
文|徐令予
兵马未动,密码先行。2026年6月23日,美国战争部《后量子密码战略》的骤然面世,标志着美军信息防御体系正迎来史诗级的跨越。这份统一路线图的背后,隐藏着五角大楼的战略清醒和大局意识:他们不再赌量子计算何时破局,而是决意主动出击率先完成总体军事防线的迭代。 即使终极威胁的脚步尚远,美军的密码基础设施更新,也必须以“即刻发生”的姿态全面升级推进。
现代军事系统几乎处处依赖密码。从核武器授权、指挥控制和卫星通信,到战术电台、无人系统、软件更新、身份认证和云计算,安全性都建立在密码算法之上。今天广泛使用的RSA和椭圆曲线密码,一旦遭遇具有实际密码分析能力的量子计算机,就可能失去保护作用。更现实的威胁是“现在截获、以后解密”:对手可以先大量储存今天无法破解的机密通信,等待将来技术成熟后再集中解密。军事和情报信息往往需要保密几十年,因而不能等到量子计算机真正出现才开始换锁。
这份战略要求,到2030年年底,美国战争部所有系统必须具备支持后量子密码 PQC 的能力,否则应当退出使用;到2031年年底,所有系统必须实际采用后量子密码。它提出五条行动主线,包括统一治理、全面清查密码资产、研发和分析后量子算法与协议、整合商业解决方案,以及部署抗量子设备。迁移方式则分为原位升级、更换平台和淘汰旧系统三类。
这不是简单地更换几个软件算法,而是一次覆盖军用芯片、服务器、网络设备、武器平台、卫星、数据链、云服务和供应链的全面改造。文件甚至指出,几乎每一项已经部署的军事资产都会受到某种影响。

一、美国军方究竟禁止和否定了什么
这份战略最引人注意的地方,不只是它选择了什么,而是它明确排除了什么。
文件要求,在降低量子计算风险的过程中,不得引入新的技术安全风险。例如,不应增加可以接触密钥材料的新实体和网络节点,不应延长密钥的使用寿命,也不能只迁移数据保密功能而忽略身份认证。一个方案即使使用了后量子算法,如果仍保留容易受到量子攻击的认证方式,也不能被认为已经完成后量子迁移。
在此基础上,文件开出黑名单,明确列出几类不得作为抗量子安全手段的技术:
量子密钥分发QKD (即俗称的量子通信);
量子组网;
QKD与其他密码密钥建立方法相结合的方案;
非本地量子随机数生成。
文件指出,这些量子通信技术可能具有其他功能,但不得把它们作为实现机密性、数据认证、实体认证、密钥分发或者非本地随机数安全性的手段。
这里需要特别注意,美国否定的并不只是“单独使用 QKD”。它还特意把“QKD 与其他密码密钥建立方法相结合的方案”列入排除范围。也就是说,在美国战争部看来,给 QKD 加上一层后量子密码,并不能自动消除 QKD 带来的系统风险。
文件对某些被宣传为“抗量子”的传统方案同样持否定态度。对于非高保障用途,仅依赖对称密钥建立、协商或分发协议,以及依靠预共享密钥实现抗量子安全的做法,都不被视为完全抗量子。由美国国家安全局密钥管理基础设施向特定高保障设备配置预共享密钥的情形除外。2010年以前已经投入使用的部分对称密钥分发系统可暂时豁免,但仍应研究迁移到基于非对称后量子算法的密钥建立方式。
因此,这项政策的核心原则并不是“只要某种技术能够抵挡量子计算,就可以使用”,而是要求整个通信与认证体系同时满足安全、可验证、可管理、可扩展和可互操作等条件。
二、美国为何对量子通信要赶尽杀绝,连混合方案也被彻底排除
中国量子通信产业近年来越来越强调QKD与PQC的“互补融合”。这种说法的基本逻辑是:QKD的安全性主要建立在量子物理规律上,PQC的安全性则建立在数学难题上;把两者结合起来,可以形成物理安全与数学安全的“双重保险”。即使其中一条技术路线将来出现漏洞,另一条仍可继续发挥作用。
这一思路听起来颇有吸引力。然而,美国战争部采取的是另一套安全工程逻辑:两套技术叠加,并不意味着风险必然减少;如果增加的新系统、新节点和新接口超过其带来的额外安全收益,整体安全性反而可能下降。
QKD并不是一种可以独立完成全部密码功能的技术。它主要用于生成或分发密钥,却不能单独解决数字签名、身份认证、软件和固件签名、公开密钥基础设施、访问控制以及设备授权等问题。要建立一个完整的安全系统,QKD 仍需依靠传统密码或PQC 完成许多关键功能。
这就产生了一个无法回避的问题:既然 PQC 本来就必须部署,并且可以利用现有计算机、互联网和商业设备完成密钥建立、认证与数字签名,那么额外建设一套QKD 网络,究竟能够增加多少可以验证的安全收益?
