设为首页收藏本站
开启辅助访问 切换到宽版

科学网

 找回密码
  注册
科学网 标签 量通

tag 标签: 量通

相关帖子

 版块 作者 回复/查看 最后发表

没有相关内容

相关日志

量子通信:媒体和公众都需要刷新的认知(上)
热度 2 lhy8848 2019-4-30 14:17
按语:本文首发于4月3日的观察者网,自发表以来引起广泛的反响,包括科学网姬扬博主也针对此文在返朴公众号上发表批判性文章 《 量子保密通讯,经典派陷入的N个误区 》,有关我对姬扬博主的回复性文章,因为某种原因无法正式发表。鉴于此文篇幅较长,现将原发表在观察者网上的文章分成上下两部分,分别重发在科学网上。 科网编辑:此文已在观察者网上公开发表,应该未触犯红线,恳请放行。 前言 当下中国科技界最耀眼的领域,无可争议的是量子通信,这是一个各种大小奖拿到手软,被各种光环笼罩的明星领域,也收获了《自然》杂志颁发的“量子之父”的桂冠,同时这也是充满了争议和误解的领域。争议者主要来自科技界,误解的人群则是媒体和公众,但是也不尽然。 随便在大街上拦住一个行人,问问是否听说过量子通信,估计回答听说过的要占7成以上,但是如果接着问量子通信究竟做了些什么的时候,回答的内容可能就会千奇百怪,而且尤其奇怪的事情,他们所描述的量子通信似乎与实际相差甚远,根本就不是同一件事情,甚至连边都靠不上。 曾经向一位海外华人量子科学家请教有关量子通信方面的问题,尽管对方的研究方向并不在这个领域,但是毕竟还是大行业方向内的专家。当讨论有关国内建设完成的京沪干线和墨子号卫星时,他对中国科学家在世界上率先实现纠缠模式的量子通信表示了敬佩之情,然而这仍然是一种误解。因为国内量子通信采用的BB84协议只是利用了单光子的四个偏振方向,并不是一对纠缠光子。他了解国内量子通信进展的渠道,很多就是国内媒体发表的各种科普性新闻类文章,几乎无一例外让他从专业上解读成纠缠模式的量子通信已经实现。包括铺天盖地的墨子号卫星的宣传,有关量子纠缠分发与地面网络的各种结合的展望,很难不让人做这样的联想。徐令予老师在《 警惕科普中的不正之风 》就提到,由科学院主管、科学出版社主办的《 Newton 科学世界》 2019 年 2 月号,里面就在告诉大家,中国实现的量子通信手段就是采用的量子纠缠技术。 国内媒体甚至权威性媒体的不专业误导性宣传,如果连领域内专家都无法分辨真假,让普通人做到这一点就显得强人所难。 也曾经与很多IT行业的专家工程师们恳谈,在多数情况下,他们对于量子通信的理解其实跟普通人的理解并无不同,把这项技术当作牢不可破的量子非对称加密技术,用来取代现今广泛应用的RSA算法。他们一点都不相信我告诉他们的,量子通信只是做了对称密钥分发的工作,因为从媒体的宣传来说,量子密码专家一直强调的是RSA非对称算法的危机,从来没有对对称算法进行过安全问题的指责,更没有针对对称密钥分发环节出现什么危机进行过任何提示,并且以他们的专业知识和工程实践,有关对称密钥分发的机制已经研究得非常深入,尽管不能说尽善尽美,但是想要找到其中的漏洞那也是难上加难。这是经历过几十年考验的技术,得到了最广泛的应用,我们每天使用的互联网和手机应用、移动支付都离不开它。他们不能理解,对称密钥分发的过程,怎么就突然间在量子密码专家眼中变成了一个最严重的薄弱环节,他们的准星不是一直在瞄着RSA吗?怎么没有试图去解决RSA问题? 所以,虽然好像大家都在谈论量子密码,都在热议一旦量子密码应用到比如军事领域,那该是多么傲视全球的黑科技,从此,斯诺登们再也不可能干扰窃取到我们任何一点机密,在国人眼中,量子密码团队简直就跟华为公司一样,分别站在量子科学领域和高端制造领域的顶峰,成为中国最耀眼的两张名片,堪称国之重器。 但是,这些可能都是媒体和公众,包括专家在内一厢情愿的想法,正如文章的标题所言,我们恐怕需要刷新一下有关量子密码的知识了。 还是从一篇尚未发表的论文谈起吧。 有关金贤敏论文 上海交大金贤敏团队的论文《 Hacking Quantum Key Distribution via Injection Locking 》(以下简称金文)发布在预印本文库arXiv上,在这篇论文中,提出了一个在信源端通过“注入锁定”的方法, 获得高达 60 %的量子密码盗取成功率 。文章中还 实验了采用光隔离器防堵漏洞的方法,这种设备只允许光子在一个方向上行进,从而防范反向光的注入锁定。不过这个方法也不完美,由于该技术并不能完全阻绝非理想状态的光子行进方向,因此只能将入侵成功率从原本的 60% 降到 36% ,而不能完全根绝。 这个论文被《麻省理工科技评论》的编辑们发现,为此发表了一篇题为《有一种打破量子加密的新方法》的报道,这篇报道又被国内的DeepTech深科技转译发表在其 公众号 上, 不承想一件普通的事情,惹来轩然大波: l 潘建伟等科学家在墨子沙龙公众号进行了权威发布 《 关于量子保密通信现实安全性的讨论 》(以下简称潘文) l 匿名量子黑客在风云之声上发表文章《 量子黑客的独白:自媒体妖言惑众,“量子加密”被“惊现破绽”,我们需要底线! 》(以下简称黑客文) l 王向斌在风云之声上发表文章《 王向斌谈量子保密通信:我为什么不愿回应自媒体的一些文章 》(以下简称王文) l 金贤敏等教授在墨子沙龙公众号上就此事发表了声明:《 攻击是为了让密码更加安全 》 l 袁岚峰在风云之声上发表文章《 量子加密惊现破绽?请媒体提高知识水平,不要乱搞大新闻 》(以下简称袁文) 尽管面对公众,量子密码团队做过无数次无条件安全的承诺,但是对于了解原理和技术详情的我们来说,量子密码存在漏洞一点也不令人惊奇,所以这次报道发现漏洞,我们对这些量子密码专家们的激烈反应就感到颇有些意外,而且上述文章用词之情绪化,显然也不像就事论事认真讨论问题的态度,只是对于媒体以及公众来说,这是量子密码神话破灭第一次现实地展现在面前,这让一直对量子密码抱有巨大期待的人们来说,或许情感上一时很难接受。 在所有已经发现的量子密码漏洞中,金文中所提到的“注入锁定”并非第一个漏洞,也不是最严重的漏洞,当然更不可能是最后一个漏洞,它所以引人注目,不过因为偶然间由于深科技公众号把这个漏洞揭露出来而已。针对这个漏洞,根据潘文权威发布的声明,据说可以通过增加光隔离器的方式堵上。下面我将跟大家聊聊有关光隔离器的一些小知识,便于让大家了解这个光学器件是如何堵住漏洞的,或者它是否能够堵住这个漏洞。并且,我们还可以退一步假设这个隔离器确实能够很好工作,但是仍然能够通过使其失能,从而重新打开这个漏洞,文章的后面将介绍这些方法。 光隔离器是一种只允许单向光通过的无源光器件,它的工作原理利用了法拉第效应(又叫法拉第旋转,磁致旋光),这是一种在介质内光波与磁场的相互作用。通过将入射线偏振光和反射线偏振光的偏转方向各自向右旋转45度角,从而使得入射光与反射光的偏振方向相互正交,这时用偏振光过滤器就可以将反射光的大部分滤除。 光隔离器分有偏型和无偏型两种,有偏型只能对特定方向线偏振光起到隔离作用。量子密码BB84协议采用的是不同方向的线偏振光,所以不可能采用有偏型光隔离器,只能采用无偏型的光隔离器。但是无偏型的光隔离器的工作原理,首先需要将光分解成相互垂直的两个线偏振光,接下来处理这两个固定方向的线偏振光的隔离,就可以继续采用类似有偏型的光隔离器的工作原理。经过这样的无偏型隔离器的处理后,原始光中不同方向的线偏振光,都会被处理成由两个相互垂直的,偏振方向不变的线偏振光复合而成的输出光。对于普通的光调制信号,不会用到光的偏振特性,因此这样的处理不会影响光信号的传输,但是对于量子密码则不然,这样的光经过分解后再做隔离处理,就完全破坏了原始信号光中偏振方向的信息,也就破坏了量子密码。所以现有的物理知识告诉我们,比如京沪干线上,量子密码要想采用光隔离器而不影响量子密码的传送,也许需要有新的科学原理性突破才能做得到。 我们注意到,无论是潘文还是在袁文,都只是笼统讲了这一个漏洞可以用光隔离器的技术来填补,但是从来没有任何明确的文字确认在京沪干线上是否已经采用了这个技术措施。不考虑光偏振性的问题,由于量子密码采用的是弱激光,本来在长距离传输过程中,激光的损耗已经足够大,根本不太可能有反射回去的激光,况且如果有这么强的激光功率,早就用在延长传输的公里数或者提高成码率上了。而且无偏型的光隔离器对输入光的损耗是比较大的,这对本来就是强激光的普通光通讯一点问题都没有,而对于量子密码采用的极其微弱的激光来说,这样的损耗可能就无法承受。 所以,从上面有关光隔离器的简单分析,我们就会对潘文的权威发布和袁文给出的见解产生疑问。诚信是科学伦理的基础,所以我们觉得量子密码团队有必要 向公众和媒体明确确认在京沪干线上是否已经采用光隔离器防止这个漏洞的出现 ,并愿意的话,顺便 向学术界介绍一下它们的工作原理 。经过无偏隔离器后,还能保持入射光的偏振性,就我有限的知识来看,目前的原理和技术都还无法做到。 其实严格角度来说,在信源端发现漏洞的价值并不高,至少在密码学理论上是这样的,对于量子密码,也许算不上什么了不起的问题,要找类似的漏洞,传统信安系统的信源端一样都是一点都不少,因此这次量子密码专家的过度反应就有些耐人寻味。当然,金文中提到的攻击手段其实是在信道上任何一点都可以发起的,京沪干线2000多公里上的每个点都可以进行这样的攻击,尽管攻击的目标是信源,但在很多密码专家的解读中,这类攻击还是可以归类到信道攻击。 无论潘文还是袁文,其实并不打算纠缠在理论安全和实验漏洞这个矛盾问题上,而是试图在两个角度化解媒体和公众的疑虑: 第一是宣称发现的漏洞是可以被轻易解决掉的; 第二是声讨新闻报道和批评者不专业的表现。 我觉得这样简单模糊的回应可能并不能消解媒体和公众的疑虑,就像我们都知道软件系统一定存在漏洞一样,我们也相信软件公司有能力修补漏洞。但是假如这个软件公司之前承诺绝对不存在漏洞,或者让你有这样的误会,那么存在漏洞的事实对用户来说,他的感觉就不会很好,因为这意味着之前的承诺不过是开的空头支票,发现一个漏洞,接下来还会有第二个和第三个。 黑客文中就不小心提及另外一个致盲攻击。在2011年的场地演示中,发起的攻击针对的是实际的QKD实验系统,实验获得100%成功并获得100%密钥,因此该黑客对于金文中的攻击方法只有60%的成功性很不以为然。当然,黑客文也强调了对于致盲攻击已经有强光警报等预防性手段用来修补漏洞。 黑客文侧面证实了我们的猜测, 这明明就在告诉你,你所看到的金文中提到的漏洞只是冰山一角,更严重的你根本不知道,是否还有其它已知未知的漏洞,那就变得非常显然了 。 袁岚峰是国内比较知名的软科普作家,在网上发表过一些比较有影响的软科普文章,同时他真正的身份其实是量子通信团队的重要骨干,因此他在量子通信方面所做的宣传也是不遗余力,这本无可厚非,至少读者可以从他的文章中,大致嗅到整个量子通信团队对于相关问题的看法,但是另一方面,读者也能够很明显品到这类文章相比他涉猎的其它领域科普文章,其中立性和科学性两方面都存在明显的失衡,失去平衡往往是以失去品质作为代价的。 袁文中有一个自问自答的片段: 问:中国的量子通信干线“京沪干线”有没有风险?要不要为此改装设备,增加成本? 答:上面已经说了,现在的量子通信设备已经能抵御这种攻击。所以京沪干线没有受到影响,不会为此多花钱 。 按照一般的理解,这个回答可能告诉我们,京沪干线采用了光隔离器,但是你细品一下就会发现,其实里面做了巧妙的回避。姑且不深究这个问题,聪明的读者可能会进一步追问: 问:是否今后还会发现其它漏洞,发现新的漏洞是否也同样不需要对现有设备进行升级改造? 你必须承认这是个无法回答的问题,所以袁文中干脆就不继续追问下去了,其实媒体和公众真正关心的恰恰是后面那个问题。 袁文用了大量篇幅吐槽深科技的译文错误,我倒是觉得不以为然,新闻也不是文学作品,尤其是科技方面的新闻翻译,要求达到信达雅的程度是强人所难了,对于成天看那些翻译过来的科技文献和科普文章的人来说,早就对这些硬译非常适应了,只要不发生严重的错译,都是在可原谅范畴之内,总不能要求深科技的翻译也达到量子密码专家的学术水平吧?而且无论潘文还是袁文,都有意将新闻和批评的范围限制在自媒体上,似乎都是一些没有专业知识、相互传抄的低水平的群众提出来的批评,并且抱怨这些人显然干扰了科学家的正常工作。 袁文也特别指出: 金贤敏就是潘建伟的学生啊! 言外之意就是,学生怎么可能刻意去做反对老师的事情?姑且不说真实情景如何,但是学生不赞同老师的观点,在科学界不是太平常不过的事情了吗?这里引述2300多年前古希腊著名哲学家亚里士多德的一句名言“ 我爱我师 ,但我更爱真理 ”,与袁先生共勉。 有关传统密钥分发 传统加密算法分对称算法和非对称算法。非对称算法用到的公钥,是以明文公开在网上发布的,信息发布者用公钥加密信息,信息接收者用私钥解密信息,公钥不用来解密。 公钥不存在加密分发的事情,这恰恰是非对称算法独特的优势,需要做密钥分发工作的只有对称密钥。 对称密钥的分发可不是在网上直接明文过去,最常用的技术手段其实还是采用对称加密或者非对称加密算法,当然也有采用人工分发的手段,这或者是因为网络之间彼此隔离,或者干脆就是单位公司的制度要求。 有关密钥分发和管理是传统密码学领域研究得很深入也很成熟的环节,因为采用相同的加密算法,所以 对称密钥分发的安全性全同于普通信息对称加密的安全水平 ,这也是为什么,传统密码学里面从来不将密钥分发的安全性问题单独罗列出来讨论的原因。 如果对称密钥分发存在安全性问题,也同样意味着对称加密算法存在安全性问题。这两个问题是等价的,这个结论非常重要,因为量子密码所做的工作恰恰就是将对称密钥分发的工作分离开来,导致加密算法的安全性与量子密钥分发的安全性完全不等价,需要额外对量子密钥分发的环节做安全性分析。 袁文中对于传统密钥的分发工作有一些有趣的看法,一方面,他提出一个问题: 如果你在不安全的信道上传输密钥,那密钥被人窃取了怎么办? 还能怎么做,加密传输啊 , 难道他认为传统密钥应该是以明文方式发送的吗?同时他还提出另一个惊人的问题: 你有什么办法,不用信使就让通信双方共享密钥? 难道他认为传统密钥分发必须派个密钥分发专员到处人工分发?不知道别人如何理解,反正我觉得袁对于传统密钥分发的原理理解得匪夷所思,好像处于两个平行世界,实在搞不清楚他心里所想的传统密钥分发的工作究竟是怎么一回事儿,也不知道这仅仅是他的看法,还是整个量子密码团队的看法。 下面几段主要讲述有关传统密码安全性度量的简单原理,这部分叙述会比较抽象枯燥,没有耐心的读者可以跳过,直接看这个小节末尾总结性的结论。 对称密钥分发的工作是否安全,取决于对称加密算法的安全性 。对称加密算法有很多种,如果强调可证明的绝对安全性,香农早已经证明异或加密算法在满足密钥充分随机、密钥长度不小于明文长度、一次一密这三个条件的情况下是不可破解的(也即所谓的一次性便签,one-time pad)。但是一般人不知道的是,异或加密算法并不能够实际使用,因为密钥与明文等长,所以一旦你使用密钥进行了信息加密,也就没有后续密钥用来继续做密钥分发,于是加密工作就会因为密钥枯竭而停止。 为了解决异或加密密钥的枯竭问题,密码专家注意到异或加密对于密钥的利用率低得可怜,每一个密钥位只能用来加密一位明文信息,形象地说就是一个密钥位只掺杂到一个信息位里,如果能够采用一个理想的加密算法,让一个密钥位绝对充分而又均匀地掺杂到每个信息位中,那么破解加密后的密文就必须强力搜索整个密钥空间,并且可以证明不存在任何简便的破解算法。这意味假如你采用的是128位密钥,通过这个理想的加密算法,能够让密钥的安全度等效于2 128 位异或加密的密钥长度,也就是说能够用来加密2 128 位信息,并且还能够保持绝对的加密信息安全。这个数有多大?粗略说,就是34后面加上37个0,也意味着当你用这个密钥加密128位信息时,可以重复使用2.66*10 36 次,仍然能够保证信息的绝对安全。这是非常非常大的数,假如我们将密钥的位数增大到256位,所能够安全加密的信息数就跟宇宙所有原子的数目大致相同。这个效应可以形象地称为密钥有效位数的指数爆炸。 实际上我们采用的加密算法远达不到充分而又均匀的程度,对于常用的128位或者256位密钥,每个加密算法等效理想加密算法多少位密钥,还缺少足够的证明,但是这个数目仍然是非常非常大,相比异或加密仍然能够呈现指数增长的关系,以至于目前我们要想破解加密信息仍然需要搜索整个密钥空间,仍然需要将现实加密算法看作某种程度的理想加密算法。 袁文中因为目前缺少加密算法与理想加密算法的等效密钥位数证明,缺少有关密钥掺杂均匀度和充分性的量化分析,就认为现实中使用的加密算法是不安全的,这种对加密算法安全度的理解在行家看来是非常浅层次的。这些算法理论方面的安全性分析一直都在进行中,普遍业界公认的结论依然是,目前使用的对称算法没有明显的分布不均匀性证明,通俗点说,就是仍然是安全的。袁文中提到MD5和SHA-1摘要信息算法被破解,这跟对称加密算法是完全不同的两码事儿,只要稍微读一下相关论文就知道,破解摘要算法的成功标志只是仿照出来一个伪文,具有相同的数字签名,但是伪文可不是允许随心所欲撰写的,所以数字签名仍然可以保证有效性,而且摘要信息的原文是什么也根本没有办法还原,算不上严格意义上的破解。摘要算法本来就不是设计用来加密信息的,所以与加密算法混在一起谈,只能说对这个领域里面,不同类型的算法所做的分工协作完全搞不清楚。顺便提一句,数字签名现在已经简单升级到SHA-256,算法加密位数从128位提高到256位,把全世界的超算算力加到一起也没有办法破解。 现实中的密钥分发过程中,通过采用过程密钥协议,即避免了主密钥在网上加密传送的过程,又能够将引入随机数的额外掺杂信息加入到主密钥中,相当于等效延长了几十位理想密钥位数,很大程度填补了现实加密算法与理想加密算法之间密钥长度的差距。形象的比喻就是,假如现实加密算法采用128位密钥,等效于理想加密算法的60位密钥,那么通过补充随机数的过程密钥方式,又增加了20位理想密钥的加密强度,使得整个加密体制的加密安全度等效于80位理想密钥。这相当于1个密钥可以用来绝对安全加密2 80 位信息,或者等效2 80 位异或加密密钥。这回你知道异或加密算法与其它对称加密算法之间的关系了吧?你也应该知道为什么密码界不采用异或加密算法的原因了吧? 量子密码专家认为现实对称加密算法的安全性没有得到证明,这个是事实,的确 任何一个算法的密钥位数等效理想密钥位数的关系一直没有得到证明,但是因此得出结论说,对称加密算法是不安全的就是严重的误导。 因为对称密钥算法能够安全加密天文数字的信息,因此大批量数据都是采用对称算法进行加密的。单纯采用对称算法进行密钥分发,前提条件是密钥收发双发都预先拥有对称密钥,这只能是在固定用户之间进行, 如果两个陌生用户之间采用对称加密算法加密大量信息,目前唯一的途径只能通过类似RSA这类公钥体制将对称密钥分别发送给临时通信的双方,没有其它办法,量子密码天生注定做不到这一点 。 采用对称算法进行密钥分发,安全性是绝对有保障的;在NP问题没有得到确实解决之前,公钥系统也是安全的。NP问题是千禧年7大问题之一,是可计算理论皇冠上的一颗明珠,全世界大量的数学家和计算机科学领域的科学家都在努力试图破解这个世界难题,尚看不到解决的光亮。 一个对称密钥在其存在的整个生命周期中,所加密的信息包括进行密钥分发的消耗,远远小于密钥本身等效的异或算法密钥长度,如果只考虑采用对称算法进行密钥分发,密码界目前公认的一个看法就是不存在任何安全性问题 。在评估对称加密算法安全性方面,显然量子密码专家拿不到足够的发言权。 有关量子密码的工作内容 量子密码并不像大家普遍想象的那样神秘莫测,说到底这就是一个实用技术,里面即不存在任何新的物理原理,也不存在任何新发明的黑科技,简单地说, 量子密码所做的工作就是对称密钥分发 。 读者会非常困惑,难道量子密码不是一个加密算法吗,难道不是一个用无法破解的量子方式对信息进行加密解密的方法吗?难道不是用来取代传统的加密算法的吗?难道不是用来解救RSA密码被破解后的密码危机的吗? 对上述问题的回答一律:不是。 读者会更加困惑,你刚告诉我们说,对称密钥分发绝对不存在任何问题,然后你马上又告诉我们,量子密码做的就是对称密钥分发的工作,你说话是认真的吗?那样的话量子密码又有什么存在的价值? 请千万不要怀疑我说话的真诚和专业水平,因为量子密码专家们早就在各种相关文章中告诉你这件事情了,只不过你的注意力都被分散到有关量子世界的神奇描述中去了。 当年IBM的本奈特提出BB84协议,也就是现在国内京沪干线上使用的量子密码协议,那个时代,个人计算机和网络刚刚起步,密码学研究大多停留在理论阶段,完全不是我们今天想象的那样成为日常生活中必不可少的技术手段。所以有关密码技术的各种实施方案层出不穷,包括密钥分发工作也还没有完全定型,采用量子的方式完成这项工作也就成了一个可选项。当然量子技术的成熟度远达不到可用的成度,与此同时计算机加密技术随着网络的发展迅速落地成熟,于是有关对称密钥分发的技术和管理模式早已尘埃落定。 在传统密钥分发一节中我们已经知道,一方面异或加密的绝对安全性已经得到完全证明,另一方面我们也知道异或算法要求密钥与明文长度相同,你必须预先准备好足够长的密钥,否则你的加密过程就会因为密钥枯竭而被“卡”住,要想采用这个算法,除非提供另外一个密钥分发途径。但是异或算法是一个很重要的衡量安全度的重要指标,度量的单位就是等效异或密码位。 宏观来说,量子密码走了一条“轻”算法、“重”密钥的路,保留了异或算法,提供新的量子密钥分发途径,从而让加密过程不会被“卡”住。这种路径,密钥与信息等长,算法的安全性可证,安全性取决于密钥分发环节的安全度。加密信息位数与密钥分发的成本和时间呈线性相关性。 传统密码学走了一条“重”算法、“轻”密钥的路,通过提供非异或的对称算法,将一个密钥位“抻长”获得指数型扩张的天文数字一样的等效异或密钥位,从而解决密钥位枯竭问题。这种路径,密钥与信息长度位的指数呈线性相关性,安全性完全取决于密钥掺杂的充分性和均匀度,不同的算法掺杂程度都不同,这方面缺少足够的理论证明,但是与异或密钥位数的指数呈线性相关性是密码界的共识,密钥分发的时间和成本可以忽略不计。 做一个对比,假如一个128位非异或对称算法等效80位理想密钥,那么当你发送一个长达2 80 位信息的大文件时,你只需要一个128位的密钥就可以绝对安全地送达,而量子密码需要分发2 80 位密钥才能达到同样的效果。你明白其中的区别了吧? 量子密码专家笃定说,虽然我分发密钥的时间和成本很高,可是我的安全性是得到绝对证明了的。事实上,只有异或加密算法是得到的安全性是得到了证明的,而在量子密码的密钥分发环节,要想获得绝对的安全性保障,必须保证分发的密钥的每一个密钥位都不能掺杂任何一点不安全因素,因为每一个被破解的密码位,都将对应一个加密信息位的失密。量子密码能做到这一点吗?或许金文已经告诉了我们这个问题的答案。 相比较来说,传统加密其实走的路要轻巧得多。勤俭持家的人可能都希望将一分钱掰成几份来花,量子密码相当于大富豪,手里拿着一张不可兑换零钱的百万大钞,只能用来买一个火柴头,传统密码则是将一个密码位掰成天文数字的密码零钱花,并且一分钱就可以买到一火车皮的火柴,当然其实比这对比还要强烈得多。量子密码和传统密码在同等安全保障的前提下,消耗的密钥位是呈指数关系增长的。 实际的信息安全体系关注的重点无非两件事:安全与成本,技术复杂度都可以折算到成本中。量子密码直接与异或算法结合,以1:1的关系对标等效异或密码位,异或算法计算量可以忽略不计,需要付出的代价是与加密信息等量的密钥分发量;非异或加密算法以指数的关系对标等效异或密码位,加密解密的算法复杂,但是相比计算机的算力仍然在可忽略的范畴内,并且由于密钥位数等效异或密码位呈指数关系,可以将其看作密钥大爆炸效应。与人们的印象完全不同,传统对称加密算法与量子密码之间的对比,就像氢弹和石块的关系,有过之而无不及,那属于完全不同的两个世代,传统加密算法更好地实现了安全与成本的平衡关系。 暂时先不考虑安全性指标,传统的对称加密体制全面碾压量子密钥分发+异或算法,不存在任何瓶颈,而量子密钥恰恰阻塞在密钥分发的环节中,量子通道的物理属性注定了这个环节绝对不可能跟得上普通光纤信道的传输率,因为它本身也不过是光纤介质,所以量子密钥如果进入实用阶段,就永远会处于枯竭状态,永远不会改善,除非你不使用它。况且为了传输量子密钥,你还必须修建一个专用的量子通道,这些都会成为不可承受的成本负担。 将量子密码纳入到完整的信安体系内,你就能够理性地评估量子密码应该安坐的位置,它只是在从来没人使用的异或算法分支里,在对称密钥分发环节中承担一个微不足道的作用,而且活干得还特别吃力,相比较来说,在另外一个流水线上,传统加密方法正在紧张而轻松地忙碌着。就像你在盖高楼,别人都是直接一个塔吊把整个建筑模块从一楼吊到100层的楼顶,而量子密码就像一个背背篓的民工,里面放着砖头瓦块,沿着阶梯吃力往上爬。 不是因为采用了貌似高大上的量子技术,就让这种背砖头的工作看起来光芒四射,再怎么大声嚷嚷,量子密钥分发工作在辉煌的密码学殿堂里,也只能拿个马扎坐在丝毫不起眼的角落里。哪怕是异或加密也是传统加密算法的一部分,离开了传统加密算法,量子密钥分发就什么都不是,只是一堆无用的随机数而已。当然你也可以拿这些随机数来算命或者买六合彩,然后美其名曰量子算命或者量子彩票,比起量子针灸或者量子袜子,这可是如假包换的量子啊,绝对满满的黑科技。袁文中用了太多的篇幅来渲染量子密码的光辉,可惜他对于密码学的了解得还是太少了,在信安专家眼中,他有关密码学方面的叙述业余又自大得可笑,所以他并不知道一个简单的道理,马扎永远不能当太师椅坐,更不可能摆在大厅中央。 有人说就靠量子密钥那种传输效率,哪怕拿几块硬盘,拷贝上密钥,然后骑上单车从北京跑到上海去,都要比量子密钥分发快得多,京沪干线要想完成同样的密钥量往好说也得需要一年半载,我深以为然。 顺便提一句,袁文中又提到了一个2018年度的克利夫兰奖,这是由美国科学促进会颁发的,但更确切地说是属于《科学》杂志的年度好论文奖,当然《科学》杂志属于国际顶级刊物,但是把年度好论文奖看作科学大奖好像有些言过其实了吧?有关这个话题我也写了一篇不到2万字的小文章《 从克利夫兰奖到量子纠缠 》,谈的就是这个好论文奖以及有关墨子号卫星的事情,不过这个话题有些跑偏了,一笔带过。 待续
