物理学界的第二奖

又到了一年一度的诺奖颁奖季，每年这个时候，都是科学界最热闹的时候，无论颁奖前的各种预测和颁奖后的各种评论，都会引起一阵阵讨论的热潮，即便是普通人，也能感受到来自科学界这股热浪，加入各种边缘性的讨论话题。

诺贝尔奖是科技界无可争议的第一大奖，但是如果问谁排名第二就有些尴尬，不但普通人不知道，就算是科技界的人被问到，可能也是一脸茫然。沃尔夫奖就是这样，这是一个号称仅次于诺贝尔奖的第二大科学奖项，相比诺贝尔奖，知道的人就少多了，即使科学界也好像关注得不多。

借着年度诺奖颁奖的热闹，聊一下冷门的沃尔夫物理奖。其实今年的沃奖跟中国还是大大有关系的，这个奖项早在2月份就已经揭晓，颁给了“中国人民的老朋友”，来自IBM的查理斯·本内特（Charles.Bennett）和来自加拿大蒙特利尔大学的吉勒斯·布拉萨德（Gilles.Brassard），获奖理由是表彰他们“在快速发展的量子信息科学领域的工作”。颁奖典礼在5月于以色列议会大厅举行，著名的音乐人保罗·麦卡特尼登台为获奖者和嘉宾做了表演。

著名的音乐人保罗·麦卡特尼

寥寥数语根本看不出来沃奖与中国发生的纠缠，但是在今年6月初中科院第19次院士大会上，潘建伟院士做的主题报告《新量子革命：从量子物理基础检验到量子信息技术》，其中的一段话，就将沃奖与中国的关系揭示出来了：

在2013年和2018年，做相关研究的一些杰出物理学家也获得了沃尔夫奖，特别是2018年的沃尔夫物理学奖，相关科学家的获奖原因主要都引述了这几年中国的工作，里面谈到了京沪干线的量子密钥分发系统已经商用化，在光纤的传输中可以达数百公里，在卫星里应用达到千公里量级。

我们试着解读一下今年的沃尔夫物理奖。中国的量通建设采用的协议设计就是BB84协议，BB就是本内特和布拉萨德名字的首字母，这个协议最早是他们两人84年在一篇有关采用量子技术进行信息加密的论文中提出来的，可以说他们两人确实是量通领域的创始人。对BB84协议略有了解的人都知道，这个技术方案采用单光子偏振态进行密钥分发，从物理的原理来说，里面没有新理论，从技术来说，也没有革新性创造，所新颖的就在于它将量子引入到信息安全领域。

一个技术是否成功，最有说服力的证明，显然就是应用这个技术的成功实践，在整个世界范围内，确实只有中国采用BB84协议，构造了一个2000多公里长的量通示范工程，并且还发射了卫星，进行过千公里级别的量通空间实验，在当今量子物理学界，这已经是对一项量子技术进行验证少有的大规模资金投入，因此得到世界科学界的重视并不奇怪，如果这项技术通过这些实验获得确切无疑的验证，并具有广泛的应用前景的时候，作为这个领域的创始人，理所应当获得他们的学术荣誉，而这个荣誉当然也跟中国的京沪实验干线和墨子卫星紧密相关了，潘院士对于今年沃尔夫物理奖的评论是有道理的。

既然理论和技术都了无新意，那么无论是偏振版的BB84协议以及后续升级的各类纠缠形式的量通协议，对其进行评价的最重要指标就是它们的实用性，离开这个指标，将量通过多引申拔高是没有必要的，也是荒唐的，所以我们就通过解剖BB84协议来衡量一下量通的应用性到底有多大的前景，也就能够对沃尔夫奖的含金量有一个清醒的认识。

一个寓言和一张考卷

夜晚，一个醉汉在路灯下徘徊，似乎在寻找什么，偶尔路过的行人不禁有些好奇，于是停下来：

路人：你在找什么丢失的东西吗？

醉汉嘟嘟囔囔地回答说：我的钥匙，我的钥匙，我找不到了！

路人更奇怪了：可是你的钥匙也不在路灯下，为什么在这里找？

醉汉理直气壮地说：因为别的地方我看不见，只有这里最亮！

今年高考语文全国II卷的作文题讲的是一个二战期间的故事。

二战”期间，为了加强对战机的防护，英美军方调查了作战后幸存飞机上弹痕的分布，决定哪里弹痕多就加强哪里，然而统计学家沃德力排众议，指出更应该注意弹痕少的部位，因为这些部位受到重创的战机，很难有机会返航，而这部分数据被忽略了。事实证明，沃德是正确的。

