量子的安全笑话

杨义先教授

北京邮电大学信息安全中心主任

摘要：“墨子号”量子卫星的成功发射，是中国科技界的重大喜事，本该好好庆祝，却不料引来了众多激烈争论。其实，双方的观点都有偏颇之处，而且都很明显地带有感情色彩。我不想介入无聊的纠纷，所以，一直沉默至今，等待着对立阵营的风平浪静。由于在情绪化期间，许多严肃的人，通过严肃的媒体，发表了很不严肃的文章，所以，我必须来“自扫门前雪”。就算那些不严肃的文字是记者的误解，但它们毕竟已经白纸黑字地摆在那里，而且还将长期传播下去，这肯定会误导普通读者，因此，老夫有义务一锤定音，捋顺量子与安全的关系。

（一）

无论你怀疑或不怀疑，量子它就在那里，不东不西（测不准）；无论你喜欢或不喜欢，量子它也在那里，不离不弃（纠缠）；无论你研究或不研究，量子它还是在那里，不实不虚（波粒二象性）！量子是时代的必然，因为，既然可用一粒量子就能解决的问题，何必要动用一整束光呢！量子理论和技术正迅速发展，量子之帆已露出遥远的海平面，正向我们驶来，并将毫无疑问地改变IT世界，使计算、通信、安全、存储等如虎添翼。

其实，人类近代科学史也许可重新划分为：分子时代、原子时代、电子时代和（未来的）量子时代。在分子世界观中，化学是方法论，能量靠热。在原子世界观中，物理是方法论，能量靠电。在电子世界观中，计算机是方法论，信息是绝对主角。在量子世界观中，赛博学（控制论）将是方法论，描述量子特性的概率论将是灵魂。

既然人类已经成功地，从分子时代跨进了原子时代；又从原子时代，跨进了电子时代；可我们为什么在从电子时代跨进量子时代时，却显得有点不自信呢？比如，

反方为什么要表现得过度担心呢？科学探索本来就允许失败嘛；前沿基础研究的正常投资也不可避免呀；中国好容易有一次可能的机会引领世界，就算冒点风险也是值得的吧！

正方为什么又要不负责任地，以未来的猜想，来贬低当前的现实呢？毕竟隔行如隔山，仅凭一点科普皮毛就武断地宣布其它学科的死刑，也太草率了吧！还没经过实践检验，就号称量子通信绝对安全？！你量子计算机还只不过是粒受精卵，就敢声称“见神杀神，遇佛灭佛”？！

下面重点科普一下量子的安全知识，以正视听。

（二）

量子通信系统绝对（无条件）安全吗？

从哲学角度看，就算脑子坏了，你用脚后跟稍微想一想，就很清楚的事情，却被媒体炒得沸沸扬扬，好像已是真理一样。难道全国人民，特别是教授和记者们，都是傻瓜蛋？！不要说你量子通信不可能绝对安全；就算百年后、千年后出现的更加先进的“牛X通信”，也不可能绝对安全！伙计，请记住：任何时候，“安全”都只是相对的，“不安全”才是绝对的！更可能的情况是：网络世界会越来越不安全，量子通信普及后，安全问题将更多。因为，几千年来的历史经验已经反复证明，任何先进的技术都会带来新的安全威胁，这也就是为什么佛家说：人类其实是“嗜好死亡”的生物。

