我們能否以完全安全和保密的方式在線發(fā)送數(shù)據(jù)？為抵御“量子攻擊”，商用QKD網(wǎng)絡(luò)系統(tǒng)可能會促成“量子互聯(lián)網(wǎng)”的誕生，并且用不了太久。

編譯?|?陳巍、張國威（中國科學(xué)技術(shù)大學(xué)）?來源?|?編譯自 Jon Cartwright. Physics World，2023，(6)：35，選自《物理》2023年第7期

目前，對電子郵件、醫(yī)療記錄、銀行交易或政府機(jī)密等信息進(jìn)行加密，其安全性可以抵御最強(qiáng)大的超級計(jì)算機(jī)的破解。但可能只需要十年，量子計(jì)算機(jī)就將具備入侵這些私密數(shù)據(jù)的能力，使其突然間變得唾手可得。而近期的科學(xué)研究成果也正在傳遞一個(gè)信號：量子“炸彈”的引爆時(shí)間可能比我們想象的更早。

量子技術(shù)專家多年來一直在發(fā)出警告：量子計(jì)算機(jī)可能對信息安全產(chǎn)生威脅。2020年，英國國家網(wǎng)絡(luò)安全中心發(fā)布了一份白皮書，建議大型公司和機(jī)構(gòu)“應(yīng)該在制定長期路線圖時(shí)考慮量子計(jì)算機(jī)攻擊的威脅”，并優(yōu)選可以過渡到量子安全平臺的系統(tǒng)。IBM公司在其2023年發(fā)布的《量子計(jì)算時(shí)代的安全》中指出，量子計(jì)算是對經(jīng)典數(shù)據(jù)安全的“生存威脅”，并警告說，“毫無疑問，沖擊即將到來——這不是存在與否的問題，而是多快到來和破壞性多大的問題?！?/p>

只有基于量子技術(shù)才能抵御量子攻擊，并證明其安全性。幸運(yùn)的是，物理學(xué)家們早已在研究量子密碼學(xué)，特別是量子密鑰分發(fā)?(quantum key distribution，QKD)?，為量子計(jì)算機(jī)無處不在的“后量子”世界做準(zhǔn)備。QKD的優(yōu)勢在于利用了光子的量子特性對密鑰進(jìn)行加密，保證其傳輸時(shí)的安全性。安全的密鑰則可以用于加密數(shù)據(jù)。

2004年，Id Quantique成為第一家利用QKD保障銀行轉(zhuǎn)賬安全的公司。如今已有數(shù)十家企業(yè)正在提供QKD產(chǎn)品，基于QKD的網(wǎng)絡(luò)也迅速擴(kuò)大，并日趨復(fù)雜。日本東芝公司和英國電信公司?(BT)?建設(shè)的網(wǎng)絡(luò)覆蓋了約600平方公里，并且會計(jì)事務(wù)所安永已經(jīng)在去年成為其首個(gè)客戶。這是商業(yè)化QKD邁出的一大步，但只是正在迅速擴(kuò)張的全球量子通信網(wǎng)絡(luò)的縮影。未來，覆蓋全國的商業(yè)化QKD網(wǎng)絡(luò)，甚至是全球化、具備量子安全性的信息高速公路——“量子互聯(lián)網(wǎng)”將會出現(xiàn)。它可以將量子和經(jīng)典計(jì)算機(jī)連接在一起，用戶可以在其中傳輸敏感數(shù)據(jù)，而不用擔(dān)心這些數(shù)據(jù)有朝一日會被竊取。問題是：我們離這個(gè)誘人的前景還有多遠(yuǎn)？它真的能實(shí)現(xiàn)嗎？

數(shù)字游戲。構(gòu)建量子信息技術(shù)的基本單元是“量子比特”。經(jīng)典比特以二進(jìn)制值“0”或“1”編碼信息，而量子比特可以處于兩個(gè)值的疊加狀態(tài)，并且可以相互糾纏。利用這些特征，量子計(jì)算機(jī)可以同時(shí)探索多變量問題的多種可能的解決方案。這使其在處理優(yōu)化任務(wù)方面比經(jīng)典計(jì)算機(jī)更有效率，例如預(yù)測分子結(jié)構(gòu)和天氣，或模擬金融市場。但量子計(jì)算機(jī)威脅數(shù)據(jù)安全的根本原因是其非常擅長進(jìn)行大數(shù)分解，而這正是當(dāng)前多數(shù)加密技術(shù)的基石

