量子密碼-Charles Bennett

從量子貨幣到量子密鑰

從量子貨幣到量子密鑰

從量子貨幣到量子密鑰

「量子資訊就像夢中的資訊,當你試圖描述你的夢時,也改變了你對它的記憶,因此最終你忘卻了原來的夢,記得的只是你對它的描述。」

——班奈特 (Charles Bennett)

上一篇提到威斯納 (Stephen Wiesner) 在 1968 年所寫的論文〈共軛編碼〉遭到退稿,就連指導教授也不支持,認為這不是「正經的科學」。說實話,這也不能怪編輯與教授不識貨,畢竟無論就技術可行性(怎麼把光子嵌進貨幣中?)或成本效益面(防偽裝置本身比貨幣價值貴萬倍以上)而言,量子貨幣怎麼看都是個不切實際的空想。

〈共軛編碼〉這篇論文原本就此石沉大海、永不見天日了,所幸威斯納影印了一份給之前的大學室友班奈特,十五年後,原是空中樓閣的量子貨幣,竟化為實際可行的量子密鑰,為量子通訊揭開了序幕……。

到 IBM 上班的生化博士

班奈特的雙親都是音樂老師,不過他自小就立志成為科學家,當別的小孩在外玩耍時,他卻埋首於《科學美國人》雜誌。有次他媽媽走進廚房,納悶爐子上怎麼有一鍋正冒著泡的湯,她用勺子一撈竟是隻烏龜。原來是班奈特試圖用鹼性液體溶解烏龜肉體,以製作完美的骨架標本。

受到華生和克里克發現 DNA 雙螺旋結構的影響,班奈特決定要當個生化學家,於是 1960 年進入布蘭戴斯大學 (Brandeis University) 便選了化學系,大學畢業後再到華生任教的哈佛大學攻讀生化博士,並如願擔任華生的助教。

班奈特所選的研究領域是還相當新的分子動力學,也就是用電腦模擬分子間的交互作用,因此他在研究所還修了數理邏輯和資訊理論的課程,而這也為他日後轉換跑道埋下伏筆。

1972 年,班奈特在做了兩年博士後研究之後,轉而到 IBM 的實驗室上班,專門研究資訊理論。在思索資訊處理與熱力學的關係之餘,他的腦海中總不時浮現威斯納那篇論文,裡面那個讓他讚嘆不已的量子貨幣。

從防偽到加密

班奈特大三時,威斯納才來讀布蘭戴斯大學,兩人差了兩屆,又不同科系,卻同樣對科學充滿熱愛。兩年室友期間,威斯納不時述說量子物理的種種奇妙現象,班奈特獲得新知的同時,也產生了高度興趣。這或許是為什麼幾年之後,威斯納特地將無人認可的論文寄給他,冀望至少有個知音懂得欣賞。

量子貨幣的構想的確令班奈特十分著迷,尤其在他加入IBM 研究資訊理論後,更覺得如此巧妙的設計應該可以用來做什麼。他不時拿出論文重讀,卻始終想不出實際應用。如此琢磨了十年,直到 1979 年,他參加 IEEE(電機電子工程師學會)舉辦的計算機科學研討會,遇見蒙特婁大學的布瑞瑟德 (Gilles Brassard) 教授,終於出現轉機。

布瑞瑟德 (Gilles Brassard) 攝於 2019 年。圖片來源:wikipedia

布瑞瑟德專門研究密碼學,他聽見班奈特轉述量子貨幣的構想後也是眼睛一亮。光子不同的偏振方向可以用來代表 0 或 1,量子貨幣上 20 個光子組合起來便是 20 個位元的訊息,妙的是,歹徒再怎麼研究也絕對無法破解,這豈不是最安全的加密方式?

問題是,不只歹徒沒輒,收到量子貨幣的銀行也得有鈔票編號與偏振片的對照表,才知道如何驗鈔,確認光子的偏振方向。這對照表相當於密鑰,歹徒一旦獲取,就能破解量子貨幣。但這樣又回到傳統加密的老問題:怎樣能安全遞送密鑰,不落入歹徒手中?如此一來,量子貨幣本身再怎麼安全也就沒有意義了。難道威斯納的構想真的華而不實、毫無用處?

