X

量子密钥:真 · 杀死伊芙

我有时开玩笑说,即使是上帝也不会知道。在测量前,宇宙也没有决定这个值是多少,这就是保密的起源。——科尔贝克


实验首次证明,完全隐秘地分享秘密或许可以实现,即使使用的是不那么可信的仪器。(Mordechai Rorvig)


在弗莱明(Ian Fleming)的第一部小说中,詹姆斯·邦德从皇家赌场回到自己的酒店房间,开始检查是否有入侵的痕迹。首先,他确认了事先放在书桌中的头发没有被动过,然后是壁橱把手上的滑石粉没有指纹,最后,确认厕所的水箱没有变化。于是他满意地开始思索自己更大的任务。


可邦德现在就没那么容易去确保自己的隐私了。他的秘密会储存到电脑上而不是房间里。当他需要用现代化的手段去分享这些机密的时候,可能会依赖一些运用 “小”科学——量子物理的复杂的器件,看起来像充满了阀门、腔室、激光器和透镜的叠叠乐积木。那么邦德到底能怎么确保使用这个器件时的安全性呢?


“量子器件非常难以表征,你不能去关注得太细节,”澳大利亚科学院的阿劳霍(Mateus Araújo)说,“不然就会很容易遭到黑客攻击。”


但从三十年前有关这类器件的概念中,就几乎透露出些迹象,表明这些弱点可能不算问题。之后理论家证明,用户要做的就是确保各自的器件在玩一个“游戏”,只要得到一个足够高的分数就算获胜,也就证明没有其他人窃听。


现在,牛津和慕尼黑各自有一个实验证明了这个过程,也就是设备无关的量子密钥分发(device-independent quantum key distribution)。在上海的第三个实验同时验证了大量的必要要求。三个团队的研究人员都需要通过精细地使用量子元件来完成密钥系统的设计安装。


“看到这些我感到非常激动和高兴,”约克大学的科尔贝克(Roger Colbeck)说,“他们做的事情都各有不同,但一样都是很杰出的成就。”


他们的实验将量子领域本质的未知性和不确定性所带来的完全保密性质应用到了日常的宏观世界当中。虽然这项技术距离实用还要很久,但它证明了完美隐私的可能。


保密的关键

这项技术的起源可以追溯到1949年,克劳德·香农(Claude Shannon)证明了完美保密(perfect secrecy)可以满足。假设你想加密一段用一串比特(1和0)来表示的信息,你可以加入密钥,也就是另一串完全随机的比特。对于一个不知道密钥的人来说,这串合并的字符看起来完全随机而且没有意义。问题是如何将这串密钥安全、及时地发送给需要的人呢?“为了使密钥有用,我们需要双方都知道密钥是什么,而其他人不能获得它,”以色列威茨曼科研所的阿农-弗里德曼(Rotem Arnon-Friedman)解释道。如果你通过传递者传送写在一张纸上的密钥,那么问题就会变成:如何保证传递的安全和快速?过去的三十年中,密码学家都在创造一些分发快速而安全的非随机密钥,但这些密钥并不是完美安全的:只要计算能力足够就可以破解。密码学家们不得不通过学习非局域化的“游戏”来获得完美密钥 。

量子币


物理学家发明这样的游戏最初是为了验证量子力学,直到后来牛津大学的物理学家爱科特(Artur Ekert)意识到这可以提供保密的功能。


爱科特研究的游戏由两个玩家组成,彼此互相隔离的爱丽丝(Alice)和鲍勃(Bob)。每轮每个玩家会随机回答两个一般疑问句(答案为是或否)的其中一个。为了获胜,他们的答案需要遵循以下方式:如果两者都回答第一个问题,那么答案必须一致;如果两人回答的是不同的问题,他们的答案也同样需要一致;但是如果两个人都拿到了第二题,他们必须要给出不一样的答案才能赢。


爱丽丝和鲍勃该如何使获胜的几率最大呢?