安全性的關(guān)鍵

加密數(shù)據(jù)并不困難，在如今的互聯(lián)網(wǎng)上，通常使用先進(jìn)加密標(biāo)準(zhǔn)?(AES)?算法就可以做到。發(fā)送者使用一個(gè)密鑰，通過算法加密信息后，將其通過互聯(lián)網(wǎng)發(fā)送給接收者。后者需要用與加密相同的密鑰解密數(shù)據(jù)，如果沒有密鑰，則幾乎無法解密數(shù)據(jù)。這聽起來很不錯(cuò)，但是應(yīng)該如何在用戶間共享密鑰呢？直接通過網(wǎng)絡(luò)發(fā)送密鑰顯然風(fēng)險(xiǎn)較大，因此需要使用“公鑰密碼學(xué)”加密該密鑰。RSA算法是最常見的加密方式，它幾乎被用于保障當(dāng)今互聯(lián)網(wǎng)的所有安全通信，URL開頭的“https”就是一個(gè)例子。
RSA需要生成額外的兩個(gè)密鑰?(公鑰和私鑰)?來加密AES所用的密鑰。公鑰對所有人公開，但只有擁有私鑰的人才能解密信息。希望獲得AES密鑰的人只需公開其公鑰，待接收到用公鑰加密的AES密鑰后，使用其私鑰解密即可。RSA通過大質(zhì)數(shù)相乘產(chǎn)生密鑰，然后將其結(jié)合簡單的數(shù)學(xué)算法完成加密。傳統(tǒng)的計(jì)算機(jī)很難逆向分解得到用于生成密鑰的質(zhì)因數(shù)，因此也就無法破譯數(shù)據(jù)。據(jù)估計(jì)，即使用當(dāng)前最先進(jìn)的超級計(jì)算機(jī)，也需數(shù)十億年才能破解使用2048位密鑰的RSA標(biāo)準(zhǔn)。
相比之下，量子計(jì)算機(jī)則可以輕松快速地完成大數(shù)的質(zhì)因數(shù)分解。因?yàn)檫@是當(dāng)前大部分經(jīng)典密碼學(xué)的根基，因此會使整個(gè)互聯(lián)網(wǎng)面臨風(fēng)險(xiǎn)。雖然目前黑客還無法獲得足夠強(qiáng)大的量子計(jì)算機(jī)，但更大的危險(xiǎn)在于，黑客可以實(shí)施“先截獲、再破譯”的攻擊，即將加密后的數(shù)據(jù)儲存下來，等到今后有更強(qiáng)大的量子設(shè)備時(shí)再進(jìn)行解密。
設(shè)計(jì)可以更好抵御量子計(jì)算機(jī)攻擊的新協(xié)議是解決該問題的一種方案。這些無需依賴質(zhì)因數(shù)分解算法的協(xié)議被稱為“后量子密碼學(xué)”?(post-quantum cryptography)。雖然這類算法正在被加緊研究，并且有望在接下來的幾年內(nèi)推出新的標(biāo)準(zhǔn)，但它們的完備性?(integrity)?依賴于對量子計(jì)算機(jī)實(shí)際限制的各種假設(shè)，而這些假設(shè)可能被大多數(shù)而非所有用戶接受。鑒于QKD是唯一從理論上被證明安全的密鑰分發(fā)方法，我們更希望從“AES+RSA”轉(zhuǎn)向“AES+QKD”或AES與其他形式的后量子密碼學(xué)方法結(jié)合。