3966 次阅读|3 个评论
回答姬扬先生有关量通问题的一些质疑(上)
lhy8848 2019-4-30 11:33
引子 今天( 2019-04-29 )姬扬先生在返朴公众号上刊登了一篇《 量子保密通讯,经典派陷入的 N 个误区 》,该文当然针对的是我 4 月 3 号发表在观察者网上有关量通的一篇文章《 量子通信,媒体和公众都需要刷新的认知 》。 一直以来,我对姬扬先生写的科普文章评价都颇高,通俗易懂,谈锋犀利,但是这次写在返朴公众号上的文章,里面站队量通的倾向,以及所提及的有关我的一些尖锐的问题,让我有不吐不快的感觉。 姬先生称我为经典派,我是有些受宠若惊的,恐怕稍微了解一点的人都知道,在科学网上,坚持对量通提出质疑的人除了我,可能也就徐令予老师了,两人成派,确实势单力孤,但是要说我们因此落入下风,这点我跟姬先生的看法很不相同。如果撤掉政治光环和学术头衔的保护,让我单独面对整个量通团队,我可以保证让他们走不出几个回合,不是因为我有多能耐,而是因为真理在手,成竹在胸。况且,姬先生真的以为反对量通的就我们两人?沉默的是大多数,国内外理论界反对量通的所谓大佬可真的不算少,只是你看的论文太少了而已。况且你做的所谓经典派分类是错误的,我并非为反对量子技术而反对量通,我没你想象的那么狭隘,你不是还得承认有些院士反对量通工程的事实吗?我很难同意你说他们不属于我们同盟的理由,他们的主张和理由跟我们的呼吁完全一致。 之前袁岚峰博主写了不少量通的文宣,我也提出自己的看法,包括观网上发表的文章,其实很大篇幅也是针对袁博主的文章 《 量子加密惊现破绽?请媒体提高知识水平,不要乱搞大新闻 》而发的感慨,当然里面算是对量通大佬们做了很全面的批判。迄今为止,量通专家对此文都采取回避的态度,反而姬先生站出来为其发声,让我即感到意外,又感到合情合理。很容易理解的事情,一方面,量通大佬们真的很难正面回答我提出来的问题,并且他们也清楚知道,稍微粉饰一点功绩,就会在专业问题上说走嘴,那时候想要收回是万万不能的了,他们领教过的次数实在太多了。这时如果一个貌似中立的角色站出来进行批判,就显得更有回旋余地。可见,姬先生扮演的角色实在有些尴尬。但是姬先生真的有信心能帮着量通扳回败局吗?看了姬先生的文章,我一点不敢乐观。互联网是有记忆的,姬先生所做的发言应该能够在历史上存档,希望姬先生知道这一点。 有关战略方面之大佬 很诧异姬先生对于科学界大佬的尊崇,显然不是先生的风骨,姬先生对爱因斯坦这样的大腕都照样批评,区区院士头衔又怎么能让先生屈膝?希望我没有看走眼。有关大佬之类的说法,我向来都不是很在意,我只认科学,不认院士,拿院士的头衔冒充真理的化身,对我是免疫的,很难想象姬先生把这当做量通的战略优势,真的让搞科学的人瞠目。这样的话,是不是谁官大谁就说得算?科学界不是政治场,中国科学家求真问道的品德真的沦落风尘了?很多年前,拉普拉斯面对拿破仑皇帝骄傲地声称:在我的思想体系中,没有给上帝留下位置。很多年后,我们却还在为是否能够获得大佬的宠幸而暗自盘算,科学家应该有的骄傲都到哪里去了? 反过来,既然姬先生如此看重大佬站台,那么顺着姬先生的说法,我倒是想问问,是否有国内外密码学界的大佬为量通站台?既然量通想在信安领域施展手脚,起码需要信安领域的专家来做评价更显得均衡吧?我倒是看到国外不少量通方面的专家反而对量通的安全性有各种批评,并非一味唱的是赞歌,包括王向斌教授很不以为然的 Yuen 教授,他对 QKD 的安全性评价颇低, Yuen 教授也是量通领域很有学识威望的专家,可不是随便就能不以为然的角色。 Yuen 先生的文章姬先生是否读过?从中你能品味出来两种截然不同的境界。什么叫学者的风范?没有比较就没有伤害,其间的境界与见识,差得不是一丁半点。顺便提一句,最先提出来诱骗态理论的韩国学者黄元瑛,他博士后的导师就是 Yuen 教授, Yuen 教授对于诱骗态的原理是知道得清清楚楚的,你知道 Yuen 对诱骗态的态度吗? 有关战术方面之技术细节 姬先生指责所谓经典派过于自大,连量子派到底说了什么都没搞清楚。我想这个板子还是先不要那么轻易拍下来。我想要问问姬先生,你怎么认为我没有看文献,没有思考细节?你真的以为拍个脑袋就知道量通是怎么做的?我不是那么聪明的人,也只能笨笨地扒一些量通列出的文献来看他们的原理和主张。你连我写的文章细节都不看,就武断地说我连问题都没搞清楚就赤膊上阵。你可以试试这么干,是不是会立马被挑翻在地。 我虽然远谈不上是密码学专家,但是起码工程项目做了一些,信安的工程实践经验,足够让我远比只在科普读物里面获取密码学知识的专家更有分辨能力,我能轻易发现量通专家在这个领域里面民科一样的言论,这点袁博主可是深有体会的,姬先生大可放心我这方面的专业性,绝对不是你想象的那么假冒伪劣,这方面我一点也不妄自菲薄。 姬先生说防止偷听是个优势,我也指出来了, 假如量通没有发现偷听,对于采用明文发送的密钥来说意味着已经泄密 ,这实在算不上优势,双方的攻防就在于此。姬先生大概不会天真到认为能够绝对发现偷听者吧?那样的话,你真的需要进一步了解一些诱骗态的基本理论设计。姬先生希望我认为能够抓到偷听者是个优势,用户对这个能力是欢迎的,显然这方面他在重复量通的那套说辞, 量通从来就不愿意告诉用户,在量子通道里面密钥是明文发送的,你觉得用户为了能够发现存在偷听者,就必须对这个明文密钥双手欢迎? 相反,为什么我不能说普通加密方式根本不怕偷听,这样的 鲁棒性 才是用户真正需要的?在实验室里面是听不到用户的声音的,请别为你都没接触过的用户做决断。很遗憾,我离用户很近,量通专家恐怕远在天边,所以姬先生说我替用户做决定,他又何尝不是替用户做决定?而且做的又是如此荒唐的决定?姬先生没有做过工程项目,对于密码学关注的内容也了解实在太少,那是万千密码专家的心血和亿万大众的实践教训凝结成的。好在,姬先生恐怕再怎么偏离,也不敢说我在密码学领域是民科吧?那么谁在这方面是民科就是显学了。 姬先生认为量子通道传递 128 位密钥,当然也可以用比如 AES 来加密,这个他们的视频会议就是这么干的,我并没有反对,但是你需要知道,目前唯一获得绝对安全证明的算法只有异或算法,只有匹配上“绝对安全的量子通道”,才能搭配出来“绝对安全的”信息加密传输,这不就是量通绝对安全的理论基础吗?如果量通采用了其它对称算法进行加密传输,当然他们号称的绝对安全的证明似乎就不存在了。我并非理论狂魔,必须坚持已经证明绝对安全的理念,工程实现上从来都是各种因素平衡的考量,而不是某一个指标的最优化,执着于此的反而是量通专家。我在文中给出的有关理想加密算法和实际算法,都是与异或加密算法进行定性分析比较的,这是目前专业的做法,尽管定量的分析还做不到,这其实就是所谓没有绝对安全证明的实质,与不安全是两码事情,量通专家故意混淆两个概念,希望姬先生把这方面的问题搞清楚。 为啥我觉得量通采用普通对称加密算法是不合适的,因为 量通承诺的是绝对安全,而不是不高于普通对称加密算法的安全 ,离开这个前提,量通就没有存在的必要性,这个道理姬先生是否同意?否则你根本提不出来理由做一个白象一样的量通工程吧? 希望姬先生进一步了解一下 QK (量子密钥)是如何在第一个中继器上生成的,并在后续的中继器上,如何将这个 QK 一次又一次采用异或加密的方式进行加密解密,在标准信道上一站一站传下去的。姬先生调侃我不知道量通工作的细节,姬先生是否知道中继器如此工作的细节?这个工作流程你都不知道的话,怎么那么自信说别人不知道? 信安工程是一个系统性工程,遵循木桶原理,既然 QK 是在普通信道上加密传输,那么这个 QK 的安全度绝对不高于加密算法的安全度,这是简单的判断,都不需要专业知识。所以如果采用普通加密手段,比如 AES 算法,显然,这个时候 QK 的安全性至少不高于 AES 的安全度,即使量子信道绝对安全,也不过获得了 AES 的安全度,何况,量子信道的安全性还只是纸面上的东西,实践上是绝对地依赖于全无任何物理漏洞,这是绝对不可达的目标,那样 QK 的安全度其实就依赖于量子通道和中继器的命运了,反而绝对低于甚至大大低于 AES 的安全度。你要知道的是, QK 在一连串的中继器中是以明文的方式加密解密的,中继器其实里面包含一个连接到公网上的计算机,计算机安全问题是没人敢拍胸脯保证的,量通专家竟然提出来可以加派人手来保护计算机,这不是让人笑掉大牙?攻击发生在网路上,你派一队战士站岗,就能防止网络攻击? 姬先生肯定没有参加过信安工程有关密钥分发的工作,那其实就是采用 AES 算法或者类似的对称加密算法,不考虑中继器问题,安全水平一点不比量通那套来得更低。所以说,如果像姬先生建议的那样采用比如说 AES 算法加密,这个 QK 为啥我不一开始就在经典信道上直接加密发送给对方?那样的安全水平就是 AES 的安全水平,根本不需要建设任何量通信道。姬先生显然根本没做任何起码的安全性分析,就开始指责他人搞不清楚问题,就这样想要驳倒他人,一定会被人笑话的。不奇怪,物理学家在考虑信安领域的问题时,往往拾一漏万,一叶障目,不见泰山,这就是为啥我强调需要信安专家来参与评估的原因。 我从来不认为金贤敏是出于支持所谓经典派而做的实验,很奇怪姬先生如何能够从我的文中读出来金贤敏反叛的味道?我的文字表达能力实在太差了。袁博主也说了,金贤敏就是潘院士的学生啊,学生怎么可能反对老师。这样的逻辑跟崇拜大佬的逻辑如出一辙,我不用批判了吧?怎么支持量通的学者都是如此地反科学?而且我也说了有关量子黑客提出来某些破解方案更会有效果。从这些例子我想要说明的是,理想的物理环境是不存在的,不知道是否姬先生同意这一点?并且我也认为量子理论并非一个终极理论,有太多物理的规律我们没有发现,再怎么纸面上的协议落实上工程上,都必须面对现实的物理环境,想穷尽物理原理,证明即使在真实环境下都可能实现最终的理想境界,那是上帝才能有的能力。我们需要对真实的物理保持谦卑。这才是我想要表达的真实意见,希望姬先生不要再误读。
47 次阅读|0 个评论
回答姬扬先生有关量通问题的一些质疑
lhy8848 2019-4-29 20:25
引子 今天( 2019-04-29 )姬扬先生在返朴公众号上刊登了一篇《 量子保密通讯,经典派陷入的 N 个误区 》,该文当然是针对的是我 4 月 3 号发表在观察者网上有关量通的一篇文章《 量子通信,媒体和公众都需要刷新的认知 》。一直以来,我对姬扬先生写的科普文章评价都颇高,通俗易懂,谈机锋利,但是这次写在返朴公众号上的文章,里面站队对量通的倾向,以及所提及的有关我的一些尖锐的问题,让我有不吐不快的感觉。 姬先生称我为经典派,我是有些受宠若惊的,恐怕稍微了解一点的人都知道,在科学网上,坚持对量通提出质疑的人除了我,可能也就徐令予老师了,两人成派,确实势单力孤,但是要说我们因此落入下风,这点我跟姬先生的看法很不相同。如果撤掉政治光环和头衔的保护,让我单独面对整个量通团队,我可以保证让他们走不出几个回合,不是因为我有多能耐,而是因为真理在手,成竹在胸。况且,姬先生真的以为反对量通的就我们两人?沉默的是大多数,国内外理论界反对量通的所谓大佬可真的不算少,只是你看的论文太少了而已。 之前袁岚峰博主写了不少量通的文宣,我也提出自己的看法,包括观网上发表的文章,其实很大篇幅也是针对袁博主的文章 《 量子加密惊现破绽?请媒体提高知识水平,不要乱搞大新闻 》而发的感慨,当然里面算是对量通大佬们做了很全面的批判。迄今为止,量通专家对此文都采取回避的态度,反而姬先生站出来为其发声,让我即感到意外,又感到合情合理。很容易理解的事情,一方面,他们真的很难正面回答我提出来的问题,并且他们也清楚知道,稍微马虎一点就会在专业问题上说走嘴,那时候想要挽回是万万不能的了,这样一个貌似中立的角色站出来进行批判显然更有回旋余地。但是姬先生真的有信心能帮着量通扳回败局吗?看了姬先生的文章,我不敢乐观。互联网是有记忆的,姬先生所做的发言应该能够在历史上存档,希望姬先生知道这一点。 有关战略方面之大佬 很诧异姬先生对于科学界大佬的尊崇,显然不是先生的风骨,姬先生对爱因斯坦这样的大腕都照样批评,区区院士头衔又怎么能让先生屈膝?希望我没有看走眼。有关大佬之类的说法,我向来都不是很在意,我只认科学,不认院士,拿院士的头衔冒充真理的化身,对我是免疫的,很难想象姬先生把这当做量通的战略优势,真的让搞科学的人瞠目。这样的话,是不是谁官大谁就说得算?科学界不是政治场,中国科学家真的丧失了求真问道的品德了吗?这种攀比真的就是中国科学界的悲哀。 反过来,既然姬先生那么看重大佬站台,那么顺着姬先生的说法,我倒是想问问,是否有国内外密码学界的大佬为量通站台?既然量通想在信安领域施展手脚,起码需要信安领域的专家来做评价更显得均衡吧?我倒是看到国外不少量通方面的专家反而对量通的安全性有各种批评,并非一味唱的是赞歌,包括王向斌教授很不以为然的 Yuen 教授,他对 QKD 的安全性评价颇低, Yuen 教授也是量通领域很有学识威望的专家,可不是随便就能不以为然的角色。 Yuen 先生的文章姬先生是否读过?从中你能品味出来两种截然不同的境界。什么叫学者的风范?没有比较就没有伤害,其间的境界与见识,差距不是差得一丁半点。顺便提一句,最先提出来诱骗态理论的韩国学者黄元瑛 ,就是Yuen 教授的高足, Yuen 教授对于诱骗态的原理是知道得清清楚楚的,你知道 Yuen 对诱骗态的态度吗? 有关战术方面之技术细节 姬先生指责所谓经典派过于自大,连量子派到底说了什么都没搞清楚。我想这个板子还是先不要那么轻易拍下来。我想要问问姬先生,你怎么认为我没有看文献,没有思考细节?你真的以为拍个脑袋就知道量通是怎么做的?我不是那么聪明的人,也只能笨笨地扒一些量通列出的 文献来看他们的原理和主张。你连我写的文章细节都不看,就武断地说我连问题都没搞清楚就赤膊上阵。你可以试试这么干,是不是立马被挑翻在地。 我虽然远谈不上是密码学专家,但是起码工程项目做了一些,信安的工程实践经验,足够让我远比只在科普读物里面获取密码学知识的量通专家更有分辨能力,我能轻易发现量通专家在这个领域里面民科一样的言论,这点袁博主可是深有体会的,姬先生大可放心我这方面的专业性,绝对不是你想象的那么假冒伪劣,这方面我一点也不妄自菲薄。 姬先生说防止偷听是个优势,我也指出来了,假如量通没有发现偷听,对于采用明文发送的密钥来说意味着已经泄密,这实在算不上优势,双方的攻防就在于此。姬先生希望我认为能够抓到偷听者是个优势,显然这方面他在重复量通的那套说辞。但是为什么我不能说普通加密方式根本不怕偷听,这样的鲁棒性才是用户所需要的?在实验室里面是听不到用户的声音的。很遗憾,我离用户很近,量通专家恐怕远在天边,所以姬先生说我替用户做决定,他又何尝不是替用户做决定?而且做的又是如此荒唐的决定?姬先生对于密码学关注的内容了解实在太少。好在,姬先生恐怕再怎么偏离,也不敢说我在密码学领域是民科吧?那么谁在这方面是民科就是显学了。 姬先生认为量子通道传递 128 位密钥,当然也可以用比如 AES 来加密,这个他们的视频会议就是这么干的,我并没有反对,但是你需要知道,目前唯一获得绝对安全证明的算法只有异或算法,只有匹配上“绝对安全的量子通道”,才能搭配出来“绝对安全的”信息加密传输,这不就是量通绝对安全的理论基础吗?如果量通采用了其它对称算法进行加密传输,当然他们号称的绝对安全的证明似乎就不存在了。我并非理论狂魔,必须坚持已经证明绝对安全的理念,工程实现上从来都是各种因素平衡的考量,执着于此的反而是量通专家。我在文中给出的有关理想加密算法和实际算法,都是与异或加密算法进行定性分析比较的,这是目前专业的做法,尽管定量的分析还做不到,这其实就是所谓没有绝对安全证明的实质,与不安全是两码事情,量通专家故意混淆两个概念,希望姬先生把这方面的问题搞清楚。 为啥我觉得量通采用普通对称加密算法是不合适的,因为量通承诺的是绝对安全,而不是不高于普通对称加密算法的安全,这个道理姬先生是否同意?否则你根本提不出来理由做一个白象一样的量通工程吧? 希望姬先生进一步了解一下 QK (量子密钥)是如何在第一个中继器上生成的,并在后续的中继器上,如何将这个 QK 一次又一次采用异或加密的方式进行加密解密,在标准信道上一站一站传下去的。姬先生调侃我不知道量通工作的细节,姬先生是否知道中继器如此工作的细节?这个工作流程你都不知道的话,怎么那么自信说别人不知道? 信安工程是一个系统性工程,遵循木桶原理,既然 QK 是在普通信道上加密传输,那么这个 QK 的安全度绝对不高于加密算法的安全度,这是简单的常识,都不需要专业知识。所以如果采用普通加密手段,比如 AES 算法,显然,这个时候 QK 的安全性至少不高于 AES 的安全度,即使量子信道绝对安全,也不过获得了 AES 的安全度,何况,量子信道的安全性还只是纸面上的东西,实践上是绝对地依赖于全无任何物理漏洞,这是绝对不可达的目标,那样 QK 的安全度其实就依赖于量子通道和中继器的命运了,反而绝对低于甚至大大低于 AES 的安全度。你要知道的是, QK 在一连串的中继器中是以明文的方式加密解密的,中继器其实里面包含一个连接到公网上的计算机,计算机安全问题是没人敢拍胸脯保证的,量通专家竟然提出来可以加派人手来保护计算机,这不是让人笑掉大牙?攻击发生在网路上,你派人就能防止网络攻击? 姬先生肯定没有参加过信安工程有关密钥分发的工作,那其实就是采用 AES 算法或者类似的对称加密算法,不考虑中继器问题,安全水平也一点不比量通那套来得更低。所以说,如果像姬先生建议的那样采用比如说 AES 算法加密,这个 QK 为啥我不一开始就在经典信道上直接加密发送给对方?那样的安全水平就是 AES 的安全水平,根本不需要建设任何量通信道。姬先生显然根本没做任何起码的安全性分析,就开始指责他人搞不清楚问题,就这样想要驳倒他人,一定会被人笑话的。不奇怪,物理学家在考虑信安领域的问题时,往往拾一漏万,一叶障目,不见泰山,这就是为啥我强调需要信安专家来参与评估的原因。 我从来不认为金贤敏是出于支持所谓经典派而做的实验,很奇怪姬先生如何能够从我的文中读出来金贤敏反叛的味道?我的文字表达能力实在太差了。袁博主也说了,金贤敏就是潘院士的学生啊,学生怎么可能反对老师。这样的逻辑跟崇拜大佬的逻辑如出一辙,我不用批判了吧?怎么支持量通的学者都是如此地反科学?而且我也说了有关量子黑客提出来某些破解方案更会有效果。从这些例子我想要说明的是,理想的物理环境是不存在的,不知道是否姬先生同意这一点?并且我也认为量子理论并非一个终极理论,有太多物理的规律我们没有发现,再怎么纸面上的协议落实上工程上,都必须面对现实的物理环境,想穷尽物理原理,证明即使在真实环境下都可能实现最终的理想境界,那是上帝才能有的能力。我们需要对真实的物理保持谦卑。这才是我想要表达的真实意见,希望姬先生不要再误读。 有关其他破绽 有关光隔离器的问题,潘院士以 权威发布 的方式间接确认了已经部署在京沪干线上,希望我没有误读这个权威发布。 我在文中明确指出来,在京沪干线上,由物理原理决定,由于采用诱骗态会同时有多个随机线偏振光的存在,根本不可能用上光隔离器,哪怕是无偏型光隔离器。既然采用光隔离器是由院士权威确认的,我不知道究竟物理定律是否也会屈服于院士大佬 ? 他们做的承诺在科学上算是什么行为?这个可是物理领域的知识,希望姬先生能够帮助分析一下,在诱骗态协议下,将光隔离器放置在光路的哪个位置上能够防止所谓的注入锁定的攻击,并且还能不破坏信号光和诱骗光,这个攻击可以在信道的任何一个位置发起。这个问题可以证明要么我是地地道道的民科,要么有些人在撒谎,没有别的选项,请姬先生发挥一下物理学家的专业能力。 姬先生讽刺的那个光隔离器消磁的做法,倒是可以考虑一下京沪干线上 30 多个中继器究竟是如何安保的,虽然咱不肯定会有蜘蛛侠之类的超人,但是悄无声息地占领任意一个存放中继器的小房子也并非不可想象。至于之后能做什么,可选项就太多了,比如加热一台机器,难道只有往里面打激光一种方法吗?用反向磁场冲抵原磁场的技术,对于实验物理学家来说真的很难吗?当然,袁博主会说这是作弊,天了个嘟,经典信道有这样的中继器吗? 姬先生反驳的理由一点也不专业,除非你说物理原理无法做到高温消磁或者不允许反向消磁,那才是专业的表现,至于你嘲笑的如何去做,交给 007 好了。 有关激光方式复制,这可真不是我的发明创造,恰恰是量通专家们提出来的主张,不过遇到的反驳意见反而就是不可克隆原理,你能理解这里面的逻辑问题吗?你不能用一个原理来反对一个事实吧?再举周炳坤先生等的《激光原理》绪论中的一句话: 后来理论物理学家又证明:受激发射光子(波)和激励光子(波)具有相同的频率、方向、相位和偏振 。如果只考虑光子的偏振态,我真的想请教姬先生,这激励光子与受激发射光子之间究竟是否属于一种复制关系?你说这违反基本物理机制,请问是什么物理机制?