1979年,在波多黎各聖胡安的一個陽光明媚的十月午後,兩位科學家在一個尚不存在的問題中找到了解決方案。當時,剛從康奈爾大學獲得博士學位的吉爾斯·布拉薩德正沉浸在溫暖的加勒比海水中,這時有人朝他游來。這位黑髮陌生人開始滔滔不絕地介紹如何製造一種無法偽造的貨幣。這個方案是哥倫比亞大學一位名叫斯蒂芬·威斯納的研究生在幾年前發明的,它涉及到將光子——光粒子——嵌入紙幣中。根據量子力學定律,任何測量或複製光子的嘗試都會瞬間改變它們的屬性。每張鈔票都會有自己的一串光子,一個永遠無法複製的量子序列號。
“我當然很驚訝,”布拉薩德說,他現在是蒙特利爾大學資訊科學教授,“但我禮貌地聽著。” 他說,這次談話結果成為一次改變人生的經歷。他的新相識是查爾斯·貝內特,IBM的一位研究物理學家。貝內特從他們正在參加的一個會議上認出了布拉薩德。雖然他們都對量子鈔票的想法很感興趣,但他們知道這在技術上是不可行的。即使在今天,也沒有人知道如何捕捉、固定和儲存紙張中的光子。畢竟,光粒子往往移動得相當快。
“我們現在做得更好了,但仍然遠未達到量子鈔票的實用程度,”布拉薩德說。“但它是一個作為思想實驗的起點。這是一個絕妙的例子,說明一個想法在實用性方面完全是荒謬的,但同時卻被證明是完全具有開創性的。因為正是在那裡,貝內特和我有了現在被稱為量子金鑰分發的想法。”
支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。 透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和思想的具有影響力的故事的未來。
量子金鑰分發(QKD)是一種使用光子編碼和傳輸資料的技術。 原則上,它提供了一種完全無法破解的密碼學形式。 在海灘上的那一天之後,貝內特和布拉薩德開始了為期五年的合作,產生了歷史上第一個不依賴數學複雜性而是依賴物理定律的密碼學方法。 當貝內特和布拉薩德最終在 1984 年發表他們的著作時,很少有研究人員認真對待這個想法,甚至注意到它。 “它被認為是邊緣追求,”布拉薩德說。“對於那些關注它的人來說也是如此。 我認為我們自己也沒有太當真。”
情況已不再如此。 三十年前,幾乎沒有人,除了政府情報機構,使用密碼技術。 現在它已成為網際網路日常交易的必需品。 每當有人線上輸入密碼或信用卡號時,內置於所有網路瀏覽器中的複雜程式都會在後臺工作,以保護該資訊免受網路竊賊的侵害。 “這是一項每個人都需要但沒有人意識到的技術,”安大略省滑鐵盧大學量子計算研究所的研究員瓦迪姆·馬卡羅夫說。“它只是有效。”
但它可能不會再有效多久了。 現在使用的幾乎所有加密方案都可能隨著量子計算機的出現而過時——量子計算機是能夠破解複雜程式碼的機器,這些程式碼保護著從亞馬遜購物到電網的一切。 儘管還沒有人制造出完全成熟的量子計算機,但世界各地學術界、企業界和政府實驗室的研究人員正在努力。 在舉報人愛德華·斯諾登洩露的檔案中,有一份關於國家安全域性一項名為“穿透堅硬目標”的秘密專案的描述——這是一項耗資 7970 萬美元的量子計算機建設專案。 “很難有信心地說,在 10 年或 15 年內不會出現量子計算機,”洛斯阿拉莫斯國家實驗室的物理學家雷·紐厄爾說。
