徐令予博客

量子通信神話之二：QKD可以拯救公鑰密碼危機

作者：徐令予

所有已建或在建的量子通信工程都不是新的通信技術，它們也不是保證通信安全的獨立完整的密碼係統。量子通信工程也與量子糾纏毫無關係，它們其實隻是利用量子偏振態為通信雙方協商獲得共享密鑰的一種硬件技術，簡稱“量子密鑰分發”技術(QKD)。

QKD的工作原理源於IBM的Bennett等人在1984年製定的BB84協議。Bennett本人並非一個密碼專家，他們的初衷僅想采用量子力學原理在信息安全領域做些科學探索，BB84協議本不是用來解決什麽信息安全現實問題的。BB84是前互聯網時代留下的技術活化石，這是一種落後的端到端的通信協議，它與現代互聯網結構格格不入、水火不容。所以這個協議提出後，IBM並沒有申請專利就不足為奇了。

世界上有許多千奇百怪的物理學探索性課題，許多科研項目誕生於實驗室又悄悄壽終於實驗室。在一般情況下，QKD的命運應該和大多數探索性項目一樣“藏在深閨人未識”，它們鮮有走出實驗室的大門的機會。

近年來炒得沸沸揚揚的量子信息技術終於讓QKD這個屌絲有了逆襲的機會。QKD頭頂“量子”光環，又扯上尚未出世的難兄難弟量子計算機，導演了一場“沒有金剛鑽偏要攬瓷器活”的鬧劇。

鬧劇的神邏輯是這樣的：公鑰密碼的安全性無法得到證明，更危險的是，當量子計算機進入實用階段後，公鑰密碼會被輕易破解，這將導致信息係統的災難。敵對勢力甚至現在可能就在收集那些依靠公鑰密碼保護的文件，等待量子計算機出來後將逐一破解。為了保護國家和人民的通信安全，必須加速投入無條件安全的量子通信建設，時不可失，機不再來。

這段論述表麵看來振振有辭、理直氣壯，說得比唱的還好聽，其實邏輯上是完全錯誤的。因為公鑰密碼與QKD根本就是處在不同層次而且內涵絕然不同的兩個概念。如果把公鑰密碼看作智能手機，那麽QKD更像是固定電話座機，雖然它們都有通話的功能，但它們通話的使用方式、適用範圍是完全不同的，而且智能手機還具有上網、攝影和移動支付等等功能，固定電話座機哪裏有機會代替智能手機呢？

同樣道理，QKD隻能為確定的“熟人”之間分發一個共享密鑰，而公鑰密碼使用公鑰、私鑰兩個密鑰，所以能為互聯網千千萬萬“非熟人”之間分發密鑰，而且它還可以完成用戶認證、數字簽名等多種QKD完全無法完成的功能。公鑰密碼與QKD是兩條軌道上跑的車，即使明天量子計算機與太陽同時升起，公鑰密碼的天塌下來，“量子通信”這個銀樣蠟槍頭是根本不頂用的，唯有丟人現眼的份。

QKD的這場鬧劇與偽科普有著密切的關係，“解鈴還須係鈴人”，結束這場鬧劇還得從嚴肅的科普教育著手。下麵將對通信密碼學作些科普，介紹對稱密碼和公鑰密碼的發展曆史，分析它們在功能和用途上的區別。通過更多的科學事實和邏輯推理徹底清除有關“量子通信”的謬誤。

密碼係統是用來保護通信安全的。在信息時代通信成為人們日常生活最重要工具，現代信息的傳輸都依賴於共享的通信網絡，所以保護通信安全的密碼係統已經飛入了尋常百姓家。人們上網購物，手機支付、微信聊天都在不知不覺中得到了密碼係統的保護。

我們可以把密碼係統想像為一個帶鎖的匣子和兩把完全相同的鑰匙，見圖1。有了這樣一個係統，雙方就可以安全地傳遞信息。發送方把文件放入帶鎖的匣子裏，然後用鑰匙把匣子鎖上，再把鎖上的匣子通過郵政或者快遞公司送達接收方，接收方拿到匣子後用鑰匙把匣子打開，這樣接收方就獲得了文件。

