量子通信有多安全？默克尔应该会想要整一个！ | 科技袁人

heal5256

本期进入正题，袁老师帮大家详细解释了量子密码术的基本原理和相对传统密码术的优势。
; R9 W- b1 g. f) y9 X3 P: [密码学实际上是一门不太容易进入普通人视野的学科，因为它背后往往涉及着关乎一个国家外交、军事、经济等最为关键的核心利益，所以也才会出现袁老师在本期节目中举例的那种情况：一个国家的密码学成果，在之前已经有别的国家做出过。这可以说是一个研究“保密”的“保密”学科。联想到几年前默克尔等人还遭到盟友美国窃听的事件，我们可以感受到，密码领域的争夺我们能看到的只是水面上的冰山一角！
视频链接
& w. U, ?* @7 n/ ~哔哩哔哩：
腾讯视频：
秒拍视频：
7 H/ J# C3 \& S  T0 b4 ~部分评论
此情可待成追忆西出阳关无故人：

川普：“老默你为什么要用华为，通讯不安全知道不？”
默克尔：“咦，你咋知道我们要用华为捏？”
川普：“我从你的电话里监听到的啊。”

潜龙009：

总结一下：
$ R( F; K5 H+ U; I8 t6 C1 s1、一次性便签三要素：密文密钥等长、密钥随机、一次一密；
2、一次性便签不可用数学方法破解；
3、量子通信中密钥生成就完成分发（量子通道），双方即获取随机密钥（因为量子通道只能产生/传输随机数，无法传输信息），通信前生成与信息等长的密钥；
4、再使用生成的随机密钥加密信息得密文，通过传统信道传输；
5、每次传输使用不同密钥（一次一密）；
1 ?8 o8 O! ~+ `: S6、345三点保证量子通信即为一次性便签通信，无法用数学方法破解。

马后来一炮：

简单粗暴啊。看了一集就懂了量子密钥分发的大体思路。
& [3 ^" i5 C7 e1 C2 {% R

请参见：量子加密惊现破绽？请媒体提高知识水平，不要乱搞大新闻 | 袁岚峰
1 c/ Q8 j$ t1 a( s2019年3月中旬，一下子有许多人来问我：听说量子加密惊现破绽，是怎么回事？
' m) \- c7 |0 M7 Y" c  ?1 f他们的问题来自一篇文章《量子加密惊现破绽：上海交大团队击穿“最强加密之盾”，实验成功率竟高达60%！》，这篇文章的卖点是……好吧，已经在标题上了。这篇文章3月12日发在著名的科技自媒体“DeepTech深科技”上，作者是林宗辉。
- i* X' P) T, q  U) m( G! g我立刻调研了一番。结论是：
这篇文章纯粹是标题党啊！作者压根不知道自己在说什么啊！
2 A* x8 @8 \  o/ E4 w" H# v$ _+ E下面，我先来简略地回答几个最常见的问题，然后再详细解释。
- E+ [& w7 h2 Y. t$ N问：量子密码不是号称绝对安全吗？怎么会被破解？这是立了个flag被打脸了吗？牛皮吹爆了吗？
# w- i- w' w9 f0 f答：平常说的破解量子密码和破解传统密码，指的是不同层面的事情。
传统密码的破解，指的是用数学方法破解。
量子密码是不可能用数学方法破解的，要窃密只能用物理方法攻击设备。所谓破解量子密码，就是指用某种方法攻击设备，好比《偷天陷阱》之类的盗宝电影。跟数学手段相比，这相当于作弊。
; U. b2 _% b- h, o《偷天陷阱》
. _/ G3 S1 r' ^. V  z你经常会听到人们说量子密码术具有绝对安全性，或者无条件安全性，或者完美安全性，或者信息论安全性等等，这些说法指的就是上面的意思：不可能用数学破解。也就是说，如果你的设备是可靠的，那么你绝对不会泄密。这是一个得到数学证明的结果，是一个定理。
而如果有人能给你的设备捣鬼，那么他当然有可能偷到你的信息，但这跟绝对安全性并不矛盾。你应该这样理解：别人只能通过入侵你的设备来窃密，岂不正说明了这种保密方法的安全性？
实际上，即使是物理攻击，也有很多是量子密码术已经能够防住的。也就是说，即使你作弊，我也不见得怕。用游戏的语言来表述，就是：量子密码的数学抗性是100%，物理抗性还没有达到100%，但也已经相当高了。
$ @, [1 b, K4 @2 B0 k2 n* n因此，量子密码术的厉害之处，可以用这样一句话来表示：
我允许你作弊！
问：深科技这篇文章介绍的，究竟是什么？
+ r4 D2 N0 O2 C4 n答：是一种对量子密码设备新的物理攻击手段，叫做“注入锁定”（injection locking）。
, _( r' X& |' v5 ^+ G问：这种物理攻击方法，破解量子密码术了吗？
) r7 E0 y( I' H* o& W2 O! u" c答：其实原始论文说的很清楚：他们是自己搭了一个原型的量子密码光路，然后用注入锁定偷到了信息。同时他们指出，用一个常见的器件“光隔离器”（optical isolator），就能防止注入锁定的攻击。
现在的量子通信设备，都装了光隔离器。因此，这项工作好比告诉大家：如果你的电脑没有装杀毒软件，我就能劫持你的电脑。这是完全正确的，不过大家已经装了杀毒软件。
问：中国的量子通信干线“京沪干线”有没有风险？要不要为此改装设备，增加成本？
7 b: E  |( _, z答：上面已经说了，现在的量子通信设备已经能抵御这种攻击。所以京沪干线没有受到影响，不会为此多花钱。
" n. j& m! K/ F" F1 d! j问：既然量子密码术也有可能被破解，那么基于数学难题的密码术是不是更好呢？
