從量子貨幣到量子密鑰

「量子資訊就像夢中的資訊，當你試圖描述你的夢時，也改變了你對它的記憶，因此最終你忘卻了原來的夢，記得的只是你對它的描述。」

——班奈特 (Charles Bennett)

上一篇提到威斯納 (Stephen Wiesner) 在 1968 年所寫的論文〈共軛編碼〉遭到退稿，就連指導教授也不支持，認為這不是「正經的科學」。說實話，這也不能怪編輯與教授不識貨，畢竟無論就技術可行性（怎麼把光子嵌進貨幣中？）或成本效益面（防偽裝置本身比貨幣價值貴萬倍以上）而言，量子貨幣怎麼看都是個不切實際的空想。

〈共軛編碼〉這篇論文原本就此石沉大海、永不見天日了，所幸威斯納影印了一份給之前的大學室友班奈特，十五年後，原是空中樓閣的量子貨幣，竟化為實際可行的量子密鑰，為量子通訊揭開了序幕……。

到 IBM 上班的生化博士

班奈特的雙親都是音樂老師，不過他自小就立志成為科學家，當別的小孩在外玩耍時，他卻埋首於《科學美國人》雜誌。有次他媽媽走進廚房，納悶爐子上怎麼有一鍋正冒著泡的湯，她用勺子一撈竟是隻烏龜。原來是班奈特試圖用鹼性液體溶解烏龜肉體，以製作完美的骨架標本。

受到華生和克里克發現 DNA 雙螺旋結構的影響，班奈特決定要當個生化學家，於是 1960 年進入布蘭戴斯大學 (Brandeis University) 便選了化學系，大學畢業後再到華生任教的哈佛大學攻讀生化博士，並如願擔任華生的助教。

班奈特所選的研究領域是還相當新的分子動力學，也就是用電腦模擬分子間的交互作用，因此他在研究所還修了數理邏輯和資訊理論的課程，而這也為他日後轉換跑道埋下伏筆。

1972 年，班奈特在做了兩年博士後研究之後，轉而到 IBM 的實驗室上班，專門研究資訊理論。在思索資訊處理與熱力學的關係之餘，他的腦海中總不時浮現威斯納那篇論文，裡面那個讓他讚嘆不已的量子貨幣。

從防偽到加密

班奈特大三時，威斯納才來讀布蘭戴斯大學，兩人差了兩屆，又不同科系，卻同樣對科學充滿熱愛。兩年室友期間，威斯納不時述說量子物理的種種奇妙現象，班奈特獲得新知的同時，也產生了高度興趣。這或許是為什麼幾年之後，威斯納特地將無人認可的論文寄給他，冀望至少有個知音懂得欣賞。

量子貨幣的構想的確令班奈特十分著迷，尤其在他加入IBM 研究資訊理論後，更覺得如此巧妙的設計應該可以用來做什麼。他不時拿出論文重讀，卻始終想不出實際應用。如此琢磨了十年，直到 1979 年，他參加 IEEE（電機電子工程師學會）舉辦的計算機科學研討會，遇見蒙特婁大學的布瑞瑟德 (Gilles Brassard) 教授，終於出現轉機。

布瑞瑟德專門研究密碼學，他聽見班奈特轉述量子貨幣的構想後也是眼睛一亮。光子不同的偏振方向可以用來代表 0 或 1，量子貨幣上 20 個光子組合起來便是 20 個位元的訊息，妙的是，歹徒再怎麼研究也絕對無法破解，這豈不是最安全的加密方式？

問題是，不只歹徒沒輒，收到量子貨幣的銀行也得有鈔票編號與偏振片的對照表，才知道如何驗鈔，確認光子的偏振方向。這對照表相當於密鑰，歹徒一旦獲取，就能破解量子貨幣。但這樣又回到傳統加密的老問題：怎樣能安全遞送密鑰，不落入歹徒手中？如此一來，量子貨幣本身再怎麼安全也就沒有意義了。難道威斯納的構想真的華而不實、毫無用處？

班奈特和布瑞瑟德不肯死心，兩人不斷腦力激盪，卻總是一次又一次地碰壁。1984 年的某一天，布瑞瑟德來 IBM 找班奈特討論，結束後布瑞瑟德要搭火車回蒙特婁，班奈特陪他在月台上等，兩人繼續量子加密的話題。聊著聊著，靈光一閃的時刻驀然降臨，原來他們一直都搞錯方向了，根本不必用光子貯存訊息，而是應該用光子產生密鑰。

突破思路的盲點後，加密之道豁然開朗；威斯納十幾年前埋下量子貨幣的種子，在班奈特和布瑞瑟的耐心灌溉下，終於要長成量子密碼學的樹苗了……。

非對稱加密

其實就在班奈特和布瑞瑟兩人結識不久前，密碼學才出現一個革命性的概念：非對稱加密。

傳統的加密方式用密鑰將明文轉換為密文後，接收方也用同一個密鑰將密文還原成明文；加密與解密都是用同一個密鑰，只是運算過程相反而已。二次大戰的德軍使用「奇謎機」(Enigma) 加密，原本以為如此複雜的加密方式絕對無法破解，但圖靈等人掌握密鑰後，還是成功從密文逆向推算出明文。

