EITC/IS/QCF 量子密码学基础

Stephen Wiesner 和 Gilles Brassard 的工作被认为建立了量子密码学。 Wiesner，当时在纽约哥伦比亚大学，在 1970 年代初发明了量子共轭编码的概念。 IEEE 信息理论学会拒绝了他的重要研究“共轭编码”，但它最终于 1983 年在 SIGACT 新闻上发表。在这项研究中，他展示了如何在两个“共轭可观测”中编码两条消息，例如线性和圆形光子偏振，因此可以接收和解码其中一个，但不能同时接收和解码。 直到 20 年在波多黎各举行的第 1979 届 IEEE 计算机科学基础研讨会上，IBM Thomas J. Watson 研究中心的 Charles H. Bennett 和 Gilles Brassard 才发现如何整合 Wiesner 的结果。 “我们认识到光子从来不是用来存储信息的，而是用来传递信息的”，Bennett 和 Brassard 在 84 年基于他们之前的工作推出了一个名为 BB1984 的安全通信系统。 遵循 David Deutsch 使用量子非局部性和贝尔不等式来完成安全密钥分配的想法，Artur Ekert 在 1991 年的一项研究中更深入地研究了基于纠缠的量子密钥分配。

Kak 的三阶段技术建议双方随机旋转其极化。 如果采用单光子，该技术理论上可以用于连续、牢不可破的数据加密。 它已经实现了基本的偏振旋转机制。 这是一种完全基于量子的加密方法，与使用经典加密的量子密钥分发相反。

量子密钥分发方法基于 BB84 方法。 MagiQ Technologies, Inc.（美国马萨诸塞州波士顿）、ID Quantique（瑞士日内瓦）、QuintessenceLabs（澳大利亚堪培拉）、东芝（日本东京）、QNu Labs 和 SeQureNet 都是量子密码系统的制造商（巴黎， 法国）。

优势

密码学是数据安全链中最安全的环节。 另一方面，相关方不能指望加密密钥将永久保持安全。 与传统密码学相比，量子密码学能够对数据进行更长时间的加密。 科学家们无法保证使用传统密码学加密超过 30 年，但一些利益相关者可能需要更长的保护期。 以医疗保健行业为例。 截至 85.9 年，2017% 的办公室医生使用电子病历系统来存储和传输患者数据。根据《健康保险流通与责任法案》，病历必须保密。 纸质病历通常在经过一定时间后被焚毁，而计算机化记录会留下数字痕迹。 使用量子密钥分发可以保护电子记录长达 100 年。 量子密码学也适用于政府和军队，因为政府通常将军事材料保密近 60 年。 也已经证明，即使通过噪声信道长距离传输量子密钥分配也可以是安全的。 它可以从有噪声的量子方案转换为经典的无噪声方案。 经典概率论可以用来解决这个问题。 量子中继器可以帮助实现对噪声信道的持续保护。 量子中继器能够有效地解决量子通信故障。 为了确保通信安全，作为量子计算机的量子中继器可以作为分段部署在噪声信道上。 量子中继器通过在连接通道段以形成安全通信线路之前对其进行净化来实现这一点。 在长距离内，低于标准的量子中继器可以通过嘈杂的信道提供有效的保护。

产品应用

量子密码学是一个广义的术语，指的是各种密码技术和协议。 以下部分介绍了一些最著名的应用程序和协议。

量子密钥分发

使用量子通信在两方（例如，Alice 和 Bob）之间建立共享密钥而无需第三方（Eve）了解该密钥的任何技术，即使 Eve 可以窃听 Alice 和 Bob 之间的所有通信，是已知的作为QKD。 如果 Eve 试图收集有关正在建立的密钥的知识，就会产生差异，从而引起 Alice 和 Bob 的注意。 一旦建立了密钥，它通常用于通过传统方法加密通信。 例如，交换的密钥可能用于对称加密（例如一次性密码）。

