科学网-量子通信是安全的吗？（上）-李红雨的博文

量子通信是安全的吗？（上）

2016-3-23 04:54

阅读：21546

标签：量子通信

2015年由中国科学技术大学教授潘建伟院士领衔的“多光子纠缠干涉度量”项目获得了国家自然科学一等奖，刚刚结束的2016年两会期间，潘建伟院士在3日接受新华社记者采访时表示，京沪干线大尺度光纤量子通信骨干网将于2016年下半年建成，并且今年7月，全球首颗量子科学实验卫星也将发射升空。人们一方面对我国科技界在近年来取得的成就深受鼓舞的同时，也对量子通信究竟是什么，量子通信是否能够取代传统通信，科学家宣称的量子通信无条件安全的真实性这些问题表现了浓厚的兴趣。

近来网上发表了一些有关量子通信普及性的文章，在解答了很多人们困惑的同时，也不断引起一些热议，可惜很多争议性的问题迟迟得不到权威的解答，对于渴望获得答案，开展更深入广泛探索的人们来说，不免遗憾连连。有关量子通信安全性问题涉及到量子理论、信息安全管理、网络通信等多方面知识，完整地讨论这么大的问题是极其困难的，很多严谨的专家囿于专业的限制，并不愿意更多涉及其它领域话题的讨论，所以针对这个问题的讨论往往流于单一角度的思考，并且也鉴于有关目前量子通信网络建设的细节性介绍缺失，讨论的焦点也经常失去准星。有鉴于此，根据众人的讨论结果以及自己的思考，我将这个问题全面展开来谈。在谈论之前需要首先澄清，本人并非上述所有领域的专家，所以论及的所有对象、理论、结论都是需要被首先置于质疑的范畴中进行讨论，其目的不在于得出什么结论，而是为了引导更专业的人士来把这个非常有价值的话题进行下去。再次声明，文章中所有的结论都可能是错误的，非常欢迎专家们的指正。

量子通信做了什么？

如果把这个问题抛出来问随便一个普通人，他给出的答案，可能就是用量子技术取代传统的通信手段，比如现在的光纤、中继、路由、交换机、服务器将被新的量子网络所代替，发送接收电子邮件，互联网访问，即时通信等都将采用量子通信的手段，我们的信息将能够获得无条件的安全保密，再不用担心自己的账号被盗了，再不担心受到虚假WIFI的欺骗了。

遗憾的是，这是一个错误的印象，量子通信还无法做到这些。由于技术的限制，量子通信的码率极低，也许只能做到每秒几十比特的传输率，当然究竟是什么带宽取决于具体工程项目，但是不会有本质的提高，所以量子通信必然只能用在极轻量级的通信领域。

这样的领域屈指可数，目前可能只有密钥分发能够用到这个系统，并且这样的网络要想起作用还得需要传统通信网络的支撑。所以中国建设中的量子通信网络，全称应该是量子密钥分发网络系统。至于这样只负责密钥分发的轻量级应用是否配得上量子通信的大名可以有争议，但是这不重要，我们只需要知道，这个量子网络即使投入实际的应用，其实在日常生活里，你还是看不到它的存在，而且你几乎所有的安全措施其实依然处于传统的通信加密手段下，几乎所有的信息仍然在传统的光纤上传递，你的账号还是会被盗，不小心的话，你还会上虚假WIFI的骗。

看到这你可能会有些失望，这好像不是自己原来以为的那样？是的，也许因为觉得需要解释这些内容太多了，或者也感觉你会失望，我们的科学家没有做到耐心而明确地澄清这些。

量子通信网络建设很贵吗？

如果跟普通光纤网络建设相比，的确是这样的，不过我不知道究竟贵了一点还是几倍，或者成数量级地昂贵。量子通信网仍然采用光纤，但是因为量子通信传送接收的都是单光子量级的光子，所以需要用到的都是低损耗光纤。这可不是普通光纤，都是实验室级别的高纯度光纤，想不昂贵都不行。

单光子究竟的光究竟有多弱，与普通光纤传送的光对比如何？形象一点，恐怕类似一豆烛光和太阳光相比吧。传统的激光收发设备根本无法胜任量子通信的要求，所以所有的设备必须都是专用的，加上单量子发生器，检测装置，中继器等等，这些都是专门为量子网络度身定制的，虽然不能说都是实验室级别的器件，相比普通的通信设备，堪称高科技的典范。

