博文

墨子沙龙有关量子通信话题的问与答（三）

已有 3941 次阅读 2018-12-30 17:06 |系统分类:观点评述| 量子通信, 量通, BB84, 诱骗态, QKD

本期问题速览

9. 有人说量通的量子通道内，密钥信息是采用明文的方式发送的，如何理解这个说法？

10. 什么是QKD两通道模式？为什么采用两通道模式的任何量通方案都不可能提供更高的安全性？

11. 有争议说不可克隆原理并不适用于量通采用的BB84协议，能否做简单的解说？

12. 有些材料说量通的京沪实验工程采用了多光子的诱骗态技术，能说说这方面的内容吗？

第三期

9. 问：有人说量通的量子通道内，密钥信息是采用明文的方式发送的，如何理解这个说法？

答：BB84协议是中国量通实现密钥分发采用的协议，这个协议设计分两个平行的信道，一个量子信道，一个普通外网光纤信道，其中量子信道是最关键的，BB84协议通过这个信道协商发送密钥信息。

密钥信息采用单光子的四个偏振方向，分别代表两组（0,1）量子信息，这些光子的偏振方向一旦被监测到，意味着密钥的信息被窃取，监测这些光子的偏振方向技术上没有什么障碍，所以从这点来说，量子通道的密钥信息是采用明文裸奔发送的，监听者需要的只是能够检测至少4个光子偏振方向的技术。

量通无法防范光子的偏振方向不被检测到，为了避免密钥因此失窃，量通就必须能够发现是否存在窃听者，一旦发现被窃听，就放弃已接收到的密钥，并在一定时间范围内停止密钥协商发送的过程。

为什么量通之前要说可以抓窃听者？这不是量通闲着没事偶尔客串一下国安局的身份，因为如果不能发现这些窃听者，意味着密钥被直接窃取，所以抓间谍可不是量通的业余爱好，更不是量通的优势，那是生死攸关的大事，量通的致命弱点其中一个就是这个明文密钥传输，很多破解的方法针对的就是这个弱点。对比经典加密机制，网上发送的都是加密后的密文根本不怕被监听。所以完全不像量通人士说的那样：“传统的通信方式，窃听者可以在光纤线路上每一点拦截数据流”^[18]（所以不安全），恰恰相反，量通的量子通道才是线路上每个点都是可以被窃密的点。

当然，BB84协议的操作序列比上面描述要复杂一些，但是原理没什么本质区别。所以对于密钥信息接收者Bob来说，是否能够发现存在监听者Eve就显得至关重要，于是不可克隆原理出场了。

按照这个原理，即使窃听者截取并检测了光子的偏振方向，也无法复制出来相同偏振方向的光子，所以接收端Bob就能发现由于光子丢失造成的扰动。令人疑惑的是，如果偏振方向已知，技术上早就实现了发射相同偏振方向的光子，发送端Alice就是这么做的，量通怎么可能连自己刚刚做的东西都要否定？只需要问问量通人士，是否能够制备出来4个偏振方向的光子，就能知道所谓的不可复制相同偏振方向的光子有多荒唐。或者，量通专家唯一能够拿出来辩解的理由就是以无限精度进行的复制，但是同样的理由需要他们自问，他们的检测是否能够以无限的精度区分原始发射的光子或者复制后的光子。

复制从来不是个难的问题，需要解决的其实是如何检测4个偏振方向光子的问题，虽然不太容易，但是绝对没有任何物理原理限制这样做。

上面的矛盾，唯一自洽的解释就是不可克隆原理根本不适用量通的BB84，后面我们会细说这方面的问题，更何况，实际量通技术采用的也不是单光子，而是所谓的诱骗态多光子弱激光方式，更将量子通道的安全性拉低到一个赌人品的新境界，所以量通的安全性基本建立在空中楼阁上。

10. 问：什么是QKD两通道模式？为什么采用两通道模式的任何量通方案都不可能提供更高的安全性？

答：所谓两通道模式，是指QKD采用两个通道，一个是量子通道，通过操作单光子来发送明文密钥，一个是经典通道，也就是普通的通讯信道，用来交换密钥协商信息和发送加密信息。

