世界互聯(lián)網(wǎng)大會(huì)正在烏鎮(zhèn)辦得如火如荼，《北京日?qǐng)?bào)》的一篇報(bào)道稱北京有望明年用上量子通信網(wǎng)，稱量子通信技術(shù)“可以保證無條件安全的信息安全和溝通”，換句話說，“無條件安全”指的就是“絕對(duì)安全”。

《北京日?qǐng)?bào)》2015年12月19日的報(bào)道

不過可惜的是，這篇報(bào)道寫得非?；靵y，標(biāo)題說的是量子通信，里面一大半?yún)s在說量子計(jì)算機(jī)，而且很多地方說得驢唇不對(duì)馬嘴。量子通信和量子計(jì)算機(jī)盡管都是建立在量子物理的基礎(chǔ)上，但它們其實(shí)是完全不同的兩種技術(shù)，就像同一片土里長(zhǎng)出的土豆和玉米一樣，硬要放在一起說簡(jiǎn)直是添亂。那么量子通信到底是怎么一回事？所謂“絕對(duì)安全”到底是真的還是吹的呢？

有沒有絕對(duì)安全的密碼？

聽到“絕對(duì)”兩個(gè)字，大部分人都會(huì)覺得不靠譜，世界上哪有什么絕對(duì)的事呢？答案恐怕出乎意料，絕對(duì)安全（即無條件安全）的密碼是存在的，而且是早在100多年前就已經(jīng)存在的，這種密碼叫做“一次性密碼本”（one-time pad，簡(jiǎn)稱OTP）。

OTP為什么這么神奇？其實(shí)OTP的原理非常簡(jiǎn)單，首先我們將要加密的明文編碼成二進(jìn)制序列，然后我們生成一串和明文長(zhǎng)度一樣的完全隨機(jī)二進(jìn)制序列作為密鑰，將明文和密鑰做異或（XOR）運(yùn)算就得到了密文，而接收者用密文和密鑰再做一次異或運(yùn)算就能夠還原出明文。

就這么簡(jiǎn)單？對(duì)，就這么簡(jiǎn)單。開玩笑，這種東西會(huì)是絕對(duì)安全的？沒錯(cuò)，絕對(duì)。因?yàn)槊荑€是完全隨機(jī)的，而且和明文長(zhǎng)度一樣，這就意味著密鑰空間和明文空間的大小是相等的。換句話說，如果攻擊者用窮舉法窮舉了所有可能的密鑰，就相當(dāng)于窮舉了所有可能的明文，而攻擊者無法從所有的可能性中判斷出哪一個(gè)才是發(fā)送者所要發(fā)送的明文，因此窮舉對(duì)于OTP來說是毫無意義的。

上面的解釋有點(diǎn)繞？我們舉個(gè)例子。假設(shè)發(fā)送者要加密的明文是12345，攻擊者在不知道密鑰的情況下進(jìn)行窮舉，那么他會(huì)得到5個(gè)字符的所有排列組合，比如54321、12345、88888、ABCDE、*&#^!……既然所有的可能性都會(huì)出現(xiàn)，那么如何判斷哪一個(gè)才是真正的明文？不可能。

事實(shí)上，OTP的絕對(duì)安全性已經(jīng)由信息論之父克勞德·香農(nóng)于1941年在數(shù)學(xué)上進(jìn)行了完美而嚴(yán)格的證明，不存在任何可能性能夠在不知道密鑰的情況下破解OTP。那么問題來了，為什么在100年之后的今天，我們還沒有用上OTP呢？這是因?yàn)镺TP在現(xiàn)有的技術(shù)條件下，幾乎完全沒有實(shí)用價(jià)值。

OTP的絕對(duì)安全性需要幾個(gè)條件：1) 密鑰必須是完全隨機(jī)的（不可預(yù)測(cè)、不可復(fù)現(xiàn)）；2) 密鑰必須與明文等長(zhǎng)；3) 密鑰只能使用一次。上面這三個(gè)條件實(shí)際上在現(xiàn)實(shí)中幾乎做不到，因?yàn)槊荑€和明文等長(zhǎng)，而且只能使用一次，如果我有辦法把這么長(zhǎng)的密鑰安全地發(fā)送給對(duì)方，那么我為什么不干脆直接把明文發(fā)送給對(duì)方呢？OTP不是脫褲子放屁嗎？正是因?yàn)檫@樣，一直以來OTP僅在一些不計(jì)成本的非常高級(jí)別的通信中才會(huì)用到，比如說事先編寫一部特別特別長(zhǎng)的密碼本，派特工直接交到對(duì)方手里，然后雙方在以后的通信中就可以用OTP了，當(dāng)然了，由于OTP的密鑰是一次性的，因此密碼本全部用完之后就得再送一本新的……