第一个寓言是科学界广为流传的笑话，说的是有关认识的知识限界和路径依赖问题。爱因斯坦说，一个人的知识就像一个圆，无知的领域便是圆外的世界，知道得越多，面临无知的边界也就越大。路灯下那一圈照亮的地面，就是我们已知的世界，是我们自己知识的限界，显然的，我们都会在自己熟悉的领地里，去寻找开启新世界的“KEY”。由于这个限界的存在，客观上将我们思考问题解决问题的路径固定在一个相对封闭的圈子里，如何突破这样的限制，找到更适合的那把“KEY”，一个人的聪明是不够的，需要的是更多人的智慧，将未知的边界推向更远的地方，遗憾的是，往往在思想和实践中，我们会忘掉这个寓言给予的启示。我经常用这个寓言提醒自己，也经常用这个寓言警示给团队。

第二个故事是典型的“幸存者偏差”(Survivorship bias)案例，与第一个寓言不同的是，即使我们具备分析一件事物所需的知识储备，我们仍然会被眼前显而易见的证据带偏，把局部看作整体，把条件约束性很强的结论，看作无条件的结论。我们掌握的知识是潜在的，能否发挥出来作用，需要掌握一些方法手段。

这些认识论方面的问题，其实早就是人们的常识了，针对这些问题，提出了很多方法论来应对。

第一类问题是说我们不知道，既然一个人的知识有局限，那么集中各领域专家参与其中就是一个必然要求。对于科学界来说，同行评审和相关行业交叉评审是很好的机制，尤其对于交叉学科技术来说，引进不同领域的专家参与其中的设计，并且从不同的专业角度进行全方位系统层级的交叉审评绝对不是一个可选项，应该成为一个必须走的流程。

第二类问题是说我们知道，但是却被忽视了，这就比较有隐蔽性。当一个人偏执一个角度、一个局部思考问题的时候，蒙蔽他双眼的是他自己的局限，中国人称之为：不识庐山真面目，只缘身在此山中。

科学界需要各种不同意见的人参与其中的讨论过程，不同的人有不同的思考问题的习惯和角度，即使是同领域专家，他们的思考都可以作为相互的补充。

在IT行业，编程人员原则上不提倡针对自己的代码进行测试，行业里讲叫做避免“同化”。这是因为一方面编程人员关注技术的实现，因此业务洞察的广度与深度是其短板，有知识的盲区，这属于第一类问题；另一方面熟悉了自己的逻辑思路，也很难找到隐藏其中的错误设计，也就是人们常说的灯下黑，这属于第二类问题。为了避免“同化”，软件设计方法论有各种各样的解决方案。

量通是一个交叉学科的应用技术，所涉及的领域包括量子力学、密码学、计算机科学、通讯网络，所以需要各领域的专家参与到整个项目的评审与建设中，这是必由之路。

量子力学相对于其它学科是有一些门槛的，这造成了其它领域专家对于介入量通深有顾虑，还有一个重要原因，是那些量通专家有意无意对于其它领域专家的排斥，他们对于那些专家的质疑有些反应迟钝甚至傲慢。我们看到不少量通科普文章里，用了大量篇幅反驳甚至嘲讽网络专家和密码专家的意见，而其实那些专家的意见很多是非常中肯的。当我们发现无论国内还是国外的量通专家普遍都在唱独角戏的时候，我们对此是有深深的忧虑与不解的，这意味着，他们偏离了认识论的正确轨道，非常可能走向一条错误的道路，技术一旦走错了方向，也就意味可能变得毫无价值。上述问题可以归类到第一类问题的范畴中，其实很多人早就指出来了，我不再重复那些批评的意见。

往往不被注意的是第二类问题，我这里要谈的就是量通在第二类问题上所犯的错误，即使是对量通进行批判的其它领域专家，往往也没有注意到这类错误，我们将看到这个错误导致的后果有多么严重。

