坚持发展量子通信技术是正道

隨着全球首颗量子科学实验卫星“墨子号”的升空，量子通信再次成为媒体关注的热点。正面积极的评价是主流。当然也免不了有一些批评和质疑的声音，这在一个相对开放的社会也十分正常，有时候也是有益的。但是最近网络上有两个质疑量子通信的观点是错误的，散布这些观点的人士又自称密码学专家，这就值得我们认真分析和辨驳，把真相还给大众。

他们反对量子通信的主要理由是：通信的首要目的是稳定性，传统的通信手段即使有安全隐患但至少能保证稳定的交流信息，而量子通讯的信号安全是以牺牲通讯的稳定性为代价的，有了敌手就干不成事的量子通讯系统最终也只能沦为一个摆设。

这种稳定压倒安全的谬论貌似有理，实则上是根本经不起推敲的。试问：一条重要军事行动的指令，或者是一件绝密外交文件，难道传达到位是首要任务，信息安全是次要的？信息无论如何先要送出，宁可全军覆灭，宁愿自己的战略情报员被暴露？世界上有这样考虑问题的军政首脑吗？

当然通信的稳定可靠也重要，虽然军事行动的保密性始终是第一位的，但命令不能及时上传下达当然也不许可。而量子通信却却是稳定可靠的，至少一点也不比传统方式差。反对量子通信的人士总把量子通信描述得像红楼梦中的林妹妹一样弱不禁风，实在可笑之极。他们的逻辑是：精密复杂的系统都是不稳定的，以靠单个光子工作的量子通信是极其精密复杂的，因而量子通信是不稳定的。错！这个三段论推理错在前提上。今日天空中的飞机和家中的电视机比上世纪的都要精密复杂得多，谁说它们没有以前的稳定可靠？我是做计算机出身，七十年代出厂的DJS-130小型计算机，使用单位必须组建一个小组来维护，今天你我手中的计算机不知要比它精密复杂多少倍，哪里又不稳定不可靠了？难道你家中也请了一个电脑维护班？

这些谬论其实都不值一驳，只能当笑话听听。下面作更深入一点的分析，以证明量子通信实际上是可以做得稳定可靠的，至少一点也不比传统通信方式差。不少人认为量子通信靠的是单光子传输，窃听者的行为改变了光子的状态，会中断正常的通信。又错！量子通信其实只是分发对称密钥，通信双方首先取得一致认可的对称密钥，双方隨后的大量信息交换实际上是在传统通信网络上进行的，当然这些信息都是经由上述的对称密钥加密和解密，得到了充分的保护。既然量子通信中信息的传输仍然在传统通信网络上，为什么它就是不稳定的呢，莫非“量子”两字是四类分子的帽子，带了这顶帽子做什么都是一个错？

那么窃密者干涉破坏量子密钥分配，又会带来多少不稳定因素呢？首先应该指出，尽管量子密钥分配讯道上存在各种技术和人为的干涉，许多传送的光子要丢弃，传输效率不高，但BB84通信协议就是按照这样的环境来设计的，“传输效率低”不等同于”不稳定”，只要有足够的时间，总能得到充分多的绝对可靠的的对称密钥。有时候得到的密钥还可以编好号贮存起来，以备不时之需。请问这样的量子通信系统又有哪一处不如传统通信稳定？严格来说，通信讯道的评估用的是平均速率、瞬间最高速率和响应时间等参数，从未听说过什么稳定性，不知它是个什么东东，量纲又是什么？还煞有介事谈论稳定性与安全性兼容，真是不知所云。作者是不是密码学专家我没有资格评判，但作者绝对是现代通信学的外行，这点基本可以肯定。

读到这里，反量子通信的可能真有些绝望了，但他们还有最后一招的：我暴力干涉，秒秒分分不停顿，天天月月无休止，让你根本无法交换密钥，看你怎么办？这种图穷匕见的下三滥手段实际上是根本不用答理的。

试问谁又有这样的能力（暴力？）长时期阻断量子密钥传输线路？局外人是根本做不到，难道挺而走险，剪断光纤，设立伪中继站？这些手段最多得逞于一时，终究难逃法网恢恢。我对中国最近的情况不太熟悉，但对美国的联邦邮政法和联邦通讯法规的严格和完善还是略有所知，这种局外人的暴力阻断光纤或设立伪中继站案件真的是前所未闻。

如果系统中有内鬼怎么办？坦白地讲，量子密钥分配技术防的就是内鬼，更正确的说是串通外鬼的内鬼。因为只要有人在量子密钥分配信道上窃听，不管他是外鬼、内鬼、什么鬼（英文使用Eve一词，非常传神），只要窃听必被察觉，这部份密码位全部丢弃，什么损失也不会造成。真正做到“若要人不知，除非己莫为。”这才是密钥配送安全的根本保证，通信双方有了安全可靠的对称密钥，安全稳定地交换信息根本没有任何问题。那么内鬼长时间不断地窃听阻挡量子密钥配送怎么办？这个问题还需要我来回答吗？这样傻的内鬼还是内鬼吗，倒有些像黑旋风李逵，呵呵。

