BHLV對2的100次方這個(gè)數(shù)字，僅僅是說它“驚人”（astonishing），沒有像徐老師這樣做這么多引申。這確實(shí)是一個(gè)非常大的數(shù)，但能不能說量子計(jì)算機(jī)做不了這么多操作呢？這話誰都不敢說。至于將來算法改進(jìn)，在更短時(shí)間內(nèi)破解后量子RSA的可能性，自然也無法排除。因此，后量子RSA正如BHLV所言，提供的是“一個(gè)合理水平的具體的安全性”，還是“看起來確實(shí)提供了”，而不是能夠令理論家滿意的安全性水平，更不是完美的安全性。

如何理解后量子密碼學(xué)？

徐老師的文章中有這樣一段：

“再讓我們看看密碼學(xué)界最近的動(dòng)態(tài)，請先看下圖：密碼學(xué)界已經(jīng)明確把公鑰密碼系統(tǒng)分成兩大類，左列中都是目前常用的公鑰密碼，它們是‘量子可破’的，即理論上在量子計(jì)算機(jī)攻擊下是不安全的（事實(shí)上也并非如此，見注解[2]）。圖中右列的幾種公鑰密碼系統(tǒng)被列為‘量子不可破’，它們從原理上被證明是不可能被量子計(jì)算機(jī)破解的，因而它們又被稱為后量子時(shí)代的密碼系統(tǒng)?！?

公鑰密碼系統(tǒng)的分類

有些公鑰密碼系統(tǒng)已經(jīng)從原理上被證明是不可能被量子計(jì)算機(jī)破解的？我必須說，這話是錯(cuò)誤的。實(shí)際上，對于任何一個(gè)公鑰密碼系統(tǒng)，人們連它不會(huì)被經(jīng)典計(jì)算機(jī)破解都還沒有證明，又怎么可能證明它不會(huì)被量子計(jì)算機(jī)破解？如果有人做出一個(gè)這樣的證明，那立刻會(huì)成為計(jì)算機(jī)科學(xué)界以至整個(gè)科學(xué)界最轟動(dòng)的消息，圖靈獎(jiǎng)什么的都不在話下。

徐老師在自己以前的文章《反對高鐵的邏輯，要用到量子通信上了？》中，同樣引用了這個(gè)圖，而在那里的敘述是：

“再讓我們看看密碼學(xué)術(shù)界的動(dòng)態(tài)，請先看下圖：密碼學(xué)界已經(jīng)明確把公鑰密碼系統(tǒng)分成兩大類，左列中都是目前常用的公鑰密碼，全被打入‘量子可破’的死域。

圖中右列確有幾種公鑰密碼理論方法被列為‘量子不可破’。但是請注意：1）它們只是目前還未被攻破，并非被證明‘量子不可破’。2）它們?nèi)繘]有進(jìn)入實(shí)用階段，甚至未進(jìn)入應(yīng)用初期開發(fā)階段，很可能最后根本沒有實(shí)用價(jià)值?！?

其實(shí)徐老師以前的這個(gè)說法，是完全正確的！

我再來多解釋幾句。后量子（post-quantum）、量子安全（quantum-secure）或者抗量子（quantum resistant）的密碼體系，這幾個(gè)術(shù)語表達(dá)的都是同樣的意思：能夠抵抗量子計(jì)算機(jī)的密碼體系。這是個(gè)活躍的研究領(lǐng)域，我對這個(gè)領(lǐng)域的研究者也是十分尊敬的。不過，目前這個(gè)領(lǐng)域的成果都是這種模式：我嚴(yán)格證明問題A的難度跟問題B相當(dāng)，而大家普遍相信問題B對量子計(jì)算機(jī)來說非常困難（這只是個(gè)猜想，不是證明），所以可以相信問題A對量子計(jì)算機(jī)也非常困難。結(jié)果是，證明了若干個(gè)猜想之間的等價(jià)性，但沒有證明任何一個(gè)猜想。因此，后量子密碼學(xué)的基本格局跟傳統(tǒng)密碼學(xué)是一樣的，都是無止境的貓捉老鼠、魔王追公主的競賽。

