修修補補還是推倒重建 量子通訊陷入兩難困境

量子通訊技術是利用量子力學原理為傳統密碼系統分發金鑰。一種技術從原理到工程實施一般都會有不同的途徑和方案，例如利用原子核裂變釋放能量可以製造原子彈，製作原子彈的材料可以釆用鈾235或者鈽，具體方案又有槍式和內爆等。一種技術的效果和優劣不完全取決於它釆用什麼原理，更關鍵的是決定於實施的具體方案。許多時候，原理看上去是“頭頂光環、美輪美奐”，方案出爐卻是“歪瓜裂棗、面目全非”。

量子通訊在工程實施中也有多種不同的技術方案，這些技術方案又稱為協議，例如BB84協議、E91協議、B92協議和 MDI-QKD 協議。這些協議各有所長，安全效能也有高低不同。所以爭論量子通訊是否安全沒有什麼意義，真正應該關心的是量子通訊的某某協議是否安全。因此通常都是“外行看原理，內行看協議。”

中國已建的所有量子通訊工程使用的都是BB84協議的改進版—誘騙態，這種技術方案在測量端存在許多嚴重的安全隱患[1]，而且至今沒有妥善的解決辦法。這可不是我的主觀判斷，中科大量子通訊團隊公開發表的論文中白紙黑字這樣寫著：

“儘管安全補丁可以抵禦某些[對測量端]的攻擊，但補丁對策本身可能會開啟其他漏洞。結果，這可能會引入另一層安全風險（參見：Huang等人，2016a; Qian等人，2019; Sajeed等人，2015b）。此外，安全修補程式的主要問題是它們僅阻止已知的攻擊。對於潛在的未知攻擊，對策可能會失敗。因此，安全補丁只是臨時的，它已經違背了QKD的資訊理論安全框架。”[2]。

由此可知，所有已建的量子通訊幹線都不是絕對安全的，恰恰相反它們都是絕對的不安全。造成今日的尷尬局面有客觀因素，但是量子通訊推動者的主觀失誤要負主要的責任。

解決測量端安全隱患存在較好的一攬子解決方案，即“測量裝置無關量子金鑰分發”（MDI-QKD）協議[3]。MDI-QKD 協議誕生於2012年，2013年己有多個實驗室成功實現該協議，到了2016年 MDI-QKD 在傳輸距離、金鑰成位元速率等主要技術性能得到大幅提升，已經具備了替代老舊的BB84方案的可能。

京滬量子通訊幹線立項於2013年，是在 MDI-QKD 誕生之後，工程建設期中 MDI-QKD 日趨成熟。如果工程略為推遲一點，全部工程就可以採用先進的 MDI-QKD 方案，京滬量子通訊幹線至少就不用為測量端的安全隱患而煩惱。

最令人費解的是，量子通訊滬合、京漢、漢廣等幹線立項已經到了2018年，這時候MDI-QKD 技術已經相當成熟，但是它仍被工程決策者拒之門外，這無論如何也很難自圓其說。

與目前使用的BB84誘騙態相比，MDI-QKD 的工程成本會更高一些，金鑰的成位元速率可能也低一些。但是量子通訊工程的目標是建設高安全性的金鑰分發設施，那麼工程成本和成位元速率就不應成為主要的考慮因素，至少不能為了節省工程成本提高成位元速率而犧牲安全性，否則建設量子通訊工程意義究竟何在？

唯一的解釋是，量子通訊工程的推動者從一開始就沒有打算建設一條絕對安全的金鑰分發幹線，他們從立項開始就在安全標準上放水，決定放棄使用 MDI-QKD 方案就是一個最好的證明。

量子通訊工程推動者拒絕採用 MDI-QKD 的藉口可能是“要與時間賽跑”，但是從上圖的時間節點來看，這個藉口是十分勉強的。即使為了釆用 MDI-QKD 把京滬量子通訊工程略為移後幾年，絕對是利大於㢢，畢竟工程建設是百年大計，安全穩妥應該壓倒一切。

事實上量子通訊工程的急迫性根本就不存在。量子通訊工程只是用物理手段為通訊雙方分發一個隨機數，用它作為密碼加密解密時的金鑰，又稱為量子金鑰分發QKD。必須明白，遠在QKD出現之前金鑰分發就有了多種成熟有效的技術，QKD既不是金鑰分發的唯一方案，更不是金鑰分發的安全有效方案。

