量子通信在理論上是無條件安全的嗎？

量子通信不是一種新的通信技術(shù)，目前正在研發(fā)中的量子通信也不是一種新的密碼技術(shù)，它僅是密碼技術(shù)中用于分發(fā)密鑰的一種新的方法和試探，量子通信的正確定義應(yīng)該是量子密鑰分發(fā)技術(shù)(QKD)。

BB84協(xié)議是QKD的技術(shù)實(shí)施方案，它早在1984年就提出來了。三十多年過去了，環(huán)顧全球，量子通信究竟又爭得了多少認(rèn)真而又自愿付費(fèi)的用戶呢？比起數(shù)十億的互聯(lián)網(wǎng)技術(shù)、公鑰密碼、數(shù)碼相機(jī)和無線移動(dòng)設(shè)備的用戶數(shù)，量子通信用戶的真實(shí)數(shù)字從來都不好意思曬出來的。請注意，這些幾乎都是同時(shí)代的技術(shù)，數(shù)碼相機(jī)和無線移動(dòng)技術(shù)開始得還要晚一些。這些技術(shù)從無到有迅猛發(fā)展，很快飛入了尋常百姓家，成為了今天人們不可或缺的工具，唯有量子通信名落孫山。這背后是有著深刻的原因的。

其于量子力學(xué)原理的QKD本質(zhì)上是一種硬件技術(shù)，與傳統(tǒng)密碼這種數(shù)學(xué)化的軟件技術(shù)相比，QKD工程的建設(shè)維護(hù)成本昂貴、組網(wǎng)困難、密鑰分發(fā)效率低下、可靠性差。它既不可能全面替代傳統(tǒng)密碼技術(shù)，又很難與傳統(tǒng)密碼兼容配合。量子通信一開始就站到了歷史的錯(cuò)誤一方，背離了這幾十年互聯(lián)網(wǎng)引起的通信技術(shù)發(fā)展的主潮流。

QKD的這些先天基因缺陷阻礙了該技術(shù)的發(fā)展和推廣。但是人們卻迷信“量子通信在理論上是無條件安全的?！遍L期以來，量子通信就是靠著這根救命稻草勉強(qiáng)維持到了今天。

關(guān)于“量子通信在理論上是無條件安全的”的論述大致是這樣的：1）量子通信中的甲乙雙方可以通過光子的量子狀態(tài)傳遞密鑰，量子力學(xué)的“量子不可克隆定理”保證了第三方無法截取測試這些光子的量子狀態(tài)而又不改變它們，因而“任何竊聽必然被發(fā)現(xiàn)”，這就保證了密鑰僅為甲乙雙方共享；2）甲方使用共享密鑰加密產(chǎn)生的密文只能被乙方解密，沒有任何第三者可以破解；3）由于傳遞的密文是不可破解的，甲乙雙方的通信就是無條件安全的。

其實(shí)這三段論述全是錯(cuò)的。第一段違反了物理學(xué)原理；第二段是以偏概全，缺乏對香農(nóng)的“保密系統(tǒng)的通信理論”的全面理解；第三段是對密碼學(xué)通信安全標(biāo)準(zhǔn)的誤解。本文列出三篇有代表性的相關(guān)論文作為依據(jù)，對上述三個(gè)方面的錯(cuò)誤逐一作出如下的分析和批評。

A）物理原理只能證明量子密鑰分發(fā)是不安全的

量子通信關(guān)于安全性的論述中給人一種錯(cuò)覺，似乎量子通信的甲乙雙方在分發(fā)密鑰時(shí)只發(fā)生了量子物理過程，量子物理中的不可克隆定律就可保證量子密鑰分發(fā)的絕對安全。問題出在量子通信中的雙方都是生活在宏規(guī)世界中的人，他們是不可能直接發(fā)射、控制和測試光量子的。發(fā)射、控制和測試光量子必然需要調(diào)控光源、變更濾波器件、和轉(zhuǎn)換光電信號，這一系列過程就必須依靠電磁作用力，甚至?xí)婕?a href="http://www.ttokpm.com/v/tag/1472/" target="_blank">機(jī)械力。這就必然會(huì)產(chǎn)生相應(yīng)的電磁輻射，如果有機(jī)械運(yùn)動(dòng)則還會(huì)有聲波產(chǎn)生。這些電磁輻射和聲波是不服從“量子不可克隆定理”規(guī)律的，第三方攻擊者完全可以通過探測相應(yīng)的電磁輻射和聲波來竊取密鑰信息而不被察覺的。

