Jaka jest zasadnicza różnica między QKD a kryptografią post-kwantową?

Kryptografia post-kwantowa (PQC) zastępuje matematycznie trudne problemy, które komputery kwantowe mogą rozwiązać — rozkład na czynniki całkowite, logarytmy dyskretne — problemami uważanymi za trudne nawet dla komputerów kwantowych, takimi jak problemy kratowe (ML-KEM) lub kolizje skrótów (SLH-DSA). Jej bezpieczeństwo ma charakter obliczeniowy: zakłada, że przeciwnik nie jest w stanie wykonać określonych obliczeń w praktycznym czasie. QKD natomiast czerpie swoje bezpieczeństwo z samej mechaniki kwantowej — konkretnie z twierdzenia o zakazie klonowania i zakłóceń wywoływanych przez pomiar stanu kwantowego. Każdy podsłuchujący, który próbuje przechwycić fotony na kanale QKD, nieuchronnie zaburza stany kwantowe i wprowadza wykrywalne błędy. QKD zapewnia bezpieczeństwo informacyjno-teoretyczne wobec przeciwnika o nieograniczonej mocy obliczeniowej, w tym przyszłych komputerów kwantowych. PQC jest znacznie łatwiejsza do wdrożenia na dużą skalę i nie wymaga specjalistycznego sprzętu fotonicznego; QKD zapewnia kategorycznie silniejszą gwarancję bezpieczeństwa kosztem wymagań dotyczących kanału fizycznego i ograniczonego zasięgu.

Dlaczego wolnoprzestrzenny QKD jest szczególnie istotny dla taktycznych sieci wojskowych?

Taktyczne sieci wojskowe często działają w środowiskach, gdzie układanie nowego światłowodu jest operacyjnie niepraktyczne — w bazach operacyjnych, mobilnych punktach dowodzenia, łączach statek–brzeg i jednostkach lotniczych. Wolnoprzestrzenny QKD przesyła pojedyncze fotony przez atmosferę za pomocą skolimowanej optyki laserowej, wymagając jedynie linii wzroku między terminalami Alice i Bob, a nie ciągłej ścieżki światłowodowej. Naziemny wolnoprzestrzenny QKD zademonstrowano na odległościach do ok. 1 km w ciągu dnia z filtrami odrzucania tła i kilkudziesięciu kilometrów w nocy lub za pomocą przekaźnika lotniczego. Węzły przekaźnikowe QKD montowane na dronach rozszerzają zasięg, działając jako zaufane węzły na wysokości, gdzie turbulencje atmosferyczne są mniejsze, a zasięg linii wzroku znacznie większy. Przenośność terminali wolnoprzestrzennych — wystarczająco kompaktowych do montażu na pojeździe lub trójnogu — sprawia, że są one bardziej operacyjnie wykonalne do zastosowań taktycznych niż stała infrastruktura światłowodowa.

Czym jest zaufany węzeł w QKD i jakie ma implikacje dla bezpieczeństwa?

Zaufany węzeł to pośredni punkt przekaźnikowy QKD, który kończy kanał kwantowy z jednego segmentu i inicjuje nowy kanał kwantowy do następnego. Ponieważ pojedynczych fotonów nie można wzmacniać bez zniszczenia ich stanu kwantowego (twierdzenie o zakazie klonowania), łącza QKD mają ograniczony zasięg — ok. 100–150 km przez światłowód o niskich stratach, mniej dla ścieżek wolnoprzestrzennych. Zaufane węzły rozszerzają sieć poprzez odszyfrowanie materiału kluczowego w przekaźniku, ponowne zaszyfrowanie go klasycznie do przechowywania, a następnie użycie wychodzącego łącza QKD przekaźnika do przesłania materiału kluczowego dalej. Kluczowa implikacja bezpieczeństwa polega na tym, że zaufany węzeł przechowuje materiał kluczowy w postaci jawnej: jeśli zaufany węzeł zostanie skompromitowany, atakujący uzyskuje klucze do wszystkich sesji QKD przez niego przechodzących. Zaufane węzły są 'zaufane' jedynie w sensie organizacyjnym — nie są przekaźnikami kwantowo bezpiecznymi. Wdrożenia obronne muszą fizycznie zabezpieczać zaufane węzły według tych samych standardów co sprzęt do zarządzania kluczami (KMH), stosować kontrole separacji obowiązków w dostępie do węzłów i projektować topologię sieci minimalizującą liczbę przeskoków przez zaufane węzły między najbardziej wrażliwymi punktami końcowymi.

