近日，全球专业技术组织IEEE发表量子安全评论文章，介绍了量子密钥分发（QKD）和后量子密码（PQC）技术。

文章指出，中美欧印正在研究和开发QKD技术，目前中国处于领先地位，但其他国家正在迅速迎头赶上。QKD 提供了理论上的信息安全，而PQC实现了可扩展性。QKD和PQC混合是量子安全网络最可能的解决方案。

以下为全文译文：

量子密码学让所有人手忙脚乱 中美欧印都在寻求不同的方法

今年夏天，尽管技术界翘首以待美国国家标准与技术研究所（NIST）发布的最新“后量子密码学（PQC）标准”，但与此同时，人们也在进行着一个平行的努力，即开发基于量子技术的密码系统——被称为量子密钥分发（QKD）系统。

因此，印度、中国以及欧盟和美国的一系列技术组织正在研究和开发QKD，并权衡新生密码学替代标准。而其中最大的问题是，QKD如何或能否融入一个强大、可靠、完全面向未来的加密系统，并最终成为 2030 年代安全数字通信的全球标准。与任何新兴技术标准一样，不同的参与者都在对不同的技术和这些技术的实现方式提出要求。许多大公司都在寻求不同的方案，因为目前还没有哪种技术是绝对的赢家。

总部位于纽约的 Rhodium Group研究分析师 Ciel Qi认为，“至少目前，QKD研究与开发领域有一个明显的领导者。虽然中国很可能因其早期投资和开发而在基于QKD的加密技术方面占据优势，但其他国家正在迎头赶上。

两种不同的“量子安全”技术 

这些不同密码学研究的核心是QKD和PQC系统之间的区别。QKD 以量子物理学为基础，该学说认为量子比特可以非常安全地存储它们共享的信息，以至于任何试图揭露这些信息的努力都不可避免地会被探测到。

通常情况下，量子密码学系统是围绕光子源构建的，光子源会产生光子对——其中一个方向上的光子A的偏振与另一个方向上的光子B的偏振垂直。这两个光子的接收者执行各自的测量，这使得两个接收者都能知道只有他们拥有由这些光子对传输的共享信息。（否则，如果第三方首先介入并测量了一个或两个光子，那么在到达接收者之前，这些微妙的光子状态将不可逆转地被改变。）

两个人通过共享越来越多的光子对，逐渐构建出一个秘密密钥。这个密钥由0和1组成。当他们积累了足够多的共享秘密0和1，就可以使用这种密钥进行一种称为一次性密码本的强加密。这种加密方式确保了信息只能安全地传输给预期的接收者，并且只有他们能正确接收信息。

相比之下，PQC的基础不是量子物理学，而是纯数学。其设计的下一代密码算法可以在经典计算机上运行。正是由于算法的巨大复杂性，使得PQC安全系统即使面对量子计算机也几乎无法被破解。因此，NIST正在开发黄金标准的 PQC 系统，以支撑未来的后量子网络和通信。

全球量子情报公司首席内容官Doug Finke说，PQC只是被认为（基于非常好，但并不是无懈可击的证据）无法被成熟的量子计算机无法破解。换句话说，PQC不一定能提供所承诺的铁一般的“量子安全”。人们从理论上无法预测这些 PQC算法将来不会被破解，而另一方面，QKD基于量子物理学的理论论证，表明你无法破解 QKD 网络。

中国早期在QKD领域的领先优势正在缩小

Ciel Qi认为，中国之所以将战略重点放在QKD上，可能是希望获得独特的技术优势，尤其是当美国在全球PQC领域处于领先地位的情况下。

她特别指出，中国正在加紧努力，利用卫星上行链路和下行链路作为中国自由空间 QKD 系统的基础。Ciel Qi援引中国量子科学家潘建伟的话说：“为了实现全球量子网络覆盖，中国目前正在研制一颗中高轨道量子卫星，预计将于 2026 年左右发射”。

尽管如此，迄今为止所有QKD系统的限制因素都是最终依赖单光子来代表每个量子比特。即使是最精密的激光器和光纤线路也无法摆脱单个光子的脆弱性。

QKD中继器可以盲目复制单个光子的量子态，但不会泄露任何关于通过的单个光子的区别信息。这意味着中继器不会被窃听者破解，但这种技术目前还不存在。但是Finke表示，“这种技术是可以实现的，尽管至少还需要 5 到 10 年的时间。现在肯定还为时尚早”。

Finke说，“在中国，他们确实拥有一个2000公里长的网络。但它使用了可信节点。我认为他们在北京到上海的网络中有30多个节点。所以也许每隔100公里，他们就有一个基本用于测量信号……然后再生信号的装置。但可信节点必须设在像安全基地之类的地方，如果有人闯入那里，他们就能侵入通信系统。

全球量子情报公司高级顾问Satyam Priyadarshy表示，“与此同时，印度一直在迎头赶上。印度的国家量子任务包括QKD通信研究计划，最终目标是建立连接2000公里以外城市的QKD网络，以及类似的长距离卫星通信网络”。Priyadarshy同时指出了印度政府和私营企业在 QKD方面的研究工作，如印度空间研究、总部位于班加罗尔的网络安全公司 QuNu Labs等。QuNu一直在为 QKD 研发一个名为 ChaQra 的集线器框架。

美国和欧盟也在开展类似的早期工作。欧洲电信标准协会（ETSI）、国际标准化组织（ISO）、国际电工委员会（IEC）和电气与电子工程师协会通信学会的官员在接受《IEEE Spectrum》采访时证实，这些组织和工作组目前正致力于推广QKD 技术和正在形成的新兴标准。

东芝英国剑桥研究实验室的高级研究科学家兼 ETSI QKD 行业标准小组主席 Martin Ward 说：“虽然 ETSI 有幸拥有众多相关领域的专家，但要做的事情还很多”。本文联系到的多位消息人士设想，在量子计算普及的世界里，PQC很可能成为大多数安全通信的默认标准。然而，面对日益强大的量子算法和机器，PQC 也无法避免其潜在的致命弱点。消息人士认为，这正是QKD可以提供混合安全通信的前景所在，而单靠PQC是永远无法提供这种通信的。

Priyadarshy说：“QKD 提供了理论上的信息安全，而PQC实现了可扩展性。QKD和PQC混合是量子安全网络最可能的解决方案。但目前研究 QKD-PQC混合技术和标准的努力‘非常有限’”。

Finke指出，即使在PQC仍占主导地位的世界里，QKD仍可能拥有最终决定权。开发 QKD 技术恰好也为未来的量子互联网奠定了基础。重要的是要明白，QKD实际上只是整个量子网络的一个用例。

“还有很多应用，比如分布式量子计算、量子数据中心和量子传感器网络。”Finke补充说，“所以人们现在正在进行的 QKD 研究也仍然非常、非常有帮助，因为很多相同的技术都可以用于这些其他用例”。

信息来源：“国盾量子”微信公众号