เมื่อเราบอกว่าวิธีแก้ปัญหาคือ ใช้ไม่ได้เราไม่ได้หมายความว่ามันใช้ไม่ได้เลย แต่เราหมายความว่ามีข้อบกพร่องร้ายแรงเมื่อเทียบกับวิธีอื่นในการแก้ปัญหาเดียวกัน ตัวอย่างเช่น อาจใช้เครื่องบินเพื่อไปเยี่ยมเพื่อนบ้านที่อยู่ห่างออกไป 100 เมตร; เราทุกคนเห็นพ้องต้องกันว่ามีวิธีที่ง่ายกว่ามาก ดังนั้นการใช้เครื่องบินจึง "ใช้ไม่ได้"
ปัญหาที่ QKD พยายามแก้ไขคือการสื่อสารที่ปลอดภัย นั่นคืออลิซจะส่งข้อความถึงบ๊อบด้วยวิธีที่ "ปลอดภัย" ได้อย่างไร แน่นอน ในการพยายามระบุการใช้งานจริง เราจะต้องพิจารณาโซลูชันที่เป็นไปได้อื่นๆ และเปรียบเทียบโซลูชันเหล่านั้นกับโซลูชัน QKD อย่างไร ในกรณีนี้ ทางเลือกที่ชัดเจน ได้แก่ ระบบที่มีฐานสมมาตรทั้งหมด (เช่น ระบบที่คล้าย Kerberos) และบางอย่างที่ใช้การเข้ารหัสหลังควอนตัม (เช่น Classic McEliece และ Sphincs+) [1]
แนวคิดที่ผมร่างไว้ด้านล่างเป็นความเห็นของผู้เชี่ยวชาญส่วนใหญ่ และควรทำให้ชัดเจน
ต่อไปนี้คือรายการประเด็นสำคัญบางประการที่โซลูชันแตกต่างกัน:
QKD ต้องการสื่อเฉพาะประเภทเพื่อใช้งาน
ณ ตอนนี้ สามารถแสดง QKD ได้เฉพาะบนไฟเบอร์ออปติกความยาวสั้นถึงกลาง (< 400 กม.) และการสื่อสารในพื้นที่ว่าง (ชี้เลเซอร์ไปที่เป้าหมายที่อยู่ในระยะสายตา) [2] หากเครือข่ายที่มีอยู่ของคุณใช้สื่ออื่นใดเป็นจำนวนมาก (เช่น ไมโครเวฟหรือดาวเทียม หรือใยแก้วนำแสงทางไกลหรือ WiFi) คุณจะต้องปรับปรุงเครือข่ายส่วนใหญ่ใหม่ (และขอให้โชคดีในการพยายามเชื่อมต่อที่ปลอดภัย จากลอนดอนไปโตเกียว)
ในทางตรงกันข้าม โซลูชันทางเลือกไม่มีข้อจำกัดดังกล่าว
สมมติฐานด้านความปลอดภัยคืออะไร?
ผู้สนับสนุน QKD มักจะอ้างว่า "กฎของกลศาสตร์ควอนตัมบ่งบอกถึงทฤษฎีบทที่ไม่มีการโคลนนิ่ง ดังนั้นข้อมูลของคุณจึงปลอดภัยที่พิสูจน์ได้" แม้ว่าส่วนแรกจะเป็นความจริง แต่ก็ไม่จำเป็นว่าข้อมูลจะปลอดภัยเสมอไป อย่างไรก็ตาม กฎของกลศาสตร์ควอนตัมไม่ได้พิสูจน์ว่าอุปกรณ์ QKD ของคุณทำงานจริงตามที่ออกแบบไว้ และไม่ได้พิสูจน์ว่าไม่มีการโจมตีจากช่องทางด้านข้าง (นั่นคือ การโจมตีโดยที่ฝ่ายตรงข้ามใช้ประโยชน์จากข้อมูลนอกเหนือจากรูปแบบนามธรรม ให้ผู้โจมตี) พร้อมใช้งาน สิ่งเหล่านี้คือสมมติฐานด้านความปลอดภัยที่ผู้ใช้ QKD ต้องทำ (นอกเหนือจากสมมติฐาน "QM เป็นคำอธิบายที่ดีของจักรวาล" ที่ค่อนข้างปลอดภัย) ตอนนี้ ผู้จำหน่าย QKD ทราบเรื่องนี้แล้ว และพยายามที่จะให้การป้องกัน - คุณยังคงต้องถือว่าพวกเขาไม่ได้พลาดอะไรไป ดูตัวอย่างนี้ บทความจาก The Register.
