專(zhuān)家鋒評(píng)：對(duì)量子通信來(lái)說(shuō)，最重要的是什么？

雷鋒網(wǎng)按：8月16日，中國(guó)量子衛(wèi)星“墨子”成功發(fā)射，也是世界首顆量子科學(xué)實(shí)驗(yàn)衛(wèi)星，讓量子通信再次備受關(guān)注。量子通信保證信息安全的實(shí)質(zhì)是分發(fā)隨機(jī)密鑰，只有收發(fā)雙方才能看見(jiàn)，任何竊聽(tīng)行為都會(huì)被發(fā)現(xiàn)。但也正因如此，這種單一的功能實(shí)現(xiàn)方式也被質(zhì)疑存在一定的局限性——大規(guī)模的量子通訊網(wǎng)絡(luò)是不可行的。而量子通信最重要的是什么？是安全還是穩(wěn)定性？

本文系量子通信從業(yè)者、鐵流兩位作者撰文對(duì)上述質(zhì)疑觀點(diǎn)進(jìn)行反駁（文后附上全文），雙方觀點(diǎn)不同，雷鋒網(wǎng)發(fā)出此文的目的不是站隊(duì)，而是希望在帶來(lái)專(zhuān)業(yè)人士分析的同時(shí)能啟發(fā)讀者們對(duì)量子通信本身的思考。

通信安全中常說(shuō)的“竊聽(tīng)”這個(gè)詞是用得既生動(dòng)又準(zhǔn)確。所謂竊，必須取和不察兩者兼有。在通信線路上進(jìn)行竊聽(tīng)，竊聽(tīng)者一般要具備更強(qiáng)的接收能力，但大家也要注意竊聽(tīng)者要知道線路在哪里。竊聽(tīng)者使通信雙方能夠保持通信而自己不被發(fā)現(xiàn)當(dāng)然有明顯的好處，卻并不是他不能破壞通信。可以這么說(shuō)，竊聽(tīng)比破壞難度要高許多，凡是有能力竊聽(tīng)的，必然有能力破壞。

為了應(yīng)付搞破壞，現(xiàn)在的網(wǎng)絡(luò)是路由越來(lái)越多，一條路壞了還有另一條路，一個(gè)節(jié)點(diǎn)壞了網(wǎng)絡(luò)其余部分還能不癱瘓。同時(shí)，由于搞破壞能夠被發(fā)現(xiàn)，還有及時(shí)補(bǔ)救的機(jī)會(huì)，損失算是可控吧。以XX單位來(lái)說(shuō)，一條光纖斷了，癱瘓一個(gè)區(qū)域的業(yè)務(wù)，肯定會(huì)停頓許多交易，但是好歹還能跟客戶(hù)保證錢(qián)財(cái)不受損失；但是竊聽(tīng)如果真的發(fā)生了，密碼被破譯了，那這一條都不好保證了，損失有多大，取決于涉及的賬戶(hù)，也取決于能否及時(shí)發(fā)現(xiàn)竊聽(tīng)。

密碼學(xué)家們通過(guò)各種手段來(lái)保障密碼不能被破解，他們對(duì)量子通信用途還比較單一的意見(jiàn)也很中肯。但是曹正軍先生提出的“通訊的首要目的是穩(wěn)定性”這個(gè)觀點(diǎn)一點(diǎn)都沒(méi)有密碼學(xué)家的風(fēng)格。講一個(gè)密碼應(yīng)用部門(mén)的自筆者調(diào)侃，他們形容自己在通信系統(tǒng)中的作用是“首先保證它不通，然后才有條件地讓它通”。至于曹先生說(shuō)的“信息安全對(duì)絕大多數(shù)通訊來(lái)說(shuō)不必要”，很抱歉，可能筆者和他不是在講同一個(gè)話題，而且這也沒(méi)密碼學(xué)家什么事。

