量子保密通信好與壞？別把「李鬼」當「李逵」！ | 袁嵐峰

關注風雲之聲提升思維層次

解讀科學，洞察本質

戳穿忽悠，粉碎謠言

導讀

後量子密碼術是個活躍的研究領域，但沒有在原理層面證明任何一個公鑰密碼體制可以抵抗量子計算機甚至經典計算機。量子密碼術是目前唯一能從原理上證明安全性的密碼體制。京滬幹線建設的初衷來自金融部門對現有安全體系的不滿，未來的建設也將在國家戰略的指引下，堅持用戶至上和穩步推進的原則。公眾對量子通信應該有正確的概念，分清李逵和李鬼，杜絕資本和輿論炒作，才有利於這個行業健康發展。

————————————————————————————————————————-

2017年9月29日，世界首條量子保密通信幹線「京滬幹線」正式開通。這是中國繼2016年8月16日發射世界第一顆量子科學實驗衛星「墨子號」後，在量子保密通信領域的又一項重大進展。對於京滬幹線的介紹，可以參見我的文章解讀量子通信京滬幹線，包你懂 | 袁嵐峰。

我的前輩朋友、加州大學洛杉磯分校（UCLA）物理系研究員徐令予，在退休後很關心中國科技各個領域的發展，近年來在觀察者網和科學網等媒體寫了許多文章，介紹和評論的領域十分廣泛，遍及量子信息、航天、天文望遠鏡、人工光合作用、太陽能發電、無人駕駛等等（http://www.guancha.cn/XuLingyu）。包括我在內的讀者們從中學到了很多東西，也對美國的社會動態增加了很多了解。對於各個具體科學問題，即使意見不是完全一致（例如對於500米口徑射電望遠鏡FAST），我們也可以看出徐老師對故鄉和同胞的眷戀，對此都抱有深深的敬意。雖然我和徐老師尚未謀面，不過在網路上已經做過不少交流，可以稱為忘年交了，對此我深感榮幸。

因此，當我看到徐老師2017年10月31日發表在觀察者網的文章《炒作量子通信工程，連潘建偉都擔心》（http://www.guancha.cn/XuLingyu/2017_10_31_432886_s.shtml）時，感到這是一篇值得仔細研究的文章。此文在開頭祝賀了京滬幹線開通後，側重點就急轉直下，主要篇幅放在給量子保密通信潑冷水降溫上。

為什麼說這是急轉直下呢？因為徐老師以前的許多文章，是對量子保密通信的科普和支持，例如《為什麼發展量子密鑰技術已刻不容緩》（http://www.guancha.cn/XuLingyu/2016_08_19_371818.shtml）、《為什麼說外國無法破解中國量子密鑰技術》（http://www.guancha.cn/Science/2016_08_16_371382.shtml）、《反對高鐵的邏輯，要用到量子通信上了？》（http://www.guancha.cn/XuLingyu/2016_08_26_372499.shtml）。從這些文章中摘幾段：

「量子計算機的研發進展是各強國的最高機密，媒體上的報道真真假假千萬信不得，很有可能用以破譯的專用量子計算機已經接近完工，這決不是危言聳聽，密碼世界從來是波詭雲譎、莫測高深。即使按專家們保守的預測，量子計算機的實際應用也許還要等十到十五年，但尋找新的密碼系統，特別是開發密鑰分配的新技術已經刻不容緩，因為新技術從開發到系統的建立和實用也需要時日，所以我們已經到了最危險的時刻！」（《為什麼發展量子密鑰技術已刻不容緩》）

「有必要再次強調：與其它密碼技術不同，量子密鑰分配技術從原理上保證密鑰配送是絕對安全的，量子通信是穩定可靠的，加速發展量子通信是十分必要的，因為現有密碼系統已經到了最危險的時刻。工程實施中一定會有許多的問題，但原理與實施是完全不同的兩個概念，畢竟實施中的技術問題可以逐步解決，不可破譯的原理才是該項技術具有發展前途的根本保證，它使我們對量子密鑰分配技術的將來充滿了信心。」（《反對高鐵的邏輯，要用到量子通信上了？》）

以上這些說法，我都十分贊同。而在《炒作量子通信工程，連潘建偉都擔心》一文中，徐老師的結論卻似乎翻了個個：

「開發量子保密技術為的是應對未來可能發生的危機，但這種危機離我們仍十分地遙遠，即使危機真的降臨，改進升級後的經典密碼系統應該足以應付危局。量子密碼技術並非是對抗危機的唯一選擇，它很有可能僅是一枚永遠也使用不上的備胎。」

有意思，大反轉啊！當然，徐老師在此文中一再聲明：「對量子保密通信技術作前瞻性科學研究應該大力支持，我的這個態度始終也不會改變。」不過對工程的態度，看起來徐老師是反轉了。

類似的觀點我早就看到過，但那些並不值得認真對待，因為只有個結論，沒有論證過程。而徐老師就不一樣了，無論他寫什麼話題，持什麼觀點，總是會舉出不少「乾貨」，無論正方反方都可以從中得到新的信息。在這篇文章中，最大的乾貨是一篇標題為《後量子RSA》（「post-quantum RSA」）的論文（https://eprint.iacr.org/2017/351.pdf），徐老師向大家介紹了這篇論文，把它作為經典密碼術已經夠用的重要證據。

徐老師把這篇20頁的論文發給了我，最近我仔細研讀了一番。我的專業是理論與計算化學，量子力學是這門學科的基礎之一，所以我對量子力學還算是比較熟悉，而對信息科學的了解就很有限了。至於對密碼學這門需要大量數學技巧的學科，我更是門外漢。不過，經過研讀，加上一些專家朋友的幫助，我想我還是理解了《後量子RSA》的基本框架。

這篇文章確實很有趣，提出了一種比現在通行的RSA密碼體系更加能夠抵抗量子計算機的改進版RSA。但在理論層面，這個進步只是把「完全不安全」（敵方破解幾乎跟合法用戶解密一樣快）提升到了「稍微有點安全可言」（破解的速度低於加密解密的速度），遠遠沒有達到正統的安全標準（破解的計算量指數增長）。更重要的是，這個進步跟「量子密碼術為什麼有價值」的大圖景完全無關。這樣的進步再來一萬個，也不會使經典密碼術變得無懈可擊，不會使量子密碼術變成多此一舉。其實作者們也完全沒有這個意思，原文對這個成果的自我評估是很準確的，徐老師似乎對這篇論文有些誤讀。其中一個誤讀是，把「2的100次方的量子比特操作」看成了「2的100次方的量子比特」，由此引申出來的評論自然也都失准了。

