,必须分别在每个方向上传送设置密钥的一半。这很不方便,通常的做法是保密设置密钥:ID Quantique的2020年白皮书指出它是由制造而成的。

在发射器和接收器中使用预先建立的秘密密钥,该密钥用于验证经典信道上的通信。此初始密钥仅用于验证第一个量子密码学会话。每次会话后,产生的密钥的一部分将用于替换先前的身份验证密钥。

注意:这没有涵盖有效的QKD所需的许多内容以及可能的陷阱:

鲍勃如何得出结论,认为光子没有通过偏振分束器而没有通过?如果那是通过计时,爱丽丝和鲍勃如何获得足够精确的通用计时参考?在更粗略的层面上,鲍勃和爱丽丝如何就预期光子事件的共同索引达成共识?
通过和解估计的剩余熵中未考虑的经典旁通道泄漏了多少可利用信息。由于筛选或对帐协议中的时间变化,变化的光强度,电磁泄漏。.
对帐结束后的测试中,还需要多少其他裕量来稳健地覆盖量子模型的缺陷,包括偷偷摸摸引入的缺陷被一个有创意的对手?如果测试失败,如何安全地安排重试?
如何将设置密钥秘密存储在QKD设备中?
如何在诸如电力故障之类的实际约束条件下保持同步?
实施中未捕获的设计错误或运行时错误(偶然或故意的)取决于传统的电子设备,处理器和软件。 >

C.量子密钥分配的量子密码学
就像传统的密码学一样,量子密码学旨在以保密和完整性(可以理解为包括对来源和目的地的保证)来传输任意数据。这两个目标中的每一个都可以通过两种方式实现,两种方式都是在经典通道上使用经典密码学,并以量子密钥分配的结果作为密钥:

根植于信息论中的安全传统密码学


使用QKD的随机位作为密钥流的One Time Pad(或基本上等效的变体)用于保密。

安全性在很大程度上取决于隐私加密的质量。 B.2,以及B.1的“秘钥和解”协议提供的保险的健全性。吞吐量受B中任务所消耗的筛查率降低的限制。
如上B.3中所述,从QKD流程中获取信息完整性和起源的信息论消息身份验证码。可以容忍隐私放大中的微小缺陷。


没有数学证据的常规对称密码技术




一些对称密码用于机密性,定期重新加密-使用QKD的密钥流进行键控。这是提高原本就不足的QKD率的唯一方法。同样,它可以充分缓解隐私放大后的微小缺陷。

典型选择是分组密码AES-256,可能具有CTR这样的操作模式。这是务实的,并且具有很深的道理:AES-256由平民和军人打上橡皮图章,在很大程度上被推测足以抵御数十年来的蛮力攻击,包括使用昆腾计算机在内,并且假定使用常规密钥进行常规密钥更改(包括经典密钥派生)可以抵御旁道攻击,QKD可以补充或替换。


一些用于完整性的标准消息身份验证代码,例如HMAC-SHA-512,可能是从QKD定期键入的密钥;在不经修改地重用商业经典密码设备的情况下,放弃使用信息理论的MAC可能很有意义。


经过认证的加密(也许是AES-GCM)是一种现代化的集成方式



上述技术被认为是安全的,或者甚至对于C.1的技术在数学上都是可证明的。技术上的难点是先前的QKD,以及常规应用加密技术的正确实现:随机数生成器,副信道和故障攻击,协议中的集成。

D。量子密码术的操作限制
QKD受到严格限制,至少可以广泛使用:

与沿光纤的网络齿轮不兼容(长光纤中使用的标准光放大器或其他标准中继器)电缆,交换机和路由器将数据定向到正确的用户)。解决方案仅在实验室级别存在。商业产品仅限于点对点通信,或/和超出此范围使用常规加密。
范围小,并且(在没有数学上证明的常规加密辅助下)低带宽,两者之间是折衷的。例如,Cerberis3 QKD系统在50 km上指定为1.4 kbit / s,在75 km的最大范围内指定为更低的速度。对于夜间的直接视线卫星,2017年的一篇论文报告说,在645 km时约为12 kbit / s,在1200 km时约为1 kbit / s。据报道,在实验室条件下使用过冷光子探测器

