量子加密惊现马脚？请媒体提高常识水平，不要乱搞大新闻 | 袁岚峰

       [好文分享：www.ii77.com]

2019年3月中旬，一会儿有很多人来问我：据说量子加密惊现马脚，是怎么回事？

他们的问题来自一篇文章《量子加密惊现马脚：上海交大团队击穿“最强加密之盾”，实验成功率竟高达60%！》，这篇文章的卖点是……好吧，已经在题目上了。这篇文章3月12日发在有名的科技自媒体“DeepTech深科技”上，作者是林宗辉。

我马上调研了一番。结论是：

这篇文章纯粹是题目党啊！作者压根不知道本身在说什么啊！

下面，我先来节减地回覆几个最常见的问题，然后再具体注释。

问：量子暗码不是号称绝对平安吗？怎么会被破解？这是立了个flag被打脸了吗？牛皮吹爆了吗？

答：平时说的破解量子暗码和破解传统暗码，指的是分歧层面的事情。

传统暗码的破解，指的是用数学方式破解。

量子暗码是弗成能用数学方式破解的，要窃密只能用物理方式冲击设备。所谓破解量子暗码，就是指用某种方式冲击设备，比如《偷天陷阱》之类的盗宝片子。跟数学手段比拟，这相当于作弊。

《偷天陷阱》

你经常会听到人们说量子暗码术具有绝对平安性，或许无前提平安性，或许完美平安性，或许信息论平安性等等，这些说法指的就是上面的意思：弗成能用数学破解。也就是说，若是你的设备是靠得住的，那么你绝对不会泄密。这是一个获得数学证实的究竟，是一个定理。

而若是有人能给你的设备捣鬼，那么他当然有或者偷到你的信息，但这跟绝对平安性并不矛盾。你应该如许懂得：别人只能经由入侵你的设备来窃密，岂不正解说了这种保密方式的平安性？

实际上，即使是物理冲击，也有好多是量子暗码术已经可以防住的。也就是说，即使你作弊，我也不见得怕。用游戏的说话来表述，就是：量子暗码的数学抗性是100%，物理抗性还没有达到100%，但也已经相当高了。

是以，量子暗码术的厉害之处，能够用如许一句话来透露：

我许可你作弊！

问：深科技这篇文章介绍的，事实是什么？

答：是一种对量子暗码设备新的物理冲击手段，叫做“注入锁定”（injection locking）。

问：这种物理冲击方式，破解量子暗码术了吗？

答：其实原始论文说的很清楚：他们是本身搭了一个原型的量子暗码光路，然后用注入锁定偷到了信息。同时他们指出，用一个常见的器件“光隔离器”（optical isolator），就能防止注入锁定的冲击。

如今的量子通信设备，都装了光隔离器。是以，这项工作比如敷陈人人：若是你的电脑没有装杀毒软件，我就能劫持你的电脑。这是完全准确的，不外人人已经装了杀毒软件。

问：中国的量子通信干线“京沪干线”有没有风险？要不要为此改装设备，增加成本？

答：上面已经说了，如今的量子通信设备已经能抵当这种冲击。所以京沪干线没有受到影响，不会为此多花钱。

问：既然量子暗码术也有或者被破解，那么基于数学难题的暗码术是不是更好呢？

答：这个问题的要害，一句话就能点破：传统暗码术的设备，岂非不会受到物理冲击吗？

我的同伙、通信专家“奥卡姆剃刀”指出：

从古到今，经由这种旁路冲击窃密的十分常见，你要不要把这看作传统暗码术被破解呢？

由此可见，量子暗码术面临的威胁只来自物理，传统暗码术面临的威胁来自数学加物理。是以，前者显然优于后者。

若是你只想知道根基结论，那么上面这些已经充沛了。若是你还想认识更多，那么就需要引出整篇文章了。

一、根基配景

深科技这篇题目党的文章，本意是要报道上海交通大学物理与天文学院稀奇研究员金贤敏研究组的一篇论文。这篇论文是用英文写的，题目叫做《用注入锁定破解量子密钥分发》（Hacking Quantum Key Distribution via Injection Locking），2019年2月27日发布在学术预印本..arXiv上，2月28日稍加修订后发布了第二版。

什么叫预印本？预印本就是没有经由同业评审的文章稿件。学术期刊上的论文，都是要经由同业评审后才能揭橥的，这是期刊公信力的基本。越有名的期刊，评审的尺度越高，过审越不轻易，所以人人听到一篇文章发在像《天然》（Nature）、《科学》（Science）如许的顶级期刊上，才会感觉十分嵬峨上。

不外，审稿或者会需要很长时间。若是你只看已经揭橥出来的文章，或许会错过一些有趣的最新进展。是以，学术配合体搭建了像arXiv如许的预印本..，供人人把本身尚未揭橥的文稿发上来交流。预印本的优点是快，不足天然就是质量缺乏包管，公信力跟期刊文章弗成视同一律。

