本文系量子通信从业者、铁流两位作者撰文对上述质疑观点进行反驳(文后附上全文),双方观点不同,雷锋网发出此文的目的不是站队,而是希望在带来专业人士分析的同时能启发读者们对量子通信本身的思考。
通信安全中常说的“窃听”这个词是用得既生动又准确。所谓窃,必须取和不察两者兼有。在通信线路上进行窃听,窃听者一般要具备更强的接收能力,但大家也要注意窃听者要知道线路在哪里。窃听者使通信双方能够保持通信而自己不被发现当然有明显的好处,却并不是他不能破坏通信。可以这么说,窃听比破坏难度要高许多,凡是有能力窃听的,必然有能力破坏。
为了应付搞破坏,现在的网络是路由越来越多,一条路坏了还有另一条路,一个节点坏了网络其余部分还能不瘫痪。同时,由于搞破坏能够被发现,还有及时补救的机会,损失算是可控吧。以XX单位来说,一条光纤断了,瘫痪一个区域的业务,肯定会停顿许多交易,但是好歹还能跟客户保证钱财不受损失;但是窃听如果真的发生了,密码被破译了,那这一条都不好保证了,损失有多大,取决于涉及的账户,也取决于能否及时发现窃听。
密码学家们通过各种手段来保障密码不能被破解,他们对量子通信用途还比较单一的意见也很中肯。但是曹正军先生提出的“通讯的首要目的是稳定性”这个观点一点都没有密码学家的风格。讲一个密码应用部门的自笔者调侃,他们形容自己在通信系统中的作用是“首先保证它不通,然后才有条件地让它通”。至于曹先生说的“信息安全对绝大多数通讯来说不必要”,很抱歉,可能笔者和他不是在讲同一个话题,而且这也没密码学家什么事。
前面说了使用方面的一些态度,下面说说量子密钥分发吧。
量子密钥分发的典型方案中包括单光子状态调制——解调——密钥协商几个过程。
所谓单光子状态调制就是把“0”和“1”编码到光子的某种状态上去;
解调则是通过解调光路和单光子探测器把“0”和“1”读出来;
密钥协商则是把这其中不匹配的解调事例去掉,根据错误率评估这些光子被第三方获取了信息的最大概率并进而用数学手段把风险去除掉。
这个过程其实也没有信号安全什么事,因为信号丢失比例目前高达90%以上,至于协商过程,笔者觉得说抛弃信息比抛弃信号更为准确。
这个过程的安全性基础,除了量子力学的测不准原理,还要注意在具体实现上是由于信息加载在了单个量子上,和经典信息加载在了海量量子(一个光脉冲通常有10E8个光子)上有本质不同。
在窃听过程中,量子密钥分发和经典通信一样会丢失信号(笔者理解曹先生说的信号是指承载信息的光子),只不过量子密钥分发中一旦丢了就没有了,也复制不出来。也正是因为量子密钥分发中信号容易丢失的缘故,BB84的作者才把这个过程用来分发密钥而不是直接传输信息,因为把它作为密钥储存下来再结合加密通信,就还能尽量保持通信的连贯性和稳定性。从这一点可见,传统的分光窃听技术其实根本不会造成量子密钥分发的中断,丢失信号对于量子密钥分发而言并不是个问题,量子通信没有曹先生想象的那么弱不禁风,也并非必须牺牲稳定性来达到保密性。
量子纠缠态
笔者发现曹先生一直使用早期的“通讯”一词而不是现在的“通信”,不知道是不是想把信号传输和信息传输区分开来。在笔者看来这大可不必,因为讲安全性归根结底瞄准的是信息,量子密钥分发处理的后端部分也是密钥信息,同时也像前面说的有能力窃听就有能力搞破坏,信息安全层面最好不要弱化了来谈信号安全。
