本文由格密链社区的徐昊翻译。

“量子密码学”是个非常不恰当的名称，“量子密码学”一词所描述的，更准确地是“量子密钥分配”或简称QKD。在后续文章中，我们还将讨论“后量子密码学”的相关主题; 这完全是不同的概念。

QKD是一种技术，通过专用线路（通常是光缆）连接两方，发送光子，从而协商密钥。然后用密钥来保护经典密码或一次性密码的进一步的通信。这种生成密钥的方法利用了量子力学的属性，使得密钥在理论上是安全的（无论多强大的计算机都不能破解密钥）。合法双方可以检测到任何对通信的拦截，并且不会造成密钥的丢失。QKD背后的物理和工程确实令人惊叹。并且由此产生的衍生技术可以在涉及光纤通信的各种应用中找到相应的应用。然而，从一般的密码学角度来看，应用的范围受到严重的限制，同时，所期望的好处也不会比传统的密码技术大很多。

首先，密钥协商协议应解决的主要问题是通信一方的真实性; 例如，我并不在乎我的网上信用卡信息是加密的，我关心的是它们是被加密到亚马逊（比方说），而不是黑手党。为了在QKD中添加身份验证，需要使用传统的加密技术，例如MAC或数字签名，这些技术不能满足信息理论中所声称的安全性。有一种可以使用信息论的MAC技术，但是使用该技术的系统运行效率不高而且可扩展性差。

其次，我通常在另一个协议中使用任何约定的密钥来安全地传输大量数据。这种批量通信可以通过传统的加密技术进行，例如在GCM模式下使用AES。因此，整个系统不具备信息理论上的安全性，安全性仅与AES安全性一样强。

最后，所有已知的QKD系统都依赖于通信方之间的专用连接，因此不能扩展到像互联网这样的自组织网络（ad-hoc networks）。一些作者提出使用量子中继器，但由于量子态的无克隆定理（the no-cloning theorem for quantum states），只能以消除端到端安全性为代价。

在当今世界，端到端安全越来越成为必需品，因此破坏端到端安全性的量子中继方式在商业上或社交上都不可行。

本文来源：格密链