量子通信被炒作,使科學(xué)研究陷入困境

　　9月29日，世界首條量子保密通信干線——“京滬干線”正式開通。中國科技人員在量子保密通信相關(guān)技術(shù)上取得了重大進(jìn)展，中國在高速高效率單光子探測、可信任光子中繼站和星地量子密鑰分發(fā)等技術(shù)領(lǐng)域領(lǐng)先世界，并且在未來的10-15年都會領(lǐng)先于世界，這本來是一條可喜的消息。有人卻提出了不同的觀點(diǎn)，量子通信被炒得太熱，反而或阻礙它的發(fā)展。

　　為什么要開發(fā)量子保密通信技術(shù)？

因?yàn)閺睦碚撋现v，如果未來量子計(jì)算機(jī)建成，如果建成的量子計(jì)算機(jī)有足夠的Qbit和足夠的穩(wěn)定性，那么今天密碼系統(tǒng)中的公鑰密碼RSA有可能被破解。開發(fā)量子密碼通信是為了應(yīng)對未來的危機(jī)，但危機(jī)可能發(fā)生的確切時(shí)間和危害程度至今都是未知數(shù)。

　　由此可知，量子保密技術(shù)只可能是前瞻性的科學(xué)研究，當(dāng)然可以有試點(diǎn)工程，但不一定要做成大規(guī)模鋪開的工程項(xiàng)目。操之過急會導(dǎo)致資源的浪費(fèi)，媒體的過份渲染和資本市場的炒作還會把問題進(jìn)一步復(fù)雜化，發(fā)生“九州量子”這類事件一點(diǎn)也不令人意外。

　　“京滬干線”項(xiàng)目首席科學(xué)家、中科院院士潘建偉最近的談話中提到：“。..。，但是大家不能把它炒作得太熱之后，一個(gè)東西反而味道就變掉了。要嚴(yán)謹(jǐn)?shù)厝プ鍪虑?。”從字里行間不難看出，他也擔(dān)心京滬量子保密通信干線如果在過度炒作的輿論環(huán)境下，可能不利于解決實(shí)際的科學(xué)問題。他又說：“量子通信廣泛應(yīng)用取決于成本和需求兩大因素。”這句話說到點(diǎn)子上了，評論工程項(xiàng)目需求和成本始終是兩個(gè)繞不開的坎。

　　讓我們先對需求作些分析。數(shù)月前出現(xiàn)這樣一篇論文：“后量子時(shí)代的RSA”，該文發(fā)表后被多家相關(guān)雜志轉(zhuǎn)載和引用，這些文章給出的共同結(jié)論是：目前使用的非對稱性密碼RSA不會因?yàn)榱孔佑?jì)算機(jī)的出現(xiàn)而消亡。

　　該篇論文的核心觀點(diǎn)是：假設(shè)量子計(jì)算機(jī)已經(jīng)建成，再假設(shè)量子計(jì)算機(jī)的量子位（Qbit）可以無限擴(kuò)展，進(jìn)一步假設(shè)該量子計(jì)算機(jī)的運(yùn)行成本與現(xiàn)在通用電子計(jì)算機(jī)的成本可以相比，用這樣一臺超級想象出來的量子計(jì)算機(jī)來破解長度為Terabyte（太字節(jié)，等于1024GB）的RSA非對稱密鑰需要量子計(jì)算機(jī)的Qbit為2^100（2的100次方）。

　　2^100是一個(gè)什么概念？

這個(gè)數(shù)大于我們星球上所有生物細(xì)胞的總數(shù)！而今天為了建成兩位數(shù)Qbit的量子計(jì)算機(jī)，專家們已經(jīng)弄得焦頭爛額，多年來一籌莫展。當(dāng)然使用長度為Terabyte的RSA公鑰確實(shí)也有點(diǎn)離譜，但論文作者在今日的電子計(jì)算機(jī)上產(chǎn)生了這樣的公鑰，并用它來加密和解密，費(fèi)時(shí)一共為五天。按目前的技術(shù)水平，長度為Terabyte的RSA公鑰雖然并不實(shí)用，至少還是可以實(shí)現(xiàn)的，但是還在紙上的量子計(jì)算機(jī)即使明天就建成，要破解這樣的RSA公鑰也無一線希望。