如果要纯QKD,则它会失去证书颁发机构颁发的基于数字证书的公钥基础结构的便利性。 >供应商之间没有互操作性(我能找到的最接近的是东芝在2017年2月的新闻通讯中呼吁对此采取行动)。
没有关于QKD链路可操作性的大量数据,尤其是在温度变化的情况下;担心某些部件的平均故障间隔时间很短是合理的,例如温度循环后的光子探测器。
据我所知,到目前为止,没有使用QKD的设备获得有关QKD的公共安全证书。事实检查此数据表是否具有“认证的通用标准和FIPS 140-2 3级”产品,并带有“对QKD的支持”作为升级产品,我得出结论,证书涵盖的唯一与量子有关的功能是RNG,而FIPS 140 -2安全策略对QKD的唯一提及是:


Quantum Key Channel串行端口连接到单独可用的ID Quantiqe(sic)Cerberus量子密钥分发服务器(不支持FIPS140-2)此认证下的3级操作模式)。


E。量子和传统密码学的安全性

量子密钥分发实施如何失败

QKD的安全性植根于经过数学证明是安全的密码学部分;以及根据现代物理理论的光子(可能还有其他量子物理学对象)的行为的物理模型,该模型与实验结果完美匹配,并提供了理论证明。
但是,很大一部分粒子物理学和电磁学以及所有引力/相对性,通常是在分析之外进行的;而且证据的假设不能完全模拟所使用的设备,从而导致了一些可靠的攻击,例如相位重映射。
最糟糕的是,对手们跳出了思路,积极地修改了量子实验,以至于模型不再存在非常贴合就像夏娃蒙蔽了光子探测器!引用Lars Lydersen,Carlos Wiechers,Christoffer Wittmann,Dominique Elser,Johannes Skaar和Vadim Makarov:《自然光子通讯》通过量身定制的明亮照明入侵商业量子密码系统,《自然光子通讯》 2010年:

我们演示了如何完全破解来自商业供应商ID Quantique和MagiQ Technologies的两个商业QKD系统id3110 Clavis2和QPN 5505。我们通过实验证明,夏娃可以使用明亮的照明使QKD系统中的门控探测器失明,从而将其转换为经典的线性探测器。然后,由叠加在明亮的连续波(c.w.)照明上的经典激光脉冲完全控制探测器。值得注意的是,这些探测器能够准确地测量Eve的要求。

QQD设备遭到黑客攻击的公司与该公司于2010年联合发布的新闻稿中提到,它是

开发并测试了对策。 [..]首席执行官[..]首席执行官解释说:“测试是验证一种新的安全技术的必要步骤,并且该过程今天已应用于量子密码学,这表明该技术已经成熟。” 。]

这是一场军备竞赛,类似于智能卡40年来一直在进行的竞赛,如今智能卡经常用于方便的加密密钥分发。夏娃还有其他攻击的蓝图:

通过使自己的侧面而不是鲍勃的视线蒙蔽爱丽丝来犯错;
通过远程探测爱丽丝和/或鲍勃偏振片的(假定的随机和秘密)方向。在Alice发送的单个光子之间(通常有规律地)发送光子(可能是纠缠的,并且具有最适合工作的特性);
从较早的输出预测Alice或Bob的RNG(以达到D中报告的记录速率) .2,Alice消耗了几吉比特/秒的假定完美随机性;这是普通量子源的数百倍);
针对量子齿轮状态的经典TEMPEST信息泄漏或诱发故障,当前设置键或QKD结果。


比较了量子和经典假设

常规加密仅依靠某些未经数学证明的假设即可达到QDK的等效性。对于对称(秘密密钥)密码术,可以广义地描述为解决某些组合问题的难度。此外,需要使用非对称(公钥)加密技术,以将具有完整性的通道变成具有机密性的通道(QKD可以做到),这取决于解决其他问题的难度。例子包括整数分解,离散对数或RLWE。
有广泛的共识,但没有数学证据证明(忽略实现问题)当前的常规加密技术是当前安全的。而且对称密码学最多需要密钥大小的两倍,以确保可以抵御未来可能被认为可用于密码学感兴趣的量子计算机的安全。对于非对称密码学中使用的各种问题中的哪个,需要哪种密钥大小是一个活跃的研究主题。
QKD的安全性取决于物理假设,而传统密码术的安全性则取决于数学假设。两种假设都没有得到数学证明。但是两者都是牢固建立的(至少当我们将传统密码术限制在其对称分支时)。任何不安全感(不可避免地涉及人员之外)都可能存在于其他地方:过分简化的理论模型,未发现的错误或实施中的后门。 QKD的复杂性使这些事故更有可能发生。