金贤敏研究组的这篇文稿，能够在这个链接（https://arxiv.org/abs/1902.10423）下载到，只有7页。我细心读了这篇文稿，包罗它的两个版本，感受除了一些手艺细节之外，根基上懂得了它的意思。

有名的科技媒体“麻省理工学院手艺谈论”（MIT technology review）有一个栏目，是专门发来自arXiv的手艺进展的。他们注重到了这篇文稿，于是写了一篇新闻《有一种破解量子暗码术的新方式》（There’s a new way to break quantum cryptography）（https://www.technologyreview.com/s/613079/theres-a-new-way-to-break-quantum-cryptography/）。这篇新闻就已经不太专业了，有不少貌同实异的错误。

然后，深科技的作者把MIT手艺谈论的这篇新闻翻译成了中文，还加上了一些添枝接叶的谈论，这就是引起热议的那篇题目党文章（量子加密惊现马脚：上海交大团队击穿“最强加密之盾”，实验成功率竟高达60%！）。这篇文章中的错误变得更多，一些最根基的术语都翻译错了。

然后，看到很多媒体在错误的根蒂上热议此事，很多群众的节奏被带歪，相关的科学家只好出来发了两个声明。一个声明来自量子卫星和京沪干线的首席科学家潘建伟院士以及他的合作者，题目叫做《潘建伟等科学家关于量子保密通信实际平安性的商议》（潘建伟等科学家关于量子保密通信实际平安性的商议 | 墨子沙龙）。另一个声明来自arXiv文稿的作者金贤敏研究组，题目叫做《冲击是为了让量子暗码加倍平安》（冲击是为了让量子暗码加倍平安 | 墨子沙龙）。这攻防双方给出的大图景是一般的，就是我在前面那些问答中注释的。

在我看来，这两个声明已经说得充沛清楚了，完全解答了相关的科学问题。不外，大多数网民显然没有看懂这两个布满术语的声明。在我的微信公家号“风云之声”的留言中，大部门说的都是雷同这种：每个字都熟悉，连起来就不知道是什么意思了……

这真是令人很遗憾，科学家的严谨声明，流传力远不如胡编乱造的自媒体文章。不外，有一点信息我相信人人一听就能懂得：金贤敏跟潘建伟是什么关系？

若是你做一下调研，马上就能知道：

金贤敏就是潘建伟的学生啊！

上海交通大学物理与天文学院金贤..页

你看，上海交通大学物理与天文学院金贤敏的主页（http://www.physics.sjtu.edu.cn/xianmin.jin）上写得清清楚楚：2003年起师从潘建伟传授，获中国科学手艺大学博士学位。所以，他也是我的科巨匠弟。

我估量金师弟比来被媒体搞得很郁闷，一个正常的科学研究被歪曲得不成模样，甚至拖累了本身的导师，这都什么破事儿啊。

在此时代，传统媒体也采访了其他一些专业人士。例如《科技日报》3月16日的报道《量子加密惊现马脚？业界大咖纷纷回应！再来听听量子黑客怎么说…》（http://view.inews.qq.com/a/20190316A0973B00），采访了我的科大同事、中科院量子信息重点实验室韩正甫传授以及正在科大接见的俄罗斯量子中心研究员瓦蒂姆·马卡洛夫（Vadim Makarov）。他们都指出，那篇撒布甚广的自媒体报道（量子加密惊现马脚：上海交大团队击穿“最强加密之盾”，实验成功率竟高达60%！）就是为了吸引眼球，这种冲击对如今的量子通信设备并不组成威胁。

瓦蒂姆·马卡洛夫

顺便说一句，马卡洛夫是一位国际有名的“量子黑客”（这潇洒的大胡子的确很有黑客的感受……）。他做了好多冲击量子暗码系统的工作，在科学期刊上揭橥了好多论文，被引用次数达到了3500。

马卡洛夫透露，量子黑客们将所有发现的平安破绽悉数以科学论文的形式公开，与量子暗码系统构建者慎密合作，配合鞭策了实际系统的平安性。从这种意义上来说，量子黑客肩负着特别使命，已经成为自力于量子暗码设备生产商和用户的“第三方评估者”，并在量子暗码系统尺度化的工作中施展主要感化。

经常能够看到有人反攻量子暗码没有经由实践磨练，要求搞红蓝军匹敌。如今你领略了吧，这个范畴的研究者正本就在搞红蓝军匹敌！

其实自媒体并不是全都常识水平低下，开局一张图，内容端赖编，也有一些相当专业的。3月19日，风云之声转发了“量子客Qtumist”的一篇文章《量子黑客的独白：自媒体诡辞欺世，“量子加密”被“惊现马脚”，我们需要底线！》（量子黑客的独白：自媒体诡辞欺世，“量子加密”被“惊现马脚”，我们需要底线！）。这篇文章的专业水平就相当高。不外，从读者留言来看，大多数人只是看领略了此文的立场，即气愤地反攻题目党，照样很难看领略此文的科学内容。

