“他山之石，可以攻玉。”
    英美國家關於“量子通信”工程化的評估和看法

為什麽英美和日本等發達國家在“量子通信”的工程化和產業化進程中給人的印象是“起個大早趕個晚集”。關於這個問題一直以來都有不同的解讀。本文將對英國情報部門的白皮書、美國空軍的一份調研報告和日本科學家的一篇綜述性論文作些介紹，為讀者們分析上述問題提供一個全新的視角。“他山之石，可以攻玉。”“愚者千慮，必有一得。”在作重大技術決策時，多聽聽別人的聲音多了解外人的想法這大概不會錯吧？

所謂的“量子通信”不是一種新的通信技術，它甚至也不是一種新的密碼技術，其實目前宣傳的“量子通信”技術僅是密碼技術中“密鑰分發”的一種新方法。在正規嚴肅的文件和論文中都把它稱為“量子密鑰分發技術”QKD(Quantum key distribution)。本文在大多數情況下都會使用QKD這個標準術語。

英國情報部門所屬國家網絡安全中心發布的白皮書

2016年10月，隸屬於英國情報安全總部(GCHQ)的國家網絡安全中心(NCSC)發布了一份白皮書[1]，建議撤銷量子密鑰分發技術(QKD)的發展。

白皮書第一部份主要分析了QKD的技術局限性
1）QKD沒有能力解決大部分的通信安全問題
QKD協議僅是密鑰分發協商的一種新機製，供通信雙方在數據加密解密時使用。而現代通信要求提供身份驗證、數據完整性證明、網絡信道建立、訪問控製和自動軟件更新等多樣化的安全服務，通信安全更依賴於身份驗證和完整性證明，而不僅是加密解密。

QKD技術不能取代傳統公鑰密碼的靈活有效的認證機製。物聯網(IoT)、大數據應用、社交媒體和雲服務這些新技術對通信安全提出了更多更新的要求，對這一係列新的挑戰QKD更是無能為力。

2）QKD係統在應用方麵受到許多限製
相對較短的有效傳輸範圍，以及BB84和其他類似協議都是點對點協議，這是QKD技術的兩個致命弱點。這意味著QKD很難與互聯網、移動互聯網集成和融合。

一些研究人員試圖將QKD通過“可信節點”與經典網絡設備集成來解決這些問題。但這會立即使任何基於量子力學定律得來的“量子安全保證”歸於無效，並且這些輔助網絡設備會帶來一係列新的安全隱患。

3）QKD係統工程不太可能具有經濟效益
QKD本質上是一種純粹的硬件方案，而硬件的獲得和維護都相對昂貴。與傳統密碼使用的軟件方案完全不同，硬件在升級或發現漏洞時無法作遠程修補以降低維護成本。

白皮書第二部份著重分析了QKD的安全性
任何真實的QKD係統都將使用經典組件構建，例如光源、探測器、光纖、以及潛在的輔助經典網絡設備，它們都可能存在安全的隱患。

已經在QKD的示範係統上進行了多種黑客攻擊實驗，這些攻擊最後控製了係統中一個或多個硬件組件，從而在不觸發警報的情況下獲取了共享密鑰。
與現代互聯網或移動網絡技術相比，QKD可能更難經受得住“拒絕服務”(DoS)的攻擊。

QKD麵臨著一係列潛在的黑客攻擊風險，對於這些攻擊的細節和危害性我們尚未有充分的理解。英國目前對真實世界的QKD係統的漏洞缺乏係統深入的研究。應該鼓勵開展這方麵的研究，以建立一個有關攻擊和防護QKD係統的全麵完整的知識體係。

還應進一步研究如何準確評估工程設備的安全性，為QKD工程係統的安全性評估開發出量化的手段和標準。

白皮書第三部份主要分析了替代QKD的方案
學術界和工業界對開發“量子安全”或“後量子”(經典)公鑰機製有了新的興趣。而現有的公鑰方案RSA、DSA和ECDH在未來大型量子計算機出現後可能會變得不安全，它們將被新一代的後量子公鑰機製直接替代。

新的共識是，實現量子時代通信安全的最佳方案是：在采用後量子公鑰密碼技術的基礎上，對目前使用的傳統密碼和基於分組交換的通信協議實施穩妥有序的更新和升級。後量子公鑰密碼技術的軟件或固件應該更容易開發、部署和維護，工程項目的全周期總體成本會更低，並且比基於QKD的解決方案具有更高的安全性。

