中国科学技术大学的广域量子通信研究集体出现在2019年度中国科学院杰出科技成就奖授奖建议名单中,令人难以置信。国家量子保密通信“京沪干线”开通已经二年有余,至今没有忠诚的付费用户,没有任何经济收益,整个工程陷入难以自拔的困境。中科大量子通信团队对此负有不可推卸的责任,中国科学院不究其责、反授其奖,让人百思不得其解。
中国科学院杰出科技成就奖条例(试行)列出颁奖的三条评审标准如下:
(一)在基础研究或应用基础研究中做出前人尚未发现或者尚未阐明、得到国内外同行公认的重大科学发现或重大技术发明;
(二)在关键技术创新与集成或高技术产业化中,为我国经济建设、国家安全、社会可持续发展或科学技术进步做出重大贡献并创造显著经济效益或显著社会效益;
(三)在基础性、公益性科技活动中,做出重大贡献并创造显著社会效益。
这个评审标准有三大要素:重大科学发现、重大技术发明和显著经济社会效益。对照这个评审标准,中科大量子通信团队有没有获奖的资格呢?
中国科学技术大学的广域量子通信研究集体没有作出重大的科学发现,这个结论应该毫无疑义。
中科大量子通信团队也没有什么重大技术发明。中科大量子通信团队的主要工作是研制广域量子通信实验系统和建设国家量子保密通信“京沪干线”,他们在这两个项目中使用的核心技术方案都是以BB84协议为基础的诱骗态的改进版。众所周知,BB84协议和诱骗态的原创者分别是美国和韩国的学者,中科大量子通信团队的工作只是在他人原创的协议方案上改善和提高了某些技术性能,这当然算不上重大技术发明。
那么中科大量子通信团队在量子通信产业化过程中有没有显著的经济效益或显著社会效益呢,答案依然是否定的,原因可以归结为以下三个方面:
一)量子通信工程没有实用价值;
二)量子通信工程化完全不具备可行性;
三)卫星密钥分发也无法突破“最后一公里困境”。
上述三个方面问题详细分析如下。
一)量子通信工程没有实用价值
所有已建或在建的量子通信工程都不是新的通信技术。量子通信工程与量子纠缠也毫无关系,它们其实只是利用量子偏振态为通信双方分发密钥的一种硬件方法,简称“量子密钥分发”(QKD)。量子通信工程为用户协商出密钥后,还得依赖传统密码算法进行加密解密,因为它根本就没有自己的密码算法,所以量子通信工程从来就不是一个独立完整的密码系统。把“量子密钥分发”(QKD)称为“量子密码工程”是猪鼻子里插大葱——装象,把QKD称为量子通信那更是错上加错。密码系统的关键技术是密码算法,从来就是算法为王,密钥的分发保存主要是应用层面的问题,并没有多少技术含量,这是密码学的常识。
量子通信工程用硬件分发密钥有什么用处呢?QKD分发的是“一个”对称密钥,再强调一遍:是“一个”密钥,所以QKD只能用在对称密码系统中,仅为对称密码的用户分发一个对称密钥。因为量子通信工程没有自己的密码算法,它依赖于对称密码算法,说到底,量子通信工程仅是对称密码系统中的一个子功能。
使用对称密码的用户之间要更新和分发密钥本来就没有什么问题。如果对称密码算法是安全的,那么用对称密码算法更新分发密钥也一定是安全的,另辟蹊径使用量子通信工程分发密钥纯属多余;如果对称密码算法本身是不安全的,那么建设量子通信工程为不安全的对称密码分发密钥又有何意义?由此可知,建设量子通信工程没有必要性。
事实上,在具有严格上下级关系的企事业环境中,密钥的分发、存放和管理是有专门的机构——密钥分发中心(KDC)负责的。两个终端用户是在KDC的支持和监督下使用对称密码算法取得对称密钥,而且也把身份认证等相关安全问题也一併解决了。在专用企业网环境中,量子通信工程要为对称密码作密钥分发根本没有切入口,它除了增加成本和添乱不会带来任何益处。
在互联网环境中给亿万非熟人之间分发密钥,公钥密码成了唯一的选择。公钥密码把加密解密的核心机密分解在公钥与私钥这样两个密钥中,一个可以公开,把另一个隐藏起来,公钥和私钥的密切配合使得互联网上亿万非熟人之间分发密钥成为可能。量子通信工程用硬件为通信双方只分发“一个”密钥,而不是“一对”密钥,QKD仍然是对称密码的思维与公钥密码毫不相干,它是无法为互联网亿万非熟人之间分发密钥的。而且量子通信工程为两个用户之间分发密钥时,必须在两用户之间建立一条点到点直接相连的物理通道,即然用户之间已经“熟悉”到这个程度,那么他们完全可以设定出一个初始密钥,隨后用对称密码分发更新密钥,这样做不是更方便更安全吗?
