Site Overlay

量子密钥分发的应用与发展,的量子通信到底是什么

图片 1

一百一十五年前,马可尼发出第一个越洋无线电信号的那一天,什么都没有改变。没有人能预计到接下来一百年间通信会把这个世界变成什么样子——但每一个在场的人都知道,世界一定会因此而改变。
今天,我们站在了和他们一样的位置上:2016年8月16日,世界上第一颗量子通信卫星
“墨子号”从酒泉升空了。

世界互联网大会正在乌镇办得如火如荼,《北京日报》的一篇报道称北京有望明年用上量子通信网,称量子通信技术“可以保证无条件安全的信息安全和沟通”,换句话说,“无条件安全”指的就是“绝对安全”。

密码学是内容极其丰富的学科,目前量子信息技术仅仅在“密钥分配”这个具体分支上可望发挥独特的作用。保密通信是密码学的重要内容,其基本原理是,采用密钥K1(0,1的随机数列)通过加密算法将甲方要发送的信息(明文)变换成密文,在公开信道上发送到合法用户乙方处,乙方采用密钥K2从密文中提取所要的明文。

墨子可能是第一个发现光沿直线传播的中国人,而“墨子号”则可能改变我们世界中信息传播的方式。它将第一次在太空中实现最先进也最安全的信息传送手段——量子通信;这不但是未来覆盖全球的量子通信网络的先驱,甚至还有助于进一步验证量子理论自身的完备性。而这一切,都是在数学上最可怕问题的背景之下升空的。

图片 2

如果甲乙双方采用相同的密钥(即K1=K2),称为对称密码或私密密码。如果K1≠K2,称为非对称密码或公开密码,其中K1是公开的密钥,K2只为乙方私人拥有。

一道最可怕的数学题

要问世界上最可怕的数学题是什么,那答案只能有一个:P 是否等于
NP。更确切地说,是万一P=NP了,我们该怎么办。

这四个看似人畜无害的字符是所有密码学家最大的噩梦。它的意思可以简单表述为:“对于某些问题,求出它的解将和验证一个解对不对同样容易”。对很多问题,这是好事。但对密码学,它却动摇了现实中使用的几乎所有密码体系的根基——它们的算法的基本原则就是“验证密码容易,找到密码难”。大部分数学家“觉得”P≠NP,但还没人能证明——而万一P=NP,那么这些密码体系就通通完蛋了,现有的一切隐私和安全都土崩瓦解,我们将进入一个一切都透明、又一切都不能相信的新时代——

——除非,在此之前我们抓紧时间将仅有的几种能抵御P=NP的加密系统完善并投入应用。这其中最有希望的路线之一,就是量子密钥分配的一次一密体系。

而2016年8月16日,我们在这条路上迈出了至关重要的一步。要理解这一步,必须先知道我们现在的加密体系面临着什么问题。

《北京日报》2015年12月19日的报道

如果任何窃听者在不知晓密钥的情况下,可以从秘文提取出明文,那么这种密码体系就是不安全的。事实上,每个国家,无时无刻都在收集其他国家所发出的秘文,许许多多极其聪明的破译专家日以继夜地企图从各种秘文中提取有用的机密信息,这种精彩的情报战早已成为百姓津津乐道的公开秘密。这时不禁要问,有没有一种令所有专家都无法破解的密码?确实有!早在20世纪40年代,著名的信息论鼻祖香农采用信息论证明,如果密钥长度与明文长度一样长,而且用过后不再重复使用,则这种密文是绝对无法破译的,俗称为“一次一密”。太妙了吧!

我有一条信息,只想让你看见

从古代的飞鸽传书和烽火传讯,到现代的无线电话和互联网,技术虽然已经面目全非,但就本质而言,通信从来就没有发生过变化。所有的通信,都可以还原成再简单不过的一个场景:场景中有两个人,分别是发送者A和接收者B,而所谓的通信,就是A将信息传递给B的过程。

只可惜,在通信的世界里,从来不只有A和B,还存在无数个C——他们本来不该是通信的参与者,却可能对A传递给B的信息特别感兴趣,想方设法试图截获通信内容。如果我有一条只想让你看到的信息,那么如何确保信息不被第三方偷听就是个非常重要的问题。然而,对于经典通信方式来说,完全杜绝窃听是做不到的。