徐老師文章中的論據，除了《後量子RSA》之外，還有其他的。不過在我看來，有一些比較明確的錯誤（「硬傷」），還有一些比較「軟」的可商榷之處。其中最硬的錯誤，是認為有些公鑰密碼體系已經在原理上被證明不可能被量子計算機破解了。實際上，人們還沒有證明任何一個公鑰密碼體系不可能被經典計算機破解，又怎麼可能得到更強的結果，證明它不可能被量子計算機破解呢？

一個公鑰密碼體制可以抵抗某種演算法的攻擊（包括量子演算法），不等於能從原理上證明其安全性，因為後者是要證明它可以抵抗任何已知和未知演算法的攻擊。而至今唯一能從原理上嚴格證明安全性的密碼體制，就是量子密碼術。這是量子密碼術與所有的公鑰密碼體制之間的根本差別。

在一篇文章里見到這麼多可商榷之處，對於低水平的作者來說很常見，對於徐老師來說很罕見。我感覺這篇文章徐老師寫得比較急促，大概是心裡對另外一些事感到焦慮，一些科學之外的事。我跟徐老師溝通，徐老師告訴我，被最近某公司人身威脅科學家的事件刺痛了，最擔憂的是騙子傷了眾人的心，最後政府光火把髒水連同孩子一起潑出去，所以希望理性降溫。這就可以理解了。對於如何保持量子通信領域的健康發展，我也將在本文中談談我的觀點，以及我了解的一線工作者的看法。公眾、投資者和潛在的用戶明白了這些基本圖景，也將有利於抵制資本與媒體的炒作，促進量子通信行業健康發展。

以上是一個總體的介紹。下面我來具體說明各個要點，以及借這個機會，解釋一個基本問題：量子密碼術的價值究竟在哪裡？

一、什麼是量子密碼術？

描述微觀世界基本物理規律的理論，叫做量子力學，它跟相對論是目前已知的兩大基礎物理理論。量子力學出現後，我們就把描述宏觀世界的牛頓力學稱為經典力學，它可以理解為量子力學在宏觀情況下的近似。

1980年代以來，量子力學跟信息科學交叉，產生了一門新的學科「量子信息」。這門學科的目的，就是利用量子力學的特性，實現傳統信息科學中實現不了的功能，例如永遠不會被破解的保密方法（就是後面要解釋的量子密碼術）、科幻電影中的「傳送術」（它的專業名稱叫做「量子隱形傳態」）。

《星際迷航》中的傳送術

經典的信息科學包括通信和計算兩大主題，量子信息的研究內容同樣也可以分成兩大塊：量子通信和量子計算。這兩大子領域裡又各自有若干具體應用，剛才說的量子密碼術和量子隱形傳態都屬於量子通信，而量子計算中的重要應用包括量子因數分解和量子搜索等等。下面這個圖，可以表示量子信息這門學科的脈絡。

量子信息學科內容

我寫過不少量子信息的科普文章，目前最全面的一篇是應新浪科技之邀寫的《你完全可以理解量子信息》（http://tech.sina.com.cn/d/2017-08-31/doc-ifykpysa2199081.shtml）。讀者如果想知道量子力學有哪些可以用於信息科學的特點，量子信息的這些應用做的是什麼事，以及為什麼能做到，請去參閱這篇長文。

許多媒體在報道「量子通信」如何如何的時候，指的實際是量子密碼術，即量子通信的一部分而非全部。量子密碼術又被稱為「量子保密通信」或者「量子密鑰分發」，無論從哪個名字，你都可以一眼看出，它是一種保密的方法，不是有些媒體胡思亂想的超時空傳輸之類。

量子密碼術實際做的是什麼事情呢？簡短的回答是：不通過信使，讓通信雙方直接分享密鑰。打個比方，就是《紅燈記》中的李玉和下崗了，地下黨和游擊隊不通過他就直接獲得了同一套密電碼。

《紅燈記》

怎麼做到的？有若干種技術方案，都稱為某某協議，包括BB84協議、E91協議、B92協議、誘騙態協議等等。由於篇幅所限，本文對這些方案不能詳細解釋。有興趣的讀者，請參閱《你完全可以理解量子信息》中的相關內容你完全可以理解量子信息（14）| 袁嵐峰。

這裡有一點值得強調一下。許多科普作品說量子密碼術離不開「量子糾纏」（你八成聽說過這個詞），但這個說法是錯誤的！一線工作者都知道它錯，而媒體仍然整天這麼說，——可能他們覺得量子糾纏這個詞比較高大上，讀者聽了以後暈頭的程度直接上升三級。實際情況是，量子密碼術有若干種實現方案，有些用到量子糾纏，有些不用量子糾纏。量子糾纏是個可選項，而不是必要條件。

不僅如此，量子糾纏其實還是個很少被選中的可選項。量子糾纏是一種多粒子體系的現象，而對於實驗來說，操縱一個粒子肯定比操縱多個粒子容易。量子密碼術可以通過發射和接收單個光子實現，所以，絕大多數量子密碼術的實驗都是用單光子方案做的，這樣達到的效果更好。有些文章通過批評量子糾纏來批評量子密碼術，這其實就是被那些說量子密碼術必須用到量子糾纏的媒體給忽悠了，屬於無的放矢。

二、量子密碼術為什麼有價值？

不通過信使，讓通信雙方直接分享密鑰，這顯然是個非常奇妙的能力，是以前想像不到的。不過，這個能力有什麼樣的意義？這就需要從密碼學的基本框架講起了。

把明文變換成密文，需要兩個元素：變換的規則和變換的參數。前者是編碼的演算法，後者是密鑰。密碼學的一個基本原則是，在設計演算法時，你必須假設敵人已經知道了演算法和密文，唯一不知道的就是密鑰。

用一個比喻來說，密碼學的攻防就好比魔王追公主（魔王：「你喊吧，喊破喉嚨也不會有人來救你的！」破喉嚨：「公主，我來救你！」）。魔王知道公主運動的規則，但不知道公主運動的參數。魔王的目標是在這種前提下追上公主，公主的目標是在這種前提下擺脫魔王。

我們經常說，沒有完美的東西。但在理論的層面上，這話其實不對。有一種很簡單的密碼體系，就具有「完美的安全性」（perfect security）。這裡的「完美安全」是個資訊理論的術語，意思是攻擊方無論有多強的計算能力，都不可能從密文中得出任何信息。

