量子通讯的绝对保密性不存在
发表时间 2018-03-20 09:18 来源 本站原创

  —— BB84协议完全可以用经典光学理论描述与量子力学无关 ——

  梅晓春 李小坚 俞平

  (1)福州原创物理研究所 (2)北方工业大学自动化 (3)Institute of Cognitech Calculation Technology, USA

  内容摘要 量子通讯的保密性建立在“量子态不可克隆”定理的基础上。严格地说,该定理应当称为“非正交量子态不可克隆”。然而实验证明,非正交量子态是可以克隆的。比如水平方向偏振的光子和45°方向偏振的光子的波函数是非正交的,但用激光器完全可以克隆这两种光子。量子通讯的BB84协议(方案)采用光的非正交态偏振基编制、分发和接收秘钥。在具体的操作过程中,每次发送和接收的都是光子的某个偏振态,都是可以克隆的。本文证明,量子通讯的BB84协议属于经典光学的激光弱光源通讯范畴,它的理论和实际操作过程都可以用经典光学理论描述,与量子力学没有关系。“非正交量子态不可克隆”定理形同虚设,根本不构成限制。与传统的建立在大数分解基础上的密码系统和成熟的大容量光纤通讯相比,量子通讯没有任何优势,不但效率低下,而且稳定性差,实际上根本不适用。

  关键词 量子力学,量子通讯,量子态不可克隆定理,BB84协议,激光通讯

  一. 量子通讯与量子秘钥简介

  量子通讯被认为是绝对保密的,它的物理学基础是所谓的“量子态不可克隆定理”【1】。严格地说,应当是“非正交态量子态不可克隆”。由于现代社会的信息安全问题,保密通讯引起极大的关注。中国科技大学教授潘建伟等开发的量子通讯已经开始进入实际应用,“墨子”号量子通讯卫星的发射被认为是中国科学的一个重要成就。

  然而我们的问题是,量子通讯真的会绝对保密吗?与传统的光纤通讯方法相比,量子通讯真的有优越性吗?本文给出完全否定的结论,证明量子通讯BB84协议(方案)的理论和实际操作完全可以用经典光学理论描述,与量子力学没有关系。

  保密通讯需要使用秘钥(即密码)对明文进行加密和解密,量子通讯传送的实际上是秘钥。秘钥有两种,一种是对称秘钥,另外一种是不对称秘钥。1977年,Ronald Rivest,Adi Shamir和Len Adleman提出著名的公钥密码体制—RSA体制。这是一种在大数因子分解基础上建立起来的公开密钥和加密算法,要恢复出明文的难度等价于分解两个大素数之积。当两个素数的乘积达到300位数(二进制)时,用每秒计算1000亿次的计算机对其进行素数分解需要15万年的时间,分解一个5000位的数字则需要50亿年!而在现在的加密通讯中,RSA密钥长度已经用到1024位(二进制),安全性级别高则使用2048位数,可以说实际上无法破解。

  1985年,David Deutsch提出量子计算机的设想。这种计算机一旦造出来,分解300位数需要的时间不到1秒钟,分解5000位的数只需要2分钟。也就是说如果采用量子计算机,RSA加密方法完全失效。正是这种杞人忧天的问题,引发了量子通讯的研究热潮。

  由于认为有物理学基本原理的保证,量子秘钥被认为用量子计算机也无法破译。1984年,C. H. Bennett和G. Brassard 提出第一个量子密钥方案,被称为BB84协议【2】。1991年,A. Erert 提出利用双量子纠缠态来实现量子密钥,被称为E91协议【3】。1992年,C. H. Bennett提出与BB84协议类似的B92协议【4】。该协议基于两个非正交态,更为简单,但效率降低一半。BB84协议,E91协议和B92协议是量子密钥的三大主流方案,在此基础上形成了更多的方案。

  量子通讯的绝对保密性的物理学基础是所谓的“量子态不可克隆定理”。严格地说,应当是“非正交态量子态不可克隆定理”。因为即使按照Wootters的原始论文,正交的量子态也是可以克隆的【5】。不可克隆的只是非正交态,这一点是没有任何疑问的,只是一般人不了解罢了。

