編者按

量子科技發(fā)展突飛猛進(jìn)，受到各界的廣泛關(guān)注。其中量子保密通信技術(shù)，可以與經(jīng)典信息安全技術(shù)融合，服務(wù)于政務(wù)、金融、交通等行業(yè)，對于提升國家網(wǎng)絡(luò)安全保障水平具有重要作用。

2022國家網(wǎng)絡(luò)安全周量子安全分論壇很榮幸的邀請到經(jīng)典密碼領(lǐng)域的專家中國密碼學(xué)會(huì)理事、中國電力科學(xué)研究院高級專家李智虎，帶來以“量子密碼安全性探索”為主題的演講，介紹在經(jīng)典信息技術(shù)發(fā)展已完備的情況下，為什么還要發(fā)展量子信息技術(shù)？二者的關(guān)系又是如何？

李智虎

中國密碼學(xué)會(huì)理事、中國電力科學(xué)研究院高級專家

以下為李智虎老師演講內(nèi)容速記

? //??

很高興能在金秋九月與大家相聚在江淮大地，廬州新府。合肥是國家高科技的圣地，更是量子科技的全球高地。我們有潘院士、郭院士牽頭引領(lǐng)的各項(xiàng)理論成果，也有國盾量子、問天量子等企業(yè)做了很多的實(shí)際落地成果。今天，我斗膽在合肥探討量子技術(shù)確實(shí)是班門弄斧。

我今天演講題目是《擁抱量子 你最經(jīng)典》。這個(gè)話題我一直想給它加一個(gè)場景，假設(shè)我們對300年前的經(jīng)典物理學(xué)家牛頓說“擁抱量子你最經(jīng)典”，估計(jì)牛頓的棺材板都蓋不住了，起來就要把我們呵斥一頓。他老人家是經(jīng)典物理的集大成者，站在伽利略等大咖的肩膀上完成了三大定律，連宇宙星辰都按照他總結(jié)出來的法則運(yùn)行，跟他說量子是沒有任何基礎(chǔ)的。

我覺得更適合的場景應(yīng)該是，玻爾等哥本哈根派的物理學(xué)家對愛因斯坦等物理學(xué)家提出上帝擲不擲骰子的問題。愛因斯坦是決定論,他說上帝是不會(huì)擲骰子的。當(dāng)然了，霍金說上帝不但擲骰子，還把骰子擲到我們看不見的地方。但是，我們要特別感謝像愛因斯坦這種站在量子力學(xué)對立面的人。因?yàn)樗诹孔永碚撨€沒有完全成熟的時(shí)候，不是去擁抱量子，而是在對立面助力量子理論逐步完善。

100年以后的今天，我們跟一些理論的物理學(xué)家或者物理學(xué)者說這句話，好像也有點(diǎn)不適合。因?yàn)榱孔拥暮芏嗬碚?，比如糾纏、多態(tài)、隧穿，這些問題大家都已經(jīng)清楚，并且已經(jīng)應(yīng)用到實(shí)際當(dāng)中了，但工程技術(shù)和應(yīng)用還沒有達(dá)到完備的程度，所以我們還需要說“擁抱量子，你最經(jīng)典”。

經(jīng)典VS量子：對抗or融合

關(guān)于量子，從1901年普朗克引入量子概念解決黑體輻射問題，一直到1927年至1935年，歷屆索爾維會(huì)議對量子爭論達(dá)到白熱化。尤其是第五屆索爾維會(huì)議，當(dāng)時(shí)的參會(huì)者中有17位物理學(xué)家獲得了諾貝爾獎(jiǎng)。爭論的兩派主要是哥本哈根派和反對派，當(dāng)然還有一些像康普頓的實(shí)驗(yàn)派只關(guān)注實(shí)驗(yàn)的結(jié)果。但在這一場曠日持久的爭論中，很多東西都塵埃落地，我們在爭論當(dāng)中越辯越明。

今天，在工程實(shí)踐當(dāng)中經(jīng)典密碼和量子密碼也有這樣的爭論。量子主要應(yīng)用于量子測量、量子通信、量子計(jì)算這三個(gè)領(lǐng)域。其中最難的是量子計(jì)算，但大家對量子計(jì)算的爭論好像不多。我們現(xiàn)在的半導(dǎo)體工藝從微米級到了納米級，然后到10納米以下，最后到2納米以下的話，實(shí)際上摩爾定律已經(jīng)就不再起作用了，可以說我們遇到了一個(gè)“銅墻鐵壁”。我們知道原子的尺寸是0.1納米量級。半導(dǎo)體里面，最常用的材料硅，它的晶核常數(shù)是0.56納米，如果我們把工藝再往上提高到1納米以下的話，會(huì)形成量子隧穿效應(yīng)，所以說我們的半導(dǎo)體工藝已經(jīng)走到極限了，摩爾定律更不要說發(fā)展了，直接就停滯了。在這種情況下，大家當(dāng)然是對量子計(jì)算充滿了期待。