BB84协议做了什么

如果讲解BB84协议的细节，必然会涉及到一些量子相关的知识，那会吓走绝大多数的读者，我将尽量不谈量子来分析BB84存在的问题，因为从我的角度来看，其实BB84协议的原理跟量子实在扯不上多少关系，抛开量子谈BB84一样能够讲得通，我相信我下面所讲述的内容基本具有高中文化层次的人都能够读懂。

BB84到底做了什么事情，试图解决什么问题，这需要从它诞生的时代背景说起。

本内特们在84年提出BB84协议的时候，不用说量子计算机，连计算机本身都是非常稀罕的存在，并且互联网技术也仅仅在一些军事、大学和研究机构之间小范围使用，包括密钥为基础的现代密码学也刚刚进入实用阶段，所以我们现在被广泛宣传的所谓密码学危机言论，在那个时代连个影子都看不到，BB84协议只是当年各种密码学不同方向发展过程中的一个完全不起眼的技术尝试，从来就不是用来充当密码学危机的救世主而存在的，这才是BB84产生的历史背景，也因为这个历史背景，意味着BB84协议的设计之时，根本不可能预测到如今如此发达，渗透到社会各个角落的计算机和网络技术，更不可能担当起拯救现代密码学的救主。现代密码学深深地融入了IT技术飞跃发展的时代，并与这个时代的进化而进化，反观BB84协议落实在中国的实践，仍然保持古朴的原教旨主义的形态，没有任何进化的痕迹，连加密算法都采用的是最原始的异或算法，所以即使没有经历任何细心分析过程，也能预料到可能会暴露出一些先天设计的痼疾。

BB84协议并没有太大的野心，试图以一己之力取代完整的信息安全诸多环节的方方面面，它的设计就是用来进行密钥的分发，不能直接对信息进行加密解密，这现在已经开始渐渐为大家所知晓了。

现代密码学采用密钥的方式进行加密和解密。密钥分为两种，一种为对称密钥，加密解密采用相同的密钥，另一种为非对称密钥，有两个不同的密钥，其中公钥用来加密信息，私钥用来解密信息。

BB84协议只能用来分发对称密钥，道理很简单，因为非对称密钥的公钥本来就是在网上用明文的方式发送的，无需保密，私钥是接收方用来解密信息的，根本不在网上发送。

BB84协议只提供了端到端的密钥分发形式，是一根光纤的两端之间的协议，中间不允许有任何网络器件，包括中继器、路由器、交换机等等，任何擅自添加的设备都不在协议描述之内，其安全性不属于协议的控制范围内。这么说人们就明白我刚刚说到的BB84没有随着IT技术进步而进化是什么意思了吧。

BB84协议设计了两个光纤通道，一个通道是量子通道，用来分发对称密钥；另一通道是普通信息通道，利用量子通道协商出来的对称密钥，采用经典的对称加密方式将信息加密后发送出去。这样的话，相对于传统的信息安全传输只需要采用一条光纤，BB84就需要两条光纤线路才能完成同样的任务。

从系统的角度看BB84协议的安全性

信息安全是体系性的安全，而不是局部的安全，遵从木桶原则。衡量一个系统是否安全，是以最薄弱的环节进行评估的，只要攻破最薄弱的环节，加密信息就会被破解，这不需要懂密码学，也不需要懂量子力学，这是很简单的常识，不会有任何争议。

我们知道普通方式的信息加密传输，如果不能够知道解密密钥，就只能采用强力破解的方式来进行，尽管有人担心密钥算法存在各种后门，但是因为算法是公开的，到目前为止，无论是对称密钥还是非对称密钥，都没有足够的证据说明这类后门的存在，所以，信息安全的水平就严格取决于密钥的长度，线性增加密钥的长度，将能指数增加破解的难度。

