BHLV對2的100次方這個數(shù)字，僅僅是說它“驚人”（astonishing），沒有像徐老師這樣做這么多引申。這確實是一個非常大的數(shù)，但能不能說量子計算機做不了這么多操作呢？這話誰都不敢說。至于將來算法改進，在更短時間內破解后量子RSA的可能性，自然也無法排除。因此，后量子RSA正如BHLV所言，提供的是“一個合理水平的具體的安全性”，還是“看起來確實提供了”，而不是能夠令理論家滿意的安全性水平，更不是完美的安全性。

如何理解后量子密碼學？

徐老師的文章中有這樣一段：

“再讓我們看看密碼學界最近的動態(tài)，請先看下圖：密碼學界已經(jīng)明確把公鑰密碼系統(tǒng)分成兩大類，左列中都是目前常用的公鑰密碼，它們是‘量子可破’的，即理論上在量子計算機攻擊下是不安全的（事實上也并非如此，見注解[2]）。圖中右列的幾種公鑰密碼系統(tǒng)被列為‘量子不可破’，它們從原理上被證明是不可能被量子計算機破解的，因而它們又被稱為后量子時代的密碼系統(tǒng)?！?

公鑰密碼系統(tǒng)的分類

有些公鑰密碼系統(tǒng)已經(jīng)從原理上被證明是不可能被量子計算機破解的？我必須說，這話是錯誤的。實際上，對于任何一個公鑰密碼系統(tǒng)，人們連它不會被經(jīng)典計算機破解都還沒有證明，又怎么可能證明它不會被量子計算機破解？如果有人做出一個這樣的證明，那立刻會成為計算機科學界以至整個科學界最轟動的消息，圖靈獎什么的都不在話下。

徐老師在自己以前的文章《反對高鐵的邏輯，要用到量子通信上了？》中，同樣引用了這個圖，而在那里的敘述是：

“再讓我們看看密碼學術界的動態(tài)，請先看下圖：密碼學界已經(jīng)明確把公鑰密碼系統(tǒng)分成兩大類，左列中都是目前常用的公鑰密碼，全被打入‘量子可破’的死域。

圖中右列確有幾種公鑰密碼理論方法被列為‘量子不可破’。但是請注意：1）它們只是目前還未被攻破，并非被證明‘量子不可破’。2）它們全部沒有進入實用階段，甚至未進入應用初期開發(fā)階段，很可能最后根本沒有實用價值?！?

其實徐老師以前的這個說法，是完全正確的！

我再來多解釋幾句。后量子（post-quantum）、量子安全（quantum-secure）或者抗量子（quantum resistant）的密碼體系，這幾個術語表達的都是同樣的意思：能夠抵抗量子計算機的密碼體系。這是個活躍的研究領域，我對這個領域的研究者也是十分尊敬的。不過，目前這個領域的成果都是這種模式：我嚴格證明問題A的難度跟問題B相當，而大家普遍相信問題B對量子計算機來說非常困難（這只是個猜想，不是證明），所以可以相信問題A對量子計算機也非常困難。結果是，證明了若干個猜想之間的等價性，但沒有證明任何一個猜想。因此，后量子密碼學的基本格局跟傳統(tǒng)密碼學是一樣的，都是無止境的貓捉老鼠、魔王追公主的競賽。

金融業(yè)現(xiàn)有的密碼體制已經(jīng)足夠安全了嗎？

徐老師的文章里提到：

“那么金融行業(yè)，特別是銀行系統(tǒng)是否會享受到量子通信干線的優(yōu)越性呢？很可惜答案是否定的。量子計算機有可能破解RSA這類非對稱密鑰，而對于基于復雜邏輯運算的對稱密鑰體制根本就沒有威脅?，F(xiàn)在所有金融行業(yè)（包括銀行）采用的都是對稱密鑰體制，這個標準在由中國人民銀行頒布的PBOC里有詳細的描述[3]。