Quantum密钥分发的最强点

QKD提供了经典加密技术无法提供的保证。可以说,如果受QKD保护的数据传输在发生时是安全的,并且仅使用经过数学​​验证的加密技术,那么将来就不会解密该数据。该论点是,即使在通信时可以存储在量子通道上发送的光子(已被拉出一个小窍门),以期将来希望解密,但光子不会到达量子受体,QKD将会失败(相比之下,可以使用先进的技术来被动地窃听和存储经典密码术的通道并进行存储,以进行假设的未来解密。这是合理的:即使是完美的前向保密也不会破坏对称密码的安全。使用足够少的资源,使用过去有据可查的密文进行的拦截可以在今天通过足够的资源来解密,而3DES(64位块,111位密钥)很可能会屈服,AES-128只能假设稳定技术进步方面,如果进一步假设可用于密码分析的量子计算机,则AES-192也会出现;如果我们不再怀疑如何以及何时出现这种情况,AES-256也会出现。

F.商业量子密码术的用例
合理的科学认识和QKD / QC的新闻报道有助于销售,并且足以瞄准某些市场:

QKD / QC的实验研究从实验量子物理学和应用的密码学/密码分析/审计/黑客的角度看具有很高的科学和教育价值。
计算机安全市场的一部分:购买决策者寻求声望,保证或戏剧效果。量子可以是加密,音频是金,银是子弹。
为了合理的原因,资金流失了。昂贵的安全设备擅长于此,有用性是次要的,非常规性没有障碍:请参阅ADE651。
后门盖。出售QKD设备以提供用于加密敏感数据的密钥。知道QKD实施中的一个容易利用的漏洞(例如,经典通道上共享密钥的泄漏,可能是偶然或有意地通过筛选或对帐中的时间变化来巧妙地加以掩饰),可能会破坏原本安全的加密链接。
木马程序的保护。 QKD设备有处于安全范围内的原因。因此,它是理想的机柜,可以物理上潜入麦克风,摄像头,间谍小工具或旁道攻击设备(通过物理连接到目标安全设备有很大帮助)。

很难找到当今的QKD可以解决的安全问题(并渗透到整个市场);必须满足许多条件:

要点对点传输的某些数据的机密性至关重要(在传输时或在传输时)。在这种情况下已成功使用的选项)不是一种选择;可能必须至少以完整性传输QKD共享密钥的方法不会传输具有完整性和机密性的,充满随机性的1TB记忆棒,或者至关重要的数据大于1TB。参见Johny Mnemonic。
尽管D.1,D.2(不包括C.2适当注意的带宽问题),D.4,D.5和D.6,QKD仍然可用。 br />
假设以上所述,那么考虑使用商业QKD作为经典密码学的补充是合理的。幸运的是,如果可以接受的可用性最差,那么我们就不必在两者之间进行选择,并且可以在安全性方面取得两全其美。
具有完善的前向保密性和具有大块和密钥的强健密码的古典加密技术已广泛使用。在它使用的通信链路上,可以插入独立来源的商用QKD设备,当然,对于任何两种加密方式,都可以使用独立管理的用于两个加密方式的设置密钥。审计师只需收费即可排除特洛伊木马程序(请参阅F.5),从而确保机密性至少与没有QKD时一样好。减少D工作日的简单性和保证的工作也许值得付出代价,并增加了对长期机密性的信心,但是由于使用经典的密码学而没有数学证明达到了可接受的吞吐量,这使其失去了光泽。
但是鉴于QKD的不成熟,针对对手的安全论点不受制于狭physical的物理假设的束缚,这完全是不合理的,因为当我们考虑使经典密码术完全发挥作用所需的经典密码术库时,其复杂性非常高,污染了安全记录由于这些原因,从业人员的可审核性和识别性较差,并且要求对设置密钥的管理与传统加密技术相同。