假設匣子使用絕對堅固的特殊材料組成，用鑰匙把它鎖上後，除非使用同樣的一把鑰匙把匣子打開，沒有任何辦法可以取得和觀察匣中的文件。有了這樣的設備，雙方的文件傳輸就是安全的，至少在傳輸過程中（信道）是安全的。換言之，在匣子傳送的整個過程中隻要鑰匙控製在通信雙方的手中，他們就不擔心匣子傳送中使用什麽方法、走什麽路線，也不在乎匣子經過多少黑客間諜之手，而這就是保護通信安全的核心的要求。至於偷竊或複製鑰匙，那屬於信源安全問題，以後另行討論。

明白了上述的道理，就容易理解現代通信中的密碼係統的工作原理。現代通信使用電報、電話、電郵等等方式，通信過程中傳輸的是各種電信號（又稱明文）。我們當然也可以把需要傳遞的電訊號錄在磁帶上，然後放在上述的匣子上傳遞，但是這樣的傳遞效率太低。我們反其道而行之，不是用匣子把電信號隱蔽起來，而是讓電信號在公開的線路上傳輸。但是在傳輸前，先把明文按某種複雜的規則和特定的參數把內容完全打亂，生成無人能解讀的密文，任何人取得這些密文後使用任何手段都無法從中得到任何有用的信息，隻有知道這個特定參數的接收方才可以把密文還原成明文。

例如明文‘fly at once’轉換成密文‘gmz bu podf’，這裏轉換規則是字母按字母序列替代，特定參數是以下一個字母替代。使用同樣的轉換規則隻要改變特定參數，例如以下兩個字母取代，密文就變成‘hna cv qpeg’。收到密文後隻有知道特定參數的接收方才可以按照轉換規則的逆操作得到明文‘fly at once’。當然字母替代的轉換規則太簡單幼稚，沒有任何實用價值，隻是通過這個實例解釋“轉換規則”和“特定參數”的真實含義。

明文與密文相互之間的轉換就是加密與解密，加密與解密需要兩個元素：轉換規則和特定參數，前者是加密解密算法（簡稱加密算法），後者就是密鑰。它們分別等價於“帶鎖的匣子”和“鑰匙”。為了保證文件傳遞的安全，需要把文件鎖進一隻沒有了鑰匙就永遠也打不開的匣子；同樣道理，密碼係統需要有一種特殊的加密算法，加密算法在密鑰的控製下把明文轉變成一堆亂碼——誰也讀不懂的密文（相當於用鑰匙把文件鎖進匣子），隻有密鑰的擁有者方可把密文轉換成明文（相當於用鑰匙打開匣子把文件取出）。

一個安全的密碼係統的關鍵是具有優秀的密碼算法，一個高級優秀的密碼算法是公開透明的，但它可以保證除了密鑰擁有者，任何其他人無法破解密文，即使是掌握了加密算法也毫無用處。一個優秀的密碼算法把通信的所有機密集中濃縮在密鑰中，這樣的做法無疑是非常科學合理的。因為密鑰僅是隨機字符串，通信雙方保護好共享的密鑰遠比保護通信的線路、沒備、加密算法等等要素要方便容易得多。因為在涉及通信安全問題上，除了通信的雙方，你不能相信任何第三者。作為一個普通的通信用戶，他不可能自己設計或改動密碼算法，也沒有本事確保通信線路及設備的安全可靠，但保護好一個密鑰還是完全有可能的。一個優秀的密碼係統必須讓任何兩個普通人都能實現安全可靠的通信，隻要他們保護好各自的密鑰就可以了。

