實驗首次證明,完全隱秘地分享秘密或許可以實現�����,即使使用的是不那么可信的儀器。(Mordechai Rorvig)
在弗萊明(Ian Fleming)的第一部小說中�����,詹姆斯·邦德從皇家賭場回到自己的酒店房間�����,開始檢查是否有入侵的痕跡�����。首先����,他確認了事先放在書桌中的頭發(fā)沒有被動過����,然后是壁櫥把手上的滑石粉沒有指紋����,最后�����,確認廁所的水箱沒有變化�����。于是他滿意地開始思索自己更大的任務����。
可邦德現在就沒那么容易去確保自己的隱私了。他的秘密會儲存到電腦上而不是房間里����。當他需要用現代化的手段去分享這些機密的時候,可能會依賴一些運用 “小”科學——量子物理的復雜的器件�����,看起來像充滿了閥門、腔室�����、激光器和透鏡的疊疊樂積木����。那么邦德到底能怎么確保使用這個器件時的安全性呢?
“量子器件非常難以表征����,你不能去關注得太細節(jié),”澳大利亞科學院的阿勞霍(Mateus Araújo)說�����,“不然就會很容易遭到黑客攻擊�����?����!?/p>
但從三十年前有關這類器件的概念中����,就幾乎透露出些跡象,表明這些弱點可能不算問題�����。之后理論家證明�����,用戶要做的就是確保各自的器件在玩一個“游戲”�����,只要得到一個足夠高的分數就算獲勝����,也就證明沒有其他人竊聽。
現在�����,牛津和慕尼黑各自有一個實驗證明了這個過程�����,也就是設備無關的量子密鑰分發(fā)(device-independent quantum key distribution)。在上海的第三個實驗同時驗證了大量的必要要求�����。三個團隊的研究人員都需要通過精細地使用量子元件來完成密鑰系統的設計安裝�����。
“看到這些我感到非常激動和高興�����,”約克大學的科爾貝克(Roger Colbeck)說�����,“他們做的事情都各有不同����,但一樣都是很杰出的成就?����!?/p>
他們的實驗將量子領域本質的未知性和不確定性所帶來的完全保密性質應用到了日常的宏觀世界當中����。雖然這項技術距離實用還要很久,但它證明了完美隱私的可能����。
保密的關鍵
這項技術的起源可以追溯到1949年,克勞德·香農(Claude Shannon)證明了完美保密(perfect secrecy)可以滿足�����。
假設你想加密一段用一串比特(1和0)來表示的信息����,你可以加入密鑰,也就是另一串完全隨機的比特����。對于一個不知道密鑰的人來說,這串合并的字符看起來完全隨機而且沒有意義����。
問題是如何將這串密鑰安全、及時地發(fā)送給需要的人呢����?“為了使密鑰有用����,我們需要雙方都知道密鑰是什么�����,而其他人不能獲得它�����,”以色列威茨曼科研所的阿農-弗里德曼(Rotem Arnon-Friedman)解釋道����。
如果你通過傳遞者傳送寫在一張紙上的密鑰,那么問題就會變成:如何保證傳遞的安全和快速����?過去的三十年中,密碼學家都在創(chuàng)造一些分發(fā)快速而安全的非隨機密鑰����,但這些密鑰并不是完美安全的:只要計算能力足夠就可以破解。密碼學家們不得不通過學習非局域化的“游戲”來獲得完美密鑰 �����。
量子幣
物理學家發(fā)明這樣的游戲最初是為了驗證量子力學,直到后來牛津大學的物理學家愛科特(Artur Ekert)意識到這可以提供保密的功能�����。
愛科特研究的游戲由兩個玩家組成�����,彼此互相隔離的愛麗絲(Alice)和鮑勃(Bob)�����。每輪每個玩家會隨機回答兩個一般疑問句(答案為是或否)的其中一個����。為了獲勝����,他們的答案需要遵循以下方式:如果兩者都回答第一個問題,那么答案必須一致����;如果兩人回答的是不同的問題,他們的答案也同樣需要一致����;但是如果兩個人都拿到了第二題����,他們必須要給出不一樣的答案才能贏�����。
愛麗絲和鮑勃該如何使獲勝的幾率最大呢����?
