Квантовий розподіл ключів для тактичних військових комунікацій

Постквантова криптографія замінює класичні алгоритми обміну ключами математично складнішими задачами. Квантовий розподіл ключів робить щось категорично інше: він повністю усуває обчислювальне припущення. QKD розподіляє криптографічний ключовий матеріал по квантовому каналу — як правило, оптоволоконному або оптичному шляху у вільному просторі з одиночними фотонами — таким чином, що будь-який перехват зловмисника є доказово виявленим. Гарантія безпеки ґрунтується на квантовій механіці, а не на передбачуваній складності математичної задачі. Для військових планувальників і офіцерів з інформаційної безпеки, що стикаються з моделлю загрози «зберегти зараз — розшифрувати пізніше» (HNDL), ця відмінність має значення. Постквантові алгоритми забезпечують обчислювальну безпеку проти майбутніх квантових комп'ютерів; QKD забезпечує інформаційно-теоретичну безпеку проти будь-якого зловмисника, незалежно від обчислювальних ресурсів.

У цій статті розглядаються фізика та протоколи QKD, його порівняння та доповнення постквантової криптографії в оборонних застосуваннях, конкретні інженерні виклики розгортання QKD в тактичних середовищах і реалістична оцінка місця QKD в архітектурі військових комунікацій сьогодні та протягом наступного десятиліття.

Основи QKD: BB84 і E91

Два базових протоколи QKD, що лежать в основі майже всіх розгорнутих систем, — BB84 і E91. Розуміння їх механіки є необхідним для оцінки тверджень постачальників і обмежень розгортання.

BB84

Протокол BB84, опублікований Чарльзом Беннетом і Жілем Брассаром у 1984 році, є основою більшості комерційного апаратного забезпечення QKD. Аліса (відправник) кодує випадкові класичні біти на окремих фотонах, обираючи одну з двох спряжених поляризаційних основ — прямокутну ({|0⟩, |1⟩}) і діагональну ({|+⟩, |-⟩}) — і кодуючи значення свого біту як стан поляризації всередині обраної основи. Боб (одержувач) незалежно та випадково обирає вимірювальну основу для кожного фотона. Коли обрана Бобом основа збігається з основою кодування Аліси, результат вимірювання є детермінованим і збігається з бітом Аліси. Коли основи відрізняються, результат Боба є випадковим і біт відкидається. Після передачі Аліса і Боб обмінюються своїм вибором основ (але не результатами вимірювань) по відкритому аутентифікованому класичному каналу та зберігають лише ті біти, де їхні основи збіглися — просіяний ключ. Просіяний ключ потім проходить корекцію помилок і посилення конфіденційності для отримання остаточного верифікованого спільного секрету.

Безпека BB84 ґрунтується на теоремі про заборону клонування: квантовий стан не можна скопіювати, не порушивши його. Будь-який підслуховувач (Єва), який перехоплює фотони на квантовому каналі, повинен їх виміряти, що неминуче колапсує квантовий стан перед повторною передачею. Це порушення вносить помилки у вимірювання Боба, які Аліса і Боб виявляють, порівнюючи випадкову вибірку бітів просіяного ключа. Рівень квантових бітових помилок (QBER) — частка просіяних бітів, які не збігаються, — є основним показником безпеки: QBER вище приблизно 11% (поріг безпеки BB84) вказує на можливе прослуховування і ключ слід відкинути.

E91

Протокол E91, запропонований Артуром Екертом у 1991 році, використовує заплутані пари фотонів замість підготовлених станів. Джерело випускає пари заплутаних фотонів — один до Аліси, один до Боба. Аліса і Боб незалежно вимірюють свої фотони у випадково обраних основах. Кореляції між результатами їхніх вимірювань — перевірені за допомогою порушень нерівності Белла — підтверджують як спільний ключ, так і відсутність прослуховування. E91 є пристроєво-незалежним за принципом: безпека може бути підтверджена без повної довіри до вимірювальних пристроїв, що є значною перевагою для військових застосувань підвищеної надійності, де цілісність ланцюжка поставок апаратного забезпечення QKD викликає занепокоєння. На практиці повністю пристроєво-незалежний QKD залишається експериментально складним; поточні комерційні системи сімейства E91 є напівпристроєво-незалежними, пропонуючи сильніші припущення безпеки порівняно з BB84 за ціною нижчих швидкостей генерації ключів та більш вибагливої оптичної інженерії.