答：这个问题的关键，一句话就能点破：传统密码术的设备，难道不会受到物理攻击吗？
我的朋友、通信专家“奥卡姆剃刀”指出：
“您听说过‘旁路攻击’（side channel attack）吗？这是信息加密的一个术语，简单说就是不正面攻击，玩的是歪门邪道。
" T  R& Z2 u6 H例如，你在电脑上设置了一个特别复杂的开机密码。旁路攻击者上场了，他根本就不管密码的事，而是在负责启动电脑系统的那根芯片管角上装了个波形采集器。
你用密码正常开机，无论是什么密码，都会经过一系列复杂的验证折腾，然后系统认为你的密码正确，最终通过某根芯片管角发出一个开机指令。
旁路攻击者就是把这个开机指令录制下来，需要开机时就在这个管角重放一遍，这个方法简单粗暴有效。这是很经典的军用破解方法。
再举一个例子，汽车的打火开关是有电子锁的，必须原配钥匙才能对上密码。
, q) {  e$ c! y0 b! |. F" j& Q偷车贼不破解密码，而是在方向盘下面砸个洞，把对火线扯出来，一碰就着了。反正密码干的也是让这两个线的开关闭合的事。”
' B, M5 g" a. k1 R* ]+ y$ e; J古往今来，通过这种旁路攻击窃密的十分常见，你要不要把这看作传统密码术被破解呢？
由此可见，量子密码术面临的威胁只来自物理，传统密码术面临的威胁来自数学加物理。因此，前者显然优于后者。
) L1 ?: X$ Z& E+ `! E如果你只想知道基本结论，那么上面这些已经足够了。如果你还想了解更多，那么就需要引出整篇文章了。
一、基本背景
, v# D4 P8 k4 j. S深科技这篇标题党的文章，本意是要报道上海交通大学物理与天文学院特别研究员金贤敏研究组的一篇论文。这篇论文是用英文写的，标题叫做《用注入锁定破解量子密钥分发》（Hacking Quantum Key Distribution via Injection Locking），2019年2月27日发布在学术预印本平台arXiv上，2月28日稍加修订后发布了第二版。
4 Y8 O2 n5 ]) K  k什么叫预印本？预印本就是没有经过同行评审的文章稿件。学术期刊上的论文，都是要经过同行评审后才能发表的，这是期刊公信力的根本。越著名的期刊，评审的标准越高，过审越不容易，所以大家听到一篇文章发在像《自然》（Nature）、《科学》（Science）这样的顶级期刊上，才会觉得十分高大上。
不过，审稿可能会需要很长时间。如果你只看已经发表出来的文章，也许会错过一些有趣的最新进展。因此，学术共同体搭建了像arXiv这样的预印本平台，供大家把自己尚未发表的文稿发上来交流。预印本的好处是快，不足自然就是质量缺乏保证，公信力跟期刊文章不可同日而语。
金贤敏研究组的这篇文稿，可以在这个链接（https://arxiv.org/abs/1902.10423）下载到，只有7页。我仔细读了这篇文稿，包括它的两个版本，感觉除了一些技术细节之外，基本上理解了它的意思。
著名的科技媒体“麻省理工学院技术评论”（MIT technology review）有一个栏目，是专门发来自arXiv的技术进展的。他们注意到了这篇文稿，于是写了一篇新闻《有一种破解量子密码术的新方法》（There’s a new way to break quantum cryptography）（https://www.technologyreview.com/s/613079/theres-a-new-way-to-break-quantum-cryptography/）。这篇新闻就已经不太专业了，有不少似是而非的错误。
7 v2 K; _1 G: O5 G$ ]2 o然后，深科技的作者把MIT技术评论的这篇新闻翻译成了中文，还加上了一些添油加醋的评论，这就是引起热议的那篇标题党文章（量子加密惊现破绽：上海交大团队击穿“最强加密之盾”，实验成功率竟高达60%！）。这篇文章中的错误变得更多，一些最基本的术语都翻译错了。
! E' h* R! Q$ a3 o$ M然后，看到许多媒体在错误的基础上热议此事，许多群众的节奏被带歪，相关的科学家只好出来发了两个声明。一个声明来自量子卫星和京沪干线的首席科学家潘建伟院士以及他的合作者，标题叫做《潘建伟等科学家关于量子保密通信现实安全性的讨论》（潘建伟等科学家关于量子保密通信现实安全性的讨论 | 墨子沙龙）。另一个声明来自arXiv文稿的作者金贤敏研究组，标题叫做《攻击是为了让量子密码更加安全》（攻击是为了让量子密码更加安全 | 墨子沙龙）。这攻防双方给出的大图景是一样的，就是我在前面那些问答中解释的。
& ~; ^: Z2 {" ]  A在我看来，这两个声明已经说得足够清楚了，完全解答了相关的科学问题。不过，大多数网民显然没有看懂这两个充满术语的声明。在我的微信公众号“风云之声”的留言中，大部分说的都是类似这种：每个字都认识，连起来就不知道是什么意思了……
$ v4 B2 v* D1 A0 z这真是令人很遗憾，科学家的严谨声明，传播力远不如胡编乱造的自媒体文章。不过，有一点信息我相信大家一听就能理解：金贤敏跟潘建伟是什么关系？
7 j3 W3 p' A0 q9 w如果你做一下调研，立刻就能知道：
8 w+ A' P  E5 J# f' n8 ^金贤敏就是潘建伟的学生啊！
上海交通大学物理与天文学院金贤敏主页