量通的安全性问题需要分两种使用方案讨论，方案1就是Alice和Bob之间只协商密钥不发送加密信息；方案2就是Alice和Bob之间不但协商密钥而且利用密钥发送加密信息。

为叙述简便，我们假设破解QKD的难度为A，破解经典信道中普通加密方法的难度为B。此外我们必须知道一个事实，那就是在量子通道，Alice与Bob只能按照比如BB84协议规定的操作序列，双方共同协商出来量子密钥QK，如果Alice试图把一个信息比如“Hello World”传给Bob，并确保对方能够正确接收,在量子通道是做不到的，连一个bit都不行，这是量通协议固有的限制。

方案1，因为Alice不向Bob发送加密信息，这种情况下的安全强度就是破解QKD的难度，也就是为A。不过这种方式令人感到奇怪的是，既然Alice不打算利用密钥向Bob发送加密信息，为什么不直接在Bob端采用随机数发生器来生成密钥？那样的话，Alice与Bob间密钥被窃的风险岂不是降到0，而且这样的软件一大把，搞不懂为什么偏要冒着风险、花上大价钱协商什么密钥？唯一的理由是Alice或者Bob需要用这个密钥QK与其他的人进行加密通信。

方案2，Alice与Bob协商出来QK后，Alice用QK将待发送的信息比如“Hello World”进行加密，在经典信道中发送给Bob。这种情况下，合并起来的总安全度遵循木桶原理，取决于相对最不安全的那一个通道，也就是MIN（A,B）。这意味着，即使按照量通的说法，QKD的安全度高于经典加密方式，也就是说A>B，整个通讯过程的安全度就是B，这是经典密钥安全度，Eve不用费劲去破解QK，只需要按照通常的做法，破解普通信道中的密文就可以了，这种情况量通根本不可能提供高于普通加密手段的安全度。

量通专家对方案2的安全评价不该有异议，这里面的逻辑实在太简单了，但是他们认为方案1提供了更高的安全保障，因为此方案提供的安全度为A，也就是所谓的无条件安全，因此他们认为在这个方案中恰恰充分体现出来量通的价值。我们就来分析一下量通专家的这个看法是否合理。

不失一般性，我们假定QK在Bob端使用，这种情况下，因为加密信息需要采用对称加密方法，Bob一定需要将QK发送给其它节点，比如Candy。这个时候就会出现一个问题，Bob采用什么方式将这个QK发给Candy？采用方案1发送，很遗憾，量通协议不支持这样的方式，因为量子通道不可能确保任何一个bit信息能够被接收到，所以QK是无法在量子通道上发送出去的，只能采用方案2或者其它普通密钥分发方式，在普通信道上加密发送。那么这个时候Alice或者Bob与Candy之间密钥分发的安全度是由两个阶段的总安全度来决定的，其实就是方案2的变种，也即是MIN（A,B），这意味与方案2 一样，方案1同样不可能提供比普通加密方式更高的安全度。

量通专家之所以认为量通的安全度更高，是因为他们只看到信息安全的一个局部环节，尤其是方案1其实只是将密钥分发工作分成量子和普通分发两个阶段，并且只关注了其中一个局部的量子阶段的安全性，这当然算不上“完成”状态的密钥分发。

传统的密钥分发与信息加密的技术手段是相同的，安全等级也相同，而量通的方案2采用两阶段模式，不能因为量通自称在QKD阶段安全性更高（过分自信了！），因此系统的安全性也更高，而需要将两个阶段的总和安全度加在一起进行评估，这才能跟普通的密钥分发机制相对等。

事实上，量通在京沪实验干线工程中，从北京分发的QK需要经过30多个中继器才能到上海，其中北京站与第一个中继器采用的就是方案1，用来在量子通道生成QK，其余中继器都是采用方案2，在普通信道加密发送QK。按照上面的分析很容易得出结论，京沪实验干线的信息安全水平绝对不高于普通的加密体制。

你不禁会问两个问题，第一，为什么京沪干线第一个节点用来生成QK？只是因为这样生成的一个随机数能够带上量子的基因，而显得与其它方式比如Alice自己生成的一个数据随机数k血统更加高贵一些？加密出来的信息更加安全？第二，既然整个密钥分发的安全度不高于普通密钥加密的安全度B，为什么不直接就用普通加密方式分发密钥，而偏要浪费大量资金建设一个白象级别的量通实验线路？

