量子通信被炒作,使科学研究陷入困境

　　9月29日，世界首条量子保密通信干线——“京沪干线”正式开通。中国科技人员在量子保密通信相关技术上取得了重大进展，中国在高速高效率单光子探测、可信任光子中继站和星地量子密钥分发等技术领域领先世界，并且在未来的10-15年都会领先于世界，这本来是一条可喜的消息。有人却提出了不同的观点，量子通信被炒得太热，反而或阻碍它的发展。

　　为什么要开发量子保密通信技术？

因为从理论上讲，如果未来量子计算机建成，如果建成的量子计算机有足够的Qbit和足够的稳定性，那么今天密码系统中的公钥密码RSA有可能被破解。开发量子密码通信是为了应对未来的危机，但危机可能发生的确切时间和危害程度至今都是未知数。

　　由此可知，量子保密技术只可能是前瞻性的科学研究，当然可以有试点工程，但不一定要做成大规模铺开的工程项目。操之过急会导致资源的浪费，媒体的过份渲染和资本市场的炒作还会把问题进一步复杂化，发生“九州量子”这类事件一点也不令人意外。

　　“京沪干线”项目首席科学家、中科院院士潘建伟最近的谈话中提到：“。..。，但是大家不能把它炒作得太热之后，一个东西反而味道就变掉了。要严谨地去做事情。”从字里行间不难看出，他也担心京沪量子保密通信干线如果在过度炒作的舆论环境下，可能不利于解决实际的科学问题。他又说：“量子通信广泛应用取决于成本和需求两大因素。”这句话说到点子上了，评论工程项目需求和成本始终是两个绕不开的坎。

　　让我们先对需求作些分析。数月前出现这样一篇论文：“后量子时代的RSA”，该文发表后被多家相关杂志转载和引用，这些文章给出的共同结论是：目前使用的非对称性密码RSA不会因为量子计算机的出现而消亡。

　　该篇论文的核心观点是：假设量子计算机已经建成，再假设量子计算机的量子位（Qbit）可以无限扩展，进一步假设该量子计算机的运行成本与现在通用电子计算机的成本可以相比，用这样一台超级想象出来的量子计算机来破解长度为Terabyte（太字节，等于1024GB）的RSA非对称密钥需要量子计算机的Qbit为2^100（2的100次方）。

　　2^100是一个什么概念？

这个数大于我们星球上所有生物细胞的总数！而今天为了建成两位数Qbit的量子计算机，专家们已经弄得焦头烂额，多年来一筹莫展。当然使用长度为Terabyte的RSA公钥确实也有点离谱，但论文作者在今日的电子计算机上产生了这样的公钥，并用它来加密和解密，费时一共为五天。按目前的技术水平，长度为Terabyte的RSA公钥虽然并不实用，至少还是可以实现的，但是还在纸上的量子计算机即使明天就建成，要破解这样的RSA公钥也无一线希望。

　　这篇论文并不是要为对抗量子计算机提供确切的方案，而是通过实验和数据分析指出了一个冷酷的事实：即使围绕量子计算机的技术难题和运营成本全都解决，只要现行的RSA公钥增加字长和改善算法，就能迫使量子计算机的恶意攻击因为难以承受的代价而失败告终，在后量子时代作为经典密码系统重要基石的RSA具有足够长的生命力。急于丢弃RSA等公钥密码系统而另辟蹊径可能真的是杞人忧天。

　　让我们进一步再作些成本分析。经典保密技术与量子保密技术的主要区别是：经典保密系统中通信的内容与密码的配送使用的是同一个通信网络，而量子保密系统必须要求两个通信网络，一个传送通信内容，另一个配送量子密码。因此量子保密技术必定会大幅增加通信的成本。

　　由电路交换和分组交换技术构建起的经典通信网络从本质上来说与量子保密通信网络是格格不入、难以融合的。很难设想在原有的通信网络线路上实现量子密钥分发。换言之，为了通信未来的安全，我们必须在原有的通信网络之外加建一套传递密钥的专用网络。而且这条网络要求通信双方从端到端全程使用光纤联接，当通信双方超过上百公里，还必须使用可信任中继站或卫星中继。暂不考虑工程的难度，对于普通用户特别是手机用户而言，仅成本一项无疑也是难以承受的负担。

