一

前 言

曾几何时，一篇“量子加密也不安全了，中国科学家发现重大隐患”、“现有量子加密技术可能隐藏着极为重大的缺陷”的文章在网上迅速传播开来，一石激起千重浪，一直以来我们认为量子加密技术是绝对安全的加密技术，该文的报道彻底颠覆了大众的认知，到底量子保密还安全吗？

二 

事件回顾

1、报道情况

2019年3月12日，一篇在预印本arXiv上发表的文章显示，上海交通大学研究团队近来在经过不断地实验与尝试之后，发现了现有量子加密技术可能隐藏着极为重大的缺陷，这个研究将可能导致量子加密从原本印象中的坚不可破转而变成脆弱不堪。因为，以上海交通大学团队所发表的研究来看，上海交通大学的研究人员们成功发现目前被广泛应用在量子通信中的QKD（Quantum Key Distribution，量子密钥分发）方法并不完美，研究团队通过将具有不同种子频率的光子注入激光腔 ( lasing cavity) 来改变激光频率的方法，进而观察注入光子的半导体激光器的动态，最终居然获得高达 60％的信息盗取成功率。

根据《麻省理工科技评论》的报道，研究团队之所以会进行攻破量子通信加密技术的研究，正是因为希望提醒在量子通信持续快速发展的现在，许多公司甚至已经开始尝试提供商业化服务，但必须注意的是，这其中仍存有许多的物理漏洞缺陷，进而成为黑客攻击的可趁之机，毕竟，在网络安全重要性已然从个人隐私、企业机密、上升到国家安全之际，量子加密技术曾经被高度期望能够解决一切问题，但在此新兴前沿技术真正开始为解决世界安全问题之前，势必需要经历过最严苛最激烈的攻击，这不只是安全性的验证测试。在此过程中，科学研究的创新也在一步步地向前推进，猫捉老鼠游戏的持续升级破关，在某种程度上正是这个领域的研究中最为迷人的地方所在吧。

研究人员也指出，他们想为业界带来一个重要的信息，那就是量子加密还不如理想中的可靠，它是有缺陷、能被攻破的技术，而攻破这个最强的加密之盾的工具，却不是什么神兵利器，而是盾本身就存在物理缺陷。

事情果真如此吗？值得我们一探究竟。

2、业界反应

针对这一爆炸性新闻的报道，业界各方面迅速发表了各自观点，量子加密的安全性迅速成为各方论战的焦点，归结起来分为支持量子加密的正方和质疑量子加密安全的反对方。正方为我国量子通信的首席科学家潘建伟院士团队，反方代表较为分散，如率先报道消息的深科技等媒体、我国知名密码学家杨义先等等，双方的主要观点大致总结如下：

（1）正方

来源于美国《麻省理工科技评论》的一篇题为“有一种打破量子加密的新方法”的报道（该报道援引了上海交通大学金贤敏研究组的一篇尚未正式发表的工作）后，国内很多关心量子保密通信发展的人都纷纷发此文并询问潘院士团队看法，潘院士团队认为：

1）不想回应，因为学术界有一个通行的原则：只对经过同行评审并公开发表的学术论文进行评价。这篇文章只是发表在预印本上，什么叫预印本？预印本就是没有经过同行评审的文章稿件。学术期刊上的论文，都是要经过同行评审后才能发表的，这是期刊公信力的根本。越著名的期刊，评审的标准越高，过审越不容易，所以大家听到一篇文章发在像《自然》（Nature）、《科学》（Science）这样的顶级期刊上，才会觉得真正高大上。鉴于这篇文章流传较广，引起了公众的关注，为了澄清其中的科学问题，特别是为了让公众能进一步了解量子通信，因此撰文介绍目前量子信息领域关于量子保密通信现实安全性的学界结论和共识。

2）现有实际量子密码（量子密钥分发）系统主要采用由 Bennett 和 Brassard 于1984年提出的BB84 协议，与经典密码体制不同，量子密钥分发的安全性基于量子力学的基本原理。即便窃听者控制了通道线路，量子密钥分发技术也能让空间分离的用户共享安全的密钥。学界将这种安全性称之为“无条件安全”或者“绝对安全”，它指的是有严格数学证明的安全性。20世纪90年代后期至2000年，安全性证明获得突破，BB84协议的严格安全性证明被Mayers, Lo, Shor-Preskill 等人完成。