下面，我就来向人人注释一下这里的科学道理。不外，首先要打个预防针，再好的科普也弗成能让你真正懂得深奥的科学内容，博士寒窗吃力读十几年不是白读的。读者万万不要有一种幻觉，认为本身看几篇微信文章就能把握量子信息这种前沿科技了，甚至就能求全专家是骗子了。

我在这么一篇短文中供应给你的，弗成能是手艺性细节，最多只能是量子暗码这个范畴的大图景。即使仅仅是懂得大图景，也是需要读者支付可观的起劲卖力去进修的，没有支付就没有收获。

有了这个共识，咱们才能往下进行。不然有些人或者会赖在我身上，他们会说：你说的我都看不懂，可见你说的都是错的！不要笑，我真的见过这种人。在感慨“活久见”之余，我只好先加上这一段根基解说，让人人先有个准确的立场。

是以，在本文中，若是你有什么处所感应不领略，这是完全正常的。我写过一篇4万字的文章《你完全能够懂得量子信息》，你若是想认识更多的细节，迎接去看这篇长文。风云之声把《你完全能够懂得量子信息》分成了一系列短文，你进入风云之声的页面，点一级菜单“科技”，再点二级菜单“量子科普”就能看到。

风云之声的页面菜单

此外，我还写过一篇“短”文，“只有”1万7千字，叫做《量子保密通信好与坏？别把“李鬼”当“李逵”！》（量子保密通信好与坏？别把“李鬼”当“李逵”！ | 袁岚峰），也迎接人人去阅读。

因为有这些对照具体的文章在前，此次我就跳着说了，只注释一个大框架。

二、传统暗码术

暗码术的根基目的，是为认识决一个问题：若何在不平安的信道上，平安地传输信息？

回覆就是，通信双方要隐藏一些信息，在不平安的信道上只传送密文，用这些隐藏信息把密文还原成明文。这些隐藏信息就叫做密钥，英文是key。

令人吐血的是，深科技那篇题目党文章中（量子加密惊现马脚：上海交大团队击穿“最强加密之盾”，实验成功率竟高达60%！），连密钥这个词都翻译错了，写成了“键盘”的“键”。这真是如假包换的——键盘侠！

深科技的题目党文章中把“密钥”翻译成“键”

量子保密通信的专业名称叫做量子密钥分发（quantum key distribution），此文也非常荒唐地翻译成了“量子键分布”。加倍离谱的是，统一句中后背的“量子力学”（quantum mechanics），居然被翻译成了“量子机械”！

深科技的题目党文章中把“量子密钥分发”翻译成“量子键分布”，把“量子力学”翻译成“量子机械”

吐完血之后，让我们持续进修。所有的暗码术，都包含两个元素：密钥和算法。

举个例子，一个非常简洁的加密方式，算法是“在英文字母表上进步x步”，密钥就是x这个数。若是取x = 1，明文的“fly at once”（立刻起飞）就会酿成密文的“gmz bu podf”。当然，这么简洁的暗码非常轻易破解，在实际中是不会用的。

如今的绝大多数加密方式，都是基于某种数学问题的单向难题性。也就是说，一个问题沿着正偏向很轻易，你能够用它来加密，但逆偏向就很难题，导致破解很难题。

举个例子，如今最常用的暗码系统之一叫做RSA，这个名字是三位发现者李维斯特（Ronald Linn Rivest）、沙米尔（Adi Shamir）和阿德曼（Leonard Adleman）的姓氏首字母缩写。RSA暗码系统用到的数学难题叫做因数分化（factorization），也就是说，找到两个大的质数，把它们乘起来获得一个合数，是很轻易的，但给你一个大的合数，把它分化成两个质因数，是很难题的。

RSA暗码系统的三位发现者

雷同的暗码系统，还有椭圆曲线暗码等等，有大量的暗码学家在这个范畴里耕作。我对这些功效都布满敬意，它们的确有非常高的智力含量。若是让我去解决这些数学难题，我一定是不会的。

然则，暗码学家面临的敌手并不是像我如许的通俗人，而是全世界最伶俐的数学家，大多数情形下就是其他暗码学家。

例如，较量机科学的创始人之一、英国数学家阿兰·图灵（Alan Mathison Turing，1912 - 1954），在二战时代列入了破译德国暗码系统“奇谜”（ENIGMA）的工作，做出了伟大进献。

图灵

实际上，在英国人之前，波兰暗码学家马里安·瑞杰斯基（Marian Adam Rejewski，1905 - 1980）等人就破解了早期的奇谜系统。在1939年9月1日德国入侵波兰之前，他们把研究功效敷陈了英国和法国，为图灵等人的工作供应了根蒂。令人遗憾的是，他们的名声在很大水平上被湮没了。收集上经常见到对波兰的嘲讽，但我们应该知晓和尊敬波兰人的成就。

