需求和成本是工程立项的基础    一评京沪量子通信干线工程

9月29日，世界首条量子保密通信干线——“京沪干线”正式开通。中国科技人员在量子保密通信相关技术领域，诸如高速高效率单光子探测、可信任光子中继站和星地量子密钥协商等方面都取得了重大进展，可喜可贺！对此我们不需要更多的溢美之词，此时此刻，客观的介绍和有益的建议比什么都重要。

为什么要开发量子保密通信技术？因为从理论上讲，如果未来量子计算机真的建成，再如果建成的量子计算机有足够的量子位（Qbit）和足够的稳定性，那么今天密码系统中的非对称性的公钥密码RSA有可能被想象中的量子计算机破解。研发量子密码通信技术就是为了寻找未来可以替代RSA的技术。必须指出，虽然今日的密码系统并非尽善尽美，但也没有迫在眉梢的危机。由此可知，量子保密技术只可能是前瞻性的科学研究，而现在却把它做成了工程项目，这就必然会带来一些问题和争议。这些问题不得到澄清和解决，《九州量子》和《量子小镇》这些事件就会层出不穷[1]。

“京沪干线”工程项目首席科学家、中科院院士潘建伟最近的谈话中提到：“....，但是大家不能把它炒作得太热之后，一个东西反而味道就变掉了。要严谨地去做事情。”从字里行间不难看出，他也担心京沪量子保密通信干线如果在过度炒作的舆论环境下，可能不利于解决实际的科学问题。他又说：“量子通信广泛应用取决于成本和需求两大因素。”这句话说到点子上了，评论工程项目，需求和成本就是两个始终绕不开的坎。

让我们先对量子通信工程的需求作些分析。2017年5月有一篇论文：“后量子时代的RSA”[2]，该文发表后被多家相关杂志转载和引用，几乎一致的结论是现今使用的非对称性密码RSA不会因为量子计算机的出现而消亡。

该论文的核心观点是：假设量子计算机已经建成，再假设量子计算机的量子位（Qbit）可以无限扩展，进一步假设该量子计算机的运行成本与现在通用电子计算机的成本可以相比，用这样一台超级想象出来的量子计算机来破解长度为 Terabyte（太字节，等于1024GB）的RSA非对称密钥需要量子计算机进行2^100（2的100次方）的量子位操作。

2^100是一个什么概念？这个数大于我们星球上所有细胞的总数！当然一个Terabyte长度的RSA公钥也有点过份了，但即使在目前使用的电子计算机上运行，从密钥的产生到加密和解密一共化时五天。这样的方案虽然不太实用但至少还是可以实现的。

这篇论文并不是要为对抗量子计算机提供确切的方案，而是用实验和大量数据分析指出：即使围绕量子计算机的技术难题和运营成本全都解决，只要现行的RSA公钥增加字长和改善算法，就能迫使量子计算机的恶意攻击付出难以承受的代价，在后量子时代作为经典密码系统重要基石的RSA具有足够长的生命力。急于丢弃RSA等公钥密码系统而另辟蹊径可能真的是杞人忧天。

让我们进一步对量子通信工程作些初步的成本分析。经典保密技术与量子保密技术的主要区别是：经典保密系统中通信的内容与密码的配送使用的是同一个通信网络，而量子保密系统必需两个通信网络，一个传送通信内容，另一个配送量子密码。量子保密技术势必会大幅增加通信的成本。

由电路交换和分组交换技术构建起的经典通信网络从本质上来说与量子保密通信网络是格格不入、难以融合的。很难设想在原有的通信网络线路上实现量子密钥分发。换言之，为了通信未来的安全，我们必须在原有的通信网络之外加建一套传递密钥的专用网络。而且这条网络要求所有通信双方端到端全程使用光纤联接，当通信双方超过上百公里，还必须使用可信任中继站或卫星中继。暂不考虑工程的难度，对于普通用户特别是手机用户而言，仅成本一项无疑也是难以承受之重。

到目前为止，在所有的经典加密技术中，通信的内容与加密的信息都在同网络上传输，信息交换和保证信息交换的安全措施是一个统一完整的过程，密码系统在整个通信过程中所占的额外成本是十分有限的。因此从工程角度来看，改进和革新经典加密技术比发展量子密码技术的成本要低得多，也更为切实可行，这一点越来越成为业内人士的共识。

再让我们看看密码学界最近的动态，请先看下图：密码学界已经明确把公钥密码系统分成两大类，左列中都是目前常用的公钥密码，它们是“量子可破”的，即理论上在量子计算机攻击下是不安全的（事实上也并非如此，见文章的上部分分析）。图中右列的几种公钥密码系统被列为“量子不可破”，它们从原理上被证明是很难被今日的巨型电子计算机和还在纸上的量子计算机破解的，因而它们又被称为后量子时代的密码系统。

在“量子不可破”的公钥密码系统中最受关注的是“lattice-based crypto ”（基于阻格的加密法），密码学界对该方法的研究已经有二十多年了，但始终没有进入工程应用阶段。其问题的本质是：该算法太复杂，运行效率低得无法使用；算法加以简化后，效率大幅提升，几乎可以与RSA媲美，但是却出现安全隐患。但是近年来对于该密码系统的研究取得了实质性进展，它们很可能就是美国国家安全局不久将要推出的后量子时代的密码系统中的重要组成部分。

