9月29日，世界首條量子保密通信干線——“京滬干線”正式開通。中國科技人員在量子保密通信相關技術上取得了重大進展，中國在高速高效率單光子探測、可信任光子中繼站和星地量子密鑰分發等技術領域領先世界，并且在未來的10-15年都會領先于世界，這本來是一條可喜的消息。有人卻提出了不同的觀點，量子通信被炒得太熱，反而或阻礙它的發展。

　　為什么要開發量子保密通信技術？

因為從理論上講，如果未來量子計算機建成，如果建成的量子計算機有足夠的Qbit和足夠的穩定性，那么今天密碼系統中的公鑰密碼RSA有可能被破解。開發量子密碼通信是為了應對未來的危機，但危機可能發生的確切時間和危害程度至今都是未知數。

　　由此可知，量子保密技術只可能是前瞻性的科學研究，當然可以有試點工程，但不一定要做成大規模鋪開的工程項目。操之過急會導致資源的浪費，媒體的過份渲染和資本市場的炒作還會把問題進一步復雜化，發生“九州量子”這類事件一點也不令人意外。

　　“京滬干線”項目首席科學家、中科院院士潘建偉最近的談話中提到：“。..。，但是大家不能把它炒作得太熱之后，一個東西反而味道就變掉了。要嚴謹地去做事情。”從字里行間不難看出，他也擔心京滬量子保密通信干線如果在過度炒作的輿論環境下，可能不利于解決實際的科學問題。他又說：“量子通信廣泛應用取決于成本和需求兩大因素。”這句話說到點子上了，評論工程項目需求和成本始終是兩個繞不開的坎。

　　讓我們先對需求作些分析。數月前出現這樣一篇論文：“后量子時代的RSA”，該文發表后被多家相關雜志轉載和引用，這些文章給出的共同結論是：目前使用的非對稱性密碼RSA不會因為量子計算機的出現而消亡。

　　該篇論文的核心觀點是：假設量子計算機已經建成，再假設量子計算機的量子位（Qbit）可以無限擴展，進一步假設該量子計算機的運行成本與現在通用電子計算機的成本可以相比，用這樣一臺超級想象出來的量子計算機來破解長度為Terabyte（太字節，等于1024GB）的RSA非對稱密鑰需要量子計算機的Qbit為2^100（2的100次方）。

　　2^100是一個什么概念？

這個數大于我們星球上所有生物細胞的總數！而今天為了建成兩位數Qbit的量子計算機，專家們已經弄得焦頭爛額，多年來一籌莫展。當然使用長度為Terabyte的RSA公鑰確實也有點離譜，但論文作者在今日的電子計算機上產生了這樣的公鑰，并用它來加密和解密，費時一共為五天。按目前的技術水平，長度為Terabyte的RSA公鑰雖然并不實用，至少還是可以實現的，但是還在紙上的量子計算機即使明天就建成，要破解這樣的RSA公鑰也無一線希望。

　　這篇論文并不是要為對抗量子計算機提供確切的方案，而是通過實驗和數據分析指出了一個冷酷的事實：即使圍繞量子計算機的技術難題和運營成本全都解決，只要現行的RSA公鑰增加字長和改善算法，就能迫使量子計算機的惡意攻擊因為難以承受的代價而失敗告終，在后量子時代作為經典密碼系統重要基石的RSA具有足夠長的生命力。急于丟棄RSA等公鑰密碼系統而另辟蹊徑可能真的是杞人憂天。

　　讓我們進一步再作些成本分析。經典保密技術與量子保密技術的主要區別是：經典保密系統中通信的內容與密碼的配送使用的是同一個通信網絡，而量子保密系統必須要求兩個通信網絡，一個傳送通信內容，另一個配送量子密碼。因此量子保密技術必定會大幅增加通信的成本。

　　由電路交換和分組交換技術構建起的經典通信網絡從本質上來說與量子保密通信網絡是格格不入、難以融合的。很難設想在原有的通信網絡線路上實現量子密鑰分發。換言之，為了通信未來的安全，我們必須在原有的通信網絡之外加建一套傳遞密鑰的專用網絡。而且這條網絡要求通信雙方從端到端全程使用光纖聯接，當通信雙方超過上百公里，還必須使用可信任中繼站或衛星中繼。暫不考慮工程的難度，對于普通用戶特別是手機用戶而言，僅成本一項無疑也是難以承受的負擔。