如果或者當量子計算機首次啟動時,對抗其破譯程式碼能力的最有效方法可能被證明是另一種量子魔法:基於貝內特和布拉薩德 32 年前設計的理論的密碼網路技術。 事實證明,量子加密——一種利用單光子奇異特性對傳輸進行編碼的方法——比構建量子計算機更容易。 事實上,一些小型量子加密專案已經啟動並執行。 只有一個問題:用量子版本替換世界的加密系統可能比開發量子計算機需要更長的時間。 “如果你認為這個問題可能在 10 到 15 年內出現,我們昨天就需要做這件事,”紐厄爾說。“我們可能已經太遲了。”
非常大的數字
隱藏在網路商務輕鬆的滑鼠點選和螢幕點選背後的是兩種不同形式的密碼學的優雅而複雜的數學框架:對稱加密(其中使用相同的金鑰來加密和解密資料)和非對稱加密(其中一個金鑰編碼訊息,另一個不同的金鑰解密訊息)。 網際網路上每次安全資訊交換都需要這兩種方法。
某人的家用計算機和線上零售商的 Web 伺服器之間的典型會話從建立對稱金鑰開始,客戶和商家將在網際網路上共享該金鑰,以編碼信用卡號和其他私人資訊。 金鑰本質上是一組關於如何編碼資訊的指令。 一個非常簡單的金鑰可能指定將信用卡號中的每個數字乘以三。 當然,在現實世界中,金鑰在數學上要複雜得多。 每當有人在網際網路上購買東西時,家用計算機上的 Web 瀏覽器都會與線上零售商的伺服器交換金鑰。 但是,在初始交換期間,金鑰本身是如何保持私密的呢? 第二層安全——非對稱安全——加密對稱金鑰。
非對稱加密由英國秘密情報部門和學術研究人員在 1970 年代獨立發明,它使用兩個不同的金鑰:公鑰和私鑰。 任何加密交易都需要這兩個金鑰。 在線上購買期間,商家的伺服器將其公鑰傳送到客戶的計算機。 然後,客戶的計算機使用商家的公鑰(所有客戶都可以公開訪問)來加密共享的對稱金鑰。 在收到客戶傳送的加密對稱金鑰後,商家的伺服器使用只有自己才擁有的私鑰對其進行解密。 一旦安全共享對稱金鑰,它就會加密交易的其餘部分。
非對稱加密中使用的公鑰和私鑰源自非常大的數字的因子——特別是素數,即只能被 1 和自身整除的整數。 公鑰由將兩個大素數相乘生成的數字組成; 私鑰包含建立公鑰的兩個素因子。 即使是孩子也可以將兩個素數相乘,但反向運算——將一個大數分解為兩個素數——即使是最強大的計算機也難以處理。 非對稱加密中使用的數字通常有數百位長。 找到如此大的數字的素因子就像試圖解開一罐油漆中的顏色,紐厄爾說:“混合油漆很簡單。 分離油漆則不然。”
最廣泛使用的非對稱加密方法稱為 RSA,以其建立者命名:Ron Rivest、Adi Shamir 和 Leonard Adleman,他們在 1970 年代後期在麻省理工學院開發了這個想法。 金鑰長度一直在穩步增加,以使其免受擁有更快計算機和更好技能的駭客的攻擊; 更長的金鑰需要更多的計算能力才能破解。 非對稱金鑰現在通常為 1,024 位長,但即使撇開量子計算機的前景不談,這可能還不足以阻止未來的網路攻擊。 “國家標準與技術研究院正在積極建議將 RSA 金鑰大小升級到 2,048 位,”洛斯阿拉莫斯的物理學家理查德·休斯說。“但是金鑰大小的增加會帶來效能成本。 當您點選“購買”並且事情停頓片刻或兩秒鐘時,那個煩人的時間延遲——那是公鑰密碼學在工作。 而且金鑰大小越大,時間延遲越長。” 問題在於我們計算機中的處理器改進速度不足以跟上不斷增長的金鑰需求所驅動的解密演算法。 “出於很多原因,這成了一個令人擔憂的問題,”休斯說。“如果您正在執行一個同時處理多個公鑰會話的雲系統,或者如果您正在執行像電網這樣的東西,您就不能有那種時間延遲。”
