探索QKD与PQC的融合之路：未来的安全通信新范式

探索QKD与PQC的融合之路：未来的安全通信新范式

在当今数字化时代，信息安全的重要性不言而喻。随着量子计算技术的迅猛发展，传统加密算法面临着前所未有的挑战。在这样的背景下，量子密钥分发（QKD）和后量子密码学（PQC）成为了备受瞩目的两大技术，它们有望共同构建起更加安全、可靠的通信体系。本文将深入探讨QKD与PQC的未来融合方案及其实现过程，带您一同领略这一前沿领域的魅力。

一、QKD与PQC的基本概念

（一）QKD：基于量子物理的密钥分发技术

QKD是一种基于量子物理原理的安全技术，其核心目标是在两个远程通信方之间安全地建立对称加密密钥。它利用量子力学的特性，如量子态的不可克隆性和量子纠缠等，使得通信双方能够以信息论安全的方式协商密钥。这意味着，即使攻击者拥有无限的计算资源，也无法在不被察觉的情况下窃取密钥。这些通过QKD生成的密钥，可以与传统的加密算法相结合，为通信提供强大的保密性保障。

（二）PQC：抵御量子计算机攻击的密码学算法

PQC则专注于开发能够抵御量子计算机攻击的密码算法。与QKD不同，PQC并不依赖于量子物理原理，而是依靠复杂的数学算法来确保安全性。其目标是构建既对量子计算机又对传统计算机具有安全性的密码系统，并且能够与现有的通信协议和网络无缝互操作。目前，PQC仍处于积极的研究和发展阶段，并且正在由美国国家标准与技术研究院（NIST）进行标准化工作。

二、融合的必要性与可能性

（一）必要性：应对量子计算威胁

随着量子计算技术的不断进步，传统密码算法面临着被量子计算机快速破解的风险。QKD虽然能够提供信息论安全的密钥分发，但在实际应用中仍存在一些局限性，如对专用基础设施的依赖等。而PQC的算法复杂性可以为通信提供额外的安全保障，即使在面对量子计算机攻击时也能保持一定的安全性。因此，将QKD与PQC融合，可以充分发挥两者的优势，构建更加坚固的安全防线。

（二）可能性：互补优势

QKD和PQC在安全性和应用场景上具有互补性。QKD的无条件安全性可以为PQC提供强大的密钥管理支持，而PQC的算法灵活性和兼容性则可以弥补QKD在实际部署中的不足。例如，PQC可以用于初始化QKD的认证密钥，解决QKD在首次认证时的密钥分发难题；同时，QKD生成的密钥可以与PQC算法相结合，增强加密的安全性。

三、融合方案的实现过程

（一）密钥组合方法

1. 并行执行与组合：在融合方案中，通常会并行执行QKD和PQC的密钥交换协议。这些协议相互独立运行，不产生依赖关系。一旦密钥交换完成，所获得的密钥将作为输入，通过一个密钥组合函数生成一个唯一的密钥。这种方式的目标是确保最终生成的密钥具有比单个输入密钥更高的安全性。
2. 面临的挑战与解决方案：然而，QKD与传统密钥组合方案的兼容性是一个关键问题。由于大多数现有建议考虑的是计算安全性，而QKD追求的是无条件安全性，因此需要特别注意确保组合过程不会降低QKD密钥的安全性。一种解决方案是采用满足特定安全要求的密钥组合技术，如异或（XOR）操作等。此外，QKD不是公钥方案，需要专用基础设施，这也要求密钥组合方案能够支持带外密钥交换，以实现与QKD的原生兼容。

（二）QKD协议中的认证

1. 认证的重要性：在QKD协议中，认证是确保安全通信的关键环节。由于QKD原始协议依赖于真实的经典通信信道进行后处理，而在实际应用中，这种信道可能容易受到中间人攻击（MITM）。因此，为了保证密钥生成的安全性，必须对通信进行认证。
2. 实现认证的方法：可以通过多种经典安全技术来实现认证，如消息认证码（MAC）和数字签名等。在对称密码学中，MAC是常用的认证工具，它基于通信双方共享的密钥对消息进行认证。而在公钥场景下，数字签名提供了更强的不可否认性。在QKD中，一种特殊的HMAC家族，即几乎强通用2（ASU₂）哈希函数，可以用于实现信息论安全（ITS）认证。然而，使用ASU₂哈希函数需要为每个新的通信消息使用不同的一次性密钥，这在一定程度上增加了密钥管理的复杂性。

