年初，上海交通大學研究團隊成功破解“量子通信”的消息在互聯網上激起了一片浪花。該消息在觀察者網轉載後，24小時之內點擊破15萬，評論數超過3百條。一個科研項目、一個國家級的工程受到公眾的關注是件好事。但是由於諸多原因，公眾對“量子通信”存在許多誤解和疑慮，深入的科普和耐心的引導仍是當務之急。

“量子通信”被破解看似意料之外，實在情理之中。“量子通信”被破解其實一點也不奇怪，問世以來它被黑客虐了已經不知有多少回，這既不是第一次，更不會是最後一回。

“量子通信”被黑何時了，漏洞知多少？這還真不是杞人憂天，上海交大破解團隊的論文就是這麽說的：“然而，我們希望在此提供的主要信息是，當我們認為MDI-QKD已經是一個非常成熟且商業化的解決方案時，可能存在許多其他未發現的物理漏洞。”

“量子通信”被破解是好事還是壞事？這得看對誰而言。此事對於“量子通信”的科學研究工作可能是好事，破解-反破解本是量子通信科研的重要組成部分，失敗和教訓是科學成長的維它命。但是“量子通信”被破解對於工程項目絕對是悲劇了。

“帶病上崗”的京滬量子通信幹線究竟該怎麽辦？昨天，量子通信工程建設方通過“墨子沙龍”緊急補漏，聲稱：“正如我們公開在預印本arXiv上文章中已經深入討論了的，我們通過進一步理論分析和實驗設計，證明了針對這一漏洞的竊聽方案可以通過在源端（我們的實驗係統已經內置了30dB隔離度）增加更高對比度光隔離器來解決，從而保證量子密鑰分發的安全性。”但是論文的原文說的正好相反：“很顯然，攻擊者的激光功率不受限製的話，即使采用隔離保護，Eve總能夠破解MDI-QKD係統”（apparently with infinite laser power, Eve will always be able to hack MDI-QKD systems even with the isolation protection.）

這兩者之間總有一個是錯的吧？讓我們退一步，就算已經找到了切實可行的解決方案。此條幹線上數以百計的光量子發射源要不要都更換？設備更換後肯定會影響整體運行性能，係統參數的聯調估計也不是件容易的事。其結果必然使“量子通信”的硬件設備變得更複雜更昂貴，增加的經費開支由誰來買單？京滬幹線上自覺自願的付費客戶本沒有幾個，還要他們負擔額外的開支絕對說不過去。那麽隻能再一次啃政府，量子通信工程從頭到底由政府包建設、包運營，現在再要加上包修理，反正蚤多不癢、債多不愁。

早知今日何必當初，如果量子通信僅局限在實驗室中，上述所有問題都立馬消失。核心技術的進步來自於實驗室，這次發現的“量子通信”的安全隱患就是在實驗室中，而不是在京滬量子幹線上。科技可以在試錯中進步，但是工程項目絕不能在試錯中前行。

量子通信離開工程建設的可行性要求差之甚遠。量子通信工程的技術基礎是美國科學家在1984年製定的BB84協議，BB84是前互聯網時代留下的技術化石，這種點到點的通信協議完全不具備組成複雜多變網絡結構的可能。最近科大國盾在網上曬出了一份《量子保密通信技術白皮書》，看了其中關於量子保密通信組網部份，裏麵除了術語的堆砌，實在是空洞無物。量子通信組網連“紙上談兵”的水平都夠不上，隻能算是“夢中談兵”這一層級。大概是為了趕科創板上市，已經到了慌不擇路、饑不擇食的地步，實在令人失望。

量子通信工程中密鑰協商分發的最大距離不超過百公裏，遠程量子通信工程必須使用可信中繼站技術。可信中繼站中密鑰以明文格式接觸連網的計算機，給量子通信工程帶來極為嚴重的安全隱患。使用衛星作量子密鑰分發的技術尚在實驗階段，事實上它很難跨越“最後一公裏”這個技術障礙，本質上這還是被卡在中繼技術的死穴裏。

量子通信的BB84協議早在1984年就提出了，三十多年過去了，這樣一個漏洞百出、技術上不成熟又沒有多大實用價值的量子通信能混跡於江湖靠的是一張護身符——“量子通信”可以保證通信的無條件安全。其實“量子通信”在理論上的無條件安全性都是存疑的，“量子通信”工程的無條件安全性又何從說起？物理與工程之間有本質的區別，絕不能把物理原理中的理想結果偷換成工程指標。

著名物理學家費曼說過，“所有的物理定律都是對現實世界的近似，模型和現實之間永遠存在無法磨滅的微小差異。”費曼之所以在這裏使用“微小差距”，是為了強調現實與理論這二者之間的差距無論用什麽方法都是無法完全消除的，是“永遠”也無法磨滅的。

原理與現實之間永遠存在無法磨滅的微小差異，這個微小差距對於大多數工程項目也許影響有限，但對於密碼工程卻可能是致命的。因為一個幾百位的密鑰，隻要有幾位被泄漏，就可能導致整個傳輸的密文被破解。

