量子通讯是否本末倒置？

　　文 | 曹正书

　　【编者按】中国的量子通讯即将发射，京沪之间的量子通讯干线也即将开通。这种从物理上保证信息安全的通讯方式，被看作是未来保证加密系统不被量子计算机攻破的最根本保证。

　　也正是因为如此，2015年度的国家自然科学奖一等奖，颁给了中国科学技术大学潘建伟院士领衔的“多光子纠缠及干涉度量”项目。

　　国家科技奖励工作办公室副主任陈志敏曾表示，这一项目在广域量子通信和光学量子信息处理等领域取得了一系列具有重要国际影响的原始创新成果，为我国在新兴的量子信息产业抢占先机、成为领跑者奠定了坚实的科学基础。

　　但是量子通讯的实质，就是在传统通信的基础上，增加一套以量子方式产生的密钥，这套密钥完全随机，只有发送方和接受方知道，任何敌人的窃听行为，都能被系统发现。这也就保证了信息的安全。

　　然而，财新最近采访到的几位研究密码的专家对于量子通讯却是另外一种态度。简单的说，就是说这种方法功能比较单一，使用局限性比较大，无法取代现有的密码系统，更严重的，是认为这种通信方式就是本末倒置，实质上并不能保证信息的安全。

　　上海大学数学系的密码专家曹正军就此投书财新，虽然他的相关论文已经发表，但是在国内的一些会议上提出这些想法的时候，却受到一些学术之外的诘难。他表示，自己不愿介入这种学术江湖之争，只希望通过这篇文章告诉大家，量子通讯并不完美，至少不像很多人说的那样好。

——————————————————————————————————————

　　一、什么是信息？

　　通常所说的信息就是指符号、文字、图像、语音等。这些信息在实际通讯中通常都表示成由0、1构成的比特串。比如：中文字符“汉”的Unicode编码是0x6C49，利用UTF-8规则转化成二进制后得到的是11100110 10110001 10001001. 身在北京的张山怎样把这个比特串发给上海的李强呢？这就需要利用通讯信号。

　　二、什么是信号？

　　通讯信号是指能够用来传递信息的物质，比如无线电波、电信号、磁信号、光信号等。电路中电压的大小可以用来表示1、0。张山利用电压调制电路把11100110 10110001 10001001调制成相应的电信号，这些电信号再通过光电转换器转换成不同强度或频率的光信号，然后利用光纤传送出去。在传送过程中，光信号会衰退，需要利用中继服务器来增强信号，直至传递到上海李强端的接收设备，接收设备把光信号转换为电信号，然后转换成11100110 10110001 10001001，再用对应的编码规则转换成“汉”。为了叙述方便，此处略去了加密，纠错编码等环节。

　　在光纤通讯的发展史上，有两个至关重要的人物。爱因斯坦在1905年提出了光量子假说，成功地解释了光电效应现象，这是光电信号转换原理的基础。1921年，他因为这一学说获得了诺贝尔物理学奖。2009年获得诺贝尔物理学奖的华人学者是高锟，他取得了光纤物理学上的突破性成果，发现了如何使光在光导纤维中进行远距离传输，这项成果最终促使光纤通信系统问世。没有高锟坚持不懈的研究，就没有今天的互联网时代。

　　三、什么是信息安全？

　　信息安全包括很多内容，最主要的是机密性和认证。机密性是指没有被授权的用户无法读取通讯信号中蕴藏的信息。从形式上看，非授权用户得到的只是由0、1构成的比特串，他不知道采用什么样的变换规则把获得的比特串转换成原始信息。认证是指用户能够确认通讯对方的身份或者信息的来源。

　　因为光电信号的经典性态(光强、频率、电压等)是很容易调制和测量的，所以敌手可以通过监听线路获得通讯信号。传统的密码学总是假定敌手已经窃得了所有通讯信号，在这种情形下，研究如何阻止敌手读取信号中蕴藏的信息，或者敌手篡改信号欺骗用户。

