雷鋒網(wǎng)按：8月16日，中國量子衛(wèi)星“墨子”成功發(fā)射，也是世界首顆量子科學(xué)實驗衛(wèi)星，讓量子通信再次備受關(guān)注。量子通信保證信息安全的實質(zhì)是分發(fā)隨機密鑰，只有收發(fā)雙方才能看見，任何竊聽行為都會被發(fā)現(xiàn)。但也正因如此，這種單一的功能實現(xiàn)方式也被質(zhì)疑存在一定的局限性——大規(guī)模的量子通訊網(wǎng)絡(luò)是不可行的。而量子通信最重要的是什么？是安全還是穩(wěn)定性？

本文系量子通信從業(yè)者、鐵流兩位作者撰文對上述質(zhì)疑觀點進行反駁（文后附上全文），雙方觀點不同，雷鋒網(wǎng)發(fā)出此文的目的不是站隊，而是希望在帶來專業(yè)人士分析的同時能啟發(fā)讀者們對量子通信本身的思考。

通信安全中常說的“竊聽”這個詞是用得既生動又準確。所謂竊，必須取和不察兩者兼有。在通信線路上進行竊聽，竊聽者一般要具備更強的接收能力，但大家也要注意竊聽者要知道線路在哪里。竊聽者使通信雙方能夠保持通信而自己不被發(fā)現(xiàn)當然有明顯的好處，卻并不是他不能破壞通信?？梢赃@么說，竊聽比破壞難度要高許多，凡是有能力竊聽的，必然有能力破壞。

為了應(yīng)付搞破壞，現(xiàn)在的網(wǎng)絡(luò)是路由越來越多，一條路壞了還有另一條路，一個節(jié)點壞了網(wǎng)絡(luò)其余部分還能不癱瘓。同時，由于搞破壞能夠被發(fā)現(xiàn)，還有及時補救的機會，損失算是可控吧。以XX單位來說，一條光纖斷了，癱瘓一個區(qū)域的業(yè)務(wù)，肯定會停頓許多交易，但是好歹還能跟客戶保證錢財不受損失；但是竊聽如果真的發(fā)生了，密碼被破譯了，那這一條都不好保證了，損失有多大，取決于涉及的賬戶，也取決于能否及時發(fā)現(xiàn)竊聽。

密碼學(xué)家們通過各種手段來保障密碼不能被破解，他們對量子通信用途還比較單一的意見也很中肯。但是曹正軍先生提出的“通訊的首要目的是穩(wěn)定性”這個觀點一點都沒有密碼學(xué)家的風(fēng)格。講一個密碼應(yīng)用部門的自筆者調(diào)侃，他們形容自己在通信系統(tǒng)中的作用是“首先保證它不通，然后才有條件地讓它通”。至于曹先生說的“信息安全對絕大多數(shù)通訊來說不必要”，很抱歉，可能筆者和他不是在講同一個話題，而且這也沒密碼學(xué)家什么事。

前面說了使用方面的一些態(tài)度，下面說說量子密鑰分發(fā)吧。

量子密鑰分發(fā)的典型方案中包括單光子狀態(tài)調(diào)制——解調(diào)——密鑰協(xié)商幾個過程。

所謂單光子狀態(tài)調(diào)制就是把“0”和“1”編碼到光子的某種狀態(tài)上去；

解調(diào)則是通過解調(diào)光路和單光子探測器把“0”和“1”讀出來；

密鑰協(xié)商則是把這其中不匹配的解調(diào)事例去掉，根據(jù)錯誤率評估這些光子被第三方獲取了信息的最大概率并進而用數(shù)學(xué)手段把風(fēng)險去除掉。

這個過程其實也沒有信號安全什么事，因為信號丟失比例目前高達90%以上，至于協(xié)商過程，筆者覺得說拋棄信息比拋棄信號更為準確。

這個過程的安全性基礎(chǔ)，除了量子力學(xué)的測不準原理，還要注意在具體實現(xiàn)上是由于信息加載在了單個量子上，和經(jīng)典信息加載在了海量量子（一個光脈沖通常有10E8個光子）上有本質(zhì)不同。

