1979年,在波多黎各圣胡安的一个阳光明媚的十月午后,两位科学家在一个尚不存在的问题中找到了解决方案。当时,刚从康奈尔大学获得博士学位的吉尔斯·布拉萨德正沉浸在温暖的加勒比海水中,这时有人朝他游来。这位黑发陌生人开始滔滔不绝地介绍如何制造一种无法伪造的货币。这个方案是哥伦比亚大学一位名叫斯蒂芬·威斯纳的研究生在几年前发明的,它涉及到将光子——光粒子——嵌入纸币中。根据量子力学定律,任何测量或复制光子的尝试都会瞬间改变它们的属性。每张钞票都会有自己的一串光子,一个永远无法复制的量子序列号。
“我当然很惊讶,”布拉萨德说,他现在是蒙特利尔大学信息科学教授,“但我礼貌地听着。” 他说,这次谈话结果成为一次改变人生的经历。他的新相识是查尔斯·贝内特,IBM的一位研究物理学家。贝内特从他们正在参加的一个会议上认出了布拉萨德。虽然他们都对量子钞票的想法很感兴趣,但他们知道这在技术上是不可行的。即使在今天,也没有人知道如何捕捉、固定和存储纸张中的光子。毕竟,光粒子往往移动得相当快。
“我们现在做得更好了,但仍然远未达到量子钞票的实用程度,”布拉萨德说。“但它是一个作为思想实验的起点。这是一个绝妙的例子,说明一个想法在实用性方面完全是荒谬的,但同时却被证明是完全具有开创性的。因为正是在那里,贝内特和我有了现在被称为量子密钥分发的想法。”
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。 通过购买订阅,您正在帮助确保有关塑造我们当今世界的发现和思想的具有影响力的故事的未来。
量子密钥分发(QKD)是一种使用光子编码和传输数据的技术。 原则上,它提供了一种完全无法破解的密码学形式。 在海滩上的那一天之后,贝内特和布拉萨德开始了为期五年的合作,产生了历史上第一个不依赖数学复杂性而是依赖物理定律的密码学方法。 当贝内特和布拉萨德最终在 1984 年发表他们的著作时,很少有研究人员认真对待这个想法,甚至注意到它。 “它被认为是边缘追求,”布拉萨德说。“对于那些关注它的人来说也是如此。 我认为我们自己也没有太当真。”
情况已不再如此。 三十年前,几乎没有人,除了政府情报机构,使用密码技术。 现在它已成为互联网日常交易的必需品。 每当有人在线输入密码或信用卡号时,内置于所有网络浏览器中的复杂程序都会在后台工作,以保护该信息免受网络窃贼的侵害。 “这是一项每个人都需要但没有人意识到的技术,”安大略省滑铁卢大学量子计算研究所的研究员瓦迪姆·马卡罗夫说。“它只是有效。”
但它可能不会再有效多久了。 现在使用的几乎所有加密方案都可能随着量子计算机的出现而过时——量子计算机是能够破解复杂代码的机器,这些代码保护着从亚马逊购物到电网的一切。 尽管还没有人制造出完全成熟的量子计算机,但世界各地学术界、企业界和政府实验室的研究人员正在努力。 在举报人爱德华·斯诺登泄露的文件中,有一份关于国家安全局一项名为“穿透坚硬目标”的秘密项目的描述——这是一项耗资 7970 万美元的量子计算机建设项目。 “很难有信心地说,在 10 年或 15 年内不会出现量子计算机,”洛斯阿拉莫斯国家实验室的物理学家雷·纽厄尔说。
如果或者当量子计算机首次启动时,对抗其破译代码能力的最有效方法可能被证明是另一种量子魔法:基于贝内特和布拉萨德 32 年前设计的理论的密码网络技术。 事实证明,量子加密——一种利用单光子奇异特性对传输进行编码的方法——比构建量子计算机更容易。 事实上,一些小型量子加密项目已经启动并运行。 只有一个问题:用量子版本替换世界的加密系统可能比开发量子计算机需要更长的时间。 “如果你认为这个问题可能在 10 到 15 年内出现,我们昨天就需要做这件事,”纽厄尔说。“我们可能已经太迟了。”
非常大的数字
隐藏在网络商务轻松的鼠标点击和屏幕点击背后的是两种不同形式的密码学的优雅而复杂的数学框架:对称加密(其中使用相同的密钥来加密和解密数据)和非对称加密(其中一个密钥编码消息,另一个不同的密钥解密消息)。 互联网上每次安全信息交换都需要这两种方法。
