BHLV對(duì)2的100次方這個(gè)數(shù)字，僅僅是說(shuō)它“驚人”（astonishing），沒(méi)有像徐老師這樣做這么多引申。這確實(shí)是一個(gè)非常大的數(shù)，但能不能說(shuō)量子計(jì)算機(jī)做不了這么多操作呢？這話誰(shuí)都不敢說(shuō)。至于將來(lái)算法改進(jìn)，在更短時(shí)間內(nèi)破解后量子RSA的可能性，自然也無(wú)法排除。因此，后量子RSA正如BHLV所言，提供的是“一個(gè)合理水平的具體的安全性”，還是“看起來(lái)確實(shí)提供了”，而不是能夠令理論家滿意的安全性水平，更不是完美的安全性。

如何理解后量子密碼學(xué)？

徐老師的文章中有這樣一段：

“再讓我們看看密碼學(xué)界最近的動(dòng)態(tài)，請(qǐng)先看下圖：密碼學(xué)界已經(jīng)明確把公鑰密碼系統(tǒng)分成兩大類，左列中都是目前常用的公鑰密碼，它們是‘量子可破’的，即理論上在量子計(jì)算機(jī)攻擊下是不安全的（事實(shí)上也并非如此，見(jiàn)注解[2]）。圖中右列的幾種公鑰密碼系統(tǒng)被列為‘量子不可破’，它們從原理上被證明是不可能被量子計(jì)算機(jī)破解的，因而它們又被稱為后量子時(shí)代的密碼系統(tǒng)?！?

公鑰密碼系統(tǒng)的分類

有些公鑰密碼系統(tǒng)已經(jīng)從原理上被證明是不可能被量子計(jì)算機(jī)破解的？我必須說(shuō)，這話是錯(cuò)誤的。實(shí)際上，對(duì)于任何一個(gè)公鑰密碼系統(tǒng)，人們連它不會(huì)被經(jīng)典計(jì)算機(jī)破解都還沒(méi)有證明，又怎么可能證明它不會(huì)被量子計(jì)算機(jī)破解？如果有人做出一個(gè)這樣的證明，那立刻會(huì)成為計(jì)算機(jī)科學(xué)界以至整個(gè)科學(xué)界最轟動(dòng)的消息，圖靈獎(jiǎng)什么的都不在話下。

徐老師在自己以前的文章《反對(duì)高鐵的邏輯，要用到量子通信上了？》中，同樣引用了這個(gè)圖，而在那里的敘述是：

“再讓我們看看密碼學(xué)術(shù)界的動(dòng)態(tài)，請(qǐng)先看下圖：密碼學(xué)界已經(jīng)明確把公鑰密碼系統(tǒng)分成兩大類，左列中都是目前常用的公鑰密碼，全被打入‘量子可破’的死域。

圖中右列確有幾種公鑰密碼理論方法被列為‘量子不可破’。但是請(qǐng)注意：1）它們只是目前還未被攻破，并非被證明‘量子不可破’。2）它們?nèi)繘](méi)有進(jìn)入實(shí)用階段，甚至未進(jìn)入應(yīng)用初期開(kāi)發(fā)階段，很可能最后根本沒(méi)有實(shí)用價(jià)值?！?

其實(shí)徐老師以前的這個(gè)說(shuō)法，是完全正確的！

我再來(lái)多解釋幾句。后量子（post-quantum）、量子安全（quantum-secure）或者抗量子（quantum resistant）的密碼體系，這幾個(gè)術(shù)語(yǔ)表達(dá)的都是同樣的意思：能夠抵抗量子計(jì)算機(jī)的密碼體系。這是個(gè)活躍的研究領(lǐng)域，我對(duì)這個(gè)領(lǐng)域的研究者也是十分尊敬的。不過(guò)，目前這個(gè)領(lǐng)域的成果都是這種模式：我嚴(yán)格證明問(wèn)題A的難度跟問(wèn)題B相當(dāng)，而大家普遍相信問(wèn)題B對(duì)量子計(jì)算機(jī)來(lái)說(shuō)非常困難（這只是個(gè)猜想，不是證明），所以可以相信問(wèn)題A對(duì)量子計(jì)算機(jī)也非常困難。結(jié)果是，證明了若干個(gè)猜想之間的等價(jià)性，但沒(méi)有證明任何一個(gè)猜想。因此，后量子密碼學(xué)的基本格局跟傳統(tǒng)密碼學(xué)是一樣的，都是無(wú)止境的貓捉老鼠、魔王追公主的競(jìng)賽。

