按语：本文首发于4月3日的观察者网，自发表以来引起广泛的反响，包括科学网姬扬博主也针对此文在返朴公众号上发表批判性文章《量子保密通讯，经典派陷入的N个误区》，有关我对姬扬博主的回复性文章，因为某种原因无法正式发表。鉴于此文篇幅较长，现将原发表在观察者网上的文章分成上下两部分，分别重发在科学网上。

科网编辑：此文已在观察者网上公开发表，应该未触犯红线，恳请放行。

前言

当下中国科技界最耀眼的领域，无可争议的是量子通信，这是一个各种大小奖拿到手软，被各种光环笼罩的明星领域，也收获了《自然》杂志颁发的“量子之父”的桂冠，同时这也是充满了争议和误解的领域。争议者主要来自科技界，误解的人群则是媒体和公众，但是也不尽然。

随便在大街上拦住一个行人，问问是否听说过量子通信，估计回答听说过的要占7成以上，但是如果接着问量子通信究竟做了些什么的时候，回答的内容可能就会千奇百怪，而且尤其奇怪的事情，他们所描述的量子通信似乎与实际相差甚远，根本就不是同一件事情，甚至连边都靠不上。

曾经向一位海外华人量子科学家请教有关量子通信方面的问题，尽管对方的研究方向并不在这个领域，但是毕竟还是大行业方向内的专家。当讨论有关国内建设完成的京沪干线和墨子号卫星时，他对中国科学家在世界上率先实现纠缠模式的量子通信表示了敬佩之情，然而这仍然是一种误解。因为国内量子通信采用的BB84协议只是利用了单光子的四个偏振方向，并不是一对纠缠光子。他了解国内量子通信进展的渠道，很多就是国内媒体发表的各种科普性新闻类文章，几乎无一例外让他从专业上解读成纠缠模式的量子通信已经实现。包括铺天盖地的墨子号卫星的宣传，有关量子纠缠分发与地面网络的各种结合的展望，很难不让人做这样的联想。徐令予老师在《警惕科普中的不正之风》就提到，由科学院主管、科学出版社主办的《Newton科学世界》2019年2月号，里面就在告诉大家，中国实现的量子通信手段就是采用的量子纠缠技术。国内媒体甚至权威性媒体的不专业误导性宣传，如果连领域内专家都无法分辨真假，让普通人做到这一点就显得强人所难。

也曾经与很多IT行业的专家工程师们恳谈，在多数情况下，他们对于量子通信的理解其实跟普通人的理解并无不同，把这项技术当作牢不可破的量子非对称加密技术，用来取代现今广泛应用的RSA算法。他们一点都不相信我告诉他们的，量子通信只是做了对称密钥分发的工作，因为从媒体的宣传来说，量子密码专家一直强调的是RSA非对称算法的危机，从来没有对对称算法进行过安全问题的指责，更没有针对对称密钥分发环节出现什么危机进行过任何提示，并且以他们的专业知识和工程实践，有关对称密钥分发的机制已经研究得非常深入，尽管不能说尽善尽美，但是想要找到其中的漏洞那也是难上加难。这是经历过几十年考验的技术，得到了最广泛的应用，我们每天使用的互联网和手机应用、移动支付都离不开它。他们不能理解，对称密钥分发的过程，怎么就突然间在量子密码专家眼中变成了一个最严重的薄弱环节，他们的准星不是一直在瞄着RSA吗？怎么没有试图去解决RSA问题？

所以，虽然好像大家都在谈论量子密码，都在热议一旦量子密码应用到比如军事领域，那该是多么傲视全球的黑科技，从此，斯诺登们再也不可能干扰窃取到我们任何一点机密，在国人眼中，量子密码团队简直就跟华为公司一样，分别站在量子科学领域和高端制造领域的顶峰，成为中国最耀眼的两张名片，堪称国之重器。

