博文

墨子沙龙有关量子通信话题的问与答（四）

已有 4351 次阅读 2018-12-31 16:07 |系统分类:观点评述| 量子通信, 量通, 京沪干线, 武合线, 可信中继

本期问题速览

13. 可信中继技术是什么，安不安全？

14. 用了可信中继技术，那和传统的密钥分发方案比，还有好处吗？

15. “京沪干线”这种量子保密通信网络也需要路由器、交换机这些设备吗？

16. 继“京沪干线”之后，“武合干线”也贯通运行了，量通国家骨干网路建设开始加速进行，如何看待这些新干线的建设？

第四期

13. 问：可信中继技术是什么，安不安全？

答：由于光子在光纤中存在损耗，一般情况单光子传输距离只有10公里左右，这就需要每10公里设置一个中继器，这样京沪干线2000多公里就需要至少200多个中继器。量通现在每100公里设置一个中继器，中继器就只需要用30多个。少用这么多中继器，不是因为量通发现了什么新物理机制，而是因为量通发射的根本就不是单光子，而是弱激光，采用的是诱骗态的技术，有关诱骗态的安全性在前面问题中已经回答，这里只谈中继器的安全性问题。

量通所谓的“可信中继器”与一般人的中继器概念是不同的，普通中继器只是将信号进行过滤重整放大，但是量通即使是多光子情况，也是每个光子都单独携载密钥信号，按照不可隆原理，单光子的偏振态可不能直接复制，所以自然无法简单进行信号放大。

“可信中继器”其实就是一个量通的量子信号发送器与接收器的复合体，再加上一个计算机进行密钥的加密与解密。

具体工作流程就是，当前中继器的接收器与前序中继器的发送器在量子信道上进行密钥协商，之后前序中继器用量子密钥将待发送信息明文加密后，在普通光纤上发送给当前中继器，当前中继器用协商的量子密钥将密文解密成明文，然后与后续中继器再进行新的密钥协商流程。重复上述过程，不断将明文加密解密，一站一站传下去。通常传过去的信息其实就是要分发的所谓量子密钥QK。

所以在“可信中继器”里，存在一个将QK不断解密再加密的过程，期间QK将有一个时间段以明文的方式被暴露出来。因为中继器同时接入量子信道和普通外网光纤，所以中继器中的计算机其实是接在外网上的，任何知道计算机网络攻防的普通IT工程师都知道这意味着什么。

量通对此给出的安全方案就是专人值守。专人值守的目的主要是解决系统异常甚至崩溃的情况，他们根本没有能力及时发现信息窃取的行为。

俗话说：道高一尺，魔高一丈，在计算机系统安全方面，防护往往都是亡羊补牢。如果黑客攻击行为仅仅是窃取信息，几乎没有什么手段能够肯定监测到这种行为的发生，这跟有人无人值守一点关系都没有，量通给出来的解决方案一点都不专业，不过也确实没有什么保障绝对安全的好着法，这个安全的软肋再次直击无条件安全的神话。这方面问题，徐令予老师的文章《“熔断和幽灵”有可能威胁量子通信干线的安全》^[14]有介绍,也可参看《量子通信是安全的吗？（下）》^[15]。

网络信息安全需要了解三个概念：信源，信道，信宿。无论是传统信息加密还是量通的加密手段都是只保护信道，不保护信源和信宿，因为在信息的收发两端，信息是必然存在明文暴露阶段的。

传统的信息加密传送，信道包括光纤、中继器、路由器、交换机、防火墙等，信号在这些地方都是以密文方式传送，不会泄密。但是量通的中继器其实已经不是信道的一部分，而是变成了信源、信宿的结合体，原本普通京沪光缆之间就是一个完整的信道，加密信息不怕被窃密，但是量通将这个2000多公里的信道切成30多段，每段的中继器节点都是信源和信宿，这相当于在原本不存在安全问题的系统中，生生插入30多个安全隐患，这些节点没有任何安全协议来保护，只能靠运气来保佑密钥不会失窃。