在上麵介紹的密碼係統中，用以加密和解密的密鑰是完全相同的，這種密碼係統稱作“對稱密碼”。使用對稱密碼時，通信的收發雙方擁有完全相同的密鑰，加密和解密的密鑰是完全相同的。對稱密碼中比較著名的編碼算法包括DES、3DES、IDEA、AES等，它們都是基於數學的複雜算法原理用軟件方法實現的。

對稱密碼在理論上也可以自稱為無條件安全的。早在1949年，信息論鼻祖香農(Claude E. Shannon)就在他發表的“保密係統的通信理論”一文中證明了異或方式的對稱加密算法在滿足：密鑰長度不小於明文、密鑰生成充分隨機、一次一密這三個條件下，攻擊方完全無法破解密文。

但是在工程實踐中，“密鑰長度不小於明文”、“一次一密”這些條件不僅在技術上很難完全滿足，而且實際上也沒有這個必要。目前使用的256位的AES算法是足夠安全的，麵對未來的密碼破解能力的提升，隻需遵循香農保密準則，增加密鑰長度、改善密鑰質量、減少密鑰重複使用次數，對稱密碼的安全性是無須擔心的，相比計算機軟硬件的各種安全隱患真是小巫見大巫了。這個觀點不僅是密碼學界的共識，包括量子通信人士也是無法否認的，盡管他們不太願意公開承認這一點，其中的原因後麵會加以詳述。

對稱密碼的要害是通信雙方共享同一密鑰，這必然要求通信雙方在通信過程的開始前至少有過一次“零距離接觸”[1]，在首次接觸時雙方商定出一個共享密鑰，其實也就是一個隨機字符串。一旦擁有了共享密鑰後，通信雙方即使分隔在天涯海角，他們依靠共享的密鑰把需要傳遞的明文加密成密文，然後可以通過任何方式把密文傳遞給對方，完全不用擔心中途的攔截和竊聽，因為沒有任何人可以把密文還原成明文，除非擁有那個共享的密鑰。

使用對稱密碼的必要條件是通信雙方至少有過一次“零距離接觸”，沒有這個先決條件通信雙方就無法建立起共享的密鑰。因為依靠電話、信件或其它任何方法商定出來的共享密鑰都存在被第三者竊取的隱患，這樣得到的密鑰原則上都是不安全的，而對稱密碼的安全性完全建立在密鑰的安全上。

由此可知，對稱密碼就是相互認識的“熟人”之間使用的密碼係統，隻要是在“熟人”之間，隻要有過“零距離接觸”，就可以商定共享密鑰。隻要有了這個初始密鑰，不僅可以用它對明文加密解密以保護明文傳送中的安全，而且也可以把新設定密鑰當作明文來加密解密，用以傳送分發更多的新的密鑰，因為密鑰本是一串隨機字符串。對稱密碼在“熟人”社會（例如企業和軍隊）內部可以保證通信和密鑰分發的充分安全。

但是互聯網的出現讓“對稱密碼”這位老革命家遇到了新問題。互聯網億萬用戶很難依靠對稱密碼來保證他們相互通信的安全。難題一，使用對稱密碼的必要條件是通信雙方至少要有過一次“零距離接觸”，這個條件在互聯網世界很難滿足。難題二，兩個用戶使用對稱密鑰前必須通過“零距離接觸”建立起初始密鑰，如果互聯網的一個通信群體的用戶數到達一千萬，這個群中需要生成近100億個初始密鑰，每個用戶就要存放管理好9999999個初始密鑰！這兩個難題使得對稱密碼無法在互聯網環境中發揮作用。但是沒有密碼係統保護的互聯網通信又是難以想像的。

“需求乃發明之母”，保證互聯網通信安全的強大需求催生出了天才的發明——非對稱密碼（又稱公鑰密碼），可以毫不誇張的說，公鑰密碼就是保護互聯網通信安全的利器，沒有公鑰密碼就不會有互聯網今天的風光。