因为问题是随机提出的,他们需要同时回答第二道问题的概率只有25%,此时他们需要给出不同回答。不考虑量子处理的话,他们获胜的最佳策略是提前商量好给出相同的回答,即一直回答是或一直回答否,此时他们回合获胜的平均占比将为75%。


(Merrill Sherman for Quanta Magazine)


物理学家发现,爱丽丝和鲍勃可以利用量子物理学表现得更好。在分别之前,他们需要得到一套四个量子物体(比方说原子或者其他粒子),各自拿两个。我们可以将这种物体想象为硬币,作用后只能获得两个结果之一,正面或者反面。


爱丽丝和鲍勃必需使两枚硬币之间构建一个称为量子纠缠的特殊关系,(游戏中的)这个纠缠需要满足这样的关系:当爱丽丝翻转了自己的第一枚硬币,那么鲍勃抛出的自己第一枚硬币就会更可能翻转到同一个面;当他们两个抛出不同的硬币时,也会更可能以同样的面落地;而当他们一起抛出第二枚硬币时,它们更可能以不同的面落地。


你可能注意到了,两者落地的情况和游戏的状况是一致的。有了量子币的助力,爱丽丝和鲍勃只需要将第一和第二枚硬币分别对应第一和第二个问题,根据硬币的正面和反面回答是或否。根据量子币的顺序,爱丽丝和鲍勃可以完成一个赌徒的美梦:最高将有85%的赢面。


“这遵循量子力学的定律,”科尔贝克说,“只需要完成这个步骤,就能达到85%,尽管这个数字看起来不能用直观的理由解释。”


(Merrill Sherman for Quanta Magazine)


爱科特在1991年时证明这个游戏为秘钥分发提供了理论基础;但理论学家需要花费三十年来让这个游戏变为一个协议,或是一个详尽的程序,在数学上证明其保密性——即使是在硬币由爱丽丝和鲍勃的敌人制造的这样不可能发生的情形下。


保密进程


爱丽丝和鲍勃在把游戏变为一个分享密钥的程序时,必须做一个公开声明。


每当一轮游戏结束时,他们就需要公布一部分问题和答案。这可以让他们知道问题是否正确并计算获胜的比例。如果他们的胜率达到了理论上的最大值85%,那么就为这个可能具有完美安全的进程建立起了一系列特殊的事件。


首先硬币被抛出的结果必须是随机的,但是如何确定呢?


假设有一个叫做伊芙(Eve)的窃听者,妄图操纵硬币破坏其随机性,比如说使爱丽丝和鲍勃的第一枚硬币一直正面朝上。看起来是不是会增加胜率?其实不然,系统地分析所有可能性会发现,无论伊芙怎么操纵硬币,她都不能使胜率高于75%。所以说,只要胜率高于75%,就说明没有人提前操纵或者安排过这个过程。


“随机的事情正在发生。”科尔贝克说。


通过硬币随机翻转,爱丽丝和鲍勃可以创造出一串以随机比特组成的所需的密钥。每枚硬币翻转的结果他们不需要公开,只需要记录下正反面所代表的1和0的序列,并保证这串秘密的序列只在两人间公布。而且由于两人的硬币相互关联,他们都基本能知道另一个人的结果是什么(由于两人的关联性达不到100%,所以不能完全肯定,但可以略微调整一下游戏来确定)。


爱丽丝和鲍勃已经可以分发一个随机的密钥。但还有一个概率的问题,这个密钥足够秘密吗?假设伊芙在游戏开始前使自己的两枚硬币和爱丽丝、鲍勃的纠缠,她不就能参与其中、复制一份自己版本的密钥了吗?


爱科特展示出量子纠缠可以成为密码学的有力工具。(Duncan.Hull)


绝妙的是,并不会。爱科特发现胜率是85%的时候完全排除伊芙或其他人窃听的可能。这是因为量子纠缠是“单人游戏制”的,联系范围超过两个粒子的话就会迅速减弱 。如果伊芙的硬币加入爱丽丝和鲍勃的纠缠关系中,之间的联系就会大大下降,胜率会很快跌至85%以下。如果他们发现胜率低于85%的话,伊芙就会被“踢出群聊”。


“如果我们能够接近最大值,”牛津大学的纳德林格(David Nadlinger)说,“伊芙能偷听的概率非常小。”


通过这样的原理建立起来的随机性和隐秘性这两个性质,爱丽丝和鲍勃只需要在胜率达到85%时就可以保证完美保密地分发密钥。但对于偏执的密码学家来说,事情并不如此简单。对于他们来说最重要的认知就是,现实中不可能达到85%的胜率——况且这个硬币还是需要复杂机器控制的量子物体,听起来会出现无数的错误和安全漏洞