归根结底,公钥密码可以为互不相识而且空间位置不固定的用户之间交换密钥,而QKD完全无法做到这一点,认为量子通信工程这种原始落后的方式可以为互联网亿万用户分发密钥只是某些人的妄想。
量子通信工程从本质上与互联网无法融合,它对于互联网通信安全不可能有丝毫贡献;在企事业环境中QKD性能上不具备优势,价格成本又难以让用户承受。量子通信工程在现代通信的舞台上不会有寸土立足之地。
我们还必须认识到,量子通信工程只是为对称密码系统分发密钥,它最多也只能保证密钥分发的私密性。但是密码系统由密码算法和密钥两部分组成,单有密钥的私密性不足以保证密码系统的私密性。密码系统的私密性也远远不能保障通信过程(信道)的安全性。
许多人把通信私密性等同于通信的安全性。当然通信安全一定要求通信内容的私密性,但是只有通信的私密性是不足以保证通信就是安全的。通信的安全性有着比私密性更高更强的要求,它不仅要求通信双方传送的内容不能被任何第三者知道,还要确认收发双方各自的真实身份,还必须确认通信内容的完整性和不可篡改性,另外还要保证通信的稳定性和可靠性。所以通信的安全性至少应该包括通信的私密性、真实性、完整性、和可用性。在许多通信的应用场景中,通信的真实性和完整性甚至比私密性更重要。因此宣传量子通信工程可以保证通信绝对安全就是个彻头彻尾的谎言。
一个信息系统可以分为信源和信道两个方面,过去安全隐患主要在信道上,保卫信道安全的密码系统就成为了关注的焦点。但是隨着信息系统的数字化,目前信息系统的安全隐患主要发生在计算机的操作系统、中央处理器硬件、计算机内存等方面,信息系统安全的严峻挑战全都来自信源方面。信源成了保卫信息系统安全的战略前沿,密码系统的地位已经进不了前三甲[1]。
信息系统的总体安全性遵循木桶短板效应。木桶的盛水量受限于木桶的短板高度,同理,信息系统的总体安全性决定于系统中最不安全的因素。提高国家信息系统安全水平最有效的方法应该是增高短板,即把安全工作的重点放在计算机操作系统和各种硬件设备这些短板上。不惜代价增高密码系统这块长板一点也不会改善国家信息系统安全的总体态势,更何况量子通信工程也没有能力增高密码系统的这块长板。鼓吹和推动毫无实用价值的量子通信工程不只是浪费了国家的宝贵资源,它的最大危害性是干涉误导国家信息安全的整体策略。
小结一下:量子通信工程是为用户双方分发“一个”密钥的硬件技术,QKD与使用“一对”密钥的公钥密码系统毫无关系;在对称密码系统中传统的密钥分发技术安全成熟、价廉物美,釆用QKD在性能和价格上均无优势,所以量子通信工程对于密码系统没有任何实用价值。保卫现代信息系统安全的主战场在计算机的操作系统、硬件和应用软件上,不在密码系统方面;而密码系统安全的重点是密码算法上,不在密钥分发上。作为密钥分发的量子通信工程对于提高国家信息系统安全的整体态势没有实用价值。
二)量子通信工程化完全不具备可行性
QKD实用化、产业化进程中至今没有解决的要害问题可归结为以下三个方面:
1)量子通信技术困境之一:极低的成码率
QKD的成码率是单位时间内生成有效的共享密钥总位数。成码率是密钥分发最重要的技术指标,它反应了密钥分发的效率,也决定了该技术的应用范围。目前QKD在百公里距离上的成码率仅为数Kbps,而目前光纤数据通信速率可达Tbps级别,两者相差了9个数量级,也就是十亿倍!所谓绝对安全的“量子通信“又必须要求“密钥与明文等长”和“一次一密”,也就是说QKD的成码率必须不低于光纤的数据通信速率。所以蜗牛般低速的成码率使得量子通信要为现代化通信保驾护航永远只能是不切实际的幻想[2]。
2)量子通信技术困境之二:不能与互联网兼容