说话不能这么模棱两可,让人摸不到头脑。 姬扬先生说反对“量子不可克隆原理”就是反对整个量子力学,这个帽子扣得太大了,将“不可克隆原理”等同整个量子力学,这只是量通专家的主张,难道姬先生连量子的系综学派都选择性忽视?尽管可能并非主流,但是仍然是正宗的量子学派之一,你敢说他们是民科?系综派可是从来不承认单量子叠加态的,自然也包括了“不可克隆原理”在内,将“不可克隆原理”等同量子力学才是自我膨胀到天的地步好不。很遗憾,姬先生突然在这方面完全丧失了批判和怀疑精神,将量子力学看作 developed 的状态,并且将质疑的人一律贬为自大狂,这样的态度除了站队量通之外,别无其它解释。 姬先生在文中用大量的篇幅描述 BB84 的工作原理,并把这当作工程上实际采用的方案,这暴露出来他对于量通工程的了解只停留在纸面上,根本不知道量通工程的实质是需要分析诱骗态理论,他显然对此知之甚少。靠这点对量通的了解就想当然地以己推人,一定会失了准星。 有关诱骗态,我提出 QKD 的成码率提高及传输距离的延长是以安全的绝对降低为代价的,这是我独立分析诱骗态原理的结论,这个结论我相信姬先生是提不出来的。很巧合的是,这样的结论恰恰在包括 Yuen 等专家的论文中得到印证,他们可是绝对比姬先生更有发言权。 姬先生认为偷听就能够被发现,说明他根本没有看过诱骗态的相关论文。偷听被发现仅是在一个控制的概率范围内,绝对不是必然的发现,诱骗态从头到尾论证的就是这个概率,我自己擅作主张称之为概率安全。这些东西要是拿到信安专家那里宣讲,会被人当作笑话听的。姬先生真需要仔细阅读一些相关的论文,才有可能对此做出专业的判断,而不是简单地将人说成望文生义,那种做法很 low ,我根本不把这当作一个有效的批评。 顺便提一句,之前我提出来: BB84 协议连一个真正的信息 bit 都发送不出去。姬先生就认为 BB84 协议是多么聪明,当然不存在这个问题,不知道姬先生现在是否还坚持这么认为?具有独立思考能力不是那么简单的事情。 有关下转换的问题,需要知道,目前量通可不是采用的单量子进行的,那是一大群光量子好不?姬先生就不能活络一下脑筋,简单地再思考一下?为批判而批判容易掉进陷阱。我提出来的只是原理,不是具体怎么实现,可不是说我连 BB84 有四个偏振方向都不懂,你太看低我了。只有 4 个偏振方向理论上只需要截取 4 个光量子就可以了。但是实际上,下转换的效率极低,我得承认这个方法至少在没有提高转换效率的情况下还无法实用,但是我提出来的是一个思路,是一个映射转换的思路,姬先生显然忽略这个开脑洞的设想,即使不考虑不可克隆原理是否适用的问题,这个映射转换的方法也可能通过其它物理路径来实现,我很愚笨,不知道其它的方法,但是我肯定的一点是,这类方法绝对大量存在,姬先生能证明不存在吗?物理测量不就是大量这样的范例,我不用举例了吧? 有关不可克隆原理的质疑 科学的进步在于持之以恒的怀疑和验证,连怀疑的能力都丧失了,对于理论工作者来说实在是可悲的事情。 不可克隆原理的证明,不知道姬先生是否仔细阅读过,里面提到的证明原理是,一个量子的任意两个量子态要想复制到另一个量子上,最终证明或者两个量子态是相同的或者彼此正交。在这里,所谓的相同与正交都是人为选择的坐标系,那么在证明中竟然存在两个奇异的状态(相同和正交)对于是否可克隆不置可否,难道姬先生对此一点没有洞察? 在一个非特异的坐标系中,存在两个绝对不能判断是否可克隆的状态值漏点,这个原理就是值得怀疑的 。那么具有偏振方向已知的( Alice 当然知道)线偏振光是否属于叠加态,不值得深思吗? 请参考曾谨言老师的教材,虽然里面提到这种情况下只能用到概率的解释,需要将光子偏振方向分解成与测量晶体方向水平和垂直的方向,但是他的语气可是有些不得已的感觉。谁说光子不可能是吸收再激发的过程?那样就根本不需要假设光子全须全尾通过偏振片,况且下转换过程已经清晰地告诉我们这种可能性反而是极大的,所谓必须用到概率解释,那是数学的范畴,可能不是物理的实际内容。哪怕坚持概率解释,经过这样的向量分解,所谓量子的叠加态恰恰是彼此相互呈现正交的两个本征态的线性组合,你觉得这不会落到不可克隆原理的两个特征值漏洞(相等和正交)里吗? 按照曾谨言书中的观点,做一个思想实验,一个光子假如采用偏振片进行测量,偏振片能够从 0 到π完整的旋转一个平面,积分光子在各个方向出现的所有概率,获得的结果为π /2 ,可不是 1 ,这样的矛盾是无法用概率来解释的。光子叠加态的概率解释建立在固定的坐标系内,一旦人为选定就不能更换,所以我认为这仅仅是数学处理的必要,换到物理的客观世界里,根本不存在这样一个绝对的坐标系。 有关其他 江湖上有一种奇怪的说法,就是经典派担心量子派抢了自己的饭碗,所以极力反对量通。这就需要问问究竟我还是徐老师靠信安吃饭?包括观网的主编们离信安这碗饭也远得很吧?持这种观点的人真的看不到科学还有正义一说吗?他们在阴暗的角落里面待的时间太久了,看不到哪怕一点人间正气?猥琐的人在哪里都伟岸不起来。 前几天,国内突然颁发了一个为量通量身定做的“墨子量子奖”,出资一个亿还不趁机自我宣传一下,这样慷慨又匿名的民间企业家真的是少见啊。这么窄的获奖领域,我真担心明年再选几个候选人会不会重复?难道这是为了量通专家排队领奖金?做出这么具有国际水平的幽默的事情,可不是我辈的想象力能够企及的。 在我的文章中有 2 万多字都在提有关密码领域的事情,我觉得目前为止,包括姬先生的这个文章,根本就没有谈好这个问题,这方面他离专家的水平相差甚远,他只是从自己的错误理解上,对文章大加鞭挞,这样的文章根本不具有起码的批判的价值,如此明显的站队行为,对于返朴这个新成立的科普公众号来说,其实不是一件光彩的事情。 再比如说,只从物理角度谈安全,姬先生应该没有看过潘院士列出来有关无条件安全证明的那些文献,他凭什么武断地说量通是绝对安全的?就算不看文献,起码的物理常识应该是有的,难道姬先生就从来没有好奇心,这些物理绝对安全是如何证明的?这可是物理领域的事情。你可以看看我文中提到的量通所谓无条件安全定义的那部分,再参考一下我提到的相关教材,就知道量通的无条件安全定义才是驴唇不对马嘴。当人家把问题定义在计算算法的范畴之内,量通擅自将这个定义扩展成了物理领域,然后说这个是无限算力也不能破解的,因此量通就是无条件安全的,这都哪跟哪啊?很遗憾,我在文中提到的那些绝对专业的硬伤,姬先生选择性忽视了,用这样有明显偏向性的引用,我不觉得能够得到正确的看法。至于姬先生断言经典派落入下风,那是想当然了,在工程化实际操作方面,在 IPO 运作方面,我们的的确确落入下风,但是在高举科学与正义的大旗下,我们可是一直挺立在潮头浪尖上。 附录姬扬老师在返朴针对我回复的回复,对照文中的陈述,科学网的网友自有判断。大凡讲的东西多一点的,起码可批判的内容也更实际,貌似姬扬老师说我承认了他说的所有事情,证明他一贯的正确,但是我说的更多的事情他是一句也没敢提,比如加热去磁,我只提蜘蛛侠了?那是物理常识好不,这种选择性摘录,我实在不以为然: 回复本文后面的评论,特别是李红雨老师的评论。 我这篇文章是描述现状的。而从你的回答来看,我这篇文章很好地描述了现状: 经典派没有大佬站台,这是事实,你承认的; 经典派不认为能够发现有人偷听是个优点,这也是你承认的; 经典派认为量子派不应该采用经典算法(不能捞过界),这也是你承认的: 经典派认为金贤敏对他自己工作的解读是不正确的,这也是你承认的; 我说你们可能会认为我在曲解你的说法,这个预言也得到了你行动的承认。 我举出了严格的例子证明了你的错误,但你还是不承认: 我说你的加热去磁是不可能实现的,然后你跟我讲蜘蛛侠; 我说你的参数下转换过程不能确定单光子的偏振态,然后你给我讲你的新猜想; 我说有些经典派认为“量子不可克隆原理”不成立,其实就是反对整个量子力学的基础,然后你给我讲量子不可克隆原理的证明是错误的。 好了,你的所有这些表现,确实证明我对现状的描述是正确的。 量子派的优点是,有人偷听就可以找出来。这件事重要不重要,是由使用者决定的,我们不能越俎代庖。
52 次阅读|0 个评论
从克利夫兰奖到量子纠缠
热度 3 lhy8848 2019-3-15 10:08
引子 2 月 1 号,“墨子号”量子科学卫星科研团队获得美国科学促进会颁发的 2018 年度克利夫兰奖,这个消息差不多立刻刷遍了国内的网络。 在世界多如牛毛的各种科技奖项中,克利夫兰奖其实真的算不上什么令人激动人心的大奖,那不过是《科学》杂志年度优秀论文奖,奖金 25000 刀,这就好比《人民日报》年度好新闻奖类似,只不过在国人眼中《科学》杂志顶尖学术水平的标志,所以想当然以为获得克利夫兰奖可能跟获得诺奖有点什么神秘关联。其实多数人包括国内科学界连这个奖项都是头一次听说,相比较来说,虽然我也批评过 2018 年度沃尔夫物理奖 ,但其实沃尔夫奖的成色也甩出克利夫兰奖不知几个街区。 2018 年诺贝尔生理医学奖获得者日本京都大学特别教授本庶佑在参加一个记者访谈对话中就说: 关于研究,我自己本身总有想知道些什么的好奇心。还有一点,我不轻信任何事物。媒体经常报道某个观点来自《自然》或是《科学》,但是我认为《自然》、《科学》这些杂志上的观点 9 成是不正确的, 10 年过后就会知道只有 1 成是真的。所以我首先不相信论文或者其它文章。只相信自己的眼睛能确认的观点,这就是我对《科学》杂志采取的态度和做法。也就是说,只有通过自己思考,觉得可以理解才会接受。 这段话我深以为然。诺贝尔奖的名声百年来不衰自有其道理,往往已经在理论实践上获得科学界主流普遍认同的理论,诺贝尔奖也仍然需要可能长达几十年的时间来考验理论的正确性,包括爱因斯坦的相对论,就因为诺奖的这种保守态度而没有获奖。所以对比起来,你就知道当年发表论文当年获奖,它的成色会是怎么样了,严谨的科学家对此应该不会太在乎。按照 本庶佑的看法,我们真的不好判断克利夫兰奖的获奖论文,十年后应该是否还属于禁得起考验的 10% 那部分。国内媒体热炒这样一个成色不足的奖项,不免显得有些虚火旺盛,我们好歹也见识过屠呦呦的诺奖,大可不必表现得如此激动,这样反而显得特别没有自信。不妨静下心来, 阅读并思考一下这些获奖文章,从中批判和汲取一些有益的知识营养,这才是对待克利夫兰奖的正确打开方式。 谈克利夫兰奖只是个引子,这个话题没有什么展开的价值,我只是想就这个引子,谈谈获奖论文所涉及的一些科学硬核的内容,这不是八卦文,而是需要认认真真思考的文章,所以想看轻松文字的读者可能需要退出了,因为后面的东西都是很枯燥的内容,不过讨论的话题其实还是蛮重要的,那就是量子纠缠。 “墨子号”完成的三大科学实验任务包括量子纠缠分发、量子密钥分发、量子隐形传态,这三部分工作的成果分别公布在《科学》和《自然》两个国际顶尖的科学杂志上。其中量子纠缠分发的工作是最具科学意义的实验,里面并不仅仅是讨论量子纠缠分发工作本身,更重要的是进行了贝尔不等式的类空( Space-Like ) 验证,文章标题为: Satellite-Based Entanglement Distribution ,这就是克利夫兰奖的获奖论文;另两项工作发表在《自然》杂志,主要讨论的就是量通那套东西,文章标题分别为: Satellite-to-ground quantum key distribution 和 Ground-to-satellite quantum teleportation 这个文章主要讨论的就是《科学》杂志上发表的这篇论文,但是视野并不局限在这个论文本身,而是将其引申到有关量子纠缠和贝尔不等式验证这个更广泛一些的话题。本文预期的读者虽然不限于量子专业人士,但是对于量子叠加和量子纠缠的基本知识还是需要有的,尤其需要了解贝尔不等式究竟证明了什么,此外有关现代光学实验的一些基本知识也需要掌握,毕竟需要分析一些光学线路原理。总之,你知道得越多,越能够理解所谈论的话题,或者越能发现我讲述这个问题可能存在的各种错误。必须承认这是个非常容易陷入民科大坑的话题,好在我没有打算推翻量子力学重新建立一个新的体系,只是提出一些自己的分析看法,供大家参考。 讨论量子纠缠需要预设的共识 虽然量子纠缠已经成了大众耳熟能详的科学名词,但是要想清晰理解这个概念却并不容易,包括很多量子理论专家,也往往在这方面有各种稀奇古怪、前后不一的混乱认识。 量子纠缠并不是量子专家提出来的概念,而是在 80 多年前,由 E: 爱因斯坦 、 P: 波多尔斯基和 R: 罗森在 1935 年发表的有关论证量子力学 不完备性论文中 提出来的(严格说,纠缠是薛定谔根据这篇论文给出的一个明确术语),人们常常将这个奇怪的思想实验根据他们名字的首字母组合起来称之为 EPR 佯谬 。 一直以来,量子专家们向大众反复宣传的一个传奇故事,就是有关贝尔一开始试图证明爱因斯坦的预言是正确的,反而在后续的一系列有关贝尔不等式验证实验中被不断反证,成为爱因斯坦兵败滑铁卢的一段悲伤的往事,也是量子理论从胜利走向胜利的一个个标志性的里程碑。 可惜的是,如果事情这么简单,那么我们现在听到的故事应该有这样一个英雄人物,通过一锤定音的判定性实验,将量子纠缠从猜想变成一个毫无任何争议的量子理论的组成部分,就不用不厌其烦地不断去做各种新的实验来验证这个结论,包括“墨子号”卫星的三大任务之首,其实就是试图在类空范围内对贝尔不等式进行验证的一个尝试。 事情的真相是,量子纠缠从来就没有在任何无争议的实验条件下获得过确证,所以自然没有那个英雄人物的出现。任何一种技术如果把量子纠缠当作其理论基础,都不可避免面临潜在的风险,这包括量子通信的部分协议以及炒作得很火爆的量子计算。问题主要出在量子的叠加态和非定域性的验证上,这两个概念包含着深刻的时间内涵。 叠加态在主流的量子理论中是处在时刻的概念下的 ,这是一个极限形式的时间刻度,在这个极限时间刻度上,量子状态在所属的希尔伯特空间中呈现概率性分布特征。这个时间刻度的观念是量子理论不能放弃的前置条件。如果放弃了时间刻度,将其放宽到一个时间段,对于单量子来说,在更精细的时间内运动所发生的状态变化,就会在观测的环节,浓缩成为经典样式的概率分布,这是与宏观世界相同的平凡的运动状态变化统计,单量子只有在时刻概念下呈现量子状态的概率分布图景才能体现量子的特异性。 非定域性在主流的量子理论中是处在同时性的概念下的 ,在宏观世界中,同时性只在同一个惯性系中起作用,不同的参照系不具有可比较的同时性。但是不要紧,我们假设观察的量子都处于相同惯性系。非定域性意味着相互关联的多个量子的 叠加状态 在被观测的时候具有瞬时的联动效应,当然这种瞬间效应不同于经典理论的超距作用,是属于量子间内禀的系统属性,之间并不存在可观测到的相互作用,量子理论称之为系统的完整性,这是量子理论与经典物理不同的地方。经典物理的超距作用是能够不断操纵遥远隔离的两个物体运动状态发生连续变化的,而量子理论中的纠缠状态一旦被观测到,就“塌缩”或者“退相干”成固定的本征态,量子间系统的关联性就被切断了,之后的状态就变成各说各话,彼此不相干了。 由于“塌缩”效应,纠缠的量子经过“测量”之后变成固定的本征态,彼此之间已经不再发生纠缠关联,所以之后对任何量子操作所发生的量子状态改变,都不会影响另外量子的状态。很多量子科普文章在宣传量子纠缠的时候,对这方面的阐述很少或者没有,给外人的感觉好像纠缠的量子之间可以不断随意改变状态,并导致远离的量子也随之改变,这是最大的误解。 既然纠缠测量只能进行一次,会有人提出来,如何证明这些量子之间的关联不是在一开始就确定了的?这也是爱因斯坦的问话。这个情景可以用左右手套作比喻,当一个人拎着手提箱从北京去到上海的时候,不经意间只带了一副手套的一只,于是在上海的宾馆里,当他打开手提箱发现带过来的只是右手套的时候,他马上知道落在北京家里的是左手套。这种相关性在所谓纠缠最开始就已经确定下来的情景,不妨称为“左右手套关联”。验证量子纠缠的实验往往是关注了量子之间的关联性,但是没有能够表达出量子的叠加态,所以就落入了“左右手套关联”陷阱中。 还有一种相关性情形,比如说,女儿在北京,母亲在上海,当女儿生下第一个孩子的时候,远在上海的母亲马上变成外祖母,这种情况其实不过是同一件事情在不同角色间有不同的陈述,虽然实际上只有一方的状态发生了改变,另一方根本没有任何变化,但是解释的角度发生了变化,所以好像另一方也发生了同步改变,不妨称这种情况为“女儿外祖母关联”。这种情况特别隐蔽,类似的情形就是在光学实验中忽视有关波粒二象性的互补原理,将波与粒子按照自己的意愿而不是物理现实进行解释。 如果双方其实没有任何关联,也没有发生任何改变,只不过对于观察者来说,不同的观察者观察同样一件事物,或者采用不同的观测方法,可能得出不同的结论,就好像佛教中的故事,佛眼中所有的人都是莲花,而奸邪的人眼中所有的人都是狗屎,好吧,这种莫须有的关联,或许可以称之为“狗屎莲花关联”。虽然这样的关联似乎很可笑,但是隐约中我感觉所谓贝尔不等式被破坏的结论,可能就是这样一种关联假象。 一个实验往往会同时犯多种关联性错误,尤其在量子实验中,大量采用激光作为实验对象,主观上就会一直将光子看作粒子而不是波,于是互补原理就成了隐身人,很少在量子光学实验的解读中出现(一点不奇怪,你如何对连续性的波采用离散的量子算符进行表达?)。波尔对于量子力学的解释很多是非常不令人满意的,严重误导了后来的量子理论的发展方向,但是有关互补原理的顿悟,我一直认为其中蕴含着更深刻的道理,可惜量子实验专家基本不会采用互补原理来思考实验的结果,在这样情况下,本来对于宏观光学领域很普通的光学现象,经过量子方式的解读后,就会得出各种非常清奇的结论,比如双缝干涉实验中,将亮条纹解释成为光量子的富集,将暗条纹地带解释成为光量子厌恶的地区,至于为啥光量子因此不走直线的理由,他们就假装没有这件事,我不想说这其实就是惠勒反因果实验的解读实质。 所以按照原教旨主义的定义, 量子纠缠必须同时具有三个缺一不可的条件:相关性、叠加态和非定域性 ,任何一个条件的缺失都意味着回归到经典物理世界中,爱因斯坦就不用担心经典世界的丧失了。 我不能够接受主观世界对客体世界具有超然决定论式的观点,持那种认为月球一旦没有被看到就不再存在的理论家,那种认为佛学大师早已在山顶等候的半宗教人士,那种对叠加态和本征态全然不在意,只关注量子间相关性的实验家,他们的观点主张并不在本文的讨论范围内,他们叙述的量子纠缠的物理世界,应该不属于爱因斯坦们在 EPR 中定义下的相关科学范式,尽管混用了同一个语汇,但是讨论的对象是完全不同的,这需要仔细加以区分。 如果你同意上述三个必要条件是量子纠缠的完整定义,接下来的讨论内容对你才是有意义的,否则我们走在不同的方向上,不存在可共同讨论问题的先决条件。鉴于目前为止所有的实验都没有对量子纠缠的结论做出无可争议的确认,所有所谓应用量子纠缠的那些技术,你基本可以认定是属于另一个话语体系的广告,与本文无关,与非定域性无关,也与爱因斯坦的 EPR 无关。很简单的逻辑,如果这就是量子纠缠,科学界还需要不厌其烦做各种验证实验吗?包括花了那么大价钱通过“墨子号”卫星所做的这个所谓的验证实验?只要你仔细思考原理,观察实验细节就知道,那些技术不过是利用了粒子间由于相互作用产生的相关性,跟地球和月亮的相关性没什么本质的区别,所以但凡打着量子纠缠旗号所做的宣传基本可以归类到传销范畴。 贝尔不等式 有关贝尔不等式本已写了很多内容,但是因为涉及一些新的看法和主张,打算另外成篇,这里暂时省略。 有一点需要提示,自从爱因斯坦提出来 EPR 思想实验以来,如何进行验证始终就是一个挑战。由于叠加态“塌缩”的特质,无论是“左右手套关联”陷阱,还是“女儿外祖母关联”陷阱,抑或是“狗屎莲花关联”陷阱,都无法直接从对于单个量子对的观测中排除掉,在很长一段时间里,这是困扰量子界的一个颇为棘手的问题,直到贝尔不等式的横空出世。 但是令人感到吊诡的是,量子纠缠现象中,不管是其中单个量子所处的叠加态还是量子对之间的非定域关联,都必然涉及到具体的时刻以及同时性问题,这就意味着时间在其中应该处于至关重要的地位,然而无论是贝尔不等式的推演过程或者具体的实验验证过程,时间维度似乎从理论和实验中同时消失了,但是我们却要从反证的结论中将这个丢失的时间维度重新寻找回来,将量子间的纠缠关联变成一种具有同时性的非定域性的关联,这里面是否隐含着某种不自洽的逻辑,就非常值得思考。 此外,还令人感到不安的是,即使当我们分析出来实验过程只不过是落入了“左右手套关联”陷阱中,对于这样一种极其平凡的关联性,在实验中竟然戏剧性地得出超现实关联的结论,这种不可思议的结果里面内涵的问题,才是贝尔不等式的理论与实践之间最大的鸿沟。 发现真正的问题是开启正确路程的起点,量子专家满足于计算,远离了物理世界和科学哲学的思考,所以当他们欢呼贝尔不等式里程碑意义的时候,根本意识到上面存在的那些问题 . 这里提供了一些思考的线索,点到为止。 “墨子号”的贝尔不等式验证试验 “墨子号”有关贝尔实验的文章发表在 2017 年 6 月份的《科学》杂志上,标题为: Satellite-Based Entanglement Distribution ,虽然在说纠缠分发的工作,其实讲的内容就是进行贝尔不等式验证,当然实验中验证的是 CHSH 不等式,属于贝尔不等式的一个变种,主要还是实验数据处理方法有所不同,从原理实验角度上来说并无本质的区别,有关 CHSH 的细节不多解读,很多材料文章对此都有介绍。 一般说来,贝尔不等式验证实验都需要做严格的实验条件限制,即便如此,仍然存在各种新的漏洞不断被发现。所谓严格的实验条件,可不是在 A 实验中堵住了一个漏洞,在 B 实验中堵住了另一个漏洞,然后就说通过 A 和 B 两个实验堵住了两个漏洞,而是要求在一个实验中完全堵住两个漏洞。至于在卫星和地面之间的所谓纠缠光子实验是否算是严格的贝尔不等式验证实验,恐怕文章的标题就已经反映出来了,从来没有哪个严肃的科学家会把这个实验当真,包括克利夫兰奖的颁奖理由都只字不提整篇文章所论述的贝尔不等式验证这件事,这方面潘团队还是有自知之明的(在国内媒体上的宣传可不是这样),不过不要紧,反正同样的一个实验还可以冠名为星地间纠缠光子分发,用来隐藏实验的真实目的,与文章的标题仍然很相配。 很多量子专家一直坚持说,迄今为止,有关贝尔不等式的验证实验已经做得足够有说服力了,所有明显的漏洞都已经堵住了,现在反而是实验专家自己不满意已经获得的实验结果,吹毛求疵地提出各种稀奇古怪的想法,并把这些点子当作新漏洞,试图通过各种实验手段来消除它。我想对于很多理论家来说,他们内心里可能早就喊出来:够了,已经做得足够了,再做下去难道是想要骗取实验经费吗? 那么真的做得足够了吗?所有明显的漏洞都已经堵住了吗?当然不是,恰恰相反,所有大的漏洞几乎从来就没有被堵住过,我在《 墨子沙龙有关量子通信话题的问与答(五) 》的第 18 个问题的回答中列出了我归纳出来的 7 个主要需要解决的漏洞,其中只有量子的相关性验证漏洞解决了一半,其它 6 个漏洞甚至可能都没有做过任何验证,至少在我阅读过的有限的资料中,没有一个漏洞被认真验证过。所以不要觉得连细微的裂痕都被关注过就以为大坝已经滴水不漏,恰恰相反,拿着显微镜查找裂痕的人是看不到巨大的管涌的。本文其实只是借着“墨子号”实验指出其中一个最具普遍性、根本性和隐蔽性的漏洞,至于其它方面的漏洞,“墨子号”实验一个都不缺少,但是将不论及。 下面就是“墨子号”卫星上生成并发送纠缠量子的光学原理图,获奖文章对于地面测量的方法手段介绍不多,精彩的内容应该就是卫星上产生纠缠光子对并进行分发的光路,我们的文章也就专门分析下面的这张图,解析一下所谓的纠缠光子对究竟是怎么纠缠起来的。 