徐令予博客

量子通信技术困境之一 ：极低的成码率

                         作者：徐令予 

 “极低的成码率”、“不能兼容互联网”和“极不安全的可信中继站”是三座大山，它们是量子密钥分发技术(QKD)工程实用化难以逾越的障碍。俗话说“一山当关，万夫莫开”，过不了“QKD成码率低下”这道坎，量子通信就不可能有工程化的光明前景。

 QKD的成码率是单位时间内通信双方可以获得的有效共享密钥总位数。成码率是密钥分发的重要技术指标，它反映了密钥分发的效率，因而决定了密钥分发技术的实用性和性价比。

上图展示了目前QKD工程可以实现的成码率数据。在一百公里左右的距离上，QKD密钥成码率仅为1 Kbps，如此低下的成码率实在不忍卒睹，与现代光纤数据通信的高效率相比差得何止十万八千里。

目前光纤通信的美国标准OC-48的速率是2.5 Gbps，OC-192已达10 Gbps，40 Gbps也已商用化。2011年3月美国洛杉矶举办的2011年光纤通讯大会(OFC2011)上展示了最新的光纤传输技术。这是德国弗朗霍夫学会海因里希-赫兹研究所与丹麦技术大学研究人员合作完成的，他们在长度为29公里的单一玻璃光纤线路上创造了每秒10.2Terabit(太比特)的光纤传输速率新世界纪录，其每秒传输的数据量相当于240张DVD光盘。这个速度已经超过”科大国盾”QKD设备成码率的数亿倍！

在现代光纤通信系统中，高速的数据传输速率与蝸牛般低速的QKD成码率之间引成了严重的反差。一些“量子通信”的专家们张口闭口就是“密钥与明文等长”和“一次一密”，如果真要使用QKD并且严格按照他们这个标准对数据进行加密，那么在百公里长的光纤上传输加密数据，就必须在这根光纤边上至少再铺设上亿根光纤，并在这些光纤每两头都装上”科大国盾”的QKD设备，方有可能得到足够长的密钥位数去匹配高速的数据流。面对以上铁一般冷酷无情的数据，请问量子通信的工程价值究竟又在哪里？

5G移动通信技术近来成了热点。众所周知，5G的下载速度可达Gbps级别，这个速度是QKD成码率的近百万倍。如果用量子通信来保护5G数据通信的安全，为了达到“密钥与明文等长”和“一次一密”的要求，5G用户要下载一秒的数据，就得预先耐心等待“科大国盾”的QKD设备连续不停地工作一个月，才能产生足够长的密钥为那一秒钟的下载数据加密。其结果不是“黄花菜都凉了”，而是“黄花菜都臭了”，这样的量子通信你会用吗？

正因如此，4G、5G等移动通信技术的研发和标准制定过程中，不见“量子通信”的只字片语。在现代化高速、实时、多媒体互动通信的舞台上，蝸牛般低速的成码率使得量子通信没有任何立足之地。

QKD成码率低下是被物理原理所决定的。香农（Shannon）提出并严格证明了有限带宽有噪声信道的最大数据传输速率为R=W*㏒2(1+S/N)，对于相同的光纤，信道带宽W和噪声N基本上是固定的，因而信号强度就成了传输速率的决定因素。基于BB84协议的QKD技术是依靠单个光子传送密钥的，而传统光纤数据通讯每个脉冲的光子数至少在10的7次方以上。这就是QKD成码率远远低于数据传输率的主要原因。严格地说，QKD的成码率不能用上述的香农公式来计算，QKD密钥协商要通过光子偏振态的制备、传输、偏振态过滤、检测、偏振态的一致性核对、密钥块奇偶校验等一系列操作，这个复杂的过程会进一步降低QKD的成码率[1]。

因为QKD极低的成码率是被物理原理所决定的，QKD成码率与光纤数据通信速率的差距在可预见的将来只会继续扩大。并且还有必要指出，量子通信工程的推动者们有意或无意中一直隐瞒了一个非常重要的事实：QKD成码率与QKD的安全性和通信距离密切有关。换言之，提高QKD成码率必然要付出安全性降低和通信距离缩短的高昂代价，QKD成码率在可预见的将来都难有改善的空间。这里需要再强调一遍：QKD极低的成码率是被物理原理所决定的，靠工程技术很难发生实质性的改变。

Horace P. Yuen（美国西北大学电子和物理系教授，1996年获得国际量子通信奖，2008年他又获得了IEEE光子学会的量子电子奖。）是量子通信安全领域国际上公认的学术权威，他对QKD安全性发表了一系列重量级论文，受到了国际上不少同行的支持。我与他常有书信往来，在最近给我的一封电邮中他也表达了如下的观点[2]。

“然而，QKD存在两个固有的局限性在许多情况下被忽视了。首先，QKD受制于单光子源，与光纤通讯FOC的光源每个脉冲10^7个光子数完全不可比较。其次，QKD信号不能通过任何会破坏单光子量子特性的放大器。因此，QKD无法部署用于商业用途，其密钥成码率要低许多个数量级，而且还需在线路上布置中继站，这些增加的硬件和中继站会带来安全和信任问题。 相比之下，EDFA放大器在长距离FOC线路中每80公里使用一次，不需要中继器，包括从美国到东亚的海底光纤电缆都是这样做的。”