這話聽著似乎很玄，實際的意思卻很簡單。假如你要傳一比特的信息（即0和1這兩個數中的一個），密鑰也有兩個選擇：0和1。演算法非常簡單：如果密鑰為0，那麼密文就等於明文，即把0變成0，把1變成1；如果密鑰為1，那麼密文就是0和1中不同於明文的那個數，即把0變成1，把1變成0。學過二進位的同學們知道，這個演算法就是「模為2的加法」。現在如果你告訴敵人密文是0，那麼他能得到什麼呢？什麼都得不到！他唯一可說的，是明文有一半的可能是0，一半的可能是1。但這是句廢話，因為如果密文是1，這句話同樣也成立。他不看密文就知道這一點，看了以後也不能增加任何新知識，所以這個密碼體系就是不可破譯的，具有完美的安全性。

當然，這是個最簡單的例子，只適用於明文長度為1比特、只傳輸一次的情況。把這個辦法推廣到更長的明文長度、更多次的傳輸，需要滿足三個條件。哪三個條件呢？一，密鑰的長度跟明文一樣；二，密鑰是一串隨機的字元串；三，每傳送一次密文後都更換密鑰，即「一次一密」。滿足這三個條件的密鑰叫做「一次性便箋」（one-time pad）。資訊理論的創始人香農（Claude E. Shannon）從數學上證明了：密鑰如果滿足這三個條件，通信就是完美安全的。這個定理可以稱為「系統的安全保密性定理」。

香農

一次性便箋保密的實質，是讓密文跟明文完全沒有關聯，任何的密文都以相等的概率對應相同長度的任何的明文。好比你問一群村民：「李向陽在哪裡？」所有人都回答：「我就是李向陽！」在魔王追公主的故事中，就好比公主下一步可以跳到任何地方，「瞻之在前，忽焉在後」，完全無法預測。這讓魔王怎麼玩？魔王：「算你狠！破喉嚨，你把公主帶走吧！」破喉嚨：「公主已經上天了，我也找不著她……」

這麼說起來，保密的問題已經解決了？

其實沒有！

真正的難題在於，怎麼讓雙方共享密鑰？在量子密碼術出現之前，密鑰需要第三方的信使來傳遞。而信使可能被抓（如《紅燈記》中的李玉和），也可能叛變（如《紅岩》中的甫志高），這麻煩就大了。現在甚至都有技術可以遠程讀出未通電的硬碟里的數據，傳送密鑰這活越來越不好乾了！

甫志高

因此，在很長時間內，一次性便箋保密法的意義主要是在理論上，用來證明完全保密的系統是存在的，而實踐意義很小。道理很明顯：一次性便箋密鑰跟你要傳輸的明文一樣長，如果你能安全地傳輸這麼多的密鑰，那用這個信道直接傳輸明文不就得了？不就是因為沒有這麼安全的信道，才需要發展保密方法嗎？這就好像周星馳的電影《國產凌凌漆》里那個「有光照才會發光的手電筒」，成了一個一本正經的笑話。

你拿另外一隻手電筒來照它呢，它就會亮了

魔王長出一口氣：來來來，公主，我們重回賽場！

密碼學家們也不會輕易地狗帶，他們開闢了另外一個戰場，叫做「公鑰密碼體制」。公鑰的意思，就是這個密鑰是向全世界公開的，所有人都可以看到。還有一個私鑰，只在接收方（以下稱為B）手裡有，發送方（以下稱為A）手裡沒有。用公鑰可以加密，但不能解密，用私鑰才能解密。因此，A把明文用公鑰加密後，公開傳給B，別人截獲了沒有私鑰無法竊密，而B拿到了就可以解密。公鑰密碼體制也常常被稱作「非對稱密碼體制」，因為雙方手裡的密鑰不一樣多。而雙方共享同一套密鑰的方法就叫做「對稱密碼體制」，一次性便箋就是其中的一種。

公鑰密碼體制的關鍵在於：通過某些數學操作可以方便地從私鑰得到公鑰，但從公鑰卻很難得到私鑰。也就是說，有些數學問題沿著一個方向操作很容易，沿著相反的方向操作卻非常困難，「易守難攻」。

因數分解就是一個典型例子。把兩個質數相乘得到一個合數，是很容易的，而把一個合數分解成質因數的乘積，例如291,311 = 523 × 557（到下一節你就會明白為什麼舉這個例子），就難得多了。

讓我們想想，如何分解一個數字N。最容易想到的演算法，是從2開始往上，一個一個地試驗能否整除N，一直到N的平方根為止。如果N用二進位表示是個n位數，即N約等於2的n次方，那麼嘗試的次數大致就是2的n/2次方。指數上出現n，這就麻煩了，這叫做「指數增長」。學過微積分的同學們明白，指數增長是一種極快的增長，比n的任何多項式都快。比如說，2的n次方比n的10000次方增長得還要快。沒有學過微積分的同學也不要頭暈，看看下面的圖就可以明白這個意思。

指數增長的威力。指數函數雖然在最初落後，但很快勢不可擋地超越了線性函數和三次方函數，而且越到後面把它們甩得越遠

在多項式之間比較，當然是次數越高增長得越快，例如n的三次方比二次方快，二次方比一次方快。但在計算機科學中，多項式內部的這個差別並不太重要，它們只是定量的差別（醫生，我覺得我還可以搶救一下），而指數增長與多項式增長的差別是定性的差別（同志，放棄治療吧……）。因此，計算機科學中把計算量多項式增長的問題稱為「可解的」（tractable），把計算量指數增長的問題稱為「不可解的」（intractable）。不可解的意思並不是計算機不能算，而是計算量增長得太快，通過擴大問題的規模，很快就能達到「用全世界的計算機算幾十億年都無法得出結果」的程度。

當然，你可以尋找效率更高的演算法。對於因數分解，人們發展了很多種比「一個個試」聰明得多的演算法。但到目前為止，這些演算法的計算量仍然都是指數增長的。

1978年，基於因數分解的困難性，三位密碼學家李維斯特（Ron Rivest）、薩莫爾（Adi Shamir）和阿德曼（Leonard Adleman）發明了「RSA密碼體系」（這個名字是他們的首字母縮寫），這是現在世界上最常用的公鑰密碼體系之一。

RSA密碼體系的三位發明者

除了RSA之外，還有許多其他的公鑰密碼體系。無論哪種，基本思想都是一樣的，安全性來自某個數學問題的困難性。回到魔王與公主的比喻，現在公主不是滿世界亂跳了，而是按照某種確定的規則前進。魔王以前是完全無從追起，而現在有可能追上公主了，只要解出某個數學問題就行。但是這個數學問題的計算量是指數增長的，通過擴大問題的規模，很容易就使解題所需的時間變得不可思議的長（指的是計算題，不是五點共圓這種證明題）。魔王：為什麼一定要解數學題，我們來比寫詩吼不吼啊！