  然而非正交态量子态不可克隆显然与实验事实不符。比如水平方向偏振的光子与 方向偏振的光子的波函数是非正交的,但用激光器克隆这两种光子是轻而易举的事,谁能说它们不可克隆?激光器不但可以克隆这两种态的光子,而且可以大规模克隆各种态的光子。物理学的大量实验证明,单个量子态都是可以克隆的。

  事实上,非正交态是一个相对的概念,它是与其它态进行比较而言的。如果只有一个量子态,就不存在正交和不正交的问题。比如沿任意方向偏振的一个光子态,就无所谓正交和不正交,那么这个量子态能不能被克隆呢?

  关于这个问题,梅晓春等指出,现有理论对“量子态不可克隆定理”的理解是错误的【6】。该定理实际上是证明量子克隆机具有选择性,每台克隆机只能克隆某个特定的量子态和它的正交态,不能克隆所有的量子态。更明确地说,该定理证明“通用的量子态克隆机”不存在,而不是量子态不可克隆。

  考虑到量子力学波函数的完备性,非正交态可以按厄密算符的本征态展开,梅晓春等进一步证明,对于本征态数的任意量子态,理论上“通用量子态克隆机”仍然存在。因此“量子态不可克隆定理”不成立,量子通讯绝对保密性的微观物理学基础根本不存在。

  本文进一步证明,量子通讯BB84协议完全可以用经典光学的理论描述,属于经典电磁理论的范畴。在量子秘钥的传送过程中,信息发送方和接受方每次输入和输出的都是光子的单个偏振态,这些态都是可以克隆的。所谓的量子通讯只是一种弱光源的激光光纤通讯,根本不存在无条件的保密性。

  除此之外,所谓的量子通讯与一般人的理解有很大的距离,以下几点需要澄清。

  1. 量子通讯传送的实际上只是秘钥,即给信息加锁和解锁的钥匙,而不是传送经过加密的信息。原因在于现代通讯的信息量非常大,由于采用极弱的光源(单光子),量子通讯的效率非常低,根本不能适应大容量通讯的需要。

  2. 所谓的量子秘钥的本身仍然是一种传统的秘钥形式,即随机码。按照密码学理论,只要随机码不是和明文一样长,仍然是可以破译的。

  3. 量子通讯只传送秘钥,其传送过程与大容量的数据传输是分开进行的。量子秘钥有两种方式传送,一是与传统光纤并行铺设一条独立的光纤传送,二是通过卫星远距离传送。大容量明文的加密仍然用传统方法完成的,并且通过传统的光纤传输。把这种通讯说成量子通讯名不符其实,是混肴概念。

  4. 按照正常的理解,如果窃听者对通讯进行窃听后,将窃听到的信息进行复制并按原线路送回,就有可能不会被发现。量子通讯理论认为,由于存在所谓的“量子态不可克隆定理”,量子信息不可复制,窃听者就无法将窃听到的信息进行复制并送回。窃听者就一定会被发现,信息传输方可以立即中断传输以防进一步的泄密。

  因此所谓的量子通讯绝对保密只能理解为“窃听者一定会被发现”,而不是量子通讯可以绝对保密,与一般人想象的量子通讯不可破译根本就不是一回事。事实上,通讯的连续性是非常重要的,如果因为窃听而无法连续,其实用价值就打了个大折扣。

  5. 由于量子秘钥采用单光子或弱脉冲信号编码,在光纤中传送很容易衰减。因此就不得不在沿线每隔一百多公里就建立一个中继站,将量子秘钥解译出来(将光信号转化成电信号),放大后再转化成光信号,重新输入线路。在此转化过程中如果有人窃取秘钥,则是无法发现的。因此每个中继站都得派人严守,或安装监控设备。如果看守人被收买,或监控设备失灵,量子秘钥完全可以被泄露而不为传送者所知。由于在这个环节上没有绝对的保密性,通过地面光纤传输的量子通讯方法的绝对保密性实际上不存在。

