跳至正文

量子密码学:绝对安全的通信存在吗?

🟢 实验验证 · 📅 2026年3月 · ⏱ 阅读约12分钟

量子计算机在公众视野中渐行渐近,一场关乎信息安全的根本性变革也在悄然展开——量子密码学(Quantum Cryptography)正从实验室走向万公里级的实用网络。本文从BB84协议的信息论安全证明出发,系统梳理量子密钥分发(QKD)的物理原理、实用化瓶颈与全球部署格局,同时探讨与之并行却本质迥异的后量子密码学(PQC)路线,并分析这场”量子安全竞赛”的未来走向。

📑 本文目录

BB84协议:量子密码的诞生

1984:一切的开始

1984年,IBM研究员Charles Bennett与蒙特利尔大学Gilles Brassard提出了人类历史上第一个量子密码协议——BB84。[1] 这篇仅数页的论文将量子力学的两条核心原理——不可克隆定理(no-cloning theorem)和非正交态不可区分——转化为一把”信息锁”的物理基础:任何试图窃听量子通信的行为,都必然在物理上留下可检测的痕迹。

协议的两套基矢与四态编码

BB84的名称源自协议的核心设计:Alice随机选择两组共四个量子态来编码比特信息。这两组基矢(basis)分别是:

  • 矩形基(Z基):|0⟩ 和 |1⟩(对应水平/垂直极化)
  • 对角基(X基):|+⟩ = (|0⟩+|1⟩)/√2 和 |−⟩ = (|0⟩−|1⟩)/√2(对应+45°/−45°极化)

Alice随机选择比特值(0或1)基矢(Z或X),将量子态发送给Bob。Bob则随机选择基矢进行测量。若两人基矢相同,Bob以确定结果收到该比特;若基矢不同,结果随机分布。测量完成后,双方通过公开频道比对基矢——仅保留基矢一致的事件用于生成密钥,这一步称为sifting(筛选)[1]

窃听必然暴露:量子力学的物理约束

BB84安全性的核心物理直觉是:若Eve尝试在量子信道中截取光子并测量,她面临一个根本困境——她事先不知道Alice选择的是哪组基矢。若Eve用错误基矢测量非正交态(如用Z基测量X基态|+⟩),测量结果将随机化,并以50%的概率在信道中引入错误[1]

这一物理约束是根本性的:它不依赖于Eve的计算能力,不依赖于数学难题的困难性假设——它是量子力学本身对信息操作的限制。

四态编码的维度论证

从信息论角度看,BB84的4个量子态(|0⟩, |1⟩, |+⟩, |−⟩)张成一个2维Hilbert空间,但它们无法被划分为两组互为正交对的最大纠缠集合。[1] 换言之,任意两个不同基矢的态都不是正交的(⟨0|+⟩ ≠ 0),这保证了Eve无法设计一个测量装置同时区分所有四态而不引入扰动。这一数学结构与物理不可克隆定理的结合,构成了BB84安全性的严格基础。

信息论安全:从Shor-Preskill证明说起

什么是”信息论安全”

传统密码学(如RSA)的安全性依赖于特定数学问题的计算困难性(如大整数分解)。量子计算机上的Shor算法能在多项式时间内分解大整数,这意味着RSA在量子时代将不再安全。[2]

信息论安全(information-theoretic security)则更彻底:它不依赖于计算复杂度假设,而是证明即便Eve拥有无限的计算能力(甚至拥有量子计算机),她从QKD密钥中能获取的信息量也任意接近于零。BB84协议在完美实现下正是信息论安全的。[3]

Shor-Preskill证明框架(2000)

2000年,Shor与Preskill在Physical Review Letters上发表了一篇里程碑论文,给出了BB84协议安全性的一种简洁而严格的证明。[3] 证明的核心思想是:

