Комментарии 9
Основным недостатком QKD является то, что эта технология опирается на аутентифицированный классический канал связи. Иными словами, несмотря на всю защищённость при генерации ключа, Вы всё равно вынуждены обеспечивать запредельный уровень защиты передачи данных по классическому каналу.
Ну тут несколько иначе, насколько я представляю: вы можете заранее обменяться с Бобом базисами, а потом передавать много сообщений. Более того, вы можете обменяться базисами вообще после передачи. В общем, у QKD много проблем, но это не одна из них.
Как Вы думаете, есть ли будущее у квантовой криптографии и QKD в частности?Есть, но не в массовом продукте. Это останется относительно дорогой технологией для топ менеджеров и военки. А криптография просто перейдет на пост-квантовые классические алгоритмы, которые гораздо проще и дешевле.
Спасибо за комментарий!
Соглашусь, видел пару работ, где использовалось блочное подтверждение базисов.
Ну тут несколько иначе, насколько я представляю: вы можете заранее обменяться с Бобом базисами, а потом передавать много сообщений. В общем, у QKD много проблем, но это не одна из них.Здесь я скорее имел в виду, что от классического канала в ближайшее время избавиться не удастся. Есть популярное мнение, что это существенный недостаток.
Более того, вы можете обменяться базисами вообще после передачи.
Соглашусь, видел пару работ, где использовалось блочное подтверждение базисов.
от классического канала в ближайшее время избавиться не удастсяНу от него не удастся избавиться никогда, просто потому что кванты так работают (теорема о запрете коммуникации). Но я не видел серьезных ученых, утверждающих, что это недостаток (но может быть я не видел, я не эксперт). Я, честно говоря, не вижу проблемы: вам не нужно каждый раз заботиться о защите, достаточно один раз обменяться ключом, и этот канал будет всегда защищен. Но даже если нужен защищенный классический канал, достаточно передавать хэши функций, что позволяет передавать всего несколько сотен бит на гигабайты сообщений (например).
Более того, если принять некоторые предположения о возможностях технологий квантовых систем (limited quantum storage), можно обойтись и без защиты классического канала совсем.
Ну тут несколько иначе, насколько я представляю: вы можете заранее обменяться с Бобом базисами, а потом передавать много сообщений. Более того, вы можете обменяться базисами вообще после передачи. В общем, у QKD много проблем, но это не одна из них.
Год назад делали проект с Кванттелекомом, которые тоже делают QKD. И у них та же самая проблема: без зашифрованного классического канала ничего не работает.
Я тогда написал следующие плюсы QKD:
1. усиление гарантий PFS — Provable Unconditional Security
Если в будущем появятся квантовые-компьютеры, ломающие классический PFS (читай эллиптические кривые), это не приведет к компрометации распределнных ключей.
2. Отсутствие нагрузки на сеансовые секреты.
В классической криптографии в результате процедуры аутентификации мы получаем набор сеансовых ключей, который затем используем для шифрования и имтозащиты. Для каждого ключа есть предельно допустимая нагрузка, которая обусловлена двумя факторами: комбинаторными ограничениями и ограничениями по побочным каналам (ПЭМИН). Это означает, что нельзя бесконечно работать на выработаных сеансовых ключах, их когда-нибудь придется заменить. Для снижения нагрузки на ключ можно применить ФДСЧ (обмен новыми случайными числами) или использовать сильные схемы диверсификации (медленно).
КРК для нас является постоянным источником арифметически независимых ключей, т.е. его можно применять вместо ФДСЧ и сократить количество уровней диверсификации.
3. Снижение объемов потенциальной компрометации.
При любых схемах диверсификации сеансовых секретов ключи нижнего уровня всегда будут между собой арифметически связанными. Даже если мы добавляем энтропию с ФДСЧ, случайные числа передаются через защищенный канал связи. Это значит, что если нарушитель скомпрометирует ключ нижнего уровня и найдет способ вычислить по нему другие ключи нижнего уровня (взлом алгоритма диверсификации), он получит полный контроль над каналом связи.
При использовании КРК все квантовые ключи, поступающие из системы КРК в шифратор являются абсолютно независимыми. Т.е. если нарушитель может вычислять по ключу нижнего уровня другие ключи, то компрометация ключа приведет только к компрометации ключей унаследованных от конкретного квантового ключа.
П/С: не являюсь специалистом в QKD, буду рад, если мне объяснят какие еще преимущества дает QKD.
П/С2: я знаю про существование постквантовой криптографии, решетки, изогении и все такое. Я понимаю, что защититься от квантового компьютера можно и без QKD.
буду рад, если мне объяснят какие еще преимущества дает QKD.
Пожалуй, главным преимуществом является относительно дешёвая возможность обнаружить злоумышленника в канале. (Дешевая в том смысле, что Вы можете сделать это на базе уже функционирующей системы связи.) Иными словами, QKD хорош, когда Вы хотите узнать, остались ли Ваши данные зашифрованными. Классические методы, как правило, базируются на односторонних задачах и не могут дать строгого вероятностного ответа на этот вопрос.
Ещё один момент: даже перед лицом злоумышленника с бесконечными запасами времени и вычислительной мощности теоретическая безопасность QKD не может быть нарушена. Этот тезис фактически основывается на моментах, которые Вы перечислили, но тут можно почитать подробнее.
Год назад делали проект с Кванттелекомом, которые тоже делают QKD. И у них та же самая проблема: без зашифрованного классического канала ничего не работает.Ну в их случае это понятно: они же не могут гарантировать обмен секретом между покупателями до начала передачи. Поэтому они должны продавать девайс, который включает в себя классический канал.
П/С2: я знаю про существование постквантовой криптографии, решетки, изогении и все такое. Я понимаю, что защититься от квантового компьютера можно и без QKD.Мне кажется, пост-квантовые алгоритмы все равно не гарантируют секьюрности от MiM атак. Да, эти ключи не взломать потом с помощью квантового компьютера, но QKD дает идеальную защиту передачи. Поэтому квантовая криптография — скорее ниша, а вот QKD — скорее войдет в технологии (хоть и не для всех).
Ну мы для них и делали (должны были делать, но не срослось) защиту классического канала. У них девайс впринципе не работает при его отсутствии. Т.е. там нет опции: обменяться чем-то заранее/потом, а работать без классического.
Мне кажется, пост-квантовые алгоритмы все равно не гарантируют секьюрности от MiM атак. Да, эти ключи не взломать потом с помощью квантового компьютера, но QKD дает идеальную защиту передачи.
Вы абсолютно правы. Именно поэтому оно и зовется Provable Unconditional — что можно доказать, что при любом развитии технологий, включая появление бесконечно быстрых вычислителей, это останется невзламываемым.
Правда нужно понимать, что для этого мы не ключи для классики должны передавать, а маски для XOR'а (т.е. по объему данных). А на текущий момент QRK — это медленно. У Кванттелекома — сотни килобайт в секунду и зависит от расстояния (уровня ошибок). Для некоторых применений — достаточно.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Куда движется современное QKD?