BB84协议只提供对称密钥分发的功能，量通在宣传现代密码危机的时候，虽然更愿意让人误以为所有的密钥都存在被破解额风险，其实他们自己不得不默认对称密钥体制是安全的，不安全的是对称密钥的分发环节。但是通常的对称密钥分发采用的加密方式就是对称密钥体制本身，即使有些采用非对称密钥体制，不是因为技术必须这样做，而是因为现实中所谓的量子计算机破解非对称密钥的神话远在天边，根本不构成任何危机，况且量子计算机理论上能够破解的也仅仅是RSA一个非对称密钥，其它的非对称加密体制的破解，连理论上的可能性都没有找到。

BB84协议设计了两个通道，量子通道用来分发对称密钥，信息通道利用分发的密钥进行普通的对称加密，这就为破解加密信息提供了两个选择：第一个选择是在量子通道上获取密钥，假如我们定义这个破解难度为A ；第二个选择就是强力破解信息通道的加密密文，我们定义这个破解难度为B。

显而易见，普通的信息加密传输和BB84信息通道的加密传输，因为可以采用相同的对称加密方式，其安全水平是完全相同的，也就是破解难度都是B，而对于BB84协议下的完整的端到端的信息安全水平不是A+B或者MAX(A,B) ，根据木桶原理，应该是MIN(A,B)。显然小学数学就能告诉我们B>=MIN(A,B)，换句话来说，也就意味着，即使BB84协议中的量子通道具有无限高的安全性，这个协议带来的系统安全性水平不高于普通的对称密钥加密安全水平，再通俗地说，BB84协议虽然钱花得比普通通信线路高出一倍以上，但在理论上仍然不可能提供更高的安全性。

分析BB84协议的安全性根本用不着量子力学，当然也用不着密码学和计算机网络知识，上面的证明足够简单，根本无需跑到量子通道内部去做什么花样文章。类似的道理，任何遵循量子通道+普通信息通道所设计的量通方案，都不可能提供超过对称密钥的安全性，到目前为止还没有脱离了双通道模式的量通方案，所以说目前所有量通技术在理论上都走入了死胡同。

得出这么简单而滑稽的结论，是因为量通的理论和实践从来都只在自己的专业领域打转转，他们设计和分析量通的安全性都是仅仅从一个量子通道的角度出发，没有站得更高一些，从完整的系统的角度对安全性进行评估。他们不缺少应有的知识，他们缺少的是大师那样纵览全局的眼界，这个格局其实从量通诞生的时候就已经注定，又被跟随者不加批判地全盘继承下来了。

量通的量子通道一直被宣传为具有物理安全性，这是一个莫名其妙的概念，他们宣传这个安全性是经过证明的，可惜从来没有人见过这个所谓的证明，连物理安全的概念都没定义好，如何去证明其安全性，总不能把香农有关一次一密安全性证明看成对量通安全性的证明吧，要是他们真这么想，我实在不好意思说什么了，我只知道上面提供的证明足够清晰简洁，人人能够看得懂并且无可辩驳。

BB84适用单量子不可克隆原理吗？

虽然我们已经知道从系统角度上来看，量通安全神话是不存在的，但是我还想要深入到量子通道，分析一下BB84协议在适用理论方面存在的问题，这会涉及到一点点量子方面的知识，但是并不令人生厌，不感兴趣的人可以跳过以下几段内容，直接看章节的结论。

BB84协议采用的是单光量子的偏振方向作为信息表达的方式，它的安全保障机制是单量子叠加态不可克隆原理，适用这个原理的前提条件就是单量子处于叠加态。我们姑且不理会叠加态究竟是什么这个问题，毕竟这个问题物理界也没人说得明白，按照量通的主张，我们不妨遵循哥本哈根解释，这样的话，当光量子具有一个特定方向的时候，是否属于叠加态，就是个非常值得思考的问题。

BB84协议中，信息操作有三个角色，Alice是发送者，Eve是监听者，Bob是接收者。、Alice虽然发送的是随机生成的bit，但是当她发送这个bit信息时，这个信息究竟是0还是1应该是确定的已知的，那么这也意味着Alice需要制备出来这样一个具有特定偏振方向的光子，比如说就是水平0度偏振方向。

