堅持發展量子通信技術是正道

隨著全球首顆量子科學實驗衛星“墨子號”的升空，量子通信再次成為媒體關注的熱點。正麵積極的評價是主流。當然也免不了有一些批評和質疑的聲音，這在一個相對開放的社會也十分正常，有時候也是有益的。但是最近網絡上有兩個質疑量子通信的觀點是錯誤的，散布這些觀點的人士又自稱密碼學專家，這就值得我們認真分析和辨駁，把真相還給大眾。

他們反對量子通信的主要理由是：通信的首要目的是穩定性，傳統的通信手段即使有安全隱患但至少能保證穩定的交流信息，而量子通訊的信號安全是以犧牲通訊的穩定性為代價的，有了敵手就幹不成事的量子通訊係統最終也隻能淪為一個擺設。

這種穩定壓倒安全的謬論貌似有理，實則上是根本經不起推敲的。試問：一條重要軍事行動的指令，或者是一件絕密外交文件，難道傳達到位是首要任務，信息安全是次要的？信息無論如何先要送出，寧可全軍覆滅，寧願自己的戰略情報員被暴露？世界上有這樣考慮問題的軍政首腦嗎？

當然通信的穩定可靠也重要，雖然軍事行動的保密性始終是第一位的，但命令不能及時上傳下達當然也不許可。而量子通信卻卻是穩定可靠的，至少一點也不比傳統方式差。反對量子通信的人士總把量子通信描述得像紅樓夢中的林妹妹一樣弱不禁風，實在可笑之極。他們的邏輯是：精密複雜的係統都是不穩定的，以靠單個光子工作的量子通信是極其精密複雜的，因而量子通信是不穩定的。錯！這個三段論推理錯在前提上。今日天空中的飛機和家中的電視機比上世紀的都要精密複雜得多，誰說它們沒有以前的穩定可靠？我是做計算機出身，七十年代出廠的DJS-130小型計算機，使用單位必須組建一個小組來維護，今天你我手中的計算機不知要比它精密複雜多少倍，哪裏又不穩定不可靠了？難道你家中也請了一個電腦維護班？

這些謬論其實都不值一駁，隻能當笑話聽聽。下麵作更深入一點的分析，以證明量子通信實際上是可以做得穩定可靠的，至少一點也不比傳統通信方式差。不少人認為量子通信靠的是單光子傳輸，竊聽者的行為改變了光子的狀態，會中斷正常的通信。又錯！量子通信其實隻是分發對稱密鑰，通信雙方首先取得一致認可的對稱密鑰，雙方隨後的大量信息交換實際上是在傳統通信網絡上進行的，當然這些信息都是經由上述的對稱密鑰加密和解密，得到了充分的保護。既然量子通信中信息的傳輸仍然在傳統通信網絡上，為什麽它就是不穩定的呢，莫非“量子”兩字是四類分子的帽子，帶了這頂帽子做什麽都是一個錯？

那麽竊密者幹涉破壞量子密鑰分配，又會帶來多少不穩定因素呢？首先應該指出，盡管量子密鑰分配訊道上存在各種技術和人為的幹涉，許多傳送的光子要丟棄，傳輸效率不高，但BB84通信協議就是按照這樣的環境來設計的，“傳輸效率低”不等同於”不穩定”，隻要有足夠的時間，總能得到充分多的絕對可靠的的對稱密鑰。有時候得到的密鑰還可以編好號貯存起來，以備不時之需。請問這樣的量子通信係統又有哪一處不如傳統通信穩定？嚴格來說，通信訊道的評估用的是平均速率、瞬間最高速率和響應時間等參數，從未聽說過什麽穩定性，不知它是個什麽東東，量綱又是什麽？還煞有介事談論穩定性與安全性兼容，真是不知所雲。作者是不是密碼學專家我沒有資格評判，但作者絕對是現代通信學的外行，這點基本可以肯定。