在竊聽過程中，量子密鑰分發(fā)和經(jīng)典通信一樣會丟失信號（筆者理解曹先生說的信號是指承載信息的光子），只不過量子密鑰分發(fā)中一旦丟了就沒有了，也復(fù)制不出來。也正是因為量子密鑰分發(fā)中信號容易丟失的緣故，BB84的作者才把這個過程用來分發(fā)密鑰而不是直接傳輸信息，因為把它作為密鑰儲存下來再結(jié)合加密通信，就還能盡量保持通信的連貫性和穩(wěn)定性。從這一點可見，傳統(tǒng)的分光竊聽技術(shù)其實根本不會造成量子密鑰分發(fā)的中斷，丟失信號對于量子密鑰分發(fā)而言并不是個問題，量子通信沒有曹先生想象的那么弱不禁風(fēng)，也并非必須犧牲穩(wěn)定性來達到保密性。

量子糾纏態(tài)

筆者發(fā)現(xiàn)曹先生一直使用早期的“通訊”一詞而不是現(xiàn)在的“通信”，不知道是不是想把信號傳輸和信息傳輸區(qū)分開來。在筆者看來這大可不必，因為講安全性歸根結(jié)底瞄準的是信息，量子密鑰分發(fā)處理的后端部分也是密鑰信息，同時也像前面說的有能力竊聽就有能力搞破壞，信息安全層面最好不要弱化了來談信號安全。

關(guān)于曹先生說的“大規(guī)模量子通訊網(wǎng)絡(luò)是不可行的”那一大段，筆者讀起來覺得很煎熬，因為始終沒有找到論證的邏輯，但是出于對大眾讀者的負責(zé)筆者還是讀了幾遍。筆者還是引用一下密碼應(yīng)用部門對量子密鑰分發(fā)這個技術(shù)的見解吧，他們的評價是“生成即分發(fā)”——以往需要先在本地生成，然后用各種途徑去分發(fā)給多個用戶，保障環(huán)節(jié)多難度大，量子密鑰分發(fā)這個過程同時完成了密鑰的產(chǎn)生和分發(fā)，縮減了環(huán)節(jié)，極大提高了保障效率和安全性。曹先生的“顯然分發(fā)比協(xié)商難度大”觀點不知從何而來。至于曹先生以Bennett和Brassard兩人不是密碼和通訊專業(yè)來批判他們被大量學(xué)者繼承并發(fā)展的成果，筆者個人建議曹先生還是不要這樣做的好，應(yīng)當堅持尊重邏輯和實踐檢驗的學(xué)者品格。

作個簡單的總結(jié)和展望吧。

量子通信目前確實對提高通信強壯性還沒有什么助益，但這并不妨礙其價值，因為它提高了線路的防竊聽能力，而對于想要癱瘓通信網(wǎng)絡(luò)的敵人來說，量子通信和經(jīng)典通信是一個水平的。從長遠來看，量子通信有可能發(fā)展出更具隱蔽性的通信應(yīng)用，因為單光子級別的信號顯然能夠更好地隱蔽自己，以激光方式在自由空間傳輸更是連攔截的可能性都可以極大降低。

雷鋒網(wǎng)注：為方便讀者理解，雷鋒網(wǎng)附上上海大學(xué)數(shù)學(xué)系的密碼專家曹正軍發(fā)表在《財新網(wǎng)》的文章（3月22日文）——《量子通訊是否本末倒置》，曹認為“量子通訊并不完美，至少不像很多人說的那樣好”。以下為原文：

量子通訊是否本末倒置？

一、什么是信息？

通常所說的信息就是指符號、文字、圖像、語音等。這些信息在實際通訊中通常都表示成由0、1構(gòu)成的比特串。比如：中文字符“漢”的Unicode編碼是0x6C49，利用UTF-8規(guī)則轉(zhuǎn)化成二進制后得到的是11100110 10110001 10001001. 身在北京的張山怎樣把這個比特串發(fā)給上海的李強呢？這就需要利用通訊信號。