使用光学器材的解释 为便于了解墨子卫星的光路原理,这里对所使用的一些光学器材做简单的介绍,当然这些介绍并不完整,仅供参考。 PL: 泵浦激光发生器,最初的原始光源,用来产生线性偏振的激光,墨子号的波长为 405 纳米 ISOLATOR :光隔离器是允许光向一个方向通过而阻止向相反方向通过的无源器件 HWP: 半波片可以对偏振光进行旋转,线偏振光垂直入射到半波片,透射光仍为线偏振光,假如入射时振动面和晶体主截面之间的夹角为θ,则透射出来的线偏振光的振动面从原来的方位偏转 2 θ。 QWP : 1/4 波片若以线偏振光入射到四分之一波片,且θ= 45 °,则穿出波片的光为圆偏振光;反之,圆偏振光通过四分之一波片后变为线偏振光。 DM: 双色镜,其特点是对一定波长的光几乎完全透过,而对另一些波长的光几乎完全反射。墨子号采用的双色镜对 405 纳米光几乎为全透射,对 810 纳米几乎为镜面全反射 PBS: 偏振分光棱镜能把入射的非偏振光分成两束垂直的线偏光。其中水平 P 偏光完全通过,而垂直 S 偏光以 45 度角被反射,出射方向与 P 光成 90 度角。 PPKTP: 周期极化磷酸氧钛钾 晶体,非线性晶体的一种,用来将一个入射光子分裂成一个光子对,原本的光子称为“泵浦光子”,光子对里的两个光子分别任意称为“信号光子”、“闲置光子”。假若信号光子与闲置光子的共享同样的偏振,并且与泵浦光子相互垂直,则称此为第一型关联;假若信号光子与闲置光子的偏振相互垂直,则称此为第二型关联。墨子号采用第二型关联的非线性晶体。常用的非线性晶体还有 BBO ,与 PPKTP 主要的不同之处在于出射的信号光与闲置光并没有混合在一起,而是自然分裂成一个细小的夹角,因此可以不用再进行分光处理。 图中的 A 、 B 、 C 三个镜片是反射镜, PI ( Piezo Steering Mirror 压电倾斜反射镜,用于对焦)、 LP (带通滤光片)、 collimator (准直器)不对光子的偏振状态做任何改变,只是将已经分离出来的光子分别发射出去。 经典光学的解读 在整个墨子号的光学线路上,泵浦激光发生器 PL 发射出来的光是极强的激光,一直到发射到地面站去的经过各种处理后的两束光也仍然是极强的光,采用经典光学进行解读是很必要的,也是合理的。 PL 发射的泵浦激光是线性偏振光,波长为 405 纳米,是紫色光,经过 Isolator—HWP1—QWP 的处理,这部分光路经过两个玻片的仔细调校,出射的激光应该从线偏振光转变成圆偏振光,这点非常重要。 圆偏振光经过 A 反射镜入射到 DM1 双色镜,我们知道 DM1 和 DM2 都是对 405 纳米光全透射,于是光透过 DM1 入射到 PBS 。 墨子图中深灰色部分的光路是最关键的部分,由 PBS/HWP2/PPKTP/B/C 这些光学器件组成,这个光路一般称为萨尼亚克偏振干涉仪( Polarization Sagnac Interferometer ),简称 PSI ,这是 1913 年萨格纳克发明的一种可以旋转的环形干涉仪。将同一光源发出的一束光分解为两束,让它们在同一个环路内分别沿相反方向循行一周后会合,然后在屏幕上产生干涉,当在环路平面内有旋转角速度时,屏幕上的干涉条纹将会发生移动,这就是萨格纳克效应,激光陀螺就是利用这个原理制成的,墨子号并不是用这个光路产生干涉条纹,而是用来产生两路“纠缠”的光子光束。 圆偏振光入射到 PBS 晶体,会被切分成两束相互垂直的线偏振光,其中水平 P 光直接透射,延 PSI 顺时针运行, S 光则垂直从右侧折射,延 PSI 逆时针运行。这个时候我们就能够理解为什么在前面的光路需要产生圆偏振光,因为只有圆偏振光才能让顺时针和逆时针运行的两束光的光强是均衡的。我们这个时候需要注意的是,无论是 P 光还是 S 光都是线偏振光,并且彼此偏振方向相互垂直。下面分别按照顺时针光路和逆时针光路进行解读。 顺时针光路 P 光离开 PBS 后,经过 B 反射进入 PPKTP ,这个时候发生了所谓自发参量下转换(英文: Spontaneous Parametric Down-Conversion ,缩写: SPDC ),也就是说一个入射光子经过 PPKTP 后变成 2 个频率减半,偏振方向彼此垂直的光子对,宏观上来说经过 PPKTP 之后,光的波长变成 810 纳米的红外光,并且内含偏振方向彼此垂直的两束线偏振光,我们把其中一束线偏振光称为信号光,记作 Ps ,另一束线偏振光称为闲置光,记作 Pi ,汇合而成的彼此垂直的光束记作: Ps ⊥ Pi ,这并非标准的记法,只是用于形象的物理表达。 Ps ⊥ Pi 光经过 C 反射镜通过 HWP2 重新入射 PBS 。需要注意的是因为此时的光波长已经变成 810 纳米,相对 405 纳米的半波片 HWP2 来说,已经不会对这个波长的光束发生作用,光的偏振方向保持不变。 Ps ⊥ Pi 光经过 PBS 同样进行偏振分光选择,分解成水平和垂直两个偏振方向分别从相互垂直的两个方向出射,其中水平偏振光直接透射,这部分偏振光可以形象地记作: P(Ps ⊥ Pi) ,这个水平线偏振光经过 DM2, 因为 DM2 相对 810 纳米光接近全反射,于是通过 PI-2 和 Collimator2 发射出去;另一束垂直线偏振光偏折 90 度从 PBS 出射,这部分光可以形象地记作: S(Ps ⊥ Pi) ,通过 DM1 全反射,经由 PI-1 和 Collimator1 发射出去。这两束光的线偏振方向固定并且彼此垂直,在地面站上可以检测两束光偏振方向之间的协同关系。 逆时针光路 类似的分析, S 光经过 HWP2 后,会对偏振方向产生一个偏角,不妨设定为α,变为 S+ α的线偏振光,这个 S+ α光经过 PPKTP 同样会发生 SPDC ,产生合并在一起的两束相互垂直的线偏振光,类似的,我们记作 (S+ α )s ⊥ (S+ α )i 。经过 B 反射重新进入 PBS 后,同样进行再次偏振分光选择,其中的水平线偏振分量 P((S+ α )s ⊥ (S+ α )i) 直接透射,通过 DM1 全反射,经由 P1-1 和 collimator1 发射出去,垂直线偏振性分量 S((S+ α )s ⊥ (S+ α )i) 偏转 90 度,通过 DM2 全反射,经由 PI-2 和 collimator2 发射出去。 所以如果你不在意每个 collimator 发射出去的光束的来源如何,你能够非常简单地检验出来,其实这个光束是由水平和垂直偏振的两束光合成在一起的,分离这两个彼此垂直的线偏振光是简单的技术活。而为了追溯其中每个偏振光束的来源,就可以将前面分析的结果在此归纳整理一下,为了表达得简洁而形象,我们不妨将顺时针运行的 P 光及其后续历经 PPKTP 及 PBS 等处理的光束分支,一直到从两个 Collimator 出口射出的光束都定义为红色;将逆时针运行的 S 光及其后续历经 PPKTP 及 PBS 等处理的光束分支,一直到从两个 Collimator 出口射出的光束都定义为蓝色;把第二次经过 PBS 分光处理后的平行偏振光称为右手套,把第二次经过 PBS 分光处理后的垂直偏振光称为左手套。 经过上面形象化的定义后,我们就能够知道: P(Ps ⊥ Pi) à 红色右手套 S(Ps ⊥ Pi) à 红色左手套 P((S+ α )s ⊥ (S+ α )i) à 蓝色右手套 S((S+ α )s ⊥ (S+ α )i) à 蓝色左手套 那么: 经过 Collimator1 口射出的光束就是:红色左手套 + 蓝色右手套 经过 Collimator2 口射出的光束就是:红色右手套 + 蓝色左手套 于是 Collimator1 口射出的光束传到德令哈后,地面站的人很欣喜地发现收到了很多红色左手套 + 蓝色右手套;而 Collimator2 口射出的光束传到丽江后,地面站的人惊讶地发现,太巧了,他们收到的是红色右手套 + 蓝色左手套,正好能够跟德令哈彼此颜色和左右手都匹配上。 这就是经典光学方式下对墨子号贝尔不等式实验的解读,在这里,我们没有发现任何值得注意的与众不同的东西,尤其是那个神秘莫测的纠缠从来没有出现在这个分析中,我们的理论分析结论仍然很符合实际观察的结果。 量子光学的解读 经典光学都是从光的波动性质上来做出解读的,量子光学需要将光采用光子的方式进行解读。通常的光路原理没有什么不同,关键就在于纠缠的光子对是如何产生的。 其实这么说的时候就会犯逻辑的悖论,因为贝尔不等式判定实验就是设计用来证明是否存在量子纠缠现象,如果在获得确切结论之前就要求知道产生的光子对是相互纠缠的,这是循环论证。 但是我们在开始这篇文章之前设定了讨论量子纠缠的三大必要条件:相关性、叠加态和非定域性,其中相关性是平凡的条件,非定域性无法直接测量验证,因此,至少我们需要对叠加态的认定达成一定的共识。定义什么是光子偏振态的叠加态可能各有不同的见解,但是假如一个光子的偏振方向是固定的,持任何一种叠加态观点的人,都不会认为这样的光子是处于叠加态的,此时的光子应该处于本征态,这样的观点必须是一种共识,否则就没有必要讨论下去,爱因斯坦的 ERP 实验跟你心目中的想法根本就不在一条共同的思想轨道上。 包括并不限于墨子号实验在内,有关纠缠光子对的产生,判定它们是否处于叠加态似乎从来就没进入实验专家的思考范畴中。通常的看法,一个泵浦光子经过非线性晶体 PPKTP 的时候,由于所谓的自发参量下转换( SPDC ),就会生成频率减半的一个“纠缠光子对”。 PPKTP 生成的“纠缠光子对”之间的偏振关系有两种,第一种光子对偏振方向相同,并与泵浦光子偏振方向垂直,显然,这种情况下光子对的偏振方向是由泵浦光偏振方向唯一确定的,当然其中每个光子的偏振态绝对不可能是叠加态;第二种情况光子对的偏振方向彼此垂直,虽然与泵浦光子的偏振方向没有绝对的相关性,但是在具体的实验环境中,光子对所组成的两束垂直偏振光仍然具有固定的偏振方向,与泵浦光子的偏振方向呈固定的夹角,所以这种情况下的光子对也依然绝对不可能处于叠加态。这个结论并不奇怪,其实反过来想,如果第一种关联光子对都不在叠加态上,那么第二种关联光子对反而处于叠加态, PPKTP 在第二种关联中做了什么妙手生花的处理就令人费解了。这样说来,其实经过 PPKTP 而产生的光子对只具有偏振方向的相关性,每个光子绝对没有处于叠加态。 我们再退一步说话,假设 PPKTP 的 SPDC 效应产生了“纠缠光子对”,并且具有偏振方向相互垂直的相关性,这个“纠缠光子对”经过 PBS 处理后应该处于什么状态? PBS 就像一个测量仪器,对每个“叠加态”的光子的偏振方向进行“测量”,并因此导致量子叠加态的“塌缩”,接下来“塌缩”的光子依照“测量”后获得的固定水平偏振方向或者垂直偏振方向分别向前方或偏转 90 度射出。所以当你采用 PBS 进行分光处理的时候,作为实验专家以及理论专家必须回答的一个问题,这算不算一个测量过程?如果不算,那么彼此垂直射出的两束线偏振 P 光和 S 光就无从解释,那些光子都是具有固定的偏振方向,当然不是处于叠加态。如果算是测量,那么即使入射的光子对处于叠加态,经过 PBS 之后,就完全“塌缩”或者“退相干”成本征态了,那么之后再经过 DM1 和 DM2 反射到各自的 Collimator 自然也就是本征态的光子。 综合起来,光量子对无论从何种角度进行分析,最终从 Collimator 射出的光子都必然处于具有固定偏振方向的本征态,这就跟我们在经典光学部分的解读完全一致,没有任何不自洽的地方,相反,整个的光路中产生叠加态的光子对的解答,无论如何都是无法服人的。 从经典光学和量子光学两个角度进行的分析表明,“墨子号”卫星实际上只是通过 PSI 光路分别制作出来红蓝两批手套,但是却把不同颜色的左右手套分别配对(红左蓝右以及红右蓝左)后分发到不同的地面站上,不管你怎么混合,也脱不了分发左右手套这个实质,恰恰落入了“左右手套关联”陷阱中,这就是我所说的贝尔不等式验证实验的第一个漏洞。显然,“墨子号”没能关闭这个非常关键的漏洞,至于之后获得什么结论就一点价值也没有了,同时你也可以知道,如果连纠缠光子对都谈不上,再说分发纠缠光子对就是一句空话,所以这篇获得克利夫兰奖的论文恐怕连标题都是错的。 泽林格的实验及其它实验 墨子号的实验令人不容易理解的其实是采用的 PSI 光路。从原理的分析来看,其实无论是顺时针或者逆时针的光路,都只需要提供一个光路就能将所谓的“纠缠光子对”发射出去,根本不需要准备两幅手套,这样的设计至少从原理的角度来说是毫无价值的。 我们可以从潘院士的老师泽林格发表在《自然》杂志 2007 年 6 月期的文章《 Entanglement-based quantum communication over 144km 》中得到佐证。下面的图就是论文中有关纠缠光子制备、发送与接收的原理图: 我们可以看到,在图的左上角,由 high-Power Laser (高功率激光器)作为泵浦光,直接驱动非线性晶体 BBO ,通过 SPDC 效应产生“纠缠光子”束。与 PPKTP 类似的,一个泵浦光子能够产生两个频率减半并且偏振方向彼此垂直的光子对,也就是说, BBO 的下转换是第二型关联。 PPKTP 经过下转换后的光子对射出方向相同,所以需要采用 PBS 进行偏振分光后才能将两个“纠缠”光子分开,但是 BBO 下转换后的光子对彼此有一个很小的出射的夹角,所以直接就是分开的两个线偏振光,这两束分开的线偏振光,其中一束在本地进行偏振方向分析,另一束发射到远离 144 公里之外的小岛上被接收和进行同样的偏振方向分析。所以你需要知道的是,发射到 144 公里之外的可不是一个个孤零零的单光子,而是很强的激光,简直可以用来打鸟了。墨子号发送到地面站进行贝尔实验的也同样是高功率激光,同样的光路,同样的本征态的强激光也用来做量通密钥分发,简直就是在太空中把密钥喊破喉咙唱出来,想装听不见都不容易。 我们不对泽林格的论文进行更详细的解读,我们只需要知道两点,第一点,泽林格并没有采用 PSI 光路,正如我一开始所说的那样,至少在原理上, PSI 光路其本质上是准备了两副手套进行分析,而泽林格只采用了一副手套进行分析,两者没有本质区别;第二点,无论是采用 PPKTP 或者 BBO ,都是利用了非线性晶体的第二型关联,产生偏振方向彼此垂直的光子对,这个光子对只具有偏振方向的相关性,对于每个光子来说,偏振方向是确定的,是非叠加态,因此绝对不要与“纠缠”不能混为一谈,不具备叠加态的相关性就完全不可能是纠缠态。 一直以来,其实量子专家给我们看的实验都是左右手套形式的实验,那个可是跟爱因斯坦提出的 EPR 根本不是一件事情,如果只是具有相关性,或者说类似这种一开始就已经分好了左右手套的把戏,那么就是爱因斯坦所说的那种情形,两个量子分开的时候,他们的状态就已经是确定了的,而不是在彼此远离之后,因为某一方的测量行为,导致另一方的叠加态瞬间塌缩。所以说,量子实验专家从来就没有真正在实验中验证过量子纠缠的存在,他们在实验的一开始就做错了,包括著名的阿斯派克特实验也是如此。 顺嘴提一句,下面是潘团队用来生成纠缠双光子的光路图,其制作“纠缠光子对”的方式跟泽林格的实验是一致的,其将两束光混合干涉的模式跟墨子号的 PBS 用法有异曲同工的效果,我们就不用继续分析了。 类似的 8 光子纠缠, 10 光子纠缠或者 18 光子纠缠,也只是光路设计堆叠在一起,看起来眼花缭乱,其本质跟双光子纠缠光路是一样的,里面根本不存在任何量子纠缠。 潘团队的所有实验在制作纠缠光子对的环节,无一例外都是利用了非线性晶体第二种关联下转换机制,没有任何真正的纠缠,所以也没有什么特别的奥秘隐藏在里面,更谈不上有什么高深莫测的技术是别人无法掌握的,与别的团队的区别只在于是否有人愿意投资做这些无用的实验堆叠,创造只属于媒体的世界纪录。这些所谓的多光子纠缠,无非是把一堆偏振方向确定的线偏振光混合在一起而已,多做了几副手套,每副手套涂上了不同颜色罢了。如果纠缠不过是彼此间的相互关联,那么我们现在的计算机技术哪个不是相互关联?而且还是更复杂的关联。没有了叠加态,也缺少了非定域性的量子相互关联,量子计算机拿什么来实现对现代计算机计算能力的赶超? 下面就是 8 光子纠缠光路原理图,用了 4 个 BBO 晶体串接起来,你分别延每个 BBO 的光路来看就很容易理解这个光路的运行原理,其实跟 2 光子纠缠是一样的,只是咋看起来唬人而已。 我就不再举所谓的波色采样光路图了,纠缠光子的制作方式是完全一样的,这跟我们对于纠缠量子的想法根本对不上号,为什么会发生这样的问题?有量子专家是这样解读的: 当非线性晶体发生二型自发参数下转换时,产生的光子对彼此偏振方向相互垂直,因此它们的量子态可以写成: |H|V+|V|H ,其中 H 是水平偏振, V 是垂直偏振, |H|V 指如果信号光子有水平偏振,则空闲光子就是垂直偏振, |V|H 反之亦然,两者叠加在一起,就不能被写成两个单独量子态的简单张量乘积,因此这两个光子就处于纠缠态 。 通过这个解释我们就能知道为什么量子专家一直将相关性等同于纠缠了,因为上面的专家解释其实只是对于相关性的解释,完全没有任何叠加态的表达,所以我们就能理解为什么迄今为止所有量子纠缠实验一直被陷在“左右手套关联”中,因为这样的纠缠关系的表达就是左右手套的关系表达。 一直以来,量子专家喜欢用量子算符来表达实际的物理世界,但是量子算符其实是对物理世界的一个抽象而简略的描述,忽略了物理世界更细微的内涵,更确切地说,量子算符根本不存在时间的维度。但是对于量子纠缠来说,首先单量子的叠加态就隐含着时间片的概念,是一个瞬时间量子所处的状态的概率分布,如果将时间片偷换成时间段的概念,就是在一个时间范围内量子变化的历程。这样的偷换概念就把量子的叠加态变成了经典的多次掷骰子的概率分布了,那一点没有什么量子的味道。同样的,量子间的纠缠隐含着同时性的概念。如果没有同时性,也就不存在非定域性,量子间的状态取决于彼此之间的定域性的相互作用,无论这种作用是显性的作用力,或者隐变量,但是绝对得不出来非定域的结论。如果一定要说量子算符其实包含时间的维度,那么其实这个维度所指的时间根本不是时间片,而是时间段,是可度量时间的最小刻度,但是再小的时间刻度也是一个时间范围,而在隐含的时间段的条件下,要想从量子算符中得出量子纠缠最神秘的非定域性是十分可笑的。 克利夫兰奖的再思考 作为一个科学期刊的年度优秀论文奖,虽然不至于不以为然,但是特意地拔高反而显得特别缺少自信,整个科学界已经有近半个世纪没有什么突破性成果了,指望一个年度论文奖就标志着站在科学新高度,是不是有些想多了? 纵观墨子号所完成的三大任务,除了涉及到量通的两部分成果发表在《自然》杂志外(我对那些论文实在是不以为然的,而且严重相信那些文章根本禁不起时间的检验),《科学》杂志发表的这篇论文的科学的味道要浓厚一些,还有一些值得讨论的硬核的内容。 我不知道《科学》杂志编辑们评选优秀论的尺度是如何把握的,至少从我自己的观点来看,墨子号有关贝尔不等式实验的设计是非常不严谨的,在星地间控制严谨一点的实验条件根本做不到,所以想要说这是个有关贝尔不等式的判定性实验连潘团队自己都不相信,那么它的价值在哪里?就因为花的钱比别人多,就值得拿出来展示一下?当然《科学》杂志给出的获奖理由也根本不提贝尔不等式这档事,这其实也表达出了编辑的态度,那么剩下的确实就只有论文标题那么一点点的内容,实现的规模更大,炫技而已。 1200 公里的纠缠分发,而且还是从卫星上进行的,确实比 144 公里在地面上做这档事更有大片的科幻味道,我想这才是论文被授予克利夫兰奖的实质,只是这其中没有任何一点科学思想进步的韵味。“墨子号”的贝尔不等式验证实验是一桌用普普通通的技术堆叠在一起的华丽大餐,掩盖不住背后惨白的思想内涵。 2018 年度的克利夫兰奖是否实至名归并不重要,只是觉得国内媒体有些兴奋过头了,我谈论这个话题并不针对克利夫兰奖本身,那没什么价值,重要的是要引出量子纠缠这个问题,并且我一直以为,否定一件事情的价值远比肯定一件事情的价值更低,这是因为否定的命题只是规定了事物可能的边界,却对事物本身运动变化的预测无能为力。这个断言有深刻的含义!否定之否定对于无限的系统和外界来说,并不是负负得正的肯定。从这个理念上出发,否定墨子号实验的结论其实并不能真正带来什么新的知识,相反,这个否定的意义,连带也可能将之前所有与贝尔不等式验证相关的实验都加以否定,那么有关言之确确的量子纠缠效应存在与否,就重新回到了爱因斯坦提出 EPR 这个问题时的原点。量子纠缠的谜团远没有消散,这让我们重新增加了对爱因斯坦深刻洞察物理世界的敬畏之心。就目前对诸多实验细节的分析来看,关于贝尔不等式的验证实验都陷在了“左右手套关联”陷阱中,这是个令人沮丧的结论,但也是个令人鼓舞的结论。 迄今为止,我们所做的所有量子纠缠方面的实验也许只是验证量子间相关性的实验 ,缺少了非定域性的关联,量子间神秘的关联性将退化成经典的与宏观世界一致的关联性。由于理论的停滞,资金在投入有关量子世界的相关实验及技术开发工作变得谨慎很多,除了成熟的芯片产业,目前量子科学技术在研投入比较大的领域基本集中在量通和量子计算这两个方向,其中量通就只有中国一家在大量投入。 之前有关量子纠缠似乎成了量子界一个确认无疑的物理现实,但是通过上面一系列实验的分析,我想这种确切无疑就变得大为可疑,沿着量子纠缠的理论思想所做的那些前沿性的工作,如同踩在松软的棉团上跳着的舞蹈,其中当然也包含量子计算。设想如果量子纠缠缺位的情况下,量子计算就无法兑现无与伦比强大的计算能力,这对量子计算领域的发展不可谓一击重击。但是这样的情况不是不可能发生,而是存在着非常大的可能性,意味着现在技术发展的方向存在很大的不确定性和风险,这的确是令人沮丧的观点。 但是另一方面,如果量子的纠缠性被否证,反而打破了微观世界与宏观世界之间固有的鸿沟,沿着这个新的方向发展的新的理论未尝不是开拓了一个新的世界,很多新的理论矿藏等待发现,新的技术得以应用,所以这种观点的改变也可能真的是开创新未来的起点,难道不是令人鼓舞的一件事情吗? 不管今后会往哪个方向发展,否定了过去就是为了开创未来。《自然》、《科学》杂志的科学性的确是超水平的,但是里面所有的文章不是用来膜拜仰视的,而是用来批判的,这才是科学论文正确的打开方式,也是唯一正确的对待方式。从对这样一篇文章的批判中,能够引申出来一个更加深刻的思考,我认为是这篇文章获奖之后最大的价值所在。 写完这一段,不禁想要查询一下有关 2018 年度克利夫兰奖的获奖详情,令人疑惑的是, 《科学》杂志相关 获奖 信息 只更新到 2017 年度,不知道是更新延迟还是什么原因,不过在 AAAS 网站的新闻中还是能够找到有关获奖信息的新闻,下面链接可以作为参考,读者自己就能看到,科学杂志的编辑对这篇论文有关贝尔不等式验证的方面是只字未提: https://www.aaas.org/news/advancement-quantum-entanglement-earns-2018-aaas-newcomb-cleveland-prize 题外话 分析完有关墨子号贝尔实验的问题,不禁想顺便谈一下有关量通的事情。 PPKTP 非线性晶体的作用之一就是将一个输入的光子分裂成一个光子对,当然输出的光子对频率也折半。通常,我们把输入的光子称为“泵浦光子”,把输出的光子对任意称为“信号光子”和“闲置光子”,这个光子对如果偏振方向相同,并与“泵浦光子”偏振方向垂直,就称为第一型关联( type I ) ; 如果光子对之间偏振方向彼此垂直,就称为第二型关联( type II )。