以量子通讯卫星上天为标志，中国量子通讯工程真正花大钱的“土建”部分基本宣告结束，剩下的工作就是属于科学和技术范畴，需要逐步兑现量子通讯科学家的美好承诺。

单光量子的量子通讯破解

在以前的文章中，曾经提出过在2光子和3光子及以上的情况下，如何破解BB84通讯协议的方法，请参看《量子通信是安全的吗？（下）》，得出的结论就是两光子情况下，每个秘钥位被破解的概率为50%，在3个光子及以上的情况下，能够100%破解量子通讯的秘钥。所以量子通讯赖以维持其安全的最后屏障就是单光子的情况。

单光子的制备在实验室条件下也许并不是什么太大的困难，通常将激光极度衰减来得到。但是考虑到波粒二象性，究竟衰减到什么程度可以看作已经是单光子，却也并不是特别有把握的事情。不过我们不纠结在这些问题上，尽管我们知道，工程实现的角度，在上千公里的传输过程中保持单光子的状态无异于天方夜谭的神话，但是我们仍然愿意宽容一些，假设我们的科学家掌握了天顶星的黑技术，就是能够保证整个通讯过程完全由单一的光子来实现，这样是不是就能够兑现所谓的信息物理的绝对安全？

量子通讯的物理安全取决于两个原理，第一个是光量子的不可分割性，第二个就是量子叠加态不能以绝对的精度进行克隆。光量子的不可分割性是一个能与不能的双状态问题，我们的物理至少现在还没有能力做到单光子的分割，在当前的量子物理中，这是很值得信赖的原理。但是不可克隆原理则不然，表面上来看，这也是一个是与否的双状态问题，但是针对量子通讯而言，这却是一个无限状态的问题。

量子通讯不是检测光量子的有与无，而是以一定的精度来检测光量子的偏振性，只要光量子的偏振偏离在一定的检测宽容度下，就能够被接收者正确检测出来。换句话说，量子通讯的信号发送与接收的原理是基于光量子的偏振角度范围，而不是理论上的绝对的相互呈正交的两个状态，因此相对于无穷多的光量子偏振态，同样的一个信号，只要相对于理想偏振方向，偏离在一定控制范围内，任意偏振角度能够被正确的识别。所以即使不考虑不可克隆原理的正确性，只要物理上不拒绝以相对精度复制一个光量子的偏振状态，就能够实现在通讯双方无法察觉的情况下，通过检测后再复制的方式，达到神不知鬼不觉的窃密目标，除非发送和接收的双方能够以绝对精度的方式进行通讯，否则就必须面对相对精度的问题，而这就不是不可克隆原理能够约束的了。

这本来就不是一个物理问题，而是一个简单的逻辑问题，不知道为什么这么多量子通讯专家们都没有人意识到这么简单的错误。这绝对是愚蠢而不可原谅的错误，这意味着所谓量子通讯的物理安全保证，根本就是一个从开始就没有经过认真思考，而后为后续所有专家不加批判全盘接收的典型错误。我记得量子物理学家群体所犯的这类错误可不仅仅一次了，这次错误尤其简单，尤其明显，也就显得愈发具有讽刺意味。

原理上我们不认同量子通讯不可破解的神话，我们也指出了在信息通过多个光子承载的情况下，量子通讯已经能够被部分或者完全破解的方法，我们现在所要做的，就是挑战单光子的情况破解量子通讯，进一步戳穿这个神话。

在讨论这个实现方案之前，首先提示一个雷锋网转载的有关通信专家为量子通讯站台的文章，这是罕见的从通信角度进行论述的文章，所以我下面给出链接：

http://www.leiphone.com/news/201608/bd3muN9Jfn3hyN62.html

虽然我没有看出来这个所谓的专家提出来什么有价值的支持意见，不过我还是对专家给出来的一个数字感兴趣，在量子通讯的具体实现中，误码率+丢失率在90%以上，也就是说，假如发送方发送100比特的信息，经过各种损耗和检测错误，能够最终被正确接收的信息不到10比特，这是一个令人印象深刻的数字，后续的一些讨论会不断用到这个数字，同时也引发我们另外的一个疑问，在如此之大的错误率下，究竟通讯双方靠什么蛛丝马迹能够分辨出来哪些是系统固有的出错，哪些是因为被侦听导致的出错？我想单只这个课题就足以写出几个出彩的博士论文了。