前面說(shuō)了使用方面的一些態(tài)度，下面說(shuō)說(shuō)量子密鑰分發(fā)吧。

量子密鑰分發(fā)的典型方案中包括單光子狀態(tài)調(diào)制——解調(diào)——密鑰協(xié)商幾個(gè)過(guò)程。

所謂單光子狀態(tài)調(diào)制就是把“0”和“1”編碼到光子的某種狀態(tài)上去；

解調(diào)則是通過(guò)解調(diào)光路和單光子探測(cè)器把“0”和“1”讀出來(lái)；

密鑰協(xié)商則是把這其中不匹配的解調(diào)事例去掉，根據(jù)錯(cuò)誤率評(píng)估這些光子被第三方獲取了信息的最大概率并進(jìn)而用數(shù)學(xué)手段把風(fēng)險(xiǎn)去除掉。

這個(gè)過(guò)程其實(shí)也沒(méi)有信號(hào)安全什么事，因?yàn)樾盘?hào)丟失比例目前高達(dá)90%以上，至于協(xié)商過(guò)程，筆者覺(jué)得說(shuō)拋棄信息比拋棄信號(hào)更為準(zhǔn)確。

這個(gè)過(guò)程的安全性基礎(chǔ)，除了量子力學(xué)的測(cè)不準(zhǔn)原理，還要注意在具體實(shí)現(xiàn)上是由于信息加載在了單個(gè)量子上，和經(jīng)典信息加載在了海量量子（一個(gè)光脈沖通常有10E8個(gè)光子）上有本質(zhì)不同。

在竊聽(tīng)過(guò)程中，量子密鑰分發(fā)和經(jīng)典通信一樣會(huì)丟失信號(hào)（筆者理解曹先生說(shuō)的信號(hào)是指承載信息的光子），只不過(guò)量子密鑰分發(fā)中一旦丟了就沒(méi)有了，也復(fù)制不出來(lái)。也正是因?yàn)?strong>量子密鑰分發(fā)中信號(hào)容易丟失的緣故，BB84的作者才把這個(gè)過(guò)程用來(lái)分發(fā)密鑰而不是直接傳輸信息，因?yàn)榘阉鳛槊荑€儲(chǔ)存下來(lái)再結(jié)合加密通信，就還能盡量保持通信的連貫性和穩(wěn)定性。從這一點(diǎn)可見(jiàn)，傳統(tǒng)的分光竊聽(tīng)技術(shù)其實(shí)根本不會(huì)造成量子密鑰分發(fā)的中斷，丟失信號(hào)對(duì)于量子密鑰分發(fā)而言并不是個(gè)問(wèn)題，量子通信沒(méi)有曹先生想象的那么弱不禁風(fēng)，也并非必須犧牲穩(wěn)定性來(lái)達(dá)到保密性。

量子糾纏態(tài)

筆者發(fā)現(xiàn)曹先生一直使用早期的“通訊”一詞而不是現(xiàn)在的“通信”，不知道是不是想把信號(hào)傳輸和信息傳輸區(qū)分開(kāi)來(lái)。在筆者看來(lái)這大可不必，因?yàn)?strong>講安全性歸根結(jié)底瞄準(zhǔn)的是信息，量子密鑰分發(fā)處理的后端部分也是密鑰信息，同時(shí)也像前面說(shuō)的有能力竊聽(tīng)就有能力搞破壞，信息安全層面最好不要弱化了來(lái)談信號(hào)安全。

關(guān)于曹先生說(shuō)的“大規(guī)模量子通訊網(wǎng)絡(luò)是不可行的”那一大段，筆者讀起來(lái)覺(jué)得很煎熬，因?yàn)槭冀K沒(méi)有找到論證的邏輯，但是出于對(duì)大眾讀者的負(fù)責(zé)筆者還是讀了幾遍。筆者還是引用一下密碼應(yīng)用部門(mén)對(duì)量子密鑰分發(fā)這個(gè)技術(shù)的見(jiàn)解吧，他們的評(píng)價(jià)是“生成即分發(fā)”——以往需要先在本地生成，然后用各種途徑去分發(fā)給多個(gè)用戶(hù)，保障環(huán)節(jié)多難度大，量子密鑰分發(fā)這個(gè)過(guò)程同時(shí)完成了密鑰的產(chǎn)生和分發(fā)，縮減了環(huán)節(jié)，極大提高了保障效率和安全性。曹先生的“顯然分發(fā)比協(xié)商難度大”觀點(diǎn)不知從何而來(lái)。至于曹先生以Bennett和Brassard兩人不是密碼和通訊專(zhuān)業(yè)來(lái)批判他們被大量學(xué)者繼承并發(fā)展的成果，筆者個(gè)人建議曹先生還是不要這樣做的好，應(yīng)當(dāng)堅(jiān)持尊重邏輯和實(shí)踐檢驗(yàn)的學(xué)者品格。