二、什么是信號？

通訊信號是指能夠用來傳遞信息的物質(zhì)，比如無線電波、電信號、磁信號、光信號等。電路中電壓的大小可以用來表示1、0。張山利用電壓調(diào)制電路把11100110 10110001 10001001調(diào)制成相應(yīng)的電信號，這些電信號再通過光電轉(zhuǎn)換器轉(zhuǎn)換成不同強度或頻率的光信號，然后利用光纖傳送出去。在傳送過程中，光信號會衰退，需要利用中繼服務(wù)器來增強信號，直至傳遞到上海李強端的接收設(shè)備，接收設(shè)備把光信號轉(zhuǎn)換為電信號，然后轉(zhuǎn)換成11100110 10110001 10001001，再用對應(yīng)的編碼規(guī)則轉(zhuǎn)換成“漢”。為了敘述方便，此處略去了加密，糾錯編碼等環(huán)節(jié)。

在光纖通訊的發(fā)展史上，有兩個至關(guān)重要的人物。愛因斯坦在1905年提出了光量子假說，成功地解釋了光電效應(yīng)現(xiàn)象，這是光電信號轉(zhuǎn)換原理的基礎(chǔ)。1921年，他因為這一學(xué)說獲得了諾貝爾物理學(xué)獎。2009年獲得諾貝爾物理學(xué)獎的華人學(xué)者是高錕，他取得了光纖物理學(xué)上的突破性成果，發(fā)現(xiàn)了如何使光在光導(dǎo)纖維中進行遠距離傳輸，這項成果最終促使光纖通信系統(tǒng)問世。沒有高錕堅持不懈的研究，就沒有今天的互聯(lián)網(wǎng)時代。

三、什么是信息安全？

信息安全包括很多內(nèi)容，最主要的是機密性和認證。機密性是指沒有被授權(quán)的用戶無法讀取通訊信號中蘊藏的信息。從形式上看，非授權(quán)用戶得到的只是由0、1構(gòu)成的比特串，他不知道采用什么樣的變換規(guī)則把獲得的比特串轉(zhuǎn)換成原始信息。認證是指用戶能夠確認通訊對方的身份或者信息的來源。

因為光電信號的經(jīng)典性態(tài)(光強、頻率、電壓等)是很容易調(diào)制和測量的，所以敵手可以通過監(jiān)聽線路獲得通訊信號。傳統(tǒng)的密碼學(xué)總是假定敵手已經(jīng)竊得了所有通訊信號，在這種情形下，研究如何阻止敵手讀取信號中蘊藏的信息，或者敵手篡改信號欺騙用戶。

因為敵手在竊聽的時候基本上沒有干擾原來的通訊信號，所以目標用戶能夠正確地恢復(fù)出發(fā)送端發(fā)送的信號。發(fā)送雙方無法得知有沒有敵手在竊聽，也就是說傳統(tǒng)的密碼學(xué)不能發(fā)現(xiàn)竊聽行為。就機密性而言，傳統(tǒng)的密碼學(xué)的目的是阻止敵手獲得蘊藏在信號中的信息，是一種智力手段。

四、什么是信號安全？

1984年，IBM公司的研究人員Bennett和蒙特利爾大學(xué)的學(xué)者Brassard在印度召開的一個國際學(xué)術(shù)會議上提交了一篇論文《量子密碼學(xué):公鑰分發(fā)和拋幣》(Quantum cryptography: Public key distribution and coin tossing)。文章宣稱量子密碼學(xué)能夠發(fā)現(xiàn)竊聽行為，是絕對安全的。其理論基礎(chǔ)是量子力學(xué)的測不準原理。