密钥成码率会严重影响密钥分发技术的应用前景，为了把这个问题说清楚，有必要对密码学作些科普。在传统密码系统中，按照密钥的特征不同，可以分为对称密码与非对称密码(也称公钥密码)。而按照加密方式的不同，又可以分为流加密和分组加密[3]。

分组加密又称块加密。当加密明文时，先把明文变成二进制序列，然后将其变成若干个固定长度的组，不足位用0补全，然后逐个分组依次进行加密操作。分组加密是最古老也是最为人们熟知的加密方式，本文对此就不再细述。

流加密(Stream cipher)，又译为序列加密，这是一种对称加密算法，加密和解密双方使用相同伪随机加密数据流（pseudo-random stream）作为密钥。明文称为明文流，以序列的方式表示。加密过程所需要的密钥流由种子密钥启动密钥流生成器产生。然后利用加密算法把明文流和密钥流进行加密操作，产生密文流。工程实践中数据通常逐位作异或(xor)操作加密。解密过程是使用共享的种子密钥通过密钥流生成器得到相同的密钥流，然后以此对密文流逐位作异或操作得到明文流。

在密码系统中，流加密才是真正意义上的“密钥与明文等长”和“一次一密OTP(One-Time Pad)”的加密技术，所以也是最有资格声称逼近香农信息级理论安全(即无条件安全)的加密技术。流加密的价值不仅体现在安全性能上，流加密技术更是保护多媒体实时互动传输的安全利器，现代通信安全离不开流加密。

在网络上传输音频/视频(A/V)等多媒体信息，主要有“下载”和“流式传输”两种方案。由于A/V文件一般体量都很大，下载方式必然要求客户端有极大的存储容量，同时由于网络带宽的限制，文件全部下载常常要花数分钟甚至数小时，这种处理方法延迟时间太长，所以不合适现代的交互式多媒体通信。“流式传输”时，A/V文件由服务器向客户端连续、实时传送，用户不必等到整个文件下载完毕，只需经过短暂启动延时后即可进行播放。当A/V文件在客户端播放时，文件的剩余部分将由后台作业从服务器继续下载。流式传输不仅使启动延时成十倍、百倍地缩短，而且不需要太大的缓存容量。

保护流式传输安全的最佳方案就是流加密。流式传输中的多媒体文件生成明文流，明文流逐位被密钥流加密后生成密文流，密文流实时连续送达客户端，客户端的密钥流对密文流逐位解密后恢复为实时连续的多媒体文件。流式传输与流加密配合默契，它们就是天生的一对。

为了与现代多媒体高速实时流式传输相匹配，相应的流加密必然要求密钥分发技术具有稳定高速的成码率。QKD不仅密钥成码率太低，而且无法连续稳定生成高速的密钥流，因此QKD这种低效能技术在现代多媒体通信领域是毫无用武之地的。

如果成码率低下的量子密钥分发技术非要呈能作秀，就只能放弃“密钥与明文等长”和“一次一密”的OTP(One-Time Pad)”加密方案，那么釆用传统对称加密算法就成了唯一无奈的选择。众所周知，信息安全是遵循木桶原则的，使用QKD加上传统密码算法的总体安全性就不可能高于传统密码系统，那么费大劲建设量子通信干线工程意义究竟又何在？而且由于QKD成码率太低，密钥必须大量多次复用，必然导致这种混合系统的安全性要低于传统密码系统。

在现代高速率、低延迟通信时代，超低成码率的量子密钥分发技术没有任何切入口，是不可能有应用前景的。更为悲剧的是，QKD提供无条件通信安全有一个必要条件，那就是必须釆用“密钥与明文等长”和“一次一密”的OTP加密方案。但是超低的成码率使得釆用OTP加密方案事实上根本行不通，所以QKD承诺的无条件安全性就是一张空头支票。这个世界上有多种密码技术，它们都可以用OTP方案加强自身安全性，唯独量子通信没有这个资格，因为它的成码率实在太低而且未来改善的空间极其有限，量子通信压根就没有能力采用OTP方案。请宣传量子通信的某些人注意了，吹什么都可以，千万不要再夸夸其谈什么“一次一密”和“无条件安全”了，因为这听上去更像是XXX想吃天鹅肉。

[1] QKD uses one photon (or less) per pulse. One cannot put many single photon pulses on, say, a nsec interval because much shorter pulses necessarily have many photons and can't be attenuated to become near single photon in practice, although in principle it can be. However, ordinary FOC can use short pulses already as you know, so the low QKD signal level cannot be rectified when comparing to usual FOC. Also single photon detectors can hardly work at nsecrate, not to say higher rate. Thus the limits on KGR are irreparable both fundamentally and practically. In particular, there is nobody can dream of actually generating psec single-photon source or psec single-photon detectors.

[2]However, there are two intrinsic limitations to QKD that have not been mentioned in most contexts. First, QKD is limited to single-photon source which may be compared to the 10^7 photons from a FOC source (per pulse). Second, QKD signal cannot go through any amplifier which would destroy the quantum characteristics of the single photon used for security. Hence there is no way QKD would be deployed for commercial use with its many orders of magnitude lower data rate and repeater spacing needed, apart from its different hardware and repeater trust problems. In comparison, EDFA amplifier is used every 80 km in a long distance FOC line including the undersea fiber cables from the US to East Asia with no repeater. 

[3] 非对称密码只能使用分组加密方式。