量子加密驚現破綻?請媒體提高知識水平,不要亂搞大新聞
關注風雲之聲
提升思維層次
導讀
所謂《量子加密驚現破綻》,是一篇連基本術語都翻譯錯了的標題黨文章。量子密碼不可能用數學方法破解,要竊密只能用物理方法攻擊設備,好比《偷天陷阱》之類的盜寶電影,相當於作弊。量子密碼術的厲害之處,可以用這樣一句話來表示:我允許你作弊!
註:風雲之聲內容可以通過語音播放啦!讀者們可下載訊飛有聲APP,聽公眾號,查找「風雲之聲」,即可在線收聽~
2019年3月中旬,一下子有許多人來問我:聽說量子加密驚現破綻,是怎麼回事?
既然大家都很關心這件事,我立刻就調研了一番。調研的結論是:
這篇文章純粹是標題黨啊!作者壓根不知道自己在說什麼啊!
下面,我先來簡略地回答幾個最常見的問題,然後再詳細解釋。
問:量子密碼不是號稱絕對安全嗎?怎麼會被破解?這是立了個flag被打臉了嗎?牛皮吹爆了嗎?
答:平常說的破解量子密碼和破解傳統密碼,指的是不同層面的事情。傳統密碼的破解,指的是用數學方法破解。而量子密碼是不可能用數學方法破解的,要竊密只能用物理方法攻擊設備。所謂破解量子密碼,就是指用某種方法攻擊設備,好比《偷天陷阱》之類的盜寶電影。跟數學手段相比,這相當於作弊。你明白這兩者的區別了吧?
《偷天陷阱》
你經常會聽到人們說量子密碼術具有絕對安全性,或者無條件安全性,或者完美安全性,或者資訊理論安全性等等,這些說法指的就是上面的意思:不可能用數學破解。也就是說,如果你的設備是可靠的,那麼你絕對不會泄密。這是一個得到數學證明的結果,是一個定理。
所以,當科學家說量子密碼具有絕對安全性的時候,不是在吹牛立flag,而是在陳述一個數學定理。如果有人能給你的設備搗鬼,那麼他當然有可能偷到你的信息,但這跟絕對安全性並不矛盾。你應該這樣理解:別人只能通過入侵你的設備來竊密,豈不正說明了這種保密方法的安全性?
實際上,即使是物理攻擊,也有很多是量子密碼術已經能夠防住的。也就是說,即使你作弊,我也不見得怕。用遊戲的語言來表述,就是:量子密碼的數學抗性是100%,物理抗性還沒有達到100%,但也已經相當高了。
因此,量子密碼術的厲害之處,可以用這樣一句話來表示:
我允許你作弊!
問:深科技這篇文章介紹的,究竟是什麼?
答:是一種對量子密碼設備新的物理攻擊手段,叫做「注入鎖定」(injection locking)。
問:這種物理攻擊方法,破解量子密碼術了嗎?
答:其實原始論文說的很清楚:他們是自己搭了一個原型的量子密碼光路,然後用注入鎖定偷到了信息。同時他們指出,用一個常見的器件「光隔離器」(optical isolator),就能防止注入鎖定的攻擊。
現在的量子通信設備,都裝了光隔離器。因此,這項工作就好比告訴大家:如果你的電腦沒有裝殺毒軟體,我就能劫持你的電腦。這是完全正確的,但大家本來就已經裝了殺毒軟體。
問:中國的量子通信幹線「京滬幹線」有沒有風險?要不要為此改裝設備,增加成本?
答:上面已經說了,現在的量子通信設備已經能抵禦這種攻擊。所以京滬幹線沒有受到影響,不會為此多花錢。
問:既然量子密碼術也有可能被破解,那麼基於數學難題的密碼術是不是更好呢?
答:這個問題的關鍵一句話就能點破:基於數學的傳統密碼術的設備,難道不會受到物理攻擊嗎?
你稍微一想就能明白,量子密碼術面臨的威脅只來自物理,傳統密碼術面臨的威脅來自數學加物理。因此,前者顯然優於後者。
問:你是怎麼知道這些結論的?
答:哈,這就要引出一長篇文章了。
一、基本背景
深科技這篇標題黨的文章,本意是要報道上海交通大學物理與天文學院特別研究員金賢敏研究組的一篇論文。這篇論文是用英文寫的,標題叫做《用注入鎖定破解量子密鑰分發》(Hacking Quantum Key Distribution via Injection Locking),2019年2月27日發布在學術預印本平台arXiv上,2月28日稍加修訂後發布了第二版。
什麼叫預印本?預印本就是沒有經過同行評審的文章稿件。學術期刊上的論文,都是要經過同行評審後才能發表的,這是期刊公信力的根本。越著名的期刊,評審的標準越高,過審越不容易,所以大家聽到一篇文章發在像《自然》(Nature)、《科學》(Science)這樣的頂級期刊上,才會覺得十分高大上。
不過,審稿可能會需要很長時間。如果你只看已經發表出來的文章,也許會錯過一些有趣的最新進展。因此,學術共同體搭建了像arXiv這樣的預印本平台,供大家把自己尚未發表的文稿發上來交流。預印本的好處是快,不足自然就是質量缺乏保證,公信力跟期刊文章不可同日而語。
金賢敏研究組的這篇文稿,可以在這個鏈接下載到:https://arxiv.org/abs/1902.10423。這篇文章不算長,只有7頁。我仔細讀了這篇文稿,包括它的兩個版本,感覺除了一些技術細節之外,基本上理解了它的意思。
著名的科技媒體「麻省理工學院技術評論」(MIT technology review)有一個欄目,是專門發來自arXiv的技術進展的。他們注意到了這篇文稿,於是寫了一篇新聞《有一種破解量子密碼術的新方法》(There』s a new way to break quantum cryptography)(https://www.technologyreview.com/s/613079/theres-a-new-way-to-break-quantum-cryptography/)。但後面我們會看到,MIT技術評論的這篇新聞就已經不太專業了,有不少似是而非的錯誤,可見編輯對量子信息這個學科只是一知半解。
在我看來,這兩個聲明已經說得足夠清楚了,完全解答了相關的科學問題,甚至還做了許多額外的科普。不過,大多數網民顯然沒有看懂這兩個充滿術語的聲明。在我的微信公眾號「風雲之聲」的留言中,大部分說的都是類似這種:每個字都認識,連起來就不知道是什麼意思了……
這真是令人很遺憾,科學家的嚴謹聲明,傳播力遠不如胡編亂造的自媒體文章。不過,有一點信息我相信大家一聽就能理解:金賢敏跟潘建偉是什麼關係?