理论上可以建立量子密钥分发的安全性，而不会对窃听者的技能施加任何限制，这是经典密钥分发无法实现的。 尽管需要一些最低限度的假设，例如适用量子物理学并且 Alice 和 Bob 可以相互验证，但 Eve 不应该能够冒充 Alice 或 Bob，因为中间人攻击是可能的。

虽然 QKD 看起来是安全的，但它的应用面临着实际挑战。 由于传输距离和密钥生成率的限制，情况就是这样。 技术的不断研究和发展使这些限制的未来发展成为可能。 卢卡马里尼等人。 在 2018 年提出了一个双场 QKD 系统，该系统可能能够克服有损通信信道的速率损失缩放。 在 340 公里的光纤中，双场协议的速率被证明超过了有损信道的密钥协议容量，称为无中继器 PLOB 约束； 它的理想速率在 200 公里处已经超过了这个界限，并且遵循更高中继器辅助密钥协议容量的速率损失缩放（更多细节请参见图 1）。 根据协议，理想的密钥速率可以使用“550 公里的传统光纤”来实现，该光纤已经广泛用于通信。 被称为第一个有效量子中继器的 Minder 等人证实了 2019 年 QKD 超出速率损失限制的第一次实验演示中的理论发现。TF-QKD 的发送-不发送 (SNS) 变体协议是实现长距离高速率方面的重大突破之一。

不信任的量子密码学

不信任密码学的参与者彼此不信任。 例如，爱丽丝和鲍勃合作完成双方提供私人输入的计算。 另一方面，爱丽丝不信任鲍勃，鲍勃也不信任爱丽丝。 因此，加密作业的安全实施需要 Alice 保证 Bob 在计算完成后没有作弊，并且 Bob 保证 Alice 没有作弊。 承诺方案和安全计算，后者包括硬币翻转和不经意转移的任务，是不信任密码任务的例子。 不可信密码学领域不包括密钥分发。 不信任量子密码学研究了量子系统在不信任密码学领域的使用。

与仅通过量子物理定律即可实现无条件安全性的量子密钥分发相比，存在不可行定理证明，在各种任务不信任的情况下，仅通过量子物理定律无法实现无条件安全协议密码学。 然而，如果协议同时利用量子物理学和狭义相对论，其中一些工作可以绝对安全地进行。 例如，Mayers 和 Lo 和 Chau 证明绝对安全的量子比特承诺是不可能的。 Lo 和 Chau 证明了无条件安全完美的量子硬币翻转是不可能的。 此外，Lo 证明了用于二分之一不经意传输和其他安全两方计算的量子协议不能保证是安全的。 另一方面，肯特已经展示了用于硬币翻转和比特承诺的无条件安全相对论协议。

量子硬币翻转

与量子密钥分发不同，量子硬币翻转是一种在互不信任的两方之间使用的机制。 参与者通过量子通道进行通信，并通过量子比特传输交换数据。 然而，由于爱丽丝和鲍勃彼此不信任，他们都希望对方作弊。 因此，为了达到预期的结果，必须花费更多的工作来确保 Alice 和 Bob 都没有明显的优势。 偏见是影响特定结果的能力，并且在设计协议以消除不诚实玩家的偏见（也称为作弊）方面付出了很多努力。 量子通信协议（例如量子硬币翻转）已被证明比传统通信具有相当大的安全优势，尽管它们在实践中可能难以实施。

下面是一个典型的硬币翻转协议：

• Alice 选择一个基（直线或对角线）并在该基中生成一串光子以传递给 Bob。
• Bob 选择直线或对角线基随机测量每个光子，并注意他使用的基数和记录值。
• Bob 公开猜测 Alice 发送她的量子比特的基础。
• 爱丽丝揭示了她选择的基础并将她的原始字符串发送给鲍勃。
• Bob 通过将 Alice 的字符串与他的表进行比较来确认它。 它应该与 Bob 在 Alice 的基础上进行的测量完全相关，并且与相反的情况完全不相关。

