羅馬人有一個讚揚人可靠的說法:「你能在黑暗中信任他。」但是正如愷撒在被他的核心集團成員刺殺時意識到的,有時候最好的策略是不要相信任何人。
縱觀整個歷史,人們被錯誤的信任傷害得很深。八月份婚外情網站Ashley Madison的使用者隱私外洩的事就是一個很好的例證。他們的配偶則是另一個例證。但就網路安全而言,我們終於有能力建立這樣一個世界:那裡,我們無需信任。把我們帶入這個世界的就是測量器件無關的量子加密術(device-independent quantum cryptography)。一旦這項技術完善之後,你即使從頭號敵人那裡購買安全通訊裝置都不必擔心被監聽。「你無須信任任何人。」 牛津大學物理學家Artur Ekert如是說。正是他在密碼學上的創新激發了這個設想。
這種絕對安全的未來還只是個遠景。當今的加密系統並不穩定。我們所有網上購物、銀行交易和個人資訊的安全性都僅僅建立在數學問題的難度上。如今最為著名的密碼系統,RSA,用的是兩個非常大的質數的乘積來建立金鑰。這兩個質數是保密的,但是他們的乘積——一個非常長的二進位制數則是公開的。這個公鑰可以用來加密資料,但只有知道了那兩個原始質數才能解密。RSA的安全性就依賴於大數分解這個數學難題——沒有已知的快捷方法能找到一個大數的質因子。唯一的方法就是窮舉,一個一個地嘗試所有的可能性。
或者說,這只是我們的希望。「我們不能證明這些數學難題無法攻克」 Ekert說。發明出讓傳統計算機快速地進行質因數分解的方法也並非絕不可能。也許有人已經找到了方法,只是聰明地保密著。如果這樣的演算法公之於眾,網上交易將崩潰,金融交易和絕密的政府通訊會曝光。「這將是一個真正的災難,」加拿大滑鐵盧量子計算機研究所 的Michele Mosca說。「這就像千年蟲問題,只不過我們不確定它什麼時候會發生。」
即使我們可以證明質因數分解問題超出了傳統計算機的能力,還有量子計算機呢。因為量子計算機用量子現象計算,它們能同時考慮所有可能的質數。麻省理工學院的數學家Peter Shor早在1994年就表示,這件事將很快實現。簡單的量子計算機已經出現,能夠實現Shor想法的高階機器也不遠了。
在量子計算面前重振旗鼓的一種方式便是以毒攻毒,使用量子密碼。這保證了金鑰完全隨機、不可預測,而且無法破解。
量子密碼依靠的是光子和電子這樣的物理粒子可以處於疊加態的特性。這些粒子的各種特性,例如自旋極化,可以同時處於多個狀態,僅在觀測時呈現出精確值。利用這些特點進行加密,你就阻止了任何偷窺祕鑰的企圖:因為偷窺會改變最終測量結果,從而破壞金鑰的防篡改鎖定。這種技術已經在保護醫療資料、金融交易和瑞士競選中使用。
現行的量子加密系統在發報方(通常稱為Alice)傳送出一個極化光子之前對它進行測量。資訊的接收方(通常稱為Bob)選擇一種特定的方式也來測量這個光子的極化度,然後與Alice用明文對比測量結果。這樣,祕鑰中的一個位數就產生了。如此迴圈下去,Alice與Bob就能生成整串密碼。
你也許會認為這就足夠好了,但是這種型別的量子加密有一個弱點。「你一直得在某些模組上做一些假設。」Mosca在滑鐵盧的同事Vadim Makarov說。他曾「駭進」世界上許多「安全」系統,揭露這些「假設」所隱含的問題。他承認要利用系統的這些薄弱之處確實非常繁瑣,但當涉及到國家安全或者銀行大宗交易的時候,誰又能保證沒人會去做呢?