那么,至少让窃听者费一番功夫?答案当然就是加密了:给原始消息“打码”之后,让接收方“解码”。加密技术多种多样,但大部分都不完全可靠。它们只是“很难破解”,而不是“不可破解”。对于日常生活中几乎所有应用,“很难”就已经足够了——如果我的密码需要一百万年才能破出来,那跟无法破解也没啥区别;可是如果P=NP,那么这些难题就都一下子变成了简单题。就算没有这个数学上的困难,未来计算机技术的发展——比如量子计算机——也能让一大片目前常用的加密算法从很难变得不那么难。

好在有些加密法真的就是理论上不可能破解的。这其中最著名的,就是“一次性密码本”(one-time
pad);如果使用正确的话,理论上被证明是牢不可破的。举例来说,如果A要给B传递一串数字,20160816。在通信前,他们先随机生成一个密码本,长度至少与信息本身等长——比如,随机生成的密码本为43857241,A和B人手一份。发送信息前,A使用密码本里的密码给每一位数字加密。方法可以很简单,每位数字都与密码本上的对应密码相加,相加的结果仅保留个位即可。于是,A把原始信息加密成了63917057,并通过经典通信方式发送出去。接收到加过密的数字后,B再使用同一个密码本给每一位数字解密——每一位数字都与密码本上的对应密码相减,相减的结果同样只保留个位数字,不考虑正负号。这样,B就还原出了原来的信息:20160816,通信完成。对于竖起耳朵偷听的C来说,即使他在通信中截获了63917057这串加密数字,由于手头没有A和B拿来加密和解密的密码本,他便无法破解出A和B实际传递的信息。简直天衣无缝!

真的吗?别忘了,一次性密码本也是信息,它仍需要被分送到A和B的手中,让他们人手一本,而且传递密码本的通信过程必须严格保密,绝对不能被其他任何人窃听——

于是,问题回到了原点。一方面,有了理论上“牢不可破”的加密方法,才能够实现完全保密的加密通信;而另一方面,必须要有能够完全保密的通信方式,加密方法才能够在理论上“牢不可破”。这样一个死循环,在经典通信方式中无解。

幸好,解开这个死循环,实现真正安全的加密通信的方法,就藏在量子世界的神奇特性之中。

不过可惜的是,这篇报道写得非常混乱,标题说的是量子通信,里面一大半却在说量子计算机,而且很多地方说得驴唇不对马嘴。量子通信和量子计算机尽管都是建立在量子物理的基础上,但它们其实是完全不同的两种技术,就像同一片土里长出的土豆和玉米一样,硬要放在一起说简直是添乱。那么量子通信到底是怎么一回事?所谓“绝对安全”到底是真的还是吹的呢?

那么为何这种“一次一密”的密码迄今未被广泛推广使用呢?主要原因是,“一次一密”要消耗大量“密钥”,需要甲乙双方不断地更新密码本,而“密码本”的传送(称为“密钥分配”)本质上是不安全的。采用不安全的密钥来实施“一次一密”加密仍然是不安全的。那么是否有什么办法可以确保密钥分配是安全的?有,这就是“量子密钥分配”(缩写为“QKD”)!

量子密钥分配:让窃听者无所遁形

在我们熟悉的经典世界里,事物的某一性质,比如说指针的方向,不论你采用什么方法去测量,得到的结果都应该是一致的。这个世界里,信息可以用二进制的“经典比特”来表示,任意时刻一个比特只有两种特定的状态,要么是0,要么是1。但在量子世界里,事情就完全不是这样了。

举个例子:光子有一个属性叫做“偏振”,可以想象成它振动的方向。偏振可以分解为两个相互垂直的方向,可以用来存储信息;但是具体哪两个,则取决于人的测量选择。如果你选择“平”的方向,用“+”来表示,那么就可以人为规定,偏振方向为“↑”代表0,偏振方向为“→”则代表1。你也可以选择45度的测量方向,用“×”来表示,同样可以人为规定,偏振方向“↗”代表0,偏振方向“↘”代表1。