不可否認(rèn)這些電磁輻射和聲波都非常微弱，但是在理論上它們絕不是零存在。我們千萬不能低估現(xiàn)代探測技術(shù)的威力，要知道現(xiàn)代信號處理技術(shù)甚至可以探測到十多億光年之外的引力波，認(rèn)為幾十米外的電磁輻射無法探測是毫無科學(xué)根據(jù)的。當(dāng)然在QKD二端可以設(shè)置法拉第屏蔽網(wǎng)，但是這只能降低但不能徹底消滅電磁輻射，對聲波的絕對隔離也極為困難。QKD的通信二端又有光纖連接，另外還一定要有電氣線路連接用作信號對比和糾錯(cuò)，要完全消除這些地方的電磁洩漏是不可能的任務(wù)。

原則上，我們完全可以在量子通信的線路兩端建立針對電磁輻射和聲波的高靈敏度多頻段的接收設(shè)備，然后把所有信號先記錄下來。每年一百萬美元的小額預(yù)算將足夠讓攻擊者每秒存儲(chǔ)一千兆字節(jié)的數(shù)據(jù)。有了這些大數(shù)據(jù)，再加上AI算法，攻擊者就可以獲得甲乙雙方通過量子通信傳遞的密鑰的部分或全部信息。

如果目前的算法和計(jì)算機(jī)的能力還不足以破解量子通信傳遞的密鑰，但是我們可以把所有相關(guān)數(shù)據(jù)先存放下來，隨著技術(shù)的飛速進(jìn)步，這些量子通信傳遞的密鑰總有破解之時(shí)，至少你是無法證明永遠(yuǎn)無法破解的。嘿嘿，怎么聽上去有些似曾相識。

一點(diǎn)沒錯(cuò)，這里用的邏輯完全拷貝來自量子通信的推動(dòng)者，我可不敢掠人之美。明明目前的公鑰密碼沒有問題，量子計(jì)算機(jī)對它的安全威脅還在遙遠(yuǎn)的未來。但量子通信的推動(dòng)者辯稱：雖然對公鑰密碼目前是無法破解，但是敵人可以先把密文截取并存放下來，你沒有辦法證明以后的技術(shù)也破解不了吧？為了應(yīng)對將來潛在的風(fēng)險(xiǎn)，盡管量子通信工程技術(shù)不成熟也必須倉促上馬。

但是現(xiàn)在用同樣的邏輯推理可以證明量子通信同樣也是不安全的。對量子通信的攻擊也不需要“實(shí)時(shí)”完成；攻擊者也可以保存信息供將來解密；攻擊者而且也可利用未來更強(qiáng)大的技術(shù)。量子通信比他們想要替代的公鑰密碼具有更嚴(yán)重的安全隱患，（而且量子通信也根本無法替代公鑰密碼，這在本文的后面還會(huì)給出證明）。那么現(xiàn)在建設(shè)量子通信工程的理由究竟又在哪里呢？我這是“以其人之道，還治其人之身?！?/p>

量子通信的收發(fā)方可以通過屏蔽等方法降低電磁輻射，但是公鑰密碼也可以通過加長密碼長度讓破解變得更加困難。一般而言，電磁輻射的降低對攻擊者困難會(huì)帶來多項(xiàng)式增長，但是密碼長度的增加會(huì)給破解困難造成指數(shù)式增長，破解量子通信比破解公鑰密碼更簡單容易。能夠攻擊公鑰密碼的量子計(jì)算機(jī)還在遙遠(yuǎn)的未來，但是攻擊量子通信只需功能強(qiáng)大的電子計(jì)算機(jī)，攻擊現(xiàn)在就可開始。須知破解密碼有非常強(qiáng)的時(shí)間性，密碼被今年破解與十年后破解的意義差之十萬八千里。即然破解量子通信更為容易更可提前，那么急于要用量子通信去替代公鑰密碼的用意究竟又在何處？

千萬別以為前面的分析僅是紙上談兵。相反，自從BB84協(xié)議問世以來，通過類似手法成功破解量子密鑰分發(fā)的例子已經(jīng)發(fā)生多起，專家把此類方法定義為“旁道攻擊”。

量子通信專家Gilles Brassard對量子通信的安全性的評價(jià)十分幽默：

“unconditionally secure against any eavesdropper who happened to be deaf!”