与此同时,QKD 通常需要专用光学设备、量子链路、可信中继、密钥管理服务器以及与传统网络连接的接口。每增加一个设备和节点,就可能增加新的软硬件漏洞、配置错误和供应链风险。理论上安全的量子信道,并不等于整套实际设备不会受到攻击。历史上的一些 QKD 系统,就曾暴露出探测器、光源、控制软件和旁路攻击等工程问题。而 QKD 网络中的可信中继站存在十分严重的安全隐患,至今没有可行的工程解决方案。
混合方案还存在组合方法的问题。QKD 密钥和 PQC 密钥究竟如何合并?是简单拼接、异或运算,还是共同输入密钥派生函数?当其中一个系统故障时,是立即停止通信,还是自动降级到另一个系统?攻击者能否诱使系统绕过 QKD 或 PQC ?新增的密钥管理节点是否会成为单点故障?
不同组合方式会产生不同的安全结果。“融合”只是一个技术架构的名称,本身并不能证明它比纯 PQC 更安全。美国军方文件因此强调,任何集成方案在部署前,都必须重新分析其威胁模型,而不能因为其中含有两个“抗量子”组件,就把它视为双重安全。
三、中美关于量子通信的路线分歧
2025年5月,中电信量子集团发布了融合QKD和PQC的分布式密码体系,称其能够提供端到端的抗量子密钥分发与密钥全生命周期管理,并已具备商用能力。
中国方面把这一成果描述为从“路线之争”走向“互补融合”,甚至认为它代表了产业共识的形成。从中国已经建设的量子通信网络和产业基础来看,推动QKD与PQC结合确有现实原因。
但把一家大型电信运营商的技术发布称为“产业共识”,显然需要谨慎。美国战争部的这份文件至少说明,中国有关部门所谓“QKD与PQC融合已经成为国际共识”的说法并不成立。
未来真正需要关注的,不是谁提出了“物理安全加数学安全”这样更动听的概念,而是谁能拿出经得起独立验证的数据:与纯 PQC 相比,混合系统究竟增加了多少安全性,付出了多少成本,新增了多少节点和攻击面,在某一组件失效时是否仍能保持安全,以及能否大规模、低成本地部署到现实网络中。
对未来密码体系应以 PQC 为主,还是继续保留 QKD 基础设施,中美作出了绝然不同的选择。
在量子计算可能威胁传统公钥密码的背景下,后量子密码 PQC 正在从算法研究进入标准化和实际布置阶段。2024年8月,美国国家标准与技术研究院正式发布首批三项PQC标准,此后各国政府、企业和网络安全机构陆续启动布置规划。
中国有关部门却提出了另一种方案。2025年5月,中电信量子集团宣布推出“全球首个融合QKD和PQC的分布式密码体系”,并将这种结合称为物理安全与数学安全的“双重保障”。有国内论者进一步解释,美国之所以选择“PQC优先”,是因为其QKD产业基础薄弱,并掌握NIST标准话语权;中国则应当充分利用已经建成的QKD网络和产业优势,走“QKD+PQC融合”路线。
这种解释听上去好像有点道理,却回避了最根本的问题:QKD本身究竟是不是一套合格的广域密码基础设施?