  • 将BB84协议等价为一个虚拟纠缠蒸馏协议(EDP):Alice和Bob首先生成并分享一对纠缠态,然后通过量子纠错操作提取高保真度的纠缠对,最后测量得到密钥
  • 这个虚拟EDP的安全性被严格归约为CSS码(Calderbank-Shor-Steane codes)的容错阈值问题
  • Shor-Preskill证明的关键定理:当量子信道错误率低于某个阈值(约11%)时,存在有效的量子纠错码可以使最终密钥完全免受Eve的窃听

这一证明框架将量子密码学的安全性与成熟的量子纠错码理论严格联系起来,宣告了BB84从物理直觉到数学证明的完整闭环。[3]

Decoy-state方法:突破单光子源瓶颈

理想BB84需要单光子源——每个脉冲恰好包含一个光子。但实际光源(弱相干脉冲)往往含有多光子脉冲,这给Eve提供了”光子数分离攻击”(photon-number-splitting attack)的可能。[4]

Decoy-state方法通过在传输中随机注入不同强度的光脉冲(”诱饵态”),统计不同强度脉冲的检测率差异,从而精确估计单光子事件的信道传输率,即便是多光子脉冲存在的情况下也能保证安全性。[4] 这一技术是现代QKD系统从理论走向实践的关键突破。

证明的”缺口”:理论与实践之间

然而,2025年Tupkary的综述[4]指出,当前的decoy-state BB84安全证明与实际系统之间仍存在系统性差距:

  • IID假设:大多数安全证明假设各次传输独立同分布,但实际QKD系统中存在时间相关噪声、偏振漂移等非理想因素
  • 有限长度效应:真实协议中用于参数估计的样本量有限,导致安全密钥率公式中的估计误差不可忽略
  • 认证abort处理:认证失败时的安全属性需要单独论证,而许多证明忽略这一点
  • 隐私放大的实际实现:通用哈希函数在有限长度下的实际提取效率与证明中使用的渐近公式存在偏差

这些”缺口”并不代表QKD不安全,而是意味着实用系统的安全性边界需要更精细的表征。

实用化之路:万公里级量子网络

中国量子通信网络(CN-QCN):万公里级骨干

2025年发表在NPJ Quantum Information的研究[5]系统披露了中国量子通信网络(CN-QCN)的部署详情,这是目前全球规模最大的量子密钥分发网络:

  • 新建145个光纤骨干节点、6个地面站骨干节点、20个城域网,覆盖17省80市
  • 与2017年完工的京沪干线(BSBN)(2032km,32节点)互联,光纤总里程超过12000公里
  • 平均节点间距约70km,平均链路衰减18.61dB
  • 节点间的”两横两纵”环形拓扑提供线路保护,提升网络抗毁性

结合2020年通过”墨子号”卫星建立的星地链路(4600km),中国已构建了星地一体化量子保密通信网络,覆盖范围从32cm实验室演示跨越至万公里级的实用化网络。[5]

全球量子网络部署图景

除中国外,多个国家和地区也在积极部署QKD网络:

  • 欧洲:OPENQKD项目(2019)→ EuroQCI(欧洲量子通信基础设施),西班牙MadQCI基于软件定义网络(SDN)架构部署(2024),柏林-马德里-波兹南实现跨城QKD互联测试(2024)[5]
  • 美国:DARPA三用户QKD网络(2003)
  • 日本:东京六节点网状QKD网络(2010)
  • 奥地利:SECOQC六节点网络(2008)

技术指标上,高性能QKD系统的安全密钥率已突破100 Mbps,传输距离从实验室的32cm演进到超过1000km(地面光纤)和4600km(星地)。[5]

量子随机数生成器(QRNG)

QKD协议的安全密钥生成需要真随机数——经典计算产生的伪随机数在量子时代存在根本性缺陷(算法可预测性)。量子随机数生成器(QRNG)利用量子过程的内禀随机性(如光子到达时间、路径选择等),可在GHz量级实时生成真随机比特。[6]