某人的家用计算机和在线零售商的 Web 服务器之间的典型会话从创建对称密钥开始,客户和商家将在互联网上共享该密钥,以编码信用卡号和其他私人信息。 密钥本质上是一组关于如何编码信息的指令。 一个非常简单的密钥可能指定将信用卡号中的每个数字乘以三。 当然,在现实世界中,密钥在数学上要复杂得多。 每当有人在互联网上购买东西时,家用计算机上的 Web 浏览器都会与在线零售商的服务器交换密钥。 但是,在初始交换期间,密钥本身是如何保持私密的呢? 第二层安全——非对称安全——加密对称密钥。
非对称加密由英国秘密情报部门和学术研究人员在 1970 年代独立发明,它使用两个不同的密钥:公钥和私钥。 任何加密交易都需要这两个密钥。 在在线购买期间,商家的服务器将其公钥发送到客户的计算机。 然后,客户的计算机使用商家的公钥(所有客户都可以公开访问)来加密共享的对称密钥。 在收到客户发送的加密对称密钥后,商家的服务器使用只有自己才拥有的私钥对其进行解密。 一旦安全共享对称密钥,它就会加密交易的其余部分。
非对称加密中使用的公钥和私钥源自非常大的数字的因子——特别是素数,即只能被 1 和自身整除的整数。 公钥由将两个大素数相乘生成的数字组成; 私钥包含创建公钥的两个素因子。 即使是孩子也可以将两个素数相乘,但反向运算——将一个大数分解为两个素数——即使是最强大的计算机也难以处理。 非对称加密中使用的数字通常有数百位长。 找到如此大的数字的素因子就像试图解开一罐油漆中的颜色,纽厄尔说:“混合油漆很简单。 分离油漆则不然。”
最广泛使用的非对称加密方法称为 RSA,以其创建者命名:Ron Rivest、Adi Shamir 和 Leonard Adleman,他们在 1970 年代后期在麻省理工学院开发了这个想法。 密钥长度一直在稳步增加,以使其免受拥有更快计算机和更好技能的黑客的攻击; 更长的密钥需要更多的计算能力才能破解。 非对称密钥现在通常为 1,024 位长,但即使撇开量子计算机的前景不谈,这可能还不足以阻止未来的网络攻击。 “国家标准与技术研究院正在积极建议将 RSA 密钥大小升级到 2,048 位,”洛斯阿拉莫斯的物理学家理查德·休斯说。“但是密钥大小的增加会带来性能成本。 当您点击“购买”并且事情停顿片刻或两秒钟时,那个烦人的时间延迟——那是公钥密码学在工作。 而且密钥大小越大,时间延迟越长。” 问题在于我们计算机中的处理器改进速度不足以跟上不断增长的密钥需求所驱动的解密算法。 “出于很多原因,这成了一个令人担忧的问题,”休斯说。“如果您正在运行一个同时处理多个公钥会话的云系统,或者如果您正在运行像电网这样的东西,您就不能有那种时间延迟。”
如果量子计算机问世,即使是 NIST 推荐的升级也将变得过时。 “我认为量子计算机在 2030 年之前有二分之一的机会能够破解 RSA-2048,”量子计算研究所的联合创始人米歇尔·莫斯卡在谈到 RSA 即将推出的 2,048 位密钥时说。“在过去的五年中,我们当然看到了很多进展,这让我们认为我们需要做好准备,以防我们真的看到量子计算机,”NIST 的首席网络安全顾问唐娜·多德森说。“我们认为它们是可能的。”
代码和量子比特
为什么量子计算机如此强大? 在传统计算机中,任何单个信息位只能假定两个值之一:0 或 1。 然而,量子计算机利用了亚原子世界的奇异特性,其中单个粒子可以同时存在于多种状态。 就像埃尔温·薛定谔盒子里的猫——在有人打开盒子查看之前,既活着又死去——一个量子位,或称量子比特,的信息可以同时是 1 和 0。 (在物理上,量子比特可能是一个同时处于两种自旋状态的单个电子。)拥有 1,000 个量子比特的量子计算机将包含 2
1,000 种不同的可能量子态,远远超过宇宙中粒子的总数。 这并不意味着量子计算机可以存储无限量的数据:任何观察量子比特的尝试都会立即导致它们假定为单个 1,000 位值。 然而,通过巧妙的编程,在未被观察的情况下,可以利用大量可能的量子比特状态来执行传统计算机无法进行的计算。