金融業(yè)現(xiàn)有的密碼體制已經(jīng)足夠安全了嗎？

徐老師的文章里提到：

“那么金融行業(yè)，特別是銀行系統(tǒng)是否會(huì)享受到量子通信干線的優(yōu)越性呢？很可惜答案是否定的。量子計(jì)算機(jī)有可能破解RSA這類非對(duì)稱密鑰，而對(duì)于基于復(fù)雜邏輯運(yùn)算的對(duì)稱密鑰體制根本就沒(méi)有威脅?，F(xiàn)在所有金融行業(yè)（包括銀行）采用的都是對(duì)稱密鑰體制，這個(gè)標(biāo)準(zhǔn)在由中國(guó)人民銀行頒布的PBOC里有詳細(xì)的描述[3]。

銀行系統(tǒng)密鑰分發(fā)要用到RSA這類非對(duì)稱密鑰只有初始化的第一次，之后采用的都是對(duì)稱密鑰。其實(shí)初始化都未必會(huì)用到RSA，任何能夠安全地將初始化密鑰分發(fā)到密鑰分發(fā)管理中心的手段都可以采用，畢竟只需要做一次的事情，麻煩一些也無(wú)所謂。我估計(jì)，銀行與其它金融系統(tǒng)對(duì)量子保密通信是沒(méi)有多少興趣的，哪怕你有天大本事明天就變出一臺(tái)幾萬(wàn)Qbit的量子計(jì)算機(jī)，他們?nèi)耘f會(huì)是‘量子圍困萬(wàn)千重，我自巋然不動(dòng)’?！?

其實(shí)這個(gè)估計(jì)有點(diǎn)主觀了。京滬干線建設(shè)的基本動(dòng)機(jī)之一，就是金融部門(mén)不滿足于現(xiàn)有的密碼體系（詳細(xì)闡述見(jiàn)下一節(jié)）。

例如徐老師描述的這種體系，其安全性歸根結(jié)底依賴于最初存的那些對(duì)稱密鑰。對(duì)稱密鑰有多長(zhǎng)，能夠安全傳輸?shù)男畔⒘烤褪嵌啻?。這樣又回到信使可靠性的問(wèn)題了。如果密鑰長(zhǎng)期不換，失竊的風(fēng)險(xiǎn)就越來(lái)越大。而如果要及時(shí)更換，又頻繁地需要信使?？傊?，做到一次一密非常困難。相比之下，量子密碼術(shù)天然就是一次一密的，因?yàn)槊荑€可以等到有信息要傳輸時(shí)現(xiàn)場(chǎng)生成，這個(gè)優(yōu)越性很明顯。

這里還可以引申一下。我在講RSA的時(shí)候，經(jīng)常有人問(wèn)：如果我把所有的兩個(gè)幾千位質(zhì)數(shù)相乘的乘積存起來(lái)，不就可以破解RSA嗎？回答是：當(dāng)然可以，但那需要指數(shù)增長(zhǎng)的存儲(chǔ)量，所以在實(shí)踐上不可行。如果我們把預(yù)存大量的信息作為可行的選擇，那么這樣的破解RSA的方法也是可行的了！

工程思維是什么樣的？

徐老師在文章中以及在平時(shí)的溝通中，多次提到工程思維，認(rèn)為量子通信的基礎(chǔ)研究應(yīng)該支持，而工程建設(shè)就需要考慮需求和成本。對(duì)于這個(gè)基本原則，參與京滬干線建設(shè)的實(shí)際工作者（例如我的同事張強(qiáng)教授）和我都是完全贊同的。

有趣的是，根據(jù)同樣的原則，徐老師和我們做出了不少相反的具體判斷，例如認(rèn)為量子密碼術(shù)對(duì)金融、軍隊(duì)和政務(wù)系統(tǒng)沒(méi)有多大用處。其實(shí)，古往今來(lái)的歷史證明，幾乎任何新技術(shù)最早的應(yīng)用都是在軍事領(lǐng)域。我知道軍隊(duì)對(duì)量子密碼術(shù)很有興趣，不過(guò)由于涉密，不能在這里具體講。