QKD проти постквантової криптографії: чому важливі обидва

Поширеним непорозумінням у оборонних закупівлях є думка, що QKD і постквантова криптографія є альтернативами, що конкурують за одну роль. Це не так. Вони вирішують квантову загрозу на різних рівнях і з різними припущеннями безпеки.

Постквантова криптографія — зокрема обов'язкові алгоритми CNSA 2.0: ML-KEM-1024 для встановлення ключів і ML-DSA для підписів — забезпечує обчислювальну безпеку. Її безпека зберігається, якщо базова математична задача (модульне навчання з помилками для ML-KEM) є складною для квантових комп'ютерів. Це припущення є обґрунтованим: багаторічний процес стандартизації NIST піддав ці алгоритми масштабному криптоаналізу, і жодний поліноміальний квантовий алгоритм для MLWE не відомий. Але обчислювальна безпека є умовною гарантією: вона зберігається, якщо не з'являться нові криптоаналітичні техніки. Історія свідчить, що криптографічні алгоритми іноді зламуються математичними відкриттями; алгоритми PQC є достатньо новими, щоб цей ризик, хоча й керований, був ненульовим.

QKD забезпечує безумовну безпеку — безпеку, що зберігається навіть проти зловмисника з необмеженими обчислювальними ресурсами, включно з теоретичним квантовим комп'ютером довільного розміру. Доказ безпеки вимагає лише правильності квантової механіки та неможливості підробки аутентифікованого класичного каналу, що використовується для постобробки. Для військових застосувань найвищої надійності — стратегічних командних каналів, захисту джерел розвідки — ця категорична різниця у рівні безпеки виправдовує інженерні витрати та фізичні обмеження розгортання QKD.

Рекомендована позиція є багаторівневою: впровадити постквантові алгоритми CNSA 2.0 як базовий рівень, що вимагається політикою NSS, і додати QKD як додаткове джерело ключового матеріалу для каналів найвищої конфіденційності. Деталі впровадження алгоритмічного рівня наведено у нашій статті про постквантову криптографію для оборони: посібник з CNSA 2.0.

Волоконний QKD проти QKD у вільному просторі для тактичного використання

QKD може бути реалізовано по двох типах фізичних каналів, кожен з яких має відмінні тактичні наслідки.

Волоконний QKD

Волоконний QKD передає фотони по стандартному одномодовому волокну, як правило, на телекомунікаційних довжинах хвиль (1310 нм або 1550 нм), де затухання волокна є найменшим. Розгорнуті системи забезпечують безпечну генерацію ключів на відстанях до приблизно 100–150 км із використанням поточних джерел одиночних фотонів і надпровідникових нанодротових детекторів одиночних фотонів (SNSPD) на приймальному кінці. Поза цією дальністю втрата фотонів погіршує відношення сигнал/шум нижче порогу безпечного видобутку ключів. Швидкість генерації ключів волоконного QKD на коротких відстанях (до 20 км) може досягати кількох мегабіт на секунду на поточному комерційному обладнанні. На 100 км швидкість падає до кілобіт на секунду.

Для тактичного військового використання волоконний QKD є придатним для фіксованих або напівстаціонарних каналів: з'єднання між штабами, канали між командним пунктом і статичним передовим елементом або міжцентрові з'єднання у захищеному комплексі. Він непридатний для каналів, де потрібно фізично переміщувати одну кінцеву точку — волокно має слідувати за нею. Вимога до виділеної нитки темного волокна (або щонайменше каналу з мультиплексуванням довжин хвиль на наявному волокні з ретельною ізоляцією класичного та квантового каналів для запобігання деградації квантового каналу через шум Рамана) обмежує розгортання середовищами з наявною волоконною інфраструктурою або інженерними ресурсами для її встановлення.