几个自问自答：

l  Eve是否具备检测出来偏振为0度的光子？当然没有问题，这跟Bob的做法没有什么不同；

l  Eve是否具备重新发送一个0度偏振方向的光子？当然没有问题，这跟Alice的做法没有什么不同；

l  Eve这种重新发射相同偏振方向光子的机制，算是一种有效的复制吗？当然是；

l  具有特定偏振方向的光子克隆机制，适用单量子叠加态不可克隆原理吗？不适用。

不管单光子的偏振态是从哪些相互不发生彼此作用的更基本的量子态组合而来，光子的偏振态是可以认为属于叠加态的，处于叠加态的光子偏振方向都应该具有不确定性，一旦这个偏振方向确定下来，按照哥本哈根解释，就是处于“塌缩”的本征态，已经不是叠加态，自然不太可能符合不可克隆原理的前提条件。其实这也在另一个方面说明了一个问题，那就是将光子进行偏振处理后，光子就算是经过“测量”的操作，从而导致不再处于叠加态，这样，就不奇怪为什么Eve能够复制Alice发送过来的单光子信息，因为不可克隆原理根本不约束非叠加态的复制行为。

可以进一步追问，光子经过反射、折射、分光处理是否属于“测量”？如果答案是肯定的，那么之前很多所谓量子实验算是作废了；如果是否定的，那么“测量”的边界划在什么地方更合适？温伯格在他的最新文章《量子力学的困境》中，就提出了这个迄今为止量子界仍然无法回答的问题。

香农在他的著名论文《通讯的数学理论》中早就指出来“信息是用来消除随机不定性的东西”。扩展一下思路，想一下就知道，让一个确定性的信息以特定的量子态方式进行表达，还得让这个量子处于不确定的叠加态，这本来就是相互矛盾的要求，实在是令量子处于两难的境地。如果说叠加态算是量子的一阶不确定性的体现，那么让量子即处于叠加态又不处于叠加态，恐怕算是量子二阶的不确定性了，我本人当然不赞同用叠加态来表达特定信息的观点，如果量通认为发送时具有固定偏振方向的单光子在运动过程中处于叠加态，但在接收的时候又恢复到发送时的偏振方向，那么这个量子世界就是在足够混乱的基础上又多了一层糊涂。

会有人不同意具有特定偏振方向的单光子不处于叠加态的观点的，当然叠加态究竟是什么，测量的边界究竟划在哪些地方从来都是众说纷纭，但是这个问题延展开来讨论，就能够发现，如果秉持上述观点，会遇到很多不自洽的问题，直接来说，Eve实际具有的复制能力本身无疑就是一个反驳。

经过上面的讨论，我们应该能够得出一个基本的结论，那就是，BB84协议所用到的具有特定偏振方向的单光子并不处于叠加态，也因此无法适用单量子叠加态不可克隆原理。所以在量子通道上的安全保障机制实际上是建立在虚幻的想象中的，这个通道能够通过简单的技术手段将密钥直接泄露出去，是绝对不安全的，这跟量通的绝对安全承诺相去甚远。如果量通即使在自己的专业本行都会把适用的物理原理搞错，三十多年来从未有人质疑，更谈不上纠正，行业处于这样的研究水平，就实在令人感到遗憾，这是结结实实的内伤。

从前一个章节的讨论中，设定了量子通道的安全水平为A，普通信息通道的安全水平为B，整个BB84协议下的系统得到的安全水平为MIN(A,B)。在量子通道存在适用物理原理错误的情况下，不难得出A<B的结论，也就意味着，实际上当我们引进了BB84协议之后，不但需要额外投资建设一条成本更高的光纤线路，而且在这个光纤线路上恰恰引入了致命的薄弱环节，使得试图窃密的人能够更简单地获取密钥，从而将系统的安全性大大降低了。这可是跟量通自己的主张恰恰相反。

BB84协议从单光子到诱骗态

BB84协议采用单光子的模式，试图通过单量子不可克隆原理来保障密钥分发的安全性。当然我们前面两个章节已经从完整系统角度和量子通道对这样的幻想给予了批判，但是对于量通专家来说，接受这些观点显然是存在很大心理障碍的。

不过，在国内的京沪线建设以及墨子卫星实验中，采用的并非是单光子，这是因为理论上，单光子无论在光纤中还是在自由空间中，损耗都太大了，以至于根本无法传送很远的距离。还有一个大家不太愿意说的事实，就是所谓理想的单光子制备即使在实验室环境下也无法做到，只能通过将激光进行极度衰减，获得概率性的单光子。所以理论归理论，实践归实践，采用绝对的单光子实现BB84协议其实是不可能完成的任务。