中国是世界第一个大规模建设量子网的国家，这些设备并未形成产业规模，产业价格形成机制的规律无法逃脱，所以量子通信网络建设是一个需要大投入的科研兼实用的项目，正因为耗资巨大，人们才更关心如此高强度的投入，收获的成果是否物有所值。

当前的安全机密手段是否失效了？

目前通信和信息安全领域基本采用对称密钥和非对称密钥两种方式，信息安全依靠密钥的加密长度。

对称密钥就是信息发送方和接收方采用相同的密钥，传送信息时，发送方用密钥对其进行加密，密文通过公网发送到接收方，接收方采用同样的密钥进行解密。对称密钥不能直接明文在网上传送。

非对称密钥采用了一对不同的密钥，一个密钥是公钥，发送方用来加密信息，一个密钥是私钥，接收方用来解密，公钥允许在网上明文传送。说到这，不免提一句，因为公钥允许明文传送，私钥只保留在本地，不在网上发布，因此不需要量子通信手段进行保护，这样的话，需要量子通信保护的就只是对称密钥。

由于棱镜门、黑客泛滥等，网络安全问题日益受到人们的普遍关注，密钥加密机制是否存在漏洞，加密算法是否存在后门，一直受到人们的质疑。比如对称加密 DES算法中，其中一个S盒的数字矩阵究竟从何而来不得而知，有人怀疑其中暗藏后门，能够直接破解信息，但是几十年的应用，在理论和应用上尚未发现存在明显的漏洞，算法分析也没有找到可能存在的后门。

目前破解密钥的方法还是强力破解，也就是挨个试错。单DES加密的有效密钥是56位，加强版的3DES有效位是112位。单DES并不安全，很早就有专门设计的机器能够很快破解它，所以现在对称密钥采用的都是3DES，3DES足够安全。几十年的实践结论，我们可以相信密钥加密的信息是足够安全的，现有技术手段还无法破解。

目前通信的过程采用的是一次一密的体制，也就是每传送一次信息，先用一个临时密钥加密，用过后这个密钥就作废，下一次发送信息会用新生成的密钥。理论上已经证明，只要密钥不再重新使用，信息被与其等长或更长的密钥加密后是不可能破解的。所以我们暂时还看不到密钥加密的天空上存在乌云，在评估量子通信安全性时，我们会将其与传统密钥加密的安全强度作对比。

居安思危，量子专家告诉人们，未来的量子计算机将能分秒破解非对称密钥。不过目前来看，量子计算存在太多问题，你要真了解这个领域，就知道这里的主张有多混乱，好多东西其实都是未知的，甚至量子计算的稳定性，多步量子计算可行性，量子计算的实际耗费时间（可不是时间复杂度）是否会随问题的规模扩大而呈现指数增长都不可知。用传统算法的经验来预估量子计算的表现，最终一定会让人大吃一惊。这些问题，量子专家并不比普通人知道得更多，并且如果有了新的量子计算机，也一定会有新的量子加密手段，我们可以耐心等待。当然有居安思危的情怀是好的，只是有时候很难区分这与杞人忧天的不同，每个人的判断不同，自然采取的行动也是不同的。心有准备，但是静观其变，毕竟天还没有变。

密钥和密码有什么区别？

电影里经常看到一些铅笔夹在耳朵上的密码破译天才分秒破译加了密的信息，这给人一个印象，好像确实有天才能够从屏幕上雨滴一样下落的字符中洞察解密的方法。

我得纠正一些容易混淆的东西，比如密钥和密码。密码是你日常使用的口令，当你试图进入一个系统，登录一个账号时，你需要输入这个称为密码的东西，这相当于一个大门的钥匙，当你打开大门之后，里面所有的东西其实都是你能够拥有的资源。当然你用来加密文件也是密码，比如压缩包密码。

密钥可不是你能够看到的，它属于系统使用，用来加密在网上传输的信息。你每天都会用到密钥，但是你根本感知不到它的存在，密钥是默默保护你传输信息不会失窃的安全卫士。

密码破译跟密钥破解完全不是一件事情，电影里演的都是密码破译，也许这个人知道设置密码的人有什么喜好，因为掌握更多个人信息，所以能够有的放矢地尝试。比如有些人喜欢用生日或者电话号码做密码，或者干脆在ATM机给自己银行卡设置888888这类吉利数。

密码设定会体现个人的偏好，很多公司对于员工如何设定密码有特别的要求，这些要求的目的就是尽可能破坏密码的个人喜好，使得密码显得更随机一些。但是相信很少有人真的很随机地做这件事。