于是理论学家就开始证明在爱丽丝和鲍勃的胜率只要多于经典理论的75%,即使低于量子力学的最大值85%时,仍然能够保证完美安全。他们成功了,但前提是使用的仪器足够可信,比如找一个朋友来制造一台以特定的方式(像是没有内存这种)工作的设备。


直到2007年这个假设被摒弃了,科学家发现即使使用没那么严格控制的设备,还是可能做到安全。


直到2018年这个研究到达了一个高峰:理论证明,就算这台机器是伊芙造的,只要胜率达到一个实验学家可以达到的最低比例,就足够安全。也就是说,只要爱丽丝和鲍勃在游戏中的胜率达到一个特定比例,就能证明他们达到了安全性。


翻转粒子


由于新结论的出现,两年前三个团队的科学家决定发布一个设备无关的密钥分发,这件事不得不做。


他们已经探索出玩这个游戏的不同方法。来自牛津的团队在实验中使用的是电离化原子作为硬币,在每回合开始时纠缠,之后通过用激光射击原子的方式翻转,测量是亮是暗,这两种状态就对应硬币的正反面。为了降低复杂度,他们将实验缩小到一枚硬币(原子),可以翻转(测得)得到两个结果。


慕尼黑的研究人员用到一个类似的装置;而上海的科学家将原子换成了光子,测量一个纠缠的光子的状态和翻转原子是一样的。


牛津大学,一个捕获了离子的真空腔正在一个非局域的游戏中扮演鲍勃量子硬币的角色。用它和另一台仪器,科学家成功地生成了一个完整并完美保密的密钥。(David Nadlinger/ University of Oxford)


当然,能进行这个游戏是远远不够的,这个实验的胜率必须达到可信赖的高水平。只有达到这个要求,他们才能证明自己的比特足够保密。


慕尼黑的实验一开始并未达到足够的胜率来证明自己的比特保密,但团队后来意识到可以通过修改自己的协议来降低需要获胜的比例,于是他们给游戏引入了多一次的翻转。


来自新加坡国立大学的林(Charles Lim)说:“通过更多的随机测量引入的随机性对伊芙更不利,于是也就提高了对噪声的容忍度。”


同时,如果他们还需要及时地分发密钥剩下的一系列比特,实验要求完成回合尽量迅速。来自中国的实验有这样一个优势,可以快速地生成光子,虽然这样会使测量每个硬币的翻转非常困难,导致研究人员遗漏翻转,给伊芙入侵带来方便,也就是检测漏洞。


“鲍勃需要控制所有东西,并保证自己的探测器效率足够高。”中国科学技术大学的徐飞虎说。


参与其中的上海科学家通过一个新的协议在某种程度上克服了困难,即使是探测器效率低的时候也可以生成保密的密钥。但是当面对对手的强力攻击时,新的协议并不能做到完美隐私。


牛津和慕尼黑的实验保证了在任何可能的篡改下,每轮产生的比特仍是秘密的。而且牛津的团队更进一步,在最高保密性下分发了一个完整有限长密钥,虽然这个密钥需要数十万密钥比特。因此他们需要更高的速度,但受限于爱丽丝和鲍勃以及他们原子之间的距离。


慕尼黑的研究人员在相距400米的两地分发密钥比特。(Tim van Leent)


通过一个近距离的装置,牛津的实验在一天当中产生了一百万个密钥比特。于是他们开发执行了一个扩展协议来将这一大串比特变为完全有限长密钥。


“这串有限长数据分析对你的工作方式有很大影响,”牛津大学的佰伦斯(Christopher Ballance)说,“这其中可以开展许多工作。”


总的来说,这些实验表明我们已经已经到了一个新纪元,量子元件的复杂性不再是分享完美秘密的阻碍了。


现实中的保密性

抛开已有的成就不谈,三个实验都仅仅是个开始,大家都在努力在一个可观的距离上以实用的速度分发密钥。每个团队都在这两个领域进行耕耘。阿农-弗里德曼说:“我们还需要继续优化技术以获得显著提高的密钥率,一个改变游戏规则的技术还未出现。”在这之前,实验已经表明这个非局域化的游戏在现实层面上产生了一系列改变,这些改变是为了研究奇异的非局域现象——物体间可以在任意距离下产生瞬时的关联。如今,非局域游戏还提供了一个更现实的功能基础,那就是产生分享的密钥。科尔贝克说:“我有时开玩笑说,即使是上帝也不会知道。在测量前,宇宙也没有决定这个值是多少,这就是保密的起源。”