非對稱密碼的工作原理其實不難理解，也可以把它看成一把鎖。對稱密碼這把鎖有兩把完全相同的鑰匙，它們都可以用來加鎖和開鎖，所以稱之為對稱密碼；非對稱密碼的鎖配有公鑰和私鑰兩把完全不同的鑰匙，單有公鑰無法複製私鑰，而用其中的一把鑰匙加鎖後，隻能用另一把鑰匙方能開鎖，反之亦然。當然前麵已經介紹過，在真實的密碼係統中，這裏的鎖其實就是加密算法，而加鎖、開鎖則對應於加密、解密。

現在請看圖2。圖中的左邊是信息的發送者，右邊是接收者。通信過程可分解為三個動作，過程起始於右邊的接收者。1）接收者有公鑰（帶紅色標記）和私鑰兩把鑰匙，接收者通過公共通信設施把公鑰傳給發送者；2）發送者把文件放入匣中，用公鑰把匣子加鎖後通過公共通信設施傳給接送者；3）接收者用相應的私鑰把鎖打開取出文件，收接雙方利用公共交通設施安全地傳遞了文件，又不需要事先有過零距離的接觸。

在以上的通信過程中，公鑰雖然公開出現在網絡上，但是任何人複製、竊取沒有任何用處，因為發送者的明文就是用這個公鑰加鎖的，而這把鎖的特點就是用公鑰加鎖後再也無法打開，除非使用與之對應的私鑰。而私鑰又僅掌握在接收者手中，任何人根據公鑰又無法複製對應的私鑰，所以發送者用接收者送出的公鑰加鎖的匣子隻能被掌握在接收者手中的私鑰打開，公鑰和私鑰的共同配合保證了收發者之間文件傳遞的安全。

在上述通信過程中，收發雙方不需要事先商定一個共享的秘密——密鑰，他們之間不需要有“零距離接觸”，一次也不需要!通信的接收者隻要保護好自己的私鑰，而公鑰是可以公開地、大大方方地傳遞給發送者。公鑰密碼係統通過使用公鑰和私鑰這樣兩個不同的（非對稱的）密鑰，使得通信雙方可以跨越“零距離接觸”這個巨大的障礙，讓分隔天南地北的非“熟人”之間都可以方便快捷地進行安全的通信，公鑰密碼技術對於互聯網的生存發展功莫大焉！

對稱密碼和非對稱密碼（即公鑰密碼）構成完整的傳統密碼係統，對稱密碼主要用在“熟人”之間，為各類企業、政府機構和軍隊內部提供通信的安全保障。公鑰密碼主要用來為億萬互聯網用戶提供通信安全服務。在實際使用中，這兩種密碼又常常是相互配合、各盡所能、取長補短。

公鑰密碼可以為互不認識的互聯網用戶之間安全地傳遞信息，因為對稱密碼的密鑰本身就是一個隨機字符串，所以公鑰密碼就常常被用來在互聯網上為非熟人之間傳遞分發對稱密碼的密鑰，一旦兩個從未有過“零距離接觸”的非熟人之間通過公鑰密碼獲得了共享的密鑰後，他們之間就可以用對稱密碼作加密解密以保護通信的安全。因為對稱密碼更安全，而且加密解密也更有效率[2]。

對稱密碼把加密解密的所有核心機密都傾注在一個密鑰中，因此對稱密鑰需要時時處處小心苛護、見不得人，使用很不方便。而公鑰密碼把加密解密的核心機密分解在公鑰與私鑰這樣兩個密鑰中，一個可以公開，把另一個隱藏起來，公鑰密碼使用方便靈活，在互聯網環境中遊刃有餘。

公鑰密碼不僅可以轉遞分發密鑰，它還能為通信用戶提供身份認證和數字簽名。通信安全不隻是保密性，通信的確定性和完整性也是通信安全的重要組成部分，在有些場合甚至比保密性更重要。公鑰密碼可以為非熟人之間提供密鑰分發、身份認證、數字簽名等多種功能，全方位地為通信安全保駕護航。而在企業、政府機構等熟人社團中，密鑰分發、身份認證、數字簽名這些功能都可由對稱密碼完成，但是在某些場合下也會部分釆用公鑰密碼，以提高效率和降低成本。

