赵义傅：量子密码的绝对安全只存在于理论

小龙鱼

赵义傅：量子密码的绝对安全只存在于理论



赵义傅
中科大量子信息实验室博士


2017-11-03 07:14:31字号：A- A A+来源：观察者网




量子密钥分配技术最早在1984年被提出，一直被冠以绝对安全的称号，被认为是绝对无法被破译的密码技术。然而，不少业内人士对量子密钥的“绝对安全性”始终存疑。究竟我们该如何理解量子密钥的安全性？我想就量子密钥的安全性作了如下阐述：绝对安全只存在于理论，实际应用中只能逼近该理论极限，而无法直接实现，量子密钥在实际应用中可以划分安全级别。


量子密码的安全性证明是极其复杂的数学和物理学课题，经过了许多极其聪明的数学家和物理学家的不懈努力才得以弄清。最早对安全性证明贡献比较大的科学家包括加拿大多伦多大学Hoi-Kwong Lo、美国加州理工学院物理学家John Preskill、麻省理工学院的Peter Shor、瑞士日内瓦大学的Nicolas Gisin、滑铁卢大学物理与天文学系Norbert Lutkenhaus等。后来韩国学者Won-Young Hwang、清华大学的王向斌等也发挥了重大作用。近期，比较活跃的有瑞士苏黎世联邦理工学院的物理学家Renato Renner、加拿大滑铁卢大学量子入侵实验室的Vadim Makarov等人。


经过多年的证明，他们形成了如下结论：如果以下假设能满足，量子密钥可以做到绝对安全。


1.量子力学是成立的；


2.协议执行时间足够长，码长趋于无穷；


3.设备和仪器是可信的；


换言之，只要上述条件能够满足，即使使用量子计算机也无法破解量子密钥。这也就是此前很多媒体宣传量子密钥绝对安全的来源。但具体实现中会有很多问题导致上述第2、3条假设无法满足。例如，实现量子密码的设备无法做到可信、协议执行时无法做到码长无穷，这些因素都会影响量子密钥的安全性。


最早Makarov就发现，如果实际实现中的单光子探测器设计不合理，会导致系统被攻破，甚至量子密钥毫无安全性可言。之后，大量学者做了更深入研究，找到了各种器件不完美导致的安全性漏洞，并给出弥补方法。但此发现打破了量子密钥绝对安全的神话，量子设备也可能有漏洞，由此逐步引发了测量无关方案的研究。Renner对有限长密钥的安全性做了系统性研究，证明了码长有限的情况下，安全性只能以概率保证，并严格给出了安全概率和码长的关系。从其结论可以看出，只有码长无限长才能实现100%概率安全。如果码长过短可能导致安全概率很低。安全概率是极其复杂的数学问题，目前国际上都是几个数学高手在做，国内只有少数学者在做。 以上两方面的研究都说明实际中的安全性只能逼近理论上的100%绝对安全，而无法达到。更困难的是，逼近绝对安全的过程极其复杂，无论对设备实现还是后处理算法均是挑战。


在密钥的实际运用中，也会再次遇到安全性的问题：在拥有大量对称密钥后不同的使用方式也会导致不同的安全结果。目前，我们所讲的安全性是基于信息论创始人Shannon的定义，Shannon在上世纪40年代定义了无条件安全，他提出当密钥与明文等长，并且使用一次一密加密时，可以做到无条件安全，无论任何手法都无法破译。不过，在使用量子密钥的过程中，由于量子密钥的传输速率低，而传统通信又是高速通信，根本无法做到密钥明文等长的一次一密。


为了有效的使用量子密码技术，我建议采用如下方案：在语音等低码率通信并且安全强度要求极高的情况下，可以使用明密文等长的一次一密；在安全性要求次之的情况下，可以使用一包一密，由于包可以很大，所需密码可以很短，从而实现高速通信；在普通情况下，可以采用每秒钟更换多次密钥和多包一密的模式，实现高速安全通信。实际上，即使多包一密也是每秒钟更新多次密钥，其安全系数远远超过了目前传统通信中几天更新密钥甚至完全不更新密钥的方式。


