作者：徐令予

導讀

2017 年 9 月 29 日是一個不應忘卻的日子。二年前的這一天，連接北京、上海，貫穿濟南和合肥全長 2000 餘公裏的京滬量子通信骨幹網絡全線開通。當年，人們被告知“京滬量子通信幹線”是國之重器，它會對國計民生帶來巨大貢獻。

可是在二年過去後的今天，媒體卻選擇了全體沉默，量子通信幹線工程失去了奪目的光彩，幾乎無人問津。中科大的“科大國盾”是全國量子通信設備製造的龍頭企業，他們這幾年的財務狀況也充分反映了量子通信產業化的困境 [1][2][3]。

在數字經濟時代，每種有生命力的新技術一旦進入市場，用戶數字都是按指數規律增長的，個人電腦、互聯網、數碼相機、智能手機的發展無不遵循這樣的普遍規律。為什麽隻有“量子通信”反其道而行之，成了市場的棄兒呢？

如果說實踐是檢驗真理的唯一標準，那麽市場就是鑒定工程技術的最終手段。一個工程項目如果沒有用戶的追捧、沒有穩定的收益，那麽它被市場無情的拋棄隻是時間問題，頭頂著“量子”的光環又有何用？

眾所周知，量子通信還處於基礎研究階段，相關的應用研究剛剛開始，工程建設的可行性、必要性、和經濟實用性根本無從談起。在這種情況下倉促建設京滬、武合等量子通信工程是嚴重的決策失誤，工程項目陷入困境是必然的結果。

導致量子通信工程決策錯誤原因諸多，密碼係統的神秘再加上量子物理的奧妙無疑是造成判斷失誤的重要因素。工程的推動者對傳統密碼係統理解不深、把握不準，把工程引入了歧路。某些人甚至摻雜私心雜念故意混淆概念，借科普之名行欺騙之實，致使錯誤遲遲得不到糾正。所以正本清源還得從嚴肅的科普教育著手，用科學事實和邏輯推理徹底清除有關“量子通信”中的諸多謬誤，把真相還給公眾。

本文分成上、下二篇：

《上篇》從密碼係統基本原理出發，著重分析量子通信 (嚴格術語是 量子密鑰分發 QKD) 的工程用途和實際價值。通信密碼可分為對稱密碼和公鑰密碼兩個密碼係統。QKD 是通過單條鏈路上的物理防竊聽能力來分發“一個”共享隨機密鑰的硬件技術，屬於經典對稱密碼係統中的一個子功能。在對稱經典密碼係統中，傳統的密鑰分發技術安全成熟、價廉物美，QKD 由於性能和價格上均處劣勢所以難有作為。而在現代公鑰密碼係統中，需要數學上嚴格配對的公鑰、私鑰“一對”密鑰，但 QKD 隻能分發一個共享隨機密鑰，所以 QKD 與公鑰密碼係統毫無關係。量子通信工程在整個密碼係統中都難有立足之處。

現代信息係統安全保障涉及到包括密碼體係在內的從係統、到網絡、到硬件、到數據、到 AI 模型、到社會工程學等各個領域，在談安全的時候必須要考慮到實戰場景的威脅模型和需要保障的安全屬性（如機密性、完整性、可用性、隱私性、真實性等等），脫離威脅模型和安全模型空談絕對安全毫無意義。目前密碼體係在整個現代信息係統安全體係中屬於相當完善的部分，對於量子計算攻擊也有後量子密碼學來應對，4-5 年後即可投入使用，遠遠超前於量子計算可能破解哪怕最簡單的 RSA 1024 的時間（樂觀估計 12 年以上）。

而密鑰分發技術要能廣泛應用必須要在複雜網絡條件下保障密鑰分發的機密性、完整性、可用性和真實性等安全屬性。量子密鑰分發（QKD）僅能在單條鏈路兩端提供概率統計意義上的防竊聽的能力，無法滿足實際場景中的各種密碼學應用需求。而單鏈路下防竊聽，本身就是現代安全體係中技術最成熟、安全強度最高的一環。量子通信工程對於國家的信息係統的整體安全而言，好似在飛機上裝備安全氣囊，它除了添亂不會帶來任何益處。把量子通信工程吹捧成國之重器不僅有違事實，而且也是對奮戰在信息係統安全領域前沿的科技工作者的不尊重。