目前，金鑰分發在企業專網上使用對稱密碼為主，在網際網路上則使用公鑰密碼。理論上，量子計算機破解密碼的威脅也僅對公鑰密碼有效，而高階絕密資訊很少會在網際網路上傳輸，所以QKD即使能替代公鑰密碼其意義也是十分有限的，如果它真能做到的話。

況且，大型實用的量子計算機還在末定之天，公鑰密碼也遠非像宣傳的那樣脆弱不堪。應對未來的抗量子攻擊的公鑰密碼（PQC）技術也比量子通訊（QKD）更成熟更有效。

所以從根本上看，量子通訊工程沒有必要性更不具備急迫性，京滬量子通訊幹線建成三年多來“門庭冷落車馬稀”的現狀就是是最好的註解。如果量子通訊工程是國家一日不可須臾的戰備工程，那麼理應快馬揚鞭加速建造，但是國家量子通訊骨幹線的進度不僅沒有加速反而是連年減速，這一二年更是斷崖式減速，這再一次證明量子通訊工程的急迫性完全是子虛烏有。

雖然從國家利益來看量子通訊工程完全不具備急迫性，但是某些設計生產量子通訊裝置的利益團體卻有著他們自己的打算，對於他們來說盡快銷售他們的產品是最要緊的，當然去科創板上市更有急迫性。

急匆匆地把產品銷給了各級政府，火燎燎科創板也上市了，留下的好幾條量子通訊幹線使用的卻是安全漏洞百出的老舊方案，明知有較安全的MDI-QKD技術方案卻不予採用，這使工程的未來發展陷入深深的困境。

由於MDI-QKD與舊方案BB84誘騙態不相容，如果新建的工程採用新的方案MDI-QKD，那麼已建成的量子通訊幹線必須全盤推倒重來，否則的話新建的量子通訊幹線勢必又只能繼續使用舊方案。這就是量子通訊工程今日陷入兩難困境的一個重要原因，正可謂，“一著不慎，滿盤皆輸。”

有必要指出，MDI-QKD 只是解決量子通訊QKD在測量端安全隱患的相對較好的一種方案，它不是絕對安全的方案，況且量子通訊的安全問題也遠非只存在測量端。近年來就在 MDI-QKD 的光源端發現了好幾處安全漏洞，至今也沒有完整有效的對策[4]。QKD 的可信中繼站裡的問題更多更嚴重，而且在可預期的未來難有工程解決方案[5]。

量子通訊工程從光源到可信中繼站再到測量端是“處處冒煙、點點失火”，從頭到尾沒一處是安全的可靠的。在高安全性的需求領域，根本就不可能採用量子通訊工程來分發金鑰的，所以量子通訊產品至今無法進入國家的核心密碼和普通密碼系統之中。其實按目前情況，量子通訊產品是否能透過商用密碼標準稽核都要打上一個問號。量子通訊工程就是“繡花枕頭一包草”。

其實令我反感的，遠不是量子通訊的無能，而是它所戴的漂亮光環。

參考資料

[1] QKD檢測端的安全隱患主要可歸結為以下幾類：

檢測器效率不匹配攻擊 （Detector-efficiency mismatch attacks）波長依賴性攻擊 （Wavelength-dependent attack）檢測器控制攻擊 （Detector control attack）鐳射傷害攻擊 （Laser damage attack ）

在這些QKD檢測端安全隱患中，尤以“檢測器控制攻擊”最為複雜嚴重。檢測器控制攻擊又可細分為：檢測器致盲攻擊；檢測器後門攻擊；檢測器超線性攻擊。

[2] “Secure quantum key distribution with realistic devices” P.36

[3] 實際 QKD 系統中，因為器件的不完美性導致一系列安全性漏洞，針對這些安全漏洞存在多種攻擊方案。2012 年多倫多大學的 Hoi-Kwong Lo 等人提出的測量裝置無關的量子金鑰分發協議（measurement-device-independent quantum key distribution， MDI-QKD）關閉了 QKD 系統所有測量端的漏洞。在 MDI-QKD 中通訊雙方 Alice 和 Bob 分別隨機制備 BB84 弱相干態，然後傳送給一個不可信的第三方 Charlie 進行貝爾態測量，根據 Charlie 公佈的貝爾態測量結果 Alice 和 Bob 建立安全的金鑰。MDI-QKD 可以等價為一個時間反演的 BBM92 協議。

[4] 介紹一篇有關量子通訊安全性的科學論文

[5] 量子通訊技術困境之三：極不安全的可信中繼站