【中國科學報】量子密碼:無條件安全的希望

　　密碼的安全性有兩種，一種為計算安全性，原理上可破譯，但須耗費大量的時間和資源；第二種是無條件安全性，原理上不可破譯，無論竊聽者能力如何強大。

　　嘉賓：郭光燦

　　●中國科學院院士

　　●全國量子光學專業委員會主任

　　●中國科學院量子信息重點實驗室主任

　　「現在很多東西都能克隆——甚至有人想克隆愛因斯坦——但量子態不能克隆，世界上沒有一個『量子機』能對任意一個未知的量子態進行完全相同的複製過程，這就是量子不可克隆定理。用量子態做密碼的安全性就在於此。」日前，中科院院士、全國量子光學專業委員會主任郭光燦談到量子技術的應用時說，「量子密碼是量子學中第一個可用的技術。」

　　「未來的100年人類會進入量子調控新紀元，會有一批新的技術叫量子技術。影響最大的是量子計算機，大概還有10~20年以後才能實現；但是量子密碼，現在已經到了實用階段。」郭光燦說。

　　信息安全，永無休止的博弈

　　古今中外，人們給信息加密的手段層出不窮，「加密」正是為了保護信息安全。

　　據《六韜·龍韜·陰符》載：「主與將有陰符，凡八等：有大勝克敵之符，長一尺；破軍擒將之符，長九寸；降城得邑之符，長八寸；卻敵報遠之符，長七寸；警眾堅守之符，長六寸；請糧益兵之符，長五寸；敗軍亡將之符，長四寸；失利亡士之符，長三寸。」

　　還有古羅馬的凱撒密碼盤，古斯巴達人的「天書」密碼……直到近代，德國在二戰中用上了密碼機。而成功破譯軸心國的通信密碼，對盟軍的最後獲勝也起到關鍵作用。

　　「人類進入資訊時代，信息安全的重要性更加非同一般。」郭光燦指出，密碼系統的誕生，就是為信息安全保駕護航。然而，無論多麼高級別的密碼系統，都不可避免地遭受著被破譯的風險，「威脅無處不在」。

　　「信息安全的重要性已經提升到了國家層面，許多國家都有網絡司令部、信息戰軍團，動用海量軟、硬體資源，甚至國家力量破解現有加密系統——網絡武器、網絡恐怖主義和網絡戰爭已經迫在眉睫，信息保護升級刻不容緩。」郭光燦舉例說，「比如網絡上的一個安全漏洞，2001年需要花6個月找出來，2005年只需1~2天，到了2010年兩個小時就夠了，現在肯定更快。」

　　加密與破譯如同盾和矛，它們之間的博弈永不停息。

　　目前，人們已經可以使用專用晶片、並行計算等進行密碼破譯，而隨著量子計算機的腳步越來越近，更是對現有密碼體制提出了嚴峻挑戰。郭光燦說：「量子計算機可以挑戰現在所有保密方式，也就是說，挑戰的是現代密碼學。」

　　來自量子計算機的挑戰

　　密碼學研究信息從發端到收端的安全傳輸和安全存儲，是研究「知己知彼」的一門科學。現有的密碼體制各不相同，但它們都可以分為對稱密鑰（如 DES密碼）和非對稱密鑰（如RSA密碼）。前者的加密過程和脫密過程相同，而且所用的密鑰也相同；後者，每個用戶都有各自的公開和私人密鑰。

　　「對稱密鑰體制中加密和解密的密鑰一樣，因此密鑰要保密，如果被第三者竊取，就失敗了。」郭光燦介紹說，「現在證明（對稱密鑰）有一種保密方式絕對不可能被破譯，即一次一密。密鑰用一次就丟掉，這種密鑰理論上不可破譯。」

　　一次一密是在流密碼中使用與消息長度等長的隨機密鑰, 每個密鑰使用一次後即銷毀。由於使用與消息等長的隨機密鑰, 產生與原文沒有任何統計關係的隨機輸出,因此一次一密方案不可破解。