《下篇》從量子通信的基本工作原理出發，著重分析 QKD 技術層麵的一係列問題。“極低的成碼率”、“不能與互聯網兼容”和“極不安全的可信中繼站”是 QKD 的三大技術困境，它們就是量子通信邁向工程實用化道路上難以逾越的三座大山。這裏需要特別強調，量子通信所麵臨的這三大技術困境是被物理原理所決定了的，單靠工程技術的進步是極難取得實質性改變的。

“量子通信的無條件安全性是可以用數學證明的”，“隻有量子通信可以拯救公鑰密碼危機。”是兩個毫無科學依據的神話故事，目的是轉移視線掩蓋量子通信的三大技術困境。虛假的神話故事與真實的工程困境是硬幣的兩麵。量子通信麵臨的工程困境越是殘酷真實，走入歧途的工程推動者越發需要依賴虛幻的神話去掩蓋自己的窘態；神話故事越是虛假離奇，隻能說明故事的編導者麵對的困境太真實太嚴酷了，他們除了騙人騙已經束手無策。

某些物理學家鑽進了理論卻遠離了現實，執著於知識而忘記了常識。量子通信工程的許多錯誤其實都是常識性錯誤，隻要通過擺事實講道理，認清這些錯誤並非難事。下麵的科普文章中沒有數學公式，說的都是白話、實話，相信大多數人讀了之後，對量子通信工程中的是非對錯都不難作出自己獨立的判斷。言歸正傳，讓量子通信的科普之旅就從這裏再次啟航。

上篇   量子通信工程在密碼係統中的作用和地位

為了對量子通信工程在密碼係統中的作用和地位作出實事求是的判斷，首先要對密碼係統中的對稱密碼和公鑰密碼的工作原理有正確全麵的理解。

密碼係統的工作原理很像賓館中常見的密碼保險箱（見圖 1），有了它就可以安全地保存和傳遞信息。先把機要文件放入密碼保險箱並關上門，然後輸入“一串數字”後把保險箱門鎖上，隻有正確無誤地輸入同“一串數字”方能打開保險箱取得那份機要文件，因此機要文件的私密性就得到了保障。如果把鎖上的密碼保險箱通過郵政或者物流公司送達遠方，隻有知道這“一串數字”的接收方才能把密碼保險箱打開，機要文件也就秘密地傳遞給了接收方。

圖 1 （上篇）

在密碼保險箱傳送的整個過程中，隻要這“一串數字”始終控製在通信雙方的手中，他們就不擔心密碼保險箱在傳送過程中使用什麽方法、走什麽路線，也不在乎它經過多少黑客間諜之手，因為不知道這“一串數字”誰也甭想打開那個保險箱，信息在傳遞過程中的機密性就得到了充分的保障。

細心的讀者看到這裏可能會有一個疑問，不在一處的通信雙方如何商量協調出這“一串數字”呢？或者更正確的說怎樣才能讓通信雙方共享“一串數字”呢？當然通信雙方隻要有過一次“零距離接觸”就不存在問題，兩人找一個僻靜的角落約定“一串數字”就可以了。有了這個“第一次”以後就可駕輕就熟了，擔心反複使用同“一串數字”不安全？好辦啊，把新的“一串數字”寫在紙上，放進密碼保險箱送給對方，以後雙方就可啟用新的“一串數字”。這樣的變動可以“天天做”、“月月做”、“年年做”，私密通信絕對有保障。

為了後麵討論的方便，我們把鎖門和開門使用同“一串數字”的稱為“對稱密碼保險箱”，這也是賓館中常用的保險箱。這種對稱密碼保險箱方案適合用在有過“零距離接觸”的熟人之間和有嚴格隸屬關係的機構內部，在這種環境中設定用作鎖門開門的“一串數字”沒有技術困難，使用對稱密碼保險箱可以保證這些人群和機構之間通信的高度私密性。

