量子通讯的绝对保密性不存在—— BB84协议完全可以用经典光学理论描述与量子力学无关

量子通讯的绝对保密性不存在—— BB84协议完全可以用经典光学理论描述与量子力学无关 —— https://mp.weixin.qq.com/s?__biz=MzI5OTE2Mzk0Ng==&mid=2649501129&idx=1&sn=adfb71d6ab73f722f7158e9417dc488a&chksm=f482458cc3f5cc9a46b848585c9437035dc75dc068ff22eeed2307b21eaed191e06c5c7d35fb&mpshare=1&scene=1&srcid=0321PJF2jYdj72ws1vcOasjc#rd

量子通讯的绝对保密性不存在—— BB84协议完全可以用经典光学理论描述与量子力学无关 ——

2018-03-21 梅晓春李小坚俞平 梅晓春原创物理

 

福州原创物理研究所所长梅晓春,北方工业大学自动化系教授李小坚和美国Cognitech计算技术研究所首席科学家俞平,2018年3月20日在中国科技新闻网发表了两篇文章。

第一篇的题目是《量子态不可克隆定理不存在的证明》, 该文证明量子通讯无条件保密的物理学基础不存在。

量子态不可克隆定理不成立的证明_中国科技新闻网 http://www.zgkjxww.com/zjpl/1521426487.html

第二篇的题目是《量子通讯的绝对保密性不存在— BB84协议完全可以用经典光学理论描述与量子力学无关 —》。

量子通讯的绝对保密性不存在_中国科技新闻网 http://www.zgkjxww.com/zjpl/1521440679.html

在第二篇文章中,作者进一步指出,量子通讯的BB84协议属于经典光学的激光弱光源通讯范畴,它的理论和实际操作过程都可以用经典光学理论描述,与量子力学没有关系。与传统的建立在大数分解基础上的密码系统和成熟的大容量光纤通讯相比,量子通讯没有任何优势,不但效率低下,而且稳定性差,实际上根本不适用。

实际的量子通讯只需要分光器,通过它来改变光的偏振,用偏振态来编码和传送信息。这些都是经典光学的东西,采用经典电磁理论就能描述。所谓的BB84协议量子通讯实际上是建立在经典光学基础上,采用弱光源激光进行的光纤通讯,与量子力学完全无关。

事实上,量子通讯理论从来都不需要讨论和求解任何量子力学方程,甚至连普朗克常数都不出现。量子力学最重要的特征之一,是波函数的线性叠加原理,量子力学的态是线性叠加态。然而在量子通讯的实际操作过程中,用来编制密码的光子都是具有确定偏振的单光子,而不是叠加态的光子。在密码的传输和接受过程中,采用的也是具有确定偏振的单光子,而不是叠加态的光子。按照量子力学的测量理论,一旦进行测量,波函数就崩塌到叠加态的某个状态。由于光子的发射与接收都可看成一种测量过程,因此线性叠加态是不可直接输入和输出的,多个单态的输入叠加处理才可以进行量子叠加态运算处理。

除此之外,所谓的量子通讯与一般人的理解有很大的距离,以下几点需要澄清。

1. 量子通讯传送的实际上只是秘钥,即给信息加锁和解锁的钥匙,而不是传送经过加密的信息。原因在于现代通讯的信息量非常大,由于采用极弱的光源(单光子),量子通讯的效率非常低,根本不能适应大容量通讯的需要。

2. 所谓的量子秘钥的本身仍然是一种传统的秘钥形式,即随机码。按照密码学理论,只要随机码不是和明文一样长,仍然是可以破译的。

3. 量子通讯只传送秘钥,其传送过程与大容量的数据传输是分开进行的。量子秘钥有两种方式传送,一是与传统光纤并行铺设一条独立的光纤传送,二是通过卫星远距离传送。大容量明文的加密仍然用传统方法完成的,并且通过传统的光纤传输。把这种通讯说成量子通讯名不符其实,是混肴概念。

4. 按照正常的理解,如果窃听者对通讯进行窃听后,将窃听到的信息进行复制并按原线路送回,就有可能不会被发现。量子通讯理论认为,由于存在所谓的“量子态不可克隆定理”,量子信息不可复制,窃听者就无法将窃听到的信息进行复制并送回。窃听者就一定会被发现,信息传输方可以立即中断传输以防进一步的泄密。