鑒於QKD僅隻提供密碼係統中密鑰分發的功能，而現實世界的通信安全就仍然要依賴於傳統公鑰機製以滿足設備和用戶認證，以及軟件更新等多種要求。對於現代通信安全而言，後量子公鑰密碼技術相比QKD應用麵更廣闊、性能更優越。因此，無論有無QKD，開展後量子公鑰密碼技術的研究對於保證未來網絡安全都是必不可缺的。

白皮書第四部份作出了關於增強通信安全性的應對措施和方案
考慮到上述列舉的所有實際情況、利弊得失和安全原因，我們的決定是：

不支持在任何政府或軍事用途中釆用QKD方案
建議在商業應用中不要用QKD替換任何現有的公鑰解決方案

對QKD的科學研究應該繼續。但是，應該開展更多的對QKD工程的安全漏洞的研究，正反兩個方向的研究必須同時進行且保持平衡。為客觀檢驗QKD工程係統安全性，必須開發出量化的手段和標準。負責任的創新必須伴隨獨立的驗證。

上述決定不會有改變，除非滿足以下條件：
在實際QKD漏洞研究中獲得經驗並取得可量化的安全性驗證手段基礎上，建立起健全的QKD的商業標準；
商用QKD係統的全工程周期的總體成本可以有更可靠的的估算方法。

我們鼓勵研究開發後量子公鑰密碼技術，這是保護通信係統免受未來量子計算機威脅的更實際和更具成本效益的應對方案。盡管需要向後量子公鑰方案過渡，但我們認為對當前係統升級的需要並不緊迫。一個穩妥且經過深思熟慮的升級過程將使研究人員有足夠時間對最佳的後量子公鑰協議達成共識。

白皮書的最後部分是結論
對量子密鑰分發技術評估的結果是：
      該技術在工程實施中存在諸多障礙和瓶頸；
      該技術對於解決許多安全隱患無能為力；
      人們對該技術潛在的安全隱患仍知之甚少。
相比之下，為了應對未來量子計算機的安全威脅，後量子公鑰密碼技術可以為現實世界中的通信安全提供更有效的解決方案。

美國空軍科學顧問委員會關於量子信息技術的調研報告

無獨有偶，2016年，美國空軍科學顧問委員會(SAB)就量子信息技術的潛在影響進行深入的調研後形成了一份報告，該委員會是由50名科學家和研究人員組成的獨立的聯邦谘詢委員會[2]。

SAB主席、美國空軍前首席科學家達姆(Werner Dahm)在該報告問世前向外界透露：“評估研究進行了大約三分之一，很明顯發現這個領域有很多的炒作。有不少人反來複去地說量子信息技術可能會出現奇跡”他說。“這些技術可能具有巨大的潛力，但是實際上更多的是炒作，它們並沒有實際效用。”

該委員會資深成員兼技術和國家安全計劃主任菲茨傑拉德(Ben FitzGerald)表示：量子信息是“下一代的下一代技術”的一部分，它對國防安全產生的影響可能還在遙遠的未來。

該報告對外公布的摘要中的第四點非常明確指出：量子密鑰分發技術顯著增加了係統的複雜性，但不太可能在整體上增強通信安全性，它與最佳經典替代方案相比不具有什麽優勢。

量子通信效果不佳，SAB得出結論認為在該領域應該將資金用於其他技術的開發。

“這個結論對我來說非常令人驚訝，但這就是我們做這些[研究]的原因，”達姆又說。

以上是英國政府情報部門和美國軍方對量子密鑰分發技術的政策評估的主要內容。

我的一些看法。

1）這兩份報告的結論是一致的，他們都認為量子密鑰分發技術（即所謂的“量子通信”）對於保護現代通信安全沒有戰略實用價值，真正值得努力發展的應該是基於數學原理依靠軟件實現的後量子密碼技術。

2）這兩份報告的結論當然值得關注。但是是白皮書中分析和評估方法比最後的結論更有價值。分析比結論更重要，掌握了科學化的數據采集和分析評估方法，有關部門就可根據自身國情獨立地作出與時俱進的科學決策。