潘院士在多个场合下讲过，量通的安全性必须通过单光子来保证，多光子是绝对不安全的，即便如此，量通的实践方式采用的仍然是多光子模式，目前采用的是所谓的诱骗态，这是超出了BB84协议之外的内容，或许勉强可算是BB84协议的一个扩展，可惜的是，这样一个扩展，非但不能提高量子通道的安全水平，反而将理论上仅有的安全水平A又进一步往下拉低了。

诱骗态理论充斥了大量的数学计算，并不适合在这里进行分析，量通专家经常用一个比喻来形象地解释什么是诱骗态：

有一口井，大家都想喝到其中甘甜的井水，但不幸的是，这井里混合了一种毒液，必须把毒液蒸馏掉才能尽情饮用健康的井水。那么问题来了：蒸馏掉多少合适呢？蒸馏得不够，喝进去的残留毒液就可能致命，蒸馏的太多，会把好的井水也浪费掉。这里毒液用来比喻假的信号，井水用来比喻真实的信号，只要能够保证监听的Eve无法分辨真假信号，而接收者Bob能够将假信号过滤出去，自然就能够一方面避免密钥被窃，一方面保证传输距离大大延长。

这里计算蒸馏多少量合适就是一连串比较复杂的概率运算，其实这个比喻不太好，因为它给阅读的人带来很多疑惑，我想大家都会问的一个问题就是：为什么Eve不会蒸馏，只有Bob能够做，难道Bob有什么祖传秘方？

在一个标准的安全信息发送、监听、接收通讯模型中，Alice负责发送信息，Eve是试图窃密的监听者，Bob是信息接收者。Alice与Bob之间不存在事先的对于信号处理的特殊约定，因为当存在特殊约定的时候，等同于对信息固定形式的加密，在现代技术手段下，任何固定形式的加密手段，都是被认为是简单加密，是容易破解的，因此加密在理论上等同无效。

如果Alice与Bob不存在对信息的特殊加工约定，我们就应该认为Eve和Bob具有同等能力，因此通常情况下，当他们接收到同样信号时，将能采用同样的处理方法，得出同样的处理结果，目前人类的智慧在这样的情况下，根本无法做到让Bob正确接收信息，而Eve却被蒙蔽，很简单的道理，数学理论上，此时Eve与Bob的地位是可对易的关系，因此也就无法对两者的接收、处理能力做出任何分辨。

于是就存在一个疑惑，量通的诱骗态是如何做到只让Eve受到蒙骗的？

诱骗态的设计是专用于防范光子数分离攻击的（坦率地说，从这点就能看出来，量通专家对于网络安全问题的实质根本没有清醒的认识，以为世界上尝试破解量通系统的专家想象力如此单薄，就只有这么一个单一手段。不过或许他们认为只有这个手段才能用得上不可克隆原理？那就更可笑了），而不可克隆原理能够将Eve和Bob的关系变成非对易关系，从而使得侦听能够被Bob发现，真信息不能被复制，Bob不会上Eve的当。我们看看这是如何做到的。

诱骗态方法的实现原理上是很简单的，Alice发送的是弱相干态的光，信号光与诱骗光采用不同的光强（光子数不同），通常，信号光采用强光，诱骗光采用弱光，因为采用BB84协议接收信号只关心光子的偏振方向，与光的强度无关，所以这个情况下Eve采用光子数分离攻击方法是无法分辨真假信号的。如果这个时候Eve进行窃听，那么由于长距离信道对于强光和弱光的损耗不同，所以Eve从强光和弱光分离出去一个光子，并把余下的光子发送给Bob的操作，将使得强光和弱光经过损耗后的光子数比例发生变化，这个变化能够被Bob所检测到，从而发现信道中存在监听者，于是放弃此次接收的数据，如果没有发现监听者，就可以确认此次接收的数据。