  6. 通过卫星来传输量子秘钥,就是为了解决这个问题。但由于使用的是单光子或弱光源,卫星传输方法受到极大的限制。白天太阳当空,秘钥编码光源比背景光弱得多,实际上难以观察,只能在夜晚通讯。而大气环流的扰动,云彩遮盖,空气中尘埃、水汽、微粒分子的散射等等,都会对秘钥光子的传输造成严重的影响。由于低轨道卫星在地球表面是一掠而过的,能够进行通讯的时间只有几分钟,就需要发射大量卫星才能形成网络。加上物理学基本原理方面存在的问题,量子卫星通讯也没有实用价值。

  二.“量子态不可克隆定理”不成立的证明

  Wootters和Zurek 1982年在《Nature》上发表题为“单量子态不可克隆”的文章,提出这个著名的定理。梅晓春等仔细考察该定理的证明过程和结论,发现许多问题。“量子态不可克隆定理”实际上不成立,量子通讯的绝对保密性的物理学基础是不存在的。

  Wootters和Zurek在文章中定义了一个克隆量子态的幺正算符,将该算符作用到量子态上,得到以下量子克隆的结果【5】:

  其中是任意量子态,是一个纯态。与图片复印的过程比较,算符相当于复印机,相当于要复印的图片,相当于白纸。考虑到,从以上两式得到:

  要使(2)式满足,只有令。如果不满足(2)式,量子态则无法克隆。Wootters就是根据(2)式,得到量子态不可克隆的结论。

  意味着正交,因此“量子态不可克隆定理”实际上应当称为“非正交量子态不可克隆定理”,正交的量子态仍然是可以克隆的。然而“非正交态不可克隆”显然与实验事实不符。比如水平方向偏振的光子与45°方向偏振的光子的波函数是非正交的,但用激光器克隆这两种光子是轻而易举的。

  因此有些文献又把该定理称为“未知量子态不可克隆定理”,然而对什么是未知的量子态,却没有明确的说明【5】。这种说法在字面上就是有问题的,如果一个量子态是未知的,不知道原型和模板,又怎么能够克隆呢?

  对于的情况,现有理论却没有进行讨论。有些文献认为这是一个平庸解,没有必要讨论【7】。梅晓春等在“量子态不可克隆定理不成立的证明”一文中指出,的解恰恰证明量子态是可以克隆的。(2)式相当于波函数对算符平均值。令就意味着克隆量子态成功的几率为1。

  用通俗的语言来说,意味着这台量子克隆机能够百分之百地克隆态。而则意味着这台量子克隆机只能克隆态,不能克隆态。或者只能克隆态,不能克隆态。在这种情况下,我们可以制造另外一台克隆机,使它可以克隆态和的正交态,但不能克隆

  比如对于水平方向偏振和45°偏振的光子,“量子态不可克隆定理”指的是不能用同一台光子克隆机克隆这两类光子,但可以用两台不同的光子克隆机来克隆它们。所谓的“量子态不可克隆定理”实际上证明量子克隆机具有选择性,每台克隆机只能克隆某些特定的态,不能克隆所有的量子态。更准确地说,该定理应当称为“通用量子态克隆机不存在定理”!

  此外,量子力学中还有一条波函数的完备性定理。按照这个定理,任意波函数都可以用厄密算符的本征态展开。梅晓春等进一步证明,按照Wootters定义的克隆算符,不但任意量子态都是可以克隆,理论上“通用量子态克隆机”仍然存在。因此“量子态不可克隆定理”不成立,量子通讯绝对保密性的微观物理学基础根本不存在。

  量子通讯采用偏振态光子编制和分发秘钥,这种过程是可以克隆的,所谓的绝对保密性根本不存在。以下我们来具体讨论量子通讯的BB84协议,证明它只是一般的弱光源光纤通讯,属于经典光学的范畴,与量子力学实际上没有关系。