著名的探測漏洞(detection loophole)就是其中的一個薄弱之處。由於探測裝置的有效性並沒有高到能探測到被髮射的所有光子,所以實際操作中的量子加密就好像快遞大軍不斷地給一個不定時午休的辦公室送出多個金鑰副本(也許有一個副本就在無人值守時落入了敵手)。由於Bob不能偵測到全部光子,Alice不得不送出比需要更多的光子。漏網之光子的存在就意味著Alice與Bob不能確認它們的裝置是徹底安全的。
解決這些技術細節也不是不可能,但是隨著探測漏洞而來的還有一個更微妙的問題,直指信任問題的核心。
想象一下你買來了最先進的量子加密系統,包裝完好,還帶著亮閃閃的安全保證徽標。但是你怎麼知道製造商沒有在裡面留了一個後門來讀取並出賣你的祕密呢?
這沒辦法不引起我們的注意。一旦新的加密技術成型,政府,公司和情報機構就會尋找——甚至索要——這項新技術的漏洞以便他們從中利用。舉個例子,或許你的一臺加密了的裝置已經預先被設定好吐出一組解密資料,並儲存在了某人在某地的檔案裡,或者機器內部有一個邊通道讀取並複製你的密碼。
這裡就要輪到裝置無關的加密登場了。
這項技術起源於Ekert在1991年新開發出的一種量子加密形式。
它與之前的技術一樣使用了光子流,Alice測量了一束光子的性質來生成一列隨機數。別出心裁之處在於:這回Bob從同一個光子源中也得到了一束光子,而且他的光子和Alice的“糾纏”在了一起。糾纏的光子成對地生成,而且它們的性質微妙地聯絡在一起。如果Alice有一對光子中的一個,Bob接下來就會有另一個,他們就可以對相應的光子進行測量並進而得出共有密碼的每一位。
如此隨機
直到2004年前,Ekert的想法和以前的量子加密一樣,都沒有解決前面提到的漏洞(見下圖)。但是這一切因為西班牙巴塞羅那光子學中心的Antonio Acin和他的同事們改變了。他們意識到這種加密技術包含了一種檢測廠商可信度的手段。這一點意義重大:你可以從你最糟糕的敵人手裡買到裝置卻依然可以確信他不會洩露你的祕密。“這對我來說很意外,” Ekert說,“有時候你的發明會比你自己還要來的聰明。”
量子理論說兩個糾纏在一起的光子互相是“專一”的:它們沒有與任何其他東西有聯絡,因此沒有資訊可以洩露出去。Acin的基本觀點是你可以用貝爾測試(Bell test)驗證這個理論。
這個測試於1964年首先被物理學家John Bell提出,目的是確定兩組數字是否比隨機過程得到的結果相關性更強。“它們之間的相關性越高,它們與外界聯絡的可能就越小。”Ekert 說。
如果你的系統通過了貝尓測試,你就在三個問題上有了切實可靠的保證。第一,你的密碼是隨機產生的,因此它無法被預測。第二,密碼長度也存在固有隨機性,因此無法被猜到。第三,也是最重要的,沒有人能夠用某些後門程式獲取你的密碼。如果有人這麼做,那麼量子糾纏的“專一性”就被破壞了。
這個計劃只有一個問題:未曾有人打造過一個滴水不漏的實驗裝置以進行貝爾測試。它面臨著與今版的量子加密術同樣的問題,加之引入的量子糾纏使得問題更加複雜。
這是由於定域性漏洞(locality loophole),即也許有一些未被發現的訊號在糾纏態的粒子之間傳遞資訊。如果這種訊號傳遞存在,為兩個粒子分別選擇測量的量的隨機性將被動搖,於是就為某些天才敵人開啟了操縱這些訊號的大門。
以上這些可能看起來有些杞人憂天,但是有兩個理由驅使我們深究下去。一方面,如果解決了這個問題我們就完全不必要去信任任何東西。另一方面,這是量子加密術和物理學家試圖證明的量子理論正確性的交點。藉此機會,我們可以拂去縈繞良久的疑惑,一窺那糾纏的粒子之間是否真的存在什麼詭異的聯絡。