而接下来就是量子世界的神奇属性了:对于光子偏振方向这个量子态,你所选择的测量方向,居然会影响到你的测量结果!对于偏振方向为“↑”或者“→”的光子,如果选择“+”方向来测量,你得到的结果仍然是光子原先的偏振方向。然而,如果你选择“×”方向去测量,不论光子原来偏振方向如何,你都会随机得到“↗”或者“↘”的光子,几率各为50%。同样道理,对于偏振方向本来就是“↗”或者“↘”的光子,如果你选择“+”方向来测量它,你会随机测到“↑”或者“→”的光子,几率也各为50%。只有选择“×”方向进行测量,才能准确测定出这个光子本来的偏振方向。

接受了量子世界的这一古怪特性,接下来的事情就好办多了。发送者A先随机生成一组二进制比特,我们称之为“发送者的密钥比特”。同时,A还要对每个“发送者的密钥比特”都随机选取一个测量模式(“+”或者“×”),在这个测量模式下,把每个比特对应的偏振状态的光子发送给接受者B。比如,传输一个比特0,选择“+”测量模式,A就需要发出一个偏振方向为“↑”的光子给B。

对于A发过来的每一个光子,接收者B也得随机选择一个测量模式来测量。就以刚才A发过来的这个光子为例:如果B也恰好随机选择了“+”来测量,就会测得偏振方向为“↑”,于是记录这个比特为0;如果B随机选择了“×”来测量,那就各有50%的几率测得“↗”或者“↘”的光子,记录到这个比特就有一半可能为0,一半可能为1。

A用这种方式把手里的密钥比特全部发送出去,B则把A发来的光子全部接收并进行测量,如此这般,B便得到了一组同样长度的二进制比特。不过,由于测量模式的选择引入的随机性,A和B手里的这两组密钥现在还不完全一样。他们必须再通过(并不安全的)经典通信方式建立联系,相互通报各自使用过的测量模式。测量方式碰巧相同的比特,就保留下来;测量方式不同的比特,由于结果是随机的,直接舍弃即可。A和B碰巧采用相同测量方式而被保留下来的二进制比特,才是他们最终生成的一次性密码本。

图片 3BB84协议

这个被改变的光子被传给接受者B后,即便他选择了跟发送者A相同的测量模式“+”,但由于窃听者C已经改变了截获光子的偏振状态,B的测量结果不可能百分之百为“↑”,而会有一半的几率测出“→”。这样一来,A和B手中最后生成的密码本就不会完全一样,而是会有大约25%的不同。在生成密码本的过程中,假设窃听者C截获了A发送给B的光子,会发生什么?想知道光子携带了什么信息,C也必须随机选取“+”或者“×”来测量它。这个时候,决定C能否成功窃取这一位密钥的因素就是——他的运气。如果C能选中跟A一样的测量模式,那就不仅正确读出了其中携带的比特,也没有改变光子的偏振状态。但是,一旦C选择了跟A不同的测量模式,比如,A用测量模式“+”,发出了一个偏振方向为“↑”的光子,你却选了“×”来测量它,那么你就完全改变了这个光子的偏振状态,把它变成了一个“↗”或者“↘”的光子,几率各为50%。

因此,只要A和B在密码本生成之后,通过经典通信方式,拿出密码本的一小部分相互对照,是否存在窃听者C就一目了然了。如果发现相互之间有25%的密码不同,那就可以断定密码通信被人窃听了。反过来,如果发现密码100%相符,那量子物理的特性就可以确定密码本是安全的,整个过程没有被人截获。

1984年,查理斯.本内特(Charles Bennett)和吉勒.布拉萨(Gilles
Brassard)想出了上述的“量子密钥分配方案”,这种方法被称为BB84协议。由于BB84协议可以有效发现窃听,从而关闭通信,或者重新分配密钥,直到没人窃听为止,所以分配到A和B手中的一次性密码本,就成为了一种“牢不可破”的加密手段,能够给经典通信加密,进而实现完全保密的加密通信。在这个协议基础上,世界各国都开展了传输用量子密钥加密过的二进制信息的网络建设,即量子保密通信网。中国在这方面走在了世界最前面。

中国科学技术大学的潘建伟团队,在合肥市实现了国际上首个所有节点都互通的量子保密通信网络,后来又利用该成果为60周年国庆阅兵关键节点间构建了“量子通信热线”。

然而,发展量子通信技术的终极目标,是构建广域乃至全球范围内绝对安全的量子通信网络体系。而想建设覆盖全球的量子通信网络,必需依赖多颗量子通信卫星。“墨子号”量子科学实验卫星,就是未来一系列量子通信卫星的探路者。

