【科普一下】量子密碼就是量子通訊？

密碼學是內容極其豐富的學科，目前量子資訊科技僅僅在“金鑰分配”這個具體分支上可望發揮獨特的作用。

　　

保密通訊是密碼學的重要內容，其基本原理是採用金鑰 （0，1的隨機數列）通過加密演算法將甲方要傳送的資訊（明文）變換成密文，在公開通道上傳送到合法使用者乙方處，乙方採用金鑰從密文中提取所要的明文。

　　

如果甲乙雙方採用相同的金鑰（即）則稱為對稱密碼或私密密碼。如果，則稱為非對稱密碼或公開密碼，其中是公開的金鑰，只為乙方私人擁有。

　　

如果任何竊聽者在不知曉金鑰的情況下，可以從祕文提取出明文，則這種密碼體系是不安全的。

　　

事實上，每個國家，無時無刻都在收集其他國家所發出的祕文，許許多多極其聰明的破譯專家日以繼夜地企圖從各種祕文中提取有用的機密資訊，這種精彩的情報戰早已成為大眾百姓津津樂道的公開祕密。

　　

無法破譯的一次一密

　　

人們要問，有沒有一種令所有專家都無法破解的密碼？確實有！

　　

早在上世紀四十年代，著名的資訊理論鼻祖夏農採用資訊理論嚴格證明，如果金鑰長度與明文長度一樣長，而且用過後不再重複使用，則這種密文是絕對無法破譯的，俗稱為“一次一密”。 

　　

太妙了吧！

　　

那麼為何這種“一次一密”的密碼迄今未被廣泛推廣使用呢？

　　

主要原因是，“一次一密”要大量消耗“金鑰”，需要甲乙雙方不斷地更新密碼本，而“密碼本”的傳送（稱為“金鑰分配”）本質上是不安全的。

　　

採用不安全的金鑰來實施“一次一密”加密仍然是不安全的。那麼是否有什麼辦法可以確保金鑰分配是安全的？

　　

有，這就是“量子金鑰分配”（縮寫為“QKD”）！

量子密匙分配示意圖

　　

密上加密的“量子金鑰分配”

　　

“量子金鑰分配”應用到量子力學的基本特性（如量子不可克隆性，量子不確定性等）來確保任何企圖竊取傳送中的金鑰都會被合法使用者所發現，這是QKD比傳統金鑰分配所具有的獨特優勢，後者原則上難於判斷手頭的密碼本是否已被竊聽者複製過。

　　

QKD的另一個優點是無需儲存“密碼本”，只是在甲乙雙方需要實施保密通訊時，實時地進行量子金鑰分配，然後使用這個被確認是安全的金鑰實現“一次一密”的經典保密通訊，這樣可避開儲存密碼本的安全隱患。

　　

量子金鑰分配的過程大致如下：

　

單個光子通常作為偏振或相位自由度的量子位元，可以把欲傳遞的0，1隨機數編碼到這個量子疊加態上，比如，事先約定，光子的圓偏振代表1，線偏振代表0。

　　

光源發出一個光子，甲方隨機地將每個光子分別製備成圓偏振態或線偏振態，然後發給合法使用者乙方，乙方接收到光子，為確認它的偏振態（即0或1），便隨機地採用圓偏光或線偏光的檢偏器測量。

　　

如果檢偏器的型別恰好與被測的光子偏振態一致，則測出的隨機數與甲所編碼的隨機數必然相同，否則，乙所測得的隨機數就可能與甲方發射的不同。

　　

乙方把甲方發射來的光子逐一測量，記錄下測量的結果。然後乙方經由公開通道告訴甲方他所採用的檢偏器型別。這時甲方便能知道乙方檢測時哪些光子被正確地檢測，哪些未被正確地檢測，可能出錯，於是他告訴乙方僅留下正確檢測的結果作為金鑰，這樣雙方就擁有完全一致的0，1隨機數序列。

　　

如果有竊聽者在此過程中企圖騙取這個金鑰，他有兩種策略：

　　

一是將甲發來的量子位元進行克隆，然後再發給乙方。但量子不可克隆性確保竊聽者無法克隆出正確的量子位元序列，因而也無法獲得最終的金鑰。

　　

另一種是竊聽者隨機地選擇檢偏器，測量每個量子位元所編碼的隨機數，然後將測量後的量子位元冒充甲方的量子位元傳送給乙方。

　　

按照量子力學的假定，測量必然會干擾量子態，因此這個“冒充”的量子位元與原始的量子位元可能不一樣，這將導致甲乙雙方最終形成的隨機數序列出現誤差，他們經由隨機比對，只要發現誤位元速率異常地高，便知有竊聽者存在，這樣的金鑰不安全，棄之不用。

　　

只有當他們確認無竊聽者存在，其金鑰才是安全的。接下來便可用此安全金鑰進行“一次一密”的經典保密通訊。

　　

問題依舊存在

　　

上述這種保密通訊，實質上是“一次一密”的經典通訊，只是金鑰是由QKD生成的，通常也稱為量子保密通訊。

　　

那麼有兩個問題出現：

　　

一是，如果竊聽者不停地竊聽，甲乙雙方就無法獲得安全的金鑰，於是保密通訊便無法進行。確實如此，QKD對此無能為力！

　　

它唯一的優勢功能就是斷定是否有竊聽者存在，所分配的金鑰是否安全而已。

　　

這點在傳統金鑰分配原則上做不到。QKD只能用來確保傳遞資訊的安全性，無法抗擊“破壞資訊傳送”的行為。

　　