但是，这些可能都是媒体和公众，包括专家在内一厢情愿的想法，正如文章的标题所言，我们恐怕需要刷新一下有关量子密码的知识了。

还是从一篇尚未发表的论文谈起吧。

有关金贤敏论文

上海交大金贤敏团队的论文《Hacking Quantum Key Distribution via Injection Locking》（以下简称金文）发布在预印本文库arXiv上，在这篇论文中，提出了一个在信源端通过“注入锁定”的方法，获得高达60％的量子密码盗取成功率。文章中还实验了采用光隔离器防堵漏洞的方法，这种设备只允许光子在一个方向上行进，从而防范反向光的注入锁定。不过这个方法也不完美，由于该技术并不能完全阻绝非理想状态的光子行进方向，因此只能将入侵成功率从原本的60%降到36%，而不能完全根绝。

这个论文被《麻省理工科技评论》的编辑们发现，为此发表了一篇题为《有一种打破量子加密的新方法》的报道，这篇报道又被国内的DeepTech深科技转译发表在其公众号上，不承想一件普通的事情，惹来轩然大波：

l  潘建伟等科学家在墨子沙龙公众号进行了权威发布《关于量子保密通信现实安全性的讨论》（以下简称潘文）

l  匿名量子黑客在风云之声上发表文章《量子黑客的独白：自媒体妖言惑众，“量子加密”被“惊现破绽”，我们需要底线！》（以下简称黑客文）

l  王向斌在风云之声上发表文章《王向斌谈量子保密通信：我为什么不愿回应自媒体的一些文章》（以下简称王文）

l  金贤敏等教授在墨子沙龙公众号上就此事发表了声明：《攻击是为了让密码更加安全》

l  袁岚峰在风云之声上发表文章《量子加密惊现破绽？请媒体提高知识水平，不要乱搞大新闻》（以下简称袁文）

尽管面对公众，量子密码团队做过无数次无条件安全的承诺，但是对于了解原理和技术详情的我们来说，量子密码存在漏洞一点也不令人惊奇，所以这次报道发现漏洞，我们对这些量子密码专家们的激烈反应就感到颇有些意外，而且上述文章用词之情绪化，显然也不像就事论事认真讨论问题的态度，只是对于媒体以及公众来说，这是量子密码神话破灭第一次现实地展现在面前，这让一直对量子密码抱有巨大期待的人们来说，或许情感上一时很难接受。

在所有已经发现的量子密码漏洞中，金文中所提到的“注入锁定”并非第一个漏洞，也不是最严重的漏洞，当然更不可能是最后一个漏洞，它所以引人注目，不过因为偶然间由于深科技公众号把这个漏洞揭露出来而已。针对这个漏洞，根据潘文权威发布的声明，据说可以通过增加光隔离器的方式堵上。下面我将跟大家聊聊有关光隔离器的一些小知识，便于让大家了解这个光学器件是如何堵住漏洞的，或者它是否能够堵住这个漏洞。并且，我们还可以退一步假设这个隔离器确实能够很好工作，但是仍然能够通过使其失能，从而重新打开这个漏洞，文章的后面将介绍这些方法。

光隔离器是一种只允许单向光通过的无源光器件，它的工作原理利用了法拉第效应（又叫法拉第旋转，磁致旋光），这是一种在介质内光波与磁场的相互作用。通过将入射线偏振光和反射线偏振光的偏转方向各自向右旋转45度角，从而使得入射光与反射光的偏振方向相互正交，这时用偏振光过滤器就可以将反射光的大部分滤除。

光隔离器分有偏型和无偏型两种，有偏型只能对特定方向线偏振光起到隔离作用。量子密码BB84协议采用的是不同方向的线偏振光，所以不可能采用有偏型光隔离器，只能采用无偏型的光隔离器。但是无偏型的光隔离器的工作原理，首先需要将光分解成相互垂直的两个线偏振光，接下来处理这两个固定方向的线偏振光的隔离，就可以继续采用类似有偏型的光隔离器的工作原理。经过这样的无偏型隔离器的处理后，原始光中不同方向的线偏振光，都会被处理成由两个相互垂直的，偏振方向不变的线偏振光复合而成的输出光。对于普通的光调制信号，不会用到光的偏振特性，因此这样的处理不会影响光信号的传输，但是对于量子密码则不然，这样的光经过分解后再做隔离处理，就完全破坏了原始信号光中偏振方向的信息，也就破坏了量子密码。所以现有的物理知识告诉我们，比如京沪干线上，量子密码要想采用光隔离器而不影响量子密码的传送，也许需要有新的科学原理性突破才能做得到。