公鑰密碼體系是個偉大的發明，但它達到完美的安全性了嗎？顯然沒有，因為完美安全性的意思是無論敵方有多強的計算能力都不能破解。魔王：跟你說解數學題不好了嘛，我先來念兩句詩……

在這個前提下，如果我們退一步，把計算量指數增長作為僅次於完美安全的第二級別安全性，那也可以接受。但在這個台階上，問題又來了：你怎麼能保證對這個數學問題，不會發現多項式計算量的演算法呢？

實際上，計算機科學中的一大難題就是：我們可以證明，計算量指數增長的問題有很多，然而，我們幾乎無法確定任何一個具體的問題屬於這一類！

包括因數分解在內，目前公鑰密碼體制用到的所有數學問題都是這樣，無法排除哪天有人提出破解演算法的可能。因此，密碼學處於一種無止境的軍備競賽對抗之中，一方提出更強的攻擊演算法，另一方提出更強的保密演算法，無限地循環下去。

演算法的進步和硬體的進步，迫使許多公鑰密碼體系一再升級。例如RSA推薦使用的質數長度，就在不斷增加。即使你升級了，也只能保護新的數據，許多歷史數據還是可以被破解的，這又是一重頭疼。

以上這些，都是基於對公開演算法的討論。但是，只有學術界才會把破解的消息公開。在實際的軍事、政治、經濟對抗中，對手如果破解了你的密碼，會讓你知道嗎？偷襲珍珠港的策劃者山本五十六是因為行程泄露，飛機被美國擊落而死的，難道美國會告訴日本「我已經破解了你的密碼」嗎？

在拍攝此照片幾小時後，山本五十六就被擊斃

早就有一位長者說過：你們啊，naive！悶聲發大財才是墜吼的！

用《三體》的語言說，你無法判斷對方是否破解了你的密碼，這就構成了「猜疑鏈」。用美國前國防部長拉姆斯菲爾德的語言說，最可怕的就是「未知的未知」。

拉姆斯菲爾德和「未知的未知」

在量子密碼術出現之前，永遠的猜疑、無盡的升級和不時的泄密是我們不得不忍受的代價。畢竟，一次性便箋是個中看不中用的銀樣鑞槍頭，真正能用的最好的保密方法就是公鑰密碼體制了。

我的朋友、著名科普作家「奧卡姆剃刀」是一位通信專家，他有一個親身經歷的故事（https://www.wukong.com/question/6471509815406362893/）：

「那是一個涉密的科研項目，我們團隊發明了一種三重MARS加密演算法，我們認為比上級配發的傳統加密方法更安全。

由於密碼演算法的使用必須得到國家和軍隊某委員會的批准，因此我們向他們提出了鑒定申請，結果卻被駁回。

我對此不服，給他們說：你們憑什麼認為我這個演算法不夠安全，有本事你們破解試試？

他們的回答是：我們沒本事破解，但不代表敵人沒本事破解，你給我證明下敵人無法破解。

然後我就懵逼了，最後只能繼續使用上級配發的加密演算法，這樣即使出了問題也沒我的責任。

加密演算法就是這樣，你很難證明它安全，也很難證明它不安全。

加密演算法的強度依賴的是數學難題的難度，即使是大家公認的極難解決的數學難題，也備不住躲在陰暗角落的某個天才數學家已經破解，而數學問題的破解就如同窗戶紙一樣，一捅破就全完了。

很可能敵方已經據此設計了完美的破解方法，這種可能雖然可能性極小，但終歸無法杜絕！因此，在傳遞絕密信息時，誰都不敢拍胸脯保證，只能去賭概率，這是令人非常非常痛苦的！」

現在，我們的主角出場了。量子密碼術，改變了密碼攻防的基本格局。

我就是美貌與智慧並重，英雄與俠義的化身：唐伯虎

不通過信使，讓通信雙方直接分享密鑰，這意味著什麼呢？意味著原本只具有理論意義的一次性便箋保密法起死回生了，變成一個可以實用的方法了！這種保密方法，封死了通過數學破解密碼的可能性！

因此，「奧卡姆剃刀」在講完上面那個故事之後，結論是（https://www.wukong.com/question/6471509815406362893/）：

「而量子通信解決了這個問題，它從理論和實踐上都證明了不可破解，令人把懸著的心放回肚裡，這是上千年密碼術的重大突破，功莫大焉！」

回到魔王與公主的比喻，現在公主又變成了滿世界亂跳，而且這次可以放心大膽地這麼做了！魔王徹底失去了追上公主的希望，無論他的計算能力再強都無濟於事。因為，這壓根就不是計算的事兒。

魔王：算你狠，我舉白旗還不行嗎？我看看還有沒有其他的辦法……

量子密碼術的出現，並不意味著信息安全的問題已經完全解決了。最明顯的，策反情報人員這一招就仍然存在。我的朋友、美國新墨西哥大學數學與統計系助理教授黃宏年博士認為，現在網路安全體系最大的弱點並不在於密碼，在這方面增強不能解決主要問題。現在的操作系統過於複雜，許多地方用溢出攻擊等粗淺的手段就可以攻破。

我的理解是，信息安全問題是個很長的鏈條，量子密碼術只是保證了其中一個環節的安全，即密鑰分享和密文傳送這一環，敵方仍然可以去攻擊其他的環節。但是，能保證一個環節的安全已經是相當重大的進步了，至少你泄密時可以排除這方面的問題，集中排查其他方面。正如中國工程院院士鄔江興所說：中國的網路安全幾乎是「裸奔」，量子密碼術給它穿上了一條內褲。

如果你問我，量子密碼術有什麼缺點？最明顯的，就是慢。由於密鑰是通過單光子的發射和接收產生的，條件十分苛刻，所以生成密鑰的速度目前都是在每秒多少k的量級。在一次性便箋加密中，明文跟密鑰一樣長，所以傳輸信息的速度就等於生成密鑰的速度。每秒不到一兆的速度就像回到了撥號上網用「貓」的時代，只能傳送少量最重要的文本。如果用AES、DES之類不等長加密的對稱密碼演算法（用一段密鑰加密一個長得多的文件），速度倒是上去了，但又有可能被數學破解了。此外，量子密碼術的成本應該也不低，雖然我沒有具體數據。

除了慢和貴之外，作為一個新技術，量子密碼術的問題想必還有許多。不過我既不是工程專家，也沒有打算自學成一個工程專家（估計學也學不成），我的興趣主要在理論方面，因此對我來說，最重要的是：量子密碼術的安全性是能在原理層面證明的，而目前其他的密碼體系都不能。這就是量子密碼術無可替代的價值。