瑞杰斯基

奇谜是一个非常复杂而精巧的暗码系统，其时很多人认为它是弗成破解的。但实际上，在几年之内就破解了，这成了德国败亡的一个主要原因。

奇谜机械

二战竣事后，英国把缴获的几千台奇谜机送给了多数个前殖民地国度。这些国度仍然认为奇谜非常平安，于是英国在很长时间内轻松解译了他们的机要通信！

再来看一个近年的例子。中国暗码学家王小云院士，在2004年和2005年破解了普遍应用于较量机平安系统的MD5和SHA-1两大算法，引起了国际惊动。

王小云

为什么很多曾经被认为牢弗成破的暗码系统，最终都被破解了呢？有一个深刻的原因。

这些算法的根蒂，都是某些单向难题的数学问题。但在数学上，任何一个实际在用的问题都没有被证实是单向难题的。实际上，就连单向难题的数学问题是否存在，我们都还不知道。

是以，我们如今对数学暗码的决心只能是基于经验，即这个问题看起来很难题，我不知道怎么解，到今朝为止也没见人解出来。但这显然不是个真正靠得住的来由，你怎么知道别人解不出来？你怎么知道未来的人解不出来？

更进一步想一想，你的仇敌若是破解了你的暗码，他会敷陈你吗？二战时代，友邦就成功地隐瞒了破解德国和..暗码的事实，为此甚至不吝让一些军队去牺牲，让他们认为本身的暗码还有效。

是以，若是你说某种暗码从来没见人破解过，可见谁也破解不了，这话对于有见识的人来说是很好笑的，完满是低估了暗码学的特别性。

我在一本讲暗码学汗青的书上见过一句很有趣的话：“这门研究保密的科学自己就是被保密的科学。”（西蒙·辛格《码书》，刘燕芬译，江西人民出书社2018年3月第一版，作者序第9页）这话的意思是，暗码学的好多进展是不会对外公开的。

《码书》

例如，RSA暗码是两位美国粹者和一位以色列学者在七十年月发现的，但在他们之前，三位英国粹者艾利斯（James Henry Ellis，1924 - 1997）、考克斯（Clifford Christopher Cocks）和威廉森（Malcolm John Williamson）就已经发现了同样的暗码系统。也就是说，RSA暗码其实正本应该叫做ECW。

为什么ECW没有公开他们的发现呢？因为他们在英国的谍报部门工作，他们的功效都必需保密。

我们在佩服ECW的同时，也应该想一想，有几多其他国度的暗码学家在起劲破解中国的暗码？你能看到他们的功效吗？

是以，我们应该有个根基的概念：所有基于数学的暗码的平安性，都是未经证实的！未经证实的！未经证实的！

到今朝为止，独一的已经证实弗成能被数学破解的暗码，就是量子暗码。是以，量子暗码的价格是尽收眼底的。

三、量子暗码术

量子暗码术是怎么实现保密的呢？跟传统暗码术一般，也是经由算法和密钥。

实际上，量子暗码术用的算法照样个稀奇简洁的算法，简洁到一言半语就能说清楚。

任何一串信息，都能够透露成一串二进制字符，即一串0和1。对这个01字符串的每一位数字a，我们都给它一个对应的密钥k，这个k也是一个0或1的数字。凭据a和k，就能够算出对应的密文b，它也是一个0或1的数字。

对应的划定是：若是k = 0，那么b就等于a；若是k = 1，那么b就等于0和1中不等于a的那一个。也就是说，k = 0就把0酿成0，1酿成1，而k = 1就把0酿成1，1酿成0。再简洁一点说，k = 0就不变，k = 1就01交换。

这也许是你可以想到的最简洁的算法了！你或者会在文献上看到它叫做“异或”或许“模为2的加法”之类，不要被数学术语吓住，其实就是这么个简洁得不克再简洁的算法。

你或许会感应新鲜，那么多复杂的算法都保不了密，这个最简洁的算法反而能够？凭什么？

诀窍不在于算法，而在于密钥。

请注重，这里的密钥不是只有一位数字。若是只有一位数字，那当然完全没有保密结果。实际情形是，对于原文的每一位，都响应地有一位密钥。也就是说，若是原文的长度是n位，那么密钥的长度也是n位。若是原文像《红楼梦》那么长，那么密钥也需要有这么长。

《红楼梦》

这还没完。这串密钥的字符串，还必需是个随机的字符串。也就是说，每一位都是随机的0或许1，任何两位数之间，没有任何关联。

这仍然没完。这么长的密钥，还只能用一次。也就是说，你此次用n位的密钥传输了n位的原文，下次你传同样的内容，还必需从头再来，从新组织n位的密钥，万万不克把本来的密钥再用一次。这叫做“一次一密”。

这终于完了。量子暗码术中的密钥，就是知足如许三个前提的字符串：长度跟明文相等，随机，一次一密。

为什么要如许做呢？因为如许就绝对不会被数学方式破译。

为什么弗成能被破译？因为如许的一段密文，或者对应任何的一段跟它等长的明文，并且概率相等。好比说，既或者对应“来日上午向东攻击”，也或者以同样的概率对应“后世界午向西退却”，还或者以同样的概率对应“飞出地球移民宇宙”，甚至或者以同样的概率对应“玄不救非氪不改命”……