作個(gè)簡(jiǎn)單的總結(jié)和展望吧。

量子通信目前確實(shí)對(duì)提高通信強(qiáng)壯性還沒(méi)有什么助益，但這并不妨礙其價(jià)值，因?yàn)樗岣吡司€路的防竊聽(tīng)能力，而對(duì)于想要癱瘓通信網(wǎng)絡(luò)的敵人來(lái)說(shuō)，量子通信和經(jīng)典通信是一個(gè)水平的。從長(zhǎng)遠(yuǎn)來(lái)看，量子通信有可能發(fā)展出更具隱蔽性的通信應(yīng)用，因?yàn)閱喂庾蛹?jí)別的信號(hào)顯然能夠更好地隱蔽自己，以激光方式在自由空間傳輸更是連攔截的可能性都可以極大降低。

雷鋒網(wǎng)注：為方便讀者理解，雷鋒網(wǎng)附上上海大學(xué)數(shù)學(xué)系的密碼專(zhuān)家曹正軍發(fā)表在《財(cái)新網(wǎng)》的文章（3月22日文）——《量子通訊是否本末倒置》，曹認(rèn)為“量子通訊并不完美，至少不像很多人說(shuō)的那樣好”。以下為原文：

量子通訊是否本末倒置？

一、什么是信息？

通常所說(shuō)的信息就是指符號(hào)、文字、圖像、語(yǔ)音等。這些信息在實(shí)際通訊中通常都表示成由0、1構(gòu)成的比特串。比如：中文字符“漢”的Unicode編碼是0x6C49，利用UTF-8規(guī)則轉(zhuǎn)化成二進(jìn)制后得到的是11100110 10110001 10001001. 身在北京的張山怎樣把這個(gè)比特串發(fā)給上海的李強(qiáng)呢？這就需要利用通訊信號(hào)。

二、什么是信號(hào)？

通訊信號(hào)是指能夠用來(lái)傳遞信息的物質(zhì)，比如無(wú)線電波、電信號(hào)、磁信號(hào)、光信號(hào)等。電路中電壓的大小可以用來(lái)表示1、0。張山利用電壓調(diào)制電路把11100110 10110001 10001001調(diào)制成相應(yīng)的電信號(hào)，這些電信號(hào)再通過(guò)光電轉(zhuǎn)換器轉(zhuǎn)換成不同強(qiáng)度或頻率的光信號(hào)，然后利用光纖傳送出去。在傳送過(guò)程中，光信號(hào)會(huì)衰退，需要利用中繼服務(wù)器來(lái)增強(qiáng)信號(hào)，直至傳遞到上海李強(qiáng)端的接收設(shè)備，接收設(shè)備把光信號(hào)轉(zhuǎn)換為電信號(hào)，然后轉(zhuǎn)換成11100110 10110001 10001001，再用對(duì)應(yīng)的編碼規(guī)則轉(zhuǎn)換成“漢”。為了敘述方便，此處略去了加密，糾錯(cuò)編碼等環(huán)節(jié)。

在光纖通訊的發(fā)展史上，有兩個(gè)至關(guān)重要的人物。愛(ài)因斯坦在1905年提出了光量子假說(shuō)，成功地解釋了光電效應(yīng)現(xiàn)象，這是光電信號(hào)轉(zhuǎn)換原理的基礎(chǔ)。1921年，他因?yàn)檫@一學(xué)說(shuō)獲得了諾貝爾物理學(xué)獎(jiǎng)。2009年獲得諾貝爾物理學(xué)獎(jiǎng)的華人學(xué)者是高錕，他取得了光纖物理學(xué)上的突破性成果，發(fā)現(xiàn)了如何使光在光導(dǎo)纖維中進(jìn)行遠(yuǎn)距離傳輸，這項(xiàng)成果最終促使光纖通信系統(tǒng)問(wèn)世。沒(méi)有高錕堅(jiān)持不懈的研究，就沒(méi)有今天的互聯(lián)網(wǎng)時(shí)代。

