8月16日凌晨,中國首顆量子科學實驗衛(wèi)星“墨子號”在甘肅酒泉衛(wèi)星中心發(fā)射升空��。它同時是世界上首顆量子衛(wèi)星�,中國成為全球第一個實現(xiàn)衛(wèi)星和地面之間量子通信的國家,加上今年下半年建成的地面光纖量子通信網(wǎng)絡�,國內將初步建成廣域量子通信體系。
在理論上����,這種不可竊聽不可復制的信息傳輸方式���,可以保證信息傳輸?shù)慕^對安全,這是唯一一種從物理上保證信息安全的方式�����,和過去以計算復雜性為基礎的傳統(tǒng)密碼通信相比��,顯然要高明的多����。
但是現(xiàn)實上,量子通信究竟是什么���,它是不是真的能夠保證信息安全�����,在密碼學界一直存在爭議����。上海大學數(shù)學系的密碼專家曹正軍看來�,這種看似無懈可擊的通信方式,實際上是以犧牲信號穩(wěn)定性為代價的,一旦存在敵方的任何形式的入侵行為��,不管是竊聽����、復制還是干擾,量子通信都將無法實現(xiàn)���,而傳統(tǒng)的密碼體系��,都是假設敵方可以獲取信息,但是從計算復雜性上讓敵方無法破解��。
“如果敵手消失了����,那么任何密碼技術都是多余的。”
在他看來�,從這個意義上說,量子通信可以說是只要有敵方存在就辦不了事�����,而這樣的系統(tǒng)�,最終也只能淪為擺設。
雖然他的相關論文已經(jīng)發(fā)表�,但是在國內的一些會議上提出這些想法的時候����,卻受到一些學術之外的詰難�,原本他不愿介入這種學術江湖之爭,但是我們希望通過這篇文章告訴大家�,量子通訊可能并不完美,至少不像很多人說的那樣好���。
量子通訊主要是指利用量子態(tài)作為傳輸介質來協(xié)商臨時密鑰--經(jīng)典的比特串�,該臨時密鑰可以作為對稱密碼系統(tǒng)(如AES)的加密密鑰����。傳統(tǒng)密碼學假設敵手獲得了所有的通訊信號,在此假設下研究如何阻止敵手獲得蘊藏在信號中的信息����,它的研究目標是信息安全。
量子密碼學能夠阻止敵手竊得通訊信號����,它的研究目標是信號安全�����。信號安全真的能保證信息安全嗎�����?
量子通訊研究始于Bennett和Brassard提出的BB84協(xié)議�����。
1984年, IBM公司的研究人員Bennett和蒙特利爾大學的學者Brassard在印度召開的一個國際學術會議上提交了一篇論文《量子密碼學:公鑰分發(fā)和拋幣》(Quantum cryptography: Public key distribution and coin tossing)��。
BB84協(xié)議的原理����,是由A向B發(fā)射一系列不同偏振態(tài)的光子�,B對其進行隨機測量,然后選取符合A要求的測量結果作為密碼�,在驗證密碼的過程中,如果存在竊聽行為,可以從測量結果的錯誤率中發(fā)現(xiàn)���。
文章宣稱量子密碼學能夠發(fā)現(xiàn)竊聽行為�,是絕對安全的�����。其理論基礎是量子力學的測不準原理���。
因為一個未知的量子態(tài)是無法復制的�,一旦敵手試圖竊聽量子信號�����,將有一半的機會改變發(fā)送方發(fā)送的量子態(tài)�,所以接收方就會無法正確地恢復出發(fā)送端發(fā)送的信號。