我们注意到，无论是潘文还是在袁文，都只是笼统讲了这一个漏洞可以用光隔离器的技术来填补，但是从来没有任何明确的文字确认在京沪干线上是否已经采用了这个技术措施。不考虑光偏振性的问题，由于量子密码采用的是弱激光，本来在长距离传输过程中，激光的损耗已经足够大，根本不太可能有反射回去的激光，况且如果有这么强的激光功率，早就用在延长传输的公里数或者提高成码率上了。而且无偏型的光隔离器对输入光的损耗是比较大的，这对本来就是强激光的普通光通讯一点问题都没有，而对于量子密码采用的极其微弱的激光来说，这样的损耗可能就无法承受。

所以，从上面有关光隔离器的简单分析，我们就会对潘文的权威发布和袁文给出的见解产生疑问。诚信是科学伦理的基础，所以我们觉得量子密码团队有必要向公众和媒体明确确认在京沪干线上是否已经采用光隔离器防止这个漏洞的出现，并愿意的话，顺便向学术界介绍一下它们的工作原理。经过无偏隔离器后，还能保持入射光的偏振性，就我有限的知识来看，目前的原理和技术都还无法做到。

其实严格角度来说，在信源端发现漏洞的价值并不高，至少在密码学理论上是这样的，对于量子密码，也许算不上什么了不起的问题，要找类似的漏洞，传统信安系统的信源端一样都是一点都不少，因此这次量子密码专家的过度反应就有些耐人寻味。当然，金文中提到的攻击手段其实是在信道上任何一点都可以发起的，京沪干线2000多公里上的每个点都可以进行这样的攻击，尽管攻击的目标是信源，但在很多密码专家的解读中，这类攻击还是可以归类到信道攻击。

无论潘文还是袁文，其实并不打算纠缠在理论安全和实验漏洞这个矛盾问题上，而是试图在两个角度化解媒体和公众的疑虑：

第一是宣称发现的漏洞是可以被轻易解决掉的；

第二是声讨新闻报道和批评者不专业的表现。

我觉得这样简单模糊的回应可能并不能消解媒体和公众的疑虑，就像我们都知道软件系统一定存在漏洞一样，我们也相信软件公司有能力修补漏洞。但是假如这个软件公司之前承诺绝对不存在漏洞，或者让你有这样的误会，那么存在漏洞的事实对用户来说，他的感觉就不会很好，因为这意味着之前的承诺不过是开的空头支票，发现一个漏洞，接下来还会有第二个和第三个。

黑客文中就不小心提及另外一个致盲攻击。在2011年的场地演示中，发起的攻击针对的是实际的QKD实验系统，实验获得100%成功并获得100%密钥，因此该黑客对于金文中的攻击方法只有60%的成功性很不以为然。当然，黑客文也强调了对于致盲攻击已经有强光警报等预防性手段用来修补漏洞。

黑客文侧面证实了我们的猜测，这明明就在告诉你，你所看到的金文中提到的漏洞只是冰山一角，更严重的你根本不知道，是否还有其它已知未知的漏洞，那就变得非常显然了。

袁岚峰是国内比较知名的软科普作家，在网上发表过一些比较有影响的软科普文章，同时他真正的身份其实是量子通信团队的重要骨干，因此他在量子通信方面所做的宣传也是不遗余力，这本无可厚非，至少读者可以从他的文章中，大致嗅到整个量子通信团队对于相关问题的看法，但是另一方面，读者也能够很明显品到这类文章相比他涉猎的其它领域科普文章，其中立性和科学性两方面都存在明显的失衡，失去平衡往往是以失去品质作为代价的。