当玩家试图影响或提高特定结果的可能性时，这被称为作弊。 协议不鼓励某些形式的作弊行为； 例如，Alice 可以声称 Bob 在第 4 步正确猜测时错误地猜测了她的初始基础，但是 Alice 必须生成一个新的量子比特串，该串与 Bob 在对面表中测量的值完全相关。 随着传输的量子比特数量的增加，她生成匹配的量子比特串的机会呈指数级减少，如果 Bob 注意到不匹配，他就会知道她在撒谎。 Alice 可能通过组合状态类似地构造一串光子，但 Bob 很快会发现她的串将在某种程度上（但不完全）与桌子的两边对应，表明她作弊了。 当代量子设备也存在固有的弱点。 Bob 的测量会受到错误和丢失量子比特的影响，从而导致他的测量表出现漏洞。 Bob 在步骤 5 中验证 Alice 的量子比特序列的能力将受到重大测量误差的阻碍。

爱因斯坦-波多尔斯基-罗森 (EPR) 悖论是爱丽丝作弊的一种理论上确定的方式。 EPR 对中的两个光子是反相关的，这意味着当在相同的基础上测量时它们总是具有相反的极化。 Alice 可以创建一串 EPR 对，将其中一个发送给 Bob，另一个留给自己。 当 Bob 说出他的猜测时，她可以在相反的基础上测量她的 EPR 对光子并获得与 Bob 的相反表的完美相关性。 鲍勃不会知道她作弊了。 然而，这需要量子技术目前缺乏的技能，因此无法在实践中实现。 为了解决这个问题，Alice 需要能够长时间存储所有光子，并以近乎完美的精度对其进行测量。 这是因为在存储或测量过程中丢失的每个光子都会在她的弦上留下一个洞，她必须用猜测来填补。 她必须做出的猜测越多，她就越有可能被鲍勃发现作弊。

量子承诺

当涉及不信任方时，除了量子硬币翻转外，还使用量子承诺方法。 承诺方案允许一方 Alice 以这样一种方式固定一个值（以“提交”），即 Alice 无法更改它，并且接收者 Bob 在 Alice 揭示它之前无法了解它的任何信息。 密码协议经常使用这样的承诺机制（例如量子硬币翻转、零知识证明、安全的两方计算和不经意传输）。

它们在量子环境中特别有用：Crépeau 和 Kilian 证明，可以从承诺和量子通道构建用于执行所谓的不经意传输的无条件安全协议。 另一方面，Kilian 已经证明，不经意传输可用于以安全方式构建几乎任何分布式计算（所谓的安全多方计算）。 （注意我们在这里有点草率：Crépeau 和 Kilian 的发现并没有直接表明可以通过承诺和量子通道执行安全的多方计算。这是因为结果并不能确保“可组合性”，即意味着当您将它们结合起来时，您可能会失去安全性。

不幸的是，早期的量子承诺机制被证明是错误的。 Mayers 证明了（无条件安全的）量子承诺是不可能的：任何量子承诺协议都可以被计算上无限的攻击者破坏。

然而，Mayers 的发现并不排除使用比不采用量子通信的承诺协议所需的假设要弱得多的假设来构建量子承诺协议（以及因此安全的多方计算协议）的可能性。 可以利用量子通信来开发承诺协议的一种情况是下面描述的有界量子存储模型。 2013 年 XNUMX 月的一项发现通过结合量子理论和相对论提供了“无条件”的信息安全，这在全球范围内首次得到有效证明。 王等人。 提出了一种新的承诺系统，其中“无条件隐藏”是理想的。

密码承诺也可以使用物理上不可克隆的函数来构建。

有界和有噪声的量子存储模型

受约束的量子存储模型可用于创建无条件安全的量子承诺和量子无意识传输 (OT) 协议 (BQSM)。 在这种情况下，假设对手的量子数据存储容量受已知常数 Q 的限制。但是，对手可以存储多少经典（非量子）数据没有限制。