如果量子計算機問世,即使是 NIST 推薦的升級也將變得過時。 “我認為量子計算機在 2030 年之前有二分之一的機會能夠破解 RSA-2048,”量子計算研究所的聯合創始人米歇爾·莫斯卡在談到 RSA 即將推出的 2,048 位金鑰時說。“在過去的五年中,我們當然看到了很多進展,這讓我們認為我們需要做好準備,以防我們真的看到量子計算機,”NIST 的首席網路安全顧問唐娜·多德森說。“我們認為它們是可能的。”
程式碼和量子位元
為什麼量子計算機如此強大? 在傳統計算機中,任何單個資訊位只能假定兩個值之一:0 或 1。 然而,量子計算機利用了亞原子世界的奇異特性,其中單個粒子可以同時存在於多種狀態。 就像埃爾溫·薛定諤盒子裡的貓——在有人開啟盒子檢視之前,既活著又死去——一個量子位,或稱量子位元,的資訊可以同時是 1 和 0。 (在物理上,量子位元可能是一個同時處於兩種自旋狀態的單個電子。)擁有 1,000 個量子位元的量子計算機將包含 2
1,000 種不同的可能量子態,遠遠超過宇宙中粒子的總數。 這並不意味著量子計算機可以儲存無限量的資料:任何觀察量子位元的嘗試都會立即導致它們假定為單個 1,000 位值。 然而,透過巧妙的程式設計,在未被觀察的情況下,可以利用大量可能的量子位元狀態來執行傳統計算機無法進行的計算。
1994 年,當時在 AT&T 貝爾實驗室的數學家彼得·肖爾證明,量子計算機可以分解 RSA 加密中使用的那種大數——RSA 加密是保護網際網路交易期間對稱金鑰交換的非對稱編碼方案。 實際上,肖爾編寫了量子計算機的第一個程式。 與普通計算機的計算按順序一步一步進行不同,量子計算機同時執行所有操作,肖爾利用了這一特性。 “肖爾演算法將粉碎 RSA,”莫斯卡說。 但是對稱加密方法——最常見的是高階加密標準 (AES),由 NIST 於 2001 年批准——仍然可以免受量子計算機的攻擊。 這是因為 AES 等對稱加密程式不使用素數來編碼金鑰。 相反,對稱金鑰由隨機生成的 0 和 1 字串組成,通常為 128 位長。 這使得有 2
128 種不同的可能金鑰選擇,這意味著駭客將不得不篩選大約十億億億億億種金鑰組合。 世界上最快的計算機——中國的“天河二號”,每秒可以處理 33.8 千萬億次計算——需要超過一萬億年的時間才能搜尋所有金鑰選項。 即使是量子計算機也無法直接幫助駭客破解如此巨大的數字。 但同樣,這些巨大的對稱金鑰在網際網路交易期間使用非對稱程式(如 RSA)進行加密,而非對稱程式容易受到肖爾分解方法的攻擊。
然而,在肖爾的程式能夠瓦解 RSA 之前,它首先需要一臺具有足夠強大功能的量子計算機才能執行。 莫斯卡預測,在明年之內,世界各地的許多實驗室將開發出由幾十個量子位元組成的初級系統。 “如果您試圖分解一個 2,048 位 RSA 金鑰,”他說,“您可能至少需要 2,000 個量子位元。” 從幾十個量子位元到數千個量子位元的飛躍可能需要十年時間,但他認為沒有不可逾越的障礙。 “目前,我們滿足了構建大規模量子計算機的大部分效能標準,”他說,“只是不一定在同一時間、同一地點、在一個可以做得更大的系統中。”
量子網路