金融業(yè)現(xiàn)有的密碼體制已經(jīng)足夠安全了嗎？

徐老師的文章里提到：

“那么金融行業(yè)，特別是銀行系統(tǒng)是否會(huì)享受到量子通信干線的優(yōu)越性呢？很可惜答案是否定的。量子計(jì)算機(jī)有可能破解RSA這類非對稱密鑰，而對于基于復(fù)雜邏輯運(yùn)算的對稱密鑰體制根本就沒有威脅?，F(xiàn)在所有金融行業(yè)（包括銀行）采用的都是對稱密鑰體制，這個(gè)標(biāo)準(zhǔn)在由中國人民銀行頒布的PBOC里有詳細(xì)的描述[3]。

銀行系統(tǒng)密鑰分發(fā)要用到RSA這類非對稱密鑰只有初始化的第一次，之后采用的都是對稱密鑰。其實(shí)初始化都未必會(huì)用到RSA，任何能夠安全地將初始化密鑰分發(fā)到密鑰分發(fā)管理中心的手段都可以采用，畢竟只需要做一次的事情，麻煩一些也無所謂。我估計(jì)，銀行與其它金融系統(tǒng)對量子保密通信是沒有多少興趣的，哪怕你有天大本事明天就變出一臺幾萬Qbit的量子計(jì)算機(jī)，他們?nèi)耘f會(huì)是‘量子圍困萬千重，我自巋然不動(dòng)’?！?

其實(shí)這個(gè)估計(jì)有點(diǎn)主觀了。京滬干線建設(shè)的基本動(dòng)機(jī)之一，就是金融部門不滿足于現(xiàn)有的密碼體系（詳細(xì)闡述見下一節(jié)）。

例如徐老師描述的這種體系，其安全性歸根結(jié)底依賴于最初存的那些對稱密鑰。對稱密鑰有多長，能夠安全傳輸?shù)男畔⒘烤褪嵌啻蟆＿@樣又回到信使可靠性的問題了。如果密鑰長期不換，失竊的風(fēng)險(xiǎn)就越來越大。而如果要及時(shí)更換，又頻繁地需要信使。總之，做到一次一密非常困難。相比之下，量子密碼術(shù)天然就是一次一密的，因?yàn)槊荑€可以等到有信息要傳輸時(shí)現(xiàn)場生成，這個(gè)優(yōu)越性很明顯。

這里還可以引申一下。我在講RSA的時(shí)候，經(jīng)常有人問：如果我把所有的兩個(gè)幾千位質(zhì)數(shù)相乘的乘積存起來，不就可以破解RSA嗎？回答是：當(dāng)然可以，但那需要指數(shù)增長的存儲量，所以在實(shí)踐上不可行。如果我們把預(yù)存大量的信息作為可行的選擇，那么這樣的破解RSA的方法也是可行的了！

工程思維是什么樣的？

徐老師在文章中以及在平時(shí)的溝通中，多次提到工程思維，認(rèn)為量子通信的基礎(chǔ)研究應(yīng)該支持，而工程建設(shè)就需要考慮需求和成本。對于這個(gè)基本原則，參與京滬干線建設(shè)的實(shí)際工作者（例如我的同事張強(qiáng)教授）和我都是完全贊同的。

有趣的是，根據(jù)同樣的原則，徐老師和我們做出了不少相反的具體判斷，例如認(rèn)為量子密碼術(shù)對金融、軍隊(duì)和政務(wù)系統(tǒng)沒有多大用處。其實(shí)，古往今來的歷史證明，幾乎任何新技術(shù)最早的應(yīng)用都是在軍事領(lǐng)域。我知道軍隊(duì)對量子密碼術(shù)很有興趣，不過由于涉密，不能在這里具體講。

