標籤:

你完全可以理解量子信息(14)| 袁嵐峰

關注風雲之聲提升思維層次

解讀科學,洞察本質

戳穿忽悠,粉碎謠言

導讀

不少科普作品說量子密碼術離不開量子糾纏,這就大錯特錯了!實際上,量子密碼術有若干種實現方案,有些用到量子糾纏,有些不用量子糾纏。對於實驗來說,操縱多個粒子肯定比操縱一個粒子困難。所以,用單粒子方案,也就是說不用量子糾纏,才能達到最優的效果。

—————————————————————————————————————————

前文參見: 你完全可以理解量子信息(1) | 袁嵐峰

你完全可以理解量子信息(2-3) | 袁嵐峰

你完全可以理解量子信息(4-5) | 袁嵐峰

你完全可以理解量子信息(6) | 袁嵐峰

你完全可以理解量子信息(7) | 袁嵐峰

你完全可以理解量子信息(8-10)| 袁嵐峰

你完全可以理解量子信息(11-12)| 袁嵐峰

你完全可以理解量子信息(13)| 袁嵐峰

十四、量子密碼術的實現方法

什麼樣的操作,能在通信雙方產生一段相同的隨機數序列呢?

如果你是一個真正聰明而細心的讀者,你就會想起本文前面關於EPR實驗的一句話(weibo.com/ttarticle/p/s):「A測量粒子1得到的是一個隨機數,B測量粒子2得到的也是一個隨機數,只不過這兩個隨機數必然相等而已。

妙啊!那一段是解釋為什麼EPR實驗不能傳輸信息,但有了量子密碼術的背景知識,你就會領悟到,把這個過程重複多次,雙方得到的相同的隨機數序列就可以用作密鑰。然後你可以用這個密鑰傳輸信息。這和「EPR實驗不傳輸信息」並不矛盾,因為傳輸信息時用的是普通的通信方式,不是EPR實驗。

很好,利用量子糾纏,我們立刻就找到了一種量子密碼術的方案。這至少說明量子密碼術是可以實現的,證明了它的存在性。

量子密碼術

但是,不少科普作品說量子密碼術離不開量子糾纏,這就大錯特錯了!這種說法造成了很多困擾。實際上,量子密碼術有若干種實現方案,有些用到量子糾纏,有些不用量子糾纏。量子糾纏是個可選項,而不是必要條件。

不僅如此,稍微想想你還會明白,量子糾纏是一種多粒子體系的現象,而對於實驗來說,操縱多個粒子肯定比操縱一個粒子困難。所以,只要有單粒子的方案,人們必然會優先用單粒子方案。實際情況正是如此,絕大多數量子密碼術的實驗都是用單粒子方案做的,這樣才能達到最優的效果。而基於量子糾纏的量子密碼術方案,就像用火箭送快遞一樣不實用,只具有理論意義。

當然,這不是說量子糾纏沒用。對於整個量子信息學科來說,量子糾纏非常有用,例如量子隱形傳態就以量子糾纏為基礎,但那是量子密碼術之外的應用了。正是因為量子密碼術可以不用量子糾纏,所以它的技術難度在量子信息的各種應用中是最低的(只是相對而言,絕對的難度還是很高),所以它發展得最快,最先接近了產業化。

不用量子糾纏,怎麼在雙方產生相同的隨機數序列?想想前面介紹的「三大奧義」,真正產生隨機數的是對疊加態的測量。所以只要充分利用疊加和測量這兩個手段,單個粒子就可以在雙方產生相同的隨機數。在「三大奧義」中,量子密碼術只需要前兩個(疊加、測量)就夠了,不需要第三個(糾纏)。

科學家們把量子密碼術的方案都稱為某某協議(就像計算機科學中的「TCP/IP協議」),上述利用EPR對的方案叫做EPR協議,而單粒子的方案包括BB84協議、B92協議、誘騙態協議等等。BB84協議是美國科學家Charles H. Bennett和加拿大科學家Gilles Brassard在1984年提出的,BB84是兩人姓的首字母以及年份的縮寫。BB84協議是最早的一個方案,而且目前最先進的誘騙態協議可以理解為它的推廣。所以只要理解了BB84協議,就理解了量子密碼術的精髓。

在BB84協議中,用到光子的四個狀態:|0>、|1>、|+>和|->。Hi,四位老朋友,又見面了~(|0>、|1>、|+>和|->:我們叫做「江南四大才子」!)在實驗上,這四個狀態是用光子的偏振(回顧一下,偏振方向就是電場所在的方向)來表示的,分別對應光子的偏振處於0度、90度、45度和135度。

江南四大才子

讓我們回憶一下,|0>和|1>這兩個態構成一個基組,|+>和|->這兩個態構成另一個基組。在某個基組下測量這個基組中的狀態,比如說在|0>和|1>的基組中測量|0>,那麼結果不變,測完以後還是|0>這個態。在某個基組下測量這個基組之外的狀態,比如說在|0>和|1>的基組中測量|+>,那麼結果必然改變,以一半的概率變成|0>,一半的概率變成|1>。

