撰文 | 施郁（复旦大学物理学系教授）

责编 | 陈晓雪

●　●　●

量子通信和量子计算是国际上的研究热点，都属于量子信息科学。传统的信息服从的规律与量子力学无关，虽然很多信息处理的微观物理过程用到量子力学。这称作经典信息，其基本单元，即比特，可以表示成0和1这两个2进制数。微观粒子是量子系统，由量子态描述，可直接用来代表信息，这就是量子信息，服从量子力学规律。

量子信息由量子比特组成。量子比特就是以两个量子态为“基本单位”的量子系统。这个“基本单位”的术语是“基矢态”。一个量子比特的任意量子态可以是这两个基矢态的任意线性叠加，就好比平面上的任意一点由两个坐标确定。两个或以上的量子比特（或者一般的量子系统）可能会处于所谓的量子纠缠态。这是指它们的量子态不相互独立。

利用量子纠缠可以进行一些量子通信过程，比如量子隐形传态，也可以用于量子密码术，比如E91方案（英国牛津大学的Artur Ekert于1991年提出的一种基于纠缠态的量子密钥分发方案）。但是量子密码术的另一个方案BB84（美国IBM研究实验室的Charles Bennett和加拿大蒙特利尔大学的Gilles Brassard于1984年发明的一种量子密钥分发方案）不需要量子纠缠。量子密码术是用量子方法生成一串经典比特，作为文件加密所需要的密钥。

量子通信指在不同地方之间传送量子信息，是个比较广泛的概念，可以有各种各样的方案和目的，量子密码术和量子隐形传态是其中两个。2016年8月16日，中国发射了一颗量子科学实验卫星，可用于星地之间的量子通信以及向相距很远的两地分发相互之间具有量子纠缠的光子，等等。

而量子计算是在一个由很多量子比特组成的机器上根据某个算法完成一系列以量子力学规律为基础的操作，最后再进行量子测量，从而解决数学问题。量子计算受到重视很大程度上是因为Shor算法的提出。Shor算法用于将一个正整数有效地分解成两个素数的乘积。这里“有效”是指计算时间是这个正整数的2进制位数的多项式函数（即这个2进制位数的有限个各种乘方，乘以系数再相加）。这在目前人们已知的经典算法中是不可能的。这个不可能正是现实生活中的很多保密方案的基础。所以如果量子计算得以实现，很多经典保密方案就失效了。而量子算法对经典算法的超越往往与量子纠缠有关。

关于量子纠缠和量子通信更详细的介绍，包括量子密码和量子隐形传态，可以参见本人的一篇文章[1]。

►远隔天边的两个粒子也可以具有量子纠缠，但不违反相对论。来源：livescience.com

最近，一位大学数学系老师对量子通信和量子计算提出一系列质疑（下面简称为“质疑文章”），反问：“把量子观念植入到科学计算中真的可行吗？” [2] 其中部分内容也被媒体报道过，一些意见细节写在论文中（下面简称“质疑论文”），投到物理学网络预印本文库（未在学术期刊发表）[3]。本人尊重各种学术探讨，原本无意公开评论。但有媒体来咨询，考虑到社会影响，就事论事，逐条谈一点看法，以供参考。

(1) 关于量子纠缠

质疑文章认为，量子纠缠与相对论有矛盾，“量子纠缠仍没有获得强有力的实验证据，仍然是有争议的话题”。

我的看法：

作为量子力学中的一个概念，量子纠缠体现了一种非定域关联，与“定域实在论”矛盾，但是与相对论不矛盾，因为这是量子态的纠缠，纠缠粒子之间并没有超光速的物理信号传送。而且，短程的量子纠缠在各种量子系统中是自然、广泛地存在的，不纠缠的情况才是特例。关于贝尔定理的研究是要揭示它与“定域实在论”的矛盾，并不是量子纠缠这个概念本身及其应用的前提。