เมื่อเราดูวิธีแก้ปัญหาทางเลือก พวกมันอิงตามความซับซ้อน (นั่นคือ พวกเขาคิดว่าปัญหาการคำนวณที่ผู้โจมตีต้องแก้ไขนั้นยากเกินไป) เมื่อมองแวบแรก อาจดูเหมือนเป็นสมมติฐานที่แรงกว่า [3]; อย่างไรก็ตาม เราสามารถใช้การเข้ารหัสลับที่ออกแบบมากเกินไปได้ในราคาถูก (เช่น ชุดค่าผสม 5xAES256 หรือ AES-ChaCha-Serpent หรือ McEliece ที่มีขนาดเมทริกซ์สองเท่า) การทำเช่นนั้นมีค่าใช้จ่ายอย่างแน่นอน อย่างไรก็ตาม ค่าใช้จ่ายน้อยกว่าระบบ QKD มาก ดังนั้นฉันจะเรียกจุดนี้ว่าเสมอ ...
คุณวางแผนที่จะรับรองความถูกต้องของการแลกเปลี่ยนคีย์อย่างไร
การแลกเปลี่ยนคีย์ธรรมดาสามารถป้องกันคุณจากผู้สังเกตการณ์ที่เฉยเมยเท่านั้น แต่ศัตรูในโลกแห่งความเป็นจริงมักจะปฏิเสธที่จะทำตามรูปแบบการโจมตีในอุดมคติของเรา หากคุณต้องการ (และคุณทำ) การป้องกันจากศัตรูที่ใช้งานอยู่ ซึ่งสามารถโจมตีแบบแทรกกลางได้ คุณต้องมีการแลกเปลี่ยนคีย์ที่รับรองความถูกต้อง (ดูเช่น กระดาษแผ่นนี้). คุณจะรับรองความถูกต้องอย่างไร เนื่องจากไม่มีรูปแบบลายเซ็นควอนตัมที่ไม่ใช้การคาดคะเนที่มีมนต์ขลัง คุณมีสองทางเลือก:
(1) ด้วยรูปแบบลายเซ็นแบบดั้งเดิม (ปลอดภัยทางคอมพิวเตอร์) แต่แล้วคุณก็เลิกใช้เหตุผลที่คุณใช้ QKD ตั้งแต่แรก ซึ่งก็คือ หลีกเลี่ยง สมมติฐานการคำนวณ หากคุณเลือก (1) คุณควรพิจารณาการวิ่งให้ดี คลาสสิก โปรโตคอลการแลกเปลี่ยนคีย์ที่ผ่านการพิสูจน์ตัวตนพร้อมความปลอดภัยในการคำนวณ เช่น หนึ่งขึ้นอยู่กับ LWE หรือสมมติฐานทางทฤษฎีการเข้ารหัส (*)
(2) ด้วยคีย์สุ่มแบบแบ่งล่วงหน้าสั้น ๆ ผู้ผลิตฮาร์ดโค้ดในอุปกรณ์ จากนั้นใช้ Carter-Wegman MAC และ QKD เพื่อสร้างเนื้อหาคีย์ที่ใช้ร่วมกันใหม่ระหว่างทาง แต่ขอแสดงความยินดีด้วย: คุณได้แทนที่สมมติฐานความแข็งของการคำนวณที่มีการศึกษาอย่างดีเรียบร้อยแล้วด้วย a สมมติฐานการตั้งค่าที่เชื่อถือได้: ข้อสันนิษฐานที่ว่าผู้ผลิตเป็นบุคคลที่สามที่เชื่อถือได้อย่างสมบูรณ์ ซึ่งเข้ารหัสคีย์ที่เหมือนกันแบบสุ่มอย่างสม่ำเสมอในอุปกรณ์โดยสุจริต และแน่นอนว่าไม่ได้เก็บร่องรอยของคีย์นี้หรือไม่ได้แบ่งปันกับผู้อื่น หากคุณคุ้นเคยกับการเข้ารหัส สิ่งนี้ควรส่งเสียงเตือน: การหลีกเลี่ยงสมมติฐานการตั้งค่าที่เชื่อถือได้ประเภทนี้คือ จุดทั้งหมด ของการเข้ารหัสตั้งแต่แรก ในกรณีนี้ ฉันขอให้คุณพิจารณาว่า "LWE ปลอดภัย" คือ ปลอดภัยกว่ามาก สันนิษฐานว่า "ผู้ผลิตของฉันซื่อสัตย์อย่างสมบูรณ์ ไม่โลภ ไม่เสียหาย และจะไม่เก็บกุญแจไว้หรือแบ่งปันกับใคร"
