偷看必留痕:从BB84协议到量子互联网,量子通信为什么会改写“安全”这件事——从一次海边相遇,到量子信息科学的诞生量子密码学的伟大,不在于它把“加密算法”做得更复杂,而在于它第一次把“物理定律”本身变成了安全性的来源。在经典世界里,窃听者可以复制;在量子世界里,窃听者必须留下痕迹。引子:为什么今天还要重讲BB84协议2026 年 3 月,ACM 宣布将2025 年 A.M. 图灵奖授予 Charles H. Bennett 和 Gilles Brassard,理由是他们“奠定了量子信息科学基础,并改变了安全通信与计算的面貌”。这件事的意义,并不仅仅是给两位杰出科学家补上一枚迟来的奖章;更重要的是,它等于由计算机科学共同体正式承认:量子信息科学已经不是物理学边缘的奇思妙想,而是计算、通信与安全三者重新缝合之后诞生的新范式。(计算机协会)这份认可之所以重要,是因为在很长时间里,人们谈论量子力学时想到的往往是“不确定性”“测量坍缩”“纠缠”“非定域性”这些让工程师头疼、让哲学家兴奋的词。但 Bennett 和 Brassard 做了一件极其反直觉、却改变了整个领域方向的事情:他们没有把这些量子效应当作噪声和麻烦去回避,而是反过来问——既然量子系统不能被无痕偷看,那能不能把“不能无痕窃听”本身变成协议设计的核心?这个问题一旦成立,密码学的地基就不再只是数学,而开始部分建立在物理事实上。(IBM Research)今天回头看,BB84的意义远不止“第一篇量子密码论文”。它更像是一个历史分叉点:在它之前,安全主要是计算复杂性问题;在它之后,安全第一次被严肃地理解为一个信息—物理联合问题。而从 BB84 向后延伸,我们会一路走到量子隐形传态、量子中继器、量子网络,最后抵达一个更大的问题:如果信息本身是物理的,那么互联网会不会也必须被重新定义?这篇文章想做的,就是把这条逻辑链条完整掰开:从“一次一密”的困境讲起,讲到Wiesner的共轭编码,讲到BB84协议如何利用非正交量子态建立安全密钥,讲到安全证明为什么成立,讲到量子通信和量子互联网到底在传什么、不能传什么,以及它和后量子密码学到底是什么关系。你会看到,量子通信最迷人的地方,不是“神秘”,而是它把原本看似抽象的量子规律,变成了可以落地的协议设计语言。✨一、经典密码学的老问题:为什么“一次一密”反而逼出了量子密码学量子密码学不是凭空长出来的。它首先是经典密码学长期无解的一处裂缝被放大后的结果。在经典密码学里,最令人神往的方案之一是一次一密(One-Time Pad, OTP)。香农已经证明,只要满足三个条件:密钥完全随机;密钥长度不短于明文;每个密钥只使用一次;那么这个系统就能达到信息论安全。这意味着,对窃听者来说,密文在统计上不泄露关于明文的任何信息。不是“很难破解”,而是“根本无从推出”。这是一种近乎完美的安全。问题恰恰也出在这里:越完美的安全,越难获得它的前提。一次一密的命门并不在加密阶段,而在密钥分发阶段。Alice 和 Bob 如果原本就有一条安全通道来交换与消息等长、完全随机、只用一次的密钥,那他们事实上已经解决了最难的问题;剩下的加密反而变得简单。可如果他们没有这条安全通道,就会立刻掉进一个循环论证:想安全传输密钥,得先有一个更早的密钥;没有更早的密钥,只能通过普通信道发送;普通信道一旦可被窃听,密钥就会泄露;密钥一旦泄露,一次一密再完美也没用。这就是经典密码学的“密钥分发悖论”:理论上最完美的安全,需要现实中最不可得的前提。公钥密码学在 20 世纪 70 年代给出了一条新的路:不再要求双方事先共享秘密,而是依赖某些数学问题在计算上难以求解,例如大整数分解和离散对数。它极大提升了互联网的可扩展性,也造就了现代安全协议栈。但它始终有一个隐含前提:攻击者缺乏足够强的算法和计算能力。只要这个前提成立,系统就安全;一旦这个前提动摇,安全性就会瞬间从“可靠”变成“过时”。也就是说,经典密码学的两条主路其实各有代价:一次一密:安全性最强,但密钥分发几乎无法扩展;公钥密码:扩展性最好,但安全性建立在“困难问题仍然困难”的假设上。量子密码学之所以重要,正是因为它试图把这两条路的优点拼接起来:在不预共享长密钥的前提下,实现接近一次一密那样的信息论安全。这不是对经典密码学的简单补充,而是在问一个更深的问题:有没有可能,安全密钥的建立本身,不再依赖“一个窃听者算不算得出来”,而是依赖“一个窃听者敢不敢碰、碰了会不会留下痕迹”?BB84 的回答是:可以。(IBM Research)二、思想种子:Wiesner 为什么是“量子密码学真正的先声”如果说 Bennett 和 Brassard 把量子密码学变成了一套协议,那么最早埋下种子的,往往被认为是Stephen Wiesner。Wiesner 在 20 世纪 60 年代末、70 年代初就提出了一组远远超前于时代的想法,其中最核心的概念是Conjugate Coding(共轭编码)。这篇工作后来发表于 1983 年的SIGACT News,但在思想上它早已完成了一次关键跃迁:量子测量带来的限制,不只是“你不能做什么”,它还意味着“你可以借此设计经典系统做不到的编码与验证机制”。