破解密文容易还是用黑客手段攻破计算机防护容易，这是不言而喻的，何况有30多个节点可供攻击，任何一个节点陷落都意味着全部密钥的失窃。量通的可信中继器不是提供了信息，而是为密钥失窃敞开了大门。

墨子文中提到推进可信中继的标准化建设进程，为可信中继提供安全保障。这给人一种错觉，就是标准化设计是针对信息安全的。信源和信宿以及计算机安全哪里是简简单单设立个中继器标准就能解决的，安全跟标准化是风马牛不相及的两码事，不是因为采用一致统一的收发与处理数据的方法，系统就变得更安全了。信息安全哪是这么简单的事情。

《纽约时报》12月3日发表题为《量子加密竞赛方兴未艾，中国已领先一步》的文章[18]，其中引述了一段中国著名量通专家的观点：

利用传统的通信方式，窃听者可以在光纤线路上每一点拦截数据流。政府难以探测到线上的拦截点的位置。陆教授表示，量子加密技术可以将京沪沿线1200英里的可能被攻击的点减少到了几十个。

（附图为墨子沙龙推介京沪干线的科普漫画）

我无法判断这种惊悚的观点是整个量通领域专家的普遍看法，或者仅仅是中国量通专家的主张。如果量通专家们以为侦听到网络上的密文就意味着被窃密，那么他们对于密码学常识的理解已经低到令人感到忧虑的程度。

我想我还是强调一下基本的常识吧：

l 被窃听不意味着被窃密，密文在信道上传输不用防范被窃听，因为破解密文目前还只能采用强力破解的方法

l 量通的可信中继不属于信道的一部分，而是信源和信宿，在这里密钥存在被还原成明文的阶段，而中继器是接入公共网中的，因此存在攻击者可以直接获取密钥明文的致命弱点

l 量通的量子通道之所以需要检测到窃听者，因为密钥在量子通道采用明文传送，也因此在量子信道上，能够在每一点上失密的恰恰是量通，如果无法发现窃听者，意味着密钥被直接获取，量通想要发现窃听者很大程度依然需要靠运气

能发现窃听者不是量通的优点，恰恰是量通的弱点，不能理解量通把弱点强说成优点，怎么还弄得这么理直气壮？

量通专家们成天讲传统的信息安全机制如何的不安全，自己又是如何的无条件安全，可是他们连理解别人的不安全都是彻底错误的，又怎么可能有能力评估自己的安全是对的？

14. 问：用了可信中继技术，那和传统的密钥分发方案比，还有好处吗？

答：这个问话原样照抄墨子文的问题，但是这不是好问题，问得也莫名其妙，似乎在说可信中继的优势，可信中继除了增加不安全性，怎么可能出来优势了？想问的问题应该是量通的QKD技术吧？

墨子文说，传统的密钥分发工作采用两种方式，一种是人工到处跑，另一种就是采用RSA。

我还是建议量通到实际的应用场合调研一下，不要这么想当然地下结论，贻笑大方。

有关这个问题的答案其实在问题8中已经回答得比较清楚了。我想再强调一下，首先，量通协议是没有加密解密功能的，它的加密解密过程都是采用传统的对称加密方式。

传统密钥分发既可以采用对称密钥，也可以采用非对称密钥（包括但不限于RSA），所谓人工分发密钥那不是因为技术做不到，而是制度要求这么做。

RSA这类公钥方式分发密钥的场合都是非确定性用户间，比如互联网用户，移动用户间，这种场合就算RSA不安全了，量通也没有能力插进一只脚。

确定性用户之间的密钥分发即可以采用对称加密，又可以采用非对称加密，甚至双方都可以不用分发密钥各自算出来密钥，即使RSA失效，大可采用对称密钥分发体制，也轮不到量通参与密钥分发，量通不提供更高的安全度，反而将安全水平拉低到需要拼人品的概率安全地步，甚至到绝对不安全的地步。

