如何評價北京郵電大學教授楊義先教授的文章《量子的安全笑話》，量子通信真的絕對安全嗎，或如文章敘述一般？

12-07

全文鏈接如下https://view.inews.qq.com/a/KEP201610240123270B

作為在這個方面還算有了解的人(USTCer)，這裡給出我的看法吧：

首先，量子密碼最主要的也是最核心的也是現階段用的最多的部分是量子密鑰分發(QKD)。

量子信息用於量子密鑰分發是一個相對成熟的領域，特別相對於量子計算：前者已經投入商業生產（用於新華社，南非世界盃，國慶閱兵，包括國內一些銀行，以及在建的京滬幹線；生產相關晶元和設備的公司國內外也不在少數），後者目前只能做一些最簡單的「開創性」的實驗驗證。

所以量子信息這套東西至少是「靠譜」的，理想情況下它保證了端到端之間的「絕對安全」，實際中由於設備和技術的缺陷（沒有理想的單光子源，測量設備依賴雪崩效應等），一直有人想方法進行所謂 "quantum hacking"，比如竊取弱相干光源的光子，強光致盲光子探測器等等。但是這些問題也導致了大量 anti-quantum hacking 手段的出現，anti-quantum hacking 至少在目前佔據優勢，基本可以達到「絕對安全」的要求。

而且，量子密鑰方法也可以（實際上常常是）融入經典密鑰的系統：量子密鑰目前主要還是用在密鑰分發這個過程中，其他部分用目前可以信任的經典方案來實現（而不是理論上的基於xor的一次一密），比如密鑰分發後可以使用對稱加密，對稱加密（AES等）目前量子計算或者其他計算模型還沒有真正有效的破解方案（是真正有效的方案都沒有，更別提實現了）。這樣的系統至少安全性要比原來純經典的系統要好不少，也就是有實際的應用價值。

如果真要說量子密碼的問題，更應該從這些方面考慮：

目前量子密鑰的最主要的攻擊點是：

1. 現在「可靠」密鑰分發依賴RSA／橢圓曲線這些公鑰密碼演算法，而這些是理論上容易被量子計算機破解的。

2. 量子密鑰可以進行真正一次一密的絕對安全加密，需要和原文一樣長的密鑰，並且每用過一次就丟棄。但是目前量子信道的速度很多時候還達不到這個要求（純粹從量子信道，得到和原文長一樣的密鑰時間太長），所以這個暫時不作為真正的攻擊點。

所以反攻點如下（主要對付攻擊點1）：

1. 經典的廉價替代方案：雜訊等特殊信道的上面的某些特定形式的密鑰分發（雖然物理理論上不是絕對安全，但是只要讓可以預見的未來工程上的難度足夠高，也就是安全的）

2. 經典的抗量子演算法的公鑰密碼演算法：甚至有些已經申請了專利

3. 量子計算機在可見的未來，由於工程和一些未考慮的理論（比如即使不是指數的複雜度，一個夠大的多項式複雜度實際上也是工程上難以實現的）上面的原因，不能真正有效完成足夠大整數的分解，從而不會對 RSA 造成真正威脅。這個是有可能的，因為 1. 現在shor演算法複雜度大約是O(n^3)，但是真正要完成可拓展的shor演算法來分解任意大的數一定需要糾錯等，這些操作需要額外的複雜度，可能把（不能確定，因為目前此方面實驗進展極其緩慢，還只能分解toy級別的數，這個只是參考了量子光學方案的一種理想的糾錯方案）總複雜度提升到O(n^6)或者更高，這樣雖然不是指數複雜度，但是破解當今4096位這種對於未來RSA標準可能很弱的數也要~149745年（假設1個量子門耗時1ns），更何況RSA標準可以很方便的增大大數的位數。而且現在量子計算方面的shor演算法演示實驗都是根據已知的結果（比如知道21=3*7）或多或少簡化了實驗設備和流程，真正的應用中這是不可行的。

作為有一點量子力學和量子信息基礎的人，先佔坑，爭取周末有時間的時候詳述。先說幾點感想：

1 質疑文章有典型的民科味道，明顯對量子通信和量子計算的理解還處於基本不懂的水平。不知道是不是該教授所寫，嚴重懷疑某民科記者的借殼炒作。坐等打臉。。。。

2 量子通信的安全特性不是來自於量子產生的隨機數，而是量子不可複製和觀測坍縮的特性，具體過程我打算之後補個文章寫寫。基礎好一點的人可以直接搜一下bb84協議，立馬清晰明了。
一更：評論區有人問量信為啥安全，我先簡單說下：
稍微麻煩一點，我試著解釋清楚。首先量子通信實際應當叫量子密鑰分發。量信只傳密鑰（隨機數），再用傳統信道發加密信息（一次一密，不可破解）。籠統的講，由於量子不可複製，竊聽者拿到的部分接收者拿不到，這部分就不會是密鑰的一部分（收發雙方協商好的部分才能成為密鑰），竊聽者只拿到一串沒用的隨機數。實際情況要複雜一些，量信部分完成後收發雙方要通過傳統信道校對測量極性（不包括測量結果，所以被監聽也不怕），實現協商密鑰，但原理和前面一樣。
二更：評論區有人覺得傳統信道的加密信息採用經傳統的加密方式可能被破解。其實大可放心，加密演算法是一次一密。這個演算法早已經從理論上證明了，沒有密鑰就無法破解。但是每次通信都要傳輸加密信息的同時，傳送信息量同樣大的密鑰，傳統手段很難保證兩條通信線路都安全，所以量子通信出現以前並不普及。量子通信正好彌補了這個不足。