“墨子号”的 PPKTP 采用的就是第二型关联,这很自然,因为相同偏振方向是无法区分光子对的,相当于制作了一对左手套,在后续实验里就无法做贝尔实验。但是我们不妨把注意焦点放到第一型关联上,这样的非线性晶体关联不恰恰就是最方便破解 BB84 的钥匙吗? 我简单解释一下, BB84 协议中 Alice 负责发送包含密钥信息的单光子, Bob 则负责接收,中间还有一个 Eve 试图窃听密钥。 Alice 发送的量子密钥其实就是一个具有固定偏振方向的光子,因为 BB84 使用了两个十字检测基片,相互间呈 45 度角间隔,每个基片有相互垂直的两个偏振方向分别代表 0 和 1 ,所以按照 BB84 的设计者来说,要想窃听量子密钥必须进行对光子进行测量,首先就需要随机选择出来一个测量基片,如果选择的检测基片正确,那么就能正确识别出来量子密钥 bit ,如果选择错误检测基片,光子可能被吸收掉或者检测出来一个随机性结果,这个时候 BB84 协议开始祭出单量子叠加态不可克隆原理的大旗来。 当然想要 使用不可克隆原理的一个前提就是量子必须处于叠加态 ,从这个原理的证明过程就能清楚地知道这个前提条件,遗憾的是很多量子实验专家包括潘团队连这个前提条件都没有意识到,而将这个原理直接用到了处于本征态的单光子上。具有固定偏振方向的单光子当然处于本征态,文章前面我们将这个问题讲得很多了,而偏振方向处于本征态的光子当然能被克隆,激光的原理在这方面讲得清清楚楚,任何人不可能否认激光原理,那方面的理论和技术实在太成熟了。有些量通的科普文章中直接写出来本征态的量子不可克隆,我实在不知道他们是否真正阅读过不可克隆原理的详细证明,就因为他们明确知道量通使用的是本征态的光量子,于是自然认为量通的祖师爷本奈特们就不会犯这么低级的错误,于是不可克隆的量子态就必然是本征态的量子,而不是叠加态的量子,他们都没有试图怀疑一下天天实验中用到的激光就是复制本征态单光子的最好例证,他们也没有反过来想一想,如果本征态都不能被克隆,难道叠加态反而能被克隆?所以量通的理论都是建立在错用物理原理的基础上发展起来的,这样的事情能够堂而皇之地发生,实在令人瞠目结舌。凡事不要只看谁写了什么论文,发表在什么顶级的期刊上,别让别人的脑子代替你,而需要开动自己的脑子来进行思考,只要你这么做了,就会得出与我同样的结论。 当然,为了继续讨论下去,我这里暂且委屈一下,假装量通的不可克隆原理用得还是正确的,假装光子的偏振态是不能被克隆的,所以当 Eve 窃听到 Alice 发出的光子后被吸收掉,于是这个光子就不会被 Bob 接收到,于是知道有人在窃听,于是双方停止密钥的分发。大致过程如此,当然光子不一定被吸收掉,由于量通认为因为不可克隆原理的限制,即使 Bob 能够接收到光子,也是随机性的乱码,在后续的校验过程中能够发现误码率异常。不过简单地,你可以认为 Eve 把光子给吃掉了,而且没有办法再原样吐出来。 那么,做这样的设想,将 Alice 发送的光子作为泵浦光输入到第一型 PPKTP 晶体中,输出来的就是两个偏振方向全同的光子,并且与泵浦光偏振方向垂直,这意味着,假如 Alice 发送的量子密钥是 bit 1 ,那么经过 PPKTP 处理后,出来的是一对包含 bit 0 信息的光子,剩下的事情其实就是用什么检测基片把这个 bit 0 检测出来。既然已经有了两个相同偏振的光子,分别用两个检测基检测就是了,测量结果取反就是实际发送的密钥信息,检测出来正确结果的基片,就是 Alice 发送密钥时使用的基片。采用宽频 PPKTP , 如果想要获得更准确的检测结果,再多做一次级联制作出来更多光子进行校验就可以;或者制作的检测基片保证不正确的偏振方向光子直接被吸收掉,所以检测不到偏振结果也是可以的。 知道了 Alice 发送光子的偏振方向,再原样仿制出来一个同样偏振和频率的光子就是一件简单的事情,跟 Alice 的做法一模一样。经过这样的一番操作,看来不可克隆原理终究没有成为 BB84 宣称的金钟罩铁布衫。至于如何让 Bob 无法察觉发送过来的光子其实是 Eve 伪造出来的,那是工程技术的细节,这里只讲原理的可行性。 量通一直宣称安全性是经过严格证明了的,不知道他们如何解释这样一个破解的方案,尽管 量通举出一系列的论文来试图证明他们所谓的安全性,但是那些证明无一例外都是对现实物理世界的 理想化、简单化、局部化 的设想,充满了各种隐含的条件假设,根本禁不起稍微仔细的推敲 。 让一种逻辑推理覆盖所有物理情景的思想,这样的想法不但是狂妄的,而且是错误的,更加是愚蠢的,这充分体现了这些学者们已经完全丧失了科学哲学的思辨能力 。 量通其实是自己掉进了自己挖的坑,他们思维隐含的定式里一直认为,如果只发送一个光子,因为有不可克隆原理的加持,并且任何对光子的检测都会破坏光子携带的量子偏振信息,没人能够逃脱得了这个物理的限制,因此这就是物理安全。 我不跟量通抬 BB84 是否适用不可克隆原理的杠,单只是说他们思考问题的逻辑,难道获取信息必须是信息原样吗?为什么不能是信息的映射?逻辑电路的开与关与逻辑信息中的 0 与 1 就是映射关系,没有说开必须对应 1 ,关必须对应 0 ,映射关系就是信息的本质,偏振方向偏转 90 度,信息仍然没有丢失,只是发生一次信息映射关系的转换而已。有了映射的思想,就跳出了量通自己用来证明安全性的狭窄的小圈子,进入一个新的更加宽广的无限的物理世界。量通这么多人都没有发现自己一直在这个逻辑坑里,实在是很遗憾的事情,所以从这点来说,他们声称的严格证明的逻辑性就显得特别的滑稽。 再者说来,毕竟非线性晶体就是天天摆在他们光学试验台上的东西,对于那些成天嚷嚷物理安全的人来说,如果这个普通得不能再普通的光学器件就是撬开 BB84 大门最简单的钥匙之一,那实在是对量通最辛辣的讽刺了。虽然目前来说, SPDC 生成光子对的效率并不高,但是别忘了,量通工程采用的是诱骗态弱激光,可不是什么单光子,况且生成效率是可以通过改进材料来逐步提高的,并且这还提供一个新的破解路径,沿着这个新思路,找到任何其它能够高效产生映射的技术和物理原理就不会是困难的事情,只要明确了解决问题的新方向,这个世界肯往这个方向努力尝试的聪明人还是很多的,千万不要打赌不存在其它的映射机制,那几乎没有赢的机会。 3 月 12 日,观察者网头条发表 《 上海交大团队破解“量子通信”,作者有潘建伟学生 》,媒体的舆论迅速推动了量通顶级团队的响应,14日就由王向斌、潘建伟等通过墨子沙龙进行了权威发布《 潘建伟等科学家关于量子保密通信现实安全性的讨论 》,虽然本文并不打算深入讨论有关量通的话题,但是既然属于权威发布,那自然有很值得研读的价值,这回总算承认由于非理想环境,量通存在被攻击的可能,其中对于所有破解方案量通得出的概括总结: 归纳起来,针对器件不完美的攻击一共有两大类,即针对发射端--光源的攻击和针对接收端--探测器的攻击。……。而对光源最具威胁而难以克服的攻击是“光子数分离攻击” 上海交大的破解属于信源端的破解,光子数分离攻击属于信道环节的破解, BB84 协议以及所谓的诱骗态协议设计来就是用来防范光子数分离攻击,至于防范效果如何我已经说过太多,这里不再展开讨论。显然,采用下转换方式或者广义说采用间接映射的方式在信道上进行攻击的手段,在这个权威发布里面根本就没有涉及到,不奇怪,他们从来就没有往这个方向思考。不难想象,类似这样的攻击手段一定会很多,只是目前我们还不够聪明。想要穷尽物理世界的可能性,这个真不是数学干的活。试图用数学来证明这个未知世界运行的边界注定是徒劳的,这个科学常识不知道这些权威们是否能够理解?更何况量子世界本来就是一个还没有完成的理论体系,你如何去给自己都不知道的东西打包票? 近日,量通发布了有关量子通信的白皮书,姑且不谈里面内容存在的问题,单只说这方面的大动作暗示了量通开始在 IPO 发力,科创板的推出,已经有各种舆论开始预言量通进入首批的名单,果然如此的话,量通本来还被限制在科学界、技术界、工程界里的问题,接下来几百亿的变现,赚得盆满钵余,风险却要由万千的股民来承担,这就会上升为整个社会的矛盾,变成了剪不断理还乱的大问题了。
4850 次阅读|5 个评论
墨子沙龙有关量子通信话题的问与答(四)
热度 1 lhy8848 2018-12-31 16:07
本期问题速览 13. 可信中继技术是什么,安不安全? 14. 用了可信中继技术,那和传统的密钥分发方案比,还有好处吗? 15. “ 京沪干线 ” 这种量子保密通信网络也需要路由器、交换机这些设备吗? 16. 继“京沪干线”之后,“武合干线”也贯通运行了,量通国家骨干网路建设开始加速进行,如何看待这些新干线的建设? 第四期 13. 问:可信中继技术是什么,安不安全? 答:由于光子在光纤中存在损耗,一般情况单光子传输距离只有 10 公里左右,这就需要每 10 公里设置一个中继器,这样京沪干线 2000 多公里就需要至少 200 多个中继器。量通现在每 100 公里设置一个中继器,中继器就只需要用 30 多个。少用这么多中继器,不是因为量通发现了什么新物理机制,而是因为量通发射的根本就不是单光子,而是弱激光,采用的是诱骗态的技术,有关诱骗态的安全性在前面问题中已经回答,这里只谈中继器的安全性问题。 量通所谓的“可信中继器”与一般人的中继器概念是不同的,普通中继器只是将信号进行过滤重整放大,但是量通即使是多光子情况,也是每个光子都单独携载密钥信号,按照不可隆原理,单光子的偏振态可不能直接复制,所以自然无法简单进行信号放大。 “可信中继器”其实就是一个量通的量子信号发送器与接收器的复合体,再加上一个计算机进行密钥的加密与解密。 具体工作流程就是,当前中继器的接收器与前序中继器的发送器在量子信道上进行密钥协商,之后前序中继器用量子密钥将待发送信息明文加密后,在普通光纤上发送给当前中继器,当前中继器用协商的量子密钥将密文解密成明文,然后与后续中继器再进行新的密钥协商流程。重复上述过程,不断将明文加密解密,一站一站传下去。通常传过去的信息其实就是要分发的所谓量子密钥 QK 。 所以在“可信中继器”里,存在一个将 QK 不断解密再加密的过程,期间 QK 将有一个时间段以明文的方式被暴露出来。因为中继器同时接入量子信道和普通外网光纤,所以中继器中的计算机其实是接在外网上的,任何知道计算机网络攻防的普通 IT 工程师都知道这意味着什么。 量通对此给出的安全方案就是专人值守。专人值守的目的主要是解决系统异常甚至崩溃的情况,他们根本没有能力及时发现信息窃取的行为。 俗话说:道高一尺,魔高一丈,在计算机系统安全方面,防护往往都是亡羊补牢。如果黑客攻击行为仅仅是窃取信息,几乎没有什么手段能够肯定监测到这种行为的发生,这跟有人无人值守一点关系都没有,量通给出来的解决方案一点都不专业,不过也确实没有什么保障绝对安全的好着法,这个安全的软肋再次直击无条件安全的神话。这方面问题,徐令予老师的文章《 “熔断和幽灵”有可能威胁量子通信干线的安全 》 有介绍 , 也可参看《 量子通信是安全的吗?(下) 》 。 网络信息安全需要了解三个概念:信源,信道,信宿。无论是传统信息加密还是量通的加密手段都是只保护信道,不保护信源和信宿,因为在信息的收发两端,信息是必然存在明文暴露阶段的。 传统的信息加密传送,信道包括光纤、中继器、路由器、交换机、防火墙等,信号在这些地方都是以密文方式传送,不会泄密。但是量通的中继器其实已经不是信道的一部分,而是变成了信源、信宿的结合体,原本普通京沪光缆之间就是一个完整的信道,加密信息不怕被窃密,但是量通将这个 2000 多公里的信道切成 30 多段,每段的中继器节点都是信源和信宿,这相当于在原本不存在安全问题的系统中,生生插入 30 多个安全隐患,这些节点没有任何安全协议来保护,只能靠运气来保佑密钥不会失窃。 破解密文容易还是用黑客手段攻破计算机防护容易,这是不言而喻的,何况有 30 多个节点可供攻击,任何一个节点陷落都意味着全部密钥的失窃。量通的可信中继器不是提供了信息,而是为密钥失窃敞开了大门。 墨子文中提到推进可信中继的标准化建设进程,为可信中继提供安全保障。这给人一种错觉,就是标准化设计是针对信息安全的。信源和信宿以及计算机安全哪里是简简单单设立个中继器标准就能解决的,安全跟标准化是风马牛不相及的两码事,不是因为采用一致统一的收发与处理数据的方法,系统就变得更安全了。信息安全哪是这么简单的事情。 《纽约时报》 12 月 3 日发表题为《 量子加密竞赛方兴未艾,中国已领先一步 》的文章 ,其中引述了一段中国著名量通专家的观点: 利用传统的通信方式,窃听者可以在光纤线路上每一点拦截数据流。政府难以探测到线上的拦截点的位置。陆教授表示,量子加密技术可以将京沪沿线 1200 英里的可能被攻击的点减少到了几十个。 (附图为墨子沙龙推介京沪干线的科普漫画) 我无法判断这种惊悚的观点是整个量通领域专家的普遍看法,或者仅仅是中国量通专家的主张。如果量通专家们以为侦听到网络上的密文就意味着被窃密,那么他们对于密码学常识的理解已经低到令人感到忧虑的程度。 我想我还是强调一下基本的常识吧: l 被窃听不意味着被窃密,密文在信道上传输不用防范被窃听,因为破解密文目前还只能采用强力破解的方法 l 量通的可信中继不属于信道的一部分,而是信源和信宿,在这里密钥存在被还原成明文的阶段,而中继器是接入公共网中的,因此存在 攻击者可以直接获取密钥明文 的致命弱点 l 量通的量子通道之所以需要检测到窃听者,因为密钥在量子通道采用明文传送,也因此 在量子信道上,能够在每一点上失密的恰恰是量通 ,如果无法发现窃听者,意味着密钥被直接获取,量通想要发现窃听者很大程度依然需要靠运气 能发现窃听者不是量通的优点,恰恰是量通的弱点,不能理解量通把弱点强说成优点,怎么还弄得这么理直气壮? 量通专家们成天讲传统的信息安全机制如何的不安全,自己又是如何的无条件安全,可是他们连理解别人的不安全都是彻底错误的,又怎么可能有能力评估自己的安全是对的? 14. 问:用了可信中继技术,那和传统的密钥分发方案比,还有好处吗? 答:这个问话原样照抄墨子文的问题,但是这不是好问题,问得也莫名其妙,似乎在说可信中继的优势,可信中继除了增加不安全性,怎么可能出来优势了?想问的问题应该是量通的 QKD 技术吧? 墨子文说,传统的密钥分发工作采用两种方式,一种是人工到处跑,另一种就是采用 RSA 。 我还是建议量通到实际的应用场合调研一下,不要这么想当然地下结论,贻笑大方。 有关这个问题的答案其实在问题 8 中已经回答得比较清楚了。我想再强调一下,首先,量通协议是没有加密解密功能的,它的加密解密过程都是采用传统的对称加密方式。 传统密钥分发既可以采用对称密钥,也可以采用非对称密钥(包括但不限于 RSA ),所谓人工分发密钥那不是因为技术做不到,而是制度要求这么做。 RSA 这类公钥方式分发密钥的场合都是非确定性用户间,比如互联网用户,移动用户间,这种场合就算 RSA 不安全了,量通也没有能力插进一只脚。 确定性用户之间的密钥分发即可以采用对称加密,又可以采用非对称加密,甚至双方都可以不用分发密钥各自算出来密钥,即使 RSA 失效,大可采用对称密钥分发体制,也轮不到量通参与密钥分发,量通不提供更高的安全度,反而将安全水平拉低到需要拼人品的概率安全地步,甚至到绝对不安全的地步。 公钥体制可不仅仅只有 RSA 一种,可选择的多了。现在量通唯一能够认为量子计算机可以破解的加密算法也只有 RSA 一种,他们还能怼其它加密算法吗?将一种算法理论上可能存在安全问题,放大到整个信息安全领域都存在问题,我认为应该属于信息安全的恐怖主义,开个玩笑!! J 墨子文的回答还有一个观点是传统加密机制都是算力可破解的,我在问题 5 中也做了回答,这里不重复了。 15. 问: “ 京沪干线 ” 这种量子保密通信网络也需要路由器、交换机这些设备吗? 答:这个问题同样拷贝墨子文的问题,下面就是对墨子文解答的分析。 墨子文中首次承认了量子通道没有路由器和交换机,对此我们一点都没有新奇感,如果不是我们的不断追问,他们是不想谈这个问题的。这意味着量通的组网方式只能是点对点,意味着量通根本不可能有太多用户。很简单,假设有 n 个用户,那么这些用户间要想彼此保密通信,相当于一个 n 节点无向完全图,需要提供 n*(n-1)/2 条量子通道,这些通道的端点才是挂在量通干线上的用户。 量通还有另外一种类型的用户,不是挂在量子信道上,而是通过经典组网的方式连接到量通干线上的。对于这类用户如何获取量子密钥 QK ,墨子文一点都没有透露,我们来猜猜看。 用户分两种类型,第一种类型属于确定性用户,这类用户与量子密钥分发中心( QKDC )之间有预制的对称密钥,假如用户 A 打算与用户 B 通信,那么用户 A 或者 B 向 QKDC 申请量子密钥 QK ,然后 QKDC 采用预制的对称密钥的将 QK 加密后分别发送给用户 A,B ,这样两者之间就能进行保密通讯了。 第二种类型属于非确定性用户,与 QKDC 没有预制对称密钥。 QKDC 对此类用户或者拒绝服务,或者采用量通深恶痛绝的 RSA 将 QK 分发给该用户。这种情形比较具有讽刺味道,我就不多说了。 对于第一种情况,最该问的一句话是为什么会有 QKDC ,在问题 7 中我已经很明确指出来,囤积 QK 是一种愚蠢的行为,因为在 QKDC 上用软件生成随机数更具有无限高的安全性。 所有用户的 QK 都从 QKDC 上获取,意味着 QKDC 掌握所有用户保密通信的密钥,也意味着能够破解所有用户的安全信息 ,这是用户的期望吗? QKDC 一旦被黑客攻击,黑客也将能够破解所有用户的保密信息,用户不但要保证自己系统是安全的,还得祈祷 QKDC 也是安全的,用户愿意承担这个风险吗?再者,所有用户都访问一个 QKDC ,不怕网路出现瓶颈吗? 所以,我真不知道通过普通组网方式进入到量通干线的那些用户是怎么进行信息安全评估的,估计他们也根本没有想到这些问题。一想到这些用户所有信息都裸露在 QKDC 眼中,我不禁为他们暗暗担忧,他们哪里是获得一种安全感,简直是将互联网摄像头放到床头上做网上直播,这就是量通允诺给大家的无条件安全。 我们一直呼吁量通将终端组网方式公布出来,虽然羞羞答答,但是毕竟透露出来一些信息。然而哪怕这些蛛丝马迹,也让人对量通如何理解信息安全更增加深深的忧虑。我相信他们未必会有意识想要满足偷窥的欲望,可恰恰这才让我对他们的专业能力更加地不信任。 16. 问:继“京沪干线”之后,“武合干线”也贯通运行了,量通国家骨干网路建设开始加速进行,如何看待这些新干线的建设? 答:我们注意到“武合干线”已经于 11 月 13 日正式宣布启动运行 。在“京沪干线”仍然受到广泛质疑的情况下,“武合线”以政府债的方式继续强行建设启动,这样的动机究竟为何耐人寻味。 国务院早在 2014 年 43 号《关于加强地方政府性债务管理的意见》 中就已经明确指出 : 地方政府举债采取政府债券方式。没有收益的公益性事业发展确需政府举借一般债务的,由地方政府发行一般债券融资,主要以一般公共预算收入偿还。有一定收益的公益性事业发展确需政府举借专项债务的,由地方政府通过发行专项债券融资,以对应的政府性基金或专项收入偿还。 并且: 严格限定地方政府举债程序和资金用途。地方政府在国务院批准的分地区限额内举借债务,必须报本级人大或其常委会批准。地方政府不得通过企事业单位等举借债务。地方政府举借债务要遵循市场化原则。建立地方政府信用评级制度,逐步完善地方政府债券市场。地方政府举借的债务,只能用于公益性资本支出和适度归还存量债务,不得用于经常性支出。 所以政府债首先必须具有公益性,并且专项债务需要经过国务院和地方人大及其常委会批准,政府不得为企业举债。 量通的“武合线”是否具有公益性值得提出质疑,即使该项目能够服务于政府和金融机构,那也不是公益性的体现,就像电信移动完成他们的基础建设一样,属于纯企业行为。“武合线”既然定位广泛商用,显然与政府债的公益性有巨大的冲突,并且用政府为企业行为买单存在巨大的风险,因此国务院的文件中特别强调: 建立债务风险应急处置机制。要硬化预算约束,防范道德风险,地方政府对其举借的债务负有偿还责任,中央政府实行不救助原则。 对于一个理论和技术上处处存在风险的非公益项目,由政府出头以债务的方式为企业买单,并将债务偿还的风险释放给当地的百姓是非常不妥当的行为,也因此,“武合线”在开始建设的时候还在强调使用了政府债,以表明政府对于量通的大力支持,但在社会上出现对使用政府债建设合法性质疑的声音之后,在竣工启动的文稿中,已经看不到任何政府债的只言片语。 “武合线”的宣传中,这是一个定位广泛商用的量通网络,表面上似乎在说量通的技术已经成熟到可以商用的地步,其实后面的潜台词并非如此。 任何懂得量通理论和技术的人员包括量通专家在内都不会天真到认为量通的技术已经足够成熟了,可以推广商用了,但是如果你从另外一个商业的利益角度进行思考的话,那就对量通如此迫不及待宣传商业应用,一点也不感到奇怪。 在技术和商用市场上拿不到的东西,在资本市场上是能够轻易拿到的,所需要做的无法是一点点夸大其词的宣传而已。如果量通不能够迅速实现商用化,至少名义上的商用化,那么在资本市场上,连 IPO 起码的门槛都无法越过,靠以科学实验的名字来做项目,那是做不了商业的,更不用说 IPO 了,所以“武合线”其实承担了商业化运作的重担,为 IPO 运作打前哨,这就是为什么“武合线”强调广泛商用的原因。 在资本市场上,炒作量通题材已经在主角缺失的情况下运作过一番了,涉及到几百亿市值的 IPO ,任何一个名义上的商用线路都显得价值连城。并非量通缺少足够的号召力吸引社会资本参与量通的建设,也从来没人打算从建设的线路本身获得商业的收益,但是如果能够在资本市场上瓜分收益,就足以百倍弥补投入的资本,这笔账谁都会算。 其实早前九州量子已经因此与量通主角发生过冲突,在三板市场,九州量子借助量通的概念,被炒到市值接近 300 亿,不可谓不惊人,如果量通主角上市,价值可期。显然量通的主角们并不想在正式上市前让无关者分享超级红利,所以九州量子最终被量通主角从利益攸关者的角色中踢出。 政府债可不会稀释什么量通的股份,这个没有任何资本欲望的投资方式更符合量通的口味,量通方即获得了建设资金,又不用担心股权分散,政府方也能够以此书写政绩,岂不两全其美。而且这个政府债如果能够推进量通 IPO 进程,那大概率不会成为呆账,风险是可控的。 量通通过资本市场变现的算盘打得其实是足够精妙的,所以当务之急就是要保证 IPO 的顺利推进,至于后续的量通建设是否能够开展起来并不重要,毕竟股市的价值衡量在中国是靠想象力来体现的,这方面量通一点都不欠缺。 墨子沙龙有关量子通信话题的问与答(一) 墨子沙龙有关量子通信话题的问与答(二) 墨子沙龙有关量子通信话题的问与答(三 ) 墨子沙龙有关量子通信话题的问与答(五) 参考资料: . 墨子沙龙 . 量子通信的问与答(上) 什么是量子通信 . 2018-11-02. https://mp.weixin.qq.com/s/dWn-g098ZZ6KeUeQx1mc7g . 墨子沙龙 . 量子通信的问与答(中) 什么是量子通信 . 2018-11-03. https://mp.weixin.qq.com/s/GT9hmW1qooG7f35VSi5fGA . . 墨子沙龙 . 量子通信的问与答(下) 什么是量子通信 . 2018-11-04. https://mp.weixin.qq.com/s/_J34VZIltGnSxca8zI6u0A . . 徐令予 . 英美等国家如何评估“量子通信”工程化 . 观察者网 . 