QRNG与QKD的结合,构成了”量子原生”的安全密钥生成体系:从随机种子到密钥分配的整个链条都嵌入量子物理的不可预测性。

后量子密码学:NIST的格密码标准

2024年8月13日:PQC标准正式发布

当量子密码学(QKD)依靠物理原理提供信息论安全时,后量子密码学(Post-Quantum Cryptography, PQC)走的是另一条路——用经典计算机和数学难题(特别是格问题的困难性)抵御量子计算攻击。[7]

NIST历经8年标准化周期,于2024年8月13日正式发布首批三个PQC标准:[7]

  • FIPS 203(ML-KEM,原CRYSTALS-Kyber):基于模格(module-lattice)的密钥封装机制(KEM),用于密钥交换。亚毫秒级密钥交换,密文约1.5KB,已在TLS、IPSec、5G核心网中广泛测试
  • FIPS 204(ML-DSA,原CRYSTALS-Dilithium):基于模格的数字签名算法(Module-Lattice Digital Signature Algorithm),为主流签名标准
  • FIPS 205(SLH-DSA,原SPHINCS+):基于无状态哈希的数字签名算法,提供多样化的签名选项

2025年,HQC(基于编码的KEM)被追加选入标准化流程,FALCON签名算法(FIPS 206)也在制定中。[7]

格密码的安全性依据

ML-KEM和ML-DSA的安全性均基于模格上的困难问题——最著名的是Learning With Errors(LWE)问题及其结构化版本Module-LWE。已知最快的量子算法(如Grover算法、Shor算法的格变体)对LWE的加速效果远不如对RSA/ECC的破坏力。[7]

但需要强调:PQC的”后量子安全”是计算复杂度意义上的——即在已知最优量子算法下,LWE等问题的求解仍需超多项式时间。这与QKD的”信息论安全”在性质上有根本区别。

两种路线的竞争与互补

QKD vs. PQC:本质不同的安全范式

QKD与PQC代表了两种截然不同的”量子安全”思路:

  • QKD:利用量子物理定律提供信息论安全,安全性不依赖计算假设,但需要专用硬件(光子源、单光子探测器),且面临距离限制(光纤中约每100km需要量子中继)和”可信中继”问题
  • PQC:基于数学困难问题,可在现有经典网络上部署(软件升级为主),但安全性是计算意义上的——若出现更好的量子算法,PQC标准需要再次更新

两者并非简单的替代关系。QKD适合极高安全需求场景(政府和军事通信、关键基础设施),而PQC凭借其部署便利性更可能在短期内成为企业和互联网基础设施的”量子安全门槛”。[5]

混合部署:双层安全架构

当前的实际趋势是混合方案:在同一通信会话中同时使用PQC加密和QKD密钥。例如在TLS握手中用PQC进行密钥交换,同时用QKD补充生成额外的密钥材料。[5]

这种双层架构的好处是,即便其中一层被攻破,整体安全性也不会降为零——这正是”深度防御”原则在量子时代的体现。

前沿与挑战

量子中继器:突破距离限制

QKD当前最大的实用瓶颈是传输距离——光纤中的光子以约0.2 dB/km的损耗衰减,每100km传输后信号强度降至约1%。与经典通信不同,QKD不能简单地使用光放大器(中继器),因为放大器会破坏量子态的不可克隆特性。[5]

量子中继器(Quantum Repeater)是解决方案:利用纠缠交换(entanglement swapping)和量子纠错,在不使用光子直接传输的情况下实现远距离纠缠分发。量子中继器的实用化是量子网络从”可信中继”走向真正”量子网络”的关键。

侧信道与设备无关QKD

实用QKD系统的另一重大挑战是侧信道攻击。2025-2026年的研究表明,包括同步和定时攻击在内的侧信道漏洞在现有QKD系统中可能被利用。[8] 这些攻击不针对量子协议本身,而是针对实现细节(如单光子探测器的时序特性、偏振控制器的响应曲线等)。