由此還可以引出一點值得強調的：量子密碼術從來沒有說要完全代替傳統的密碼術。作為一個新生事物，量子密碼術不是一上來就宣布「這個魚塘我承包了」（正經的科技工作者不會這樣說話的），而是「我有這樣一個能力，可能對保密有用，歡迎大家一塊來討論，看看什麼地方能用上」。你可以列舉一千個不適合用量子密碼術的地方，這都沒問題，但只要有一個地方適合用量子密碼術，就算是進步了。用了量子密碼術，也不意味著排斥經典密碼術，雙方完全可以結合使用，取長補短。

這個魚塘我承包了

用不用量子密碼術的選擇權，當然在於用戶。如果你對保密的要求高於一切，那麼量子密碼術是你的好選擇。如果你沒有高價值的秘密需要保護，那有什麼理由像某些企業宣傳的那樣，花很高的成本去追逐「量子小鎮」之類的噱頭呢？

三、量子計算機對這幅圖景有什麼影響？

基本的回答是：非本質的影響。你看，我前面說了那麼多，壓根就沒提到「量子計算機」這個詞嘛！

傳統計算機的基本單元是比特（bit），指的是一個體系有且僅有兩個可能的狀態，往往用0和1來表示。而量子計算機的基本單元是量子比特（quantum bit，縮寫為qubit或qbit），指的是一個體系可以處於兩個狀態|0>和|1>以及它們的任何疊加態a|0> + b|1>。這裡的|>叫做狄拉克符號，在其中填入數字或文字，就可以表示量子狀態。

做一個比喻：經典比特是「開關」，只有開和關兩個狀態，而量子比特是「旋鈕」，有無窮多個狀態。因此，量子計算機可以做到所有的經典計算機可以做的事，還有可能做到一些經典計算機做不了的事。

這裡需要強調一點，常有文章把量子計算機描寫成無所不能，都快成神了，這是重大的誤解。量子計算機仍然是需要演算法的，而只對於某些特定的問題，人們才設計出了超越經典計算機的演算法。因此，量子計算機不是因為普遍性的算得快，所以幹什麼都比經典計算機強，而是針對某些特定的問題算得快，只在這些問題上比經典計算機強。

到目前為止，人類找到的這樣的問題並不是很多。但在這為數不多的能夠讓量子計算機大展拳腳的問題中，其中一個恰恰就是——因數分解。

前面說對因數分解，迄今還沒有能在多項式時間內分解的演算法，但那指的是經典計算機。1994年，肖爾（Peter Shor）發明了一種量子演算法，把因數分解的計算量減少到了多項式級別。這是一個革命性的進步！分解300位和5000位的數字，量子演算法會把所需時間從15萬年減到不足1秒鐘，從50億年減到2分鐘！在理論上，RSA已經被量子計算機攻克了！

不過這只是理論上，因為真正能用的量子計算機還沒有造出來。到目前為止，在實驗上分解的最大的數是291,311 = 523 × 557，是由中國科學技術大學的杜江峰院士和彭新華教授等人在2017年實現的。這離分解上千位的密碼還遠著呢。

量子計算機是當前全世界的科研熱門。許多研究機構和企業在激烈地競爭，紛紛放出風來要在近年內實現「量子制霸」，實際意思就是前面說的，對於某些問題超越現有的經典計算機。有發展的眼光的人，都會關注這方面的消息。

顯然，量子計算的進步，增加了人們對量子密碼術的需求。但是，如果沒有量子因數分解演算法，甚至壓根沒有量子計算機的概念，量子密碼術是不是就沒有價值了呢？

當然不是！

量子密碼術的基本價值來自它的完美安全性，這是其他任何密碼體系都沒有做到的。無論計算技術有沒有進步，這個價值始終存在。量子因數分解或者任何其他的計算技術進步，只是起到錦上添花或者說「補一刀」的作用，對這個基本圖景並沒有影響。

徐令予老師在文章中說：

「為什麼要開發量子保密通信技術？因為從理論上講，如果未來量子計算機建成，如果建成的量子計算機有足夠的Qbit和足夠的穩定性，那麼今天密碼系統中的公鑰密碼RSA有可能被破解。」

根據以上的分析，我們知道這個理解是錯誤的。實際上，最早的量子密碼術協議BB84是在1984年發明的，而量子因數分解演算法是在10年之後的1994年發明的。難道在1994年之前，人們會覺得BB84協議沒有意義嗎？

四、《後量子RSA》說了些什麼？

徐老師在文章中對這篇論文的介紹是：

「數月前出現這樣一篇論文：『後量子時代的RSA』[2]，該文發表後被多家相關雜誌轉載和引用，這些文章給出的共同結論是：目前使用的非對稱性密碼RSA不會因為量子計算機的出現而消亡。」

如前所述，經過饒有興味的研讀之後，我大致理解了此文的框架。此文的四位作者Daniel J. Bernstein、Nadia Heninger、Paul Lou、Luke Valenta（以下簡稱為BHLV）表現出了很強的數學功力和創意，令我十分敬佩。那麼，BHLV實際說了些什麼呢？

他們說的是：目前版本的RSA在量子演算法面前不堪一擊，他們提出了一種改進的版本，在某種意義上可以對抗已知的量子演算法。

在什麼意義上呢？合法用戶加密解密也是需要計算量的，而肖爾的量子演算法強大到了這種程度：破解RSA跟合法用戶解密幾乎一樣快，具體而言，計算量都大約是n的平方（n是要分解的那個合數的二進位位數）。對RSA密碼體系來說，這簡直是輸得連底褲都快沒有了。

傳統的RSA是把兩個質數相乘。BHLV提出，通過一系列數學技巧（快速的乘法以及隨機生成質數的方法等等），可以把加密解密的計算量都控制在正比於n，然後把非常多的質數相乘，使得n非常大，就可以讓破解的計算量顯著地超過加密解密的計算量。簡而言之，就是把加密解密的計算量（n）降低到了破解的計算量（n的平方）之下。他們把這種改進版RSA稱為後量子RSA。

呃……原來我們說的是，破解的計算量指數增長才算安全。現在標準降得這麼低，破解的計算量比加密解密增長得快就算安全，——這幾乎是可以定義的最低級別的安全性了。

原文對此說得很清楚：

「Post-quantum RSA does not qualify as secure under old-fashionedsecurity definitions requiring asymptotic security against polynomial-timeadversaries. However, post-quantum RSA does appear to provide a reasonablelevel of concrete security.