好,現在我們來敘述BB84協議的操作過程。A拿一個隨機數發生器(通俗地說就是擲硬幣),產生一個隨機數0或者1(讓我們把它記作a),根據這個隨機數決定選擇哪個基組:得到0就用|0>和|1>的基組,得到1就用|+>和|->的基組。選定基組之後,再產生一個隨機數(記作a′),根據這第二個隨機數決定在基組中選擇哪個狀態:得到0就在|0>和|1>中選擇|0>或者在|+>和|->中選擇|+>,得到1就在|0>和|1>中選擇|1>或者在|+>和|->中選擇|->。經過這樣雙重的隨機選擇之後,A把選定狀態的光子發送出去。

B收到光子的時候,並不知道它屬於哪個基組。他怎麼辦呢?他可以猜測。B也拿一個隨機數發生器,產生一個隨機數(記作b),得到0的時候就在|0>和|1>的基組中測量,得到1的時候就在|+>和|->的基組中測量。B測得|0>或者|+>就記下一個0,測得|1>或者|->就記下一個1,我們把這個數記為b′。

看出來了吧?如果B猜對了基組,a = b,那麼光子的狀態就是B的基組中的一個,所以測量以後不會變,a′必然等於b′。而如果B猜錯了基組,a ≠ b,那麼光子的狀態就不是B的基組中的一個,所以測量後會突變,a′和b′就不一定相等了(有一半的概率不同)。

把這樣的操作重複若干次,雙方發送和測量若干個光子。結束後,雙方公布自己的a和b隨機數序列(「公布」的意思就是對全世界公開,就是這麼任性~),比如說a的序列是0110,b的序列是1100。然後找出其中相同的部分,在這個例子里就是第二位(1)和第四位(0)。

現在我們知道了,在第二位和第四位,a′和b′必然是相同的!A和B把各自手裡第二位和第四位的a′和b′記下來,這個隨機數序列就可以用作密鑰。如果發送和接收n個光子,由於B猜對基組的概率是一半,就會產生一個長度約為n/2位的密鑰。至於a、b兩個序列中不同的部分,在這個例子中就是第一位(0對1)和第三位(1對0),它們對應的a′和b′有可能不同,所以我們就不去看它們了,這部分數據直接拋棄。

不過,到目前為止我們都假定只有A、B雙方在通信,沒有敵對方在竊聽。作為一個保密的方法,需要回答的下一個問題是:在有人竊聽的情況下,如何保證密鑰不被偷走?

讓我們把這個竊聽者稱為E(聯想英文單詞evil,「邪惡的」)。料敵從寬,我們還假設E非常神通廣大,A發給B的每一個光子都先落到了他手裡。BB84協議有一個辦法,使得即使在這種最不利的情況下,E也偷不走情報。

量子密鑰分發

什麼辦法呢?站在E的角度上想一想。如果E只是把這個光子拿走,那麼他只是阻斷了A、B之間的通信,仍然拿不到任何信息。E希望的是,自己知道這個光子的狀態,然後把這個光子放過去,讓B去接收。這樣A和B看不出任何異樣,不知道E在竊聽,而在A和B公布a和b序列後,E看自己手上的光子狀態序列,也就知道了他們的密鑰。

但是E的困難在於,他要知道當前這個光子處在什麼狀態,就要做測量。可是他不知道該用哪個基組測量,那麼他只能猜測。這就有一半的概率猜錯,猜錯以後就會改變光子的狀態。

例如A發出的狀態是|+>(這對應於a= 1, a′ = 0),E用|0>和|1>的基組來測量|+>,就會以一半的概率把它變成|0>,一半的概率把它變成|1>,然後B再去測量這個光子。如果B用的基組是|0>和|1>(b = 0),公布後會發現這裡a ≠ b,這個數據就被拋棄。而如果B用的基組是|+>和|->(b = 1),公布後會發現這裡a = b, 這個數據要保留。這時b′等於什麼呢?無論是|0>還是|1>,在|+>和|->的基組下測量時都以一半的概率變成|+>(b′ = 0),一半的概率變成|->(b′ = 1)。因此,a′和b′有一半的概率出現不同。

稍微想一下,你就會發現這是普遍的結果:只要E猜錯了基組,a′和b′就會有一半的概率不同。E猜錯基組的概率是一半,所以總而言之,在E做了測量的情況下a′和b′不同的概率是1/2 × 1/2= 1/4。這就是竊聽行為的蛛絲馬跡

那麼,通信方的應對策略就呼之欲出了。為了知道有沒有竊聽,A和B在得到a′和b′序列後,再挑選一段公布。這是BB84協議中的第二次公布。你看,有時為了保密,我們必須要「公布」,而且「公布」會成為一個威力巨大的保密武器。假如在公布的序列中出現了不同,那麼他們就知道有人在竊聽,這次通信作廢。