QKD у вільному просторі

QKD у вільному просторі передає фотони через атмосферу за допомогою колімованих оптичних пучків, вимагаючи прямої видимості між терміналами Аліси та Боба. Компактні термінали, придатні для монтажу на транспортному засобі або штативі, були продемонстровані в середовищах, близьких до операційних. Наземні канали вільного простору обмежені кількома факторами: атмосферна турбулентність викликає дрейф пучка та знижує відношення сигнал/шум; фоновий фотонний шум (денне освітлення) вимагає щільної спектральної та часової фільтрації для виділення одиночних фотонів з навколишнього світла; погода — дощ, туман, пил і дим — суттєво послаблює фотонний шлях, знижуючи швидкість генерації ключів або переривавши канал. Максимальні практичні наземні відстані QKD у вільному просторі, як правило, не перевищують 1 км вдень із поточним обладнанням, збільшуючись до кількох кілометрів вночі або за умов низької турбулентності.

Повітряний і супутниковий QKD у вільному просторі суттєво збільшує дальність. Китайський супутник Micius продемонстрував QKD на міжконтинентальних відстанях через космос. Військово-релевантні сценарії включають ретрансляційні термінали QKD на безпілотниках, що забезпечують розширення через довірені вузли на висоті, де турбулентність менша, а зона прямої видимості значно більша. БПЛА на висоті 500 м може підтримувати оптичні канали вільного простору з наземними терміналами на відстанях 5–15 км залежно від атмосферних умов — значне покращення порівняно з наземною геометрією і операційно корисне для розширення досяжності QKD між командним пунктом і передовим елементом.

QRNG: квантові генератори випадкових чисел для засіву ключів

Квантові генератори випадкових чисел пропонують нижчий бар'єр входу для покращення криптографічного захисту на основі квантової фізики без потреби у вільнопросторовій оптиці або волоконній інфраструктурі. QRNG генерує справжні випадкові числа з внутрішньо квантового процесу — часового джитеру появи фотонів, вимірювання флуктуацій вакууму тощо — замість детермінованого математичного алгоритму, засіяного екологічною ентропією, що є архітектурою більшості конструкцій PRNG і DRBG у розгорнутому обладнанні.

Значення для безпеки є тонким, але реальним. Постквантові алгоритми, такі як ML-KEM, покладаються на якісну випадковість для генерації ключів: генерація пари ключів ML-KEM використовує випадкове насіння, а операція інкапсуляції генерує випадкове повідомлення. Якщо генератор випадкових чисел має приховану структуру — слабкість у конструкції DRBG, помилку реалізації або навмисний бекдор — безпека постквантового алгоритму погіршується незалежно від математичної складності базової задачі. Вихідні дані QRNG не мають математичної структури, яка могла б бути використана; випадковість підтверджується квантовою фізикою, а не якістю реалізації програмного алгоритму.

Кілька постачальників пропонують QRNG-модулі PCIe та USB, сертифіковані за FIPS 140-3 рівня 2 і AIS 31 клас P2. Ці пристрої виводять випадкові бітові потоки зі швидкостями 1–4 Гбіт/с, що значно перевищує швидкість споживання будь-якого процесу генерації ключів. Заміна джерела насіння DRBG у вашій інфраструктурі керування ключами апаратним модулем QRNG є операційно прямолінійною, не має обмежень щодо дальності або прямої видимості та забезпечує вимірюване покращення якості ентропії кожного криптографічного ключа, згенерованого нижче за потоком.

Архітектура довірених вузлів для розширеної дальності

Обмеження дальності як волоконного, так і вільнопросторового QKD вимагають архітектури довірених вузлів для будь-якої мережі, що виходить за межі одного QKD-каналу. Довірений вузол завершує вхідний квантовий канал, зберігає ключовий матеріал у класичній формі та ініціює новий квантовий канал на вихідному сегменті. Наскрізний розподіл ключів через кілька стрибків вимагає, щоб кожен довірений вузол повторно шифрував і пересилав ключовий матеріал, причому класичне шифрування захищає ключі під час транзиту між вузлами.

