用“魔法”打败“魔法”？量子手段防止量子计算机攻入你的银行账户

我们在生活中，每天都要保守许多的“秘密”：银行账户里的钱财、各个网站 上登录的账号、重要的身份信息、和别人通信或对话时交流的内容……这些“秘 密”不会泄露到别人手上，其中一定少不了密码的帮助。但你或许听过这样的

传闻：当量子计算正式投入应用的时候，突然暴涨的算力会让这些被加密过的信息都等同于“裸奔”。

是不是听起来有点可怕？但不必过分担心，因为量子时代的问题，自然有量子时代的解决方法。这就是量子密钥分发：这项技术利用量子物理的本质，而非算法的复杂性，构筑起一道无懈可击的保密防线。

更好的消息是，利用这项技术构建的通信网络已经投入使用了。2017年，中国建立的量子保密通信“京沪干线”正式开通，它从北京到上海，覆盖我国4个省32个节点，已在金融、电力、政务等关键领域投入使用。

在城市间进行量子密钥分发的模拟图 图片来源：phys.org

或许不久的未来，量子密钥分发就能用于保护你的“秘密”。让我们来看一下它是怎么做到的吧！

为什么传统密码学“要不行了”？

我们目前常用的加密算法（RSA加密），其保密基础在于一个数学难题：我们很难将两个很大的质数的乘积分解回这两个数。

举个例子，如果给你一个数字3和一个数字5，你可以很容易地得出它们的乘积是15；但如果问你15是哪两个数的乘积，你要说出是3和5，或许还算容易。而当数字变大，比如给你23和17，你用小学数学也能很快地得出这是391。但如果问你391等于几乘几，或许你就不能不假思索地得出答案了。

将这样两个质数的乘积重新分解为两个质数，这一过程被称为质因数分解。它的难度随着数字的增大而迅速增加。如果是一个十进制100位的数，以现在世界上运行速度最快的计算机，想要算出它的质因数，所需的时间已经超过了人们估算的宇宙寿命！

这个数学性质，正好可以用于加密。两个大数的乘积N用于形成公钥——这是一个公开信息，大家都可以使用这个数字与特定的数学计算，将自己想要传递的信息变成一串别人看不懂的乱码。而想要将这串乱码变回原样，却需要用到N的两个质因数p和q形成的私钥。

没有私钥的人，无法从公钥N推断出p和q，自然也无法破解密码。

RSA加密的工作原理 图片来源：Medium.com

但是，一旦量子计算正式发展起来，常规RSA的保密性可就危险了。量子计算的速度比传统计算机快十几个数量级，这个算到“宇宙末日”也算不完的数学题，在量子计算机面前，却变得不再困难。这就是为什么，在量子计算飞速发展的今天，我们急需一种新的方法，来保守我们的秘密。

“脆弱”的量子态

那么，能不能找到一种方法，它的保密性不是依赖于数学上的复杂，而是依赖这个世界的物理本质？很巧的是，量子物理又刚好可以为我们做到这一点。

在经典物理中，一个比特只能有0或1这两种可能的状态，而量子比特却不同。每个量子比特都可以是“量子叠加态”，即同时包含一部分的0和一部分的1的可能性。

其中的一种“0”和“1”，可以由一对偏振态互相垂直的光子来表示。“偏振”指的是，光波只在同一个方向上振荡。做一个形象的比喻：你可以把一个光子当作一根木棍，横着放的时候代表“0”，竖着放的时候就代表“1”。而“0”和“1”的叠加就意味着，这个木棍本身有可能是斜着放的，它同时具备水平和竖直的两种可能性。

四种不同偏振方向的光 图片来源：正势利

当我们测量一个叠加的量子态，就好像让一根斜着放的木棍通过旋转自己穿过一个竖直或水平的缝隙。这根木棍有一定概率穿过竖直的缝隙，有一定概率穿过水平的缝隙，但在穿过之后，我们也就不能再知道它原本的方向了。因此，量子态是一个极其“脆弱”的东西，一旦测量，就会对量子态产生扰动。