二进制编码需要提供两个不同的状态，对于光的线偏振来说，彼此之间成正交的两个偏振方向正好能够提供这两个状态。之所以采用正交方向，是因为正交情况下的两个偏振方向是差异性最大的两个方向，并且彼此在对方象限投影长度为零。当然这是理想的状态，实际上技术上根本无法保证两个光子的偏振方向绝对正交，与理想的轴向都有一定的偏角，技术只能保证偏角尽可能小，不能实现零偏角。这样的话，当规定了表达二进制0和1的偏振方向后，承载0或1的光子偏振方向必然以极小偏角的形式围绕0轴向或1轴向的方式发送并接收。

BB84的偏振版协议采用十字和X型两组正交基进行发送与检测，这两组正交基之间互为π/4夹角，进一步的原理性解释可以参考徐令予老师的相关文章：《量子密钥技术-维护信息安全的忠诚卫士》。

我们接下来讨论的问题，假设了读者已经了解了BB84的工作原理。

为了在单光子的情况下破解量子通讯，我们采用了米字型偏振检测基，这是十字和X型两组正交基的合并，以4进制的方式表达检测结果，为了叙述清晰，我们在每两条相邻偏振方向基引进一条虚的角平分分隔线。如下图中，黑色的线表示偏振方向，其中0,1一组与十字偏振基相对应，2,3一组与X型偏振基相对应，红色的线表示分隔线，这样相邻为π/8的红黑相间的8条直线将平面划分成16等份，分别用4种颜色标识，其中为了叙述的简便，按照顺时针方向，将相邻的同色区间分别称作前X色和后X色，比如前黄色和后黄色。

米字偏振检测基

信号的收发双方分别采用十字或者X型偏振片，对于窃听者来说，无需选择，只需要一个米字偏振片就可以，米字偏振片的每一个色块都对应一个信号的有效检测区域，比如0-蓝色，1-绿色、2-黄色、3-紫色。如何制作米字偏振检测基并不是本文的叙述要点，如果我们能够制作十字和X型偏振检测片，没有什么物理的原理限制，阻止我们制作米字偏振检测片。

从原始的BB84协议来看，双方采用相同的偏振片收发信号，是正确识别信号的前提，所以后面的叙述我们都假定收发双方采用了相同的偏振检测片。当发送信号1时，接收方使用十字偏振检测片检测。对于单光子，或者由于检测造成损耗，或者通过某一个偏振方向射出被接收方检测到。理论上，当光子的偏振方向位于后紫色+绿色+前黄色区域时，能够被概率性地识别为1，越是靠近1轴，识别为1的概率越大，越是偏离1轴，识别为0的概率越大，两者识别概率相等的地方就是2轴和3轴的位置，此时识别为1或者0的概率相等，只有当偏振方向与1轴方向绝对相同的时候，才能100%识别为1。因此为了降低这种系统误差，需要做的就是尽可能保证信号偏振方向的正确性。当信号偏振方向偏离正确方向比较大的时候，就非常可能被错误识别，而BB84协议无法直接纠正这个错误，只能在一组信息传输完成后，通过整组数据的纠错机制来确认是否其中包含错误，存在错误时，整组数据都将被废弃。因此，保证信号偏振的准确性直接影响到系统的误码率。

对于窃听者来说，单光子无论是哪个偏振方向，最终一定落在4个偏振轴中的某一个，此时窃听者采取的动作首先记录信号值，并将该单光子吸收，接下来，以相同的偏振轴向发射一个光子给接收者。窃听到的信息为0-1，代表十字偏振片的0-1，信息为2-3，代表X型偏振片的0-1。窃听者需要的物理能力只是能够检测到单光子，并且具有4个轴向的单光子发射能力，这些并不比接收者和发送者的能力要求更高。