這樣做的效率怎麼樣呢?公布一個字元,E矇混過關的幾率是3/4。公布兩個字元,就是3/4的平方。如果公布m個字元,E矇混過關的概率就是3/4的m次方。這個概率隨著m的增加迅速接近於0,例如當m = 100時,只剩下3.2× 10-13。因此,如果公布了很長一段都完全相同,那麼就可以以接近100%的置信度確認沒有竊聽,通信雙方就把a′和b′序列中剩下的部分作為密鑰

如果發現有竊聽,那麼該怎麼辦?如果有多條信道的話,你可以換一條信道,除非敵人把所有的信道都卡死了。此外,量子密碼術跟一些光學技術聯用,可以確定竊聽者的位置,所以你可以通知警察、國安、軍隊,把竊聽者抓起來。這是量子密碼術特有的一個巨大優勢,傳統密碼術首先就發現不了竊聽,更不用說定位了。不過這是安全部門的任務,不屬於密碼術的範圍。至於密碼術本身,在發現竊聽時唯一能做的就是停止通信。因此,量子密碼術規定在發現竊聽時停止通信,就像諜戰片里通信員被發現時第一件事就是把密碼本銷毀。這樣就不會生成密鑰,也不會發送密文,自然也就不會泄密。因此,即使在最不利的情況下,量子密碼術也可以保證不泄密

媒體經常用「絕對安全」或「無條件安全」或諸如此類的說法,來形容量子密碼術。以前這些詞看著一頭霧水,現在你可以理解,量子密碼術的安全性表現在五個方面:一,密文即使被截獲了也不會被破譯;二,不會被計算技術的進步破解;三,沒有傳遞密鑰的信使;四,可以在每次使用前現場產生密鑰,平時不需要保存密鑰;五,在密鑰生成過程中如果有人竊聽,會被通信方發現。這幾點是量子密碼術的本質特點,任何協議都是如此。

在這五個方面,傳統密碼術做得怎麼樣呢?從前面的介紹可以看出,傳統密碼術或者只能滿足第一點、第三點和第四點(非對稱密碼體制,第一點依賴於數學複雜性,不是嚴格滿足的),或者只能滿足第一點和第二點(對稱密碼體制),無論如何都無法滿足第五點。量子密碼術是目前所知唯一的既不需要信使、也不懼怕演算法進步的保密方法,更是唯一的能發現竊聽的保密方法。一對比,就知道量子密碼術的優勢有多大了!

量子密碼術的安全性是物理原理的產物,建立在量子力學的基礎上。在有些人看來,量子力學似乎不是一個非常可靠的基礎。這種心理可以理解,因為就像「三大奧義」顯示的,量子力學跟日常生活經驗反差巨大,不是一個很容易接受的理論。但如果你想為了破解量子密碼術而推翻量子力學,那就掉到一個巨坑裡去了。如前所述,量子力學經過了上百年的考驗,其應用遍及現代生活的所有角落。如果你懷疑量子力學的原理,那麼你是不是應該先擔心自己的電腦不能工作、自己的手機打不出去呢?

對於軍事和金融這樣急需保密的領域,量子密碼術顯然具有非常高的戰略意義。如果說可以破解公鑰密碼體系的量子計算機是最強的矛,那麼能夠抵禦一切攻擊的量子密碼術就是最強的盾。以子之矛攻子之盾,誰勝?盾勝!

(未完待續)

背景簡介:本文作者為袁嵐峰,中國科學技術大學化學博士,中國科學技術大學合肥微尺度物質科學國家實驗室副研究員,科技與戰略風雲學會會長,微博@中科大胡不歸,知乎@袁嵐峰(zhihu.com/people/yuan-l)。本文應新浪科技之邀,2017年8月31日以《<科學大家>| 4萬字乾貨!你完全可以理解量子信息》為題發表於新浪科技「科學大家」欄目(tech.sina.com.cn/d/2017)。

致謝:感謝中國科學技術大學合肥微尺度物質科學國家實驗室陳宇翱教授、陳騰雲博士、彭新華教授、陸朝陽教授、張強教授、張文卓博士和清華大學交叉信息研究院尹璋琦博士、物理系王向斌教授在科學內容方面的指教。

責任編輯:孫遠

歡迎關注風雲之聲

知乎專欄:

zhuanlan.zhihu.com/feng

一點資訊:

yidianzixun.com/home?

今日頭條:

toutiao.com/m6256575842

推薦閱讀:

在量子研究上,中國側重於量子通信, 而美國側重於量子計算?
家人陷入龍愛量子傳銷怎麼辦?請看這部大片!丨無路可套
【視頻】「感人」!龍愛會員千里送「溫暖」,老總收衣服收到手軟。丨無路可套
龍愛量子依舊平安?

TAG:量子 |