我的朋友、風(fēng)云學(xué)會(huì)會(huì)員陳經(jīng)是亞洲視覺(jué)科技有限公司研發(fā)總監(jiān)，算得上資深工程師了。他的看法是：

“加密算法讓量子計(jì)算也無(wú)法破解，這很容易理解。換個(gè)更復(fù)雜的算法來(lái)加密，想出辦法不算太難。但是，在工程上，這么說(shuō)就不對(duì)了。現(xiàn)在已經(jīng)一大堆應(yīng)用，是用老的加密算法。如果要改加密算法，并不是寫(xiě)篇論文那么簡(jiǎn)單，而是要做一堆工程，要選擇技術(shù)方案。好比開(kāi)公司，一伙人賣量子密碼術(shù)，另一伙人賣后量子RSA。后量子RSA的賣點(diǎn)，顯然不如量子密碼術(shù)。賣后量子RSA的說(shuō)我這個(gè)花錢(qián)少，不可破，——也得人家信啊。徐老師認(rèn)為后量子RSA現(xiàn)在就能實(shí)現(xiàn)，量子計(jì)算機(jī)還不定要到猴年馬月，所以后量子RSA勝出，這相當(dāng)于民營(yíng)企業(yè)家圖省錢(qián)的層次?！?

我的同事中有許多是量子通信的一線工作者，據(jù)我了解，他們的看法是：

“我們和徐老師對(duì)待工程項(xiàng)目的一個(gè)基本點(diǎn)是一致的，即一定要有用戶需求。如果沒(méi)有需求，工程肯定不該上。

我們做京滬干線的一個(gè)根本初衷是，銀監(jiān)會(huì)等金融監(jiān)管機(jī)構(gòu)和工商銀行等金融單位的不少專業(yè)人士，對(duì)現(xiàn)有金融安全體系和技術(shù)水平應(yīng)對(duì)高水平攻擊的能力表示擔(dān)憂，并提出城域網(wǎng)量子通信不能滿足遠(yuǎn)距離特別是京滬兩個(gè)金融中心之間的安全數(shù)據(jù)備份和通信的需求。

于是我們和銀監(jiān)會(huì)一起申請(qǐng)發(fā)改委立項(xiàng)，先做一個(gè)應(yīng)用示范，若好用則全國(guó)推廣。我們一致的想法是，實(shí)驗(yàn)室到工程化之間需要這樣一個(gè)應(yīng)用示范項(xiàng)目，把這個(gè)項(xiàng)目做好，然后根據(jù)用戶的需求和工程的成熟度，再繼續(xù)穩(wěn)步推動(dòng)其進(jìn)步。

京滬干線項(xiàng)目不同于量子衛(wèi)星。衛(wèi)星首先是科學(xué)項(xiàng)目，所以第一目標(biāo)是發(fā)文章，目前發(fā)了兩篇Nature一篇Science，還有很多科學(xué)的實(shí)驗(yàn)在做。而京滬干線開(kāi)通之后是全面的安全測(cè)試和應(yīng)用測(cè)試，兩者做完才交付使用。畢竟是工程項(xiàng)目，所以我們做的比衛(wèi)星更加慎重和穩(wěn)健。我們對(duì)干線一直做的是內(nèi)部調(diào)試以及跟用戶溝通，跟媒體溝通得不多，這可能也是外界產(chǎn)生誤會(huì)的原因。

除了金融系統(tǒng)之外，目前電力系統(tǒng)、大數(shù)據(jù)互聯(lián)網(wǎng)企業(yè)都對(duì)加入京滬干線很有興趣，正在談。電力系統(tǒng)和金融系統(tǒng)都提出希望建更多干線，所以我們覺(jué)得有必要在京滬干線的基礎(chǔ)上拓展更多干線。當(dāng)然，任何一條干線的建設(shè)都是需要在國(guó)家的戰(zhàn)略安排下，通過(guò)反復(fù)論證穩(wěn)步推進(jìn)的。

量子密鑰不是必須要成為一個(gè)獨(dú)立的體系，在應(yīng)用上既可以和經(jīng)典密碼的技術(shù)互相取長(zhǎng)補(bǔ)短，跟光纖激光通信也可以很自然地融合。借著國(guó)家光纖布網(wǎng)的升級(jí)擴(kuò)張機(jī)會(huì)，就可以一起搞。所以，傳統(tǒng)行業(yè)完全用不著恐懼與排斥，應(yīng)該把這看作一個(gè)機(jī)會(huì)而不是威脅。