但是互聯網的出現讓“對稱密碼保險箱”方案遇到了巨大的挑戰。難題一，使用“對稱密碼保險箱”的必要條件是通信雙方至少要有過一次“零距離接觸”，這個條件在互聯網世界很難滿足。沒有“零距離接觸”過的通信雙方是無法安全地協商出共享的“一串數字”，因為他們使用電話、電報或者信件傳遞協商“一串數字”都是不安全的，誰也不能排除“隔牆有耳”，而第三者隻要竊取了這“一串數字”就可以打開密碼保險箱取得機要文件。難題二，每兩個用戶使用“對稱密碼保險箱”前必須通過“零距離接觸”建立起“一串數字”，如果互聯網的一個通信群體的用戶數到達一千萬，每個用戶就要存放管理好 9999999 個不同的“一串數字”！這兩個難題使得“對稱密碼保險箱”方案在互聯網環境中很難發揮作用。但是沒有密碼係統保護的互聯網通信又是難以想像的。

“需求乃發明之母”，保證互聯網通信安全的強大需求推動了一種新型的密碼保險箱——“非對稱密碼保險箱”方案的出台。可以毫不誇張的說，“非對稱密碼保險箱”方案就是保護互聯網通信安全的利器，沒有它就不會有互聯網今天的風光。

非對稱密碼保險箱的工作原理其實也不難理解，它也是一隻密碼保險箱。對稱密碼保險箱鎖門、開門用的是同“一串數字”；非對稱密碼保險箱使用“一對數字串”，用其中的“一串數字”（又稱“公開數字串”）鎖門後隻能用另“一串數字”（又稱“私密數字串”）方能開門，而這二串數字之間的關係又非常複雜，單從“一串數字”極難推算出另“一串數字”。

“非對稱密碼保險箱”方案使得互聯網上非熟人之間也可進行保密通信。使用非對稱密碼保險箱的通信過程可分解為三個動作，注意這個過程起始於接收方（見圖 2）。1）接收方首先產生出“一對數字串”，把其中的“公開數字串”寫在標簽上，然後委托物流公司把寫有“公開數字串”的標簽轉遞給發送方，並把“私密數字串”收藏起來；2）發送方先把機密文件放進非對稱密碼保險箱，然後輸入標簽上的“公開數字串”後把保險箱的門鎖上，再委托物流公司把保險箱送回接收方；3）被“公開數字串”鎖上的那個保險箱任何人再也打不開，隻有接收方輸入自已收藏的“私密數字串”後，才能打開非對稱密碼保險箱得到機密文件。

圖 2 （上篇）

在上述通信過程中，“公開數字串”沒有一點秘密可言，可對任何人公開。複製、竊取“公開數字串”沒有一點用處，因為它隻能用來為密碼箱鎖門，鎖上後的保險箱誰也打不開來，除非用“私密數字串”，而“私密數字串”又僅掌握在接收者手中。“非對稱密碼保險箱”方案使用“公開數字串”和“私密數字串”，由“一對數字串”之間的巧妙配合保證了收發者之間文件傳遞的私密性。

使用“非對稱密碼保險箱”方案，收發雙方不需要事先商定一個共享的秘密——“一串數字”，他們之間就不需要有“零距離接觸”，一次也不需要 ! 通信的接收者隻要保護好自己的“私密數字串”，而“公開數字串”是可以公開地、大大方方地傳遞給發送者，甚至廣播通知也行。“非對稱密碼保險箱”方案使用公、私不同的“一對數字”，使得通信雙方可以跨越“零距離接觸”這個巨大的障礙，讓分隔天南地北的非“熟人”之間都可以方便快捷地進行秘密通信，它對互聯網安全功莫大矣！