袁文中有一个自问自答的片段：

问：中国的量子通信干线“京沪干线”有没有风险？要不要为此改装设备，增加成本？

答：上面已经说了，现在的量子通信设备已经能抵御这种攻击。所以京沪干线没有受到影响，不会为此多花钱。

按照一般的理解，这个回答可能告诉我们，京沪干线采用了光隔离器，但是你细品一下就会发现，其实里面做了巧妙的回避。姑且不深究这个问题，聪明的读者可能会进一步追问：

问：是否今后还会发现其它漏洞，发现新的漏洞是否也同样不需要对现有设备进行升级改造？

你必须承认这是个无法回答的问题，所以袁文中干脆就不继续追问下去了，其实媒体和公众真正关心的恰恰是后面那个问题。

袁文用了大量篇幅吐槽深科技的译文错误，我倒是觉得不以为然，新闻也不是文学作品，尤其是科技方面的新闻翻译，要求达到信达雅的程度是强人所难了，对于成天看那些翻译过来的科技文献和科普文章的人来说，早就对这些硬译非常适应了，只要不发生严重的错译，都是在可原谅范畴之内，总不能要求深科技的翻译也达到量子密码专家的学术水平吧？而且无论潘文还是袁文，都有意将新闻和批评的范围限制在自媒体上，似乎都是一些没有专业知识、相互传抄的低水平的群众提出来的批评，并且抱怨这些人显然干扰了科学家的正常工作。

袁文也特别指出：金贤敏就是潘建伟的学生啊！言外之意就是，学生怎么可能刻意去做反对老师的事情？姑且不说真实情景如何，但是学生不赞同老师的观点，在科学界不是太平常不过的事情了吗？这里引述2300多年前古希腊著名哲学家亚里士多德的一句名言“我爱我师，但我更爱真理”，与袁先生共勉。

有关传统密钥分发

传统加密算法分对称算法和非对称算法。非对称算法用到的公钥，是以明文公开在网上发布的，信息发布者用公钥加密信息，信息接收者用私钥解密信息，公钥不用来解密。

公钥不存在加密分发的事情，这恰恰是非对称算法独特的优势，需要做密钥分发工作的只有对称密钥。

对称密钥的分发可不是在网上直接明文过去，最常用的技术手段其实还是采用对称加密或者非对称加密算法，当然也有采用人工分发的手段，这或者是因为网络之间彼此隔离，或者干脆就是单位公司的制度要求。

有关密钥分发和管理是传统密码学领域研究得很深入也很成熟的环节，因为采用相同的加密算法，所以对称密钥分发的安全性全同于普通信息对称加密的安全水平，这也是为什么，传统密码学里面从来不将密钥分发的安全性问题单独罗列出来讨论的原因。

如果对称密钥分发存在安全性问题，也同样意味着对称加密算法存在安全性问题。这两个问题是等价的，这个结论非常重要，因为量子密码所做的工作恰恰就是将对称密钥分发的工作分离开来，导致加密算法的安全性与量子密钥分发的安全性完全不等价，需要额外对量子密钥分发的环节做安全性分析。

袁文中对于传统密钥的分发工作有一些有趣的看法，一方面，他提出一个问题：如果你在不安全的信道上传输密钥，那密钥被人窃取了怎么办？还能怎么做，加密传输啊，难道他认为传统密钥应该是以明文方式发送的吗？同时他还提出另一个惊人的问题：你有什么办法，不用信使就让通信双方共享密钥？难道他认为传统密钥分发必须派个密钥分发专员到处人工分发？不知道别人如何理解，反正我觉得袁对于传统密钥分发的原理理解得匪夷所思，好像处于两个平行世界，实在搞不清楚他心里所想的传统密钥分发的工作究竟是怎么一回事儿，也不知道这仅仅是他的看法，还是整个量子密码团队的看法。

下面几段主要讲述有关传统密码安全性度量的简单原理，这部分叙述会比较抽象枯燥，没有耐心的读者可以跳过，直接看这个小节末尾总结性的结论。

对称密钥分发的工作是否安全，取决于对称加密算法的安全性。对称加密算法有很多种，如果强调可证明的绝对安全性，香农早已经证明异或加密算法在满足密钥充分随机、密钥长度不小于明文长度、一次一密这三个条件的情况下是不可破解的（也即所谓的一次性便签，one-time pad）。但是一般人不知道的是，异或加密算法并不能够实际使用，因为密钥与明文等长，所以一旦你使用密钥进行了信息加密，也就没有后续密钥用来继续做密钥分发，于是加密工作就会因为密钥枯竭而停止。