讀到這裏，反量子通信的可能真有些絕望了，但他們還有最後一招的：我暴力幹涉，秒秒分分不停頓，天天月月無休止，讓你根本無法交換密鑰，看你怎麽辦？這種圖窮匕見的下三濫手段實際上是根本不用答理的。

試問誰又有這樣的能力（暴力？）長時期阻斷量子密鑰傳輸線路？局外人是根本做不到，難道挺而走險，剪斷光纖，設立偽中繼站？這些手段最多得逞於一時，終究難逃法網恢恢。我對中國最近的情況不太熟悉，但對美國的聯邦郵政法和聯邦通訊法規的嚴格和完善還是略有所知，這種局外人的暴力阻斷光纖或設立偽中繼站案件真的是前所未聞。

如果係統中有內鬼怎麽辦？坦白地講，量子密鑰分配技術防的就是內鬼，更正確的說是串通外鬼的內鬼。因為隻要有人在量子密鑰分配信道上竊聽，不管他是外鬼、內鬼、什麽鬼（英文使用Eve一詞，非常傳神），隻要竊聽必被察覺，這部份密碼位全部丟棄，什麽損失也不會造成。真正做到“若要人不知，除非己莫為。”這才是密鑰配送安全的根本保證，通信雙方有了安全可靠的對稱密鑰，安全穩定地交換信息根本沒有任何問題。那麽內鬼長時間不斷地竊聽阻擋量子密鑰配送怎麽辦？這個問題還需要我來回答嗎？這樣傻的內鬼還是內鬼嗎，倒有些像黑旋風李逵，嗬嗬。

反對量子通信的另一理由是：目前的公鑰密碼係統很安全，量子計算機的威脅是一種忽悠，研究發展量子通信完全是瞎折騰。

首先必須指出，公鑰密碼係統的安全問題由來已久，遠在量子計算機概念出現之前。常用的公鑰密碼（如RSA）就被聯網的個人電腦群攻破，隻要用穀歌搜一下，立馬知道公鑰密碼係統並不安全。最近美國技術標準局強烈建議把RSA公鑰從1024位提高到2048位，如果公鑰密碼係統真的沒有問題，他們何必多此一舉。提高公鑰密碼位數極大地增加了加密和解密所化的時間，給日常的應用帶來了諸多不便，卻並沒有從根本上阻止黑客攻擊的熱情和力度，提高公鑰位數給使用者增添的困難遠超對黑客的阻力，這才是公鑰密碼問題之所在。

正當公鑰密碼係統處於風雨飄搖、四麵楚歌時，2014年的一條爆炸性新聞更是震驚了密碼學界，從美國國家安全局叛逃的斯諾頓披露了安全局有一個絕密的項目 Penetrating Hard Targets，計劃建造一台破解公鑰密碼的專用量子計算機。如果現在誰還相信公鑰密碼係統是安全的，請自己去美國國家安全局的網站，先看看他們是如何在處理這場危機的[1]。難道美國國家安全局也是在瞎折騰？

再讓我們看看密碼學界的動態，請先看下圖：密碼學界已經明確把公鑰密碼係統分成兩大類，左列中都是目前常用的公鑰密碼，全被打入“量子可破”的死域。也隻有中國幾位反量子通信的所謂密碼學專家教授還在拍胸脯擔保這些公鑰密碼一點問題也沒有，不知他們是假不懂還是真不懂，反正我也弄不懂他們。

圖中右列確有幾種公鑰密碼理論方法被列為“量子不可破”。但是請注意：1）它們隻是目前還未被攻破，並非被證明“量子不可破”。2）它們全部沒有進入實用階段，甚至未進入應用初期開發階段，很可能最後根本沒有實用價值。

