需求和成本是工程立項的基礎    一評京滬量子通信幹線工程

9月29日，世界首條量子保密通信幹線——“京滬幹線”正式開通。中國科技人員在量子保密通信相關技術領域，諸如高速高效率單光子探測、可信任光子中繼站和星地量子密鑰協商等方麵都取得了重大進展，可喜可賀！對此我們不需要更多的溢美之詞，此時此刻，客觀的介紹和有益的建議比什麽都重要。

為什麽要開發量子保密通信技術？因為從理論上講，如果未來量子計算機真的建成，再如果建成的量子計算機有足夠的量子位（Qbit）和足夠的穩定性，那麽今天密碼係統中的非對稱性的公鑰密碼RSA有可能被想象中的量子計算機破解。研發量子密碼通信技術就是為了尋找未來可以替代RSA的技術。必須指出，雖然今日的密碼係統並非盡善盡美，但也沒有迫在眉梢的危機。由此可知，量子保密技術隻可能是前瞻性的科學研究，而現在卻把它做成了工程項目，這就必然會帶來一些問題和爭議。這些問題不得到澄清和解決，《九州量子》和《量子小鎮》這些事件就會層出不窮[1]。

“京滬幹線”工程項目首席科學家、中科院院士潘建偉最近的談話中提到：“....，但是大家不能把它炒作得太熱之後，一個東西反而味道就變掉了。要嚴謹地去做事情。”從字裏行間不難看出，他也擔心京滬量子保密通信幹線如果在過度炒作的輿論環境下，可能不利於解決實際的科學問題。他又說：“量子通信廣泛應用取決於成本和需求兩大因素。”這句話說到點子上了，評論工程項目，需求和成本就是兩個始終繞不開的坎。

讓我們先對量子通信工程的需求作些分析。2017年5月有一篇論文：“後量子時代的RSA”[2]，該文發表後被多家相關雜誌轉載和引用，幾乎一致的結論是現今使用的非對稱性密碼RSA不會因為量子計算機的出現而消亡。

該論文的核心觀點是：假設量子計算機已經建成，再假設量子計算機的量子位（Qbit）可以無限擴展，進一步假設該量子計算機的運行成本與現在通用電子計算機的成本可以相比，用這樣一台超級想象出來的量子計算機來破解長度為 Terabyte（太字節，等於1024GB）的RSA非對稱密鑰需要量子計算機進行2^100（2的100次方）的量子位操作。

2^100是一個什麽概念？這個數大於我們星球上所有細胞的總數！當然一個Terabyte長度的RSA公鑰也有點過份了，但即使在目前使用的電子計算機上運行，從密鑰的產生到加密和解密一共化時五天。這樣的方案雖然不太實用但至少還是可以實現的。

這篇論文並不是要為對抗量子計算機提供確切的方案，而是用實驗和大量數據分析指出：即使圍繞量子計算機的技術難題和運營成本全都解決，隻要現行的RSA公鑰增加字長和改善算法，就能迫使量子計算機的惡意攻擊付出難以承受的代價，在後量子時代作為經典密碼係統重要基石的RSA具有足夠長的生命力。急於丟棄RSA等公鑰密碼係統而另辟蹊徑可能真的是杞人憂天。

讓我們進一步對量子通信工程作些初步的成本分析。經典保密技術與量子保密技術的主要區別是：經典保密係統中通信的內容與密碼的配送使用的是同一個通信網絡，而量子保密係統必需兩個通信網絡，一個傳送通信內容，另一個配送量子密碼。量子保密技術勢必會大幅增加通信的成本。

由電路交換和分組交換技術構建起的經典通信網絡從本質上來說與量子保密通信網絡是格格不入、難以融合的。很難設想在原有的通信網絡線路上實現量子密鑰分發。換言之，為了通信未來的安全，我們必須在原有的通信網絡之外加建一套傳遞密鑰的專用網絡。而且這條網絡要求所有通信雙方端到端全程使用光纖聯接，當通信雙方超過上百公裏，還必須使用可信任中繼站或衛星中繼。暫不考慮工程的難度，對於普通用戶特別是手機用戶而言，僅成本一項無疑也是難以承受之重。