玄不救非氪不改命

对如许没有任何倾向性的密文，你能有什么法子剖析呢？完全无从脱手，因为这里基本就没有一个数学问题让你去解决。这比如真正的“大隐约于市”。

长度跟明文相等，随机，一次一密，知足这三个前提的密钥叫做“一次性便笺”（one-time pad）。是以，暗码学中一个主要的定理就是：用一次性便笺加密的密文，是绝对弗成破译的。这条定理是信息论的创始人克劳德·香农（Claude Elwood Shannon，1916 - 2001）证实的。

香农

值得注重的是，一次性便笺中的三个前提缺一弗成。无论是密钥长度小于明文，照样密钥的列位之间有关联，照样统一串密钥用了两次，都邑导致密文呈现某种构造，你的敌手就有了出力之处，就或者经由频率剖析之类的手段破解你的暗码。人人能够本身想想这个事理，作为一个课后演习。

好，如今来思虑一下：既然一次性便笺密钥已经能包管弗成破译，为什么人人不消这种方式呢？为什么还要花鼎力气成长各类各样复杂得多的暗码系统呢？

原因其实也很显着。一次性便笺密钥跟原文一般长，你怎么传输这么大量的密钥？若是你有一个平安的信道来传输密钥，那么你用这个信道直接传输原文不就行了，还要加密干什么？之所以要加密，不就是因为没有平安的信道吗？这就似乎《国产凌凌漆》里谁人“有光照才会发光的手电筒”，成了一个一本正经的见笑。

《国产凌凌漆》达文西：你拿此外一只手电筒来照它呢，它就会亮了

若是你在不平安的信道上传输密钥，那密钥被人窃取了怎么办？若是你派一个信使去传送密钥，那么若是这个信使被抓了（例如《红灯记》中的李玉和），或许哗变了（例如《红岩》中的甫志高），那损失会有何等伟大？

《红灯记》中的李玉和

《红岩》中的甫志高

在实用傍边，一次性便笺只用在少少数的场合，就是那些需要绝对平安的通信，为此不吝任何价值的处所。例如美俄总统之间的热线，就是用这种方式来防护的。

你或许会感应很失望：这种法子看似很完美，实际上反而是用得起码的啊！

别急，下面就是大回转的时刻了。

你有没有注重到，到今朝为止，我们谈的全都是作为数学方式的一次性便笺暗码术，跟量子力学还毫无关系？

量子暗码术，就是用量子力学的物理方式在通信双方发生了一次性便笺密钥。这里的要点是什么呢？是双方同时获得了密钥！没有圈外人信使在中央传输！

听起来很弗成思议，是吧？是的，这的确是非常巧妙的思惟，量子力学缔造的事业。量子暗码术的手艺含量，就是示意在这里。量子密钥的发生过程，同时就是分发过程，是以量子暗码术又有个专业名称，叫做“量子密钥分发”（quantum key distribution），就是前面说的深科技的题目党文章（量子加密惊现马脚：上海交大团队击穿“最强加密之盾”，实验成功率竟高达60%！）翻译成“量子键分布”的谁人。

量子密钥分发

有些文章把量子暗码术贬得一钱不值，说这器材不外就是传统的激光通信之类，毫无手艺含量。这些文章都是不懂装懂的人写的。你能够问问他：你有什么法子，不消信使就让通信双方共享密钥？他就抓瞎了。一个真正意义的高科技，给他们说成低科技，真是蒙昧者无畏！

量子暗码术的研究者在学术界获得过好多大奖，例如潘建伟团队不久前方才获得美国科学促进会颁布的2018年度克利夫兰奖。若是你不带私见去看，你很轻易就能看出，这个范畴当然不是浪得虚名的，是有真材实料的。

你一定想问了，量子暗码术是怎么实现无信使的密钥分发的呢？很遗憾，因为篇幅限制，在这里不克注释细节。

回忆一下前面打的预防针，再好的科普也弗成能让你真正懂得深奥的科学内容，博士寒窗吃力读十几年不是白读的。在这里，只能非常节减地注释：量子暗码术行使了量子力学中的两个道理，一个是叠加道理，另一个是测量或者导致状况突变。基于这两个道理，经由发射和领受一系列处于随机状况的单光子，来使通信双方获得一串沟通的随机字符串。这串随机字符串，就是一次性便笺密钥。

也就是说，经由一系列把持今后，双方都获得了一串随机的0和1，好比说0010111001001010101……最主要的是，双方的这个字符串完全一般。这就是最终的结果。

若是你想知道具体的把持过程和背后的物理道理，那么，迎接阅读我的文章《你完全能够懂得量子信息》。好多人看了今后，都很高兴地透露领略了哦~

有了密钥之后，干什么呢？后背就是用前面说的“异或”加密算法，用密钥把明文加密成密文，把密文发送出去。既然密文已经是弗成破译的了，这一步就不需要任何稀奇的设备，直接在传统信道上高视睨步地走就是了，仇敌截获也无妨。