不知道大家对上面的诱骗态设计方案有什么感觉？

首先，这个方案只针对光子数分离攻击，对任何其它想到还有没想到的攻击都不起作用，如果这是个杀毒软件，那就是一个专杀一个病毒的软件，因为BB84是一个传输层的协议，还无法随时升级替换，所以面对新的攻击它将毫无应对的方法。仅举一个攻击方法，假如Eve自己扮演一个假Bob的角色，将所有Alice的信息都截获但是不转发给Bob，那意味着Eve将能与Alice协商出来密钥k1，同时，Eve再扮演假Alice的角色，与 Bob协商出来新的密钥k2，于是真Alice与真Bob在普通信道中的加密信息同样被Eve截留，Eve用k1解开Alice发送的密文，并用k2将明文重新加密后发给Bob，这样，Eve就能在人不知鬼不觉的情况下，获取所有的加密信息。

对于信息安全的守方来说，你永远不可能知道下一次攻击者会采用什么攻击手段，这是一个信息安全的常识，也是为什么杀病毒公司总不得不疲于应付各种新病毒的原因。有人会说，Alice与Bob可以进行身份认证，保证对方身份是真实的。不错，但是那不是诱骗态能够解决的，目前也没有量子身份认证机制，靠的还是传统的身份认证机制，身份认证可是与非对称算法紧密相关的，于是就有一个怪圈，量通认为非对称算法不安全，可是自己的安全却要靠非对称算法来保证，这实在是一个烧脑的逻辑困境。退一步来说，部分算法可以采用对称密钥来进行身份认证，但也意味着量子通道的安全仍然需要传统密码来保驾护航，这样的情况难道不也是极其尴尬的事情？

另外，谁规定Eve只能用BB84协议一个方法来检验信号？连傻子都知道强光和弱光是不同的，分析强弱光分布很困难吗？如此假设图灵后继者的能力一定会被收智商税的。之所发生这么可笑的结论，就是因为单光子其实是谈不上强光弱光的，因此按照BB84协议的设计根本不会考虑到强弱光之间的区别造成的信息泄露问题，虽然诱骗态概率计算满篇都是光子数，似乎考虑了强弱光的问题，但那只是为了计算接收端损耗比的差异，完全忽略了强光和弱光本身就携带了破解密钥的关键信息，这相当于把密钥破解的钥匙直接交给了Eve，然后还在煞有介事的研究门锁如何做得更牢靠一些。我说过引入了诱骗态，其实比单光子模式更不安全，原因就在于此。

还有，需要再次重复说一下，对于固定偏振态光子来说，应该不属于叠加态，自然不能适用单量子不可克隆原理，所以说Eve分离一个光子后，不能再复制同样偏振方向的光子发送给Bob，本身就是一个有争议的假设。

再者，Eve从多光子中只取了一个光子就能造成强弱光由于衰减比率不同，造成接收端强弱光比例发生漂移，这意味着就算是强光其实也强不到哪里，仍然是很弱的光，当然也意味着物理条件限制导致传输距离是非常有限的，无法提高。

再补充一个，诱骗态的损耗计算严格依赖于具体的环境，每个线路都有各自不同的环境特性，并且，这种特性还可能发生各种漂变，并不是一成不变的，所以在计算损耗比的时候，尺度收窄，相当于过度蒸馏，成码率极低，而且极其不稳定，尺度放宽，相当于保留过多毒药，虽然看着成码率显著提升，但是也意味着相当大概率无法检测出来存在光子数分离攻击，那么所谓安全就是一句空话。所以大家需要特别注意量通有关成码率的宣传，当他们宣称成码率很高的时候，与说安全水平很低是等价的。

诱骗态的设计对于安全性来说，始终都建立在数学的或然性基础上，思想的底子都是概率安全，算法本身就天然存在密钥被泄露的概率，更何况，这还仅仅是数学理论计算，在具体实践上就更不会好看了。现代密码学从来不会将密钥的安全性建立在或然的基础上，即使被量通广为非议的RSA非对称算法，也是建立在大整数因子分解属于NP问题这个世界难题上的，就算是量子计算机也是采用穷举法来计算的。量通对于信息安全的理解实在肤浅得有些可怕，而且更可怕的是，在他们的文章中，竟然把这个概率性安全的证明过程，称为绝对安全性的证明。