设备无关QKD(Device-Independent QKD, DI-QKD)是应对这一问题的理论方案:即使QKD设备存在未知的侧信道,协议依然安全。DI-QKD的安全性仅依赖Bell不等式违反的验证,不需要对设备行为做任何假设。[4] 但DI-QKD目前仍处于原理验证阶段,实验条件极为苛刻(需要极高的探测效率),距离实用化尚有距离。

安全证明的演进

从最初的Shor-Preskill证明(2000)到decoy-state方法的系统化(2005-2012),再到近年的entropy accumulation定理(EAT)和composable security框架,QKD安全证明的技术工具已相当成熟。[4] 但正如Tupkary的综述所强调的,证明技术的完备性工程实现的完备性之间仍有距离——这需要密码学家、安全工程师和实验物理学家的持续协作。

🔭 万象点评

量子密码学正站在一个历史性拐点:一边是万公里级量子网络的建成——中国CN-QCN+BSBN超过12000公里的光纤骨干和”墨子号”4600公里的星地链路,已将QKD从实验室推向了商业运营级别;另一边是NIST PQC标准的正式落地(2024年8月),格密码正式成为互联网基础设施”抗量子化”的过渡方案。

两者并非竞争关系,而是面向不同需求层次的互补体系。QKD提供物理层的信息论安全,代价是硬件依赖与距离约束;PQC提供软件可部署的计算复杂度安全,代价是”假设安全”而非”证明安全”。两者的混合部署将成为接下来5-10年”量子安全迁移”期的主流架构。

对普通用户而言,PQC的影响更为直接——你的浏览器、操作系统和云服务将在未来数年内陆续支持ML-KEM/Dilithium签名,你的TLS握手将自动升级为”量子安全”。而QKD的直接影响暂时集中在政府和金融等高安全需求场景。对于这一天的到来,保持审慎的乐观——科学上已经证明它可行,工程上还在解决”最后一公里”的问题。

class=”wx-meta”>
🟢 实验验证 · 📅 2026年3月 · ⏱ 阅读约12分钟

当量子计算机在公众视野中渐行渐近,一场关乎信息安全的根本性变革也在悄然展开——量子密码学(Quantum Cryptography)正从实验室走向万公里级的实用网络。本文从BB84协议的信息论安全证明出发,系统梳理量子密钥分发(QKD)的物理原理、实用化瓶颈与全球部署格局,同时探讨与之并行却本质迥异的后量子密码学(PQC)路线,并分析这场”量子安全竞赛”的未来走向。

📑 本文目录

BB84协议:量子密码的诞生

1984:一切的开始

1984年,IBM研究员Charles Bennett与蒙特利尔大学Gilles Brassard提出了人类历史上第一个量子密码协议——BB84。[1] 这篇仅数页的论文将量子力学的两条核心原理——不可克隆定理(no-cloning theorem)和非正交态不可区分——转化为一把”信息锁”的物理基础:任何试图窃听量子通信的行为,都必然在物理上留下可检测的痕迹。

协议的两套基矢与四态编码

BB84的名称源自协议的核心设计:Alice随机选择两组共四个量子态来编码比特信息。这两组基矢(basis)分别是:

  • 矩形基(Z基):|0⟩ 和 |1⟩(对应水平/垂直极化)
  • 对角基(X基):|+⟩ = (|0⟩+|1⟩)/√2 和 |−⟩ = (|0⟩−|1⟩)/√2(对应+45°/−45°极化)

Alice随机选择比特值(0或1)基矢(Z或X),将量子态发送给Bob。Bob则随机选择基矢进行测量。若两人基矢相同,Bob以确定结果收到该比特;若基矢不同,结果随机分布。测量完成后,双方通过公开频道比对基矢——仅保留基矢一致的事件用于生成密钥,这一步称为sifting(筛选)[1]

