乾貨來了!京滬量通工程必要性的全面分析
相關閱讀
宣傳「量子通信」必要性和重要性的邏輯是:即將出現的量子計算機可以輕易破解傳統密碼系統,而量子通信技術能夠提供絕對安全的保密通信,所以必須儘快加速建設量子通信網路以解信息系統安全的燃眉之急。事實證明,作為邏輯推理的這兩大前提都是錯的。
目前的量子通信技術不能夠提供絕對安全的保密通信,系列上一篇文章中也已經作了說明,後面還有文章作更詳細的分析。本文的重點是駁斥量子計算機可以輕易破解傳統密碼系統的錯誤觀點。有些人非要用論文說事,也好,就讓我們從介紹論文開始吧。
不久前出現這樣一篇論文:「後量子時代的RSA」[1],該文發表後被多家相關雜誌轉載和引用,這些文章的共識是:目前使用的公鑰密碼RSA不會因為量子計算機的出現而消亡。喜歡讀論文請到本文後面註解中查找鏈接。
該篇論文的核心觀點是:假設量子計算機已經建成,再假設量子計算機的量子比特(Qbit)可以無限擴展,進一步假設該量子計算機的運行成本與現在通用電子計算機的成本可以相比,用這樣一台超級想像出來的量子計算機來破解長度為Terabyte(太位元組,等於1024GB)的RSA公鑰密碼需要量子計算機的量子比特操作總數為2^100(2的100次方)。
再讓我們估算一下量子計算機破解RSA需要多少量子比特。使用肖爾量子演算法破解4096位的RSA,據有關專家估算,考慮到必要的糾錯等因素,量子計算機需要的量子比特約為 4096^3 = 68719476736 。不久前IBM實現了50個量子比特,儘管IBM自己承認還在試驗階段,這條消息已經震驚全世界,僅僅只是可憐的50位!但要破解4096位的RSA,IBM設備的量子比特還需擴大至少10億倍,從工程角度來看,這幾乎就是不能完成的任務。請注意這裡討論的僅僅是4096位的RSA,那麼對1T位元組長度的RSA呢?按上述比例不難估算出需要的量子位約為2的126次方,那更是一個難以想像的天文數字。
2^100是一個什麼概念?這個數大於地球上所有生物細胞的總數!當然使用長度為Terabyte的RSA公鑰確實也有點離譜,但論文作者在今日的電子計算機上產生了這樣的公鑰,並有效地實施了加密和解密。按目前的技術水平,長度為Terabyte的RSA公鑰雖然並不實用,但至少還是可以實現的,隨著傳統電子計算機性能的飛速提高,使用超長字長的公鑰在技術上不會有很大困難。但是量子計算機即使建成,要破解這樣的RSA公鑰也毫無希望。
這篇論文並不是要為對抗量子計算機提供確切的方案,而是通過實驗和數據分析指出了一個冷酷的事實:即使圍繞量子計算機的技術難題和運營成本全都解決,只要現行的RSA公鑰增加字長和改善演算法,就能迫使量子計算機的惡意攻擊因為難以承受的代價而失敗告終,在後量子時代作為經典密碼系統重要基石的RSA具有足夠長的生命力。急於丟棄RSA等公鑰密碼系統而另闢蹊徑真的是杞人憂天。
請仔細思考一下,空間上需要超過2的100次方的量子位(再次強調,這個數大於地球上所有生物細胞的總數!),時間上需要2的100次方的操作,這樣的量子計算機究竟什麼時候才能造得出來?但凡稍有一點常識,應該不難作出正確的判斷[2]。有些科普文章把量子計算機寫得太神奇,好像公鑰密碼面對量子計算機不堪一擊,這是沒有科學根據的。科普宣傳必須實事求是,千萬不可越界寫成科幻作品。有些量子通信的科普作品把公鑰密碼描寫成危在旦夕,又把「量子通信」吹成絕對安全,為量子通信工程倉促上馬製造輿論,這和街頭推銷大力丸靠一嚇二吹又有何區別。
以上分析告訴我們,即使明天大型量子計算機的技術難題和運營成本全都解決,公鑰密碼通過增加字長和改善演算法也足夠保證數據傳輸的安全。而事實上,上百萬量子位的量子計算機的建成和投入實用在可預見的未來是不可能的,所以公鑰密碼的安全性是有雙重保險的,倉促建設「量子通信」工程完全沒有必要。
製造可實用的量子計算機目前遠不只是一個工程問題,而是在基礎原理層面遇到一系列嚴峻的挑戰。歸根到底,量子計算機和「量子通信」的難處都在同一癥結上:就是對於單量子態的控制和測量。量子態的疊加和糾纏特性為量子信息處理提供了誘人的前景,但是量子態必須能被測量和讀出才能為我所用。但是量子世界中不存在獨立的暗中觀察者,測量不是被動地讀取信息,它會根本地改變被測物的量子態,這就是「海森堡不確定關係」。量子測量必然會干擾被測物量子態的詭異屬性使得從量子系統中獲取信息變得極其困難。
