目前的“量子通信”都是基于量子力学测量原理的BB84协议的各种工程翻版,该方案利用光子的偏振态作为信息载体来传递密钥,基本的工作原理介绍如下。
发送方把不同的滤色片遮于光子源前,就可分别得到四种不同偏振态的光子,分别用来代表“0”和“1”。请注意,每个代码对应于两种不同的光子偏振状态,它们出自两组正交的偏振滤色片。接收方就只有两种偏振滤色片,上下左右开缝的“十”字式和斜交开缝的“X”字式。由于接收方无法预知到达的每个光子的偏振状态,他只能隨机挑选两种偏振滤色片的一种。接收方如果使用了“十”字滤色片,上下或左右偏振的光子可以保持原量子状态顺利通过(见图中上面的第二次选择,接收方用了正确的滤色片),而上左下右、上右下左偏振的光子在通过时量子状态改变,变成上下或左右偏振且状态不确定(见图中第一次选择,用了错误的滤色片)。接送方如果使用X字滤色片情况正好相反,见图中第三次选择(错误)和第四次选择(正确)。
接收方通过公开信道(电子邮件或电话)把自己使用的偏振滤色片的序列告知发送方,发送方把接收方滤色片的序列与自己使用的序列逐一对照,然后告知接收方哪几次用了正确的滤色片(打勾✔的2,4,5,6,9,11,12)。对应于这些用了正确滤色片后接收到的光子状态的代码是:10011010,接发双方对此都心知肚明、毫无疑义,这组二进制代码就是它们两人协商出的一个共享密钥。QKD过程中如何防止第三者窃取密钥等技术细节就不在本文展开了[3]。
通过上面的介绍可知,量子通信就是基于物理原理依靠硬件分发密钥的技术。表面上看,这种技术似乎能为通信双方获得共享的密钥,而又不需要收发方在通信以前有过“零距离接触”。其实这是对密码学基本原理的一个严重的误解,或许是故意的曲解。量子密钥分发技术根本解决不了“零距离接触”这个难题,它无法为亿万互联网上“非熟人”之间提供密码服务。量子现象再怎么神奇,它总不能违背最基本的逻辑吧?用上述的密码学基本原理分析一下,就可彻底看清量子通信的真实面目。
在QKD开始时如果甲乙双方的真实身份无法确认,攻击者在量子传递线路中间对甲方冒充乙方,同时对乙方冒充甲方。甲方与攻击者之间、攻击者与乙方之间照样可以顺利协商得到两个密钥,然后甲方把通信内容加密后传送给了攻击者,攻击者用第一个密钥解密获得了全部通信内容,然后再把通信内容用第二个密钥加密后传送给乙方,乙方用密钥解密得到通信内容。甲乙双方还以为依靠量子通信完成了无条件安全的通信,谁知攻击者在暗处偷笑:量子通信传递的秘密“尽入吾彀中矣。”
量子通信不适合用作通信双方的身份认证,但也不是完全不能做。已经存在一种称为“Wegman-Carter scheme”的方案可以用作通信用户的身份认证[4]。这个方案的原理其实也简单,就是让通信双方在QKD通信之前预先取得一个较短的密钥(又称为tag,一般为256位的二进制数),接着双方通过QKD取得新的共享密钥,然后用它来加密解密tag,最后经过比对确认对方的真实身份。从这个角度看,QKD实质上是一种受条件限制的密钥分发技术,这个限制条件就是通信双方在密钥分发前已经拥有初始共享密钥。换言之,所谓的“量子通信”只能为有过“零距离接触”的熟人之间协商分发出对称密码中的一个共享密钥,它与公钥密码是驴唇不对马嘴。“量子通信”完全没有可能替代公钥密码。
量子通信推动者和科普教育者都有意或无意中,掩盖和混淆了这样一个铁的事实:量子通信其实只是以硬件方式为“熟人”之间提供一个共享的密钥,除此之外它啥也干不了。量子通信不仅无力替代公钥密码为互联网亿万“非熟人”之间分发密钥,而且因为它提供的仅仅是一个共享密钥而不是像公钥密码那样的一对密钥(包括公钥、私钥)。没有公钥、私钥的协同配合就难以实施互联网上的身份认证、数字签名等等服务,而这些服务恰恰是保证互联网通信安全的关键。
要为亿万互联网用户服务,量子通信还有一个更难的障碍无法跨越。量子通信与对称密码一样需要在收发方之间建立和保存初始密钥(或者称tag),当用户数成千上万的增长后,管理这些海量的初始密钥就会成为不可能完成的任务。
