你见到的否定量子通信的说法,为什么是错的? | 袁岚峰
科技与战略风云学会,受过科学训练的理性爱国者们组建的智库。科学素养,家国情怀,横跨文理,纵览风云。
2016年8月16日,世界第一颗量子科学实验卫星“墨子号”成功发射。在轰动的同时,对量子通信的质疑也掀起了新的高潮,有认为其实是摆设的,有认为原理不通的,还有认为完全是骗局的。许多朋友拿着各种各样的问题来问我,我在这里集中回答和科普一番。无论如何,中国人民如此关心一个科学问题,就像以前的哥德巴赫猜想、青蒿素,这是一件好事。科学界应该做出专业准确的回应,公众也应该从中提高科学素养,让社会在这种互动中进步。
2016年8月16日量子科学卫星“墨子号”发射
为了读者阅读方便,我先把几种典型的否定意见和对它们的简短回答列出,在正文中再详细解答。
问:量子通信只要有敌方存在就办不了事,这样的系统最终只能沦为摆设。
答:量子通信的根本目的是保密,不是畅通。在保密这一点上优于传统通信,就足够了。由于能发现窃听者,量子通信同时实现保密和畅通的可能性比传统通信高得多。如果你不在乎泄密,那么直接用传统通信就好。可是既然你都不在乎泄密了,研究保密的前提都不存在,那还凭什么批评量子通信呢?
问:王国文的《扫谎打非:敦促潘建伟院士走出迷途》说量子通信的原理是错的,潘建伟是骗子?
答:王国文的文章故作高深,实际是在没有给出任何实验证据的情况下,单凭自己的主观臆断就否认学术界公认的量子力学原理。科学有理不在声高,而在实验证据。像他这样自说自话重复上一万遍,也不会对学术界有任何影响。
问:量子通信如果这么好,为什么美国欧洲不做?
答:你怎么知道他们不做?实际上,他们正在加大对量子通信的投入。再说了,中国就不能在一个领域中领先吗?
问:量子通信的缺点这么多,为什么不继续完善传统通信?
答:传统通信当然可以也应该继续发展。但量子通信有原理层面的优势,就像火车跟马车的对比一样,代表未来。忘记这一点,就会在别国开发出破解传统密码的方法时束手无策。
问:“鬼魅般的超距作用”之类的,听起来就不靠谱?
答:要质疑科学家,针对的应该是他们的科学著作,而不是媒体上的比喻。他们要是给你摆出一堆数学公式和实验仪器,你看得懂吗?
问:量子通信是滥竽充数,主管领导骑虎难下同流合污,所有人都知道是骗局,只有国家最高层的领导不知道!
答:敢情最高层领导是傻瓜,就你聪明!
下面是本文的大纲。
一、量子通信是什么?不是什么?
二、传统密码有什么缺点?
三、量子通信如何解决传统密码的缺点?
四、量子力学的基本原理
五、量子通信如何产生密钥?
六、量子通信的安全性怎么样?
七、量子卫星是干什么的?
八、量子通信怕干扰,所以没用?
九、量子力学原理是无稽之谈?
十、美欧不发展量子通信,是因为知道技术不成熟?
十一、为什么不把希望放在完善传统通信上?
十二、对量子通信的描述听起来就不靠谱?
十三、量子通信整个是骗局?
十四、如何看待这些否定量子通信的言论?
下面是正文。
量子通信是量子信息这个学科的一部分,量子信息是量子力学和信息科学的交叉学科。量子信息除了量子通信之外,还包括量子计算。而媒体平时谈的量子通信,一般特指量子通信中的一部分,称为量子密码术,或者量子保密通信,或者量子密钥分发。量子通信中还有其他的内容,如量子隐形传态,相当于科幻电影中的“传送术”,我的文章《科普量子瞬间传输技术,包你懂!》(袁岚峰:科普量子瞬间传输技术,包你懂! - 风云之声 - 知乎专栏)有介绍。
量子信息学科内容
本文后面谈的量子通信,都指量子密码术。
量子密码术,顾名思义,是一种保密的方法。所以,请切记,量子通信是一种保密的方法,仅此而已。许多人以为量子通信是一种超光速的通讯方式,相距几光年的两个星球之间都可以瞬间联系,科幻电影里老这么演。其实不是这样的,量子通信不能超光速。这一点也请切记,量子通信不超光速。还有许多人以为量子通信颠覆了某些物理理论,最常中枪的是相对论。这也是误解。量子通信是量子力学、相对论这些标准理论的应用,因此不可能推翻标准理论。与其把它理解成一个推翻正统的革命家,不如把它理解成一个在现行体制下发挥奇思妙想的工艺大师。
量子通信是一种保密的方法。那么我们首先要问,传统的保密方法有什么不足?为什么需要寻找新的保密方法?不少文章,如加州大学洛杉矶分校物理系研究员徐令予的《为什么发展量子密钥技术已刻不容缓》(徐令予:为什么发展量子密钥技术已刻不容缓)对此解释得很清楚。下面我再向读者简要说明一下。
我们最容易想到的密码,是通信双方都知道一组编码规则,即“密钥”,用这组编码规则将明文转换成密文传输,那么即使被敌方截获,也破译不出原文。《红灯记》里李铁梅一家拼尽性命保护的密电码,就是这样的密钥。由于双方都知道密钥,所以这种方法叫做“对称密码体制”。
对称密码体制究竟安全不安全呢?答案是:密码本身安全,但密钥的配送(或称为“分发”)不安全。
我们先来解释一下前一句话:密码本身安全。信息论的鼻祖克劳德·香农证明了,如果密钥是一串随机的字符串,而且跟要传送的文本一样长或更长,而且每传送一次都更换密钥(即“一次一密”),那么敌方不可能破译密码。这是一个数学定理,不是经验总结,所以正确性是无可争议的。
我们再来解释一下后一句话:密钥的配送不安全。香农的定理似乎说明,对称密码体制足以满足实践要求,但其实不是。真正的问题在于:怎么让通信双方都知道密钥?如果用电报、电话、电子邮件等信息通道传输密钥,那么被截获的可能性很大。最安全的办法是让通信双方直接见面交换密钥,可是如果双方能轻易见面,还要通信干什么?