譯文：量子通信可以“無條件地抵御任何失聰?shù)母`聽者！”他的真正意思就是批評量子通信能夠防御的只是那些偵探行為受到限制的攻擊者。他的批評其實(shí)與前面的分析殊途同歸、不謀而合，都是從全息原則(holographic principle)出發(fā)否定了量子通信在理論上的無條件安全性。

其實(shí)除了全息原則外，在物理原理層面上，量子通信的理論安全性還受到諸多其他的批評和質(zhì)疑。比較特出的有：量子近似克隆攻擊；利用將來的量子計(jì)算機(jī)對BB84傳送的量子位作糾纏、存貯和事后測試；量子引力場的潛在風(fēng)險(xiǎn)等等。對這些問題感興趣的請先閱讀本文參考文獻(xiàn)[1]，然后順藤摸瓜可以找到許多更有價(jià)值的資料。

所有這些論文都告訴我們，從物理原理層面唯一能確定的是：量子通信在理論上的無條件安全性是無法證明的。

B）香農(nóng)的“保密系統(tǒng)的通信理論”不支持量子通信的無條件安全性

上面我們已經(jīng)明確指出：量子通信在理論上的無條件安全性是無法證明的?，F(xiàn)在我們退一步，讓我們立法不準(zhǔn)使用物理全息原理收集和存貯廣譜的電磁輻射，用法律和警察來保護(hù)密鑰分發(fā)的絕對保密性，假設(shè)甲乙雙方通過量子通信獲得了絕對安全的密鑰，那么甲乙雙方的通信就能無條件保密了嗎？遺憾的是，這個(gè)結(jié)論依舊是完全錯(cuò)誤的。錯(cuò)誤的根源是對香農(nóng)的“保密系統(tǒng)的通信理論”的誤解。

首先需要說明，目前的所謂量子通信指的就是量子密鑰分發(fā)(QKD)。甲乙雙方通過QKD傳遞的不可能是任何有意義的秘密，發(fā)送方通過QKD甚至無法送出“Hello”這樣一串簡單的字符。QKD只是讓甲乙雙方協(xié)商出一串毫無含義的0和1的二進(jìn)制數(shù)字。甲乙雙方共享了這串?dāng)?shù)字后用它作為密鑰，甲方用此密鑰對需要傳遞的信息加密后把密文通過任何不安全信道發(fā)送給乙方，乙方用共享的密鑰對密文解密，得到明文。

如果量子通信真的可以保證甲乙雙方的密鑰不被任何第三者破獲，那么他們之間的通信就真能做到無條件保密嗎？又錯(cuò)了!

讓我們先看看如何才能保證甲乙雙方通信內(nèi)容絕對不會(huì)被第三者破解，對此香農(nóng)列出了三個(gè)條件：

1）密鑰的長度跟明文一樣；

2）密鑰是一串真隨機(jī)字符串；

3）每傳送一次密文后都更換密鑰，即“一次一密”。

滿足這三個(gè)條件的密鑰又叫做“一次性便箋”(one-time pad)。信息論鼻祖香農(nóng)(Claude E. Shannon)從數(shù)學(xué)上證明了：密鑰如果滿足這三個(gè)條件，就能確保通信的絕對秘密(unbreakable)。意思是攻擊方無論有多強(qiáng)的計(jì)算能力，都不可能從密文中得到任何信息，密碼學(xué)者又把此定義為信息理論級安全(information theoretic security)，用來替代“無條件”、“絕對”這類非專業(yè)詞匯。