可以在 BQSM 中构建承诺和不经意的转移程序。 以下是基本概念：多于 Q 个量子比特在协议方（量子比特）之间进行交换。 因为即使是不诚实的对手也无法存储所有数据（对手的量子存储器仅限于 Q 个量子比特），因此必须测量或销毁相当一部分数据。 通过强制不诚实方测量相当一部分数据，该协议可以避免不可能的结果，允许使用承诺和不经意的传输协议。

Damgrd、Fehr、Salvail 和 Schaffner 在 BQSM 中的协议不假设诚实的协议参与者保留任何量子信息； 技术要求与量子密钥分发协议中的技术要求相同。 因此，至少在理论上，这些协议可以用当今的技术来实现。 对手的量子存储器上的通信复杂度只是一个高于界限 Q 的常数因子。

BQSM 的优点是在对手的量子记忆是有限的前提下是现实的。 使用当今的技术，即使长时间可靠地存储单个量子比特也很困难。 （“足够长”的定义由协议的细节决定。通过在协议中添加人为间隙，可以任意延长对手保存量子数据所需的时间。）

Wehner、Schaffner 和 Terhal 提出的噪声存储模型是 BQSM 的扩展。 允许对手使用任何大小的有缺陷的量子存储设备，而不是对对手的量子存储器的物理大小设置上限。 嘈杂的量子通道用于对不完美程度进行建模。 与 BQSM 中相同的原语可能会在足够高的噪声水平下产生，因此 BQSM 是噪声存储模型的一个特例。

通过对对手可以存储的经典（非量子）数据的数量施加限制，可以在经典情况下获得类似的发现。 然而，已经证明，在这个模型中，诚实方同样必须消耗大量内存（对手的内存界限的平方根）。 因此，这些方法对于现实世界的内存限制是不可行的。 （值得注意的是，以今天的技术，例如硬盘，对手可能会以低廉的价格存储大量的传统数据。）

基于位置的量子密码学

基于位置的量子密码学的目的是使用玩家的（唯一）凭证：他们的地理位置。 例如，假设您希望向特定位置的玩家发送消息，并确保只有在接收者也在该位置时才能阅读该消息。 位置验证的主要目标是让玩家 Alice 说服（诚实的）验证者她在特定位置。 钱德兰等人。 证明了在存在合作对手的情况下，使用传统协议进行位置验证是不可能的（他们控制所有位置，除了证明者声明的位置）。 在对对手的各种限制下，方案是可能的。

肯特在 2002 年以“量子标记”的绰号研究了第一个基于位置的量子系统。 2006年获得美国专利。 2010 年，利用量子效应进行位置验证的想法首次发表在学术期刊上。 在 2010 年提出了其他几个用于位置验证的量子协议之后，Buhrman 等人。 声称一个普遍的不可能结果：勾结的对手总是可以通过使用大量的量子纠缠使验证者看起来他们处于声称的位置（他们在诚实玩家操作的量子比特数中使用双倍指数的 EPR 对在）。 然而，在有界或有噪声的量子存储范式中，这一结果并不排除可行方法的可能性（见上文）。 Beigi 和 König 后来将广泛攻击位置验证方法所需的 EPR 对数量增加到指数级。 他们还证明了一个协议对于只控制线性数量的 EPR 对的对手是安全的。 由于时间-能量耦合，使用量子效应进行形式化无条件位置验证的前景仍然是一个未解决的课题。值得注意的是，对基于位置的量子密码学的研究与基于端口的量子隐形传态协议有关，后者是量子隐形传态的更高级变体，其中多个 EPR 对同时用作端口。

设备无关的量子密码学

如果量子密码协议的安全性不依赖于所使用的量子设备的真实性，则称其与设备无关。 因此，故障甚至恶意设备的情况必须包括在此类协议的安全分析中。 Mayers 和 Yao 建议使用“自我测试”量子设备设计量子协议，其内部操作可以通过其输入输出统计数据唯一标识。 之后，罗杰·科尔贝克在他的论文中提倡使用贝尔测试来评估这些小工具的真实性。 从那时起，许多问题已被证明允许无条件安全和设备独立的协议，即使执行贝尔测试的实际设备明显“嘈杂”，即远非理想。 量子密钥分配、随机性扩展和随机性放大就是这些问题的例子。