量子態的疊加、糾纏和測量是量子力學不可分離的三要素,你不能只要量子態疊加和糾纏的長處,而不要量子態測量的短處。真可謂:成也量子態,敗也量子態。製造量子計算機遇到的最大困難都可歸結到對量子態的測量。
處於疊加和糾纏的量子態具有豐富多樣的信息,但水靈靈的量子態也是非常的嬌嫩,受到任何一點外界環境的影響(污染),就不再保持理想的量子純態,逐漸失去量子相干性,這個過程叫量子系統的退相干(decoherence)。為了延長退相干的時間,唯一的辦法就是盡量把量子態與外界環境隔離,但是深度隔離的量子態就變得越發的難以測量,因為測量的設備和觀察者本身也是環境的一部分。一個量子系統與環境隔離得越好,系統保持的相干時間越長,但是我們也就越難對其控制和測量,測量者好像必須與環境作對,從量子系統中去搶信息。目前超導量子態的相干時間大約在10到100微秒之間,如果用它們做成量子計算機,它最多只能連續工作萬分之一秒。
為了解決量子態的退相干難題,引入了量子糾錯(quantum error-correction) 技術。 其基本想法是把信息複製多個副本來防止個別副本出現誤碼,這與重要文件一式多份防止篡改是同一道理。我們把一個量子態的信息分散存儲在幾個高度糾纏的量子態中,通過測量這些相關狀態的總體表現來查錯糾錯。我們把單獨的量子態稱為物理量子比特,把多個物理量子比特糾纏形成容錯的稱為邏輯量子比特,一個邏輯量子比特至少要有500至1000個物理量子比特構成。經過量子糾錯,邏輯量子比特的維持時間會遠超過物理量子比特的相干時間,這才是真正具有計算功能的邏輯量子比特。當下量子計算機最大的挑戰就是實現穩定可靠的邏輯量子比特,這一步到目前為止連實驗室都還沒有做成功。
這是2013年發表在 Science 上的「量子計算台階圖」,下一層功能是上一層功能的基礎,從下到上,一步難於一步。這個台階圖的第三層就是量子糾錯和控制,目前世界頂級實驗室能登上這第三層的鳳毛麟角,而且腳跟都沒有站穩。要製成實用的可以破解公鑰密碼的量子計算機必須一步步往上攀登到達最高的第七層,量子計算難,難於上青天!
量子計算機目前面臨的不止只是工程困境,現在有些科學家甚至認為從原理層面上來看,建造用來破解密碼的量子計算機就是不可能完成的任務。2018年初的量子雜誌連載有三篇質疑量子計算機可行性的相關報導,其中的一篇介紹了以色列數學家Gil Kalai和他的研究工作,下面讓我們再介紹一篇論文。
Gil Kalai和其他專家合作發表了一篇論文[3]。Kalai的文章是關於玻色採樣(Boson sampling)的雜訊分析,結論是玻色採樣對雜訊相當敏感,在容錯量子計算機中很難實現明顯的量子加速。量子態的退相干現象實質上是有關雜訊的物理過程,Kalai通過數學建模和分析得出兩條結論:1)把物理過程的雜訊抑制趨向於零的代價是無法承受的,換言之,要得到精確穩定的邏輯量子比特,需要的物理量子比特數會有指數型的增加;2)過程的雜訊減少是以系統靈敏度減少為代價的,就是說,量子糾錯會限制量子態承載信息的豐富多樣性。總而言之,我們不能既要量子態的豐富多樣,又要量子態的可控和穩定,就像你很難找到一個思想上天馬行空,而又對你百依百順的天才型奴才。Gil Kalai的觀點有待進一步的實驗驗證,但是他的研究至少讓我們進一步認識到,研製實用的量子計算機的道路十分艱難遙遠。
為了滿足論文愛好者的需求,本文再引兩篇中國科學家的論文[5]。這裡展示一下論文的部分結束語:「這些結果表明,解釋量子力學現象並非一定需要哥本哈根的波包塌縮詮釋!依據並無共識的哥本哈根詮釋、不加甄別地發展依賴詮釋的量子技術,在量子技術發展中會導致技術科學基礎方面的問題。隨著時間的推移,這種問題嚴重性會逐漸凸顯出來。顯然,如果不能正確地理解量子力學波函數如何描述測量,就會得到「客觀世界很有可能並不存在」的荒誕結論;如果有人不斷宣稱「實現」了某項量子技術的創新,但何為「實現」卻依賴於有爭議的、基於波包塌縮的「後選擇性」,這樣的技術創新的可靠性必定存疑。因此,澄清量子力學詮釋概念不僅可以解決科學認識上的問題,而且可以防止量子技術發展誤入歧途。」
通用大型量子計算機有可能永遠也做不出來,即使最後做成功,沒有一二十年不可能,就是有了量子計算機,要真正威脅4096位的RSA公鑰密碼恐怕還得再等一二十年,到了那時候公鑰密碼增加字長改變演算法,量子計算機還是只能望洋興嘆。公鑰密碼在可以預見的將來是足夠安全的,那麼現在倉促建設「量子通信」工程的必要性究竟又在哪裡?
