数字时代的信息安全几乎完全依赖于计算难度:RSA 加密之所以安全,是因为分解大整数在现有计算资源下需要数十年。但量子计算机的出现改变了这一假设——Shor 算法理论上可以在多项式时间内破解 RSA。量子密码学提供了一种根本不同的思路:把安全性建立在物理定律上,而非计算难度上。
## 量子密钥分发的基本原理
量子密钥分发(Quantum Key Distribution,QKD)最著名的协议是 [BB84 协议](https://en.wikipedia.org/wiki/BB84)(Bennett & Brassard,1984)。其核心思想是:
Alice 用随机选择的量子态(光子的极化方向)来编码密钥比特,通过量子信道发送给 Bob。Bob 随机选择测量基进行测量,然后两人通过经典信道公布各自使用的测量基(但不公布测量结果)。只保留使用相同测量基的那些比特,得到共享密钥。
关键的安全性保证来自量子力学的不可克隆定理和测量扰动原理:**任何窃听行为都会不可避免地改变量子态,从而留下可检测的痕迹**。Alice 和 Bob 只需检查一小部分密钥比特是否与预期一致,就能判断信道是否被窃听。
## 墨子号:全球首颗量子卫星
2016 年,中国发射了全球首颗量子科学实验卫星”墨子号”(Micius)。2017 年,墨子号实现了从卫星到地面两站之间超过 1200 公里的 QKD,密钥生成率约为 1 kbps。2020 年,通过墨子号实现了北京—维也纳之间的洲际加密视频通话。
中国目前已建成约 2000 公里的”京沪量子通信干线”,连接了数十个城市节点,日传密钥量可达 TB 级。详见[量子通信网络](https://sunqi.org/quantum-network-zh/)。
## QKD 的局限性
尽管理论上完美,QKD 在实际部署中面临几个工程挑战:
**距离限制**:光子在光纤中传播时会被吸收,QKD 的实用距离通常不超过 100-200 公里。卫星 QKD 可以跨越更远距离,但需要晴天和视线条件。
**量子中继器(Quantum Repeater)**:为了实现更长距离的 QKD 网络,需要量子中继器,类似于经典光纤网络中的信号放大器。但量子中继器需要量子存储器,技术难度远高于经典中继。
**实现漏洞**:理论协议是安全的,但实际设备(激光器、探测器)存在侧信道攻击的风险。测量设备无关 QKD(MDI-QKD)和双场 QKD(TF-QKD)是解决这一问题的最新方向。
## 后量子密码学(PQC):另一条防御路线
与 QKD 同步发展的是后量子密码学(Post-Quantum Cryptography,PQC)——设计能够抵抗量子计算机攻击的经典加密算法。2024 年,美国 NIST 正式标准化了首批 PQC 算法,包括基于格密码的 CRYSTALS-Kyber(密钥交换)和 CRYSTALS-Dilithium(数字签名)。参见 [NIST PQC 标准](https://csrc.nist.gov/projects/post-quantum-cryptography)。
QKD 提供信息论意义上的安全(不依赖任何计算假设),PQC 提供计算意义上的安全(抵抗已知量子算法)。两者互补,共同构成后量子时代的安全体系。
—