对付量子计算机未来可能的攻击，采用改进的经典数学方法而不是全新的量子密码技术己成为欧美密码界近期的共识，2017年年中在迪拜召开的RSA国际学术会议充分展示了这一点。这些改进后的新的密码算法完全可以在目前所有的计算机和通信网络上运行，现行一切通信方式釆用这些新算法进行升级换代过程可以变得更平稳更经济。

把高铁工程与量子保密通信联系在一起，可以印象化地说明这样一个事实：洋人做不来的事，中国人可以做而且可以做得很好。但是我们必须明白，量子保密通信不是高铁工程，它只是一个不完整的示范性工程，工程的必需性和可行性正面临严峻的考验。人们出行可以坐高铁也可以不坐高铁，也可以坐一段高铁再加一段普客。但是通信系统中经典密码系统很难与量子密码系统兼用，如果一定要联在一起用，就会有木桶短板效应产生，量子保密系统不能为用户带来丝毫益处，除非通信双方全程使用量子保密系统，而我们都知道这对大量的普通用户又是多么地不切实际。高铁一通，上面坐满了普通百姓，而京沪量子干线开通至今，请问又有几个吃瓜群众享受到了量子保密通信的好处？

那么金融行业，特别是银行系统是否会享受到量子通信干线的优越性呢？很可惜答案是否定的。量子计算机有可能破解RSA这类非对称密钥，而对于基于复杂逻辑运算的对称密钥体制根本就没有威胁。现在所有金融行业（包括银行）采用的都是对称密钥体制，这个标准由中国人民银行颁布的PBOC里面有详细的描述，并且PBOC标准也是参考美国的国家标准制定的，其实全世界的金融行业标准几乎都是一个模子刻出来的[3]。

银行系统密钥分发要用到RSA这类非对称密钥只有初始化的第一次，之后采用的都是对称密钥加密。其实初始化都未必会用到RSA，任何能够安全地将初始化密钥分发到密钥分发管理中心的手段都可以采用，毕竟只需要做一次的事情，麻烦一些也无所谓。银行与其它金融系统对量子保密通信是不会有多少兴趣的，哪怕你明天就变出一台有几万量子位的量子计算机，他们仍旧会是“量子围困万千重，我自巍然不动。”

军队会使用量子通信吗？从目前的技术状态来看，这更不可能。军队通信对网络的移动性、可变性、和抗干涉性有更高的要求，量子保密通信从本质上很难适应这样的网络通信环境。

那么究竟谁是京沪量子干线上的主要用户呢？有报道说某某市政务系统开始采用量子保密通信技术，做些什么呢？使用量子密钥对视频通话加密解密。其实只要是了解政务系统的人都知道，跑在政务系统上面的信息，其实从来就没有太多需要保密传送的内容，真正机密的信息连一个字都不会放在政务网上的。所谓政务网采用量子通信多少带有作秀的成分。

对量子保密通信概念的误解导致了一系列问题的产生，媒体的过份渲染和资本市场的炒作把问题进一步复杂化。因此有必要再次强调：
1）量子通信根本不是一种新的通信技术，它不是用来传递信息的，它从来不是、也永不可能为大众带来更快、更方便、更廉价的通信服务；
2）量子通信干线工程甚至也不是一套完整的密码安全系统，到目前为止，它不能提供密钥的分级发送管理、身份认真和电子签名这样一套完整的严格切实可行的信息安全服务[4]；
3）目前量子通信工程只是基于BB84协议的量子密钥协商技术，原本是用来对付将来有可能发生的量子计算机对非对称RSA密钥攻击的一种防卫手段。但事实上RSA在后量子时代有足够强的生命力，而且更重要的是在许多应用环境中，RSA公共密钥並不是非要不可的。而在一些离不开RSA的环境中，量子通信又根本无法投入使用。

对量子密码技术作前瞻性的科学研究我们应该支持，毕竟在后量子时代如何确保信息安全谁也不敢打保票，量子密码技术有可能发展成为对抗量子计算机攻击的有效工具，多一种选择总是好的。虽然危机仍在未定之天，但未雨绸缪作超前的研究也是应该的，因为新技术从概念提出、实验证明、技术和标准的建立都需要时间，千万不能等危机出现后再临阵磨枪。而且科学研究的过程中会提升相关技术的水平，也很可能会收获意想不到的副产品。对量子保密通信技术作前瞻性科学研究应该大力支持，我的这个态度始终也不会改变。

但是铺开建设量子保密通信干线的工程项目必须谨慎再谨慎。从近期看，经典密码系统是安全的，到目前为止，量子保密技术不仅成本昂贵，而且功能上也无法替代经典密码系统。开发量子保密技术为的是应对未来可能发生的危机，但这种危机离我们仍十分地遥远，即使危机真的降临，改进升级后的经典密码系统应该足以应付危局。在后量子时代，量子密码技术并非是对抗危机的唯一选择，它很有可能仅是一枚永远也使用不上的备胎。

[1]http://www.guancha.cn/society/2017_09_29_429255.shtml
http://www.guancha.cn/economy/2017_09_30_429382.shtml
http://www.guancha.cn/society/2017_09_29_429359.shtml

[2]https://eprint.iacr.org/2017/351.pdf

[3]有关中国人民银行使用的PBOC简介，可参阅科学网李红雨博客：http://blog.sciencenet.cn/blog-46717-1074225.html

[4]量子保密通信至今不是一套完整的密码安全系统。到目前为止，它不能对通信安全提供诸如密钥的分级发送管理、身份认真和电子签名这样一整套严格完整的全方位的服务。

本文首发于观察者网2017年10月31日, 发表时曾有多处删节。