有实用意义的是,让可信的第三方信使传送密钥。从《红灯记》到《潜伏》,无数的谍战人员为护送密钥殚精竭虑。这种方式的麻烦还是很大。一方面,传送一次很不容易,密钥更新频率太低,现在常常是半年一换。那么一次一密就无从谈起,香农定理的条件不满足,密码的安全性下降。另一方面,你怎么知道信使是“可信”的?信使叛变或被抓的例子不少,造成的危害太大了。
为了解决密钥配送的问题,聪明的数学家们想出了另外一套办法,称为“非对称密码体制”或者“公钥密码体制”。你不是担心信使吗?那干脆完全取消信使。这里的关键在于,解密只是接收方(后面称为B方)要考虑的事,发送方(后面称为A方)并不需要解密,他们只要能加密就行。那好,B方打造一把锁和相应的钥匙,把打开的锁公开寄给A方。A方把文件放到箱子里,用这把锁锁上,再公开把箱子寄给B方。B方用钥匙打开箱子,信息传输就完成了。如果有敌对者截获了箱子,他没有钥匙打不开锁,仍然无法得到文件。这里的“锁”是公开传输的,任何人都能得到,所以叫做“公钥”,而“钥匙”只在接收方手里有,所以叫做“私钥”。
这种思想十分巧妙,而它实现的关键在于:有了私钥可以容易地得到公钥,而有了公钥却极其难以得到私钥。就是说,有些事情正向操作很容易,逆向操作却非常困难。因数分解,即把一个合数分解成质因数的乘积,例如21 = 3 × 7,就是这样一种“易守难攻”的问题。
有人也许会问,这有什么难的?分解21当然轻而易举。但分解2^67 – 1 = 147,573,952,589,676,412,927呢?这是个18位数。很长时间里,人们以为它是一个质数。直到1903年,人们才发现它是一个合数,等于193,707,721 × 761,838,257,287。
让我们想想,如何分解一个数字N。最容易想到的算法,是从2开始往上,一个一个地试验能否整除N,一直到N的平方根为止。如果N用二进制表示是个n位数,即N约等于2^n,那么尝试的次数大约就是2^(n/2)。位数n出现在指数上,这是非常糟糕的情况,因为指数增长是一种极快的增长,比n的任何多项式都更快。比如说,2^(n/2)比n的10000次方增长得还要快。
在计算机科学中,把计算量指数增长的问题称为不可计算的,把计算量多项式增长的问题称为可计算的。当然,你可以寻找效率更高的算法。对于因数分解,“从2开始一个一个试”并不是最聪明的算法。在经典计算机的框架中,目前最好的算法叫做数域筛,计算量是exp[O(n^(1/3) log^(2/3)n)],虽然有些改进,但仍然是指数增长。如果计算机一秒做10^12
次运算,那么分解一个300位的数字需要15万年,分解一个5000位的数字需要……50亿年!
基于因数分解的困难性,李维斯特(Ron Rivest)、萨莫尔(Adi Shamir)和阿德曼(Leonard Adleman)发明了一种公钥密码体制,用三人的首字母缩写称为RSA。这是现在世界上最常用的密码系统。在实践中,RSA往往是用来传送对称密码体制中的密钥的。也就是说,A决定一个对称密码体制中的密钥,然后用B送来的公钥加密后传给B,B用自己的私钥对其解密后获得真正的密钥,然后双方就用此密钥对文件加密后进行通信。
但是RSA有两大隐患。第一点,我们只是知道目前公开的最好的算法是数域筛,但不知道是否有更好的算法。更令人夜不安寝的是,能解密的算法也许已经被某些国家、某些组织掌握了,只是没有公布!
第二点,这甚至不是“隐”患,而是“明”患,——前面说的算法都是在经典计算机上运行的,量子计算机却必定可以破解RSA。1994年,肖尔(Peter Shor)发明了一种量子算法,把因数分解的计算量减少到O(n^2 logn loglogn),指数级地加快!把因数分解这个不可计算的问题变成了可计算的。同样还是分解300位和5000位的数字,量子算法把所需时间从15万年减到不足1秒钟,从50亿年减到2分钟!
不过因数分解的量子算法只是理论,真要实现它还需要很多努力。第一次真正用量子算法分解质因数是在2007年实现的,把15分解成3 × 5。有两个研究组同时做出了这个实验,一个是中国科学技术大学的潘建伟和陆朝阳等人,一个是澳大利亚布里斯班大学的A. G. White和B. P. Lanyon等人。此后各国科学家不断努力,使用种种办法推向前进。目前分解的最大的数是143 = 11 × 13,是由中国科学技术大学的杜江峰和彭新华等人在2012年实现的。
有人可能会松一口气,觉得量子计算机进展得很慢,不需要担心。但是有一点需要注意,造出专门处理某些任务的专用量子计算机比造出通用的量子计算机要容易得多。这就好比在可编程的电子计算机出现之前300多年,冈特(Edmund, 1581-1626)和奥特雷德(William Oughtred, 1574-1660)已经造出了计算尺。最近谷歌宣布计划在2017年造出超越传统计算机的量子计算机,很可能指的就是这种专用量子计算机。斯诺登披露了美国国家安全局有一个绝密的项目“穿透硬目标”(Penetrating Hard Targets),计划建造一台专用于破密的量子计算机。据传该局已经存放了大量外国政府的密电,一旦项目成功立刻对它们动手。这足以让其他国家不寒而栗了!