密钥可不同，密钥的随机性是通过算法来实现的，我们可以放心地认同密钥完全没有规律可循，破解密钥的天才也许除了上帝，没有其他人了。

为什么国外不开展量子通信网络建设？

这个问题是个坑，我看到有专家说，因为外国人（比如美国人）认为他们的密钥体制安全性已经足够了，没必要花钱做量子通信。其实这个说法只是说了硬币的一面，接下来我们要说的是另一面。

我不知道美国专家的真实想法，或许有些美国的媒体开始担忧中国量子通信走在美国人的前头。表面看来我们真的应该为此感到自豪，我们终于在一个大的领域里抢跑整个世界。出于对国家崛起的向往，这个事件对一些人来说也许象征意义还要大于实际意义。

话题扯远一些，量子力学号称男孩物理学，奠基这个物理大厦的最早期的大师们，其实都是20多岁的毛头小伙儿，他们将自己的热情挥洒进这个崭新的领域，也为这个大厦涂抹了浓重的革命性风格，这个风格一直几乎原样保持着。这个年龄段的年轻人最不怕的是新思想，他们有的是想法，也掌握着足够好的技能，尤其数学，但是相比较经典物理大师们的成熟历练，他们缺少的是久经锤炼的哲学观，所以当泡利这样的大师提出新的理论时，甚至为这些观点太像经典物理而苦恼。

量子论的进化已经发展了几代，不过很多量子专家的观念还停留在波尔的波函数塌缩理论框架里，虽然这个解释很形象，容易解读，但也是最丑陋的解读。我能够在脑子里想象，当爱因斯坦与他的学生派斯教授散步时问到“你是否相信，月亮只有在看着它的时候才真正存在？”，此时他的眼睛里一定充满了忧郁的暗色。

爱因斯坦的哲学情趣显然不是这些大师们能够比肩的，他几乎独立一人支撑起相对论的世界，并努力将因果关系纳入到量子世界中，但是当几乎所有的量子大师们轻易抛弃了因果关系之时，也意味着这个领域与传统哲学做了彻底的切割，于是量子论成为整个科学体系中最缺少灵魂的一片天地，剩下的都是冷冰冰的计算。

刚刚过去的春节期间，爱因斯坦预言的引力波被发现，引起整个科学界的轰动，其实里面饱含的更多是对伟人的缅怀与敬仰之情。同样在这之前，有国外的小组再次验证贝尔不等式，为量子论提供了一个更有力的证明，却远没有提起人们的兴趣，也没有打消本来心存怀疑的人们的疑虑。

回到原来的话题，恐怕我不得不泼一些冷水。在现代量子力学领域和量子通信理论方面，领军的人物几乎都是美国人，我们只是在技术实验的环节上做了一些突出的贡献，这远远不够。可能有些人认为去年的国家自然科学一等奖代表了中国在量子科学和技术领域里站到了世界最高点，甚至具有获得诺奖的潜力，这一定是想象力太过丰富了，不管这样的印象来自于媒体还是自我想象，偏离现实世界有些遥远。

首先，这的确是做得很精细的实验，但是从实验采用的技术，理论的突破、结论的新颖这些角度来看，跟以前的实验相比只有量的不同，没有质的区别，我们有进步，不过仅仅是一小步，如果将这样的进步引申到量子通讯网络建设上，误以为即使是工程技术和设备方面我们都处于领先位置，那可就大错特错了。

所以我们又回到了老问题，为什么美国人不建设量子通讯网？他们真的觉得自己力有不逮？或者没有资金？抑或他们看到一些我们没有看到的一些东西？坦率说，我不相信阴谋论，当他们有能力做而不做的时候，绝对不是认为现在的密钥体系足够好这么简单，而是有着其它的道理，让我们耐心往下看。

密钥分发管理

这部分正是国家量子通信工程要完成的工作，所以有必要对分发管理的流程有一个初步的理解，因为涉及到过多的技术细节，不耐烦的读者直接跳过就是了，并不影响后续内容的理解。

在前面已经说过了，加密手段分为对称加密和非对称加密，因为非对称密钥中的私钥留存在本地，绝对不允许在网上发布，只有公钥才能通过公网以明文方式传送，所以非对称密钥没有密钥保密分发的要求，自然也用不着采用量子通信手段加以保密，我们只需要考察对称密钥的分发管理。