“墨子号”的重要科学目标之一,就是在卫星和地面之间进行高速量子密钥分发,并在此基础上进行广域量子密钥网络实验,以期在空间量子通信实用化方面取得重大突破。它将在卫星与地面之间展开量子密钥分发实验,甚至将在北京和维也纳之间尝试超远距离的洲际量子密钥分发。它还将尝试与地面光纤量子通信网络链接,为未来覆盖全球的天地一体化量子通信网络建立技术基础。

图片 4

有没有绝对安全的密码?

听到“绝对”两个字,大部分人都会觉得不靠谱,世界上哪有什么绝对的事呢?答案恐怕出乎意料,绝对安全(即无条件安全)的密码是存在的,而且是早在100多年前就已经存在的,这种密码叫做“一次性密码本”(one-time
pad,简称OTP)。

OTP为什么这么神奇?其实OTP的原理非常简单,首先我们将要加密的明文编码成二进制序列,然后我们生成一串和明文长度一样的完全随机二进制序列作为密钥,将明文和密钥做异或(XOR)运算就得到了密文,而接收者用密文和密钥再做一次异或运算就能够还原出明文。

就这么简单?对,就这么简单。开玩笑,这种东西会是绝对安全的?没错,绝对。因为密钥是完全随机的,而且和明文长度一样,这就意味着密钥空间和明文空间的大小是相等的。换句话说,如果攻击者用穷举法穷举了所有可能的密钥,就相当于穷举了所有可能的明文,而攻击者无法从所有的可能性中判断出哪一个才是发送者所要发送的明文,因此穷举对于OTP来说是毫无意义的。

上面的解释有点绕?我们举个例子。假设发送者要加密的明文是12345,攻击者在不知道密钥的情况下进行穷举,那么他会得到5个字符的所有排列组合,比如543211234588888ABCDE*&#^!……既然所有的可能性都会出现,那么如何判断哪一个才是真正的明文?不可能。

事实上,OTP的绝对安全性已经由信息论之父克劳德·香农于1941年在数学上进行了完美而严格的证明,不存在任何可能性能够在不知道密钥的情况下破解OTP。那么问题来了,为什么在100年之后的今天,我们还没有用上OTP呢?这是因为OTP在现有的技术条件下,几乎完全没有实用价值。

OTP的绝对安全性需要几个条件:1)
密钥必须是完全随机的(不可预测、不可复现);2) 密钥必须与明文等长;3)
密钥只能使用一次
。上面这三个条件实际上在现实中几乎做不到,因为密钥和明文等长,而且只能使用一次,如果我有办法把这么长的密钥安全地发送给对方,那么我为什么不干脆直接把明文发送给对方呢?OTP不是脱裤子放屁吗?正是因为这样,一直以来OTP仅在一些不计成本的非常高级别的通信中才会用到,比如说事先编写一部特别特别长的密码本,派特工直接交到对方手里,然后双方在以后的通信中就可以用OTP了,当然了,由于OTP的密钥是一次性的,因此密码本全部用完之后就得再送一本新的……

“量子密钥分配”应用到量子力学的基本特性(如量子不可克隆性,量子不确定性等)来确保任何企图窃取传送中的密钥都会被合法用户所发现,这是QKD比传统密钥分配所具有的独特优势,后者原则上难以判断手头的密码本是否已被窃听者复制过。QKD的另一个优点是无需保存“密码本”,只是在甲乙双方需要实施保密通信时,实时地进行量子密钥分配,然后使用这个被确认是安全的密钥实现“一次一密”的经典保密通信,这样可避开保存密码本的安全隐患。

量子隐形传态:真正意义上的量子通信

尽管“量子密钥分配”能为经典比特的传输建立牢不可破的保密通信,但严格来说,它传递的并不是真正的量子比特。在量子通信中还有另一个被称为“量子隐形传态”的方向,能利用量子纠缠来直接传输量子比特——那才是真正意义上的量子通信方式。