你看，上海交通大学物理与天文学院金贤敏的主页（http://www.physics.sjtu.edu.cn/xianmin.jin）上写得清清楚楚：2003年起师从潘建伟教授，获中国科学技术大学博士学位。所以，他也是我的科大师弟。
+ g* P7 q( {% ?$ y, k) j6 H我估计金师弟最近被媒体搞得很郁闷，一个正常的科学研究被歪曲得不成样子，甚至拖累了自己的导师，这都什么破事儿啊。
在此期间，传统媒体也采访了其他一些专业人士。例如《科技日报》3月16日的报道《量子加密惊现破绽？业界大咖纷纷回应！再来听听量子黑客怎么说…》（http://view.inews.qq.com/a/20190316A0973B00），采访了我的科大同事、中科院量子信息重点实验室韩正甫教授以及正在科大访问的俄罗斯量子中心研究员瓦蒂姆·马卡洛夫（Vadim Makarov）。他们都指出，那篇流传甚广的自媒体报道（量子加密惊现破绽：上海交大团队击穿“最强加密之盾”，实验成功率竟高达60%！）就是为了吸引眼球，这种攻击对现在的量子通信设备并不构成威胁。
瓦蒂姆·马卡洛夫
顺便说一句，马卡洛夫是一位国际著名的“量子黑客”（这飘逸的大胡子确实很有黑客的感觉……）。他做了很多攻击量子密码体系的工作，在科学期刊上发表了很多论文，被引用次数达到了3500。
. r& ~+ D( }8 R马卡洛夫表示，量子黑客们将所有发现的安全漏洞全部以科学论文的形式公开，与量子密码系统构建者紧密合作，共同推动了实际系统的安全性。从这种意义上来说，量子黑客肩负着特殊使命，已经成为独立于量子密码设备生产商和用户的“第三方评估者”，并在量子密码系统标准化的工作中发挥重要作用。
( G# L% D2 x# Y. I  s' \经常可以看到有人抨击量子密码没有经过实践检验，要求搞红蓝军对抗。现在你明白了吧，这个领域的研究者本来就在搞红蓝军对抗！
+ v" q6 q* t: a3 m% G$ e其实自媒体并不是全都知识水平低下，开局一张图，内容全靠编，也有一些相当专业的。3月19日，风云之声转发了“量子客Qtumist”的一篇文章《量子黑客的独白：自媒体妖言惑众，“量子加密”被“惊现破绽”，我们需要底线！》（量子黑客的独白：自媒体妖言惑众，“量子加密”被“惊现破绽”，我们需要底线！）。这篇文章的专业水平就相当高。不过，从读者留言来看，大多数人只是看明白了此文的态度，即愤怒地抨击标题党，还是很难看明白此文的科学内容。
下面，我就来向大家解释一下这里的科学原理。不过，首先要打个预防针，再好的科普也不可能让你真正理解深奥的科学内容，博士寒窗苦读十几年不是白读的。读者千万不要有一种幻觉，以为自己看几篇微信文章就能掌握量子信息这种前沿科技了，甚至就能指责专家是骗子了。
我在这么一篇短文中提供给你的，不可能是技术性细节，最多只能是量子密码这个领域的大图景。即使仅仅是理解大图景，也是需要读者付出可观的努力认真去学习的，没有付出就没有收获。
有了这个共识，咱们才能往下进行。否则有些人可能会赖在我身上，他们会说：你说的我都看不懂，可见你说的都是错的！不要笑，我真的见过这种人。在感叹“活久见”之余，我只好先加上这一段基本说明，让大家先有个正确的态度。
因此，在本文中，如果你有什么地方感到不明白，这是完全正常的。我写过一篇4万字的文章《你完全可以理解量子信息》，你如果想了解更多的细节，欢迎去看这篇长文。风云之声把《你完全可以理解量子信息》分成了一系列短文，你进入风云之声的页面，点一级菜单“科技”，再点二级菜单“量子科普”就能看到。
9 c: o, [. r0 \; G风云之声的页面菜单
此外，我还写过一篇“短”文，“只有”1万7千字，叫做《量子保密通信好与坏？别把“李鬼”当“李逵”！》（量子保密通信好与坏？别把“李鬼”当“李逵”！ | 袁岚峰），也欢迎大家去阅读。
; d8 o0 b* s+ d1 o5 S' H由于有这些比较详细的文章在前，这次我就跳着说了，只解释一个大框架。
3 z, Y6 g  L1 J6 @二、传统密码术
密码术的基本目的，是为了解决一个问题：如何在不安全的信道上，安全地传输信息？
回答就是，通信双方要隐藏一些信息，在不安全的信道上只传送密文，用这些隐藏信息把密文还原成明文。这些隐藏信息就叫做密钥，英文是key。
令人吐血的是，深科技那篇标题党文章中（量子加密惊现破绽：上海交大团队击穿“最强加密之盾”，实验成功率竟高达60%！），连密钥这个词都翻译错了，写成了“键盘”的“键”。这真是如假包换的——键盘侠！
; C7 ~0 E  v* ]深科技的标题党文章中把“密钥”翻译成“键”
量子保密通信的专业名称叫做量子密钥分发（quantum key distribution），此文也非常荒诞地翻译成了“量子键分布”。更加离谱的是，同一句中后面的“量子力学”（quantum mechanics），居然被翻译成了“量子机械”！
深科技的标题党文章中把“量子密钥分发”翻译成“量子键分布”，把“量子力学”翻译成“量子机械”
: S5 a7 D2 U6 \" n8 T$ @吐完血之后，让我们继续学习。所有的密码术，都包含两个元素：密钥和算法。
1 k  v2 v% Y! N- {, j举个例子，一个非常简单的加密方法，算法是“在英文字母表上前进x步”，密钥就是x这个数。如果取x = 1，明文的“fly at once”（立即起飞）就会变成密文的“gmz bu podf”。当然，这么简单的密码非常容易破解，在现实中是不会用的。
