作者实名：徐令予

中国商务部官网8月14日发布了《关于印发全面深化服务贸易创新发展试点总体方案的通知》，其中公布了数字人民币试点地区。在“总体方案"中的第93条提出：将在京津冀、长三角、粤港澳大湾区及中西部具备条件的试点地区开展数字人民币试点。中国的数字人民币发行计划又往前迈了一大步。

其实从今年的5月1日起，央行数字货币DCEP(Digital Currency Electronic Payment)已经正式在苏州等地开始试点,试点单位员工其工资中的交通补贴的50%将通过央行数字货币的形式发放，数字货币已经走进现实。

今日越来越多的资讯开始以数字化的形式存储、处理和传送，这是进入信息时代的重要标志。由于现代信用货币的本质是债权、是欠条，它不是一般的等价物，它其实就是一条信息，因此信用货币的数字化是必然的趋势。数字货币就是用数字信号代表的一张欠条，央行数字货币的定位是部分替代M0，即人民币纸钞的数字化替代。

中国央行发行的数字货币DCEP将取代部分市场上流通的人民币的纸币，那么它必须和纸币一样具备匿名性、真实性、便捷性、廉价性和安全性等特征。这后三种特征不难理解，本文不作展开，讨论的重点将放在前两个特征上。

匿名性和真实性其实是相互对立的，要保证真实性，防止数字货币被复制后用于多次支付（又称“双付”问题，即复制了一份后，用于两次支付），最简单粗暴的办法就是让数字货币惟一记名，由发行人一直盯着这笔数字货币的流转，但这样就无法实现匿名性，这似乎成了不可调和的矛盾。

数字货币要求具有匿名性，不可追溯，但又得保证其真实性，不被非法复制，这是一对矛盾。同时实现匿名性、真实性，所用到的技术就是盲签，而盲签的关键又是零知识证明[1]。而支撑这些数字技术的基础就是非对称密码，又称公钥密码，由公钥密码提供的身份认证和数字签名是数字货币安全的基本保证[2]。

这里是数字货币钱包的申请与开通流程图，注意这里使用的是公钥、私钥一对密钥，这是公钥密码的标志性特征。

可以毫不夸张地说，公钥密码就是数字货币的魂和盾！中国央行加速推进数字货币，充分说明公钥密码不仅现在是安全的，而且在可预见的未来都是安全的。

无独有偶，美国私人数字美元Libra也不甘落后。2020年4月，Libra2.0 版白皮书正式发布，Libra已经向瑞士监管当局申请支付牌照。Libra大概率会在2020年10月正式上线。

世界各大央行加速推进数字货币，充分证明了公钥密码是安全的，这其实也是国际密码学界的共识。

但是某些量子物理方面的专家教授却宣称：“公钥密码的安全性无法得到证明，更可怕的是，当量子计算机进入实用阶段后，公钥密码会被轻易破解，这将导致通信系统的灾难。”这个精心策划的“公钥密码危机论”极度夸大了公钥密码中的一些问题，误导了公众和科技决策者。如果公钥密码真的如此不堪一击，那么建立在公钥密码基础上的数字货币岂不成了肥皂泡沫。

货币安全是主权安全！又有谁敢在货币安全上开玩笑。在关系国家主权安全的大是大非面前，我们究竟应该相信央行的密码学权威还是中科大的量子物理教授呢？其实中美两国高层的人门儿清，他们才不会被几个量子物理教授牵着鼻子走的。

公正地说，利用量子计算机制造公钥密码危机的始作俑者是西方的少数学者，国内的一些科研人员也只是鹦鹉学舌，他们连忽悠也缺乏创新能力。西方学者制造公钥密码危机的原因很简单，就是为量子计算机和量子通信的科学研究争取更多的经费支助。这些年来西方学术界为了科研经费不择手段地制造新闻，这已经不是个别现象。所幸这些乱象仅限制在学术界内部，影响究竟有限。但是中国某些教授竟然可以利用公钥密码危机这类学术界的忽悠拿来做工程项目，亦可谓“青出于蓝而胜于蓝”了。

同是忽悠，跨越学术界和工程界这条红线，性质完全变了。学术界中忽悠当然也不应该，但是科学研究有时也需要鼓励探索和试错，所以才有学术自由之一说。但是在工程界，没有工程必要性和可行性的严格论证，不按市场规律启动毫无经济效益的工程项目，工程推动者是要负法律责任的。

譬如，天文学界可以讨论外星人，甚至可以为寻找外星人申请研究经费。但是如果某些天文学家以外星人为理由，提出要在高铁工程沿线加添防备外星人的设备，这样的天文学家估计会被送进精神病院。