1994 年,当时在 AT&T 贝尔实验室的数学家彼得·肖尔证明,量子计算机可以分解 RSA 加密中使用的那种大数——RSA 加密是保护互联网交易期间对称密钥交换的非对称编码方案。 实际上,肖尔编写了量子计算机的第一个程序。 与普通计算机的计算按顺序一步一步进行不同,量子计算机同时执行所有操作,肖尔利用了这一特性。 “肖尔算法将粉碎 RSA,”莫斯卡说。 但是对称加密方法——最常见的是高级加密标准 (AES),由 NIST 于 2001 年批准——仍然可以免受量子计算机的攻击。 这是因为 AES 等对称加密程序不使用素数来编码密钥。 相反,对称密钥由随机生成的 0 和 1 字符串组成,通常为 128 位长。 这使得有 2
128 种不同的可能密钥选择,这意味着黑客将不得不筛选大约十亿亿亿亿亿种密钥组合。 世界上最快的计算机——中国的“天河二号”,每秒可以处理 33.8 千万亿次计算——需要超过一万亿年的时间才能搜索所有密钥选项。 即使是量子计算机也无法直接帮助黑客破解如此巨大的数字。 但同样,这些巨大的对称密钥在互联网交易期间使用非对称程序(如 RSA)进行加密,而非对称程序容易受到肖尔分解方法的攻击。
然而,在肖尔的程序能够瓦解 RSA 之前,它首先需要一台具有足够强大功能的量子计算机才能运行。 莫斯卡预测,在明年之内,世界各地的许多实验室将开发出由几十个量子比特组成的初级系统。 “如果您试图分解一个 2,048 位 RSA 密钥,”他说,“您可能至少需要 2,000 个量子比特。” 从几十个量子比特到数千个量子比特的飞跃可能需要十年时间,但他认为没有不可逾越的障碍。 “目前,我们满足了构建大规模量子计算机的大部分性能标准,”他说,“只是不一定在同一时间、同一地点、在一个可以做得更大的系统中。”
量子网络
好消息是,到目前为止,量子加密技术的进步已经超过了构建工作量子计算机的努力。 量子加密技术在 1991 年开始起飞,当时牛津大学的物理学家阿图尔·埃克特在著名的《物理评论快报》上发表了一篇关于量子密码学的论文。 埃克特当时并不知道贝内特和布拉萨德早期的工作,他描述了一种使用量子力学加密信息的替代方法。 他的工作最终为贝内特和布拉萨德的想法带来了新的认可,事实证明,他们的想法比埃克特自己的方案更实用。
然而,直到 2000 年代初,量子加密技术才开始走出实验室,走向商业世界。 到那时,物理学家已经找到了使用电流而不是液氮来冷却光子探测器的方法——光子探测器是任何量子加密设备的基本且最昂贵的组件。 “当我在 1997 年开始攻读博士学位时,您通过将探测器浸入液氮杜瓦瓶中来冷却它们,这在实验室里还可以,但如果您想在数据中心中使用它们,则不是很实用,”ID Quantique 的首席执行官 Grégoire Ribordy 说,这是一家瑞士公司,于 2007 年开发了首批商业量子加密系统之一,瑞士政府购买了该系统以保护数据中心。 该公司此后已将其产品出售给瑞士银行,并且目前正在与位于俄亥俄州哥伦布市的巴特尔纪念研究所合作,构建一个最终将该公司位于俄亥俄州的办事处与位于华盛顿特区的分支机构连接起来的网络。
在一个阴沉的夏日,巴特尔的物理学家尼诺·瓦伦塔向我展示了一种加密设备。 “我们需要的都在这个架子上,”他说。“所有的量子光学器件,以及我们生成密钥和分发密钥所需的一切,都在这里。” 瓦伦塔站在巴特尔哥伦布工厂地下实验室的一个两米高的柜子旁边。 柜子的一个架子上有一个金属盒,大约一个大公文包大小。 里面是三十多年前贝内特和布拉萨德首次提出的量子编码方案的物理实现。
该硬件由一个小型激光二极管组成,类似于 DVD 播放器和条形码扫描仪中使用的激光二极管,它将光脉冲瞄准一个玻璃滤光片。 该滤光片吸收了几乎所有的光子,平均而言,一次只允许通过单个光粒子。 然后,这些单独的光子在两个方向之一上偏振,每个方向对应于 1 或 0 的位值。 一旦经过过滤和偏振,光子就成为密钥的基础,然后通过光纤电缆传输到预期的接收者,接收者自己的硬件通过测量光子的偏振来解码密钥。
与传统的密钥不同,光子密钥几乎是防篡改的。 (稍后会详细介绍“几乎”。)任何试图拦截光子的窃听者都会干扰它们,改变它们的值。 通过比较密钥的一部分,合法的发送者和接收者可以检查传输的光子是否与原始光子匹配。 如果他们检测到间谍活动的迹象,他们可以废弃密钥并重新开始。 “今天的密钥通常使用多年,”瓦伦塔说。“但是使用量子密钥分发,我们可以每秒或每分钟更改密钥,这就是它如此安全的原因。”