; E" O4 \* S# K2 `. }现在的绝大多数加密方法，都是基于某种数学问题的单向困难性。也就是说，一个问题沿着正方向很容易，你可以用它来加密，但逆方向就很困难，导致破解很困难。
/ ]- k. S& ]2 A3 v* a) p举个例子，现在最常用的密码体系之一叫做RSA，这个名字是三位发明者李维斯特（Ronald Linn Rivest）、沙米尔（Adi Shamir）和阿德曼（Leonard Adleman）的姓氏首字母缩写。RSA密码体系用到的数学难题叫做因数分解（factorization），也就是说，找到两个大的质数，把它们乘起来得到一个合数，是很容易的，但给你一个大的合数，把它分解成两个质因数，是很困难的。
RSA密码体系的三位发明者
类似的密码体系，还有椭圆曲线密码等等，有大量的密码学家在这个领域里耕耘。我对这些成果都充满敬意，它们确实有非常高的智力含量。如果让我去解决这些数学难题，我肯定是不会的。
/ Z- D6 N. o2 A0 m但是，密码学家面对的对手并不是像我这样的普通人，而是全世界最聪明的数学家，大多数情况下就是其他密码学家。
8 @' Z3 b; e$ q8 ^例如，计算机科学的创始人之一、英国数学家阿兰·图灵（Alan Mathison Turing，1912 - 1954），在二战期间参加了破译德国密码体系“奇谜”（ENIGMA）的工作，做出了巨大贡献。
图灵
# I; z9 S2 B0 u  b0 P! Y6 U( z; t实际上，在英国人之前，波兰密码学家马里安·瑞杰斯基（Marian Adam Rejewski，1905 - 1980）等人就破解了早期的奇谜系统。在1939年9月1日德国入侵波兰之前，他们把研究成果告诉了英国和法国，为图灵等人的工作提供了基础。令人遗憾的是，他们的名声在很大程度上被埋没了。网络上经常见到对波兰的嘲讽，但我们应该知晓和尊敬波兰人的成就。
瑞杰斯基
奇谜是一个非常复杂而精巧的密码系统，当时许多人认为它是不可破解的。但实际上，在几年之内就破解了，这成了德国败亡的一个重要原因。
奇谜机器
二战结束后，英国把缴获的几千台奇谜机送给了若干个前殖民地国家。这些国家仍然以为奇谜非常安全，于是英国在很长时间内轻松解译了他们的秘密通信！
再来看一个近年的例子。中国密码学家王小云院士，在2004年和2005年破解了广泛应用于计算机安全系统的MD5和SHA-1两大算法，引起了国际轰动。
王小云
为什么许多曾经被认为牢不可破的密码体系，最终都被破解了呢？有一个深刻的原因。
这些算法的基础，都是某些单向困难的数学问题。但在数学上，任何一个实际在用的问题都没有被证明是单向困难的。实际上，就连单向困难的数学问题是否存在，我们都还不知道。
! r( @" Z3 T! X因此，我们现在对数学密码的信心只能是基于经验，即这个问题看起来很困难，我不知道怎么解，到目前为止也没见人解出来。但这显然不是个真正可靠的理由，你怎么知道别人解不出来？你怎么知道将来的人解不出来？
! i; c, r( N; n4 E( w5 t$ c更进一步想一想，你的敌人如果破解了你的密码，他会告诉你吗？二战期间，盟国就成功地隐瞒了破解德国和日本密码的事实，为此甚至不惜让一些部队去牺牲，让他们以为自己的密码还有效。
因此，如果你说某种密码从来没见人破解过，可见谁也破解不了，这话对于有见识的人来说是很可笑的，完全是低估了密码学的特殊性。
我在一本讲密码学历史的书上见过一句很有趣的话：“这门研究保密的科学本身就是被保密的科学。”（西蒙·辛格《码书》，刘燕芬译，江西人民出版社2018年3月第一版，作者序第9页）这话的意思是，密码学的很多进展是不会对外公开的。
4 z% U& K* R$ B$ Q《码书》
例如，RSA密码是两位美国学者和一位以色列学者在七十年代发明的，但在他们之前，三位英国学者艾利斯（James Henry Ellis，1924 - 1997）、考克斯（Clifford Christopher Cocks）和威廉森（Malcolm John Williamson）就已经发明了同样的密码体系。也就是说，RSA密码其实本来应该叫做ECW。
为什么ECW没有公开他们的发现呢？因为他们在英国的情报部门工作，他们的成果都必须保密。
+ A6 }) u3 j' z0 C: h' G我们在敬佩ECW的同时，也应该想一想，有多少其他国家的密码学家在努力破解中国的密码？你能看到他们的成果吗？
因此，我们应该有个基本的概念：所有基于数学的密码的安全性，都是未经证明的！未经证明的！未经证明的！
( J2 _; C% ~# z5 ?# E, q到目前为止，唯一的已经证明不可能被数学破解的密码，就是量子密码。因此，量子密码的价值是一目了然的。
三、量子密码术
量子密码术是怎么实现保密的呢？跟传统密码术一样，也是通过算法和密钥。
9 @' ]4 B- ~! m% H实际上，量子密码术用的算法还是个特别简单的算法，简单到三言两语就能说清楚。
+ [- U! A# y; F5 c+ F6 a% S2 D  G任何一串信息，都可以表示成一串二进制字符，即一串0和1。对这个01字符串的每一位数字a，我们都给它一个对应的密钥k，这个k也是一个0或1的数字。根据a和k，就可以算出对应的密文b，它也是一个0或1的数字。