忍不住加一个彩蛋，今年5月份科技日报发表了一篇科技新闻《用噪声保密 我研究成果可使光通信“抗劫持”》，可惜里面讲述的内容并不包含原理性的解释，但是如果你把里面的噪声换成光强，简直就是诱骗态的一个成果宣传文稿，完全没有任何违和感。没有细节描述，无从判断这个基于普通激光通讯方案的安全性如何，但是至少证实我的一个直觉性判断，类似诱骗态的方案在普通激光领域应该能够找到它的孪生兄弟，不知道量通专家们是否需要为此追究知识产权的问题？

结论

从BB84协议的系统安全性，到它的量子通道安全性，到该协议不适用不可克隆原理的分析，到诱骗态安全性分析，我们已经从不同的理论角度对量通进行了批判，能够看出来，很多量通出现的问题都是低水平的错误，对比文章开头的寓言和故事所引申的道理，不难发现，这些错误有些是因为量通自身对于信息安全领域的知识认识太肤浅，有些是因为一叶障目，不见森林。

波普尔提出了科学证伪主义，很多量通粉丝就是如是说，如果你觉得量通不安全，那就去破解它好。或许只有当有人破解了量通之后，才能让普通人知晓量通的不安全性。但是其实证伪主义并不需要伽利略登上比萨斜塔来做自由落体实验，理论上已经能够进行批判的，根本无需继续浪费任何资源去做这种验证，何况，这类验证项目实在申请不到国家科研经费的支持。

在历史上，很少有哪项技术的发展犯下如此离奇的一系列低水平错误，这不仅仅是国内量通存在的问题，从沃尔夫奖的授予上，我们能够窥见整个行业从理论到技术整体的崩塌，包括顶级的学术期刊《科学》与《自然》也无例外，这才是特别令人深思的现象。

学术界有同行评审的制度，但是对于跨学科领域，显然需要引入更多领域的专家参加这个评审环节。在世界上，量通其实是一个很小的圈子，现代学科分类如此精细，不奇怪很多科学领域就是一个个小圈子，如果这些圈子内的科学成果只在内部进行讨论，科学的纠错机制很可能在一个相当长的阶段内失去判断力，这在纯理论界是一个普遍现象。所以如果在这样一个小圈子里，比如量通，他们的文章作者、评审者、评奖者都是在一个圈子里打转的话，他们的知识体系相同，思想视角相同，同化现象严重，难免存在共同的思考问题的暗角，根本无法发现其中存在的错误。量通领域的理论发展过程中，显然密码学专家、通讯专家、网络专家、计算机专家都是缺席的，并且显然，量通专家对于是否需要引入这些专家持不以为然的态度，我们看到很多量通文宣对其它领域专家的意见，或者不理不睬，或者言语讽刺。

其实对于量通来说，相比纯理论界应该是有优势的，因为中国在其中投入了那么大的力量建设了京沪线，发射了墨子卫星，并且参与其中的专家们都宣称取得成功，所以在实践这个环节，好像理论是得到验证的。但是需要注意的是，这些实验只是证明了这些方式能够让BB84协议或者诱骗态工作起来，至于这些措施需要达到的保障信息安全的目的，其实是一点实践都没有做。

安全性从逻辑角度上说属于否定性命题，数学上，否定性命题的证明往往比肯定性命题更难证明，同样地，安全性证明一定比功能性证明更难，就像证明一个计算系统能够工作跟证明这个系统是安全的，完全不是一件事情，并且后者的难度要大得多，从来没有人能够提供这个证明。

没有新理论，没有新技术，安全性理论分析无法通过的量通有现实意义吗？

诺贝尔奖的权威性来自于两个方面，第一个是多领域专家的共同意见，绝对不仅仅是某一个专一领域，尤其对于跨领域的技术，更得需要涉及的全领域专家参与其中的评审；第二个是需要有耐心等待成果获得最广泛的认同。

沃尔夫奖即没有引入各领域专家进行评审，也缺少足够的耐心让技术成果获得广泛应用，所以也就不奇怪它的准头有如此大的偏差，也就不奇怪虽然它总是被很多人号称诺贝尔之后第二大科学领域奖项，但是仍然难以获得科学界的一致认同。或许这可以用来解读今年沃尔夫物理奖带给人的迷失。