BB84的设计，隐含了谁分发密钥，谁消费密钥的原则，所以这个协议从头到脚的每个毛孔都是点到点的信息安全设计，中间没有隐含任何网络设备，包括中继器。

如果北京传到上海的QK用来在两地之间进行信息加密交换，虽然不提供更高的安全性，至少名义上还保持“谁分发密钥谁消费密钥”的原则，但是量通专家总会有一个非常奇怪的想法和做法，当他们辛辛苦苦地从北京将密钥QK们传送到上海后，相当一部分QK不是用来与北京进行加密通讯，而是囤积起来，提供给本地其它用户之间进行保密通信。难道这些QK自带仙气，一定要冒着风险从北京传过来？我们上面的分析明明白白说了，如果密钥不被北京用来与上海进行保密通讯，而是用来给上海本地用户提供密钥，那么在上海找个软件生成随机数的方式是真正的无限安全的，因为连分发的环节都省掉了，这么点逻辑量通专家理解起来应该不困难。

量通之所以囤积QK，目的无非就是给末端用户提供一个使用QK的冠冕堂皇的理由，并且顺便还可以把发送这些QK的标准路由器、交换机重新命名为量子路由器和量子交换机，以便显得量通工程终于能够通达千家万户了。如果我们说量通建设京沪实验工程的做法算是犯了低级错误，那么量通在将QK应用到终端用户的环节就完完全全是一种欺诈行为。

所有QKD两通道模式都绝对不可能提供高于普通加密体制的安全度，这个结论是可以简单而明确获得证明的，得出上述结论既不需要知道量子理论也不需要掌握密码学知识，需要的只是一点点站在全局的视角进行逻辑推理的能力。

量通犯的错误是相当的低水平，原因就在于他们缺少安全的全局观，习惯一叶障目地审视单一量子通道的安全性，并且天真地将这种安全性上升为整个系统的无条件安全性，姑且不谈量子通道安全性本身就存在巨大的问题，这种单一维度的思维方式来看待问题，并试图改造当前业已大量成熟应用的信息安全系统，就不是简单地令人感到担忧，而是令人感到滑稽。

这个问题的根子是从BB84协议娘胎里带来的，很诧异那么多国内外量通专家们，包括国内那些顶级的专家，没有一个人进行过认真思考就全盘接受下来，各种论文不但发表在《科学》、《自然》这些顶级科技期刊上，而且还收获了2018年度沃尔夫物理学奖。对于量通界来说，从历史的尺度来看，这可能不是一串串的荣誉，而是一桩桩啼笑皆非的故事了。

11. 问：有争议说不可克隆原理并不适用于量通采用的BB84协议，能否做简单的解说？

答：不可克隆原理全称应该是单量子叠加态不可克隆原理。这个原理并不是量子理论中的一个重要组成部分。之前它默默无闻，为人所知都是拜量通而赐，量通密钥协商过程的安全保证全都依赖于此。

由于量子学界对量子叠加态的物理意义存在不同解释，所以这个原理本身是否成立一直存在很多争议，这也是人们称其为原理而不是定理的原因。这里的讨论暂且不介入那些争议，我们假定这个原理还是成立的。

不可克隆原理讨论的是一个单量子，当其处于叠加态的时候，不存在一个物理机制，能够将这个量子的叠加态完全复制到另外一个量子上。从原理的证明很容易理解，这个原理只能适用叠加态下的量子。

按照哥本哈根解释，叠加态是指量子在特定时刻，其状态是由量子状态空间中所有状态的线性组合。薛定谔的猫就是叠加态的一个形象解释，说的是当猫被关在一个黑盒子里时，处于叠加状态的量子控制释放毒药的开关，导致的后果就是猫可以同时即活着又死了。除了叠加态，量子还有一个本征态，当发生测量的操作时，量子叠加态将“塌缩”到一个具体的状态。

