信息化觀察網(wǎng)

量子通信技術(shù)是利用量子力學(xué)原理為傳統(tǒng)密碼系統(tǒng)分發(fā)密鑰。一種技術(shù)從原理到工程實(shí)施一般都會(huì)有不同的途徑和方案，例如利用原子核裂變釋放能量可以制造原子彈，制作原子彈的材料可以釆用鈾235或者钚，具體方案又有槍式和內(nèi)爆等。一種技術(shù)的效果和優(yōu)劣不完全取決于它釆用什么原理，更關(guān)鍵的是決定于實(shí)施的具體方案。許多時(shí)候，原理看上去是“頭頂光環(huán)、美輪美奐”，方案出爐卻是“歪瓜裂棗、面目全非”。

量子通信在工程實(shí)施中也有多種不同的技術(shù)方案，這些技術(shù)方案又稱為協(xié)議，例如BB84協(xié)議、E91協(xié)議、B92協(xié)議和MDI-QKD協(xié)議。這些協(xié)議各有所長，安全性能也有高低不同。所以爭(zhēng)論量子通信是否安全沒有什么意義，真正應(yīng)該關(guān)心的是量子通信的某某協(xié)議是否安全。因此通常都是“外行看原理，內(nèi)行看協(xié)議。”

中國已建的所有量子通信工程使用的都是BB84協(xié)議的改進(jìn)版—誘騙態(tài)，這種技術(shù)方案在測(cè)量端存在許多嚴(yán)重的安全隱患[1]，而且至今沒有妥善的解決辦法。這可不是我的主觀判斷，中科大量子通信團(tuán)隊(duì)公開發(fā)表的論文中白紙黑字這樣寫著：

“盡管安全補(bǔ)丁可以抵御某些[對(duì)測(cè)量端]的攻擊，但補(bǔ)丁對(duì)策本身可能會(huì)打開其他漏洞。結(jié)果，這可能會(huì)引入另一層安全風(fēng)險(xiǎn)（參見：Huang等人，2016a;Qian等人，2019;Sajeed等人，2015b）。此外，安全修補(bǔ)程序的主要問題是它們僅阻止已知的攻擊。對(duì)于潛在的未知攻擊，對(duì)策可能會(huì)失敗。因此，安全補(bǔ)丁只是臨時(shí)的，它已經(jīng)違背了QKD的信息理論安全框架。”[2]。

由此可知，所有已建的量子通信干線都不是絕對(duì)安全的，恰恰相反它們都是絕對(duì)的不安全。造成今日的尷尬局面有客觀因素，但是量子通信推動(dòng)者的主觀失誤要負(fù)主要的責(zé)任。

解決測(cè)量端安全隱患存在較好的一攬子解決方案，即“測(cè)量設(shè)備無關(guān)量子密鑰分發(fā)”（MDI-QKD）協(xié)議[3]。MDI-QKD協(xié)議誕生于2012年，2013年己有多個(gè)實(shí)驗(yàn)室成功實(shí)現(xiàn)該協(xié)議，到了2016年MDI-QKD在傳輸距離、密鑰成碼率等主要技術(shù)性能得到大幅提升，已經(jīng)具備了替代老舊的BB84方案的可能。

京滬量子通信干線立項(xiàng)于2013年，是在MDI-QKD誕生之后，工程建設(shè)期中MDI-QKD日趨成熟。如果工程略為推遲一點(diǎn)，全部工程就可以采用先進(jìn)的MDI-QKD方案，京滬量子通信干線至少就不用為測(cè)量端的安全隱患而煩惱。

最令人費(fèi)解的是，量子通信滬合、京漢、漢廣等干線立項(xiàng)已經(jīng)到了2018年，這時(shí)候MDI-QKD技術(shù)已經(jīng)相當(dāng)成熟，但是它仍被工程決策者拒之門外，這無論如何也很難自圓其說。

與目前使用的BB84誘騙態(tài)相比，MDI-QKD的工程成本會(huì)更高一些，密鑰的成碼率可能也低一些。但是量子通信工程的目標(biāo)是建設(shè)高安全性的密鑰分發(fā)設(shè)施，那么工程成本和成碼率就不應(yīng)成為主要的考慮因素，至少不能為了節(jié)省工程成本提高成碼率而犧牲安全性，否則建設(shè)量子通信工程意義究竟何在？

唯一的解釋是，量子通信工程的推動(dòng)者從一開始就沒有打算建設(shè)一條絕對(duì)安全的密鑰分發(fā)干線，他們從立項(xiàng)開始就在安全標(biāo)準(zhǔn)上放水，決定放棄使用MDI-QKD方案就是一個(gè)最好的證明。

量子通信工程推動(dòng)者拒絕采用MDI-QKD的借口可能是“要與時(shí)間賽跑”，但是從上圖的時(shí)間節(jié)點(diǎn)來看，這個(gè)借口是十分勉強(qiáng)的。即使為了釆用MDI-QKD把京滬量子通信工程略為移后幾年，絕對(duì)是利大于?，畢竟工程建設(shè)是百年大計(jì)，安全穩(wěn)妥應(yīng)該壓倒一切。

事實(shí)上量子通信工程的急迫性根本就不存在。量子通信工程只是用物理手段為通信雙方分發(fā)一個(gè)隨機(jī)數(shù)，用它作為密碼加密解密時(shí)的密鑰，又稱為量子密鑰分發(fā)QKD。必須明白，遠(yuǎn)在QKD出現(xiàn)之前密鑰分發(fā)就有了多種成熟有效的技術(shù)，QKD既不是密鑰分發(fā)的唯一方案，更不是密鑰分發(fā)的安全有效方案。

