Квантовая криптография: QKD

2024 год. NIST выпускает первые постквантовые стандарты. Google Chrome по умолчанию включает гибридный TLS с ML-KEM. Причина: квантовые компьютеры через 5-15 лет могут сломать RSA и ECDH. Данные, собранные спецслужбами сегодня, будут расшифрованы завтра - если не перейти на PQC прямо сейчас.

• **China Micius satellite (2017)**: первый межконтинентальный QKD на 1200 км. Ключи для AES-128. QBER=8.1%. Доказательство принципа для государственных коммуникаций
• **NIST PQC (2024)**: CRYSTALS-Kyber → ML-KEM (key exchange), CRYSTALS-Dilithium → ML-DSA (signatures). Cloudflare и Google Chrome включили по умолчанию в TLS 1.3
• **ID Quantique (Geneva)**: коммерческие QKD-системы для банков и правительств. Используются Swiss Federal Railways, Korean telecommunications, Geneva state elections

BB84: первый квантовый протокол обмена ключами

1984 год. Беннет и Брассар публикуют BB84 - первый квантовый протокол распределения ключей. Идея: измерение квантового состояния необратимо его меняет. Перехватчик (Ева) не может скопировать квантовый бит, не нарушив его. Это не математическое допущение - это физический закон (no-cloning theorem).

Протокол: Алиса отправляет фотоны в случайных поляризациях (горизонтальная, вертикальная, диагональная, антидиагональная). Боб измеряет в случайных базисах. После обмена они публично сравнивают базисы (не биты) и оставляют только совпадения. Статистика ошибок выявляет перехват.

Связь с ML: adversarial attacks на нейросети - это попытка изменить данные незаметно. BB84 даёт информационно-теоретическую гарантию: любое подслушивание вносит статистически обнаруживаемые ошибки. Это принципиально сильнее, чем вычислительная безопасность RSA (которую квантовый компьютер сломает алгоритмом Шора).

E91: запутанность как канал распределения ключей

1991 год. Экерт предлагает E91 - протокол на основе квантовой запутанности. Источник генерирует пары запутанных фотонов, по одному Алисе и Бобу. Измерение одного фотона мгновенно определяет состояние второго (при совпадении базисов). Корреляции нарушают неравенства Белла - доказательство отсутствия перехвата.

Ключевое отличие от BB84: источник запутанных пар не должен доверяться. Неравенства Белла проверяют, что корреляции квантовые, а не классические (скрытые переменные). Если Ева владеет источником и пытается подменить пары - статистика нарушений Белла меняется. E91 - протокол с device-independent security.

Реализация: China's Micius satellite (2017) - первый демонстрация E91-подобного QKD между двумя наземными станциями на расстоянии 1200 км через спутник. Ключ распределён за 275 секунд. Это первый межконтинентальный квантовый канал связи. Ошибка QBER = 8.1%, ниже порога безопасности 11%.

QKD на практике: реализации и ограничения

QKD в production: Toshiba, ID Quantique, Huawei производят коммерческие QKD-устройства. Работают через оптоволокно до 100-300 км (затухание фотонов). Для больших расстояний - квантовые репитеры (в разработке) или спутниковый канал (Micius). Скорость ключевого материала: 1-100 кбит/с - достаточно для симметричного шифрования AES-256.

Постквантовая криптография: NIST PQC и CRYSTALS

2024 год. NIST публикует первые постквантовые стандарты: CRYSTALS-Kyber (ML-KEM) для key encapsulation, CRYSTALS-Dilithium (ML-DSA) для подписей. Оба основаны на задаче Learning With Errors (LWE) в решётках - против неё нет эффективного квантового алгоритма. Это не QKD - это классическая криптография, устойчивая к атакам квантовых компьютеров.

Harvest now, decrypt later: спецслужбы собирают зашифрованный трафик сейчас, рассчитывая расшифровать когда появится крупномасштабный квантовый компьютер (5-15 лет). TLS 1.3 уже поддерживает гибридный режим: ECDH + ML-KEM. Google Chrome и Cloudflare включили по умолчанию. Миграция на PQC - не опциональна для долгосрочных секретов.

QKD vs PQC - не конкуренты, а комплементы. QKD: физическая гарантия безопасности, требует квантовый канал, дорого, ограничено расстоянием. PQC: математическая гарантия (вычислительная), работает по обычному интернету, масштабируется. Для большинства приложений - PQC. Для государственных каналов высшей секретности - QKD + PQC.

Связанные темы

Квантовая криптография соединяет физику и информационную безопасность:

• Квантовая коррекция ошибок — QKD требует error reconciliation и privacy amplification - принципы из QEC
• Квантовое оборудование — Физическая реализация QKD: одиночные фотонные источники и детекторы
• Квантовые приложения — QKD - одно из ближайших к коммерциализации квантовых применений

Ключевые идеи

• **BB84**: no-cloning theorem делает копирование кванта невозможным. QBER > 11% = обнаружение Евы. Информационно-теоретическая безопасность.
• **E91**: запутанность + неравенства Белла. Device-independent security - источник не требует доверия. Micius: 1200 км через спутник.
• **QKD ограничения**: 100-300 км по волокну, 1-100 кбит/с ключевого материала, дорого. Для key exchange, не для данных.
• **PQC (NIST 2024)**: CRYSTALS-Kyber (ML-KEM) + Dilithium (ML-DSA). Классические алгоритмы на решётках. Уже в Chrome и Cloudflare.
• **Harvest now, decrypt later**: данные собираются сегодня. Долгосрочные секреты нужно защищать PQC уже сейчас.

Вопросы для размышления

• BB84 безопасен при QBER < 11%. Что делать если канал шумный и QBER = 9% даже без перехватчика?
• PQC алгоритмы на решётках в 5-10 раз медленнее ECDH. Как это влияет на TLS handshake в high-load сервисах?
• Harvest now, decrypt later: какие данные вашей системы имеют долгосрочную ценность > 10 лет и нуждаются в срочной миграции на PQC?

Связанные уроки

• qc-12 — Квантовая коррекция ошибок нужна для надёжных QKD-каналов
• qc-16 — Квантовое оборудование реализует QKD на физическом уровне
• qc-14 — QML и QKD - применения квантовых технологий в прикладных задачах
• net-23-https-tls — TLS - классический аналог: key exchange + симметричное шифрование
• qc-17 — QKD - одно из ближайших к производству квантовых применений
• crypto-01-intro