　　到目前為止，在所有的經典加密技術中，通信的內容與加密的信息都在同一網絡上傳輸，信息傳輸和保證信息傳輸的安全措施是一個統一完整的過程，密碼系統在整個通信過程中所占的額外成本是有限的。因此從工程角度來看，對付量子計算機未來可能的攻擊，采用改進的經典數學方法而不是全新的量子密碼技術，已經成為密碼界近期的共識。因為這些改進后的新的密碼算法完全可以在目前所有的計算機和通信網絡上運行，現行一切通信方式釆用這些新算法進行升級換代過程可以變得平穩、經濟和切實有效。

　　再讓我們看看密碼學界最近的動態，請先看下圖：密碼學界已經明確把公鑰密碼系統分成兩大類，左列中都是目前常用的公鑰密碼，它們是“量子可破”的，即理論上在量子計算機攻擊下是不安全的。圖中右列的幾種公鑰密碼系統被列為“量子不可破”，它們從原理上被證明是不可能被量子計算機破解的，因而它們又被稱為后量子時代的密碼系統。

　　在“量子不可破”的公鑰密碼系統中最受關注的是“lattice-based crypto ”（基于阻格的加密法），密碼學界對該方法的研究已經有二十多年了，但始終沒有進入工程應用階段。其問題的本質是：該算法太復雜，運行效率低得無法使用；算法加以簡化后，效率大幅提升，幾乎可以與RSA媲美，但是卻出現安全隱患。但是近年來對于該密碼系統的研究取得了實質性進展，它們很可能就是美國國家安全局不久將要推出的后量子時代的密碼系統中的重要組成部分。

　　把高鐵工程與量子保密通信聯系在一起，可以印象化地說明這樣一個事實：洋人做不來的事，中國人不僅可以做而且可以做得很好。但是必須明白，量子保密通信不是高鐵工程，它只是一個不完整的示范性工程，工程的必需性和可行性仍面臨嚴峻的考驗。

　　人們出行可以坐高鐵也可以不坐高鐵，也可以坐一段高鐵再加一段普客。但是通信系統中經典密碼系統很難與量子密碼系統兼用，如果一定要聯在一起用，就會有木桶短板效應產生，量子保密系統不能為用戶帶來絲毫益處，除非通信雙方全程使用量子保密系統，而我們都知道這對大量的普通用戶又是多么地不切實際。

　　那么金融行業，特別是銀行系統是否會享受到量子通信干線的優越性呢？很可惜答案是否定的。量子計算機有可能破解RSA這類非對稱密鑰，而對于基于復雜邏輯運算的對稱密鑰體制根本就沒有威脅。現在所有金融行業（包括銀行）采用的都是對稱密鑰體制，這個標準在由中國人民銀行頒布的PBOC里有詳細的描述。

　　銀行系統密鑰分發要用到RSA這類非對稱密鑰只有初始化的第一次，之后采用的都是對稱密鑰。其實初始化都未必會用到RSA，任何能夠安全地將初始化密鑰分發到密鑰分發管理中心的手段都可以采用，畢竟只需要做一次的事情，麻煩一些也無所謂。我估計，銀行與其它金融系統對量子保密通信是沒有多少興趣的，哪怕你有天大本事明天就變出一臺幾萬Qbit的量子計算機，他們仍舊會是“量子圍困萬千重，我自巋然不動。”

　　軍隊會使用量子通信嗎？

從目前的技術狀態來看，這更不可能。除了固定的機關之間，軍隊通信對網絡的移動性、可變性和抗干涉性有更高的要求，量子保密通信從本質上很難適應這樣的網絡通信環境，至少近期難有什么作為。

　　那么究竟誰是京滬量子干線上的主要用戶呢？有報道說某某市政務系統開始采用量子保密通信技術，他們究竟在做些什么呢？使用量子密鑰對視頻通話加密解密，我估計這也只是借此試驗。其實只要是了解政務系統的人都知道，跑在政務系統上面的信息，其實從來就沒有多少需要保密傳送的內容，真正機密的信息恐怕連一個字都不會放在政務網上的，所謂政務網采用量子密鑰多少帶有對大眾宣傳的成分。

　　對量子密碼技術作前瞻性的科學研究我們應該支持，畢竟在后量子時代如何確保信息安全誰也不敢打保票，量子密鑰協商技術有可能提供一種對抗量子計算機攻擊的工具，多一種選擇總是好的。雖然危機仍在未定之天，但未雨綢繆作超前的研究也是應該的，因為新技術從概念提出、實驗證明、技術和標準的建立都需要時間，千萬不能等危機出現后再臨陣磨槍。而且科學研究的過程中會提升相關技術的水平，也很可能會收獲意想不到的副產品。對量子保密通信技術作前瞻性科學研究應該大力支持，我的這個態度始終也不會改變。

