量子密碼學

簡介

量子密碼學

密碼學包括兩部分內容：一是加密算法的設計和研究；二是密碼分析，所謂密碼分析，就是密碼破譯技術。這兩者是矛和盾的兩方面。密碼學的出現雖然可以追溯至遙遠的古代，但直到本世紀四十年代前，密碼技術可以說是一門藝術而不是一門科學，那時的密碼專家常憑著直覺和信念來進行密碼設計和分析，而不是靠推理證明。1949年，claude.e.shannon發表的《保密系統的信息理論》一文標誌著密碼學成為了一門科學。此後，密碼學得到了迅速的發展。現在密碼學的套用已不再局限于軍事、政治和外交，其商用價值和社會價值已得到了充分肯定。
現在常用的公開加密算法主要可分為兩類：以des(digital encryption standard)算法為代表的密鑰算法和以rsa(rivest－shamir－adleman)為代表的公開鑰算法。des密碼的保密性是建立在一定長度的密鑰基礎之上的。rsa密碼的保密性則是建立在分解有大素數因子的合數的基礎之上。人們尚無法從理論上證明這兩種算法的不可破性，換而言之，它們是基於難解的數學問題而不是無法解的問題。事實上，早在shannon給出完善保密系統的證明之前，已有實際套用的vernam密碼其實就是完善保密的，即是不可破的密碼。這種密碼需要一個與所傳遞的訊息一樣長的密碼本，並且此密碼本決不再用於另一條訊息的傳遞。這正是shannon所證明的：密鑰必須為一長度不少於待加密的明文長度的隨機序列，且任何一密鑰僅使用一次。這就是所謂的一次一密碼體制，理論上它是不可破解的，但由於在實際套用中，其密鑰的分配是一個很脆弱的環節，因此未能得到廣泛的套用。
近年來，由於量子力學和密碼學的合作，出現了量子密碼學(quantum cryptography)，它可完成單由數學無法完成的完善保密系統。量子密碼裝置一般採用單個光子實現，根據海森堡的測不準原理，測量這一量子系統會對該系統產生干擾並且會產生出關於該系統測量前狀態的不完整信息。因此，竊聽一量子通信信道就會產生不可避免的干擾，合法的通信雙方則可由此而察覺到有人在竊聽。量子密碼術利用這一效應，使從未見過面且事先沒有共享秘密信息的通信雙方建立通信密鑰，然後再採用shannon已證明的是完善保密的一次一密鑰密碼通信，即可確保雙方的秘密不泄漏。這樣，量子密碼學達到了經典密碼學所無法達到的兩個最終目的：一是合法的通信雙方可察覺潛在的竊聽者並採取相應的措施；二是使竊聽者無法破解量子密碼，無論企圖破譯者有多么強大的計算能力。量子密碼學的出現是對經典密碼學的一重大突破，我們可毫不誇張地說我們正處在這資訊時代即將發生深刻變化的前夜。

量子密碼學在經典物理學中，物體的運動軌跡僅由相應的運動方程所描述和決定，不受外界觀察者觀測的影響，或者說，這種影響微乎其微可完全被忽略。同樣，一個基於經典物理學的密碼系統中的信息也不會因竊聽者的竊聽而改變，這完全是由經典物理學所研究的巨觀範圍決定的。然而，在微觀的量子世界中，情形就完全不同了。因為觀察量子系統的狀態將不可避免地要破壞量子系統的原有狀態，而且這種破壞是不可逆轉的。這就意味著：當你用一套精心設計的設備來偷窺量子系統的狀態時，你所能看到的僅是在你介入之後的狀態，即量子系統改變後的狀態，而在此之前的狀態則是無法推知的。如果利用量子系統的這種特性來傳遞密鑰，那么竊聽者的一舉一動都將被量子系統的合法用戶所察覺，而且竊聽者也不可能獲得真正的密鑰數據。

