密碼學是內容極其豐富的學科,目前量子信息技術僅僅在「密鑰分配」這個具體分支上可望發揮獨特的作用。保密通信是密碼學的重要內容,其基本原理是,採用密鑰K1 (0,1 的隨機數列)通過加密算法將甲方要發送的信息(明文)變換成密文,在公開信道上發送到合法用戶乙方處,乙方採用密鑰K2從密文中提取所要的明文。
如果甲乙雙方採用相同的密鑰(即K1=K2),稱為對稱密碼或私密密碼。如果K1≠K2,稱為非對稱密碼或公開密碼,其中K1 是公開的密鑰,K2隻為乙方私人擁有。
如果任何竊聽者在不知曉密鑰的情況下,可以從秘文提取出明文,那麼這種密碼體系就是不安全的。事實上,每個國家,無時無刻都在收集其他國家所發出的秘文,許許多多極其聰明的破譯專家日以繼夜地企圖從各種秘文中提取有用的機密信息,這種精彩的情報戰早已成為百姓津津樂道的公開秘密。這時不禁要問,有沒有一種令所有專家都無法破解的密碼?確實有!早在20 世紀40 年代,著名的資訊理論鼻祖香農採用資訊理論證明,如果密鑰長度與明文長度一樣長,而且用過後不再重複使用,則這種密文是絕對無法破譯的,俗稱為「一次一密」。太妙了吧!
那麼為何這種「一次一密」的密碼迄今未被廣泛推廣使用呢?主要原因是,「 一次一密」 要消耗大量「 密鑰」,需要甲乙雙方不斷地更新密碼本, 而「密碼本」的傳送(稱為「密鑰分配」)本質上是不安全的。採用不安全的密鑰來實施「一次一密」加密仍然是不安全的。那麼是否有什麼辦法可以確保密鑰分配是安全的?有,這就是「量子密鑰分配」(縮寫為「QKD」)!
「量子密鑰分配」應用到量子力學的基本特性(如量子不可克隆性,量子不確定性等)來確保任何企圖竊取傳送中的密鑰都會被合法用戶所發現,這是QKD比傳統密鑰分配所具有的獨特優勢,後者原則上難以判斷手頭的密碼本是否已被竊聽者複製過。QKD的另一個優點是無需保存「密碼本」,只是在甲乙雙方需要實施保密通信時,實時地進行量子密鑰分配,然後使用這個被確認是安全的密鑰實現「一次一密」的經典保密通信,這樣可避開保存密碼本的安全隱患。
量子密鑰分配(圖片來源於網絡)
量子密鑰分配的過程大致如下:單個光子通常作為偏振或相位自由度的量子比特,可以把欲傳遞的0,1 隨機數編碼到這個量子疊加態上,比如,事先約定,光子的圓偏振代表1,線偏振代表0。光源發出一個光子,甲方隨機地將每個光子分別製備成圓偏振態或線偏振態,然後發給合法用戶乙方,乙方接收到光子,為確認它的偏振態(即0 或1),便隨機地採用圓偏光或線偏光的檢偏器測量。如果檢偏器的類型恰好與被測的光子偏振態一致,則測出的隨機數與甲所編碼的隨機數必然相同,否則,乙所測得的隨機數就與甲方發射的不同。乙方把甲方發射來的光子逐一測量,記錄下測量的結果。然後乙方經由公開信道告訴甲方他所採用的檢偏器類型。這時甲方便能知道乙方檢測時哪些光子被正確地檢測,哪些未被正確地檢測,可能出錯,於是他告訴乙方僅留下正確檢測的結果作為密鑰,這樣雙方就擁有完全一致的0,1隨機數序列。
如果有竊聽者在此過程中企圖騙取這個密鑰,他有兩種策略:
一是將甲發來的量子比特進行克隆,然後再發給乙方。但量子不可克隆性確保竊聽者無法克隆出正確的量子比特序列,因而也無法獲得最終的密鑰;另一種是竊聽者隨機地選擇檢偏器,測量每個量子比特所編碼的隨機數,然後將測量後的量子比特冒充甲方的量子比特發送給乙方。按照量子力學的假定,測量必然會干擾量子態,因此這個「冒充」的量子比特與原始的量子比特可能不一樣,這將導致甲乙雙方最終形成的隨機數序列出現誤差,他們經由隨機比對,只要發現誤碼率異常得高,便知有竊聽者存在,這樣的密鑰不安全,棄之不用。只有當他們確認無竊聽者存在,其密鑰才是安全的。接下來便可用此安全密鑰進行「一次一密」的經典保密通信。
上述這種保密通信,實質上是「一次一密」的經典通信,只是密鑰是由QKD生成的,通常也稱為量子保密通信。那麼有兩個問題出現:一是, 如果竊聽者不停地竊聽,甲乙雙方就無法獲得安全的密鑰,於是保密通信便無法進行。確實如此,QKD對此無能為力!它唯一的優勢功能就是斷定是否有竊聽者存在,所分配的密鑰是否安全而已。這點在傳統密鑰分配原則上做不到。QKD只能用來確保傳遞信息的安全性,無法抗擊「破壞信息傳送」的行為。在這種場合只有藉助於其他辦法進行保密通信,比如,採用網絡QKD,若某一路中段,尋找到不被竊聽的傳輸路徑可實現安全的密鑰分配。如果QKD網絡都處於被竊聽的狀態,那隻好採用傳統的保密通信辦法了。