如果你做一下調研,立刻就能知道:
金賢敏就是潘建偉的學生啊!
上海交通大學物理與天文學院金賢敏主頁
好,大家可以問問自己,也問問媒體:你覺得,金賢敏會故意給自己的博士導師背後捅一刀嗎?有點常識好吧!
所以,我估計金師弟最近被媒體搞得很鬱悶,一個正常的科學研究被歪曲得不成樣子,甚至拖累了自己的導師,這都什麼破事兒啊。
在此期間,傳統媒體也採訪了其他一些專業人士。例如《科技日報》3月16日的報道《量子加密驚現破綻?業界大咖紛紛回應!再來聽聽量子黑客怎麼說…》(http://view.inews.qq.com/a/20190316A0973B00),採訪了我的科大同事、中科院量子信息重點實驗室韓正甫教授以及正在科大訪問的俄羅斯量子中心研究員瓦蒂姆·馬卡洛夫(Vadim Makarov)。他們都指出,那篇流傳甚廣的自媒體報道(https://mp.weixin.qq.com/s/EVB3xGeT4rAjYkNCF9xboA)就是為了吸引眼球,這種攻擊對現在的量子通信設備並不構成威脅。
瓦蒂姆·馬卡洛夫
順便說一句,馬卡洛夫是一位國際著名的「量子黑客」,做了很多攻擊量子密碼體系的工作,在科學期刊上發表了很多論文,被引用次數達到3500。
馬卡洛夫表示,量子黑客們將所有發現的安全漏洞全部以科學論文的形式公開,與量子密碼系統構建者緊密合作,共同推動了實際系統的安全性。從這種意義上來說,量子黑客肩負著特殊使命,已經成為獨立於量子密碼設備生產商和用戶的「第三方評估者」,並在量子密碼系統標準化的工作中發揮重要作用。
經常可以看到有人抨擊量子密碼沒有經過實踐檢驗,要求搞紅藍軍對抗。現在你明白了吧,這個領域的研究者本來就在搞紅藍軍對抗!
其實自媒體並不是全都知識水平低下,開局一張圖,內容全靠編,也有一些相當專業的。3月19日,風雲之聲轉發了「量子客Qtumist」的一篇文章《量子黑客的獨白:自媒體妖言惑眾,「量子加密」被「驚現破綻」,我們需要底線!》(https://mp.weixin.qq.com/s/1CZC0H5f4eSmU5vMFbbVsw)。這篇文章的專業水平就相當高。不過,從讀者留言來看,大多數人只是看明白了此文的態度,即憤怒地抨擊標題黨,還是很難看明白此文的科學內容。
下面,我就來向大家解釋一下這裡的科學原理。不過,首先要打個預防針,再好的科普也不可能讓你真正理解深奧的科學內容,博士寒窗苦讀十幾年不是白讀的。讀者千萬不要有一種幻覺,以為自己看幾篇微信文章就能掌握量子信息這種前沿科技了,甚至就能指責專家是騙子了。
我在這麼一篇短文中提供給你的,不可能是技術性細節,最多只能是量子密碼這個領域的大圖景。即使僅僅是理解大圖景,也是需要讀者付出可觀的努力認真去學習的,沒有付出就沒有收穫。
有了這個共識,咱們才能往下進行。否則有些人可能會賴在我身上,他們會說:你說的我都看不懂,可見你說的都是錯的!不要笑,我真的見過這種人。在感嘆「活久見」之餘,我只好先加上這一段基本說明,讓大家先有個正確的態度。
因此,在本文中,如果你有什麼地方感到不明白,這是完全正常的。我寫過一篇4萬字的文章《你完全可以理解量子信息》,你如果想了解更多的細節,歡迎去看這篇長文。風雲之聲把《你完全可以理解量子信息》分成了一系列短文,你進入風雲之聲的頁面,點一級菜單「科技」,再點二級菜單「量子科普」就能看到。
風雲之聲的頁面菜單
由於有這些比較詳細的文章在前,這次我就跳著說了,只解釋一個大框架。
二、傳統密碼術
密碼術的基本目的,是為了解決一個問題:如何在不安全的信道上,安全地傳輸信息?