在“量子不可破”的公鑰密碼係統中最受關注的是“lattice-based crypto ”（基於阻格的加密法），密碼學界對該方法的研究已經有二十多年了，但始終在應用上沒有取得突破。其問題的本質是：該算法太複雜，運行效率低得無法使用；算法加以簡化後，效率大幅提升，幾乎可以與RSA媲美，但是出現了嚴重的安全隱患。數學家還在公鑰密碼的效率和安全的兩難之間備受煎熬，密碼學權威Hoffstei說得好：宇宙就是一個煎熬之地，密碼學研究就是一個最好的例證[2]。由此可知，純粹應用數學方法改善公鑰密碼係統的前景暗淡。

讀到這裏，如果還有人認為現有公鑰密碼係統固若金湯，我也隻能無語了。反對發展量子通信人士可能會說，至少公鑰密碼現在還沒有被量子計算機攻破，著什麽急？持這種觀點和態度實在非常要不得。

首先，你怎麽就那麽肯定公鑰密碼未被量子專用計算機攻破，難道你有發小在美國NSA裏做主管？笑話！公鑰密碼與量子計算機是美國國家安全局的最高機密，這方麵的進展，他們會向全世界做每周例報？退一步，即使公鑰密碼今天還沒有被量子計算機攻破，你能保證五年後也攻不破？就憑你們這幾個密碼學專家保證得了？如果現在不發展量子通信技術，刀槍入庫、馬放南山，五年後公鑰密碼被專用量子計算機攻破，你怎麽辦？開發一種全新的密碼係統從試驗、推廣到投入應用至少要十多年，這段時間中你就隻能裸奔了，到時候恐怕連哭的地方也沒有！

應該認識到，在如此嚴峻的國際態勢下，而目前的公鑰密碼係統又危機四伏，國家隻能從最壞處著想，全力以赴創建自己的全新的密碼安全係統，這是唯一正確的選擇。人無遠慮必有近憂，千萬不能抱有僥幸心理，不可傍徨猶豫、患得患失，錯失時機將後患無窮。認準方向堅定不移地發展自已的量子通信技術，這才是一個獨立自主的大國應該有的抱負和責任。

量子密碼技術的應用和推廣肯定不會一帆風順，但這決不能成為反對發展量子通信的理由。有人認為在量子通信方麵歐美都沒有大的動作，憑什麽中國走在前麵，中國一定是錯了，中國總歸是輸家。照這個邏輯，美國都沒有高鐵網，中國怎能建高鐵？這種論調似曾相識，中國高鐵開建前後，這樣的聲音也曾經不絕於耳。記得當時有這樣一種很流行的說法：高鐵上不少部件和材料是從西方買來的，人家都不建高鐵，中國建什麽建？現在同樣的論調又來了：量子通信中使用的一些另件和儀器設備是西方進口的，他們都不建大規模的量子通信網絡，中國為什麽要建？我再一次無語。

有必要再次強調：與其它密碼技術不同，量子密鑰分配技術從原理上保證密鑰配送是安全的，量子通信是穩定可靠的，加速發展量子通信是十分必要的，是非常及時的，因為現有密碼係統已經到了最危險的時刻。工程實施中一定會有許多的問題，但原理與實施是完全不同的兩個概念，畢竟實施中的技術問題可以逐步解決，不可破譯的原理才是該項技術具有發展前途的根本保證，它使我們對量子密鑰分配技術的將來充滿了信心。

希望進一步了解密碼學發展簡史和量子密鑰分配技術原理的讀者可以閱讀我不久前寫作的三篇有關文章：

拿什麽拯救你-危機四伏中的密碼係統
量子密鑰分配技術-維護信息安全的忠誠衛士
關於“量子密鑰分配技術”一文答讀者問

本文是應【觀察者網】約稿而作，首發於觀察者網8月26日首頁。

[1]On August 11（2015）,the National Security Agency updated an obscure page on its website with an announcement that it plans to shift the encryption of government and military data away from current cryptographic schemes to new ones, yet to be determined, that can resist an attack by quantum computers.

[2]As for why extreme efficiency and perfect security appear to be so diametrically opposed, Hoffstein said: “The universe is an irritating place, and this is just another example of it.”