量子力学中最神秘的就是叠加态,而“量子纠缠”正是多粒子的一种叠加态。以双粒子为例,一个粒子A可以处于某个物理量的叠加态,能够用一个量子比特来表示,同时另一个粒子B也可以处于叠加态。当两个粒子发生纠缠,就会形成一个双粒子的叠加态,也就是纠缠态。例如,有一种纠缠态就是,无论两个粒子相隔多远,只要没有外界干扰,当A粒子处于0态时,B粒子一定处于1态;反之,当A粒子处于1态时,B粒子一定处于0态。

如果用薛定谔的猫做比喻,即A和B两只猫如果形成上面的纠缠态:

图片 5

那么无论两只猫相距多远,即便在宇宙的两端,当A猫是“死”的时候,B猫必然是“活”;当A猫是“活”的时候,B猫一定是“死”。(当然真实的情况是,猫这种宏观物体不可能把量子纠缠维持这么长时间,几亿亿亿亿分之一秒内就会解除纠缠。但基本粒子是可以的,比如光子。)

这种跨越空间瞬间影响双方的量子纠缠,曾经被爱因斯坦称为“鬼魅的超距作用”(spooky
action at a
distance),并以此来质疑量子力学的完备性,因为这个超距作用违反了他提出的“定域性”原理,即任何空间上相互影响的速度都不能超过光速。这就是著名的“EPR佯谬”。

后来物理学家玻姆在爱因斯坦的定域性原理基础上,提出了“隐变量理论”来解释这种超距相互作用。不久物理学家贝尔提出了一个不等式,可以来判定量子力学和隐变量理论谁正确。如果实验结果符合贝尔不等式,则隐变量理论胜出。如果实验结果违反了贝尔不等式,则量子力学胜出。

图片 6贝尔不等式的意义。

但是,随后的一次又一次实验,结果都违反了贝尔不等式,证实了量子力学才是对的,爱因斯坦的定域性原理必须被舍弃。2015年,荷兰物理学家做的最新无漏洞贝尔不等式测量实验,基本宣告了定域性原理的死刑。

因为这神奇的量子纠缠是非局域的,两个纠缠的粒子无论相距多远,测量其中一个粒子的状态,必然能同时获得到另一个粒子的状态,而这个“信息”的获取又不受光速限制,物理学家自然想到,能否利用这种跨越空间的纠缠态进行信息传输?于是,基于量子纠缠态的量子通信应运而生,这种试图通过跨越空间的量子纠缠来实现对量子比特的传输的通信方式,被称为“量子隐形传态”。

图片 7

量子隐形传态的过程(即传输协议),如上图所示,一般分以下几步:

第一步,制备一个纠缠粒子对。将粒子1发射到A点,粒子2发送至B点。

第二步,在A点,另一个粒子3携带一个想要传输的量子比特Q。于是A点的粒子1和B点的粒子2对,会与粒子3一起,形成一个总的态。在A点同时测量粒子1和粒子3,得到一个测量结果。这个测量会使粒子1和粒子2的纠缠态坍缩掉,但同时粒子1和和粒子3却纠缠到了一起。

第三步,A点的一方利用经典通信方式,把自己的测量结果告诉B点一方。

第四步,B点的一方收到A点的测量结果后,就知道了B点的粒子2处于哪个态。在这种情况下,只要对粒子2稍做一个简单操作,它就会变成粒子3在测量前的状态。于是,粒子3携带的量子比特无损地从A点传输到了B点,而粒子3本身还留在A点,并没有传到B点。

利用上面这个过程,就可以通过量子纠缠,把一个量子比特无损地从一个地点传送到另一个地点。这也是量子通信目前最主要的方式。需要指出的是,由于步骤3通过经典通信方式传递信息不可忽略,因此也就限制了整个量子隐形传态的速度,导致量子隐形传态的信息传输速度实际上无法超过光速。

量子计算需要直接处理量子比特,“量子隐形传态”这种直接传递量子比特的传输,将成为未来量子计算之间的量子通信方式。量子隐形传态和量子计算机终端,未来可以构成纯粹的量子信息传输和处理系统,也就是真正意义上的量子互联网。这将是未来量子信息时代最显著的标志。