公钥密码是安全的，也根本不存在迫于眉前的危机，仓促推进量子通信(QKD)的工程化就失去了必要性。某些人为了掩盖自己的错误，为QKD工程化找借口，近来又在捣鼓“长效性安全”的伪槪念。

所谓的“长效性安全”的含义是：用公钥密码加密的信息虽然现在是安全的，但是隨着技术的发展，这些被保存起来的加密信息在未来的岁月中有可能被破解，而QKD则可以提供长效性安全。

事实证明，QKD根本不具备所谓的长效安全性，一个依靠物理原理的QKD系统更容易受到侧道攻击和全息原则的制约。这些知识比较专业，本文不作展开，感兴趣的读者可以参阅拙文：《量子通信神话之一：量子通信在理论上是无条件安全的》。其实量子通信QKD工程连眼门前的安全都难以保证又何来所谓的“长效性安全”[3]。

公钥密码难道真的只有短期安全性吗？如果公钥密码只能保证信息的短期安全，那么由此建立的数字货币还能称为货币吗？如果数字货币不能像纸币一样压在箱底几十年币值不变，请问这样的数字货币又有多少人会放心地持有呢？

众所周知，货币安全是主权安全，货币安全是长远战略安全。国家央行坚定不易地推进数字货币DCEP，就是对公钥密码长期安全的肯定。

公钥密码是安全的，并不表示公钥密码是完美无暇的，公钥密码如同所有其它技术一样，需要与时俱进不断完善。事实上，对抗量子计算机攻击的新一代公钥密码(PQC)已经取得实质性进展。很可能在央行设计的数字货币的总体框架内，己经预留了PQC的位置，在必要的时候，公钥密码通过技术升级可以有效地应对未来的安全风险。

数字货币DCEP急速前进的步伐宣告了“公钥密码危机论”的破产。当然，非要说公钥密码不堪一击、只有量子通信可以英雄救美，也不是不可以，但是应该局限在学术领域。从今以后，利用学术界中这类争议性的议题在大众媒体上哗众取宠、混淆公众视听再也不允许重现，如果为了强行推动量子通信工程，继续在公众场合和工程产业领域夸大宣传公钥密码危机、故意抹黑公钥密码，有可能以扰乱金融秩序而被问责。

最近，科学技术部令第19号（科学技术活动违规行为处理暂行规定）明确指出，对于“故意夸大研究基础、学术价值或科技成果的技术价值、社会经济效益，隐瞒技术风险，造成负面影响或财政资金损失；”的违规行为将成为重点查处对象。

中科大和科学院的某些领导歪曲公钥密码危机，故意夸大量子通信的技术价值，在严重缺乏工程可行性的条件下，隐瞒技术风险，强行推进京沪、武合、京汉、汉广等量子保密通信干线，造成严重的负面影响和国家财政资金损失。

量子通信工程时间跨度近十年、空间横越七千余公里，影响之坏危害之深仍建国后之未有。对于如此严重的工程违规事件，认真反思吸取教训可能比追责更重要。

[1]王剑|数学之美：写给大家看的数字货币原理 

https://finance.sina.com.cn/review/jcgc/2020-04-20/doc-iirczymi7282636.shtml

[2]CA 认证主要用于相对来说比较高级的机构，而 IBC 认证则是用于个人的。这里引入认证中心的原因是，当用户或者机构发起一笔 DCEP 的转账时，需要通过自己的私钥进行签名，也就是说这笔转账的合法性是通过签名来保证的。在一般意义中的 BTC、Ethereum 或者 Libra 中，私钥是用户自己创建，由自己保管，并且用户的地址是由私钥对应的公钥通过一系列运算（Hash，checksum）等得到的，这种方式的优点是资产账户和私钥是天然绑定的，你拥有了私钥也就拥有了其对应的资产。但是在 DCEP 中，由于存在监管这个特性，资产归属和私钥是分开的，也就是说央行会在用户注册了一个 DCEP 钱包后，会通过认证中心给钱包用户分配一个私钥，这个私钥用来证明是这个用户，至于这个用户是否拥有数字货币，是在登记中心来确定的。所以这里的重点是，用户私钥是央行生成的。

另外，这里简单介绍下 IBC 认证，IBC（Identity-Based Cryptograph）是基于身份标识的密码系统，还是基于非对称的秘钥体系，他与 CA 认证的最大区别就是不需要证书，而是通过用户标识例如手机号码、邮箱等作为公钥，由 IBC 认证中心根据用户标志生成对应的私钥，由于用户标志本身就是一个公钥，通过用户标志就能确认身份有效性了，从而就不用再依赖证书和证书管理系统了。当然，此时央行的公钥还有用户的私钥、证书数据就相当的重要了，需要将该数据存储在 SE 区域。

[3] 量子通信技术困境之三：极不安全的可信中继站

https://zhuanlan.zhihu.com/c_1165225519875956736