我的朋友、風(fēng)云學(xué)會(huì)會(huì)員陳經(jīng)是亞洲視覺科技有限公司研發(fā)總監(jiān)，算得上資深工程師了。他的看法是：

“加密算法讓量子計(jì)算也無法破解，這很容易理解。換個(gè)更復(fù)雜的算法來加密，想出辦法不算太難。但是，在工程上，這么說就不對了?，F(xiàn)在已經(jīng)一大堆應(yīng)用，是用老的加密算法。如果要改加密算法，并不是寫篇論文那么簡單，而是要做一堆工程，要選擇技術(shù)方案。好比開公司，一伙人賣量子密碼術(shù)，另一伙人賣后量子RSA。后量子RSA的賣點(diǎn)，顯然不如量子密碼術(shù)。賣后量子RSA的說我這個(gè)花錢少，不可破，——也得人家信啊。徐老師認(rèn)為后量子RSA現(xiàn)在就能實(shí)現(xiàn)，量子計(jì)算機(jī)還不定要到猴年馬月，所以后量子RSA勝出，這相當(dāng)于民營企業(yè)家圖省錢的層次?！?

我的同事中有許多是量子通信的一線工作者，據(jù)我了解，他們的看法是：

“我們和徐老師對待工程項(xiàng)目的一個(gè)基本點(diǎn)是一致的，即一定要有用戶需求。如果沒有需求，工程肯定不該上。

我們做京滬干線的一個(gè)根本初衷是，銀監(jiān)會(huì)等金融監(jiān)管機(jī)構(gòu)和工商銀行等金融單位的不少專業(yè)人士，對現(xiàn)有金融安全體系和技術(shù)水平應(yīng)對高水平攻擊的能力表示擔(dān)憂，并提出城域網(wǎng)量子通信不能滿足遠(yuǎn)距離特別是京滬兩個(gè)金融中心之間的安全數(shù)據(jù)備份和通信的需求。

于是我們和銀監(jiān)會(huì)一起申請發(fā)改委立項(xiàng)，先做一個(gè)應(yīng)用示范，若好用則全國推廣。我們一致的想法是，實(shí)驗(yàn)室到工程化之間需要這樣一個(gè)應(yīng)用示范項(xiàng)目，把這個(gè)項(xiàng)目做好，然后根據(jù)用戶的需求和工程的成熟度，再繼續(xù)穩(wěn)步推動(dòng)其進(jìn)步。

京滬干線項(xiàng)目不同于量子衛(wèi)星。衛(wèi)星首先是科學(xué)項(xiàng)目，所以第一目標(biāo)是發(fā)文章，目前發(fā)了兩篇Nature一篇Science，還有很多科學(xué)的實(shí)驗(yàn)在做。而京滬干線開通之后是全面的安全測試和應(yīng)用測試，兩者做完才交付使用。畢竟是工程項(xiàng)目，所以我們做的比衛(wèi)星更加慎重和穩(wěn)健。我們對干線一直做的是內(nèi)部調(diào)試以及跟用戶溝通，跟媒體溝通得不多，這可能也是外界產(chǎn)生誤會(huì)的原因。

除了金融系統(tǒng)之外，目前電力系統(tǒng)、大數(shù)據(jù)互聯(lián)網(wǎng)企業(yè)都對加入京滬干線很有興趣，正在談。電力系統(tǒng)和金融系統(tǒng)都提出希望建更多干線，所以我們覺得有必要在京滬干線的基礎(chǔ)上拓展更多干線。當(dāng)然，任何一條干線的建設(shè)都是需要在國家的戰(zhàn)略安排下，通過反復(fù)論證穩(wěn)步推進(jìn)的。

