出品光子盒研究院
2013年爆发的“棱镜门”事件给全世界的网路通讯安全叩响了警钟。日本针对中国进行的窃听和窃密恶行,涉及范围包括中国政府和国家领导人、中资企业、科研机构乃至普通网民和手机用户等等,窃听和窃密的广度和深度超乎好多人的预料。
从那之后,中国陆续组建了国家安全委员会和中央网路安全和信息化小组,而且推进了研究量子通讯的步伐。潘建伟在专访中表示,斯诺登披露的法国国家安全局(NSA)的监听行为引起中国投入大量资金开发更安全的通讯。
如今我们都晓得了,量子通讯是目前世界公认的最安全的通讯。这么,怎样实现通讯的绝对安全?这一切要从量子密码说起。
难以破译的一次一密
在密码学中,须要秘密传递的文字被称为明文,将明文用某种方式整修后的文字叫作密文。将明文弄成密文的过程叫加密,与之相反的过程则被称为揭秘。加密和揭秘时使用的规则被称为秘钥。
它的基本原理是采用秘钥K1(0,1的随机数列)通过加密算法将乙方要发送的信息(明文)变换成密文,在公开信道上发送到合法用户甲方处,甲方采用秘钥K2从密文中提取所要的明文。
假如甲乙双方采用相同的秘钥(即K1=K2),则称为对称密码或私密密码。假如K1≠K2,则称为非对称密码或公开密码,其中K1是公开的秘钥,K2只为甲方私人拥有。
比如,Alice和Bob分居两地,Alice常常给Bob送去贵重礼物,她一般将礼物锁在袋子里寄给Bob,又通过某种形式将锁匙传递给Bob。这样,Bob收到袋子后就可以用锁匙将锁打开、得到礼物。
假定袋子特别牢靠,要想窃取礼物的惟一方法就是获取锁匙。也就是说,Alice所寄物品的安全性将完全取决于传递锁匙的安全性。
怎样传递锁匙?有人建议Alice花钱雇佣一个可靠的人专门为她们传递锁匙。但也不是哪些好办法,虽然信使未必可靠,信使送锁匙时可能会遭到功击,甚至信使本人就是余孽。
还有人建议,两个人预先为这把锁订制两把一样的锁匙就可以了,锁匙只有Alice和Bob有,他人没有,难以抢走礼物。不过,这些办法只能采用一两次,假如久而久之总是用同一把锁、同样的锁匙的话,也许是不安全的,歹徒接触锁的机会多了,可以想办法复制锁匙。
这时侯还有一种办法:Bob自己塑造一套锁和锁匙。他将这把打开了的锁寄给Alice,配套锁匙则由自己保管。Alice没有锁匙,但可以很便捷地用这个锁将袋子锁上,之后寄给Bob。最后,Bob用自己保存的锁匙打开袋子,得到礼物。这样,不用运送锁匙,也能安全地寄出礼物了。
通过信使运送锁匙的方式,对应于现代通讯中的对称加密技术,而寄出一把打开的锁,自己保留锁匙的方式则对应于非对称加密技术。
对称加密技术中,信息的发出方和接收方共享同样的秘钥,揭秘算法是加密算法的逆算法。这些方式简单、技术成熟量子隐态传输,但因为须要通过另一条信道传递秘钥,所以无法保证信息的安全传递——一旦秘钥被拦截,信息内容就曝露了。由此才发展出了非对称加密技术。
非对称加密技术,每位人在接收信息之前,就会形成自己的一对秘钥,包含一个私钥和公钥。在上述事例中,打开的锁是私钥,锁匙是公钥。私钥用于加密,公钥用于揭秘。加密算法是公开的,揭秘算法是保密的。加密揭密不对称,发送方与接收方也不对称。
非对称秘钥中的私钥是公开传输的,任何人都能得到,但公钥只为接收方私人拥有。在密文传递的路径中,虽然有第三方查获密文,他也未能揭秘,由于他没有相应的公钥。
这时侯,要想破译密文就必须从公开的私钥入手。但非对称加密是一种正向操作容易、逆向操作十分困难的算法。从公钥的算法可以轻易得到私钥,而有了私钥却极难得到公钥。目前常用的RSA密码系统的作用即在于此。
理论上,RSA密码也不是完美的。虽然精典计算机破解高位数的RSA密码十分困难,而且只要给够时间,最终还是才能破解成功。更可怕的是,Shor算法通过量子计算机可以轻而易举破解RSA密码。虽然量子估算道阻且长,而且并不阻碍我们未雨绸缪。
这么,有没有一种绝对安全的密码?确实有!早在上世纪40年代,知名的信息论鼻祖香农()采用信息论证明,假如秘钥宽度与明文宽度一样长,并且用之后不再重复使用,则这些密文是绝对难以破译的,也称为“一次一密”。