窃听者的“悲剧”

现在，让我们来举一个量子密钥分发的场景的例子，了解一下量子态的“脆弱”为什么能让窃听者变得无处遁形吧。

假设张三想要向李四传递密钥，使得这份密钥只有他们两个人知道。张三首先随机选择一串0与1组成的序列，然后将它们转化为量子比特。这些量子比特，就像我们刚才所描述的“木棍”，被编码到两组不同的基上。

其中的一种，将水平方向叫做“0”，垂直方向叫做“1”。另一种，把向左45度叫做“0”，向右45度叫做“1”。每一个量子比特，由张三随机选取这两组基中的一组进行编码，在李四接收到信息之前，不会告诉任何人。

利用光子不同偏振态的量子加密 图片来源：Quantum Flagship

而李四接收到这一串光子的时候，也会对每一个量子比特，都随机选择两组基中的一组进行测量。对于一个量子比特，假设李四使用的基与张三使用的相同，就好像一根水平的木棍很顺利地穿过了一个水平的缝，或者竖直的木棍很顺利地穿过了竖直的缝，因此传递的信息不会出现差错。

但如果他们两个使用的基不相同，就好像一根倾斜的棍子想要通过垂直或水平的缝。那么，它有一半的概率变成垂直的，有另一半概率变成水平的——这样就有可能导致错误。

所以，只要在所有信息传递都完成之后，张三和李四互相比较自己所使用的基，并把其中使用了相同基的那些比特挑出来，组成的那一串0和1，就是一个只有他们两个人知道的密钥。

用这个方法传输的密钥，对任何的窃听都非常敏感。假如在张三与李四之间有一个窃听者王五，他想要知道张三所传输的信息是什么，因此他也需要自己准备一组基，去测量张三发出的光子。但是王五不可能知道张三的基是什么，所以，在这个过程中，必然存在一些情况，使得原本水平或垂直的“木棍”，变成了倾斜的，或者相反。

这样，李四接收到的信息，就已经不是张三所发出的那些了，即使是和张三用了相同的基，其中也必然有一部分是错误的。当密钥传输完成时，李四与张三拿出其中的一段做比较，通过其中出错的多少，就可以判断有没有被窃听。如果没有被窃听，剩下的那部分就成为了最终的密钥；一旦出现被窃听的情况，这次传输的结果都被废弃，不再使用了。

以上的故事，就是量子密钥传输中最常见的一种协议——BB84协议。除此之外，人们还发明了其它不同的传输协议，而本质上都是通过量子力学的基本规则，来保证密钥传输的绝对私密。

一个量子密钥分发设备 图片来源：IDQ

目前，量子密钥传输已经从实验室逐步走向商用，传输距离也通过光纤和卫星扩展至数百甚至上千公里，且设备正趋向小型化和标准化。政府、金融等高安全领域已经开始部署相应的网络。

尽管仍有高成本、部署复杂性、距离与速率限制等挑战，但量子密钥分发技术正以前所未有的速度发展，与后量子密码学协同，共同为我们描绘一个多层次、坚不可摧的量子安全数字通信未来。你的“秘密”，将比以往任何时候都更加安全！

参考资料

1、https://www.cas.cn/cm/202101/t20210108_4773953.shtml

2、https://www.securew2.com/blog/what-is-rsa-asymmetric-encryption

3、张昭理, 张镇九. 加密与解密[M]. 石家庄：河北科学技术出版社, 2019.

4、https://quside.com/how-does-quantum-key-distribution-qkd-work/

5、https://quantumzeitgeist.com/what-is-qkd-quantum-key-distribution/

6、张智明. 量子光学[M]. 北京: 科学出版社, 2015.

7、https://qt.eu/quantum-principles/communication/quantum-key-distribution-qkd

来源：蝌蚪五线谱

编辑：韶音

转载内容仅代表作者观点

不代表中科院物理所立场

如需转载请联系原公众号