2018-10-31. https://www.guancha.cn/XuLingyu/2018_10_31_477593.shtml . 量子大观 . 定位广泛商用 全长 609 公里“武合干线”贯通量子国家骨干网 . 2018-11-13. https://mp.weixin.qq.com/s/UdUrQ6m7kSEOHLgdV88Dng . 国务院 . 关于加强地方政府性债务管理的意见 . 2014-09-21 http://www.screnhe.gov.cn/InfoSend/Detail.aspx?id=20180126182643-873980-00-000 . 莎菲 . 戈德瓦瑟 (2012 年图灵奖获得者 ) ,潘建伟 . 看顶尖科学家激辩:量子计算与密码学 . 2018-10-31. https://m.thepaper.cn/newsDetail_forward_2582333 . 李红雨 . 沃尔夫奖的迷失 . 科学网. 2018-10-08 http://blog.sciencenet.cn/home.php?mod=spaceuid=46717do=blogid=1139647 . @ 九维空间 Sturman . 解读 2012 年诺贝尔物理学奖 . 2012-10-09 https://www.guokr.com/blog/356396/ http://blog.sciencenet.cn/home.php?mod=spaceuid=46717do=blogid=1139647 . Prof. Peter Zoller winner of Wolf Prize in Physics-2013 http://www.wolffund.org.il/index.php?dir=sitepage=winnerscs=737 . John F. Clauser Winner of Wolf Prize in Physics - 2010 http://www.wolffund.org.il/index.php?dir=sitepage=winnerscs=283 . 2005 年诺贝尔物理学奖解读 . 2005-12-03 http://blog.sina.com.cn/s/blog_4440e332010000ov.html . Juan Yin,……. S atellite-Based Entanglement Distribution Over 1200 kilometers. Science 2017-06-16 http://www.docin.com/p-1951266714.html . 徐令予 . “熔断和幽灵”有可能威胁量子通信干线的安全 . 观察者网 . 2018-01-31 https://www.guancha.cn/XuLingyu/2018_01_31_445230.shtml . 李红雨 . 量子通信是安全的吗?(下) 科学网 . 2016-3-23 http://blog.sciencenet.cn/blog-46717-964437.html . 周炳琨等 . 激光原理(第六版) . 国防工业出版社 . 2009.1 . 用噪声保密 我研究成果可使光通信“抗劫持” . 中国科技网 . 2018-05-21 http://www.stdaily.com/index/kejixinwen/2018-05/21/content_672370.shtml . 程小康 . 美媒惊叹中国量子加密技术领先:专家警告美国若再等 5 年才投入,就晚了 . 观察者网 . 2018-12-05 https://www.guancha.cn/industry-science/2018_12_05_482211.shtml
4409 次阅读|3 个评论
墨子沙龙有关量子通信话题的问与答(三)
热度 1 lhy8848 2018-12-30 17:06
本期问题速览 9. 有人说量通的量子通道内,密钥信息是采用明文的方式发送的,如何理解这个说法? 10. 什么是 QKD 两通道模式?为什么采用两通道模式的任何量通方案都不可能提供更高的安全性? 11. 有争议说不可克隆原理并不适用于量通采用的 BB84 协议,能否做简单的解说? 12. 有些材料说量通的京沪实验工程采用了多光子的诱骗态技术,能说说这方面的内容吗? 第三期 9. 问:有人说量通的量子通道内,密钥信息是采用明文的方式发送的,如何理解这个说法? 答: BB84 协议是中国量通实现密钥分发采用的协议,这个协议设计分两个平行的信道,一个量子信道,一个普通外网光纤信道,其中量子信道是最关键的, BB84 协议通过这个信道协商发送密钥信息。 密钥信息采用单光子的四个偏振方向,分别代表两组( 0,1 )量子信息,这些光子的偏振方向一旦被监测到,意味着密钥的信息被窃取,监测这些光子的偏振方向技术上没有什么障碍,所以从这点来说,量子通道的密钥信息是采用明文裸奔发送的,监听者需要的只是能够检测至少 4 个光子偏振方向的技术。 量通无法防范光子的偏振方向不被检测到,为了避免密钥因此失窃,量通就必须能够发现是否存在窃听者,一旦发现被窃听,就放弃已接收到的密钥,并在一定时间范围内停止密钥协商发送的过程。 为什么量通之前要说可以抓窃听者?这不是量通闲着没事偶尔客串一下国安局的身份,因为如果不能发现这些窃听者,意味着密钥被直接窃取,所以抓间谍可不是量通的业余爱好,更不是量通的优势,那是生死攸关的大事,量通的致命弱点其中一个就是这个明文密钥传输,很多破解的方法针对的就是这个弱点。对比经典加密机制,网上发送的都是加密后的密文根本不怕被监听。所以完全不像量通人士说的那样:“ 传统的通信方式,窃听者可以在光纤线路上每一点拦截数据流 ” (所以不安全),恰恰相反, 量通的量子通道才是线路上每个点都是可以被窃密的点。 当然, BB84 协议的操作序列比上面描述要复杂一些,但是原理没什么本质区别。所以对于密钥信息接收者 Bob 来说,是否能够发现存在监听者 Eve 就显得至关重要,于是不可克隆原理出场了。 按照这个原理,即使窃听者截取并检测了光子的偏振方向,也无法复制出来相同偏振方向的光子,所以接收端 Bob 就能发现由于光子丢失造成的扰动。令人疑惑的是,如果偏振方向已知,技术上早就实现了发射相同偏振方向的光子,发送端 Alice 就是这么做的,量通怎么可能连自己刚刚做的东西都要否定?只需要问问量通人士,是否能够制备出来 4 个偏振方向的光子,就能知道所谓的不可复制相同偏振方向的光子有多荒唐。或者,量通专家唯一能够拿出来辩解的理由就是以无限精度进行的复制,但是同样的理由需要他们自问,他们的检测是否能够以无限的精度区分原始发射的光子或者复制后的光子。 复制从来不是个难的问题,需要解决的其实是如何检测 4 个偏振方向光子的问题,虽然不太容易,但是绝对没有任何物理原理限制这样做。 上面的矛盾,唯一自洽的解释就是不可克隆原理根本不适用量通的 BB84 ,后面我们会细说这方面的问题,更何况,实际量通技术采用的也不是单光子,而是所谓的诱骗态多光子弱激光方式,更将量子通道的安全性拉低到一个赌人品的新境界,所以量通的安全性基本建立在空中楼阁上。 10. 问:什么是 QKD 两通道模式?为什么采用两通道模式的任何量通方案都不可能提供更高的安全性? 答:所谓两通道模式,是指 QKD 采用两个通道,一个是量子通道,通过操作单光子来发送明文密钥,一个是经典通道,也就是普通的通讯信道,用来交换密钥协商信息和发送加密信息。 量通的安全性问题需要分两种使用方案讨论,方案 1 就是 Alice 和 Bob 之间只协商密钥不发送加密信息;方案 2 就是 Alice 和 Bob 之间不但协商密钥而且利用密钥发送加密信息。 为叙述简便,我们假设破解 QKD 的难度为 A ,破解经典信道中普通加密方法的难度为 B 。此外我们必须知道一个事实,那就是在量子通道, Alice 与 Bob 只能按照比如 BB84 协议规定的操作序列,双方共同协商出来量子密钥 QK ,如果 Alice 试图把一个信息比如“ Hello World ”传给 Bob ,并确保对方能够正确接收 , 在量子通道是做不到的,连一个 bit 都不行,这是量通协议固有的限制。 方案 1 ,因为 Alice 不向 Bob 发送加密信息,这种情况下的安全强度就是破解 QKD 的难度,也就是为 A 。不过这种方式令人感到奇怪的是,既然 Alice 不打算利用密钥向 Bob 发送加密信息,为什么不直接在 Bob 端采用随机数发生器来生成密钥?那样的话, Alice 与 Bob 间密钥被窃的风险岂不是降到 0 ,而且这样的软件一大把,搞不懂为什么偏要冒着风险、花上大价钱协商什么密钥?唯一的理由是 Alice 或者 Bob 需要用这个密钥 QK 与其他的人进行加密通信。 方案 2 , Alice 与 Bob 协商出来 QK 后, Alice 用 QK 将待发送的信息比如“ Hello World ”进行加密,在经典信道中发送给 Bob 。这种情况下,合并起来的总安全度遵循木桶原理,取决于相对最不安全的那一个通道,也就是 MIN ( A,B )。这意味着,即使按照量通的说法, QKD 的安全度高于经典加密方式,也就是说 AB ,整个通讯过程的安全度就是 B ,这是经典密钥安全度, Eve 不用费劲去破解 QK ,只需要按照通常的做法,破解普通信道中的密文就可以了,这种情况量通根本不可能提供高于普通加密手段的安全度。 量通专家对方案 2 的安全评价不该有异议,这里面的逻辑实在太简单了,但是他们认为方案 1 提供了更高的安全保障,因为此方案提供的安全度为 A ,也就是所谓的无条件安全,因此他们认为在这个方案中恰恰充分体现出来量通的价值。我们就来分析一下量通专家的这个看法是否合理。 不失一般性,我们假定 QK 在 Bob 端使用,这种情况下,因为加密信息需要采用对称加密方法, Bob 一定需要将 QK 发送给其它节点,比如 Candy 。这个时候就会出现一个问题, Bob 采用什么方式将这个 QK 发给 Candy ?采用方案 1 发送,很遗憾,量通协议不支持这样的方式,因为量子通道不可能确保任何一个 bit 信息能够被接收到,所以 QK 是无法在量子通道上发送出去的,只能采用方案 2 或者其它普通密钥分发方式,在普通信道上加密发送。那么这个时候 Alice 或者 Bob 与 Candy 之间密钥分发的安全度是由两个阶段的总安全度来决定的,其实就是方案 2 的变种,也即是 MIN ( A,B ),这意味与方案 2 一样,方案 1 同样不可能提供比普通加密方式更高的安全度。 量通专家之所以认为量通的安全度更高,是因为他们只看到信息安全的一个局部环节,尤其是方案 1 其实只是将密钥分发工作分成量子和普通分发两个阶段,并且只关注了其中一个局部的量子阶段的安全性,这当然算不上“完成”状态的密钥分发。 传统的密钥分发与信息加密的技术手段是相同的,安全等级也相同,而量通的方案 2 采用两阶段模式,不能因为量通自称在 QKD 阶段安全性更高(过分自信了!),因此系统的安全性也更高,而需要将两个阶段的总和安全度加在一起进行评估,这才能跟普通的密钥分发机制相对等。 事实上,量通在京沪实验干线工程中,从北京分发的 QK 需要经过 30 多个中继器才能到上海,其中北京站与第一个中继器采用的就是方案 1 ,用来在量子通道生成 QK ,其余中继器都是采用方案 2 ,在普通信道加密发送 QK 。按照上面的分析很容易得出结论,京沪实验干线的信息安全水平绝对不高于普通的加密体制。 你不禁会问两个问题,第一,为什么京沪干线第一个节点用来生成 QK ?只是因为这样生成的一个随机数能够带上量子的基因,而显得与其它方式比如 Alice 自己生成的一个数据随机数 k 血统更加高贵一些?加密出来的信息更加安全?第二,既然整个密钥分发的安全度不高于普通密钥加密的安全度 B ,为什么不直接就用普通加密方式分发密钥,而偏要浪费大量资金建设一个白象级别的量通实验线路? BB84 的设计,隐含了 谁分发密钥,谁消费密钥 的原则,所以这个协议从头到脚的每个毛孔都是点到点的信息安全设计,中间没有隐含任何网络设备,包括中继器。 如果北京传到上海的QK用来在两地之间进行信息加密交换,虽然不提供更高的安全性,至少名义上还保持“ 谁分发密钥谁消费密钥 ”的原则,但是量通专家总会有一个非常奇怪的想法和做法,当他们辛辛苦苦地从北京将密钥 QK 们传送到上海后,相当一部分 QK 不是用来与北京进行加密通讯,而是囤积起来,提供给本地其它用户之间进行保密通信。难道这些 QK 自带仙气,一定要冒着风险从北京传过来?我们上面的分析明明白白说了,如果密钥不被北京用来与上海进行保密通讯,而是用来给上海本地用户提供密钥,那么在上海找个软件生成随机数的方式是真正的无限安全的,因为连分发的环节都省掉了,这么点逻辑量通专家理解起来应该不困难。 量通之所以囤积 QK ,目的无非就是给末端用户提供一个使用 QK 的冠冕堂皇的理由,并且顺便还可以把发送这些 QK 的标准路由器、交换机重新命名为量子路由器和量子交换机,以便显得量通工程终于能够通达千家万户了。如果我们说量通建设京沪实验工程的做法算是犯了低级错误,那么量通在将 QK 应用到终端用户的环节就完完全全是一种欺诈行为。 所有 QKD 两通道模式都绝对不可能提供高于普通加密体制的安全度,这个结论是可以简单而明确获得证明的,得出上述结论既不需要知道量子理论也不需要掌握密码学知识,需要的只是一点点站在全局的视角进行逻辑推理的能力。 量通犯的错误是相当的低水平,原因就在于他们缺少安全的全局观,习惯一叶障目地审视单一量子通道的安全性,并且天真地将这种安全性上升为整个系统的无条件安全性,姑且不谈量子通道安全性本身就存在巨大的问题,这种单一维度的思维方式来看待问题,并试图改造当前业已大量成熟应用的信息安全系统,就不是简单地令人感到担忧,而是令人感到滑稽。 这个问题的根子是从 BB84 协议娘胎里带来的,很诧异那么多国内外量通专家们,包括国内那些顶级的专家,没有一个人进行过认真思考就全盘接受下来,各种论文不但发表在《科学》、《自然》这些顶级科技期刊上,而且还收获了 2018 年度沃尔夫物理学奖。对于量通界来说,从历史的尺度来看,这可能不是一串串的荣誉,而是一桩桩啼笑皆非的故事了。 11. 问:有争议说不可克隆原理并不适用于量通采用的 BB84 协议,能否做简单的解说? 答:不可克隆原理全称应该是单量子叠加态不可克隆原理。这个原理并不是量子理论中的一个重要组成部分。之前它默默无闻,为人所知都是拜量通而赐,量通密钥协商过程的安全保证全都依赖于此。 由于量子学界对量子叠加态的物理意义存在不同解释,所以这个原理本身是否成立一直存在很多争议,这也是人们称其为原理而不是定理的原因。这里的讨论暂且不介入那些争议,我们假定这个原理还是成立的。 不可克隆原理讨论的是一个单量子,当其处于叠加态的时候,不存在一个物理机制,能够将这个量子的叠加态完全复制到另外一个量子上。从原理的证明很容易理解,这个原理只能适用叠加态下的量子。 按照哥本哈根解释,叠加态是指量子在特定时刻,其状态是由量子状态空间中所有状态的线性组合。薛定谔的猫就是叠加态的一个形象解释,说的是当猫被关在一个黑盒子里时,处于叠加状态的量子控制释放毒药的开关,导致的后果就是猫可以同时即活着又死了。除了叠加态,量子还有一个本征态,当发生测量的操作时,量子叠加态将“塌缩”到一个具体的状态。 量通采用的 BB84 协议,利用单光子的偏振方向来表达密钥信息,一共使用了四个偏振方向,这四个方向分成两组,每组中包含两个偏振方向,相互垂直呈十字,分别表示二进制的 0 和 1 ,两组十字彼此交错 45 度角,如果形象来看,将两组十字合在一起,就像一个米字。 BB84 协议中,信息操作有三个角色, Alice 是发送者, Eve 是监听者, Bob 是接收者。 Alice 虽然发送的是随机生成的密钥 bit ,但是当她发送这个 bit 信息时,这个信息究竟是 0 还是 1 是已知的,那么这也意味着 Alice 需要制备出来一个具有特定偏振方向的光子,比如说就是水平 0 度偏振方向。 我们提出一个问题,比如说当 Alice 发送一个偏振方向为 0 度光子的时候,该光子是处于叠加态还是本征态?如果是叠加态,在 360 度偏振态空间中,它只采用了一个确定性偏振方向,并且 Bob 在接收到这个光子偏振信息时,测量结果也毫无例外都是 0 度,这跟经典物理有什么区别吗?这跟本征态有什么区别吗? 尽管不同的量子理论流派对叠加态的解释不尽相同,但是对于这样一个具有特定已知状态的量子,没有任何一个学派会认为它处于叠加态,相反这个时候,具有确定偏振方向光子是符合本征态定义的。再考察 Alice 发送单光子时采用的各种操作,比如偏振方向的选择,完全可以算是在对光子进行一系列的测量,如果光子在此前处于叠加态,那么经过这些“测量”操作后“塌缩”成本征态是顺理成章的事情。 这样的话, Alice 在量子通道内发送的光子就不可能处于叠加态,于是单量子叠加态不可克隆原理自然就无法适用。 作为话题的引申,再引述周炳琨等编著的教材《激光原理(第六版)》 1.5 节“激光的特性”中的一段话: 以平行平面腔 TEM00 单横模激光器为例,工作物质内所有激发态原子在同一 TEM00 模光波场激发(控制)下受激辐射,并且 受激辐射光与激发光波场同相位、同频率、同偏振和同方向, 即所有原子的受激辐射都在 TEM00 模内,因而激光器发出的 TEM00 模激光束接近于沿腔轴传播的平面波,即接近于完全空间相干光,并具有很小的光束发散角。 这里描述的激光原理完全可以看作是具有特定偏振方向的单光子进行偏振态复制的物理机制,这也在侧面回答了为什么具有确定性偏振方向的光子不可能属于叠加态(因为违反不可克隆原理)。这样分析下来,特定偏振方向光子处于叠加态、不可克隆原理、激光原理三者是不自洽的,不可能同时成立,必然有某一个或多个存在错误。 显然,激光原理是不可能被牺牲掉的,那么其它两个无论是放弃任何一个或者两者全都放弃,都意味着量通的理论基础不复存在。无疑最小的牺牲代价是放弃特定偏振方向光子处于叠加态这个假设,这也与经过偏振选择处理,属于测量范畴并导致偏振叠加态“塌缩”是一致的,只有这样,量子在这个小角落里的不自洽矛盾才能获得解决。 所以我们就能够知道,其实并没有什么物理原理限制 Eve 在量子通道复制出来一个 0 度偏振方向的光子并发送给 Bob , Eve 只需要找到一个检测 4 个偏振方向的技术手段而已,这是技术能力问题,可没有什么物理原理的限制。 量通检测存在侦听行为的物理依据就是 Eve 不能复制同样偏振的光子,所以通过防范所谓的光子数分离攻击,就能防止明文密钥的失窃。可惜看来不可克隆原理并不是量通的保护伞,如果 Eve 能够复制相同的偏振光子并发送给 Bob ,就能干净彻底利落地破解量通所有的安全防护罩,量子通所有密钥都将神不知鬼不觉的被窃取。 无条件安全承诺是一张挂在天上永远吃不到的大饼,破解量通的秘诀根本与算力无关,仅仅只需要发展出来检测光子偏振方向的技术而已,量通专家还能找到一个物理原理限制这种技术的存在吗? 通过上面的分析,量通 BB84 协议从诞生之日起,就存在严重的适用物理原理的错误,这就跟一个中学生解答物理试题的时候,误用了一个完全不相干的物理定理一样。这个错误足以彻底摧毁 BB84 协议的合理性,也让我们的京沪干线和墨子号的成果化为灰烬。 我们希望能够在这个关键问题上获得量通专家的解答,这是一个没有任何回避空间的关键问题。如果这个问题最终证明适用原理是错误的,那么在现代科技发展历史上,这就是一个令人难以置信的丑闻。 到目前为止,没有任何拿的出的理由能够令人信服地说,具有特定偏振方向的光子处于叠加态,因此我们就无法理解,这么容易发现的问题,无论国内还是国外的那些著名量通专家们,竟然没有一个人就此提出质疑,众多研究和实验成果层出不穷,不但发表在顶级的科技期刊上,并且获得了国内外各种大奖,也包括那个著名的沃尔夫奖。如此长的时间,如此众多的精英,如此重大的科技领域投资,加上如此低级的理论适用错误,这样的现象出现在以严谨著称的科学殿堂上,不是比量通本身更值得令人深思吗? 12. 问:有些材料说量通的京沪实验工程采用了多光子的诱骗态技术,能说说这方面的内容吗? 答:单光子在理论上存在,但是实际上制备纯粹的单光子目前并没有好的办法,即使在实验室环境下也做不到,更不用说在工程项目中。好的情况下只能说制备出来的光子大概率下是单光子,掺杂一些多光子。 所有量通协议的设计,都要求采用绝对意义上的单光子,这样才有可能防范光子数分离攻击。不得不多说几句这个攻击手段,当年 BB84 的初始设计就是为了防范这种攻击而采用单光子的方案,有意思的是,之后的量通竟然因此不假思索地默认,所有对量通的攻击手段就只有这唯一的一种。这种思考问题的简化方法实在可怕,更可怕其实是连思考都不思考就全盘接受继承。假如防病毒公司的技术人员知道量通竟然如此简化可能面临的被攻击风险,不知道他们会有什么感觉?一定不会很好。 潘院士在很多场合都说,量通采用单光子,多光子绝对不安全。 但是一方面单光子制备存在问题,另一方面,单光子在光纤中衰减非常严重,根本无法长距离传输,最长不超过 10 公里,这个问题在工程上就非常致命,京沪干线 2000 多公里,单光子方案需要至少 200 多个可信中继器,我就不重复说可信中继器在安全方面有多么可怕了。 所以尽管量通从来不愿意说,量通工程号称采用 BB84 协议,但是其实他们发送的都是多光子形式的弱激光,那就已经跟 BB84 协议无关了。 BB84 协议设计采用单光子模式防范光子数分离攻击,但是一旦采用多光子模式,也同样需要找到防范光子数分离攻击的手段,于是诱骗态技术诞生了。 2003 年韩国科学家黄元瑛首次提出诱骗态思想,此后由中国的量通专家们对此进行一些改进后应用到京沪干线上。 诱骗态设计采用多光子方案,仅仅防范光子数分离攻击,即使在最理想的状态下,这种方案提供的安全保障也是概率安全,也就是说,当 Eve 监听秘钥发送的时候,无论是 Alice 或者 Bob 无法发现这种监听行为以一定的概率存在的,并且这个概率实际上随着传输距离的增大急剧提高。概率安全是我为量通诱骗态专门发明的新概念,传统的信息安全领域不存在这个概念,因为密钥加密体制或者找到破解的捷径,或者强力破解,不存在多大概率下破解的情形。量通独辟蹊径地提出来一个很另类的概率性的信息安全理念,可想而知他们的创新,离真正的信息安全要求距离有多遥远。 量通的工程建设究竟采用多长距离设置一个中继器,主要就是取决于安全概率与成码率之间的平衡关系,安全性要求低,成码率就可以提高,传输距离就可以延长。因为这个概率安全实在拿不出手,完全违背了无条件安全的承诺,所以量通的宣传中,诱骗态基本是隐形的,否则这项主要由中国人发扬光大的技术早就宣扬得路人皆知了。 诱骗态是个很量子化的名字,令人油然而生敬畏。其实它的原理并不复杂。 Alice 发送两种类型的信号,一种是真信号,一种是假信号,真信号用强光发送,假信号用弱光发送, Bob 只接收强光信号,丢弃弱光信号,这样就能够接收到完整的真信号了。 每个人都会问那么 Eve 不也可以这么做吗? 是的,从通信的角度来说, Eve 和 Bob 都是信息的接收者,他们每个人知道的东西都不比对方更多,所以按照传统的通信理论来说, Bob 能完成的只接受真信号过程, Eve 同样能够完成,究竟什么原因造成两者的区别? 就得回到 BB84 协议里。