[科普中國]-量子密碼就是量子通信嗎？

密碼學(xué)是內(nèi)容極其豐富的學(xué)科，目前量子信息技術(shù)僅僅在“密鑰分配”這個具體分支上可望發(fā)揮獨(dú)特的作用。保密通信是密碼學(xué)的重要內(nèi)容，其基本原理是采用密鑰 （0，1的隨機(jī)數(shù)列）通過加密算法將甲方要發(fā)送的信息（明文）變換成密文，在公開信道上發(fā)送到合法用戶乙方處，乙方采用密鑰從密文中提取所要的明文。

如果甲乙雙方采用相同的密鑰（即）則稱為對稱密碼或私密密碼。如果，則稱為非對稱密碼或公開密碼，其中是公開的密鑰，只為乙方私人擁有。

量子密碼（圖片來源于網(wǎng)絡(luò)）

如果任何竊聽者在不知曉密鑰的情況下，可以從秘文提取出明文，則這種密碼體系是不安全的。事實(shí)上，每個國家，無時(shí)無刻都在收集其他國家所發(fā)出的秘文，許許多多極其聰明的破譯專家日以繼夜地企圖從各種秘文中提取有用的機(jī)密信息，這種精彩的情報(bào)戰(zhàn)早已成為大眾百姓津津樂道的公開秘密。人們要問，有沒有一種令所有專家都無法破解的密碼？確實(shí)有！早在上世紀(jì)四十年代，著名的信息論鼻祖香農(nóng)采用信息論嚴(yán)格證明，如果密鑰長度與明文長度一樣長，而且用過后不再重復(fù)使用，則這種密文是絕對無法破譯的，俗稱為“一次一密”。太妙了吧！

那么為何這種“一次一密”的密碼迄今未被廣泛推廣使用呢？主要原因是，“一次一密”要大量消耗“密鑰”，需要甲乙雙方不斷地更新密碼本，而“密碼本”的傳送（稱為“密鑰分配”）本質(zhì)上是不安全的。采用不安全的密鑰來實(shí)施“一次一密”加密仍然是不安全的。那么是否有什么辦法可以確保密鑰分配是安全的？有，這就是“量子密鑰分配”（縮寫為“QKD”）！

量子密鑰分配（圖片來源于網(wǎng)絡(luò)）

“量子密鑰分配”應(yīng)用到量子力學(xué)的基本特性（如量子不可克隆性，量子不確定性等）來確保任何企圖竊取傳送中的密鑰都會被合法用戶所發(fā)現(xiàn)，這是QKD比傳統(tǒng)密鑰分配所具有的獨(dú)特優(yōu)勢，后者原則上難于判斷手頭的密碼本是否已被竊聽者復(fù)制過。QKD的另一個優(yōu)點(diǎn)是無需保存“密碼本”，只是在甲乙雙方需要實(shí)施保密通信時(shí)，實(shí)時(shí)地進(jìn)行量子密鑰分配，然后使用這個被確認(rèn)是安全的密鑰實(shí)現(xiàn)“一次一密”的經(jīng)典保密通信，這樣可避開保存密碼本的安全隱患。

（圖片來源于網(wǎng)絡(luò)）

量子密鑰分配的過程大致如下：單個光子通常作為偏振或相位自由度的量子比特，可以把欲傳遞的0，1隨機(jī)數(shù)編碼到這個量子疊加態(tài)上，比如，事先約定，光子的圓偏振代表1，線偏振代表0。光源發(fā)出一個光子，甲方隨機(jī)地將每個光子分別制備成圓偏振態(tài)或線偏振態(tài)，然后發(fā)給合法用戶乙方，乙方接收到光子，為確認(rèn)它的偏振態(tài)（即0或1），便隨機(jī)地采用圓偏光或線偏光的檢偏器測量。如果檢偏器的類型恰好與被測的光子偏振態(tài)一致，則測出的隨機(jī)數(shù)與甲所編碼的隨機(jī)數(shù)必然相同，否則，乙所測得的隨機(jī)數(shù)就可能與甲方發(fā)射的不同。乙方把甲方發(fā)射來的光子逐一測量，記錄下測量的結(jié)果。然后乙方經(jīng)由公開信道告訴甲方他所采用的檢偏器類型。這時(shí)甲方便能知道乙方檢測時(shí)哪些光子被正確地檢測，哪些未被正確地檢測，可能出錯，于是他告訴乙方僅留下正確檢測的結(jié)果作為密鑰，這樣雙方就擁有完全一致的0，1隨機(jī)數(shù)序列。