目前量子通信工程使用的是BB84这个“点到点”的通信协议,这种点到点的密钥分发技术要求在通信双方之间建立一条被他们独占的物理通路,这种通信方式只能使用电路交换协议(Circuit Switching)。电路交换协议与分组交换协议(Packet Switching )从基础原理上水火不容,而分组交换协议是构建现代互联网的基础。这就从根本上断绝了QKD组成现代通信网络与互联网兼容的可能性,它为互联网通信安全提供有效的服务也就无从谈起。这是京沪量子通信干线工程至今未有广泛应用的一个根本原因[3]。
3)量子通信技术困境之三:极不安全的可信中继站
京沪量子通信干线中使用了三十多个带有严重安全隐患的“可信中继站”,黑客可以利用这些中继站的计算机系统的安全漏洞发起攻击,也可以在中继站的上百个工作人员中寻找合作者,黑客通过以上手段窃取密钥比直接破解密码要容易得多。釆用QKD不仅没有提高密码系统的整体安全性,反而引入了更多原本不存在的一些安全隐患,所以京沪量子通信干线的安全性要远低于传统通信干线[4]。
目前“量子通信”的现状连工程立项的资格都不具备,因为它面临太多难以解决的技术困境。在这些技术难题中尤以“极低的成码率”、“不能与互联网兼容”和“极不安全的可信中继站”最为严重,它们就是阻碍量子通信工程建设的三座难以逾越的大山。量子通信所面临的这三大技术困境是被物理原理所决定了的,单靠工程技术的进步是不可能取得实质性改变的。为了转移视线,掩盖量子通信的三大技术困境,于是就泡制了毫无科学依据、逻辑混乱的两个神话故事:
量子通信神话之一:QKD无条件安全性可以用数学证明
“量子通信的无条件安全性是可以用数学证明的”实际上包括两句话:量子通信的物理过程可以抽象出一个数学模型,这个数学模型的无条件安全性是可以用数学证明的。把这两句话压缩成一句话,就变成了:“量子通信的无条件安全性是可以用数学证明的。”于是一个神话故事就这样产生了。
事实上到目前为止,量子通信的抽象数学模型的无条件安全的证明一直是有争议的。退一万步,即使量子通信的抽象数学模型将来被证明是无条件安全的,也不能证明量子通信真实的物理过程是无条件绝对安全的,因为数学模型不等于真实的物理过程。无论数学模型做得多完美,它只可能是真实世界的部分和近似的反映,对模型的任何分析和证明只能是真实世界特性的近似结果[5]。
量子通信神话之二:QKD可以拯救公钥密码危机
从密码学原理可知,量子通信只能为确定的“熟人”之间分发一个对称密钥,本质上它仅是对称密码中密钥分发的一种选项。公钥密码因为使用公钥、私钥两个密钥,所以才能为互联网千千万万“非熟人”之间分发密钥,并且还可以完成用户认证、数字签名等多种重要功能。而这些保证互联网通信安全的重要功能都是量子通信根本无力胜任的。即使明天量子计算机与太阳同时升起,公钥密码的天塌下来,“量子通信”是根本不顶用的,唯有丢人现眼的份[6]。
“量子通信的无条件安全性是可以用数学证明的”、“只有量子通信可以拯救公钥密码危机”是两个毫无科学根据的神话故事,“极低的成码率”、“不能与互联网兼容”和“极不安全的可信中继站”是量子通信工程无法逾越的三座大山。编造和宣传这两个虚假的神话故事目的是为了掩盖量子通信面临的实实在在难以解决的三大工程困境,虚假的神话故事与真实的工程困境是硬币的两面。量子通信面临的工程困境越是残酷真实,走入歧途的工程推动者越发需要依赖虚幻的神话去掩盖自己的窘态;神话故事越是虚假离奇,只能说明故事的编导者面对的困境太真实太严酷了,他们除了忽悠没有任何有效的对策。
三)卫星密钥分发也无法突破“最后一公里困境”
近期量子通信的宣传避而不谈京沪量子干线中的许多严重的技术问题,把关注的重点引向墨子号卫星。他们在有意或无意中误导公众,似乎有了卫星的自由空间量子密钥分发,QKD中的技术困境有所缓解,远距离量子通信就有了一点希望。其实这是狡辩的贯用手法,妄想用新的谎言去掩盖旧的谎言。