“對稱密碼保險箱”和“非對稱密碼保險箱”這兩個方案的關鍵技術當然都在於設計和製作堅不可摧的密碼保險箱。“對稱密碼保險箱”必須保證在輸入“一串數字”鎖門後，能且僅能被相同的“一串數字”把門打開；“非對稱密碼保險箱”存在“一對數字串”，輸入其中的“一串數字”鎖門後，能且僅能被另外的“一串數字”把門打開。當然如何管理保存好這“一串數字”或“一對數字串”也很重要，但這僅是管理層麵的問題，並沒有多少技術含量。

明白了上述的道理，就非常容易理解現代通信中的密碼係統的工作原理。現代通信使用電報、電話、電郵、微信等等方式，通信過程中傳輸的是各種電信號（又稱明文）。我們當然可以把電訊號錄在磁帶上，然後放在上述的密碼保險箱中，鎖上門後傳遞給對方。但是這樣的傳遞效率太低，我們反其道而行之：不是用密碼箱把信息藏匿起來，而是讓信息在線路上敞開傳輸。但是在傳輸前，先把明文使用某種複雜的變換規則按特定的參數把內容完全打亂，生成無人能看得懂的天書（又稱密文），任何人取得這些密文後都無法從中得到任何有用的信息，隻有掌握這個特定參數的接收方使用逆向的變換規則才能把密文還原成明文。這就是現代密碼學的基本出發點。

日常生活中的密碼保險箱與通信密碼係統的基本工作原理是十分相似的，區別隻是前者把信息藏匿起來不讓別人“看到”，而後者把信息徹底打亂不讓別人“看懂”，目的都是保障信息的私密性。

現代密碼係統使用數學方法把信息徹底打亂，這種專用的數學方法稱為“密碼算法”。密碼算法就對應於密碼保險箱，前者把信息打亂、後者把信息藏匿；密碼算法對信息加密和解密就對應於密碼保險箱的鎖門和開門；密碼算法加密、解密時使用的參數稱為“密鑰”，密鑰就對應於密碼保險箱鎖門、開門時輸入的“一串數字”。

“對稱密碼算法”使用共享的“密鑰”對明文加密、解密，如同“對稱密碼保險箱”使用“一串數字”鎖上、打開保險箱；“非對稱密碼算法”（又稱為公鑰密碼算法）使用一對密鑰分別稱為“公鑰”和“私鑰”，用公鑰對明文加密後隻能用私鑰解密，如同“非對稱密碼保險箱”使用“一對數字串”，用其中的“一串數字”鎖門後隻能用另外“一串數字”開門。

密碼算法分成“對稱密碼算法”和“公鑰密碼算法”兩大類，每一類中又有許多種，就像密碼保險箱有許多不同的型號是一個道理。通信雙方隻要使用同一種密碼算法就可以了。

使用對稱密碼算法時，收發雙方事先設定一個共享的密鑰。發送方調用對稱密碼算法（實際上就是計算機的一種程序），輸入密鑰，把要傳遞的明文加密後變成密文，然後把密文通過通信線路傳遞給接收方，接收方得到密文後在自己的計算機中調用對稱密碼算法，輸入密鑰，把密文解密後得到明文（見圖 3）。

圖 3 （上篇）

使用對稱密碼算法要求通信雙方事先必須設定一個共享的密鑰，有了這個初始密鑰，雙方的保密通信就得到了充分的保障。密鑰的更新再也不成問題，因為密鑰就是一串字符串，也是一種信息，可以用初始密鑰對其加密後傳遞給對方。在熟人之間和有嚴格上下級關係的機構內部，通信雙方設定初始密鑰從來就不是問題。有了初始密鑰通信雙方可以使用對稱密碼秘密地傳遞信息，當然也可以使用對稱密碼為通信雙方不斷地更新密鑰。