3）量子密钥分发逐步走向实用化研究后，出现了一些威胁安全的攻击，这并不表示上述安全性证明有问题，而是因为实际量子密钥分发系统中的器件并不完全符合理想BB84 协议的数学模型。由此诞生了针对发射端--光源的攻击和针对接收端--探测器的攻击，它们都是针对器件不完美的攻击，本次“量子加密惊现破绽”一文援引的实验工作就属于对光源的木马攻击。该攻击的新颖之处在于，找到了此前其他攻击没有提到的控制光源频率的一种新方案，尽管该工作可以为量子保密通信的现实安全性研究提供一种新的思路，但不会对现有的量子保密通信系统构成任何威胁。

4）虽然现实中量子通信器件并不能严格地满足理想条件的要求，但是在理论和实验科学家的共同努力之下，量子保密通信的现实安全性正在逼近理想系统。目前学术界普遍认为测量器件无关的量子密钥分发技术，加上自主设计和充分标定的光源可以抵御所有的现实攻击。

5）鉴于量子保密通信信息论可证的安全性已经成为国际量子信息领域的学界共识，此后，除非出现颠覆性的科学理论，将不再对此类问题专门回复和评论。

（2）反方

北京邮电大学信息安全中心主任杨义先教授早在本次报道之前就撰文《量子的安全笑话》，以一个密码学家的观点来阐述了对量子加密的安全性的质疑。他的主要观点如下：

1）量子通信系统绝对（无条件）安全吗？从哲学角度看，显然是不可能的，不要说量子通信不可能绝对安全；就算百年后、千年后出现的更加先进的“牛X通信”，也不可能绝对安全！因为任何时候“安全”都只是相对的，“不安全”才是绝对的！更可能的情况是：网络世界会越来越不安全，量子通信普及后，安全问题将更多。因为，几千年来的历史经验已经反复证明，任何先进的技术都会带来新的安全威胁。

2）从系统学角度看，一个“测不准原理”就包打天下、就天衣无缝、就不与其它设备或系统衔接、就不供人使用了？别以为攻击者都是吃素的！更别以为黑客非要“测得准”才能攻得下，他们绝不会笨到按你的意愿出牌。光纤专家们刚经历的难堪，也许可用来教训一下骄傲的量子专家：仅在几年前，光纤专家还叫板说“光纤通信就是安全，因为光纤很难插接……”；结果话音未落，自己就被打脸了！所以量子专家们别想太多，先安安心心地把量子通信系统做出来再说。至于它们到底是不是“绝对安全”，甚至到底是不是安全，这个问题物理学家们说了不算，还是交给安全专家，以事实来回答吧。历史上从来就没有过“黑客攻不破的系统”，但愿量子专家能够改变历史。

3）从逻辑上看，“量子通信绝对安全”这个结论也下得很唐突。在咬定“量子通信”如何如何安全之前，至少要先把“量子通信”做出来，因此，该结论的大前提显然不成立。就算“量子通信”已经小规模实用了，那么它到底是不是绝对安全，也应该拿事实说话，因为安全只相信实证，不相信猜测，更不相信眼泪；况且历史上根本就没有“绝对安全”的东西出现过。所以，此结论的小前提也不成立。一个结论，既无大前提，又缺小前提，谁信呢？！没人相信的结论，何必浪费时间和精力去传播它呢！

4）从理论上说，信息论之父香农博士于1948年在其著名论文《保密系统的通信理论》中，确实证明过：如果密钥流序列是绝对随机的，那么，“1次1密”的密码系统是理论上不可破。这也是人类至今知道的唯一“绝对安全”的密码系统。但是，香农“绝对安全”的前提是“密钥流绝对随机”而且“密钥流的长度与待加密信息的长度相等”。换句话说，包括香农本人在内，全球安全界的所有专家都清楚：香农的所谓“绝对安全”在实际中是绝对不可用的！所以，过去近70年来，人们只好用“算法产生的伪随机序列”去代替“绝对随机的密钥流序列”，其代价就是“不再绝对安全”。当然，必须承认，用量子来产生“绝对随机的密钥流序列”是一个很好的手段，而且已经成功，商用产品也已面市。但这只能算是技术上的成就，并非理论上的突破，更不能将其提升为实现了“绝对安全”的密码系统，因为，密码学家们，一直就在用电噪音等手段来产生“绝对随机的密钥流序列”，而且几乎每台密码机上，都已标配有这样的成熟设备。

5）从技术上说，量子通信系统由两个信道组成：传递纠缠状态的量子信道和传递测量结果的经典信道。单独控制这两个信道中的任何一个，确实都不可能获得被传消息的任何内容，并且那个量子信道还是“摸不得的老虎屁股”。但从古至今，包括恐怖分子、地下党、间谍等在内的许多人，其实经常都在采用这种“分离法”来信息传递，但从未没听他们夸下过什么“绝对安全”的海口，而事实上他们也频繁失手！量子通信的两信道分离，也仅仅是技术手段的突破，而非理论上的颠覆。虽然确实是重大技术进步，但远未达到“绝对安全”的程度。当然，如果量子专家非要限定破译者，按其指定的方法去破译量子保密系统，那么，任何系统都可宣称自己“绝对安全”。