3 沒有任何權威人士說量子計算機可以讓一切密碼學家乖乖投降。本來量子計算機的現有演算法只能加速破解一些常用加密演算法，加速程度也不同。防量子計算破解的加密演算法研究也是密碼學的一個分支，不少博士還靠這個畢業呢。。。。

加班期間手機打的，見諒。

看了這文章之後以為是假的，沒想到北郵還真有這麼個人。當然也有可能是別人盜用他的名號寫的。

沒有時間逐一反駁。因為要反駁的實在是太多了。我就從宏觀上簡單說一點我所知道的。

首先，經典通信基本上還是依賴於計算的複雜性，新型的演算法或許有，但目前還沒出現。而RSA提出都40年了，還沒有替代者。那再過幾年（大概幾十年）吧，量子計算機做出來，現在所以的加密手段都將失效。

其次，量子通信在理論層面確實是無條件安全的。物理上有理論支撐，數學上也有嚴格的證明。但我們在實現量子通信的過程中，發現現實的儀器總達不到我們理論所要求的那樣。這個鴻溝，就是量子密碼工作者去填補的過程。比如加拿大華裔學者Lo，把對儀器有完美要求的BB84協議改進為設備無關的協議(MDI)。此外還有從光源的角度，把衰減的激光源代替目前還沒有的完美單光子源。這些都極大的推進了量子通信的實用化。這一層面上，楊教授書讀的還是不夠。

最後，量子通信系統早就做出來了，比如蕪湖政務網。京滬幹線也快通了。

最後，舉一個非常簡單的例子來說明量子通信與經典通信的區別。比如中央要與上海通信，用經典手段的話，不管是通過自由空間還是光纖，信息均可被截取。即使現在的計算能力無法破解，留著等以後計算機能力加強後還是可以解密的。而量子通信對竊聽是非常敏感的，非常容易發現竊聽者。所以竊聽者無法獲取任何信息。像楊教授的例子也是有失妥當的，經典通信說光纖難以插入這只是技術上的，而量子通信從理論上就排除了竊聽的可能性。從這方面來看，楊教授還不理解理論與技術的區別。

我做個類比，簡單翻譯一下文章的兩個部分？

第一部分（量子通訊部分）：

就算你呆在白宮也不是絕對安全的。世界上面就沒有絕對安全的東西。現在就算是國際上沒有人會打白宮，恐怖分子攻不下來，也不代表是絕對安全的。過去就有很多地方最後被打下來了。萬一恐怖分子發明了某種黑武器呢？萬一外星人入侵呢？美國白宮不照樣被攻下來。

第二部分（量子計算機部分）：

是不是人類到了光速就是極限了呢？不是的。過去人們覺得到達音速就是極限了，結果就超音速了。光速也是一樣的。就算現在相對論的框架下到是極限，萬一未來可以研究出什麼新的理論可以超光速呢？過去我們也是這樣超音速的。

以上，這位教授的所有的觀點都是基於「可能」上面。同時，另外說的就是量子通訊沒有被運用到實際上面，不能證明一定安全。但是我們說量子通訊絕對安全的時候，說的就是，在目前的技術框架上，量子通訊在理論上絕對安全。（典型的新聞意思都沒有理解清楚就胡亂髮聲）量子通訊可以同時產生同一個隨機的密鑰，而且一旦竊聽就會被發現，根本沒有密鑰傳輸過程，你說應該怎麼解？硬要是未來軟體設計有漏洞，或者有新的技術突破也不是不可能，但是這根本就與討論無關。

另外量子計算機部分也是如此，關鍵是非對稱密碼體系的數學基礎失效了，你硬要說未來可能有某種新演算法可以搞這個加密，也不是不可以，反正前途是光明的，一切都有可能。但是目前有沒有替代方案呢？除了量子通訊，好像還真的沒有。否則他的文章不可能不提到，科學界也不可能不去研發採用。

首先，量子通信有兩個不同概念，一個是量子密鑰分發，一個是量子隱形傳態。

量子密鑰分發仍然遵守經典密碼學的原理，通過分發私鑰來實現加密和解密：
比如A要加密傳輸一個文件給B，首先通信系統產生一個密碼作為「私鑰」發送給他們倆，然後A用這個密碼來加密文件，把加密後的文件傳輸給B，B再用同樣的密碼來解密。
這個過程的危險在於如果有監聽者C同時獲得了A發出的加密後的文件和分發時的私鑰，C就能自己解密文件。

量子密鑰分發，顧名思義就是這個分發途徑是量子的，產生私鑰後必須直接送達通信雙方，這個過程中任何外界監聽都必然會擾亂私鑰狀態，從而導致通信雙方發現監聽的存在並拋棄這個私鑰。
這個擾亂狀態是物理定律層面的，就像在引力場中的一個物塊不受別的力作用的情況下必定自由落體一樣，不是光纖插接困難之類的技術問題。
這也是中科大潘建偉團隊的衛星使用的方法。