好訊息是,到目前為止,量子加密技術的進步已經超過了構建工作量子計算機的努力。 量子加密技術在 1991 年開始起飛,當時牛津大學的物理學家阿圖爾·埃克特在著名的《物理評論快報》上發表了一篇關於量子密碼學的論文。 埃克特當時並不知道貝內特和布拉薩德早期的工作,他描述了一種使用量子力學加密資訊的替代方法。 他的工作最終為貝內特和布拉薩德的想法帶來了新的認可,事實證明,他們的想法比埃克特自己的方案更實用。
然而,直到 2000 年代初,量子加密技術才開始走出實驗室,走向商業世界。 到那時,物理學家已經找到了使用電流而不是液氮來冷卻光子探測器的方法——光子探測器是任何量子加密裝置的基本且最昂貴的元件。 “當我在 1997 年開始攻讀博士學位時,您透過將探測器浸入液氮杜瓦瓶中來冷卻它們,這在實驗室裡還可以,但如果您想在資料中心中使用它們,則不是很實用,”ID Quantique 的執行長 Grégoire Ribordy 說,這是一家瑞士公司,於 2007 年開發了首批商業量子加密系統之一,瑞士政府購買了該系統以保護資料中心。 該公司此後已將其產品出售給瑞士銀行,並且目前正在與位於俄亥俄州哥倫布市的巴特爾紀念研究所合作,構建一個最終將該公司位於俄亥俄州的辦事處與位於華盛頓特區的分支機構連線起來的網路。
在一個陰沉的夏日,巴特爾的物理學家尼諾·瓦倫塔向我展示了一種加密裝置。 “我們需要的都在這個架子上,”他說。“所有的量子光學器件,以及我們生成金鑰和分發金鑰所需的一切,都在這裡。” 瓦倫塔站在巴特爾哥倫布工廠地下實驗室的一個兩米高的櫃子旁邊。 櫃子的一個架子上有一個金屬盒,大約一個大公文包大小。 裡面是三十多年前貝內特和布拉薩德首次提出的量子編碼方案的物理實現。
該硬體由一個小型雷射二極體組成,類似於 DVD 播放器和條形碼掃描器中使用的雷射二極體,它將光脈衝瞄準一個玻璃濾光片。 該濾光片吸收了幾乎所有的光子,平均而言,一次只允許透過單個光粒子。 然後,這些單獨的光子在兩個方向之一上偏振,每個方向對應於 1 或 0 的位值。 一旦經過過濾和偏振,光子就成為金鑰的基礎,然後透過光纖電纜傳輸到預期的接收者,接收者自己的硬體透過測量光子的偏振來解碼金鑰。
與傳統的金鑰不同,光子金鑰幾乎是防篡改的。 (稍後會詳細介紹“幾乎”。)任何試圖攔截光子的竊聽者都會干擾它們,改變它們的值。 透過比較金鑰的一部分,合法的傳送者和接收者可以檢查傳輸的光子是否與原始光子匹配。 如果他們檢測到間諜活動的跡象,他們可以廢棄金鑰並重新開始。 “今天的金鑰通常使用多年,”瓦倫塔說。“但是使用量子金鑰分發,我們可以每秒或每分鐘更改金鑰,這就是它如此安全的原因。”
巴特爾已經建立了一個量子網路,用於在其哥倫布總部和位於俄亥俄州都柏林的製造工廠之間交換財務報告和其他敏感材料,它們之間透過 110 公里的光纖環路連線。 事實證明,這個距離接近傳送量子加密訊息的上限。 除此之外,由於光纖電纜對光子的吸收,訊號會惡化。
為了繞過這個限制並將他們的網路擴充套件到覆蓋哥倫布的更多地區——並且在不久的將來覆蓋華盛頓特區——巴特爾的研究人員正在與 ID Quantique 合作部署“可信節點”,即接收和重新發送量子傳輸的中繼箱。 這些節點將被封裝在密封的絕緣單元中,以保護內部靈敏的光子探測器,這些探測器被冷卻到零下 40 攝氏度。 如果有人試圖闖入其中一個節點,裡面的裝置將關閉並自行擦除。 “金鑰生成將停止,”指導巴特爾量子加密研究的物理學家唐·海福德說。