  三.量子通讯BB84协议的经典物理学本质

  事实上,量子通讯理论从来都不讨论薛定諤方程,不需要求解任何量子力学方程,甚至连普朗克常数都不出现。量子力学最重要的特征之一,是波函数的线性叠加原理,量子力学的态是线性叠加态。然而在量子通讯的实际操作过程中,用来编制密码的光子都是具有确定偏振的单光子,而不是叠加态的光子。而在密码的传输和接受过程中,采用的也是具有确定偏振的单光子,而不是叠加态的光子。按照量子力学的测量理论,一旦进行测量,波函数就崩塌到叠加态的某个状态。由于光子的发射与接收都可看成一种测量过程,因此线性叠加态是不可输入和输出的。

  实际的量子通讯只需要分光器,通过它来改变光的偏振,用偏振态来编码和传送信息。这些都是经典光学的东西,采用经典电磁理论就能描述。所谓的量子通讯实际上是建立在经典光学基础上,采用弱光源激光进行的光纤通讯,与量子力学完全无关。

  以下以量子通讯BB84协议为例来做进一步说明【5】。该理论用代表光沿水平方向的偏振器,代表垂直方向的偏振器,代表45°方向的偏振器,代表-45°方向的偏振器。用编码描述二进制“0”, 用编码描述二进制“1”。采用随机码发生器,信息发送方随机地产生一组二进位制数据串,按照以上规则进行编码,然后以发射单个偏振光子的方式(让光通过偏振器产生相应的偏振光子),并通过传统的方式(比如光纤)传送给接收方。信息发射方发射的光子是四种偏振态中的一种,而不是叠加态。信息接收方随机地选择为基矢和为基矢进行测量,接收到的也是四种偏振态中的一种,而不是叠加态。执行BB84协议的整个过程都是用经典光学理论描述的,与量子力学没有关系,不同的只是光源极弱罢了。

  在实际操作过程中,调制偏振态就是让光子通过这些偏振器,得到相应的偏振光。测量基矢代表两个偏振器的组合,也代表两个偏振器的组合。按照量子通讯理论的标准说法,信息发送者Alice采用某个基矢向接收者Bob发送一个光子,Bob随机选择一个基矢来接收。但这只是理论的说法,在实际过程中Alice不可能同时用两个偏振器产生一个偏振光子,Bob也不可能同时用两个偏振器接受一个光子。光子要么进入或穿过偏振器,要么进入或穿过偏振器。因此在实际的通讯过程中,输入和输出都是光子的偏振单态,而不是叠加态,因而都是可以克隆的。

  由于发射和接受方对基矢的选择完全随机且互相独立,将有50%的概率采用相同的基矢,并获得完全相同的关联结果。另外有50%的概率是二者采用不同的基矢,其中又有50%的概率是二者得到相同的结果。因此这种测量的正确率是75%,错误率是25%。

  为了降低错误率,发送和接收方需要对比使用的基矢,筛选出相关联的结果。发送方通过经典的渠道公开自己的测量基矢,接收方将接受到的基矢与自己使用的基矢比较,并公开发送者使用过的相同部分。此过程将有一半的数据被筛选出来,然后双方仅保留基矢相同的部分,就形成所谓原始秘钥。再通过各种纠错方法,可用得到安全适用的秘钥。

  因此BB984 协议的量子秘钥的产生和发送过程只用到经典光学概念,其物理学基础是经典光学理论。量子通讯理论只是把电场振幅形式地写成量子力学波函数的形式,并使用单光子发射源罢了。在实际的秘钥传送过程中,用到的也只是偏振器和光纤等传统光学的设备。将BB84协议看成量子通讯是名不符其实的,用传统电磁理论足以对它进行描述。

  事实上,有一个名叫李维纲的人在科学网博客上发表了一个破解BB84协定的方法(http://blog. sciencenet.cn/blog-1352526-1001189.html )。该方法非常简单,所用到的就是几个分光器,几个步骤就把发送方发送的光子的偏振态测量清楚。不管李维纲的方法是否真的可用,它说明BB84协定使用的就是经典光学方法,与量子力学无关。