因此所谓的量子通讯绝对保密只能理解为“窃听者一定会被发现”,而不是量子通讯可以绝对保密。这与一般人想象的,量子通讯不可破译根本就不是一回事。事实上,通讯的连续性是非常重要的,如果因为窃听而无法连续,其实用价值就打了个大折扣。

5. 由于量子秘钥采用单光子或弱脉冲信号编码,在光纤中传送很容易衰减。因此就不得不在沿线每隔一百多公里就建立一个中继站,将量子秘钥解译出来(将光信号转化成电信号),放大后再转化成光信号,重新输入线路。在此转化过程中如果有人窃取秘钥,则是无法发现的。

因此每个中继站都得派人严守,或安装监控设备。如果看守人被收买,或监控设备失灵,量子秘钥完全可以被泄露而不为传送者所知。由于在这个环节上没有绝对的保密性,通过地面光纤传输的量子通讯方法的绝对保密性实际上不存在。

6. 通过卫星来传输量子秘钥,就是为了解决这个问题。但由于使用的是单光子或弱光源,卫星传输方法受到极大的限制。白天太阳当空,秘钥编码光源比背景光弱得多,实际上难以观察,只能在夜晚通讯。而大气环流的扰动,云彩遮盖,空气中尘埃、水汽、微粒分子的散射等等,都会对秘钥光子的传输造成严重的影响。由于低轨道卫星在地球表面是一掠而过的,能够进行通讯的时间只有几分钟,就需要发射大量卫星才能形成网络。

即便如此,从各个卫星通信站到各个用户之间,仍然需要在地面通过光纤来连接,仍然不能保证秘钥不被窃取。加上物理学基本原理方面存在的问题,量子卫星通讯也没有实用价值。

如果量子通讯的绝对保密性的物理学基础不存在,BB84协议只是一种用单光子来编制的新形式的秘钥,与其他传统的秘钥相比,是不是有优越性呢?

按照BB84量子通讯方法,生成的所谓秘钥是一串二进位制的随机码。它实际上就是一种简化到极致的,称为模2加的经典序列密码。而按密码专家的说法,这类用电噪音等手段来产生的“随机的密钥流序列”,在现在的每台密码机上都已经是成熟的标配设备。

事实上,现有密码学研究已经发展出非常复杂的体系,已有的序列密码比这种模2加的方式要复杂的多,保密程度好得多。因此量子BB84协议根本没有优势,由于生成和传输秘钥的过程过于复杂,所涉及的物理过程受到很大的限制,就不可能比其它序列密码具有更好的保密性,更不用说有足够长度的RSA秘钥了。

关于量子秘钥与传统秘钥的优劣,以及量子通讯是否绝对安全,量子计算机是否可以挑战传统保密通讯的问题,北京邮电大学信息工程学院院长,信息安全中心主任,密码专家杨义先教授在科学网上发表一篇题为《量子的安全笑话》的文章,现摘录如下:

量子通讯绝对(无条件)安全吗?从哲学角度看,就算脑子坏了,你用脚后跟稍微想一想,就很清楚的事情,却被媒体炒得沸沸扬扬,好像已是真理一样。… 不要说你量子通讯不可能绝对安全;就算百年后、千年后出现的更加先进的“牛X通讯”,也不可能绝对安全!伙计,请记住:任何时候,“安全”都只是相对的,“不安全”才是绝对的!更可能的情况是:网络世界会越来越不安全,量子通讯普及后,安全问题将更多。因为,几千年来的历史经验已经反复证明,任何先进的技术都会带来新的安全威胁,这也就是为什么佛家说:人类其实是“嗜好死亡”的生物。

光纤专家们刚经历的难堪,也许可用来教训一下骄傲的量子专家:仅在几年前,光纤专家还叫板说“光纤通讯就是安全,因为光纤很难插接……”;结果话音未落,自己的底裤就曝光了!