量子隱形傳態是個詭異得多的方法，在此只簡述原理。看的時候請提醒自己，這個過程是被實驗驗證的，沒有實驗的話這種現象簡直詭異得令人完全不能相信。
假設我們要從地球到月球傳輸一個量子態A，也就是一個粒子目前的狀態是A。地球的發送方持有A和B粒子，月球的接收方持有C粒子，並且B和C處於糾纏態。
現在地球的發送方對A和B構成的整體進行一次測量，得到「A和B的整體狀態」（從A和B的整體狀態中是不可能還原出A單獨的狀態的）（這一測量後，A、B、C的狀態都和測量前不再一樣了）；
然後地球方面把這個「A和B的整體狀態」通過經典通信方式發送給月球（由於不能從整體中還原出A單獨的狀態，這個信息即使被竊聽也對竊聽者毫無意義）；
月球方面通過接受到的「A和B的整體狀態」，可以得出一種獨特的變換方法，將這個方法用在C上，C就會「變成」測量前的A，或者說C的狀態將是測量前的A的狀態的完美複製品。

這樣就實現了從地球將A的狀態信息傳遞給月球。要竊聽這樣的系統，在目前物理理論允許的情況下只有一種可能：完全控制發送端和接收端。這個完全控制不只是安插間諜偷出信息什麼的，因為你就算拿到了完整的「A和B的整體狀態」，如果沒有曾經與B糾纏的那個粒子C，你也不可能還原出A原本的狀態。

名詞解釋完畢，接下來是文章評價：這篇文章是從密碼學的角度出發的，但是作者似乎不太明白量子通信的分類和原理，因此出現了一些基本謬誤，比如認為不確定性原理和「難以在光纖上插入竊聽設備」是同一等級的技術問題，精良的技術可以解決。實際上，即便是拋棄所有現實限制的理想實驗也不能繞開不確定性原理。

能糾正一下密碼學藥丸，量子計算賽高的誤解也是好的，但是我認為既然是公開的科普內容，作者有責任保證其嚴謹性，著將來會給其它認真科普的人造成很大的負擔。
AES的量子實現和破解都有，scholar里搜一下應該不難找到。我想說矛和盾是在不斷被製造出來的，基於量子線路的加密也是有的，如何攻破新的量子通信也是有人在研究的（記得叫quantum hacking？），比如想辦法讓你以為在用量子信道通信，其實在用經典信道...
然後一般扯量子計算的時候談並行很容易造成「只是相當於更大的超級計算機」的誤導。量子計算的意義在於使得我們能夠用有限的資源求解一些複雜度比較大的比如一些NP問題（準確的說是BQP）。所以講道理，複雜度在BQP內的加密應該都能用量子計算暴力破解。
安全性是由物理定律保證的，我們當然依然無法阻止「社會工程學」的破解。量子通訊分兩種密鑰分發建立在密碼學之上，容易實現一些，隱形傳態沒那麼容易實現，但是更安全。
吐槽一下，既然是寫博文，還是查幾篇文獻，問問幾個搞量子的人，認真寫一下比較好。畢竟容易造成一些誤解，這句話同樣適合一些新聞報道。
然後為什麼有種沒看過Nielson和Isaac chuang的text book，就敢寫blog的感覺...似乎現在量子計算的文章幾乎是必引這本書了吧...

沒認真寫的文章肯定容易被吐槽，就不一一去找哪裡出錯了...感覺挺浪費時間的...

之前看過果殼的文章，說量子通訊的安全，主要在於線路被竊聽的時候立刻會毀滅。

恭請各位移步去看看我的專欄文章量子通信安全性分析 - 思考者 - 知乎專欄

量子通信安全性分析
https://www.zhihu.com/people/wo-wo-44-88

八里土人 · 2 個月前
隨著量子通信衛星「墨子」發射成功，近來量子通信成了熱點。很多新聞中把量子通信說成絕對安全，把基於數學原理的現代密碼學貶得一文不值。這裡對量子通信的安全性做一個初步分析，澄清一些大眾大誤解。

一般分析系統安全性，以CIA為維度。CIA並不是美國中央情報局，而是「機密性」，「完整性」，「可用性」作為評估維度。

加解密與密鑰基礎

加解密演算法粗分2種，對稱密鑰和非對稱密鑰。對稱密鑰是加解密密鑰相同，加解密用一樣的密鑰。這種密鑰一般越隨機越好，不需要特定的數學結構。另一種是非對稱密鑰系統，加密和解密用不同的密鑰。雖然兩個密鑰都可以藏起來不公開，但是由於非對稱獨特的性質，經常用於公開密鑰系統。公開其中一個，稱為公鑰，藏起一個來只有一個人知道，稱為私鑰。公私鑰成對出現。一般情況下公鑰主要用於加密發給特定的人，誰都可以加密但只有私鑰持有人才能解密。私鑰一般用於簽名，用來證明自己就是私鑰持有人，也就是可以做信息來源認證。

對稱密鑰也可以做認證，比如sim卡就用對稱密鑰認證。但是對稱密鑰認證只能用於兩個通信實體或設定的一組通信實體，非對稱密鑰可以用於與未知者的認證。例如pki系統，ibe/ibs系統，php系統等。

由於非對稱加解密和簽名演算法耗費比較大，一般是ms級計算，比如大家常舉例的RSA演算法。所以不適合做大量數據的加密，一般用於密鑰協商，通過非對稱演算法和某些協議生成只有兩端才知道的對稱密鑰供後續數據加解密用。

量子密鑰協商

量子通信目前替代了這個密鑰協商過程。非對稱的密鑰協商過程一般是基於某個數學難題，比如大數分解質因數，比如離散對數之類的難題。這些難題都是不能證明沒有簡單解法的。一旦某些人有了簡單解法，密鑰協商就不安全了。另外隨著計算機能力提升，以前的難題現在或將來都不是難題了。而進入愛國者的法眼的，是「西方國家可能對密碼學難題有後門，RSA和AES對中國是難題，但是對美國政府可能不是難題」。

