為什麼難以使用量子密鑰分發加密大量資訊?
上個月的一篇文章聲稱,東芝公司和東北大學最近通過傳輸“幾百 GB”打破了使用量子密鑰分發加密的數據量的記錄。
但是 QKD 只是一種用於傳輸對稱密鑰的協議——實際的加密數據稍後會通過不安全的通道發送,其中頻寬可能不是限制(或者至少任何限制都與加密協議完全分開)。此外,我的理解是,一旦你傳輸了一個對稱密鑰,你可以用它加密的數據量實際上是無限的:
https://crypto.stackexchange.com/a/2473/76433的答案聲稱,對於 AES-128,妥協的風險“很可能”在 $ 2^{64} $ 傳輸加密數據塊,但https://crypto.stackexchange.com/a/5101/76433上的答案說,對於 AES-256,之後 $ 2^{50} $ 數據塊傳輸數據洩漏的機率仍然只有 $ 2^{-29} $ . https://crypto.stackexchange.com/a/66261/76433的答案更為保守,建議僅對每個對稱密鑰加密 64 GiB 的數據,以將衝突風險降至 $ 2^{-64} $ .
因此,在您通過 QKD 傳輸了僅 256 位的對稱密鑰數據之後,您可以加密的數據量似乎是無限的。(如果您想非常保守,並且希望將風險一直降低到 $ 2^{-64} $ ,那麼也許您需要傳輸幾個密鑰才能傳輸“幾百 GB”的數據。)現代 QKD 技術可以輕鬆地每秒傳輸數百萬比特(儘管它們是否真的安全是一個單獨的問題)問題)。那麼為什麼傳輸大量數據令人印象深刻呢?
更廣泛地說,擁有一個可以傳輸超過 256 位的 QKD 系統有什麼真正的優勢嗎?(再次,我將 QKD 的任何實際安全風險放在一邊,並假設它確實是安全的。)
我相信最終目標是將 QKD 數據用作一次性填充,因此 QKD 速率需要與明文數據速率相同。這是唯一保證安全的方法。(雖然我認為 QKD 可能有點騙局。)
此外,您不能永遠使用密鑰。我最近做了一個 400Gbps AES-GCM 加密器。您不應該使用相同的密鑰發送超過 2^32 個塊,因為在那之後它開始變得容易偽造標籤。這對應於大約 8 小時的數據。
文章中的突破有點誤導。正如您正確陳述的那樣,可以使用 AES 等對稱加密算法發送(幾乎)無限量的加密數據。他們確實使用 QKD 發送了這個 AES 密鑰。
據我從 2017 年的這篇文章中可以看出,實際的突破是他們設法以非常高的速度執行 QKD:
“該設備實現了每秒 13.7 兆比特的密鑰數據分發速度。該速度約為之前最快的量子密鑰分發速度的 7 倍:東芝在 2016 年實現的 1.9Mbps。”