(MPIWG)Wiesner 的思路非常漂亮。经典比特的读取方式基本是兼容的:你想读多少次都行,读完还能复制,复制后还能继续读。可量子态不是这样。假设同一个量子载体可以在两组互不兼容的基中编码信息,比如偏振光子的直线偏振基和对角偏振基,那么接收者如果不知道发送者用了哪组基,就无法同时无损地读取全部信息。你选对基,能读出有意义的结果;你选错基,不但读错了,还会扰动原态,使另一个“隐藏信息通道”被破坏。这件事的深层含义是:量子态可以把“读取权”本身编码进去。这和经典信息完全不同。在经典信息里,内容与读取方式是解耦的;在量子信息里,内容和读取操作往往是耦合的。你怎么问,决定了你能得到什么,也决定了系统会不会因此改变。Wiesner 最著名的设想之一是“量子钞票”:发行方在纸币中嵌入若干按随机基制备的量子态,只有知道这些制备基的中央机构才能验证真伪。伪造者即便拿到纸币,也无法在不知道基的情况下无损测量并复制这些量子态,因此无法伪造。后来大家意识到,这个方案虽然作为货币系统在工程上并不现实,却在概念上完成了一件伟大的事:它第一次把不可伪造性与不可克隆性/测量扰动直接连接在了一起。(MPIWG)更重要的是,Wiesner 其实已经把一个后来反复出现的结构说清楚了:当信息载体是量子态时,“知道什么”和“能做什么”之间的关系会被物理定律重新书写。这正是后来的量子密码、量子认证、量子货币、量子隐写、甚至某些量子复杂性结果的共同起点。换句话说,Wiesner 的贡献不只是“提出了一个早期点子”,而是第一次把量子力学中的“不兼容测量”转译成了信息访问控制机制。这一步非常根本。三、那次著名的海边相遇:BB84 不是灵光一闪,而是一次跨学科接线关于 BB84 的诞生,后来流传最广的故事,是 Bennett 和 Brassard 在 1979 年波多黎各圣胡安的一次会议期间、在海里游泳时展开了第一次深入交流。IBM 和 ACM 的回顾都提到,这次偶遇后来演化成长期合作:Bennett 向 Brassard 讲述了 Wiesner 的量子钞票构想,而 Brassard 立刻意识到,如果把这个想法从“防伪”转向“通信中的密钥建立”,事情可能会完全不一样。(IBM Research)这段历史之所以迷人,不只是因为它有传奇色彩,而是因为它几乎象征了量子信息科学的出生方式:一个物理学家带着“量子态受测量约束”的直觉,一个计算机科学家带着“协议、对手模型、公开讨论、攻击面”的训练,两者碰到一起,才真正把“物理现象”变成“通信协议”。在 1982 年前后,Bennett、Brassard 与 Wiesner 已经有合作论文;到 1984 年,Bennett 和 Brassard 提出了后来被称为BB84的协议,即Quantum cryptography: Public key distribution and coin tossing。标题中的 “public key distribution” 容易让今天的读者误会,但它真正想表达的是:双方无需预共享秘密,就可以通过量子与经典信道结合,建立一段后续可用作密钥的共享随机串。(IBM)BB84 的原创性不在“用了量子”这么简单,而在于它把几个此前散落的概念统一成了一套闭环:发送方用非正交量子态编码随机比特;接收方在随机基中测量;双方通过公开经典信道只比较“用了哪组基”,不泄露比特值;抽样估计误码率,从而判断是否发生窃听;在允许存在噪声和部分信息泄露的情况下,再通过纠错和隐私放大提炼出最终密钥。你会发现,这里面没有任何一步是“魔法”。它全部是物理约束和协议编排共同作用的结果。正因如此,BB84 不是一篇“把量子术语堆到密码学上”的论文,而是第一套真正让量子效应在安全性上发挥决定性作用的通信机制。它是一个协议设计上的范式转移。(IBM Research)四、量子密码学真正站得住的三根柱子如果把 BB84 的安全直觉压缩成底层原则,其实主要依赖三件事:测量扰动、非正交态不可完美区分、不可克隆。这三件事彼此关联,但各自扮演着不同角色。4.1 测量扰动:量子读取不是旁观,而是介入在经典世界里,“偷看”通常可以被抽象成一次被动读取:文件还在那里,内容没变,系统状态不需要因此改变。量子系统则不然。对未知量子态进行测量,本质上是让测量装置与系统发生耦合;如果测量基不匹配,输出不仅可能是随机的,系统本身也会被投影到新的状态上。BB84 原始论文和后续安全证明都利用了这一点:窃听者如果不知道发送方选用了哪组基,就不能在不引起扰动的前提下获知全部信息。换句话说,量子窃听的代价不是“更费算力”,而是必须支付可观测的痕迹成本。(IBM Research)这是一个很深的分水岭。经典密码学把安全建立在“别人很难算”;量子密码学先天允许你建立在“别人一碰就露馅”。4.2 非正交态不可被完美区分:不知道基,就别想准确读取BB84协议用到的四个态通常写成:∣ 0 ⟩ , ∣ 1 ⟩ |0\rangle, |1\rangle∣0⟩,∣1⟩—— 计算基(Z 基)∣ + ⟩ , ∣ − ⟩ |+\rangle, |-\rangle∣+⟩,∣−⟩—— 对角基(X 基),其中∣