因為問題是隨機提出的,他們需要同時回答第二道問題的概率只有25%�����,此時他們需要給出不同回答�����。不考慮量子處理的話�����,他們獲勝的最佳策略是提前商量好給出相同的回答�����,即一直回答是或一直回答否,此時他們回合獲勝的平均占比將為75%�����。
(Merrill Sherman for Quanta Magazine)
物理學家發(fā)現����,愛麗絲和鮑勃可以利用量子物理學表現得更好����。在分別之前,他們需要得到一套四個量子物體(比方說原子或者其他粒子)����,各自拿兩個。我們可以將這種物體想象為硬幣�����,作用后只能獲得兩個結果之一����,正面或者反面����。
愛麗絲和鮑勃必需使兩枚硬幣之間構建一個稱為量子糾纏的特殊關系�����,(游戲中的)這個糾纏需要滿足這樣的關系:當愛麗絲翻轉了自己的第一枚硬幣����,那么鮑勃拋出的自己第一枚硬幣就會更可能翻轉到同一個面;當他們兩個拋出不同的硬幣時�����,也會更可能以同樣的面落地����;而當他們一起拋出第二枚硬幣時,它們更可能以不同的面落地�����。
你可能注意到了����,兩者落地的情況和游戲的狀況是一致的�����。有了量子幣的助力�����,愛麗絲和鮑勃只需要將第一和第二枚硬幣分別對應第一和第二個問題����,根據硬幣的正面和反面回答是或否�����。根據量子幣的順序����,愛麗絲和鮑勃可以完成一個賭徒的美夢:最高將有85%的贏面����。
“這遵循量子力學的定律,”科爾貝克說����,“只需要完成這個步驟����,就能達到85%����,盡管這個數字看起來不能用直觀的理由解釋?���!?/p>
(Merrill Sherman for Quanta Magazine)
愛科特在1991年時證明這個游戲為秘鑰分發(fā)提供了理論基礎;但理論學家需要花費三十年來讓這個游戲變?yōu)橐粋€協議����,或是一個詳盡的程序,在數學上證明其保密性——即使是在硬幣由愛麗絲和鮑勃的敵人制造的這樣不可能發(fā)生的情形下�����。
保密進程
愛麗絲和鮑勃在把游戲變?yōu)橐粋€分享密鑰的程序時����,必須做一個公開聲明。
每當一輪游戲結束時����,他們就需要公布一部分問題和答案�����。這可以讓他們知道問題是否正確并計算獲勝的比例�����。如果他們的勝率達到了理論上的最大值85%����,那么就為這個可能具有完美安全的進程建立起了一系列特殊的事件����。
首先硬幣被拋出的結果必須是隨機的�����,但是如何確定呢����?
假設有一個叫做伊芙(Eve)的竊聽者,妄圖操縱硬幣破壞其隨機性����,比如說使愛麗絲和鮑勃的第一枚硬幣一直正面朝上�����?����?雌饋硎遣皇菚黾觿俾?���?其實不然����,系統地分析所有可能性會發(fā)現,無論伊芙怎么操縱硬幣����,她都不能使勝率高于75%。所以說�����,只要勝率高于75%�����,就說明沒有人提前操縱或者安排過這個過程。
“隨機的事情正在發(fā)生����。”科爾貝克說�����。
通過硬幣隨機翻轉�����,愛麗絲和鮑勃可以創(chuàng)造出一串以隨機比特組成的所需的密鑰�����。每枚硬幣翻轉的結果他們不需要公開����,只需要記錄下正反面所代表的1和0的序列�����,并保證這串秘密的序列只在兩人間公布。而且由于兩人的硬幣相互關聯�����,他們都基本能知道另一個人的結果是什么(由于兩人的關聯性達不到100%����,所以不能完全肯定,但可以略微調整一下游戲來確定)����。
愛麗絲和鮑勃已經可以分發(fā)一個隨機的密鑰。但還有一個概率的問題����,這個密鑰足夠秘密嗎?假設伊芙在游戲開始前使自己的兩枚硬幣和愛麗絲����、鮑勃的糾纏,她不就能參與其中�����、復制一份自己版本的密鑰了嗎�����?
愛科特展示出量子糾纏可以成為密碼學的有力工具。(Duncan.Hull)
絕妙的是�����,并不會����。愛科特發(fā)現勝率是85%的時候完全排除伊芙或其他人竊聽的可能。這是因為量子糾纏是“單人游戲制”的�����,聯系范圍超過兩個粒子的話就會迅速減弱 ����。如果伊芙的硬幣加入愛麗絲和鮑勃的糾纏關系中,之間的聯系就會大大下降����,勝率會很快跌至85%以下。如果他們發(fā)現勝率低于85%的話����,伊芙就會被“踢出群聊”。
“如果我們能夠接近最大值����,”牛津大學的納德林格(David Nadlinger)說,“伊芙能偷聽的概率非常小����。”
通過這樣的原理建立起來的隨機性和隱秘性這兩個性質����,愛麗絲和鮑勃只需要在勝率達到85%時就可以保證完美保密地分發(fā)密鑰。但對于偏執(zhí)的密碼學家來說����,事情并不如此簡單。對于他們來說最重要的認知就是����,現實中不可能達到85%的勝率——況且這個硬幣還是需要復雜機器控制的量子物體,聽起來會出現無數的錯誤和安全漏洞�����。
于是理論學家就開始證明在愛麗絲和鮑勃的勝率只要多于經典理論的75%����,即使低于量子力學的最大值85%時����,仍然能夠保證完美安全�����。他們成功了����,但前提是使用的儀器足夠可信,比如找一個朋友來制造一臺以特定的方式(像是沒有內存這種)工作的設備�����。