　　因为敌手在窃听的时候基本上没有干扰原来的通讯信号，所以目标用户能够正确地恢复出发送端发送的信号。发送双方无法得知有没有敌手在窃听，也就是说传统的密码学不能发现窃听行为。就机密性而言，传统的密码学的目的是阻止敌手获得蕴藏在信号中的信息，是一种智力手段。

　　四、什么是信号安全？

　　1984年, IBM公司的研究人员Bennett和蒙特利尔大学的学者Brassard在印度召开的一个国际学术会议上提交了一篇论文《量子密码学:公钥分发和拋币》(Quantum cryptography: Public key distribution and coin tossing)。文章宣称量子密码学能够发现窃听行为，是绝对安全的。其理论基础是量子力学的测不准原理。

　　传统的通讯信号性态是指电压值、光的强度与频率、电磁波的频率等。与这些性态不一样，量子通讯利用的信号性态是量子态，比如，光的偏振方向和电子的自旋方向。因为一个未知的量子态是无法复制的，一旦敌手试图窃听量子信号，将有一半的机会改变发送方发送的量子态，所以接收方就会无法正确地恢复出发送端发送的信号。

　　发送双方事后通过一个传统信道进行公开比对，如果发现双方在采用同样的测量方案时测得的量子态是不一致的，就可以断言量子信道上有窃听者。量子密码学的目的是阻止敌手获得信号，是一种物理手段。

　　五、信息安全与信号安全的关系

　　敌手无法获得信号，自然就无法获得蕴藏在信号中的信息。因此，一个通讯系统是信号安全的，也必然是信息安全的。这就是量子通讯绝对安全的由来。但在有敌手介入的情形下，一个通讯系统在阻止敌手获得信号的同时也必然无法保证目标用户获得正确的信号，也就是说该系统是不稳定的。

　　六、通讯的首要目的是什么？

　　通讯的首要目的是稳定性，即目标用户能够正确地恢复出发送方发送的信号。尽管信息安全很重要，但对绝大多数通讯来说，它是不必要的，比如一封普通的电邮，一次寻常的电话交谈。发现窃听不是通讯的目的。

　　通常，总是假定敌手是存在的，无论他在窃听信号还是在篡改信号。

　　七、信号安全与通讯的稳定性是不兼容的

　　密码学总是假定敌手所具备的物理技术手段比接收方更强。因此，一个通讯系统如果从物理上剥夺了敌手窃取信号的能力，那么也必然无法保证接收方获得正确的信号。也就是说通讯系统的稳定性与信号安全是不兼容的。

　　敌手一旦介入量子通讯，势必破坏了量子信号，即使是破坏性虽小的窃听行为，也会破坏量子信号，使得接收人无法获得正确的信号，

　　直白点说，有窃听时量子通讯干不成事！一个有了敌手就干不成事的通讯系统还能说是安全的吗？

　　八、信息安全能够与通讯的稳定性兼容

　　一个信息安全系统虽然不能从物理上削弱敌手截获信号的能力，但是能够从智力上保证敌手无法获得蕴藏在信号中的信息，即通讯系统的稳定性与信息安全是兼容的。

　　九、大规模的量子通讯网络是不可行的

　　Bennett和Brassard提出的BB84协议一直被称为量子密钥分发（QKD），这种叫法是错误的，正确的叫法应该是量子密钥协商。他们没有认识到密钥分发和密钥协商之间的差别。密钥分发是把预先存在的一些密钥分发出去。密钥协商则是用户之间通过信息交互商定一个共同的密钥，这个密钥事先并不存在。显然，前者比后者更困难。

　　Bennett和Brassard两人都不是从事密码技术研究的专业人士，对通讯的基本要求似懂非懂。他们没有认识到信号安全与信息安全的差异，逆技术潮流而动，提出了基于物理技术手段而不是智力手段的所谓的量子密码学。尽管他们的后继者发表了许多文章和实验，成功地吸引了公众的关注，但是无法改变这个事实---大规模的量子通讯网络是不可行的。■

AD