在互聯網環境中，通信的接收方產生一對密鑰，把公鑰通過網絡送給發送方，收藏好私鑰；發送方調用公鑰密碼算法，輸入接收方送來的公鑰，然後把信息加密後產生的密文傳遞給接收方，接收方得到密文後調用公鑰密碼算法，輸入私鑰後把密文解密得到明文。互聯網的通信雙方常常是先用公鑰密碼傳遞密鑰，一旦通信雙方獲得一致的密鑰後，再用對稱密碼保護文件的傳遞。

有了以上密碼係統的基本知識後，就不難看清量子通信工程在密碼係統中真實的用途和地位。

所有已建或在建的量子通信工程都不是新的通信技術。量子通信工程與量子糾纏也毫無關係，它們其實隻是利用量子偏振態為通信雙方分發隨機密鑰的一種硬件方法，簡稱“量子密鑰分發”(QKD)。量子通信工程為用戶協商出密鑰後，還得依賴傳統密碼算法進行加密解密，因為它根本就沒有自己的密碼算法，所以量子通信工程從來就不是一個獨立完整的密碼係統。把“量子密鑰分發”(QKD) 稱為“量子密碼工程”是豬鼻子裏插大蔥——裝象，把 QKD 稱為量子通信那更是錯得離譜。QKD 一旦脫離開單條鏈路場景，出現中間人攻擊（MITM）威脅，其密鑰分發的安全性就強依賴於一個預設定的共享密鑰，安全模型就退化到傳統對稱密碼係統，並不能提供更強的安全保護能力。密碼係統的關鍵技術是密碼算法，從來就是算法為王，密鑰的分發保存僅是應用層麵的問題，並沒有多少技術含量。這在前麵關於密碼係統工作原理的分析中已經闡述得很清楚了。

量子通信工程用硬件分發密鑰有什麽用處呢？QKD 分發的是“一個”共享隨機密鑰，再強調一遍：是“一個”密鑰，所以 QKD 隻能用在對稱密碼係統中，僅為對稱密碼的用戶分發一個共享密鑰。因為量子通信工程沒有自己的密碼算法，它依賴於對稱密碼算法，說到底，量子通信工程僅是對稱密碼係統中的一個子功能。

我們前麵已經反複強調，使用對稱密碼的用戶依賴於預先分配的共享密鑰，這個和 QKD 在現實網絡中的要求是一致的。之間更新和分發密鑰沒有任何問題。如果對稱密碼算法是安全的，那麽用對稱密碼算法更新分發密鑰也一定是安全的，另辟蹊徑使用量子通信工程分發密鑰純屬多餘；如果對稱密碼算法本身是不安全的，那麽建設量子通信工程為不安全的對稱密碼分發密鑰又有何意義？由此可知，建設量子通信工程毫無現實意義。

事實上，在具有嚴格上下級關係的企事業環境中，密鑰的分發、存放和管理是有專門的機構——密鑰分發中心 (KDC) 負責的。兩個終端用戶是在 KDC 的支持和監督下使用對稱現代密碼算法取得共享密鑰，而且也把身份認證等相關安全問題也一併解決了 [4]。在專用企業網環境中，量子通信工程要為對稱密碼作密鑰分發根本沒有切入口，它除了添亂不帶來任何益處。

在互聯網環境中給億萬非熟人之間分發密鑰，公鑰密碼成了唯一的選擇。公鑰密碼把加密解密的核心機密分解在公鑰與私鑰這樣兩個密鑰中，一個可以公開，把另一個隱藏起來，公鑰和私鑰的密切配合使得互聯網上億萬非熟人之間分發密鑰成為可能。量子通信工程用硬件為通信雙方隻能分發“一個”隨機密鑰，無法用於公鑰體係而不是“一對”密鑰，QKD 仍然是對稱密碼的思維與公鑰密碼毫不相幹，它是無法為互聯網上億萬非熟人之間分發密鑰的。而且量子通信工程為兩個用戶之間分發密鑰時，必須在兩用戶之間建立一條點到點直接相連的物理通道，即然用戶之間已經“熟悉”到這個程度，那麽他們完全可以設定出一個初始密鑰，然後用對稱密碼分發更新密鑰，這樣豈不是更方便更安全嗎？