量子通信則是基於不確定性和糾纏特性這種基本物理性質（的假設）進行密鑰傳播，至少目前還沒有觀測到這些物理性質可能不符（但同時也不能確定以後會不會有這些物理特性的破解）。從原理上說，和數學假設相似，但是大家對物理定律的篤信程度要高於數學難題，所以認為量子通信傳輸密鑰要比基於數學的非對稱協商要安全。

量子通信安全性分析

現在經常有人稱量子通信為「量子通信加密」，這是一種錯誤的說法。量子通信其實不解決加密問題，他解決的是密鑰協商問題。量子通信伴隨著的是一種「一次一密」的演算法。「一次一密」是被資訊理論和數學原理證明「絕對安全」的加密演算法。他要求加密密鑰必須隨機，密鑰長度至少和要加密大數據一樣長，而且用過以後必須徹底銷毀。這3個特性註定了一次一密的可實施性很差，因為傳輸一定長大數據，必須有等長的密碼傳送，通信效率降半。而且密碼的傳送也要保證安全性。量子密鑰分配技術雖然能解決密碼傳送的安全問題，但量子密鑰傳送的效率低到了不可接受的地步。就QKD BB84的實施，即使全部光子都到達對端，有一半的光子要被丟棄（收發端選擇相同調製基的概率是1/2）。同時，還需要一個公開的信道公開基。可以發現，效率又要降低一半。這些還不算致命，傳送1個比特用4個比特的通信量也不算過分。致命的是量子通信必須基於單光子，而單光子在信道衰減的情況下的表現就是死亡。知呼上有人提出，在青海湖的百公里實驗中，信道衰減率是70db，意味著統計結果是每發百萬個光子才能接收到一個。也就是說，每傳1bit的數據，百公里需要400Mbit的通信。要是傳百M的數據，怎麼辦？

所以量子通信實際上並沒有採用「一次一密」，他還是用了基於現代密碼原理的演算法，例如AES，3DES等等。如前文所述，實際上的數據通信，還是有可能被「美國政府破解」。當然，他的密鑰協商過程是不被破解。但是誰有能保證RSA有後門而AES沒有後門呢？沒有「一次一密」的量子通信，就失去了他大半的價值。

而對於密鑰協商，他解決了完整性問題而不是機密性問題。比如說，不可能用量子加密一條明文消息「我銀行密碼是123456」，或者「各部隊同步，總攻明天早上8點開始」量子通信傳這樣的消息是不可能的，信息泄露會造成損失。而密鑰則不是，密鑰只要保證量子完整性就可以保證機密性，因為發現完整性被破壞就棄之不用，並不會影響信息泄露。

還需要注意，量子通信傳輸對稱密鑰和非對稱密鑰有不同的要求。前者只要有量子隨機數發生器就好使，而後者要求有一定的數學結構，在某些情況下傳對稱密鑰可能沒問題，傳非對稱密鑰會有問題。比如QKD BB84協議中，A和B其實只能選擇一部分比特作為密碼，而且是哪些比特是沒法確定的，是隨機的。在這種情況下，非對稱密鑰就無法傳播。例如RSA的密鑰中的【n，e】和【n，d】，要求n必須是兩個大質數的乘積，所以必須完整的傳送n，如果選定了e，那麼e和d都要準確完整發送。隨機選擇比特是不行的。至少著BB84的QKD中，公鑰系統的密鑰是無法傳送的。

量子通信用密鑰的物理完整性保護了密鑰協商。但是量子通信如果用一次一密，那麼數據的完整性又沒有保證。數據在中途遭到篡改，或者偽冒，接收端就可能解密出錯誤的信息。量子通信同樣未解決通信對端認證的問題（完整性的一部分），對端認證同樣需要其他手段去保證。通信的「訪問控制」，「防止抵賴」，「授權」，隱私等等，還是要藉助於現代密碼學。而這些環節每個演算法都可能與加密一樣有「美國後門」，量子通信仍然無能為力。

對於可用性，量子通信是很脆弱的，敵人竊聽幾個比特都可能廢掉幾十k數據的報廢。所以量子通信在真正的應用中是很有限制的。基於數學難題的非對稱密鑰協商則不怕中間人竊聽。在可用性上，量子通信是一個難以邁過的坎，而且也看不到有可能被解決。再加上前面討論的效率問題，量子安全通信的實用化還在遠方。而對於他的政治意義，即「美國留有後門」，量子通信只解決了很小一部分，在整個通信過程中，有各種演算法基於現代密碼學。如果美國有後門，他可以直接攻擊這些演算法就可以了。機密性必須在保證了完整性以後才有意義。

量子計算機恐慌

還有人提出，RSA等現代密碼學基礎，受到量子計算的挑戰，因此必須引入量子通信才安全。

這也不是事實。

雖然量子計算機設計出來能力怎麼樣是一個持續進步的量，但是量子計算機能力怎麼樣還是有數學模型的。也就是說，量子計算機的計算能力評估也是有據可依的。根據數學模型，量子計算機也不是計算能力無限的，而且和當前的計算機比起來，也只是在某些方面強。在某些方面和現在的計算機相比優勢並不大。這個數學模型並不是說現在萌芽狀態的量子計算機的能力怎麼樣，而是對成熟的量子計算機的能力進行的評估。