至此作一個小結：

傳統密碼分成對稱密碼和公鑰密碼（又稱非對稱密碼）兩個係統。它們都有各自的加密算法和密鑰組成，具體地來說加密算法就是實施某種數學運算的軟件，而密鑰就是控製該算法運行的一個數字參數。

對稱密碼使用共享的相同密鑰作加密和解密。對稱密碼主要為有過“零距離接觸”的熟人之間提供加密解密、密鑰分發、身份認證等功能，它可以為企業、政府機構和軍隊內部的企業網之間通信提供充分的安全保障。

公鑰密碼使用公鑰和私鑰兩個不同的密鑰，單從公鑰無法複製私鑰，而用公鑰加密後隻能用私鑰方能解密，反之亦然。公鑰密碼主要為互聯網億萬非熟人之間提供密鑰分發、身份認證、數字簽名等功能，是保護互聯網通信安全的經濟有效不可缺少的利器。

對稱密碼和公鑰密碼的本質區別在密鑰上：是使用同一個密鑰還是兩個不同的密鑰？需不需要初始密鑰？這兩個特征決定了對稱密碼和公鑰密碼各自適用的範圍和服務的對象。這個自然段請讀者重讀三遍，它是全文的關鍵。

所謂的“量子通信”究竟與對稱密碼和公鑰密碼又有什麽關係呢？目前的“量子通信”都是基於量子力學測量原理的BB84協議的各種工程翻版，該方案利用光子的偏振態作為信息載體來傳遞密鑰，基本的工作原理介紹如下。

發送方把不同的濾色片遮於光子源前，就可分別得到四種不同偏振態的光子，分別用來代表“0”和“1”。請注意，每個代碼對應於兩種不同的光子偏振狀態，它們出自兩組正交的偏振濾色片。接收方就隻有兩種偏振濾色片，上下左右開縫的“十”字式和斜交開縫的“X”字式。由於接收方無法預知到達的每個光子的偏振狀態，他隻能隨機挑選兩種偏振濾色片的一種。接收方如果使用了“十”字濾色片，上下或左右偏振的光子可以保持原量子狀態順利通過（見圖中上麵的第二次選擇，接收方用了正確的濾色片），而上左下右、上右下左偏振的光子在通過時量子狀態改變，變成上下或左右偏振且狀態不確定（見圖中第一次選擇，用了錯誤的濾色片）。接送方如果使用X字濾色片情況正好相反，見圖中第三次選擇（錯誤）和第四次選擇（正確）。

接收方通過公開信道（電子郵件或電話）把自己使用的偏振濾色片的序列告知發送方，發送方把接收方濾色片的序列與自己使用的序列逐一對照，然後告知接收方哪幾次用了正確的濾色片（打勾?的2，4，5，6，9，11，12）。對應於這些用了正確濾色片後接收到的光子狀態的代碼是：10011010，接發雙方對此都心知肚明、毫無疑義，這組二進製代碼就是它們兩人協商出的一個共享密鑰。QKD過程中如何防止第三者竊取密鑰等技術細節就不在本文展開了[3]。

通過上麵的介紹可知，量子通信就是基於物理原理依靠硬件分發密鑰的技術。表麵上看，這種技術似乎能為通信雙方獲得共享的密鑰，而又不需要收發方在通信以前有過“零距離接觸”。其實這是對密碼學基本原理的一個嚴重的誤解，或許是故意的曲解。量子密鑰分發技術根本解決不了“零距離接觸”這個難題，它無法為億萬互聯網上“非熟人”之間提供密碼服務。量子現象再怎麽神奇，它總不能違背最基本的邏輯吧？用上述的密碼學基本原理分析一下，就可徹底看清量子通信的真實麵目。