量子密鑰不是必須要成為一個(gè)獨(dú)立的體系，在應(yīng)用上既可以和經(jīng)典密碼的技術(shù)互相取長補(bǔ)短，跟光纖激光通信也可以很自然地融合。借著國家光纖布網(wǎng)的升級擴(kuò)張機(jī)會(huì)，就可以一起搞。所以，傳統(tǒng)行業(yè)完全用不著恐懼與排斥，應(yīng)該把這看作一個(gè)機(jī)會(huì)而不是威脅。

隨著波分復(fù)用等技術(shù)的成熟和設(shè)備的小型化、集成化，以后的干線建設(shè)成本可望大幅度下降。在國家的通盤部署下，標(biāo)準(zhǔn)委、銀監(jiān)會(huì)等相關(guān)部門應(yīng)該為量子保密通信制定技術(shù)標(biāo)準(zhǔn)、行業(yè)規(guī)范。

總之，量子保密通信一方面要做好前沿應(yīng)用基礎(chǔ)研究，一方面要認(rèn)真根據(jù)國家戰(zhàn)略和用戶日益迫切的現(xiàn)實(shí)需求穩(wěn)步推進(jìn)工程應(yīng)用。”

我不揣淺陋，也在這里談?wù)剬こ痰囊恍├斫狻?

國家算賬的方式，跟個(gè)人是不同的。對個(gè)人來說，錢花出去就沒了。對國家來說，錢花出去并沒有消失，仍然在自己的經(jīng)濟(jì)體系里，真正重要的是提升國家能力。站在國家的角度上，思維方式就會(huì)是：錢能解決的問題，為什么要冒泄密的風(fēng)險(xiǎn)？

京滬干線的投資是5.6億元，這對個(gè)人消費(fèi)而言是筆巨款，對國家工程來說卻不算大錢。修一公里地鐵，投資就在幾億元的量級。軍工單位進(jìn)口一個(gè)小小的芯片，一輛豪華汽車的錢就出去了。高鐵在磁懸浮和輪軌兩種方案之間切換，做過許多實(shí)驗(yàn)，也是花錢如流水。量子密碼術(shù)針對的信息安全問題如此重要，國家如果不搞，才是難以理解的。

以上是一些一般性的思考。具體到量子信息這個(gè)學(xué)科，還有一點(diǎn)有趣的是，量子密碼術(shù)以至整個(gè)量子信息，在很大程度上就是工程。因?yàn)檫@個(gè)學(xué)科最明顯的目的，就是利用量子力學(xué)的特性，做到以前做不到的事。這跟物理學(xué)、化學(xué)、生物學(xué)等傳統(tǒng)的學(xué)科有顯著區(qū)別，在那些學(xué)科里無實(shí)用目標(biāo)的自由探索占的分量要大得多。

量子密碼術(shù)由于不需要用量子糾纏，技術(shù)難度在量子信息中相對而言最低，所以發(fā)展得最快，已經(jīng)接近了工程實(shí)用的階段。在工程建設(shè)和應(yīng)用中，會(huì)出現(xiàn)很多科研預(yù)料不到的問題。發(fā)現(xiàn)和解決問題，又可以促進(jìn)科研發(fā)展。在這種情況下，即使有心停下工程只做基礎(chǔ)研究，又怎么可能做到呢？這就像讓天文學(xué)家不造望遠(yuǎn)鏡，只研究理論一樣。停止工程的結(jié)果，只會(huì)是基礎(chǔ)研究也停頓。

現(xiàn)在關(guān)于量子通信的輿論經(jīng)常給人一個(gè)錯(cuò)覺，好像世界上只有中國在大力發(fā)展這個(gè)領(lǐng)域，為全人類當(dāng)小白鼠。事實(shí)上，在中國國內(nèi)爭論不休的同時(shí)，其他國家并沒有閑著。例如2017年8月，《自然·光子學(xué)》撰文介紹了日本、中國和德國在衛(wèi)星量子通信技術(shù)方面的進(jìn)展，標(biāo)題就叫做《量子空間競賽愈演愈熱》（“Quantum space race heats up”, Nature Photonics, 11, 456 - 458）。中國科學(xué)家竭盡全力，才在量子通信領(lǐng)域后來居上。如果因?yàn)槿藶榈母蓴_，把領(lǐng)先位置拱手讓人，那將是自毀長城性質(zhì)的失誤，令有志之士為之氣結(jié)。