一个常见的曲解，是认为最后的信息传送要经由某种量子信道。当他们知道传统信道就行的时候，就感应百思不解，甚至认为搞量子通信的都是骗子。

另一个常见的曲解，是认为密钥也要经由传统信道传输。这是绝对弗成能的，若是你要把密钥经由不平安的信道发出去，那就完全失去了保密的意义。任何暗码系统，都不会愚蠢到这种水平。

总结一下，量子暗码术真实的做法是：用量子信道发生密钥，用传统信道传送密文。

你或许想问：既然量子信道能够包管不泄密，那为什么不直接用量子信道传输信息，而只是传输密钥呢？

这是一个好问题！回覆是：这套量子力学的把持只能发生随机字符串，随机字符串的信息量是零，所以这套把持自己不克传输信息。是以，这些法子的提出者，在很长时间内想不出它有什么用，直到发现这段随机字符串能够作密钥，才发扬光大。

如今，你能够懂得量子暗码术的用处了。本来专属于美俄总统通话这种级其余平安性，如今能够在大得多的局限内实现了。同窗们感觉高兴吗？~

四、量子暗码术的攻防

几年以前，我有一次给某个系统的工作人员讲量子信息道理与手艺。当我讲到量子暗码术绝对弗成破译的时候，我正本认为他们会很愉快，没想到他们纷纷来问我一个问题：若是我们想监控某些谍报，而对方用了量子暗码，我们该怎么办？

我感应非常不测，居然还有如许的问题？！

意不料外？惊不惊喜？

我读过量子信息的一些经典教材，但上面并没有讲这个。后来我咨询了一些量子通信的一线研究者，如我的科大同事张强传授，对此才有了一些概念。

根基的框架其实很简洁。既然数学方式是弗成能破译量子暗码的，那么独一的途径当然就是物理方式，用各类手段入侵量子通信设备。

有些人在这里就出来和稀泥：你看，量子暗码也或者被破解，可见它跟传统暗码并没有素质的区别。还有人说：传统暗码有各种优点，例如成熟、廉价、快速、易于组网等等，是以量子暗码还不如传统暗码，甚至是基本没有效处。

应该若何对待这些概念呢？

其实这是一种典型的把水搅浑，掉包概念。

我们在对传统暗码的商议中，首要考虑数学破解，是因为用数学就“有或者”破解它们，而不是“只有”用数学才能破解它们。请问，用物理手段能不克破解传统暗码？当然能够。不然，你认为列国的谍报部门是干什么的？

在本文开首的FAQ中，奥卡姆剃刀就已经敷陈人人，这叫做旁路冲击，而且举了偷开秘要码和偷车的两个例子。

是以，量子暗码术和传统暗码术的对比，并不是前者的威胁只来自物理，后者的威胁只来自数学。实际的对比，应该是量子暗码术面临的威胁只来自物理，传统暗码术面临的威胁来自数学加物理！

你正本或者被数学攻破，也或者被物理攻破，如今我把数学的威胁封闭了，只剩下物理的威胁，这岂非不是一个重大的提高吗？

我们还能够做个比方。围棋选手甲，跟人分先下的胜率是90%。围棋选手乙，跟人分先下必定能赢，所以他如今都不下分先棋了，只下让子棋，下让子棋的胜率是60%。请问，你感觉哪小我的水平更高？

谜底显然是乙。若是有人因为甲字面上的胜率更高而选了甲，那他的脑子的确已经成一锅浆糊了。

棋手甲就比如传统暗码术，棋手乙比如量子暗码术，分先棋比如数学冲击，让子棋比如数学加物理的冲击。我们平时不关心甲下让子棋的示意，不是因为他下让子棋比乙厉害，而是因为他连分先都纷歧定能赢，哪里还轮获得考虑让子。

我们还能够再做一个比方。让子棋好歹照样在按照划定下棋，而物理冲击更像作弊，好比说，在棋盘上钻个洞，或许把棋盘倾斜过来，甚至拿棋盘砸人脑袋。

最后一句不是随便说说的哦。西汉时，汉景帝刘启作太子的时候，跟吴王刘濞的太子刘贤下棋。两人争执起来，刘启就拿棋盘砸刘贤，把刘贤给打死了。这事成了七国之乱的一个诱因。你看，棋盘就像《食神》中的折凳一般，也是一种了不得的兵器啊！

《食神》：好折凳！折凳的奇妙之处，是能够藏在民居之中，顺手可得，还能够坐着它来隐藏杀机，就算被警察抓了也告不了你，真不愧为七种兵器之首！

如许看起来，你就更能懂得棋手乙的厉害之处了。面临各种匪夷所思的作弊手段，他竟然照样经常能赢！

当然，比方只是个比方。我们需要强调一点，这里说的“赢”，是指保住了机要，没有泄露，并不是必然要把信息发出去。仇敌能够损坏你的器件，或许一直地干扰，让你无法通信，但只要没有偷到信息，都算他输。

还有，我们商议的是窃密，而不是掳掠。用《水浒传》来作比方，我们许可的是像鼓上蚤时迁那样神不知鬼不觉地把信息偷走，而不是像黑旋风李逵那样抡起两把板斧杀上门去。也就是说，物理冲击若是被通信者发现，就算冲击者输。