歷史

量子密碼學（Quantum Cryptography） 早在四千年前，古埃及一些貴族墓碑上的銘文就已經具備了密碼的兩個基本要素：秘密性和信息的有意變形。儘管如此，密碼學作為一門嚴格的科學建立起來還僅僅是近五十年的事。可以說，直到1949年以前， 密碼研究更象是一門藝術而非科學。主要原因在於，在這個時期沒有任何公認的客觀標準衡量各種密碼體制的安全性，因此也就無法從理論上深入研究信息安全問題。1949年，C.E.Shannon發表了《保密系統的通信理論》，首次把密碼學建立在嚴格的數學基礎之上。密碼學從此才成為真正意義上的科學。

密碼學的目的是改變信息的原有形式使得局外人難以讀懂。密碼學中的信息代碼稱為密碼，尚未轉換成密碼的文字信息稱為明文，由密碼錶示的信息稱為密文，從明文到密文的轉換過程稱為加密，相反的過程稱為解密， 解密要通過所謂的密鑰進行。因此，一個密碼體制的安全性只依賴於其密鑰的保密性。在設計、建立一個密碼體制時，必須假定破譯對手能夠知道關於密碼體制的一切信息，而唯一不知道的是具體的一段密文到底是用哪一個密鑰所對應的加密映射加密的。在傳統的密碼體制中，只要知道了加密映射也就知道了解密映射。因此，傳統密碼體制要求通信雙方在進行保密通信之前必須先約定並通過“安全通道”傳遞密鑰。此外，在傳統的密碼體制下，每一對用戶都需要有一個密鑰。這樣，在n個用戶的通訊網路中，要保證任意兩個 用戶都能進行保密通信，就需要很多“安全通道”傳送n(n-1)/2個密鑰。如果n很大，保證安全將是很困難的。

現狀

在過去的幾年中，國際上科技界和工業界均對量子密碼術顯示出了極大的興趣，量子密碼術已被引入了計算機科學和物理學的最新前沿，量子密碼學正在以很快的速度走向實際套用。量子密碼學主要套用在下述幾方面：

(一)量子密鑰的分配和存儲

這是量子密碼的主要套用。世界上第一個量子密鑰分配原型樣機在1989年研製成功，它的工作距離僅為32厘米。然而，它的出現標誌著量子密碼開始初步走向實用。此後，人們在設計及建造實用的量子密鑰分配系統方面作了不懈努力。最近的進展則是由英國電信做出的：據1995年報導，他們在長達30公里的光纖上實現了量子密鑰的傳送，而差錯率僅為1.2％～4％。而1997年，他們又利用波分復用（wdm）技術在常規的1.2gbit/s的光纖數據信道(lambda=1300nm)上實現了量子密鑰的安全傳送，工作距離也達到了28公里。

artur k.ekerth還利用epr(einstein－podolsky－rosen)效應創造出一種保證密碼本分配和密碼本存儲都安全可靠的密碼系統。通信雙方中的傳送方a生成一些epr光子對，即一個球型對稱原子沿著兩個相反方向發射兩個光子時，我們稱這一對光子為epr光子，epr效應就會在這一對光子上發生，epr光子對以一個未確定偏振初始狀態產生出來，但由於這初始狀態的對稱性，所以在測量時這兩個光子的偏振狀態一定是有相反值，只要這些測量是同一類型的。然後a將每對中的一個光子留給自己，而將另一個光子傳送給接收方b，收發雙方同時測量他們的一些光子以檢驗是否有竊聽，但存儲剩餘的光子不對他們進行任何測量。他們僅在需要密碼本之前對所存儲的光子進行測量和比較。如果沒有人改動所存儲的光子，那么當a獲得0時b將總是獲得1，反之亦然。如果沒有發現差異，a和b就對剩餘的存儲光子進行測量以獲得所需要的密碼本。雖然這種系統在理論上是可行的，但它目前還不能用於實際，因為將光子存儲零點幾秒以上在技術上是不可能的。因此，目前epr效應並不是一種可保證密碼本存儲安全性的實用工具。

(二)公共決定(public decisions)