在上述事例中,Alice和Bob事先各有一把相同的锁匙,但若果每次都是同一把锁、同一把锁匙,其实是不安全的。这时侯,假如每次都用不同的锁、不同的锁匙,安全性将大大增强。
关于这个问题,100多年前的人们就早已想到了。一次一密密码(one-timepad)最早是由Major和AT&T公司的在1917年发明的。双方的秘钥是随机变化的,每次通信双方传递的明文都使用同一条临时随机秘钥和对称算法进行加密后方可在线路上传递。
由于秘钥一次一变,且难以推测,这就保证了线路传递数据的绝对安全。虽然拥有再强悍的破解估算能力,在没有秘钥的前提下对线路截取的密文也是无能为力的。
这么为什么这些“一次一密”的密码迄今未被广泛推广使用呢?主要诱因是,“一次一密”要大量消耗“密钥”,须要甲乙双方不断地更新密码本,而“密码本”的传送(即秘钥分配)本质上是不安全的。
比如,先前一次一密密码的实现,须要通信双方保存一个相同的密码集,每位密码集中拥有N条随机秘钥,每次通信次序使用其中的秘钥。双方的密码集中相同序号的秘钥必须是完全一样的,否则密文未能被正确还原。所以一旦其中一个密码集泄漏,这套加密系统自然就被破解了。这就导致密码集的维护成本极高,且存在安全风险。
也就是说,采用不安全的秘钥来施行“一次一密”加密仍是不安全的。这么是否有哪些办法可以确保密钥分配是安全的?有,这就是“量子秘钥分配”(Key)。
真正的“量子通讯”
量子秘钥分配(QKD)应用到量子热学的基本特点(如量子不可克隆性,量子不确定性等)来确保任何试图盗取传送中的秘钥就会被合法用户所发觉,这是QKD相比传统秘钥分配的奇特优势,前者原则上难于判定手头的“密码本”是否已被监听者复制过。
QKD的另一个优点是无需保存“密码本”,只是在双方须要施行保密通讯时,实时地进行量子秘钥分配,之后使用这个被确认是安全的秘钥实现“一次一密”的精典保密通讯,这样可避免保存密码本的安全隐患。
量子秘钥分发,其目的是在两个分离的通讯双方之间构建起完全安全的秘钥传输通道。它的最原始的思想可溯源到1970年,波兰学院的首次提出了共轭编码的概念并发明了难以伪造的“量子货币”(Money)方案。
量子货币是一种不可复制、不可篡改的交易系统,其原理是光子的偏振光和不可克隆。但这个看法在当时听上去太过匪夷所思,的论文被多大专学刊物拒绝刊载,直至1983年。
1984年,IBM的和芝加哥学院的了解到的看法后,将“量子货币”概念与通讯中的公钥密码技术结合,提出了第一个实用型量子秘钥分配系统——BB84方案,即将标志量子保密通讯的诞生。
BB84方案的基本原理是,收发双方的信息内容是可以被编译成光子偏振光的,Alice借助随机偏振光发送信息,Bob发觉并记录下信息。之后,Alice在公频告知Bob偏振光频度,双方依照正确的偏振光比对选择的信息部份。
如右图所示,Alice有四种偏振光片,包括水平和垂直方向(组成一组正交基)、-45°和+45°方向(组成一组正交基),因而可以制备四种不同偏振光方向的光量子。
与此同时,Bob有两种检测基,第一种可以接收和检测水平或垂直方向的光量子,判定是0还是1;同理第二种能接收和检测-45°或+45°的光量子,判定是0还是1。
这就好比有两种形成和测量量子比特0和1的机器,一种机器呈“+”形状,为直线机,另一种呈“×”形状,为对角机。在检测的时侯,我们只能随机选择直线机和对角机中的一个来看光子是否通过。所以,测得的结果的确切率应当是选对的50%,再加上选错的一半中仍有一半的机率正确(25%),最后得到75%。
之后,就可以建造一个基于QKD的量子保密通讯系统了。如右图所示,其中上路负责秘钥分配,下路负责传输加揭秘数据。在上路中,量子信道负责传输量子秘钥,而精典信道负责传输检测基等额外须要的信息。其中,精典通道是指无线电或互联网等常用的信息发送通道。
如今我们就来瞧瞧,Alice发送了0和1组成的信息串以后,Bob这方接收的情况。
