量子密碼的絕對安全還只是假設,只存于理論

　　密鑰協議分兩大類：公鑰加密體系和私鑰加密體系。對私鑰體系，通訊雙方共享一個私鑰，用這個私鑰去加密/解密所要發送的信息。

　　私鑰體系的問題在于私鑰分配的安全性：如果私鑰分配的過程被第三方竊聽，那么第三方可以用這個私鑰去破解一切信息，整個密鑰就不安全了。量子密鑰分配協議就是為了解決這個問題。

　　量子密鑰分配技術最早在1984年被提出，一直被冠以絕對安全的稱號，被認為是絕對無法被破譯的密碼技術。然而，不少業內人士對量子密鑰的“絕對安全性”始終存疑。究竟我們該如何理解量子密鑰的安全性？我想就量子密鑰的安全性作了如下闡述：絕對安全只存在于理論，實際應用中只能逼近該理論極限，而無法直接實現，量子密鑰在實際應用中可以劃分安全級別。

　　量子密碼的安全性證明是極其復雜的數學和物理學課題，經過了許多極其聰明的數學家和物理學家的不懈努力才得以弄清。最早對安全性證明貢獻比較大的科學家包括加拿大多倫多大學Hoi-Kwong Lo、美國加州理工學院物理學家John Preskill、麻省理工學院的Peter Shor、瑞士日內瓦大學的Nicolas Gisin、滑鐵盧大學物理與天文學系Norbert Lutkenhaus等。后來韓國學者Won-Young Hwang、清華大學的王向斌等也發揮了重大作用。近期，比較活躍的有瑞士蘇黎世聯邦理工學院的物理學家Renato Renner、加拿大滑鐵盧大學量子入侵實驗室的Vadim Makarov等人。

　　經過多年的證明，他們形成了如下結論：如果以下假設能滿足，量子密鑰可以做到絕對安全。

　　1.量子力學是成立的；

　　2.協議執行時間足夠長，碼長趨于無窮；

　　3.設備和儀器是可信的；

　　換言之，只要上述條件能夠滿足，即使使用量子計算機也無法破解量子密鑰。這也就是此前很多媒體宣傳量子密鑰絕對安全的來源。但具體實現中會有很多問題導致上述第2、3條假設無法滿足。例如，實現量子密碼的設備無法做到可信、協議執行時無法做到碼長無窮，這些因素都會影響量子密鑰的安全性。

　　最早Makarov就發現，如果實際實現中的單光子探測器設計不合理，會導致系統被攻破，甚至量子密鑰毫無安全性可言。之后，大量學者做了更深入研究，找到了各種器件不完美導致的安全性漏洞，并給出彌補方法。但此發現打破了量子密鑰絕對安全的神話，量子設備也可能有漏洞，由此逐步引發了測量無關方案的研究。Renner對有限長密鑰的安全性做了系統性研究，證明了碼長有限的情況下，安全性只能以概率保證，并嚴格給出了安全概率和碼長的關系。從其結論可以看出，只有碼長無限長才能實現100%概率安全。如果碼長過短可能導致安全概率很低。安全概率是極其復雜的數學問題，目前國際上都是幾個數學高手在做，國內只有少數學者在做。 以上兩方面的研究都說明實際中的安全性只能逼近理論上的100%絕對安全，而無法達到。更困難的是，逼近絕對安全的過程極其復雜，無論對設備實現還是后處理算法均是挑戰。

　　在密鑰的實際運用中，也會再次遇到安全性的問題：在擁有大量對稱密鑰后不同的使用方式也會導致不同的安全結果。目前，我們所講的安全性是基于信息論創始人Shannon的定義，Shannon在上世紀40年代定義了無條件安全，他提出當密鑰與明文等長，并且使用一次一密加密時，可以做到無條件安全，無論任何手法都無法破譯。不過，在使用量子密鑰的過程中，由于量子密鑰的傳輸速率低，而傳統通信又是高速通信，根本無法做到密鑰明文等長的一次一密。

　　為了有效的使用量子密碼技術，我建議采用如下方案：在語音等低碼率通信并且安全強度要求極高的情況下，可以使用明密文等長的一次一密；在安全性要求次之的情況下，可以使用一包一密，由于包可以很大，所需密碼可以很短，從而實現高速通信；在普通情況下，可以采用每秒鐘更換多次密鑰和多包一密的模式，實現高速安全通信。實際上，即使多包一密也是每秒鐘更新多次密鑰，其安全系數遠遠超過了目前傳統通信中幾天更新密鑰甚至完全不更新密鑰的方式。

　　總而言之，在我看來，實際運用中量子密鑰只能逼近100%絕對安全而無法直接實現。相比于傳統密碼學，量子密碼的優勢是其安全性在弱假設下完全可證，并且其可證的安全性包括對抗量子計算機在內的一切可允許的手段。從安全性可證明的角度來說，量子密碼可能是終極密碼。另外，根據實際情況和安全強度所需，調節密鑰更新和使用方法是一個很好的選擇。