工業(yè)影響

Andrew Shields是東芝劍橋研究院量子技術(shù)部門的負(fù)責(zé)人。他表示，非量子物理領(lǐng)域的大數(shù)據(jù)管理人員終于開始意識到了量子計(jì)算對數(shù)據(jù)安全的威脅。而在他從業(yè)的早期，主要的關(guān)注點(diǎn)還在1984年提出的BB84協(xié)議本身。在BB84協(xié)議中，量子比特以單光子偏振態(tài)的形式存在，例如：水平偏振光子代表“0”，垂直偏振光子代表“1”?；诹孔恿W(xué)原理，竊聽者的測量會不可隱匿地改變被測量子比特的狀態(tài)，從而使接收者可以推測信息是否被竊聽。
BB84協(xié)議在理論上無懈可擊，但實(shí)際生成和長距離傳輸單光子都非常困難。因此，東芝和英國電信組建的QKD使用了弱激光脈沖作為光源。但是，此類光源中存在一定的多光子脈沖，這些光子可能被編碼到同一偏振狀態(tài)。這里的安全性問題在于，如果一個(gè)密鑰被編碼在同一個(gè)脈沖的兩個(gè)或更多的光子上，竊聽者就可以截取其中的一個(gè)光子，而不改變其他光子的狀態(tài)。這將使這些光子不再安全。2003年提出的“誘騙態(tài)”方法可以解決這一問題。它在承載真實(shí)密鑰信息的信號光脈沖之間，摻雜一些光強(qiáng)更弱的“誘騙”光脈沖。當(dāng)竊聽者從總的信號中截取一些光子時(shí)，他們會從誘騙態(tài)光脈沖取出比信號光脈沖更少的光子，從而改變兩者在總體混合脈沖中的比例，而這是接收端可以檢測到的明顯特征。“盡管在單光子和糾纏光子源方面已經(jīng)有了很多進(jìn)展，但使用弱激光源仍然是最有效的，”Shields表示，“使用誘騙態(tài)協(xié)議，我們可以獲得非常接近使用真正單光子源的理想密鑰率。”事實(shí)上，基于誘騙態(tài)脈沖的協(xié)議已經(jīng)成為長距離QKD的新標(biāo)準(zhǔn)。

在東芝的商用QKD系統(tǒng)中，還開發(fā)了一種“復(fù)用”技術(shù)，使量子光可以與不同波長的經(jīng)典光一起被發(fā)送和接收?！傲孔油ǖ缹⒉坏貌灰蕾囉诂F(xiàn)有的通信基礎(chǔ)設(shè)施，因?yàn)閺某杀窘嵌葋砜?，更換它是不現(xiàn)實(shí)的，” Shields說。雖然在傳輸數(shù)據(jù)的光纜中，并非所有的光纖都被使用，因此量子和經(jīng)典通信光纖傳輸并非絕對必要。但一種有說服力的觀點(diǎn)認(rèn)為，共享基礎(chǔ)設(shè)施可以最大限度地發(fā)揮QKD在未來的潛力，并允許它在漸趨單芯的光纖網(wǎng)絡(luò)的邊緣接入使用。

搭建量子網(wǎng)絡(luò)

東芝—英國電信量子城域網(wǎng)絡(luò)連接了三個(gè)核心節(jié)點(diǎn)：倫敦西區(qū)、倫敦市和斯勞。英國電信光學(xué)研究高級經(jīng)理Andrew Lord稱，用戶在任意三個(gè)節(jié)點(diǎn)之一的半徑10-15 km范圍內(nèi)都可以注冊并使用QKD傳輸數(shù)據(jù)。
然而，這種能力來之不易。“我們的主要業(yè)務(wù)是在客戶之間傳輸數(shù)據(jù)，無論其是否被加密，”Lord說?！皢栴}是，如何將量子用于其中？”網(wǎng)絡(luò)需要管理量子信號，保證其到達(dá)正確的終端，同時(shí)還要修改標(biāo)準(zhǔn)的波分復(fù)用?(WDM)?數(shù)據(jù)信道。最大的難題是當(dāng)高功率激光在光纖中傳輸時(shí)，會干擾精密的量子狀態(tài)。“一不小心，經(jīng)典數(shù)據(jù)就會淹沒量子通道?！币虼耍琎KD系統(tǒng)設(shè)計(jì)者必須與WDM廠商合作進(jìn)行優(yōu)化，通過縝密的設(shè)計(jì)才能達(dá)到量子網(wǎng)絡(luò)的要求。
根據(jù)Lord所述，該網(wǎng)絡(luò)自2022年6月以來一直在無故障地運(yùn)行。除了會計(jì)事務(wù)所巨頭安永，還引起了其他金融部門、醫(yī)療保健公司，以及政府的興趣。這有助于Lord、Shields及其同事確定市場對量子網(wǎng)絡(luò)的需求，以及如何創(chuàng)建全國范圍的廣域量子服務(wù)。英國電信正在開展一項(xiàng)由英國政府支持的可行性研究，預(yù)估使用現(xiàn)有技術(shù)實(shí)現(xiàn)這樣的網(wǎng)絡(luò)所需的代價(jià)。