　　人類似乎找到了安全的通訊辦法。然而，一次一密也有明顯的缺陷。

　　「一次一密的密鑰就要大量的密鑰，產生大量的隨機數，密鑰的更新是個大問題，比如密碼本上的密鑰用完了怎麼辦？被竊取就更麻煩。」郭光燦說，「儘管一次一密絕對安全，但密鑰傳輸是漏洞。」

　　「有沒有解決辦法？有，就是非對稱密鑰，使用加密的密鑰。」郭光燦說，由於公鑰公開對外發布，想給私鑰持有者發送信息的人都可以取得公鑰，用公鑰加密後，發送給私鑰持有者，即使被攔截或竊取，沒有私鑰的攻擊者也無法獲得加密後的信息，可以保證信息的安全傳輸。

　　這樣安不安全呢？人們能不能通過計算機破解加密信息呢？郭光燦介紹說，這又引申到一個數學問題，基於大數因子分解的難題，保證從公開密鑰推導出私有密鑰需耗費極為巨大的資源。

　　「比如將一個129位數分解成64位素數× 65位素數，1977年的計算機水平要耗時400萬年計算出來；到1994年，8個月就可以破解掉；而如果人們發明了量子計算機，2000個Qubit的量子計算機1秒就能破解。」

　　郭光燦說，這種密碼方案也只是相對安全，即計算安全性——原理上可破譯，但須耗費極大的時間和資源。而一旦量子計算機研製成功，現有的基於大數分解的RSA密鑰將無密可保。

　　「在路上」的量子密碼

　　「密碼的安全性有兩種，一種為計算安全性，原理上可破譯，但須耗費大量的時間和資源；第二種是無條件安全性，原理上不可破譯，無論竊聽者能力如何強大。一次一密可以做到無條件安全，問題是如何分配密鑰。」郭光燦指出，「現在我們可以靠量子密碼來解決這個問題。」

　　量子密碼是利用信息載體（例如光子等粒子）的量子特性，以量子態作為符號描述的密碼。「利用量子的性質，量子的不確定性和概率性，可以規避經典密碼中的短板。」郭光燦介紹說，經典比特只有0、1兩種狀態,例如對應著電晶體的電流導通和截止兩種狀態；由於態疊加原理，量子比特不僅可以處在0、1兩種狀態，還可以處在0、1的疊加態,例如對應著電子自旋狀態、光子的偏振狀態。

　　另外，量子密碼的安全性由量子力學的物理原理保障。根據「測量塌縮理論」（對量子態進行測量將會改變最初的量子態），竊聽者的存在會引入額外誤碼。「比如，無竊聽者存在時，誤碼率為0；受截取重發攻擊時，誤碼率為25%。當誤碼率超過了閾值，就表示信道中間存在竊聽者。此時警報響起，停止密鑰分發，已分發密鑰丟棄不用。」郭光燦說。

　　「量子密鑰建立密碼的程序可以發現竊聽，經典密碼是做不到的，這是量子密碼的安全性。」郭光燦告訴記者，理論上能夠證明，量子密碼不僅能抵抗經典的截取重發攻擊，即使在量子攻擊下也是安全的。

　　實際上，量子密鑰分配的理論安全性已得到了嚴格的數學證明。1999年，首個量子密鑰分配的無條件安全性證明被提出；2001年，理想的BB84協議被證明無條件安全。

　　「現在已經快到實用階段了。」郭光燦介紹說，2004年，其課題組在國際上首次成功分析實際光纖量子密碼系統不穩定的原因，並使用法拉第反射鏡的麥可遜幹涉方案實現了國際上第一個城際量子密碼實驗，量子線路長度125公裡，創下了當時的世界紀錄。

　　當前，量子密碼技術的應用化還面臨若干障礙，主要的有量子密碼系統的實際安全性問題，即由於器件等的非理想性導致安全性漏洞。量子密碼系統必須能經受得住現有所有可能手段的攻擊才可以實際應用。另外，提高密碼比特率、研製實用量子中繼器等也是重要的問題。

　　最近，丹麥Aarhus大學教授Martin Kristensen著手研究使用集成光學的方法製造量子密碼晶片，已取得了初步成果。「預計在5到10年內，就會有能夠投入市場的量子密碼晶片成品。」郭光燦說。

　　（原載於《中國科學報》 2014-03-28 第15版 縱覽)