这样就存在争议，或有人说只有采用相互为正交的轴，才能绝对地区分0-1两个信号状态。这句话没有问题，但是只有当光子的偏振方向与两个轴向之一绝对一致的时候，才能绝对地分辨出来对应的信号，事实上，技术无法做到这一点，任何一个光子的偏振都必然与轴向有一个小夹角，我们只能将这个夹角控制在一个相当的精度范围内，无法让这个夹角为 0，所以说，任何一个信号都有可能被错误识别为另外一个值状态，只是概率大小的问题而已。

换到米字偏振片来说，我们说，一个遵循BB84协议系统的量子通讯系统，所有的光量子偏振方向都是围绕着0-1-2-3四个轴向，并且技术水平越是高超，与4轴向的偏振夹角误差也越小，我们也就相当有把握说，当光子偏振方向分别落入在0-蓝、1-绿、2-黄、3-紫区间中，其实际发送的信号也在相当大概率为0、1、2、3。

当然非常可能信号误差很大，导致信号落入临近的色区，这种时候，当然米字偏振片会发生测量错误，但是就算这样发生错误又能如何哪？其实际光子偏振方向，与可识别的轴向本来就相差不到π/8的范围，即使采用十字或者X型偏振片，也必然能够以相当大概率被错误识别，想想文章前面提到的90%的错误率，这个时候当接收者接收到窃听者的错误信号时，也不过是将这个识别为系统误差而已，窃听者的行为根本无法被发现。所以当窃听者以米字偏振片观测-吸收-再发射这个动作序列进行窃听的时候，无论信息的发送者还是接收者，都无法察觉窃听行为的存在，毕竟量子并没有可区别的特别标志。

量子中继器

谈完有关单光量子的破解之道，再引申谈谈有关量子工程采用的中继器问题，有人说，量子中继器可以采用量子芝诺效应中继器，这种说法当作笑话听听就可以了，这种天顶星黑科技地球上还没有，要想让一个原装的光子一路通过中继器从北京跑到上海恕臣妾真的做不到啊。

量子中继器的实现目前也只能是相当于接收-处理-再发送的过程，也就是前一个A中继器与后一个B中继器首先协商出来一个秘钥，用这个秘钥作为过程秘钥，将要传递的真实信息加密从A通过经典信道发送到B，解密后，由B与后续的中继C协商出来新的过程秘钥，再用这个新过程秘钥加密信息通过经典信道发送给C，如此接力传送到终点。

有些人可能认为本来就应该是北京与上海通过一系列中继协商出来一个秘钥作为所谓的分发秘钥，而不是类似上面的说法，将量子秘钥一级级废弃再重新生成，导致北京原始的量子秘钥与上海的量子秘钥完全风马牛不相及。我们可以再回顾文章之前提到的90%错误率，这个错误率应该是点到点不通过中继的量子通讯错误率，否则，这个错误率必然是与过程节点数相关的，而不是一个相对固定值。所以假如北京到上海经过20个中继节点，那么当上海接收到10个比特的正确信息时，需要前一个节点发送100个比特，更前一个节点1000比特，一直到北京，需要北京发送10的20次方个光子才能保证上海收到10个比特的正确信息，这个数量可是跟地球上所有沙子的总数一个量级，如此之多的光子需要一个个排队通过这个小小的光纤传到上海。所以在没有芝诺量子中继器黑科技发明前，北京-上海之间是协商不出来一个统一的秘钥的，所谓量子秘钥分发，分发的绝对不可能是量子信道协商出来的伪随机数，只能是传统方式生成的主秘钥，通过量子手段加密发送而已。

当然在面对中继器的时候，窃听者可以采用的途径就更多了，比如通过黑客手段侵入合法的中继器计算机中，在中继器完成接收加密的主秘钥，并通过协商的量子过程秘钥将这个主秘钥解密后，主秘钥就会以明文的方式短暂留存在计算机中。在该中继节点与下一个中继节点协商出来新的过程秘钥并将主秘钥加密之前，窃听者就可以完整获取主秘钥，这个过程就比采用米字偏振片技术等级更低，不过是很普通的黑客技术，随便一个操作员就能完成盗取主秘钥的事情，都不用什么特别的设备，只是注入黑客代码而已。