　　到目前为止，在所有的经典加密技术中，通信的内容与加密的信息都在同一网络上传输，信息传输和保证信息传输的安全措施是一个统一完整的过程，密码系统在整个通信过程中所占的额外成本是有限的。因此从工程角度来看，对付量子计算机未来可能的攻击，采用改进的经典数学方法而不是全新的量子密码技术，已经成为密码界近期的共识。因为这些改进后的新的密码算法完全可以在目前所有的计算机和通信网络上运行，现行一切通信方式釆用这些新算法进行升级换代过程可以变得平稳、经济和切实有效。

　　再让我们看看密码学界最近的动态，请先看下图：密码学界已经明确把公钥密码系统分成两大类，左列中都是目前常用的公钥密码，它们是“量子可破”的，即理论上在量子计算机攻击下是不安全的。图中右列的几种公钥密码系统被列为“量子不可破”，它们从原理上被证明是不可能被量子计算机破解的，因而它们又被称为后量子时代的密码系统。

　　在“量子不可破”的公钥密码系统中最受关注的是“lattice-based crypto ”（基于阻格的加密法），密码学界对该方法的研究已经有二十多年了，但始终没有进入工程应用阶段。其问题的本质是：该算法太复杂，运行效率低得无法使用；算法加以简化后，效率大幅提升，几乎可以与RSA媲美，但是却出现安全隐患。但是近年来对于该密码系统的研究取得了实质性进展，它们很可能就是美国国家安全局不久将要推出的后量子时代的密码系统中的重要组成部分。

　　把高铁工程与量子保密通信联系在一起，可以印象化地说明这样一个事实：洋人做不来的事，中国人不仅可以做而且可以做得很好。但是必须明白，量子保密通信不是高铁工程，它只是一个不完整的示范性工程，工程的必需性和可行性仍面临严峻的考验。

　　人们出行可以坐高铁也可以不坐高铁，也可以坐一段高铁再加一段普客。但是通信系统中经典密码系统很难与量子密码系统兼用，如果一定要联在一起用，就会有木桶短板效应产生，量子保密系统不能为用户带来丝毫益处，除非通信双方全程使用量子保密系统，而我们都知道这对大量的普通用户又是多么地不切实际。

　　那么金融行业，特别是银行系统是否会享受到量子通信干线的优越性呢？很可惜答案是否定的。量子计算机有可能破解RSA这类非对称密钥，而对于基于复杂逻辑运算的对称密钥体制根本就没有威胁。现在所有金融行业（包括银行）采用的都是对称密钥体制，这个标准在由中国人民银行颁布的PBOC里有详细的描述。

　　银行系统密钥分发要用到RSA这类非对称密钥只有初始化的第一次，之后采用的都是对称密钥。其实初始化都未必会用到RSA，任何能够安全地将初始化密钥分发到密钥分发管理中心的手段都可以采用，毕竟只需要做一次的事情，麻烦一些也无所谓。我估计，银行与其它金融系统对量子保密通信是没有多少兴趣的，哪怕你有天大本事明天就变出一台几万Qbit的量子计算机，他们仍旧会是“量子围困万千重，我自岿然不动。”

　　军队会使用量子通信吗？

从目前的技术状态来看，这更不可能。除了固定的机关之间，军队通信对网络的移动性、可变性和抗干涉性有更高的要求，量子保密通信从本质上很难适应这样的网络通信环境，至少近期难有什么作为。

　　那么究竟谁是京沪量子干线上的主要用户呢？有报道说某某市政务系统开始采用量子保密通信技术，他们究竟在做些什么呢？使用量子密钥对视频通话加密解密，我估计这也只是借此试验。其实只要是了解政务系统的人都知道，跑在政务系统上面的信息，其实从来就没有多少需要保密传送的内容，真正机密的信息恐怕连一个字都不会放在政务网上的，所谓政务网采用量子密钥多少带有对大众宣传的成分。

　　对量子密码技术作前瞻性的科学研究我们应该支持，毕竟在后量子时代如何确保信息安全谁也不敢打保票，量子密钥协商技术有可能提供一种对抗量子计算机攻击的工具，多一种选择总是好的。虽然危机仍在未定之天，但未雨绸缪作超前的研究也是应该的，因为新技术从概念提出、实验证明、技术和标准的建立都需要时间，千万不能等危机出现后再临阵磨枪。而且科学研究的过程中会提升相关技术的水平，也很可能会收获意想不到的副产品。对量子保密通信技术作前瞻性科学研究应该大力支持，我的这个态度始终也不会改变。