在单光子情况下,如果 Eve 截获了光子,根据不可克隆原理, Eve 无法原样复制一个光子发送给 Bob ,所以 Bob 能够根据接收光子的扰动分析出来可能存在侦听者,于是放弃接收到的一切信息。 类似的,诱骗态要想发现存在侦听的情况, Eve 的操作一定要干扰到 Bob 的接收信号,使后者能够发现信号的扰动现象,这就需要再次祭出不可克隆原理这个神主牌。 由于 Eve 侦听时,需要同时截获弱光和强光,假设 Eve 从中各抽取一个光子,因为不可克隆原理限制, Eve 不能将截获的光子复制后重新发送给 Bob ,所以这个时候, Bob 在分析接收到的强光与弱光的单光子分布比率时,就能发现由于各自丢失 1 个光子导致两者之间的分布比例关系照比平常会发生偏移,这时存在 Eve 的可能性就很大,于是就放弃接收到的所有信息。 当然上面仅仅是大白话的原理性描述,实际的设计和操作要复杂一些,更复杂的其实是这套理论一连串的烧脑量子概率计算,这些计算直接提高了理解诱骗态原理本质的门槛。 了解了诱骗态的大致原理,人们不禁担心,因为强光与弱光各自丢失 1 个光子算出来显著的分布比例偏移,这也太敏感了吧?你把分子分母各减去 1 然后算出来的比值与原来大不相同,意味着分子分母的数值其实都不大,换句话说,即使是强光也是极弱的激光,这就限制了传输的最大距离。当然,你尽可以将激光功率调大,以增加传输距离,或者提高成码率,但是这就意味着扰动偏离会很小,发现 Eve 存在的概率也就急剧降低。 对环境变化如此敏感,经历寒霜酷暑,器件老化,都会导致损耗的漂移,于是之前调试好的参数不再好用,需要不断调整,可是调整到什么程度仍然是纯运气的事情,并且每两个中继器之间的参数都不可能是相同,都需要调整,如果你要是偷懒一点,放宽参数指标,那么就不用想能够发现 Eve 的存在,安全性就是一句空话。 如果你看到量通经常说的,经过仔细调整系统参数,使得 QKD 的传输距离和成码率大大提高,你就知道他们调整的是什么内容,也知道后面的潜台词是什么了。通讯的距离和成码率是工程可用性的先决条件,是用户看得见摸得着的指标,至于安全还是不安全,只要没发生攻击,谁又能看得出来,不都是靠承诺就够了吗? 单光子是不可以放到光交换机里的,墨子文中提到在量子信号层面,可以采用光路交换进行组网,那当然不是单光子,而是属于激光的范畴了,这也证明了尽管量通不愿意提及诱骗态,其实他们采用的就是弱激光形式的诱骗态。 诱骗态的安全性建立在或然性的数学概率证明,完全没有什么确定性的物理机制支撑。坦率地说,我实在无法将诱骗态看作是一个信息安全的解决方案,我更无法将诱骗态看作是可以工程实现的解决方案,现在诱骗态能够运行起来的唯一理由是以绝对不安全为代价的。 当然,上述的讨论包括诱骗态的概率计算,都是以不可克隆原理成立为前提,并且攻击者只会采用单一的光子数分离攻击方法进行窃听。前面的问题已经将不可克隆原理从量通的神坛上撤掉了,但是即便供上不可克隆原理的主神,诱骗态仍然将量通理论上的安全拉低到一个新的低点,所以量通的宣传一直回避这个话题。 顺便提一句,今年 5 月份,科技日报发表了一篇题为《 用噪声保密 我研究成果可使光通信“抗劫持” 》 的科技新闻,可惜里面讲述的内容并不包含原理性的解释,但是字里行间,如果将这个看作诱骗态的一个成果总结,完全没有任何违和感。当然缺少了不可克隆原理的加持,这个方案在原理上的安全性如何保障实在无法判断。不过反过来想,如果诱骗态的具体实践弱化了安全性的要求,这两个方案倒的确是很像一对孪生的兄弟。 墨子沙龙有关量子通信话题的问与答(一) 墨子沙龙有关量子通信话题的问与答(二) 墨子沙龙有关量子通信话题的问与答(四) 墨子沙龙有关量子通信话题的问与答(五) 参考资料: . 墨子沙龙 . 量子通信的问与答(上) 什么是量子通信 . 2018-11-02. https://mp.weixin.qq.com/s/dWn-g098ZZ6KeUeQx1mc7g . 墨子沙龙 . 量子通信的问与答(中) 什么是量子通信 . 2018-11-03. https://mp.weixin.qq.com/s/GT9hmW1qooG7f35VSi5fGA . . 墨子沙龙 . 量子通信的问与答(下) 什么是量子通信 . 2018-11-04. https://mp.weixin.qq.com/s/_J34VZIltGnSxca8zI6u0A . . 徐令予 . 英美等国家如何评估“量子通信”工程化 . 观察者网 . 2018-10-31. https://www.guancha.cn/XuLingyu/2018_10_31_477593.shtml . 量子大观 . 定位广泛商用 全长 609 公里“武合干线”贯通量子国家骨干网 . 2018-11-13. https://mp.weixin.qq.com/s/UdUrQ6m7kSEOHLgdV88Dng . 国务院 . 关于加强地方政府性债务管理的意见 . 2014-09-21 http://www.screnhe.gov.cn/InfoSend/Detail.aspx?id=20180126182643-873980-00-000 . 莎菲 . 戈德瓦瑟 (2012 年图灵奖获得者 ) ,潘建伟 . 看顶尖科学家激辩:量子计算与密码学 . 2018-10-31. https://m.thepaper.cn/newsDetail_forward_2582333 . 李红雨 . 沃尔夫奖的迷失 . 科学网. 2018-10-08 http://blog.sciencenet.cn/home.php?mod=spaceuid=46717do=blogid=1139647 . @ 九维空间 Sturman . 解读 2012 年诺贝尔物理学奖 . 2012-10-09 https://www.guokr.com/blog/356396/ http://blog.sciencenet.cn/home.php?mod=spaceuid=46717do=blogid=1139647 . Prof. Peter Zoller winner of Wolf Prize in Physics-2013 http://www.wolffund.org.il/index.php?dir=sitepage=winnerscs=737 . John F. Clauser Winner of Wolf Prize in Physics - 2010 http://www.wolffund.org.il/index.php?dir=sitepage=winnerscs=283 . 2005 年诺贝尔物理学奖解读 . 2005-12-03 http://blog.sina.com.cn/s/blog_4440e332010000ov.html . Juan Yin,……. S atellite-Based Entanglement Distribution Over 1200 kilometers. Science 2017-06-16 http://www.docin.com/p-1951266714.html . 徐令予 . “熔断和幽灵”有可能威胁量子通信干线的安全 . 观察者网 . 2018-01-31 https://www.guancha.cn/XuLingyu/2018_01_31_445230.shtml . 李红雨 . 量子通信是安全的吗?(下) 科学网 . 2016-3-23 http://blog.sciencenet.cn/blog-46717-964437.html . 周炳琨等 . 激光原理(第六版) . 国防工业出版社 . 2009.1 . 用噪声保密 我研究成果可使光通信“抗劫持” . 中国科技网 . 2018-05-21 http://www.stdaily.com/index/kejixinwen/2018-05/21/content_672370.shtml . 程小康 . 美媒惊叹中国量子加密技术领先:专家警告美国若再等 5 年才投入,就晚了 . 观察者网 . 2018-12-05 https://www.guancha.cn/industry-science/2018_12_05_482211.shtml
3988 次阅读|2 个评论
沃尔夫奖的迷失
热度 3 lhy8848 2018-10-8 17:59
物理学界的第二奖 又到了一年一度的诺奖颁奖季,每年这个时候,都是科学界最热闹的时候,无论颁奖前的各种预测和颁奖后的各种评论,都会引起一阵阵讨论的热潮,即便是普通人,也能感受到来自科学界这股热浪,加入各种边缘性的讨论话题。 诺贝尔奖是科技界无可争议的第一大奖,但是如果问谁排名第二就有些尴尬,不但普通人不知道,就算是科技界的人被问到,可能也是一脸茫然。沃尔夫奖就是这样,这是一个号称仅次于诺贝尔奖的第二大科学奖项,相比诺贝尔奖,知道的人就少多了,即使科学界也好像关注得不多。 借着年度诺奖颁奖的热闹,聊一下冷门的沃尔夫物理奖。其实今年的沃奖跟中国还是大大有关系的,这个奖项早在 2 月份就已经揭晓,颁给了“中国人民的老朋友”,来自 IBM 的查理斯 · 本内特( Charles.Bennett )和来自加拿大蒙特利尔大学的吉勒斯 · 布拉萨德( Gilles.Brassard ),获奖理由是表彰他们 “ 在快速发展的量子信息科学领域的工作 ” 。颁奖典礼在 5 月于以色列议会大厅举行,著名的音乐人保罗 · 麦卡特尼登台为获奖者和嘉宾做了表演。 著名的音乐人保罗 · 麦卡特尼 寥寥数语根本看不出来沃奖与中国发生的纠缠,但是在今年 6 月初中科院第 19 次院士大会上,潘建伟院士做的主题报告《 新量子革命:从量子物理基础检验到量子信息技术 》,其中的一段话,就将沃奖与中国的关系揭示出来了: 在 2013 年和 2018 年,做相关研究的一些杰出物理学家也获得了沃尔夫奖,特别是 2018 年的沃尔夫物理学奖,相关科学家的获奖原因主要都引述了这几年中国的工作,里面谈到了京沪干线的量子密钥分发系统已经商用化,在光纤的传输中可以达数百公里,在卫星里应用达到千公里量级。 我们试着解读一下今年的沃尔夫物理奖。中国的量通建设采用的协议设计就是 BB84 协议, BB 就是本内特和布拉萨德名字的首字母,这个协议最早是他们两人 84 年在一篇有关采用量子技术进行信息加密的论文中提出来的,可以说他们两人确实是量通领域的创始人。对 BB84 协议略有了解的人都知道,这个技术方案采用单光子偏振态进行密钥分发,从物理的原理来说,里面没有新理论,从技术来说,也没有革新性创造,所新颖的就在于它将量子引入到信息安全领域。 一个技术是否成功,最有说服力的证明,显然就是应用这个技术的成功实践,在整个世界范围内,确实只有中国采用 BB84 协议,构造了一个 2000 多公里长的量通示范工程,并且还发射了卫星,进行过千公里级别的量通空间实验,在当今量子物理学界,这已经是对一项量子技术进行验证少有的大规模资金投入,因此得到世界科学界的重视并不奇怪,如果这项技术通过这些实验获得确切无疑的验证,并具有广泛的应用前景的时候,作为这个领域的创始人,理所应当获得他们的学术荣誉,而这个荣誉当然也跟中国的京沪实验干线和墨子卫星紧密相关了,潘院士对于今年沃尔夫物理奖的评论是有道理的。 既然理论和技术都了无新意,那么无论是偏振版的 BB84 协议以及后续升级的各类纠缠形式的量通协议,对其进行评价的最重要指标就是它们的实用性,离开这个指标,将量通过多引申拔高是没有必要的,也是荒唐的,所以我们就通过解剖 BB84 协议来衡量一下量通的应用性到底有多大的前景,也就能够对沃尔夫奖的含金量有一个清醒的认识。 一个寓言和一张考卷 夜晚,一个醉汉在路灯下徘徊,似乎在寻找什么,偶尔路过的行人不禁有些好奇,于是停下来: 路人:你在找什么丢失的东西吗? 醉汉嘟嘟囔囔地回答说:我的钥匙,我的钥匙,我找不到了! 路人更奇怪了:可是你的钥匙也不在路灯下,为什么在这里找? 醉汉理直气壮地说:因为别的地方我看不见,只有这里最亮! 今年高考语文全国 II 卷的作文题讲的是一个二战期间的故事。 二战 ” 期间,为了加强对战机的防护,英美军方调查了作战后幸存飞机上弹痕的分布,决定哪里弹痕多就加强哪里,然而统计学家沃德力排众议,指出更应该注意弹痕少的部位,因为这些部位受到重创的战机,很难有机会返航,而这部分数据被忽略了。事实证明,沃德是正确的。 第一个寓言是科学界广为流传的笑话,说的是有关认识的知识限界和路径依赖问题。爱因斯坦说,一个人的知识就像一个圆,无知的领域便是圆外的世界,知道得越多,面临无知的边界也就越大。路灯下那一圈照亮的地面,就是我们已知的世界,是我们自己知识的限界,显然的,我们都会在自己熟悉的领地里,去寻找开启新世界的“ KEY ”。由于这个限界的存在,客观上将我们思考问题解决问题的路径固定在一个相对封闭的圈子里,如何突破这样的限制,找到更适合的那把“ KEY ”,一个人的聪明是不够的,需要的是更多人的智慧,将未知的边界推向更远的地方,遗憾的是,往往在思想和实践中,我们会忘掉这个寓言给予的启示。我经常用这个寓言提醒自己,也经常用这个寓言警示给团队。 第二个故事是典型的 “ 幸存者偏差 ”(Survivorship bias) 案例,与第一个寓言不同的是,即使我们具备分析一件事物所需的知识储备,我们仍然会被眼前显而易见的证据带偏,把局部看作整体,把条件约束性很强的结论,看作无条件的结论。我们掌握的知识是潜在的,能否发挥出来作用,需要掌握一些方法手段。 这些认识论方面的问题,其实早就是人们的常识了,针对这些问题,提出了很多方法论来应对。 第一类问题是说我们不知道,既然一个人的知识有局限,那么集中各领域专家参与其中就是一个必然要求。对于科学界来说,同行评审和相关行业交叉评审是很好的机制,尤其对于交叉学科技术来说,引进不同领域的专家参与其中的设计,并且从不同的专业角度进行全方位系统层级的交叉审评绝对不是一个可选项,应该成为一个必须走的流程。 第二类问题是说我们知道,但是却被忽视了,这就比较有隐蔽性。当一个人偏执一个角度、一个局部思考问题的时候,蒙蔽他双眼的是他自己的局限,中国人称之为:不识庐山真面目,只缘身在此山中。 科学界需要各种不同意见的人参与其中的讨论过程,不同的人有不同的思考问题的习惯和角度,即使是同领域专家,他们的思考都可以作为相互的补充。 在 IT 行业,编程人员原则上不提倡针对自己的代码进行测试,行业里讲叫做避免“同化”。这是因为一方面编程人员关注技术的实现,因此业务洞察的广度与深度是其短板,有知识的盲区,这属于第一类问题;另一方面熟悉了自己的逻辑思路,也很难找到隐藏其中的错误设计,也就是人们常说的灯下黑,这属于第二类问题。为了避免“同化”,软件设计方法论有各种各样的解决方案。 量通是一个交叉学科的应用技术,所涉及的领域包括量子力学、密码学、计算机科学、通讯网络,所以需要各领域的专家参与到整个项目的评审与建设中,这是必由之路。 量子力学相对于其它学科是有一些门槛的,这造成了其它领域专家对于介入量通深有顾虑,还有一个重要原因,是那些量通专家有意无意对于其它领域专家的排斥,他们对于那些专家的质疑有些反应迟钝甚至傲慢。我们看到不少量通科普文章里,用了大量篇幅反驳甚至嘲讽网络专家和密码专家的意见,而其实那些专家的意见很多是非常中肯的。当我们发现无论国内还是国外的量通专家普遍都在唱独角戏的时候,我们对此是有深深的忧虑与不解的,这意味着,他们偏离了认识论的正确轨道,非常可能走向一条错误的道路,技术一旦走错了方向,也就意味可能变得毫无价值。上述问题可以归类到第一类问题的范畴中,其实很多人早就指出来了,我不再重复那些批评的意见。 往往不被注意的是第二类问题,我这里要谈的就是量通在第二类问题上所犯的错误,即使是对量通进行批判的其它领域专家,往往也没有注意到这类错误,我们将看到这个错误导致的后果有多么严重。 BB84 协议做了什么 如果讲解 BB84 协议的细节,必然会涉及到一些量子相关的知识,那会吓走绝大多数的读者,我将尽量不谈量子来分析 BB84 存在的问题,因为从我的角度来看,其实 BB84 协议的原理跟量子实在扯不上多少关系,抛开量子谈 BB84 一样能够讲得通,我相信我下面所讲述的内容基本具有高中文化层次的人都能够读懂。 BB84 到底做了什么事情,试图解决什么问题,这需要从它诞生的时代背景说起。 本内特们在 84 年提出 BB84 协议的时候,不用说量子计算机,连计算机本身都是非常稀罕的存在,并且互联网技术也仅仅在一些军事、大学和研究机构之间小范围使用,包括密钥为基础的现代密码学也刚刚进入实用阶段,所以我们现在被广泛宣传的所谓密码学危机言论,在那个时代连个影子都看不到, BB84 协议只是当年各种密码学不同方向发展过程中的一个完全不起眼的技术尝试,从来就不是用来充当密码学危机的救世主而存在的,这才是 BB84 产生的历史背景,也因为这个历史背景,意味着 BB84 协议的设计之时,根本不可能预测到如今如此发达,渗透到社会各个角落的计算机和网络技术,更不可能担当起拯救现代密码学的救主。现代密码学深深地融入了 IT 技术飞跃发展的时代,并与这个时代的进化而进化,反观 BB84 协议落实在中国的实践,仍然保持古朴的原教旨主义的形态,没有任何进化的痕迹,连加密算法都采用的是最原始的异或算法,所以即使没有经历任何细心分析过程,也能预料到可能会暴露出一些先天设计的痼疾。 BB84 协议并没有太大的野心,试图以一己之力取代完整的信息安全诸多环节的方方面面,它的设计就是用来进行密钥的分发,不能直接对信息进行加密解密,这现在已经开始渐渐为大家所知晓了。 现代密码学采用密钥的方式进行加密和解密。密钥分为两种,一种为对称密钥,加密解密采用相同的密钥,另一种为非对称密钥,有两个不同的密钥,其中公钥用来加密信息,私钥用来解密信息。 BB84 协议只能用来分发对称密钥,道理很简单,因为非对称密钥的公钥本来就是在网上用明文的方式发送的,无需保密,私钥是接收方用来解密信息的,根本不在网上发送。 BB84 协议只提供了端到端的密钥分发形式,是一根光纤的两端之间的协议,中间不允许有任何网络器件,包括中继器、路由器、交换机等等,任何擅自添加的设备都不在协议描述之内,其安全性不属于协议的控制范围内。这么说人们就明白我刚刚说到的 BB84 没有随着 IT 技术进步而进化是什么意思了吧。 BB84 协议设计了两个光纤通道,一个通道是量子通道,用来分发对称密钥;另一通道是普通信息通道,利用量子通道协商出来的对称密钥,采用经典的对称加密方式将信息加密后发送出去。这样的话,相对于传统的信息安全传输只需要采用一条光纤, BB84 就需要两条光纤线路才能完成同样的任务。 从系统的角度看 BB84 协议的安全性 信息安全是体系性的安全,而不是局部的安全,遵从木桶原则。衡量一个系统是否安全,是以最薄弱的环节进行评估的,只要攻破最薄弱的环节,加密信息就会被破解,这不需要懂密码学,也不需要懂量子力学,这是很简单的常识,不会有任何争议。 我们知道普通方式的信息加密传输,如果不能够知道解密密钥,就只能采用强力破解的方式来进行,尽管有人担心密钥算法存在各种后门,但是因为算法是公开的,到目前为止,无论是对称密钥还是非对称密钥,都没有足够的证据说明这类后门的存在,所以,信息安全的水平就严格取决于密钥的长度,线性增加密钥的长度,将能指数增加破解的难度。 BB84 协议只提供对称密钥分发的功能,量通在宣传现代密码危机的时候,虽然更愿意让人误以为所有的密钥都存在被破解额风险,其实他们自己不得不默认对称密钥体制是安全的,不安全的是对称密钥的分发环节。但是通常的对称密钥分发采用的加密方式就是对称密钥体制本身,即使有些采用非对称密钥体制,不是因为技术必须这样做,而是因为现实中所谓的量子计算机破解非对称密钥的神话远在天边,根本不构成任何危机,况且量子计算机理论上能够破解的也仅仅是 RSA 一个非对称密钥,其它的非对称加密体制的破解,连理论上的可能性都没有找到。 BB84 协议设计了两个通道,量子通道用来分发对称密钥,信息通道利用分发的密钥进行普通的对称加密,这就为破解加密信息提供了两个选择:第一个选择是在量子通道上获取密钥,假如我们定义这个破解难度为 A ;第二个选择就是强力破解信息通道的加密密文,我们定义这个破解难度为 B 。 显而易见,普通的信息加密传输和 BB84 信息通道的加密传输,因为可以采用相同的对称加密方式,其安全水平是完全相同的,也就是破解难度都是 B ,而对于 BB84 协议下的完整的端到端的信息安全水平不是 A+B 或者 MAX(A,B) ,根据木桶原理,应该是 MIN(A,B) 。显然小学数学就能告诉我们 B=MIN(A,B) ,换句话来说,也就意味着,即使 BB84 协议中的量子通道具有无限高的安全性,这个协议带来的系统安全性水平不高于普通的对称密钥加密安全水平,再通俗地说, BB84 协议虽然钱花得比普通通信线路高出一倍以上,但在理论上仍然不可能提供更高的安全性 。 分析 BB84 协议的安全性根本用不着量子力学,当然也用不着密码学和计算机网络知识,上面的证明足够简单,根本无需跑到量子通道内部去做什么花样文章。类似的道理,任何遵循量子通道 + 普通信息通道所设计的量通方案,都不可能提供超过对称密钥的安全性, 到目前为止还没有脱离了双通道模式的量通方案,所以说目前所有量通技术在理论上都走入了死胡同。 得出这么简单而滑稽的结论,是因为量通的理论和实践从来都只在自己的专业领域打转转,他们设计和分析量通的安全性都是仅仅从一个量子通道的角度出发,没有站得更高一些,从完整的系统的角度对安全性进行评估。他们不缺少应有的知识,他们缺少的是大师那样纵览全局的眼界,这个格局其实从量通诞生的时候就已经注定,又被跟随者不加批判地全盘继承下来了。 量通的量子通道一直被宣传为具有物理安全性,这是一个莫名其妙的概念,他们宣传这个安全性是经过证明的,可惜从来没有人见过这个所谓的证明,连物理安全的概念都没定义好,如何去证明其安全性,总不能把香农有关一次一密安全性证明看成对量通安全性的证明吧,要是他们真这么想,我实在不好意思说什么了,我只知道上面提供的证明足够清晰简洁,人人能够看得懂并且无可辩驳。 BB84 适用单量子不可克隆原理吗? 虽然我们已经知道从系统角度上来看,量通安全神话是不存在的,但是我还想要深入到量子通道,分析一下 BB84 协议在适用理论方面存在的问题,这会涉及到一点点量子方面的知识,但是并不令人生厌,不感兴趣的人可以跳过以下几段内容,直接看章节的结论。 BB84 协议采用的是单光量子的偏振方向作为信息表达的方式,它的安全保障机制是单量子叠加态不可克隆原理,适用这个原理的前提条件就是单量子处于叠加态。我们姑且不理会叠加态究竟是什么这个问题,毕竟这个问题物理界也没人说得明白,按照量通的主张,我们不妨遵循哥本哈根解释,这样的话,当光量子具有一个特定方向的时候,是否属于叠加态,就是个非常值得思考的问题。 BB84 协议中,信息操作有三个角色, Alice 是发送者, Eve 是监听者, Bob 是接收者。、 Alice 虽然发送的是随机生成的 bit ,但是当她发送这个 bit 信息时,这个信息究竟是 0 还是 1 应该是确定的已知的,那么这也意味着 Alice 需要制备出来这样一个具有特定偏振方向的光子,比如说就是水平 0 度偏振方向。 几个自问自答: l Eve 是否具备检测出来偏振为 0 度的光子?当然没有问题,这跟 Bob 的做法没有什么不同; l Eve 是否具备重新发送一个 0 度偏振方向的光子?