有很多成熟的密钥分发管理组织结构和管理流程，具体实现的技术手段大同小异。由于量子密钥分发的组织结构并没有公布，所以我们假设一个比较常见的简化模型，用它来描述量子密钥的分发逻辑。

密钥分发无论采用什么方式，都必须坚持几个原则：

1. 密钥任何时候都不允许以明文方式在网上传送

2. 密钥尽可能以间接的方式在网上传送（只传随机数）

3. 用户必须无条件信任KDC（密钥分发中心）

4. 用户必须无条件信任自己

条件1,2约束了密钥在公共信道上密钥不会以明文的方式被侦听，但是不保护密文，所以我们要求加密后的密钥必须具备很高的加密强度，通常采用3DES加密。我们需要记住传统密钥分发系统的信道安全加密强度等同这个3DES，这里额外强调信道的安全度，因为量子通信起作用的地方也仅仅是信道，我们期待量子通信能够提供比3DES更高的加密程度。

KDC是真正的安全薄弱环节，因为这里面可能存放了所有所属用户的密钥，我们目前并没有什么技术手段保障KDC的绝对安全。

大家会高兴了，可以采用量子手段来保护KDC，因为量子密钥分发工作就是将主密钥从高级别的KDC依次传送给下一级的KDC。很遗憾，量子密钥分发系统只负责通信物理链路这部分的安全，也就是一段光纤的这端到另一端的安全，目前还没有什么量子加密手段来保护链路上的各个节点，包括中继器、路由器、交换机、服务器，这些设施原来安全状况什么样，实施完量子通信工程后保持原样。KDC中包括了一堆路由器、交换机、服务器等等，我们必须无条件信任它，不是因为它无条件安全，而是因为要想把密钥分发工作做下去，有些环节的不安全是需要忍受的。好在一个完整的通信网络中，KDC的数量严格可控，一定的技术和严格的管理规章基本能够让我们对它放心。

通常KDC采用分级管理，下面的图就是一个简单的二级KDC密钥分发组织结构图，这个图表达的是经过密钥分发完成后，各个节点的密钥分布情况：

KDC-P为最高级KDC，包含两个下级KDC节点KDC-A和KDC-B，并在本地保存本节点主密钥PK以及下属节点的主密钥PKA和PKB
KDC-A为次级KDC，包含两个终端用户UA1和UA2，并在本地保存本节点主密钥PKA以及下属节点的主密钥PK-UA1和PK-UA2
KDC-B为次级KDC，包含两个终端用户UB1和UB2，并在本地保存本节点主密钥PKB以及下属节点的主密钥PK-UB1和PK-UB2
UA1为终端用户，在本地保存本节点主密钥PK-UA1
UA2为终端用户，在本地保存本节点主密钥PK-UA2
UB1为终端用户，在本地保存本节点主密钥PK-UB1
UB2为终端用户，在本地保存本节点主密钥PK-UB2

初始的状态下，只有在顶级KDC-P中保存主密钥PK，其它节点都处于待分配密钥状态，我们接下来模拟一个从顶级KDC-P到终端用户UA1的密钥分发过程。

第一步：KDC-P采用PK对随机数R1加密，生成PKA，并且向KDC-A请求公钥。

第二步：KDC-P采用非对称加密方式用共钥对PKA加密，并将密文发给KDC-A；或者通过非通信手段，比如信使将密钥送交KDC-A。此阶段可以采用量子通信手段将PKA发送给KDC-A

第三步：KDC-A将收到的PKA密文用私钥解密获得PKA，或者接收信使送交的密钥。此阶段可以接收KDC-P通过量子信道发送的PKA

第四步：KDC-A采用PKA对随机数R2加密，生成PK-UA1，并且向UA1请求公钥

第五步：KDC-A采用非对称加密方式用公钥对PK-UA1加密，并将密文发给UA1；或者通过非通信手段，比如信使将密钥送交UA1。此阶段目前的技术能力和经济条件限制不可以采用量子通信手段

第六步：UA1将收到的PK-UA1密文用私钥解密获得PK-UA1，或者接收信使送交的密钥。

上述过程中，只有第二、三步用到了量子通信技术，由于此时也采用非对称加密手段进行，所以可以认为，这个过程至少安全强度不低于非对称密钥的加密强度，没有可泄密漏洞。

此阶段是系统初始运行时候发生的密钥初置的过程，对于成熟的系统来说，这个过程已经完成，所以密钥分发工作其实是主密钥的更新过程。我们假设已经完成了上述的主密钥初置过程，那么更新主密钥的过程将会是下面这样的，依然采用从KDC-P到UA1更新密钥做例子。

