撰文 | 龙桂鲁
(1.低维量子物理国度重点尝试室、清华大学物理系;2. 教育部量子信息前沿中间;3. 海说神聊京信息科学与手艺国度研究中间;4. 海说神聊京量子信息科学研究院)
来历 |本文选自《现代物理常识》2021年第2期
量子保密通信本家儿要包罗量子密钥分发和量子直接通信。
Bennett 和Brassard 在1984 年提出的量子密钥分发,现实上是密码学中的密钥协商,Alice 和Bob 两边传输随机数,在确定其平安后,将传输的随机数进级为密钥,用于经典保密通信。密码学中的密钥分发是把事先确定好的密钥传送给指定的接收方。不外因为汗青原因,大师一向这么称号。因为称号的分歧,有时辰会引起密码学家对量子密钥分发的曲解。
量子直接通信,简称量子纵贯,在量子信道直接平安地传输信息,是清华大学学者在2000 年提出的。这是信息论意义上的通信,它直接传输有意义的信息,也可以传输事先确定的密钥。
量子信道指的是用于携载旌旗灯号的量子态以及传输它们的介质,如用单光子极化量子态在光纤中传输,就给出了一个量子信道。经典通信自己不考虑平安性,考虑的是如何把信息靠得住的传输到目标地。闻名的喷鼻农理论包管了信息的靠得住传输,即在信道容量大于零时,总可以找到一个编码,以小于或者等于信道容量的速度靠得住的通信。量子纵贯是在有噪声和窃听的信道下,既靠得住又平安地通信。
有一个说法是量子保密通信无法抵御中心人进犯,即窃听者在通信线路的中心假装是通信的正当用户,来套取通信两边的内容。这种说法最早从什么处所提出不得而知,可是影响最大的可能是闻名法国通信专家Emmanuel Desurvire 传授。他是掺铒放大器的发现者,获得包罗富兰克林工程奖章、IEEE Tyndall 奖等国际大奖。在他的《Classical and Quantum Information Theory》的最后一章,专门讲了这一进犯手段。大致的方式是这样:假如Alice和Bob 是正当通信两边,Eve 是窃听者。Eve 假装是Bob 和Alice 进行量子密钥分发,同时假装是Alice 来和Bob 进行量子密钥分发,这样Eve 就可以获得两边所有的密钥和通信而不被发现,并且这也不违反量子力学的道理。
为了后面的论述,我们先介绍公开密码系统。公开密码系统是一种经典加密息争密方式。例如,在RSA公开密码系统中,每个用户有三个参数,一个大数N,公钥E,私钥D,此中N和公钥E都是公开的,D 是私钥,不公开。Alice 有(Na,Ea,Da),Bob有(Nb,Eb,Db),窃听者Eve 是此中的一个用户,有(Ne,Ee,De)。若是Bob 要给Alice 发一封加密信,内容是x,则Bob 用Alice 的(Na,Ea)加密,即x^Ea=C,C便是加密后的密文,Alice 收到C后,操纵私钥Da解密获得原文,C^Da=x。在此刻的收集里,一般用公开密码系统,如RSA,SM2 加密小量的密钥;用对称密码,如AES,SM1,SM4来加密大量的信息。
中心人进犯的本色就是认证问题。这里面有两个认证,一个是收集认证,即证实Alice 就是利用公钥Ea 的人;第二个是身份认证,即证实信息确实是拥有公钥Ea 的人发出的。若是Alice 和Bob已经完当作身份认证和收集认证,Eve 就无法对他们的量子通信进行中心人进犯。中心人进犯这一问题在经典通信也是存在的。收集认证问题可以用西纪行中的真假孙悟空例子来申明。在西纪行的五十七回,六耳猕猴假充孙悟空,两个长得一模一样的齐天大圣站在唐僧和师弟们面前,他们都分不出来哪个是真的。