关于曹先生说的“大规模量子通讯网络是不可行的”那一大段,笔者读起来觉得很煎熬,因为始终没有找到论证的逻辑,但是出于对大众读者的负责笔者还是读了几遍。笔者还是引用一下密码应用部门对量子密钥分发这个技术的见解吧,他们的评价是“生成即分发”——以往需要先在本地生成,然后用各种途径去分发给多个用户,保障环节多难度大,量子密钥分发这个过程同时完成了密钥的产生和分发,缩减了环节,极大提高了保障效率和安全性。曹先生的“显然分发比协商难度大”观点不知从何而来。至于曹先生以Bennett和Brassard两人不是密码和通讯专业来批判他们被大量学者继承并发展的成果,笔者个人建议曹先生还是不要这样做的好,应当坚持尊重逻辑和实践检验的学者品格。
作个简单的总结和展望吧。
量子通信目前确实对提高通信强壮性还没有什么助益,但这并不妨碍其价值,因为它提高了线路的防窃听能力,而对于想要瘫痪通信网络的敌人来说,量子通信和经典通信是一个水平的。从长远来看,量子通信有可能发展出更具隐蔽性的通信应用,因为单光子级别的信号显然能够更好地隐蔽自己,以激光方式在自由空间传输更是连拦截的可能性都可以极大降低。
雷锋网(公众号:雷锋网)注:为方便读者理解,雷锋网附上上海大学数学系的密码专家曹正军发表在《财新网》的文章(3月22日文)——《量子通讯是否本末倒置》,曹认为“量子通讯并不完美,至少不像很多人说的那样好”。以下为原文:
量子通讯是否本末倒置?
一、什么是信息?
通常所说的信息就是指符号、文字、图像、语音等。这些信息在实际通讯中通常都表示成由0、1构成的比特串。比如:中文字符“汉”的Unicode编码是0x6C49,利用UTF-8规则转化成二进制后得到的是11100110 10110001 10001001. 身在北京的张山怎样把这个比特串发给上海的李强呢?这就需要利用通讯信号。
二、什么是信号?
通讯信号是指能够用来传递信息的物质,比如无线电波、电信号、磁信号、光信号等。电路中电压的大小可以用来表示1、0。张山利用电压调制电路把11100110 10110001 10001001调制成相应的电信号,这些电信号再通过光电转换器转换成不同强度或频率的光信号,然后利用光纤传送出去。在传送过程中,光信号会衰退,需要利用中继服务器来增强信号,直至传递到上海李强端的接收设备,接收设备把光信号转换为电信号,然后转换成11100110 10110001 10001001,再用对应的编码规则转换成“汉”。为了叙述方便,此处略去了加密,纠错编码等环节。
在光纤通讯的发展史上,有两个至关重要的人物。爱因斯坦在1905年提出了光量子假说,成功地解释了光电效应现象,这是光电信号转换原理的基础。1921年,他因为这一学说获得了诺贝尔物理学奖。2009年获得诺贝尔物理学奖的华人学者是高锟,他取得了光纤物理学上的突破性成果,发现了如何使光在光导纤维中进行远距离传输,这项成果最终促使光纤通信系统问世。没有高锟坚持不懈的研究,就没有今天的互联网时代。
三、什么是信息安全?
信息安全包括很多内容,最主要的是机密性和认证。机密性是指没有被授权的用户无法读取通讯信号中蕴藏的信息。从形式上看,非授权用户得到的只是由0、1构成的比特串,他不知道采用什么样的变换规则把获得的比特串转换成原始信息。认证是指用户能够确认通讯对方的身份或者信息的来源。
因为光电信号的经典性态(光强、频率、电压等)是很容易调制和测量的,所以敌手可以通过监听线路获得通讯信号。传统的密码学总是假定敌手已经窃得了所有通讯信号,在这种情形下,研究如何阻止敌手读取信号中蕴藏的信息,或者敌手篡改信号欺骗用户。
因为敌手在窃听的时候基本上没有干扰原来的通讯信号,所以目标用户能够正确地恢复出发送端发送的信号。发送双方无法得知有没有敌手在窃听,也就是说传统的密码学不能发现窃听行为。就机密性而言,传统的密码学的目的是阻止敌手获得蕴藏在信号中的信息,是一种智力手段。
四、什么是信号安全?