窃听必然暴露:量子力学的物理约束

BB84安全性的核心物理直觉是:若Eve尝试在量子信道中截取光子并测量,她面临一个根本困境——她事先不知道Alice选择的是哪组基矢。若Eve用错误基矢测量非正交态(如用Z基测量X基态|+⟩),测量结果将随机化,并以50%的概率在信道中引入错误[1]

这一物理约束是根本性的:它不依赖于Eve的计算能力,不依赖于数学难题的困难性假设——它是量子力学本身对信息操作的限制。

四态编码的维度论证

从信息论角度看,BB84的4个量子态(|0⟩, |1⟩, |+⟩, |−⟩)张成一个2维Hilbert空间,但它们无法被划分为两组互为正交对的最大纠缠集合。[1] 换言之,任意两个不同基矢的态都不是正交的(⟨0|+⟩ ≠ 0),这保证了Eve无法设计一个测量装置同时区分所有四态而不引入扰动。这一数学结构与物理不可克隆定理的结合,构成了BB84安全性的严格基础。

信息论安全:从Shor-Preskill证明说起

什么是”信息论安全”

传统密码学(如RSA)的安全性依赖于特定数学问题的计算困难性(如大整数分解)。量子计算机上的Shor算法能在多项式时间内分解大整数,这意味着RSA在量子时代将不再安全。[2]

信息论安全(information-theoretic security)则更彻底:它不依赖于计算复杂度假设,而是证明即便Eve拥有无限的计算能力(甚至拥有量子计算机),她从QKD密钥中能获取的信息量也任意接近于零。BB84协议在完美实现下正是信息论安全的。[3]

Shor-Preskill证明框架(2000)

2000年,Shor与Preskill在Physical Review Letters上发表了一篇里程碑论文,给出了BB84协议安全性的一种简洁而严格的证明。[3] 证明的核心思想是:

  • 将BB84协议等价为一个虚拟纠缠蒸馏协议(EDP):Alice和Bob首先生成并分享一对纠缠态,然后通过量子纠错操作提取高保真度的纠缠对,最后测量得到密钥
  • 这个虚拟EDP的安全性被严格归约为CSS码(Calderbank-Shor-Steane codes)的容错阈值问题
  • Shor-Preskill证明的关键定理:当量子信道错误率低于某个阈值(约11%)时,存在有效的量子纠错码可以使最终密钥完全免受Eve的窃听

这一证明框架将量子密码学的安全性与成熟的量子纠错码理论严格联系起来,宣告了BB84从物理直觉到数学证明的完整闭环。[3]

Decoy-state方法:突破单光子源瓶颈

理想BB84需要单光子源——每个脉冲恰好包含一个光子。但实际光源(弱相干脉冲)往往含有多光子脉冲,这给Eve提供了”光子数分离攻击”(photon-number-splitting attack)的可能。[4]

Decoy-state方法通过在传输中随机注入不同强度的光脉冲(”诱饵态”),统计不同强度脉冲的检测率差异,从而精确估计单光子事件的信道传输率,即便是多光子脉冲存在的情况下也能保证安全性。[4] 这一技术是现代QKD系统从理论走向实践的关键突破。

证明的”缺口”:理论与实践之间

然而,2025年Tupkary的综述[4]指出,当前的decoy-state BB84安全证明与实际系统之间仍存在系统性差距:

  • IID假设:大多数安全证明假设各次传输独立同分布,但实际QKD系统中存在时间相关噪声、偏振漂移等非理想因素
  • 有限长度效应:真实协议中用于参数估计的样本量有限,导致安全密钥率公式中的估计误差不可忽略
  • 认证abort处理:认证失败时的安全属性需要单独论证,而许多证明忽略这一点
  • 隐私放大的实际实现:通用哈希函数在有限长度下的实际提取效率与证明中使用的渐近公式存在偏差