3）量子密鑰分發技術的安全性分析是整個決策評估的關鍵。必須明白QKD的安全性在基礎理論、應用技術和工程實施三個層麵上是完全不一樣的，這是引起許多分歧和誤解的主要原因。量子密鑰分發技術在理論上(在書本上)有可能是無條件絕對安全的；但是在應用技術層麵(在實驗室中)存在許多不安全因素；到了工程項目中(在實際使用中)它的安全性目前不如傳統密碼技術。希望媒體在宣傳量子通信技術時再也不要用“無條件絕對安全”這種過份誇張的詞匯來誤導大眾了，因為這不是科學事實，它過去不是、現在不是、將來也不是。對此我另有專文詳細分析介紹。

4）英美情報和軍方認定量子密鑰分發技術在技術層麵上存在許多不安全因素，我覺得這個結論與國際學術界的研究結果是一致的。美國和日本的量子信息領域的教授專家們就QKD的安全性在IEEE等期刊上發表了不少論文。在工程和應用技術層麵，IEEE期刊往往比《自然》等雜誌更具權威性。下麵是2017年日本一位量子信息學教授的論文的結論[3]：
【量子密鑰分發(QKD)吸引了許多研究人員，因為自1984年發明以來這是一種可行的分發密鑰的方式。然而，在2009年，H. P. Yuen對其安全性產生了疑問，然後O. Hirota，K Kato，T. Iwakoshi 接著完成了Yuen的研究，並解釋了為什麽Yuen的說法是正確的。隨後，Yuen自己在2016年又發表了一篇論文，總結了他提出的批評，指出了QKD的安全要求與實際情況之間的差距。本文詮釋了Yuen詳細指出的問題，以及有關不同於QKD的其他協議研究的最新趨勢。實際上，QKD的本身具有重要意義，它是使用量子力學保護通信安全的嚐試的第一步。然而，Yuen已經澄清，QKD的安全性證明仍有問題，並且除了QKD之外他還提出了其他選擇。作者認為，在QKD研究中獲得的知識對其它協議也是有用的。如果研究人員仍然繼續研究QKD，作者希望他們能夠非常認真地對待Yuen的批評。】

5）英國情報部門沒有把量子密鑰分發技術的門全部關閉。注意，沒有戰略價值不等於沒有科研價值，QKD的科學研究應該繼續。白皮書強調QKD技術的研究應該正反兩個方向同時進行，尋找和攻擊QKD的安全漏洞應該放在更重要的位置。而且攻防研究必須有二個獨立的團隊來實施，這二個團隊的經費來源、隸屬關係必須完全獨立，就像實戰演練中拚力廝殺的紅軍和蘭軍一樣。英國不愧是老牌帝國主義，考慮問題確實周到老辣。

6）非常明顯英美更關心和重視的是量子計算機而不是“量子通信”。如果說量子計算機是破壞通信安全之矛，那麽量子密鑰分發技術QKD就是保護通信安全之盾。如果認為QKD技術是無條件絕對安全的盾，英美明知對手有這種盾而自己卻沒有，但他們對此卻不屑一顧，卻天天使盡力氣打造那支對敵無用、對已有害的矛，腦子不是真的進水了？世上難道真有如此愚蠢的陰謀家？這裏隻有一個合理解釋，那就是英美心知肚明，量子密鑰分發技術並不是無條件絕對安全的盾。

有一點需要聲明，我隻是借用陰謀論作邏輯推理，絕不是要證實陰謀論存在。對於各種陰謀論的誇大宣傳我一直是反感的。在諸如量子計算機、“量子通信”和後量子密碼學這些科學研究的前沿領域，各國科學家的合作遠大於競爭。這其實正是我撰寫此文的原因和基礎。



[1] 英國情報部門所屬國家網絡安全中心(NCSC)發布的白皮書
https://www.ncsc.gov.uk/whitepaper/quantum-key-distribution

[2] 美國空軍科學顧問委員會關於量子信息技術分析報告（對外發布的摘要）
https://www.scientificadvisoryboard.af.mil/Portals/73/documents/AFD-151214-041.pdf?ver=2016-08-19-101445-230

[3] 日本量子信息技術專家的論文：量子密鑰分發技術安全性的批判與展望
https://arxiv.org/pdf/1711.03617.pdf