炒作量子通信工程，连潘建伟都担心

9月29日，世界首条量子保密通信干线——“京沪干线”正式开通。中国科技人员在量子保密通信相关技术上取得了重大进展，中国在高速高效率单光子探测、可信任光子中继站和星地量子密钥分发等技术领域领先世界，可喜可贺！对此我们不需要更多的溢美之词，此时此刻，客观的介绍和有益的建议比什么都重要。

为什么要开发量子保密通信技术？因为从理论上讲，如果未来量子计算机建成，如果建成的量子计算机有足够的Qbit和足够的稳定性，那么今天密码系统中的公钥密码RSA有可能被破解。开发量子密码通信是为了应对未来的危机，但危机可能发生的确切时间和危害程度至今都是未知数。

由此可知，量子保密技术只可能是前瞻性的科学研究，当然可以有试点工程，但不一定要做成大规模铺开的工程项目。操之过急会导致资源的浪费，媒体的过份渲染和资本市场的炒作还会把问题进一步复杂化，发生 “九州量子”这类事件 一点也不令人意外[1]。

“京沪干线”项目首席科学家、中科院院士潘建伟最近的谈话中提到：“....， 但是大家不能把它炒作得太热之后，一个东西反而味道就变掉了。要严谨地去做事情。 ”

从字里行间不难看出，他也担心京沪量子保密通信干线如果在过度炒作的舆论环境下，可能不利于解决实际的科学问题。他又说：“量子通信广泛应用取决于成本和需求两大因素。”这句话说到点子上了，评论工程项目需求和成本始终是两个绕不开的坎。

让我们先对需求作些分析。数月前出现这样一篇论文：“后量子时代的RSA”[2]，该文发表后被多家相关杂志转载和引用，这些文章给出的共同结论是：目前使用的非对称性密码RSA不会因为量子计算机的出现而消亡。

该篇论文的核心观点是：

2^100是一个什么概念？这个数大于我们星球上所有生物细胞的总数！而今天为了建成两位数Qbit的量子计算机，专家们已经弄得焦头烂额，多年来一筹莫展。

当然使用长度为Terabyte的RSA公钥确实也有点离谱，但论文作者在今日的电子计算机上产生了这样的公钥，并用它来加密和解密，费时一共为五天。

按目前的技术水平，长度为Terabyte的RSA公钥虽然并不实用，至少还是可以实现的，但是还在纸上的量子计算机即使明天就建成，要破解这样的RSA公钥也无一线希望。

这篇论文并不是要为对抗量子计算机提供确切的方案，而是通过实验和数据分析指出了一个冷酷的事实：即使围绕量子计算机的技术难题和运营成本全都解决，只要现行的RSA公钥增加字长和改善算法，就能迫使量子计算机的恶意攻击因为难以承受的代价而失败告终，在后量子时代作为经典密码系统重要基石的RSA具有足够长的生命力。急于丢弃RSA等公钥密码系统而另辟蹊径可能真的是杞人忧天。

让我们进一步再作些成本分析。经典保密技术与量子保密技术的主要区别是：经典保密系统中通信的内容与密码的配送使用的是同一个通信网络，而量子保密系统必须要求两个通信网络，一个传送通信内容，另一个配送量子密码。因此量子保密技术必定会大幅增加通信的成本。

由电路交换和分组交换技术构建起的经典通信网络从本质上来说与量子保密通信网络是格格不入、难以融合的。很难设想在原有的通信网络线路上实现量子密钥分发。

换言之，为了通信未来的安全，我们必须在原有的通信网络之外加建一套传递密钥的专用网络。

而且这条网络要求通信双方从端到端全程使用光纤联接，当通信双方超过上百公里，还必须使用可信任中继站或卫星中继。暂不考虑工程的难度，对于普通用户特别是手机用户而言，仅成本一项无疑也是难以承受的负担。