到目前為止，在所有的經典加密技術中，通信的內容與加密的信息都在同網絡上傳輸，信息交換和保證信息交換的安全措施是一個統一完整的過程，密碼係統在整個通信過程中所占的額外成本是十分有限的。因此從工程角度來看，改進和革新經典加密技術比發展量子密碼技術的成本要低得多，也更為切實可行，這一點越來越成為業內人士的共識。

再讓我們看看密碼學界最近的動態，請先看下圖：密碼學界已經明確把公鑰密碼係統分成兩大類，左列中都是目前常用的公鑰密碼，它們是“量子可破”的，即理論上在量子計算機攻擊下是不安全的（事實上也並非如此，見文章的上部分分析）。圖中右列的幾種公鑰密碼係統被列為“量子不可破”，它們從原理上被證明是很難被今日的巨型電子計算機和還在紙上的量子計算機破解的，因而它們又被稱為後量子時代的密碼係統。

在“量子不可破”的公鑰密碼係統中最受關注的是“lattice-based crypto ”（基於阻格的加密法），密碼學界對該方法的研究已經有二十多年了，但始終沒有進入工程應用階段。其問題的本質是：該算法太複雜，運行效率低得無法使用；算法加以簡化後，效率大幅提升，幾乎可以與RSA媲美，但是卻出現安全隱患。但是近年來對於該密碼係統的研究取得了實質性進展，它們很可能就是美國國家安全局不久將要推出的後量子時代的密碼係統中的重要組成部分。

對付量子計算機未來可能的攻擊，采用改進的經典數學方法而不是全新的量子密碼技術己成為歐美密碼界近期的共識，2017年年中在迪拜召開的RSA國際學術會議充分展示了這一點。這些改進後的新的密碼算法完全可以在目前所有的計算機和通信網絡上運行，現行一切通信方式釆用這些新算法進行升級換代過程可以變得更平穩更經濟。

把高鐵工程與量子保密通信聯係在一起，可以印象化地說明這樣一個事實：洋人做不來的事，中國人可以做而且可以做得很好。但是我們必須明白，量子保密通信不是高鐵工程，它隻是一個不完整的示範性工程，工程的必需性和可行性正麵臨嚴峻的考驗。人們出行可以坐高鐵也可以不坐高鐵，也可以坐一段高鐵再加一段普客。但是通信係統中經典密碼係統很難與量子密碼係統兼用，如果一定要聯在一起用，就會有木桶短板效應產生，量子保密係統不能為用戶帶來絲毫益處，除非通信雙方全程使用量子保密係統，而我們都知道這對大量的普通用戶又是多麽地不切實際。高鐵一通，上麵坐滿了普通百姓，而京滬量子幹線開通至今，請問又有幾個吃瓜群眾享受到了量子保密通信的好處？

那麽金融行業，特別是銀行係統是否會享受到量子通信幹線的優越性呢？很可惜答案是否定的。量子計算機有可能破解RSA這類非對稱密鑰，而對於基於複雜邏輯運算的對稱密鑰體製根本就沒有威脅。現在所有金融行業（包括銀行）采用的都是對稱密鑰體製，這個標準由中國人民銀行頒布的PBOC裏麵有詳細的描述，並且PBOC標準也是參考美國的國家標準製定的，其實全世界的金融行業標準幾乎都是一個模子刻出來的[3]。

