編者按

加密系統維護著在線通信的安全，也使電子商務得以實現，而量子計算機的出現對許多加密系統都構成了威脅。瑪格麗特·哈里斯（Margaret Harris）在本文探索了量子時代各種保障網路安全的計劃方案。

撰文 | Margaret Harris

翻譯 | 羅彬月

校譯 | 楊嶺楠

責編 | 陳曉雪

英國蘇塞克斯大學的溫弗里德·漢辛格（Winfried Hensinger）提出了一個設想：建造一台足球場大小的計算機。他知道這個想法很難有人買單。畢竟科學家和工程師們數十年來都在努力將電腦從上個世紀四五十年代的房間般大小縮成桌面設備、手持設備，甚至於可以藏在一把鹽中——譬如2018年3月IBM發布的晶元。如此說來，為什麼還會有人想要後退如此大的一步呢？

答案就藏在漢辛格提出的計算機架構中。他和同事希望建造一台計算機，不做經典的0/1運算，而是利用十億鐿離子所具有的量子性質來進行運算而。在漢辛格的藍圖中，這些離子依靠磁鐵遠離環境，並且利用一個微波輻射場使離子在巨型微加工陷阱的相互作用區域里一個個穿梭。漢辛格說，這樣一來人們將擁有一台能解開「即使是最快的超級計算機也要花數十億年才能解決的極其複雜的難題」的計算機。

溫弗里德·漢辛格（Winfried Hensinger）在英國蘇塞克斯大學（University of Sussex）的實驗室演示他提出的量子計算機示範版本。

漢辛格的夢想在其所在領域非同尋常，但追夢的路上他並非孤身一人。近些年政府和企業（諸如谷歌和IBM）都已傾注了數十億美元到量子計算的研發中。得益於如此大規模的投資以及全球各地成千上萬的科學家們不懈的努力，未來大型量子計算機在某個地方以某種形式得以實現，將不再是什麼天方夜譚。顯然這不會在一夜之間發生，因為哪怕是當今最高精尖的設備擁有的也不超過幾十個量子比特，即使漢辛格自己也承認，得花大功夫（及大量投資，大概一億英鎊）才能把現有的原型拓展到十億量子比特的水平。但他同時堅定地認為，要克服這些挑戰需要解決的問題在於工程層面，而不是物理層面，量子物理學家們的態度也都是普遍樂觀的。幾乎沒有人質疑通用量子計算機將在未來20年間問世。

唯一的問題就是：如果量子計算機真實現了，它可能會給互聯網帶來破壞性的影響。

一個量子問題

要想搞懂量子計算機為何會構成這樣的威脅，我們先來看看加密系統。加密系統時刻保護著人們在網路中的信用卡信息及其他敏感數據，以防惡意竊聽。現今多數的加密系統都是圍繞著「陷門函數」搭建的。陷門函數是數學問題，擁有少量特定信息可以很容易解出，但沒有這些信息就會變得極難。

比如說RSA，這是一種廣泛使用的公鑰加密演算法，它的演算法基於因子分解。RSA演算法首先隨機選出兩個質數，然後把它們相乘得到第三個數字，這個新數字就組成了用來加密數據的公鑰的一部分。然而，解密這些數據需要私鑰，私鑰來自於質因子本身，但尚未有任何經典演算法可以有效計算出這些質因子，所以當需要被因子分解的數字非常大的時候——比如說現在的RSA標準有617位之長——即使最快的計算集群也無法破解出來。

量子計算機則不同。1994年，數學家皮特·索爾（Peter Shor）設計出一種演算法，可以使量子計算機對較大的數字進行高效的因子分解。漢辛格預計，他的第一代足球場大小的機器可以在110天內分解一個617位的數字，如果可以降低每個量子操作的錯誤率，甚至十天內就可完成。其他常見的公鑰系統，比如基於Diffie-Hellman或者橢圓曲線加密演算法的公鑰系統，都同樣容易受到攻擊。「如果你認為這些數學問題的難度足以保障網路安全，」英國布里斯託大學即將畢業的博士研究生亨利·西米連科（Henry Semenenko）解釋道，「那麼在量子計算機面前，它們可一點都不能算難了。」