(*) เพื่อความสมบูรณ์ มีสองวิธีที่เราควรจะลดเสียงลงเล็กน้อย (1): (ก) หนึ่งอาจต้องการความเป็นส่วนตัวที่สมบูรณ์แบบและการรับรองความถูกต้องด้วยคอมพิวเตอร์ (b) ลายเซ็นสามารถสร้างขึ้นจากการเข้ารหัสแบบสมมาตร และเป็นไปได้ในทางทฤษฎีว่าการเข้ารหัสแบบสมมาตรมีอยู่ในขณะที่การเข้ารหัสคีย์สาธารณะ (จำเป็นสำหรับการแลกเปลี่ยนคีย์) ไม่มี ตอนนี้เป็นหน้าต่างทางทฤษฎีเล็ก ๆ แต่ถ้านี่คือสิ่งที่คุณกลัวและคุณพร้อมที่จะจ่ายค่าใช้จ่ายของ QKD เพื่อรับมือกับความกลัวนี้ ก็เป็นเหตุผลทางเทคนิคที่ถูกต้อง
คุณวางแผนจะทำอะไรกับคีย์ที่ใช้ร่วมกันนี้
QKD เพียงแค่ให้กุญแจทั้งสองด้าน เราจะใช้คีย์นี้เพื่อป้องกันข้อความได้อย่างไร (ซึ่งก็คือประเด็นทั้งหมดของแบบฝึกหัดนี้)
หากคุณวางแผนที่จะใช้มันเพื่อเข้ารหัสข้อมูลของคุณด้วย AES คุณจะต้องตั้งสมมติฐานทางคอมพิวเตอร์อีกครั้ง และคุณก็สูญเสีย QKD ความเป็นส่วนตัวที่สมบูรณ์แบบที่ดีนี้ที่สัญญาว่าจะมาพร้อมกับมันอีกครั้ง ดังนั้น อีกครั้ง คุณไม่ได้จ่ายราคาของ QKD เพื่อให้ได้ความปลอดภัยที่สมบูรณ์แบบ แต่เพียงเพื่อให้ได้รับความสามารถในการพึ่งพาสมมติฐานหลังควอนตัมสมมาตร (เช่น "AES ปลอดภัยต่อคอมพิวเตอร์ควอนตัม") แทนสมมติฐานคีย์สาธารณะ และโปรดจำไว้ว่าหนึ่งในทางเลือกของเราได้อาศัยสมมติฐานสมมาตรนี้แล้วเท่านั้น
ในทางกลับกัน หากคุณใช้คีย์สตรีมที่สร้างโดย QKD เพื่อเข้ารหัสข้อมูลโดยตรง (ด้วย MAC ที่มีความปลอดภัยด้านข้อมูล ใครๆ ก็หวัง) เราจะพบปัญหาต่อไป นั่นคือระบบ QKD ไม่เร็วขนาดนั้น ตอนนี้พวกเขาเร็วขึ้นเมื่อเวลาผ่านไป และเนื่องจากประสิทธิภาพนั้นเป็นปัญหาทางวิศวกรรม ไม่ใช่ข้อจำกัดทางฟิสิกส์ ดูเหมือนว่าจะเป็นไปได้ที่ความเร็วจะเพิ่มขึ้นอย่างต่อเนื่องเมื่อเวลาผ่านไป อย่างไรก็ตาม ความเร็วที่พวกเขาใช้ในตอนนี้นั้นช้ากว่าความเร็วของเครือข่ายจริงมาก ซึ่งเป็นปัญหาคอขวดของประสิทธิภาพที่สำคัญ
ค่าใช้จ่าย
ขณะนี้ ระบบ QKD มีราคาแพง (ต้นทุนลดลง แต่ยังคงมีราคาแพงอยู่) ในทางตรงกันข้าม โซลูชันทางเลือกสามารถนำไปใช้กับฮาร์ดแวร์มาตรฐานได้ในราคาถูก
บรรทัดล่างสุด: ทางเลือกอื่นนั้นดีหรือดีกว่าในทุกประเด็น
[1]: ทางเลือกที่สามที่ฉันเลือกที่จะไม่ขยายความคือ "one-time-pad" ฉันเชื่อว่าไม่สามารถทำได้เช่นกัน แต่อาจเทียบได้กับ OTP...
[2]: การพัวพันของควอนตัมได้รับการพิสูจน์ว่าเป็นการพิสูจน์แนวคิดระหว่างภาคพื้นดินและดาวเทียม อย่างไรก็ตาม ยังมีหนทางอีกยาวไกลระหว่างสิ่งที่มีและระบบที่ใช้งานได้จริง
[3]: "แข็งแกร่งขึ้น" หมายถึง "เราต้องยอมรับมากกว่านี้" ในกรณีนี้ "แข็งแกร่งกว่า" เป็นสิ่งที่ไม่ดี - เราต้องการให้สมมติฐานด้านความปลอดภัยของเราอ่อนแอที่สุดเท่าที่จะเป็นไปได้