【作者：潘杜若，蔡雨轩，Fenya；翻译&专业支持：夏秀秀；来源：墨子沙龙《三问量子密码术：安全吗？贵吗？会取代经典吗？》2019.08】

量子密码术（Quantum Cryptography，简称QC）最早由Stephen Wiesner于二十世纪七十年代提出。1984年，来自IBM的Charles H.Bennett和来自蒙特利尔大学的Gilles Brassard基于Stephen Wiesner的工作提出了一套量子密码学方案，即BB84方案。BB84这个名字的由来就是Bennett和Brassard的首字母，再加上方案提出的年份。

量子密码术经过三十多年的发展，目前主要研究如何安全地建立密钥，即量子密钥分发（Quantum Key Distribution，简称QKD），BB84方案也是应用最广的量子信息方案之一。量子密钥分发的无条件安全性是由物理学定律所保障的。将QKD与“一次一密”（one-time pad，简称OPT）加密技术结合，可以实现信息理论上绝对安全的保密通信。

说起量子密钥分发的优越之处，我们就要请出Alice、Bob和Eve。他们在密码学研究中的出镜率，堪比小学英语课本上的李雷和韩梅梅。

在密码学中，通常用Alice（‘A’）来代表发送方，Bob（‘B’）来代表目标接收方，Eve（‘eavesdropper’）来代表adversary（对手），或者说窃听者。

在经典通信中，Alice和Bob无法估计有多少信息被 Eve获知，因为他们无法发现Eve是否在窃听。但如果使用量子密钥分发系统进行通信，Alice和Bob则可以发现Eve的窃听行为，因为Eve的任意获取信息的行为都会改变系统。

另外，在经典通信中，Eve可能会直接复制信息；然而在量子密钥分发系统中，Eve无法将量子态完全复制出来，这是由 “不可克隆定理”决定的。

抛开那些高（听）大（不）上（懂）的专业术语和解读，小赛更关心实际些的问题：我们能用得起“量子密码”吗？我的小秘密会被更加安全地保护起来吗？是不是经典密码马上要被淘汰了？

在2018年墨子沙龙 “量子·密码” 活动上，小记者们对三位量子通信领域的先驱进行了灵魂发问。

Q=小记者（潘杜若, 蔡雨轩, Fenya）

Bennett=Charles Bennett，IBM研发中心物理学家、信息理论家，现代量子信息理论的创始人之一

Brassard=Gilles Brassard，蒙特利尔大学教授，加拿大研究学会主席

Ekert=Artur Ekert，新加坡国立大学量子技术中心主任、英国牛津大学数学研究所量子物理学教授

人为因素是最大的危险

Q：中国的一些媒体会这样批评量子密码术：量子密码术只在理论上（完全）安全，但在现实实现中并不（完全）安全。我们应该等到量子密码术在（现实）实现中也（完全）安全了才使用它。您对此有什么看法？

Brassard：很遗憾，我得说这确实是真的，（量子密码术）目前的（现实）实现并不如理论上那般安全。尽管如此，它仍然比互联网目前使用的（密码系统）要安全，因为目前用来保障互联网安全性的（密码系统）都是基于可以被量子计算机破解的计算问题。

你可能会说“这并不是什么问题啊，因为量子计算机还没有出现”，然而目前所有用当前的密码系统来加密的信息都可以在今后被破解，这意味着你可以先将所有的加密信息保存下来，等到量子计算机出现的时候，再去破解过去的所有加密信息。换言之，所有我们今天认为安全的信息，都将会在量子计算机出现的时候被破解。

尽管目前量子密码术在（现实）实现中并不完全安全，也就是说并不具有无条件安全性，但是你如果不在通信时攻击它，就不会再有机会了，因为你不能在通信完成后去攻击它。

Bennett：这是一个很重要的区别，而且现今几乎所有的量子密码术在（现实）实现中都借助了传统的密码术，所以需要同时破解两种密码术才能获得保密信息。

但是从另一方面说，这种批评是对的，但这是所有密码术的问题。（现实）实现，尤其是人为因素是最大的危险，比如有人故意泄露密钥。这个问题贯穿于密码术的整个发展历史，实现和人为部分是最脆弱的地方。

不过就像Gilles指出的那样，特别是对于那些希望在几年、几十年后依然保护他们的秘密的人来说，明智的做法是采用一种在将来也可以保护他们秘密的方法。

Brassard：我们将这个称为永恒的安全。

Bennett：不过这种说法其实是夸张了，因为我们知道大约20亿年后，太阳将变得特别热，海洋都会煮沸。

Brassard：（哈哈）到那时所有的秘密都将会消失。

Ekert：这里还有一个心理障碍，即使量子密码术的概念已经诞生很久了，对于需要实现它的工程师来说它依然是一个新东西。而且并不是所有人都能够接受量子力学。量子力学对很多工程师来说依然是很诡秘的东西。

我觉得（量子密码术的大规模应用）还需要一段时间，毕竟这是个新生事物。不过我十分确定量子密码术可以提供的，远比人们如今使用的许多加密技术要多。

虽然昂贵，但值得做

Q：有人说因为量子密码系统比经典密码系统贵太多了，难以被大规模应用。您怎么看？

Brassard：这跟基础设施有关。如果使用现有的基础设施，也就是说现在的通信搭建的方式，那么使用只传输经典信号的经典密码术确实要方便许多。

建设合适的基础设施总是十分昂贵的，不管目的是什么，对量子密码术来说同样如此。这就像修路一样，虽然十分昂贵，却是一件值得做的事。

不过一旦基础设施已经建设起来了，量子密码术就不会比现在的密码术更加昂贵了。

Bennett：现有的基础设施已经能够让我们利用更昂贵的通道和更昂贵的设备在互联网上进行少量的量子通信，从而保护信息流量大得多的经典通信，主要是通过比传统密码系统更频繁地更新密钥。

Ekert：而且因为技术进步地特别快，很多东西在变得越来越便宜，比方说光电探测器、光纤、卫星通信。虽然这些东西现在仍然昂贵，但是我认为他们以后会便宜很多。

Brassard：既然我们在讨论通信，那就举个更有说服力的例子吧。大约30年或40年前，如果你告诉大家有一天将会有人造卫星围绕着地球转，并且我们会通过这些卫星来进行通信，而不是通过昂贵得多的跨洋海底光缆，大家会觉得你疯了。

你在说什么？人造卫星？可能会有一个或两个，但是你无法拥有足够的人造通信卫星来为整个地球的所有通信服务。

对量子密码术来说也是如此。以后会有一些量子通信卫星围绕着地球转，并且第一颗是中国发射的。

Bennett：我记得大众汽车在1960年代有个广告，里面比较了打电话的费用和驾车200公里的费用，然后告诉人们，如果你真的想要谈话一个小时以上，你应该开车过去当面交谈。

Brassard：他们非常自豪大众汽车只需要很少的燃料，十分节能高效。

未来，经典和量子密码术将和谐共存

Q：您对量子密码术在未来的发展的看法如何？

Ekert：做预测是很难的事情，尤其是对未来做预测。

我觉得要建设量子通信基础设施需要在两个方面发展。一是点对点的长距离通信，二是将量子器件集成在芯片上，从而让量子器件变得很小。

（未来）很可能会采用混合模式。我不觉得经典密码术会被量子密码术取代；未来这两种密码术将会和谐共存。

Brassard：其实经典密码术和量子密码术十分互补。

Bennett：量子密码术可以作为经典密码术的补充，但互联网通信的主体永远都不会是量子的。在未来互联网通信的主体仍然会是经典的，但是会同时被量子通信支持。