Jak QKD integruje się z CNSA 2.0 i wymaganiami NSA dla systemów bezpieczeństwa narodowego?

Dyrektywa CNSA 2.0 NSA (wrzesień 2022) nakazuje stosowanie konkretnych algorytmów post-kwantowych — ML-KEM-1024, ML-DSA, AES-256 — dla systemów bezpieczeństwa narodowego i nie nakazuje aktualnie stosowania QKD. NSA stwierdziła, że sam QKD nie jest wystarczający do ochrony ruchu NSS i że post-kwantowe algorytmy kryptograficzne są wymaganym podstawowym środkiem zaradczym. Jednak CNSA 2.0 nie jest sprzeczna z QKD: oba podejścia są komplementarne. QKD może generować wysokoentropowy materiał kluczowy zasilający zgodne z CNSA 2.0 szyfrowanie symetryczne (AES-256), zapewniając dodatkową warstwę tajności kluczy poza tym, co zapewniają mechanizmy kapsułkowania kluczy post-kwantowych. Zalecana postawa dla NSS to wdrożenie algorytmów CNSA 2.0 jako wymaganego przez politykę punktu odniesienia i dodanie QKD jako dodatkowego źródła materiału kluczowego dla łączy o najwyższej wrażliwości, gdzie gwarancja bezpieczeństwa oparta na fizyce uzasadnia koszt wdrożenia. Autorytatywne stanowisko zawiera dokument NSA dotyczący QKD (CSA-U-OO-800069-21).

Kwantowa dystrybucja kluczy dla taktycznych łączności wojskowej

Q: Jakie realistyczne ograniczenia wdrożeniowe uniemożliwiają dziś powszechne taktyczne wdrożenie QKD?

Kilka twardych ograniczeń fizycznych i inżynieryjnych ogranicza bliskie perspektywicznie taktyczne wdrożenie QKD. Zasięg jest najbardziej fundamentalny: obecne łącza QKD na światłowodzie są praktyczne do ok. 100 km bez zaufanych węzłów przekaźnikowych; łącza wolnoprzestrzenne są ograniczone do kilku kilometrów na poziomie gruntu w ciągu dnia. Kwantowe repetytory — urządzenia rozszerzające zasięg QKD bez kompromisów bezpieczeństwa zaufanych węzłów — pozostają technologią na etapie badań, a nie gotowym produktem. Wymagania linii wzroku dla wolnoprzestrzennego QKD są absolutne: teren, konstrukcje i ruch pojazdów przerywają łącze. Warunki atmosferyczne, w tym deszcz, mgła i pył, tłumią wolnoprzestrzenne ścieżki fotonów, zmniejszając szybkość generowania kluczy lub przerywając łącza całkowicie. Szybkość generowania kluczy to kolejne ograniczenie: obecne komercyjne systemy QKD generują symetryczny materiał kluczowy z szybkościami od kilobitów na sekundę do niskich megabitów na sekundę — wystarczające do seedowania kluczy i komunikacji OTP, ale niewystarczające do bezpośredniej ochrony wysokoprzepustowych strumieni wideo ISR. Wreszcie sam sprzęt — źródła pojedynczych fotonów, detektory lawinowe pojedynczych fotonów (SPAD) i optyka zachowująca polaryzację — jest drogi, delikatny i jeszcze nie zminiaturyzowany do użytku przez piechura. Realistyczne powszechne taktyczne wdrożenie to horyzont 10–15 lat; bliskie perspektywicznie wdrożenie jest wiarygodne dla stałych lub półstałych łączy strategicznych.