从系统学角度看，你一个“测不准原理”就包打天下了，就天衣无缝了，就不与其它设备或系统衔接了，就不是供活人使用了？！笑话！别以为攻击者都是吃素的！更别以为黑客非要“测得准”才能攻得下，他们绝不会笨到按你的意愿出牌。光纤专家们刚经历的难堪，也许可用来教训一下骄傲的量子专家：仅在几年前，光纤专家还叫板说“光纤通信就是安全，因为光纤很难插接……”；结果话音未落，自己的底裤就曝光了！所以呀，量子专家们，别想太多，先安安心心，把量子通信系统做出来再说。至于它们到底是不是“绝对安全”，甚至到底是不是安全，这个问题你们说了不算，还是交给安全专家，以事实来回答吧。历史上从来就没有过“黑客攻不破的系统”，但愿量子专家能够改变历史。阿弥托福！当然，必须承认，即使存在安全隐患，量子通信的价值也绝不可否认，利用“测不准原理”来设计新型保密系统的想法也绝对应该鼓励，因为，它山之石从来就安全专家的攻玉之器。真心盼望量子通信早日诞生，造福人类。

从逻辑上看，“量子通信绝对安全”这个结论也下得很唐突。在咬定“量子通信”如何如何之前，至少要先把“量子通信”做出来呀，因此，该结论的大前提显然不成立。就算“量子通信”已经小规模实用了，那么它到底是不是绝对安全，也应该拿事实说话吧，因为安全只相信实证，不相信猜测，更不相信眼泪；况且历史上根本就没有“绝对安全”的东西出现过。所以，此结论的小前提也不成立。一个结论，既无大前提，又缺小前提，谁信呢？！没人相信的结论，何必浪费时间和精力去传播它呢！

从理论上说，信息论之父香农博士，于1948年，在其著名论文《保密系统的通信理论》中，确实证明过：如果密钥流序列是绝对随机的，那么，“1次1密”的密码系统是理论上不可破。这也是人类至今知道的，唯一“绝对安全”的密码系统吧。但是，请注意，香农“绝对安全”的前提是“密钥流绝对随机”而且“密钥流的长度与待加密信息的长度相等”。换句话说，包括香农本人在内，全球安全界的所有专家都清楚：香农的所谓“绝对安全”，在实际中是绝对不可用的！所以，过去近70年来，人们只好用“算法产生的伪随机序列”去代替“绝对随机的密钥流序列”，其代价就是“不再绝对安全”。当然，必须承认，用量子来产生“绝对随机的密钥流序列”是一个很好的手段，而且已经成功，商用产品也已面市。但这只能算是技术上的成就，并非理论上的突破，更不能将其提升为实现了“绝对安全”的密码系统，因为，密码学家们，一直就在用电噪音等手段来产生“绝对随机的密钥流序列”，而且几乎每台密码机上，都已标配有这样的成熟设备。

从技术上说，量子通信系统由两个信道组成：传递纠缠状态的量子信道和传递测量结果的经典信道。单独控制这两个信道中的任何一个，确实都不可能获得被传消息的任何内容，并且那个量子信道还是“摸不得的老虎屁股”。但是，请注意，从古至今，包括恐怖分子、地下党、间谍等在内的许多人，其实经常都在采用这种“分离法”来信息传递，怎么就从未没听他们夸下过什么“绝对安全”的海口呢，而事实上他们也频繁被擒嘛！量子通信的两信道分离，也仅仅是技术手段的突破，而非理论上的颠覆。虽然确实是重大技术进步，但远未达到“绝对安全”的程度。当然，如果量子专家非要限定破译者，按其指定的方法去破译量子保密系统，那么，任何系统都可宣称自己“绝对安全”。当然，必须承认，一个非常好的主意是：将量子通信与现有的密码相结合，用量子通信来传递（很短的）种子密钥，然后，利用该种子密钥来控制现行密码算法，以达到信息加密、解密之目的。这样一来，量子与密码就优势互补了，当然，这肯定不是“绝对安全”。总之，量子保密通信系统虽然还没有最终完成，但是，我敢肯定它一定会像过去几千年来古典密码促进机械密码、机械密码促进电子密码那样，经历一个渐变过程，而不是突然横空出世，为我独尊。

