量子通信技術困境之一 ：極低的成碼率

                         作者：徐令予 

 “極低的成碼率”、“不能兼容互聯網”和“極不安全的可信中繼站”是三座大山，它們是量子密鑰分發技術(QKD)工程實用化難以逾越的障礙。俗話說“一山當關，萬夫莫開”，過不了“QKD成碼率低下”這道坎，量子通信就不可能有工程化的光明前景。

 QKD的成碼率是單位時間內通信雙方可以獲得的有效共享密鑰總位數。成碼率是密鑰分發的重要技術指標，它反映了密鑰分發的效率，因而決定了密鑰分發技術的實用性和性價比。

上圖展示了目前QKD工程可以實現的成碼率數據。在一百公裏左右的距離上，QKD密鑰成碼率僅為1 Kbps，如此低下的成碼率實在不忍卒睹，與現代光纖數據通信的高效率相比差得何止十萬八千裏。

目前光纖通信的美國標準OC-48的速率是2.5 Gbps，OC-192已達10 Gbps，40 Gbps也已商用化。2011年3月美國洛杉磯舉辦的2011年光纖通訊大會(OFC2011)上展示了最新的光纖傳輸技術。這是德國弗朗霍夫學會海因裏希-赫茲研究所與丹麥技術大學研究人員合作完成的，他們在長度為29公裏的單一玻璃光纖線路上創造了每秒10.2Terabit(太比特)的光纖傳輸速率新世界紀錄，其每秒傳輸的數據量相當於240張DVD光盤。這個速度已經超過”科大國盾”QKD設備成碼率的數億倍！

在現代光纖通信係統中，高速的數據傳輸速率與蝸牛般低速的QKD成碼率之間引成了嚴重的反差。一些“量子通信”的專家們張口閉口就是“密鑰與明文等長”和“一次一密”，如果真要使用QKD並且嚴格按照他們這個標準對數據進行加密，那麽在百公裏長的光纖上傳輸加密數據，就必須在這根光纖邊上至少再鋪設上億根光纖，並在這些光纖每兩頭都裝上”科大國盾”的QKD設備，方有可能得到足夠長的密鑰位數去匹配高速的數據流。麵對以上鐵一般冷酷無情的數據，請問量子通信的工程價值究竟又在哪裏？

5G移動通信技術近來成了熱點。眾所周知，5G的下載速度可達Gbps級別，這個速度是QKD成碼率的近百萬倍。如果用量子通信來保護5G數據通信的安全，為了達到“密鑰與明文等長”和“一次一密”的要求，5G用戶要下載一秒的數據，就得預先耐心等待“科大國盾”的QKD設備連續不停地工作一個月，才能產生足夠長的密鑰為那一秒鍾的下載數據加密。其結果不是“黃花菜都涼了”，而是“黃花菜都臭了”，這樣的量子通信你會用嗎？

正因如此，4G、5G等移動通信技術的研發和標準製定過程中，不見“量子通信”的隻字片語。在現代化高速、實時、多媒體互動通信的舞台上，蝸牛般低速的成碼率使得量子通信沒有任何立足之地。

QKD成碼率低下是被物理原理所決定的。香農（Shannon）提出並嚴格證明了有限帶寬有噪聲信道的最大數據傳輸速率為R=W*㏒2(1+S/N)，對於相同的光纖，信道帶寬W和噪聲N基本上是固定的，因而信號強度就成了傳輸速率的決定因素。基於BB84協議的QKD技術是依靠單個光子傳送密鑰的，而傳統光纖數據通訊每個脈衝的光子數至少在10的7次方以上。這就是QKD成碼率遠遠低於數據傳輸率的主要原因。嚴格地說，QKD的成碼率不能用上述的香農公式來計算，QKD密鑰協商要通過光子偏振態的製備、傳輸、偏振態過濾、檢測、偏振態的一致性核對、密鑰塊奇偶校驗等一係列操作，這個複雜的過程會進一步降低QKD的成碼率[1]。

因為QKD極低的成碼率是被物理原理所決定的，QKD成碼率與光纖數據通信速率的差距在可預見的將來隻會繼續擴大。並且還有必要指出，量子通信工程的推動者們有意或無意中一直隱瞞了一個非常重要的事實：QKD成碼率與QKD的安全性和通信距離密切有關。換言之，提高QKD成碼率必然要付出安全性降低和通信距離縮短的高昂代價，QKD成碼率在可預見的將來都難有改善的空間。這裏需要再強調一遍：QKD極低的成碼率是被物理原理所決定的，靠工程技術很難發生實質性的改變。

Horace P. Yuen（美國西北大學電子和物理係教授，1996年獲得國際量子通信獎，2008年他又獲得了IEEE光子學會的量子電子獎。）是量子通信安全領域國際上公認的學術權威，他對QKD安全性發表了一係列重量級論文，受到了國際上不少同行的支持。我與他常有書信往來，在最近給我的一封電郵中他也表達了如下的觀點[2]。

“然而，QKD存在兩個固有的局限性在許多情況下被忽視了。首先，QKD受製於單光子源，與光纖通訊FOC的光源每個脈衝10^7個光子數完全不可比較。其次，QKD信號不能通過任何會破壞單光子量子特性的放大器。因此，QKD無法部署用於商業用途，其密鑰成碼率要低許多個數量級，而且還需在線路上布置中繼站，這些增加的硬件和中繼站會帶來安全和信任問題。 相比之下，EDFA放大器在長距離FOC線路中每80公裏使用一次，不需要中繼器，包括從美國到東亞的海底光纖電纜都是這樣做的。”