西米連科指出現今廣泛使用的加密方法即將失效，因為我們即將迎來一個「量子的千年蟲時刻（Y2K moment）」。20年前的千年蟲問題（Y2K）使許多電腦無法處理1999年之後的日期，害得大批科學家們手忙腳亂地修理系統、整理代碼。量子計算機或許會帶來一個類似的中斷。那麼哪些組織容易在公鑰加密突然變得不安全時遭受攻擊呢？西米連科的博士導師、布里斯托量子信息研究所研究人員克里斯·艾爾文（Chris Erven）不假思索地給出了一份清單，比如銀行、通信公司以及醫藥供應商，甚至還有發電廠、運輸設施和其他核心基礎設施系統。奧地利維也納科學院物理學家魯伯特·厄爾辛（Rupert Ursin）對此持相同的觀點。他警告說：「常見的高危部門有醫療機構、政府以及軍隊，但這些只是冰山一角。」

20年前的Y2K和量子版本的Y2K有個最大的區別，原先問題僅僅關於時間，而量子版本的問題則模糊的多。「這一點很讓人惱火，因為20年前的Y2K清晰地指向了只有1999年12月31號之後才會面臨的若干秒混亂，」艾爾文說，「而量子版本的Y2K可能要毫無規律地分散到數年之中。」

造成這種不確定性的一個原因是沒有人知道可加密的量子計算機何時出現。加拿大滑鐵盧大學量子計算研究所聯合創始人米謝勒·莫斯卡（Michele Mosca）是一位很有影響力的科學家，他表示有五成的可能性人們將在2031年前造出量子計算機。而學界有些人則更加冒進，美國一家網路安全創業公司Quantum Xchange首席執行官約翰·普利斯科（John Prisco）認為只要3年就可以做到。5到10年的預測聲音也很常見。

第二個複雜的因素則涉及到某些類型的數據，對於這類數據而言，量子Y2K問題形同發生了。「爭論的重點一直在於假設的量子計算機可能會對密鑰進行解碼，」瑞士日內瓦大學物理學家羅伯·提歐（Rob Thew）說道，「但是我們現在掌握的情況是，你只能先把所有數據存儲起來，等未來有了量子計算機，再進行解密。」因此，即便能解碼它們的計算機還沒有出現，但任何需要超過10年安全期的加密信息已然存在風險。

這樣的信息比比皆是。比如病人的就醫記錄理應終生保密，甚至有些在其去世後10或20年內仍舊保密。公司尤其是政府機構也希望信息無限期保密。無需絞盡腦汁地去想更多例子，普利斯科本人在2015年就曾被盜取個人信息，當時美國政府人事管理辦公室數據大規模泄露，而普利斯科還認為資金充裕又一意孤行的竊賊們已經對上述數據下手了。

傳統的解決辦法管用嗎？

好消息是這種大規模的信息安全危機並不是不可避免的。「過去沒有發生Y2K是因為人們往裡投入了大筆資金和精力來修正問題，」英國倫敦大學皇家霍洛威學院信息安全專家肯尼·帕特森（Kenny Paterson）對此表示，「現在也是如此。」

廣義來說，解決量子Y2K的方法分兩類。第一種方法比較直接，帕特森等密碼學家對此都很提倡，就是替換掉像RSA這樣容易受到攻擊的加密方法，採用新方法來抵禦用量子計算機進行攻擊的竊聽者們。為此，2016年美國國家標準與技術研究院（NIST）舉辦了一場新型「後量子」加密標準化競賽。競賽的第一輪於2017年截止，共收到了69份參賽作品。帕特森提交了兩份作品，他說參賽的每一個系統都各有優劣。比如有些後量子方法在公鑰中使用了較短的數據串，卻需要很大的計算量。而另一些方法計算量不大，卻需要更長的密鑰。研究院需要用長達5到7年的時間來測試這些演算法並衡量它們的優劣。帕特森認為，「但最後我們將得出一個有足夠可信度的演算法組合。」