困难在于在实际中产生并维持某些量子通信过程需要的长程纠缠以及量子计算中需要的可控的大量量子比特的纠缠，因为需要克服量子系统对之敏感的环境扰动。因此量子计算的物理实现还有很长的路要走，但是千里之行始于足下，需要从简单的情况逐步前进。

(2) 关于Shor算法中的指数模运算

质疑文章和论文的一个核心论据是质疑量子计算中最重要的算法、前面已介绍的用于因子分解的Shor算法。质疑论文批评Shor算法中的所谓指数模运算，认为Shor以及Nielsen和Chuang的论证都是错的。质疑论文提出执行指数模操作的幺正变换需要O(q²)个量子门操作，其中q是相关的叠加态中的项数，认为这是一个神秘的过程。

我的看法：

先向一般读者解释一下，幺正变换描述量子态演化，可以由量子力学的薛定谔方程实现，是量子力学中的基本过程，而符号O(X)代表上限是X乘以一个常数。

正如Shor的原文[4]，或者量子计算的权威著作、 Nielsen和 Chuang的《量子计算与量子信息（Quantum Computation and Quantum Information）》一书解释的[5]，指数模操作只需要O(L³)个量子门操作，其中L=log₂N，N是需要因子化的数，也就是说L是N的2进制位数。这些解释通过对某个叠加态中的任意一项进行论证。其实，给出从叠加态中的任意一项出发所需要的量子门操作，即幺正变换，也就给出了从叠加态出发所需要的量子门操作。这是量子力学基本的线性叠加原理所致。质疑论文中提到的麻省理工学院Scott Aaronson教授的答复基本上也是这个意思。还可以从另一个角度来说，就是，这些量子门操作（幺正变换）构造好以后，是不依赖于被作用的态的。所以确实只需要O(L³)个量子门操作。质疑文章和论文的作者没有认识到这一点，反而错误地推出一个O(q²)的结果。  

►Shor算法，又称量子质因数分解算法。来源：Wiki

(3) 关于Shor算法中的联合概率以及量子计算中的量子纠缠

质疑文章及论文认为，Shor算法的证明中错误地将两个寄存器各取某值的条件概率误当作联合概率，而证明中引用的数学结论使用的是联合概率。作了“更正”后，质疑论文得到一些复杂奇怪的推论。综合上一个质疑，质疑文章认为Shor算法是错误的,提出：“假若量子纠缠本身有待争议，Shor算法又是错误的，那么工业界费尽心机制造出来的东东又如何来证明自己呢？”

我的看法：

Shor算法中的概率用两个寄存器各取某值所对应的基矢态与原量子态的内积的模平方得到。根据量子力学的基本原理，这就是联合概率，而不是条件概率。所以Shor的证明是正确的。质疑论文得到的复杂奇怪推论正是自己作了错误“更正”而导致的。

正如上面第(1)点中已经讨论过，基于量子力学原理的量子纠缠本身没有争议。实现量子计算中需要的大量的纠缠的量子比特的控制，是研究的内容和目标，而不是质疑Shor算法和量子计算理论的理由。量子算法研究可以先行展开。

(4) 关于Shor算法的实验

质疑文章及论文认为关于Shor算法的实验都是不真实的，因为因子分解15的实验中的量子比特数目少于算法中的描述，即第一个寄存器至少需要8个量子比特。

我的看法：

整数因子化的最简单的非平庸例子是15。为此目的，一般情形下，Shor算法的两个寄存器确实分别需要由8个和4个量子比特组成。实验中用到的量子比特比这少。这是因为这些实验只是演示性质，而不是作为实际使用的量子计算机。原来的算法中，指数模运算中的指数的底数需要随机选择。但是在这些演示实验中，这个底数是事先确定的，这就导致量子比特数可以减少。这些论文是承认这一点的。断言这些演示实验“不真实”是不妥的。可以期待将来会成功实现可以随机选择底数的因子化量子计算。 

