如何產生真正的隨機數？量子物理學來助力

本文由《Nature 自然科研》授權轉載，歡迎訪問關注。

原文作者：Stefano Pironio｜布魯塞爾自由大學量子信息實驗室研究員

通信系統依靠隨機數發生器來加密信息。即便是不可信的設備，如果它可以產生真正的隨機數，也可以提高安全性。

現代密碼學使用的加密方案大量使用隨機、不可預知的數字來確保攻擊者無法破譯加密的數據或信息。因此，可靠的隨機數發生器至關重要。一項全網際網路分析發現，數以萬計的伺服器因為使用劣質隨機數發生器而容易受到基本攻擊。Bierhorst 等人在《自然》上發表了一篇文章，介紹他們利用量子物理學和狹義相對論交叉地帶的一些效應，展示了一種終極隨機數發生器，實現了前所未有的安全性。

儘管很容易想到可以產生隨機數字的方案，但是卻很難評估它們的安全性，即這些隨機數對於攻擊者來說的不可預測性究竟有多大。追根究底，許多問題出在這類方案不能僅僅通過從黑箱角度，即內部運作不可知的角度，考察它們的輸出來加以檢驗。例如，某些被稱為偽隨機數發生器的算術運算可產生完全可預測的數字序列。然而，這些序列沒有任何可識別的模式，因此，如果一個人不知道這些數字原本是如何產生的，則很難將它們與通過真正的隨機方法獲得的序列區分開來。

只有當隨機數發生器滿足兩個條件時，才能建立安全性。首先，用戶必須知道數字是如何生成的，以驗證正在執行的是一個有效程序。其次，這個系統對攻擊者來說必須是一個黑箱，以防止其內部機制被攻擊者利用。

但是，第一個條件是不現實的。由於瑕疵，元件老化，意外故障或攻擊者的有意篡改，隨機數發生器可能偏離其預期設計，導致產生未能被發現的偏差。實時監控隨機數發生器的內部機制既不切實際也有困難。此外，第二個條件違反了柯克霍夫原則（Kerckhoffs』 principle）——現代密碼學的核心原則，信息理論之父克勞德·香農（Claude Shannon）將其重新描述為「敵人了解正在使用的系統」。換句話說，設計密碼系統時應該假設對手會很快熟悉它們。

值得注意的是，有鑒於不同尋常的量子物理學法則，有可能創建一個可證明的安全的隨機數發生器：用戶不知道它的內部生成機制，而攻擊者可以充分詳細地描述它。

要理解它的工作方式，請看Bierhorst及其同事進行的實驗（圖1）。他們先製備了兩個糾纏態光子，然後將每個光子分別發送到不同的遠程測量站，在那裡記錄光子的極化。在測量過程中，光子無法相互作用——測量站相距太遙遠了，要求信號的傳播速度比光速快。然而，由於光子的糾纏性質，測量結果是強相關的。這種相關性可以通過被稱為貝爾不等式的破壞（violations of Bell inequalities）的統計標準進行實驗性檢驗。

圖1 | 量子隨機數發生器。Bierhorst 等人報告了一個可以產生真正隨機比特串（0s和1s）的實驗，有助於提高各種通信系統的安全性。作者製備了一對糾纏在一起的光子（藍色和紅色），這意味著它們的屬性是強相關的。然後他們將每個光子發送到不同的遠程測量站，在那裡記錄光子的極化。因為光子對的強相關行為和相互之間的遠距離，兩個觀測站的測量結果是不可預測的。然而，即使在數百萬次運行之後，隨機性也很小。作者使用強大的後處理技術從這些測量中生成真正的隨機比特，且該過程中對光子行為的物理假設最少。

兩個遠程光子的強相關行為表明，它們可以用來設計一個比光速更快的通信設備。這確實是可能的，除非光子的測量結果是不可預測的，在這種情況下，在通信設備中使用這些光子的任何嘗試都將失敗，因為這會導致信息混亂，難以辨認。由於不可能進行比光速更快的通信，因此貝爾不等式的破壞意味著隨機測量結果。也就是說，它提供了一個隨機性的實驗性認證。

這個結論僅僅取決於比光速更快的信號傳輸的不可能性，而不取決於相關量子系統的任何詳細描述。因此，從對手的角度來看，無論對手對進行中的量子過程有何了解，它都必然是真實的。而且由於貝爾不等式的破壞只能由觀察到的輸出結果的統計數據來驗證，驗證程序代表了隨機性的黑箱測試。

過去三十年來，人們在許多實驗中都觀察到了貝爾不等式的破壞，並且它們與隨機性的定性關聯已為人所知多年。然而，量子信息研究人員僅在過去幾年才開始開發工具來利用這種關聯。

一個關鍵的困難是，大多數違反貝爾不等式的實驗都受到漏洞的影響，這意味著它們不能被視為黑箱實驗。舉例來說，在之前兩個基於貝爾不等式來產生隨機的實驗中，兩個光子不能進行亞光速信號交換這一束縛條件並沒有得到嚴格滿足。在過去的幾年中，人們已經開展了一些無漏洞實驗，但它們仍然是一項技術挑戰。特別是，在這些實驗中觀察到的貝爾不等式的破壞程度儘管足以證實光子的相關行為，但是不足以驗證質量足夠高到能用於加密目的隨機性的存在。

Bierhorst及其同事已經改進了現有的無漏洞實驗設置，使這種隨機性有可能實現。但是，這個門檻才勉強觸碰到。在他們的實驗中，每次測量一個光子時，所產生的隨機性（以比特0s和1s表示）相當於投擲一枚正面朝上概率為99.98％的硬幣。

在運行多次後，測量結果的序列應該已經積累了足夠的不確定性，通過巧妙的後期處理應能夠提取真正的隨機比特。但是，現有的序列分析方法不足以達成這個目標。Bierhorst 等人因此引入了一種強大的統計技術，針對他們觀察到的貝爾不等式的弱破壞，實現了這一目標。最終，作者能夠在大約10分鐘的數據採集中生成1,024個隨機比特，相當於測量5500萬個光子對。

Bierhorst和同事們的隨機數發生器代表了有史以來產生隨機性的最細緻和最安全的方法。然而，它的產生速度遠低於更常規的商業量子隨機數發生器，後者每秒可以產生數百萬個隨機比特。儘管如此，可以合理預期該隨機數發生器的產生速率會提高，而最終不會成為嚴重的限制因素。

作者的隨機數發生器更大的問題在於尺寸：它包括兩個相距187米的測量站，以防止光子對之間的亞光速信號傳遞。未來這種距離可能會縮短，但很難想像它能使用可預見的技術達到更標準的電子硬體的尺寸（最多幾厘米）。

雖然Bierhorst及其同事的研究不會直接帶來實用的消費級隨機數發生器，但它為隨機比特的安全生產提供了一個新的方向和理想選擇。作者的實驗和理論方法可以被改進用來設計更實用且更簡單的隨機數發生器，其中有望保留研究中的許多概念和安全優勢。?

原文以The certainty of quantum randomness為標題，發布在 2018 年 4 月 11 日的《自然》新聞與觀點上。

版權聲明：

? 2018 Macmillan Publishers Limited, part of Springer Nature. All Rights Reserved

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！