　　這篇論文并不是要為對抗量子計(jì)算機(jī)提供確切的方案，而是通過實(shí)驗(yàn)和數(shù)據(jù)分析指出了一個(gè)冷酷的事實(shí)：即使圍繞量子計(jì)算機(jī)的技術(shù)難題和運(yùn)營成本全都解決，只要現(xiàn)行的RSA公鑰增加字長和改善算法，就能迫使量子計(jì)算機(jī)的惡意攻擊因?yàn)殡y以承受的代價(jià)而失敗告終，在后量子時(shí)代作為經(jīng)典密碼系統(tǒng)重要基石的RSA具有足夠長的生命力。急于丟棄RSA等公鑰密碼系統(tǒng)而另辟蹊徑可能真的是杞人憂天。

　　讓我們進(jìn)一步再作些成本分析。經(jīng)典保密技術(shù)與量子保密技術(shù)的主要區(qū)別是：經(jīng)典保密系統(tǒng)中通信的內(nèi)容與密碼的配送使用的是同一個(gè)通信網(wǎng)絡(luò)，而量子保密系統(tǒng)必須要求兩個(gè)通信網(wǎng)絡(luò)，一個(gè)傳送通信內(nèi)容，另一個(gè)配送量子密碼。因此量子保密技術(shù)必定會大幅增加通信的成本。

　　由電路交換和分組交換技術(shù)構(gòu)建起的經(jīng)典通信網(wǎng)絡(luò)從本質(zhì)上來說與量子保密通信網(wǎng)絡(luò)是格格不入、難以融合的。很難設(shè)想在原有的通信網(wǎng)絡(luò)線路上實(shí)現(xiàn)量子密鑰分發(fā)。換言之，為了通信未來的安全，我們必須在原有的通信網(wǎng)絡(luò)之外加建一套傳遞密鑰的專用網(wǎng)絡(luò)。而且這條網(wǎng)絡(luò)要求通信雙方從端到端全程使用光纖聯(lián)接，當(dāng)通信雙方超過上百公里，還必須使用可信任中繼站或衛(wèi)星中繼。暫不考慮工程的難度，對于普通用戶特別是手機(jī)用戶而言，僅成本一項(xiàng)無疑也是難以承受的負(fù)擔(dān)。

　　到目前為止，在所有的經(jīng)典加密技術(shù)中，通信的內(nèi)容與加密的信息都在同一網(wǎng)絡(luò)上傳輸，信息傳輸和保證信息傳輸?shù)陌踩胧┦且粋€(gè)統(tǒng)一完整的過程，密碼系統(tǒng)在整個(gè)通信過程中所占的額外成本是有限的。因此從工程角度來看，對付量子計(jì)算機(jī)未來可能的攻擊，采用改進(jìn)的經(jīng)典數(shù)學(xué)方法而不是全新的量子密碼技術(shù)，已經(jīng)成為密碼界近期的共識。因?yàn)檫@些改進(jìn)后的新的密碼算法完全可以在目前所有的計(jì)算機(jī)和通信網(wǎng)絡(luò)上運(yùn)行，現(xiàn)行一切通信方式釆用這些新算法進(jìn)行升級換代過程可以變得平穩(wěn)、經(jīng)濟(jì)和切實(shí)有效。

　　再讓我們看看密碼學(xué)界最近的動態(tài)，請先看下圖：密碼學(xué)界已經(jīng)明確把公鑰密碼系統(tǒng)分成兩大類，左列中都是目前常用的公鑰密碼，它們是“量子可破”的，即理論上在量子計(jì)算機(jī)攻擊下是不安全的。圖中右列的幾種公鑰密碼系統(tǒng)被列為“量子不可破”，它們從原理上被證明是不可能被量子計(jì)算機(jī)破解的，因而它們又被稱為后量子時(shí)代的密碼系統(tǒng)。