回答就是,通信雙方要隱藏一些信息,在不安全的信道上只傳送密文,用這些隱藏信息把密文還原成明文。這些隱藏信息就叫做密鑰,英文是key。
深科技的標題黨文章中把「密鑰」翻譯成「鍵」
量子保密通信的專業名稱叫做量子密鑰分發(quantum key distribution),此文也非常荒誕地翻譯成了「量子鍵分布」。更加離譜的是,同一句中後面的「量子力學」(quantum mechanics),居然被翻譯成了「量子機械」!
深科技的標題黨文章中把「量子密鑰分發」翻譯成「量子鍵分布」,把「量子力學」翻譯成「量子機械」
連基本知識都沒有,就來指手畫腳,這樣錯誤百出的文章,能在輿論場大行其道,真是時代的悲哀。
吐完血之後,讓我們繼續學習。所有的密碼術,都包含兩個元素:密鑰和演算法。舉個例子,一個非常簡單的加密方法,演算法是「在英文字母表上前進x步」,密鑰就是x這個數。如果取x =1,明文的「fly at once」(立即起飛)就會變成密文的「gmz bu podf」。當然,這麼簡單的密碼非常容易破解,在現實中是不會用的。
現在的絕大多數加密方法,都是基於某種數學問題的單向困難性。也就是說,一個問題沿著正方向很容易,你可以用它來加密,但逆方向就很困難,導致破解很困難。
舉個例子,現在最常用的密碼體系之一叫做RSA,這個名字是三位發明者李維斯特(Ronald Linn Rivest)、沙米爾(Adi Shamir)和阿德曼(Leonard Adleman)的姓氏首字母縮寫。RSA密碼體系用到的數學難題叫做因數分解(factorization),也就是說,找到兩個大的質數,把它們乘起來得到一個合數,是很容易的,但給你一個大的合數,把它分解成兩個質因數,是很困難的。
RSA
密碼體系的三位發明者
類似的密碼體系,還有橢圓曲線密碼等等,有大量的密碼學家在這個領域裡耕耘。我對這些成果都充滿敬意,它們確實有非常高的智力含量。如果讓我去解決這些數學難題,我肯定是不會的。
但是,密碼學家面對的對手並不是像我這樣的普通人,而是全世界最聰明的數學家,大多數情況下就是其他密碼學家。
例如,計算機科學的創始人之一、英國數學家阿蘭·圖靈(Alan Mathison Turing,1912 - 1954),在二戰期間參加了破譯德國密碼體系「奇謎」(ENIGMA)的工作,做出了巨大貢獻。
圖靈
實際上,在英國人之前,波蘭密碼學家馬里安·瑞傑斯基(Marian Adam Rejewski,1905 - 1980)等人就破解了早期的奇謎系統。在1939年9月1日德國入侵波蘭之前,他們把研究成果告訴了英國和法國,為圖靈等人的工作提供了基礎。令人遺憾的是,他們的名聲在很大程度上被埋沒了。網路上經常見到對波蘭的嘲諷,但我們應該知曉和尊敬波蘭人的成就。
瑞傑斯基
奇謎是一個非常複雜而精巧的密碼系統,當時許多人認為它是不可破解的。但實際上,在幾年之內就破解了,這成了德國敗亡的一個重要原因。
奇謎機器
二戰結束後,英國把繳獲的幾千台奇謎機送給了若干個前殖民地國家。這些國家仍然以為奇謎非常安全,於是英國在很長時間內輕鬆解譯了他們的秘密通信!
再來看一個近年的例子。中國密碼學家王小雲院士,在2004年和2005年破解了廣泛應用於計算機安全系統的MD5和SHA-1兩大演算法,引起了國際轟動。
王小雲
為什麼許多曾經被認為牢不可破的密碼體系,最終都被破解了呢?有一個深刻的原因。
這些演算法的基礎,都是某些單向困難的數學問題。但在數學上,任何一個實際在用的問題都沒有被證明是單向困難的。實際上,就連單向困難的數學問題是否存在,我們都還不知道。
因此,我們現在對數學密碼的信心只能是基於經驗,即這個問題看起來很困難,我不知道怎麼解,到目前為止也沒見人解出來。但這顯然不是個真正可靠的理由,你解不出來是你的事,你怎麼知道別人解不出來?你怎麼知道將來的人解不出來?
更進一步想一想,你的敵人如果破解了你的密碼,他會告訴你嗎?二戰期間,盟國就成功地隱瞞了破解德國和日本密碼的事實,為此甚至不惜讓一些部隊去犧牲,讓他們以為自己的密碼還有效。
因此,如果你說某種密碼從來沒見人破解過,可見誰也破解不了,這話對於有見識的人來說是很可笑的,完全是低估了密碼學的特殊性。
我在一本講密碼學歷史的書上見過一句很有趣的話:「這門研究保密的科學本身就是被保密的科學。」(西蒙·辛格《碼書》,劉燕芬譯,江西人民出版社2018年3月第一版,作者序第9頁)這話的意思是,密碼學的很多進展是不會對外公開的。
《碼書》
例如,前面說過的RSA密碼是兩位美國學者和一位以色列學者在七十年代發明的,但在他們之前,三位英國學者艾利斯(James Henry Ellis,1924 - 1997)、考克斯(Clifford Christopher Cocks)和威廉森(Malcolm John Williamson)就已經發明了同樣的密碼體系。也就是說,RSA密碼其實本來應該叫做ECW。
為什麼ECW沒有公開他們的發現呢?因為他們在英國的情報部門工作,他們的成果都必須保密。
我們在敬佩ECW的同時,也應該想一想,有多少其他國家的密碼學家在努力破解中國的密碼?你能看到他們的成果嗎?