四、可信中继击穿了QKD的安全神话
QKD最著名的宣传语是“窃听必被发现”。它利用量子态不可克隆以及测量会引起扰动的性质,在特定条件下检测量子信道是否受到窃听。
问题在于,量子信号不能像普通通信信号那样任意放大,光纤中的损耗又会迅速限制传输距离。为了把QKD从点对点实验扩展成跨城市、跨省份的网络,工程实施中不得不大量使用“可信中继”。
所谓可信中继,就是把一条长距离线路拆成许多短链路。密钥先在相邻节点间逐段产生,再由中继节点接收、处理和转发。这样一来,中继节点里密钥以明文形式彻底暴露。
这已经改变了整个系统的安全性质。
股票杠杆开户入口如果通信双方之间有十个可信中继节点,那么安全不再只取决于量子物理规律,而取决于这十个机房、十套设备、十组软件、十批运维人员和相应管理制度是否全部可靠。攻击者不必破解量子力学,只要攻破其中一个节点,便可能绕过量子信道的全部理论保护,获取整个密钥。
所谓端到端的“物理安全”,到了可信中继网络中,实际上已经退化成逐跳安全。它甚至违背现代端到端密码体系的基本方向:让沿途路由器、运营商和传输节点都不接触通信密钥。
一个必须把所有中间站都预先宣布为“可信”的系统,却被宣传成不需要相信任何人的“绝对安全”,这本身就是一个极大的讽刺。
五、与PQC相比,QKD并非另一条完整而平等的路线
PQC是运行在普通计算机和现有网络上的密码算法。它可以用于密钥建立、数字签名、身份认证和软件更新,并能够通过软件和协议升级逐步部署。
元股证券:ygzq.hkQKD则只能解决密钥产生和分发中的一部分问题。它不能独立完成身份认证,不能替代数字签名,也不能自动保证终端、软件和密钥存储安全。实际使用时,它仍然需要传统密码或PQC保护认证和控制过程。
因此,QKD和PQC并不是两种功能对等的完整体系。
PQC可以不依赖QKD独立工作;QKD却无法脱离经典密码体系独立运行。尤其是在广域可信中继网络中,真正能够提供端到端认证和抗量子保护的,仍然是PQC。QKD只是叠加在外面的一套昂贵光学设备、专用线路和中继节点。
这使所谓“双保险”成为一句空话!
如果QKD失效后,PQC仍能维持安全,那么PQC是主体,QKD只是附加层。既然PQC已经能够完成任务,就必须进一步证明:QKD增加的安全收益,是否足以抵偿它带来的设备成本、节点风险、运维负担和系统复杂性。
不能因为一个系统叠加了两种技术,就自动宣布它比一种技术更安全。安全部件越多,接口、漏洞和攻击面也可能越多。把两把锁装在门上,有时会更安全;但如果第二把锁需要在沿途十个保安室各留一把钥匙,情况就完全不同了。
六、所谓“融合”,更像QKD借PQC续命
过去相当长时期,中国量子通信领域把QKD描述为未来安全通信的革命性基础设施。大规模网络、量子干线、量子城域网以及各种示范工程相继上马,“世界领先”和“不可窃听”成为最常见的宣传语言。
但多年过去,QKD面临的核心问题并没有消失。
可信中继依然存在;身份认证依然依赖经典密码;建设和维护成本依然高昂;普通互联网、移动终端和大规模商业系统仍然难以普遍采用。中国虽然建成了规模庞大的QKD网络,但公开报道中的应用主要集中在政府、国企、银行、电力和示范项目,始终缺少一个由大量自愿付费用户支撑的成熟市场。

与此同时,PQC完成了标准化,可以直接进入现有软件、硬件、浏览器、服务器和通信协议,逐渐成为全球后量子迁移的现实主线。
正是在这种背景下,原来的“路线竞争”忽然被改写成了“互补融合”。
这很像一件卖不动的旧货,眼看热门商品已经上架,便赶紧捆绑在一起重新包装。PQC本来可以独立销售,QKD却需要借助PQC补足认证、签名和普遍部署能力。最后宣传出来的,却不是PQC挽救了QKD,而是两者“强强联合”,共同创造一种更高级的安全体系。
问题是,强者与弱者捆在一起,不一定叫强强联合;有时只是滞销品搭售热销品。
“融合”当然可以作为一种技术试验,但它不能自动证明QKD仍有存在的必要。真正应当回答的是:与纯PQC体系相比,这套混合系统究竟增加了什么不可替代的安全价值?如果没有公开、独立和可重复的比较测试,所谓“双保险”就是不良商家的营销口号。
七、如果已经商业化,就应把账本和数据拿出来
中国有关机构一方面宣称QKD已经从科研走向产业化和商用,另一方面却很少公开最基本的运行和财务数据。
网络到底有多少真实用户?其中有多少是自愿付费客户?每年收入多少?维护费用多少?财政补贴和国有资本投入多少?线路利用率如何?故障率和停机时间是多少?可信中继节点发生过哪些安全事件?