用卫星作QKD在技术上问题更多更不成熟,相比光纤的QKD,它的成码率更低,也缺失现代化组网协议,而且仍旧摆脱不了“可信中继站”的死结。我还是持一贯的宽以待人的立场,不在技术细节上纠缠,把质疑落实在无法回避的硬伤上,卫星QKD的死穴在“最后一公里困境”上。
我们先退一万步,假设卫星的QKD万无一失,在两个量子卫星通信地面站之间协商分发成功一个对称密钥,请问下一步怎么办?绝大多数的通信用户至少位于量子卫星通信地面站一公里之外,那么这个对称密钥又用什么方法送过去呢?这里无非是两种办法,一是用传统对称密码加密传送,二是用QKD的可信中继站接力传递方法。
如果使用前一种方式,那么为什么不全程使用对称密码加密传送密钥呢?用对称密码对密钥加密生成密文后,可用微波中继、海底电缆、甚至通过互联网送之天涯海角的各个角落,比起量子通信卫星传送不知要方便高效多少倍,那么发展卫星量子通信技术又有何用?为了“量子”弃传统密码而不顾,那么就只能吞下安全隐患重重的“可信中继站”这颗苦果,这种所谓的广域量子通信网络就是京沪量子通信干线的放大版,只是成码率更低、更不安全而已。
这里所谓的“最后一公里”当然不是指传输距离只限于一公里,在大多数情况下,从量子卫星地面站到用户的距离远超一公里。在遥远的将来也许可以建造更多经济小型地面站,地面站与用户之间的距离可以缩小。但是只要从独立的卫星天线到用户终端的距离不是零,这个“最后一公里困境”就无法回避。
从通信技术层面上看,距离超过一百公里的QKD必须依靠带有严重安全隐患的“可信中继站”技术,这与使用光纤还是空间卫星无关。密钥经过每个“可信中继站”都是赤身露体以明文方式接触硬件设备,QKD的可信中继站将成为黑客窃取密钥的乐园,一条量子通信干线有几十甚至上百个“可信中继站”可供攻击,任何一个节点陷落都意味着密钥的彻底暴露。密钥被窃、安全何在?即使不计技术困难和经济效益,卫星空中分发密钥的最大挑战是“最后一公里困境”,它仍然还得面对“可信中继站”的这个死结。
在开发QKD过程中,中科大团队不首先解决“可信中继站”这个老大难的技术问题,却把资源浪费在没有实际意义的空间卫星QKD的探索上,即使从科研角度来看,这种本末倒置、避重就轻的做法也令人失望,如果以工程建设的标准来要求,他们的这种做法实在是太不负责任了!
总上所述,中国科学技术大学的广域量子通信研究集体至今未作出过重大的科学发现,他们在研制广域量子通信实验系统和建设国家量子保密通信“京沪干线”过程中也没有催生出重大的技术发明。中科大量子通信团队积极推动的量子通信工程既不具备工程可行性,而且量子通信工程过去、现在和可预见的将来都不会有实用价值。
在快速发展的移动网络时代,用物理方法分发密钥的量子通信不可能有发展前途。中科大量子通信团队犯的是方向性、路线性错误。这些道理并不难懂,可是有些人就是听不进去,装睡的人真的难以唤醒。
道理讲得也够多的了,下面列出今年有关量子通信的三大事件,进一步让事实来说话吧。
1)到今年九月?,京沪量子通信工程完工已有二年,在这之后又赶造了量子通信武合干线、汉广干线等。但上述三大技术困境一个也没有得到解决。量子通信工程失去自愿付费的忠实用户群,现在只剩下各级政府买单了。工程的投资费用就别提了,估计现在连日常运营维护都无法自理。整整二年过去了,没有经济效益、没有铁杆用户的京沪量子通信工程只能黯然走下舞台,它被市场无情地抛弃是必然的下场。
中科大的“科大国盾”是全国量子通信设备制造的龙头企业。根据容诚会计所出具的《审计报告》(会审字[2019]6719 号),2016年度、2017年度、2018年度、2019年 1-6月,科大国盾的主营业务收入分别为 21,029.28万元、27,248.17万元、25,690.88万元和 2,255.83万元。数据显示,量子通信工程建设从2016年开始就增长乏力,去年已经出现负增长,到了今年竟然发生了80%的断崖式暴跌!