量通采用的BB84协议，利用单光子的偏振方向来表达密钥信息，一共使用了四个偏振方向，这四个方向分成两组，每组中包含两个偏振方向，相互垂直呈十字，分别表示二进制的0和1，两组十字彼此交错45度角，如果形象来看，将两组十字合在一起，就像一个米字。

BB84协议中，信息操作有三个角色，Alice是发送者，Eve是监听者，Bob是接收者。Alice虽然发送的是随机生成的密钥bit，但是当她发送这个bit信息时，这个信息究竟是0还是1是已知的，那么这也意味着Alice需要制备出来一个具有特定偏振方向的光子，比如说就是水平0度偏振方向。

我们提出一个问题，比如说当Alice发送一个偏振方向为0度光子的时候，该光子是处于叠加态还是本征态？如果是叠加态，在360度偏振态空间中，它只采用了一个确定性偏振方向，并且Bob在接收到这个光子偏振信息时，测量结果也毫无例外都是0度，这跟经典物理有什么区别吗？这跟本征态有什么区别吗？

尽管不同的量子理论流派对叠加态的解释不尽相同，但是对于这样一个具有特定已知状态的量子，没有任何一个学派会认为它处于叠加态，相反这个时候，具有确定偏振方向光子是符合本征态定义的。再考察Alice发送单光子时采用的各种操作，比如偏振方向的选择，完全可以算是在对光子进行一系列的测量，如果光子在此前处于叠加态，那么经过这些“测量”操作后“塌缩”成本征态是顺理成章的事情。

这样的话，Alice在量子通道内发送的光子就不可能处于叠加态，于是单量子叠加态不可克隆原理自然就无法适用。

作为话题的引申，再引述周炳琨等编著的教材《激光原理（第六版）》^[16] 1.5节“激光的特性”中的一段话：

以平行平面腔TEM00单横模激光器为例，工作物质内所有激发态原子在同一TEM00模光波场激发（控制）下受激辐射，并且受激辐射光与激发光波场同相位、同频率、同偏振和同方向，即所有原子的受激辐射都在TEM00模内，因而激光器发出的TEM00模激光束接近于沿腔轴传播的平面波，即接近于完全空间相干光，并具有很小的光束发散角。

这里描述的激光原理完全可以看作是具有特定偏振方向的单光子进行偏振态复制的物理机制，这也在侧面回答了为什么具有确定性偏振方向的光子不可能属于叠加态（因为违反不可克隆原理）。这样分析下来，特定偏振方向光子处于叠加态、不可克隆原理、激光原理三者是不自洽的，不可能同时成立，必然有某一个或多个存在错误。

显然，激光原理是不可能被牺牲掉的，那么其它两个无论是放弃任何一个或者两者全都放弃，都意味着量通的理论基础不复存在。无疑最小的牺牲代价是放弃特定偏振方向光子处于叠加态这个假设，这也与经过偏振选择处理，属于测量范畴并导致偏振叠加态“塌缩”是一致的，只有这样，量子在这个小角落里的不自洽矛盾才能获得解决。

所以我们就能够知道，其实并没有什么物理原理限制Eve在量子通道复制出来一个0度偏振方向的光子并发送给Bob，Eve只需要找到一个检测4个偏振方向的技术手段而已，这是技术能力问题，可没有什么物理原理的限制。

量通检测存在侦听行为的物理依据就是Eve不能复制同样偏振的光子，所以通过防范所谓的光子数分离攻击，就能防止明文密钥的失窃。可惜看来不可克隆原理并不是量通的保护伞，如果Eve能够复制相同的偏振光子并发送给Bob，就能干净彻底利落地破解量通所有的安全防护罩，量子通所有密钥都将神不知鬼不觉的被窃取。

无条件安全承诺是一张挂在天上永远吃不到的大饼，破解量通的秘诀根本与算力无关，仅仅只需要发展出来检测光子偏振方向的技术而已，量通专家还能找到一个物理原理限制这种技术的存在吗？

通过上面的分析，量通BB84协议从诞生之日起，就存在严重的适用物理原理的错误，这就跟一个中学生解答物理试题的时候，误用了一个完全不相干的物理定理一样。这个错误足以彻底摧毁BB84协议的合理性，也让我们的京沪干线和墨子号的成果化为灰烬。