計算機領域一般以多項式和指數來討論計算能力或者演算法難度。量子計算機在離散對數和質因數分解方面把冪指數難度變成多項式難度，從而證明了量子計算機可以對抗當前最常用的非對稱演算法。多項式難度就是說你增加密碼長度一倍，我破解計算機加幾倍就可以破解。而冪指數難度是說密碼增加一倍長度，破解計算機的計算能力或數量要平方或幾次方才行。

但是，對於某些數學難題，量子計算機還是冪指數難度的。現在科學都是建立在精確的嚴格的理論基礎上的，不是隨便吹：量子計算機解決一切難題。

對抗量子計算機的數學難題存在是公認的事實，基於這些難題設計的加解密演算法也已經研究得比較成熟了。舉個例子，格密碼在破解方面量子計算機就沒有優勢，認為是對抗量子計算機的方法。量子計算機再發展，也突破不了某些極限。這些極限之外仍然有巨大的空間。

基於數學難題的現代密碼學在量子計算機還在種子階段就已經做準備了，量子計算機恐慌完全沒有必要。同時還要看到，量子計算機的計算能力，可以提高「知曉密碼的計算機」加解密的速度。這樣量子計算機也為加解密提供了新的思路和方向。———————
我寫得比較直白，楊教授寫得比較高深。

要是楊教授審量子通信，特別是量子安全通信方面的文章，是不是看都不用看，直接就拒搞，，，

&>&>&>&>

經典加密通信時代

從機械轉輪密碼機問世到量子加密通信出現之前的時代統稱為經典加密通信時代。

該時代的特點是：加密演算法複雜，保護強度大大增加；加密和解密工作量很大，一般要依靠電子計算機；只能通過基於數學的密碼分析學破解密文；一次一密方法保障密文絕對安全，但密鑰安全分發困難。

&>&>&>&>

量子加密通信時代

量子加密技術出現後的時代稱為量子加密通信時代。

該時代的特點是：加密演算法非常複雜，保護強度極大提增加；加密和解密工作量很大，必須依靠量子信息處理技術；量子加密信息幾乎不可能被竊取，更無從破解；量子密鑰分發技術實現密鑰安全分發。

經典加密技術在可預見的將來還將扮演重要角色。要充分理解量子加密通信技術的優勢，就必須把目光投向歷史的長河，對量子加密通信技術與經典加密通信技術進行比較。

在中國科學院上海微小衛星工程中心拍攝的量子衛星的星上單機。新華社記者才揚攝

「經典加密通信——靠計算量保密」

讓我們請出3位在密碼學和信息安全領域大名鼎鼎的虛擬人物——Alice、Bob和Eve，為大家直觀演示經典加密通信的基本流程：

Alice手中有一段明文要發給Bob。她把明文用加密密鑰加密，生成密文。然後把密文通過公開信道發送給Bob。Bob接到密文，用解密密鑰將密文還原成明文。與此同時，Eve這個未授權獲取這段明文信息的人也在公開信道上接收這段密文，並試圖通過某種手段破解加密，獲得明文。整個流程如圖 1所示。通常假定加密演算法是公開的，密文的安全取決於密鑰而不是加密演算法的保密性。而Alice和Bob使用的密鑰是相同的，這種加密體制稱為對稱加密體制。

圖 1加密通信流程

作為偷聽者，Eve可以有2條途徑來破解密文：

（1）通過對密文的分析來推斷明文和密鑰

首先回顧一下經典通信加密時代的最強加密方法：一次一密方法（one-time pad）。根據現有的資料，一次一密方法最早於1882年被美國人弗蘭克·米勒（FrankMiller）提出。但一般認為它的正式發明需歸功於美國陸軍軍官約瑟夫·馬伯格（Joseph Mauborgne），他於1920年左右在對貝爾實驗室工程師吉爾伯特·沃納姆（Gilbert Vernam）發明的一台自動加密機進行分析時提出，如果在加密一條信息時，密鑰滿足以下3個條件：

密鑰是完全隨機的；
密鑰的全部或任意一部分在使用過後永遠不會被重複使用；
偷聽者無法獲得密鑰，只能獲得加密後的密文；

那麼，無論偷聽者如何對密文進行分析，也不可能將其破解。這就達到了密文的絕對安全。換句話說，只要加密體系不完全滿足以上條件，那麼至少在理論上，偷聽者就可以通過分析密文獲得明文和密鑰。

然而，一次一密體制的絕對安全性要求付出昂貴的代價：首先，密鑰的長度必須不小於明文的長度。在信息量很大時，生產完全隨機的超長密鑰要求的工作量相當驚人；其次；密鑰本身必須安全送達Alice和Bob手中。這一般是通過可信第三方來完成。然而，如何保證第三方絕對不會泄露密鑰？只依靠對稱加密方案是很難辦到的。

實際使用的對稱加密體系幾乎都在安全性上做出了程度不等的妥協，換取可接受的實現成本。

（2）在密鑰分發過程中截獲密鑰

圖 1中，考慮到偷聽者Eve的存在，Alice和Bob使用的共同密鑰顯然不能通過公共信道傳輸，只能藉助第三方來傳遞，然而，Eve仍可能滲透第三方獲取密鑰。所以密鑰的交換長期以來是一個巨大的問題。

為了解決這個問題，1976年，斯坦福大學科學家威特菲爾德·迪夫（Whitfield Diffie）和馬丁·海爾曼（Martin Hellman）共同提出了公鑰密碼方法。該方法可靠地解決了密鑰安全交換問題，至少在被量子計算機碾壓之前是這樣。