目前，密鑰分發(fā)在企業(yè)專網(wǎng)上使用對(duì)稱密碼為主，在互聯(lián)網(wǎng)上則使用公鑰密碼。理論上，量子計(jì)算機(jī)破解密碼的威脅也僅對(duì)公鑰密碼有效，而高端絕密信息很少會(huì)在互聯(lián)網(wǎng)上傳輸，所以QKD即使能替代公鑰密碼其意義也是十分有限的，如果它真能做到的話。

況且，大型實(shí)用的量子計(jì)算機(jī)還在末定之天，公鑰密碼也遠(yuǎn)非像宣傳的那樣脆弱不堪。應(yīng)對(duì)未來的抗量子攻擊的公鑰密碼（PQC）技術(shù)也比量子通信（QKD）更成熟更有效。

所以從根本上看，量子通信工程沒有必要性更不具備急迫性，京滬量子通信干線建成三年多來“門庭冷落車馬稀”的現(xiàn)狀就是是最好的注解。如果量子通信工程是國家一日不可須臾的戰(zhàn)備工程，那么理應(yīng)快馬揚(yáng)鞭加速建造，但是國家量子通信骨干線的進(jìn)度不僅沒有加速反而是連年減速，這一二年更是斷崖式減速，這再一次證明量子通信工程的急迫性完全是子虛烏有。

雖然從國家利益來看量子通信工程完全不具備急迫性，但是某些設(shè)計(jì)生產(chǎn)量子通信設(shè)備的利益團(tuán)體卻有著他們自己的打算，對(duì)于他們來說盡快銷售他們的產(chǎn)品是最要緊的，當(dāng)然去科創(chuàng)板上市更有急迫性。

急匆匆地把產(chǎn)品銷給了各級(jí)政府，火燎燎科創(chuàng)板也上市了，留下的好幾條量子通信干線使用的卻是安全漏洞百出的老舊方案，明知有較安全的MDI-QKD技術(shù)方案卻不予采用，這使工程的未來發(fā)展陷入深深的困境。

由于MDI-QKD與舊方案BB84誘騙態(tài)不兼容，如果新建的工程采用新的方案MDI-QKD，那么已建成的量子通信干線必須全盤推倒重來，否則的話新建的量子通信干線勢(shì)必又只能繼續(xù)使用舊方案。這就是量子通信工程今日陷入兩難困境的一個(gè)重要原因，正可謂，“一著不慎，滿盤皆輸。”

有必要指出，MDI-QKD只是解決量子通信QKD在測(cè)量端安全隱患的相對(duì)較好的一種方案，它不是絕對(duì)安全的方案，況且量子通信的安全問題也遠(yuǎn)非只存在測(cè)量端。近年來就在MDI-QKD的光源端發(fā)現(xiàn)了好幾處安全漏洞，至今也沒有完整有效的對(duì)策[4]。QKD的可信中繼站里的問題更多更嚴(yán)重，而且在可預(yù)期的未來難有工程解決方案[5]。

量子通信工程從光源到可信中繼站再到測(cè)量端是“處處冒煙、點(diǎn)點(diǎn)失火”，從頭到尾沒一處是安全的可靠的。在高安全性的需求領(lǐng)域，根本就不可能采用量子通信工程來分發(fā)密鑰的，所以量子通信產(chǎn)品至今無法進(jìn)入國家的核心密碼和普通密碼系統(tǒng)之中。其實(shí)按目前情況，量子通信產(chǎn)品是否能通過商用密碼標(biāo)準(zhǔn)審核都要打上一個(gè)問號(hào)。量子通信工程就是“繡花枕頭一包草”。

其實(shí)令我反感的，遠(yuǎn)不是量子通信的無能，而是它所戴的漂亮光環(huán)。

參考資料

[1]QKD檢測(cè)端的安全隱患主要可歸結(jié)為以下幾類：

檢測(cè)器效率不匹配攻擊（Detector-efficiency mismatch attacks）

波長依賴性攻擊（Wavelength-dependent attack）

檢測(cè)器控制攻擊（Detector control attack）

激光傷害攻擊（Laser damage attack）

在這些QKD檢測(cè)端安全隱患中，尤以“檢測(cè)器控制攻擊”最為復(fù)雜嚴(yán)重。檢測(cè)器控制攻擊又可細(xì)分為：檢測(cè)器致盲攻擊；檢測(cè)器后門攻擊；檢測(cè)器超線性攻擊。

[2]“Secure quantum key distribution with realistic devices”P.36

[3]實(shí)際QKD系統(tǒng)中，因?yàn)槠骷牟煌昝佬詫?dǎo)致一系列安全性漏洞，針對(duì)這些安全漏洞存在多種攻擊方案。2012年多倫多大學(xué)的Hoi-Kwong Lo等人提出的測(cè)量設(shè)備無關(guān)的量子密鑰分發(fā)協(xié)議（measurement-device-independent quantum key distribution，MDI-QKD）關(guān)閉了QKD系統(tǒng)所有測(cè)量端的漏洞。在MDI-QKD中通信雙方Alice和Bob分別隨機(jī)制備BB84弱相干態(tài)，然后發(fā)送給一個(gè)不可信的第三方Charlie進(jìn)行貝爾態(tài)測(cè)量，根據(jù)Charlie公布的貝爾態(tài)測(cè)量結(jié)果Alice和Bob建立安全的密鑰。MDI-QKD可以等價(jià)為一個(gè)時(shí)間反演的BBM92協(xié)議。

[4]介紹一篇有關(guān)量子通信安全性的科學(xué)論文

[5]量子通信技術(shù)困境之三：極不安全的可信中繼站