我们希望能够在这个关键问题上获得量通专家的解答，这是一个没有任何回避空间的关键问题。如果这个问题最终证明适用原理是错误的，那么在现代科技发展历史上，这就是一个令人难以置信的丑闻。

到目前为止，没有任何拿的出的理由能够令人信服地说，具有特定偏振方向的光子处于叠加态，因此我们就无法理解，这么容易发现的问题，无论国内还是国外的那些著名量通专家们，竟然没有一个人就此提出质疑，众多研究和实验成果层出不穷，不但发表在顶级的科技期刊上，并且获得了国内外各种大奖，也包括那个著名的沃尔夫奖。如此长的时间，如此众多的精英，如此重大的科技领域投资，加上如此低级的理论适用错误，这样的现象出现在以严谨著称的科学殿堂上，不是比量通本身更值得令人深思吗？

12. 问：有些材料说量通的京沪实验工程采用了多光子的诱骗态技术，能说说这方面的内容吗？

答：单光子在理论上存在，但是实际上制备纯粹的单光子目前并没有好的办法，即使在实验室环境下也做不到，更不用说在工程项目中。好的情况下只能说制备出来的光子大概率下是单光子，掺杂一些多光子。

所有量通协议的设计，都要求采用绝对意义上的单光子，这样才有可能防范光子数分离攻击。不得不多说几句这个攻击手段，当年BB84的初始设计就是为了防范这种攻击而采用单光子的方案，有意思的是，之后的量通竟然因此不假思索地默认，所有对量通的攻击手段就只有这唯一的一种。这种思考问题的简化方法实在可怕，更可怕其实是连思考都不思考就全盘接受继承。假如防病毒公司的技术人员知道量通竟然如此简化可能面临的被攻击风险，不知道他们会有什么感觉？一定不会很好。

潘院士在很多场合都说，量通采用单光子，多光子绝对不安全。

但是一方面单光子制备存在问题，另一方面，单光子在光纤中衰减非常严重，根本无法长距离传输，最长不超过10公里，这个问题在工程上就非常致命，京沪干线2000多公里，单光子方案需要至少200多个可信中继器，我就不重复说可信中继器在安全方面有多么可怕了。

所以尽管量通从来不愿意说，量通工程号称采用BB84协议，但是其实他们发送的都是多光子形式的弱激光，那就已经跟BB84协议无关了。

BB84协议设计采用单光子模式防范光子数分离攻击，但是一旦采用多光子模式，也同样需要找到防范光子数分离攻击的手段，于是诱骗态技术诞生了。

2003年韩国科学家黄元瑛首次提出诱骗态思想，此后由中国的量通专家们对此进行一些改进后应用到京沪干线上。

诱骗态设计采用多光子方案，仅仅防范光子数分离攻击，即使在最理想的状态下，这种方案提供的安全保障也是概率安全，也就是说，当Eve监听秘钥发送的时候，无论是Alice或者Bob无法发现这种监听行为以一定的概率存在的，并且这个概率实际上随着传输距离的增大急剧提高。概率安全是我为量通诱骗态专门发明的新概念，传统的信息安全领域不存在这个概念，因为密钥加密体制或者找到破解的捷径，或者强力破解，不存在多大概率下破解的情形。量通独辟蹊径地提出来一个很另类的概率性的信息安全理念，可想而知他们的创新，离真正的信息安全要求距离有多遥远。

量通的工程建设究竟采用多长距离设置一个中继器，主要就是取决于安全概率与成码率之间的平衡关系，安全性要求低，成码率就可以提高，传输距离就可以延长。因为这个概率安全实在拿不出手，完全违背了无条件安全的承诺，所以量通的宣传中，诱骗态基本是隐形的，否则这项主要由中国人发扬光大的技术早就宣扬得路人皆知了。

诱骗态是个很量子化的名字，令人油然而生敬畏。其实它的原理并不复杂。Alice发送两种类型的信号，一种是真信号，一种是假信号，真信号用强光发送，假信号用弱光发送，Bob只接收强光信号，丢弃弱光信号，这样就能够接收到完整的真信号了。