这些是很合理的前提。我都许可你作弊了，比如我许可你拿着火箭筒，我却只有把小手枪，若是你简简洁单地把我轰杀就算你赢，那这游戏还有什么意义？

也就是说，——作弊也要按照根基法啊！

在以上这些框架下，我们能够来介绍量子暗码术的攻防状况了。

最轻易发生的设法是：若是被物理冲击，量子暗码术是不是就挂了？所以我们独一的出路，只能是尽量郑重点，多盯着监控？

非常惊人的是，谜底居然是“否”！

量子暗码术如今的研究前沿，就是在假定仇敌成功地进行了多数种物理冲击的前提下，我仍然可以包管信息不泄露。

例如，我能够把我的测量仪器都交给你，随你怎么去捣鬼，但我仍然有法子发现你在捣鬼，是以实时地中止生成密钥，信息也就不会泄露。这叫做“测量仪器无关的量子密钥分发”（MDI-QKD，是measurement device independent quantum key distribution的缩写），在这个范畴里中国也走活着界前列。

想想看，这是何等令人惊讶的手艺！的确似乎《倚天屠龙记》里，空见神僧的金刚不坏体神功。

空见神僧

但这还没完，研究者们还在成长“仪器无关的量子密钥分发”（DI-QKD，是device independent quantum key distribution的缩写），跟前面谁人MDI-QKD比拟，少了一个M，测量。这就更弗成思议了，我的所有仪器都交给你捣鬼，我居然都不怕，——的确是逆天啊！

今朝的成长状况是，MDI-QKD的实验已经成功了，下一步是提高成码率的问题。DI-QKD还没有完整的实验验证，因犯难度非常大，并且学术界遍及认为它的实用价格不高。比如我照样拿着把小手枪，对方却连火箭筒都不知足了，拿着个原枪弹过来了，这也太夸张了吧！固然我许可你作弊，但作弊也要按照根基法啊！

讲这些是为了让人人领略，量子暗码术的研究者是在考虑什么领域的问题。人人能够想想，对传统暗码设备若何抵当物理冲击，有如许的研究吗？没有。因为量子暗码对物理冲击的抗击能力，是有物理道理作指导向上提拔的，而传统暗码没有物理道理指导，不知该向哪里起劲。

上面讲的MDI-QKD和DI-QKD并不是这个范畴里悉数的主要功效，至少还有一个主要功效值得介绍，就是激光光源的“欺骗态和谈”（decoy-state protocol），这是用来匹敌“光子数星散冲击”（photonnumber splitting attack）的。中国理论物理学家王向斌、马雄峰和实验物理学家潘建伟等人，对欺骗态和谈有主要进献。因为篇幅所限，在这里我们不克具体注释欺骗态和谈，只能敷陈人人，这是一个非常有智力含量的功效。想认识更多的读者，能够去看我的文章《你完全能够懂得量子信息》。

光子数星散冲击

是以，用游戏的说话总结一下：量子暗码的数学抗性是100%，物理抗性还没有达到100%，但也已经相当高了。恶作剧地说，这能够叫做“魔武双修”。无论是数学抗性照样物理抗性，量子暗码都高于传统暗码。

五、金贤敏研究组的工作

认识了以上的框架，我们就能够懂得金贤敏研究组这篇arXiv文稿的工作了。这是一个正常的研究，提出了一种新的物理冲击方式，叫做“注入锁定”。

这个词是什么意思呢？就是两个振子若是耦合在一路，并且最初频率相差不远，那么它们的频率就会逐渐变得沟通。这个现象最初是荷兰物理学家、摆钟的发现者、光学的创始人之一惠更斯（Christiaan Huygens，1629 - 1695）发现的，他注重到，挂在统一块板上的两个摆会逐渐变得同步。

惠更斯

金贤敏研究组提出，用一束激光注入到量子密钥分发的光源中，试探它在什么时候发生了注入锁定，就能够知道光源在发送什么状况的光子，最终就能够窃密。

金贤敏等人搭建了一个原型的量子密钥分发系统，然后用注入锁定的方式，以60.0%的成功率偷到了密钥。

金贤敏研究组论文图1

在这个层面上，这个研究是有价格的。然则，媒体胡乱施展，把这件事描述成量子通信立了个弗成破解的flag然后被打脸，就大错特错了。

第一，量子暗码的弗成破诠释的是弗成能被数学手段破解，而不是弗成能被任何手段破解。

第二，金贤敏等人的目的，就是把量子暗码的物理抗性进一步提拔。他们的声明，题目就说得很清楚，《冲击是为了让量子暗码加倍平安》。炒作的媒体完全曲解了金贤敏等人的根基起点。

