传统密码学的挑战
对许多人来说,密码学似乎是一门高深的学问,它通过巧妙地转化信息,使得信息除了对预期接收者之外的所有人都毫无意义。
事实上,在日常生活中,密码学无处不在,从网站到各种通讯App,都需要使用密码学或加密技术来保护信息的隐私。例如,当我们在互联网购物时,银行卡号等敏感信息会被发送给商家。为了防止这些信息被黑客盗取,就必须在发送之前将信息“锁”起来,而商家能拥有一把可以“解锁”这些信息的“密钥”。
但一个难题是,如何才能以一种安全的方式分发密钥,确保密钥的共享没有被其他人拦截?
于上世纪70年代出现的RSA公开密钥密码体制,是一种至今仍被广泛使用的安全数据传输系统。这种加密系统涉及一组公用的和私用的密钥,即公钥和私钥。私钥是保密的、不共享的,它由算法生成的两个大的质数组成;公钥则是这两个数字相乘而得的乘积。任何人都可以使用公钥来加密信息,但只有使用私钥才能对信息进行解密。
RSA的正常运行依赖于一个事实:分解公钥中的大整数以确定组成私钥的两个质数为何,是个耗时且需耗费极大计算量的过程。然而,当数学家Peter Shor在1994年发表了著名的Shor算法后,RSA的安全性就受到了极大的挑战。Shor算法所描述的是,一种被称为量子计算机的新型计算机,在理论上能够高效地分解巨大的数字。这就意味着,一旦未来量子计算机拥有足够多的量子比特后,RSA密码学就注定走向衰败。
基于量子物理学的加密方法
幸运的是,量子物理学不仅为破解数字商业核心的密码系统提供了基础,同时也为应对这个问题提供了一个可行的解决方案量子密钥分发(QKD)。与传统密码学的不同之处在于,QKD依赖于基本物理定律而非数学作为其安全性的关键保障。
在量子物理学中,不可克隆定理是一个重要的结论,它说的是一个未知的量子态无法被可靠地克拢如果一个名为Alice的用户通过量子(如单光子)信号分发密钥,由于一开始密钥只有一个副本,那么黑客是没有办法可靠地克隆量子态来产生同一个量子态的两个副本的。因此,在QKD中,如果黑客试图盗取信息,他将不可避免地对量子信号产生干扰,从而被发送方Alice和接收方Bob检测到。
QKD是量子密码学中研究最广泛、最可行的方法,它使用一系列光子来完成一个秘密的随机序列,即密钥。通过比较发送方(Alice)和接收方(Bob)的测量结果,就能知道密钥是否已被泄露。最著名的QKD方案是于1984年提出的BB84协议。在这个协议中,Alice和Bob,共享一个量子信道(例如光纤),在一个具有无限量子计算能力的黑客存在的情况下,生成一个安全密钥。
然而,这项技术的实现建立在一个假设之上,即用于制备和测量量子粒子的设备一般需要是无缺陷的。一些潜在的设备缺陷可能让黑客在不被注意的情况下穿透安全系统,例如,一个设备本来应该发射一个光子,但它却在我们不知道的情况下发射了两个,任何类似这样的缺陷就会使代表着安全性的数学证明难以成立。
此外,这种方法一般要求光子源和测量设备是可信的,这就使黑客有潜在机会利用这种信任篡改系统并发现密钥。这就好比Alice把密钥锁在密码箱内,并将其交给了一个值得信赖的快递员,由他送给Bob,但结果却发现密码箱内装了窃听器。
为了解决这些问题,研究人员需要发展出一种与设备无关的加密方案,而这我们就需要了解量子系统的另一种特性量子纠缠。
鬼魅般的纠缠
1991年,量子物理学家Artur Ekert在一篇开创性的论文中,提出了基于量子纠缠的QKD方案。
量子纠缠是量子物理学中最奇怪的现象之一,它是量子系统(或量子粒子,如光子)之间的一种神秘关联。在纠缠粒子对中,对一个粒子的测量或作用似乎可以立即影响另一个粒子,即使两个粒子可能相隔光年之远。爱因斯坦将这种不受距离限制的关联称为“鬼魅般的超距作用”。
更重要的是,两个系统之间的量子纠缠是排他的,没有任何其他事物可以与这些系统相关。从密码学的角度来看,这意味着发送方和接收方可以通过纠缠的量子系统,在它们之间产生共享结果,而没有任何第三方能够秘密获取与这些结果有关的信息。任何窃听行为都会留下明显的入侵痕迹。
在后续的研究中,科学家们意识到,基于Ekert的思想所提出的QKD方案,还具有进一步的潜力:量子纠缠可以帮助实现一种无需可靠的光子源和测量设备的方案。这种方案被称为设备无关量子密钥分发(DIQKD)。
与设备无关的实验
在DIQKD中,源设备会不断产生纠缠的量子粒子对,Alice和Bob会各自从每对纠缠粒子中取一个。接着,Alice和Bob会在严格的实验条件下独立测量他们的粒子。