质疑文章还批评了D-wave公司所宣称的量子计算机。本人对它不了解，不作评论。无论具体事例的实际情况如何，并不构成反对量子计算这个领域的理由。

(5) 关于BB84量子密钥方案

质疑文章认为， BB84方案应该称作量子密钥协商，量子密钥分发的叫法是错误的，所以“很多从事通讯研究的物理人士还缺乏必要的密码与通讯知识”，包括BB84的作者Bennett和Brassard。质疑文章还认为，密码学总是假设敌手一直存在，如果敌手消失，那么任何密码技术都是多余的，而量子通讯从物理上剥夺了敌手窃取信号的能力，因为敌手的窃听行为直接破坏了量子信号。 质疑文章批评说，量子通讯时一旦发现了敌手就可以暂时中断通讯的想法是错误的，量子通讯的信号安全是以牺牲通讯的稳定性为代价的，有了敌手就干不成事的量子通讯系统最终也只能沦为一个摆设，因此“量子通讯本末倒置”。 

我的看法：

BB84量子密钥方案称作什么名字无关紧要（分发，分配，协商，分享，或者其它名词），最后目的总归是双方共享一组只有他们知道的密钥，事实上还是私钥。量子信息领域不乏密码、通信及计算机科学的专家，比如， Shor、Aaronson以及Brassard都是计算机科学家出身。 

密码术的主要问题不是加密文件的传送，而是密钥分发。因为敌手可以分析多个使用同一密钥的加密文件而破译密码，所以为了安全，最好使用一次性的密钥。传统来说，这是很困难的，所以一次性密钥只用于特别重要的领域，一般领域采用公钥系统，比如RSA系统（美国科学家Ron Rivest、Adi Shamir及Leonard Adleman在1977年开发的一种加密与鉴权系统）。但是它们是以不存在有效分解整数的算法这个假设为基础的，所以如果有人发现了这样的经典算法，或者量子计算机实现，这些公钥系统就瓦解了。

而BB84量子密钥方案提供了一个新的产生密钥的方法。它是一个通过公开信道产生私钥的过程。为了这个密钥分发的安全，当发现有窃听者时暂停一下，谈不上为了安全而“牺牲通讯的稳定性”，因为传送的是密钥，而不是加密文件。让窃听者无法隐遁与让敌手消失不是一回事，敌手总是存在的，让他们无法隐遁是一大优点。经典的一次性密钥的分发也有“有了敌手干不成事”乃至更严重的问题。

相比于经典公钥系统依赖于数学上没有证明的假设以及量子计算机还没有实现的情况，量子密码术依赖于物理定律，是彻底的安全保障。为何还要墨守成规，要让敌手在密钥产生过程中能窃听成功呢？而且，这样产生的私钥通过公开信道产生，在这一点上比携带或者经典传送一次性密钥不但更安全，而且更方便。

量子密钥分发虽然利用了量子态，但是最后产生的密钥仍然是一串经典的比特串，然后可以用于传统的经典加密和经典通信。量子通信并不排斥经典通信，反而是与之结合。在量子隐形传态中，经典通信也是必不可少的一环。 

而且量子通信是个广泛的概念，不仅有密码术，还有其它各种各样的过程。

总之，量子通信和量子计算的物理实现与工程实践会遇到很多需要解决的问题，但是本文所评论的这些对于基本原理的质疑并不成立。 

 作者简介 

施郁，复旦大学物理学系教授，目前主要研究量子纠缠及其在凝聚态物理和粒子物理中的运用。

参考文献：

[1] 施郁，揭秘量子密码、量子纠缠与量子隐形传态，自然杂志，38 (4)，241 (2016)；

http://blog.sciencenet.cn/home.php?mod=space&uid=4395&do=blog&id=991358

[2] http://blog.sciencenet.cn/home.php?mod=space&uid=3224443

[3] http://arxiv.org/abs/1408.6252, http://arxiv.org/abs/1409.7352

[4] P. Shor, SIAM J. Sci. Statist. Comput. 26, 1484 (1997).  

[5] M. A. Nielsen and I. Chuang, Quantum Computation and Quantum Information (Cambridge University, Cambridge, 2000).