因此,我們應該有個基本的概念:所有基於數學的密碼的安全性,都是未經證明的!未經證明的!未經證明的!
到目前為止,唯一的已經證明不可能被數學破解的密碼,就是量子密碼。因此,量子密碼的價值是一目了然的。
再想一想,如果你是美國的決策者,看到中國發展了量子密碼,讓自己的數學破解能力無用武之地,你會怎麼做呢?你會不會派人去散布輿論說,量子密碼沒有用處,忽悠中國自己把量子密碼體系廢掉?
這些問題,都是值得大家仔細思考的。
三、量子密碼術
量子密碼術是怎麼實現保密的呢?跟傳統密碼術一樣,也是通過演算法和密鑰。
實際上,量子密碼術用的演算法還是個特別簡單的演算法,簡單到三言兩語就能說清楚。
任何一串信息,都可以表示成一串二進位字元,即一串0和1。對這個01字元串的每一位數字a,我們都給它一個對應的密鑰k,這個k也是一個0或1的數字。根據a和k,就可以算出對應的密文b,它也是一個0或1的數字。
對應的規則是:如果k = 0,那麼b就等於a;如果k = 1,那麼b就等於0和1中不等於a的那一個。也就是說,k =0就把0變成0,1變成1,而k = 1就把0變成1,1變成0。再簡單一點說,k = 0就不變,k = 1就01互換。
這大概是你能夠想到的最簡單的演算法了!你可能會在文獻上看到它叫做「異或」或者「模為2的加法」之類,不要被數學術語嚇住,其實就是這麼個簡單得不能再簡單的演算法。
你也許會感到奇怪,那麼多複雜的演算法都保不了密,這個最簡單的演算法反而可以?憑什麼?
訣竅不在於演算法,而在於密鑰。
請注意,這裡的密鑰不是只有一位數字。如果只有一位數字,那當然完全沒有保密效果。實際情況是,對於原文的每一位,都相應地有一位密鑰。也就是說,如果原文的長度是n位,那麼密鑰的長度也是n位。如果原文像《紅樓夢》那麼長,那麼密鑰也需要有這麼長。
《紅樓夢》
這還沒完。這串密鑰的字元串,還必須是個隨機的字元串。也就是說,每一位都是隨機的0或者1,任何兩位數之間,沒有任何聯繫。
這仍然沒完。這麼長的密鑰,還只能用一次。也就是說,你這次用n位的密鑰傳輸了n位的原文,下次你傳同樣的內容,還必須從頭再來,重新構造n位的密鑰,千萬不能把原來的密鑰再用一次。這叫做「一次一密」。
這終於完了。量子密碼術中的密鑰,就是滿足這樣三個條件的字元串:長度跟明文相等,隨機,一次一密。
為什麼要這樣做呢?因為這樣就絕對不會被數學方法破譯。
為什麼不可能被破譯?因為這樣的一段密文,可能對應任何的一段跟它等長的明文,而且概率相等。比如說,既可能對應「明天上午向東進攻」,也可能以同樣的概率對應「後天下午向西撤退」,還可能以同樣的概率對應「飛出地球移民宇宙」,甚至可能以同樣的概率對應「玄不救非氪不改命」……對這樣沒有任何偏向性的密文,你能有什麼辦法分析呢?完全無從下手,因為這裡根本就沒有一個數學問題讓你去解決。這好比真正的「大隱隱於市」。
長度跟明文相等,隨機,一次一密,滿足這三個條件的密鑰叫做「一次性便箋」(one-time pad)。因此,密碼學中一個重要的定理就是:用一次性便箋加密的密文,是絕對不可破譯的。這條定理是資訊理論的創始人克勞德·香農(Claude Elwood Shannon,1916 - 2001)證明的。
香農
許多人聽到類似「絕對不可破譯」這樣的說法,第一反應就是在哲學層面上不信:世界上怎麼會有絕對的陳述呢?於是乎,任何人都能來掉幾句書包,顯擺一下自己的哲學修養:沒有絕對安全的系統,任何聲稱絕對安全的系統最終都會被攻破云云。
這些人貌似很有哲學水平,實際上是沒有搞清楚人家說的是什麼意思,亂髮議論。你應該想一想,你能想到的,難道數學家們想不到嗎?很多數學定理都是在某些前提下,得到一個絕對的結論。難道你能禁止數學中使用「絕對」這個詞嗎?別忘了,還有「絕對值」呢!希望讀者朋友們提高知識水平,多談有技術含量的乾貨,拋棄這種廉價的、自作聰明的哲學清談。
一件有趣的事,是量子密碼研究者在對公眾宣傳時用詞的變化。最初他們經常說「絕對安全性」,後來發現老是被人誤解,於是就改說「無條件安全性」或者「完美安全性」。即使這樣也經常被誤解,於是最新的流行用詞成了「資訊理論安全性」,意思是,如果你承認香農的資訊理論是正確的,那麼你就會承認這種密碼體系是安全的。
你有沒有覺得這個說法變得好聽一點呢?實際上,所有這些詞說的都是同樣的意思!嗯,人類的本質不只是復讀機,還包括朝三暮四的猴子……
值得注意的是,一次性便箋中的三個條件缺一不可。無論是密鑰長度小於明文,還是密鑰的各位之間有聯繫,還是同一串密鑰用了兩次,都會導緻密文呈現某種結構,你的對手就有了著力之處,就可能通過頻率分析之類的手段破解你的密碼。大家可以自己想想這個道理,作為一個課後練習。
好,現在來思考一下:既然一次性便箋密鑰已經能保證不可破譯,為什麼大家不用這種方法呢?為什麼還要花大力氣發展各種各樣複雜得多的密碼體系呢?