在QKD開始時如果甲乙雙方的真實身份無法確認，攻擊者在量子傳遞線路中間對甲方冒充乙方，同時對乙方冒充甲方。甲方與攻擊者之間、攻擊者與乙方之間照樣可以順利協商得到兩個密鑰，然後甲方把通信內容加密後傳送給了攻擊者，攻擊者用第一個密鑰解密獲得了全部通信內容，然後再把通信內容用第二個密鑰加密後傳送給乙方，乙方用密鑰解密得到通信內容。甲乙雙方還以為依靠量子通信完成了無條件安全的通信，誰知攻擊者在暗處偷笑：量子通信傳遞的秘密“盡入吾彀中矣。”

量子通信不適合用作通信雙方的身份認證，但也不是完全不能做。已經存在一種稱為“Wegman-Carter scheme”的方案可以用作通信用戶的身份認證[4]。這個方案的原理其實也簡單，就是讓通信雙方在QKD通信之前預先取得一個較短的密鑰（又稱為tag，一般為256位的二進製數），接著雙方通過QKD取得新的共享密鑰，然後用它來加密解密tag，最後經過比對確認對方的真實身份。從這個角度看，QKD實質上是一種受條件限製的密鑰分發技術，這個限製條件就是通信雙方在密鑰分發前已經擁有初始共享密鑰。換言之，所謂的“量子通信”隻能為有過“零距離接觸”的熟人之間協商分發出對稱密碼中的一個共享密鑰，它與公鑰密碼是驢唇不對馬嘴。“量子通信”完全沒有可能替代公鑰密碼。

量子通信推動者和科普教育者都有意或無意中，掩蓋和混淆了這樣一個鐵的事實：量子通信其實隻是以硬件方式為“熟人”之間提供一個共享的密鑰，除此之外它啥也幹不了。量子通信不僅無力替代公鑰密碼為互聯網億萬“非熟人”之間分發密鑰，而且因為它提供的僅僅是一個共享密鑰而不是像公鑰密碼那樣的一對密鑰（包括公鑰、私鑰）。沒有公鑰、私鑰的協同配合就難以實施互聯網上的身份認證、數字簽名等等服務，而這些服務恰恰是保證互聯網通信安全的關鍵。

要為億萬互聯網用戶服務，量子通信還有一個更難的障礙無法跨越。量子通信與對稱密碼一樣需要在收發方之間建立和保存初始密鑰（或者稱tag），當用戶數成千上萬的增長後，管理這些海量的初始密鑰就會成為不可能完成的任務。

公鑰密碼的算法安全性確實值得重視，改善和提升公鑰密碼的安全也是應該的。但是過度誇大公鑰密碼的安全隱患不僅有違科學事實，而且對量子通信一點好處也沒有。公鑰密碼是死是活與“量子通信”沒有半毛錢的關係，沒有金剛鑽你就別想攬那瓷器活。

量子通信實質上就是用硬件方式協商出一個共享的密鑰，這注定了它與公鑰密碼毫無關係。那麽量子通信在對稱密碼中是否會有點用處呢，非常不幸，答案也是完全否定的。使用對稱密碼的用戶之間一旦建立了初始密鑰後，任何一方可以任意製定新的密鑰，用初始密鑰加密成密文後安全地傳遞給另一方，另一方用共享的初始密鑰對密文解密得到新的密鑰。對稱密碼用戶之間用這種方法分發和更新密鑰，多快好省從來也沒有什麽問題[5]。量子通信工程的推動者認為公鑰密碼一旦崩潰，沒有“量子通信”密鑰隻能依靠“信使”來分發。這是對密碼學基本原理的又一個嚴重的誤解（也許是有意的謊言）。

對稱密碼加密解密的安全性是不容懷疑的，包括量子通信人士也是無法否認的，盡管他們不太樂意公開承認這一事實。其實原因很簡單，量子通信一刻也離不開對稱密碼的加密算法。前麵已經介紹了量子通信的工作原理，量子通信實質上隻是用硬件方式分發了共享密鑰，僅此而已，它本身沒有一丁點加密解密的功能，加密解密使用的就是對稱密碼中常用的AES這些算法。