操作摘要
量子密钥分配(量子密码学的一个子领域)原则上执行与传统密码术相同的任务,并使用相同的操作过程,而没有任何操作上的简化。特别是,仍然需要通过不方便的人工手段建立起最初可信赖的材料。
QKD在涉及未经证实的假设时依赖于物理学而不是数学。这是一个了不起的成就和范式转变。但是,如果这是一种好处,那就是无形的,并且不会帮助QKD获得清晰的安全记录,更不用说被从业者广泛认为是有用的了。
将QKD集成到当前网络中是完全不切实际的:QKD当前需要实用范围限制为500 km的专用光纤,或者没有阳光,雨水或雾气的直接视线。这只能在每个中间端点使用受信任的设施来扩展。除非通过常规加密技术进行补充(否则失去了上述无形的收益),否则实际吞吐量很低。
商用QKD设备非常复杂,部分原因是它严重依赖于许多经典的数学上可证明的加密技术。它价格昂贵,体积大,耗电少,需求低,库存少,现场可靠性未经验证,很少在实践中使用,并且未被安全认证机构认可。
QKD消除了未来技术进步会危害拦截器的风险。较早制造。如果我们信任快递公司提供的设置密钥而不是一次性使用,那么对于具有最重要的机密性(尤其是数十年)的数据,值得考虑的是对具有独立的安全设置程序的经过仔细审查的经典密码进行补充(而不是替换),这是值得考虑的在这种情况下,传统上用于完美保密的护垫。

评论


$ \ begingroup $
@Paul Uszak:ID Quantique营销手册第9页上的字符串“ ..由于在发射器和接收器中使用了预先建立的秘密密钥,可以防止攻击。 。另请参阅量子密钥分发对MITM攻击也安全吗?关于瑞士公司/政府在加密设备安全性方面的信誉,这不能比Cryto AG多年销售操纵密码机之后的信誉低很多。
$ \ endgroup $
–fgrieu♦
17-09-5 14:11



$ \ begingroup $
FYI,一次性身份验证器由Edgar N. Gilbert,F。Jessie MacWilliams和Neal J.A.发明。 Sloane,“检测欺骗的代码”,1974年3月,贝尔系统技术杂志53(3),第405-424页(非付费扫描),比卡特和韦格曼的通用哈希研究计划早了几年。
$ \ endgroup $
–吱吱作响的s骨
17年5月5日在15:26

$ \ begingroup $
但这容易实现吗?我们是否将在将来的某个时候切换到一次性垫纸,还是仅在少数情况下使用?如果是前者,那么加密将变得很无聊。
$ \ endgroup $
– Melab
17年9月8日于13:57

$ \ begingroup $
@PaulUszak导致基础设施中断是克服该问题的一种方法。
$ \ endgroup $
– Melab
17年9月8日在14:29

$ \ begingroup $
@Paul Uszak:我通过消息来源解释了QKD为什么需要与经典密钥分发相同的密钥仪式(B.3);并说明为什么它不切实际(D)。你不相信吗?我给出了QC / QKD的用例:F.1是认真和合法的,而F.2非常适合瑞士的全民投票系统。在我的回答中,接近“增强基础结构”的一件事是D.1,但这是使用QKD而不是“击败”它。我给出了可以击败QKD的原因,并举例说明了它:例如,请参见E中的“遮蔽光子检测器”,并且那里的引号[已更新]。
$ \ endgroup $
–fgrieu♦
17年9月18日在9:07

#2 楼

@fgrieu已经写了一本小书,所以我将回答限制在最低限度,以避免重复。认为这是扩展注释(确实不符合注释大小限制)。

是什么使Quantum Cryptography安全性?
…是什么使它比经典版本更安全?