每个人都会问那么Eve不也可以这么做吗？

是的，从通信的角度来说，Eve和Bob都是信息的接收者，他们每个人知道的东西都不比对方更多，所以按照传统的通信理论来说，Bob能完成的只接受真信号过程，Eve同样能够完成，究竟什么原因造成两者的区别？

就得回到BB84协议里。在单光子情况下，如果Eve截获了光子，根据不可克隆原理，Eve无法原样复制一个光子发送给Bob，所以Bob能够根据接收光子的扰动分析出来可能存在侦听者，于是放弃接收到的一切信息。

类似的，诱骗态要想发现存在侦听的情况，Eve的操作一定要干扰到Bob的接收信号，使后者能够发现信号的扰动现象，这就需要再次祭出不可克隆原理这个神主牌。

由于Eve侦听时，需要同时截获弱光和强光，假设Eve从中各抽取一个光子，因为不可克隆原理限制，Eve不能将截获的光子复制后重新发送给Bob，所以这个时候，Bob在分析接收到的强光与弱光的单光子分布比率时，就能发现由于各自丢失1个光子导致两者之间的分布比例关系照比平常会发生偏移，这时存在Eve的可能性就很大，于是就放弃接收到的所有信息。

当然上面仅仅是大白话的原理性描述，实际的设计和操作要复杂一些，更复杂的其实是这套理论一连串的烧脑量子概率计算，这些计算直接提高了理解诱骗态原理本质的门槛。

了解了诱骗态的大致原理，人们不禁担心，因为强光与弱光各自丢失1个光子算出来显著的分布比例偏移，这也太敏感了吧？你把分子分母各减去1然后算出来的比值与原来大不相同，意味着分子分母的数值其实都不大，换句话说，即使是强光也是极弱的激光，这就限制了传输的最大距离。当然，你尽可以将激光功率调大，以增加传输距离，或者提高成码率，但是这就意味着扰动偏离会很小，发现Eve存在的概率也就急剧降低。

对环境变化如此敏感，经历寒霜酷暑，器件老化，都会导致损耗的漂移，于是之前调试好的参数不再好用，需要不断调整，可是调整到什么程度仍然是纯运气的事情，并且每两个中继器之间的参数都不可能是相同，都需要调整，如果你要是偷懒一点，放宽参数指标，那么就不用想能够发现Eve的存在，安全性就是一句空话。

如果你看到量通经常说的，经过仔细调整系统参数，使得QKD的传输距离和成码率大大提高，你就知道他们调整的是什么内容，也知道后面的潜台词是什么了。通讯的距离和成码率是工程可用性的先决条件，是用户看得见摸得着的指标，至于安全还是不安全，只要没发生攻击，谁又能看得出来，不都是靠承诺就够了吗？

单光子是不可以放到光交换机里的，墨子文中提到在量子信号层面，可以采用光路交换进行组网，那当然不是单光子，而是属于激光的范畴了，这也证明了尽管量通不愿意提及诱骗态，其实他们采用的就是弱激光形式的诱骗态。

诱骗态的安全性建立在或然性的数学概率证明，完全没有什么确定性的物理机制支撑。坦率地说，我实在无法将诱骗态看作是一个信息安全的解决方案，我更无法将诱骗态看作是可以工程实现的解决方案，现在诱骗态能够运行起来的唯一理由是以绝对不安全为代价的。

当然，上述的讨论包括诱骗态的概率计算，都是以不可克隆原理成立为前提，并且攻击者只会采用单一的光子数分离攻击方法进行窃听。前面的问题已经将不可克隆原理从量通的神坛上撤掉了，但是即便供上不可克隆原理的主神，诱骗态仍然将量通理论上的安全拉低到一个新的低点，所以量通的宣传一直回避这个话题。

顺便提一句，今年5月份，科技日报发表了一篇题为《用噪声保密我研究成果可使光通信“抗劫持”》^[17]的科技新闻，可惜里面讲述的内容并不包含原理性的解释，但是字里行间，如果将这个看作诱骗态的一个成果总结，完全没有任何违和感。当然缺少了不可克隆原理的加持，这个方案在原理上的安全性如何保障实在无法判断。不过反过来想，如果诱骗态的具体实践弱化了安全性的要求，这两个方案倒的确是很像一对孪生的兄弟。

参考资料：