歸根結底，公鑰密碼可以為互不相識而且空間位置不固定的用戶之間交換密鑰，而 QKD 完全無法做到這一點，認為量子通信工程這種原始落後的方式可以為互聯網億萬用戶分發密鑰隻是異想天開。

量子通信工程從本質上與互聯網無法融合，它對於互聯網通信安全不可能有絲毫貢獻；在企事業環境中 QKD 性能上不具備優勢，價格成本又難以讓用戶承受。量子通信工程在現代通信的舞台上沒有寸土立足之地。

我們還必須認識到，量子通信工程隻是為對稱密碼係統分發密鑰，它最多也隻能保證密鑰分發的機密性。但是密碼係統由密碼算法和密鑰兩部分組成，單有密鑰的機密性不足以保證密碼係統的機密性。密碼係統的機密性也遠遠不能保障通信過程（信道）的安全性。

之前量子通信的宣傳許多人把通信密鑰分發保密性錯認為通信的安全性的全部。當然通信安全一定要求通信內容的保密性，但是隻有通信的保密性卻不等於通信就是安全的。通信的安全性有著比保密性更高更強的要求，它不僅要求通信雙方傳送的內容不能被任何第三者知道，還要確認收發雙方各自的真實身份，還必須確認通信內容的完整性和不可篡改性，另外還要保證通信的穩定性和可靠性。所以通信的安全性至少應該包括通信的保密性、真實性、完整性、和可用性。在許多通信的應用場景中，通信的真實性和完整性甚至比保密性更重要。因此脫離開具體的威脅模型和安全模型，片麵的宣傳量子通信工程可以保證通信絕對安全就是個徹頭徹尾的謊言。

信息係統可以分為信源和信道兩個方麵，過去安全隱患主要在信道上，信道安全成為了關注的焦點。但是隨著信息係統的數字化，計算機執行密碼算法時，在密鑰的提取、使用和存放過程中對密鑰構成了嚴重的安全隱患。攻擊者可以利用計算機的操作係統、CPU 和內存等各種漏洞竊取密鑰的全部或部分信息，攻擊的手段五花八門、防不勝防。今天密鑰的最大安全隱患不在“線路竊聽”而在管理、存放、和使用環節。信源、信宿才是保衛信息係統安全的戰略前沿。

信息係統的總體安全性遵循木桶短板效應。木桶的盛水量受限於木桶的短板高度，同理，信息係統的總體安全性受製於係統中最不安全的因素。提高國家信息係統安全水平最有效的方法應該是增高短板，即把安全工作的重點放在計算機操作係統和各種硬件設備這些短板上。不惜代價增高密碼係統這塊長板一點也不會改善國家信息係統安全的總體態勢，更何況量子通信工程也沒有能力增高密碼係統的這塊長板。鼓吹和推動毫無實用價值的量子通信工程不隻是浪費了國家的寶貴資源，它的最大危害性是幹涉誤導國家信息安全的整體策略。

綜上所述，量子通信工程是為用戶雙方分發“一個”隨機密鑰的硬件技術，QKD 與使用“一對”密鑰的公鑰密碼係統毫無關係；在對稱密碼係統中傳統的密鑰分發技術安全成熟、價廉物美，釆用 QKD 在性能和價格上均無優勢，所以量子通信工程對於密碼係統沒有任何實用價值。今日保衛現代信息係統安全的主戰場在計算機的操作係統、硬件和應用軟件等方麵，不在密碼係統的自身方麵；而密碼係統中密鑰的最大安全隱患也不在分發上，而在管理、存放、和使用環節上。

對於國家的信息係統的整體安全而言，量子通信工程不僅毫無用處，而且也無關緊要，把量子通信工程吹捧成國之重器非常幼稚可笑。目前各行各業在信息安全領域投入嚴重不足、捉襟見肘的時候，把注意力和有限的資源錯誤地導向成事不足、敗事有餘的量子通信工程，必然會造成信息安全業界更大的困擾。

（未完待續）