在经典加密中,诸如三方密钥分发协议之类的东西利用质询/响应机制或时间戳来防止重放攻击。但是,挑战机制要求“受信任的中心”和参与者之间至少进行两轮通信,并且时间戳方法依赖于时钟同步的假设,由于网络延迟的不可预测性和潜在的敌意,这在分布式系统中不太实用。攻击。
此外,传统的加密算法也无法检测到诸如窃听之类的被动攻击。这一事实可用于量子密码学解决方案中,以减少基于例如对受信任中心的质询/响应机制的协议的回合次数。
在量子密码学硬币的另一面:需要进行公共数据交换发送方和接收方之间进行额外的通信回合,并花费宝贵的量子位,而经典加密技术提供了便捷的技术,可实现高效的密钥验证和用户身份验证。这就解释了为什么(在撰写本文时)大多数最终解决方案倾向于最终将量子密码学和经典密码学混合在一起以最佳方式实现其目标。

#3 楼

轮到我了!



在互联网等通道上的两个同伴之间的经典密码学中,该通道上的窃听者学习了一个信息抄本,从理论上可以从中得出秘密例如,窃听者学习了Diffie–Hellman公钥$ g ^ a $和$ g ^ b $,它们可以通过无界计算来恢复对等方的对话秘密密钥$ k = \ operatorname {SHA-256}(g ^ a,g ^ b,g ^ {ab})$,对等方使用密码$ \ operatorname {AES} _k $加密对话。这段对话可能是关于如何粉碎状态的,因为它是日常的密码无政府主义者cypherpunks便宜且负担得起的。

(注:具有无限计算能力的对手也可以从$ \ operatorname中找出$ k $ {AES} _k(0)$,但我们假装对手仅将其不可思议的计算用于经批准的目的,例如Diffie–Hellman。)




在量子密码学中,同行使用专用的光纤链路上的特殊通道,他们用枪支,律师和其他形式的国家暴力来刻意保护。他们在此通道上执行联合量子随机数生成仪式,该仪式旨在使任何人窃听该通道的特性都会使仪式失败,因此以后没有抄本可以用无穷的魔法来攻击。

成功后,他们会得到一个密钥$ k $,对等方使用密钥$ \ operatorname {AES} _k $加密对话。这次对话可能是关于他们有多少钱,因为只有瑞士的银行才能买得起这样的玩具。

(注:可以越过所有枪支和律师以及其他形式的国家暴力的对手光纤链路上的窃听也可能会侵入计算机,但我们假装对手仅将忍者用于经批准的目的,例如小心地使光缆弯曲超过其折射率。)


我遗漏了两个部分:验证$ k $,这在两种方式中都是必需的,并且总是通过其他形式的经典密码术来完成; *以及密码分析的假设性突破,例如量子计算机,这就是为什么古典密码学家忙于拥有的原因学术界争相解决其后量子密码在任何人标准化之前都具有最酷的,难以解决的难题。


*读者已使我警惕某些形式的量子认证,例如Christopher Portmann IACR密码学ePrint档案:“使用密钥回收的量子身份验证”:报告2017/119。这很奇怪,因为一种经典的具有短密钥的加密方式即使在对抗无穷计算能力的对手时也可以无条件地得到保护,它是一次性身份验证器,正如@fgrieu所指出的,这正是这里使用的方式。我猜想量子认证的优势在于,与浪费的反环境主义消费者主义古典密码学家提倡的协议相反,它允许您回收密钥。但是它仍然不能通过互联网工作。小熊维尼

评论


$ \ begingroup $
在第一个项目符号上完全没问题,包括限制使用魔术(量子计算机上的AES-256可能比ECDH-P-521更安全)。我不确定第二颗子弹和双关语的程度。难道不是在加密中完全保护链接的话题吗?如果我们卸下防护罩,夏娃会在中间切断光纤,在那儿安装两个从ID Quantique获得的盒子,两个同伴的仪式都成功了(假设四个盒子中的设置键相同)。我同意:QC中的量子通道不能被被动窃听,从而使其他通道的被动笔录无效。
$ \ endgroup $
–fgrieu♦
17年9月8日在16:49