事實上,「量子通信」工程團隊中不少人現在己經明白他們當時的宣傳和邏輯推理是錯的,但又沒有勇氣承認錯誤,於是只能避開量子計算機這個問題的實質,轉移目標,扯進了傳統電子計算機作為擋箭牌。
現在推動量子通信工程建設的新借口是:在傳統電子計算機攻擊下公鑰密碼的絕對安全也是無法證明的,而量子通信至少在理論上是絕對安全的,所以有沒有量子計算機攻擊都要堅持量子通信工程建設。真是:「欲找借口,何患無辭!」
量通人士的新借口事實上不值一駁,但凡稍有一些工程技術背景的都能看出其中的錯誤。但是量通人士在實驗室的象牙塔中呆得太久,我們只能對他們多些耐心,把工程思維的基本原則為他們重新疏理一遍。
1)工程建設沒有絕對安全這樣的概念,建座橋,造架飛機,生產藥品,需要絕對安全的證明嗎?怎麼證明?不能證明絕對安全就必須立即啟動新的工程來代替嗎?新的工程的絕對安全性又怎麼證明?
2)理論上的絕對安全都是有許多條件的,工程實施時無法完全滿足這些條件,否則工程的代價無法忍受,工程都是性能和代價的折衷和最優化。「量子通信」工程一定也逃脫不了這個規律,絕對安全的量子通信在現實中也是不存在的,事實上目前的京滬量子通信幹線的安全性遠差於傳統密碼系統,對此後面還有文章作更詳細的分析。
3)從工程的角度分析,本無絕對安全性這個概念。安全都是相對的,它應該只是一組統計數據,要看論文請看文後註解[5]。在密碼工程中,信息需要保護的時間都是有期限的,世上不存在需要永遠保密的信息。一個密碼系統只要保證信息在敏感期內不被破解,或者更正確的說,在信息敏感期內讓破解要付出難以承受的代價,那麼這個密碼就是足夠安全的。長期的使用實踐和理論演算法分析為公鑰密碼的安全性作出了堅實的背書,就像我們認為三峽工程和高鐵工程都是足夠安全的,這裡使用的是同樣的邏輯和標準。只有我們可愛的量子通信工程推動者們不明白這個道理。
4)傳統密碼對於傳統電子計算機破解從數學演算法上有著嚴格全面的分析研究,傳統密碼可以通過調節密鑰字長和演算法的改進確保信息在敏感期內的安全。由於對傳統電子計算機可行演算法的研究是非常清楚的,不可能出現演算法革命性突破,所以傳統密碼並不面臨緊急的危機。但電子計算機運行速度的提高和破解演算法的改進(特別是演算法的平行化改進)也不能忽視,所以傳統密碼學的研發也從未停止。
事實上,傳統密碼學研究產生的一些新演算法和新成果對付傳統電子計算機攻擊可以說是遊刃有餘。但是這個事實對於密碼學研究者卻並非好事,因為這就失去了爭取大額研發經費的理由,這也是為什麼部分傳統密碼學的研究人員恰恰是量子計算機威脅的鼓吹者。
5)密碼系統保證的是信息在信道傳輸中的安全,信道安全只是信息系統安全的一部分,從目前來看信源上的安全問題更嚴重,信源安全才是信息安全水桶上的短板,理應受到更多的重視,關於信息安全的水桶效應本系列另有專文分析。總體來看,傳統密碼在可預見的將來具有足夠的相對安全性,「量子通信」的相關基礎研究是應該的,但建設量子通信工程目前完全沒有必要。
通過以上詳細的分析,得到的結論就是傳統密碼系統在可預見將來是足夠安全的,建設量子通信工程目前完全沒有必要。這個結論實際上是大多數IT業界的共識。有何根據?請只要看看紅紅火火的區塊鏈技術發展。區塊鏈技術的數據傳輸安全保障用的就是公鑰密碼,公鑰密碼是整個區塊鏈技術安全的基石。到如今,沒有一塊比特幣因公鑰密碼被破解而失竊的!
我有一個老朋友是甲骨文公司負責區塊鏈開發的VP,為了公鑰密碼的安全性我特地通過電話向他請教。我對他說:「量子通信」科研人員認為公鑰密碼不安全,你們全力開發區塊鏈就一點不擔心嗎?他反問我:「有關信息安全的工程評估和技術路線的決策,我應該相信工程一線上的大多數工程師和專家呢,還是去相信一些大學實驗室里的學究呢?」
至此做個小結:
可以威脅公鑰密碼安全的量子計算機還在遙遠的未來,即使明天外星人帶來一台大型實用的量子計算機,公鑰密碼也能通過增加字長和改變演算法保持足夠的安全性。公鑰密碼是傳統密碼系統中的分系統,它的一個子功能是用作密鑰分發的。公鑰密碼也不是密鑰分發的唯一方法,傳統密碼系統還有多種其它方法進行密鑰分發。未來數十年內傳統密碼系統是安全的,倉促建設「量子通信」幹線完全沒有必要。更何況「量子通信」的絕對安全僅停留在紙面上,而且也不具備工程建設的可行性,下文的重點就是「量子通信」工程建設的可行性分析。敬請關注跟讀。
TAG:科工力量 |