　　但是鋪開建設量子保密通信干線的工程項目必須謹慎再謹慎。從近期看，經典密碼系統是安全的，到目前為止，量子保密技術不僅成本昂貴，而且功能上也無法替代經典密碼系統。開發量子保密技術為的是應對未來可能發生的危機，但這種危機離我們仍十分地遙遠，即使危機真的降臨，改進升級后的經典密碼系統應該足以應付危局。量子密碼技術并非是對抗危機的唯一選擇，它很有可能僅是一枚永遠也使用不上的備胎。

　　中國銀行業信息交換安全管理的規范叫PBOC，這其實基本沿襲美國的銀行標準制定出來的，全世界其它地區也基本遵照辦理。我很希望量子通訊專家們在策劃他們的大工程之前，認真坐下來消化一下這個只有幾十頁的行業標準，然后再來看看量子對稱秘鑰是否能夠在其中起到什么有價值的作用。

　　完全不像他們想象中的那樣，銀行間還需要不斷發送對稱密鑰，并用RSA進行加密，其實銀行間的密鑰更新根本不分發密鑰，分發的是完全不需要保密的隨機數而已，這些隨機數任何人拿去都無所謂，因為其中不包含任何密鑰信息，密鑰安全管理就是這么神奇。

　　密鑰分發管理采用分級的形式，從總行到各大區的支行，大概不超過3級，每個密鑰分發管理中心叫做KDC，每個層級管理的對稱密鑰就叫該級別主密鑰，比如第三級就叫3級主密鑰。全國的KDC其實是不多的，這可不是銀行的門點。總行的KDC為頂級密鑰，用來生成頂級密鑰，這個頂級密鑰一般有多組，每次拿出一組頂級密鑰使用，其它組密鑰處于備份狀態。主密鑰可不是用來分發的，而是用來生成分發密鑰。生成分發密鑰首先需要系統先生成一系列隨機數，并用主密鑰對其進行加密操作，生成的密文就作為分發密鑰，用于分發到下一級KDC。下一級接收到上一級的分發密鑰，將其作為本KDC的主密鑰，如此繼續使用該主密鑰給下一級生成分發密鑰。

　　這個敘述好像確實在說KDC需要不斷將分發密鑰發送給下一級KDC，那么總得需要將密鑰進行加密后才能在公網上傳遞吧？這個環節難道不就是需要RSA這類對稱密鑰上場了？難道這不就是量子通訊在解決的問題嗎？這不正是4萬字一文所描述的過程嗎？事實的真相是，這樣的過程只需要做一次，就是當兩個KDC之間完全沒有任何可供通訊加密的密鑰時候才會使用。當兩個KDC之間已經有了彼此都掌握的對稱密鑰，密鑰更新的過程就變得完全不同。

　　假如一個KDC要將一個新的分發密鑰傳送給下一級KDC，我們把這個分發密鑰叫做明文K，那么首先，上級KDC從一組對稱密鑰中選擇一個出來，不妨稱作密鑰A，記下這個對稱密鑰的序號，同時在系統中生成一個隨機數，用密鑰A對其進行加密，生成一個密文，這個密文作為過程密鑰，不妨稱作P，用P對分發密鑰K進行加密，然后將密文、生成過程密鑰的隨機數和對稱密鑰的序列號發送給下一級KDC。注意的是，這個時候，在公網上發送的K是經過P加密的密文，這個是安全的，P并沒有發布到公網上，發布出去的只有隨機數和加密密鑰序列號，這些信息是不能利用來對密文進行破解的。接收端的KDC有了加密密鑰序列號，就能夠從自己的主密鑰庫中提取出來對應的密鑰，并將收到的隨機數進行加密，這樣就能還原過程秘鑰P，然后就可以直接用P將收到的K密文解碼成明文K，從而完成主密鑰的更新。所以我們能夠知道的有三點：

　　第一點， 密鑰分發能夠用到RSA作為加密手段的只有最開始初始化的第一次，之后采用的都是對稱密鑰加密。其實RSA未必都會用到，任何能夠安全地將初始化密鑰設置到KDC的手段都可以采用，畢竟只需要做一次的事情，麻煩一些并不要緊；

　　第二點， 網上發送的信息不包含任何加密密鑰的信息，無論經過多少個路由或者中繼，所以根本不可能在網絡環節泄密；

　　第三點， 更新的密鑰在KDC進行還原，只有在這個環節會產生泄密的危險，因此保護KDC的安全才是整個環節中至關重要的問題。

　　量子保密通信至今不是一套完整的密碼安全系統。到目前為止，它不能對通信安全提供諸如密鑰的分級發送管理、身份認真和電子簽名這樣一整套嚴格完整的全方位的服務。