Kryptografia post-kwantowa zastępuje klasyczne algorytmy wymiany kluczy matematycznie trudniejszymi problemami. Kwantowa dystrybucja kluczy robi coś kategorycznie innego: całkowicie usuwa założenie obliczeniowe. QKD dystrybuuje kryptograficzny materiał kluczowy przez kanał kwantowy — zazwyczaj światłowód lub wolnoprzestrzenną ścieżkę optyczną przenoszącą pojedyncze fotony — w sposób, który jest wykrywalny z matematyczną pewnością, jeśli przeciwnik go przechwyci. Gwarancja bezpieczeństwa pochodzi z mechaniki kwantowej, a nie z domniemanej trudności problemu matematycznego. Dla planistów wojskowych i oficerów INFOSEC stojących wobec modelu zagrożeń harvest-now-decrypt-later (HNDL) to rozróżnienie ma znaczenie. Algorytmy post-kwantowe zapewniają bezpieczeństwo obliczeniowe wobec przyszłych komputerów kwantowych; QKD zapewnia bezpieczeństwo informacyjno-teoretyczne wobec każdego przeciwnika, niezależnie od zasobów obliczeniowych.

Ten artykuł omawia fizykę i protokoły stojące za QKD, jego porównanie i uzupełnianie kryptografii post-kwantowej w zastosowaniach obronnych, specyficzne wyzwania inżynieryjne wdrożenia QKD w środowiskach taktycznych oraz realistyczną ocenę, gdzie QKD pasuje do architektury wojskowych systemów łączności dziś i w ciągu najbliższej dekady.

Podstawy QKD: BB84 i E91

Dwa fundamentalne protokoły QKD, które stanowią podstawę niemal wszystkich wdrożonych systemów, to BB84 i E91. Zrozumienie ich mechaniki jest niezbędne do oceny twierdzeń dostawców i ograniczeń wdrożeniowych.

BB84

Protokół BB84, opublikowany przez Charlesa Bennetta i Gillesa Brassarda w 1984 roku, stanowi podstawę większości komercyjnego sprzętu QKD. Alice (nadawca) koduje losowe klasyczne bity na pojedynczych fotonach, wybierając jedną z dwóch sprzężonych baz polaryzacji — prostokątną ({|0⟩, |1⟩}) i ukośną ({|+⟩, |-⟩}) — i kodując wartość bitu jako stan polaryzacji w wybranej bazie. Bob (odbiornik) niezależnie i losowo wybiera bazę pomiaru dla każdego fotonu. Gdy wybrana przez Boba baza zgadza się z bazą kodowania Alice, wynik pomiaru jest deterministyczny i odpowiada bitowi Alice. Gdy bazy się różnią, wynik Boba jest losowy i bit jest odrzucany. Po transmisji Alice i Bob wymieniają swoje wybory baz (ale nie wyniki pomiarów) przez publiczny uwierzytelniony kanał klasyczny i zachowują tylko bity, w których ich bazy zgadzały się — klucz przesiany. Klucz przesiany jest następnie poddawany korekcji błędów i wzmocnieniu prywatności, aby uzyskać ostateczny, weryfikowalny wspólny sekret.

Bezpieczeństwo BB84 opiera się na twierdzeniu o zakazie klonowania: stanu kwantowego nie można skopiować bez jego zaburzenia. Każdy podsłuchujący (Eve), który przechwytuje fotony na kanale kwantowym, musi je zmierzyć, nieuchronnie zawijając stan kwantowy przed retransmisją. To zaburzenie wprowadza błędy w pomiarach Boba, które Alice i Bob mogą wykryć, porównując losową próbkę bitów przesianego klucza. Kwantowa stopa błędów bitowych (QBER) — ułamek przesianych bitów, które się nie zgadzają — jest głównym wskaźnikiem bezpieczeństwa: QBER powyżej ok. 11% (próg bezpieczeństwa BB84) wskazuje, że mogło dojść do podsłuchu i klucz musi zostać odrzucony.