8 c. w. V& Q6 x$ y5 S: A; `对应的规则是：如果k = 0，那么b就等于a；如果k = 1，那么b就等于0和1中不等于a的那一个。也就是说，k = 0就把0变成0，1变成1，而k = 1就把0变成1，1变成0。再简单一点说，k = 0就不变，k = 1就01互换。
这大概是你能够想到的最简单的算法了！你可能会在文献上看到它叫做“异或”或者“模为2的加法”之类，不要被数学术语吓住，其实就是这么个简单得不能再简单的算法。
5 D) {- {( e  K你也许会感到奇怪，那么多复杂的算法都保不了密，这个最简单的算法反而可以？凭什么？
5 H: c$ [, R4 u诀窍不在于算法，而在于密钥。
请注意，这里的密钥不是只有一位数字。如果只有一位数字，那当然完全没有保密效果。实际情况是，对于原文的每一位，都相应地有一位密钥。也就是说，如果原文的长度是n位，那么密钥的长度也是n位。如果原文像《红楼梦》那么长，那么密钥也需要有这么长。
《红楼梦》
这还没完。这串密钥的字符串，还必须是个随机的字符串。也就是说，每一位都是随机的0或者1，任何两位数之间，没有任何联系。
这仍然没完。这么长的密钥，还只能用一次。也就是说，你这次用n位的密钥传输了n位的原文，下次你传同样的内容，还必须从头再来，重新构造n位的密钥，千万不能把原来的密钥再用一次。这叫做“一次一密”。
这终于完了。量子密码术中的密钥，就是满足这样三个条件的字符串：长度跟明文相等，随机，一次一密。
% O; ^0 [% }. F& K! J/ P! ?5 d% x, A/ B为什么要这样做呢？因为这样就绝对不会被数学方法破译。
# B. n6 Q3 S4 d' H0 f$ ]; t: }# |为什么不可能被破译？因为这样的一段密文，可能对应任何的一段跟它等长的明文，而且概率相等。比如说，既可能对应“明天上午向东进攻”，也可能以同样的概率对应“后天下午向西撤退”，还可能以同样的概率对应“飞出地球移民宇宙”，甚至可能以同样的概率对应“玄不救非氪不改命”……
$ T+ t$ }% G1 [6 m. C: n- I0 w玄不救非氪不改命
对这样没有任何偏向性的密文，你能有什么办法分析呢？完全无从下手，因为这里根本就没有一个数学问题让你去解决。这好比真正的“大隐隐于市”。
长度跟明文相等，随机，一次一密，满足这三个条件的密钥叫做“一次性便笺”（one-time pad）。因此，密码学中一个重要的定理就是：用一次性便笺加密的密文，是绝对不可破译的。这条定理是信息论的创始人克劳德·香农（Claude Elwood Shannon，1916 - 2001）证明的。
! W9 \6 R8 f& D$ z: c7 Q. ]5 F5 \香农
" C+ h' n+ J: @( F值得注意的是，一次性便笺中的三个条件缺一不可。无论是密钥长度小于明文，还是密钥的各位之间有联系，还是同一串密钥用了两次，都会导致密文呈现某种结构，你的对手就有了着力之处，就可能通过频率分析之类的手段破解你的密码。大家可以自己想想这个道理，作为一个课后练习。
好，现在来思考一下：既然一次性便笺密钥已经能保证不可破译，为什么大家不用这种方法呢？为什么还要花大力气发展各种各样复杂得多的密码体系呢？
原因其实也很明显。一次性便笺密钥跟原文一样长，你怎么传输这么大量的密钥？如果你有一个安全的信道来传输密钥，那么你用这个信道直接传输原文不就行了，还要加密干什么？之所以要加密，不就是因为没有安全的信道吗？这就好像《国产凌凌漆》里那个“有光照才会发光的手电筒”，成了一个一本正经的笑话。
《国产凌凌漆》达文西：你拿另外一只手电筒来照它呢，它就会亮了
, T3 u# [. }( j: Q9 C* i2 n) i1 s; e如果你在不安全的信道上传输密钥，那密钥被人窃取了怎么办？如果你派一个信使去传送密钥，那么如果这个信使被抓了（例如《红灯记》中的李玉和），或者叛变了（例如《红岩》中的甫志高），那损失会有多么巨大？
" ]9 y1 [: s' r. C. K《红灯记》中的李玉和
. {) R* J- q( c  H《红岩》中的甫志高
; s  R1 e, c+ I. q8 O5 q) u在实用当中，一次性便笺只用在极少数的场合，就是那些需要绝对安全的通信，为此不惜任何代价的地方。例如美俄总统之间的热线，就是用这种方法来防护的。
3 V: Z- f* u7 e* ^: I  `你也许会感到很失望：这种办法看似很完美，实际上反而是用得最少的啊！
别急，下面就是大反转的时刻了。
你有没有注意到，到目前为止，我们谈的全都是作为数学方法的一次性便笺密码术，跟量子力学还毫无关系？
4 Z5 k* Q6 g) F8 U量子密码术，就是用量子力学的物理方法在通信双方产生了一次性便笺密钥。这里的要点是什么呢？是双方同时获得了密钥！没有第三者信使在中间传输！
( C' ?7 j& q- E5 C听起来很不可思议，是吧？是的，这确实是非常巧妙的思想，量子力学创造的奇迹。量子密码术的技术含量，就是表现在这里。量子密钥的产生过程，同时就是分发过程，因此量子密码术又有个专业名称，叫做“量子密钥分发”（quantum key distribution），就是前面说的深科技的标题党文章（量子加密惊现破绽：上海交大团队击穿“最强加密之盾”，实验成功率竟高达60%！）翻译成“量子键分布”的那个。
5 T( d) q/ H" ^. S% Z量子密钥分发
有些文章把量子密码术贬得一钱不值，说这东西不过就是传统的激光通信之类，毫无技术含量。这些文章都是不懂装懂的人写的。你可以问问他：你有什么办法，不用信使就让通信双方共享密钥？他就抓瞎了。一个真正意义的高科技，给他们说成低科技，真是无知者无畏！