当Alice和Bob进行测量时,一些测量会被用于创建一个共同的密钥。由于对粒子及与其纠缠的粒子的测量结果是相关的,所以Alice和Bob可以通过对这些粒子的一系列测量,来创建一个由1和0组成的可编码、解码信息的字符串。
左:在传统QKD方案中,Alice和Bob两方可以创建一个密钥来对消息进行加密和解密,但这种方法假定粒子源和测量设备是完美的。右:一种利用量子纠缠实现的与设备无关的QKD方案,Alice和Bob可以在一套严格的条件下对他们的纠缠粒子进行测试,以检测源是否遭到了破坏,所以他们只需要通过“密封”实验室来保护测量结果。
另一些测量则用于执行一项可被用于严格检测纠缠的测试。这个测试基于的是贝尔定理,该定理于1964年由约翰贝尔提出。根据贝尔定理,如果两个粒子纠缠在一起,那么对这些粒子的测量结果必须表现出特定的统计相关性。
在测试中,Alice和Bob使用一部分测量结果来生成密钥,如果他们的检测结果与预设的统计数据不符,那么他们就知道粒子不再是纠缠的,这意味着其量子信道的安全性无法得到确认。这时,他们就会放弃测量结果,并重启这个过程。
通过这个测试,可以保证黑客无法以任何方式篡改纠缠的粒子,因为任何篡改行为都会被检测到。因此,DIQKD消除了系统最大的安全风险之一。Alice和Bob不再需要关于创造和分发纠缠粒子的设备信息,只需要保护好用于选择测量结果的设备不被篡改并隔离他们的实验室,防止结果或密钥的信息泄露。
但是,以现有的技术,想要在实验中实现DIQKD是非常具有挑战的。尤其是,当实验使用的量子粒子是光子时,由传输和探测而导致的光子效率损失会成为一个关键问题。虽然过去有些研究已经出色地进行了无探测漏洞的实验,但若要真的实现DIQKD,还需要更高的效率(90%以上)。尽管最近已有相关研究在降低所需的效率方面取得理论性的进展,但用于实际操作的实用协议仍然难以实现。
7月27日,以“编辑推荐”的形式发表于《物理评论快报》的一篇最新研究中,中国科学技术大学常务副校长、中科院院士、“科学探索奖”发起人之一潘建伟,中国科学技术大学教授、2021年“科学探索奖”数学物理学领域获奖人徐飞虎,及其同事张强等,通过发展设备无关理论协议和构建高效率的光学量子纠缠系统,首次在国际上通过实验实现了DIQKD的原理性演示。美国物理学会Physics网站、《自然》杂志、Quanta Magazine等分别邀请国际专家进行专题报道或评述。
在理论方面,他们提出了一个可以将装置的效率阈值降低到86%左右的协议。通过在实验测量结果中随机添加噪声,他们将其中包含少量关联信息但拥有较大错误的结果剔除,从而实现效率阈值的降低。在实验方面,他们研制了一种纠缠光子源,其效率为87.5%,超过了过去相关研究中的数值。
通过理论与实验上的突破,潘建伟团队实现了基于偏振的纠缠光子DIQKD。结合理论进展,研究人员进行了一项光纤长度达220米的DIQKD实验。实验结果表明,他们测量到的相关性足够强,足以确保生成密钥。
三个实验的对比
与此同时,两篇国际同行基于离子和原子的相关工作在《自然》杂志上发表,来自英国和德国的两个独立研究团队报道了他们利用相似的理论概念,实现了DIQKD的实验性演示。
虽然三项实验采用了相似的DIQKD方法,但它们的实验细节存在显著差异。
首先,三个研究团队选择的纠缠粒子是不一样的,每种粒子都有各自的优势,比如使用原子和离子会使研究人员更容易追踪到。其次,三项实验中,Alice和Bob的距离也都不同(都远小于一千米),实验表明,粒子在两个观测站的纠缠率会随着它们之间距离的增加而显著下降。此外,三个实验的密钥完成度也不一致,中国团队虽然没有在有限码长条件下生成密钥,但一旦探测效率有所提高,他们的系统应该只需几分钟的时长就可生成密钥。
目前,要使DIQKD成为一项实用的加密技术还需克服许多挑战,例如需要克服远距离的障碍,以及找到能够更快地生成密钥的方法。考虑到这些挑战,商用的DIQKD加密工具应该还有很长一段路要走。
即便如此,这仍是非常有价值的一次突破。这些实验表明,即使使用的是不完美的设备,也仍然可以生成安全的密钥。现在,世界各地都在努力建立各种纠缠量子网络,希望最终将能支持这些与设备无关的加密协议。
#创作团队:
撰文:微信公众号《原理》
#参考来源:
https://journals.aps.org/rmp/abstract/10.1103/RevModPhys.92.025002
#图片来源:
封面图 & 首图:Scixel / Enrique Sahagú via ETH