  BB84协议的秘钥的生成和输送要求的单光子源,其技术难度很高,很难真正有效地实现。若用脉冲代替单光子源,由于一个弱脉冲中所包含的光子数大于1,就大大降低了BB84协议所谓的安全性能。进行误码率分析时需要大量的数据,在传输过程中只有不超过一半的比特可以用作密钥。由于编码程序相对简单,保密性远不如基于大数分解的保密方式,没有适用价值。

  至于其他形式的量子通讯理论,如B92协议也不是真正的量子通讯。有些与量子力学有关,比如E91协议和采用量子光学压缩态的秘钥分发协议等。但由于实际操作上使用的器件都属于经典光学的范畴,发射和接收的都是单态光子,而不是叠加态,根本谈不上绝对的保密性,更何况“量子态不可克隆定理”实际上不成立。

 

 

  四.量子密码与经典密码

  如果量子通讯的绝对保密性的物理学基础不存在,BB84协议只是一种用单光子来编制的新形式的秘钥,与其他传统的秘钥相比,是不是有优越性呢?

  按照BB84量子通讯方法,生成的所谓秘钥是一串二进位制的随机码。它实际上就是一种简化到极致的,称为模2加的经典序列密码。其加密方式是将明文写成二进制码,再与秘钥的二进制码相加,就得到密文的二进制码,比如:

  明文二进制码: 0 1 1 0 0 0 1 0 0 1 0 0 1 1 1

  秘钥二进制码: 0 1 0 0 0 1 0 1 0 0 0 1 0 1 0

  密文二进制码: 1 0 1 0 0 1 1 1 0 1 1 0 0 0 1

  按照现有的密码学,如果随机码不是与明文同长,是可破译。如果与明文同长,则不可破译。量子秘钥的编码效率极低,不可能与明文同长,不可能对大容量的通讯完全随机地进行加密,就不存在不可破译的问题。

  事实上,现有密码学研究已经发展出非常复杂的体系,已有的序列密码比这种模2加的方式要复杂的多,保密程度好得多。因此量子BB84协议根本没有优势,由于生成和传输秘钥的过程过于复杂,所涉及的物理过程受到很大的限制,就不可能比其它序列密码具有更好的保密性,更不用说有足够长度的RSA秘钥了。

  关于量子秘钥与传统秘钥的优劣,以及量子通讯是否绝对安全,量子计算机是否可以挑战传统保密通讯的问题,北京邮电大学信息工程学院院长,信息安全中心主任,灾备技术国家工程实验室主任、密码专家杨义先教授在科学网上发表一篇题为《量子的安全笑话》的文章【8】,现摘录如下:

  量子通讯绝对(无条件)安全吗?从哲学角度看,就算脑子坏了,你用脚后跟稍微想一想,就很清楚的事情,却被媒体炒得沸沸扬扬,好像已是真理一样。… 不要说你量子通讯不可能绝对安全;就算百年后、千年后出现的更加先进的“牛X通讯”,也不可能绝对安全!伙计,请记住:任何时候,“安全”都只是相对的,“不安全”才是绝对的!更可能的情况是:网络世界会越来越不安全,量子通讯普及后,安全问题将更多。因为,几千年来的历史经验已经反复证明,任何先进的技术都会带来新的安全威胁,这也就是为什么佛家说:人类其实是“嗜好死亡”的生物。

  光纤专家们刚经历的难堪,也许可用来教训一下骄傲的量子专家:仅在几年前,光纤专家还叫板说“光纤通讯就是安全,因为光纤很难插接……”;结果话音未落,自己的底裤就曝光了!

  从理论上说,信息论之父香农博士,1948年在其著名论文《保密系统的通讯理论》中确实证明过:如果密钥流序列是绝对随机的,“1次1密”的密码系统是理论上不可破。这也是人类至今知道的,唯一“绝对安全”的密码系统吧。但是请注意,香农“绝对安全”的前提是“密钥流绝对随机”而且“密钥流的长度与待加密信息的长度相等”。换句话说,包括香农本人在内,全球安全界的所有专家都清楚:香农的所谓“绝对安全”,在实际中是绝对不可用的!