【翻譯：在老派的安全性定義下，即面對多項式時間敵手時的漸近安全性的定義下，後量子RSA沒有達到安全的標準。然而，後量子RSA看起來確實提供了一個合理水平的具體的安全性。】」

後面還有一個更具體的解釋：

「Note that, for theoretical purposes, it is possible that (1) thereare no public-key encryption systems secure against polynomial-time quantumadversaries but (2) there are public-key encryption systems secure against,e.g., essentially-linear-time quantum adversaries. Post-quantum RSA is acandidate for the second category.

【翻譯：請注意，對於理論的目的，以下兩點是有可能的：(1) 沒有任何公鑰密碼體系在多項式時間的量子敵手的面前是安全的；但是(2)有公鑰密碼體系在比如說基本上是線性時間的量子敵手的面前是安全的。後量子RSA是第二類的一個候選者。】」

如果你看不懂，我來簡單解釋一下。給定問題的規模n，如果你允許量子計算機運行對n的任意高階多項式的時間，那麼大概所有的公鑰密碼體系都會被擊敗。而如果你只允許量子計算機運行n的時間，那麼就可能有公鑰密碼體系扛得住。後量子RSA是後一類中的一個候選者。為什麼只說是候選者，而不是直接就是呢？因為你無法保證人們不發展出新的量子演算法甚至是經典演算法，在n的時間內破解後量子RSA。

從破解跟解密一樣快，改進到加密解密比破解快，這個進步好比贏回了一條底褲。或者這麼說：一個低手跟一個高手下圍棋，從分先到讓先，到倒貼目，到讓二子，到讓三子，一路被打得降級，現在提高了棋藝，在讓三子的情況下贏了一盤，回到了讓二子。這當然可喜可賀，不過如果把這理解成他可以跟高手分庭抗禮，甚至超過了高手，那就大錯特錯了。

用網路語言說：BHLV對RSA使用挽尊卡，為RSA挽回了尊嚴！效果：密碼術經驗+5。

挽尊卡

對於後量子RSA的價值，原文有一個生動的比喻：

「RSA has enough flexibility to survive the advent of quantumcomputers — beaten, bruised, and limping, perhaps, but not dead.

【翻譯：RSA有足夠的柔韌性來挺過量子計算機的來臨——被打擊，被挫傷，一瘸一拐地走，都有可能，但不是死亡。】」

再來看看BHLV用什麼樣具體的例子演示後量子RSA。目前常用的RSA是用兩個質數相乘，每個質數用二進位表示是1024位或2048位。他們生成了2的31次方（2,147,483,648，即大約21億）個質數，每個質數用二進位表示有2的12次方（即4096）位。這21億個質數乘起來，得到了2的43次方（8,796,093,022,208，即大約8.8萬億）長度的一個密鑰，也就是1 T位元組長度的一個數字。想想看1 T容量足夠放下多少部電影，現在居然只是用來存放一個數字！

處理如此巨大的數字，加密解密當然也很不容易。生成21億個隨機的質數，花費了一個1400核的機群4個月的時間。看起來這是最耗時間的一步，後邊的質數相乘、加密、解密等步驟，花費的時間都是以天計，而不是以月計的。徐老師的文章說「費時一共為五天」，大概是只看了其中的一步。

根據BHLV的估算，肖爾的量子演算法分解這個1 T位元組長度的數字，需要的量子比特操作數是2的100次方。2的43次方平方就得到2的86次方了，再考慮到其他一些細節，2的100次方是可以理解的。徐老師在這裡似乎出現了一個硬傷，把量子比特操作的數目看成了量子比特的數目，然後以此為根據做了一番討論：

「假設量子計算機已經建成，再假設量子計算機的量子位（Qbit）可以無限擴展，進一步假設該量子計算機的運行成本與現在通用電子計算機的成本可以相比，用這樣一台超級想像出來的量子計算機來破解長度為Terabyte（太位元組，等於1024 GB）的RSA非對稱密鑰需要量子計算機的Qbit為2^100（2的100次方）。

2^100是一個什麼概念？這個數大於我們星球上所有生物細胞的總數！而今天為了建成兩位數Qbit的量子計算機，專家們已經弄得焦頭爛額，多年來一籌莫展。當然使用長度為Terabyte的RSA公鑰確實也有點離譜，但論文作者在今日的電子計算機上產生了這樣的公鑰，並用它來加密和解密，費時一共為五天。按目前的技術水平，長度為Terabyte的RSA公鑰雖然並不實用，至少還是可以實現的，但是還在紙上的量子計算機即使明天就建成，要破解這樣的RSA公鑰也無一線希望。」

其實原文是「2100 qubit operations」，不是「2100 qubits」。這個錯誤的性質，相當於認為一個量子比特只能操作一次，然後就報廢了。這當然是不對的。因此，拿2的100次方去跟細胞的總數相比，跟專家想建成多少位的量子計算機相比，都對錯號了。

BHLV對2的100次方這個數字，僅僅是說它「驚人」（astonishing），沒有像徐老師這樣做這麼多引申。這確實是一個非常大的數，但能不能說量子計算機做不了這麼多操作呢？這話誰都不敢說。至於將來演算法改進，在更短時間內破解後量子RSA的可能性，自然也無法排除。因此，後量子RSA正如BHLV所言，提供的是「一個合理水平的具體的安全性」，還是「看起來確實提供了」，而不是能夠令理論家滿意的安全性水平，更不是完美的安全性。

五、如何理解後量子密碼學？

徐老師的文章中有這樣一段：

「再讓我們看看密碼學界最近的動態，請先看下圖：密碼學界已經明確把公鑰密碼系統分成兩大類，左列中都是目前常用的公鑰密碼，它們是『量子可破』的，即理論上在量子計算機攻擊下是不安全的（事實上也並非如此，見註解[2]）。圖中右列的幾種公鑰密碼系統被列為『量子不可破』，它們從原理上被證明是不可能被量子計算機破解的，因而它們又被稱為後量子時代的密碼系統。」

公鑰密碼系統的分類

有些公鑰密碼系統已經從原理上被證明是不可能被量子計算機破解的？我必須說，這話是錯誤的。實際上，對於任何一個公鑰密碼系統，人們連它不會被經典計算機破解都還沒有證明，又怎麼可能證明它不會被量子計算機破解？如果有人做出一個這樣的證明，那立刻會成為計算機科學界以至整個科學界最轟動的消息，圖靈獎什麼的都不在話下。

徐老師在自己以前的文章《反對高鐵的邏輯，要用到量子通信上了？》（http://www.guancha.cn/XuLingyu/2016_08_26_372499.shtml）中，同樣引用了這個圖，而在那裡的敘述是：