首先,Bob收到一串由量子比特构成的信息后,将每一个量子比特随机地放进两种测量机中的一种,并将记录出来的检测结果和自己选择的测量机器次序,都从精典通道发回给Alice。
之后,Alice通过比较Bob接收到的和她自己发送时的数据,算出Bob检测结果的正确率。假如这个数值大概是75%,说明信息没有被监听。于是,Alice就把原先数据中Bob用对了机器的这些量子比特的序号选购下来并通过精典通道发送给鲍勃,这种量子比特就作为通讯的秘钥。
但是,假若量子比特在传输中途被监听了的话,这个量子比特就由于被监听者检测过而改变状态了。为此,监听者的存在将给Bob得到的最后结果引入偏差。这样,Alice比对自己与Bob的数据以后,发觉正确率偏离了75%,能够晓得有监听者存在,她便会扔掉此次传输的数据不用,而立刻换用另一个量子通道。
BB84方案应用了量子通道,但传输的仍是精典信息,而真正的“量子通讯”是将信息编码在量子比特上,在量子通道中将量子比特从乙方传给甲方,直接实现信息的传递。
例如在精典通讯中,Alice将须要传输的文件经过扫描后得到的信息,通过精典通道传送给Bob,前者用另一张纸将图象复印下来。但是,Alice不可能用这些方法将一个量子态传输给Bob。由于要传输就必需要检测,但量子态一经检测便发生坍缩,不再是原先的量子态了。
这么,怎样在不造成坍缩的情况下,将一个量子态传输出去呢?
于是1993年,、等六人联合发表的论文提出了隐型传态合同(),借助两个精典比特信道和一个缠绕比特实现了一个量子比特的传输。
这个传输过程借助的是量子纠缠态。先是制备两个有纠缠的量子(粒子)对A和B,Alice和Bob各持一个。之后,Alice对须要传送的量子态X和她手中的A做“贝尔检测”。贝尔检测是一种特殊的检测,要让两个粒子深陷纠缠。检测后,X的量子态坍缩了,但它的状态信息隐藏在A中,使A也发生变化(但并非坍缩)。
由于A和B相互纠缠,A的变化立刻影响B,让B也发生变化。不过这个时侯Bob还不能观察B,直至从精典通道得到Alice传来的信息。
Alice将检测结果(即A发生的变化)告诉鲍勃,之后,Bob对B进行相应的变换处理,才能使B成为和原先的X一模一样的量子态。这个传输过程完成以后,即使X坍缩了,但X所有的信息都传输到了B上,因此称之为“隐形传态”。
以上两个合同的提出奠定了整个量子信息理论的基础,此后20多年里,量子通讯开始遭到各国的注重并快速步入应用阶段。
量子通讯的商用化
量子通讯哪些时侯实现商用化?这个问题不能一概而论。由于量子隐型传态(QT)商用化的难度要远远超过量子秘钥分发(QKD),后者传输的是量子比特(信息),前者传输的是秘钥而非信息。
1997年,加拿大小组首次成功实现了量子隐型传态通讯;同年,还在英国留学的潘建伟和法国学者丹巴斯特等人合作,首次实现了未知量子态的远程传输。
2004年,潘建伟小组在国际上首次实现五光子纠缠和终端开放的量子态隐型传输,随后又首次实现6光子、8光子纠缠态;2011年,在国际上首次成功实现了百公里量级的自由空间量子隐型传态和纠缠分发,解决了通信卫星的远距离信息传输问题。
近些年来,QT研究在空、天、地等平台上积极举办实验探求。2017年,中科大基于“墨子号”卫星,实现星地之间QT传输,低轨卫星与地面站采用上行链路实现量子态信息传输量子隐态传输,最远传输距离达到1400公里,成为目前QT自由空间传输距离的最远记录。
2018年,欧共体量子旗舰计划创立量子互联网联盟(QIA),采用软禁离子和光子波长转换技术探求实现量子隐型传态和量子储存中继,计划在波兰四城市之间构建全球首个光纤QT实验网路,基于纠缠交换实现量子态信息的直接传输和多点组网。
2019年,武汉学院报导了基于无人机举办空地量子纠缠分发和检测实验,无人机携带光学发射机荷载,完成与地面接收站点之间200米距离的量子纠缠分发检测。
但是,QT研究目前仍主要局限在各类平台和环境条件下的实验探求,包括高品质纠缠制备、量子态储存中继和高效率量子态测量等关键技术困局仍未突破,距离实用化仍有较大距离。