量子密碼的演化過程

量子通信這一領(lǐng)域有很多的質(zhì)疑。我個(gè)人是做經(jīng)典密碼的，能夠理解經(jīng)典密碼人對量子會(huì)有一些抗拒。

我們知道，量子密碼主要運(yùn)用在量子通信這個(gè)領(lǐng)域，最著名的BB84協(xié)議從理論上來說是一個(gè)完備的、先進(jìn)的理論。因?yàn)榱孔邮遣豢煽寺〉模瑔喂庾硬豢稍俜指?。如果一個(gè)光子在發(fā)送的過程當(dāng)中被截獲了，馬上就能夠被發(fā)現(xiàn)。但在工程技術(shù)方面會(huì)有一些問題需要完善。

舉個(gè)例子，我要用弱光源去發(fā)送一個(gè)光子，但是發(fā)的時(shí)候萬一發(fā)了兩個(gè)光子或者多個(gè)光子，那么就會(huì)出現(xiàn)分束攻擊，也就是說我們在工程實(shí)踐當(dāng)中，不可能達(dá)到理論上的單光子。為了解決這個(gè)問題，清華大學(xué)王向斌教授以及中科大陳凱老師就提出了誘騙態(tài)的理論：有的光子用來通信，有的光子用來身份驗(yàn)證。還比如說，我們單光子通信衰減可能比較厲害，只能達(dá)到70公里到80公里。我可以想別的辦法，一是增強(qiáng)它的功率，二是中繼做的更安全，三是用自由空間來通信，比如“墨子號”“濟(jì)南一號”。我們不斷地去嘗試新的技術(shù)，比如核心器件工程化、小型化、國產(chǎn)化，實(shí)現(xiàn)了高集成、高性能和可移動(dòng)等各種優(yōu)勢，不斷迭代。

經(jīng)典密碼的演化過程

量子密碼擁有先進(jìn)的理論、不斷完善的工程技術(shù)，經(jīng)典密碼的理論不如量子先進(jìn)，但工程也一直在完善的過程中。

經(jīng)典密碼經(jīng)歷了三個(gè)時(shí)代：古典密碼、機(jī)械密碼和現(xiàn)代密碼。古典密碼用替換字母等方式，但沒辦法抵抗簡單的頻率統(tǒng)計(jì)。機(jī)械密碼，我們知道最有名的就是二戰(zhàn)時(shí)期的Enigma密碼，在德軍里盛行，但是它也被一代代破獲?，F(xiàn)代密碼從1949年香農(nóng)提出來，保密系統(tǒng)通信原理在1976至1978年這幾年有了長足的發(fā)展。美國公開征集的DES算法；Diffie Hellman發(fā)表了密碼學(xué)新方向，提出了DH協(xié)議；還有Rivest, Shamir和Adleman三位專家提出了RSA的公鑰算法。理論上說，它基本沒有什么大破綻，但實(shí)際上DH算法以及后續(xù)的RSA在工程實(shí)踐當(dāng)中還是有不少問題的。舉個(gè)例子，RSA的簽名過程當(dāng)中一開始是沒有用雜湊算法。雜湊算法在后續(xù)比較有名，像MD5、SHA-1，然而這些被我們國家的密碼學(xué)家王小云院士在2004年前后破譯了。

所以可以看出來，在經(jīng)典密碼的發(fā)展過程中也是有很多問題需要去解決的，但是有一個(gè)問題實(shí)際上是沒法解決，就是1994年P(guān)eter Shor,提出了Shor算法，它對公鑰算法會(huì)有毀滅性的打擊。因?yàn)楣€密碼算法是基于困難問題，即在有限的時(shí)間內(nèi)，多項(xiàng)式時(shí)間內(nèi)是計(jì)算不出來的，但是如果給你無限的資源的話，就可以計(jì)算出來了。比如RSA算法，實(shí)際上是基于大數(shù)分解，就是n=p×q，“p”和“q”都是素?cái)?shù)，沒法分解。但真的沒法分解嗎？可以采取窮舉，從“1”窮舉到“p”,實(shí)際上都不用到p，我們還有其他方法。如果說有量子計(jì)算機(jī)那就不一樣了，這種np問題可能馬上就變成p問題了。

當(dāng)然我們有做后量子密碼，后量子密碼也是基于困難問題的，如SVP、CVP這種困難問題。量子計(jì)算和Shor算法目前還不適合，至于未來有沒有，我們現(xiàn)在是不清楚的。所以在經(jīng)典密碼當(dāng)中，它的理論是基于你在計(jì)算上面不可達(dá)，也就說是一個(gè)困難問題在np是否等于p的這個(gè)場景下，我們一直都沒有得到證明。一旦證明了，基本上所有的公鑰算法基都崩塌了。所以從理論角度來看，我們并不是特別安全。

