2017年9月29日，世界首條量子保密通信干線“京滬干線”正式開通。這是中國繼2016年8月16日發(fā)射世界第一顆量子科學(xué)實驗衛(wèi)星“墨子號”后，在量子保密通信領(lǐng)域的又一項重大進(jìn)展。對于京滬干線的介紹，可以參見我的文章《解讀量子通信京滬干線，包你懂》。

我的前輩朋友、加州大學(xué)洛杉磯分校（UCLA）物理系研究員徐令予，在退休后很關(guān)心中國科技各個領(lǐng)域的發(fā)展，近年來在觀察者網(wǎng)和科學(xué)網(wǎng)等媒體寫了許多文章，介紹和評論的領(lǐng)域十分廣泛，遍及量子信息、航天、天文望遠(yuǎn)鏡、人工光合作用、太陽能發(fā)電、無人駕駛等等（http://dosane.com/XuLingyu）。包括我在內(nèi)的讀者們從中學(xué)到了很多東西，也對美國的社會動態(tài)增加了很多了解。對于各個具體科學(xué)問題，即使意見不是完全一致（例如對于500米口徑射電望遠(yuǎn)鏡FAST），我們也可以看出徐老師對故鄉(xiāng)和同胞的眷戀，對此都抱有深深的敬意。雖然我和徐老師尚未謀面，不過在網(wǎng)絡(luò)上已經(jīng)做過不少交流，可以稱為忘年交了，對此我深感榮幸。

因此，當(dāng)我看到徐老師2017年10月31日發(fā)表在觀察者網(wǎng)的文章《炒作量子通信工程，連潘建偉都擔(dān)心》時，認(rèn)為這是一篇值得仔細(xì)研究的文章。此文在開頭祝賀了京滬干線開通后，側(cè)重點就急轉(zhuǎn)直下，主要篇幅放在給量子保密通信潑冷水降溫上。

為什么說這是急轉(zhuǎn)直下呢？因為徐老師以前的許多文章，是對量子保密通信的科普和支持，例如《為什么發(fā)展量子密鑰技術(shù)已刻不容緩》、《為什么說外國無法破解中國量子密鑰技術(shù)》、《反對高鐵的邏輯，要用到量子通信上了？》。

從這些文章中摘幾段：

“量子計算機的研發(fā)進(jìn)展是各強國的最高機密，媒體上的報道真真假假千萬信不得，很有可能用以破譯的專用量子計算機已經(jīng)接近完工，這決不是危言聳聽，密碼世界從來是波詭云譎、莫測高深。即使按專家們保守的預(yù)測，量子計算機的實際應(yīng)用也許還要等十到十五年，但尋找新的密碼系統(tǒng)，特別是開發(fā)密鑰分配的新技術(shù)已經(jīng)刻不容緩，因為新技術(shù)從開發(fā)到系統(tǒng)的建立和實用也需要時日，所以我們已經(jīng)到了最危險的時刻！”（《為什么發(fā)展量子密鑰技術(shù)已刻不容緩》）

“有必要再次強調(diào)：與其它密碼技術(shù)不同，量子密鑰分配技術(shù)從原理上保證密鑰配送是絕對安全的，量子通信是穩(wěn)定可靠的，加速發(fā)展量子通信是十分必要的，因為現(xiàn)有密碼系統(tǒng)已經(jīng)到了最危險的時刻。工程實施中一定會有許多的問題，但原理與實施是完全不同的兩個概念，畢竟實施中的技術(shù)問題可以逐步解決，不可破譯的原理才是該項技術(shù)具有發(fā)展前途的根本保證，它使我們對量子密鑰分配技術(shù)的將來充滿了信心。”（《反對高鐵的邏輯，要用到量子通信上了？》）

以上這些說法，我都十分贊同。而在《炒作量子通信工程，連潘建偉都擔(dān)心》一文中，徐老師的結(jié)論卻似乎翻了個個：

“開發(fā)量子保密技術(shù)為的是應(yīng)對未來可能發(fā)生的危機，但這種危機離我們?nèi)允值剡b遠(yuǎn)，即使危機真的降臨，改進(jìn)升級后的經(jīng)典密碼系統(tǒng)應(yīng)該足以應(yīng)付危局。量子密碼技術(shù)并非是對抗危機的唯一選擇，它很有可能僅是一枚永遠(yuǎn)也使用不上的備胎?！?