E91

Protokół E91, zaproponowany przez Artura Ekerta w 1991 roku, wykorzystuje splątane pary fotonów zamiast przygotowanych stanów. Źródło emituje pary splątanych fotonów — jeden do Alice, jeden do Boba. Alice i Bob niezależnie mierzą swoje fotony w losowo wybranych bazach. Korelacje między wynikami ich pomiarów — testowane poprzez naruszenia nierówności Bella — certyfikują zarówno wspólny klucz, jak i brak podsłuchu. E91 jest niezależny od urządzeń co do zasady: bezpieczeństwo można certyfikować bez pełnego zaufania do urządzeń pomiarowych, co jest istotną zaletą dla zastosowań wojskowych wysokiego zaufania, gdzie integralność łańcucha dostaw sprzętu QKD budzi obawy. W praktyce w pełni niezależny od urządzeń QKD pozostaje eksperymentalnie wymagający; obecne komercyjne systemy rodziny E91 są semi-niezależne od urządzeń, oferując silniejsze założenia bezpieczeństwa niż przygotuj-i-mierz BB84 kosztem niższych szybkości generowania kluczy i bardziej wymagającej inżynierii optycznej.

QKD kontra kryptografia post-kwantowa: dlaczego obydwa mają znaczenie

Częstym nieporozumieniem w zamówieniach obronnych jest traktowanie QKD i kryptografii post-kwantowej jako alternatyw konkurujących o tę samą rolę. Tak nie jest. Adresują one zagrożenie kwantowe na różnych warstwach i z różnymi założeniami bezpieczeństwa.

Kryptografia post-kwantowa — konkretnie algorytmy nakazane przez CNSA 2.0: ML-KEM-1024 do ustanawiania kluczy i ML-DSA do podpisów — zapewnia bezpieczeństwo obliczeniowe. Jej bezpieczeństwo zachowuje się, jeśli bazowy problem matematyczny (Module Learning With Errors dla ML-KEM) jest trudny dla komputerów kwantowych. Założenie to jest dobrze uzasadnione: wieloletni proces standaryzacji NIST poddał te algorytmy obszernej kryptoanalizie i nie jest znany żaden algorytm kwantowy czasu wielomianowego dla MLWE. Jednak bezpieczeństwo obliczeniowe to gwarancja warunkowa: zachowuje się, chyba że pojawią się nowe techniki kryptoanalityczne. Historia sugeruje, że algorytmy kryptograficzne są od czasu do czasu łamane przez postępy w matematyce; algorytmy PQC są wystarczająco nowe, że ryzyko to, choć możliwe do zarządzania, nie jest zerowe.

QKD zapewnia bezpieczeństwo bezwarunkowe — bezpieczeństwo zachowujące się nawet wobec przeciwnika o nieograniczonej mocy obliczeniowej, w tym teoretycznego komputera kwantowego o dowolnej wielkości. Dowód bezpieczeństwa wymaga jedynie, że mechanika kwantowa jest poprawna i że uwierzytelniony kanał klasyczny używany do post-processingu nie może być sfałszowany. Dla zastosowań wojskowych najwyższego zaufania — strategicznych łączy dowodzenia, dowodzenia i kontroli sił nuklearnych, ochrony źródeł wywiadowczych — ta kategoryczna różnica w poziomie bezpieczeństwa uzasadnia koszty inżynieryjne i ograniczenia fizyczne wdrożenia QKD.

Zalecana postawa to warstwowa: wdrożenie post-kwantowych algorytmów CNSA 2.0 jako wymaganego przez politykę NSS punktu odniesienia i dodanie QKD jako dodatkowego źródła materiału kluczowego dla łączy o najwyższej wrażliwości. Szczegóły implementacji warstwy algorytmicznej znajdziesz w naszym artykule o kryptografii post-kwantowej dla obronności: przewodnik CNSA 2.0.

QKD światłowodowy kontra wolnoprzestrzenny w zastosowaniach taktycznych

QKD może być dostarczany przez dwa typy kanałów fizycznych, każdy z odrębnymi implikacjami taktycznymi.

QKD światłowodowy

QKD światłowodowy przesyła fotony przez standardowy jednomodowy światłowód, zazwyczaj na długościach fal telekomunikacyjnych (1310 nm lub 1550 nm), gdzie tłumienność światłowodu jest najniższa. Wdrożone systemy osiągają bezpieczne generowanie kluczy na odległościach do ok. 100–150 km przy użyciu obecnych źródeł pojedynczych fotonów i nadprzewodzących nanodrutowych detektorów pojedynczych fotonów (SNSPD) po stronie odbiornika. Poza tym zasięgiem utrata fotonów degraduje stosunek sygnału do szumu poniżej progu bezpiecznej ekstrakcji kluczy. Szybkości generowania kluczy QKD na krótkich odległościach (poniżej 20 km) mogą osiągać kilka megabitów na sekundę na obecnym sprzęcie komercyjnym. Na 100 km szybkości spadają do kilobitów na sekundę.