我们来总结一下传统密码的困境。对称密码体制本身是安全的,但分发密钥的信使是大漏洞。为了配送密钥,发明了像RSA这样的非对称密码体制,但它又可能被数学方法攻克。
量子密码术针对的就是这个困境。它的办法是:抛开非对称密码体制,只用对称密码体制,同时在通信双方产生同一个随机的密钥。最厉害的在于“同时”,这就不需要信使了,堵上了对称密码体制的大漏洞。产生这个密钥之后,双方用它加密信息,再用任何方式传输密文,光缆也行,电话也行,电子邮件也行,甚至平信都行。也就是说,传输密文用的就是传统通信方式了。量子通信真正管的只是密钥的产生和共享,这就是它又叫做量子密钥分发的原因。
量子密码术为什么能做到让双方共享随机密钥?我在《中国国家天文》2016年7月和8月刊连载的文章《从量子力学到量子卫星》(从量子力学到量子卫星:如何在量子科学领域谈笑风生|袁岚峰)中,详细解释了整个量子信息学科,包括量子力学的基本原理和量子计算、量子通信。如果有兴趣深入了解,建议去看。如果不是这样,那么只看下面我的一个极简版的介绍就行。
量子是什么?就是“离散变化的最小单元”。我们上台阶时,只能上一个台阶、两个台阶,而不能上半个台阶、1/3个台阶,这就是离散变化,一个台阶就是一个量子。微观世界里,很多物理量都是离散变化的。例如光是由一个个光子组成的,光子就是光的量子;阴极射线原子是由一个个电子组成的,电子就是阴极射线的量子。因此量子不是一种跟光子、电子、质子、中子等等并列的粒子,而是它们的一个统称。准确描述微观世界的物理学理论就是量子力学。
宏观物质是由微观粒子组成的,所以要准确描述宏观世界原则上也必须用量子力学。中学里学的牛顿力学只是量子力学在宏观条件下的一个近似理论,又称为经典力学。在经典力学适用的范围内,量子力学的结果就等于经典力学的结果。而在此范围之外,每当量子力学和经典力学不一致的时候,读者只要记住“量子总是对的,经典总是错的”,就差不多了。
你可能听说过不少渲染量子力学如何难以理解的说法,如“连爱因斯坦都理解不了量子力学”,“费曼说,没有人理解量子力学”。但对门外汉来说,这些说法有点误导,会让你以为量子力学根本说不清是什么,是一种类似脑筋急转弯或者诡辩的东西。实际上,量子力学在实践层面是非常明确的,有一套清晰的数学框架,好比微观世界运行的一本操作手册。全世界有数以百万计的科技人员熟悉这本操作手册,包括我在内。什么东西难理解?是这本操作手册“为什么”是这样,这是个哲学层面的问题。但这本操作手册本身,是十分清楚的,并没有什么无法理解的地方。
量子力学中有三个要点非常违反宏观世界的常识,我称之为“三大神秘”:叠加、测量和纠缠。在介绍这三大神秘之前,需要强调,量子力学的正确性有不计其数的实验证据支持。现代生活中几乎所有的材料和设备,如钢铁、塑料、药物、火箭、电视、磁共振成像,都要用到量子力学。所以量子力学在实践层面坚如磐石,其可靠性不逊于你能想到的任何其他物理理论,甚至更可靠。
第一大神秘:叠加。
量子力学有一条基本原理叫做叠加原理,说的是:如果两个状态是一个体系允许出现的状态,那么它们的任意线性叠加也是这个体系允许出现的状态。
现在问题来了,什么叫做“状态的线性叠加”?为了说清楚这一点,最方便的办法是用一种数学符号表示量子力学中的状态,就是在一头竖直一头尖的括号“|>”中填一些表征状态特征的字符。这种符号是狄拉克(Paul Adrien Maurice Dirac, 1902-1984)发明的,称为狄拉克符号。在量子信息中,经常把两个基本状态写成|0>和|1>。而|0>和|1>的线性叠加,就是a|0> + b|1>,其中a和b是两个常数。叠加原理说的就是,如果一个体系能够处于|0>和处于|1>,那么它也能处于任何一个a|0> + b|1>。对a和b唯一的限制就是它们的绝对值的平方和等于1,|a|^2
+ |b|^2 = 1。
假如把|0>当作你处于北京,|1>当作你处于巴黎,那么(|0> + |1>)/√2就意味着你同时处于北京与巴黎!这种状态怎么可能存在呢?对人也许还没观察到,但在微观世界,叠加态是经常出现的,丝毫不足为奇。一个电子确实可以同时位于两个地方,有无数的实验证据证明这一点。至于宏观世界里为什么没见过一个人同时位于两处,那是另一个深奥的问题,相当于著名的问题“薛定谔的猫”,我们在本文中不做更多的讨论。
量子叠加
为了更方便地理解这个概念,我们可以把一个量子力学的状态理解成一个矢量,实际上狄拉克符号|>正是为了让人联想到矢量而设计的。在一个由这些态矢量组成的平面上,|0>和|1>定义了两个方向,相当于两个坐标轴上的单位矢量。在|a|^2 + |b|^2 = 1的条件下,a|0> + b|1>就是任何一个从原点到半径为1的单位圆上一点的矢量。看清楚这个几何图象,我们立刻就明白,单位圆上任何一点的地位都是相同的,没有一个态比其他态更特殊,“众生平等”。再来定义两个状态|+> = (|0> + |1>)/√2和|-> = (|0> - |1>)/√2,它们相当于|0>和|1>都向左旋转45度。如果把|+>和|->当作基本状态,用它们的线性叠加来表示所有的其他状态,同样是可行的。取一组矢量,如果其他所有的矢量都能表示成这组矢量的线性叠加,那么这组矢量就叫做“基组”。|0>和|1>构成一个基组,|+>和|->也构成一个基组,这样的基组有无穷多个。
叠加原理和基组
第二大神秘:测量
在经典力学中,我们不会认为测量过程跟其他过程服从不同的物理规律。无论你看或不看某个物体,你都相信它具有某些确定的性质,如位置、速度,而且你看了以后这些性质不会变化,所以你可以随便看。可是在量子力学中,测量跟其他过程有本质性的区别,描述测量要用与众不同的物理规律!你看或不看某个粒子,会造成很大的区别。“看”这个动作,就会改变粒子的状态。所以你不能随便看。要不要看、什么时候看是很有讲究的,一定要斟酌好。
量子力学中是如何描述测量的?首先,一次测量必须对应某个基组。你可以这次用|0>和|1>,下次用|+>和|->,这是允许的,但你每次必须说清当前用的是哪个基组。然后,如果a和b都不等于0,那么在|0>和|1>的基组中测量a|0> + b|1>时,会使这个状态发生突变!变成|0>和|1>中的某一个。我们无法预测特定的某次测量变成|0>还是|1>,能预测的只是概率:以|a|^2的概率得到|0>,|b|^2的概率得到|1>。由于只可能有这两种结果,所以这两个概率相加等于1,这就是为什么|a|^2 + |b|^2 = 1。
举个例子,在|0>和|1>的基组中测量|+> = (|0> + |1>)/√2,会以1/2的概率得到|0>,1/2的概率得到|1>。如果你重复这个实验很多次,可以预测有接近一半的次数得到|0>,接近一半的次数得到|1>。但对于单独的一次实验,你没办法做出任何预测。也就是说,同样的原因可以导致不同的结果!