如果有竊聽者在此過程中企圖騙取這個密鑰，他有兩種策略：一是將甲發(fā)來的量子比特進(jìn)行克隆，然后再發(fā)給乙方。但量子不可克隆性確保竊聽者無法克隆出正確的量子比特序列，因而也無法獲得最終的密鑰；另一種是竊聽者隨機(jī)地選擇檢偏器，測量每個量子比特所編碼的隨機(jī)數(shù)，然后將測量后的量子比特冒充甲方的量子比特發(fā)送給乙方。按照量子力學(xué)的假定，測量必然會干擾量子態(tài)，因此這個“冒充”的量子比特與原始的量子比特可能不一樣，這將導(dǎo)致甲乙雙方最終形成的隨機(jī)數(shù)序列出現(xiàn)誤差，他們經(jīng)由隨機(jī)比對，只要發(fā)現(xiàn)誤碼率異常地高，便知有竊聽者存在，這樣的密鑰不安全，棄之不用。只有當(dāng)他們確認(rèn)無竊聽者存在，其密鑰才是安全的。接下來便可用此安全密鑰進(jìn)行“一次一密”的經(jīng)典保密通信。

上述這種保密通信，實(shí)質(zhì)上是“一次一密”的經(jīng)典通信，只是密鑰是由QKD生成的，通常也稱為量子保密通信。

那么有兩個問題出現(xiàn)：

一是，如果竊聽者不停地竊聽，甲乙雙方就無法獲得安全的密鑰，于是保密通信便無法進(jìn)行。確實(shí)如此，QKD對此無能為力！它唯一的優(yōu)勢功能就是斷定是否有竊聽者存在，所分配的密鑰是否安全而已。這點(diǎn)在傳統(tǒng)密鑰分配原則上做不到。QKD只能用來確保傳遞信息的安全性，無法抗擊“破壞信息傳送”的行為。在這種場合只有借助于其他辦法進(jìn)行保密通信，比如，采用網(wǎng)絡(luò)QKD，若某一路中段，尋找不被竊聽的傳輸路徑實(shí)現(xiàn)安全的密鑰分配。如果QKD網(wǎng)絡(luò)都處于被竊聽的狀態(tài)，那只好采用傳統(tǒng)的保密通信辦法了。

二是采用量子比特所生成的安全密鑰比起用傳統(tǒng)方法所得到的安全密鑰（假定存在這種辦法）有優(yōu)越性嗎？回答是否定的。只要密鑰是安全的，不管是用何種辦法生成的，兩者性能完全一樣。特別是，如果達(dá)不到“一次一密”的加密程度，即使QKD的密鑰是絕對安全的。這種密碼體系同樣可能被聰明的破譯者所攻破。

現(xiàn)在我們可以回答標(biāo)題所問的第一個問題：量子密碼是量子通信嗎？答案是否定的！所謂“通信”簡單地說就是傳遞信息（即“明文”）。量子密碼只是傳送經(jīng)典隨機(jī)數(shù)而已，不包含有任何信息內(nèi)容，因此，與“通信”無關(guān)。量子保密通信實(shí)際上包括由QKD生成的安全密碼和“一次一密”經(jīng)典通信兩個部分，本質(zhì)上仍然是經(jīng)典通信?，F(xiàn)在媒體、學(xué)術(shù)界所說的“量子通信”就是量子密碼或者量子保密通信，是某些人概念不清的誤導(dǎo)，再由媒體炒作放大而形成的。真正的“量子通信”有其確切的內(nèi)涵，即將信息編碼在量子比特上，在量子通道上將量子比特從甲方傳給乙方，直接實(shí)現(xiàn)信息的傳遞。這種真正的“量子通信”目前仍處于基礎(chǔ)研究階段，離實(shí)際應(yīng)用還相當(dāng)遙遠(yuǎn)。