　　在“量子不可破”的公鑰密碼系統(tǒng)中最受關(guān)注的是“lattice-based crypto ”（基于阻格的加密法），密碼學(xué)界對該方法的研究已經(jīng)有二十多年了，但始終沒有進(jìn)入工程應(yīng)用階段。其問題的本質(zhì)是：該算法太復(fù)雜，運(yùn)行效率低得無法使用；算法加以簡化后，效率大幅提升，幾乎可以與RSA媲美，但是卻出現(xiàn)安全隱患。但是近年來對于該密碼系統(tǒng)的研究取得了實(shí)質(zhì)性進(jìn)展，它們很可能就是美國國家安全局不久將要推出的后量子時(shí)代的密碼系統(tǒng)中的重要組成部分。

　　把高鐵工程與量子保密通信聯(lián)系在一起，可以印象化地說明這樣一個(gè)事實(shí)：洋人做不來的事，中國人不僅可以做而且可以做得很好。但是必須明白，量子保密通信不是高鐵工程，它只是一個(gè)不完整的示范性工程，工程的必需性和可行性仍面臨嚴(yán)峻的考驗(yàn)。

　　人們出行可以坐高鐵也可以不坐高鐵，也可以坐一段高鐵再加一段普客。但是通信系統(tǒng)中經(jīng)典密碼系統(tǒng)很難與量子密碼系統(tǒng)兼用，如果一定要聯(lián)在一起用，就會有木桶短板效應(yīng)產(chǎn)生，量子保密系統(tǒng)不能為用戶帶來絲毫益處，除非通信雙方全程使用量子保密系統(tǒng)，而我們都知道這對大量的普通用戶又是多么地不切實(shí)際。

　　那么金融行業(yè)，特別是銀行系統(tǒng)是否會享受到量子通信干線的優(yōu)越性呢？很可惜答案是否定的。量子計(jì)算機(jī)有可能破解RSA這類非對稱密鑰，而對于基于復(fù)雜邏輯運(yùn)算的對稱密鑰體制根本就沒有威脅?，F(xiàn)在所有金融行業(yè)（包括銀行）采用的都是對稱密鑰體制，這個(gè)標(biāo)準(zhǔn)在由中國人民銀行頒布的PBOC里有詳細(xì)的描述。

　　銀行系統(tǒng)密鑰分發(fā)要用到RSA這類非對稱密鑰只有初始化的第一次，之后采用的都是對稱密鑰。其實(shí)初始化都未必會用到RSA，任何能夠安全地將初始化密鑰分發(fā)到密鑰分發(fā)管理中心的手段都可以采用，畢竟只需要做一次的事情，麻煩一些也無所謂。我估計(jì)，銀行與其它金融系統(tǒng)對量子保密通信是沒有多少興趣的，哪怕你有天大本事明天就變出一臺幾萬Qbit的量子計(jì)算機(jī)，他們?nèi)耘f會是“量子圍困萬千重，我自巋然不動?！?/p>

　　軍隊(duì)會使用量子通信嗎？

從目前的技術(shù)狀態(tài)來看，這更不可能。除了固定的機(jī)關(guān)之間，軍隊(duì)通信對網(wǎng)絡(luò)的移動性、可變性和抗干涉性有更高的要求，量子保密通信從本質(zhì)上很難適應(yīng)這樣的網(wǎng)絡(luò)通信環(huán)境，至少近期難有什么作為。