原因其實也很明顯。一次性便箋密鑰跟原文一樣長,你怎麼傳輸這麼大量的密鑰?如果你有一個安全的信道來傳輸密鑰,那麼你用這個信道直接傳輸原文不就行了,還要加密幹什麼?之所以要加密,不就是因為沒有安全的信道嗎?這就好像《國產凌凌漆》里那個「有光照才會發光的手電筒」,成了一個一本正經的笑話。
《國產凌凌漆》達文西:你拿另外一隻手電筒來照它呢,它就會亮了
如果你在不安全的信道上傳輸密鑰,那密鑰被人竊取了怎麼辦?如果你派一個信使去傳送密鑰,那麼如果這個信使被抓了(例如《紅燈記》中的李玉和),或者叛變了(例如《紅岩》中的甫志高),那損失會有多麼巨大?
《紅燈記》中的李玉和
《紅岩》中的甫志高
在實用當中,一次性便箋只用在極少數的場合,就是那些需要絕對安全的通信,為此不惜任何代價的地方。例如美俄總統之間的熱線,就是用這種方法來防護的。
你也許會感到很失望:這種辦法看似很完美,實際上反而是用得最少的啊!
別急,下面就是大反轉的時刻了。
你有沒有注意到,到目前為止,我們談的全都是作為數學方法的一次性便箋密碼術,跟量子力學還毫無關係?
量子密碼術,就是用量子力學的物理方法在通信雙方產生了一次性便箋密鑰。這裡的要點是什麼呢?是雙方同時獲得了密鑰!沒有第三者信使在中間傳輸!
聽起來很不可思議,是吧?是的,這確實是非常巧妙的思想,量子力學創造的奇蹟。量子密碼術的技術含量,就是表現在這裡。量子密鑰的產生過程,同時就是分發過程,因此量子密碼術又有個專業名稱,叫做「量子密鑰分發」(quantum key distribution),就是前面說的深科技的標題黨文章(https://mp.weixin.qq.com/s/EVB3xGeT4rAjYkNCF9xboA)翻譯成「量子鍵分布」的那個。
量子密鑰分發
有些文章把量子密碼術貶得一錢不值,說這東西不過就是傳統的激光通信之類,毫無技術含量。這些文章都是不懂裝懂的人寫的。你可以問問他:你有什麼辦法,不用信使就讓通信雙方共享密鑰?他就抓瞎了。一個真正意義的高科技,給他們說成低科技,真是無知者無畏!
量子密碼術的研究者在學術界獲得過很多大獎,例如潘建偉團隊不久前剛剛獲得美國科學促進會頒發的2018年度克利夫蘭獎。如果你不帶偏見去看,你很容易就能看出,這個領域當然不是浪得虛名的,是有真材實料的。
你肯定想問了,量子密碼術是怎麼實現無信使的密鑰分發的呢?很遺憾,由於篇幅限制,在這裡不能解釋細節。
回想一下前面打的預防針,再好的科普也不可能讓你真正理解深奧的科學內容,博士寒窗苦讀十幾年不是白讀的。在這裡,只能非常簡略地解釋:量子密碼術利用了量子力學中的兩個原理,一個是疊加原理,另一個是測量可能導致狀態突變。基於這兩個原理,通過發射和接收一系列處於隨機狀態的單光子,來使通信雙方獲得一串相同的隨機字元串。這串隨機字元串,就是一次性便箋密鑰。
也就是說,通過一系列操作以後,雙方都獲得了一串隨機的0和1,比如說0010111001001010101……最重要的是,雙方的這個字元串完全一樣。這就是最終的效果。
如果你想知道具體的操作過程和背後的物理原理,那麼,歡迎閱讀我的文章《你完全可以理解量子信息》。很多人看了以後,都很開心地表示明白了哦~
有了密鑰之後,幹什麼呢?後面就是用密鑰把明文加密成密文,把密文發送出去。既然密文已經是不可破譯的了,這一步就不需要任何特別的設備,直接在傳統信道上大搖大擺地走就是了,敵人截獲也無妨。
一個常見的誤解,是以為最後的信息傳送要通過某種量子信道。當他們知道傳統信道就行的時候,就感到大惑不解,甚至以為搞量子通信的都是騙子。
另一個常見的誤解,是以為密鑰也要通過傳統信道傳輸。這是絕對不可能的,如果你要把密鑰通過不安全的信道發出去,那就完全失去了保密的意義。任何密碼系統,都不會愚蠢到這種程度。
總結一下,量子密碼術真實的做法是:用量子信道產生密鑰,用傳統信道傳送密文。你原來理解對了嗎?
現在,你可以理解量子密碼術的用處了。原來專屬於美俄總統通話這種級別的安全性,現在可以在大得多的範圍內實現了。同學們覺得開心嗎?~
四、量子密碼術的攻防
幾年以前,我有一次給某個系統的工作人員講量子信息原理與技術。當我講到量子密碼術絕對不可破譯的時候,我本來以為他們會很高興,沒想到他們紛紛來問我一個問題:如果我們想監控某些情報,而對方用了量子密碼,我們該怎麼辦?