銀行係統密鑰分發要用到RSA這類非對稱密鑰隻有初始化的第一次，之後采用的都是對稱密鑰加密。其實初始化都未必會用到RSA，任何能夠安全地將初始化密鑰分發到密鑰分發管理中心的手段都可以采用，畢竟隻需要做一次的事情，麻煩一些也無所謂。銀行與其它金融係統對量子保密通信是不會有多少興趣的，哪怕你明天就變出一台有幾萬量子位的量子計算機，他們仍舊會是“量子圍困萬千重，我自巍然不動。”

軍隊會使用量子通信嗎？從目前的技術狀態來看，這更不可能。軍隊通信對網絡的移動性、可變性、和抗幹涉性有更高的要求，量子保密通信從本質上很難適應這樣的網絡通信環境。

那麽究竟誰是京滬量子幹線上的主要用戶呢？有報道說某某市政務係統開始采用量子保密通信技術，做些什麽呢？使用量子密鑰對視頻通話加密解密。其實隻要是了解政務係統的人都知道，跑在政務係統上麵的信息，其實從來就沒有太多需要保密傳送的內容，真正機密的信息連一個字都不會放在政務網上的。所謂政務網采用量子通信多少帶有作秀的成分。

對量子保密通信概念的誤解導致了一係列問題的產生，媒體的過份渲染和資本市場的炒作把問題進一步複雜化。因此有必要再次強調：
1）量子通信根本不是一種新的通信技術，它不是用來傳遞信息的，它從來不是、也永不可能為大眾帶來更快、更方便、更廉價的通信服務；
2）量子通信幹線工程甚至也不是一套完整的密碼安全係統，到目前為止，它不能提供密鑰的分級發送管理、身份認真和電子簽名這樣一套完整的嚴格切實可行的信息安全服務[4]；
3）目前量子通信工程隻是基於BB84協議的量子密鑰協商技術，原本是用來對付將來有可能發生的量子計算機對非對稱RSA密鑰攻擊的一種防衛手段。但事實上RSA在後量子時代有足夠強的生命力，而且更重要的是在許多應用環境中，RSA公共密鑰並不是非要不可的。而在一些離不開RSA的環境中，量子通信又根本無法投入使用。

對量子密碼技術作前瞻性的科學研究我們應該支持，畢竟在後量子時代如何確保信息安全誰也不敢打保票，量子密碼技術有可能發展成為對抗量子計算機攻擊的有效工具，多一種選擇總是好的。雖然危機仍在未定之天，但未雨綢繆作超前的研究也是應該的，因為新技術從概念提出、實驗證明、技術和標準的建立都需要時間，千萬不能等危機出現後再臨陣磨槍。而且科學研究的過程中會提升相關技術的水平，也很可能會收獲意想不到的副產品。對量子保密通信技術作前瞻性科學研究應該大力支持，我的這個態度始終也不會改變。

但是鋪開建設量子保密通信幹線的工程項目必須謹慎再謹慎。從近期看，經典密碼係統是安全的，到目前為止，量子保密技術不僅成本昂貴，而且功能上也無法替代經典密碼係統。開發量子保密技術為的是應對未來可能發生的危機，但這種危機離我們仍十分地遙遠，即使危機真的降臨，改進升級後的經典密碼係統應該足以應付危局。在後量子時代，量子密碼技術並非是對抗危機的唯一選擇，它很有可能僅是一枚永遠也使用不上的備胎。

[1]http://www.guancha.cn/society/2017_09_29_429255.shtml
http://www.guancha.cn/economy/2017_09_30_429382.shtml
http://www.guancha.cn/society/2017_09_29_429359.shtml

[2]https://eprint.iacr.org/2017/351.pdf

[3]有關中國人民銀行使用的PBOC簡介，可參閱科學網李紅雨博客：http://blog.sciencenet.cn/blog-46717-1074225.html

[4]量子保密通信至今不是一套完整的密碼安全係統。到目前為止，它不能對通信安全提供諸如密鑰的分級發送管理、身份認真和電子簽名這樣一整套嚴格完整的全方位的服務。

本文首發於觀察者網2017年10月31日, 發表時曾有多處刪節。