然而對某些參賽作品來說，「足夠的可信度」也還是不夠的。「後量子密碼學要找的問題是那些對量子計算機來說也很難解決的問題，」荷蘭代爾夫特理工大學物理學家斯蒂芬妮·維納（Stephanie Wehner）說，「但其實並沒有什麼問題是量子計算機不可解的。」約克大學物理學家、英國量子通信中心主任提姆·斯皮勒（Tim Spiller）說：「由於我們還沒有大規模的量子計算機，所以很難說這些計算機能做什麼，又能跑些什麼演算法。」艾爾文指出，有的演算法一度被認為應該是「安全」的，但隨後也會暴露出問題。如果你希望你的數據傳輸從根本上高度安全，你或許需要把複雜的物理和複雜的數學相結合的加密方法。

物理學方法的安全性

除了以上第一種方法，第二種方法就是基於物理學的加密。艾爾文、斯皮勒和維納與本文採訪到的其他科學家一樣，都是量子密碼學的專家。在這種密碼學中，密鑰不是以二進位的0和1的方式進行傳輸。相反，量子密碼學中的密鑰由隨機生成的量子態光子串組成。當發送者Alice把這些光子傳輸給接收者Bob，任何試圖竊聽對話的人都必須要測量這些光子的屬性。但是量子物理的原理決定了，一旦竊聽者試圖測量這些光子的屬性，他們就會使光子發生改變，這樣一來Alice和Bob會察覺到入侵行為，這個密鑰會因此失效。因此，原則上說，即使是竊聽者有一台強大的量子計算機以及無限的耐心，量子密鑰分發（QKD）在面臨任何類型的竊聽時也還是安全的。維納說：「隨他們怎麼高興計算下去，就算宇宙寂滅，也解不出來任何信息的。」

然而即便在理論上很迷人，QKD 在操作上依然有著明顯的局限。其中最主要的一點是量子鍵不好傳播。隨著Alice和Bob之間距離的增加，連接他們的光線損耗會降低交換密鑰的速率。當距離增加到幾百公里後，可用光子的數量將不可控地變少。因此，為了保持平穩運行，QKD系統的連接的長度通常在100到150千米之間，這個長度足夠不同城域內的用戶之間建立直接連接，也足夠大城市的總部和郊區數據中心之間的連接。

要將密鑰傳遞到更遠的距離，就必須通過「可信節點」系統將這些短鏈路以菊花鏈的方式連接在一起。量子信號將在每一個節點被測量一次，再重新傳遞到下一個節點。有若干個國家已經完成了這種菊花鏈的開發；Quantum Xchange目前正在美國東北走廊鋪設一個可信節點網路，而英國也正在布里斯托爾和劍橋之間建造一條鏈路。可在帕特森看來，可信節點恰恰是竊聽者夢寐以求的機會。「我們最初使用加密手段就是因為不信任網路的中間節點，」他評論說，「人們常說起，『可中國在北京和上海之間建了1000千米的QKD呢！』太牛了！但是要知道，在這個 QKD 之中正有可信節點呢。這個網路的使用者必須要信任政府不在這些節點上監聽他們的通信信息。祝好運！」

物理學家們正尋求能提高 QKD 實際安全性的策略，也在致力於擴大它的覆蓋範圍。藉助於更先進的探測器和光子源，QKD 節點間的最大距離持續得到突破，2018年11月由日內瓦大學、美國跨國企業康寧以及瑞士一家QKD公司 ID Quantique 的研究人員創下了最新記錄——421千米。而另一個策略則是建立「量子中繼器」，這些量子中繼器可以發揮與可信節點一樣的功用，卻並不需要把量子信號變成竊聽者可以識別的傳統信號。現今的量子中繼器目前只能達到實驗室應用的層級，維納認為，這項技術將在10年之內部署到位。維納正在負責協調跨歐洲的研發項目Quantum Internet Alliance。

Quantum Xchange量子密鑰分發（QKD）鏈路計劃第一階段使用「可信節點」系統跨過哈德遜河上方，將紐約市曼哈頓下城島與新澤西州連接起來。許多金融機構的後台部門都坐落於此。第二階段將會沿美國東海岸把網路向上下分別延伸至波士頓和華盛頓。