各个节点的密钥变化将会是：

KDC-P主密钥PK --> PK#
KDC-A主密钥PKA --> PKA#
UA1主密钥PK-UA1 --> PK-UA1#

下面描述具体的密钥更新过程：

第一步：KDC-P自我更新主密钥，将PK用PK#更换

第二步：KDC-P采用PK#对随机数R1加密，生成PKA#，然后PKA对随机数R2加密生成会话密钥K1，用K1对PKA#加密，将R2和PKA#密文转发给KDC-A。此阶段可以采用量子通信手段直接发送PKA#，或者发送R2和PKA#密文

第三步：KDC-A接收R2和PKA#密文，利用PKA对随机数R2加密生成会话密钥K1，用K1对PKA#密文解密，并将PKA用PKA#更换。此阶段可以接收KDC-P通过量子信道发送的PKA#或者R2和PKA#密文

第四步：KDC-A采用PKA#对随机数R3加密，生成PK-UA1#，然后PK-UA1对随机数R4加密生成会话密钥K2，用K2对PK-UA1#加密，将R4和PK-UA1#密文转发给UA1。此阶段目前的技术能力和经济条件限制不可以采用量子通信手段

第五步：UA1接收R4和PK-UA1#密文，利用PK-UA1对随机数R4加密生成会话密钥K2，用K2对PK-UA1#密文解密，并将PK-UA1用PK-UA1#更换

上述过程中，只有第二、三步用到了量子通信技术，由于此时采用了对称加密手段进行，所以可以认为，这个过程至少安全强度不低于对称密钥的加密强度，没有可泄密漏洞。

总结上述的密钥分发过程，传统的技术手段，密钥以密文形式在公网上传输，即使受到监听，破解密钥的难易程度取决于对称密钥的加密强度。由于量子通信安全手段并没有作用到KDC上，仅仅保护KDC之间的光纤物理通信链路，因此可以认为网络最薄弱的KDC节点即使采用量子通信技术，也没有获得安全的改善。

采用量子通信手段，当密钥以密文方式传送时，信道安全等级不小于加密密钥长度，当密钥以明文方式传递时，安全等级取决于量子安全技术，此时如果量子通信没有达到无条件安全，密钥传输过程将可能造成泄密。

安全性与健壮性

网络安全是整个系统的安全，遵守木桶原理，装水多少取决于最短的那块木板，网络安全程度也是由最不安全的那几个环节来决定的，所以相比较攻击方，攻击力的衡量标准是以最锋利的矛来决定的，防守是远比进攻更难的事情。

目前网络通信的所有环节，基本被密钥加密所保护，需要保密的信息在网络链路上传递跑的都是密文，例外的就是KDC和终端用户本身，如果我们忽视这个短板，那么基本上我们比较有自信地说，整个传统的网络通信都是处于严格的密钥保护状态下的，任何试图窃密者即使获得了这些加密信息也将因为无法破解而变得毫无价值。

我想我们应该同意这样的观点，当把量子通信放到这个网络里后，评价这样一个网络的安全等级也必须同样采用木桶原理，当然公平起见，仍然把KDC和终端用户这些因素刨除在外。我们期待科学家给予的无条件安全指的是整个网络的安全，而不是某个局部的安全。除了KDC，其实网络的设备还有很多，像路由器，交换机，服务器，中继器等等，他们在量子网络中是无条件安全的吗？当然不是，我们还没有想到有什么样的量子手段让这些设备无条件安全起来。我听见窃贼轻轻松了口气。

也就刚刚，我的互联网才恢复过来，网络莫名其妙地中断了一个小晚上。一个实用的网络需要考虑各种意外情况的发生，事实上每天意外情况都在发生。这就引出另外一个从来没有人回答的问题，那就是量子网络的健壮性如何？

要知道，量子网络建设可真的有些奢侈品的味道，投入了这么大的资金，一定要用在刀刃上，用上一定要用好，用好一定要好用。假如像银行分发密钥，如果网络不通，业务就无法办理；假如军队在打仗，指挥系统无法发布命令，部队就不知道如何执行。发生这类的情况，对于实用的网络来说，有时甚至比安全还要致命。网络建设不仅仅是安全问题，更要考虑可用性问题，毕竟，不可用的网跟没有网其实效果是一样的。

这两方面的问题将在后面展开讨论。