2)今年年初,中国工程院通信密码领域的院士们明确指出量子通信工程没有实用价值。
3)十三届全国人大常委会第十四次会议10月26日下午表决通过密码法,将自2020年1月1日起施行。密码法旨在规范密码应用和管理,促进密码事业发展,保障网络与信息安全,是中国密码领域的综合性、基础性法律。
密码法规定:密码分为核心密码、普通密码和商用密码。核心密码、普通密码用于保护国家秘密信息,商用密码用于保护不属于国家秘密的信息。国家对密码实行分类管理。
这部密码法高屋建瓴、抓纲带目、纲举目张,它将一举扫清密码领域的雾霾,为密码技术的健康发展指明方向。
用密码法对照,量子通信工程立即显出了原形。量子密码技术的安全性不可控,使用极不方便,性价比又太低,所以量子密码技术根本不可能成为合格的商用密码。量子密码技术使用的“可信中继站”存在严重的安全隐患,技术上还处于摸索阶段,而且这种硬件方案在实施时需要太多的设计、生产和维护人员参与,这会给国家密码机构的管理带来意想不到的麻烦,所以量子密码技术注定没有资格成为国家核心密码、普通密码的成员[7]。
量子密码技术向上没有资格成为国家的核心密码、普通密码,向下又没有能力参与商用密码的市场竞争,量子密码就是不上不下的半吊子技术。但是这些年来,量子通信工程一直在打擦边球,依仗政府的全额拨款做着所谓的商用化产业化的工程项目。这场密码界的闹剧到了该收场的时候了,密码法颁布为量子通信工程划下了休止符。
中国科学技术大学的广域量子通信研究集体的主要工作是研制广域量子通信实验系统和建设国家量子保密通信“京沪干线”,这二项工作的目标都是为了实现以BB84协议为核心的量子密钥分发技术的工程化、产业化。但是科学分析和铁的事实证明:中科大量子通信团队积极推动的量子通信工程既不具备工程的可行性,而且量子通信工程在过去、现在和可预见的将来都不会有实用价值。
量子保密通信“京沪干线”开通已经二年有余,目前项目运行状态和前景令人十分担忧。现在应该做的是认真总结工程失败的经验教训,把损失減到最低,应该尽量低调处理而不是大张旗鼓的发奖。这是中科大量子通信团队躹躬下台之时,而绝不是他们上台领奖之日。这也是中科大量子通信团队真正接受考验的时刻,一个团队的强大不是他们掩盖错误的本领,而是这个团队自我纠正的能力。公正可能会迟到但从不缺席,纠错是迟早的事,但早纠比晚纠好,自我纠正比强迫纠正要好。
更希望科学院有关领导以实事求是的态度,看清量子通信工程问题的本质,具体问题具体分析不搞泛政治化,采取及时果断的措施尽快结束这场闹剧。
参考资料
[1]信息系统安全的短板究竟在哪里?
https://zhuanlan.zhihu.com/p/93319797
[2]量子通信技术困境之一:极低的成码率
https://zhuanlan.zhihu.com/p/85323744
[3]量子通信技术困境之二:不能与互联网兼容
https://zhuanlan.zhihu.com/p/85930732
[4]量子通信技术困境之三:极不安全的可信中继站
https://zhuanlan.zhihu.com/p/86896032
[5]量子通信神话之一:QKD无条件安全性可以用数学证明
https://zhuanlan.zhihucom/p/87875706
[6]量子通信神话之二:QKD可以拯救公钥密码危机
https://zhuanlan.zhihu.com/p/88617973
[7]密码法颁布之日,即为量子通信工程下台之时。
https://zhuanlan.zhihu.com/p/92442278