量子密鑰分發(fā)(QKD)保障數(shù)據(jù)在互聯(lián)網(wǎng)中傳輸而不被量子計(jì)算機(jī)竊取。它使用由單光子流組成的密鑰對數(shù)據(jù)進(jìn)行加密，其中“0”是水平偏振的光子，“1”是垂直偏振的光子。當(dāng)接收者得到密鑰時(shí)，他們可以使用QKD解密數(shù)據(jù)，并計(jì)算出是否有人竊聽。由量子力學(xué)保證了這種竊聽或測量必將改變密鑰的狀態(tài)。(譯者注：QKD僅用于保證密鑰分發(fā)過程的安全性，加解密仍需使用其他算法來完成。且“０”或“１”代表的是非正交基下的一組光子，如“０”代表水平偏振或另一組編碼基下45°偏振的光子)

但是，使用現(xiàn)有技術(shù)搭建可以跨大西洋的洲際光纖量子網(wǎng)絡(luò)仍然力有不逮：微弱的量子信號每傳輸50公里，密鑰生成的速率就會降低約10倍。有兩種方案可以解決該問題，其一是使用衛(wèi)星通信。2020年，中國研究者利用“墨子號”衛(wèi)星在距離1100多公里的青海德令哈站和烏魯木齊南山站之間實(shí)現(xiàn)了QKD。但“墨子號”每晚在地面站上空僅停留5分鐘，密鑰無法持續(xù)更新。更高的軌道可以提供更長的覆蓋時(shí)間，但同時(shí)信號也會更微弱。另一種方法是使用“量子中繼器”。該裝置放置于長距離信道的中間，將具有糾纏特性的光子對分發(fā)到信道兩端。輸入光子通過與其中的一個(gè)光子相互作用，可以將其狀態(tài)傳送到遠(yuǎn)端的另一個(gè)糾纏光子上。因此，量子中繼器可以成為拓展量子信號傳輸距離的橋梁。雖然量子中繼器的部分技術(shù)已經(jīng)得到了驗(yàn)證，但全功能的量子中繼器尚未實(shí)現(xiàn)。

無形的成功

雖然通往量子互聯(lián)網(wǎng)的道路仍然布滿荊棘，但相關(guān)技術(shù)正在得到迅速發(fā)展，大量資金也在近些年開始涌入這一領(lǐng)域。2018年，歐盟宣布將在未來10年內(nèi)至少投入10億歐元，用于開展量子旗艦計(jì)劃。美國政府僅在今年就撥款近8.5億美元，更多的資金則通過谷歌、IBM和微軟等計(jì)算機(jī)巨頭私下地投入。英國政府承諾在下一個(gè)十年期的量子戰(zhàn)略規(guī)劃中撥款25億英鎊用于量子技術(shù)開發(fā)，并希望能再帶動10億英鎊的私人投資。
也許十年內(nèi)，量子互聯(lián)網(wǎng)就可能以某種形式出現(xiàn)在我們的身邊。但頗具諷刺意味的是，對致力于此的人來說，只有失敗才會獲得關(guān)注。如果他們成功了，我們的敏感數(shù)據(jù)將不會被竊取，大多數(shù)人甚至不會意識到量子計(jì)算機(jī)曾造成過威脅。

本文經(jīng)授權(quán)轉(zhuǎn)載自微信公眾號“中國物理學(xué)會期刊網(wǎng)”。