总之，量子保密通信系统虽然还没有最终完成，但是，敢肯定它一定会像过去几千年来古典密码促进机械密码、机械密码促进电子密码那样，经历一个渐变过程，而不是突然横空出世，为我独尊。

此外，世界上还有诸多专家学者指出“量子加密未必是信息安全的万灵丹”，比如英国萨里大学计算系客座教授艾伦·伍德沃德指出：在嘈杂混乱的宇宙中那居高不下的错误率--不可靠性，还有产生QKD所需单个光量子的技术困难。另外，基于光纤的QKD只能传输非常有限的距离，于是还需要中继器--“弱点”来延长传输距离….。苏格兰爱丁堡龙比亚大学计算机学院教授比尔·布坎南指出：量子通信端到端都需要宽带光纤，而我们距离端到端全光纤系统还有很长一段路要走，因为通信信道的最后一公里往往还是铜缆。同时，我们是混合通信系统互连的，因而我们无法在端到端连接中保护物理通信信道安全。英国国家安全中心最近一份报告甚至把QKD批得体无完肤，它指出量子密钥分发技术有着严重的实际局限，解决不了大部分安全问题，对潜在攻击知之甚少…。

国内外社交媒体针对量子加密的质疑主要有：

1、十多年来，针对量子密钥分发物理漏洞的攻击方案陆续被提出，量子通信被破解属于正常的研究，毫不意外。真正的问题是，此前量子通信在宣传上被故意误导和一再夸大了。

2、量子通信其实既“很不量子”，也“很不通信”。量子通信只是以硬件方式为“熟人”之间提供一个共享的密钥，除此之外它啥也干不了。

· 无法替代公钥密码为互联网亿万“非熟人”之间分发密钥

· 没有公钥、私钥的协同配合难以实施互联网上的身份认证、数字签名等等服务

·  随着用户数增长，难以管理收发方之间建立和保存的海量初始密钥

· 组网时必须依赖专用网络设备，而这些设备的可信度又回到了传统的安全问题

· 单光子在光纤中最大传播距离有极限，依赖“可信中继站”是难以克服的安全隐患

因此，量子通信在现实中缺乏适用性，也永远无法做到理论上的“无条件安全”，反复拿理论上的“无条件安全”来说事，本身就是一种误导。

三

启示与建议

既然量子加密的安全论战已经如火如荼，作为从事信息安全的行业一员，不可能置身事外，更不能人云亦云，反而此时更应该保持清醒的头脑，用科学的思维方式，发现其中的问题并努力寻求新的发展机会。

1、关于“绝对安全”的认识

一直以来，关于量子加密通信的安全性在密码学家和物理学家就存在争议，互相不认同，尤其在所谓“绝对安全”的构成因素方面。

密码学家们认为：量子加密技术太过前沿，还没有经过充分的严格测试与实地验证，要说“绝对安全”，现有对称密码早就在理论上是无条件安全的了。

因为早在1949年香农就在他发表的“保密系统的通信理论”一文中证明了异或方式的对称加密算法在满足：密钥长度不小于明文、密钥生成充分随机、一次一密这三个条件下，攻击方完全无法破解密文—“绝对安全”。

对称密码主要用在“熟人”之间，为各类企业、政府机构和军队内部提供通信的安全保障，量子通信其实就是利用对称密码来加密解密，那么量子通信自己到底做了什么呢？只是用硬件方式分发了共享密钥，仅此而已。

而物理学家们认为：量子密码是利用量子力学中的量子叠加原理和量子测量可能导致状态突变的原理。量子密码不像传统经典密码学完全依赖数学计算，传统密码的破解指的是用数学方法破解，量子密码是不可能用数学方法破解的，因此它的数学抗性是100%！

量子密钥分发（QKD）技术可以建立一个理论上不可破解的关键交换系统，该技术中的密钥的每一位都是依靠单个光子传送的，而单个光子的量子行为使得窃密者企图截获并复制光子的状态而不被察觉成为不可能。

量子密码可以让你的被加密信息除了指定接受者外无人可读，量子密码被定义成“利用量子力学属性执行加密任务的科学”，“量子加密采用光量子并依靠量子物理定律，而不依赖‘超大数’，这是一种非常先进的技术，可以保证私密性，甚至拥有无限计算能力的窃听者都无法窥探”。