使用公鑰密碼方法進行對稱密鑰交換的流程可以簡單解釋為：

Alice生成一個公鑰和一個私鑰，並把公鑰公開發布；
Bob用Alice的公鑰把對稱密鑰加密，並把密文通過公開信道發送給Alice；
Alice用私鑰解密Bob的密文，獲得對稱密鑰；
Bob和Alice使用對稱密鑰和對稱加密方法進行通信。

公鑰密碼方法需要的計算量很大，因此一般用於分發對稱加密所需的密鑰，主要的信息交互還是要依靠對稱加密方法。那麼，用公鑰密碼方法加密一次一密通信所需的密碼，就可以徹底解決密鑰安全分發和通信加密難題，讓偷聽者Eve傻眼了嗎？

很遺憾，公鑰密碼方法仍不是一種完美的解決方法。首先，該方法的安全性依賴於這樣一個假設：基於經典計算機技術，沒有足夠的計算能力和對應的演算法，能夠在可接受的時間內，把1個數分解為2個大素數的乘積。但是，迄今為止沒人能證明高效的分解演算法不存在，因此公鑰密碼方法完全可能一夜之間過時。甚至不能排除高效分解演算法已經被發明，但處於保密狀態的可能性。

其次，至少在理論上，量子計算機已經能在可接受的時間內解決公鑰密碼方法所依仗的大數分解難題。1994年，貝爾實驗室的數學家彼得·肖爾（Peter Shor）提出了一種基於量子計算機的大數分解演算法，也被稱為Shor演算法。該演算法是多項式複雜度演算法，能夠有效解決大數分解問題。而之前基於經典計算機的演算法均為指數複雜度。Shor演算法能夠在分鐘級的時間內完成1000位大數的分解。

因此，在量子計算機時代，經典通信加密技術的防線已經搖搖欲墜，唯一能築起新防線的生力軍，就是正在蓬勃發展的量子加密通信技術。

在中科院量子信息與量子科技前沿卓越創新中心內的量子模擬實驗室拍攝的超冷原子光晶格平台的激光伺服系統。新華社記者才揚攝

「量子加密通信——從原理上消除問題 」

事實上，分析圖 1的通信流程可以發現，如果偷聽者Eve的偷聽行為本身會在信息上留下痕迹，那麼Alice和Bob就會察覺Eve的存在，從而令Eve的偷聽企圖泡湯。

經典數字信息是可以被完美複製的，因此這個想法在經典通信加密時代無法實現。然而，量子科學的研究卻提供了這種察覺Eve存在的通信方式。光量子的基本特性之一是不可複製性，即對量子的測量和複製會改變被測量子的狀態。基於此，科學家設計了兩種量子加密通信手段——量子密鑰分發和量子隱形傳態。

利用光子極化的量子密鑰分發過程可以簡述如下：

（1）Alice生成一個由0和1組成的隨機密鑰序列；

（2）Alice為每個隨機密鑰值選擇一個對應的極化方式。例如，「正規極化」包含0度極化和90度極化，隨機密鑰序列的「0」對應0度極化，「1」對應90度極化；「旋轉極化」包括45度極化和135度極化，隨機密鑰序列的「0」對應45度極化，「1」對應135度極化；

（3）Alice根據隨機密鑰序列和選擇的極化方式，生成對應極化方式的單光子序列，發送給Bob；

（4）Bob隨機選擇極化方式，對Alice發來的光子序列進行測量，獲取其極化狀態。如果Bob選擇的極化方式和Alice選擇的極化方式一致，那麼測量獲得的極化狀態只有1種可能（Alice發送的極化）；若Bob選擇的極化方式和Alice選擇的極化方式不一致，那麼測得的極化狀態有2種可能，每種可能的出現概率為50%；

（5）Bob和Alice通過公開信道對照各自使用的極化方式，對於密鑰序列中的某個值，如果Alice和Bob選擇的極化方式一致，那麼該密鑰值留用。如果不一致，則拋棄該密鑰值。最後剩下的就是二人最終使用的密鑰序列。整個過程如表 1所示。

若存在偷聽者Eve，他也必須和Bob一樣，選擇極化方式，測量光子的極化狀態。然而，根據不可複製原理，他的偷聽會有一定幾率改變（到達Bob處的）光子的極化狀態。這會導致Bob和Alice生成的最終密鑰不符。只要Bob無法用Alice的密鑰解密明文，他就會意識到Eve的存在。這時他可以取消通信，也可以重新交換密鑰，直到Eve離開為止。總之無論如何，Eve的偷聽企圖是泡湯了。

表 1量子密鑰交換舉例

另外一種量子加密通信方式是量子隱形傳態。它能把粒子A攜帶的量子信息傳遞到另一個粒子B上，且無需傳遞粒子B本身。量子隱形傳態的基本過程是：

（1）讓粒子1和粒子2進入糾纏態，然後粒子1留給Alice，粒子2給Bob；

（2）Alice有攜帶量子信息的粒子3。她對粒子1和粒子3同時測量，獲得一個測量結果。Alice把這個測量結果通過公開信道發送給Bob；

（3）Bob根據測量結果，對粒子2進行逆運算，這時粒子2攜帶了粒子3上的量子信息。注意，根據量子不可複製原理，粒子3攜帶的量子信息會消失。

根據量子不可複製原理，偷聽者Eve如果試圖複製發給Bob的粒子2，那麼粒子2的量子態將被破壞；如果Eve只偷聽了Alice發出的測量結果，手頭沒有處於糾纏態的粒子2，他也無法完整復原信息。換句話說，Alice發送的的一部分信息包含在糾纏的量子中，另一部分包含在測量結果中。要復現量子信息，二者缺一不可。