到目前为止，在所有的经典加密技术中，通信的内容与加密的信息都在同一网络上传输，信息传输和保证信息传输的安全措施是一个统一完整的过程，密码系统在整个通信过程中所占的额外成本是有限的。

因此从工程角度来看，对付量子计算机未来可能的攻击，采用改进的经典数学方法而不是全新的量子密码技术，已经成为密码界近期的共识。因为这些改进后的新的密码算法完全可以在目前所有的计算机和通信网络上运行，现行一切通信方式釆用这些新算法进行升级换代过程可以变得平稳、经济和切实有效。

再让我们看看密码学界最近的动态，请先看下图：密码学界已经明确把公钥密码系统分成两大类，左列中都是目前常用的公钥密码，它们是“量子可破”的，即理论上在量子计算机攻击下是不安全的（事实上也并非如此，见注解[2]）。

图中右列的几种公钥密码系统被列为“量子不可破”，它们从原理上被证明是不可能被量子计算机破解的，因而它们又被称为后量子时代的密码系统。

在“量子不可破”的公钥密码系统中最受关注的是“lattice-based crypto ”（基于阻格的加密法），密码学界对该方法的研究已经有二十多年了，但始终没有进入工程应用阶段。

其问题的本质是：该算法太复杂，运行效率低得无法使用；算法加以简化后，效率大幅提升，几乎可以与RSA媲美，但是却出现安全隐患。

但是近年来对于该密码系统的研究取得了实质性进展，它们很可能就是美国国家安全局不久将要推出的后量子时代的密码系统中的重要组成部分。

把高铁工程与量子保密通信联系在一起，可以印象化地说明这样一个事实：洋人做不来的事，中国人不仅可以做而且可以做得很好。但是必须明白，量子保密通信不是高铁工程，它只是一个不完整的示范性工程，工程的必需性和可行性仍面临严峻的考验。

人们出行可以坐高铁也可以不坐高铁，也可以坐一段高铁再加一段普客。但是通信系统中经典密码系统很难与量子密码系统兼用，如果一定要联在一起用，就会有木桶短板效应产生，量子保密系统不能为用户带来丝毫益处，除非通信双方全程使用量子保密系统，而我们都知道这对大量的普通用户又是多么地不切实际。

那么金融行业，特别是银行系统是否会享受到量子通信干线的优越性呢？很可惜答案是否定的。量子计算机有可能破解RSA这类非对称密钥，而对于基于复杂逻辑运算的对称密钥体制根本就没有威胁。现在所有金融行业（包括银行）采用的都是对称密钥体制，这个标准在由中国人民银行颁布的PBOC里有详细的描述[3]。

银行系统密钥分发要用到RSA这类非对称密钥只有初始化的第一次，之后采用的都是对称密钥。其实初始化都未必会用到RSA，任何能够安全地将初始化密钥分发到密钥分发管理中心的手段都可以采用，毕竟只需要做一次的事情，麻烦一些也无所谓。

我估计，银行与其它金融系统对量子保密通信是没有多少兴趣的，哪怕你有天大本事明天就变出一台几万Qbit的量子计算机，他们仍旧会是“量子围困万千重，我自岿然不动。”

军队会使用量子通信吗？从目前的技术状态来看，这更不可能。除了固定的机关之间，军队通信对网络的移动性、可变性和抗干涉性有更高的要求，量子保密通信从本质上很难适应这样的网络通信环境，至少近期难有什么作为。

那么究竟谁是京沪量子干线上的主要用户呢？有报道说某某市政务系统开始采用量子保密通信技术，他们究竟在做些什么呢？使用量子密钥对视频通话加密解密，我估计这也只是借此试验。

其实只要是了解政务系统的人都知道，跑在政务系统上面的信息，其实从来就没有多少需要保密传送的内容，真正机密的信息恐怕连一个字都不会放在政务网上的，所谓政务网采用量子密钥多少带有对大众宣传的成分。