此刻经典密码学中遍及采用的认证方式,是操纵公开密码系统。公开密码系统RSA也可以做认证。假如Bob 有一笔很大的金钱要发给Alice,他要确认Alice 是不是真的Alice。作为身份认证,Alice 可用私钥加密一个认证信息A,y=A^Da,把y 发送给Bob 以证实她就是拥有公钥Ea的用户。Bob 收到y 后,操纵公钥Ea 解密y 获得A,y^Ea=A。这一步确认了这个信息y 是发自公钥为Ea 的用户。可是这并不克不及证实这个有公钥Ea 的用户就是Alice。若是另一个用户Eve 假装是Alice,用她本身的私钥De加密A,获得A^De=y',并将y'发送给Bob,Bob 用Eve 的公钥Ee 解密y',也可以获得A,这样Bob 就无法判定哪个是真正的Alice。就像孙悟空、六耳猕猴长得一模一样、都有金箍棒,唐僧无法判定一样。在经典收集中,这一问题是靠一个大师都信赖的超等收集办理者来解决的。
收集超等办理者用本身的私钥Dsuper 加密一个证书,上面写着证实Alice 的公钥为Ea,大数为Na。他也给Bob 做一个证书,证实Bob 的公钥为Eb,大数为Nb。这样,任何人都可以利用超等办理者的公钥Esuper 来解密这个证书,读出证书的内容,承认Ea的拥有者就是Alice。Eve 得不到这样的证书,就无法假装当作Alice 了。在西纪行中,这个超等收集办理者就是如来佛。收集办理者需要做的认证书的个数,就是收集中的用户数量,每个用户只需要有一个大数N和一个公钥E即可。
在量子保密通信中,尚没有量子版本的非对称密码系统。身份认证和收集认证可经由过程让Alice 和Bob 事先共享一组密钥K 来解决。因为Alice 和Bob 事先见过,他们可以或许必定把握这组密码的人就是Alice 和Bob,这样解决了收集认证的问题,即拥有这组密码的人就是Alice 和Bob。Alice 和Bob 有这组密钥,而Eve 没有,这样Bob 让Alice 发来共享的密钥K,就可证实发信息的人是Alice。当然Alice发送的时辰,必然要保密,否则的话,Eve 获得了这个共享密钥,就可以假装当作Alice,使得Bob 无法判定真假。在西纪行中就有活泼的例子,原本唐僧或者不雅音菩萨可以采用念紧箍咒,看是否头疼的方式来判定,只有真的孙悟空才会头疼。若是他用这个方式别离地来测试,就可以判定真假。可是他把两个山公叫到一路,这时辰六耳猕猴就偷偷地学孙悟空装疼,躲过了甄别。
采用共享密钥的方式进行认证,比用公开密钥生当作证书的方式要复杂。任何两个用户都需要共享一组密钥,这样,整个收集里需要共享的密钥数目就是N(N-1)/2,也就是N的平方量级,N是收集的用户数目。对于一个拥有5 万用户的收集,采用公开密码方式生当作证书的方式认证,只需要发放5万个证书,而采用互相共享密钥的方式,则需要共享的25亿组密钥,大大增添了复杂度。
若是Alice 和Bob事先没有共享密钥K,他们可以经由过程都信赖的第三方Charlie 来完当作。Charlie 可以别离和Alice 和Bob 进行保密通信,例如可以采用量子密钥分发+一次一密经典加密通信,或者量子直接通信,让Alice 和Bob 共享密钥,以便他们完当作认证。这样Charlie 要首先和每个用户都成立一组密钥,任何其他两个用户想进行认证,都需要Charlie 来帮忙他们,共享一组密钥。其数目和事先碰头共享密钥的数目一样,也是平方的复杂度。
总之,量子保密通信中,因为收集认证和身份认证呈现的中心人进犯是可以解决的。并不像Emmanuel Desurvire 传授书中说的那样没有解决。经典认证和量子认证各有本身的优错误谬误。基于RSA 等公开密码系统的身份认证系统在复杂度上更有优势,适合在大型收集中利用。可是因为经典密码算法的绝对平安性没有获得证实,即使此刻成长的后量子密码算法,也无法证实其绝对平安性,就像NIST 负责后量子密码的首席科学家Dustin Moody 所说,因为担忧将来有人破解,所选择的候选后量子密码算法选择了多种路子。而采用量子通信来成立的收集认证和身份认证,其平安性在道理上已经获得了证实,其错误谬误是复杂度高,晦气于在大型收集中利用。因而在现实应用中,可以按照其分歧的利用场景,选择响应的认证方式。
