2017年9月29日，世界首条量子保密通信干线“京沪干线”正式开通。这是中国继2016年8月16日发射世界第一颗量子科学实验卫星“墨子号”后，在量子保密通信领域的又一项重大进展。对于京沪干线的介绍，可以参见我的文章《解读量子通信京沪干线，包你懂》。

　　我的前辈朋友、加州大学洛杉矶分校（UCLA）物理系研究员徐令予，在退休后很关心中国科技各个领域的发展，近年来在观察者网和科学网等媒体写了许多文章，介绍和评论的领域十分广泛，遍及量子信息、航天、天文望远镜、人工光合作用、太阳能发电、无人驾驶等等（http://www.guancha.cn/XuLingyu）。包括我在内的读者们从中学到了很多东西，也对美国的社会动态增加了很多了解。对于各个具体科学问题，即使意见不是完全一致（例如对于500米口径射电望远镜FAST），我们也可以看出徐老师对故乡和同胞的眷恋，对此都抱有深深的敬意。虽然我和徐老师尚未谋面，不过在网络上已经做过不少交流，可以称为忘年交了，对此我深感荣幸。

　　因此，当我看到徐老师2017年10月31日发表在观察者网的文章《炒作量子通信工程，连潘建伟都担心》时，认为这是一篇值得仔细研究的文章。此文在开头祝贺了京沪干线开通后，侧重点就急转直下，主要篇幅放在给量子保密通信泼冷水降温上。

　　为什么说这是急转直下呢？因为徐老师以前的许多文章，是对量子保密通信的科普和支持，例如《为什么发展量子密钥技术已刻不容缓》、《为什么说外国无法破解中国量子密钥技术》、《反对高铁的逻辑，要用到量子通信上了？》。

　　从这些文章中摘几段：

　　“量子计算机的研发进展是各强国的最高机密，媒体上的报道真真假假千万信不得，很有可能用以破译的专用量子计算机已经接近完工，这决不是危言耸听，密码世界从来是波诡云谲、莫测高深。即使按专家们保守的预测，量子计算机的实际应用也许还要等十到十五年，但寻找新的密码系统，特别是开发密钥分配的新技术已经刻不容缓，因为新技术从开发到系统的建立和实用也需要时日，所以我们已经到了最危险的时刻！”（《为什么发展量子密钥技术已刻不容缓》）

　　“有必要再次强调：与其它密码技术不同，量子密钥分配技术从原理上保证密钥配送是绝对安全的，量子通信是稳定可靠的，加速发展量子通信是十分必要的，因为现有密码系统已经到了最危险的时刻。工程实施中一定会有许多的问题，但原理与实施是完全不同的两个概念，毕竟实施中的技术问题可以逐步解决，不可破译的原理才是该项技术具有发展前途的根本保证，它使我们对量子密钥分配技术的将来充满了信心。”（《反对高铁的逻辑，要用到量子通信上了？》）

　　以上这些说法，我都十分赞同。而在《炒作量子通信工程，连潘建伟都担心》一文中，徐老师的结论却似乎翻了个个：

　　“开发量子保密技术为的是应对未来可能发生的危机，但这种危机离我们仍十分地遥远，即使危机真的降临，改进升级后的经典密码系统应该足以应付危局。量子密码技术并非是对抗危机的唯一选择，它很有可能仅是一枚永远也使用不上的备胎。”

　　有意思，大反转啊！当然，徐老师在此文中一再声明：“对量子保密通信技术作前瞻性科学研究应该大力支持，我的这个态度始终也不会改变。”不过对工程的态度，看起来徐老师是反转了。

　　类似的观点我早就看到过，但那些并不值得认真对待，因为只有个结论，没有论证过程。而徐老师就不一样了，无论他写什么话题，持什么观点，总是会举出不少“干货”，无论正方反方都可以从中得到新的信息。在这篇文章中，最大的干货是一篇标题为《后量子RSA》（“post-quantum RSA”）的论文，徐老师向大家介绍了这篇论文，把它作为经典密码术已经够用的重要证据。

　　徐老师把这篇20页的论文发给了我，最近我仔细研读了一番。我的专业是理论与计算化学，量子力学是这门学科的基础之一，所以我对量子力学还算是比较熟悉，但是对信息科学的了解就很有限了。至于密码学这门需要大量数学技巧的学科，我更是门外汉。不过，经过研读，加上一些专家朋友的帮助，我想我还是理解了《后量子RSA》的基本框架。

　　这篇文章确实很有趣，提出了一种比现在通行的RSA密码体系更加能够抵抗量子计算机的改进版RSA。但在理论层面，这个进步只是把“完全不安全”（敌方破解几乎跟合法用户解密一样快）提升到了“稍微有点安全可言”（破解的速度低于加密解密的速度），远远没有达到正统的安全标准（破解的计算量指数增长）。

　　更重要的是，这个进步跟“量子密码术为什么有价值”的大图景完全无关。这样的进步再来一万个，也不会使经典密码术变得无懈可击，不会使量子密码术变成多此一举。

　　其实作者们也完全没有这个意思，原文对这个成果的自我评估是很准确的，徐老师似乎对这篇论文有些误读。其中一个误读是，把“2的100次方的量子比特操作”看成了“2的100次方的量子比特”，由此引申出来的评论自然也都失准了。