用上述三個(gè)條件來審視量子通信。第一個(gè)條件在實(shí)際應(yīng)用中很難滿足，這里先按下不表，對此會(huì)另有專文作詳細(xì)分析。我們現(xiàn)在先把目光聚焦在第二個(gè)條件上，這是本文的第二個(gè)重要話題。

密鑰是一個(gè)真隨機(jī)數(shù)是保證通信絕對秘密的關(guān)鍵。一個(gè)二進(jìn)制的真隨機(jī)數(shù)就是其中每位出現(xiàn)“1”和“0”的幾率完全相等各為50%，而且所有位于位之間的取值必須完全獨(dú)立。真隨機(jī)數(shù)的定義看似簡單明了，但要實(shí)現(xiàn)卻非常困難。產(chǎn)生真隨機(jī)數(shù)的密鑰不僅長年來困擾著傳統(tǒng)密碼界，事實(shí)上也一直是QKD發(fā)展的重要障礙。

這里必需強(qiáng)調(diào)指出，量子物理中利用量子態(tài)隨機(jī)坍縮產(chǎn)生真隨機(jī)數(shù)與QKD通過BB84協(xié)議產(chǎn)生隨機(jī)密鑰是二個(gè)完全不同的概念。在BB84的過程中，代表密鑰的量子狀態(tài)在產(chǎn)生后要經(jīng)歷：傳輸、干涉、測試、比對、糾錯(cuò)等一系列復(fù)雜的過程。其中的干涉不僅有被動(dòng)的噪聲干擾，更有攻擊者的主動(dòng)干涉。攻擊者甚至可以截取光量子后把某些特定狀態(tài)的光量子丟棄，破壞密鑰的隨機(jī)性。攻擊者也可通過在量子信道的干涉同時(shí)，觀察通信雙方在公開信道上交換對比信息來獲取密鑰的隨機(jī)性規(guī)律?？傊琎KD交換分發(fā)的密鑰不可能是真隨機(jī)數(shù)。這再一次告訴我們，所謂“量子通信在理論上是無條件安全的”是沒有科學(xué)依據(jù)的。

密碼學(xué)界都知道，密鑰稍微偏離真隨機(jī)數(shù)會(huì)導(dǎo)致密碼保密性的大幅下降。特別對于已知明文攻擊，攻擊者根據(jù)密文與部分明文的映射中得出密鑰的部分信息，由于密鑰非真隨機(jī)數(shù)，攻擊者可以利用密鑰位于位之間的關(guān)聯(lián)性，大大提高密鑰被破解的可能性。

密鑰的隨機(jī)性就是密碼的生命線，所以密鑰隨機(jī)性的機(jī)制和定量分析就成了研究量子通信理論安全性的關(guān)鍵。在網(wǎng)上你只要查詢這些討論QKD安全性的論文，繞不開的就是密鑰隨機(jī)性的定量分析。從這些論文可以看出專家們對QKD的安全的定量分析模型和算法至今仍未達(dá)成共識。這也從另一個(gè)角度告訴我們，關(guān)于QKD安全的理論基礎(chǔ)遠(yuǎn)未夯實(shí)。

盡管在QKD的理論安全性的分析評估方法上存在各種分歧和爭論，但是專家們的認(rèn)識有一點(diǎn)是共同的：QKD離開“信息理論級安全”差距甚遠(yuǎn)。

Horace P. Yuen（美國西北大學(xué)電子和物理系教授，1996年獲得國際量子通信獎(jiǎng)，2008年他又獲得了IEEE光子學(xué)會(huì)的量子電子獎(jiǎng)。）是量子通信安全領(lǐng)域國際上公認(rèn)的學(xué)術(shù)權(quán)威，他對QKD安全性發(fā)表了一系列重量級論文，受到了國際上不少同行的支持。

Yuen教授2016年發(fā)表在IEEE上的論文：量子通信安全性(Security of Quantum Key Distribution)[2]。下面就是該論文的第一張圖表。