总而言之，在我看来，实际运用中量子密钥只能逼近100%绝对安全而无法直接实现。相比于传统密码学，量子密码的优势是其安全性在弱假设下完全可证，并且其可证的安全性包括对抗量子计算机在内的一切可允许的手段。从安全性可证明的角度来说，量子密码可能是终极密码。另外，根据实际情况和安全强度所需，调节密钥更新和使用方法是一个很好的选择。


本文系观察者网独家稿件，文章内容纯属作者个人观点，不代表平台观点，未经授权，不得转载，否则将追究法律责任。关注观察者网微信guanchacn，每日阅读趣味文章。






本文仅代表作者个人观点。


请支持独立网站，转发请注明本文链接：http://www.guancha.cn/zhaoyifu/2017_11_03_433335.shtml




责任编辑:孙武

小龙鱼

风能电风扇

简单解释下。本文作者所表达意思其实和量子加密的绝对安全性并不矛盾。因为说的不是一个东西。

先说为什么量子加密是绝对安全的，或者说绝对安全的真实含义是什么？自从通信的祖师爷克劳德香农建立了信息安全的数学解释以来，之后的历代研究者们建立起了基于信息论的信息安全理论。从信息论的角度讲，破解密码的过程可以被解释为窃听者试图根据截获的密文来获得明文信息的过程。而信息安全则就是尽可能组织窃听者获得信息的研究。那什么样的保密体制可以被称为是安全的呢？一种是绝对安全体制，即密文和明文的互信息是0，不论你怎么分析密文也不可能降低明文的熵。而另一种是计算安全体制，即我做不到密文和明文的互信息是0，但是我可以让这个互信息非常低，窃听者需要收集极其大量的密文以及投入极其巨大的算力才能破解明文，但等到破解的时候明文已经失去时效性了。这也是实现了信息安全。所以你下次听到说量子加密是绝对安全的时候，应该要明白绝对安全的真实含义是什么——即不可能通过计算的方式暴力破解，注意只是不可能通过计算破解，而不是说什么方法都不可能破解。

为什么量子加密是绝对安全的？绝对安全体制只有一种，就是一次一密，我每次发送都使用和以前使用的密钥完全独立的密钥。那你收集多少密文也白搭。但是这种体制实际中是没法使用的，因为密钥的分发是大难题，一次一密意味着每一次发送密码之前你都要把密钥发送给合法的接收者，但是你又怎么保证密钥分发渠道的安全呢？反过来说，如果你能保证密钥分发渠道的安全，那你直接用这个渠道传消息不就得了还加密什么？这是一个悖论，所以一次一密实际中是没法用的。大家通常所用的都是计算安全体系。所以我们才会担忧量子计算机实用之后现有保密体制犹如裸奔。直到量子密钥分发技术出现，才有了一个绝对可靠的传递密钥的通道。量子的一个重要特性是不可复制。利用这个性质设计的量子密钥分发协议可以保证如果有窃听者试图截获密钥，一定会导致合法接收者那里密钥的概率发生变化从而被发现。而且窃听者也无法去验证密钥的正确与否。因此一次一密体制才第一次有了实用的可能。我们通常所说的量子保密通信的绝对安全性，其实就是指的在可靠的量子密钥分发的帮助下一次一密体制的绝对安全性。这是信息论的理论所保证的。

绝对安全不意味着无法被其他方式破解。信息安全课老师第一节课就会告诉你加密体制的安全性取决于体制最薄弱的一环。你家里的门就算是钛合金制造，超B级锁芯，你把钥匙落门上了那都白搭。体制是绝对安全的，不代表实际实现能达到体制设计时的假设条件，那就难免有被破解的口子。比如很早就有人提出利用雪崩光电管的特性来达到让接收机误以为没有人在窃听的效果。但这东西是这样的。你能破解，我能破破解。把发现的漏洞都堵上。我们也就越来越逼近那个绝对无法被破解的体制。