洞庭東山人2020-06-30 08:24:41

“如无必要,勿增实体”                 作者:徐令予

奥卡姆剃刀原理(Occam's Razor)是由14世纪英格兰的逻辑学家、圣方济各会修士奥卡姆的威廉(William of Occam,约1285年至1349年)提出。该原理可归结为“如无必要,勿增实体”,即“简单有效原理”。他在《箴言书注》2卷15题说“切勿浪费较多东西去做那些用较少的东西同样可以做好的事情。”

                                           图一

这把锋利的奥卡姆剃刀自14世纪横空出世后所向披靡,终结了繁琐复杂的学院争论,它是人类剔除伪装、看清骗局、洞察真相的利器。

现在让我们用奥卡姆剃刀原则来审视有关“量子通信”工程的争议。

为了保证通信安全,一个完整的密码系统除了对信息作加密解密以外,还必须具备用户的身份认证、数字签名和密钥分发等功能,前者由对称密码技术完成,后者由公钥密码技术完成,对称密码和公钥密码共同组成了《传统密码系统》(见图二的下半部分)

                                                                     图二

量子通信不是一种新的通信技术,目前己建和在建的量子通信工程其实都是用量子物理手段分发密钥(QKD)的一套硬件设施,它只是密码系统中的一个小小的子功能。一个使用QKD的完整的密码系统,加密解密还得使用对称密码,身份认证和数字签名只能依靠公钥密码,因此《量子密码系统》其实就是《传统密码系统》再加上整套繁复的QKD的硬件设施(见图二的上半部)。

根据奥卡姆剃刀原理,“如无必要,勿增实体”。量子密码系统化费巨大代价增添的QKD一大堆硬件实体有无必要呢?结论是完全没有必要。道理十分简单,只要量子密码系统离不开传统的对称密码和公钥密码,那么它的总体安全性就不可能超越传统密码系统,这是由系统安全的木桶短板原理所决定的[1]。QKD对提升密码系统总体安全性的可能为零,添加QKD纯属多余、毫无必要。

如无必要,勿增实体”,让我们举起奥卡姆剃刀,把图二上半部中量子密码系统的上面的QKD那些捞什子一刀剃光,剩余的部分照样可以独立运行,而且安全性绝不会降低。量子密码系统离不开传统的对称密码和公钥密码,唯一的区别只是把公钥密码中分发密钥的子功能用QKD硬件作了替代。剔除了QKD后,原有的公钥密码立即可以接管密钥分发功能,什么问题都没有。

奥卡姆剃刀认定最简单的解决方案总是正确的。换句话说,我们应该避免寻找过于复杂的问题解决方案,不要画蛇添足,必须“无情地剔除所有累赘”,应该关注简单和切实可行的方法。老子说“大道至简”,可见中国的哲人也有类似的思维。奥卡姆剃刀是规律之上的规律,“如无必要,勿增实体”是一个普适的原则。

大量的数学和科学研究已经证实了奥卡姆剃刀原则的正确性。奥卡姆剃刀也可以被称为吝啬定律(Law of parsimony),或者称为朴素原则。如果两个工程方案最后的效果相同,那么消耗能量最小的方案就是应该采用的好方案。

量子密码系统增添了许多量子密钥生成终端、可信中继站各种电子装置和机房空调设备,耗能十分可观,又加上QKD成码率极低,所以量子密码系统分发同等长度的一个密钥从北京至上海的能耗至少是传统密码系统的百万倍以上。如果真如某些人所说那样量子通信要走入千家万户,那么由此增加的能耗就绝对不是一个小数目。

中国不是一个能源富国,而且环保的压力也很大,量子通信干线工程立项时不知是否向能源和环保有关部门做过如实的申报。希望环保部门按照“如无必要,勿增能耗” 的原则对量子通信工程项目加强监管。

对公钥密码的误解是量子通信工程陷入困境的主要原因。某些物理学家认为:1)公钥密码面临严重危机;2)只有QKD可以英雄救美,其实这两个观点全是错的。

事实上抗量子计算机攻击的公钥密码(PQC)已可实用[2]。公钥密码在可预期的将来都是安全的,这个结论最近又有了新的证据。对此我会另有专文分析。

公钥密码使用公钥和私钥“一对”密钥,因而可以灵活有效地解决分布式系统中的密钥分发、身份认证和数字签名,而QKD除了为固定的点与点之间分发“一个”共享密钥”以外什么也不能做,所以QKD根本代替不了公钥密码。我劝量子通信的推动者就不要再天天咀咒公钥密码了,如果有一天公钥密码真的崩溃了,量子通信才真正脸面扫地走到尽头了,到那时人们恍然大悟量子通信原来是百无一用的银样蜡枪头。

真正有问题的恰恰是量子通信,QKD的四大技术困境是量子通信工程化、产业化难以逾越的鸿沟[3]。有兴趣的读者可以阅读参考资料中列出的相关文章,本文不再贽述。“如无必要,勿增废话”,否则读者可能举起奥卡姆剃刀对准我的这篇文章了。

但是重要的事情必须重复三遍!

“如无必要,勿增实体”  “如无必要,勿增能耗”

[1]

  • S1=QKD的安全性;s2=对称密码的安全性;s3=公钥密码的安全性
  • 量子密码系统总体安全性= min(s1, s2, s3)
  • 传统密码系统总体安全性= min(s2, s3)
  • min(s1, s2, s3) =< min(s1, s2, s3)

所以量子密码系统总体安全性不可能高于传统密码系统

[2] 后量子时代公钥密码展望

[3]量子通信工程四大技术困境

量子通信技术困境之一:极低的成码率

量子通信技术困境之二:不能与互联网兼容

量子通信技术困境之三:极不安全的可信中继站

量子通信技术困境之四:缺失身份认证机制,无法扺御“中间人攻击”

 

 

 

 

hkzs2020-06-30 08:29:12
见一次赞一次。
xsing2020-06-30 09:32:50
工程学没必要这么啰嗦吧, 首先最关建是要可用/实用. 完全可以先搞一个没有QKD的简版先用起来, 又可为加入QKD系统做基础.
xsing2020-06-30 09:35:14
没看出有什么特别的啊.
hkzs2020-06-30 09:38:19
他深入浅出地从原理到实践做了非常有条理的解说。
xsing2020-06-30 09:38:47
先把原子弹搞爆了,再来搞小型化,效率和保险系统.这事搞理论的学究型的人不行.
xsing2020-06-30 09:40:40
如果把两种方法考虑为两个版本, 不就没问题了么?
正义的门徒2020-06-30 13:11:04
其实搞科研本来就是有浪费的,这很正常。不正常的是宣传