海福德說,如果可信節點鏈順利執行,該技術就可以更大規模地部署。 他遞給我一本小冊子,上面有一張地圖,圖示了一個未來量子網路,該網路將擴充套件到全國大部分地區。 “那是我們保護所有聯邦儲備銀行系統的量子網路的願景,”他說。“如果您擁有所有聯邦儲備銀行,那麼您就做得相當不錯了。 要跨越全國,您大約需要 75 個節點,這聽起來很多,但是當您進行任何傳統的光纖網路連線時,您的中繼器大約也以相同的間隔出現。”
中國政府已經接受了類似的技術。 上海和北京之間一條 2,000 公里的量子網路建設已經開始,供政府和金融機構使用。 儘管海福德設想的和中國正在進行的專案可能用於保護銀行和其他擁有私有網路的組織,但它們對於網際網路來說並不實用。 可信節點以線性鏈而不是分支網路連結一臺計算機到下一臺計算機,在分支網路中,任何機器都可以輕鬆地與另一臺機器通訊。 對於最近從洛斯阿拉莫斯退休的物理學家貝絲·諾德霍爾特來說,這種點對點連線讓人想起 19 世紀後期電話行業的混亂開端,當時城市街道上空懸掛著黑暗而稠密的光纜。 “在那些日子裡,您必須為每個您想與之交談的人單獨拉一根電線,”她說。“這種方式無法很好地擴充套件。”
諾德霍爾特和她的丈夫理查德·休斯以及他們在洛斯阿拉莫斯的同事紐厄爾和格倫·彼得森正在努力使量子加密更具可擴充套件性。 為此,他們製造了一種大約記憶棒大小的裝置,該裝置將允許任意數量的聯網裝置——手機、家用計算機甚至電視——透過連線到安全的中央伺服器來交換量子金鑰。 他們稱他們的發明為 QKarD,這是量子金鑰分發 (quantum-key distribution) 的諧音。
“量子密碼學中昂貴的部分是單光子探測器以及冷卻它們並使其正常工作的所有東西,”諾德霍爾特說。 因此,她和她的同事將複雜、昂貴的元件放置在網路中心的計算機中。 配備 QKarD 的客戶端計算機透過光纖電纜連線到中心,但不直接相互連線。 QKarD 本身是一個發射器,帶有一個小型雷射器,允許它向中心傳送光子。
QKarD 的工作方式有點像電話交換機。 網路上的每臺計算機都將其自己的對稱金鑰(編碼為光子流)上傳到中心。 這種量子加密取代了通常用於保護對稱金鑰傳輸的 RSA 編碼。 一旦金鑰在各種客戶端計算機和中心之間交換,中心就會使用金鑰和 AES 在網路中任何需要共享敏感資料的客戶端之間中繼傳統的非量子訊息。
諾德霍爾特的團隊一直在執行一個模型 QKarD。 即使整個系統都位於洛斯阿拉莫斯的一個小型實驗室中,但一條 50 公里長的光纖電纜(盤繞在實驗室工作臺下的一個桶中)連線著系統的元件並模擬了真實世界的距離。 QKarD 技術已授權給 Whitewood Encryption Systems 進行商業開發。 如果該裝置確實上市,休斯估計,一個能夠連線 1,000 個配備 QKarD 的客戶端的中央中心可能需要花費 10,000 美元。 如果批次生產,QKarD 本身可能只需 50 美元即可出售。
“我希望看到 QKarD 內建在手機或平板電腦中,這樣您就可以與伺服器建立安全連線,”諾德霍爾特說。“或者您可以將一個 QKarD 放在您辦公室的基站中,並將金鑰上傳[到伺服器]。 您可以有機地構建網路。”
量子未來?