当然没有问题,这跟 Alice 的做法没有什么不同; l Eve 这种重新发射相同偏振方向光子的机制,算是一种有效的复制吗?当然是; l 具有特定偏振方向的光子克隆机制,适用单量子叠加态不可克隆原理吗?不适用。 不管单光子的偏振态是从哪些相互不发生彼此作用的更基本的量子态组合而来,光子的偏振态是可以认为属于叠加态的,处于叠加态的光子偏振方向都应该具有不确定性,一旦这个偏振方向确定下来,按照哥本哈根解释,就是处于“塌缩”的本征态,已经不是叠加态,自然不太可能符合不可克隆原理的前提条件。其实这也在另一个方面说明了一个问题,那就是将光子进行偏振处理后,光子就算是经过“测量”的操作,从而导致不再处于叠加态,这样,就不奇怪为什么 Eve 能够复制 Alice 发送过来的单光子信息,因为不可克隆原理根本不约束非叠加态的复制行为。 可以进一步追问,光子经过反射、折射、分光处理是否属于“测量”?如果答案是肯定的,那么之前很多所谓量子实验算是作废了;如果是否定的,那么“测量”的边界划在什么地方更合适?温伯格在他的最新文章《量子力学的困境》中,就提出了这个迄今为止量子界仍然无法回答的问题。 香农在他的著名论文《通讯的数学理论》中早就指出来“ 信息是用来消除 随机 不定性的东西 ”。扩展一下思路,想一下就知道, 让一个确定性的信息以特定的量子态方式进行表达,还得让这个量子处于不确定的叠加态,这本来就是相互矛盾的要求,实在是令量子处于两难的境地 。如果说叠加态算是量子的一阶不确定性的体现,那么让量子即处于叠加态又不处于叠加态,恐怕算是量子二阶的不确定性了,我本人当然不赞同用叠加态来表达特定信息的观点,如果量通认为发送时具有固定偏振方向的单光子在运动过程中处于叠加态,但在接收的时候又恢复到发送时的偏振方向,那么这个量子世界就是在足够混乱的基础上又多了一层糊涂。 会有人不同意具有特定偏振方向的单光子不处于叠加态的观点的,当然叠加态究竟是什么,测量的边界究竟划在哪些地方从来都是众说纷纭,但是这个问题延展开来讨论,就能够发现,如果秉持上述观点,会遇到很多不自洽的问题,直接来说, Eve 实际具有的复制能力本身无疑就是一个反驳。 经过上面的讨论,我们应该能够得出一个基本的结论,那就是, BB84 协议所用到的具有特定偏振方向的单光子并不处于叠加态,也因此无法适用单量子叠加态不可克隆原理 。所以在量子通道上的安全保障机制实际上是建立在虚幻的想象中的,这个通道能够通过简单的技术手段将密钥直接泄露出去,是绝对不安全的,这跟量通的绝对安全承诺相去甚远。如果量通即使在自己的专业本行都会把适用的物理原理搞错,三十多年来从未有人质疑,更谈不上纠正,行业处于这样的研究水平,就实在令人感到遗憾,这是结结实实的内伤。 从前一个章节的讨论中,设定了量子通道的安全水平为 A ,普通信息通道的安全水平为 B ,整个 BB84 协议下的系统得到的安全水平为 MIN(A,B) 。在量子通道存在适用物理原理错误的情况下,不难得出 AB 的结论,也就意味着,实际上 当我们引进了 BB84 协议之后,不但需要额外投资建设一条成本更高的光纤线路,而且在这个光纤线路上恰恰引入了致命的薄弱环节,使得试图窃密的人能够更简单地获取密钥,从而将系统的安全性大大降低了。 这可是跟量通自己的主张恰恰相反。 BB84 协议从单光子到诱骗态 BB84 协议采用单光子的模式,试图通过单量子不可克隆原理来保障密钥分发的安全性。当然我们前面两个章节已经从完整系统角度和量子通道对这样的幻想给予了批判,但是对于量通专家来说,接受这些观点显然是存在很大心理障碍的。 不过,在国内的京沪线建设以及墨子卫星实验中,采用的并非是单光子,这是因为理论上,单光子无论在光纤中还是在自由空间中,损耗都太大了,以至于根本无法传送很远的距离。还有一个大家不太愿意说的事实,就是所谓理想的单光子制备即使在实验室环境下也无法做到,只能通过将激光进行极度衰减,获得概率性的单光子。所以理论归理论,实践归实践,采用绝对的单光子实现 BB84 协议其实是不可能完成的任务。 潘院士在多个场合下讲过,量通的安全性必须通过单光子来保证,多光子是绝对不安全的,即便如此,量通的实践方式采用的仍然是多光子模式,目前采用的是所谓的诱骗态,这是超出了 BB84 协议之外的内容,或许勉强可算是 BB84 协议的一个扩展,可惜的是,这样一个扩展,非但不能提高量子通道的安全水平,反而将理论上仅有的安全水平 A 又进一步往下拉低了。 诱骗态理论充斥了大量的数学计算,并不适合在这里进行分析,量通专家经常用一个比喻来形象地解释什么是诱骗态: 有一口井,大家都想喝到其中甘甜的井水,但不幸的是,这井里混合了一种毒液,必须把毒液蒸馏掉才能尽情饮用健康的井水。那么问题来了:蒸馏掉多少合适呢?蒸馏得不够,喝进去的残留毒液就可能致命,蒸馏的太多,会把好的井水也浪费掉。这里毒液用来比喻假的信号,井水用来比喻真实的信号,只要能够保证监听的 Eve 无法分辨真假信号,而接收者 Bob 能够将假信号过滤出去,自然就能够一方面避免密钥被窃,一方面保证传输距离大大延长。 这里计算蒸馏多少量合适就是一连串比较复杂的概率运算,其实这个比喻不太好,因为它给阅读的人带来很多疑惑,我想大家都会问的一个问题就是:为什么 Eve 不会蒸馏,只有 Bob 能够做,难道 Bob 有什么祖传秘方? 在一个标准的安全信息发送、监听、接收通讯模型中, Alice 负责发送信息, Eve 是试图窃密的监听者, Bob 是信息接收者。 Alice 与 Bob 之间不存在事先的对于信号处理的特殊约定,因为当存在特殊约定的时候,等同于对信息固定形式的加密,在现代技术手段下,任何固定形式的加密手段,都是被认为是简单加密,是容易破解的,因此加密在理论上等同无效。 如果 Alice 与 Bob 不存在对信息的特殊加工约定,我们就应该认为 Eve 和 Bob 具有同等能力,因此通常情况下,当他们接收到同样信号时,将能采用同样的处理方法,得出同样的处理结果,目前人类的智慧在这样的情况下,根本无法做到让 Bob 正确接收信息,而 Eve 却被蒙蔽,很简单的道理,数学理论上,此时 Eve 与 Bob 的地位是可对易的关系,因此也就无法对两者的接收、处理能力做出任何分辨。 于是就存在一个疑惑,量通的诱骗态是如何做到只让 Eve 受到蒙骗的? 诱骗态的设计是专用于防范光子数分离攻击的(坦率地说,从这点就能看出来,量通专家对于网络安全问题的实质根本没有清醒的认识,以为世界上尝试破解量通系统的专家想象力如此单薄,就只有这么一个单一手段。不过或许他们认为只有这个手段才能用得上不可克隆原理?那就更可笑了),而不可克隆原理能够将 Eve 和 Bob 的关系变成非对易关系,从而使得侦听能够被 Bob 发现,真信息不能被复制, Bob 不会上 Eve 的当。我们看看这是如何做到的。 诱骗态方法的实现原理上是很简单的, Alice 发送的是弱相干态的光,信号光与诱骗光采用不同的光强(光子数不同),通常,信号光采用强光,诱骗光采用弱光,因为采用 BB84 协议接收信号只关心光子的偏振方向,与光的强度无关,所以这个情况下 Eve 采用光子数分离攻击方法是无法分辨真假信号的。如果这个时候 Eve 进行窃听,那么由于长距离信道对于强光和弱光的损耗不同,所以 Eve 从强光和弱光分离出去一个光子,并把余下的光子发送给 Bob 的操作,将使得强光和弱光经过损耗后的光子数比例发生变化,这个变化能够被 Bob 所检测到,从而发现信道中存在监听者,于是放弃此次接收的数据,如果没有发现监听者,就可以确认此次接收的数据。 不知道大家对上面的诱骗态设计方案有什么感觉? 首先,这个方案只针对光子数分离攻击,对任何其它想到还有没想到的攻击都不起作用,如果这是个杀毒软件,那就是一个专杀一个病毒的软件,因为 BB84 是一个传输层的协议,还无法随时升级替换,所以面对新的攻击它将毫无应对的方法。仅举一个攻击方法,假如 Eve 自己扮演一个假 Bob 的角色,将所有 Alice 的信息都截获但是不转发给 Bob ,那意味着 Eve 将能与 Alice 协商出来密钥 k1 ,同时, Eve 再扮演假 Alice 的角色,与 Bob 协商出来新的密钥 k2 ,于是真 Alice 与真 Bob 在普通信道中的加密信息同样被 Eve 截留, Eve 用 k1 解开 Alice 发送的密文,并用 k2 将明文重新加密后发给 Bob ,这样, Eve 就能在人不知鬼不觉的情况下,获取所有的加密信息。 对于信息安全的守方来说,你永远不可能知道下一次攻击者会采用什么攻击手段,这是一个信息安全的常识,也是为什么杀病毒公司总不得不疲于应付各种新病毒的原因。有人会说, Alice 与 Bob 可以进行身份认证,保证对方身份是真实的。不错,但是那不是诱骗态能够解决的,目前也没有量子身份认证机制,靠的还是传统的身份认证机制,身份认证可是与非对称算法紧密相关的,于是就有一个怪圈,量通认为非对称算法不安全,可是自己的安全却要靠非对称算法来保证,这实在是一个烧脑的逻辑困境。退一步来说,部分算法可以采用对称密钥来进行身份认证,但也意味着量子通道的安全仍然需要传统密码来保驾护航,这样的情况难道不也是极其尴尬的事情? 另外,谁规定 Eve 只能用 BB84 协议一个方法来检验信号?连傻子都知道强光和弱光是不同的,分析强弱光分布很困难吗?如此假设图灵后继者的能力一定会被收智商税的。之所发生这么可笑的结论,就是因为单光子其实是谈不上强光弱光的,因此按照 BB84 协议的设计根本不会考虑到强弱光之间的区别造成的信息泄露问题,虽然诱骗态概率计算满篇都是光子数,似乎考虑了强弱光的问题,但那只是为了计算接收端损耗比的差异, 完全忽略了强光和弱光本身就携带了破解密钥的关键信息,这相当于把密钥破解的钥匙直接交给了 Eve ,然后还在煞有介事的研究门锁如何做得更牢靠一些。我说过引入了诱骗态,其实比单光子模式更不安全,原因就在于此。 还有,需要再次重复说一下,对于固定偏振态光子来说,应该不属于叠加态,自然不能适用单量子不可克隆原理,所以说 Eve 分离一个光子后,不能再复制同样偏振方向的光子发送给 Bob ,本身就是一个有争议的假设。 再者, Eve 从多光子中只取了一个光子就能造成强弱光由于衰减比率不同,造成接收端强弱光比例发生漂移,这意味着就算是强光其实也强不到哪里,仍然是很弱的光,当然也意味着物理条件限制导致传输距离是非常有限的,无法提高。 再补充一个,诱骗态的损耗计算严格依赖于具体的环境,每个线路都有各自不同的环境特性,并且,这种特性还可能发生各种漂变,并不是一成不变的,所以在计算损耗比的时候,尺度收窄,相当于过度蒸馏,成码率极低,而且极其不稳定,尺度放宽,相当于保留过多毒药,虽然看着成码率显著提升,但是也意味着相当大概率无法检测出来存在光子数分离攻击,那么所谓安全就是一句空话。所以大家需要特别注意量通有关成码率的宣传,当他们宣称成码率很高的时候,与说安全水平很低是等价的。 诱骗态的设计对于安全性来说,始终都建立在数学的或然性基础上,思想的底子都是概率安全,算法本身就天然存在密钥被泄露的概率,更何况,这还仅仅是数学理论计算,在具体实践上就更不会好看了。现代密码学从来不会将密钥的安全性建立在或然的基础上,即使被量通广为非议的 RSA 非对称算法,也是建立在大整数因子分解属于 NP 问题这个世界难题上的,就算是量子计算机也是采用穷举法来计算的。量通对于信息安全的理解实在肤浅得有些可怕,而且更可怕的是,在他们的文章中,竟然把这个概率性安全的证明过程,称为绝对安全性的证明。 忍不住加一个彩蛋,今年 5 月份科技日报发表了一篇科技新闻《 用噪声保密 我研究成果可使光通信“抗劫持” 》,可惜里面讲述的内容并不包含原理性的解释,但是如果你把里面的噪声换成光强,简直就是诱骗态的一个成果宣传文稿,完全没有任何违和感。没有细节描述,无从判断这个基于普通激光通讯方案的安全性如何,但是至少证实我的一个直觉性判断,类似诱骗态的方案在普通激光领域应该能够找到它的孪生兄弟,不知道量通专家们是否需要为此追究知识产权的问题? 结论 从 BB84 协议的系统安全性,到它的量子通道安全性,到该协议不适用不可克隆原理的分析,到诱骗态安全性分析,我们已经从不同的理论角度对量通进行了批判,能够看出来,很多量通出现的问题都是低水平的错误,对比文章开头的寓言和故事所引申的道理,不难发现,这些错误有些是因为量通自身对于信息安全领域的知识认识太肤浅,有些是因为一叶障目,不见森林。 波普尔提出了科学证伪主义,很多量通粉丝就是如是说,如果你觉得量通不安全,那就去破解它好。或许只有当有人破解了量通之后,才能让普通人知晓量通的不安全性。但是其实证伪主义并不需要伽利略登上比萨斜塔来做自由落体实验,理论上已经能够进行批判的,根本无需继续浪费任何资源去做这种验证,何况,这类验证项目实在申请不到国家科研经费的支持。 在历史上,很少有哪项技术的发展犯下如此离奇的一系列低水平错误,这不仅仅是国内量通存在的问题,从沃尔夫奖的授予上,我们能够窥见整个行业从理论到技术整体的崩塌,包括顶级的学术期刊《科学》与《自然》也无例外,这才是特别令人深思的现象。 学术界有同行评审的制度,但是对于跨学科领域,显然需要引入更多领域的专家参加这个评审环节。在世界上,量通其实是一个很小的圈子,现代学科分类如此精细,不奇怪很多科学领域就是一个个小圈子,如果这些圈子内的科学成果只在内部进行讨论,科学的纠错机制很可能在一个相当长的阶段内失去判断力,这在纯理论界是一个普遍现象。所以如果在这样一个小圈子里,比如量通,他们的文章作者、评审者、评奖者都是在一个圈子里打转的话,他们的知识体系相同,思想视角相同,同化现象严重,难免存在共同的思考问题的暗角,根本无法发现其中存在的错误。量通领域的理论发展过程中,显然密码学专家、通讯专家、网络专家、计算机专家都是缺席的,并且显然,量通专家对于是否需要引入这些专家持不以为然的态度,我们看到很多量通文宣对其它领域专家的意见,或者不理不睬,或者言语讽刺。 其实对于量通来说,相比纯理论界应该是有优势的,因为中国在其中投入了那么大的力量建设了京沪线,发射了墨子卫星,并且参与其中的专家们都宣称取得成功,所以在实践这个环节,好像理论是得到验证的。但是需要注意的是,这些实验只是证明了这些方式能够让 BB84 协议或者诱骗态工作起来,至于这些措施需要达到的保障信息安全的目的,其实是一点实践都没有做。 安全性从逻辑角度上说属于否定性命题,数学上,否定性命题的证明往往比肯定性命题更难证明,同样地,安全性证明一定比功能性证明更难,就像证明一个计算系统能够工作跟证明这个系统是安全的,完全不是一件事情,并且后者的难度要大得多,从来没有人能够提供这个证明。 没有新理论,没有新技术,安全性理论分析无法通过的量通有现实意义吗? 诺贝尔奖的权威性来自于两个方面,第一个是多领域专家的共同意见,绝对不仅仅是某一个专一领域,尤其对于跨领域的技术,更得需要涉及的全领域专家参与其中的评审;第二个是需要有耐心等待成果获得最广泛的认同。 沃尔夫奖即没有引入各领域专家进行评审,也缺少足够的耐心让技术成果获得广泛应用,所以也就不奇怪它的准头有如此大的偏差,也就不奇怪虽然它总是被很多人号称诺贝尔之后第二大科学领域奖项,但是仍然难以获得科学界的一致认同。或许这可以用来解读今年沃尔夫物理奖带给人的迷失。
5139 次阅读|11 个评论
以父之名及墨子纠缠
lhy8848 2018-5-5 12:18
上篇 在不同的文化语境中,以父相称的含义是有很多不同的。 在中国,儒家有个说法,一日为师,终身为父;那位叱咤风云的项羽也尊称范增为“亚父”,仅次于父亲的人,这里所说的“父”,是具有某种孝道的含义。 在圣经的文化圈子,“父”的含义就与东方文化圈子非常不同。人们经常说圣父、圣子、圣灵三位一体,而当追溯圣子主耶稣神圣的本源的时候,圣父就是那个最高的也是最根本的来源。所以在西方的语境中,“父”的含义是指具有本源性质的人。 中国现在所宣称的“父”的概念,其实并非中国文化语境下的“父”,而是西方语境下的“父”,也就是最某项事业的开拓性的人。大家熟知的“中国火箭之父”、“杂交水稻之父”就是如此。 但是,不是谁先做了一件事就可以称为“父”的。水变油的那位伙计,好像也没人称其为“水变油之父”,也许现在还在某个地方玩藏猫猫的游戏;也没听说什么“透明计算之父”、“汉芯之父”的名头,好歹,能够冠上“父”的名头的人,其所开创的事业必须是获得社会上上下下广泛认同的,而不是充满了各种质疑甚至暗黑的那类人。 张磊是科学网上一个专门写软科普的博主,我个人认为这背后应该是一个团队。他的科普文章简单易懂,很多趣味,受到大家的喜爱,不过前几天发表的一篇文章就显得不是那么喜闻乐见了《 XXX:在质疑中前行,让中国坐稳世界量子通信第一位! 》。文中 提到的主人公P先生,曾经被自然杂志封为“量子之父”,显然这个头衔引起了广泛的不认同,一个在量子界即没有理论发现,也没有技术创新的人,戴上“量子之父”的帽子是非常滑稽的,波尔、薛定谔、海森堡们的棺材板要压不住了,于是张磊的文章中,将这顶“父”的帽子名号更正为“中国量子通讯之父”,反正这顶“父”的帽子是一定要戴定的,至于量通做了这么多年,花了这么多钱,是否获得社会上上下下的广泛认同,那不是考虑的问题,本来文章的题目就是“在质疑中前行”,所有的来自各界的质疑,本来就需要像蛛网一样,轻轻抹去,不必理睬,这才是具有政治眼光的大科学家应有的“风范”,于是中国就在科学界技术界普遍存在质疑的声音中,坐上了世界量通的第一把交椅。 对于“父”帽子的喜爱,从科学网博主袁岚峰的一个 访谈 中再次透露出来,其中将P先生与中国火箭之父和两弹元勋并列在一起。显而 易见,是将P先生的功绩与这些公认的广受国人敬仰的大师一样的人物等量齐观了,如此一来,那自然也就不愧于戴在头上的那顶“父”的帽子。姑且不说这样的比较是否造成更多的争议(显然就是如此, 观察者网中就有这样一篇文章对此提出质疑 ),单说这位袁博主,一方面在各种媒体大力宣讲量通的科普文章,另一方面在科学网上连载的3万字科普,却始终是神龙见首不见尾,令人等得好焦急。是不是因为在科学网上这类科普必然受到广泛质疑,所以,干脆也就像蛛网一样不再理睬,反正媒体里面粉丝众多,不差科学界那几个不和谐的声音?是争取广大不太搞得清量子与贞子区别的普通人的喝彩,以及争取获得掌握资金的政府官员的认同更重要,还是回应科学界那些制造阻力,喋喋不休发出质疑之声的人更重要,这样的选择题做起来不会太简单了。 当年明太 祖朱元璋向学士朱升征求平定天下的战略方针,朱升说: “ 高筑墙,广积粮,缓称王。 ” 这样的战略,翻译成通俗的话,就是在没有绝对实力的情况下,踏踏实实夯实基础,待得花开蒂落,该戴上的王冠帽子自然就会戴在头上。量通团队显然没有这样的战略家,刚刚走出村口就开始琢磨庙堂的帽子品级,那戴在头上的必然成色高不到哪里去,如此追名逐利,吃相如此难看,成为众矢之的,诚非做大事者的气度。 下篇 墨子号卫星的科学实验包含三大任务:星地量子密钥分发;星地量子纠缠分发,大尺度量子非定域性检验;地星量子隐性传态; 星地量子秘钥分发之前已经批判过,不再重复,后两者技术关键也就是量子的纠缠验证与应用。到目前为止,量子纠缠验证的理论基础还是贝尔不等式,而贝尔不等式的验证本身是通过系综的方式进行的间接验证,而不是直接的测量。 仔细考察贝尔不等式的证明过程,其实可以看到里面存在的一个假设,那就是纠缠的量子对之间在彼此分离之后是不存在任何相互作用的,而一旦违反了贝尔不等式,那意味着相互纠缠的量子之间存在关联性,量子专家解释为非定域性,这样的解释是建立在量子之间不存在直接或者间接的相互作用的假设基础上,一旦量子之间保持一定的相互作用关系,好像两个小车被一根弹簧拉住,那么贝尔不等式不成立也是可以期待的,并不需要借助非定域的鬼魅解释。 对于量子层级的物理世界究竟是简单的世界还是复杂的世界可能存在很多争议,认为量子是简单的,就会将量子的特性归结到内禀性质,而从复杂系统角度来看,量子的这些内禀特性可能只是更精细内部结构运动变化呈现出来的平衡状态的表征。从我个人的计算机仿真实验中可以得出结论,两个具有简单线性运动规律系统之间如果存在反馈关系,那么无论将两个系统统一起来进行观察,或者单独观察其中一个系统的运行结果,都能发现它们已经处于复杂非线性运动的情景中,并且这样的一个系综,能够表现出来很清晰的吸引子和阶跃现象,当多个这样的系统进行叠加的时候,依然呈现出来相同的规律,这可能意味着如果将复杂系统关在一个黑箱子内部,只从输入和输出两端进行观察,无论里面的系统运行多么复杂,只要其中每个最小的子系统运行的规律没有发生改变,那么获得的结果都是大致稳定的,也许我们的世界如此稳定的原因,就是因为构成这个世界的最底层结构的运行规律是稳定的,非概率性的,这可以看作是最基本的还原主义了,而我们所观察的量子体现出来的概率特性也许只是因为我们所观察到的量子,不过是屏蔽了更细节内部的黑箱而已,所以会呈现某种概率震荡的现象。 一对所谓纠缠的量子只要没有彻底分开,而是存在某种程度的直接或者间接的反馈作用,那么观察到的结果就应该是违反贝尔不等式,如果让我在存在反馈作用与超距作用之间做一个选择,我选择反馈作用。通过所谓违反贝尔不等式来证明非定域性不够有说服力,除非真正测量了两个量子之间真的发生了超光速的作用,否则一切结论下得太早,目前没有任何一个实验直接发现了超光速现象。 验证是否违反贝尔不等式的最大漏洞不在于是否需要将这个实验放到太空中,而是人为的有目的性挑拣实验结果。无论奠基性的阿斯派克特实验还是后续的所有所谓验证性实验,都需要将大量所谓不良数据挑拣出来,只保留那些看上去理想的数据来进行计算。这种人为的干预数据的做法,当然对概率方式进行验证的贝尔不等式产生绝对性的影响,因为如此一来,你都能轻易将这个不等式是否成立按照自己的意志进行改变,只需要给出不同的挑拣数据的理由而已。 如何验证贝尔不等式,从来没有所谓距离的漏洞,我不明白将这个实验搬到太空中究竟是出于什么目的,为了消除什么漏洞?一般情况,做科学实验都是需要将实验条件尽可能控制在一个相对纯净的环境中,避免各种不可控因素的影响,而在太空与地面进行光子之间的发送接收,显然实验的条件是非常恶劣不可控的。纠缠实验采用了 770n 的光子,这是可见光谱中靠近红外的红色光,也是在大气中透光率最高的光谱段,遗憾的是,大自然最并不缺少这个谱段的光子,无论星地还是地星之间,如何将自然光与人工光区分出来恐怕还是个问题,因为没有哪个光子头上插个标识,让你将墨子的光子和自然的光子彼此区分开来。 从墨子卫星的文宣中可以了解到,墨子卫星通过激光打到特殊晶体上形成光子对,每次激光脉冲能打出来 600 万对光子,在地面上只能够接收到 1 , 2 对这样的光子,这么低的接收率,如何判断捕获的不是偶尔路过的自然光子?如何判断没有将不满意的光子给有意无意淘汰掉?作为一个实验物理学家,如何将实验做得严谨禁得起推敲是起码的要求,如果实验的目的只是为了某种宣传的优势,为了获得更多非科学的利益,那么可以说墨子卫星已经获得非常大的成功,但是回归到科学,说墨子卫星证明了非定域性,证明了量子纠缠,这样的要求就显得有些奢侈,如果一定要说墨子卫星证明了点什么,我只好说这恐怕只能证明了墨子纠缠。
28 次阅读|0 个评论
更多...

Archiver|手机版|科学网 ( 京ICP备07017567号-12 )

GMT+8, 2024-5-20 01:09

Powered by ScienceNet.cn

Copyright © 2007- 中国科学报社

返回顶部