当然也可以采用伪装中继器的方式，在两个合法中继器之间嵌入一个窃密中继器，采用与合法中继器相同的协商秘钥和处理主秘钥的过程。这个方法存在的问题就是通常中继器之间需要进行身份合法性验证，这个过程都是普通的经典数字验证手段，用到的是经典的数字签名之类的技术，其安全水平取决于经典信息安全算法。所以在这个模式下，量子信息安全不是由量子通讯本身决定，而是需要依赖经典信息安全手段，这不啻是个极大的讽刺。

量子卫星

说完中继器的问题，再略谈谈量子通讯卫星，从文宣的片语中，可以认为，星地之间的量子通讯可能采用量子纠缠的方式进行。卫星要想起到通信作用，只能做中继的角色，也就是说，不但卫星要具有生成纠缠量子并对准地面发射，也需要接收地面的纠缠光子，这就是星地之间双向的对准技术。考虑到自由空间及其恶劣的条件，单光子要想准确对准地面或者地面准确对准卫星，这个伺服技术可是绝对的黑科技，并且考虑到极其微弱的信号，如何在复杂的环境中找到那个纠缠的光子不比大海捞针更简单，要知道光子不带标签，如何在满天星光城市之光中找到中意的你，真的需要望眼欲穿。

有些专家号称发明了共聚焦模式的望远镜，能够过滤背景光噪声，白天也能进行量子卫星通讯，我只能赞叹量子专家的无所不能，显微技术做到望远镜上面，单只这个成就就够上诺奖级别，看来真是学无止境啊。再回想前面提到的那个90%的错误率，星地之间的通讯效率如何不问就知道，而且奇怪的是，为什么文宣中没有提到地星对准的问题？难道地面不用发送纠缠光子给卫星吗？卫星只发送不接收怎么做中继？当然文宣中也不会提到即使天气条件绝对的好，每天卫星能够工作的窗口时间也就是短短10几分钟，可怕的错误率下，能否有足够时间协商出来一个秘钥都是个大问题，别告诉我说下一次接着来。

量子秘钥

再啰嗦几句量子秘钥的应用方面的问题。BB84协议只能通过收发双方的一系列动作，协商出来一个随机数用来作为对称加密的秘钥，需要特别指出的是，对称秘钥与非对称秘钥的应用场景完全不同，不是相互能够被替代的。BB84无法协商出来非对称秘钥，当然要想让这个协议发送哪怕是一个“Hello World”这么个最简单的信息也是做不到的，它可不是什么聪明的万能通讯协议，本质上就是一个用量子方式实现的随机数。用这么个随机数承载信息物理安全的重任恐怕太小看信息安全领域面对的问题了。

非常奇怪的一点，量子通讯专家经常耸人听闻地警示众人，说量子计算机的出现，将使得秘钥能够被轻易的破解。目前来看，不用说量子计算机连影子都没有，连通用型的量子计算机应该是什么样子都没人说得清楚。现在处于探讨中的量子计算机都是属于专用型的计算机，只能固定玩一些特定的算法，有点类似数字计算领域中的DSP，而其中用来破解秘钥的就是shor算法，这个算法只能用来分解大素数问题，属于非对称秘钥的领域，跟对称秘钥风马牛不相及，不要觉得对称秘钥是素数分解问题好不。就算是量子计算机出现，能够轻易破解RSA这类非对称秘钥体制，但是量子算法对于对称秘钥并没有特别显著的加速效果，简单加长秘钥长度就能够抵抗这类的破解，而量子通讯干的就是对称秘钥领域的活，跟量子计算机破解非对称秘钥有什么关系？并且需要指出的是，shor算法并非无懈可击，很多讨论也指出算法默认的一些条件可能不成立。那么量子专家所说的量子计算机的出现将使得秘钥体制彻底崩溃，这样的言论不是无知就是别有用心。