为了解决异或加密密钥的枯竭问题，密码专家注意到异或加密对于密钥的利用率低得可怜，每一个密钥位只能用来加密一位明文信息，形象地说就是一个密钥位只掺杂到一个信息位里，如果能够采用一个理想的加密算法，让一个密钥位绝对充分而又均匀地掺杂到每个信息位中，那么破解加密后的密文就必须强力搜索整个密钥空间，并且可以证明不存在任何简便的破解算法。这意味假如你采用的是128位密钥，通过这个理想的加密算法，能够让密钥的安全度等效于2¹²⁸位异或加密的密钥长度，也就是说能够用来加密2¹²⁸位信息，并且还能够保持绝对的加密信息安全。这个数有多大？粗略说，就是34后面加上37个0，也意味着当你用这个密钥加密128位信息时，可以重复使用2.66*10³⁶ 次，仍然能够保证信息的绝对安全。这是非常非常大的数，假如我们将密钥的位数增大到256位，所能够安全加密的信息数就跟宇宙所有原子的数目大致相同。这个效应可以形象地称为密钥有效位数的指数爆炸。

实际上我们采用的加密算法远达不到充分而又均匀的程度，对于常用的128位或者256位密钥，每个加密算法等效理想加密算法多少位密钥，还缺少足够的证明，但是这个数目仍然是非常非常大，相比异或加密仍然能够呈现指数增长的关系，以至于目前我们要想破解加密信息仍然需要搜索整个密钥空间，仍然需要将现实加密算法看作某种程度的理想加密算法。

袁文中因为目前缺少加密算法与理想加密算法的等效密钥位数证明，缺少有关密钥掺杂均匀度和充分性的量化分析，就认为现实中使用的加密算法是不安全的，这种对加密算法安全度的理解在行家看来是非常浅层次的。这些算法理论方面的安全性分析一直都在进行中，普遍业界公认的结论依然是，目前使用的对称算法没有明显的分布不均匀性证明，通俗点说，就是仍然是安全的。袁文中提到MD5和SHA-1摘要信息算法被破解，这跟对称加密算法是完全不同的两码事儿，只要稍微读一下相关论文就知道，破解摘要算法的成功标志只是仿照出来一个伪文，具有相同的数字签名，但是伪文可不是允许随心所欲撰写的，所以数字签名仍然可以保证有效性，而且摘要信息的原文是什么也根本没有办法还原，算不上严格意义上的破解。摘要算法本来就不是设计用来加密信息的，所以与加密算法混在一起谈，只能说对这个领域里面，不同类型的算法所做的分工协作完全搞不清楚。顺便提一句，数字签名现在已经简单升级到SHA-256，算法加密位数从128位提高到256位，把全世界的超算算力加到一起也没有办法破解。

现实中的密钥分发过程中，通过采用过程密钥协议，即避免了主密钥在网上加密传送的过程，又能够将引入随机数的额外掺杂信息加入到主密钥中，相当于等效延长了几十位理想密钥位数，很大程度填补了现实加密算法与理想加密算法之间密钥长度的差距。形象的比喻就是，假如现实加密算法采用128位密钥，等效于理想加密算法的60位密钥，那么通过补充随机数的过程密钥方式，又增加了20位理想密钥的加密强度，使得整个加密体制的加密安全度等效于80位理想密钥。这相当于1个密钥可以用来绝对安全加密2⁸⁰ 位信息，或者等效2⁸⁰位异或加密密钥。这回你知道异或加密算法与其它对称加密算法之间的关系了吧？你也应该知道为什么密码界不采用异或加密算法的原因了吧？

量子密码专家认为现实对称加密算法的安全性没有得到证明，这个是事实，的确任何一个算法的密钥位数等效理想密钥位数的关系一直没有得到证明，但是因此得出结论说，对称加密算法是不安全的就是严重的误导。

因为对称密钥算法能够安全加密天文数字的信息，因此大批量数据都是采用对称算法进行加密的。单纯采用对称算法进行密钥分发，前提条件是密钥收发双发都预先拥有对称密钥，这只能是在固定用户之间进行，如果两个陌生用户之间采用对称加密算法加密大量信息，目前唯一的途径只能通过类似RSA这类公钥体制将对称密钥分别发送给临时通信的双方，没有其它办法，量子密码天生注定做不到这一点。

