需求和成本是工程立项的基础

自打世界首条量子保密通信干线——“京沪干线”正式开通后。中国科技人员在量子保密通信相关技术领域，诸如高速高效率单光子探测、可信任光子中继站和星地量子密钥协商等方面都取得了重大进展，可喜可贺！对此我们不需要更多的溢美之词，此时此刻，客观的介绍和有益的建议比什么都重要。

为什么要开发量子保密通信技术？因为从理论上讲，如果未来量子计算机真的建成，再如果建成的量子计算机有足够的量子位（Qbit）和足够的稳定性，那么今天密码系统中的非对称性的公钥密码RSA有可能被想象中的量子计算机破解。研发量子密码通信技术就是为了寻找未来可以替代RSA的技术。必须指出，虽然今日的密码系统并非尽善尽美，但也没有迫在眉梢的危机。由此可知，量子保密技术只可能是前瞻性的科学研究，而现在却把它做成了工程项目，这就必然会带来一些问题和争议。

“京沪干线”工程项目首席科学家、中科院院士潘建伟最近的谈话中提到：“....，但是大家不能把它炒作得太热，这样反而味道就变掉了。要严谨地去做事情。”从字里行间不难看出，他也担心京沪量子保密通信干线如果在过度炒作的舆论环境下，可能不利于解决实际的科学问题。他又说：“量子通信广泛应用取决于成本和需求两大因素。”这句话说到点子上了，评论工程项目，需求和成本就是两个始终绕不开的坎。

让我们先对量子通信工程的需求作些分析。2017年5月有一篇论文：“后量子时代的RSA”，该文发表后被多家相关杂志转载和引用，几乎一致的结论是现今使用的非对称性密码RSA不会因为量子计算机的出现而消亡。
该论文的核心观点是：假设量子计算机已经建成，再假设量子计算机的量子位（Qbit）可以无限扩展，进一步假设该量子计算机的运行成本与现在通用电子计算机的成本可以相比，用这样一台超级想象出来的量子计算机来破解长度Terabyte（太字节，等于1024GB）的RSA非对称密钥需要量子计算机进行2^100（2的100次方）的量子位操作。

2^100是一个什么概念？这个数大于我们星球上所有细胞的总数！当然一个Terabyte长度的RSA公钥也有点过份了，但即使在目前使用的电子计算机上运行，从密钥的产生到加密和解密一共化时五天。这样的方案虽然不太实用但至少还是可以实现的。
这篇论文并不是要为对抗量子计算机提供确切的方案，而是用实验和大量数据分析指出：即使围绕量子计算机的技术难题和运营成本全都解决，只要现行的RSA公钥增加字长和改善算法，就能迫使量子计算机的恶意攻击付出难以承受的代价，在后量子时代作为经典密码系统重要基石的RSA具有很长的生命力。急于丢弃RSA等公钥密码系统而另辟蹊径可能真是杞人忧天。

让我们进一步对量子通信工程作些初步的成本分析。经典保密技术与量子保密技术的主要区别是：经典保密系统中通信的内容与密码的配送使用的是同一个通信网络，而量子保密系统必需两个通信网络，一个传送通信内容，另一个配送量子密码。量子保密技术势必会大幅增加通信的成本。

由电路交换和分组交换技术构建起的经典通信网络从本质上来说与量子保密通信网络是格格不入、难以融合的。很难设想在原有的通信网络线路上实现量子密钥分发。换言之，为了通信未来的安全，我们必须在原有的通信网络之外加建一套传递密钥的专用网络。而且这条网络要求所有通信双方端到端全程使用光纤联接，当通信双方超过上百公里，还必须使用可信任中继站或卫星中继。暂不考虑工程的难度，对于普通用户特别是手机用户而言，仅成本一项无疑也是难以承受之重。

对付量子计算机未来可能的攻击，采用改进的经典数学方法而不是全新的量子密码技术己成为欧美密码界近期的共识，2017年年中在迪拜召开的RSA国际学术会议充分展示了这一点。这些改进后的新的密码算法完全可以在目前所有的计算机和通信网络上运行，现行一切通信方式釆用这些新算法进行升级换代过程可以变得更平稳更经济。