  所以,过去近70年来,人们只好用“算法产生的伪随机序列”去代替“绝对随机的密钥流序列”,其代价就是“不再绝对安全”。当然必须承认,用量子来产生“绝对随机的密钥流序列”是一个很好的手段,.. .. ..。但并非理论上的突破,更不能将其提升为实现了“绝对安全”的密码系统。因为,密码学家们一直就在用电噪音等手段来产生“绝对随机的密钥流序列”,而且几乎每台密码机上,都已标配有这样的成熟设备。

  量子计算机出现后,密码学家就得乖乖投降了吗?一个40位的量子计算机,就能解开“1024位的电子计算机需要数十年才能解决”的问题;用量子计算机去暴力破解AES-256加密算法,其效率跟电子计算机暴力破解AES-128的难度是一样的,等等。猛然一看这些结果,确实震撼人心。但是,仔细思考后,就完全没必要杞人忧天了。

  首先,AES密码算法与它老爸(DES密码算法)一样,都有自己的设计寿命;一旦年龄到点,无论那时量子计算机是否已经诞生,AES都得退休,由它那未出生的儿子(暂且叫“X算法”吧)来接班。若有必要,比如,出现意外的安全威胁,那么,AES提前几年退休就得了,没什么大惊小怪的。RSA算法也从来不是“万岁爷”。在密码界压根儿就没有过终身制,密码学家随时都在设计新型的,试图替换正在使用的标准密码算法。

  其次,量子计算机无论有多牛,都只不过是运算速度更快,并行能力更强而已。几千年来,应对类似的考验,密码学家已经历多次了。当机械计算机出现后,古典密码确实可被轻松破译,但是,密码学家早已经准备好了让机械计算机一筹莫展的新型密码算法。当电子计算机出现后,机械密码确实又可被轻松破译,但是,密码学家照样又准备好了让电子计算机望而兴叹的AES和RSA等密码算法。N年后,当量子计算机诞生后,也许它可横扫目前的密码算法,但它一定会发现,那时正在使用的密码算法,对量子计算机早已具有强健的免疫力。实际上,密码学家们特别擅长于“以其之矛,攻其之盾”或“以其之盾,防其之矛”;他们现在就已经开始针对量子特性,设计专门对付量子计算机的新型密码算法了。

  在密码破译中,虽然计算能力扮演着关键角色,但是,历史上几乎从来就没有哪种密码算法是被纯暴力破译的。二战期间,人类发明电子计算机的主要动机就是想破译轴心国的密码,但事实上也没能派上用场。若要想依靠暴力来破译现代密码,那么,对计算能力的提升绝不是几万倍、几亿倍甚至几亿亿倍就能见效的,因为,破译能力并不会随着计算能力的增加而线性增加。所以,当你再回味前面那个恐怖结果“用量子计算机去暴力破解AES-256加密算法,其效率跟电子计算机暴力破解AES-128的难度是一样的”时,就再也不用担心了,因为,当前的电子计算机对AES-128也是无能为力的。而且,最悲观的底线是:就算量子计算机能够征服AES-256,就算密码学家们还没能找到有效对付量子计算机的新型密码算法,那么,AES-512、AES-1024等等AES的家族成员,也绝对够量子计算机“喝一壶”的了!当然,我相信,这些假设一个也不会成真。

  量子通讯通讯存在的问题,网上还有许多评论。以下评论具有代表性,它来自观察者网专栏作者,加州大学洛杉矶分校物理系研究员徐令予的文章【9】:

  数月前出现这样一篇论文:“后量子时代的RSA”,该文发表后被多家相关杂志转载和引用,这些文章给出的共同结论是:目前使用的非对称性密码RSA不会因为量子计算机的出现而消亡。

  假设量子计算机已经建成,再假设量子计算机的量子位可以无限扩展,进一步假设该量子计算机的运行成本与现在通用电子计算机的成本可以相比,用这样一台超级想象出来的量子计算机来破解长度为Terabyte(等于1024GB)的RSA非对称密钥需要量子计算机的比特为2的100次方。