該圖表顯示了當(dāng)密鑰的總位數(shù)為10^5(100000位)時(shí)，各種不同質(zhì)量的密鑰（橫排）對應(yīng)于純密文攻擊和已知密文攻擊（豎列）的成功概率。圖表含有許多信息，但有一點(diǎn)非常明顯：理論上，一個(gè)100000位的真隨機(jī)數(shù)密鑰被破解的成功幾率約為1/2^100000，而QKD產(chǎn)生的密鑰的被成功破解的幾率升高為1/2^30。如果折算成十進(jìn)制破解幾率大致分別為1/10^30000 和 1/10^10 ，（ 1/10^30000 << 1/10^10）

由此可見，QKD與信息理論級安全（即俗稱的無條件安全）差了三個(gè)數(shù)量級都不止。請注意，這里的數(shù)據(jù)是理論分析的上限，QKD的各種實(shí)驗(yàn)和工程項(xiàng)目的安全性比理論數(shù)據(jù)還要再差近一個(gè)數(shù)量級。

至此可以肯定：“量子通信在理論上是無條件安全的”這個(gè)結(jié)論是錯(cuò)誤的。因?yàn)椋?/p>

1）物理原理不能保證通信雙方通過QKD交換分發(fā)的密鑰具有絕對的私密性；

2）QKD也不能保證分發(fā)的密鑰是真隨機(jī)數(shù)；

使用QKD分發(fā)的密鑰加密得到的密文就存在被第三方破解的風(fēng)險(xiǎn)。

更可怕的是攻擊者可以同時(shí)利用上述二個(gè)漏洞，一方面利用物理全息原理收集、貯存和分析大數(shù)據(jù)，得到QKD分發(fā)密鑰的部分信息，然后在此基礎(chǔ)上從密鑰隨機(jī)性的不完善中得到密鑰的更多信息，再依靠已知明文的片斷，極大地提升破解密文的概率。對量子通信安全性的擔(dān)心才是英國情報(bào)部和美國空軍拒絕使用量子通信的最重要的原因[3]。

本文引舉的論文作者Horace P. Yuen教授是量子通信安全領(lǐng)域公認(rèn)的權(quán)威，他又是美國西北大學(xué)物理系教授，所以他的批評更受人注目，他的眾多支持者中包括了好幾位日本量子通信領(lǐng)域的專家教授，請閱讀相關(guān)論文[4]。

C）量子通信遠(yuǎn)未達(dá)到密碼學(xué)意義上的通信安全標(biāo)準(zhǔn)

現(xiàn)在讓我們退步再退步，讓我們立法不準(zhǔn)使用物理全息原理收集和存貯廣譜的電磁輻射，以保證密鑰分發(fā)的絕對保密性。再退一步，假設(shè)研究人員徹底放棄BB84協(xié)議發(fā)明了一種全新的QKD的方案，該方案保證分發(fā)的密鑰是真隨機(jī)數(shù)（而且相關(guān)人員因此獲得了諾貝爾物理學(xué)獎(jiǎng)）。那么這種新的QKD技術(shù)就真能保證通信的無條件安全了嗎？非常不幸，答案還是否定的。

這里存在一個(gè)嚴(yán)重的常識和邏輯錯(cuò)誤。許多人把通信保密性錯(cuò)認(rèn)為就是通信的安全性。當(dāng)然通信安全一定要求通信內(nèi)容的保密性，但是只有通信的保密性卻不等于通信就是安全的。通信的安全性有著比保密性更高更強(qiáng)的要求，它不僅要求通信雙方傳送的內(nèi)容不能被任何第三者知道，還要確認(rèn)收發(fā)方各自的真實(shí)身份，還必須確認(rèn)通信內(nèi)容的完整性和不可篡改性，另外還要保證通信的穩(wěn)定性和可靠性。所以通信的安全性至少應(yīng)該包括通信的保密性、真實(shí)性、完整性、和可用性。