第三種方法是跳過光纖利用衛星分配量子密鑰。這雖不能解決密碼學家對「可信節點」的質疑，但可以使QKD未來在目前尚未覆蓋的地區也投入使用。BT通信公司安全創新顧問伊恩·孟提斯（Iain Monteath）表示，光學衛星技術有其固有缺點。比如日光和雲層，會超出人們的控制。然而，他認為良好的地面網路可以克服這些問題，在某些地方則別無他法。他說：「除非有一天人們能鋪設跨大西洋（及其他大洋）電纜，每隔150千米建立量子中繼站或者可信節點，否則任何其他方式都會很艱難。」

合作就是力量

在過去，由於量子科學家和密碼學家之間的互不信任，導致建立「量子安全」互聯網的努力流產了。「這兩個群體互相不理解，不交流，致使互相感覺不怎麼良好，」ID Quantique聯合創始人兼首席執行官格里瓜爾·李伯笛（Grégoire Ribordy）這樣說。他們之間依舊可見挖苦的痕迹，比如帕特森就批判可信節點是「物理學界的吹噓」，還哀嘆「量子成分」竟使 QKD 比複雜的數學問題更有賣點。不過他還是與量子通信中心的艾爾文、斯皮勒等人一道合作，共同致力於量子密碼學和QKD的協同工作。「我的工作角色就是當經典密碼學界的反對面，」他說，「我批判的人也是我的朋友，而他們也知道我的職責就是去批判他們的工作。」

斯皮勒對後量子密碼學發展的態度則屬於柔和派。他說：「我認為長遠看來，只要能有充分的理由去避開量子演算法的攻擊，你就可以把量子安全硬體和數字加密進行某種組合，從而達到安全通信的效果。」維納認為，由於 QKD 採用對稱密鑰而不是RSA使用的公私對，後量子密碼學是替代當前公鑰加密系統的一個更好的選擇。「我認為這些技術多少有些互補，」 她說，「它們適用於不同的對象、不同的安全級別以及不同的情境，就看你更偏重哪個因素了。」

李伯笛建議有安全需求的公司應該同時對這兩種選擇展開調查。他說：「公司首先要提出的問題是，自己面臨的風險到底會出自哪裡？」對於要處理有效壽命不到兩年的信息的機構來說，可能他們根本什麼也做不了。持有10到15年保密期限信息的機構，則希望自己現有的系統「加密」層級更高，以便與後量子加密方法或者完全成熟的 QKD 時代相接軌。

實現這一轉型並非易事，因為 QKD 需要改變的不僅僅是軟體，還有硬體。帕特森認為這比後量子加密更難解決。但即使是以軟體為基礎的解決方法也需要花很大功夫。就像之前的 Y2K 問題一樣，李伯笛表示：「你理解問題所在，但是打補丁卻很難。而運行成千上萬台舊式加密的自動取款機，並不是按一個按鈕就可以讓軟體全部更新掉，這可是不一樣的。」

在孟提斯看來，解決量子 Y2K 問題的「正確」途徑還取決於一個完全非技術性問題的答案：你對你的數據安全問題有多焦慮？他說，「有的產業認為，『後量子加密技術不錯，太謝謝了；看上去它能行』，」 但是另一方卻說，即使量子計算機沒出現，讓我們不妨看看那些已經出現缺陷的加密方案吧，有缺陷是因為它們畢竟是人寫出來的而不是宇宙天生自帶的。你會相信哪一個呢？」

作者簡介：

瑪格麗特·哈里斯現為《物理世界》雜誌產業版編輯，電郵 margaret.harris@iop.org。

原文鏈接：https://physicsworld.com/a/the-quantum-y2k-moment/

更多內容：http://www.zhishifenzi.com

本頁刊發內容未經書面許可禁止轉載及使用

公眾號、報刊等轉載請聯繫授權

copyright@zhishifenzi.com

商務合作請聯繫

business@zhishifenzi.com

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！