我感到非常意外,居然還有這樣的問題?!
意不意外?驚不驚喜?
我讀過量子信息的一些經典教材,但上面並沒有講這個。後來我諮詢了一些量子通信的一線研究者,如我的科大同事張強教授,對此才有了一些概念。
基本的框架其實很簡單。既然數學方法是不可能破譯量子密碼的,那麼唯一的途徑當然就是物理方法,用各種手段入侵量子通信設備。也就是說,密碼攻防貓捉老鼠的遊戲並沒有結束,在有了量子密碼之後,竊密一方還是有的玩的,仍然有可能偷到信息。
有些人在這裡就出來和稀泥:你看,量子密碼也可能被破解,可見它跟傳統密碼並沒有本質的區別。還有人說:傳統密碼有種種好處,例如成熟、廉價、快速、易於組網等等,因此量子密碼還不如傳統密碼,甚至是根本沒有用處。
應該如何看待這些觀點呢?
其實這是一種典型的把水攪渾,偷換概念。
我們在對傳統密碼的討論中,主要考慮數學破解,是因為用數學就「有可能」破解它們,而不是「只有」用數學才能破解它們。請思考一下,用物理手段能不能破解傳統密碼?當然可以。否則,你認為各國的情報部門是幹什麼的?
因此,量子密碼術和傳統密碼術的對比,並不是前者的威脅只來自物理,後者的威脅只來自數學。這是那些把水攪渾的人希望給你製造的印象,讓你覺得這兩個是差不多的,甚至數學難題還更可靠一些。實際的對比,應該是量子密碼術面臨的威脅只來自物理,傳統密碼術面臨的威脅來自數學加物理!
你本來可能被數學攻破,也可能被物理攻破,現在我把數學的威脅關閉了,只剩下物理的威脅,這難道不是一個重大的進步嗎?
我在2018年2月22日的科技袁人節目中(https://www.bilibili.com/video/av19910566),說到日本在很多產業領域下降了,以前能賣整機,現在只能賣零件了。令我發笑的是,有些人在評論中說,賣零件的利潤率比賣整機還高。
我只好在2018年3月8日的科技袁人節目中(https://www.bilibili.com/video/av20521208),答疑了一下這個問題:
「難道你認為,我們是在比較整機和零件嗎?難道你認為,日本當年做整機的時候,零件都用的是別人的嗎?當然不是了。你要比較的對象,其實不是以前的整機對現在的零件,而是以前的整機加零件對現在的只有零件。這樣看來,當然是下降了。這麼說,你就清楚了吧?你看,非得說到這個程度才行!」
在這裡,我們遇到的就是同樣的思維陷阱。
我們還可以做個比喻。圍棋選手甲,跟人分先下的勝率是90%。圍棋選手乙,跟人分先下必定能贏,所以他現在都不下分先棋了,只下讓子棋,下讓子棋的勝率是60%。請問,你覺得哪個人的水平更高?
答案顯然是乙。如果有人因為甲字面上的勝率更高而選了甲,那他的腦子確實已經成一鍋漿糊了。
棋手甲就好比傳統密碼術,棋手乙就好比量子密碼術,分先棋好比數學攻擊,讓子棋好比數學加物理的攻擊。我們平時不關心甲下讓子棋的表現,不是因為他下讓子棋比乙厲害,而是因為他連分先都不一定能贏,哪裡還輪得到考慮讓子。敢於下讓子棋,而且只下讓子棋,這本身就是棋手乙比棋手甲高明的表現!
我們還可以再做一個比喻。讓子棋好歹還是在按照規則下棋,而物理攻擊更像作弊,比如說,在棋盤上鑽個洞,或者把棋盤傾斜過來,甚至拿棋盤砸人腦袋。
最後一句不是隨便說說的哦。西漢時,漢景帝劉啟作太子的時候,跟吳王劉濞的太子劉賢下棋。兩人爭執起來,劉啟就拿棋盤砸劉賢,把劉賢給打死了。這事成了七國之亂的一個誘因。你看,棋盤就像《食神》中的折凳一樣,也是一種了不得的武器啊!
《食神》:好折凳!折凳的奧妙之處,是可以藏在民居之中,隨手可得,還可以坐著它來隱藏殺機,就算被警察抓了也告不了你,真不愧為七種武器之首!
這樣看起來,你就更能理解棋手乙的厲害之處了。面對種種匪夷所思的作弊手段,他竟然還是經常能贏!
當然,比喻只是個比喻。我們需要強調一點,這裡說的「贏」,是指保住了秘密,沒有泄露,並不是一定要把信息發出去。敵人可以破壞你的器件,或者不停地干擾,讓你無法通信,但只要沒有偷到信息,都算他輸。
還有,我們討論的是竊密,而不是搶劫。用《水滸傳》來作比喻,我們允許的是像鼓上蚤時遷那樣神不知鬼不覺地把信息偷走,而不是像黑旋風李逵那樣掄起兩把板斧殺上門去。也就是說,物理攻擊如果被通信者發現,就算攻擊者輸。
這些是很合理的條件。我都允許你作弊了,好比我允許你拿著火箭筒,我卻只有把小手槍,如果你簡簡單單地把我轟殺就算你贏,那這遊戲還有什麼意義?