把高铁工程与量子保密通信联系在一起，可以印象化地说明这样一个事实：洋人做不来的事，中国人可以做而且可以做得很好。但是我们必须明白，量子保密通信不是高铁工程，它只是一个不完整的示范性工程，工程的必需性和可行性正面临严峻的考验。人们出行可以坐高铁也可以不坐高铁，也可以坐一段高铁再加一段普客。但是通信系统中经典密码系统很难与量子密码系统兼用，如果一定要联在一起用，就会有木桶短板效应产生，量子保密系统不能为用户带来丝毫益处，除非通信双方全程使用量子保密系统，而我们都知道这对大量的普通用户又是多么地不切实际。高铁一通，上面坐满了普通百姓，而京沪量子干线开通至今，请问又有几个吃瓜群众享受到了量子保密通信的好处？

那么金融行业，特别是银行系统是否会享受到量子通信干线的优越性呢？很可惜答案是否定的。量子计算机有可能破解RSA这类非对称密钥，而对于基于复杂逻辑运算的对称密钥体制根本就没有威胁。现在所有金融行业（包括银行）采用的都是对称密钥体制，这个标准由中国人民银行颁布的PBOC里面有详细的描述，并且PBOC标准也是参考美国的国家标准制定的，其实全世界的金融行业标准几乎都是一个模子刻出来的。

银行系统密钥分发要用到RSA这类非对称密钥只有初始化的第一次，之后采用的都是对称密钥加密。其实初始化都未必会用到RSA，任何能够安全地将初始化密钥分发到密钥分发管理中心的手段都可以采用，毕竟只需要做一次的事情，麻烦一些也无所谓。银行与其它金融系统对量子保密通信是不会有多少兴趣的，哪怕你明天就变出一台有几万量子位的量子计算机，他们仍旧会是“量子围困万千重，我自巍然不动。”

军队会使用量子通信吗？从目前的技术状态来看，这更不可能。军队通信对网络的移动性、可变性、和抗干涉性有更高的要求，而星地量子通信又极易受到干扰，也不适合地面接收站随身移动的场合，所以呢，量子保密通信从本质上很难适应这样的网络通信环境。

那么究竟谁是京沪量子干线上的主要用户呢？有报道说某某市政务系统开始采用量子保密通信技术，做些什么呢？使用量子密钥对视频通话加密解密。其实只要是了解政务系统的人都知道，跑在政务系统上面的信息，其实从来就没有太多需要保密传送的内容，真正机密的信息连一个字都不会放在政务网上的。所谓政务网采用量子通信多少带有点炒作、作秀的成分。

对量子保密通信概念的误解导致了一系列问题的产生，媒体的过份渲染和资本市场的炒作把问题进一步复杂化。因此有必要再次强调：
1）量子通信根本不是一种新的通信技术，它不是用来传递信息的，它从来不是、也永不可能为大众带来更快、更方便、更廉价的通信服务；
2）量子通信干线工程甚至也不是一套完整的密码安全系统，到目前为止，它不能提供密钥的分级发送管理、身份认真和电子签名这样一套完整的严格切实可行的信息安全服务；
3）目前量子通信工程只是基于BB84协议的量子密钥协商技术，原本是用来对付将来有可能发生的量子计算机对非对称RSA密钥攻击的一种防卫手段。但事实上RSA在后量子时代有足够强的生命力，而且更重要的是在许多应用环境中，RSA公共密钥並不是非要不可的。而在一些离不开RSA的环境中，量子通信又根本无法投入使用。

因此呢，铺开建设量子保密通信干线的工程项目必须谨慎再谨慎。从近期看，经典密码系统是安全的，到目前为止，量子保密技术不仅成本昂贵，而且功能上也无法替代经典密码系统。开发量子保密技术为的是应对未来可能发生的危机，但这种危机离我们仍十分地遥远，即使危机真的降临，改进升级后的经典密码系统应该足以应付危局。在后量子时代，量子密码技术并非是对抗危机的唯一选择，它很有可能仅是一枚永远也使用不上的备胎。