三、什么是信息安全？

信息安全包括很多內(nèi)容，最主要的是機(jī)密性和認(rèn)證。機(jī)密性是指沒(méi)有被授權(quán)的用戶(hù)無(wú)法讀取通訊信號(hào)中蘊(yùn)藏的信息。從形式上看，非授權(quán)用戶(hù)得到的只是由0、1構(gòu)成的比特串，他不知道采用什么樣的變換規(guī)則把獲得的比特串轉(zhuǎn)換成原始信息。認(rèn)證是指用戶(hù)能夠確認(rèn)通訊對(duì)方的身份或者信息的來(lái)源。

因?yàn)楣怆娦盘?hào)的經(jīng)典性態(tài)(光強(qiáng)、頻率、電壓等)是很容易調(diào)制和測(cè)量的，所以敵手可以通過(guò)監(jiān)聽(tīng)線路獲得通訊信號(hào)。傳統(tǒng)的密碼學(xué)總是假定敵手已經(jīng)竊得了所有通訊信號(hào)，在這種情形下，研究如何阻止敵手讀取信號(hào)中蘊(yùn)藏的信息，或者敵手篡改信號(hào)欺騙用戶(hù)。

因?yàn)閿呈衷诟`聽(tīng)的時(shí)候基本上沒(méi)有干擾原來(lái)的通訊信號(hào)，所以目標(biāo)用戶(hù)能夠正確地恢復(fù)出發(fā)送端發(fā)送的信號(hào)。發(fā)送雙方無(wú)法得知有沒(méi)有敵手在竊聽(tīng)，也就是說(shuō)傳統(tǒng)的密碼學(xué)不能發(fā)現(xiàn)竊聽(tīng)行為。就機(jī)密性而言，傳統(tǒng)的密碼學(xué)的目的是阻止敵手獲得蘊(yùn)藏在信號(hào)中的信息，是一種智力手段。

四、什么是信號(hào)安全？

1984年，IBM公司的研究人員Bennett和蒙特利爾大學(xué)的學(xué)者Brassard在印度召開(kāi)的一個(gè)國(guó)際學(xué)術(shù)會(huì)議上提交了一篇論文《量子密碼學(xué):公鑰分發(fā)和拋幣》(Quantum cryptography: Public key distribution and coin tossing)。文章宣稱(chēng)量子密碼學(xué)能夠發(fā)現(xiàn)竊聽(tīng)行為，是絕對(duì)安全的。其理論基礎(chǔ)是量子力學(xué)的測(cè)不準(zhǔn)原理。

傳統(tǒng)的通訊信號(hào)性態(tài)是指電壓值、光的強(qiáng)度與頻率、電磁波的頻率等。與這些性態(tài)不一樣，量子通訊利用的信號(hào)性態(tài)是量子態(tài)，比如，光的偏振方向和電子的自旋方向。因?yàn)橐粋€(gè)未知的量子態(tài)是無(wú)法復(fù)制的，一旦敵手試圖竊聽(tīng)量子信號(hào)，將有一半的機(jī)會(huì)改變發(fā)送方發(fā)送的量子態(tài)，所以接收方就會(huì)無(wú)法正確地恢復(fù)出發(fā)送端發(fā)送的信號(hào)。

發(fā)送雙方事后通過(guò)一個(gè)傳統(tǒng)信道進(jìn)行公開(kāi)比對(duì)，如果發(fā)現(xiàn)雙方在采用同樣的測(cè)量方案時(shí)測(cè)得的量子態(tài)是不一致的，就可以斷言量子信道上有竊聽(tīng)者。量子密碼學(xué)的目的是阻止敵手獲得信號(hào)，是一種物理手段。

