炒作量子通信工程，連潘建偉都擔心

　　9月29日，世界首條量子保密通信干線(xiàn)——“京滬干線(xiàn)”正式開(kāi)通。中國科技人員在量子保密通信相關(guān)技術(shù)上取得了重大進(jìn)展，中國在高速高效率單光子探測、可信任光子中繼站和星地量子密鑰分發(fā)等技術(shù)領(lǐng)域領(lǐng)先世界，可喜可賀!對此我們不需要更多的溢美之詞，此時(shí)此刻，客觀(guān)的介紹和有益的建議比什么都重要。

　　為什么要開(kāi)發(fā)量子保密通信技術(shù)？因為從理論上講，如果未來(lái)量子計算機建成，如果建成的量子計算機有足夠的Qbit和足夠的穩定性，那么今天密碼系統中的公鑰密碼RSA有可能被破解。開(kāi)發(fā)量子密碼通信是為了應對未來(lái)的危機，但危機可能發(fā)生的確切時(shí)間和危害程度至今都是未知數。

　　由此可知，量子保密技術(shù)只可能是前瞻性的科學(xué)研究，當然可以有試點(diǎn)工程，但不一定要做成大規模鋪開(kāi)的工程項目。操之過(guò)急會(huì )導致資源的浪費，媒體的過(guò)份渲染和資本市場(chǎng)的炒作還會(huì )把問(wèn)題進(jìn)一步復雜化，發(fā)生“九州量子”這類(lèi)事件一點(diǎn)也不令人意外。

　　“京滬干線(xiàn)”項目首席科學(xué)家、中科院院士潘建偉最近的談話(huà)中提到：“....，但是大家不能把它炒作得太熱之后，一個(gè)東西反而味道就變掉了。要嚴謹地去做事情。”從字里行間不難看出，他也擔心京滬量子保密通信干線(xiàn)如果在過(guò)度炒作的輿論環(huán)境下，可能不利于解決實(shí)際的科學(xué)問(wèn)題。他又說(shuō)：“量子通信廣泛應用取決于成本和需求兩大因素。”這句話(huà)說(shuō)到點(diǎn)子上了，評論工程項目需求和成本始終是兩個(gè)繞不開(kāi)的坎。

　　讓我們先對需求作些分析。數月前出現這樣一篇論文：“后量子時(shí)代的RSA”，該文發(fā)表后被多家相關(guān)雜志轉載和引用，這些文章給出的共同結論是：目前使用的非對稱(chēng)性密碼RSA不會(huì )因為量子計算機的出現而消亡。

　　該篇論文的核心觀(guān)點(diǎn)是：假設量子計算機已經(jīng)建成，再假設量子計算機的量子位(Qbit)可以無(wú)限擴展，進(jìn)一步假設該量子計算機的運行成本與現在通用電子計算機的成本可以相比，用這樣一臺超級想象出來(lái)的量子計算機來(lái)破解長(cháng)度為T(mén)erabyte(太字節，等于1024GB)的RSA非對稱(chēng)密鑰需要量子計算機的Qbit為2^100(2的100次方)。

　　2^100是一個(gè)什么概念？這個(gè)數大于我們星球上所有生物細胞的總數!而今天為了建成兩位數Qbit的量子計算機，專(zhuān)家們已經(jīng)弄得焦頭爛額，多年來(lái)一籌莫展。當然使用長(cháng)度為T(mén)erabyte的RSA公鑰確實(shí)也有點(diǎn)離譜，但論文作者在今日的電子計算機上產(chǎn)生了這樣的公鑰，并用它來(lái)加密和解密，費時(shí)一共為五天。按目前的技術(shù)水平，長(cháng)度為T(mén)erabyte的RSA公鑰雖然并不實(shí)用，至少還是可以實(shí)現的，但是還在紙上的量子計算機即使明天就建成，要破解這樣的RSA公鑰也無(wú)一線(xiàn)希望。

　　這篇論文并不是要為對抗量子計算機提供確切的方案，而是通過(guò)實(shí)驗和數據分析指出了一個(gè)冷酷的事實(shí)：即使圍繞量子計算機的技術(shù)難題和運營(yíng)成本全都解決，只要現行的RSA公鑰增加字長(cháng)和改善算法，就能迫使量子計算機的惡意攻擊因為難以承受的代價(jià)而失敗告終，在后量子時(shí)代作為經(jīng)典密碼系統重要基石的RSA具有足夠長(cháng)的生命力。急于丟棄RSA等公鑰密碼系統而另辟蹊徑可能真的是杞人憂(yōu)天。

　　讓我們進(jìn)一步再作些成本分析。經(jīng)典保密技術(shù)與量子保密技術(shù)的主要區別是：經(jīng)典保密系統中通信的內容與密碼的配送使用的是同一個(gè)通信網(wǎng)絡(luò )，而量子保密系統必須要求兩個(gè)通信網(wǎng)絡(luò )，一個(gè)傳送通信內容，另一個(gè)配送量子密碼。因此量子保密技術(shù)必定會(huì )大幅增加通信的成本。

　　由電路交換和分組交換技術(shù)構建起的經(jīng)典通信網(wǎng)絡(luò )從本質(zhì)上來(lái)說(shuō)與量子保密通信網(wǎng)絡(luò )是格格不入、難以融合的。很難設想在原有的通信網(wǎng)絡(luò )線(xiàn)路上實(shí)現量子密鑰分發(fā)。換言之，為了通信未來(lái)的安全，我們必須在原有的通信網(wǎng)絡(luò )之外加建一套傳遞密鑰的專(zhuān)用網(wǎng)絡(luò )。而且這條網(wǎng)絡(luò )要求通信雙方從端到端全程使用光纖聯(lián)接，當通信雙方超過(guò)上百公里，還必須使用可信任中繼站或衛星中繼。暫不考慮工程的難度，對于普通用戶(hù)特別是手機用戶(hù)而言，僅成本一項無(wú)疑也是難以承受的負擔。

　　到目前為止，在所有的經(jīng)典加密技術(shù)中，通信的內容與加密的信息都在同一網(wǎng)絡(luò )上傳輸，信息傳輸和保證信息傳輸的安全措施是一個(gè)統一完整的過(guò)程，密碼系統在整個(gè)通信過(guò)程中所占的額外成本是有限的。因此從工程角度來(lái)看，對付量子計算機未來(lái)可能的攻擊，采用改進(jìn)的經(jīng)典數學(xué)方法而不是全新的量子密碼技術(shù)，已經(jīng)成為密碼界近期的共識。因為這些改進(jìn)后的新的密碼算法完全可以在目前所有的計算機和通信網(wǎng)絡(luò )上運行，現行一切通信方式釆用這些新算法進(jìn)行升級換代過(guò)程可以變得平穩、經(jīng)濟和切實(shí)有效。

　　作者：徐令予