在這種場合只有藉助於其他辦法進行保密通訊，比如，採用網路QKD，若某一路中段，尋找不被竊聽的傳輸路徑實現安全的金鑰分配。

　　

如果QKD網路都處於被竊聽的狀態，那隻好採用傳統的保密通訊辦法了。

　　

二是採用量子位元所生成的安全金鑰比起用傳統方法所得到的安全金鑰（假定存在這種辦法）有優越性嗎？回答是否定的。

　　

只要金鑰是安全的，不管是用何種辦法生成的，兩者效能完全一樣。特別是，如果達不到“一次一密”的加密程度，即使QKD的金鑰是絕對安全的，這種密碼體系同樣可能被聰明的破譯者所攻破。

　　

現在我們可以回答標題所問的第一個問題：量子密碼是量子通訊嗎？答案是否定的！

　　

所謂“通訊”簡單地說就是傳遞資訊（即“明文”）。量子密碼只是傳送經典隨機數而已，不包含有任何資訊內容，因此，與“通訊”無關。

　　

量子保密通訊實際上包括由QKD生成的安全密碼和“一次一密”經典通訊兩個部分，本質上仍然是經典通訊。

　　

現在媒體、學術界所說的“量子通訊”就是量子密碼或者量子保密通訊，是某些人概念不清的誤導，再由媒體炒作放大而形成的。

　　

真正的“量子通訊”有其確切的內涵，即將資訊編碼在量子位元上，在量子通道上將量子位元從甲方傳給乙方，直接實現資訊的傳遞。 

　　

這種真正的“量子通訊”目前仍處於基礎研究階段，離實際應用還相當遙遠。

　　

下面我們來回答第二部分問題，即量子密碼是絕對安全的嗎？或者問，量子保密通訊果真能做到不可竊聽、不可破譯的絕對安全嗎？

　　

保密通訊的安全性同時受到兩個因素制約：金鑰的安全性和“一次一密”的真實性。

　　

量子密碼在理想狀態下可以確保金鑰的安全性，但實際上，量子密碼系統絕對達不到理想狀態，例如單粒子探測效率不是百分百的，它會產生傳輸損耗，各種器件不完善等等問題，這些非理想漏洞就可能被竊聽者用來竊取金鑰，但卻不會被合法使用者發現。

　　

就算人們能設計出與裝置完全無關的量子密碼協議，但因隨機數的真偽、合法使用者的識別等問題仍然難以做到金鑰的絕對安全。只能是“相對安全”。

　　

另一方面，量子密碼體系必須確保安全金鑰的生成率足夠高，以達到視訊資訊“一次一密”加密的需求，否則，即使金鑰是安全的，保密通訊仍然是不安全的。

　　

量子密碼研究任重道遠

　　

量子密碼的研究已有30多年曆程，目前達到的實際水平是：在百公里範圍的都會網路，量子密碼體系可以做到金鑰分配在現有技術保證的各種攻擊下是安全的。

　　

安全金鑰生成率在25公里可確保高清視訊“一次一密”，在100公里內能確保音訊、文字、圖片等的“一次一密”。因此可以制定“量子密碼標準”，推廣應用。

　　

　　

隨著攻擊技術水平的提高，現有相對安全的量子密碼可能會被攻擊，到那時將會隨之更新“量子密碼標準”。因此，結論是：實際上，量子密碼是相對安全的！

　　

至於，超過城域而築建的任何城際量子密碼網路，目前仍無法確保其安全性。

　　

現在通常使用的是“可信中繼”，其安全性依賴於人的因素，所以安全程度不會超越現有的傳統加密。

　　

遠端量子密碼只有採用“量子中繼”才能確保其安全性，而“量子中繼”的研製受到可實用的量子儲存器和確定性糾纏光子源的限制，目前仍然處於基礎研究階段。

　　

說得更遠些，能否通過衛星等實現“天地一體化”的量子保密通訊網路呢？理論上可行，但實際上難以做到。

　　

　　

而且，是否非這樣做不可也值得探討。

　　

暫不說覆蓋地面的網路有多難，就說“地空之間”的量子密碼，必須確保在各種惡劣條件下全天候實現安全的金鑰分配，而且它的金鑰分配要達到“一次一密”的需求，就目前人類所達到的技術而言，這些條件都是可望不可及的。

　　

量子計算機面臨挑戰

　　

上面所述的有關量子密碼是在私密密碼體系中，至於另一種公鑰密碼體系在量子資訊科技時代處境如何呢？

　　

現有公鑰體系的安全性是基於難求解的數學難題，如大數因子分解等。

　　

業已證明，量子計算機的並行運算能力可以攻破RSA，DSA和ECDSA密碼。因此，現有的公鑰體系將面臨巨大的挑戰。

　　

但是量子計算機並不能解決電子計算機難於求解的所有數學問題，這也意味著，量子計算機並不能攻破所有密碼體系，特別是10年前密碼學界就開始著手研究“抗量子計算攻擊的新型密碼”，而且不斷取得進展。

　　

一旦這種新型的安全密碼體系的研究得以成功，量子時代的資訊保安將得到保證，而且這種抗量子計算密碼顯然比起目前研究的量子密碼無論從造價上還是使用上都具有更大優勢，相信會獲得更廣泛應用。

原文釋出時間為：2017-12-11
本文作者：吳京平
本文來源：九州量子，如需轉載請聯絡原作者。