　　那么究竟誰是京滬量子干線上的主要用戶呢？有報(bào)道說某某市政務(wù)系統(tǒng)開始采用量子保密通信技術(shù)，他們究竟在做些什么呢？使用量子密鑰對視頻通話加密解密，我估計(jì)這也只是借此試驗(yàn)。其實(shí)只要是了解政務(wù)系統(tǒng)的人都知道，跑在政務(wù)系統(tǒng)上面的信息，其實(shí)從來就沒有多少需要保密傳送的內(nèi)容，真正機(jī)密的信息恐怕連一個(gè)字都不會放在政務(wù)網(wǎng)上的，所謂政務(wù)網(wǎng)采用量子密鑰多少帶有對大眾宣傳的成分。

　　對量子密碼技術(shù)作前瞻性的科學(xué)研究我們應(yīng)該支持，畢竟在后量子時(shí)代如何確保信息安全誰也不敢打保票，量子密鑰協(xié)商技術(shù)有可能提供一種對抗量子計(jì)算機(jī)攻擊的工具，多一種選擇總是好的。雖然危機(jī)仍在未定之天，但未雨綢繆作超前的研究也是應(yīng)該的，因?yàn)樾录夹g(shù)從概念提出、實(shí)驗(yàn)證明、技術(shù)和標(biāo)準(zhǔn)的建立都需要時(shí)間，千萬不能等危機(jī)出現(xiàn)后再臨陣磨槍。而且科學(xué)研究的過程中會提升相關(guān)技術(shù)的水平，也很可能會收獲意想不到的副產(chǎn)品。對量子保密通信技術(shù)作前瞻性科學(xué)研究應(yīng)該大力支持，我的這個(gè)態(tài)度始終也不會改變。

　　但是鋪開建設(shè)量子保密通信干線的工程項(xiàng)目必須謹(jǐn)慎再謹(jǐn)慎。從近期看，經(jīng)典密碼系統(tǒng)是安全的，到目前為止，量子保密技術(shù)不僅成本昂貴，而且功能上也無法替代經(jīng)典密碼系統(tǒng)。開發(fā)量子保密技術(shù)為的是應(yīng)對未來可能發(fā)生的危機(jī)，但這種危機(jī)離我們?nèi)允值剡b遠(yuǎn)，即使危機(jī)真的降臨，改進(jìn)升級后的經(jīng)典密碼系統(tǒng)應(yīng)該足以應(yīng)付危局。量子密碼技術(shù)并非是對抗危機(jī)的唯一選擇，它很有可能僅是一枚永遠(yuǎn)也使用不上的備胎。

　　中國銀行業(yè)信息交換安全管理的規(guī)范叫PBOC，這其實(shí)基本沿襲美國的銀行標(biāo)準(zhǔn)制定出來的，全世界其它地區(qū)也基本遵照辦理。我很希望量子通訊專家們在策劃他們的大工程之前，認(rèn)真坐下來消化一下這個(gè)只有幾十頁的行業(yè)標(biāo)準(zhǔn)，然后再來看看量子對稱秘鑰是否能夠在其中起到什么有價(jià)值的作用。

　　完全不像他們想象中的那樣，銀行間還需要不斷發(fā)送對稱密鑰，并用RSA進(jìn)行加密，其實(shí)銀行間的密鑰更新根本不分發(fā)密鑰，分發(fā)的是完全不需要保密的隨機(jī)數(shù)而已，這些隨機(jī)數(shù)任何人拿去都無所謂，因?yàn)槠渲胁话魏蚊荑€信息，密鑰安全管理就是這么神奇。

　　密鑰分發(fā)管理采用分級的形式，從總行到各大區(qū)的支行，大概不超過3級，每個(gè)密鑰分發(fā)管理中心叫做KDC，每個(gè)層級管理的對稱密鑰就叫該級別主密鑰，比如第三級就叫3級主密鑰。全國的KDC其實(shí)是不多的，這可不是銀行的門點(diǎn)?？傂械腒DC為頂級密鑰，用來生成頂級密鑰，這個(gè)頂級密鑰一般有多組，每次拿出一組頂級密鑰使用，其它組密鑰處于備份狀態(tài)。主密鑰可不是用來分發(fā)的，而是用來生成分發(fā)密鑰。生成分發(fā)密鑰首先需要系統(tǒng)先生成一系列隨機(jī)數(shù)，并用主密鑰對其進(jìn)行加密操作，生成的密文就作為分發(fā)密鑰，用于分發(fā)到下一級KDC。下一級接收到上一級的分發(fā)密鑰，將其作為本KDC的主密鑰，如此繼續(xù)使用該主密鑰給下一級生成分發(fā)密鑰。