有意思，大反轉(zhuǎn)??！當(dāng)然，徐老師在此文中一再聲明：“對量子保密通信技術(shù)作前瞻性科學(xué)研究應(yīng)該大力支持，我的這個態(tài)度始終也不會改變。”不過對工程的態(tài)度，看起來徐老師是反轉(zhuǎn)了。

類似的觀點我早就看到過，但那些并不值得認(rèn)真對待，因為只有個結(jié)論，沒有論證過程。而徐老師就不一樣了，無論他寫什么話題，持什么觀點，總是會舉出不少“干貨”，無論正方反方都可以從中得到新的信息。在這篇文章中，最大的干貨是一篇標(biāo)題為《后量子RSA》（“post-quantum RSA”）的論文，徐老師向大家介紹了這篇論文，把它作為經(jīng)典密碼術(shù)已經(jīng)夠用的重要證據(jù)。

徐老師把這篇20頁的論文發(fā)給了我，最近我仔細(xì)研讀了一番。我的專業(yè)是理論與計算化學(xué)，量子力學(xué)是這門學(xué)科的基礎(chǔ)之一，所以我對量子力學(xué)還算是比較熟悉，但是對信息科學(xué)的了解就很有限了。至于密碼學(xué)這門需要大量數(shù)學(xué)技巧的學(xué)科，我更是門外漢。不過，經(jīng)過研讀，加上一些專家朋友的幫助，我想我還是理解了《后量子RSA》的基本框架。

這篇文章確實很有趣，提出了一種比現(xiàn)在通行的RSA密碼體系更加能夠抵抗量子計算機的改進(jìn)版RSA。但在理論層面，這個進(jìn)步只是把“完全不安全”（敵方破解幾乎跟合法用戶解密一樣快）提升到了“稍微有點安全可言”（破解的速度低于加密解密的速度），遠(yuǎn)遠(yuǎn)沒有達(dá)到正統(tǒng)的安全標(biāo)準(zhǔn)（破解的計算量指數(shù)增長）。

更重要的是，這個進(jìn)步跟“量子密碼術(shù)為什么有價值”的大圖景完全無關(guān)。這樣的進(jìn)步再來一萬個，也不會使經(jīng)典密碼術(shù)變得無懈可擊，不會使量子密碼術(shù)變成多此一舉。

其實作者們也完全沒有這個意思，原文對這個成果的自我評估是很準(zhǔn)確的，徐老師似乎對這篇論文有些誤讀。其中一個誤讀是，把“2的100次方的量子比特操作”看成了“2的100次方的量子比特”，由此引申出來的評論自然也都失準(zhǔn)了。

徐老師文章中的論據(jù)，除了《后量子RSA》之外，還有其他的。不過在我看來，有一些比較明確的錯誤（“硬傷”），還有一些比較“軟”的可商榷之處。其中最硬的錯誤，是認(rèn)為有些公鑰密碼體系已經(jīng)在原理上被證明不可能被量子計算機破解了。實際上，人們還沒有證明任何一個公鑰密碼體系不可能被經(jīng)典計算機破解，又怎么可能得到更強的結(jié)果，證明它不可能被量子計算機破解呢？

一個公鑰密碼體制可以抵抗某種算法的攻擊（包括量子算法），不等于能從原理上證明其安全性，因為后者是要證明它可以抵抗任何已知和未知算法的攻擊。而至今唯一能從原理上嚴(yán)格證明安全性的密碼體制，就是量子密碼術(shù)。這是量子密碼術(shù)與所有的公鑰密碼體制之間的根本差別。

在一篇文章里見到這么多可商榷之處，對于低水平的作者來說很常見，對于徐老師來說很罕見。我感覺這篇文章徐老師寫得比較急促，大概是心里對另外一些事感到焦慮，一些科學(xué)之外的事。

我跟徐老師溝通，徐老師告訴我，被最近某公司人身威脅科學(xué)家的事件刺痛了，最擔(dān)憂的是騙子傷了眾人的心，最后政府光火把臟水連同孩子一起潑出去，所以希望理性降溫。這就可以理解了。對于如何保持量子通信領(lǐng)域的健康發(fā)展，我也將在本文中談?wù)勎业挠^點，以及我了解的一線工作者的看法。公眾、投資者和潛在的用戶明白了這些基本圖景，也將有利于抵制資本與媒體的炒作，促進(jìn)量子通信行業(yè)健康發(fā)展。

