量子通信，无懈可击？牺牲稳定性实现安全性意义何在

<P align=center> </P><p>　　8月16日凌晨，中国首颗量子科学实验卫星“墨子号”在甘肃酒泉卫星中心发射升空。它同时是世界上首颗量子卫星，中国成为全球第一个实现卫星和地面之间量子通信的国家，加上今年下半年建成的地面光纤量子通信网络，国内将初步建成广域量子通信体系。</P><p>　　在理论上，这种不可窃听不可复制的信息传输方式，可以保证信息传输的绝对安全，这是唯一一种从物理上保证信息安全的方式，和过去以计算复杂性为基础的传统密码通信相比，显然要高明的多。</P><p>　　但是现实上，量子通信究竟是什么，它是不是真的能够保证信息安全，在密码学界一直存在争议。上海大学数学系的密码专家曹正军看来，这种看似无懈可击的通信方式，实际上是以牺牲信号稳定性为代价的，一旦存在敌方的任何形式的入侵行为，不管是窃听、复制还是干扰，量子通信都将无法实现，而传统的密码体系，都是假设敌方可以获取信息，但是从计算复杂性上让敌方无法破解。</P><p>　　“如果敌手消失了，那么任何密码技术都是多余的。”</P><p>　　在他看来，从这个意义上说，量子通信可以说是只要有敌方存在就办不了事，而这样的系统，最终也只能沦为摆设。</P><p>　　虽然他的相关论文已经发表，但是在国内的一些会议上提出这些想法的时候，却受到一些学术之外的诘难，原本他不愿介入这种学术江湖之争，但是我们希望通过这篇文章告诉大家，量子通讯可能并不完美，至少不像很多人说的那样好。</P><p>　　量子通讯主要是指利用量子态作为传输介质来协商临时密钥--经典的比特串，该临时密钥可以作为对称密码系统（如AES）的加密密钥。传统密码学假设敌手获得了所有的通讯信号，在此假设下研究如何阻止敌手获得蕴藏在信号中的信息，它的研究目标是信息安全。</P><P align=center> </P><p>　　量子密码学能够阻止敌手窃得通讯信号，它的研究目标是信号安全。信号安全真的能保证信息安全吗？</P><p>　　量子通讯研究始于Bennett和Brassard提出的BB84协议。</P><p>　　1984年, IBM公司的研究人员Bennett和蒙特利尔大学的学者Brassard在印度召开的一个国际学术会议上提交了一篇论文《量子密码学:公钥分发和&#25291;币》(Quantum cryptography: Public key distribution and coin tossing)。</P><p>　　BB84协议的原理，是由A向B发射一系列不同偏振态的光子，B对其进行随机测量，然后选取符合A要求的测量结果作为密码，在验证密码的过程中，如果存在窃听行为，可以从测量结果的错误率中发现。</P><p>　　文章宣称量子密码学能够发现窃听行为，是绝对安全的。其理论基础是量子力学的测不准原理。</P><p>　　因为一个未知的量子态是无法复制的，一旦敌手试图窃听量子信号，将有一半的机会改变发送方发送的量子态，所以接收方就会无法正确地恢复出发送端发送的信号。</P><p>　　发送双方事后通过一个传统信道进行公开比对，如果发现双方在采用同样的测量方案时测得的量子态是不一致的，就可以断言量子信道上有窃听者。量子密码学的目的是阻止敌手获得信号，是一种物理手段。</P><p>　　该协议一直被称为量子密钥分发，实际上就是利用量子态来协商临时密钥，得到的是普通的比特串，而不是某些人想象的量子比特串。</P><p>　　量子密钥分发这种叫法本身就是错误的，正确的叫法应该是量子密钥协商。他们没有认识到密钥分发和密钥协商之间的差别，把一个简单的密码模型误认成一个复杂的密码模型。</P><p>　　密钥分发是把预先存在的一些密钥分发出去。密钥协商则是用户之间通过信息交互商定一个共同的密钥，这个密钥事先并不存在。</P><p>　　显然密钥分发比密钥协商更困难。他们的后继者也没有认识到这个错误，还很冒失地把量子密钥协商叫做量子密钥分享。很多从事量子通讯研究的物理人士还缺乏必要的密码知识与通讯知识。</P><p>　　目前实际通信中使用的，都是混合密码体制，先用公钥密码（如RSA）来传递临时密钥，再把临时密钥作为对称密码系统（如AES）的密钥来加密文本。现有公钥密码体制基本上依赖于两个数学难题：大数分解和离散对数。</P><p>　　虽然利用利用量子计算机的Shor算法宣称在多项式时间内不仅能分解大整数，还能够求解离散对数。这也是Shor算法能够破解所有公钥密码体制的由来。但二十多年来的量子计算理论发展及实践是令人沮丧的，破解公钥密码仍然遥不可及。</P><p>　　在传统的密码学中，敌手分为两种类型：被动型的敌手和主动型的敌手。在攻击一个密码系统时，往往先窃听，获得所有的通讯信号后再加以破译，以便恢复出蕴藏在信号中的信息，这种攻击称之为被动型攻击。</P><p>　　一个恶意的敌手会通过物理技术手段篡改或破坏通讯信号，以便欺骗用户或者使得用户无法达成有效的通讯，这种攻击称之为主动型攻击。</P><p>　　量子通讯从物理上剥夺了敌手窃取信号的能力，敌手的窃听行为直接破坏了量子信号，因此量子密码学中的敌手都是主动型的敌手。</P><p>　　有些人认为在量子通讯时一旦发现了敌手就可以暂时中断通讯，等敌手消失时再恢复通讯。这种想法是错误的。密码学总是假设敌手一直存在的，如果敌手消失了，那么任何密码技术都是多余的。</P><p>　　通讯的首要目的是稳定性，即接收方能够正确地恢复出发送方发送的信号。传统密码学立足于信息安全，主要包括机密性和认证。就机密性而言，目的是阻止敌手获得蕴藏在信号中的信息，是一种智力手段。</P><p>　　一个信息安全系统虽然不能从物理上削弱敌手窃取信号的能力，但是能够从智力上保证敌手无法获得蕴藏在信号中的信息，即信息安全与通讯系统的稳定性是兼容的。</P><p>　　量子密码学立足于信号安全，从物理上剥夺了敌手窃取信号的能力。在有敌手窃听的情况下，量子通讯无法保证接收方获得正确的信号，也就是说信号安全与通讯系统的稳定性是不兼容的。</P><p>　　量子通讯的信号安全是以牺牲通讯的稳定性为代价的，有了敌手就干不成事的量子通讯系统最终也只能沦为一个摆设。</P><P align=center></P><br />