+ u* _. l! M! P$ k$ w8 X0 L* y: T量子密码术的研究者在学术界获得过很多大奖，例如潘建伟团队不久前刚刚获得美国科学促进会颁发的2018年度克利夫兰奖。如果你不带偏见去看，你很容易就能看出，这个领域当然不是浪得虚名的，是有真材实料的。
( n! y: k. @9 b( g2 C5 P你肯定想问了，量子密码术是怎么实现无信使的密钥分发的呢？很遗憾，由于篇幅限制，在这里不能解释细节。
7 k6 N# R$ K5 Z6 b5 p; E) d0 c回想一下前面打的预防针，再好的科普也不可能让你真正理解深奥的科学内容，博士寒窗苦读十几年不是白读的。在这里，只能非常简略地解释：量子密码术利用了量子力学中的两个原理，一个是叠加原理，另一个是测量可能导致状态突变。基于这两个原理，通过发射和接收一系列处于随机状态的单光子，来使通信双方获得一串相同的随机字符串。这串随机字符串，就是一次性便笺密钥。
也就是说，通过一系列操作以后，双方都获得了一串随机的0和1，比如说0010111001001010101……最重要的是，双方的这个字符串完全一样。这就是最终的效果。
如果你想知道具体的操作过程和背后的物理原理，那么，欢迎阅读我的文章《你完全可以理解量子信息》。很多人看了以后，都很开心地表示明白了哦~
有了密钥之后，干什么呢？后面就是用前面说的“异或”加密算法，用密钥把明文加密成密文，把密文发送出去。既然密文已经是不可破译的了，这一步就不需要任何特别的设备，直接在传统信道上大摇大摆地走就是了，敌人截获也无妨。
% S8 L) l9 x/ X8 c$ h- W4 l  j) d4 U7 `一个常见的误解，是以为最后的信息传送要通过某种量子信道。当他们知道传统信道就行的时候，就感到大惑不解，甚至以为搞量子通信的都是骗子。
0 t6 _- d' f* i( O; h& Z* T另一个常见的误解，是以为密钥也要通过传统信道传输。这是绝对不可能的，如果你要把密钥通过不安全的信道发出去，那就完全失去了保密的意义。任何密码系统，都不会愚蠢到这种程度。
总结一下，量子密码术真实的做法是：用量子信道产生密钥，用传统信道传送密文。
' P0 t8 c$ u# t+ o你也许想问：既然量子信道可以保证不泄密，那为什么不直接用量子信道传输信息，而只是传输密钥呢？
5 q- Q  \/ o* C  t- d* B这是一个好问题！回答是：这套量子力学的操作只能产生随机字符串，随机字符串的信息量是零，所以这套操作本身不能传输信息。因此，这些办法的提出者，在很长时间内想不出它有什么用，直到发现这段随机字符串可以作密钥，才发扬光大。
现在，你可以理解量子密码术的用处了。原来专属于美俄总统通话这种级别的安全性，现在可以在大得多的范围内实现了。同学们感到开心吗？~
四、量子密码术的攻防
6 x0 I& @7 l- V0 _0 z几年以前，我有一次给某个系统的工作人员讲量子信息原理与技术。当我讲到量子密码术绝对不可破译的时候，我本来以为他们会很高兴，没想到他们纷纷来问我一个问题：如果我们想监控某些情报，而对方用了量子密码，我们该怎么办？
我感到非常意外，居然还有这样的问题？！
' q1 O! {8 k/ F0 ^5 h) K7 b* [% \意不意外？惊不惊喜？
0 w, n. h# _! V. d我读过量子信息的一些经典教材，但上面并没有讲这个。后来我咨询了一些量子通信的一线研究者，如我的科大同事张强教授，对此才有了一些概念。
基本的框架其实很简单。既然数学方法是不可能破译量子密码的，那么唯一的途径当然就是物理方法，用各种手段入侵量子通信设备。
" O. k; J6 o  K3 i: j  Y& L3 l有些人在这里就出来和稀泥：你看，量子密码也可能被破解，可见它跟传统密码并没有本质的区别。还有人说：传统密码有种种好处，例如成熟、廉价、快速、易于组网等等，因此量子密码还不如传统密码，甚至是根本没有用处。
应该如何看待这些观点呢？
& q( J9 P1 Z  n& _+ I7 J% y1 ^其实这是一种典型的把水搅浑，偷换概念。
我们在对传统密码的讨论中，主要考虑数学破解，是因为用数学就“有可能”破解它们，而不是“只有”用数学才能破解它们。请问，用物理手段能不能破解传统密码？当然可以。否则，你认为各国的情报部门是干什么的？
在本文开头的FAQ中，奥卡姆剃刀就已经告诉大家，这叫做旁路攻击，并且举了偷开机密码和偷车的两个例子。
. K/ g7 N" g0 r( V2 s. e因此，量子密码术和传统密码术的对比，并不是前者的威胁只来自物理，后者的威胁只来自数学。实际的对比，应该是量子密码术面临的威胁只来自物理，传统密码术面临的威胁来自数学加物理！
$ K: h: O. v2 f7 r你本来可能被数学攻破，也可能被物理攻破，现在我把数学的威胁关闭了，只剩下物理的威胁，这难道不是一个重大的进步吗？
我们还可以做个比喻。围棋选手甲，跟人分先下的胜率是90%。围棋选手乙，跟人分先下必定能赢，所以他现在都不下分先棋了，只下让子棋，下让子棋的胜率是60%。请问，你觉得哪个人的水平更高？
0 ^- [/ l: K, ~2 H答案显然是乙。如果有人因为甲字面上的胜率更高而选了甲，那他的脑子确实已经成一锅浆糊了。