真正應(yīng)該抑制的是什么？

以上所有這些，當(dāng)然不是說對量子通信的任何正面宣傳都是正確的，也不是說任何地方都應(yīng)該用量子通信，更不是說任何自稱量子的企業(yè)都具有真正的技術(shù)力量。實(shí)事求是才是最高的原則。

某公司對科學(xué)家進(jìn)行人身威脅的事件，是引起徐老師憂慮的直接原因。廣而言之，隨著量子概念在媒體上的爆熱，出現(xiàn)了一批碰瓷李逵的李鬼。由于理解量子科技所需的知識水平超出了一般公眾的程度，所以許多人感到迷惑。其實(shí)在專業(yè)人士看來，李逵和李鬼的區(qū)別是十分明顯的。

對于投資者以及潛在的用戶而言，我的建議是：看清楚量子密碼術(shù)的技術(shù)進(jìn)步是哪些科研團(tuán)隊(duì)做出的，他們是哪些企業(yè)的技術(shù)支撐，同時(shí)看清楚哪些企業(yè)只是買設(shè)備和做資本運(yùn)作、輿論炒作的，自己沒有技術(shù)力量。只有在精準(zhǔn)識別的基礎(chǔ)上，才能做出明智的判斷。

在輿論場中，量子通信成了一個(gè)很神奇的領(lǐng)域。一方面有吹牛炒作的（吹捧李鬼），另一面也有完全指為騙局的（打擊李逵）。李逵不禁要問：為什么受傷的總是我？兩邊的非理性程度都很高，而且都有大量的受眾。如此“盛況”之下，真正的科普被擠在中間，成了一條很窄的路。

在這種情況下，一線工作者和專業(yè)人士站出來科普，向公眾提供正確的信息，提高公眾的科學(xué)素養(yǎng)，就更加有必要了?；貧w科技本質(zhì)，抑制資本和媒體炒作，量子通信行業(yè)才能健康發(fā)展。

附注：

此文在草就后請徐令予老師審閱，徐老師的評論是：

這是篇很好的科普文章。文章略長了點(diǎn)，來不及全文仔細(xì)閱讀，總體來說沒有明顯錯(cuò)誤。雖然某些結(jié)論不能認(rèn)同，但這些都無關(guān)緊要，只要實(shí)事求是，讓大眾對量子密碼通信有個(gè)比較正確完整的認(rèn)識，壓縮資本炒作的空間，就可以了。這才是我寫作的真正本意。有關(guān)量子密碼通信的爭論不是你我之間的意氣之爭，而是科學(xué)精神與邪惡欺騙的斗爭，在與迷信欺騙的斗爭中我們倆始終是一條戰(zhàn)線的。

致謝：

感謝中國科學(xué)技術(shù)大學(xué)合肥微尺度物質(zhì)科學(xué)國家實(shí)驗(yàn)室張強(qiáng)教授、張文卓博士、清華大學(xué)物理系王向斌教授、美國新墨西哥大學(xué)數(shù)學(xué)與統(tǒng)計(jì)系黃宏年博士以及亞洲視覺科技有限公司研發(fā)總監(jiān)、科技與戰(zhàn)略風(fēng)云學(xué)會(huì)成員陳經(jīng)、著名科普作家“奧卡姆剃刀”等人在科學(xué)與工程等方面的指教與討論，感謝美國加州大學(xué)洛杉磯分校物理系徐令予老師的熱心探討與誠懇交流。

（本文原載“中國科普博覽”微信公眾號，作者授權(quán)觀察者網(wǎng)轉(zhuǎn)載）