怎么样，哥们儿，我们已从哲学、系统学、逻辑学、理论、技术等角度破灭了“绝对安全”的神话。谁还敢再挑战，请尽管放马过来。老夫专治各种不服！

（三）

量子计算机出现后，密码学家就得乖乖投降了吗？

量子计算机绝对是个好东西，而且，科学家们已严格证明了许多惊心动魄的密码破译结果，比如：量子计算机能完成“对数运算”，而且速度远胜电子计算机；一个40位的量子计算机，就能解开“1024位的电子计算机需要数十年才能解决”的问题；用量子计算机去暴力破解AES-256加密算法，其效率跟电子计算机暴力破解AES-128的难度是一样的，等等。

猛然一看这些结果，确实震撼人心。但是，仔细思考后，就完全没必要杞人忧天了。

首先，AES密码算法与它老爸（DES密码算法）一样，都有自己的设计寿命；一旦年龄到点，无论那时量子计算机是否已经诞生，AES都得退休，由它那未出生的儿子（暂且叫“X算法”吧）来接班。若有必要，比如，出现意外的安全威胁，那么，AES提前几年退休就得了，没什么大惊小怪的。RSA算法也从来不是“万岁爷”。在密码界压根儿就没有过终身制，密码学家随时都在设计新型的，试图替换正在使用的标准密码算法。

其次，量子计算机无论有多牛，都只不过是运算速度更快，并行能力更强而已。几千年来，应对类似的考验，密码学家已经历多次了。当机械计算机出现后，古典密码确实可被轻松破译，但是，密码学家早已经准备好了让机械计算机一筹莫展的新型密码算法。当电子计算机出现后，机械密码确实又可被轻松破译，但是，密码学家照样又准备好了让电子计算机望而兴叹的AES和RSA等密码算法。N年后，当量子计算机诞生后，也许它可横扫目前的密码算法，但它一定会发现，那时正在使用的密码算法，对量子计算机早已具有强健的免疫力。实际上，密码学家们特别擅长于“以其之矛，攻其之盾”或“以其之盾，防其之矛”；他们现在就已经开始针对量子特性，设计专门对付量子计算机的新型密码算法了。

第三，在密码破译中，虽然计算能力扮演着关键角色，但是，历史上几乎从来就没有哪种密码算法是被纯暴力破译的。二战期间，人类发明电子计算机的主要动机就是想破译轴心国的密码，但事实上也没能派上用场。若要想依靠暴力来破译现代密码，那么，对计算能力的提升绝不是几万倍、几亿倍甚至几亿亿倍就能见效的，因为，破译能力并不会随着计算能力的增加而线性增加。所以，当你再回味前面那个恐怖结果“用量子计算机去暴力破解AES-256加密算法，其效率跟电子计算机暴力破解AES-128的难度是一样的”时，就再也不用担心了，因为，当前的电子计算机对AES-128也是无能为力的。而且，最悲观的底线是：就算量子计算机能够征服AES-256，就算密码学家们还没能找到有效对付量子计算机的新型密码算法，那么，AES-512、AES-1024等等AES的家族成员，也绝对够量子计算机“喝一壶”的了！当然，我相信，这些假设一个也不会成真。

怎么样，哥们儿，上述理由足够充分了吗！其实，密码学家不会丢饭碗的最直观、最公平的理由是：社会是同步前进的，你计算能力增强了，我密码当然可以“借力打力”，在新的平台上与你竞争。你热兵器时代的量子专家，为什么要假定我密码专家只使用冷兵器呢？！

好了，亲爱的量子专家们，正本清源后，咱们就别再互相猜疑，别再为媒体和记者的误读而分心了。你们尽管全力以赴，努力实现量子通信和量子计算；我们则全心全意，为包括量子系统在内的所有系统保驾护航。

量子时代的门口再见，不见不散哟！

读者朋友们，今后可别再相信什么“绝对安全”的广告啰，请主要看疗效！请放心，密码学家们不会失业的。就算万一我失业了，老夫当然也要赖上你。谁叫你读过我的文章呢！