1 v, \( a2 _3 S; w, h棋手甲就好比传统密码术，棋手乙好比量子密码术，分先棋好比数学攻击，让子棋好比数学加物理的攻击。我们平时不关心甲下让子棋的表现，不是因为他下让子棋比乙厉害，而是因为他连分先都不一定能赢，哪里还轮得到考虑让子。
我们还可以再做一个比喻。让子棋好歹还是在按照规则下棋，而物理攻击更像作弊，比如说，在棋盘上钻个洞，或者把棋盘倾斜过来，甚至拿棋盘砸人脑袋。
最后一句不是随便说说的哦。西汉时，汉景帝刘启作太子的时候，跟吴王刘濞的太子刘贤下棋。两人争执起来，刘启就拿棋盘砸刘贤，把刘贤给打死了。这事成了七国之乱的一个诱因。你看，棋盘就像《食神》中的折凳一样，也是一种了不得的武器啊！
《食神》：好折凳！折凳的奥妙之处，是可以藏在民居之中，随手可得，还可以坐着它来隐藏杀机，就算被警察抓了也告不了你，真不愧为七种武器之首！
这样看起来，你就更能理解棋手乙的厉害之处了。面对种种匪夷所思的作弊手段，他竟然还是经常能赢！
当然，比喻只是个比喻。我们需要强调一点，这里说的“赢”，是指保住了秘密，没有泄露，并不是一定要把信息发出去。敌人可以破坏你的器件，或者不停地干扰，让你无法通信，但只要没有偷到信息，都算他输。
还有，我们讨论的是窃密，而不是抢劫。用《水浒传》来作比喻，我们允许的是像鼓上蚤时迁那样神不知鬼不觉地把信息偷走，而不是像黑旋风李逵那样抡起两把板斧杀上门去。也就是说，物理攻击如果被通信者发现，就算攻击者输。
这些是很合理的条件。我都允许你作弊了，好比我允许你拿着火箭筒，我却只有把小手枪，如果你简简单单地把我轰杀就算你赢，那这游戏还有什么意义？
也就是说，——作弊也要按照基本法啊！
在以上这些框架下，我们可以来介绍量子密码术的攻防状况了。
) i/ U1 V7 q' W9 o' e" h- ]最容易产生的想法是：如果被物理攻击，量子密码术是不是就挂了？所以我们唯一的出路，只能是尽量谨慎点，多盯着监控？
# C  L, M8 w. w- p) v5 I& w( Z非常惊人的是，答案居然是“否”！
量子密码术现在的研究前沿，就是在假定敌人成功地进行了若干种物理攻击的前提下，我仍然能够保证信息不泄露。
& j# y2 A$ W9 ]4 Q1 S; R+ Z+ x" m例如，我可以把我的测量仪器都交给你，随你怎么去捣鬼，但我仍然有办法发现你在捣鬼，因此及时地中止生成密钥，信息也就不会泄露。这叫做“测量仪器无关的量子密钥分发”（MDI-QKD，是measurement device independent quantum key distribution的缩写），在这个领域里中国也走在世界前列。
想想看，这是多么令人吃惊的技术！简直好像《倚天屠龙记》里，空见神僧的金刚不坏体神功。
空见神僧
但这还没完，研究者们还在发展“仪器无关的量子密钥分发”（DI-QKD，是device independent quantum key distribution的缩写），跟前面那个MDI-QKD相比，少了一个M，测量。这就更不可思议了，我的所有仪器都交给你捣鬼，我居然都不怕，——简直是逆天啊！
目前的发展状况是，MDI-QKD的实验已经成功了，下一步是提高成码率的问题。DI-QKD还没有完整的实验验证，因为难度非常大，而且学术界普遍认为它的实用价值不高。好比我还是拿着把小手枪，对方却连火箭筒都不满足了，拿着个原子弹过来了，这也太夸张了吧！虽然我允许你作弊，但作弊也要按照基本法啊！
讲这些是为了让大家明白，量子密码术的研究者是在考虑什么范畴的问题。大家可以想想，对传统密码设备如何抵御物理攻击，有这样的研究吗？没有。因为量子密码对物理攻击的抵抗能力，是有物理原理作指导向上提升的，而传统密码没有物理原理指导，不知该向哪里努力。
% G$ |9 C: `* n0 c4 M- `上面讲的MDI-QKD和DI-QKD并不是这个领域里全部的重要成果，至少还有一个重要成果值得介绍，就是激光光源的“诱骗态协议”（decoy-state protocol），这是用来对抗“光子数分离攻击”（photonnumber splitting attack）的。中国理论物理学家王向斌、马雄峰和实验物理学家潘建伟等人，对诱骗态协议有重要贡献。由于篇幅所限，在这里我们不能详细解释诱骗态协议，只能告诉大家，这是一个非常有智力含量的成果。想了解更多的读者，可以去看我的文章《你完全可以理解量子信息》。
8 K, y% W; D+ E8 f( v0 B+ _& }光子数分离攻击
: E. {2 W  Q& I% k' s因此，用游戏的语言总结一下：量子密码的数学抗性是100%，物理抗性还没有达到100%，但也已经相当高了。开玩笑地说，这可以叫做“魔武双修”。无论是数学抗性还是物理抗性，量子密码都高于传统密码。
) o% ?- F8 o  e$ d3 u0 e五、金贤敏研究组的工作
了解了以上的框架，我们就可以理解金贤敏研究组这篇arXiv文稿的工作了。这是一个正常的研究，提出了一种新的物理攻击方法，叫做“注入锁定”。
( `. S; `) @% X: O& ]0 a这个词是什么意思呢？就是两个振子如果耦合在一起，而且最初频率相差不远，那么它们的频率就会逐渐变得相同。这个现象最初是荷兰物理学家、摆钟的发明者、光学的创始人之一惠更斯（Christiaan Huygens，1629 - 1695）发现的，他注意到，挂在同一块板上的两个摆会逐渐变得同步。
惠更斯