也就是說,——作弊也要按照基本法啊!
在以上這些框架下,我們可以來介紹量子密碼術的攻防狀況了。
最容易產生的想法是:如果被物理攻擊,量子密碼術是不是就掛了?所以我們唯一的出路,只能是盡量謹慎點,多盯著監控?
非常驚人的是,答案居然是「否」!
量子密碼術現在的研究前沿,就是在假定敵人成功地進行了若干種物理攻擊的前提下,我仍然能夠保證信息不泄露。
例如,我可以把我的測量儀器都交給你,隨你怎麼去搗鬼,但我仍然有辦法發現你在搗鬼,因此及時地中止生成密鑰,信息也就不會泄露。這叫做「測量儀器無關的量子密鑰分發」(MDI-QKD,是measurement device independent quantum key distribution的縮寫),在這個領域裡中國也走在世界前列。
想想看,這是多麼令人吃驚的技術!簡直好像《倚天屠龍記》里,空見神僧的金剛不壞體神功。
空見神僧
但這還沒完,研究者們還在發展「儀器無關的量子密鑰分發」(DI-QKD,是device independent quantum key distribution的縮寫),跟前面那個MDI-QKD相比,少了一個M,測量。這就更不可思議了,我的所有儀器都交給你搗鬼,我居然都不怕,——簡直是逆天啊!
目前的發展狀況是,MDI-QKD的實驗已經成功了,下一步是提高成碼率的問題。DI-QKD還沒有完整的實驗驗證,因為難度非常大,而且學術界普遍認為它的實用價值不高。為什麼呢?好比我還是拿著把小手槍,對方卻連火箭筒都不滿足了,拿著個原子彈過來了,這也太誇張了吧!要不要這麼偏執狂啊!雖然我允許你作弊,但作弊也要按照基本法啊!
講這些是為了讓大家明白,量子密碼術的研究者是在考慮什麼範疇的問題。大家可以想想,對傳統密碼設備如何抵禦物理攻擊,有這樣的研究嗎?沒有。因為量子密碼對物理攻擊的抵抗能力,是有物理原理作指導向上提升的,而傳統密碼沒有物理原理指導,不知該向哪裡努力。
上面講的MDI-QKD和DI-QKD並不是這個領域裡全部的重要成果,至少還有一個重要成果值得介紹,就是激光光源的「誘騙態協議」(decoy-state protocol),這是用來對抗「光子數分離攻擊」(photon number splitting attack)的。中國理論物理學家王向斌、馬雄峰和實驗物理學家潘建偉等人,對誘騙態協議有重要貢獻。由於篇幅所限,在這裡我們不能詳細解釋誘騙態協議,只能告訴大家,這是一個非常有智力含量的成果。想了解更多的讀者,可以去看我的文章《你完全可以理解量子信息》。
光子數分離攻擊
大家看到了吧,世界上最熱衷於給量子密碼尋找物理攻擊方法的是誰?就是量子密碼的研究者,例如前面提到的馬卡洛夫。矛和盾是一體,他們想到的矛和盾,都遠遠超出普通人的想像。
因此,用遊戲的語言總結一下:量子密碼的數學抗性是100%,物理抗性還沒有達到100%,但也已經相當高了。開玩笑地說,這可以叫做「魔武雙修」。無論是數學抗性還是物理抗性,量子密碼都高於傳統密碼。
我們最後需要強調一下,我們當然希望把量子密碼的物理抗性提高到100%,但量子密碼並不是只有在實現這個最終目標之後才有價值。在實現最終目標之前,量子密碼就已經很有價值了。如果你認為「沒有達到極致就是垃圾」,那就陷入思維誤區了。
《破壞之王》斷水流大師兄:我不是針對你……
量子密碼的數學抗性達到了100%,這本身就是一個重大的優點。而且,量子密碼還有希望把物理抗性提高到100%,這也是一個重大的優點。能做到這些,都是因為量子密碼術基於的是物理規律,而不是數學難題。思路的轉換帶來境界的提升,這是值得我們深入思考的。
五、金賢敏研究組的工作
了解了以上的框架,我們就可以理解金賢敏研究組這篇arXiv文稿的工作了。這是一個正常的研究,提出了一種新的物理攻擊方法,叫做「注入鎖定」。
這個詞是什麼意思呢?就是兩個振子如果耦合在一起,而且最初頻率相差不遠,那麼它們的頻率就會逐漸變得相同。這個現象最初是荷蘭物理學家、擺鐘的發明者、光學的創始人之一惠更斯(Christiaan Huygens,1629 - 1695)發現的,他注意到,掛在同一塊板上的兩個擺會逐漸變得同步。
惠更斯
金賢敏研究組提出,用一束激光注入到量子密鑰分發的光源中,試探它在什麼時候發生了注入鎖定,就可以知道光源在發送什麼狀態的光子,最終就可以竊密。
金賢敏等人搭建了一個原型的量子密鑰分發體系,然後用注入鎖定的方法,以60.0%的成功率偷到了密鑰。
金賢敏研究組論文圖1
在這個層面上,這個研究是有價值的。但是,媒體胡亂髮揮,把這件事描述成量子通信立了個不可破解的flag然後被打臉,就大錯特錯了。
第一,量子密碼的不可破解說的是不可能被數學手段破解,而不是不可能被任何手段破解。