这种内在的随机性是量子力学的一种本质特征。在经典力学中,一切演化都是决定性的,同样的原因必然导致相同的结果。量子力学却不是。
第三大神秘:纠缠
前面说的都只是一个粒子的体系,已经有这么多奇妙之处。多个粒子的体系,可想而知会更加奇怪。量子纠缠就是多粒子体系的一种现象。许多科普文章和媒体宣传对纠缠现象做了神乎其神的渲染,越讲反而越糊涂了。不过在量子密码术中,纠缠并不是必需的,可以用也可以不用。因此我们在这里只做一个最简单的数学描述,不多加讨论。
考虑一个由两个粒子组成的体系,用狄拉克符号|00>表示两个粒子都处于自己的|0>态的状态,|11>表示两个粒子都处于自己的|1>态的状态。叠加原理对于多粒子体系也适用,所以 (|00> + |11>)/√2也是一个可以出现的两粒子状态。在这个量子态下,去测量粒子1的状态,会以一半的概率得到|0>,与此同时粒子2也变成|0>;以一半的概率得到|1>,与此同时粒子2也变成|1>。你无法预测单次测量时粒子1变成什么,但你可以确定,粒子1变成什么,粒子2也同时变成了什么。两者总是同步变化,这种现象就叫做“纠缠”,这样的状态称为“纠缠态”。
量子纠缠
好,量子力学的三大神秘就介绍到这里。
你也许会问:我为什么要相信这些稀奇古怪的说法?回答是:因为有不计其数的实验证明它们是正确的。
你也许还会问:如何解释这些原理?回答是:目前还没有公认的更深层的“解释”。如果你的目的只是理解量子通信,那么你只需要接受它们是事实就行了。科学的目的并不是提供解释,而是提供跟实验一致的数学描述。你觉得某些理论可以用来解释某些现象,只是因为你从小就学习这些理论,习惯了而已。真要追问下去,这些理论仍然需要解释,而解释它们的理论又需要更深层的解释,无穷无尽,而人力有时而穷,很快就会到达一些目前没有更深层解释、你只能接受的理论。
你也许还会问:这些理论会不会是错的?回答是:原则上,科学理论当然都有可能被新的实验推翻。但是,量子力学并不是哪个科学家心血来潮或者向壁虚构的产物,而是在大量的实验基础上提出来的。科学理论跟文学艺术有本质区别,单凭脑洞大开并不能推翻科学理论。你要推翻量子力学,可以,拿出你的实验证据来。如果你只是怀疑,那么对不起,怀疑是这世界上最不值钱的东西,任何人都可以随便怀疑任何事情。请拿出实验证据,在经过同行评审的科学期刊上发表论文,这是正道。否则,你的怀疑对学术界没有任何影响。
量子密码术的目标是在通信两端同时产生密钥,而实现的方法有若干种,包括BB84协议、B92协议、E91协议、诱骗态协议等等。我们不需要深入了解每一种协议,只需要明白一个本质就行:量子通信之所以能做到传统方法做不到的事,是因为叠加原理和测量的不可预测性。
作为一个例子,我们来介绍一下BB84协议。这是量子密钥分发最早的一个方案,是1984年Charles H. Bennett和Gilles Brassard提出的。A方拿一个随机数发生器,通俗地说就是掷硬币,产生一串0和1,得到0的时候发出一个处于|0>态或|1>态的光子,得到1的时候发出一个处于|+>态或|->态的光子。B方收到每个光子的时候,并不知道对应着A的0还是1。他也拿一个随机数发生器,得到0的时候就在|0>和|1>的基组中测量,得到1的时候就在|+>和|->的基组中测量。那么我们看到,当A和B的随机数相等的时候,光子的状态就是B的基组中的一个,所以不会变,而当A和B的随机数不等的时候,光子的状态不是B的基组中的一个,所以会突变。当B接收和测量完之后,双方公布自己的随机数序列,比如说A是0110,B是1100,然后找出其中相同的部分,在这里就是第二位的1、第四位的0。在这些相同的部分,规定A发出|0>或|+>时记下0,发出|1>或|->时记下1,B测得|0>或|+>时记下0,测得|1>或|->时记下1。这样又得到两个0和1组成的数列,分别保存在双方手里,不妨记作a和b。在没有敌人干扰的情况下,可以肯定这两个数列a和b是完全相同的。
现在假设有一个坏人E在窃听,我们还假设E非常神通广大,A发给B的每一个光子都先落到了他手里。即使在这种最不利的情况下,E也偷不走情报。为什么呢?E要知道当前这个光子处在什么状态,就要做测量。但他不知道该用|0>和|1>的基组测量,还是用|+>和|->的基组测量。那么他只能瞎猜,这就有一半的概率猜错,猜错以后就会改变光子的状态,a和b这两个数列就可能出现不同。现在通信双方在a和b中挑选一段公布,本来应该是完全相同的,假如出现了不同,那么他们就知道有人在窃听,这次通信作废。随着这段公布的字符串的长度增加,E的窃听被发现的概率迅速接近100%。如果公布了很长一段,都完全相同,那么可以确信没有窃听,通信双方就把a和b中剩下的部分作为密钥。
我们看到,通信双方不通过信使,就同时获得了密钥。此外,一旦有人窃听,通信方立刻就会发现。这两点是量子通信的本质特征,不限于BB84协议,其他任何协议都是如此。这是由量子力学的叠加和测量性质决定的。因此,量子通信的安全性是物理原理的产物,而不是像RSA那样是数学复杂性的产物。计算技术的进步可以破解RSA,却不能破解量子密码。
怎样才能破解量子密码呢?如果否定了量子力学原理,就可以破解。但如果有人为此想去推翻量子力学,那就掉到一个巨坑里去了。如前所述,量子力学是个极其坚固的理论,经过了上百年的考验,其应用遍及现代生活的所有角落。可以这么理解:量子力学的可靠性超过牛顿力学的可靠性、传统通信的可靠性。如果你不担心自己住的房子倒塌、自己的电话打不出去,那么有什么理由不信比它们更可靠的量子力学呢?