在量子纠缠和量子隐形传态领域,“墨子号”量子科学实验卫星同样肩负着重要的科学目标,那就是在空间尺度上通过实验来检验量子力学本身的完备性。这个科学目标,在身为量子物理学家的首席科学家潘建伟院士看来,或许比建立天地一体化的量子保密通信网络来得更显诱人。

目前已经有很多实验证明了量子力学的纠缠态,但在长距离大范围条件下进行上千千米量级的量子纠缠态观测,还从来没有人实现过。“墨子号”量子科学实验卫星上携带着量子纠缠光源,可以从太空同时向两个地面站分发纠缠光子。完成量子纠缠分发之后,再对地面站的两个纠缠光子同时进行独立的贝尔态测量,便可以在超过上千千米的距离上对贝尔不等式是否成立进行检验。

不仅如此,科学家还将利用“墨子号”卫星,通过量子隐形传态的方式,将微观量子态直接从地面传送到太空中去。尽管传送的只是量子态而非粒子本身,并且这种量子通信方式也不可能超越光速,但至少从某种意义上,地星量子隐形传态实验将实现科幻小说里经常出现一种进入太空的方式——直接传送上去。

量子通信:OTP的第二春

等等,我们不是讲量子通信吗,怎么扯了半天OTP?之所以要讲OTP,是因为量子通信实际上就是基于OTP的,只不过因为量子通信所独有的一些特点,让OTP这个脱裤子放屁的玩意儿真正有了实用价值。

好了,现在我们讲什么是量子通信。量子力学的很多理论听起来都特别不可思议,所以我们不讲太细,我们先记住一个重要的原理:某个光子的状态是无法准确测量的,因为测量这个行为本身就会改变它的状态(海森堡不确定性原理)。量子通信就是利用了这一原理,简单来说,发送方在量子信道生成并发送一串状态随机的量子比特(偏振方向不同的光子),接收方则用随机的测量基准对这些量子比特进行测量。当然,由于不确定性原理的存在,接收方是无法准确测量每一个量子比特的,其中一半是测错了的,但双方可以通过某种特定的协议,利用普通信道(不需要加密)对测量基准进行对比,然后各自丢弃测错了的那一半,剩下的量子比特都是被正确测量的,把正确的量子比特连起来,就形成了一串双方内容一样的二进制序列,这就相当于双方“协商”出了一串完全随机的二进制序列。如果有人在量子信道对这一过程进行窃听,那么窃听者也必须对信道中的量子比特进行测量,由于不确定性原理的存在,窃听者同样无法准确测量出所有比特的状态,而且测量行为本身还会改变其中一半比特的状态,通信双方在进行测量基准对比的阶段就会发现这些改变并丢弃被干扰的比特,因此窃听行为本身就是无效的。

如果上面这一段没看懂,我实在想不出更好的方法来解释,因为量子力学本身就不太符合我们的常识。这样吧,我们暂且记住这样一条结论:量子通信的核心是“量子密钥分发”,即双方可以安全地“协商”出一串内容相同且完全随机的二进制序列,第三方无法窃听。这里我们需要注意一点,量子密钥分发只能用来“协商”出一串内容相同的二进制序列(双方事先都无法确定最终协商出来的序列的准确内容),而并不能用来传送信息本身,因为根据不确定性原理,传送的量子比特中一半都是要被丢弃的。

有了一串完全随机的二进制序列,我们可以做什么?没错,我们就可以用OTP了呀!因此完整的量子通信实际上是这样工作的:1)
双方通过量子密钥分发协议协商出一串随机密钥;2)
发送方用协商的密钥对明文进行OTP加密;3)
发送方通过普通信道(如因特网)将密文发送给接收方;4)
接收方用协商的密钥进行解密。
这样一来,我们就完成了一次基于量子密钥的OTP通信。


香农大神说,只要你有办法安全协商密钥,OTP就是绝对安全的;海森堡大神说,利用量子力学的不确定性原理就能安全协商密钥。把这两个特性加起来,量子通信就是“绝对安全”的,货真价实,一点都不夸张,除非量子力学从头到尾就是错的。因此,量子密码很有可能就是密码学的终极形态,如果量子通信能够真正进入实用领域,那必将是一个历史性的时刻。

量子密钥分配(图片来源于网络)