采用对称算法进行密钥分发，安全性是绝对有保障的；在NP问题没有得到确实解决之前，公钥系统也是安全的。NP问题是千禧年7大问题之一，是可计算理论皇冠上的一颗明珠，全世界大量的数学家和计算机科学领域的科学家都在努力试图破解这个世界难题，尚看不到解决的光亮。一个对称密钥在其存在的整个生命周期中，所加密的信息包括进行密钥分发的消耗，远远小于密钥本身等效的异或算法密钥长度，如果只考虑采用对称算法进行密钥分发，密码界目前公认的一个看法就是不存在任何安全性问题。在评估对称加密算法安全性方面，显然量子密码专家拿不到足够的发言权。

有关量子密码的工作内容

量子密码并不像大家普遍想象的那样神秘莫测，说到底这就是一个实用技术，里面即不存在任何新的物理原理，也不存在任何新发明的黑科技，简单地说，量子密码所做的工作就是对称密钥分发。

读者会非常困惑，难道量子密码不是一个加密算法吗，难道不是一个用无法破解的量子方式对信息进行加密解密的方法吗？难道不是用来取代传统的加密算法的吗？难道不是用来解救RSA密码被破解后的密码危机的吗？

对上述问题的回答一律：不是。

读者会更加困惑，你刚告诉我们说，对称密钥分发绝对不存在任何问题，然后你马上又告诉我们，量子密码做的就是对称密钥分发的工作，你说话是认真的吗？那样的话量子密码又有什么存在的价值？

请千万不要怀疑我说话的真诚和专业水平，因为量子密码专家们早就在各种相关文章中告诉你这件事情了，只不过你的注意力都被分散到有关量子世界的神奇描述中去了。

当年IBM的本奈特提出BB84协议，也就是现在国内京沪干线上使用的量子密码协议，那个时代，个人计算机和网络刚刚起步，密码学研究大多停留在理论阶段，完全不是我们今天想象的那样成为日常生活中必不可少的技术手段。所以有关密码技术的各种实施方案层出不穷，包括密钥分发工作也还没有完全定型，采用量子的方式完成这项工作也就成了一个可选项。当然量子技术的成熟度远达不到可用的成度，与此同时计算机加密技术随着网络的发展迅速落地成熟，于是有关对称密钥分发的技术和管理模式早已尘埃落定。

在传统密钥分发一节中我们已经知道，一方面异或加密的绝对安全性已经得到完全证明，另一方面我们也知道异或算法要求密钥与明文长度相同，你必须预先准备好足够长的密钥，否则你的加密过程就会因为密钥枯竭而被“卡”住，要想采用这个算法，除非提供另外一个密钥分发途径。但是异或算法是一个很重要的衡量安全度的重要指标，度量的单位就是等效异或密码位。

宏观来说，量子密码走了一条“轻”算法、“重”密钥的路，保留了异或算法，提供新的量子密钥分发途径，从而让加密过程不会被“卡”住。这种路径，密钥与信息等长，算法的安全性可证，安全性取决于密钥分发环节的安全度。加密信息位数与密钥分发的成本和时间呈线性相关性。

传统密码学走了一条“重”算法、“轻”密钥的路，通过提供非异或的对称算法，将一个密钥位“抻长”获得指数型扩张的天文数字一样的等效异或密钥位，从而解决密钥位枯竭问题。这种路径，密钥与信息长度位的指数呈线性相关性，安全性完全取决于密钥掺杂的充分性和均匀度，不同的算法掺杂程度都不同，这方面缺少足够的理论证明，但是与异或密钥位数的指数呈线性相关性是密码界的共识，密钥分发的时间和成本可以忽略不计。

做一个对比，假如一个128位非异或对称算法等效80位理想密钥，那么当你发送一个长达2⁸⁰位信息的大文件时，你只需要一个128位的密钥就可以绝对安全地送达，而量子密码需要分发2⁸⁰位密钥才能达到同样的效果。你明白其中的区别了吧？

量子密码专家笃定说，虽然我分发密钥的时间和成本很高，可是我的安全性是得到绝对证明了的。事实上，只有异或加密算法是得到的安全性是得到了证明的，而在量子密码的密钥分发环节，要想获得绝对的安全性保障，必须保证分发的密钥的每一个密钥位都不能掺杂任何一点不安全因素，因为每一个被破解的密码位，都将对应一个加密信息位的失密。量子密码能做到这一点吗？或许金文已经告诉了我们这个问题的答案。