　　但是铺开建设量子保密通信干线的工程项目必须谨慎再谨慎。从近期看，经典密码系统是安全的，到目前为止，量子保密技术不仅成本昂贵，而且功能上也无法替代经典密码系统。开发量子保密技术为的是应对未来可能发生的危机，但这种危机离我们仍十分地遥远，即使危机真的降临，改进升级后的经典密码系统应该足以应付危局。量子密码技术并非是对抗危机的唯一选择，它很有可能仅是一枚永远也使用不上的备胎。

　　中国银行业信息交换安全管理的规范叫PBOC，这其实基本沿袭美国的银行标准制定出来的，全世界其它地区也基本遵照办理。我很希望量子通讯专家们在策划他们的大工程之前，认真坐下来消化一下这个只有几十页的行业标准，然后再来看看量子对称秘钥是否能够在其中起到什么有价值的作用。

　　完全不像他们想象中的那样，银行间还需要不断发送对称密钥，并用RSA进行加密，其实银行间的密钥更新根本不分发密钥，分发的是完全不需要保密的随机数而已，这些随机数任何人拿去都无所谓，因为其中不包含任何密钥信息，密钥安全管理就是这么神奇。

　　密钥分发管理采用分级的形式，从总行到各大区的支行，大概不超过3级，每个密钥分发管理中心叫做KDC，每个层级管理的对称密钥就叫该级别主密钥，比如第三级就叫3级主密钥。全国的KDC其实是不多的，这可不是银行的门点。总行的KDC为顶级密钥，用来生成顶级密钥，这个顶级密钥一般有多组，每次拿出一组顶级密钥使用，其它组密钥处于备份状态。主密钥可不是用来分发的，而是用来生成分发密钥。生成分发密钥首先需要系统先生成一系列随机数，并用主密钥对其进行加密操作，生成的密文就作为分发密钥，用于分发到下一级KDC。下一级接收到上一级的分发密钥，将其作为本KDC的主密钥，如此继续使用该主密钥给下一级生成分发密钥。

　　这个叙述好像确实在说KDC需要不断将分发密钥发送给下一级KDC，那么总得需要将密钥进行加密后才能在公网上传递吧？这个环节难道不就是需要RSA这类对称密钥上场了？难道这不就是量子通讯在解决的问题吗？这不正是4万字一文所描述的过程吗？事实的真相是，这样的过程只需要做一次，就是当两个KDC之间完全没有任何可供通讯加密的密钥时候才会使用。当两个KDC之间已经有了彼此都掌握的对称密钥，密钥更新的过程就变得完全不同。

　　假如一个KDC要将一个新的分发密钥传送给下一级KDC，我们把这个分发密钥叫做明文K，那么首先，上级KDC从一组对称密钥中选择一个出来，不妨称作密钥A，记下这个对称密钥的序号，同时在系统中生成一个随机数，用密钥A对其进行加密，生成一个密文，这个密文作为过程密钥，不妨称作P，用P对分发密钥K进行加密，然后将密文、生成过程密钥的随机数和对称密钥的序列号发送给下一级KDC。注意的是，这个时候，在公网上发送的K是经过P加密的密文，这个是安全的，P并没有发布到公网上，发布出去的只有随机数和加密密钥序列号，这些信息是不能利用来对密文进行破解的。接收端的KDC有了加密密钥序列号，就能够从自己的主密钥库中提取出来对应的密钥，并将收到的随机数进行加密，这样就能还原过程秘钥P，然后就可以直接用P将收到的K密文解码成明文K，从而完成主密钥的更新。所以我们能够知道的有三点：

　　第一点， 密钥分发能够用到RSA作为加密手段的只有最开始初始化的第一次，之后采用的都是对称密钥加密。其实RSA未必都会用到，任何能够安全地将初始化密钥设置到KDC的手段都可以采用，毕竟只需要做一次的事情，麻烦一些并不要紧；

　　第二点， 网上发送的信息不包含任何加密密钥的信息，无论经过多少个路由或者中继，所以根本不可能在网络环节泄密；

　　第三点， 更新的密钥在KDC进行还原，只有在这个环节会产生泄密的危险，因此保护KDC的安全才是整个环节中至关重要的问题。

　　量子保密通信至今不是一套完整的密码安全系统。到目前为止，它不能对通信安全提供诸如密钥的分级发送管理、身份认真和电子签名这样一整套严格完整的全方位的服务。