隨著波分復(fù)用等技術(shù)的成熟和設(shè)備的小型化、集成化，以后的干線建設(shè)成本可望大幅度下降。在國(guó)家的通盤(pán)部署下，標(biāo)準(zhǔn)委、銀監(jiān)會(huì)等相關(guān)部門(mén)應(yīng)該為量子保密通信制定技術(shù)標(biāo)準(zhǔn)、行業(yè)規(guī)范。

總之，量子保密通信一方面要做好前沿應(yīng)用基礎(chǔ)研究，一方面要認(rèn)真根據(jù)國(guó)家戰(zhàn)略和用戶日益迫切的現(xiàn)實(shí)需求穩(wěn)步推進(jìn)工程應(yīng)用?！?

我不揣淺陋，也在這里談?wù)剬?duì)工程的一些理解。

國(guó)家算賬的方式，跟個(gè)人是不同的。對(duì)個(gè)人來(lái)說(shuō)，錢(qián)花出去就沒(méi)了。對(duì)國(guó)家來(lái)說(shuō)，錢(qián)花出去并沒(méi)有消失，仍然在自己的經(jīng)濟(jì)體系里，真正重要的是提升國(guó)家能力。站在國(guó)家的角度上，思維方式就會(huì)是：錢(qián)能解決的問(wèn)題，為什么要冒泄密的風(fēng)險(xiǎn)？

京滬干線的投資是5.6億元，這對(duì)個(gè)人消費(fèi)而言是筆巨款，對(duì)國(guó)家工程來(lái)說(shuō)卻不算大錢(qián)。修一公里地鐵，投資就在幾億元的量級(jí)。軍工單位進(jìn)口一個(gè)小小的芯片，一輛豪華汽車的錢(qián)就出去了。高鐵在磁懸浮和輪軌兩種方案之間切換，做過(guò)許多實(shí)驗(yàn)，也是花錢(qián)如流水。量子密碼術(shù)針對(duì)的信息安全問(wèn)題如此重要，國(guó)家如果不搞，才是難以理解的。

以上是一些一般性的思考。具體到量子信息這個(gè)學(xué)科，還有一點(diǎn)有趣的是，量子密碼術(shù)以至整個(gè)量子信息，在很大程度上就是工程。因?yàn)檫@個(gè)學(xué)科最明顯的目的，就是利用量子力學(xué)的特性，做到以前做不到的事。這跟物理學(xué)、化學(xué)、生物學(xué)等傳統(tǒng)的學(xué)科有顯著區(qū)別，在那些學(xué)科里無(wú)實(shí)用目標(biāo)的自由探索占的分量要大得多。

量子密碼術(shù)由于不需要用量子糾纏，技術(shù)難度在量子信息中相對(duì)而言最低，所以發(fā)展得最快，已經(jīng)接近了工程實(shí)用的階段。在工程建設(shè)和應(yīng)用中，會(huì)出現(xiàn)很多科研預(yù)料不到的問(wèn)題。發(fā)現(xiàn)和解決問(wèn)題，又可以促進(jìn)科研發(fā)展。在這種情況下，即使有心停下工程只做基礎(chǔ)研究，又怎么可能做到呢？這就像讓天文學(xué)家不造望遠(yuǎn)鏡，只研究理論一樣。停止工程的結(jié)果，只會(huì)是基礎(chǔ)研究也停頓。

現(xiàn)在關(guān)于量子通信的輿論經(jīng)常給人一個(gè)錯(cuò)覺(jué)，好像世界上只有中國(guó)在大力發(fā)展這個(gè)領(lǐng)域，為全人類當(dāng)小白鼠。事實(shí)上，在中國(guó)國(guó)內(nèi)爭(zhēng)論不休的同時(shí)，其他國(guó)家并沒(méi)有閑著。例如2017年8月，《自然·光子學(xué)》撰文介紹了日本、中國(guó)和德國(guó)在衛(wèi)星量子通信技術(shù)方面的進(jìn)展，標(biāo)題就叫做《量子空間競(jìng)賽愈演愈熱》（“Quantum space race heats up”, Nature Photonics, 11, 456 - 458）。中國(guó)科學(xué)家竭盡全力，才在量子通信領(lǐng)域后來(lái)居上。如果因?yàn)槿藶榈母蓴_，把領(lǐng)先位置拱手讓人，那將是自毀長(zhǎng)城性質(zhì)的失誤，令有志之士為之氣結(jié)。

