这些算法理论方面的安全性分析一直都在进行中，普遍业界公认的结论依然是，目前使用的对称算法没有明显的分布不均匀性证明，通俗点说，就是仍然是安全的。袁文中提到MD5和SHA-1摘要信息算法被破解，这跟对称加密算法是完全不同的两码事儿，只要稍微读一下相关论文就知道，破解摘要算法的成功标志只是仿照出来一个伪文，具有相同的数字签名，但是伪文可不是允许随心所欲撰写的，所以数字签名仍然可以保证有效性，而且摘要信息的原文是什么也根本没有办法还原，算不上严格意义上的破解。

摘要算法本来就不是设计用来加密信息的，所以与加密算法混在一起谈，只能说对这个领域里面，不同类型的算法所做的分工协作完全搞不清楚。顺便提一句，数字签名现在已经简单升级到SHA-256，算法加密位数从128位提高到256位，把全世界的超算算力加到一起也没有办法破解。

现实中的密钥分发过程中，通过采用过程密钥协议，即避免了主密钥在网上加密传送的过程，又能够将引入随机数的额外掺杂信息加入到主密钥中，相当于等效延长了几十位理想密钥位数，很大程度填补了现实加密算法与理想加密算法之间密钥长度的差距。

形象的比喻就是，假如现实加密算法采用128位密钥，等效于理想加密算法的60位密钥，那么通过补充随机数的过程密钥方式，又增加了20位理想密钥的加密强度，使得整个加密体制的加密安全度等效于80位理想密钥。这相当于1个密钥可以用来绝对安全加密2⁸⁰位信息，或者等效2⁸⁰位异或加密密钥。这回你知道异或加密算法与其它对称加密算法之间的关系了吧？你也应该知道为什么密码界不采用异或加密算法的原因了吧？

量子密码专家认为现实对称加密算法的安全性没有得到证明，这个是事实，的确任何一个算法的密钥位数等效理想密钥位数的关系一直没有得到证明，但是因此得出结论说，对称加密算法是不安全的就是严重的误导。

因为对称密钥算法能够安全加密天文数字的信息，因此大批量数据都是采用对称算法进行加密的。单纯采用对称算法进行密钥分发，前提条件是密钥收发双发都预先拥有对称密钥，这只能是在固定用户之间进行，如果两个陌生用户之间采用对称加密算法加密大量信息，目前唯一的途径只能通过类似RSA这类公钥体制将对称密钥分别发送给临时通信的双方，没有其它办法，量子密码天生注定做不到这一点。

采用对称算法进行密钥分发，安全性是绝对有保障的；在NP问题没有得到确实解决之前，公钥系统也是安全的。NP问题是千禧年7大问题之一，是可计算理论皇冠上的一颗明珠，全世界大量的数学家和计算机科学领域的科学家都在努力试图破解这个世界难题，尚看不到解决的光亮。一个对称密钥在其存在的整个生命周期中，所加密的信息包括进行密钥分发的消耗，远远小于密钥本身等效的异或算法密钥长度，如果只考虑采用对称算法进行密钥分发，密码界目前公认的一个看法就是不存在任何安全性问题。在评估对称加密算法安全性方面，显然量子密码专家拿不到足够的发言权。

有关量子密码的工作内容

量子密码并不像大家普遍想象的那样神秘莫测，说到底这就是一个实用技术，里面即不存在任何新的物理原理，也不存在任何新发明的黑科技，简单地说，量子密码所做的工作就是对称密钥分发。

读者会非常困惑，难道量子密码不是一个加密算法吗，难道不是一个用无法破解的量子方式对信息进行加密解密的方法吗？难道不是用来取代传统的加密算法的吗？难道不是用来解救RSA密码被破解后的密码危机的吗？

对上述问题的回答一律：不是。

读者会更加困惑，你刚告诉我们说，对称密钥分发绝对不存在任何问题，然后你马上又告诉我们，量子密码做的就是对称密钥分发的工作，你说话是认真的吗？那样的话量子密码又有什么存在的价值？

请千万不要怀疑我说话的真诚和专业水平，因为量子密码专家们早就在各种相关文章中告诉你这件事情了，只不过你的注意力都被分散到有关量子世界的神奇描述中去了。

当年IBM的本奈特提出BB84协议，也就是现在国内京沪干线上使用的量子密码协议，那个时代，个人计算机和网络刚刚起步，密码学研究大多停留在理论阶段，完全不是我们今天想象的那样成为日常生活中必不可少的技术手段。所以有关密码技术的各种实施方案层出不穷，包括密钥分发工作也还没有完全定型，采用量子的方式完成这项工作也就成了一个可选项。当然量子技术的成熟度远达不到可用的成度，与此同时，计算机加密技术随着网络的发展迅速落地成熟，于是有关对称密钥分发的技术和管理模式早已尘埃落定。

在传统密钥分发一节中我们已经知道，一方面异或加密的绝对安全性已经得到完全证明，另一方面我们也知道异或算法要求密钥与明文长度相同，你必须预先准备好足够长的密钥，否则你的加密过程就会因为密钥枯竭而被“卡”住，要想采用这个算法，除非提供另外一个密钥分发途径。但是异或算法是一个很重要的衡量安全度的重要指标，度量的单位就是等效异或密码位。