从理论上说,信息论之父香农博士,1948年在其著名论文《保密系统的通讯理论》中确实证明过:如果密钥流序列是绝对随机的,“1次1密”的密码系统是理论上不可破。这也是人类至今知道的,唯一“绝对安全”的密码系统吧。但是请注意,香农“绝对安全”的前提是“密钥流绝对随机”而且“密钥流的长度与待加密信息的长度相等”。换句话说,包括香农本人在内,全球安全界的所有专家都清楚:香农的所谓“绝对安全”,在实际中是绝对不可用的!

所以,过去近70年来,人们只好用“算法产生的伪随机序列”去代替“绝对随机的密钥流序列”,其代价就是“不再绝对安全”。用量子来产生“绝对随机的密钥流序列”……并非理论上的突破,更不能将其提升为实现了“绝对安全”的密码系统。因为,密码学家们一直就在用电噪音等手段来产生“绝对随机的密钥流序列”,而且几乎每台密码机上,都已标配有这样的成熟设备。

量子计算机出现后,密码学家就得乖乖投降了吗?一个40位的量子计算机,就能解开“1024位的电子计算机需要数十年才能解决”的问题;用量子计算机去暴力破解AES-256加密算法,其效率跟电子计算机暴力破解AES-128的难度是一样的,等等。猛然一看这些结果,确实震撼人心。但是,仔细思考后,就完全没必要杞人忧天了。

首先,AES密码算法与它老爸(DES密码算法)一样,都有自己的设计寿命;一旦年龄到点,无论那时量子计算机是否已经诞生,AES都得退休,由它那未出生的儿子(暂且叫“X算法”吧)来接班。若有必要,比如,出现意外的安全威胁,那么,AES提前几年退休就得了,没什么大惊小怪的。RSA算法也从来不是“万岁爷”。在密码界压根儿就没有过终身制,密码学家随时都在设计新型的,试图替换正在使用的标准密码算法。

其次,量子计算机无论有多牛,都只不过是运算速度更快,并行能力更强而已。几千年来,应对类似的考验,密码学家已经历多次了。当机械计算机出现后,古典密码确实可被轻松破译,但是,密码学家早已经准备好了让机械计算机一筹莫展的新型密码算法。当电子计算机出现后,机械密码确实又可被轻松破译,但是,密码学家照样又准备好了让电子计算机望而兴叹的AES和RSA等密码算法。N年后,当量子计算机诞生后,也许它可横扫目前的密码算法,但它一定会发现,那时正在使用的密码算法,对量子计算机早已具有强健的免疫力。实际上,密码学家们特别擅长于“以其之矛,攻其之盾”或“以其之盾,防其之矛”;他们现在就已经开始针对量子特性,设计专门对付量子计算机的新型密码算法了。

在密码破译中,虽然计算能力扮演着关键角色,但是,历史上几乎从来就没有哪种密码算法是被纯暴力破译的。二战期间,人类发明电子计算机的主要动机就是想破译轴心国的密码,但事实上也没能派上用场。若要想依靠暴力来破译现代密码,那么,对计算能力的提升绝不是几万倍、几亿倍甚至几亿亿倍就能见效的,因为,破译能力并不会随着计算能力的增加而线性增加。所以,当你再回味前面那个恐怖结果“用量子计算机去暴力破解AES-256加密算法,其效率跟电子计算机暴力破解AES-128的难度是一样的”时,就再也不用担心了,因为,当前的电子计算机对AES-128也是无能为力的。而且,最悲观的底线是:就算量子计算机能够征服AES-256,就算密码学家们还没能找到有效对付量子计算机的新型密码算法,那么,AES-512、AES-1024等等AES的家族成员,也绝对够量子计算机“喝一壶”的了!当然,我相信,这些假设一个也不会成真。

难怪有人在网上评论说:

量子通讯只是量子实验专家在唱独角戏,信息领域安全专家和通讯领域专家全无参与,绝对是KTV模式。用实验室的模式直接铺开做大工程项目,只能说国家钱多得没地方花了。

详细论证请看:

量子通讯的绝对保密性不存在_中国科技新闻网 http://www.zgkjxww.com/zjpl/1521440679.html

或看以下附件文章:

长按二维码,进入梅晓春原创物理公众号

发表评论

电子邮件地址不会被公开。