  这个数字是一个什么概念?这个数大于我们星球上所有生物细胞的总数!而今天为了建成两位数比特的量子计算机,专家们已经弄得焦头烂额,多年来一筹莫展。当然使用这种长度的RSA公钥确实也有点离谱,但论文作者在今日的电子计算机上产生了这样的公钥,并用它来加密和解密,费时一共为五天。

  按目前的技术水平,长度为Terabyte的RSA公钥虽然并不实用,至少还是可以实现的。还在纸上的量子计算机即使明天就建成,要破解这样的RSA公钥也无一线希望。

  这篇论文并不是要为对抗量子计算机提供确切的方案,而是通过实验和数据分析指出了一个冷酷的事实:即使围绕量子计算机的技术难题和运营成本全都解决,只要现行的RSA公钥增加字长和改善算法,就能迫使量子计算机的恶意攻击因为难以承受的代价而失败告终,在后量子时代作为经典密码系统重要基石的RSA具有足够长的生命力。急于丢弃RSA等公钥密码系统而另辟蹊径可能真的是杞人忧天。

  让我们进一步再作些成本分析。经典保密技术与量子保密技术的主要区别是:经典保密系统中通讯的内容与密码的配送使用的是同一个通讯网络,而量子保密系统必须要求两个通讯网络,一个传送通讯内容,另一个配送量子密码。因此量子保密技术必定会大幅增加通讯的成本。

  由电路交换和分组交换技术构建起的经典通讯网络从本质上来说与量子保密通讯网络是格格不入、难以融合的。很难设想在原有的通讯网络线路上实现量子密钥分发。换言之,为了通讯未来的安全,我们必须在原有的通讯网络之外加建一套传递密钥的专用网络。

  而且这条网络要求通讯双方从端到端全程使用光纤联接,当通讯双方超过上百公里,还必须使用可信任中继站或卫星中继。暂不考虑工程的难度,对于普通用户特别是手机用户而言,仅成本一项无疑也是难以承受的负担。

  到目前为止,在所有的经典加密技术中,通讯的内容与加密的信息都在同一网络上传输,信息传输和保证信息传输的安全措施是一个统一完整的过程,密码系统在整个通讯过程中所占的额外成本是有限的。

  从工程角度来看,对付量子计算机未来可能的攻击,采用改进的经典数学方法,而不是全新的量子密码技术,已经成为密码界近期的共识。这些改进后的新的密码算法完全可以在目前所有的计算机和通讯网络上运行,现行一切通讯方式釆用这些新算法进行升级换代过程可以变得平稳、经济和切实有效。再让我们看看密码学界最近的动态。密码学界已经明确把公钥密码系统分成两大类,有些是“量子可破”的,即理论上在量子计算机攻击下是不安全的。有些是“量子不可破”,它们从原理上证明是不可能被量子计算机破解的,因而又被称为后量子时代的密码系统。

  在“量子不可破”的公钥密码系统中,最受关注的是“lattice-based crypto ”(基于阻格的加密法),密码学界对该方法的研究已经有二十多年了,但始终没有进入工程应用阶段。其问题的本质是,该算法太复杂,运行效率低得无法使用。算法加以简化后,效率大幅提升,几乎可以与RSA媲美,但是却出现安全隐患。但是近年来对于该密码系统的研究取得了实质性进展,它们很可能就是美国国家安全局不久将要推出的后量子时代的密码系统中的重要组成部分。

  那么金融行业,特别是银行系统是否会享受到量子通讯干线的优越性呢?很可惜答案是否定的。量子计算机有可能破解RSA这类非对称密钥,而对于基于复杂逻辑运算的对称密钥体制根本就没有威胁。现在所有金融行业(包括银行)采用的都是对称密钥体制,这个标准在由中国人民银行颁布的PBOC里有详细的描述。

  银行系统密钥分发要用到RSA这类非对称密钥只有初始化的第一次,之后采用的都是对称密钥。其实初始化都未必会用到RSA,任何能够安全地将初始化密钥分发到密钥分发管理中心的手段都可以采用,毕竟只需要做一次的事情,麻烦一些也无所谓。