巴特尔已经建立了一个量子网络,用于在其哥伦布总部和位于俄亥俄州都柏林的制造工厂之间交换财务报告和其他敏感材料,它们之间通过 110 公里的光纤环路连接。 事实证明,这个距离接近发送量子加密消息的上限。 除此之外,由于光纤电缆对光子的吸收,信号会恶化。
为了绕过这个限制并将他们的网络扩展到覆盖哥伦布的更多地区——并且在不久的将来覆盖华盛顿特区——巴特尔的研究人员正在与 ID Quantique 合作部署“可信节点”,即接收和重新发送量子传输的中继箱。 这些节点将被封装在密封的绝缘单元中,以保护内部灵敏的光子探测器,这些探测器被冷却到零下 40 摄氏度。 如果有人试图闯入其中一个节点,里面的设备将关闭并自行擦除。 “密钥生成将停止,”指导巴特尔量子加密研究的物理学家唐·海福德说。
海福德说,如果可信节点链顺利运行,该技术就可以更大规模地部署。 他递给我一本小册子,上面有一张地图,图示了一个未来量子网络,该网络将扩展到全国大部分地区。 “那是我们保护所有联邦储备银行系统的量子网络的愿景,”他说。“如果您拥有所有联邦储备银行,那么您就做得相当不错了。 要跨越全国,您大约需要 75 个节点,这听起来很多,但是当您进行任何传统的光纤网络连接时,您的中继器大约也以相同的间隔出现。”
中国政府已经接受了类似的技术。 上海和北京之间一条 2,000 公里的量子网络建设已经开始,供政府和金融机构使用。 尽管海福德设想的和中国正在进行的项目可能用于保护银行和其他拥有私有网络的组织,但它们对于互联网来说并不实用。 可信节点以线性链而不是分支网络链接一台计算机到下一台计算机,在分支网络中,任何机器都可以轻松地与另一台机器通信。 对于最近从洛斯阿拉莫斯退休的物理学家贝丝·诺德霍尔特来说,这种点对点连接让人想起 19 世纪后期电话行业的混乱开端,当时城市街道上空悬挂着黑暗而稠密的光缆。 “在那些日子里,您必须为每个您想与之交谈的人单独拉一根电线,”她说。“这种方式无法很好地扩展。”
诺德霍尔特和她的丈夫理查德·休斯以及他们在洛斯阿拉莫斯的同事纽厄尔和格伦·彼得森正在努力使量子加密更具可扩展性。 为此,他们制造了一种大约记忆棒大小的设备,该设备将允许任意数量的联网设备——手机、家用计算机甚至电视——通过连接到安全的中央服务器来交换量子密钥。 他们称他们的发明为 QKarD,这是量子密钥分发 (quantum-key distribution) 的谐音。
“量子密码学中昂贵的部分是单光子探测器以及冷却它们并使其正常工作的所有东西,”诺德霍尔特说。 因此,她和她的同事将复杂、昂贵的组件放置在网络中心的计算机中。 配备 QKarD 的客户端计算机通过光纤电缆连接到中心,但不直接相互连接。 QKarD 本身是一个发射器,带有一个小型激光器,允许它向中心发送光子。
QKarD 的工作方式有点像电话交换机。 网络上的每台计算机都将其自己的对称密钥(编码为光子流)上传到中心。 这种量子加密取代了通常用于保护对称密钥传输的 RSA 编码。 一旦密钥在各种客户端计算机和中心之间交换,中心就会使用密钥和 AES 在网络中任何需要共享敏感数据的客户端之间中继传统的非量子消息。
诺德霍尔特的团队一直在运行一个模型 QKarD。 即使整个系统都位于洛斯阿拉莫斯的一个小型实验室中,但一条 50 公里长的光纤电缆(盘绕在实验室工作台下的一个桶中)连接着系统的组件并模拟了真实世界的距离。 QKarD 技术已授权给 Whitewood Encryption Systems 进行商业开发。 如果该设备确实上市,休斯估计,一个能够连接 1,000 个配备 QKarD 的客户端的中央中心可能需要花费 10,000 美元。 如果批量生产,QKarD 本身可能只需 50 美元即可出售。
“我希望看到 QKarD 内置在手机或平板电脑中,这样您就可以与服务器建立安全连接,”诺德霍尔特说。“或者您可以将一个 QKarD 放在您办公室的基站中,并将密钥上传[到服务器]。 您可以有机地构建网络。”
量子未来?