第二,金賢敏等人的目的,就是把量子密碼的物理抗性進一步提升。他們的聲明,標題就說得很清楚,《攻擊是為了讓量子密碼更加安全》。炒作的媒體完全誤解了金賢敏等人的基本出發點。
第三,金賢敏等人攻擊的,是原型的、沒有防護的量子密鑰分發光路,不是在實用中的設備。他們在文章中就指出了,一個非常直截了當的防禦手段就是光隔離器。
我們來解釋一下,隔離器的作用是讓光只能從一個方向通過,從反方向通過的光會受到極大的衰減。為了抑制反射光對光路的干擾,隔離器是一種常用的器件。正向光與反向光的功率之商的常用對數乘以10,就是隔離的分貝(dB)數。例如10 dB的隔離,就意味著反向光的功率是正向光的1/10。
光隔離器
金賢敏等人在沒有加隔離的情況下,測得攻擊的成功率是60.0%。然後加了1 dB和3 dB的隔離,測得攻擊成功率下降到了44.0%和36.1%。他們說,這仍然是很高的成功率。
是的,這完全正確。但實際上,現有的商用量子通信設備中的隔離度一般是100 dB,這意味著反向光的功率是正向光的100億分之一。用注入鎖定來破解這樣的系統,激光功率需要達到1千瓦。
這是個什麼概念呢?我參觀過生產激光器的企業,他們現場表演了激光切割金屬,製作銘牌、書畫等等,他們用的激光就是1千瓦的量級。也就是說,這麼高功率的注入激光,已經相當於激光武器了。你會看到設備被切割開,整個系統被毀掉,但這並不是竊密。
激光切割
我們在前面說過,我們討論的是竊密,不是搶劫。沒有被發現的物理攻擊,才叫做成功的物理攻擊。如果看到有這麼強的激光在照射你的儀器,你都茫然不覺,這心得大到什麼程度?這合理嗎?
還是那句話:作弊也要按照基本法啊!
因此,金賢敏等人這篇文稿,只是提供了一種研究思路,對現有的量子保密通信系統並沒有構成現實威脅。相當於證明了,如果你家沒裝防盜門,我就很容易破門而入。這話很正確,但是你家已經裝了防盜門。
有些人急吼吼地質問,京滬幹線的設備是不是要更換?增加的成本誰來出?責任誰來負?這都是沒搞清楚基本狀況。
還有些人藉此機會,又在鼓吹量子密碼無用論。相信看完這篇文章的讀者,已經明白這種說法的荒謬之處了。
讓我們重新回想一下前面提到的問題:
如果你是美國的決策者,看到中國發展了量子密碼,讓自己的數學破解能力無用武之地,你會怎麼做呢?你會不會派人去散布輿論說,量子密碼沒有用處,忽悠中國自己把量子密碼體系廢掉?
六、結語
這次事件,在科學界內部很快就形成了共識:純粹是一場媒體知識水平低下還要博眼球,炒作出來的鬧劇。
這次炒作的始作俑者MIT技術評論和深科技,是國內外相當著名的科技媒體,我以前也看過它們的不少好文章。這次卻表現得如此糟糕,為了搞個大新聞,去亂扯自己不懂的東西,實在令人深感遺憾。
希望這兩家媒體以及所有有類似毛病的媒體,都從中吸取教訓,好好提升編輯的專業水平。畢竟,科技報道不是明星八卦,還是要以實事求是作為基本價值的。
還有一點,是想對我的一些讀者說的。他們對科技新聞充滿興趣,但拿了太多巨細無遺的問題來問我,一會問一句「這篇文章的這句話對不對」,一會問一句「那篇文章的那句話對不對」,甚至「這個讀者評論對不對」,幾乎是把整篇文章連帶讀者評論都複製一遍來問我了。
有熱情當然很好,但我實在顧不上回答這麼多問題。更重要的是,讀者朋友們應該想清楚,這不是高效率的學習方法。請不要問我那麼多細節問題,因為正確的道路只有一條,錯誤的道路卻有無限條,再貼心的FAQ也不可能回答完所有各種匪夷所思的問題。
真正高效的學習方法是什麼?如果你真的想對一個領域達到深入了解,就請去拿起教科書從頭研讀。你的目標應該和你的努力相匹配。不要指望通過問人能獲得細節級別的了解,那樣只能把別人累死,你也不可能真正搞懂。
說到底,就是要相信自己,相信自己的學習能力、理解能力。你對科學的愛好是建立在你自己能理解的基礎上的,而不是建立在聽某個權威的基礎上。如果這個權威不在了,難道你就不懂科學了?
自己努力地去學習科學,理解科學,就是這個時代最需要的品質。我希望把這句話送給媒體的編輯,送給熱心的讀者,送給我們大家。
背景簡介:袁嵐峰,中國科學技術大學化學博士,中國科學技術大學合肥微尺度物質科學國家研究中心副研究員,科技與戰略風雲學會會長,青年科學家社會責任聯盟理事,中國無神論學會理事,安徽省科學技術協會常務委員,微博@中科大胡不歸,知乎@袁嵐峰(https://www.zhihu.com/people/yuan-lan-feng-8)。
責任編輯:項啟瑞
致謝:感謝中國科學技術大學合肥微尺度物質科學國家研究中心張強教授、陳宇翱教授、陸朝陽教授、張文卓博士和清華大學物理系王向斌教授、交叉信息研究院尹璋琦博士在科學內容方面的指教。
TAG:風雲之聲 |