傳統(tǒng)的通訊信號性態(tài)是指電壓值、光的強度與頻率、電磁波的頻率等。與這些性態(tài)不一樣，量子通訊利用的信號性態(tài)是量子態(tài)，比如，光的偏振方向和電子的自旋方向。因為一個未知的量子態(tài)是無法復(fù)制的，一旦敵手試圖竊聽量子信號，將有一半的機會改變發(fā)送方發(fā)送的量子態(tài)，所以接收方就會無法正確地恢復(fù)出發(fā)送端發(fā)送的信號。

發(fā)送雙方事后通過一個傳統(tǒng)信道進行公開比對，如果發(fā)現(xiàn)雙方在采用同樣的測量方案時測得的量子態(tài)是不一致的，就可以斷言量子信道上有竊聽者。量子密碼學(xué)的目的是阻止敵手獲得信號，是一種物理手段。

五、信息安全與信號安全的關(guān)系

敵手無法獲得信號，自然就無法獲得蘊藏在信號中的信息。因此，一個通訊系統(tǒng)是信號安全的，也必然是信息安全的。這就是量子通訊絕對安全的由來。但在有敵手介入的情形下，一個通訊系統(tǒng)在阻止敵手獲得信號的同時也必然無法保證目標用戶獲得正確的信號，也就是說該系統(tǒng)是不穩(wěn)定的。

六、通訊的首要目的是什么？

通訊的首要目的是穩(wěn)定性，即目標用戶能夠正確地恢復(fù)出發(fā)送方發(fā)送的信號。盡管信息安全很重要，但對絕大多數(shù)通訊來說，它是不必要的，比如一封普通的電郵，一次尋常的電話交談。發(fā)現(xiàn)竊聽不是通訊的目的。

通常，總是假定敵手是存在的，無論他在竊聽信號還是在篡改信號。

七、信號安全與通訊的穩(wěn)定性是不兼容的

密碼學(xué)總是假定敵手所具備的物理技術(shù)手段比接收方更強。因此，一個通訊系統(tǒng)如果從物理上剝奪了敵手竊取信號的能力，那么也必然無法保證接收方獲得正確的信號。也就是說通訊系統(tǒng)的穩(wěn)定性與信號安全是不兼容的。

敵手一旦介入量子通訊，勢必破壞了量子信號，即使是破壞性雖小的竊聽行為，也會破壞量子信號，使得接收人無法獲得正確的信號，

直白點說，有竊聽時量子通訊干不成事！一個有了敵手就干不成事的通訊系統(tǒng)還能說是安全的嗎？

八、信息安全能夠與通訊的穩(wěn)定性兼容

一個信息安全系統(tǒng)雖然不能從物理上削弱敵手截獲信號的能力，但是能夠從智力上保證敵手無法獲得蘊藏在信號中的信息，即通訊系統(tǒng)的穩(wěn)定性與信息安全是兼容的。

九、大規(guī)模的量子通訊網(wǎng)絡(luò)是不可行的

Bennett和Brassard提出的BB84協(xié)議一直被稱為量子密鑰分發(fā)（QKD），這種叫法是錯誤的，正確的叫法應(yīng)該是量子密鑰協(xié)商。他們沒有認識到密鑰分發(fā)和密鑰協(xié)商之間的差別。密鑰分發(fā)是把預(yù)先存在的一些密鑰分發(fā)出去。密鑰協(xié)商則是用戶之間通過信息交互商定一個共同的密鑰，這個密鑰事先并不存在。顯然，前者比后者更困難。

Bennett和Brassard兩人都不是從事密碼技術(shù)研究的專業(yè)人士，對通訊的基本要求似懂非懂。他們沒有認識到信號安全與信息安全的差異，逆技術(shù)潮流而動，提出了基于物理技術(shù)手段而不是智力手段的所謂的量子密碼學(xué)。盡管他們的后繼者發(fā)表了許多文章和實驗，成功地吸引了公眾的關(guān)注，但是無法改變這個事實-——大規(guī)模的量子通訊網(wǎng)絡(luò)是不可行的。

雷鋒網(wǎng)注：轉(zhuǎn)載請聯(lián)系授權(quán)并保留出處和作者，不得刪減內(nèi)容。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。