二是採用量子比特所生成的安全密鑰比起用傳統方法所得到的安全密鑰(假定存在這種辦法)有優越性嗎?回答是否定的。只要密鑰是安全的,不管是用何種辦法生成的,兩者性能完全一樣。特別是,如果達不到「一次一密」的加密程度,即使QKD 的密鑰是絕對安全的。這種密碼體系同樣可能被聰明的破譯者所攻破。
量子密碼(圖片來源於網絡)
現在我們可以回答標題所問的問題:量子密碼是量子通信嗎?答案是否定的!所謂「通信」簡單地說就是傳遞信息(即「明文」)。量子密碼只是傳送經典隨機數而已,不包含有任何信息內容,因此,與「通信」無關。量子保密通信實際上包括由QKD生成的安全密碼和「一次一密」經典通信兩個部分,本質上仍然是經典通信。現在媒體、學術界所說的「量子通信」就是量子密碼或者量子保密通信,是某些人概念不清的誤導,再由媒體炒作放大而形成的。真正的「量子通信」有其確切的內涵,即將信息編碼在量子比特上,在量子通道上將量子比特從甲方傳給乙方,直接實現信息的傳遞。這種真正的「量子通信」目前仍處於基礎研究階段,離實際應用還相當遙遠。
量子密碼是絕對安全的嗎?(圖片來源於網絡)
下面我們來回答另一個問題,即量子密碼是絕對安全的嗎?或者問,量子保密通信果真能做到不可竊聽、不可破譯的絕對安全嗎?保密通信的安全性同時受到兩個因素制約:密鑰的安全性和「一次一密」的真實性。量子密碼在理想狀態下可以確保密鑰的安全性,但實際上,量子密碼系統絕對達不到理想狀態,例如單粒子探測效率不是百分百的,它會產生傳輸損耗、各種器件不完善等問題,這些非理想漏洞就可能被竊聽者用來竊取密鑰,但卻不會被合法用戶發現。就算人們能設計出與設備完全無關的量子密碼協議,但因隨機數的真偽、合法用戶的識別等問題仍然難以做到密鑰的絕對安全。只能是「相對安全」。另一方面,量子密碼體系必須確保安全密鑰的生成率足夠高,以達到視頻信息「一次一密」加密的需求,否則,即使密鑰是安全的,保密通信仍然是不安全的。
通過衛星實現「天地一體化」的量子保密通信網絡?(圖片來源於網絡)
量子密碼的研究已有30多年曆程,目前達到的實際水平是:在百公裡範圍的城域網,量子密碼體系可以做到密鑰分配在現有技術保證的各種攻擊下是安全的,安全密鑰生成率在25 公裡可確保高清視頻「一次一密」,在100 公裡內能確保音頻、文字、圖片等的「一次一密」。因此可以制定「量子密碼標準」,推廣應用。隨著攻擊技術水平的提高,現有相對安全的量子密碼可能會被攻擊,到那時將會隨之更新「量子密碼標準」。因此,結論是:實際上,量子密碼是相對安全的!
至於超過城域而築建的任何城際量子密碼網絡,目前仍無法確保其安全性。現在通常使用的是「可信中繼」,其安全性依賴於人的因素,所以安全程度不會超越現有的傳統加密。遠程量子密碼只有採用「量子中繼」才能確保其安全性,而「量子中繼」的研製受到可實用的量子存儲器和確定性糾纏光子源的限制,目前仍然處於基礎研究階段。
說得更遠些,能否通過衛星等實現「天地一體化」的量子保密通信網絡呢?理論上可行,但實際上難以做到。而且,是否非這樣做不可也值得探討。暫不說覆蓋地面的網絡有多難,就說「地空之間」的量子密碼,必須確保在各種惡劣條件下全天候實現安全的密鑰分配,而且它的密鑰分配要達到「一次一密」的需求,就目前人類所達到的技術而言,這些條件都是可望不可及的。
上面提到的量子密碼是在私密密碼體系中,至於另種公鑰密碼體系在量子信息技術時代處境如何呢?現有公鑰體系的安全性是基於難求解的數學難題,如大數因子分解等。業已證明,量子計算機的並行運算能力可以攻破RSA,DSA和ECDSA密碼。因此,現有的公鑰體系將面臨巨大的挑戰。但是量子計算機並不能解決電子計算機難以求解的所有數學問題,這也意味著,量子計算機並不能攻破所有密碼體系,特別是10 年前密碼學界就開始著手研究「抗量子計算攻擊的新型密碼」,而且不斷取得進展。一旦這種新型的安全密碼體系的研究得以成功,量子時代的信息安全將得到保證,而且這種抗量子計算密碼顯然比起目前研究的量子密碼無論從造價上還是使用上都具有更大優勢,相信會獲得更廣泛應用。
本文作者:郭光燦 (中國科學技術大學 中國科學院量子信息重點實驗室)
(原標題 量子十問之五:量子密碼就是量子通信嗎?)
編輯:秦秦