郭光灿院士谈量子密码：无条件安全的希望

■赵广利，本报见习记者

密码有两种安全性。一个是计算安全，原则上可以解码，但是需要大量的时间和资源。第二个是无条件安全，原则上无法破译，不管窃听者有多强大。

顾客:郭广灿

●中国科学院院士

●国家量子光学委员会主任

●中国科学院量子信息重点实验室主任

“现在很多东西都可以被克隆——甚至有些人想克隆爱因斯坦——但是量子态不能被克隆，世界上没有一台‘量子机器’能以完全相同的方式复制任何未知的量子态。这是量子不可克隆定理。这是使用量子态作为密码的安全性。”几天前，中国科学院院士、国家量子光学委员会主任郭广灿在谈到量子技术的应用时说，“量子密码是量子科学中第一个可用的技术。”

“在未来的100年里，人类将进入一个量子控制的新时代，并将出现一批被称为量子技术的新技术。最有影响的是量子计算机，大约10~20年后才能实现。但是量子密码术现在已经到了实用阶段。”郭广灿说道。

信息安全:一场无休止的游戏

在任何时候和任何国家，人们都使用各种方法来加密信息。“加密”的目的是保护信息安全。

据《刘·龙涛·陶吟赋》所载，“主和必有吟赋，每八类:有战胜敌人的象征，长一尺；破军捕捉到了它，9英寸长。这座城市投降的象征有八英寸长。然而，敌人报告了距离的符号，7英寸长。警察坚持符号，六英寸长；请粮益兵的性格，五寸长；当被打败的军队被打败时，它有四英寸长。如果你输了，你将会损失3英寸。”

还有古罗马的凯撒密码盘和古代斯巴达人的“天书”密码...直到现代，德国在第二次世界大战中使用了密码机。轴心国通信代码的成功破译也在盟军的最终胜利中发挥了关键作用。

"随着人类进入信息时代，信息安全的重要性更加突出."郭广灿指出，密码系统的诞生是为了保护信息安全。然而，无论密码系统有多高级，它们都不可避免地面临被破解的风险，“威胁无处不在”

“信息安全的重要性已经提升到国家层面。许多国家都有网络总部和信息战部队。他们使用大量的软件和硬件资源，甚至国家力量来破解现有的加密系统——网络武器、网络*和网络战争迫在眉睫。信息保护升级迫在眉睫。”例如，郭广灿说，“例如，在2001年，在网络中发现一个安全漏洞需要六个月，在2005年只需要一到两天，在2010年需要两个小时。现在肯定会更快。”

加密和解密就像盾牌和长矛。他们之间的游戏永远不会停止。

目前，人们已经可以使用特殊芯片、并行计算等来破译密码。随着量子计算机的发展，对现有的密码*提出了严峻的挑战。郭广灿说:“量子计算机可以挑战所有现有的安全方法，也就是现代密码学。”

来自量子计算机的挑战

密码学从头到尾研究信息的安全传输和安全存储。研究“敌人和了解自己”是一门科学。现有的加密系统是不同的，但它们可以分为对称密钥(如DES密码)和非对称密钥(如RSA密码)。前者的加密过程与解密过程相同，使用的密钥也相同。后者，每个用户都有自己的公钥和私钥。

“对称密钥系统中的加密和解密密钥是相同的，因此密钥必须保密。如果它被第三方窃取，它将会失败。”郭广灿说:“现在已经证明，有一种绝对不可能破译的秘密方法(对称密钥)，即一次破译一个秘密。钥匙被扔掉一次，这在理论上是无法解读的。”

一次一个秘密是使用与流密码中消息长度相同的随机密钥，每个密钥在使用一次后被销毁。因为与消息长度相同的随机密钥用于生成与原始文本没有统计关系的随机输出，所以一次性一秘密方案不能被破解。