銀行系統(tǒng)密鑰分發(fā)要用到RSA這類非對稱密鑰只有初始化的第一次，之后采用的都是對稱密鑰。其實初始化都未必會用到RSA，任何能夠安全地將初始化密鑰分發(fā)到密鑰分發(fā)管理中心的手段都可以采用，畢竟只需要做一次的事情，麻煩一些也無所謂。我估計，銀行與其它金融系統(tǒng)對量子保密通信是沒有多少興趣的，哪怕你有天大本事明天就變出一臺幾萬Qbit的量子計算機，他們仍舊會是‘量子圍困萬千重，我自巋然不動’?！?

其實這個估計有點主觀了。京滬干線建設的基本動機之一，就是金融部門不滿足于現(xiàn)有的密碼體系（詳細闡述見下一節(jié)）。

例如徐老師描述的這種體系，其安全性歸根結底依賴于最初存的那些對稱密鑰。對稱密鑰有多長，能夠安全傳輸?shù)男畔⒘烤褪嵌啻?。這樣又回到信使可靠性的問題了。如果密鑰長期不換，失竊的風險就越來越大。而如果要及時更換，又頻繁地需要信使。總之，做到一次一密非常困難。相比之下，量子密碼術天然就是一次一密的，因為密鑰可以等到有信息要傳輸時現(xiàn)場生成，這個優(yōu)越性很明顯。

這里還可以引申一下。我在講RSA的時候，經(jīng)常有人問：如果我把所有的兩個幾千位質數(shù)相乘的乘積存起來，不就可以破解RSA嗎？回答是：當然可以，但那需要指數(shù)增長的存儲量，所以在實踐上不可行。如果我們把預存大量的信息作為可行的選擇，那么這樣的破解RSA的方法也是可行的了！

工程思維是什么樣的？

徐老師在文章中以及在平時的溝通中，多次提到工程思維，認為量子通信的基礎研究應該支持，而工程建設就需要考慮需求和成本。對于這個基本原則，參與京滬干線建設的實際工作者（例如我的同事張強教授）和我都是完全贊同的。

有趣的是，根據(jù)同樣的原則，徐老師和我們做出了不少相反的具體判斷，例如認為量子密碼術對金融、軍隊和政務系統(tǒng)沒有多大用處。其實，古往今來的歷史證明，幾乎任何新技術最早的應用都是在軍事領域。我知道軍隊對量子密碼術很有興趣，不過由于涉密，不能在這里具體講。

我的朋友、風云學會會員陳經(jīng)是亞洲視覺科技有限公司研發(fā)總監(jiān)，算得上資深工程師了。他的看法是：

“加密算法讓量子計算也無法破解，這很容易理解。換個更復雜的算法來加密，想出辦法不算太難。但是，在工程上，這么說就不對了?，F(xiàn)在已經(jīng)一大堆應用，是用老的加密算法。如果要改加密算法，并不是寫篇論文那么簡單，而是要做一堆工程，要選擇技術方案。好比開公司，一伙人賣量子密碼術，另一伙人賣后量子RSA。后量子RSA的賣點，顯然不如量子密碼術。賣后量子RSA的說我這個花錢少，不可破，——也得人家信啊。徐老師認為后量子RSA現(xiàn)在就能實現(xiàn)，量子計算機還不定要到猴年馬月，所以后量子RSA勝出，這相當于民營企業(yè)家圖省錢的層次?！?