量子通信：OTP的第二春

等等，我們不是講量子通信嗎，怎么扯了半天OTP？之所以要講OTP，是因?yàn)榱孔油ㄐ艑?shí)際上就是基于OTP的，只不過因?yàn)榱孔油ㄐ潘?dú)有的一些特點(diǎn)，讓OTP這個(gè)脫褲子放屁的玩意兒真正有了實(shí)用價(jià)值。

好了，現(xiàn)在我們講什么是量子通信。量子力學(xué)的很多理論聽起來都特別不可思議，所以我們不講太細(xì)，我們先記住一個(gè)重要的原理：某個(gè)光子的狀態(tài)是無法準(zhǔn)確測(cè)量的，因?yàn)闇y(cè)量這個(gè)行為本身就會(huì)改變它的狀態(tài)（海森堡不確定性原理）。量子通信就是利用了這一原理，簡(jiǎn)單來說，發(fā)送方在量子信道生成并發(fā)送一串狀態(tài)隨機(jī)的量子比特（偏振方向不同的光子），接收方則用隨機(jī)的測(cè)量基準(zhǔn)對(duì)這些量子比特進(jìn)行測(cè)量。當(dāng)然，由于不確定性原理的存在，接收方是無法準(zhǔn)確測(cè)量每一個(gè)量子比特的，其中一半是測(cè)錯(cuò)了的，但雙方可以通過某種特定的協(xié)議，利用普通信道（不需要加密）對(duì)測(cè)量基準(zhǔn)進(jìn)行對(duì)比，然后各自丟棄測(cè)錯(cuò)了的那一半，剩下的量子比特都是被正確測(cè)量的，把正確的量子比特連起來，就形成了一串雙方內(nèi)容一樣的二進(jìn)制序列，這就相當(dāng)于雙方“協(xié)商”出了一串完全隨機(jī)的二進(jìn)制序列。如果有人在量子信道對(duì)這一過程進(jìn)行竊聽，那么竊聽者也必須對(duì)信道中的量子比特進(jìn)行測(cè)量，由于不確定性原理的存在，竊聽者同樣無法準(zhǔn)確測(cè)量出所有比特的狀態(tài)，而且測(cè)量行為本身還會(huì)改變其中一半比特的狀態(tài)，通信雙方在進(jìn)行測(cè)量基準(zhǔn)對(duì)比的階段就會(huì)發(fā)現(xiàn)這些改變并丟棄被干擾的比特，因此竊聽行為本身就是無效的。

如果上面這一段沒看懂，我實(shí)在想不出更好的方法來解釋，因?yàn)榱孔恿W(xué)本身就不太符合我們的常識(shí)。這樣吧，我們暫且記住這樣一條結(jié)論：量子通信的核心是“量子密鑰分發(fā)”，即雙方可以安全地“協(xié)商”出一串內(nèi)容相同且完全隨機(jī)的二進(jìn)制序列，第三方無法竊聽。這里我們需要注意一點(diǎn)，量子密鑰分發(fā)只能用來“協(xié)商”出一串內(nèi)容相同的二進(jìn)制序列（雙方事先都無法確定最終協(xié)商出來的序列的準(zhǔn)確內(nèi)容），而并不能用來傳送信息本身，因?yàn)楦鶕?jù)不確定性原理，傳送的量子比特中一半都是要被丟棄的。

有了一串完全隨機(jī)的二進(jìn)制序列，我們可以做什么？沒錯(cuò)，我們就可以用OTP了呀！因此完整的量子通信實(shí)際上是這樣工作的：1) 雙方通過量子密鑰分發(fā)協(xié)議協(xié)商出一串隨機(jī)密鑰；2) 發(fā)送方用協(xié)商的密鑰對(duì)明文進(jìn)行OTP加密；3) 發(fā)送方通過普通信道（如因特網(wǎng)）將密文發(fā)送給接收方；4) 接收方用協(xié)商的密鑰進(jìn)行解密。這樣一來，我們就完成了一次基于量子密鑰的OTP通信。

香農(nóng)大神說，只要你有辦法安全協(xié)商密鑰，OTP就是絕對(duì)安全的；海森堡大神說，利用量子力學(xué)的不確定性原理就能安全協(xié)商密鑰。把這兩個(gè)特性加起來，量子通信就是“絕對(duì)安全”的，貨真價(jià)實(shí)，一點(diǎn)都不夸張，除非量子力學(xué)從頭到尾就是錯(cuò)的。因此，量子密碼很有可能就是密碼學(xué)的終極形態(tài)，如果量子通信能夠真正進(jìn)入實(shí)用領(lǐng)域，那必將是一個(gè)歷史性的時(shí)刻。