「通信是文明的生命線。」

——布萊恩·克萊格（Brian Clegg），英國科普作家。

就在不久前，量子加密通信技術又有新突破。經典的一次一密通信，密鑰的長度要和加密信息的長度等同，而製造和安全分發對應于海量信息的超長隨機密鑰從來不是一件容易的事情。然而，用量子通信技術實現一次一密通信，密鑰的長度可以顯著小於信息本身的長度，這種對密鑰的節省顯然有助於降低一次一密通信實現的難度。前不久紐約羅切斯特大學由丹尼爾·魯姆帶領的研究團隊成功進行了量子短密鑰一次一密通信實驗，DT君也作了相應的介紹。

「無線通信是短板」

隨著量子加密通信的發展，是不是Alice和Bob就可以過上快樂的生活，而偷聽者Eve 只能幹瞪眼？DT君認為需要理性看待這個問題。

目前來看，量子加密通信最大的缺憾是難以應用於無線通信領域。造成這一缺憾的原因在於：

首先，無論是量子密鑰分發還是量子隱形傳態，光子的順利收發都是先決條件。而無線通信通常工作在微波波段，在這一波段，光子的能量太低，檢測非常困難。

目前量子加密通信，若使用光纖，則一般使用以下3個波段：700-800納米（可見光），1310納米和1550納米（紅外）；若使用自由空間激光，則一般選擇770納米波長。然而，微波波段的波長範圍為1米-1毫米，微波的波長是量子加密使用波長（1310納米）的幾十萬倍左右。光子的能量和光子的波長成反比，因此，一個微波單光子的能量是一個紅外單光子的幾十萬分之一。

任何光子探測器都會受到各種雜訊的影響，如果要可靠提取信號，那麼信號的功率必須顯著高於雜訊功率。即使在光子能量較強的紅外波段，光子探測器的性能也是量子加密通信距離提高的主要瓶頸，遑論能量比紅外光子弱的多的微波光子。

其次，無線廣播時，任何用戶對信號的接收，都不會改變其他用戶即將接收到的信號。但是，對於量子密鑰分發和量子隱形傳態，如果也對多個用戶進行無線廣播，那麼每個用戶都在接收的同時破壞了量子態，改變了其他用戶可能接收到的信息。量子態的不可複製性是一把雙刃劍：一方面，它使得偷聽者Eve能夠被覺察到；另一方面，它也使得一對多的無線廣播變得不可行，這時每個人對於其他人來說都是破壞量子態的Eve。

鑒於此，在可預見的將來，無線通信領域仍離不開經典加密技術。

即使有所不足，量子加密通信技術也堪稱一場通信領域的技術革命。量子密鑰分發實現了經典加密通信時代難以達到的密鑰分發絕對安全性；量子隱形傳態使得信息能夠直接以量子態傳輸，而經典加密通信對此無能為力。在不久的未來，量子計算機將能夠直接處理量子隱形傳態網路傳遞的量子信息，一個嶄新的量子互聯網時代將不再是夢想。

背景1：是誰首先嚴格證明了一次一密方法的絕對安全性？

美國貝爾實驗室數學家克勞德·香農（Claude Shannon）從數學上嚴格證明了一次一密方法的絕對安全性，並於1945年發表了有關的保密論文，該論文於1949年解密。不過，同一次一密體制的最先提出者一樣，「香農首次從數學上嚴格證明一次一密體制絕對安全性」的結論近年來也受到了其他資料的挑戰。

2006年，俄羅斯科學院為已故院士，前蘇聯資訊理論泰斗弗拉基米爾·庫特爾尼科夫（Vladimir Kotelnikov）出版的紀念文集中指出，庫特爾尼科夫在德國入侵蘇聯（1941年6月22日）的數天前，嚴格證明了一次一密體制的絕對安全性，並提交了保密報告。由於原始報告尚未解密，因此這一說法的準確性尚待考證。不過，庫特爾尼科夫還在1933年發表了信號無損採樣定理的論文，克勞德·香農1949年才發表相同工作的論文。考慮到庫特爾尼科夫的實力，他在密碼領域先拔頭籌並非沒有可能。

背景2：公鑰密碼方法的秘密發明

事實上，迪夫和海爾曼並不是公鑰密碼方法的真正發明人。兩個英國情報機構的科研人員在1970-1974年提出和完善了公鑰密碼方法。然而，考慮到公鑰密碼方法的巨大價值，為了防止冷戰對手知悉該方法，英國情報部門選擇了保密，直到1997年，相關研究材料才得以解密。當然，他們的保密也只是把該方法的公布推遲了2年。

參考文獻：

[1] 張文卓. 量子通信首次衛星實驗 [J]. 科學世界, 2016, 08): 4-9.

[2] WIKIPEDIA. Frank Miller (cryptography) .

[3] WIKIPEDIA. One-time pad .

[4] WIKIPEDIA. Joseph Mauborgne .

[5] WIKIPEDIA. Gilbert Vernam .

[6] DIFFIE W, HELLMAN M E. New directions incryptography [J]. IEEE Transactions on Information Theory, 1976, 22(6): 644-54.

[7] SHOR P W. Algorithms for quantumcomputation: discrete logarithms and factoring; proceedings of the Foundationsof Computer Science, 1994 Proceedings, Symposium on, F, 1994 [C].