“墨子号”:将科学转变为技术

对于这些针对量子力学有效性的科学实验,美国麻省理工学院物理学教授Vladan
Vuletic是这样评价的:“量子力学走到今天,已经在很多不同的环境和体系下被检验过多次,几乎不会有人真的以为,在延伸到太空甚至更远的距离上,量子力学本身就会不再有效。不过,这一点如果能够经过实验验证的话,当然更好。”

“从个人而言,我并不指望卫星实验能够教给我们任何我们尚不了解的量子力学和有关量子奇特性质的知识。然而,量子科学实验卫星项目却有着非常重大的意义,它将会把科学转变为技术:如果实验成功,它将有可能建立比经典物理学更强有力的地面系统与空间系统链接。然后,这种链接可以在实际上用于安全的信息交流。因此,爱因斯坦对量子物理学的反对就会转变成一种交流工具,这将是一个非常激动人心的进展。”

“墨子号”量子科学实验卫星只是一个开始。从长远来看,“要实现全球化量子通信,还需要长期的努力,特别是需要多颗卫星的组网”,量子科学实验卫星科学应用系统总师兼卫星系统副总师、中国科大微尺度物质科学国家实验室研究员彭承志表示。

这条征途没有尽头。好在这一回,中国站在了最前面。

(编辑:Ent、Calo)

量子密钥分配的过程大致如下:单个光子通常作为偏振或相位自由度的量子比特,可以把欲传递的0,1随机数编码到这个量子叠加态上,比如,事先约定,光子的圆偏振代表1,线偏振代表0。光源发出一个光子,甲方随机地将每个光子分别制备成圆偏振态或线偏振态,然后发给合法用户乙方,乙方接收到光子,为确认它的偏振态(即0或1),便随机地采用圆偏光或线偏光的检偏器测量。如果检偏器的类型恰好与被测的光子偏振态一致,则测出的随机数与甲所编码的随机数必然相同,否则,乙所测得的随机数就与甲方发射的不同。乙方把甲方发射来的光子逐一测量,记录下测量的结果。然后乙方经由公开信道告诉甲方他所采用的检偏器类型。这时甲方便能知道乙方检测时哪些光子被正确地检测,哪些未被正确地检测,可能出错,于是他告诉乙方仅留下正确检测的结果作为密钥,这样双方就拥有完全一致的0,1随机数序列。

如果有窃听者在此过程中企图骗取这个密钥,他有两种策略:

一是将甲发来的量子比特进行克隆,然后再发给乙方。但量子不可克隆性确保窃听者无法克隆出正确的量子比特序列,因而也无法获得最终的密钥;另一种是窃听者随机地选择检偏器,测量每个量子比特所编码的随机数,然后将测量后的量子比特冒充甲方的量子比特发送给乙方。按照量子力学的假定,测量必然会干扰量子态,因此这个“冒充”的量子比特与原始的量子比特可能不一样,这将导致甲乙双方最终形成的随机数序列出现误差,他们经由随机比对,只要发现误码率异常得高,便知有窃听者存在,这样的密钥不安全,弃之不用。只有当他们确认无窃听者存在,其密钥才是安全的。接下来便可用此安全密钥进行“一次一密”的经典保密通信。

上述这种保密通信,实质上是“一次一密”的经典通信,只是密钥是由QKD生成的,通常也称为量子保密通信。那么有两个问题出现:一是,如果窃听者不停地窃听,甲乙双方就无法获得安全的密钥,于是保密通信便无法进行。确实如此,QKD对此无能为力!它唯一的优势功能就是断定是否有窃听者存在,所分配的密钥是否安全而已。这点在传统密钥分配原则上做不到。QKD只能用来确保传递信息的安全性,无法抗击“破坏信息传送”的行为。在这种场合只有借助于其他办法进行保密通信,比如,采用网络QKD,若某一路中段,寻找到不被窃听的传输路径可实现安全的密钥分配。如果QKD网络都处于被窃听的状态,那只好采用传统的保密通信办法了。

二是采用量子比特所生成的安全密钥比起用传统方法所得到的安全密钥(假定存在这种办法)有优越性吗?回答是否定的。只要密钥是安全的,不管是用何种办法生成的,两者性能完全一样。特别是,如果达不到“一次一密”的加密程度,即使QKD的密钥是绝对安全的。这种密码体系同样可能被聪明的破译者所攻破。

量子密码(图片来源于网络)