密鑰成碼率會嚴重影響密鑰分發技術的應用前景，為了把這個問題說清楚，有必要對密碼學作些科普。在傳統密碼係統中，按照密鑰的特征不同，可以分為對稱密碼與非對稱密碼(也稱公鑰密碼)。而按照加密方式的不同，又可以分為流加密和分組加密[3]。

分組加密又稱塊加密。當加密明文時，先把明文變成二進製序列，然後將其變成若幹個固定長度的組，不足位用0補全，然後逐個分組依次進行加密操作。分組加密是最古老也是最為人們熟知的加密方式，本文對此就不再細述。

流加密(Stream cipher)，又譯為序列加密，這是一種對稱加密算法，加密和解密雙方使用相同偽隨機加密數據流（pseudo-random stream）作為密鑰。明文稱為明文流，以序列的方式表示。加密過程所需要的密鑰流由種子密鑰啟動密鑰流生成器產生。然後利用加密算法把明文流和密鑰流進行加密操作，產生密文流。工程實踐中數據通常逐位作異或(xor)操作加密。解密過程是使用共享的種子密鑰通過密鑰流生成器得到相同的密鑰流，然後以此對密文流逐位作異或操作得到明文流。

在密碼係統中，流加密才是真正意義上的“密鑰與明文等長”和“一次一密OTP(One-Time Pad)”的加密技術，所以也是最有資格聲稱逼近香農信息級理論安全(即無條件安全)的加密技術。流加密的價值不僅體現在安全性能上，流加密技術更是保護多媒體實時互動傳輸的安全利器，現代通信安全離不開流加密。

在網絡上傳輸音頻/視頻(A/V)等多媒體信息，主要有“下載”和“流式傳輸”兩種方案。由於A/V文件一般體量都很大，下載方式必然要求客戶端有極大的存儲容量，同時由於網絡帶寬的限製，文件全部下載常常要花數分鍾甚至數小時，這種處理方法延遲時間太長，所以不合適現代的交互式多媒體通信。“流式傳輸”時，A/V文件由服務器向客戶端連續、實時傳送，用戶不必等到整個文件下載完畢，隻需經過短暫啟動延時後即可進行播放。當A/V文件在客戶端播放時，文件的剩餘部分將由後台作業從服務器繼續下載。流式傳輸不僅使啟動延時成十倍、百倍地縮短，而且不需要太大的緩存容量。

保護流式傳輸安全的最佳方案就是流加密。流式傳輸中的多媒體文件生成明文流，明文流逐位被密鑰流加密後生成密文流，密文流實時連續送達客戶端，客戶端的密鑰流對密文流逐位解密後恢複為實時連續的多媒體文件。流式傳輸與流加密配合默契，它們就是天生的一對。

為了與現代多媒體高速實時流式傳輸相匹配，相應的流加密必然要求密鑰分發技術具有穩定高速的成碼率。QKD不僅密鑰成碼率太低，而且無法連續穩定生成高速的密鑰流，因此QKD這種低效能技術在現代多媒體通信領域是毫無用武之地的。

如果成碼率低下的量子密鑰分發技術非要呈能作秀，就隻能放棄“密鑰與明文等長”和“一次一密”的OTP(One-Time Pad)”加密方案，那麽釆用傳統對稱加密算法就成了唯一無奈的選擇。眾所周知，信息安全是遵循木桶原則的，使用QKD加上傳統密碼算法的總體安全性就不可能高於傳統密碼係統，那麽費大勁建設量子通信幹線工程意義究竟又何在？而且由於QKD成碼率太低，密鑰必須大量多次複用，必然導致這種混合係統的安全性要低於傳統密碼係統。

在現代高速率、低延遲通信時代，超低成碼率的量子密鑰分發技術沒有任何切入口，是不可能有應用前景的。更為悲劇的是，QKD提供無條件通信安全有一個必要條件，那就是必須釆用“密鑰與明文等長”和“一次一密”的OTP加密方案。但是超低的成碼率使得釆用OTP加密方案事實上根本行不通，所以QKD承諾的無條件安全性就是一張空頭支票。這個世界上有多種密碼技術，它們都可以用OTP方案加強自身安全性，唯獨量子通信沒有這個資格，因為它的成碼率實在太低而且未來改善的空間極其有限，量子通信壓根就沒有能力采用OTP方案。請宣傳量子通信的某些人注意了，吹什麽都可以，千萬不要再誇誇其談什麽“一次一密”和“無條件安全”了，因為這聽上去更像是XXX想吃天鵝肉。

[1] QKD uses one photon (or less) per pulse. One cannot put many single photon pulses on, say, a nsec interval because much shorter pulses necessarily have many photons and can't be attenuated to become near single photon in practice, although in principle it can be. However, ordinary FOC can use short pulses already as you know, so the low QKD signal level cannot be rectified when comparing to usual FOC. Also single photon detectors can hardly work at nsecrate, not to say higher rate. Thus the limits on KGR are irreparable both fundamentally and practically. In particular, there is nobody can dream of actually generating psec single-photon source or psec single-photon detectors.

[2]However, there are two intrinsic limitations to QKD that have not been mentioned in most contexts. First, QKD is limited to single-photon source which may be compared to the 10^7 photons from a FOC source (per pulse). Second, QKD signal cannot go through any amplifier which would destroy the quantum characteristics of the single photon used for security. Hence there is no way QKD would be deployed for commercial use with its many orders of magnitude lower data rate and repeater spacing needed, apart from its different hardware and repeater trust problems. In comparison, EDFA amplifier is used every 80 km in a long distance FOC line including the undersea fiber cables from the US to East Asia with no repeater. 

[3] 非對稱密碼隻能使用分組加密方式。