  我估计,银行与其它金融系统对量子保密通讯是没有多少兴趣的,哪怕你有天大本事明天就变出一台几万比特的量子计算机,他们仍旧会是“量子围困万千重,我自岿然不动。”

  军队会使用量子通讯吗?从目前的技术状态来看,这更不可能。除了固定的机关之间,军队通讯对网络的移动性、可变性和抗干涉性有更高的要求,量子保密通讯从本质上很难适应这样的网络通讯环境,至少近期难有什么作为。

  那么究竟谁是京沪量子干线上的主要用户呢?有报道说某某市政务系统开始采用量子保密通讯技术,他们究竟在做些什么呢?使用量子密钥对视频通话加密解密,我估计这也只是借此试验。

  其实只要是了解政务系统的人都知道,跑在政务系统上面的信息,其实从来就没有多少需要保密传送的内容,真正机密的信息恐怕连一个字都不会放在政务网上的,所谓政务网采用量子密钥多少带有对大众宣传的成分。

  铺开建设量子保密通讯干线的工程项目必须谨慎再谨慎。从近期看,经典密码系统是安全的,到目前为止,量子保密技术不仅成本昂贵,而且功能上也无法替代经典密码系统。

  开发量子保密技术为的是应对未来可能发生的危机,但这种危机离我们仍十分地遥远,即使危机真的降临,改进升级后的经典密码系统应该足以应付危局。量子密码技术并非是对抗危机的唯一选择,它很有可能仅是一枚永远也使用不上的备胎。

  请读者注意,这两个评论的前提是,假设“量子态不可克隆定理”成立,量子通讯的绝对保密性有微观量子力学做基础。如果连“量子态不可克隆定理”都不成立,声称量子通讯的绝对保密性就是一个笑话。事实上,正如李红雨在杨义先文章后的评论中所言:“量子通讯只是量子实验专家在唱独角戏,信息领域安全专家和通讯领域专家全无参与,绝对是KTV模式。用实验室的模式直接铺开做大工程项目,只能说国家钱多得没地方花了”。

  因此本文的结论是,量子(卫星)通讯的绝对保密性的物理学基础不存在。与现有的光纤通讯相比,目前已经在地面上实施的量子通讯没有任何优势。其保密性还不如现有的RSA体制等,而且效率低下,实际上不适用。国家科学管理机构不应该继续支持量子通讯的产业化,目前在资本市场上炒作“量子通讯”概念股,对广大不知内情的投资者是非常不负责任的。现在据说还要进行大规模全球量子卫星通讯联网,这种计划完全没有科学依据,更是不可取的。

  参考文献

  1. W. Wooters, W. Zurek, A single quantum can not be cloned, Nature, 1982, 299,802-803.

  2. C. H. Bennett, G. Brassard, Quantum cryptography: Public key distribution and coin tossing [a]. Proceedings of the IEEE Internatioanl Conference on Computer, Systems and Signal Proceeding [C]. Bangalore: IEEE, 1984, 175 -179.

  3. A. Ekert, Quantum cryptography based on Bell’s theorem. Phys. Rev., Lett., 1991, 7: 661-663.

  4. C. H. Bennett, Quantum cryptography using two non-orthogonal states. Phys. Rev. Lett., 1992, 68: 3121-3124.

  5. 尹浩,韩阳等,量子通讯原理和技术,电子工业出版社,2013,p.54.

  6. 梅晓春,李小坚,量子态不可克隆定理不成立的证明,www.mxcphy.cn.

  7. 张永德,量子信息物理原理,科学出版社,2016,p.187.

  8. 杨义先,量子安全的笑话,http://blog.sciencenet.cn/u/yangleader.

  9. 徐令予,https://mp.weixin.qq.com/s?__biz=MjM5MjA4MjA4MA%3D%3D&idx=6&mid=2654683565

  &sn=038c3d616b0aa75ce2675353283c1a23