1984年,IBM公司的研究人员Bennett和蒙特利尔大学的学者Brassard在印度召开的一个国际学术会议上提交了一篇论文《量子密码学:公钥分发和拋币》(Quantum cryptography: Public key distribution and coin tossing)。文章宣称量子密码学能够发现窃听行为,是绝对安全的。其理论基础是量子力学的测不准原理。
传统的通讯信号性态是指电压值、光的强度与频率、电磁波的频率等。与这些性态不一样,量子通讯利用的信号性态是量子态,比如,光的偏振方向和电子的自旋方向。因为一个未知的量子态是无法复制的,一旦敌手试图窃听量子信号,将有一半的机会改变发送方发送的量子态,所以接收方就会无法正确地恢复出发送端发送的信号。
发送双方事后通过一个传统信道进行公开比对,如果发现双方在采用同样的测量方案时测得的量子态是不一致的,就可以断言量子信道上有窃听者。量子密码学的目的是阻止敌手获得信号,是一种物理手段。
五、信息安全与信号安全的关系
敌手无法获得信号,自然就无法获得蕴藏在信号中的信息。因此,一个通讯系统是信号安全的,也必然是信息安全的。这就是量子通讯绝对安全的由来。但在有敌手介入的情形下,一个通讯系统在阻止敌手获得信号的同时也必然无法保证目标用户获得正确的信号,也就是说该系统是不稳定的。
六、通讯的首要目的是什么?
通讯的首要目的是稳定性,即目标用户能够正确地恢复出发送方发送的信号。尽管信息安全很重要,但对绝大多数通讯来说,它是不必要的,比如一封普通的电邮,一次寻常的电话交谈。发现窃听不是通讯的目的。
通常,总是假定敌手是存在的,无论他在窃听信号还是在篡改信号。
七、信号安全与通讯的稳定性是不兼容的
密码学总是假定敌手所具备的物理技术手段比接收方更强。因此,一个通讯系统如果从物理上剥夺了敌手窃取信号的能力,那么也必然无法保证接收方获得正确的信号。也就是说通讯系统的稳定性与信号安全是不兼容的。
敌手一旦介入量子通讯,势必破坏了量子信号,即使是破坏性虽小的窃听行为,也会破坏量子信号,使得接收人无法获得正确的信号,
直白点说,有窃听时量子通讯干不成事!一个有了敌手就干不成事的通讯系统还能说是安全的吗?
八、信息安全能够与通讯的稳定性兼容
一个信息安全系统虽然不能从物理上削弱敌手截获信号的能力,但是能够从智力上保证敌手无法获得蕴藏在信号中的信息,即通讯系统的稳定性与信息安全是兼容的。
九、大规模的量子通讯网络是不可行的
Bennett和Brassard提出的BB84协议一直被称为量子密钥分发(QKD),这种叫法是错误的,正确的叫法应该是量子密钥协商。他们没有认识到密钥分发和密钥协商之间的差别。密钥分发是把预先存在的一些密钥分发出去。密钥协商则是用户之间通过信息交互商定一个共同的密钥,这个密钥事先并不存在。显然,前者比后者更困难。
Bennett和Brassard两人都不是从事密码技术研究的专业人士,对通讯的基本要求似懂非懂。他们没有认识到信号安全与信息安全的差异,逆技术潮流而动,提出了基于物理技术手段而不是智力手段的所谓的量子密码学。尽管他们的后继者发表了许多文章和实验,成功地吸引了公众的关注,但是无法改变这个事实-——大规模的量子通讯网络是不可行的。
原文发布时间为:2016-08-19
本文作者:铁流
本文来源:雷锋网,如需转载请联系原作者。