以上描述的是量子保密通信的原理,在原理层面它确实是可以做到绝对安全的。在实践当中,由于种种条件的不完美,可能有各种各样的漏洞。举个例子,前面说A方发射的是单光子,但实际的单光子发射器效率很低,用它的话传输得很慢。效率高的是激光光源,但激光又不是严格的单光子,有一定的几率出现多于一个光子,这就给窃听者留下了可乘之机。原则上,窃听者可以把所有的单光子都拦截下来不让通过,在遇到两个或更多光子时拿走一个,让其余的光子通过,这样就可以窃密。这叫做“光子数分离攻击”。
这些漏洞的效果,一般不是把量子通信变得完全不保密了,而是给安全传输的距离设置了一个上限,超过这个距离就可能泄密。量子通信最初的实验传输距离不到1米,现在在光缆中保密传输的距离已经超过了200公里。
量子通信研究者经常干的事,就是寻找各种可能的漏洞,以及寻找各种堵漏洞的办法。找到并堵上的漏洞越多,这个学科的进步就越大。例如现在最常用的实验方案叫做“诱骗态协议”,相当于BB84协议的一个升级版,有效地克制了光子数分离攻击,把安全距离从不到20公里提高到了超过200公里。值得自豪的是,清华大学的王向斌教授和马雄峰教授属于最早提出诱骗态协议的几个人中的两个。BB84协议、B92协议、E91协议中没有中国科学家的贡献,而诱骗态协议中就有中国科学家的重要贡献,这说明我们虽然起步晚,但迅速走到了国际前沿。中国人的智慧和志气,就应该表现在这种事情上!
有人建议量子通信实验设置“蓝军”,引进窃听者。殊不知这个学科从一开始就是这么做的,这个建议是把研究者想得太天真了。别忘了这帮人是干什么的!可以说,一般人能想到的攻击手段,研究者早就想到了。研究者想到的攻击手段,一般人却可能听都没听说过。
例如,近年来量子通信的一个热点研究领域是,发现实际体系中大部分漏洞来自于测量仪器,所以发明了安全性与测量仪器无关的量子密钥分发技术。这个新技术是潘建伟团队率先实现的,被评为2013年全球物理学十大进展和2014年中国十大科技进展之一。一个具体的例子是,有人提出,用强激光照射接收器可以将其“致盲”,然后就可以控制它欺骗通信者。连这样的攻击手段,潘建伟团队都给出了解决方法。这样深邃的攻防,非专家能想象到吗?好比两大高手在用降龙十八掌对战蛤蟆功,你却问他们能不能防住黑虎偷心,岂不可笑?
在实践层面,量子通信为2009年国庆大阅兵、2012年党的十八大等国家重大活动提供了保密通信服务。在北京、济南、合肥、芜湖、上海等地开通了量子政务网,近期打算建成的世界第一条量子通信保密干线“京沪干线”就是把这些城市节点连接起来,长度达2000多公里。中国工商银行、北京农商银行等金融单位已经开始试用量子通信设备。
量子通信京沪干线
总而言之,量子通信的安全性究竟怎么样?在原理层面,可以绝对保密。在实用层面,由于各种不完美,会有种种攻击手段,也有种种防护手段,最终结果是只在一定的条件下保密,而这些条件在不断放宽。这是个活跃的研究领域。如果以为量子通信已经一劳永逸地解决了保密问题,那是错误的。但如果以为量子通信一点用都没有,那就错得更离谱了。
为什么要发颗卫星上去呢?是为了开辟一条新的技术路线。迄今为止的量子通信实验都是在地面上、光缆中进行的,而光缆中的安全传输距离只到200公里。要传得更远就需要中继器,而中继器的可信度又是个问题。在地面上要多少个中继器,才能从中国传输到欧洲呢?与其这样,不如换个思路,让卫星跟中国和欧洲分别进行量子通信。这就绕开了地球曲率的影响,一颗卫星就能覆盖非常广大的区域。将来建成20颗卫星的星座,就可以覆盖全球。
卫星量子通信示意图
卫星和地面通信,只需要考虑光子在大气层中的损耗就行了,因为在真空中基本没有损耗。在某些波段,光子穿过10公里厚的大气层只损耗20%,所以星地通信在技术上应该是可行的。
星地通信的一大挑战,是卫星跟地面处于高速的相对运动之中,把双方的探测器对准,好比“针尖对麦芒”,相当于在五十公里以外把一枚一角硬币扔进一列全速行驶的高铁上的一个矿泉水瓶里,需要非常高的控制精度。不过说到底,这比引力波探测的要求还是低多了,引力波都能探测到,星地对准肯定也是能实现的。8月28日,墨子号量子卫星发出绿色信标光,兴隆地面站发出红色信标光,双方进行了对准试验。经过10秒的曝光,形成了红绿交汇一条线的壮观景象。信标光不是用来做通信的,只是对准,通信用的单光子也不可能看到。通信的实验,将在接下来的几个月间进行。
兴隆站星地对准试验(感谢拍摄者韩越扬授权使用)
除了量子密钥分发的实验外,在两年的设计寿命内,墨子号还将进行其他实验,如量子隐形传态、量子纠缠分发。说起来都是量子科学实验,科学内容还是不同的。而由于量子密钥分发是其中相对容易的一个,所以可能会放在最后做,抓紧时间先做难度高的。因此,如果过一段时间看到其他实验的结果先出来了,请不要吆喝起哄:“怎么不做量子通信?假货!”
下面我们来分析常见的几种否定量子通信的说法。首先是一种技术性质疑,典型代表如上海大学理学院曹正军副教授的文章《量子通讯是否真的无懈可击?》(量子通讯是否真的无懈可击?)。他认为:
这种看似无懈可击的通信方式,实际上是以牺牲信号稳定性为代价的,一旦存在敌方的任何形式的入侵行为,不管是窃听、复制还是干扰,量子通信都将无法实现,而传统的密码体系,都是假设敌方可以获取信息,但是从计算复杂性上让敌方无法破解。
“如果敌手消失了,那么任何密码技术都是多余的。”在他看来,从这个意义上说,量子通信可以说是只要有敌方存在就办不了事,而这样的系统,最终也只能沦为摆设。
……通讯的首要目的是稳定性,即接收方能够正确地恢复出发送方发送的信号。
相对而言,讨论这个问题是值得欢迎的。跟下面举的各种不入流的否定相比,这是层次最高的一种,因为谈的是科学问题,这已经很不错了。
当有人窃听时,量子通信确实会终止。但是,这种终止是好事还是坏事?正常的价值判断,应该是好事!因为保证了没有泄密,这正是研究保密通信的目的。“通讯的首要目的是稳定性”,这个观点我们是不同意的。如果稳定和保密能够同时实现,那当然是最好的。但如果不可得兼,你选择哪个?曹正军的意思是,选择稳定。那就是说,根本不在乎泄密。既然如此,你还研究什么保密通信呢?