直到2007年這個假設被摒棄了�����,科學家發(fā)現即使使用沒那么嚴格控制的設備�����,還是可能做到安全。
直到2018年這個研究到達了一個高峰:理論證明����,就算這臺機器是伊芙造的����,只要勝率達到一個實驗學家可以達到的最低比例,就足夠安全�����。也就是說�����,只要愛麗絲和鮑勃在游戲中的勝率達到一個特定比例����,就能證明他們達到了安全性。
翻轉粒子
由于新結論的出現����,兩年前三個團隊的科學家決定發(fā)布一個設備無關的密鑰分發(fā),這件事不得不做����。
他們已經探索出玩這個游戲的不同方法����。來自牛津的團隊在實驗中使用的是電離化原子作為硬幣�����,在每回合開始時糾纏����,之后通過用激光射擊原子的方式翻轉,測量是亮是暗�����,這兩種狀態(tài)就對應硬幣的正反面����。為了降低復雜度,他們將實驗縮小到一枚硬幣(原子)����,可以翻轉(測得)得到兩個結果。
慕尼黑的研究人員用到一個類似的裝置����;而上海的科學家將原子換成了光子����,測量一個糾纏的光子的狀態(tài)和翻轉原子是一樣的����。
牛津大學,一個捕獲了離子的真空腔正在一個非局域的游戲中扮演鮑勃量子硬幣的角色����。用它和另一臺儀器�����,科學家成功地生成了一個完整并完美保密的密鑰�����。(David Nadlinger/ University of Oxford)
當然����,能進行這個游戲是遠遠不夠的,這個實驗的勝率必須達到可信賴的高水平����。只有達到這個要求����,他們才能證明自己的比特足夠保密����。
慕尼黑的實驗一開始并未達到足夠的勝率來證明自己的比特保密,但團隊后來意識到可以通過修改自己的協議來降低需要獲勝的比例����,于是他們給游戲引入了多一次的翻轉。
來自新加坡國立大學的林(Charles Lim)說:“通過更多的隨機測量引入的隨機性對伊芙更不利�����,于是也就提高了對噪聲的容忍度����。”
同時����,如果他們還需要及時地分發(fā)密鑰剩下的一系列比特,實驗要求完成回合盡量迅速�����。來自中國的實驗有這樣一個優(yōu)勢,可以快速地生成光子�����,雖然這樣會使測量每個硬幣的翻轉非常困難�����,導致研究人員遺漏翻轉����,給伊芙入侵帶來方便����,也就是檢測漏洞�����。
“鮑勃需要控制所有東西����,并保證自己的探測器效率足夠高����?����!敝袊茖W技術大學的徐飛虎說����。
參與其中的上海科學家通過一個新的協議在某種程度上克服了困難����,即使是探測器效率低的時候也可以生成保密的密鑰。但是當面對對手的強力攻擊時����,新的協議并不能做到完美隱私。
牛津和慕尼黑的實驗保證了在任何可能的篡改下����,每輪產生的比特仍是秘密的。而且牛津的團隊更進一步����,在最高保密性下分發(fā)了一個完整有限長密鑰�����,雖然這個密鑰需要數十萬密鑰比特����。因此他們需要更高的速度����,但受限于愛麗絲和鮑勃以及他們原子之間的距離。
慕尼黑的研究人員在相距400米的兩地分發(fā)密鑰比特�����。(Tim van Leent)
通過一個近距離的裝置����,牛津的實驗在一天當中產生了一百萬個密鑰比特�����。于是他們開發(fā)執(zhí)行了一個擴展協議來將這一大串比特變?yōu)橥耆邢揲L密鑰����。
“這串有限長數據分析對你的工作方式有很大影響�����,”牛津大學的佰倫斯(Christopher Ballance)說����,“這其中可以開展許多工作�����?���!?/p>
總的來說,這些實驗表明我們已經已經到了一個新紀元�����,量子元件的復雜性不再是分享完美秘密的阻礙了�����。
現實中的保密性
拋開已有的成就不談����,三個實驗都僅僅是個開始����,大家都在努力在一個可觀的距離上以實用的速度分發(fā)密鑰�����。每個團隊都在這兩個領域進行耕耘�����。
阿農-弗里德曼說:“我們還需要繼續(xù)優(yōu)化技術以獲得顯著提高的密鑰率�����,一個改變游戲規(guī)則的技術還未出現����。”
在這之前�����,實驗已經表明這個非局域化的游戲在現實層面上產生了一系列改變�����,這些改變是為了研究奇異的非局域現象——物體間可以在任意距離下產生瞬時的關聯����。如今,非局域游戲還提供了一個更現實的功能基礎�����,那就是產生分享的密鑰����。
科爾貝克說:“我有時開玩笑說,即使是上帝也不會知道���。在測量前���,宇宙也沒有決定這個值是多少,這就是保密的起源����。”
作者:Mordeehai Rorvig
翻譯:zhenni
審校:藏癡
原文鏈接:
Cryptographers Achieve Perfect Secrecy With Imperfect Devices | Quanta Magazine
翻譯內容僅代表作者觀點
不代表中科院物理所立場
標簽:
牛津大學
研究人員
這個游戲
