量子通信网有多牛？真牛还是吹牛？

1月8日，央视新闻发表了文章《从32cm到4600km 我国构建的量子通信网怎么这么牛》，文章开篇就抛出了一句广告语：量子通信网有多牛？化了大把的银子和大量的时间建成的4千多公里的“量子通信网”，连“Hello”一声也传送不了，这和“九章”量子计算机做不了 1+1 有着异曲同工之妙。更奇妙的是，量子通信网”和“九章”量子计算机竟然都出自同一位祖师爷之手，对此难道不应该打一个深深的问号吗？

为什么要把一个亳无通信功能的设施包装成“量子通信网”，而且还认定它“怎么这么牛”，央视新闻的这篇文章真的令人难以理解。不过也不能全怪央视新闻的记者和编辑，文章的素材估计都是中科大某些人提供的，把所谓的“量子通信”吹嘘成国之重器是他们事业的重要组成部分，这个谎言变着法子已经重复了N次。

“量子通信网”是真牛还是在吹牛？还是让事实来说话吧。

今日的量子通信工程只是用物理手段为通信双方分发一个隨机数，用它作为密码加密解密时的密钥，又称为量子密钥分发QKD。必须明白，远在QKD出现之前密钥分发就有了多种成熟有效的技术，QKD既不是密钥分发的唯一方案，更不是密钥分发的安全有效方案。

目前，密钥分发在企业专网上使用对称密码为主，在互联网上则使用公钥密码。理论上，量子计算机破解密码的威胁也仅对公钥密码有效，而高端绝密信息很少会在互联网上传输，所以QKD即使能替代公钥密码其意义也是有限的，如果它真能做到的话。

况且，大型实用的量子计算机还在末定之天，公钥密码也远非像宣传的那样脆弱不堪。应对未来的抗量子攻击的公钥密码（PQC）技术也比量子通信（QKD）更成熟更有效[1]。QKD是“食之无味、弃之也可”，它连“鸡肋”可能都算不上。

让我们看看究竟谁比谁更牛？PQC 对决 QKD 的详细信息列于下面表格中，一目了然。

其实把量子通信 QKD 送上擂台与 PQC 对抗，也太不讲“武德”了，因为它俩本不是一个量级的对手。如果真要同台交手的话，不用30秒钟 QKD 就被彻底KO了，估计它的下场比马保国还不如。

请看表格中的第2行，PQC 具有密钥分发、加密解密、数字签名和身份认证等功能，是一个全能型重量级选手，反观瘦小单薄的QKD只有密钥分发一项技能[2]，QKD 在实战中碰上 PQC 这种对手当然只有挨揍的份。这也能解释为什么 QKD 阵营中的大佬们反复恳求要与 PQC 合作，但 PQC 团队却连表面敷衍的功夫都懒得做，一点面子也不给，PQC 多次国际会议的议程和论文集中没有只字片语提及 QKD 就是最好的证明。

PQC 碾压 QKD 的原因有很多，其中最为本质的原因是：数字信息系统中数学软件方案完胜物理硬件方案，这其实早已成为信息学界的共识。

我们今天生活在一个信息化社会，这个社会的特征就是信息的数字化。我们把反映现实世界的信息——声、光、文字和图片都转化成二进制的数字，然后利用电子计算机通过各种软件对这些数字化了的信息进行处理、分类和存储，又通过联接计算机的互联网传输和分享这些数字化的信息，而所有这些软件都是在执行数学算法。可以毫不夸张地说，数学才是这个信息社会安身立命的基石。能用数学方法解决的问题绝不应再考虑其它方法。

密码系统是用来保护信息安全的，保护数字化信息安全的加密和解密其实就是一种特殊的信息处理方法，加密和解密就是一种数学算法，参与加密解密的数学参数称为密钥，它只是一个1和0组成的二进制的随机数。

因为密钥是一个二进制的隨机数，它也是数字化信息，所以分发密钥的最好办法就是用密码系统加密后转送，在互联网时代，密钥这种隨机数都是通过密码加密解密后在互联网上传递分发的，而公钥密钥更是直接以明文形式直接在互联网上传递。

互联这个网，什么信息都往上跑，这不仅包括了数字化了的文字、图片、声音、视频，也包括了处理这些信息的软件、信息的密文、而且还包括了加密过的密钥和未加密的公钥。所有这些数字化的信息全都在互联网上传输，对于互联网来说，其实它们全是1和0组成的二进制数字串，互联网是来者不拒、一视同仁、海纳百川。

人们以为互联网的最大好处是互联互通，往往忽视了互联网最本质的优势就是一张网装进了所有的数字化信息，这才是互联网的伟大之处。互联网不同于我们的物理世界，物质的传输分成公路、河道、海运和空运，船归船路归路，效率十分低下。

但是有那么几个实验物理学家，完全无视信息技术的基本原则。为了分送一个1和0组成的随机数，他们非要在互联网之外叠床架屋再建一个物理的“量子通信网”，这种想法从未得到通信密码界的认可，项目动工之前也缺乏工程必要性、可行性、经济效益评估等严格的论证和审核过程，这些问题的性质已经超出学术不端的范畴了。

一个通信工作干不成，密钥分发又做不好的“量子通信网”要来干什么？难道用公钥密码在互联网上分发密钥真的不安全吗？这又是一个毫无事实根据的慌言。

公钥密码过去、现在和可预见的未来都是安全的。公钥密码是保护互联网安全的万里长城，这么多年来互联网上的数据传输和购物交易的总数是个天文数字，虽然偶尔也有这样那样的安全问题，但都不是公钥密码本身的错。

公钥密码也是数字货币的魂和盾！中国央行和美国有关部门都在加速推进数字货币，再一次充分说明公钥密码不仅现在是安全的，而且在可预见的未来都是安全的。如果公钥密码真的像某些量子通信专家宣传的那样不堪一击，那么建立在公钥密码基础上的数字货币岂不成了肥皂泡沫。

货币安全是主权安全！无人敢在货币安全上开玩笑。在关系国家主权安全的大是大非面前，我们究竟应该相信央行的密码学权威还是某些搞物理的学者呢？其实中美两国金融机构的高层决策者门儿清，他们决不会被几个量子物理教授牵着鼻子走的。

退一万步，如果哪一天外太空人带来了一台真正能运行的大型量子计算机，现在的公钥密码安全受到了威胁，天塌下来自有高个子撑住，那个高个子就是上面表格中的抗量子公钥密码 PQC，怎么也不会有那个弱不经风的矮个子 QKD 什么事。

QKD 完败于 PQC，所谓的“量子通信网”毫无实用价值，“量子通信网”不是真牛而是吹牛。“如无必要，勿增实体”，“量子通信网”被奥卡姆剃刀修理只是时间问题。

参考资料

[1]PQC 也是一种公钥密码，目前常用的传统公钥密码绝大部分使用了RSA、ElGamal和ECC等著名的加密算法，PQC 都是基于不能转换成离散傅立叶变换的数学难题而建立起来的一些加密算法。QKD 是以BB84协议为基础协商产生密钥的物理设施，它必须配合特定的加密算法才能构成完整的密码系统。

[2]其实这个“量子通信网”只能用作密钥协商，连密钥分发也做不到，密钥协商只是密钥分发的低端替代品，密钥协商和密钥分发看似相近，其实功能差之远矣。密钥分发是有主从关系的，密钥从甲传送到乙，而密钥协商是甲与乙共同商量出一个密钥。这个功能上的差别严重限制了“量子通信网”在密码系统中的实际应用。更多的技术细节就不在本文展开了，有兴趣的读者可参阅：企业专用网环境中密钥的分发和管理