班奈特和布瑞瑟德不肯死心,兩人不斷腦力激盪,卻總是一次又一次地碰壁。1984 年的某一天,布瑞瑟德來 IBM 找班奈特討論,結束後布瑞瑟德要搭火車回蒙特婁,班奈特陪他在月台上等,兩人繼續量子加密的話題。聊著聊著,靈光一閃的時刻驀然降臨,原來他們一直都搞錯方向了,根本不必用光子貯存訊息,而是應該用光子產生密鑰。

突破思路的盲點後,加密之道豁然開朗;威斯納十幾年前埋下量子貨幣的種子,在班奈特和布瑞瑟的耐心灌溉下,終於要長成量子密碼學的樹苗了……。

非對稱加密

其實就在班奈特和布瑞瑟兩人結識不久前,密碼學才出現一個革命性的概念:非對稱加密。

傳統的加密方式用密鑰將明文轉換為密文後,接收方也用同一個密鑰將密文還原成明文;加密與解密都是用同一個密鑰,只是運算過程相反而已。二次大戰的德軍使用「奇謎機」(Enigma) 加密,原本以為如此複雜的加密方式絕對無法破解,但圖靈等人掌握密鑰後,還是成功從密文逆向推算出明文。

電腦興起之後,資訊化為 0 與 1 組合而成的數字,加密∕解密的基本原則還是一樣,只不過是用函數做為密鑰,將一個數字轉換成另一個數字。無論是文字或數字,這種對稱加密的方式,一旦密鑰遭竊,就等於機密資料外洩,因此無不想方設法藏好密鑰,不讓他人得知。但 1977 年橫空出世的 RSA 加密演算法卻反其道而行,將加密的密鑰公諸於世,顛覆長久以來的加密原則。

RSA 發明人之一,阿迪·薩莫爾(Adi Shamir)。圖片來源:wikipedia

假設巴伯要用 RSA 加密一則明文給愛麗斯,他只要將愛麗斯公開的兩個數字 (N、e,也就是公鑰) 和明文 (M) 輸入一種單向函數,得出的答案便是密文 (C)。這種單向函數很特殊,輸入 N、e、M 很容易算出答案 C,但是 N 很大時,卻無法用 N、e、C 反向推算出 M。解密之道在於 N 是兩個質數的乘積,將這兩個質數和 e 套入單向函數得出的數字才是解密的私鑰,然後再用這個私鑰連同 N、C 輸入單向函數,算出的結果便是原來的明文。

愛麗斯原本就是用這兩個質數產生公鑰,解譯密文當然不是問題,但對於企圖竊密的依芙而言,她得對公鑰做因數分解才能知道這兩個質數是什麼。偏偏因數分解沒有捷徑,只能一個一個地嘗試不同質數,當 N 很大時,用電腦也得算到地老天荒,伊芙只能知難而退。

RSA 兼具便利性與安全性,很快就取代了傳統的加密方式,尤其電腦與網路興起後,更顯現它的優越性,至今仍是公認最可靠也是最普遍的加密標準。

一次性隨機密鑰

既然已經有了 RSA 如此安全的加密方式,班奈特和布瑞瑟何須再苦思量子加密?

嚴格來說,RSA 並非無法破解,只是以目前電腦的計算速度,等到破解出來,那則加密的訊息早就沒有用了。即使電腦的運算能力提昇,只要再把 N 換成更大的數字就好了,因此基本上是安全無虞的。不過,量子電腦利用量子的疊加態進行運算,可以大幅縮短因數分解的時間,屆時 RSA 就有可能被攻破了。

就算先不考慮量子電腦,公鑰牢不可破也不保證絕對安全,因為伊芙可以從愛麗斯下手,一旦取得她手上的私鑰,就能順利解密了。說到底,任何密鑰只要重複使用,有可能被破解或被竊取,真正最安全的方式就是密鑰用過一次就丟,之後每次都再換新的密鑰。只要密鑰是隨機產生,無法推算下次的密鑰是什麼,用這種方式加密訊息就絕對無法破解,也沒有私鑰遭竊的問題。

既然如此,什麼不用一次性密鑰呢?因為你還是得將密鑰交予對方,雙方才能進行加密∕解密,但如此一來,密鑰就有可能在傳遞途中遭到攔截,等於又回到密鑰保管的老問題。

班奈特和布瑞瑟腦力激盪五年之後,終於在 1984 年茅塞頓開的絕妙點子,便是如何用光子隨機產生一次性密鑰,而且無需傳送密鑰給對方,所以完全沒有失竊的風險。

BB84

在介紹他們想出的辦法之前,我們先來複習光子的特性:

1. 光子有不同偏振方向。

2. 當偏振方向與偏振片的角度一致,光子可以通過偏振片;若互相垂直則會被擋下;若是45度角,則光子通過或被擋下的機率各 50 %。

3. 光子一旦通過偏振片,偏振方向就變成與偏振片一致。

好了,接著就來看看愛麗斯和巴伯如何協議出隨機的密鑰。

首先愛麗斯和巴伯協議好發送光子的兩種方案,一種是直線方案(┼),垂直偏振 ↕ 代表 1,水平偏振 ⟷ 代表 0;另一種是斜線方案(╳),右斜偏振 ⤢ 代表 1,左斜偏振 ⤡ 代表 0。

