專家鋒評:對量子通信來說,最重要的是什麼?

雷鋒網按：8月16日，中國量子衛星「墨子」成功發射，也是世界首顆量子科學實驗衛星，讓量子通信再次備受關注。量子通信保證信息安全的實質是分發隨機密鑰，只有收發雙方才能看見，任何竊聽行為都會被發現。但也正因如此，這種單一的功能實現方式也被質疑存在一定的局限性——大規模的量子通訊網絡是不可行的。而量子通信最重要的是什麼？是安全還是穩定性？

本文系量子通信從業者、鐵流兩位作者撰文對上述質疑觀點進行反駁（文後附上全文），雙方觀點不同，雷鋒網發出此文的目的不是站隊，而是希望在帶來專業人士分析的同時能啟發讀者們對量子通信本身的思考。

通信安全中常說的「竊聽」這個詞是用得既生動又準確。所謂竊，必須取和不察兩者兼有。在通信線路上進行竊聽，竊聽者一般要具備更強的接收能力，但大家也要注意竊聽者要知道線路在哪裡。竊聽者使通信雙方能夠保持通信而自己不被發現當然有明顯的好處，卻並不是他不能破壞通信。可以這麼說，竊聽比破壞難度要高許多，凡是有能力竊聽的，必然有能力破壞。

為了應付搞破壞，現在的網絡是路由越來越多，一條路壞了還有另一條路，一個節點壞了網絡其餘部分還能不癱瘓。同時，由於搞破壞能夠被發現，還有及時補救的機會，損失算是可控吧。以XX單位來說，一條光纖斷了，癱瘓一個區域的業務，肯定會停頓許多交易，但是好歹還能跟客戶保證錢財不受損失；但是竊聽如果真的發生了，密碼被破譯了，那這一條都不好保證了，損失有多大，取決於涉及的帳戶，也取決於能否及時發現竊聽。

密碼學家們通過各種手段來保障密碼不能被破解，他們對量子通信用途還比較單一的意見也很中肯。但是曹正軍先生提出的「通訊的首要目的是穩定性」這個觀點一點都沒有密碼學家的風格。講一個密碼應用部門的自筆者調侃，他們形容自己在通信系統中的作用是「首先保證它不通，然後才有條件地讓它通」。至於曹先生說的「信息安全對絕大多數通訊來說不必要」，很抱歉，可能筆者和他不是在講同一個話題，而且這也沒密碼學家什麼事。

前面說了使用方面的一些態度，下面說說量子密鑰分發吧。

量子密鑰分發的典型方案中包括單光子狀態調製——解調——密鑰協商幾個過程。

所謂單光子狀態調製就是把「0」和「1」編碼到光子的某種狀態上去；

解調則是通過解調光路和單光子探測器把「0」和「1」讀出來；

密鑰協商則是把這其中不匹配的解調事例去掉，根據錯誤率評估這些光子被第三方獲取了信息的最大概率並進而用數學手段把風險去除掉。

這個過程其實也沒有信號安全什麼事，因為信號丟失比例目前高達90%以上，至於協商過程，筆者覺得說拋棄信息比拋棄信號更為準確。

這個過程的安全性基礎，除了量子力學的測不準原理，還要注意在具體實現上是由於信息加載在了單個量子上，和經典信息加載在了海量量子（一個光脈衝通常有10E8個光子）上有本質不同。

在竊聽過程中，量子密鑰分發和經典通信一樣會丟失信號（筆者理解曹先生說的信號是指承載信息的光子），只不過量子密鑰分發中一旦丟了就沒有了，也複製不出來。也正是因為量子密鑰分發中信號容易丟失的緣故，BB84的作者才把這個過程用來分發密鑰而不是直接傳輸信息，因為把它作為密鑰儲存下來再結合加密通信，就還能儘量保持通信的連貫性和穩定性。從這一點可見，傳統的分光竊聽技術其實根本不會造成量子密鑰分發的中斷，丟失信號對於量子密鑰分發而言並不是個問題，量子通信沒有曹先生想像的那麼弱不禁風，也並非必須犧牲穩定性來達到保密性。

量子糾纏態

筆者發現曹先生一直使用早期的「通訊」一詞而不是現在的「通信」，不知道是不是想把信號傳輸和信息傳輸區分開來。在筆者看來這大可不必，因為講安全性歸根結底瞄準的是信息，量子密鑰分發處理的後端部分也是密鑰信息，同時也像前面說的有能力竊聽就有能力搞破壞，信息安全層面最好不要弱化了來談信號安全。

