哪些QKD方案不使用认证的经典信道？

Question

这篇维基百科文章讨论了量子密钥分发的一个缺点：

量子密钥分配的主要缺点是它通常依赖于具有认证的经典通信信道。在现代密码学中，拥有经过认证的经典信道意味着已经交换了足够长度的对称密钥或具有足够安全级别的公钥。有了这样的信息，就可以实现认证和安全的通信，而无需使用QKD，例如使用高级加密标准的Galois/计数器模式。因此，QKD以很多倍的成本完成了流密码的工作。著名的安全专家Bruce指出，量子密钥分发“既无用又昂贵”。

我的问题是，这个缺点有多普遍？维基百科说“通常”，那么是否有一些量子密钥分配方案不依赖于经过认证的经典通信通道？

若然，有否实际推行这类计划？

Answer 1

哪些QKD方案不使用认证的经典信道？

没有一个是值得信任的。所有安全密钥分发系统，不管是量子的还是非安全的，在安装时都需要一个经过身份验证的通道，然后才能信任分布式密钥。这通常是一个典型的渠道，就像一个人(在密钥分发发生之前)拿着一张纸，上面写着一些秘密涂鸦在一个不透明的信封里，或者(事后)一条电话线，用来比较一种公共价值，与期望提供来源证明的声音的音调相比较。

不使用经过身份验证的通道的密钥分发系统将允许从未见过面的Alice和Bob就秘密密钥达成一致。爱丽丝使用的是吉斯莫A，鲍勃是gismoB，两者都是公共设计的。当gizmoA和gizmoB以某种方式连接起来(可能是光纤)，而不受爱丽丝、鲍勃或他们的代表的监视时，这个设备就会做他们的事情，并在双方输出一个相同的秘密密钥。

这是不可能的：“公共设计”要求允许对手构建gismoA2和gismoB2，功能与原件相同。“以某种方式不受审查的连接”要求允许对手将gismoB2与gismoA连接起来，gismoA2连接到gismoB。从Alice和Bob的角度来看，没有什么变化:他们的gismoA和gismoB输出了一个键。然而，gismoB2输出与gismoA相同，gismoA2输出与gismoB相同，对手知道这些输出。因此，“秘密”的要求没有得到满足。

正如查尔斯·H·班尼特(CharlesH.Bennett)和吉尔斯·布拉萨德( Gilles )在他们的"BB84“论文中所说的那样，量子密码学:公钥分配与掷硬币通常被认为是KQD的基础：

(QKD)实现了公钥密码体制的主要优点之一，即允许在最初不共享秘密信息的各方之间安全地分配随机密钥信息，条件是除了量子信道之外，各方还可以访问易被动但不主动窃听的普通信道。

因此，所有关于QKD的严肃文章，以及销售QKD设备的公司，都承认他们依赖于经过认证的经典沟通渠道。此外，许多用户还要求该信道提供保密(如果在QKD发生之前使用该通道，则这是一项安全要求)。然而，该通道只需要在安装时使用一次，或者当设备由于错误或攻击而失去同步时使用。例如，ID Quantique's 2020白皮书声明它是

在发射器和接收器中使用预先建立的密钥，用于验证经典信道上的通信。此初始密钥仅用于验证第一次量子加密会话。在每个会话之后，生成的部分密钥将用于替换以前的身份验证密钥。

这是普遍的。所有严重的尝试都将认证的经典信道替换为另一种认证信道。物理不可破函数，联邦快递纠缠光子，或UPS困住蓝精灵。另一种方法是将单光子/激光源对准一颗卫星，这是因为没有其他卫星能够现实地进入卫星中间(按照开普勒以来一直不变的物理定律)，认为无人驾驶飞机位于中间的可能性太远了，并希望不会有雾。

“功能相同”与不可辨别的不同。可能有(例如量子) PUFs确保小发明是可识别的，但“公共设计”意味着如何使可识别的小发明具有功能性和可审问性是公开的。

据报道，这一面积为反对打印机的工作，但不可否认很少使用QKD。