金贤敏研究组提出，用一束激光注入到量子密钥分发的光源中，试探它在什么时候发生了注入锁定，就可以知道光源在发送什么状态的光子，最终就可以窃密。
" V9 M% N# ]( @! Y3 h0 _金贤敏等人搭建了一个原型的量子密钥分发体系，然后用注入锁定的方法，以60.0%的成功率偷到了密钥。
金贤敏研究组论文图1
在这个层面上，这个研究是有价值的。但是，媒体胡乱发挥，把这件事描述成量子通信立了个不可破解的flag然后被打脸，就大错特错了。
第一，量子密码的不可破解说的是不可能被数学手段破解，而不是不可能被任何手段破解。
8 h; w( I8 ~; @" |1 O第二，金贤敏等人的目的，就是把量子密码的物理抗性进一步提升。他们的声明，标题就说得很清楚，《攻击是为了让量子密码更加安全》。炒作的媒体完全误解了金贤敏等人的基本出发点。
$ N% w' }- d9 L% H9 R  r. B. T第三，金贤敏等人攻击的，是原型的、没有防护的量子密钥分发光路，不是在实用中的设备。他们在文章中就指出了，一个非常直截了当的防御手段就是光隔离器。
我们来解释一下，隔离器的作用是让光只能从一个方向通过，从反方向通过的光会受到极大的衰减。为了抑制反射光对光路的干扰，隔离器是一种常用的器件。正向光与反向光的功率之商的常用对数乘以10，就是隔离的分贝（dB）数。例如10 dB的隔离，就意味着反向光的功率是正向光的1/10。
光隔离器
金贤敏等人在没有加隔离的情况下，测得攻击的成功率是60.0%。然后加了1 dB和3 dB的隔离，测得攻击成功率下降到了44.0%和36.1%。
- O. |4 m; V8 A0 g但实际上，现有的商用量子通信设备中的隔离度一般是100 dB，这意味着反向光的功率是正向光的100亿分之一。用注入锁定来破解这样的系统，激光功率需要达到1千瓦。
! D, _7 E+ ~# |这是个什么概念呢？我参观过生产激光器的企业，他们现场表演了激光切割金属，制作铭牌、书画等等，他们用的激光就是1千瓦的量级。也就是说，这么高功率的注入激光，已经相当于激光武器了。你会看到设备被切割开，整个系统被毁掉，但这并不是窃密。
激光切割
我们在前面说过，我们讨论的是窃密，不是抢劫。如果看到有这么强的激光在照射你的仪器，你都茫然不觉，这心得大到什么程度？
还是那句话：作弊也要按照基本法啊！
& W: R; S* t4 c( W8 q, y因此，金贤敏等人这篇文稿，只是提供了一种研究思路，对现有的量子密码系统并没有构成现实威胁。相当于证明了，如果你家没装防盗门，我就很容易破门而入。这话很正确，但是你家已经装了防盗门。
有些人急吼吼地质问，京沪干线的设备是不是要更换？增加的成本谁来出？责任谁来负？这都是没搞清楚基本状况。
还有些人借此机会，又在鼓吹量子密码无用论。相信看完这篇文章的读者，已经明白这种说法的荒谬之处了。
再想一想，如果你是美国的决策者，看到中国发展了量子密码，让自己的数学破解能力无用武之地，你会怎么做呢？你会不会派人去散布舆论说，量子密码没有用处，忽悠中国自己把量子密码体系废掉？
- S9 D$ N3 O) z/ n六、结语
$ ^5 J' B) c( p+ r这次事件，在科学界内部很快就形成了共识：纯粹是一场媒体知识水平低下还要博眼球，炒作出来的闹剧。
+ Q9 Y. M& P' `9 _这次炒作的始作俑者MIT技术评论和深科技，是国内外相当著名的科技媒体，我以前也看过它们的不少好文章。这次却表现得如此糟糕，为了搞个大新闻，去乱扯自己不懂的东西，实在令人深感遗憾。
% o0 r9 R0 A. w8 s) X$ f$ c/ X( t: A2 R希望这两家媒体以及所有有类似毛病的媒体，都从中吸取教训，好好提升编辑的专业水平。毕竟，科技报道不是明星八卦，还是要以实事求是作为基本价值的。
还有一点，是想对我的一些读者说的。他们对科技新闻充满兴趣，但拿了太多巨细无遗的问题来问我，一会问一句“这篇文章的这句话对不对”，一会问一句“那篇文章的那句话对不对”，甚至“这个读者评论对不对”，几乎是把整篇文章连带读者评论都复制一遍来问我了。
5 C9 O0 ^" g) ~# k  d3 f3 H: c8 H有热情当然很好，但我实在顾不上回答这么多问题。更重要的是，读者朋友们应该想清楚，这不是高效率的学习方法。请不要问我那么多细节问题，因为正确的道路只有一条，错误的道路却有无限条，再贴心的FAQ也不可能回答完所有各种匪夷所思的问题。
真正高效的学习方法是什么？如果你真的想对一个领域达到深入了解，就请去拿起教科书从头研读。你的目标应该和你的努力相匹配。不要指望通过问人能获得细节级别的了解，那样只能把别人累死，你也不可能真正搞懂。
, c% z& k: l, y说到底，就是要相信自己，相信自己的学习能力、理解能力。你对科学的爱好是建立在你自己能理解的基础上的，而不是建立在听某个权威的基础上。如果这个权威不在了，难道你就不懂科学了？
2 F7 [) j0 `6 P自己努力地去学习科学，理解科学，就是这个时代最需要的品质。我希望把这句话送给媒体的编辑，送给热心的读者，送给我们大家。

9 u9 P# W& ~1 @) ~6 c来源：http://www.yidianzixun.com/article/0Lfc2uOa
, v9 {& M5 y! D& M免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！