宏观来说，量子密码走了一条“轻”算法、“重”密钥的路，保留了异或算法，提供新的量子密钥分发途径，从而让加密过程不会被“卡”住。这种路径，密钥与信息等长，算法的安全性可证，安全性取决于密钥分发环节的安全度。加密信息位数与密钥分发的成本和时间呈线性相关性。

传统密码学走了一条“重”算法、“轻”密钥的路，通过提供非异或的对称算法，将一个密钥位“抻长”获得指数型扩张的天文数字一样的等效异或密钥位，从而解决密钥位枯竭问题。这种路径，密钥与信息长度位的指数呈线性相关性，安全性完全取决于密钥掺杂的充分性和均匀度，不同的算法掺杂程度都不同，这方面缺少足够的理论证明，但是与异或密钥位数的指数呈线性相关性是密码界的共识，密钥分发的时间和成本可以忽略不计。

做一个对比，假如一个128位非异或对称算法等效80位理想密钥，那么当你发送一个长达2⁸⁰位信息的大文件时，你只需要一个128位的密钥就可以绝对安全地送达，而量子密码需要分发2⁸⁰位密钥才能达到同样的效果。你明白其中的区别了吧？

量子密码专家笃定说，虽然我分发密钥的时间和成本很高，可是我的安全性是得到绝对证明了的。事实上，只有异或加密算法的安全性是得到了证明的，而在量子密码的密钥分发环节，要想获得绝对的安全性保障，必须保证分发的密钥的每一个密钥位都不能掺杂任何一点不安全因素，因为每一个被破解的密码位，都将对应一个加密信息位的失密。量子密码能做到这一点吗？或许金文已经告诉了我们这个问题的答案。

相比较来说，传统加密其实走的路要轻巧得多。勤俭持家的人可能都希望将一分钱掰成几份来花，量子密码相当于大富豪，手里拿着一张不可兑换零钱的百万大钞，只能用来买一个火柴头，传统密码则是将一个密码位掰成天文数字的密码零钱花，并且一分钱就可以买到一火车皮的火柴，当然其实比这对比还要强烈得多。量子密码和传统密码在同等安全保障的前提下，消耗的密钥位是呈指数关系增长的。

实际的信息安全体系关注的重点无非两件事：安全与成本，技术复杂度都可以折算到成本中。量子密码直接与异或算法结合，以1:1的关系对标等效异或密码位，异或算法计算量可以忽略不计，需要付出的代价是与加密信息等量的密钥分发量；非异或加密算法以指数的关系对标等效异或密码位，加密解密的算法复杂，但是相比计算机的算力仍然在可忽略的范畴内，并且由于密钥位数等效异或密码位呈指数关系，可以将其看作密钥大爆炸效应。与人们的印象完全不同，传统对称加密算法与量子密码之间的对比，就像氢弹和石块的关系，有过之而无不及，那属于完全不同的两个世代，传统加密算法更好地实现了安全与成本的平衡关系。

暂时先不考虑安全性指标，传统的对称加密体制全面碾压量子密钥分发+异或算法，不存在任何瓶颈，而量子密钥恰恰阻塞在密钥分发的环节中，量子通道的物理属性注定了这个环节绝对不可能跟得上普通光纤信道的传输率，因为它本身也不过是光纤介质，所以量子密钥如果进入实用阶段，就永远会处于枯竭状态，永远不会改善，除非你不使用它。况且为了传输量子密钥，你还必须修建一个专用的量子通道，这些都会成为不可承受的成本负担。

将量子密码纳入到完整的信安体系内，你就能够理性地评估量子密码应该安坐的位置，它只是在从来没人使用的异或算法分支里，在对称密钥分发环节中承担一个微不足道的作用，而且活干得还特别吃力，相比较来说，在另外一个流水线上，传统加密方法正在紧张而轻松地忙碌着。就像你在盖高楼，别人都是直接一个塔吊把整个建筑模块从一楼吊到100层的楼顶，而量子密码就像一个背背篓的民工，里面放着砖头瓦块，沿着阶梯吃力往上爬。

不是因为采用了貌似高大上的量子技术，就让这种背砖头的工作看起来光芒四射，再怎么大声嚷嚷，量子密钥分发工作在辉煌的密码学殿堂里，也只能拿个马扎坐在丝毫不起眼的角落里。哪怕是异或加密也是传统加密算法的一部分，离开了传统加密算法，量子密钥分发就什么都不是，只是一堆无用的随机数而已。当然你也可以拿这些随机数来算命或者买六合彩，然后美其名曰量子算命或者量子彩票，比起量子针灸或者量子袜子，这可是如假包换的量子啊，绝对满满的黑科技。袁文中用了太多的篇幅来渲染量子密码的光辉，可惜他对于密码学的了解得还是太少了，在信安专家眼中，马扎永远不能当太师椅坐，更不可能摆在大厅中央。

有人说就靠量子密钥那种传输效率，哪怕拿几块硬盘，拷贝上密钥，然后骑上单车从北京跑到上海去，都要比量子密钥分发快得多，京沪干线要想完成同样的密钥量往好说也得需要一年半载，我深以为然。