公钥体制可不仅仅只有RSA一种，可选择的多了。现在量通唯一能够认为量子计算机可以破解的加密算法也只有RSA一种，他们还能怼其它加密算法吗？将一种算法理论上可能存在安全问题，放大到整个信息安全领域都存在问题，我认为应该属于信息安全的恐怖主义，开个玩笑！！J

墨子文的回答还有一个观点是传统加密机制都是算力可破解的，我在问题5中也做了回答，这里不重复了。

15. 问：“京沪干线”这种量子保密通信网络也需要路由器、交换机这些设备吗？

答：这个问题同样拷贝墨子文的问题，下面就是对墨子文解答的分析。

墨子文中首次承认了量子通道没有路由器和交换机，对此我们一点都没有新奇感，如果不是我们的不断追问，他们是不想谈这个问题的。这意味着量通的组网方式只能是点对点，意味着量通根本不可能有太多用户。很简单，假设有n个用户，那么这些用户间要想彼此保密通信，相当于一个n节点无向完全图，需要提供n*(n-1)/2条量子通道，这些通道的端点才是挂在量通干线上的用户。

量通还有另外一种类型的用户，不是挂在量子信道上，而是通过经典组网的方式连接到量通干线上的。对于这类用户如何获取量子密钥QK，墨子文一点都没有透露，我们来猜猜看。

用户分两种类型，第一种类型属于确定性用户，这类用户与量子密钥分发中心（QKDC）之间有预制的对称密钥，假如用户A打算与用户B通信，那么用户A或者B向QKDC申请量子密钥QK，然后QKDC采用预制的对称密钥的将QK加密后分别发送给用户A,B，这样两者之间就能进行保密通讯了。

第二种类型属于非确定性用户，与QKDC没有预制对称密钥。QKDC对此类用户或者拒绝服务，或者采用量通深恶痛绝的RSA将QK分发给该用户。这种情形比较具有讽刺味道，我就不多说了。

对于第一种情况，最该问的一句话是为什么会有QKDC，在问题7中我已经很明确指出来，囤积QK是一种愚蠢的行为，因为在QKDC上用软件生成随机数更具有无限高的安全性。

所有用户的QK都从QKDC上获取，意味着QKDC掌握所有用户保密通信的密钥，也意味着能够破解所有用户的安全信息，这是用户的期望吗？QKDC一旦被黑客攻击，黑客也将能够破解所有用户的保密信息，用户不但要保证自己系统是安全的，还得祈祷QKDC也是安全的，用户愿意承担这个风险吗？再者，所有用户都访问一个QKDC，不怕网路出现瓶颈吗？

所以，我真不知道通过普通组网方式进入到量通干线的那些用户是怎么进行信息安全评估的，估计他们也根本没有想到这些问题。一想到这些用户所有信息都裸露在QKDC眼中，我不禁为他们暗暗担忧，他们哪里是获得一种安全感，简直是将互联网摄像头放到床头上做网上直播，这就是量通允诺给大家的无条件安全。

我们一直呼吁量通将终端组网方式公布出来，虽然羞羞答答，但是毕竟透露出来一些信息。然而哪怕这些蛛丝马迹，也让人对量通如何理解信息安全更增加深深的忧虑。我相信他们未必会有意识想要满足偷窥的欲望，可恰恰这才让我对他们的专业能力更加地不信任。

16. 问：继“京沪干线”之后，“武合干线”也贯通运行了，量通国家骨干网路建设开始加速进行，如何看待这些新干线的建设？

答：我们注意到“武合干线”已经于11月13日正式宣布启动运行^[5]。在“京沪干线”仍然受到广泛质疑的情况下，“武合线”以政府债的方式继续强行建设启动，这样的动机究竟为何耐人寻味。

国务院早在2014年43号《关于加强地方政府性债务管理的意见》[6]中就已经明确指出:

地方政府举债采取政府债券方式。没有收益的公益性事业发展确需政府举借一般债务的，由地方政府发行一般债券融资，主要以一般公共预算收入偿还。有一定收益的公益性事业发展确需政府举借专项债务的，由地方政府通过发行专项债券融资，以对应的政府性基金或专项收入偿还。

并且：

严格限定地方政府举债程序和资金用途。地方政府在国务院批准的分地区限额内举借债务，必须报本级人大或其常委会批准。地方政府不得通过企事业单位等举借债务。地方政府举借债务要遵循市场化原则。建立地方政府信用评级制度，逐步完善地方政府债券市场。地方政府举借的债务，只能用于公益性资本支出和适度归还存量债务，不得用于经常性支出。

所以政府债首先必须具有公益性，并且专项债务需要经过国务院和地方人大及其常委会批准，政府不得为企业举债。

量通的“武合线”是否具有公益性值得提出质疑，即使该项目能够服务于政府和金融机构，那也不是公益性的体现，就像电信移动完成他们的基础建设一样，属于纯企业行为。“武合线”既然定位广泛商用，显然与政府债的公益性有巨大的冲突，并且用政府为企业行为买单存在巨大的风险，因此国务院的文件中特别强调：

建立债务风险应急处置机制。要硬化预算约束，防范道德风险，地方政府对其举借的债务负有偿还责任，中央政府实行不救助原则。

对于一个理论和技术上处处存在风险的非公益项目，由政府出头以债务的方式为企业买单，并将债务偿还的风险释放给当地的百姓是非常不妥当的行为，也因此，“武合线”在开始建设的时候还在强调使用了政府债，以表明政府对于量通的大力支持，但在社会上出现对使用政府债建设合法性质疑的声音之后，在竣工启动的文稿中，已经看不到任何政府债的只言片语。

“武合线”的宣传中，这是一个定位广泛商用的量通网络，表面上似乎在说量通的技术已经成熟到可以商用的地步，其实后面的潜台词并非如此。

任何懂得量通理论和技术的人员包括量通专家在内都不会天真到认为量通的技术已经足够成熟了，可以推广商用了，但是如果你从另外一个商业的利益角度进行思考的话，那就对量通如此迫不及待宣传商业应用，一点也不感到奇怪。

在技术和商用市场上拿不到的东西，在资本市场上是能够轻易拿到的，所需要做的无法是一点点夸大其词的宣传而已。如果量通不能够迅速实现商用化，至少名义上的商用化，那么在资本市场上，连IPO起码的门槛都无法越过，靠以科学实验的名字来做项目，那是做不了商业的，更不用说IPO了，所以“武合线”其实承担了商业化运作的重担，为IPO运作打前哨，这就是为什么“武合线”强调广泛商用的原因。

在资本市场上，炒作量通题材已经在主角缺失的情况下运作过一番了，涉及到几百亿市值的IPO，任何一个名义上的商用线路都显得价值连城。并非量通缺少足够的号召力吸引社会资本参与量通的建设，也从来没人打算从建设的线路本身获得商业的收益，但是如果能够在资本市场上瓜分收益，就足以百倍弥补投入的资本，这笔账谁都会算。

其实早前九州量子已经因此与量通主角发生过冲突，在三板市场，九州量子借助量通的概念，被炒到市值接近300亿，不可谓不惊人，如果量通主角上市，价值可期。显然量通的主角们并不想在正式上市前让无关者分享超级红利，所以九州量子最终被量通主角从利益攸关者的角色中踢出。

政府债可不会稀释什么量通的股份，这个没有任何资本欲望的投资方式更符合量通的口味，量通方即获得了建设资金，又不用担心股权分散，政府方也能够以此书写政绩，岂不两全其美。而且这个政府债如果能够推进量通IPO进程，那大概率不会成为呆账，风险是可控的。

量通通过资本市场变现的算盘打得其实是足够精妙的，所以当务之急就是要保证IPO的顺利推进，至于后续的量通建设是否能够开展起来并不重要，毕竟股市的价值衡量在中国是靠想象力来体现的，这方面量通一点都不欠缺。

参考资料：