现在我们可以回答标题所问的问题:量子密码是量子通信吗?答案是否定的!所谓“通信”简单地说就是传递信息(即“明文”)。量子密码只是传送经典随机数而已,不包含有任何信息内容,因此,与“通信”无关。量子保密通信实际上包括由QKD生成的安全密码和“一次一密”经典通信两个部分,本质上仍然是经典通信。现在媒体、学术界所说的“量子通信”就是量子密码或者量子保密通信,是某些人概念不清的误导,再由媒体炒作放大而形成的。真正的“量子通信”有其确切的内涵,即将信息编码在量子比特上,在量子通道上将量子比特从甲方传给乙方,直接实现信息的传递。这种真正的“量子通信”目前仍处于基础研究阶段,离实际应用还相当遥远。

量子密码是绝对安全的吗?(图片来源于网络)

下面我们来回答另一个问题,即量子密码是绝对安全的吗?或者问,量子保密通信果真能做到不可窃听、不可破译的绝对安全吗?保密通信的安全性同时受到两个因素制约:密钥的安全性和“一次一密”的真实性。量子密码在理想状态下可以确保密钥的安全性,但实际上,量子密码系统绝对达不到理想状态,例如单粒子探测效率不是百分百的,它会产生传输损耗、各种器件不完善等问题,这些非理想漏洞就可能被窃听者用来窃取密钥,但却不会被合法用户发现。就算人们能设计出与设备完全无关的量子密码协议,但因随机数的真伪、合法用户的识别等问题仍然难以做到密钥的绝对安全。只能是“相对安全”。另一方面,量子密码体系必须确保安全密钥的生成率足够高,以达到视频信息“一次一密”加密的需求,否则,即使密钥是安全的,保密通信仍然是不安全的。

通过卫星实现“天地一体化”的量子保密通信网络?(图片来源于网络)

量子密码的研究已有30多年历程,目前达到的实际水平是:在百公里范围的城域网,量子密码体系可以做到密钥分配在现有技术保证的各种攻击下是安全的,安全密钥生成率在25公里可确保高清视频“一次一密”,在100公里内能确保音频、文字、图片等的“一次一密”。因此可以制定“量子密码标准”,推广应用。随着攻击技术水平的提高,现有相对安全的量子密码可能会被攻击,到那时将会随之更新“量子密码标准”。因此,结论是:实际上,量子密码是相对安全的!

至于超过城域而筑建的任何城际量子密码网络,目前仍无法确保其安全性。现在通常使用的是“可信中继”,其安全性依赖于人的因素,所以安全程度不会超越现有的传统加密。远程量子密码只有采用“量子中继”才能确保其安全性,而“量子中继”的研制受到可实用的量子存储器和确定性纠缠光子源的限制,目前仍然处于基础研究阶段。

说得更远些,能否通过卫星等实现“天地一体化”的量子保密通信网络呢?理论上可行,但实际上难以做到。而且,是否非这样做不可也值得探讨。暂不说覆盖地面的网络有多难,就说“地空之间”的量子密码,必须确保在各种恶劣条件下全天候实现安全的密钥分配,而且它的密钥分配要达到“一次一密”的需求,就目前人类所达到的技术而言,这些条件都是可望不可及的。

上面提到的量子密码是在私密密码体系中,至于另种公钥密码体系在量子信息技术时代处境如何呢?现有公钥体系的安全性是基于难求解的数学难题,如大数因子分解等。业已证明,量子计算机的并行运算能力可以攻破RSA,DSA和ECDSA密码。因此,现有的公钥体系将面临巨大的挑战。但是量子计算机并不能解决电子计算机难以求解的所有数学问题,这也意味着,量子计算机并不能攻破所有密码体系,特别是10年前密码学界就开始着手研究“抗量子计算攻击的新型密码”,而且不断取得进展。一旦这种新型的安全密码体系的研究得以成功,量子时代的信息安全将得到保证,而且这种抗量子计算密码显然比起目前研究的量子密码无论从造价上还是使用上都具有更大优势,相信会获得更广泛应用。

本文作者:郭光灿(中国科学技术大学中国科学院量子信息重点实验室)

发表评论

电子邮件地址不会被公开。 必填项已用*标注

相关文章

网站地图xml地图