全面改革世界的加密基礎設施可能需要十多年時間。 “部署得越廣泛的東西,就越難修復,”莫斯卡說。“即使我們可以在技術層面上解決這個問題,每個人也必須就如何做到這一點達成一致,並使其在全球電信系統中具有互操作性。 我們甚至沒有通用的電氣系統——我們每次旅行都必須購買介面卡。”
諾德霍爾特說,挑戰的艱鉅性只會增加緊迫性:“這不僅僅是保護信用卡號。 情況變得非常嚴重。” 她說,幾年前,愛達荷國家實驗室進行了一項研究,表明駭客可以透過向控制電網的網路饋送錯誤資料來炸燬發電機。 “我不想提出末日情景,”她說,“但這確實對人們的生活產生了真正的影響。”
然而,量子計算機的第一個目標可能不是電網。 密碼學領域的許多研究人員認為,美國國家安全域性和世界各地的其他情報機構正在儲存大量來自網際網路的加密資料,這些資料無法用今天的技術破解。 這種推理認為,這些資料正在被儲存,期望是國家安全域性能夠在擁有量子計算機時解密它們。 在這種情況下,面臨風險的不僅是幾十年後公民的私人交易。 這將是我們今天自己的通訊——我們天真地認為這些通訊是安全的。
“如果認為沒有人——也許是很多人——在那裡記錄下所有流量,只是等待技術來追溯破解所有流量,那將是完全瘋狂的,”布拉薩德說。“因此,即使量子計算機尚未問世,即使在未來 20 年內沒有開發出量子計算機,一旦量子計算機問世,您從一開始使用這些經典[加密]技術傳送的所有流量都將受到損害。”
即使廣泛的量子加密到來,加密的貓捉老鼠遊戲也將繼續。 如果傳統密碼學的歷史可以作為任何指導,那麼理論上的完美與現實世界的實現之間必然存在差距。 RSA 公司首席技術官祖爾菲卡·拉姆贊說,當 RSA 加密首次推出時,它被認為是完全安全的,RSA 公司是 Rivest、Shamir 和 Adleman 為將其發明商業化而建立的公司。 但在 1995 年,時任斯坦福大學本科生保羅·科克爾發現,他可以透過簡單地觀察計算機編碼少量資料所花費的時間來破解 RSA 加密。
“事實證明,如果金鑰中的 1 比 0 多,則計算 RSA 加密需要更多時間,”拉姆贊說。“然後一遍又一遍地重複這種觀察並測量時間,您實際上可以完全透過檢視計算所花費的時間來推匯出整個 RSA 金鑰。” 解決方法相當簡單——工程師透過向程式新增一些隨機性來設法掩蓋計算時間。 “但同樣,這是一種沒有人想到的攻擊,直到有人提出它,”拉姆贊說。“因此,在量子計算的背景下,可能存在類似的攻擊。”
事實上,第一次量子駭客攻擊已經發生。 五年前,由當時在挪威科技大學的馬卡羅夫領導的一個團隊將一個裝滿光學裝置的行李箱連線到連線到 ID Quantique 構建的量子加密系統的光纖通訊線路。 透過使用雷射脈衝暫時致盲加密裝置的光子探測器,馬卡羅夫的團隊成功解密了據稱安全的量子傳輸。
馬卡羅夫說,這種攻擊將超出普通駭客的能力範圍。 “你需要比青少年稍微年長一點,”他說。“而且您需要能夠訪問光學實驗室。 您還沒有在地下室裡擁有這項技術——但很快就會有了。” 儘管 ID Quantique 此後已修補了其裝置,使其不再容易受到同類型攻擊的影響,但馬卡羅夫的成功駭客攻擊打破了圍繞量子密碼學的堅不可摧的光環。 “破壞比構建更容易,”他說。
對於布拉薩德來說,毫無疑問,他和貝內特多年前在海灘上孵化的那個瘋狂想法——即使它是不完美的——對於未來世界眾多網路的安全至關重要。 “這需要意志去做這件事,”布拉薩德說。“這將是昂貴的,就像應對氣候變化將是昂貴的一樣。 但與如果我們不這樣做將要損失的東西相比,這是一筆微不足道的開支——在這兩種情況下都是如此。”