密碼係統要安全必須要求加密解密算法和密鑰分發都是安全的。如果對稱密碼的加密解密算法是不安全的，用無條件安全的量子密鑰分發為對稱密碼傳遞密鑰純屬浪費；如果對稱密碼的加密解密算法是安全的，用這種加密解密算法分發密鑰一定也是安全的，那麽量子密鑰分發技術就純屬多餘。邏輯的硬道理告訴我們量子密鑰協商——即所謂的“量子通信”，它在對稱密碼係統中也沒有立足之地。

綜上所述可得如下結論：今日所謂的“量子通信”既不是一種新的通信方式，它也不是一種新的密碼係統，把它稱為量子密碼技術也是完全不合格的，它其實僅是對稱密碼係統中提供密鑰分發的一種新的選項。量子通信比較正確合理的定位應是：對稱密碼係統中密鑰的硬件協商技術。由此可知“量子通信”與公鑰密碼毫無關係，認為所謂的“量子通信”可以拯救公鑰密碼危機是一個彌天大謊。“量子通信”的密鑰協商功能隻適合用在對稱密碼係統中，但是對稱密碼係統中的密鑰分發早已存在完整有效的的技術手段和行業規範，它們遠比“量子通信”技術更安全、更成熟、更經濟有效。

基於BB84協議的“量子通信”沒有工程實用意義，把“量子通信”工程當作國之重器就是一個諷剌。說到底，一個密碼係統的關鍵技術都在加密算法中，密鑰隻是一個隨機字符串而已。量子通信隻是密鑰的分發協商，它本身不帶加密算法，這決定了它真的沒有什麽技術含量，當然也就不可能有很大的發展空間。

最後還要強調指出，本文的結論純粹是基於通信密碼學基本原理通過邏輯分析得到的。本文在分析討論中故意忽略了量子通信的物理過程和工程實施等細節，並且還假定量子密鑰分發本身是無條件安全的，這是為了讓本文的結論讓常人容易理解，確保本文的結論經得起時間的考驗。即使放寬對“量子通信”的審視標準，處處優待“量子通信”，但是得到的結論卻是堅實明確、毫不含糊：基於BB84協議的“量子通信”沒有實用價值。

盡管本文對“量子通信”的批評質疑一直秉承“疑罪從寬”的原則，但並不表示量子通信除了上述概念性錯誤外就沒有更多的問題，事實上有些問題更嚴重更致命。其實量子密鑰分發在理論上也不是無條件安全的，而使用了可信中繼技術的量子密鑰分發具有極嚴重的安全性隱患，量子通信在組網技術上有難以克服的障礙。量子通信的這些嚴重問題在本係列中分別有專文分析討論。

參考資料

[1]使用對稱密碼的通信雙方在通信過程的開始前至少有過一次“零距離接觸”，或者通過與雙方信任的第三方“零距離接觸”，從而達成間接的接觸。後者就是普遍使用的“密鑰分發中心”KDC方案。

[2]互聯網環境中公鑰密碼與對稱密碼的配合使用圖解

[3] QKD過程中如何防止第三者竊取密鑰呢？假設竊密者在公開信道上得知了接送方使用的偏振濾色片序列，也知道了發送方的確認信息，但是竊密者依舊無法確認密鑰序列。竊密者真要確認的話，必須在中途插入偏振濾色片來觀察，但它又無法事先知道應該使用“十”還是“X”濾色片，一旦使用錯誤濾色片，光子量子狀態發生改變，竊密的行為立即暴露。收發雙方可刪除出錯的代碼段落以保證共享密鑰的安全。

要了解QKD更多的技術細節和安全性分析可閱讀下列文章：

Security of Quantum Key Distribution 

https://ieeexplore.ieee.org/document/7403842

[4]必須指出“Wegman-Carter scheme”身份認證方案實際上隻是一種傳統認證方式用在了QKD的過程中，該方案與量子物理無關。

[5]徐令予：企業網環境中的密鑰分發管理