Наслідок для безпеки є критичним: довірений вузол зберігає ключовий матеріал у відкритому вигляді для всіх QKD-сесій, що проходять через нього. Скомпрометований довірений вузол руйнує гарантію інформаційно-теоретичної безпеки для кожної ретрансльованої ним сесії. Довірені вузли тому повинні бути фізично захищені до стандарту апаратного забезпечення керування ключами — антивандальні корпуси, виявлення вторгнень, засоби контролю доступу з розподілом обов'язків і перевірена можливість знищення у разі загрози захоплення. У тактичному контексті довірений вузол на командному пункті, який може бути захоплений, вимагає такого ж планування знищення, як і затверджений NSA пристрій заповнення ключів.

Проектування топології мережі має мінімізувати кількість стрибків через довірені вузли між найбільш чутливими парами кінцевих точок. Прямий QKD-канал між двома критичними вузлами — нуль довірених вузлів — забезпечує повну інформаційно-теоретичну безпеку. Один довірений вузол вводить єдину точку компрометації. Кожний додатковий стрибок збільшує поверхню атаки. Проектування мережі таким чином, щоб канали найвищого пріоритету мали найменшу кількість стрибків через довірені вузли, є основним інженерним рішенням топології QKD.

Квантові повторювачі — пристрої, що розширюють дальність QKD без компромісу безпеки довірених вузлів із використанням квантової пам'яті та обміну заплутаністю — є активною областю досліджень і поки що недоступні як польові продукти. Консервативне планування повинно передбачати архітектури з довіреними вузлами щонайменше до 2030 року.

Інтеграція з CNSA 2.0 і вимогами NSA

Консультативний документ NSA щодо CNSA 2.0 (вересень 2022 року) не зобов'язує використовувати QKD для систем національної безпеки. NSA прямо заявило у своєму консультативному документі щодо QKD (CSA-U-OO-800069-21), що QKD сам по собі є недостатнім для захисту трафіку NSS і що постквантові криптографічні алгоритми є необхідним основним заходом. Занепокоєння NSA щодо QKD включають: вимогу до аутентифікованих класичних каналів (які все одно потребують постквантової аутентифікації для протистояння квантовим атакам підробки); вразливості довірених вузлів; незрілість апаратного забезпечення QKD порівняно з програмними криптографічними реалізаціями; і складність перевірки реалізацій безпеки QKD до стандарту NSA Type 1.

Практична модель інтеграції тому така: алгоритми CNSA 2.0 (ML-KEM-1024 для встановлення ключів, ML-DSA для підписів, AES-256 для симетричного шифрування) як обов'язковий базовий рівень політики для всіх каналів NSS; QKD як додаткове джерело ключового матеріалу для каналів найвищого грифу, де безумовна гарантія безпеки є операційно виправданою, а фізичні обмеження є прийнятними. Ключовий матеріал, отриманий від QKD, може безпосередньо живити шифрування AES-256 як джерело одноразового шаблону для каналів найвищої надійності, або як доповнення до обміну ключами ML-KEM для каналів, де швидкість ротації ключів є важливою.

Для офіцерів із закупівель це означає, що QKD слід оцінювати як доповнення підвищеної надійності, а не як замінник CNSA 2.0-сумісної криптографії. Будь-який продукт QKD, що закуповується для використання поряд з NSS, слід оцінювати за ETSI GS QKD 011 (вимоги безпеки компонентів) і ETSI GS QKD 016 (вимоги безпеки реалізації), що є найближчими доступними стандартами до формальної структури оцінки безпеки QKD в очікуванні конкретного керівництва NSA. Читайте нашу супутню статтю про квантово-стійкі комунікації для польових мереж для ширшого контексту постквантової міграції, в якому знаходиться QKD.

Обмеження розгортання та операційні реалії

Реалістична оцінка поточного QKD для військового використання вимагає визнання обмежень, які маркетингові матеріали постачальників часто применшують.