人类似乎找到了一种安全的交流方式。然而，一次一个秘密也有明显的缺陷。

“一次一个密钥需要大量的密钥，并且会产生大量的随机数。更新密钥是一个大问题。例如，如果密码本里的钥匙用完了怎么办？被偷更麻烦。”郭广灿说，“虽然一次一个秘密是绝对安全的，但密钥传输是一个漏洞。”

“有解决办法吗？是的，这是一个使用加密密钥的非对称密钥。”郭广灿表示，由于公钥是公开发布的，任何人想向私钥持有者发送信息，都可以获取公钥，用公钥加密，然后发送给私钥持有者。即使被截获或被盗，没有私钥的攻击者也无法获得加密信息，从而保证了信息的安全传输。

这安全吗？人们能通过计算机破解加密信息吗？郭广灿说，这引出了一个数学问题。基于分解大量数字的问题，从公钥导出私钥需要大量资源。

“例如，在1977年，用了400万年来计算计算机等级，将一个129位数字分解成64位质数× 65位质数；到1994年，它可能在8个月内被破解。如果人们发明了量子计算机，一秒钟就能破解2000个量子计算机。”

郭广灿说，这种加密方案只是相对安全的，即计算安全——原则上，它可以被解码，但它需要大量的时间和资源。然而，一旦量子计算机成功开发，现有的基于大数分解的RSA密钥将是不安全的。

《在路上》的量子密码

“密码安全有两种，一种是计算安全，原则上可以破译，但它必须消耗大量的时间和资源；第二个是无条件安全，原则上无法破译，不管窃听者有多强大。一次一个秘密可以实现无条件的安全。问题是如何分配密钥。”郭广灿指出，“现在我们可以用量子密码来解决这个问题。”

量子密码术是一种利用信息载体(如光子和其他粒子)的量子特性，并将量子态作为符号的密码术。"利用量子的性质，量子的不确定性和概率，我们可以避免经典密码中的短板."郭广灿说，经典位只有0和1两种状态，例如对应于晶体管电流的导通和截止状态。由于态的叠加原理，量子位不仅可以处于0和1两种状态，而且可以处于0和1的叠加状态，例如，对应于电子自旋态和光子极化态。

此外，量子密码的安全性是由量子力学的物理原理来保证的。根据“测量坍缩理论”(测量量子态会改变原来的量子态)，窃听者的存在会引入额外的误差。例如，当没有窃听者时，误码率为0；当受到拦截和重传攻击时，错误率为25%。当误码率超过阈值时，表示信道中有窃听者。此时，警报响起，密钥分发停止，分发的密钥被丢弃。”郭广灿说道。

“用量子密钥建立密码的过程可能会被窃听，但经典密码不会。这就是量子密码的安全性。”郭广灿告诉记者，从理论上可以证明，量子密码不仅可以抵抗经典的拦截和重传攻击，而且即使在量子攻击下也是安全的。

事实上，量子密钥分配的理论安全性已经得到了严格的数学证明。1999年，首次提出了量子密钥分配的无条件安全证明。2001年，理想的BB84协议被证明是无条件安全的。

“现在几乎实用了。”郭广灿说，2004年，他的研究小组在世界上首次成功地分析了实际光纤量子密码系统不稳定的原因，并利用法拉第反射器的迈克尔逊干涉方案实现了世界上第一次城际量子密码实验。量子线长度为125公里，这在当时创下了世界纪录。

目前，量子密码的应用仍然面临着许多障碍。主要问题是量子密码系统的实际安全性，即非理想设备导致安全漏洞。量子密码术只有在能够抵御所有可能的攻击的情况下才能在实践中应用。此外，提高密码的比特率和开发实用的量子中继器也很重要。

最近，丹麦奥尔胡斯大学的教授马丁·克里斯滕森开始研究利用集成光学制作量子密码芯片，并取得了初步成果。“预计在5到10年内，将会有成品量子密码芯片投入市场。”郭广灿说道。

《中国科学日报》(第15版综述，2014年3月28日)