反对量子通信的另一理由是：目前的公钥密码系统很安全，量子计算机的威胁是一种忽悠，研究发展量子通信完全是瞎折腾。

首先必须指出，公钥密码系统的安全问题由来已久，远在量子计算机概念出现之前。常用的公钥密码（如RSA）就被联网的个人电脑群攻破，只要用谷歌搜一下，立马知道公钥密码系统并不安全。最近美国技术标准局强烈建议把RSA公钥从1024位提高到2048位，如果公钥密码系统真的没有问题，他们何必多此一举。提高公钥密码位数极大地增加了加密和解密所化的时间，给日常的应用带来了诸多不便，却并没有从根本上阻止黑客攻击的热情和力度，提高公钥位数给使用者增添的困难远超对黑客的阻力，这才是公钥密码问题之所在。

正当公钥密码系统处于风雨飘摇、四面楚歌时，2014年的一条爆炸性新闻更是震惊了密码学界，从美国国家安全局叛逃的斯诺顿披露了安全局有一个绝密的项目 Penetrating Hard Targets，计划建造一台破解公钥密码的专用量子计算机。如果现在谁还相信公钥密码系统是安全的，请自己去美国国家安全局的网站，先看看他们是如何在处理这场危机的[1]。难道美国国家安全局也是在瞎折腾？

再让我们看看密码学界的动态，请先看下图：密码学界已经明确把公钥密码系统分成两大类，左列中都是目前常用的公钥密码，全被打入“量子可破”的死域。也只有中国几位反量子通信的所谓密码学专家教授还在拍胸脯担保这些公钥密码一点问题也没有，不知他们是假不懂还是真不懂，反正我也弄不懂他们。

图中右列确有几种公钥密码理论方法被列为“量子不可破”。但是请注意：1）它们只是目前还未被攻破，并非被证明“量子不可破”。2）它们全部没有进入实用阶段，甚至未进入应用初期开发阶段，很可能最后根本没有实用价值。

在“量子不可破”的公钥密码系统中最受关注的是“lattice-based crypto ”（基于阻格的加密法），密码学界对该方法的研究已经有二十多年了，但始终在应用上没有取得突破。其问题的本质是：该算法太复杂，运行效率低得无法使用；算法加以简化后，效率大幅提升，几乎可以与RSA媲美，但是出现了严重的安全隐患。数学家还在公钥密码的效率和安全的两难之间备受煎熬，密码学权威Hoffstei说得好：宇宙就是一个煎熬之地，密码学研究就是一个最好的例证[2]。由此可知，纯粹应用数学方法改善公钥密码系统的前景暗淡。

读到这里，如果还有人认为现有公钥密码系统固若金汤，我也只能无语了。反对发展量子通信人士可能会说，至少公钥密码现在还没有被量子计算机攻破，着什么急？持这种观点和态度实在非常要不得。

首先，你怎么就那么肯定公钥密码未被量子专用计算机攻破，难道你有发小在美国NSA里做主管？笑话！公钥密码与量子计算机是美国国家安全局的最高机密，这方面的进展，他们会向全世界做每周例报？退一步，即使公钥密码今天还没有被量子计算机攻破，你能保证五年后也攻不破？就凭你们这几个密码学专家保证得了？如果现在不发展量子通信技术，刀槍入庫、马放南山，五年后公钥密码被专用量子计算机攻破，你怎么办？开发一种全新的密码系统从试验、推广到投入应用至少要十多年，这段时间中你就只能裸奔了，到时候恐怕连哭的地方也没有！

应该认识到，在如此严峻的国际态势下，而目前的公钥密码系统又危机四伏，国家只能从最坏处着想，全力以赴创建自己的全新的密码安全系统，这是唯一正确的选择。人无远虑必有近忧，千万不能抱有侥幸心理，不可傍徨犹豫、患得患失，错失时机将后患无穷。认准方向坚定不移地发展自已的量子通信技术，这才是一个独立自主的大国应该有的抱负和责任。

量子密码技术的应用和推广肯定不会一帆风顺，但这决不能成为反对发展量子通信的理由。有人认为在量子通信方面欧美都没有大的动作，凭什么中国走在前面，中国一定是错了，中国总归是输家。照这个逻辑，美国都没有高铁网，中国怎能建高铁？这种论调似曾相识，中国高铁开建前后，这样的声音也曾经不绝于耳。记得当时有这样一种很流行的说法：高铁上不少部件和材料是从西方买来的，人家都不建高铁，中国建什么建？现在同样的论调又来了：量子通信中使用的一些另件和仪器设备是西方进口的，他们都不建大规模的量子通信网络，中国为什么要建？我再一次无语。

有必要再次强调：与其它密码技术不同，量子密钥分配技术从原理上保证密钥配送是安全的，量子通信是稳定可靠的，加速发展量子通信是十分必要的，是非常及时的，因为现有密码系统已经到了最危险的时刻。工程实施中一定会有许多的问题，但原理与实施是完全不同的两个概念，毕竟实施中的技术问题可以逐步解决，不可破译的原理才是该项技术具有发展前途的根本保证，它使我们对量子密钥分配技术的将来充满了信心。

希望进一步了解密码学发展简史和量子密钥分配技术原理的读者可以阅读我不久前写作的三篇有关文章：

拿什么拯救你-危机四伏中的密码系统
量子密钥分配技术-维护信息安全的忠诚卫士
关于“量子密钥分配技术”一文答读者问

本文是应【观察者网】约稿而作，首发于观察者网8月26日首页。

[1]On August 11（2015）,the National Security Agency updated an obscure page on its website with an announcement that it plans to shift the encryption of government and military data away from current cryptographic schemes to new ones, yet to be determined, that can resist an attack by quantum computers.

[2]As for why extreme efficiency and perfect security appear to be so diametrically opposed, Hoffstein said: “The universe is an irritating place, and this is just another example of it.”