Do taktycznego użytku wojskowego QKD światłowodowy jest wykonalne na stałych lub półstałych łączach: połączeniach kwatera główna–kwatera główna, łączach między punktem dowodzenia a statycznym elementem wysuniętym lub połączeniach centrum danych w obrębie chronionego obiektu. Nie jest wykonalny dla łączy wymagających fizycznego przesunięcia jednego punktu końcowego — światłowód musi podążać. Wymaganie dedykowanego ciemnego włókna (lub co najmniej kanału z podziałem długości fali na istniejącym światłowodzie, z ostrożną izolacją kanałów klasyczno-kwantowych, aby zapobiec degradacji kanału kwantowego przez szum Ramana) ogranicza wdrożenie do środowisk z istniejącą infrastrukturą światłowodową lub zasobami inżynieryjnymi do jej instalacji.

Wolnoprzestrzenny QKD

Wolnoprzestrzenny QKD przesyła fotony przez atmosferę za pomocą skolimowanych wiązek optycznych, wymagając linii wzroku między terminalami Alice i Bob. Kompaktowe terminale nadające się do montażu na pojeździe lub trójnogu zostały zademonstrowane w środowiskach zbliżonych do operacyjnych. Naziemne łącza wolnoprzestrzenne są ograniczone przez kilka czynników: turbulencje atmosferyczne powodują wędrowanie wiązki i zmniejszają stosunek sygnału do szumu; szum fotonów tła (światło dzienne) wymaga ścisłego filtrowania spektralnego i czasowego, aby odizolować pojedyncze fotony od światła otoczenia; pogoda — deszcz, mgła, pył i dym — znacznie tłumi ścieżkę fotonów, zmniejszając szybkość generowania kluczy lub przerywając łącze całkowicie. Maksymalne praktyczne naziemne wolnoprzestrzenne odległości QKD wynoszą zazwyczaj poniżej 1 km w ciągu dnia przy obecnym sprzęcie, wydłużając się do kilku kilometrów w nocy lub w warunkach niskich turbulencji.

Lotnicze i satelitarne wolnoprzestrzenne QKD znacznie rozszerzają zasięg. Satelita Micius zaprezentował QKD na odległościach międzykontynentalnych przez przestrzeń kosmiczną. Scenariusze istotne militarnie obejmują terminale przekaźnikowe QKD montowane na dronach zapewniające rozszerzenie zaufanych węzłów na wysokości, gdzie turbulencje są mniejsze, a zasięg linii wzroku znacznie większy. UAV na wysokości 500 m może utrzymywać wolnoprzestrzenne łącza optyczne z naziemnymi terminalami na odległościach 5–15 km w zależności od warunków atmosferycznych — znaczna poprawa w stosunku do geometrii naziemnej i operacyjnie użyteczna do rozszerzenia zasięgu QKD między punktem dowodzenia a elementem wysuniętym.

QRNG: kwantowe generatory liczb losowych do seedowania kluczy

Kwantowe generatory liczb losowych oferują punkt wejścia o niższej barierze do opartych na fizyce kwantowej ulepszeń kryptograficznych, który nie wymaga optyki wolnoprzestrzennej ani infrastruktury światłowodowej. QRNG generuje prawdziwie losowe liczby z wewnętrznie kwantowego procesu — drgania czasów przybycia fotonów, próbkowania fluktuacji próżni lub podobnych — zamiast z deterministycznego algorytmu matematycznego zasilanego entropią środowiskową (która jest architekturą większości konstrukcji PRNG i DRBG w eksploatowanym sprzęcie).