量子通信实际的意义,不是强制人们一定要用它,而是给人们增加了一个选择。日常生活中确实有许多通信是不在乎保密的,那么用传统通信就好了。但谁也不能否认,有些情况下保密的需求压倒一切,如军事指挥、金融数据。二战当中,盟军破译了德国、日本的密码,给轴心国造成了巨大的打击,山本五十六就是因为行程泄露被击毙的。保密需求压倒一切的时候,如果你有量子通信,你觉得该不该用?
质疑人士会说啦:我可以一直窃听,让你传不出去!
呐,在这里就表现出传统通信和量子通信一个本质性的区别了。你之所以觉得窃听可以一直进行,是因为延续了传统通信的思维习惯,但对量子通信情况就大有不同了。传统通信中,通信方无法知道是否有人在窃听。可是量子通信中,窃听必然会被通信方发现,这是一个巨大的优势。难道通信方就傻乎乎地坐着,不去利用这个优势吗?正常的办法,应该是派出警察、军队去抓间谍。实际上,量子通信能够知道窃听发生的时间,乘以光速就给出了位置,所以真要抓的话,一抓一个准。
因此,对敌方来说,干扰量子通信成了风险极高收益极低的事。花很高的成本培养一个间谍,偷不到信息,只能阻断一次通信然后就暴露,这样做值得吗?如果真有个间谍可用,随便干点什么,破坏不比这个大?真是连自杀式攻击都不如。
用一位朋友的比喻说,传统的保密好比给自行车加锁,量子通信好比在自行车旁边放了个摄像头,有小偷过来就会看见。单纯“会被看见”这一点,就会给小偷施加巨大的压力,许多小偷就放弃尝试了。这个比喻很形象。正如曹正军所说,保密技术总是要假定敌手存在,“如果敌手消失了,那么任何密码技术都是多余的”。但是,量子通信可以通过暴露的威慑,让敌手不敢出手,就像摄像头提高安全性一样。
如果有人一定要把“能被阻断”作为量子通信的缺点的话,那么我们必须指出:传统通信也是如此。如果敌方就是不惜一切代价要阻断你的通信,那么任何通信都会被阻断。这并不是量子通信特有的问题,而是所有通信共同的问题。刘慈欣有一部著名的小说,就叫做《全频带阻塞干扰》!
这方面的典型代表是北京大学物理学院退休教师王国文,他的一篇文章《扫谎打非:敦促潘建伟院士走出迷途》(科学网—扫谎打非:敦促潘建伟院士走出迷途)最近被到处传。这标题就充满了大字报风格,更滑稽的是还发在科学网博客上……我们来看他说了些什么吧:
笔者与量子打交道久长(一甲子),对量子真相探究的昔今情况比较了解,包括哲学、数学、理论和实验方面。自己漫长从容的探索也有所收获,结果可以说,还是拥护爱因斯坦、玻尔、德布罗意、薛定谔、海森伯、狄拉克、玻恩、盖尔曼、温伯格等不承认有鬼魅隔空作用。说隔空作用存在,爱因斯坦错了,细查并无确实的实验根据。如今,眼看量子物理被曲解,科学精神被罔顾,良知被泯灭,纳税人的辛苦钱被糟蹋,有些想法越来越觉得不得不说。从物理理论和实验两方面考察,有足够理由认为:所谓的非定域关联(非定域性,隔空鬼魅作用)——“当测量一个粒子时,另一个与之关联的粒子会瞬时改变状态,无论它们相距多么遥远。”——纯属谎言,因而所谓“量子隐形传态可用于大容量、原则上不可破译(万无一失)的保密通信,也是量子计算的基础。”是无稽之谈。简而言之,量子隔空传输是巫术,多光子量子隔空传输是魔术加巫术。相信这个断言绝对经得起历史的检验,无后顾之忧,无需说等着瞧。因此,对潘建伟学术工作的评价概括为:依据的理论(teleportation理论)——荒谬绝伦,实验的路线——胡作非为,所谓的结论——肆意编造,所做的验证——虚伪假冒,所称的应用——画饼充饥。
一般人可能看不懂他在说什么,只知道他在愤怒地声讨潘建伟。物理专业的人明白,他是在说量子纠缠不存在。但是,量子纠缠是一个有许多实验证据、学术界普遍接受的现象!如前所述,量子力学好比微观世界运行的一本操作手册,包括我在内,全世界有数以百万计的科技人员熟悉这本操作手册。王国文完全没有给出任何实验证据,单凭嘴上翻来覆去地说,这不会对学术界的共识有任何影响。
王国文在做出一个毫无实验支撑的断言之后,还继续用大话空话给自己打气:“相信这个断言绝对经得起历史的检验,无后顾之忧,无需说等着瞧。”这是很可笑的做法,好比在莱特兄弟发明飞机之后,还在反复声明“用比空气重的材料不可能造出能飞的机器”。即使重复次数再多,嗓门再大,诈唬住的外行再多,难道就“绝对经得起历史的检验”了吗?
莱特兄弟的飞机
王国文此文还引用了许多网民言论批判潘建伟,作为对自己的支持:
网民曾怒斥潘建伟团队的八达岭-怀来的和青海湖上的光子隔空传输实验:“真够不可思议的了”,“梦想中的梦想,而且是白日做梦。”,“原理还没清楚就开始吹快要实际应用了”,“这也敢拿出来,你真以为人都傻了吗?”,“把科幻电影的剧情发到学术刊物上了?”,“假的,不可能。”,“伪科学”,“忽悠,接着忽悠。”,“国产零零七”,“骗子漫天飞,这年头儿。”,“刘谦的魔术”,“张宏宝第二”,“这项成果可以获得诺贝尔吹牛奖”,“中国又开始出新的气功大师了”,“科学家都快等价于巫师了”,“我宁可相信河南有虎,这个决不信”,“见鬼了吧”,“愚人节吗?”,“什么是扯蛋?这就是扯蛋!”,“想圈钱?”,“国家应该立案严查,绝不能让这些骗子得逞。”,“一派胡言”,“没出成果别乱吹”,“亩产万斤,画大饼,炒作。”,“看来小潘是孙悟空再世了”,“跟在教堂听的感觉差不多”,“让我觉得他就是喜欢吹牛的大忽悠”。他们像一群嚷嚷皇帝没有穿新衣服的孩子,反映华夏子民的正义感和智慧。
请问,网民的话什么时候可以用来判断科学问题了?!还“反映华夏子民的正义感和智慧”?!这像是一个大学教师说的话吗?
