量子通讯争议的双方是经典派和量子派,他们对保密通讯有两种不同的看法:经典派采用的是数学方法,赌的是你随便听、反正你解不了密;量子派采用物理方法,赌的是只要你偷听、我就能知道。最近几年,量子派在学术界的风头很劲,而经典派只能在网上搞些争议。
上次我在《量子保密通讯,经典派陷入的N个误区》中提到,量子通讯争议中,经典派在战略上太托大(没有重量级的人物站台),在战术上太自大(对量子密钥传输的技术细节研究不够透彻,与量子物理学的理论基础相悖),所以在辩论中落在下风、搞得灰头土脸的。
那么大家就要问了:照你这么说,量子派完胜!还争议啥?散了散了,都回家吃瓜算了。然而,事情并没有这么简单。
量子派的罩门在哪里?
成也萧何,败也萧何。
天底下没有完美无缺的事情,有一利必有一弊,量子通讯也不例外,量子派同样是既有优点,也有缺点。在我看来,量子派一大优点是宣传搞得好,而最大的缺点是宣传搞得太好了。
量子派的优势
首先,量子通讯的宣传确实搞得好,这为量子通讯成为一个热门社会话题立下了大功。
贝尔不等式把量子力学的争论从哲学思辨领域带入了实验验证领域,BB84协议第一次给出了一种理论上的方法检验是否有人在偷听,这些都是了不起的理论贡献,其具体实现也是伟大的实验进展。然而,自从在实验室验证了BB84协议,之后的发展都是直截了当的:试用不同的单光子源,或者换用纠缠光子源;提高单光子源或纠缠光子源的效率;用单光子干涉态替换偏振态;试用不同的单光子探测器并提高其效率;改用新的通讯协议(如诱骗态协议);延长量子通讯的距离。但这些主要是工程方面的进展,以延长通讯距离为例,如果张三和李四能够在一个屋子里实现量子通讯,那么他们搬到马路对面的两个屋子里,在一个城市的两端,两个不同的城市,甚至一个在天一个在地,张三和李四采用的设备都不用变化,需要考虑的问题只是光信号的损耗——光纤通讯中光纤的吸收或者自由空间通讯中光的衍射和空气的吸收。其中确实有很多非常有挑战性的工程问题,但都难以算是科学问题,不知道为什么会那么引人注目。
再看看关于量子通讯“漏洞”的讨论。量子通讯领域讨论的攻击,都是极限状态下的攻击,给王麻子的权限非常高,只要不违反自然规律,都可以使用——有时甚至赋予他一些超自然的力量。例如之前说过的“探测器致盲攻击”和“注入攻击”,王麻子发出一束很强的光照进张三或者李四的工作室里,可是张三和李四愣是“装作没看见”,煞有介事地讨论王麻子造成的“漏洞”问题。再如“光子数分离”(PNS)攻击,王麻子不但拥有神奇的“剥皮”功能(从同时过路的几个光子中“扣下”一个或几个,还能让剩下的几个毫发无损地“走人”)和强大的量子存储能力(长时间的把光子保存下来,因为必须等到张三和李四用大喇叭喊话以后才能进行测量),还要具有逆天的无损耗传输光子的能力(否则王麻子扣下一个光子,李四在那边数数就会发现自己经常性地丢失光子——肯定是有人捣乱了),这种通敌行径简直是“令人发指”。量子派唯一的底线是承认,完全的中间人攻击是无法抵抗的,但这相当于说王麻子切断张三和李四之间所有的通讯途径(不管是量子的还是经典的,不管是喊大喇叭,还是递小纸条),这完全是予取予求的架势,根本不是势均力敌的对抗。
更别说那些经常出现在科普文章里的量子力学(特别是量子纠缠)的神奇解释了。这种讨论进行得热火朝天,仿佛连玻尔和爱因斯坦都恨不得从天堂里跳下来,抱着薛定谔的那只猫来参加讨论。
现在有些明白了,这些都是宣传的技巧。量子派激烈地讨论这个“漏洞”、那个“攻击”,给王麻子赋予各种神奇的能力,其实是因为量子通讯在发现是否有人偷听这方面毫无漏洞,而其真正的短板在其他方面:一是信息的传送速率太低、可能会让人急死;另一个是量子通讯只是信息安全系统这个整体的一部分,并不能包打天下。
所以说,量子派依靠宣传成功地将人们的注意力集中在了它最擅长的方面:发现偷听者。
量子通讯的短板