相比较来说，传统加密其实走的路要轻巧得多。勤俭持家的人可能都希望将一分钱掰成几份来花，量子密码相当于大富豪，手里拿着一张不可兑换零钱的百万大钞，只能用来买一个火柴头，传统密码则是将一个密码位掰成天文数字的密码零钱花，并且一分钱就可以买到一火车皮的火柴，当然其实比这对比还要强烈得多。量子密码和传统密码在同等安全保障的前提下，消耗的密钥位是呈指数关系增长的。

实际的信息安全体系关注的重点无非两件事：安全与成本，技术复杂度都可以折算到成本中。量子密码直接与异或算法结合，以1:1的关系对标等效异或密码位，异或算法计算量可以忽略不计，需要付出的代价是与加密信息等量的密钥分发量；非异或加密算法以指数的关系对标等效异或密码位，加密解密的算法复杂，但是相比计算机的算力仍然在可忽略的范畴内，并且由于密钥位数等效异或密码位呈指数关系，可以将其看作密钥大爆炸效应。与人们的印象完全不同，传统对称加密算法与量子密码之间的对比，就像氢弹和石块的关系，有过之而无不及，那属于完全不同的两个世代，传统加密算法更好地实现了安全与成本的平衡关系。

暂时先不考虑安全性指标，传统的对称加密体制全面碾压量子密钥分发+异或算法，不存在任何瓶颈，而量子密钥恰恰阻塞在密钥分发的环节中，量子通道的物理属性注定了这个环节绝对不可能跟得上普通光纤信道的传输率，因为它本身也不过是光纤介质，所以量子密钥如果进入实用阶段，就永远会处于枯竭状态，永远不会改善，除非你不使用它。况且为了传输量子密钥，你还必须修建一个专用的量子通道，这些都会成为不可承受的成本负担。

将量子密码纳入到完整的信安体系内，你就能够理性地评估量子密码应该安坐的位置，它只是在从来没人使用的异或算法分支里，在对称密钥分发环节中承担一个微不足道的作用，而且活干得还特别吃力，相比较来说，在另外一个流水线上，传统加密方法正在紧张而轻松地忙碌着。就像你在盖高楼，别人都是直接一个塔吊把整个建筑模块从一楼吊到100层的楼顶，而量子密码就像一个背背篓的民工，里面放着砖头瓦块，沿着阶梯吃力往上爬。

不是因为采用了貌似高大上的量子技术，就让这种背砖头的工作看起来光芒四射，再怎么大声嚷嚷，量子密钥分发工作在辉煌的密码学殿堂里，也只能拿个马扎坐在丝毫不起眼的角落里。哪怕是异或加密也是传统加密算法的一部分，离开了传统加密算法，量子密钥分发就什么都不是，只是一堆无用的随机数而已。当然你也可以拿这些随机数来算命或者买六合彩，然后美其名曰量子算命或者量子彩票，比起量子针灸或者量子袜子，这可是如假包换的量子啊，绝对满满的黑科技。袁文中用了太多的篇幅来渲染量子密码的光辉，可惜他对于密码学的了解得还是太少了，在信安专家眼中，他有关密码学方面的叙述业余又自大得可笑，所以他并不知道一个简单的道理，马扎永远不能当太师椅坐，更不可能摆在大厅中央。

有人说就靠量子密钥那种传输效率，哪怕拿几块硬盘，拷贝上密钥，然后骑上单车从北京跑到上海去，都要比量子密钥分发快得多，京沪干线要想完成同样的密钥量往好说也得需要一年半载，我深以为然。

顺便提一句，袁文中又提到了一个2018年度的克利夫兰奖，这是由美国科学促进会颁发的，但更确切地说是属于《科学》杂志的年度好论文奖，当然《科学》杂志属于国际顶级刊物，但是把年度好论文奖看作科学大奖好像有些言过其实了吧？有关这个话题我也写了一篇不到2万字的小文章《从克利夫兰奖到量子纠缠》，谈的就是这个好论文奖以及有关墨子号卫星的事情，不过这个话题有些跑偏了，一笔带过。

待续