要證明它就要進行一個嚴密的貝爾測試,同時排除探測漏洞和定域性漏洞。自貝爾公開了他的實驗的51年中,這項課題的研究者都做不到兩全其美。同時解決這兩個漏洞非常困難,用荷蘭Delft理工大學的Stephanie Wehner的話說,“這就像是我可以騎自行車,也可以玩雜耍,所以我應該可以做到一邊騎車,一邊玩雜耍,但其實這遠比想的要難。”
但是今年早些時候,Wehner和她的同事最終實現了一個無漏洞的貝爾測試 (這項工作發表在了
Nature雜誌上)。他們利用的核心思想叫做糾纏交換(entanglement swapping)。Delft團隊將兩顆鑽石放置在相距1.3公里的位置。想象一下我們上文提到的Alice守著一顆鑽石,而BOB守著另一顆。每顆鑽石都有一個叫做氮空位中心(nitrogen vacancy centre)的缺陷。用微波脈衝轟擊氮空位中心的電子會產生一個與該電子糾纏的光子。在他們設計的實驗中兩個脈衝幾乎同時分別擊向兩顆鑽石,各自釋放的光子射向中間的一個探測器。接下來就是一個聰明絕頂的環節,如果兩邊的光子同時到達中間的探測器,那麼糾纏態就從各自的光子-電子組合中轉換到兩個電子之間。現在Bob和Alice就有了一對不曾遊離出去的糾纏態電子。(請看下方的“安全保障原理圖”)
由於電子比光子更容易探測,這個實驗輕易地補上了探測漏洞。並且,由於電子相聚太過遙遠,研究者有一個4微秒的視窗,可以用來測量它們的關係——對21世紀的物理學來說,這個時間足夠長了——並且證明任何可能改變它們關係的物理訊號都必須超光速。由於這是廣義相對論所不允許的,定域性漏洞也就被堵上了。
層層包裹之下
多虧了這種獨創性,粒子相關性終於通過了貝爾測試,而且我們知道它們並不是由於探測失誤而產生的,也不是因為通訊漏洞。Wehner的同事、領導了該項研究的Bas Henson說:「這感覺太棒了。」最終,我們終於堵上了漏洞。量子理論通過了測試。我們知道,它可以用來創造一個可證明為安全的密碼系統。
不過,依然存在一些未被撫平的褶皺——早已桎梏密碼學家多年的那些老傢伙。比如說,你的敵人可能會破窗而入,溜進你的辦公室,偷走你的鑰匙。Mosca說:「物理安全永遠是一個問題。如果我能夠進入你的實驗室,看到文字,那我根本不需要破譯你的密碼。」Makarov提出了另一個警告:金鑰分配可能是獨立於裝置的,但是系統的其他部分有可能被攻破。「你必須相信,終端站的所有部分都不包含任何惡意的成分。」
刨除這些終極的問題,我們已經到達了完善安全之路的盡頭。從理論證據到實際應用還需要一定的時間:現在,如何實施這套技術依然是一個艱難的工作。 Delft大學的研究團隊在9天時間內得到了245對量子糾纏——對產生金鑰所需要的幾千個數字來說,這個效率還是太低了。但是,進展正在發生。Henson說:「我們期待在不遠的未來能夠以快上10萬倍的速度產生糾纏態。」
測量裝置無關的量子密碼學是終極的保密手段。它終於出現在我們觸手可及的地方。量子部分提供了不可破解的方案;對測量裝置的無關性保證了供應商無法實施干擾。Mosca說:「就物理安全性而言,這是最好的。」 Ekert同意這個觀點:貝爾測試的常規程式很簡單,任何人都可以使用。「你甚至不用理解物理學。」
選自新科學家,作者Michael Brooks,圖片Jamie Mills,機器之心編譯出品。參與人員:Chen Duo,Xuechen,20e,汪汪,Bing Wu。