接著(如上圖)

一、 愛麗斯隨機發送一串不同偏振的光子給巴伯。

二、 巴伯任意選擇直線方案或斜線方案來偵測光子的偏振方向。

三、 由於巴伯選的方案與光子偏振不見得一致,因此有些偵測結果可能與原來不一樣,或是沒偵測到光子。

四、 針對有偵測到的光子,巴伯向愛麗斯回報所用的偵測器是哪種方案。

五、 愛麗斯告訴巴伯哪幾個是對的。

六、 對的那幾個光子所代表的數字組合起來便是密鑰,雙方馬上就可用來加密訊息。

在這過程中,即使全都被依芙竊聽了,她也只聽到用了哪些偵測器,卻不知道光子的偏振是什麼,也就不知道密鑰是什麼。就算她有辦法在傳送光子的線路中間偷偷裝設偵測器,其中肯定會有許多與原始方案不符而改變了光子的偏振,巴伯收到的這些光子都會被愛麗斯否決,不能做為密鑰。如此一來,他們就會發現符合的光子比例過低,而警覺到有人在中途攔截光子,可以趕快更換通訊線路。

這無疑是最安全的加密方式了。密鑰隨機產生的當下,通訊雙方即心知肚明,他人即使竊聽也無法得知;密鑰無需遞交也無需保管,自然沒有失竊的風險。這個加密協定就以班奈特和布瑞瑟兩人的姓氏與發表年份,命名為「BB84」,不但證明威斯納十幾年前那篇量子加密的論文並非胡思亂想,也猶如量子力學顛覆古典物理學般,改寫了密碼學。

說的好聽,實際上呢?

班奈特和布瑞瑟提出 BB84 原本就不是為了取代 RSA,而是純粹基於學理,想證明存在無法破解的加密方式。如今目標達成已心滿意足,就如班奈特自己說的:「既然知道北極就在那兒,就沒有必要特地跑一趟查證。」不過,卻還是有很多人懷疑 BB84 和量子貨幣一樣,根本是無法實現的空中樓閣。

面對越來越多的質疑聲浪,班奈特決定證明他們的理論實際上是行得通的。1988 年,他找了尚在麻省理工學院讀研究所的斯莫林 (John Smolin),開始打造可以進行 BB84 加密協定的通訊系統。

第二年的一個夜裡,在 IBM 毫不透光的實驗室中,他們兩人架設好所有設備,展開正式測試。一台名為愛麗斯的電腦和另一台名為巴伯的電腦依照設定,從發送光子開始,一步步完成所有步驟,成功產生隨機密鑰,完成史上首次的「量子密鑰分發」(quantum key distribution,簡稱 QKD)。班奈特倒沒有驚喜之感,因為這本在他的意料之中;他反而覺得鬆了一口氣,慶幸自己沒有笨手笨腳搞砸實驗。

雖然這次實驗兩台電腦只有相距 30 公分,但已足以證明量子密鑰的可行性。原本觀望的科學家與工程師們紛紛投入研究,除了試圖拉長通訊距離,也研究如何減少失誤、增加隨機性,甚至進一步利用量子纏結產生光子對給通訊雙方。而今量子密鑰不僅透過光纖可傳輸達數千公里,中國的墨子號量子衛星甚至讓光子傳抵相隔 1,200 公里的地面,仍無損原來的量子態。

對班奈特而言,這一切或許仍是他意料之中的發展,但我們知道這絕不是那麼理所當然。若非他對量子加密的信念與堅持,威斯納那個無人認可的量子貨幣,也不會在二十年後在他手中化為貨真價實的量子密鑰,進而帶動量子密碼學的發展。借用他說過的比喻,正因為他指出北極就在那兒,才吸引探險隊競相前往探索啊。

參考資料:

  1. Brandeis 64 Whole book.indd
  2. Charles H. Bennett – IBM
  3. The Very Strange — And Fascinating — Ideas Behind IBM’s Quantum Computer (forbes.com)
  4. Experimental quantum cryptography (uoa.gr)
  5. Quantum Information’s Revolutionary Origins | Charles Bennett – YouTube
  6. Quantum key distribution – Wikipedia
  7. 《碼書》,Simon Singh 著,劉燕芬 譯,台灣商務印書館出版

更多文章

© 2021 張瑞棋