（三）PQC初始化QKD认证密钥

1. 安全与灵活性的权衡：一种融合策略是在QKD的认证密钥初始化阶段使用PQC。从安全角度看，将QKD与一次性MAC相结合进行认证密钥交换可以实现信息论安全，但在某些情况下，这种方式可能不可行。从灵活性角度考虑，基于计算安全性的PQC认证密钥协议更易于集成到现有通信基础设施中。因此，可以通过在QKD的第一轮中使用PQC KEM来初始化认证密钥，后续轮次则依靠QKD的无条件安全特性进行密钥协商，这种方式在一定程度上平衡了安全与灵活性。
2. 存在的问题与注意事项：然而，这种方法需要信任公钥基础设施（PKI）的完整性，并且在密钥分发过程中需要每个参与者与PKI进行直接交互，这增加了一定的负担。此外，还需要注意防范针对认证密钥耗尽的攻击，以确保“永恒安全”模型的有效性。

（四）对称ITS方法初始化QKD认证密钥

1. 基于KDC的解决方案：另一种初始化QKD认证密钥的方法是利用对称信息论安全（ITS）方法，通过传统的密钥分发中心（KDC）来实现。KDC预先与每个参与者共享秘密密钥，在需要时为参与者之间分发会话密钥。这种方法可以通过使用一次性密码本（OTP）和ASU₂消息认证来实现安全的密钥传输。
2. 具体操作步骤：当参与者A需要与参与者B共享初始密钥时，A向KDC发送请求，使用与KDC共享的部分密钥进行加密和认证。KDC收到请求后，使用与A和B共享的密钥生成响应，并将部分密钥发送给A。A然后生成一个随机密钥字符串，并使用从KDC获得的密钥将其发送给B。A和B可以使用这个密钥进行初始通信认证。整个过程需要重复执行，以确保每个参与者都能与其他参与者建立安全的通信通道。

四、标准化进展

在密钥组合技术的标准化方面，目前尚未有得到整个密码学界一致认可的特定标准。然而，多个组织和机构已经发布了相关的文档、报告和建议，涵盖了不同层面的通用性讨论。例如，ITU-T的X.1714建议讨论了包括QKD在内的不同密钥交换方法的组合，并提出了一些安全要求；ETSI的TS 103 744文档指定了从多个共享密钥中派生加密密钥的方法；IETF的RFC 8784等文档则针对特定协议（如IKEv2和TLS）提出了如何实现后量子安全的方案；NIST也发布了关于密钥生成和派生的建议，允许考虑混合方式获得的密钥。

五、实际案例分析

（一）韩国SK电信的6G展望

SK电信在其2023年发布的6G白皮书预计将PQC和QKD结合用于加密。他们认为这两种技术是互补的，接收来自QKD设备的量子密钥和来自PQC模块的对称加密密钥应进行混合加密，以提升网络安全性。

（二）欧洲的研究项目

1. 多路径混合认证密钥交换：在[QKD-PQC-1]工作中，遵循Muckle方案实现了一种混合方法用于认证密钥交换。该方案将QKD、PQC和传统公钥密码（PKC）的密钥进行安全组合，并使用预共享密钥（PSK）进行认证。同时，通过扩展混合涉及多个媒体/路径，改进了PoPs之间的密钥交换模块，使其能够并行管理QKD和PQC密钥。KMS系统可以透明地接收来自不同密钥交换模块的密钥，从而建立不同的量子安全密钥交换会话。
2. 硬件集成方案：[QKD-PQC-2]提供了一个概念验证实现，将QKD硬件原型的密码系统与QKD处理、PQC密钥交换以及通过物理不可克隆函数（PUF）进行的秘密状态掩码集成在单个现场可编程门阵列（FPGA）上。
3. 量子抗性TLS协议：[QKD-PQC-3]提出了一种混合量子抗性TLS协议，将QKD和PQC集成到TLS协议的不同阶段，以增强安全性。该协议展示了两种组合当前和PQC安全原语的可能性：连接和异或操作，并对其性能进行了分析。
4. 量子安全IPsec连接：某电信运营商通过测试证明了QKD密钥可以通过光纤直接量子通道在两个QKD设备之间同步，并使用ETSI-QKD 014 REST API实现防火墙与QKD设备的连接以及IPSec隧道的形成。利用RFC8784中定义的IKEv2协议版本，将源自QKD的预共享后量子密钥（PPK）与传统PKI方法派生的密钥混合，确保了IPsec连接的量子安全性。

六、结论与展望

QKD与PQC的融合为未来的通信安全提供了一种极具潜力的解决方案。通过合理的融合方案和技术实现，能够在面对量子计算威胁时，保障通信的机密性、完整性和可用性。尽管目前仍面临一些技术挑战和标准化问题，但随着研究的不断深入和实际应用的推广，我们有理由相信，这两种技术的融合将在未来的安全通信领域发挥重要作用，为构建更加安全、可靠的数字世界奠定坚实的基础。

详细的内容参考
IG.18 Opportunities and Challenges for Hybrid (QKD and PQC) Scenarios