量子派当然也知道自己的短板,也在努力想办法。例如,真正的高效率的单光子源(每次按需发射1个且只有1个光子)目前还没有实现,大多是用衰减脉冲激光束的方法近似实现,如果衰减足够大,就可以近似地看成单光子源,如平均每束光里只有0.1个光子,也就是说,每10次发射只有1次有1个光子,其他9次都是空的,那么100次发射才会出现1次有2个光子的情况(以此类推,1000次中有10次2个光子,1次3个光子,等等),如果觉得还不够,就让每束光里只含有0.01个光子(发射100次,只有1次有光子,其他99次都是空的)。这样能够满足BB84协议的要求,但是传输效率太低。为了提高传输效率,就要提高每束光里的平均光子数,但是,一次发射出现多个光子的次数就会显著增多,为了抵御“光子数分离”攻击,才提出了诱骗态协议。简而言之,BB84协议是,0个和1个有显著的差别,有就是有、没有就是没有,谁都别想骗我;诱骗态协议是,1个和3个(随便说的一个数,只要这个数很小就可以了)也有些差别,王麻子拿走一个两个的,我还是能发现的。在诱骗态协议里,每次发射的平均光子数仍然是1的量级(例如0.5或者0.7,绝对不是10或者100,丢了一个还是会有显著结果的),但是已经比0.1和0.01好得多了,而且也能够发现是否有人在偷听。
正是因为有了诱骗态协议,量子通讯的有效传输范围才能够从二三十千米拓展到上百千米。京沪干线总长度是2000多千米,有32个中继站,两站之间的距离约是七八十千米。利用纠缠光子源,可以让张三和李四的通话距离加倍,因为纠缠光子源位于这两个人的中间,同时向他们各自发射一个偏振关联的光子(纠缠光子对就是这个意思)。这种方法能够达到的距离是有上限的,主要来自于传输过程中的光损耗:基于光纤的量子通讯系统,目前最远的传输距离是400千米,而传码率只有可怜的每小时1比特;基于墨子号卫星的系统,两年前大约是每秒1万比特(我在卫星发射前的估计是每秒钟几千比特),现在据说达到了每秒40万比特(这个可能是基于单光子通讯的星地传输,而不是地面两个基站之间通过卫星中介的信息传输)。
至于量子通讯只管张三和李四这一段,如果组成通讯网络必须考虑各个站点的保密问题,这是显而易见的,量子派肯定知道这一点,而且并不觉得这真的是个问题——只要采用经典派现成的技术就可以了。量子通讯并不是只能用量子方法,量子方法只是整个信息安全体系的一个有机部分。为了系统的总体目标,当然是可以无所不用其极——你凭什么限制我?
但是话说回来,量子派在成功宣传的同时,也留下了一些后患——他们的宣传太成功了,让很多人(包括出来反对量子派的经典派人物)以为,量子通讯具有“绝对安全性”、甚至能够包打一切,结果量子派给自己挖了一个坑,一个很深很大的坑。
孰吉孰凶?孰去孰从?
说到这里,不免想戏谑一下经典派和量子派。上次我们提到:因为出来唱反调的经典派犯了一些非常简单的错误,还试图推翻量子力学的基础,简直不忍直视,看上去就跟量子派的“托儿”似的——好像就是为了制造有争议的假象,让人们的注意力集中在量子派的优势方面。不过“经典派”可能也棋高一着呢,他们一直没有大人物出来站台,也许是因为大人物早就看清形势了:你们量子派闹得再凶,也不可能包打天下,将来还是要用经典方法和经典网络。
我觉得,量子通讯争议这件事有些像谈恋爱。天天到公主窗前送鲜花、唱情歌的,并不一定能抱得美人归。就算你歌唱得再好、海豚音飚得再高,也只能赢得吃瓜群众的喝彩,而真正的白马王子可能早就登门入室、与公主共进烛光晚餐了——人家才不会出来和你赛歌呢,最多给你个神秘的微笑。
量子派也许只是个飙海豚音的,人家经典派才是真正入洞房的!
简而言之,量子派既有优点,也有缺点。量子派最大的优点是宣传搞得好,成功地将人们的注意力集中在他最擅长的方面——发现偷听者。量子派最大的缺点是宣传搞得太好了,成功地让许多人以为,量子通讯具有“绝对安全性”、甚至能够包打一切,给自己挖了一个坑,一个很深很大的坑。
上次说过,现在关于量子通讯的争议虽然很热闹,但怎么看都像鸡同鸭讲,让人看了着急!现在我们看到,经典派有经典派的误区,量子派有量子派的罩门,那么,量子通讯争议将来会怎么发展,也就显而易见了。
量子通讯争议:将来会怎么样?