發(fā)送雙方事后通過一個傳統(tǒng)信道進行公開比對�,如果發(fā)現(xiàn)雙方在采用同樣的測量方案時測得的量子態(tài)是不一致的,就可以斷言量子信道上有竊聽者���。量子密碼學的目的是阻止敵手獲得信號�����,是一種物理手段���。
該協(xié)議一直被稱為量子密鑰分發(fā)��,實際上就是利用量子態(tài)來協(xié)商臨時密鑰��,得到的是普通的比特串�����,而不是某些人想象的量子比特串��。
量子密鑰分發(fā)這種叫法本身就是錯誤的����,正確的叫法應該是量子密鑰協(xié)商����。他們沒有認識到密鑰分發(fā)和密鑰協(xié)商之間的差別�����,把一個簡單的密碼模型誤認成一個復雜的密碼模型���。
密鑰分發(fā)是把預先存在的一些密鑰分發(fā)出去��。密鑰協(xié)商則是用戶之間通過信息交互商定一個共同的密鑰�,這個密鑰事先并不存在。
顯然密鑰分發(fā)比密鑰協(xié)商更困難����。他們的后繼者也沒有認識到這個錯誤,還很冒失地把量子密鑰協(xié)商叫做量子密鑰分享���。很多從事量子通訊研究的物理人士還缺乏必要的密碼知識與通訊知識����。
目前實際通信中使用的�,都是混合密碼體制,先用公鑰密碼(如RSA)來傳遞臨時密鑰�����,再把臨時密鑰作為對稱密碼系統(tǒng)(如AES)的密鑰來加密文本��,F(xiàn)有公鑰密碼體制基本上依賴于兩個數(shù)學難題:大數(shù)分解和離散對數(shù)�。
雖然利用利用量子計算機的Shor算法宣稱在多項式時間內不僅能分解大整數(shù),還能夠求解離散對數(shù)�����。這也是Shor算法能夠破解所有公鑰密碼體制的由來。但二十多年來的量子計算理論發(fā)展及實踐是令人沮喪的��,破解公鑰密碼仍然遙不可及�。
在傳統(tǒng)的密碼學中,敵手分為兩種類型:被動型的敵手和主動型的敵手����。在攻擊一個密碼系統(tǒng)時,往往先竊聽�����,獲得所有的通訊信號后再加以破譯�,以便恢復出蘊藏在信號中的信息,這種攻擊稱之為被動型攻擊�����。
一個惡意的敵手會通過物理技術手段篡改或破壞通訊信號�����,以便欺騙用戶或者使得用戶無法達成有效的通訊���,這種攻擊稱之為主動型攻擊���。
量子通訊從物理上剝奪了敵手竊取信號的能力,敵手的竊聽行為直接破壞了量子信號�,因此量子密碼學中的敵手都是主動型的敵手。
有些人認為在量子通訊時一旦發(fā)現(xiàn)了敵手就可以暫時中斷通訊��,等敵手消失時再恢復通訊����。這種想法是錯誤的。密碼學總是假設敵手一直存在的���,如果敵手消失了�,那么任何密碼技術都是多余的�����。
通訊的首要目的是穩(wěn)定性��,即接收方能夠正確地恢復出發(fā)送方發(fā)送的信號���。傳統(tǒng)密碼學立足于信息安全��,主要包括機密性和認證�����。就機密性而言�����,目的是阻止敵手獲得蘊藏在信號中的信息�,是一種智力手段。
一個信息安全系統(tǒng)雖然不能從物理上削弱敵手竊取信號的能力���,但是能夠從智力上保證敵手無法獲得蘊藏在信號中的信息���,即信息安全與通訊系統(tǒng)的穩(wěn)定性是兼容的。
量子密碼學立足于信號安全���,從物理上剝奪了敵手竊取信號的能力�。在有敵手竊聽的情況下����,量子通訊無法保證接收方獲得正確的信號,也就是說信號安全與通訊系統(tǒng)的穩(wěn)定性是不兼容的。
量子通訊的信號安全是以犧牲通訊的穩(wěn)定性為代價的���,有了敵手就干不成事的量子通訊系統(tǒng)最終也只能淪為一個擺設。 