真正應(yīng)該抑制的是什么？

以上所有這些，當(dāng)然不是說(shuō)對(duì)量子通信的任何正面宣傳都是正確的，也不是說(shuō)任何地方都應(yīng)該用量子通信，更不是說(shuō)任何自稱量子的企業(yè)都具有真正的技術(shù)力量。實(shí)事求是才是最高的原則。

某公司對(duì)科學(xué)家進(jìn)行人身威脅的事件，是引起徐老師憂慮的直接原因。廣而言之，隨著量子概念在媒體上的爆熱，出現(xiàn)了一批碰瓷李逵的李鬼。由于理解量子科技所需的知識(shí)水平超出了一般公眾的程度，所以許多人感到迷惑。其實(shí)在專業(yè)人士看來(lái)，李逵和李鬼的區(qū)別是十分明顯的。

對(duì)于投資者以及潛在的用戶而言，我的建議是：看清楚量子密碼術(shù)的技術(shù)進(jìn)步是哪些科研團(tuán)隊(duì)做出的，他們是哪些企業(yè)的技術(shù)支撐，同時(shí)看清楚哪些企業(yè)只是買設(shè)備和做資本運(yùn)作、輿論炒作的，自己沒(méi)有技術(shù)力量。只有在精準(zhǔn)識(shí)別的基礎(chǔ)上，才能做出明智的判斷。

在輿論場(chǎng)中，量子通信成了一個(gè)很神奇的領(lǐng)域。一方面有吹牛炒作的（吹捧李鬼），另一面也有完全指為騙局的（打擊李逵）。李逵不禁要問(wèn)：為什么受傷的總是我？?jī)蛇叺姆抢硇猿潭榷己芨?，而且都有大量的受眾。如此“盛況”之下，真正的科普被擠在中間，成了一條很窄的路。

在這種情況下，一線工作者和專業(yè)人士站出來(lái)科普，向公眾提供正確的信息，提高公眾的科學(xué)素養(yǎng)，就更加有必要了?；貧w科技本質(zhì)，抑制資本和媒體炒作，量子通信行業(yè)才能健康發(fā)展。

附注：

此文在草就后請(qǐng)徐令予老師審閱，徐老師的評(píng)論是：

這是篇很好的科普文章。文章略長(zhǎng)了點(diǎn)，來(lái)不及全文仔細(xì)閱讀，總體來(lái)說(shuō)沒(méi)有明顯錯(cuò)誤。雖然某些結(jié)論不能認(rèn)同，但這些都無(wú)關(guān)緊要，只要實(shí)事求是，讓大眾對(duì)量子密碼通信有個(gè)比較正確完整的認(rèn)識(shí)，壓縮資本炒作的空間，就可以了。這才是我寫(xiě)作的真正本意。有關(guān)量子密碼通信的爭(zhēng)論不是你我之間的意氣之爭(zhēng)，而是科學(xué)精神與邪惡欺騙的斗爭(zhēng)，在與迷信欺騙的斗爭(zhēng)中我們倆始終是一條戰(zhàn)線的。

致謝：

感謝中國(guó)科學(xué)技術(shù)大學(xué)合肥微尺度物質(zhì)科學(xué)國(guó)家實(shí)驗(yàn)室張強(qiáng)教授、張文卓博士、清華大學(xué)物理系王向斌教授、美國(guó)新墨西哥大學(xué)數(shù)學(xué)與統(tǒng)計(jì)系黃宏年博士以及亞洲視覺(jué)科技有限公司研發(fā)總監(jiān)、科技與戰(zhàn)略風(fēng)云學(xué)會(huì)成員陳經(jīng)、著名科普作家“奧卡姆剃刀”等人在科學(xué)與工程等方面的指教與討論，感謝美國(guó)加州大學(xué)洛杉磯分校物理系徐令予老師的熱心探討與誠(chéng)懇交流。

（本文原載“中國(guó)科普博覽”微信公眾號(hào)，作者授權(quán)觀察者網(wǎng)轉(zhuǎn)載）