工程角度的話，我們在RSA做芯片實(shí)現(xiàn)的時(shí)候，一開始誰都沒有防護(hù)，RSA的私鑰里面的0和1的計(jì)算功耗差別特別大，把能量曲線拿出來一看就讀得出來，后來對于這個(gè)問題只能去補(bǔ)救了。用各種各樣功耗平衡、隨機(jī)插入指令等方式來做彌補(bǔ)，但是之前已經(jīng)在用的一些產(chǎn)品可能就泄露了當(dāng)時(shí)的信息。所以經(jīng)典密碼和量子密碼在工程領(lǐng)域都會(huì)有不同的問題。當(dāng)然遇到問題我們就給它解決。

從理論上來說，量子密碼不敢說它絕對安全、無條件安全，但至少能夠達(dá)到信息論安全這個(gè)等級，所以我覺得量子密碼還是有優(yōu)越性的。

另外一個(gè)就是公鑰密碼，隨著我們計(jì)算能力的提升，它會(huì)快速的把有些原來用的算法都破解。RSA512在1999年被破解，RSA768在2009年被破解，這期間也就10年時(shí)間，但如果你從理論上來看肯定得經(jīng)過好幾萬億年才有可能破解。所以說，如果我們1999年做了一款RSA512的算法芯片，正常情況下2009年還在銷售，就算銷售完不再銷售了，還會(huì)有可能繼續(xù)使用。即使全都換掉，當(dāng)初我們采用的這些芯片、產(chǎn)品保護(hù)的信息，在互聯(lián)網(wǎng)上是留痕的，萬一被拿到藏起來，等過幾年算法破解之后再進(jìn)行信息解密。從這個(gè)角度來看經(jīng)典密碼，我們還真得未雨綢繆，因?yàn)槲覀冇肋h(yuǎn)不知道明天會(huì)有什么新的東西出現(xiàn)。

經(jīng)典密碼與量子密碼融合

量子計(jì)算發(fā)展的很快，目前我們認(rèn)為現(xiàn)代公鑰密碼對量子計(jì)算機(jī)抗破譯能力在是10年之內(nèi)，關(guān)于量子計(jì)算形成實(shí)質(zhì)性的破譯能力，有專家提到會(huì)在2030年左右。比如說RSA1024其實(shí)已經(jīng)不算難題了，它的安全程度大概就是112，如果窮舉了“2”的112次方，基本上RSA1024就不算安全了。包括后續(xù)好多的算法，在量子計(jì)算的影響下幾乎都是不再安全的，但是量子密碼它是不可克隆、不可分割的，所以量子通信相對來說還是比較安全的。

比較量子密碼和經(jīng)典密碼在理論和工程實(shí)踐上的相同點(diǎn)、不同點(diǎn)，可以看出量子密碼固然很重要，但是不能摒棄經(jīng)典密碼，經(jīng)典密碼應(yīng)該擁抱量子密碼。目前采用的經(jīng)典密碼不知道未來會(huì)有什么破譯方法，所以在高安全等級的數(shù)據(jù)安全要求和需求下，需要我們通過量子密碼和經(jīng)典密碼的融合達(dá)到真正的安全。

比如通過波分復(fù)用的方式，我們在同一個(gè)光纖里面既能夠走經(jīng)典，也能夠走量子，這就是一個(gè)很好的融合。再有，量子密碼主要是解決在密鑰協(xié)商過程中的一些安全性問題，而數(shù)據(jù)加密或是一些完整性保護(hù)，還是需要通過經(jīng)典的密碼來實(shí)現(xiàn)。兩個(gè)密碼同時(shí)用，能夠保證更高強(qiáng)度安全的處理防護(hù)。

構(gòu)建大規(guī)模、實(shí)用化的量子計(jì)算可能需要很長的時(shí)間，在這段時(shí)間里我們有足夠的能力去更新量子密碼基礎(chǔ)設(shè)施，比如說更新到抗量子。因?yàn)楹罅孔有枰拇鎯?chǔ)空間非常大，在一些終端芯片、終端設(shè)備上面可能做不到很高等級的防護(hù)，這就形成了工程上新的困難問題。但我們利用這個(gè)時(shí)間，肯定能夠在量子計(jì)算實(shí)用化之前達(dá)到。

美國NIST從2016年就已經(jīng)開始征集下一代的算法，但是比較遺憾，到第四輪公開的時(shí)候馬上就出現(xiàn)了破解方法。所以究竟怎么樣是安全的，理論和工程實(shí)踐上都需要時(shí)間來檢驗(yàn)。

總結(jié)一下，經(jīng)典肯定是要接納量子，量子也離不開經(jīng)典，二者是一枚硬幣的兩面，但絕對不是對立面，它們是可以融合的。

最后送上一首詩與量子密碼、經(jīng)典密碼人共勉：

彈指一揮四百年，

兩朵烏云已成煙。

量子經(jīng)典今何去？

相逢一笑泯恩怨。