Arnon-Friedman 等人进行的理论研究。 2018 年的研究表明，利用被称为“熵累积定理 (EAT)”的熵属性，它是渐近均分属性的扩展，可以保证设备独立协议的安全性。

后量子密码学

量子计算机可能会成为一种技术现实，因此研究可用于对付有权使用量子计算机的敌人的密码算法至关重要。 后量子密码学是用于描述此类方法研究的术语。 许多流行的加密和签名技术（基于 ECC 和 RSA）可以使用 Shor 算法在量子计算机上分解和计算离散对数来破解，因此需要后量子密码学。 McEliece 和基于格的方案，以及大多数对称密钥算法，是当今知识对量子对手安全的方案示例。 可以进行后量子密码学调查。

现有的加密算法也正在研究中，以了解如何更新它们以应对量子对手。 例如，在开发对量子攻击者安全的零知识证明系统时，需要新的策略：在传统环境中，分析零知识证明系统通常需要“倒带”，这种技术需要复制对手的内部状态。 因为在量子上下文中复制状态并不总是可能的（不可克隆定理），所以必须应用倒带方法。

后量子算法有时被称为“抗量子”，因为与量子密钥分发不同，未知或可证明未来的量子攻击不会成功。 NSA 宣布有意迁移到抗量子算法，尽管它们不受 Shor 算法的约束。 美国国家标准与技术研究院 (NIST) 认为应该考虑量子安全原语。

超越量子密钥分发的量子密码学

到目前为止，量子密码学一直与量子密钥分发协议的发展相关联。 不幸的是，由于需要建立和操作多对秘密密钥，通过量子密钥分发传播密钥的对称密码系统对于大型网络（许多用户）变得低效（所谓的“密钥管理问题”）。 此外，此发行版无法处理日常生活中至关重要的广泛的附加加密过程和服务。 与包含用于密码转换的经典算法的量子密钥分发不同，Kak 的三阶段协议已被呈现为一种完全量子的安全通信方式。

除了密钥分发之外，量子密码学研究还包括量子消息认证、量子数字签名、量子单向函数和公钥加密、量子指纹识别和实体认证（例如，参见 PUF 的量子读出）等。

实际实现

至少在原则上，量子密码学似乎是信息安全领域的一个成功转折点。 然而，没有任何加密方法是完全安全的。 量子密码学在实践中只是有条件的安全，依赖于一组关键假设。

单光子源的假设

在量子密钥分发的理论基础中假设单光子源。 另一方面，单光子源很难构建，大多数现实世界的量子加密系统都依赖微弱的激光源来传输数据。 窃听者攻击，尤其是光子分裂攻击，可以利用这些多光子源。 窃听者 Eve 可以将多光子源分成两份，自己留一份。 剩余的光子随后被发送给 Bob，没有迹象表明 Eve 已经收集了数据的副本。 科学家声称，利用诱饵状态来测试窃听者的存在可以保证多光子源的安全。 然而，科学家们确实在 2016 年生产了一个近乎完美的单光子源，他们相信在不久的将来会开发出一个。

假设检测器效率相同

在实践中，量子密钥分发系统使用两个单光子探测器，一个用于 Alice，一个用于 Bob。 这些光电探测器经过校准，可以在毫秒间隔内探测到入射光子。 由于它们之间的制造差异，两个检测器的检测窗口将发生有限量的位移。 通过测量 Alice 的量子比特并向 Bob 传递一个“假状态”，一个名叫 Eve 的窃听者可以利用探测器的低效率。 Eve 收集 Alice 发送的光子，然后生成一个新的光子传递给 Bob。 Eve 篡改了“伪造”光子的相位和时间，以至于 Bob 无法检测到窃听者。 消除此漏洞的唯一方法是消除光电探测器效率差异，由于有限的制造公差会产生光路长度差异、线长差异和其他问题，这具有挑战性。