五、信息安全與信號(hào)安全的關(guān)系

敵手無(wú)法獲得信號(hào)，自然就無(wú)法獲得蘊(yùn)藏在信號(hào)中的信息。因此，一個(gè)通訊系統(tǒng)是信號(hào)安全的，也必然是信息安全的。這就是量子通訊絕對(duì)安全的由來(lái)。但在有敵手介入的情形下，一個(gè)通訊系統(tǒng)在阻止敵手獲得信號(hào)的同時(shí)也必然無(wú)法保證目標(biāo)用戶(hù)獲得正確的信號(hào)，也就是說(shuō)該系統(tǒng)是不穩(wěn)定的。

六、通訊的首要目的是什么？

通訊的首要目的是穩(wěn)定性，即目標(biāo)用戶(hù)能夠正確地恢復(fù)出發(fā)送方發(fā)送的信號(hào)。盡管信息安全很重要，但對(duì)絕大多數(shù)通訊來(lái)說(shuō)，它是不必要的，比如一封普通的電郵，一次尋常的電話交談。發(fā)現(xiàn)竊聽(tīng)不是通訊的目的。

通常，總是假定敵手是存在的，無(wú)論他在竊聽(tīng)信號(hào)還是在篡改信號(hào)。

七、信號(hào)安全與通訊的穩(wěn)定性是不兼容的

密碼學(xué)總是假定敵手所具備的物理技術(shù)手段比接收方更強(qiáng)。因此，一個(gè)通訊系統(tǒng)如果從物理上剝奪了敵手竊取信號(hào)的能力，那么也必然無(wú)法保證接收方獲得正確的信號(hào)。也就是說(shuō)通訊系統(tǒng)的穩(wěn)定性與信號(hào)安全是不兼容的。

敵手一旦介入量子通訊，勢(shì)必破壞了量子信號(hào)，即使是破壞性雖小的竊聽(tīng)行為，也會(huì)破壞量子信號(hào)，使得接收人無(wú)法獲得正確的信號(hào)，

直白點(diǎn)說(shuō)，有竊聽(tīng)時(shí)量子通訊干不成事！一個(gè)有了敵手就干不成事的通訊系統(tǒng)還能說(shuō)是安全的嗎？

八、信息安全能夠與通訊的穩(wěn)定性兼容

一個(gè)信息安全系統(tǒng)雖然不能從物理上削弱敵手截獲信號(hào)的能力，但是能夠從智力上保證敵手無(wú)法獲得蘊(yùn)藏在信號(hào)中的信息，即通訊系統(tǒng)的穩(wěn)定性與信息安全是兼容的。

九、大規(guī)模的量子通訊網(wǎng)絡(luò)是不可行的

Bennett和Brassard提出的BB84協(xié)議一直被稱(chēng)為量子密鑰分發(fā)（QKD），這種叫法是錯(cuò)誤的，正確的叫法應(yīng)該是量子密鑰協(xié)商。他們沒(méi)有認(rèn)識(shí)到密鑰分發(fā)和密鑰協(xié)商之間的差別。密鑰分發(fā)是把預(yù)先存在的一些密鑰分發(fā)出去。密鑰協(xié)商則是用戶(hù)之間通過(guò)信息交互商定一個(gè)共同的密鑰，這個(gè)密鑰事先并不存在。顯然，前者比后者更困難。

Bennett和Brassard兩人都不是從事密碼技術(shù)研究的專(zhuān)業(yè)人士，對(duì)通訊的基本要求似懂非懂。他們沒(méi)有認(rèn)識(shí)到信號(hào)安全與信息安全的差異，逆技術(shù)潮流而動(dòng)，提出了基于物理技術(shù)手段而不是智力手段的所謂的量子密碼學(xué)。盡管他們的后繼者發(fā)表了許多文章和實(shí)驗(yàn)，成功地吸引了公眾的關(guān)注，但是無(wú)法改變這個(gè)事實(shí)-——大規(guī)模的量子通訊網(wǎng)絡(luò)是不可行的。

雷鋒網(wǎng)注：轉(zhuǎn)載請(qǐng)聯(lián)系授權(quán)并保留出處和作者，不得刪減內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。