第三，金贤敏等人冲击的，是原型的、没有防护的量子密钥分发光路，不是在实用中的设备。他们在文章中就指出了，一个非常斩钉截铁的防御手段就是光隔离器。

我们来注释一下，隔离器的感化是让光只能从一个偏向经由，从反偏向经由的光会受到极大的衰减。为了按捺反射光对光路的干扰，隔离器是一种常用的器件。正向光与反向光的功率之商的常用对数乘以10，就是隔离的分贝（dB）数。例如10 dB的隔离，就意味着反向光的功率是正向光的1/10。

光隔离器

金贤敏等人在没有加隔离的情形下，测得冲击的成功率是60.0%。然后加了1 dB和3 dB的隔离，测得冲击成功率下降到了44.0%和36.1%。

但实际上，现有的商用量子通信设备中的隔离度一样是100 dB，这意味着反向光的功率是正向光的100亿分之一。用注入锁定来破解如许的系统，激光功率需要达到1千瓦。

这是个什么概念呢？我参观过生产激光器的企业，他们现场表演了激光切割金属，建造铭牌、书画等等，他们用的激光就是1千瓦的量级。也就是说，这么高功率的注入激光，已经相当于激光兵器了。你会看到设备被切割开，整个系统被毁掉，但这并不是窃密。

激光切割

我们在前面说过，我们商议的是窃密，不是掳掠。若是看到有这么强的激光在照射你的仪器，你都茫然不觉，这心得大到什么水平？

照样那句话：作弊也要按照根基法啊！

是以，金贤敏等人这篇文稿，只是供应了一种研究思路，对现有的量子暗码系统并没有组成实际威胁。相当于证实了，若是你家没装防盗门，我就很轻易破门而入。这话很准确，然则你家已经装了防盗门。

有些人急吼吼地质问，京沪干线的设备是不是要更调？增加的成本谁来出？责任谁来负？这都是没搞清楚根基状况。

还有些人借此机会，又在鼓吹量子暗码无用论。相信看完这篇文章的读者，已经领略这种说法的荒谬之处了。

再想一想，若是你是美国的决议者，看到中国成长了量子暗码，让本身的数学破解能力无用武之地，你会怎么做呢？你会不会派人去漫衍舆论说，量子暗码没有效处，忽悠中国本身把量子暗码系统废掉？

六、结语

此次事件，在科学界内部很快就形成了共识：纯粹是一场媒体常识水平低下还要博眼球，炒作出来的闹剧。

此次炒作的始作俑者MIT手艺谈论和深科技，是国表里相当有名的科技媒体，我以前也看过它们的不少好文章。此次却示意得如斯糟糕，为了搞个大新闻，去乱扯本身不懂的器材，实在令人深感遗憾。

进展这两家媒体以及所有有雷同偏差的媒体，都从中吸取教训，好好提拔编纂的专业水平。究竟，科技报道不是明星八卦，照样要以量力而行作为根基价格的。

还有一点，是想对我的一些读者说的。他们对科技新闻布满乐趣，但拿了太多大小无遗的问题来问我，一会问一句“这篇文章的这句话对纰谬”，一会问一句“那篇文章的那句话对纰谬”，甚至“这个读者谈论对纰谬”，几乎是把整篇文章连带读者谈论都复制一遍来问我了。

有热情当然很好，但我实在顾不上回覆这么多问题。更主要的是，读者同伙们应该想清楚，这不是高效率的进修方式。请不要问我那么多细节问题，因为准确的道路只有一条，错误的道路却有无限条，再贴心的FAQ也弗成能回覆完所有各类匪夷所思的问题。

真正高效的进修方式是什么？若是你真的想对一个范畴达到深入认识，就请去拿起教科书从头研读。你的方针应该和你的起劲相成家。不要指望经由问人能获得细节级其余认识，那样只能把别人累死，你也弗成能真正搞懂。

说究竟，就是要相信本身，相信本身的进修能力、懂得能力。你对科学的喜爱是竖立在你本身能懂得的根蒂上的，而不是竖立在听某个权势的根蒂上。若是这个权势不在了，岂非你就不懂科学了？

本身起劲地去进修科学，懂得科学，就是这个时代最需要的品质。我进展把这句话送给媒体的编纂，送给热心的读者，送给我们人人。

扩展阅读：

冲击是为了让量子暗码加倍平安 | 墨子沙龙

潘建伟等科学家关于量子保密通信实际平安性的商议 | 墨子沙龙

量子黑客的独白：自媒体诡辞欺世，“量子加密”被“惊现马脚”，我们需要底线！ | 匿名量子黑客

配景简介：袁岚峰，中国科学手艺大学化学博士，中国科学手艺大学合肥微标准物质科学国度研究中心副研究员，科技与计谋风云学会会长，青年科学家社会责任联盟理事，中国无神论学会理事，安徽省科学手艺协会常务委员，微博@中科大胡不归，知乎@袁岚峰（https://www.zhihu.com/people/yuan-lan-feng-8）。

责任编纂：吴啟然

申谢：感激中国科学手艺大学合肥微标准物质科学国度研究中心张强传授、陈宇翱传授、陆旭日传授、张文卓博士和清华大学物理系王向斌传授、交叉信息研究院尹璋琦博士在科学内容方面的指教。