这些”缺口”并不代表QKD不安全,而是意味着实用系统的安全性边界需要更精细的表征。

实用化之路:万公里级量子网络

中国量子通信网络(CN-QCN):万公里级骨干

2025年发表在NPJ Quantum Information的研究[5]系统披露了中国量子通信网络(CN-QCN)的部署详情,这是目前全球规模最大的量子密钥分发网络:

  • 新建145个光纤骨干节点、6个地面站骨干节点、20个城域网,覆盖17省80市
  • 与2017年完工的京沪干线(BSBN)(2032km,32节点)互联,光纤总里程超过12000公里
  • 平均节点间距约70km,平均链路衰减18.61dB
  • 节点间的”两横两纵”环形拓扑提供线路保护,提升网络抗毁性

结合2020年通过”墨子号”卫星建立的星地链路(4600km),中国已构建了星地一体化量子保密通信网络,覆盖范围从32cm实验室演示跨越至万公里级的实用化网络。[5]

全球量子网络部署图景

除中国外,多个国家和地区也在积极部署QKD网络:

  • 欧洲:OPENQKD项目(2019)→ EuroQCI(欧洲量子通信基础设施),西班牙MadQCI基于软件定义网络(SDN)架构部署(2024),柏林-马德里-波兹南实现跨城QKD互联测试(2024)[5]
  • 美国:DARPA三用户QKD网络(2003)
  • 日本:东京六节点网状QKD网络(2010)
  • 奥地利:SECOQC六节点网络(2008)

技术指标上,高性能QKD系统的安全密钥率已突破100 Mbps,传输距离从实验室的32cm演进到超过1000km(地面光纤)和4600km(星地)。[5]

量子随机数生成器(QRNG)

QKD协议的安全密钥生成需要真随机数——经典计算产生的伪随机数在量子时代存在根本性缺陷(算法可预测性)。量子随机数生成器(QRNG)利用量子过程的内禀随机性(如光子到达时间、路径选择等),可在GHz量级实时生成真随机比特。[6]

QRNG与QKD的结合,构成了”量子原生”的安全密钥生成体系:从随机种子到密钥分配的整个链条都嵌入量子物理的不可预测性。

后量子密码学:NIST的格密码标准

2024年8月13日:PQC标准正式发布

当量子密码学(QKD)依靠物理原理提供信息论安全时,后量子密码学(Post-Quantum Cryptography, PQC)走的是另一条路——用经典计算机和数学难题(特别是格问题的困难性)抵御量子计算攻击。[7]

NIST历经8年标准化周期,于2024年8月13日正式发布首批三个PQC标准:[7]

  • FIPS 203(ML-KEM,原CRYSTALS-Kyber):基于模格(module-lattice)的密钥封装机制(KEM),用于密钥交换。亚毫秒级密钥交换,密文约1.5KB,已在TLS、IPSec、5G核心网中广泛测试
  • FIPS 204(ML-DSA,原CRYSTALS-Dilithium):基于模格的数字签名算法(Module-Lattice Digital Signature Algorithm),为主流签名标准
  • FIPS 205(SLH-DSA,原SPHINCS+):基于无状态哈希的数字签名算法,提供多样化的签名选项

2025年,HQC(基于编码的KEM)被追加选入标准化流程,FALCON签名算法(FIPS 206)也在制定中。[7]

格密码的安全性依据

ML-KEM和ML-DSA的安全性均基于模格上的困难问题——最著名的是Learning With Errors(LWE)问题及其结构化版本Module-LWE。已知最快的量子算法(如Grover算法、Shor算法的格变体)对LWE的加速效果远不如对RSA/ECC的破坏力。[7]

但需要强调:PQC的”后量子安全”是计算复杂度意义上的——即在已知最优量子算法下,LWE等问题的求解仍需超多项式时间。这与QKD的”信息论安全”在性质上有根本区别。

两种路线的竞争与互补

QKD vs. PQC:本质不同的安全范式

QKD与PQC代表了两种截然不同的”量子安全”思路:

  • QKD:利用量子物理定律提供信息论安全,安全性不依赖计算假设,但需要专用硬件(光子源、单光子探测器),且面临距离限制(光纤中约每100km需要量子中继)和”可信中继”问题
  • PQC:基于数学困难问题,可在现有经典网络上部署(软件升级为主),但安全性是计算意义上的——若出现更好的量子算法,PQC标准需要再次更新

两者并非简单的替代关系。QKD适合极高安全需求场景(政府和军事通信、关键基础设施),而PQC凭借其部署便利性更可能在短期内成为企业和互联网基础设施的”量子安全门槛”。[5]

混合部署:双层安全架构

当前的实际趋势是混合方案:在同一通信会话中同时使用PQC加密和QKD密钥。例如在TLS握手中用PQC进行密钥交换,同时用QKD补充生成额外的密钥材料。[5]

这种双层架构的好处是,即便其中一层被攻破,整体安全性也不会降为零——这正是”深度防御”原则在量子时代的体现。

前沿与挑战

量子中继器:突破距离限制

QKD当前最大的实用瓶颈是传输距离——光纤中的光子以约0.2 dB/km的损耗衰减,每100km传输后信号强度降至约1%。与经典通信不同,QKD不能简单地使用光放大器(中继器),因为放大器会破坏量子态的不可克隆特性。[5]

量子中继器(Quantum Repeater)是解决方案:利用纠缠交换(entanglement swapping)和量子纠错,在不使用光子直接传输的情况下实现远距离纠缠分发。量子中继器的实用化是量子网络从”可信中继”走向真正”量子网络”的关键。

侧信道与设备无关QKD

实用QKD系统的另一重大挑战是侧信道攻击。2025-2026年的研究表明,包括同步和定时攻击在内的侧信道漏洞在现有QKD系统中可能被利用。[8] 这些攻击不针对量子协议本身,而是针对实现细节(如单光子探测器的时序特性、偏振控制器的响应曲线等)。

设备无关QKD(Device-Independent QKD, DI-QKD)是应对这一问题的理论方案:即使QKD设备存在未知的侧信道,协议依然安全。DI-QKD的安全性仅依赖Bell不等式违反的验证,不需要对设备行为做任何假设。[4] 但DI-QKD目前仍处于原理验证阶段,实验条件极为苛刻(需要极高的探测效率),距离实用化尚有距离。

安全证明的演进

从最初的Shor-Preskill证明(2000)到decoy-state方法的系统化(2005-2012),再到近年的entropy accumulation定理(EAT)和composable security框架,QKD安全证明的技术工具已相当成熟。[4] 但正如Tupkary的综述所强调的,证明技术的完备性工程实现的完备性之间仍有距离——这需要密码学家、安全工程师和实验物理学家的持续协作。

🔭 万象点评

量子密码学正站在一个历史性拐点:一边是万公里级量子网络的建成——中国CN-QCN+BSBN超过12000公里的光纤骨干和”墨子号”4600公里的星地链路,已将QKD从实验室推向了商业运营级别;另一边是NIST PQC标准的正式落地(2024年8月),格密码正式成为互联网基础设施”抗量子化”的过渡方案。

两者并非竞争关系,而是面向不同需求层次的互补体系。QKD提供物理层的信息论安全,代价是硬件依赖与距离约束;PQC提供软件可部署的计算复杂度安全,代价是”假设安全”而非”证明安全”。两者的混合部署将成为接下来5-10年”量子安全迁移”期的主流架构。

对普通用户而言,PQC的影响更为直接——你的浏览器、操作系统和云服务将在未来数年内陆续支持ML-KEM/Dilithium签名,你的TLS握手将自动升级为”量子安全”。而QKD的直接影响暂时集中在政府和金融等高安全需求场景。对于这一天的到来,保持审慎的乐观——科学上已经证明它可行,工程上还在解决”最后一公里”的问题。

📚 参考文献