量子密碼是絕對安全的嗎？（圖片來源于網(wǎng)絡(luò)）

下面我們來回答第二部分問題，即量子密碼是絕對安全的嗎？或者問，量子保密通信果真能做到不可竊聽、不可破譯的絕對安全嗎？保密通信的安全性同時(shí)受到兩個因素制約：密鑰的安全性和“一次一密”的真實(shí)性。量子密碼在理想狀態(tài)下可以確保密鑰的安全性，但實(shí)際上，量子密碼系統(tǒng)絕對達(dá)不到理想狀態(tài)，例如單粒子探測效率不是百分百的，它會產(chǎn)生傳輸損耗，各種器件不完善等等問題，這些非理想漏洞就可能被竊聽者用來竊取密鑰，但卻不會被合法用戶發(fā)現(xiàn)。就算人們能設(shè)計(jì)出與設(shè)備完全無關(guān)的量子密碼協(xié)議，但因隨機(jī)數(shù)的真?zhèn)?、合法用戶的識別等問題仍然難以做到密鑰的絕對安全。只能是“相對安全”。另一方面，量子密碼體系必須確保安全密鑰的生成率足夠高，以達(dá)到視頻信息“一次一密”加密的需求，否則，即使密鑰是安全的，保密通信仍然是不安全的。

量子密碼的研究已有30多年歷程，目前達(dá)到的實(shí)際水平是：在百公里范圍的城域網(wǎng)，量子密碼體系可以做到密鑰分配在現(xiàn)有技術(shù)保證的各種攻擊下是安全的，安全密鑰生成率在25公里可確保高清視頻“一次一密”，在100公里內(nèi)能確保音頻、文字、圖片等的“一次一密”。因此可以制定“量子密碼標(biāo)準(zhǔn)”，推廣應(yīng)用。隨著攻擊技術(shù)水平的提高，現(xiàn)有相對安全的量子密碼可能會被攻擊，到那時(shí)將會隨之更新“量子密碼標(biāo)準(zhǔn)”。因此，結(jié)論是：實(shí)際上，量子密碼是相對安全的！

至于，超過城域而筑建的任何城際量子密碼網(wǎng)絡(luò)，目前仍無法確保其安全性?，F(xiàn)在通常使用的是“可信中繼”，其安全性依賴于人的因素，所以安全程度不會超越現(xiàn)有的傳統(tǒng)加密。遠(yuǎn)程量子密碼只有采用“量子中繼”才能確保其安全性，而“量子中繼”的研制受到可實(shí)用的量子存儲器和確定性糾纏光子源的限制，目前仍然處于基礎(chǔ)研究階段。

說得更遠(yuǎn)些，能否通過衛(wèi)星等實(shí)現(xiàn)“天地一體化”的量子保密通信網(wǎng)絡(luò)呢？理論上可行，但實(shí)際上難以做到。而且，是否非這樣做不可也值得探討。暫不說覆蓋地面的網(wǎng)絡(luò)有多難，就說“地空之間”的量子密碼，必須確保在各種惡劣條件下全天候?qū)崿F(xiàn)安全的密鑰分配，而且它的密鑰分配要達(dá)到“一次一密”的需求，就目前人類所達(dá)到的技術(shù)而言，這些條件都是可望不可及的。

通過衛(wèi)星實(shí)現(xiàn)“天地一體化”的量子保密通信網(wǎng)絡(luò)？（圖片來源于網(wǎng)絡(luò)）

上面所述的有關(guān)量子密碼是在私密密碼體系中，至于另種公鑰密碼體系在量子信息技術(shù)時(shí)代處境如何呢？現(xiàn)有公鑰體系的安全性是基于難求解的數(shù)學(xué)難題，如大數(shù)因子分解等。業(yè)已證明，量子計(jì)算機(jī)的并行運(yùn)算能力可以攻破RSA，DSA和ECDSA密碼。因此，現(xiàn)有的公鑰體系將面臨巨大的挑戰(zhàn)。但是量子計(jì)算機(jī)并不能解決電子計(jì)算機(jī)難于求解的所有數(shù)學(xué)問題，這也意味著，量子計(jì)算機(jī)并不能攻破所有密碼體系，特別是10年前密碼學(xué)界就開始著手研究“抗量子計(jì)算攻擊的新型密碼”，而且不斷取得進(jìn)展。一旦這種新型的安全密碼體系的研究得以成功，量子時(shí)代的信息安全將得到保證，而且這種抗量子計(jì)算密碼顯然比起目前研究的量子密碼無論從造價(jià)上還是使用上都具有更大優(yōu)勢，相信會獲得更廣泛應(yīng)用。