量子密碼除了可用於保密通信外，還可在保護專用信息的同時將這些信息用於作出公共決定。由claue creapu提出了這樣的技術：允許兩個人事先約定好一個函式f(x;y),它僅依賴於兩個專有輸入x和y，其中一個人僅知道自己的專有輸入x，而另一個僅知道自己的專有輸入y，他們都不會透漏任何有關於自己的輸入信息給對方，只能通過自己的輸入和函式輸出來推知對方的輸入。這種決策的經典例子是“約會問題”，在約會問題中，如果並且僅僅兩個人互相喜歡時，他們才尋找一種決定約會時間的方式，而用不著泄漏任何詳細的信息；如果兩個人中的a喜歡b而b不喜歡a，則b就用不著去弄清楚a是否喜歡自己而放棄約會，另一方面，a則不可避免地會了解到b不喜歡自己。還有許多其他的情況，在這些情況下公司或政府組織之間或者在個人和組織之間作出的共同決定取決於各方不願完全泄漏的保密信息，量子密碼在這些場合也可得到套用。

(三)訊息認證(message authentication)

量子密碼術也可用於證明一條訊息確是出自某人且在傳送過程中未被改動過。wegman－carter的認證術和量子密碼術的分配能給通信雙方帶來好處：一方面，量子技術提供由這種認證方法所使用的密碼本比特信息；另一方面，wegman－cater認證術又能成功地用於進行量子密碼本的發布，即使在對手更為強有力(比如，能更改公共信道傳送的訊息及偷聽這些訊息)的情況下也能如此。

(四)比特承諾(bit commitment)

量子密碼術還可用於比特承諾，即量子比特承諾，可用來得到任意NP問題表述的零知識證明(zero－knowledge proofs)。此外，量子忘記傳輸(quantum oblivious transfer)——這是一種奇特的信息處理程式，可用來實現謹慎決定。該技術以這樣的一種方式來傳送兩條訊息，以便使接收者能夠讀出其中的任何一條訊息但不能同時讀出兩條訊息。相信隨著量子物理及計算機科學的進展，量子密碼還將會有更多的套用。

面臨的問題

阻礙量子密碼術走向實用的技術問題主要是製造出工作在所需波長上的高效的單光子檢測器比較困難，而這對基於光子的量子密碼術的實現則是很關鍵的。因為為了防止竊聽者通過一個半鍍銀鏡之類的裝置來竊聽傳送量子信息的光束，即竊聽者將每一個閃光分解成兩個強度較低的閃光，然後讀取一個閃光而讓另一個閃光繼續通過送至接收方，在此過程中閃光的偏振狀態未受干擾。如果竊聽者僅移走該光束中的適當部分，則接收方可能就察覺不到信號正在減弱。因此，必須以減少量子信道數據傳送的速率為代價，讓傳送方傳送極其微弱的閃光：平均而言其強度為每個閃光小於一個光子，以有效地挫敗這種竊聽。所以，在量子密碼術中必須採用高效的光子檢測器以減少系統自身錯誤，同時挫敗潛在的竊聽者的企圖。
另外，由於量子密碼系統即使在沒有竊聽者竊聽時，由於系統自身錯誤，接收方接收的信息也會有一些誤差。此外，我們還要防止竊聽者假扮合法通信雙方中的一方而同時欺騙另一方，以使對方相信他是合法通信雙方中的對方。因此，量子密碼術要走向實用，必須結合一些經典技術，如：保密增強、糾錯及認證技術等。這在一定程度上也減弱了量子密碼在技術上的優勢。
阻礙量子密碼術走向實用很重要的非技術問題則是經濟問題，因為量子密鑰分配技術不得不同一些傳統方法競爭以獲得市場，而這些傳統方法在長距離上以及在成本費用上更低，從而使量子密碼的密鑰分配技術處於不利地位。這也是目前量子密碼術難於立即轉化為實用技術的原因之一。
當前，量子密碼術實用還有相當一段距離，但是英國電信的試驗系統的成功充分說明了這一技術的進展是如何迅速。一旦在長距離的傳統光纖信道上實現量子密鑰的傳輸，則量子密碼在技術上及成本上完全壓倒經典的密碼技術。我們也完全有理由相信，一旦量子密碼術得以在實際中得到套用，這一定會在二十一世紀的資訊時代中產生不可估量的影響。目前，國內在此領域內還幾乎是一片空白，我們也希望國內的量子物理學專家和密碼學專家攜手合作，在這一全新的有著光明前景的技術領域內做出應有的貢獻。

盤點密碼學相關知識

密碼學的相關知識