全面改革世界的加密基础设施可能需要十多年时间。 “部署得越广泛的东西,就越难修复,”莫斯卡说。“即使我们可以在技术层面上解决这个问题,每个人也必须就如何做到这一点达成一致,并使其在全球电信系统中具有互操作性。 我们甚至没有通用的电气系统——我们每次旅行都必须购买适配器。”
诺德霍尔特说,挑战的艰巨性只会增加紧迫性:“这不仅仅是保护信用卡号。 情况变得非常严重。” 她说,几年前,爱达荷国家实验室进行了一项研究,表明黑客可以通过向控制电网的网络馈送错误数据来炸毁发电机。 “我不想提出末日情景,”她说,“但这确实对人们的生活产生了真正的影响。”
然而,量子计算机的第一个目标可能不是电网。 密码学领域的许多研究人员认为,美国国家安全局和世界各地的其他情报机构正在存储大量来自互联网的加密数据,这些数据无法用今天的技术破解。 这种推理认为,这些数据正在被保存,期望是国家安全局能够在拥有量子计算机时解密它们。 在这种情况下,面临风险的不仅是几十年后公民的私人交易。 这将是我们今天自己的通信——我们天真地认为这些通信是安全的。
“如果认为没有人——也许是很多人——在那里记录下所有流量,只是等待技术来追溯破解所有流量,那将是完全疯狂的,”布拉萨德说。“因此,即使量子计算机尚未问世,即使在未来 20 年内没有开发出量子计算机,一旦量子计算机问世,您从一开始使用这些经典[加密]技术发送的所有流量都将受到损害。”
即使广泛的量子加密到来,加密的猫捉老鼠游戏也将继续。 如果传统密码学的历史可以作为任何指导,那么理论上的完美与现实世界的实现之间必然存在差距。 RSA 公司首席技术官祖尔菲卡·拉姆赞说,当 RSA 加密首次推出时,它被认为是完全安全的,RSA 公司是 Rivest、Shamir 和 Adleman 为将其发明商业化而创建的公司。 但在 1995 年,时任斯坦福大学本科生保罗·科克尔发现,他可以通过简单地观察计算机编码少量数据所花费的时间来破解 RSA 加密。
“事实证明,如果密钥中的 1 比 0 多,则计算 RSA 加密需要更多时间,”拉姆赞说。“然后一遍又一遍地重复这种观察并测量时间,您实际上可以完全通过查看计算所花费的时间来推导出整个 RSA 密钥。” 解决方法相当简单——工程师通过向程序添加一些随机性来设法掩盖计算时间。 “但同样,这是一种没有人想到的攻击,直到有人提出它,”拉姆赞说。“因此,在量子计算的背景下,可能存在类似的攻击。”
事实上,第一次量子黑客攻击已经发生。 五年前,由当时在挪威科技大学的马卡罗夫领导的一个团队将一个装满光学设备的行李箱连接到连接到 ID Quantique 构建的量子加密系统的光纤通信线路。 通过使用激光脉冲暂时致盲加密设备的光子探测器,马卡罗夫的团队成功解密了据称安全的量子传输。
马卡罗夫说,这种攻击将超出普通黑客的能力范围。 “你需要比青少年稍微年长一点,”他说。“而且您需要能够访问光学实验室。 您还没有在地下室里拥有这项技术——但很快就会有了。” 尽管 ID Quantique 此后已修补了其设备,使其不再容易受到同类型攻击的影响,但马卡罗夫的成功黑客攻击打破了围绕量子密码学的坚不可摧的光环。 “破坏比构建更容易,”他说。
对于布拉萨德来说,毫无疑问,他和贝内特多年前在海滩上孵化的那个疯狂想法——即使它是不完美的——对于未来世界众多网络的安全至关重要。 “这需要意志去做这件事,”布拉萨德说。“这将是昂贵的,就像应对气候变化将是昂贵的一样。 但与如果我们不这样做将要损失的东西相比,这是一笔微不足道的开支——在这两种情况下都是如此。”