我的同事中有許多是量子通信的一線工作者，據(jù)我了解，他們的看法是：

“我們和徐老師對待工程項目的一個基本點是一致的，即一定要有用戶需求。如果沒有需求，工程肯定不該上。

我們做京滬干線的一個根本初衷是，銀監(jiān)會等金融監(jiān)管機構和工商銀行等金融單位的不少專業(yè)人士，對現(xiàn)有金融安全體系和技術水平應對高水平攻擊的能力表示擔憂，并提出城域網(wǎng)量子通信不能滿足遠距離特別是京滬兩個金融中心之間的安全數(shù)據(jù)備份和通信的需求。

于是我們和銀監(jiān)會一起申請發(fā)改委立項，先做一個應用示范，若好用則全國推廣。我們一致的想法是，實驗室到工程化之間需要這樣一個應用示范項目，把這個項目做好，然后根據(jù)用戶的需求和工程的成熟度，再繼續(xù)穩(wěn)步推動其進步。

京滬干線項目不同于量子衛(wèi)星。衛(wèi)星首先是科學項目，所以第一目標是發(fā)文章，目前發(fā)了兩篇Nature一篇Science，還有很多科學的實驗在做。而京滬干線開通之后是全面的安全測試和應用測試，兩者做完才交付使用。畢竟是工程項目，所以我們做的比衛(wèi)星更加慎重和穩(wěn)健。我們對干線一直做的是內部調試以及跟用戶溝通，跟媒體溝通得不多，這可能也是外界產生誤會的原因。

除了金融系統(tǒng)之外，目前電力系統(tǒng)、大數(shù)據(jù)互聯(lián)網(wǎng)企業(yè)都對加入京滬干線很有興趣，正在談。電力系統(tǒng)和金融系統(tǒng)都提出希望建更多干線，所以我們覺得有必要在京滬干線的基礎上拓展更多干線。當然，任何一條干線的建設都是需要在國家的戰(zhàn)略安排下，通過反復論證穩(wěn)步推進的。

量子密鑰不是必須要成為一個獨立的體系，在應用上既可以和經(jīng)典密碼的技術互相取長補短，跟光纖激光通信也可以很自然地融合。借著國家光纖布網(wǎng)的升級擴張機會，就可以一起搞。所以，傳統(tǒng)行業(yè)完全用不著恐懼與排斥，應該把這看作一個機會而不是威脅。

隨著波分復用等技術的成熟和設備的小型化、集成化，以后的干線建設成本可望大幅度下降。在國家的通盤部署下，標準委、銀監(jiān)會等相關部門應該為量子保密通信制定技術標準、行業(yè)規(guī)范。

總之，量子保密通信一方面要做好前沿應用基礎研究，一方面要認真根據(jù)國家戰(zhàn)略和用戶日益迫切的現(xiàn)實需求穩(wěn)步推進工程應用?！?

我不揣淺陋，也在這里談談對工程的一些理解。

國家算賬的方式，跟個人是不同的。對個人來說，錢花出去就沒了。對國家來說，錢花出去并沒有消失，仍然在自己的經(jīng)濟體系里，真正重要的是提升國家能力。站在國家的角度上，思維方式就會是：錢能解決的問題，為什么要冒泄密的風險？

京滬干線的投資是5.6億元，這對個人消費而言是筆巨款，對國家工程來說卻不算大錢。修一公里地鐵，投資就在幾億元的量級。軍工單位進口一個小小的芯片，一輛豪華汽車的錢就出去了。高鐵在磁懸浮和輪軌兩種方案之間切換，做過許多實驗，也是花錢如流水。量子密碼術針對的信息安全問題如此重要，國家如果不搞，才是難以理解的。

以上是一些一般性的思考。具體到量子信息這個學科，還有一點有趣的是，量子密碼術以至整個量子信息，在很大程度上就是工程。因為這個學科最明顯的目的，就是利用量子力學的特性，做到以前做不到的事。這跟物理學、化學、生物學等傳統(tǒng)的學科有顯著區(qū)別，在那些學科里無實用目標的自由探索占的分量要大得多。

量子密碼術由于不需要用量子糾纏，技術難度在量子信息中相對而言最低，所以發(fā)展得最快，已經(jīng)接近了工程實用的階段。在工程建設和應用中，會出現(xiàn)很多科研預料不到的問題。發(fā)現(xiàn)和解決問題，又可以促進科研發(fā)展。在這種情況下，即使有心停下工程只做基礎研究，又怎么可能做到呢？這就像讓天文學家不造望遠鏡，只研究理論一樣。停止工程的結果，只會是基礎研究也停頓。