量子通讯协商出来的秘钥如何对主秘钥进行加密解密，算法迄今为止尚未公开，不过从多个渠道中获得的只言片语可以猜测采用的是按位异或操作方式进行，这是一个玩具级别的加密解密方式。

信息安全有一个定理，就是当加密秘钥大于等于明文的信息长度时，一次一密的加密方式是不可破解的。这个定理经常被对信息安全一知半解的人乱用。其实这里提到的加密秘钥其实还有一个必须附加的条件，那就是秘钥本身必须具有充分的随机性，才能保证加密信息的绝对安全。

量子通讯协商出来的过程秘钥可以等长于主秘钥长度，通过异或的方式加解密，那么我们需要问的是，有什么机制保证协商的秘钥具有充分的随机性吗？有人说量子状态本来就是最随机的，问题是，你如何采集到量子的状态？在BB84中必须通过人为的方式生成或者过滤出来指定的偏振方向，这种模式根本不可能是量子化的随机性，而是人工的随机数生成算法，当然这肯定是伪随机数。有些看起来很随机的随机数算法其实都有规律可循。另外系统的误差本身也是不随机的，比如在某个偏振片中，0与1的识别率不可能绝对相等，会多少有些倾向，而随机数不随机的后果就是容易造成加密秘钥有效长度缩小，导致加密安全级别降低。异或操作是最直接传导这种秘钥弱点的加密方式，从来就不受信息安全领域的专家们认同，只是拿来作为课堂练习用。

为了克服随机数不随机的弱点，同时也需要在明文长度明显长于秘钥的情况下，兼顾效率与安全，提出了各种复杂的加密算法，其原理的目的性就在于，加密后的每个密文位，不但包含了秘钥和明文加密段的信息，而且是包含了秘钥和明文加密段每个位的信息，加密后的密文位，彼此其实是紧密相关的，只有他们全体集合在一起，才能拼凑出完整的秘钥和明文信息。破解这样的密文，通常必须在秘钥完全正确的情况下才能还原明文，秘钥任何一个位的错误，都会导致破解结果完全面目全非。好的加密算法就是要保证秘钥和明文加密段的每一位信息尽可能平均分配给每个密文的位上。

异或操作离这个要求相差万里，因此任何一个环节的弱点都将被原样保留，暴露给秘钥破解者。这反映出来的一个问题，就是量子通讯的设计者，完全不顾及信息全流向的安全性，只是想当然利用了一些量子特性作为信息安全一个微不足道环节的替代手段，非常粗糙地将半成品传导到后续的信息流处理过程中，完全藐视了几十年信息安全领域的研究成果与技术实现，用这样的轻佻态度对待信息安全领域的问题，不知道怎么敢奢谈信息绝对的物理安全？

结语

从单光子量子通讯的破解之道一直引申谈了很多量子通讯的问题，通常来说，一个成熟的技术也许会有一些瑕疵需要进一步打磨，但是其可行性实用性是无可质疑的。量子通讯则不然，其在所有的环节中都存在难以克服的困难，以这样的成熟度能够开展起来一个大工程项目是不可想象的鲁莽。这其中当然有治学态度和学识能力问题，但是更多的是科学之外的问题。

量子通讯卫星上天，举国欢庆，纷纷称赞中国量子科学家敢于挺立世界潮流之上的勇气和成就，但是科学是最不能粉饰的恶人，永远是以冷冷的面目俯视众生，并用最严酷的尺度衡量每个结论。量子通讯的结局其实早就注定，无论多大的宣传排场，恐怕是过不了科学检验这一关的。

补白：有关米字偏振片的设想，首先是由科学网中的davidli91 提出，在此致谢！

另: 根据徐令予老师的注释，目前的技术是将滤波片与感应器做在一起，只能分别对正交的两个偏振态进行感知，两个输出端分别为0和1信号，尚未有4状态输出的米字滤波片感应器，因此文中有关米字偏振片相关的论述尚属空谈，技术实现是否可行，有待研讨实践，这里仅供提出一个思路，抛砖引玉之用。