【文/ bet365苹果版专栏作者 徐令予】

《炒作量子通信工程，连潘建伟都担心》一文在bet365苹果版发表后，收到不少批评和质疑。问题集中在两个方面：1）怎样正确理解“后量子时代的RSA”这篇论文。2）为什么说量子密码通信工程建设在可行性、必要性和实用性诸多方面均面临严峻挑战。

有批评和争论是好事情。《四书》十九章云：“博学之，审问之，慎思之，明辨之，笃行之。”说的是求学的几个递进的阶段。读者阅览文章即是“博学之”，留言和评论就是“审问之”。怀疑和审问是求学的关键阶段，但是问后应有深入的思考，把分析和研究上升到理论层面，是为“慎思”，否则所学所问徒有虚表，难有实质之收获。“明辩”为第四阶段。学是越辩越明，不辩，鱼龙混杂，何分良莠。本文希望为读者“慎思”和“明辩”提供力所能及的帮助。

使用肖尔量子算法破解4096位的RSA，据有关专家估算，考虑到必要的纠错等因素，量子计算机需要的量子位（Qbit）约为 4096^3 = 68719476736 。前几天IBM实现50个量子位，尽管IBM自己承认还在试验阶段，这条消息已经震惊全世界，仅仅只是可怜的50位！但要破解4096位的RSA，IBM设备的量子位还需扩大至少10亿倍，从工程角度来看，这几乎就是不能完成的任务，至少未来十多年不会有戏。请注意这里讨论的仅仅是4096位的RSA，那么对1T字节长度的RSA呢？按上述比例不难估算出需要的量子位约为2的126次方，看来我前文的估算值（2的100次方的量子位）还是十分保守的。

根据论文：“后量子时代的RSA”的估算[1]，肖尔的量子算法分解1T字节长度的RSA，需要的量子比特操作数是2的100次方。但是关于每次量子比特操作需要多少时间，到目前为止仍缺乏可靠的数据，由此很难给出量子破解在时间上的总开销。所以科普大伽袁岚峰博士说：“确实是一个非常大的数，但能不能说量子计算机做不了这么多操作呢？这话谁都不敢说。”他的表述在逻辑上也不能算错。

但是请仔细想一下，空间上需要超过2的100次方的量子位（这个数大于我们星球上所有生物细胞的总数！），时间上需要2的100次方的操作，这样的量子计算机真能造得出来？但凡稍有一点常识，应该不难作出正确的判断[2]。有些科普文章写得很生动，但科普教育必须实事求是，千万不可越界做成了一名科幻作家。

可见，但把量子计算机的威胁作为加速推进量子密码工程建设的理由是站不住脚的，于是只能另寻借口，宣称经典密码系统即使面对传统的超级电子计算机也是不安全的，所以加速建设量子密码工程仍有必要。真是“欲找借口，何患无辞”。

事实真相是：在经典密码系统中，使用与明文等长的具有充分的随机性的对称密钥，并且使用一次一密，可以保证通信双方的无条件安全，它是任何手法都无法破译的，无论是使用传统的超级电子计算机还是未来的量子计算机。传统的对称密钥的安全性是有严格数学证明的。

经典密码系统中使用对称密钥作加密解密是绝对可靠安全的，真正的安全隐患是通信双方密钥的分发、身份认证和文件完整性验证。用于解决这些问题的不对称公钥密码（RSA是其中比较常用的一种方案）仅具有相对安全性，理论上无法证明其绝对的安全可靠。量子密码通信企图解决的仅此一小部分而已，更正确的说是这一小部分的前三分之一：它试图提供的仅仅是密钥分发的安全方案。媒体把量子密码通信吹得天花乱坠真的可以休矣。

现在许多行业（包括银行）采用的都是对称密钥体制，这个标准由中国人民银行颁布的PBOC里面有详细的描述。这类密码系统的密钥分发要用到RSA这类非对称密钥只有初始化的第一次，之后采用的都是对称密钥。其实初始化都未必会用到RSA，任何能够安全地将初始化密钥分发到密钥分发管理中心的手段都可以采用，毕竟只需要做一次的事情。

总体而言经典密码系统是安全的，而且可以很负责任地说，系统的安全性是可以按需求调整提高的，这仅是一个成本控制问题。无论如何，总成本一定低于量子密码通信的。

必须明白RSA这类公钥问题仅是密码系统的一部分，而密码系统又只是整个信息系统安全的一部分而已。今日信息系统的安全确实面临一系列严峻的挑战，但如果把这些挑战按危急严重程度罗列出来的话，密码安全问题根本进不了前三甲。随着信息的电子化和网络化，密钥的产生、管理、分发全部是由电子计算机完成的，相比计算机操作系统和互联网本身的安全问题，所谓的RSA安全问题真是小巫见大巫了。

信息安全问题是个很长的链条，密码技术只是其中的一个环节，密钥分发又是这一环节中的一个细节。保证这一个细节的安全当然是应该的，但某些媒体无限拔高它的重要性是不对的，宣传要不惜一切代价提高它的安全性更是错误的。这可能会扭曲正常的资源配置，而且会误导公众，以为只要有了量子密码技术从此天下无贼，这样的想法相当危险。

木桶盛水的总量是被木桶的短板决定的，同理仅仅提高局部环节的安全性并不能改善整个信息系统的总体安全性。对于住在危屋中的朋友，你不劝他补窗修门筑围墙，而是极力推销一把高档“量子锁”，并宣称只要门上挂了此锁天下从此太平，这样的推销员是否过于“敬业”？

我们中间有些人对微软视窗操作系统的许多安全隐患熟视无睹，却对远为成熟安全的公钥密码RSA横挑眉毛竖挑眼，他们天天心安理得地使用着漏洞百出的微软视窗，却把公钥密码RSA描绘成明天就会引爆的地雷。这种思维方式总让人感觉有些滑稽，有点像即将沉没的游轮上的旅客不赶紧寻找救生圈，却在抱怨船上提供的有些食品临近保质期。

很明显，量子密码通信干线的应用并不广泛[3]，如今连最积极和乐观的人士也承认量子密码通信不能包打天下，这至少也算是一种进步吧。但有些人天真地认为量子密码通信能保证绝对安全，至少在某些高端领域应该会有用武之地。很不幸，连这样的想法也未必正确，至少已经建成的京沪干线能否在高端领域发挥积极作用仍要打上一个大问号。