Znaczenie dla bezpieczeństwa jest subtelne, ale realne. Algorytmy post-kwantowe, takie jak ML-KEM, opierają się na wysokiej jakości losowości do generowania kluczy: generowanie par kluczy ML-KEM używa losowego ziarna, a operacja enkapsulacji generuje losową wiadomość. Jeśli generator liczb losowych ma ukrytą strukturę — słabość w konstrukcji DRBG, błąd implementacji lub celowe backdoor — bezpieczeństwo algorytmu post-kwantowego jest zdegradowane niezależnie od matematycznej trudności bazowego problemu. Wyjście QRNG nie ma struktury matematycznej, która mogłaby być wykorzystana; losowość jest certyfikowana przez fizykę kwantową, a nie przez jakość implementacji algorytmu programowego.

Kilku dostawców oferuje moduły QRNG PCIe i USB certyfikowane do FIPS 140-3 Poziomu 2 i AIS 31 klasy P2. Urządzenia te generują losowe strumienie bitów z szybkościami 1–4 Gbps, znacznie przekraczającymi szybkość zużycia dowolnego procesu generowania kluczy. Zastąpienie źródła seed DRBG w infrastrukturze zarządzania kluczami modułem QRNG jest operacyjnie proste, nie ma ograniczeń zasięgu ani linii wzroku i zapewnia mierzalną poprawę jakości entropii każdego klucza kryptograficznego generowanego downstream.

Architektura zaufanych węzłów dla rozszerzonego zasięgu

Ograniczenia zasięgu zarówno światłowodowego, jak i wolnoprzestrzennego QKD wymagają architektury zaufanych węzłów dla każdej sieci rozciągającej się poza jedno łącze QKD. Zaufany węzeł kończy przychodzący kanał kwantowy, przechowuje materiał kluczowy w postaci klasycznej i inicjuje nowy kanał kwantowy w segmencie wychodzącym. End-to-end dystrybucja kluczy przez wiele przeskoków wymaga, aby każdy zaufany węzeł ponownie zaszyfrował i przekazał materiał kluczowy, przy czym szyfrowanie klasyczne chroni klucze będące w tranzycie między węzłami.

Implikacja bezpieczeństwa jest krytyczna: zaufany węzeł przechowuje materiał kluczowy w postaci jawnej dla wszystkich sesji QKD przez niego przechodzących. Skompromitowany zaufany węzeł łamie gwarancję bezpieczeństwa informacyjno-teoretycznego dla każdej relacjonowanej przez niego sesji. Zaufane węzły muszą zatem być fizycznie zabezpieczone według standardów sprzętu do zarządzania kluczami — obudowy odporne na manipulacje, wykrywanie włamań, kontrole separacji obowiązków w dostępie i zweryfikowana możliwość zniszczenia jeśli węzeł grozi przejęciem. W kontekście taktycznym zaufany węzeł w punkcie dowodzenia, który mógłby zostać zajęty, wymaga takiego samego planowania zniszczenia jak urządzenie do wypełniania kluczy zatwierdzone przez NSA.

Projekt topologii sieci powinien minimalizować liczbę przeskoków przez zaufane węzły między parami najważniejszych punktów końcowych. Bezpośrednie łącze QKD między dwoma krytycznymi węzłami — zero zaufanych węzłów — zapewnia pełne bezpieczeństwo informacyjno-teoretyczne. Jeden zaufany węzeł wprowadza jeden punkt kompromitacji. Każdy dodatkowy przeskok zwiększa powierzchnię ataku. Projektowanie sieci tak, aby łącza o najwyższym priorytecie miały najmniej przeskoków przez zaufane węzły, jest główną decyzją inżynieryjną topologii QKD.

Kwantowe repetytory — urządzenia rozszerzające zasięg QKD bez kompromisu bezpieczeństwa zaufanych węzłów, wykorzystujące kwantową pamięć i zamianę splątania — są aktywnym obszarem badań i nie są jeszcze dostępne jako gotowe produkty. Konserwatywne planowanie powinno zakładać architektury zaufanych węzłów co najmniej do 2030 roku.