相比QT,QKD实现商用化的可能性更大。1993年,加拿大研究小组首先在光纤中使用相位编码的方式实现了BB84方案,通讯传输距离达10km。此后20多年里,QKD的实验研究不断突破传输距离和秘钥成分辨率的记录。
2018年,富士通欧研所报导新型相位随机化双光场编码和传输实验,实现550公里超低耗损光纤传输距离记录,其中的双光场中心检测节点可以作为量子中继的一种代替方案。
同年,中科大和法国科大学联合报导了基于“墨子号”卫星实现7600公里距离的洲际QKD和量子保密通讯,在可用时间窗口内,基于卫星中继的秘钥传输平均速度~3kbps,在两地QKD秘钥累积一定数目以后,可以用于进行图片和视频大会等应用的加密传输。
随着QKD技术步入实用化阶段,并不断举办试点应用和网路建设,进一步提高虽然用化和商用化水平成为科研机构和产业链上下游关注和技术变迁的主要方向。
QKD实用化技术变迁的主要方向包括基于光子集成(PIC)技术提高收发机的集成度,采用连续变量(CV)QKD技术举办实验和商用设备开发,以及举办QKD与现有光通讯网路的共纤传输和融合组网等。
目前,实现量子秘钥分发有两种方式:离散变量量子秘钥分发(DV-QKD)和连续变量量子秘钥分发(CV-QKD),其中CV-QKD技术出现时间相对较晚,但凭着其先天优势,近十几年来得到了迅速的发展。
1999年,俄罗斯科学家Ralph首次提出CV-QKD的看法。CV-QKD技术编码信息在光场的正则份量上,系统只须要普通的相干激光器、平衡零差测量器,成本低、实用性强,且在同等条件下其输出的秘钥率远低于DV-QKD技术,与传统光通讯网路融合性高。
然而目前CV-QKD技术在安全传输距离方面还不如DV-QKD技术。为此,DV-QKD技术和CV-QKD技术各有其应用偏重方向,可以产生挺好的互补关系,具备了建立商业化系统的条件。
近些年来,基于QKD的量子保密通讯在全球范围内进一步举办了试点应用和网路建设,欧共体量子旗舰计划项目支持俄罗斯和乌克兰等地营运商,举办QKD实验网路建设。日本的营运商通过竞购英国IDQ股权等方法,也开始介入QKD技术领域,并参建了日本釜山地区的QKD实验网路。
我国量子保密通讯的网路建设和示范应用发展较为迅速,近些年来,潘建伟团队及其产业公司举办了“京沪干线”和国家广域量子保密通讯骨干网路建设一期工程等QKD项目。郭光灿团队联合相关企业建设了从杭州到扬州的“合巢芜城际量子密码通讯网路”,以及从上海到南京总长近600公里的“宁苏量子干线”。
商用化进程方面,CV-QKD技术在清华、北邮、上海师大和四川学院等院校和研究机构中取得大量研究成果。北京循态量子、北京启科量子、北京中创为量子和广州国腾量子等公司加入QKD设备供应商行列,同时传统通讯设备行业中的华为和烽火等设备供应商,也开始关注基于CV-QKD等技术的商用化设备。
但值得一提的是,QKD还只是量子保密通讯系统的一个环节,量子保密通讯系统整体满足信息论可证明安全性须要QKD、一次一密加密和安全身分认证三个环节,缺一不可。
目前QKD商用系统在现网光纤中的秘钥生成速度约为数十kbit/s量级,对于现有信息通讯网路中的高速业务,无法采用一次一密加密,需与传统对称加密算法相结合,由QKD提供对称加密秘钥。这样一来,因为存在秘钥的重复使用,并不满足一次一密的要求。
量子通讯的研究已有30多年历程,目前达到的实际水平是:在百公里范围的城域网,量子密码体系可以做到秘钥分配在现有技术保证的各类功击下是安全的,安全秘钥生成率在25公里可确保高清视频“一次一密”,在100公里内能确保音频、文字、图片等的“一次一密”。
假如超过城域范围,就难以确保其安全性了。长距离的QKD网路须要利用“可信中继节点”技术,进行逐段秘钥分发,秘钥落地储存和中继。秘钥一旦落地储存,就不再具备量子态和由量子热学保证的信息论安全性。
因而,远程量子保密通讯只有采用“量子中继”才能确保其安全性,而“量子中继”的研发遭到可实用的量子储存器和确定性纠缠光子源的限制,目前依然处于基础研究阶段。
从城域网到广域网,从量子密码到隐型传态,任重且道远。