[8] 印娟. 自由空間量子通信實驗研究 [D]; 中國科學技術大學, 2009.

[9] LUM D J, ALLMAN M S, GERRITS T, et al. AQuantum Enigma Machine: Experimentally Demonstrating Quantum Data Locking [J].2016,

[10] DEEPTECH深科技. 《量子短密鑰一次一密通訊系統首次試驗成功》.

[11] SHANNON C E. Communication Theory of SecrecySystems * [J]. Bell System Technical Journal, 1945, 28(4): 656 - 715.

[12] MOLOTKOV S N. Quantum cryptography and V AKotel"nikov"s one-time key and sampling theorems [J]. UFN, 2006, 49(7):777ndash;88.

[13] KOTELNIKOV V A. On the transmission capacityof the "ether" and of cables in electrical communications [J].

[14] SHANNON C E. Communication in the presence ofnoise [J]. Proceedings of the Ire, 1949, 86(1): 10-21.

轉自MIT DEEP深科技，侵刪！

這文章看著都不像搞密碼安全的人寫的。

安全領域的幾個基本常識：
95%的安全問題是管理問題。
很多時候，我知道某些事情，比我知道這些事情是什麼更重要。
保密是有時間目標的，只要在目標時間內無法破解，那就是無法破解。

專程去看了文章，，簡直無言以對。開頭先自持清高的表態一直旁觀不參與爭論，然後畫風一轉，通篇我不懂我有理，管你說啥我不信，先打你臉再說的口氣，濃濃的說書人民科氣質。
這種辣雞文章能當科普看？

人家說的是通信路徑安全，你說收發兩端的人員和設備可能泄密，這不流氓？

楊教授的學術水平...一個從上世紀90年末就開始利用學生資源開公司掙錢的人，會有多少時間精力鑽研學術？

利益相關：北郵畢業生。

楊義先教授論證的是沒有絕對的安全，從密碼學的發展史上，密碼和破譯一直就是矛和盾的關係，之前號稱「最安全的密碼」，恩尼格瑪機、紫密，都隨著科技的發展而變得輕易可以被破解。
而量子密碼從媒體的一開始宣傳上，就打出「不可破譯絕對安全的密碼」這樣的噱頭，楊教授只是論證了沒有絕對安全這一說，在文章前面他也說了關於量子密碼和傳統密碼兩大陣營爭議越來越激烈，他認為他有必要出來一槌定音，終止爭議。
密碼安全性的論證要考慮方方面面，而不是只考慮密碼演算法本身的安全性，包括在加解密過程中的物理信息，密鑰傳輸的安全性等，而像量子密碼這樣密鑰傳輸方式的確存在這種人為泄露的危險，因為除了密鑰偏振方向不可測之外，量子也沒有太多神奇的地方。
此外，在2015中密會上聽過中科大潘建偉團隊關於量子密碼的報告，人家自己也沒有說絕對安全之類的話，只是說了密碼方向由數學轉向了物理，提升了安全性。不知道是誰在那邊整天叫囂量子密碼絕對安全。

這篇博文的確是楊義先教授寫的，可以看他本人的科學網博客科學網—量子的安全笑話。
知乎這個問題下的答案不少，但是與科學網上對這一篇文章的討論態度相差好大。
這一篇文章畢竟是談安全的，希望看到更多搞安全的人來評價。
利益相關：不認識楊義先教授本人，非北郵校友。

我什麼都不懂。我只是注意到一開始還怎麼扯上哲學了；還自稱老夫；字裡行間讓人覺得，這是一個教授說的話？還是一個門衛大爺在吹牛。

你怎麼保證量子加密絕對的安全！任何事情都不是絕對的！
嗯，就像你下一刻可能突然變得聰明一樣。

基本上是胡說八道。

量子通訊的安全問題是有嚴格定義的，就是物理學/信息學上有明確概念的竊聽和破解無法對量子通訊系統起作用。

這篇文章的邏輯是什麼呢？

任何時候，「安全」都只是相對的，「不安全」才是絕對的！

更可能的情況是：網路世界會越來越不安全，量子通信普及後，安全問題將更多。因為，幾千年來的歷史經驗已經反覆證明，任何先進的技術都會帶來新的安全威脅，這也就是為什麼佛家說：人類其實是「嗜好死亡」的生物。

笑話！別以為攻擊者都是吃素的！更別以為黑客非要「測得准」才能攻得下，他們絕不會笨到按你的意願出牌。

作者根本不懂量子信息的基礎內容，完全是靠自己望文生義腦補出了「安全」的定義，然後一陣胡攪蠻纏。跟很多民科反對相對論的手法如出一轍。

作者和民科們很像的另一點就是通過一些空泛的、沒有細節的「哲學推理」去否定一個在邏輯上、定義上十分嚴格的、必須了解細節才能理解的科學問題。

P.S. 科學網少量博客不錯，但是很多博主就是典型的靠科研混口飯吃的酸腐小市民而已。自己做的工作只配被扔進垃圾桶，連是不是SCI、能不能發英文都要斤斤計較，卻喜歡對其他開創大小領域、方向的研究者品頭論足，高高在上批判羞辱。真是酸臭到不可聞的大醬缸。

此位楊義先教授的德行實在無法恭維。
一者學生只是其賺錢機器，二者熱心於推動坑蒙拐騙之流的公司，縱然現在手頭上賺了不少錢，也實難讓人瞧得起。一副專家嘴臉，麥子割了一茬又一茬。