这些问题几乎得不到完整回答。
密码系统需要保守的秘密是密钥,不是算法原理,不是运行数据,更不是财务账本。按照现代密码学的基本原则,即使敌人知道整个系统如何设计,只要不知道密钥,系统仍然应当安全。
客户总数、营业收入、维护成本和线路利用率不会泄露密钥。即便某些节点位置和具体安全配置涉及国家安全,也完全可以公布经过汇总和脱敏后的经营数据。
如果一张网络真是商业运营的成功基础设施,它没有理由连基本经营情况都讳莫如深。
说到产业成绩时,它是已经具备商用能力的先进网络;要求公开收入和成本时,它又变成不能透露的国家安全工程。这样一项技术便同时逃避了两种检验:既不接受市场检验,也不接受公开的科学检验。
更荒唐的是,项目掌握全部运行数据,却反过来要求外界证明它没有商业价值。把账本锁进抽屉,再要求批评者拿出亏损证据,这不是科学讨论,而是一场捉迷藏。
真正成功的商业技术不怕公开用户、收入、成本和利用率;真正可靠的安全技术也不怕同行质疑。只有当一项技术的价值主要依靠宣传维持时,数据才会变得格外敏感,批评才会被看成威胁。
八、不要把“先发优势”变成拒绝纠错的理由
中国建设了规模较大的QKD网络,也形成了一批科研团队、设备企业、专利和工程项目。这些都是客观存在的投入。
但是,过去投入很多,只能解释为什么一条路线难以放弃,不能证明这条路线仍然正确。
把既有QKD基础设施称为“先发优势”,实际上预先假定这些设施将来仍然有用。如果它们在安全性、经济性和实际需求上都无法证明自身价值,那么规模越大,可能不是优势越大,而是沉没成本越大。
美国选择PQC并不证明美国永远正确;NSA、NIST等机构的意见也完全可以受到批评。但批评必须回答它们提出的技术问题,而不能简单归结为“美国没有QKD产业”“美国想维护标准话语权”。
可信中继是否破坏端到端安全?QKD是否增加拒绝服务风险?它是否依赖经典认证?与纯PQC相比是否具有可验证的增量价值?这些都是技术问题,不能用国家立场来回答。
科学上的自信,不是因为自己投资最多、网络最长,便宣布自己的路线最先进;而是愿意公开数据、允许质疑,并在证据不利时及时修正。
假如一种技术必须与已经成为必需品的另一种技术捆绑,才能继续获得项目、资金和应用,那么真正需要追问的便不是它们如何融合,而是离开PQC以后,QKD究竟还能干什么?
近期量子通信的宣传基调也作了重大调整,反复强调 QKD 不会取代传统密码,而是要与传统密码合作,特别提到要携手 PQC 共同对抗量子计算机威胁。但问题是 PQC 有完整的解决方案,它完全不需要 QKD,有关 PQC 的所有国际会议和政策文件中对 QKD 要么是直接无视,或者干脆予以否定。
总而言之,量子通信想要牵手 PQC 恐怕只能是一厢情愿的单想思罢了。
参考资料
[1]https://dodcio.defense.gov/Portals/0/Documents/Library/DoW-PQC-Strategy.pdf “Department of War Post Quantum Cryptography Strategy"
[2]https://www.chinatelecom.com.cn/ct/news/jtxw/153014.html
徐令予 作于美国南加州 (2026年6月28日)
禁止转载银川证券配资服务中心
环宇证券广东配资网|实盘配资平台提示:本文来自互联网,不代表本网站观点。