　　這個(gè)敘述好像確實(shí)在說KDC需要不斷將分發(fā)密鑰發(fā)送給下一級KDC，那么總得需要將密鑰進(jìn)行加密后才能在公網(wǎng)上傳遞吧？這個(gè)環(huán)節(jié)難道不就是需要RSA這類對稱密鑰上場了？難道這不就是量子通訊在解決的問題嗎？這不正是4萬字一文所描述的過程嗎？事實(shí)的真相是，這樣的過程只需要做一次，就是當(dāng)兩個(gè)KDC之間完全沒有任何可供通訊加密的密鑰時(shí)候才會使用。當(dāng)兩個(gè)KDC之間已經(jīng)有了彼此都掌握的對稱密鑰，密鑰更新的過程就變得完全不同。

　　假如一個(gè)KDC要將一個(gè)新的分發(fā)密鑰傳送給下一級KDC，我們把這個(gè)分發(fā)密鑰叫做明文K，那么首先，上級KDC從一組對稱密鑰中選擇一個(gè)出來，不妨稱作密鑰A，記下這個(gè)對稱密鑰的序號，同時(shí)在系統(tǒng)中生成一個(gè)隨機(jī)數(shù)，用密鑰A對其進(jìn)行加密，生成一個(gè)密文，這個(gè)密文作為過程密鑰，不妨稱作P，用P對分發(fā)密鑰K進(jìn)行加密，然后將密文、生成過程密鑰的隨機(jī)數(shù)和對稱密鑰的序列號發(fā)送給下一級KDC。注意的是，這個(gè)時(shí)候，在公網(wǎng)上發(fā)送的K是經(jīng)過P加密的密文，這個(gè)是安全的，P并沒有發(fā)布到公網(wǎng)上，發(fā)布出去的只有隨機(jī)數(shù)和加密密鑰序列號，這些信息是不能利用來對密文進(jìn)行破解的。接收端的KDC有了加密密鑰序列號，就能夠從自己的主密鑰庫中提取出來對應(yīng)的密鑰，并將收到的隨機(jī)數(shù)進(jìn)行加密，這樣就能還原過程秘鑰P，然后就可以直接用P將收到的K密文解碼成明文K，從而完成主密鑰的更新。所以我們能夠知道的有三點(diǎn)：

　　第一點(diǎn)， 密鑰分發(fā)能夠用到RSA作為加密手段的只有最開始初始化的第一次，之后采用的都是對稱密鑰加密。其實(shí)RSA未必都會用到，任何能夠安全地將初始化密鑰設(shè)置到KDC的手段都可以采用，畢竟只需要做一次的事情，麻煩一些并不要緊；

　　第二點(diǎn)， 網(wǎng)上發(fā)送的信息不包含任何加密密鑰的信息，無論經(jīng)過多少個(gè)路由或者中繼，所以根本不可能在網(wǎng)絡(luò)環(huán)節(jié)泄密；

　　第三點(diǎn)， 更新的密鑰在KDC進(jìn)行還原，只有在這個(gè)環(huán)節(jié)會產(chǎn)生泄密的危險(xiǎn)，因此保護(hù)KDC的安全才是整個(gè)環(huán)節(jié)中至關(guān)重要的問題。

　　量子保密通信至今不是一套完整的密碼安全系統(tǒng)。到目前為止，它不能對通信安全提供諸如密鑰的分級發(fā)送管理、身份認(rèn)真和電子簽名這樣一整套嚴(yán)格完整的全方位的服務(wù)。