Дальність. Волоконний QKD є практичним приблизно до 100–150 км за один стрибок без довірених вузлів. Наземний QKD у вільному просторі є практичним до менш ніж 1 км вдень. Ці обмеження є фундаментальною фізикою, а не інженерними обмеженнями, що вирішуються кращим обладнанням — втрати фотонів у волокні підпорядковуються закону Бугера-Ламберта; атмосферна турбулентність і фоновий шум є властивостями середовища. Довірені вузли розширюють дальність, але вводять компроміси безпеки, як описано вище.

Швидкість генерації ключів. Поточні комерційні системи генерують ключовий матеріал зі швидкістю від кілобіт на секунду (на великих відстанях або у несприятливих умовах) до одиниць мегабіт на секунду (на малих відстанях у хороших умовах). Цього достатньо для засіву ключів і комунікацій із одноразовим шаблоном на каналах малої смуги пропускання, але недостатньо для прямого захисту відеопотоків ISR із швидкостями 1–100 Мбіт/с. Практична модель для каналів з великою смугою пропускання — використовувати QKD для розподілу симетричних майстер-ключів, які потім живлять шифрування AES-256 для каналу даних — а не використовувати ключовий матеріал QKD безпосередньо як потік ключів для шифрування даних.

Залежність від прямої видимості. QKD у вільному просторі вимагає незаблокованої прямої видимості. Рельєф, будівлі, транспортні засоби та рослинність розривають канал. Навіть тимчасове перекриття — транспортний засіб, що перетинає шлях пучка, — викликає переривання QKD-сесії, що вимагає повторної аутентифікації та відновлення. Для мобільних тактичних підрозділів це обмеження є серйозним.

Чутливість до погоди. Дощ, туман, дим і пил послаблюють оптичні шляхи у вільному просторі. Військові операції часто відбуваються в несприятливих погодних умовах і в диму від пожеж або димових завіс. QKD-канал, що генерує 1 Мбіт/с ключового матеріалу в ясних умовах, може генерувати майже нуль у густому дощі або димі. Проекти систем повинні враховувати управління буфером ключів під час перебоїв у роботі каналу.

Зрілість апаратного забезпечення та ланцюжок поставок. Джерела одиночних фотонів, SPAD- і SNSPD-детектори та прецизійна поляризаційна оптика є спеціалізованими компонентами, що наразі не виробляються у великих обсягах для оборонного використання. Гарантії ланцюжка поставок — перевірка того, що компоненти не були підроблені для введення бічних каналів витоку або бекдорів — є складнішою для фотонного апаратного забезпечення, ніж для програмних криптографічних реалізацій. Занепокоєння NSA щодо ланцюжка поставок апаратного забезпечення QKD є обґрунтованими і ще не повністю вирішені наявною екосистемою постачальників.

Реалістичні терміни військового впровадження

Найближча перспектива (2026–2029): QKD є придатним і вартим оцінки для фіксованих або напівстаціонарних стратегічних каналів між штабними елементами, де наявне темне волокно або його можна прокласти, дальність є в межах одного стрибка, а гриф трафіку виправдовує вартість апаратного забезпечення. Впровадження QRNG для інфраструктури генерації ключів є придатним у масштабах сил негайно і повинно розглядатися як стандартне оновлення інфраструктури поряд із розгортанням алгоритмів CNSA 2.0.

Середньострокова перспектива (2030–2034): Покращення мініатюризації терміналів QKD у вільному просторі та архітектур ретрансляції через безпілотники можуть зробити QKD придатним для напівмобільних каналів передових командних пунктів. Практика безпеки довірених вузлів дозріє з операційним досвідом. Дослідження квантових повторювачів може дати перші нефільдовані прототипи. Структури оцінки безпеки QKD ETSI і в кінцевому підсумку NSA мають дозріти достатньо для підтримки формальної оцінки апаратного забезпечення постачальників.

Довгострокова перспектива (2035+): Якщо технологія квантових повторювачів дозріє до польового продукту, обмеження дальності та топології QKD суттєво знімаються, і ширше тактичне розгортання стає достовірним. До тих пір розгортання QKD у тактичних мережах залишатиметься обмеженим рівнем фіксованих і напівстаціонарних стратегічних каналів, тоді як постквантова криптографія нестиме тягар захисту від HNDL для всіх мобільних і далекодіючих каналів.