兵者,诡道也。故能而示之不能,用而示之不用,近而示之远,远而示之近。
谈论未来总是危险的——因为谁也不是神汉转世。我也只能就几个问题谈谈自己的看法。
量子通讯网络的成本
先简单估计一下量子通讯网络的成本。估计数量级是学物理的基本功,估计值与实际值差个三五倍很正常,但如果拿去讨论工程造价,肯定是笑话了——权当娱乐好了。
量子通讯的基础是量子不可克隆定理,而这个定理反过来又限制了光子的完美复制,所以我觉得,量子中继器是造不出来的(再次强调,这是个人观点,我也不认可基于“量子芝诺效应”之类的量子中继器),这就限制了量子通讯单次传输的最大距离:基于光纤的量子通讯大约是100千米,基于卫星的量子通讯大约是1000千米。
我国的陆地面积是1000万平方千米,那么覆盖全境的光纤网络需要1000个基站,总计长度20万千米的光纤,假设一个基站造价100万人民币,一千米光纤1万,大概要30亿。考虑到现在的光缆里面都是几百根也许更多的光纤,一次还可以铺设不止一条光缆,而量子通讯只不过用一根光纤,以后还有同时使用几个不同波长的可能性,所以铺设光纤网络的真实成本可能还要低。建造基站的价格也许会高一些,还没有考虑安保的要求(毕竟是“可信中继”嘛)。好了,30亿,数量级是不会错的,但是不可能给出更精确的价格了——上下差个3倍很正常。对于这样的网络,相邻两个基站之间的量子信息传送速率大概是100兆每秒。
基于卫星的量子网络,估计起来就更困难了。卫星的发射成本是个谜,而相邻地面站的距离若为1000千米的话,只需要建10个,其实每个省建个天文观测台就可以了,而量子通讯只需要用一个天文望远镜而已(直径大概是1米)。这些成本也很难估计,我猜是100亿吧(包括5~10颗卫星?),应该也不会差出3倍的。因为卫星和地面的通讯是串行操作,一次只能联系一个基站,卫星2小时转一圈,每个基站顶上停留大约5分钟,现在的最大传递速率是40万比特每秒(我觉得已经到极限了),那么平均下来的传输速率不过是2万比特每秒(如果说白天或者雾霾天气还会更低)。
好了,拍出200个亿(考虑了人工成本),你就可以得到两个量子通讯网络,一个光纤的,一个卫星的。干不干?我们普通人肯定没有这个钱,但是政府只要愿意,还是掏得起的:只是几十千米高铁的造价嘛。当然,这个量子通讯网络只是个混合网络,量子通讯(也就是那个量子密钥传输)只是其中的一部分,需要控制的范围缩减为1000个基站(保持其“可信性”),值不值?我们普通人肯定也不知道,还是要政府拍板。
量子通讯的安全问题
接着谈谈量子通讯网络的安全问题。最终的量子通讯网络(如果真建成的话)一定是混合网络,相邻基站之间用量子通讯检测偷听者,基站内部的管理和整个网络的协调肯定还是离不开经典方法。保密是目标,为了这个目标当然是不择手段,绝不会区分什么量子还是经典,哪个好用就用哪个。
检查这个网络的安全性,也是个庞大的系统工程,成本也是个人无法估算的——安全性的价值等于被保密信息的总价值。这种保密网络的安全性检查,肯定是要政府指导、各部门协调、团结一切可以团结的力量,大家齐心协力才有可能进行的,肯定不会单纯为了量子派和经典派的争论就来一次的。从这个意义上讲,前一阵国盾公司提出的“打擂台”方法简直就是搞笑了。我不能破译你的密码,当然不会来献丑,即使我能够破译你的密码,显然也有更来钱的方式——即使有人知道破译方法这件事本身的价钱就绝对不止100万。举个例子:在二战时期,图灵破译了德国的密码系统,丘吉尔知道德国将轰炸考文垂,但是决定不做任何特殊的准备,以防止希特勒可能猜到其密码被破译了。仅仅为了不让敌人知道自己能够破译密码,就不惜牺牲一个城市——还可能牺牲更多的。
量子通讯的未来
既然最终的网络是混合网络,就有谁来主导的问题。从量子派的角度说,如果在可预见的未来,真的搞出来能够破译RSA密码的量子计算机,虽然经典派还可以说,我只要简单加倍密码长度就可以了,但这肯定是量子派的巨大胜利:“看看,我跟你说过的!”这应该是最乐观的情况了,但是量子计算机的未来很有可能是很长的30年:再过30年,我就跟你说,只要再过30年,我就可以跟你说……(编者注:关于量子计算机,建议查阅文末“相关阅读”4和5。)
如果真的搞不出来量子计算机,就有些麻烦了。量子派和经典派的结合来自于使用者的要求,使用者偏向于哪一边,哪一边的力量肯定就大。如果没有这个外部的强制要求,量子派就很难了:转向?人家早就觉得你是鸡肋了,不一定想要。主导?这个难度太大了,人家可能说你什么都有了,最后还得我干活?
最后再来一个设想。
量子通讯的卖点是能够发现偷听者,或者说保证没有偷听者。在光纤系统里,除非利用量子通讯方法,这是很难做到的;但是在基于卫星的星地通讯或者星星通讯中,有个显然的方法可以做到:不管是发射者还是接受者,都是一个大家伙(尺寸是米的量级),这么大的家伙是无法隐形的——NASA能够监视太空轨道上所有尺寸在厘米以上的物体,中国肯定也能做到,在基站附近放个1米大小的望远镜更是不可能逃脱监控的。张三和李四的连线上,有没有站个王麻子?这个问题简直就是和尚脑袋上的虱子——明摆着的呀。
如果确实是这样,量子派就有个显而易见的脱身法:只要提高信号光的强度,就可以大幅度提高信息传送速率——不搞基于单光子的量子通讯了,我们搞的是大范围的自由空间光互联,卫星间对准和星地对准都是已经解决了的问题,弱光发射和探测更是我们的拿手绝技。一个基于卫星的自由空间光互联系统就诞生了!
所以说,未来虽然不可预料,但只要准备充分,未来还是美好的。