現(xiàn)在關于量子通信的輿論經(jīng)常給人一個錯覺，好像世界上只有中國在大力發(fā)展這個領域，為全人類當小白鼠。事實上，在中國國內爭論不休的同時，其他國家并沒有閑著。例如2017年8月，《自然·光子學》撰文介紹了日本、中國和德國在衛(wèi)星量子通信技術方面的進展，標題就叫做《量子空間競賽愈演愈熱》（“Quantum space race heats up”, Nature Photonics, 11, 456 - 458）。中國科學家竭盡全力，才在量子通信領域后來居上。如果因為人為的干擾，把領先位置拱手讓人，那將是自毀長城性質的失誤，令有志之士為之氣結。

真正應該抑制的是什么？

以上所有這些，當然不是說對量子通信的任何正面宣傳都是正確的，也不是說任何地方都應該用量子通信，更不是說任何自稱量子的企業(yè)都具有真正的技術力量。實事求是才是最高的原則。

某公司對科學家進行人身威脅的事件，是引起徐老師憂慮的直接原因。廣而言之，隨著量子概念在媒體上的爆熱，出現(xiàn)了一批碰瓷李逵的李鬼。由于理解量子科技所需的知識水平超出了一般公眾的程度，所以許多人感到迷惑。其實在專業(yè)人士看來，李逵和李鬼的區(qū)別是十分明顯的。

對于投資者以及潛在的用戶而言，我的建議是：看清楚量子密碼術的技術進步是哪些科研團隊做出的，他們是哪些企業(yè)的技術支撐，同時看清楚哪些企業(yè)只是買設備和做資本運作、輿論炒作的，自己沒有技術力量。只有在精準識別的基礎上，才能做出明智的判斷。

在輿論場中，量子通信成了一個很神奇的領域。一方面有吹牛炒作的（吹捧李鬼），另一面也有完全指為騙局的（打擊李逵）。李逵不禁要問：為什么受傷的總是我？兩邊的非理性程度都很高，而且都有大量的受眾。如此“盛況”之下，真正的科普被擠在中間，成了一條很窄的路。

在這種情況下，一線工作者和專業(yè)人士站出來科普，向公眾提供正確的信息，提高公眾的科學素養(yǎng)，就更加有必要了?；貧w科技本質，抑制資本和媒體炒作，量子通信行業(yè)才能健康發(fā)展。

附注：

此文在草就后請徐令予老師審閱，徐老師的評論是：

這是篇很好的科普文章。文章略長了點，來不及全文仔細閱讀，總體來說沒有明顯錯誤。雖然某些結論不能認同，但這些都無關緊要，只要實事求是，讓大眾對量子密碼通信有個比較正確完整的認識，壓縮資本炒作的空間，就可以了。這才是我寫作的真正本意。有關量子密碼通信的爭論不是你我之間的意氣之爭，而是科學精神與邪惡欺騙的斗爭，在與迷信欺騙的斗爭中我們倆始終是一條戰(zhàn)線的。

致謝：

感謝中國科學技術大學合肥微尺度物質科學國家實驗室張強教授、張文卓博士、清華大學物理系王向斌教授、美國新墨西哥大學數(shù)學與統(tǒng)計系黃宏年博士以及亞洲視覺科技有限公司研發(fā)總監(jiān)、科技與戰(zhàn)略風云學會成員陳經(jīng)、著名科普作家“奧卡姆剃刀”等人在科學與工程等方面的指教與討論，感謝美國加州大學洛杉磯分校物理系徐令予老師的熱心探討與誠懇交流。

（本文原載“中國科普博覽”微信公眾號，作者授權觀察者網(wǎng)轉載）