在这里,应该强调一个科学规范的问题。学术界通行的讨论方式,是在经过同行评议的杂志上发表文章。曹正军和王国文等人虽然具有学术身份,但是如果不在正规科学期刊上发表文章,他们的观点就不会进入科学共同体的科学探讨。在网络上发表文章的做法,说到底与民科差不多,只能影响舆论,不能影响科研。如果量子通信工作者对这些无理搅三分的质疑都要回应,那他们哪还有时间做研究?对科学问题,只有符合学术规范的质疑才值得认真对待。
普通人往往对科学界有一种阴谋论的想象,一群人共谋隐藏真相,只有少数正直的人站出来揭穿他们。这种图像不符合人性,因为指出错误的收获太大了。要给出多大的利益,才能让这么多人共谋呢?推翻一个学科是一种巨大的学术成果,如果可行的话,早就有许多科学家去做了,可以名利双收。他们为什么不做?因为推翻不了。
量子通信的研究者们是一个开放、公开、遍布全球、互相监督的团体,不是某些人想象中的阴谋集团。应该把科学家理解为正常人,而不是阴谋家。外行犯这种错误,还可以理解。王国文这样的大学教师犯这种错误,就太不应该了。
这也是一种常见的论调,许多人问:量子通信如果这么好,为什么美国欧洲不做?是不是这条技术路线不成熟,或者压根就是伪科学?例如在王国文的文章中说:
据说,美国量子通信计划已经乱作一团(floundered),“先端情报研究计划活动(IARPA)”表示,将不再向各种量子通信项目提供资金。
……2009年《自然》杂志发消息称“鬼魅研究削减(Spooky research cuts)——美国情报机构大刀阔斧砍掉量子计算工作经费”,那是指2007年美国“先端情报研究计划活动”停止和收回对光量子信息研究的资助。……这项削减引起世界量子信息领域人士的惊慌,也给泽林格和潘建伟的量子隔空传输事业敲起丧钟。2007年以后,“鬼魅研究”在奥地利和瑞士还在开展,在我国因有潘建伟而变本加厉。多年来实事一项无成的情况未变进一步证明那是一个骗局。
还有网民表示:“我不懂专业,但从朴素的感情出发,我不信中国能做出世界第一的科技贡献。”“短期内凡声称有超过美国的黑科技肯定是骗局。”
这种观点的错误,首先在逻辑上。别忘了,当中国落后时,同样这些人经常抱怨中国没有创新。现在中国领先了,这些人又认为:你怎么能走在别人前面?肯定是假的!我要请问一下,跪着很舒服吗?发生什么才能让你们站起来呢?这是典型的失败者思维方式,自己失败就不相信别人能成功。
难道中国的科研就一定要跟在美欧后面亦步亦趋?难道我们就不能为天下先,首先做到别人没做到的事?中国的量子通信研究成果多次获得国际大奖,入选世界十大科技进展,难道评选者都瞎眼了吗?
这种观点的错误,也表现在事实上。你当然可以找到某些时间某些国家砍掉某些项目的例子,你也可以说美欧以前对量子通信没有像中国这样重视。但是,认为美欧放弃了量子通信研究,那就完全错了。
2016年5月,欧洲发表了《量子宣言》(Quantum Manifesto endorsement),宣布将从2018年起启动10亿欧元的量子技术旗舰研究计划。其中的第一项研发目标,就是“发展能用于密码术和窃听检测的量子中继器的核心技术,实现长距离、点对点、量子安全的连接”。这是0-5年要实现的短期目标。在5-10年的中期目标中,有“通过量子网络实现城市间的安全通信,提高信息安全性,使窃听成为不可能”,以及“演示地面到卫星的量子密码术”。在10年以上的长期目标中,有“用运行量子通信协议的量子中继器,创造一个连接欧洲各主要城市的安全快速的量子互联网”。这些不都是量子通信吗?而且可以发现,这些目标中有些是中国正在做的,他们却排到5-10年后。在这个意义上,现在是中国在引领潮流,欧洲在跟着中国亦步亦趋呢!
2016年7月22日,美国国家科学技术委员会发布《先进量子信息科学:国家挑战及机遇》报告(美国量子信息科学发展面临的前景与挑战)。报告总结了量子信息科学的应用前景,分析了美国在该领域发展所面临的挑战,以及目前的投资重点等。其中提到:
量子通信是目前较活跃的研究领域。其中,量子密钥分配研究近期受到广泛关注。近期,量子通信还可能应用于虚拟货币防伪和量子指纹鉴定等。远期应用方面,量子网络将连接分布式量子传感器,用于全球地震监测。未来5-10年,将开发出可靠的光子源及相关技术,实现远距离量子信息传输,并推动量子处理器间数据共享协议的相关理论研究。
……美国国防高级研究计划局(DARPA)将持续资助量子信息科学不同领域的项目,其中:1、“量子辅助传感与读取”项目寻求研发在低于或近于标准量子极限条件下工作的传感器;2、Quiness项目正在探索改进量子通信的各种方案;3、“光学晶格仿真器”项目旨在模拟原子系统中量子材料的属性;4、“量子纠缠科学与技术”项目寻求克服量子信息科学领域突出挑战的创新性方案;5、近期启动的“光子探测的基础极限”项目旨在研发促进光子探测器建模与制造方面革命性进步的创新方案。
请看,美国放弃量子通信研究了吗?
实际上,美国欧洲大幅增加对量子信息研究的投资,很大程度上是受到了中国进步神速的刺激。对此,那些永远自卑的人会说些什么呢?