關於曹先生說的「大規模量子通訊網絡是不可行的」那一大段，筆者讀起來覺得很煎熬，因為始終沒有找到論證的邏輯，但是出於對大眾讀者的負責筆者還是讀了幾遍。筆者還是引用一下密碼應用部門對量子密鑰分發這個技術的見解吧，他們的評價是「生成即分發」——以往需要先在本地生成，然後用各種途徑去分發給多個用戶，保障環節多難度大，量子密鑰分發這個過程同時完成了密鑰的產生和分發，縮減了環節，極大提高了保障效率和安全性。曹先生的「顯然分發比協商難度大」觀點不知從何而來。至於曹先生以Bennett和Brassard兩人不是密碼和通訊專業來批判他們被大量學者繼承並發展的成果，筆者個人建議曹先生還是不要這樣做的好，應當堅持尊重邏輯和實踐檢驗的學者品格。

作個簡單的總結和展望吧。

量子通信目前確實對提高通信強壯性還沒有什麼助益，但這並不妨礙其價值，因為它提高了線路的防竊聽能力，而對於想要癱瘓通信網絡的敵人來說，量子通信和經典通信是一個水平的。從長遠來看，量子通信有可能發展出更具隱蔽性的通信應用，因為單光子級別的信號顯然能夠更好地隱蔽自己，以雷射方式在自由空間傳輸更是連攔截的可能性都可以極大降低。

雷鋒網(公眾號：雷鋒網)註：為方便讀者理解，雷鋒網附上上海大學數學系的密碼專家曹正軍發表在《財新網》的文章（3月22日文）——《量子通訊是否本末倒置》，曹認為「量子通訊並不完美，至少不像很多人說的那樣好」。以下為原文：

量子通訊是否本末倒置？

一、什麼是信息？

通常所說的信息就是指符號、文字、圖像、語音等。這些信息在實際通訊中通常都表示成由0、1構成的比特串。比如：中文字符「漢」的Unicode編碼是0x6C49，利用UTF-8規則轉化成二進位後得到的是11100110 10110001 10001001. 身在北京的張山怎樣把這個比特串發給上海的李強呢？這就需要利用通訊信號。

二、什麼是信號？

通訊信號是指能夠用來傳遞信息的物質，比如無線電波、電信號、磁信號、光信號等。電路中電壓的大小可以用來表示1、0。張山利用電壓調製電路把11100110 10110001 10001001調製成相應的電信號，這些電信號再通過光電轉換器轉換成不同強度或頻率的光信號，然後利用光纖傳送出去。在傳送過程中，光信號會衰退，需要利用中繼伺服器來增強信號，直至傳遞到上海李強端的接收設備，接收設備把光信號轉換為電信號，然後轉換成11100110 10110001 10001001，再用對應的編碼規則轉換成「漢」。為了敘述方便，此處略去了加密，糾錯編碼等環節。

在光纖通訊的發展史上，有兩個至關重要的人物。愛因斯坦在1905年提出了光量子假說，成功地解釋了光電效應現象，這是光電信號轉換原理的基礎。1921年，他因為這一學說獲得了諾貝爾物理學獎。2009年獲得諾貝爾物理學獎的華人學者是高錕，他取得了光纖物理學上的突破性成果，發現了如何使光在光導纖維中進行遠距離傳輸，這項成果最終促使光纖通信系統問世。沒有高錕堅持不懈的研究，就沒有今天的網際網路時代。

三、什麼是信息安全？

信息安全包括很多內容，最主要的是機密性和認證。機密性是指沒有被授權的用戶無法讀取通訊信號中蘊藏的信息。從形式上看，非授權用戶得到的只是由0、1構成的比特串，他不知道採用什麼樣的變換規則把獲得的比特串轉換成原始信息。認證是指用戶能夠確認通訊對方的身份或者信息的來源。

因為光電信號的經典性態(光強、頻率、電壓等)是很容易調製和測量的，所以敵手可以通過監聽線路獲得通訊信號。傳統的密碼學總是假定敵手已經竊得了所有通訊信號，在這種情形下，研究如何阻止敵手讀取信號中蘊藏的信息，或者敵手篡改信號欺騙用戶。