　　徐老师文章中的论据，除了《后量子RSA》之外，还有其他的。不过在我看来，有一些比较明确的错误（“硬伤”），还有一些比较“软”的可商榷之处。其中最硬的错误，是认为有些公钥密码体系已经在原理上被证明不可能被量子计算机破解了。实际上，人们还没有证明任何一个公钥密码体系不可能被经典计算机破解，又怎么可能得到更强的结果，证明它不可能被量子计算机破解呢？

　　一个公钥密码体制可以抵抗某种算法的攻击（包括量子算法），不等于能从原理上证明其安全性，因为后者是要证明它可以抵抗任何已知和未知算法的攻击。而至今唯一能从原理上严格证明安全性的密码体制，就是量子密码术。这是量子密码术与所有的公钥密码体制之间的根本差別。

　　在一篇文章里见到这么多可商榷之处，对于低水平的作者来说很常见，对于徐老师来说很罕见。我感觉这篇文章徐老师写得比较急促，大概是心里对另外一些事感到焦虑，一些科学之外的事。

　　我跟徐老师沟通，徐老师告诉我，被最近某公司人身威胁科学家的事件刺痛了，最担忧的是骗子伤了众人的心，最后政府光火把脏水连同孩子一起泼出去，所以希望理性降温。这就可以理解了。对于如何保持量子通信领域的健康发展，我也将在本文中谈谈我的观点，以及我了解的一线工作者的看法。公众、投资者和潜在的用户明白了这些基本图景，也将有利于抵制资本与媒体的炒作，促进量子通信行业健康发展。

　　以上是一个总体的介绍。下面我来具体说明各个要点，以及借这个机会，解释一个基本问题：量子密码术的价值究竟在哪里？

　　什么是量子密码术？

　　描述微观世界基本物理规律的理论，叫做量子力学，它跟相对论是目前已知的两大基础物理理论。量子力学出现后，我们就把描述宏观世界的牛顿力学称为经典力学，它可以理解为量子力学在宏观情况下的近似。

　　1980年代以来，量子力学跟信息科学交叉，产生了一门新的学科“量子信息”。这门学科的目的，就是利用量子力学的特性，实现传统信息科学中实现不了的功能，例如永远不会被破解的保密方法（就是后面要解释的量子密码术）、科幻电影中的“传送术”（它的专业名称叫做“量子隐形传态”）。

　　《星际迷航》中的传送术

　　经典的信息科学包括通信和计算两大主题，量子信息的研究内容同样也可以分成两大块：量子通信和量子计算。这两大子领域里又各自有若干具体应用，刚才说的量子密码术和量子隐形传态都属于量子通信，而量子计算中的重要应用包括量子因数分解和量子搜索等等。下面这个图，可以表示量子信息这门学科的脉络。

　　量子信息学科内容

　　我写过不少量子信息的科普文章，目前最全面的一篇《你完全可以理解量子信息》（http://tech.sina.com.cn/d/2017-08-31/doc-ifykpysa2199081.shtml）。读者如果想知道量子力学有哪些可以用于信息科学的特点，量子信息的这些应用做的是什么事，以及为什么能做到，请去参阅这篇长文。

　　许多媒体在报道“量子通信”如何如何的时候，指的实际是量子密码术，即量子通信的一部分而非全部。量子密码术又被称为“量子保密通信”或者“量子密钥分发”，无论从哪个名字，你都可以一眼看出，它是一种保密的方法，不是有些媒体胡思乱想的超时空传输之类。

　　量子密码术实际做的是什么事情呢？简短的回答是：不通过信使，让通信双方直接分享密钥。打个比方，就是《红灯记》中的李玉和下岗了，地下党和游击队不通过他就直接获得了同一套密电码。

　　《红灯记》

　　怎么做到的？有若干种技术方案，都称为某某协议，包括BB84协议、E91协议、B92协议、诱骗态协议等等。由于篇幅所限，本文对这些方案不能详细解释。有兴趣的读者，请参阅《你完全可以理解量子信息》中的相关内容。

　　这里有一点值得强调。许多科普作品说量子密码术离不开“量子纠缠”（你八成听说过这个词），但这个说法是错误的！一线工作者都知道它错，而媒体仍然整天这么说，——可能他们觉得量子纠缠这个词比较高大上，读者听了以后晕头的程度直接上升三级。实际情况是，量子密码术有若干种实现方案，有些用到量子纠缠，有些不用量子纠缠。量子纠缠是个可选项，而不是必要条件。

　　不仅如此，量子纠缠其实还是个很少被选中的可选项。量子纠缠是一种多粒子体系的现象，而对于实验来说，操纵一个粒子肯定比操纵多个粒子容易。量子密码术可以通过发射和接收单个光子实现，所以，绝大多数量子密码术的实验都是用单光子方案做的，这样达到的效果更好。有些文章通过批评量子纠缠来批评量子密码术，这其实就是被那些说量子密码术必须用到量子纠缠的媒体给忽悠了，属于无的放矢。