沒有通信的真實(shí)性和完整性，通信雙方無法確認(rèn)對方的真實(shí)身份，就會(huì)出大亂子。在量子通信開始時(shí)如果甲乙雙方的真實(shí)身份無法確認(rèn)，攻擊者在通信線路中間對甲方冒充乙方，同時(shí)對乙方冒充甲方。甲方與攻擊者之間、攻擊者與乙方之間照樣可以順利分發(fā)得到二個(gè)密鑰，然后甲方把通信內(nèi)容加密后傳送給了攻擊者，攻擊者用第一個(gè)密鑰解密獲得了全部通信內(nèi)容，然后再把通信內(nèi)容用第二個(gè)密鑰加密后傳送給乙方，乙方用密鑰解密得到通信內(nèi)容。甲乙雙方還以為依靠量子通信完成了無條件安全的通信，誰知攻擊者在暗處偷笑：量子通信傳遞的秘密“盡入吾彀中矣?！?/p>

量子通信自始至終把重點(diǎn)放在了通信的保密性上，誤以為絕對保密性就等于通信的無條件安全性，把自己帶入了深坑中。事實(shí)上，通信安全遠(yuǎn)非只是通信的保密性，在一些應(yīng)用場合通信的保密性甚至不是最重要的。舉個(gè)例子，客戶通過支付寶或微信購買大餅油條，在這個(gè)通信過程中，客戶買的大餅油條究竟付了幾元幾角，對于這一類數(shù)據(jù)用量子通信作嚴(yán)格保密意義很大嗎？但是客戶必須確保錢是付給了確定的商家，沒有被隔壁老王家收去了，這恰恰才是最為重要的?？蛻舢?dāng)然更不希望由于量子密鑰分發(fā)的低效率而在上班的早高峰時(shí)段因?yàn)橘I大餅油條而耽誤幾個(gè)小時(shí)[5]。

由此可知，互聯(lián)網(wǎng)不僅極大的改變了人們相互通信的方式，同時(shí)也對通信安全提出了全新的標(biāo)準(zhǔn)和要求。量子通信的BB84協(xié)議初創(chuàng)于互聯(lián)網(wǎng)的嬰兒期，對互聯(lián)網(wǎng)發(fā)展前程缺乏預(yù)見。量子通信用物理原理依靠硬件去追求通信的絕對保密性，從一開始就站到了歷史的錯(cuò)誤一方，完全脫離了這幾十年互聯(lián)網(wǎng)引起的通信技術(shù)發(fā)展的主潮流。

通信的保密性、真實(shí)性、完整性、和可用性共同保證了通信的安全，它們是不可分割的集體缺一不可。量子通信不僅在理論上無法保證通信的絕對保密性，它對保證通信的真實(shí)性、完整性、和可用性等方面更是捉襟見肘、難有作為?！傲孔油ㄐ旁诶碚撋鲜菬o條件安全的”這句話聽上去更像是一種諷刺。

最后總結(jié)一下。

1）從物理原理來看，量子通信無法保證密鑰分發(fā)的無條件安全；2）信息理論指出，由于量子通信分發(fā)的密鑰不是真隨機(jī)數(shù)，用這樣的密鑰加密就不可能達(dá)到信息理論級安全；3）密碼學(xué)定義的通信安全包括了通信的保密性、真實(shí)性、完整性、和可用性，它們是通信安全不可分割的組成部分。再高的保密性也不能保證通信的無條件安全性。

簡而言之，量子通信既沒有能力保證密鑰的安全性，又無法保證密鑰是真隨機(jī)數(shù)，所以量子通信在理論上不是無條件安全的。理論上量子通信的保密性的上限僅與傳統(tǒng)對稱密碼持平，而在通信的真實(shí)性、完整性、和可用性三個(gè)方面的紀(jì)錄都是不及格。量子通信相比傳統(tǒng)密碼的優(yōu)勢就只剩下戴在頭上的“量子”這個(gè)光環(huán)了。

量子通信頭上的這個(gè)“量子光環(huán)”必須拿出來天天講、年年夸，原因很簡單，一項(xiàng)技術(shù)沒有了真功夫還能怎么樣？這與沒自信的人最喜愛名牌服飾的道理是一樣的。相反，真正有底氣的技術(shù)都不希罕外包裝的，其實(shí)半導(dǎo)體和激光這兩種技術(shù)均與量子物理關(guān)系非常緊密，為什么沒人反復(fù)宣傳“量子半導(dǎo)體”和“量子激光”？一句話：“別整那沒用的?！?/p>