因為敵手在竊聽的時候基本上沒有幹擾原來的通訊信號，所以目標用戶能夠正確地恢復出發送端發送的信號。發送雙方無法得知有沒有敵手在竊聽，也就是說傳統的密碼學不能發現竊聽行為。就機密性而言，傳統的密碼學的目的是阻止敵手獲得蘊藏在信號中的信息，是一種智力手段。

四、什麼是信號安全？

1984年，IBM公司的研究人員Bennett和蒙特婁大學的學者Brassard在印度召開的一個國際學術會議上提交了一篇論文《量子密碼學:公鑰分發和拋幣》(Quantum cryptography: Public key distribution and coin tossing)。文章宣稱量子密碼學能夠發現竊聽行為，是絕對安全的。其理論基礎是量子力學的測不準原理。

傳統的通訊信號性態是指電壓值、光的強度與頻率、電磁波的頻率等。與這些性態不一樣，量子通訊利用的信號性態是量子態，比如，光的偏振方向和電子的自旋方向。因為一個未知的量子態是無法複製的，一旦敵手試圖竊聽量子信號，將有一半的機會改變發送方發送的量子態，所以接收方就會無法正確地恢復出發送端發送的信號。

發送雙方事後通過一個傳統信道進行公開比對，如果發現雙方在採用同樣的測量方案時測得的量子態是不一致的，就可以斷言量子信道上有竊聽者。量子密碼學的目的是阻止敵手獲得信號，是一種物理手段。

五、信息安全與信號安全的關係

敵手無法獲得信號，自然就無法獲得蘊藏在信號中的信息。因此，一個通訊系統是信號安全的，也必然是信息安全的。這就是量子通訊絕對安全的由來。但在有敵手介入的情形下，一個通訊系統在阻止敵手獲得信號的同時也必然無法保證目標用戶獲得正確的信號，也就是說該系統是不穩定的。

六、通訊的首要目的是什麼？

通訊的首要目的是穩定性，即目標用戶能夠正確地恢復出發送方發送的信號。儘管信息安全很重要，但對絕大多數通訊來說，它是不必要的，比如一封普通的電郵，一次尋常的電話交談。發現竊聽不是通訊的目的。

通常，總是假定敵手是存在的，無論他在竊聽信號還是在篡改信號。

七、信號安全與通訊的穩定性是不兼容的

密碼學總是假定敵手所具備的物理技術手段比接收方更強。因此，一個通訊系統如果從物理上剝奪了敵手竊取信號的能力，那麼也必然無法保證接收方獲得正確的信號。也就是說通訊系統的穩定性與信號安全是不兼容的。

敵手一旦介入量子通訊，勢必破壞了量子信號，即使是破壞性雖小的竊聽行為，也會破壞量子信號，使得接收人無法獲得正確的信號，

直白點說，有竊聽時量子通訊幹不成事！一個有了敵手就幹不成事的通訊系統還能說是安全的嗎？

八、信息安全能夠與通訊的穩定性兼容

一個信息安全系統雖然不能從物理上削弱敵手截獲信號的能力，但是能夠從智力上保證敵手無法獲得蘊藏在信號中的信息，即通訊系統的穩定性與信息安全是兼容的。

九、大規模的量子通訊網絡是不可行的

Bennett和Brassard提出的BB84協議一直被稱為量子密鑰分發（QKD），這種叫法是錯誤的，正確的叫法應該是量子密鑰協商。他們沒有認識到密鑰分發和密鑰協商之間的差別。密鑰分發是把預先存在的一些密鑰分發出去。密鑰協商則是用戶之間通過信息交互商定一個共同的密鑰，這個密鑰事先並不存在。顯然，前者比後者更困難。

Bennett和Brassard兩人都不是從事密碼技術研究的專業人士，對通訊的基本要求似懂非懂。他們沒有認識到信號安全與信息安全的差異，逆技術潮流而動，提出了基於物理技術手段而不是智力手段的所謂的量子密碼學。儘管他們的後繼者發表了許多文章和實驗，成功地吸引了公眾的關注，但是無法改變這個事實-——大規模的量子通訊網絡是不可行的。

雷鋒網註：轉載請聯繫授權並保留出處和作者，不得刪減內容。

雷鋒網原創文章，未經授權禁止轉載。詳情見轉載須知。