「再讓我們看看密碼學術界的動態，請先看下圖：密碼學界已經明確把公鑰密碼系統分成兩大類，左列中都是目前常用的公鑰密碼，全被打入『量子可破』的死域。

圖中右列確有幾種公鑰密碼理論方法被列為『量子不可破』。但是請注意：1）它們只是目前還未被攻破，並非被證明『量子不可破』。2）它們全部沒有進入實用階段，甚至未進入應用初期開發階段，很可能最後根本沒有實用價值。」

其實徐老師以前的這個說法，是完全正確的！

我再來多解釋幾句。後量子（post-quantum）、量子安全（quantum-secure）或者抗量子（quantum resistant）的密碼體系，這幾個術語表達的都是同樣的意思：能夠抵抗量子計算機的密碼體系。這是個活躍的研究領域，我對這個領域的研究者也是十分尊敬的。不過，目前這個領域的成果都是這種模式：我嚴格證明問題A的難度跟問題B相當，而大家普遍相信問題B對量子計算機來說非常困難（這只是個猜想，不是證明），所以可以相信問題A對量子計算機也非常困難。結果是，證明了若干個猜想之間的等價性，但沒有證明任何一個猜想。因此，後量子密碼學的基本格局跟傳統密碼學是一樣的，都是無止境的貓捉老鼠、魔王追公主的競賽。

六、金融業現有的密碼體制已經足夠安全了嗎？

徐老師的文章里提到：

「那麼金融行業，特別是銀行系統是否會享受到量子通信幹線的優越性呢？很可惜答案是否定的。量子計算機有可能破解RSA這類非對稱密鑰，而對於基於複雜邏輯運算的對稱密鑰體制根本就沒有威脅。現在所有金融行業（包括銀行）採用的都是對稱密鑰體制，這個標準在由中國人民銀行頒布的PBOC里有詳細的描述[3]。

銀行系統密鑰分發要用到RSA這類非對稱密鑰只有初始化的第一次，之後採用的都是對稱密鑰。其實初始化都未必會用到RSA，任何能夠安全地將初始化密鑰分發到密鑰分發管理中心的手段都可以採用，畢竟只需要做一次的事情，麻煩一些也無所謂。我估計，銀行與其它金融系統對量子保密通信是沒有多少興趣的，哪怕你有天大本事明天就變出一台幾萬Qbit的量子計算機，他們仍舊會是『量子圍困萬千重，我自巋然不動。』」

其實這個估計有點主觀了。京滬幹線建設的基本動機之一，就是金融部門不滿足於現有的密碼體系（詳細闡述見下一節）。

例如徐老師描述的這種體系，其安全性歸根結底依賴於最初存的那些對稱密鑰。對稱密鑰有多長，能夠安全傳輸的信息量就是多大。這樣又回到信使可靠性的問題了。如果密鑰長期不換，失竊的風險就越來越大。而如果要及時更換，又頻繁地需要信使。總之，做到一次一密非常困難。相比之下，量子密碼術天然就是一次一密的，因為密鑰可以等到有信息要傳輸時現場生成，這個優越性很明顯。

這裡還可以引申一下。我在講RSA的時候，經常有人問：如果我把所有的兩個幾千位質數相乘的乘積存起來，不就可以破解RSA嗎？回答是：當然可以，但那需要指數增長的存儲量，所以在實踐上不可行。如果我們把預存大量的信息作為可行的選擇，那麼這樣的破解RSA的方法也是可行的了！

七、工程思維是什麼樣的？

徐老師在文章中以及在平時的溝通中，多次提到工程思維，認為量子通信的基礎研究應該支持，而工程建設就需要考慮需求和成本。對於這個基本原則，參與京滬幹線建設的實際工作者（例如我的同事張強教授）和我都是完全贊同的。

有趣的是，根據同樣的原則，徐老師和我們做出了不少相反的具體判斷，例如認為量子密碼術對金融、軍隊和政務系統沒有多大用處。其實，古往今來的歷史證明，幾乎任何新技術最早的應用都是在軍事領域。我知道軍隊對量子密碼術很有興趣，不過由於涉密，不能在這裡具體講。

我的朋友、風雲學會會員陳經是亞洲視覺科技有限公司研發總監，算得上資深工程師了。他的看法是：

「加密演算法讓量子計算也無法破解，這很容易理解。換個更複雜的演算法來加密，想出辦法不算太難。但是，在工程上，這麼說就不對了。現在已經一大堆應用，是用老的加密演算法。如果要改加密演算法，並不是寫篇論文那麼簡單，而是要做一堆工程，要選擇技術方案。好比開公司，一伙人賣量子密碼術，另一伙人賣後量子RSA。後量子RSA的賣點，顯然不如量子密碼術。賣後量子RSA的說我這個花錢少，不可破，——也得人家信啊。徐老師認為後量子RSA現在就能實現，量子計算機還不定要到猴年馬月，所以後量子RSA勝出，這相當於民營企業家圖省錢的層次。」

我的同事中有許多是量子通信的一線工作者，據我了解，他們的看法是：

「我們和徐老師對待工程項目的一個基本點是一致的，即一定要有用戶需求。如果沒有需求，工程肯定不該上。

我們做京滬幹線的一個根本初衷是，銀監會等金融監管機構和工商銀行等金融單位的不少專業人士，對現有金融安全體系和技術水平應對高水平攻擊的能力表示擔憂，並提出城域網量子通信不能滿足遠距離特別是京滬兩個金融中心之間的安全數據備份和通信的需求。

於是我們和銀監會一起申請發改委立項，先做一個應用示範，若好用則全國推廣。我們一致的想法是，實驗室到工程化之間需要這樣一個應用示範項目，把這個項目做好，然後根據用戶的需求和工程的成熟度，再繼續穩步推動其進步。

京滬幹線項目不同於量子衛星。衛星首先是科學項目，所以第一目標是發文章，目前發了兩篇Nature一篇Science，還有很多科學的實驗在做。而京滬幹線開通之後是全面的安全測試和應用測試，兩者做完才交付使用。畢竟是工程項目，所以我們做的比衛星更加慎重和穩健。我們對幹線一直做的是內部調試以及跟用戶溝通，跟媒體溝通得不多，這可能也是外界產生誤會的原因。

除了金融系統之外，目前電力系統、大數據互聯網企業都對加入京滬幹線很有興趣，正在談。電力系統和金融系統都提出希望建更多幹線，所以我們覺得有必要在京滬幹線的基礎上拓展更多幹線。當然，任何一條幹線的建設都是需要在國家的戰略安排下，通過反覆論證穩步推進的。

