美国对量子通信不关心甚至怀疑，所以中国的努力方向就一定是错误的吗？

【本文由“败灯必败”推荐，来自《中科院院士潘建伟：希望10至15年构建通用量子计算机》评论区，标题为败灯必败添加】

• 南野原人

• 引用王先生部落格：

  最近几年关心量子通信和计算这个话题的人，可能会注意到一个乍看之下非常令人费解的奇异现象，也就是美国的国家实验室以及军方都对两者兴趣缺缺，即使在中国高调炒作墨子卫星的时候，连平时蠢话连篇的一批国会议员都没有随之起舞。 这里有两个可能的解释：1）美国有一个未公布的量子通信计划; 2）美国有一个让量子通信毫无用处的计划。 然而量子通信不但是纯防御性的，而且需要明显、全面、昂贵的基建来配合，根本没有保密的必要和可能，就连对军事科技保密成性的中方都明白这个道理，急着和中国比高的美国政客怎么可能主动放弃大好的公关机会？ 于是简单逻辑可以达成结论：美国内部评估100%确定量子通信是骗人的勾当，钱和人应该投入其他有真正意义的科研方向（大家可以停下来体会一下：一个可以凭空印5万亿钞票的霸权国家明白不能浪费钱，另一个对科研人员极度抠门的新兴国家却全力往钱坑里扔; 这里是NSA几年前就公开的评估，参见《Quantum Key Distribution （QKD） and Quantum Cryptography （QC）》 ； 换句话说，美国的间谍组织愿意诚实检讨技术优劣、为国家省钱，中国的学术机构却靠欺骗国家社会来谋私利）。 这个正确科研方向并不是什么莫须有、玄之又玄的绝对机密，而是密码学的基本功，稍微有点专业知识的人都可以理解：既然量子通信的前提是量子计算，而量子计算的前提是Shor's Algorithm破解RSA，那么只要淘汰素因子分解加密法，量子通信和量子计算就失去实用价值。

  美国准备淘汰素因子分解加密法，是从Shor's Algorithm一出现就开始的，两年后的1996年就有了第一个版本叫做NTRU，它背后的数学基础用所谓的Lattice Theory格论来取代素因子分解。 在2005年，发明了改进版LWE（Learning with Errors）; 到2009年，完成严谨性论证，从数学上证明对任何量子计算（包括还未发明的新方法，除非彻底解答格论的所有计算问题，参见这篇《Nature》的回顾总结《The race to save the Internet from quantum hackers》 ）有完全抵抗力。 现在不但美国的NIST（National Institute of Standards and Technology）忙着选拔“Post Quantum Cryptography”“后量子加密法”的标准（细节也是很重要的，历史上NSA曾经蒙骗NIST选用一个有后门的密码标准，后来被Edward Snowden公开，参见《 Dual_EC_DRBG》； 不过NSA为国安而欺骗，和中科大用国安来诈骗，显然是天壤之别），以便在未来两三年就普及，中国的CACR（Chinese Association for Cryptologic Research，中国密码学会）更是比美国人早两年，在2020年就已经向国家推荐最优方案。

  然而那个方案提送上去之后，据我所知至今还没有下文。 我不知道是否有人故意耽搁，但后来居然是应该被淘汰的量子计算被列为十四五的头号科研重点，从逻辑上就可以确定，幕后必然有扭曲科技部决策的私心运作; 这正是我在博客（参见前文《中国的学术管理问题来自基本的逻辑谬误》）反复解释过的，放任学阀坐大，甚至进一步赋予政治权力的恶果。

  我个人对潘建伟的认识，始自2015年，有人私下送电邮，建议我看看潘建伟对量子力学的科普。 一看之下吃了一惊：潘对量子力学的理解，还完全停留在1930年代Copenhagen诠释的阶段。 虽然这对实验学家来说，一般不成问题，但他是做贝尔实验出身，而贝尔理论的核心，正是要指出Copenhagen诠释的不合理之处。 换句话说，潘建伟像是只知其然而不知其所以然的三、四流物理学人; 然而我从对高能所的观察，感觉这似乎是中国物理学界的常态，所以当时也不以为意，只是花一点时间，在博客上写了几篇文章（参见前文《谈量子力学》系列，和后续的《如何创造研究热点和一些其他物理话题 》以及《量子去相干详解》 ），希望能抛砖引玉，鼓励中国物理人，尤其是院士们，去学习量子力学的正解。

上面的话真的是王孟源写的吗？

1、“那么只要淘汰素因子分解加密法，量子通信和量子计算就会失去实用价值”。简直是谬论，原作者是不是认为量子计算主要就是用来做素因子分解的？一旦不需要这个功能了，量子计算就没有任何用武之地了？很多文献中把素因子分解和肖尔算法拿出来说，是为了和经典算法做对比，证明在量子计算机上存在素因子分解的多项式时间算法，这构成了对强丘奇-图灵命题的严重挑战，如果在物理上实现了量子计算机，则上述命题就是错误的。所以素因子分解更多是在学术上用以区分量子计算和经典算法的一个标记而已，并不是只会用来做这个。另外原作者在前面已经写了QKD，就说明已经知道了量子计算中有自己的密码体系，为什么不说说量子密钥分发的事呢？仍旧拿素因子分解说事，这就有有意误导读者的嫌疑了。

2、美国对量子通信不关心甚至怀疑，所以中国的努力方向可能是错误的，我们应该反思——这是完全不懂密码通信技术的战略价值，美国人的态度正反映了他们是相当懂的。目前基于经典算法的密码体系大部分都是由美国人发明、制定标准的，文中都说了这些经典算法里留有美国人设置的后门，所以经典密码通信体系下的最大受益人就是美国，它为什么要重新搞一套不可能作弊的、基于物理现象而不是算法保证安全的、颠覆性的量子通信体系来自己堵掉自己的路，让之前轻而易举的对别国领导人的监听、政府机密数据的窃取一夜之间变得完全不可能？华为还没触动到通信体系这个核心，只是在上层搞出自己的东西去卖，都惹得美国全球封杀，这已经暴露了美国对于失去信息控制权的恐惧，而有了量子通信，这种恐惧将会放大百倍。所以美国一方面对量子通信表现消极，另一方面大力推进格密码这种抗量子计算密码体系的使用，殊不知格密码这种基于经典算法的体系也是可以留后门的，这不过是美国想方设法地要延长他们见不得人的优势罢了。这也说明了中国为什么要与美国人相反，不重视对经典密码体系的修修补补而更愿意开拓量子通信、计算这个新领域，花那么大力气搞量子密钥分发实验的原因。2020年中国就已经使用墨子号卫星成功实现了千公里级基于量子纠缠的密钥分发实验，成就有目共睹，所以受到躲在暗处的、焦虑的对手的舆论攻击是完全不奇怪的。

3、说说技术也就算了，最后非要把人带出来评价一番，我还以为原作者对潘有多知根知底，结果只是看了一个潘的科普就断定人家只是一个三、四流物理学人，这恐怕不是一个跟大量数学和实验打过交道的理科博士的思维方式吧？潘对中学生做科普，中学生表示都听懂了，然后有中学生对潘说你也只不过是中学水平，因为你说的我们都懂？要了解他的水平，为什么不找几篇他的正式论文分析一下呢？不要跟我说看不懂。