Integracja z CNSA 2.0 i wymaganiami NSA

Dyrektywa CNSA 2.0 NSA (wrzesień 2022) nie nakazuje QKD dla systemów bezpieczeństwa narodowego. NSA wyraźnie stwierdziła, w swojej dyrektywie dotyczącej QKD (CSA-U-OO-800069-21), że sam QKD jest niewystarczający do ochrony ruchu NSS i że post-kwantowe algorytmy kryptograficzne są wymaganym podstawowym środkiem zaradczym. Obawy NSA dotyczące QKD obejmują: wymaganie uwierzytelnionych kanałów klasycznych (które nadal wymagają post-kwantowego uwierzytelniania, aby odpierać kwantowe ataki fałszowania); luki zaufanych węzłów; niedojrzałość sprzętu QKD w stosunku do programowych implementacji kryptograficznych; oraz trudność walidacji implementacji bezpieczeństwa QKD do standardów NSA Type 1.

Praktyczny model integracji jest zatem następujący: algorytmy CNSA 2.0 (ML-KEM-1024 do ustanawiania kluczy, ML-DSA do podpisów, AES-256 do szyfrowania symetrycznego) jako wymagany przez politykę punkt odniesienia dla wszystkich łączy NSS; QKD jako dodatkowe źródło materiału kluczowego dla łączy o najwyższej klauzulności, gdzie bezwarunkowa gwarancja bezpieczeństwa jest operacyjnie uzasadniona i ograniczenia fizyczne są możliwe do zarządzania. Materiał kluczowy pochodzący z QKD może bezpośrednio zasilać szyfrowanie AES-256 jako źródło jednorazowego bloku dla łączy bardzo wysokiego zaufania lub jako okresowe odświeżanie kluczy uzupełniające wymianę kluczy ML-KEM dla łączy, dla których szybkość rotacji kluczy ma znaczenie.

Dla oficerów ds. zamówień oznacza to, że QKD powinien być oceniany jako uzupełnienie wysokiego zaufania, a nie zamiennik dla kryptografii zgodnej z CNSA 2.0. Każdy produkt QKD zakupiony do użytku w pobliżu NSS powinien być oceniany według ETSI GS QKD 011 (wymagania bezpieczeństwa komponentów) i ETSI GS QKD 016 (wymagania bezpieczeństwa implementacji), które są najbliższymi dostępnymi standardami do formalnych ram oceny bezpieczeństwa QKD oczekujących na wytyczne specyficzne dla NSA. Przeczytaj nasz artykuł towarzyszący o łączności kwantowo odpornej dla sieci pola walki, aby zapoznać się z szerszym kontekstem migracji post-kwantowej, w którym QKD się mieści.

Ograniczenia wdrożeniowe i realia operacyjne

Realistyczna ocena obecnego QKD do użytku wojskowego wymaga uznania ograniczeń, które materiały marketingowe dostawców często minimalizują.

Zasięg. QKD światłowodowy jest praktyczny do ok. 100–150 km na przeskok bez zaufanych węzłów. Naziemny wolnoprzestrzenny QKD jest praktyczny do poniżej 1 km w ciągu dnia. Te ograniczenia są fundamentalną fizyką, a nie ograniczeniami inżynieryjnymi do rozwiązania przez lepszy sprzęt — utrata fotonów w światłowodzie podlega prawu Beera-Lamberta; turbulencje atmosferyczne i szum tła są właściwościami środowiska. Zaufane węzły rozszerzają zasięg, ale wprowadzają kompromisy bezpieczeństwa opisane powyżej.

Szybkość generowania kluczy. Obecne systemy komercyjne generują materiał kluczowy z szybkościami od kilobitów na sekundę (na dużych odległościach lub w niesprzyjających warunkach) do niskich megabitów na sekundę (na krótkich odległościach w dobrych warunkach). Jest to wystarczające do seedowania kluczy i komunikacji jednorazowego bloku na łączach o niskiej przepustowości, ale niewystarczające do bezpośredniej ochrony wysokoprzepustowych strumieni wideo ISR z szybkościami 1–100 Mbps. Praktyczny model dla łączy o wysokiej przepustowości polega na użyciu QKD do dystrybucji symetrycznych kluczy głównych, które następnie zasilają szyfrowanie AES-256 dla kanału danych — nie na bezpośrednim użyciu materiału kluczowego QKD jako strumienia kluczy szyfrowania danych.