量子密码面临的威胁只来自物理，传统密码面临的威胁来自数学加物理，因此量子密码比传统密码更安全。

2、关于本次爆炸性报道的价值评判

本次报道将量子密码安全问题从行业内的纷争引入了普通大众视野，并成为关注的焦点，这对推动传统的信息安全和新兴的量子加密无疑都起到了积极的作用，因为事实是越辩越明、道理越讲越清，这种开放的公开讨论本身就是推动科学技术的进步的重要手段。

量子密码就是用量子力学的物理方法在通信双方产生了一次性密钥。最为重要的一点是--双方同时获得了密钥，没有第三者信使在中间传输！这确实是非常巧妙的思想，量子力学创造的奇迹。量子密码的技术含量就在这里。量子密钥的产生过程，同时就是分发过程。量子密码真实的做法是：用量子信道产生密钥并分发密钥，用传统信道传送密文。

这次报道出的是一种对量子密码设备新的物理攻击手段，叫做“注入锁定”（injection locking）。原始论文简单说来就是：搭了一个原型的量子密码光路，然后用注入锁定偷到了信息。什么是“注入锁定”呢？就是两个振子如果耦合在一起，而且最初频率相差不远，那么它们的频率就会逐渐变得相同。这个现象最初是荷兰物理学家、摆钟的发明者、光学的创始人之惠更斯（Christiaan Huygens，1629 - 1695）发现的，他注意到挂在同一块板上的两个摆会逐渐变得同步。

金贤敏研究组提出，用一束激光注入到量子密钥分发的光源中，试探它在什么时候发生了注入锁定，就可以知道光源在发送什么状态的光子，最终就可以窃密。在搭建的原型量子密钥分发体系模型中，用注入锁定的方法以60.0%的成功率偷到了密钥。

这说明，尽管量子密码的数学抗性是100%，但物理抗性还没有达到100%。金贤敏等人的研究成果是把量子密码的物理抗性进一步提升，但它并不是颠覆了整个量子密码的理论基础。

目前量子密码的前沿研究包括：如何在敌人成功地进行了若干种物理攻击的前提下，仍然能够保证信息不泄露。例如，甚至可以把测量仪器都交给对方，随你怎么去捣鬼，但我仍然有办法发现你在捣鬼，因此及时地中止生成密钥，信息也就不会泄露。这叫做“测量仪器无关的量子密钥分发”（MDI-QKD，是measurement device independent quantum key distribution的缩写）。此外，研究者们还在发展“仪器无关的量子密钥分发”（DI-QKD，是device independent quantum key distribution的缩写），跟前面那个MDI-QKD相比，少了一个M，测量。意思是把所有仪器都交给对方，随你捣鬼，我居然都不怕。

目前的发展状况是，MDI-QKD的实验已经成功了，下一步是提高成码率的问题。DI-QKD还没有完整的实验验证，因为难度非常大。

3、关于争论背后的思考

（1）重点发展后量子（抗量子计算）密码技术

尽管量子加密在我国当前异常火热，国家也投入了巨资促进其发展，但互联网亿万“非熟人”之间通信，目前看来是离不开公钥密码（非对称密码）的。提升公钥密码的算法安全性，建立后量子公钥密码技术，是当前国际主流的方向。

去年由美国国家科学院组建的一个专家委员会向公众发布的长达205页的报告《量子计算：进展和前景》中，谈到密码学部分只谈PQC（后量子密码技术），一字未提QKD（量子密钥分发或“量子通信”）。因为他们得出的结论是：量子通信的最大问题在于其应用价值根本微不足道。

那么什么才是重要的？报告认为：保证信息从A传输到B之间有充分的安全，密码学已经很成熟了，也不需要量子通信参与，即使量子通信参与也只能做一件微不足道的密钥分发。信息安全之所以还有隐患，问题出在信源的安全上，也就是大家用的手机、电脑中的微处理器可能有漏洞或者后门。

目前英国情报部门的白皮书、美国空军的一份调研报告和日本科学家的一篇综述性论文，都不认同量子通信的战略价值。

当然，各国并未放弃对量子通信的实验和研究，而是把量子通信作为一项基础前沿研究来对待，基础研究的特点就是一个试错的过程，即使最后证明了一条路走不通，但这也是把钱变成了知识和人才。

（2）融合

目前公认的一个非常好的主意是：将量子通信与现有的密码相结合，用量子通信来传递（很短的）种子密钥，然后，利用该种子密钥来控制现行密码算法，以达到信息加密、解密之目的。这样一来，量子与密码就优势互补。

中电科三十所正好具备这种得天独厚的条件，不仅在传统密码相关领域基础扎实、积累深厚，而且在量子密码（QKD、量子随机数）等方面取得了较大突破，在融合量子通信和传统密码方面具备了基础设施、技术、人才的基础，相比中科大等纯物理学家组成的团队而言，我们更具备做好融合的条件。