量子密鑰不是必須要成為一個獨立的體系，在應用上既可以和經典密碼的技術互相取長補短，跟光纖激光通信也可以很自然地融合。借著國家光纖布網的升級擴張機會，就可以一起搞。所以，傳統行業完全用不著恐懼與排斥，應該把這看作一個機會而不是威脅。

隨著波分復用等技術的成熟和設備的小型化、集成化，以後的幹線建設成本可望大幅度下降。在國家的通盤部署下，標準委、銀監會等相關部門應該為量子保密通信制定技術標準、行業規範。

總之，量子保密通信一方面要做好前沿應用基礎研究，一方面要認真根據國家戰略和用戶日益迫切的現實需求穩步推進工程應用。」

我不揣淺陋，也在這裡談談對工程的一些理解。

國家算賬的方式，跟個人是不同的。對個人來說，錢花出去就沒了。對國家來說，錢花出去並沒有消失，仍然在自己的經濟體系里，真正重要的是提升國家能力。站在國家的角度上，思維方式就會是：錢能解決的問題，為什麼要冒泄密的風險？

京滬幹線的投資是5.6億元，這對個人消費而言是筆巨款，對國家工程來說卻不算大錢。修一公里地鐵，投資就在幾億元的量級。軍工單位進口一個小小的晶元，一輛豪華汽車的錢就出去了。高鐵在磁懸浮和輪軌兩種方案之間切換，做過許多實驗，也是花錢如流水。量子密碼術針對的信息安全問題如此重要，國家如果不搞，才是難以理解的。

以上是一些一般性的思考。具體到量子信息這個學科，還有一點有趣的是，量子密碼術以至整個量子信息，在很大程度上就是工程。因為這個學科最明顯的目的，就是利用量子力學的特性，做到以前做不到的事。這跟物理學、化學、生物學等傳統的學科有顯著區別，在那些學科里無實用目標的自由探索占的分量要大得多。

量子密碼術由於不需要用量子糾纏，技術難度在量子信息中相對而言最低，所以發展得最快，已經接近了工程實用的階段。在工程建設和應用中，會出現很多科研預料不到的問題。發現和解決問題，又可以促進科研發展。在這種情況下，即使有心停下工程只做基礎研究，又怎麼可能做到呢？這就像讓天文學家不造望遠鏡，只研究理論一樣。停止工程的結果，只會是基礎研究也停頓。

現在關於量子通信的輿論經常給人一個錯覺，好像世界上只有中國在大力發展這個領域，為全人類當小白鼠。事實上，在中國國內爭論不休的同時，其他國家並沒有閑著。例如2017年8月，《自然?光子學》撰文介紹了日本、中國和德國在衛星量子通信技術方面的進展，標題就叫做《量子空間競賽愈演愈熱》（「Quantum space race heats up」, Nature Photonics, 11, 456 - 458）。中國科學家竭盡全力，才在量子通信領域後來居上。如果因為人為的干擾，把領先位置拱手讓人，那將是自毀長城性質的失誤，令有志之士為之氣結。

八、真正應該抑制的是什麼？

以上所有這些，當然不是說對量子通信的任何正面宣傳都是正確的，也不是說任何地方都應該用量子通信，更不是說任何自稱量子的企業都具有真正的技術力量。實事求是才是最高的原則。

某公司對科學家進行人身威脅的事件，是引起徐老師憂慮的直接原因。廣而言之，隨著量子概念在媒體上的爆熱，出現了一批碰瓷李逵的李鬼。由於理解量子科技所需的知識水平超出了一般公眾的程度，所以許多人感到迷惑。其實在專業人士看來，李逵和李鬼的區別是十分明顯的。

對於投資者以及潛在的用戶而言，我的建議是：看清楚量子密碼術的技術進步是哪些科研團隊做出的，他們是哪些企業的技術支撐，同時看清楚哪些企業只是買設備和做資本運作、輿論炒作的，自己沒有技術力量。只有在精準識別的基礎上，才能做出明智的判斷。

在輿論場中，量子通信成了一個很神奇的領域。一方面有吹牛炒作的（吹捧李鬼），另一面也有完全指為騙局的（打擊李逵）。李逵不禁要問：為什麼受傷的總是我？兩邊的非理性程度都很高，而且都有大量的受眾。如此「盛況」之下，真正的科普被擠在中間，成了一條很窄的路。

在這種情況下，一線工作者和專業人士站出來科普，向公眾提供正確的信息，提高公眾的科學素養，就更加有必要了。回歸科技本質，抑制資本和媒體炒作，量子通信行業才能健康發展。

附註：此文在草就後請徐令予老師審閱，徐老師的評論是：

這是篇很好的科普文章。文章略長了點，來不及全文仔細閱讀，總體來說沒有明顯錯誤。雖然某些結論不能認同，但這些都無關緊要，只要實事求是，讓大眾對量子密碼通信有個比較正確完整的認識，壓縮資本炒作的空間，就可以了。這才是我寫作的真正本意。有關量子密碼通信的爭論不是你我之間的意氣之爭，而是科學精神與邪惡欺騙的鬥爭，在與迷信欺騙的鬥爭中我們倆始終是一條戰線的。

背景簡介：袁嵐峰，中國科學技術大學化學博士，中國科學技術大學合肥微尺度物質科學國家實驗室副研究員，科技與戰略風雲學會會長，微博@中科大胡不歸，知乎@袁嵐峰（https://www.zhihu.com/people/yuan-lan-feng-8）。本文2017年11月14日發表於「中國科普博覽」（https://mp.weixin.qq.com/s/qLCT31ehcSTqBv4OHT0EKg）。

致謝：感謝中國科學技術大學合肥微尺度物質科學國家實驗室張強教授、張文卓博士、清華大學物理系王向斌教授、美國新墨西哥大學數學與統計系黃宏年博士以及亞洲視覺科技有限公司研發總監、科技與戰略風雲學會成員陳經、著名科普作家「奧卡姆剃刀」等人在科學與工程等方面的指教與討論，感謝美國加州大學洛杉磯分校物理系徐令予老師的熱心探討與誠懇交流。

出品：科普中國

製作：中國科學技術大學袁嵐峰

監製：中國科學院計算機網路信息中心

「科普中國」是中國科協攜同社會各方利用信息化手段開展科學傳播的科學權威品牌。本文由科普中國融合創作出品，轉載請註明出處。

責任編輯：孫遠

歡迎關注風雲之聲

知乎專欄：

http://zhuanlan.zhihu.com/fengyun

一點資訊：

http://www.yidianzixun.com/home?page=channel&id=m107089

今日頭條：

http://toutiao.com/m6256575842