Zależność od linii wzroku. Wolnoprzestrzenny QKD wymaga niezasłoniętej linii wzroku. Teren, budynki, pojazdy i roślinność przerywają łącze. Nawet chwilowe zasłonięcie — pojazd przecinający ścieżkę wiązki — powoduje przerwanie sesji QKD, które wymaga ponownego uwierzytelniania i nawiązania połączenia. Dla mobilnych jednostek taktycznych to ograniczenie jest poważne.

Wrażliwość na pogodę. Deszcz, mgła, dym i pył tłumią wolnoprzestrzenne ścieżki optyczne. Operacje wojskowe często odbywają się w niesprzyjających warunkach pogodowych i w dymie z pożarów lub środków zaciemniających. Łącze QKD generujące 1 Mbps materiału kluczowego w warunkach bezchmurnych może generować bliskie zeru wartości w czasie intensywnego deszczu lub dymu. Projekty systemów muszą uwzględniać zarządzanie buforem kluczy podczas przerw w łączu.

Dojrzałość sprzętu i łańcuch dostaw. Źródła pojedynczych fotonów, detektory SPAD i SNSPD oraz precyzyjna optyka zachowująca polaryzację to specjalistyczne komponenty nieprodukcja aktualnie w dużych ilościach na potrzeby obronne. Zapewnienie łańcucha dostaw — weryfikacja, że komponenty nie zostały zmanipulowane w celu wprowadzenia wycieków kanałem bocznym lub backdoorów — jest trudniejsza dla sprzętu fotonowego niż dla programowych implementacji kryptograficznych. Obawy NSA dotyczące łańcucha dostaw sprzętu QKD są dobrze uzasadnione i nie zostały jeszcze w pełni rozwiązane przez dostępny ekosystem dostawców.

Realistyczny harmonogram adopcji wojskowej

Krótkoterminowy (2026–2029): QKD jest wykonalne i warte oceny dla stałych lub półstałych łączy strategicznych między elementami dowodzenia, gdzie istnieje lub można zainstalować ciemne włókno, zasięg mieści się w jednym przeskoku, a klauzulność ruchu uzasadnia koszty sprzętu. Adopcja QRNG do infrastruktury generowania kluczy jest wykonalna w całych siłach natychmiast i powinna być traktowana jako standardowa modernizacja infrastruktury obok wdrożenia algorytmów CNSA 2.0.

Średnioterminowy (2030–2034): Ulepszenia miniaturyzacji terminali wolnoprzestrzennego QKD i architektury przekaźnikowe na dronach mogą sprawić, że QKD stanie się wykonalne dla semi-mobilnych łączy wysuniętego punktu dowodzenia. Praktyki bezpieczeństwa zaufanych węzłów dojrzeją wraz z doświadczeniem operacyjnym. Badania nad kwantowymi repetytorami mogą zaowocować wczesnymi niezdolnymi do polowego użytku prototypami. Ramy oceny bezpieczeństwa QKD ETSI i ewentualnie NSA powinny dojrzeć wystarczająco, aby wspierać formalną ocenę sprzętu dostawców.

Długoterminowy (2035+): Jeśli technologia kwantowych repetytorów dojrzeje do gotowego produktu, ograniczenia zasięgu i topologii QKD znacznie się rozluźnią, a szersze taktyczne wdrożenie stanie się wiarygodne. Do tego czasu wdrożenie QKD w sieciach taktycznych pozostanie ograniczone do warstwy stałych i półstałych łączy strategicznych, przy czym kryptografia post-kwantowa będzie dźwigać ciężar ochrony HNDL dla wszystkich mobilnych i dalekozasięgowych łączy.

Corvus.Quantum zapewnia kompleksowo zaszyfrowane łączności dla sieci taktycznych — zaprojektowane dla środowisk air-gapped i spornych, gdzie integracja QKD ma znaczenie. Niezależnie od tego, czy oceniasz generowanie kluczy zasilane QRNG, planujesz topologię zaufanych węzłów, czy integrujesz materiał kluczowy QKD z szyfrowaniem zgodnym z CNSA 2.0, Corvus.Quantum zapewnia warstwę infrastruktury kryptograficznej, która czyni to operacyjnym.

Poznaj Corvus.Quantum →