這次的“量子通信”被破解是每傳送十個密鑰有六個被破解，這六個密鑰中的每個密鑰的所有位都被黑客全部破解全部鎖定，而通信的接收方仍一無所知。這簡直是密碼領域的天方夜譚，怪不得有好幾個密碼學界的朋友向我詢問消息的可靠性，他們都不敢相信真有這回事。

在密碼係統裏，密鑰全身必須包裹得嚴嚴實實一絲不露，連中東婦女那種隻露二隻眼睛的衣飾都是完全不合格的，而我們“量子通信”上傳輸的密鑰卻赤身裸體一絲不掛，連比基尼都忘了穿。這種“量子通信”密碼工程究竟又有多少人敢於使用？

物理原理給出的結果都是在滿足許多苛刻條件的理想環境下才能成立，在現實世界中，在工程實施時這些條件都是無法完全滿足的，即使要部分滿足這些條件，工程的代價也會高到無法忍受。工程都是性能和代價的折衷和優化，“量子通信”工程一定也逃脫不了這個規律，無條件絕對安全的“量子通信”在現實中是根本不存在的，注定也得把“貓捉老鼠”的遊戲繼續玩下去。這次“量子通信”被“注入鎖定”方式破解就是一個最好的證明。

說到底，信息安全技術的發展史就是一場“貓捉老鼠”的鬥爭史。傳統密碼技術如此，“量子通信”最多也隻能是如此。但是基於數學原理用軟件技術實現的傳統密碼在兼容性、效率和性能價格比各方麵都遠遠優於“量子通信”，失去了“無條件安全”這張護身符的“量子通信”又有什麽資格與傳統密碼一較高下？

目前大多數實驗室和工程建設中的“量子通信”並不是保證通信安全的獨立完整的密碼係統，密碼係統的核心是加密解密的算法，“量子通信”使用的都是傳統對稱密碼的加密解密算法。“量子通信”也與量子糾纏毫無關係，它們其實隻是利用量子偏振態為通信雙方協商獲得密鑰的一種硬件技術，簡稱“量子密鑰分發”技術。

“量子密鑰分發”基於量子物理的量子不可克隆原理，保證密鑰傳送過程中如果有竊聽必被發現，追求密鑰分發環節的保密性。許多人把通信保密性錯認為就是通信的安全性。當然通信安全一定要求通信內容的保密性，但是隻有通信的保密性並不等於通信就是安全的。通信的安全性有著比保密性更高更強的要求，它不僅要求通信雙方傳送的內容不能被任何第三者知道，還要確認收發方各自的真實身份，還必須確認通信內容的完整性和不可篡改性，另外還要保證通信的穩定性和可靠性。所以通信的安全性至少應該包括通信的保密性、真實性、完整性、和可用性。

由此可知，所謂的“量子通信”可以保證通信的無條件安全是沒有任何科學依據的，這種宣傳實在錯得太離譜了。這些道理都是密碼學常識，我也勸說了多次，但是裝睡的人是喚不醒的。

事發後沒幾天，[權威發布]潘建偉等科學家關於量子保密通信現實安全性的討論一文中還在宣傳：學界將這種安全性稱之為“無條件安全”或者“絕對安全”，它指的是有嚴格數學證明的安全性。20世紀90年代後期至2000年，安全性證明獲得突破，BB84協議的嚴格安全性證明被 Mayers, Lo, Shor-Preskill等人完成[2-4]。

該文所引的有關量子保密通信安全性的論文都是十多年前的論文，為什麽不敢引用最近這幾年的相關論文呢？如果這個問題真的已有定論，為什麽最近幾年美國和日本的量子通信專家權威仍有不少質疑量子保密通信安全性的論文呢？

這些新的論文盡管在量子保密通信的理論安全性的分析評估方法上存在分歧和爭論，但是專家們的認識有一點是共同的：量子保密通信離開“信息理論級安全”差距甚遠。

Horace P. Yuen（美國西北大學電子和物理係教授，1996年獲得國際量子通信獎，2008年他又獲得了IEEE光子學會的量子電子獎。）是量子通信安全領域國際上公認的學術權威，他對QKD安全性發表了一係列重量級論文，受到了國際上不少同行的支持。Yuen教授2016年發表在IEEE上的論文：《量子通信安全性》，受到日本等國量子通信專家的讚同和支持[1]。為什麽中國的同行們對此一字不提呢？難道Yuen教授也是你們眼中的“民科”嗎？文過飾非，順我者昌、逆我者亡，這難道是一個科學家應持的正確態度嗎？

通信安全是一個很大很複雜的大係統，大多數人都是門外漢，量子實驗物理學家也不例外。有關通信和信息安全還是要向通信密碼學界的專家學者們虛心學習，別再張口就是無條件安全之類的說教了，這樣做隻能是害人又害已。

半年多前，我的一位密碼學界的專家朋友轉發了一篇談安全和科學的論文給我[2]，初初看了一下，受益匪淺。好文章不能獨享，特把文章地址發於下，有興趣的可以讀讀。希望有關專業人士都能從中受益，把通信和信息安全的認識提高到一個更新更高的水平。

參考資料

[1] Security of Quantum Key Distribution 

https://ieeexplore.ieee.org/document/7403842

[2]《科學與安全，安全是科學追求的難以捉摸的目標》

https://www.microsoft.com/en-us/research/wp-content/uploads/2017/03/scienceAndSecu