以上是一個總體的介紹。下面我來具體說明各個要點，以及借這個機會，解釋一個基本問題：量子密碼術(shù)的價值究竟在哪里？

什么是量子密碼術(shù)？

描述微觀世界基本物理規(guī)律的理論，叫做量子力學(xué)，它跟相對論是目前已知的兩大基礎(chǔ)物理理論。量子力學(xué)出現(xiàn)后，我們就把描述宏觀世界的牛頓力學(xué)稱為經(jīng)典力學(xué)，它可以理解為量子力學(xué)在宏觀情況下的近似。

1980年代以來，量子力學(xué)跟信息科學(xué)交叉，產(chǎn)生了一門新的學(xué)科“量子信息”。這門學(xué)科的目的，就是利用量子力學(xué)的特性，實現(xiàn)傳統(tǒng)信息科學(xué)中實現(xiàn)不了的功能，例如永遠(yuǎn)不會被破解的保密方法（就是后面要解釋的量子密碼術(shù)）、科幻電影中的“傳送術(shù)”（它的專業(yè)名稱叫做“量子隱形傳態(tài)”）。

《星際迷航》中的傳送術(shù)

經(jīng)典的信息科學(xué)包括通信和計算兩大主題，量子信息的研究內(nèi)容同樣也可以分成兩大塊：量子通信和量子計算。這兩大子領(lǐng)域里又各自有若干具體應(yīng)用，剛才說的量子密碼術(shù)和量子隱形傳態(tài)都屬于量子通信，而量子計算中的重要應(yīng)用包括量子因數(shù)分解和量子搜索等等。下面這個圖，可以表示量子信息這門學(xué)科的脈絡(luò)。

量子信息學(xué)科內(nèi)容

我寫過不少量子信息的科普文章，目前最全面的一篇《你完全可以理解量子信息》（http://tech.sina.com.cn/d/2017-08-31/doc-ifykpysa2199081.shtml）。讀者如果想知道量子力學(xué)有哪些可以用于信息科學(xué)的特點，量子信息的這些應(yīng)用做的是什么事，以及為什么能做到，請去參閱這篇長文。

許多媒體在報道“量子通信”如何如何的時候，指的實際是量子密碼術(shù)，即量子通信的一部分而非全部。量子密碼術(shù)又被稱為“量子保密通信”或者“量子密鑰分發(fā)”，無論從哪個名字，你都可以一眼看出，它是一種保密的方法，不是有些媒體胡思亂想的超時空傳輸之類。

量子密碼術(shù)實際做的是什么事情呢？簡短的回答是：不通過信使，讓通信雙方直接分享密鑰。打個比方，就是《紅燈記》中的李玉和下崗了，地下黨和游擊隊不通過他就直接獲得了同一套密電碼。

《紅燈記》

怎么做到的？有若干種技術(shù)方案，都稱為某某協(xié)議，包括BB84協(xié)議、E91協(xié)議、B92協(xié)議、誘騙態(tài)協(xié)議等等。由于篇幅所限，本文對這些方案不能詳細(xì)解釋。有興趣的讀者，請參閱《你完全可以理解量子信息》中的相關(guān)內(nèi)容。

這里有一點值得強調(diào)。許多科普作品說量子密碼術(shù)離不開“量子糾纏”（你八成聽說過這個詞），但這個說法是錯誤的！一線工作者都知道它錯，而媒體仍然整天這么說，——可能他們覺得量子糾纏這個詞比較高大上，讀者聽了以后暈頭的程度直接上升三級。實際情況是，量子密碼術(shù)有若干種實現(xiàn)方案，有些用到量子糾纏，有些不用量子糾纏。量子糾纏是個可選項，而不是必要條件。

不僅如此，量子糾纏其實還是個很少被選中的可選項。量子糾纏是一種多粒子體系的現(xiàn)象，而對于實驗來說，操縱一個粒子肯定比操縱多個粒子容易。量子密碼術(shù)可以通過發(fā)射和接收單個光子實現(xiàn)，所以，絕大多數(shù)量子密碼術(shù)的實驗都是用單光子方案做的，這樣達(dá)到的效果更好。有些文章通過批評量子糾纏來批評量子密碼術(shù)，這其實就是被那些說量子密碼術(shù)必須用到量子糾纏的媒體給忽悠了，屬于無的放矢。