有人给量子通信吹毛求疵找出了一大堆“缺点”,其实说来说去,最大的“缺点”就是有人窃听时不能通信,如前所述。好吧,不用量子通信,那打算用什么呢?他们的回答是:传统通信才是正道,还有很多潜力可挖。具体的办法,例如中国民航管理干部学院程碧波发表论文《容量加密:大密钥等长加密》,认为用大容量存储材料一次分发大量密钥可以实现量子计算机也无法破解的绝对安全(相当于现在银行用的U盾);也有说发展RSA之外的公钥密码体系的。
我们首先应该肯定,发展新的传统通信方法是有价值的。任何新的技术路线都值得欢迎,它们都可能有适用的范围,应该认真研究。但是,我们也需要认清,传统通信不能解决根本问题,量子通信才代表未来。
量子通信在物理原理层面杜绝窃听,这是一个巨大的优势,不是传统通信修修补补就能找回来的。发U盾,会遇到对称密码体制的老问题,信使不安全。其他公钥密码体系的算法,照样有可能被计算技术的进步攻克,更危险的是,也许已经被攻克了。
可以用一个经典的比喻,量子通信好比火车,传统通信好比马车。火车刚出来的时候,在很多方面不如马车。例如火车只能在铁轨上跑,马车可以去任何地方。火车刚开始跑得很慢,还不如马车。火车还经常出毛病,动不动就趴窝。但即使有这些缺点,有远见的人还是能看明白,火车改进的空间远远大于马车,未来一定是属于火车的,因为在原理上火车就比马车强,能够做到很多马车做不到的事。发展马车技术当然是好的,但如果因此抛弃了火车,那真是愚不可及了!
举个例子,潘建伟在一个科普报告中说:“比如说我在上海的航班延误了,但要在几分钟之内到北京,怎么办?我坐飞机肯定不行了,但是如果说北京和上海之间我有两团纠缠物质的话,我可以对上海的这个潘建伟和旁边这种纠缠物质进行一种测量,把它都变成一个个纠缠粒子,那么你会得到一组数,通过这无线电台可以把它发射到北京。到了北京之后,可以对这团物质再做一种所谓的幺正变换,就可以用同样多的物质把它给重构出来。这样一种过程,我们就把它叫作量子世界的筋斗云。当然,要传送人、传送比较复杂的客体,还需要比较长的时间。”
对此,有人嘲讽道:“潘建伟大师的终极目标是大变活人,用量子纠缠态进行隐形传输,把一个人分解了以接近光速瞬间传输到另一个遥远的地方组装,这么重大的军事价值,国家应该投资几万亿。”
《星际迷航》中的传送术
显然他没有看懂,这只是对量子隐形传态的一个比喻。1997年潘建伟参与实现了光子的一个自由度的量子隐形传态,入选《自然》杂志的“百年物理学21篇经典论文”。2015年潘建伟、陆朝阳等人实现了光子的两个自由度的量子隐形传态,被英国物理学会评为年度十大物理学突破之首。这些是实实在在、获得公认的科学成就。原理上,用量子隐形传态是可以传人的,只是人体的自由度大概有10的28次方之多,所以离实现还太遥远。
科学家在媒体面前经常有一种无奈:说得专业、准确,对方听不懂;做个形象的比喻,又损失了准确性。普通人如果感到媒体上的一些表述不可思议,应该想到这可能只是一个形象的说法。他们要是给你摆出一堆数学公式和实验仪器,严谨倒是严谨了,你看得懂吗?因此,要质疑科学家,针对的应该是他们的科学著作,而不是媒体上的比喻。
举个例子,我的文章《科普核聚变》(科普核聚变 - 风云之声 - 知乎专栏),从专业的角度看来已经比较浅显了,许多读者表示看懂了,但也有大片喊“看不懂”的。如果有人因为自己看不懂就认为核聚变都是骗人的,你觉得他有道理吗?
大家要想明白一个基本道理,现代科学是很不容易学会的,博士寒窗苦读十几年不是白读的。三言两语就给普通人讲得完全理解,世界上怎么可能有这么便宜的事?科普只是尽量给读者讲清楚科学道理,但人力有时而穷,科普不可能代替长期的专业学习。你坐汽车、飞机的时候,有没有先完全理解内燃机的原理?大多数人没有,只是相信专业人员而已。这是现代社会能够运行的基本前提。如果你什么都不信,那只能住到山洞里去了。
如果说以上这些还算在讲道理,那么有些人是最糟糕的,一点道理都不讲,直接造谣传谣。例如有一张图片到处传,说量子通信是滥竽充数,主管领导骑虎难下同流合污,所有人都知道是骗局,只有国家最高层的领导不知道。敢情最高层领导是傻瓜,就你聪明!得是什么样的智商情商,才会相信这种完全不讲任何证据的污蔑?
其实,关于量子通信已经有了许多很好的科普作品,引起了广泛的兴趣。很多读者即使没有完全看懂,也提高了科学素养。但上述这些否定量子通信的人,全都充耳不闻。他们不明白,量子通信不仅是一个工程项目,也是一个科研领域。全世界有成千上万的科学家在进行研究,成果公开发表在科学期刊上。如果科学原理方面有什么错误,一来投稿时通不过评委审议,二来即使发表了也会被更大范围的同行发现。如果量子通信像这些人说的这么糟糕,早就被提出来,而且引起热烈的讨论了。之所以没有,正是因为这些观点不成立,在正规学术期刊上发表不了。
需要强调一下,量子通信不是个可有可无的问题,而是个生死攸关的问题。当量子计算机实用化时,传统通信将变成完全无密可言。习近平主席说,要确保不被敌实施技术突袭。而没有量子通信,就会被技术突袭。有没有量子通信,不是80分和90分的区别,而是0和1的区别,甚至生和死的区别。因此,非理性否定量子通信的说法对社会的危害不小,需要认真对待。
在哲学层面上,世界上总是有人通过建设来表现价值,有人通过诋毁别人的建设来表现价值。谩骂量子通信的网络舆论,是自暴自弃者的狂欢,表现出人性的丑陋一面。鲁迅先生的两段文字,正像为今日所写,历久弥新:
鲁迅
我独不解中国人何以于旧状况那么心平气和,于较新的机运就这么疾首蹙额;于已成之局那么委曲求全,于初兴之事就这么求全责备?(《华盖集·流产与断种》)
愿中国青年都摆脱冷气,只是向上走,不必听自暴自弃者的说话。能做事的做事,能发声的发声。有一分热,发一分光。(《热风·随感录四十一》)
作者简介:袁岚峰,中国科学技术大学化学博士,中国科学技术大学合肥微尺度物质科学国家实验室副研究员,科技与战略风云学会会长,微博@中科大胡不归 ,知乎@袁岚峰(https://www.zhihu.com/people/yuan-lan-feng-8)。代表作《中国科技实力正以多快的加速度逼近美国》。
请关注风云学会的微信公众平台“风云之声”