$ \ begingroup $
即使我提到了枪支,我也希望不涉及任何子弹!在这两种情况下,对等方都需要使用经典密码学来相互认证。枪支和律师的确确实通常不在密码学的范畴之内,但是正如您所观察到的,它们是QKD抵御NITM攻击的安全性的重要组成部分,我看到我们的老朋友Mallory NITM(中间是非二进制)已经采用了加密技术。将自己伪装成纯粹的被动窃听者夏娃的额外步骤!
$ \ endgroup $
–吱吱作响的s骨
17年9月8日17:00

$ \ begingroup $
@fgrieu我同意“保护链接”在加密中是没用的……但是,这是一个很好的现实检查。难道世界上最先进的加密货币不会被物理连接到键盘的按键记录器所挫败吗?吱吱作响的s骨,您应该调整自己的看法,因为这不是您应该担心的恶毒忍者,而是世界上真正的统治者...看门人:)
$ \ endgroup $
– Q-Club
17年9月8日在23:12

#4 楼

关于QKD,有些困惑。混乱围绕着基本原理,它是物理世界中的基本实现。两者混为一谈,我认为这是不公平的,因为QKD是一种新兴技术,因此不应与具有数百年历史的密码原理相比如此苛刻。

因此,在此量子版本中,什么使它更安全

QKD本身不同于通过网络电缆发送电信号。如果以下是类似的QKDN

夏娃就不可避免地被注意到。这是症结所在,经常被遗漏。她不能在不影响爱丽丝和鲍勃之间的光子流的情况下进行窃听。这是生命,宇宙和量子力学的基础,被称为“观察者效应”。

...为什么夏娃无法截取此加密消息,并像往常一样尝试找出密钥(即像传统的密码学一样是一串0和1s)?

夏娃不必找出消息。她可以直接从光子束中读取它。但是爱丽丝和鲍勃会注意到。然后,他们要么重试传输,要么派出一个残酷的搜索和销毁团队以消灭夏娃。这里的要点是,如果Eve正在监听,则没有密钥交换完成。以太网电缆中没有这种影响。这就是为什么NSA可以秘密窃听我们所有的电话,而不是秘密地窃听QKDN中的光子流的原因。当然,整个QKD硬件必须在物理世界中运行。这使其容易受到传统攻击和妥协的影响。重要的是,不要将支撑QKD的“观察者效应”与服务器对铝榴弹或计算机黑客的抵抗力混为一谈。

评论


$ \ begingroup $
是否可以进行无线量子连接,还是受光的使用所限制?
$ \ endgroup $
– Q-Club
17年7月7日,下午1:32

$ \ begingroup $
@back_seat_driver无线(无光纤)是的,但没有带收音机。您需要发送偏振光子才能使观察者效应生效。但是您可以通过无线方式进行操作-参见crypto.stackexchange.com/questions/50767/…
$ \ endgroup $
–Paul Uszak
2017年9月7日2:00在

$ \ begingroup $
我对观察者效应在这里的联系的理解是,当夏娃试图测量偏振态时,大约有一半的时间她将使用错误的滤波器,从而破坏了光子的原始状态。但这并不意味着夏娃绝对必须得到注意吗?因为她可能很幸运,所以对每个光子都使用正确的偏振滤光镜
$ \ endgroup $
–lal lal
2017年9月7日15:21



$ \ begingroup $
@lal lal:该图显示了根据BB84在QKD中的光子路径。完整的BB84(和问题)在每个方向上都具有经典通道。安全性要求这些通道的完整性。即使如此,夏娃也可以对钥匙有所了解。在安全的应用程序中,复杂但可证明的加密算法使用预先建立的秘密密钥来使分布式密钥任意接近完美,并可能连续产生。就像DH一样,BB84的伟大成就是从完整性到保密性,但是没有物理证明就使用物理而非数学作为唯一的假设。
$ \ endgroup $
–fgrieu♦
17/09/8在10:26



$ \ begingroup $
保罗,您的正确回答是:“(夏娃)不能在不影响爱丽丝和鲍勃之间的光子流的情况下进行窃听。这是根本”。我再想一想,再想一想@Squeamish Ossifrage的答案,我(现在)看到,它阻止了现在进行拦截,并保留了使用更好技术进行解密的目的。我相应地更改了答案。
$ \ endgroup $
–fgrieu♦
17年9月9日,下午5:56