電腦興起之後，資訊化為 0 與 1 組合而成的數字，加密∕解密的基本原則還是一樣，只不過是用函數做為密鑰，將一個數字轉換成另一個數字。無論是文字或數字，這種對稱加密的方式，一旦密鑰遭竊，就等於機密資料外洩，因此無不想方設法藏好密鑰，不讓他人得知。但 1977 年橫空出世的 RSA 加密演算法卻反其道而行，將加密的密鑰公諸於世，顛覆長久以來的加密原則。

假設巴伯要用 RSA 加密一則明文給愛麗斯，他只要將愛麗斯公開的兩個數字 (N、e，也就是公鑰) 和明文 (M) 輸入一種單向函數，得出的答案便是密文 (C)。這種單向函數很特殊，輸入 N、e、M 很容易算出答案 C，但是 N 很大時，卻無法用 N、e、C 反向推算出 M。解密之道在於 N 是兩個質數的乘積，將這兩個質數和 e 套入單向函數得出的數字才是解密的私鑰，然後再用這個私鑰連同 N、C 輸入單向函數，算出的結果便是原來的明文。

愛麗斯原本就是用這兩個質數產生公鑰，解譯密文當然不是問題，但對於企圖竊密的依芙而言，她得對公鑰做因數分解才能知道這兩個質數是什麼。偏偏因數分解沒有捷徑，只能一個一個地嘗試不同質數，當 N 很大時，用電腦也得算到地老天荒，伊芙只能知難而退。

RSA 兼具便利性與安全性，很快就取代了傳統的加密方式，尤其電腦與網路興起後，更顯現它的優越性，至今仍是公認最可靠也是最普遍的加密標準。

一次性隨機密鑰

既然已經有了 RSA 如此安全的加密方式，班奈特和布瑞瑟何須再苦思量子加密？

嚴格來說，RSA 並非無法破解，只是以目前電腦的計算速度，等到破解出來，那則加密的訊息早就沒有用了。即使電腦的運算能力提昇，只要再把 N 換成更大的數字就好了，因此基本上是安全無虞的。不過，量子電腦利用量子的疊加態進行運算，可以大幅縮短因數分解的時間，屆時 RSA 就有可能被攻破了。

就算先不考慮量子電腦，公鑰牢不可破也不保證絕對安全，因為伊芙可以從愛麗斯下手，一旦取得她手上的私鑰，就能順利解密了。說到底，任何密鑰只要重複使用，有可能被破解或被竊取，真正最安全的方式就是密鑰用過一次就丟，之後每次都再換新的密鑰。只要密鑰是隨機產生，無法推算下次的密鑰是什麼，用這種方式加密訊息就絕對無法破解，也沒有私鑰遭竊的問題。

既然如此，什麼不用一次性密鑰呢？因為你還是得將密鑰交予對方，雙方才能進行加密∕解密，但如此一來，密鑰就有可能在傳遞途中遭到攔截，等於又回到密鑰保管的老問題。

班奈特和布瑞瑟腦力激盪五年之後，終於在 1984 年茅塞頓開的絕妙點子，便是如何用光子隨機產生一次性密鑰，而且無需傳送密鑰給對方，所以完全沒有失竊的風險。

BB84

在介紹他們想出的辦法之前，我們先來複習光子的特性：

1. 光子有不同偏振方向。

2. 當偏振方向與偏振片的角度一致，光子可以通過偏振片；若互相垂直則會被擋下；若是45度角，則光子通過或被擋下的機率各 50 %。

3. 光子一旦通過偏振片，偏振方向就變成與偏振片一致。

好了，接著就來看看愛麗斯和巴伯如何協議出隨機的密鑰。

首先愛麗斯和巴伯協議好發送光子的兩種方案，一種是直線方案(┼)，垂直偏振 ↕ 代表 1，水平偏振 ⟷ 代表 0；另一種是斜線方案(╳)，右斜偏振 ⤢ 代表 1，左斜偏振 ⤡ 代表 0。

接著（如上圖）

一、 愛麗斯隨機發送一串不同偏振的光子給巴伯。

二、 巴伯任意選擇直線方案或斜線方案來偵測光子的偏振方向。

三、 由於巴伯選的方案與光子偏振不見得一致，因此有些偵測結果可能與原來不一樣，或是沒偵測到光子。

四、 針對有偵測到的光子，巴伯向愛麗斯回報所用的偵測器是哪種方案。

五、 愛麗斯告訴巴伯哪幾個是對的。

六、 對的那幾個光子所代表的數字組合起來便是密鑰，雙方馬上就可用來加密訊息。

在這過程中，即使全都被依芙竊聽了，她也只聽到用了哪些偵測器，卻不知道光子的偏振是什麼，也就不知道密鑰是什麼。就算她有辦法在傳送光子的線路中間偷偷裝設偵測器，其中肯定會有許多與原始方案不符而改變了光子的偏振，巴伯收到的這些光子都會被愛麗斯否決，不能做為密鑰。如此一來，他們就會發現符合的光子比例過低，而警覺到有人在中途攔截光子，可以趕快更換通訊線路。

這無疑是最安全的加密方式了。密鑰隨機產生的當下，通訊雙方即心知肚明，他人即使竊聽也無法得知；密鑰無需遞交也無需保管，自然沒有失竊的風險。這個加密協定就以班奈特和布瑞瑟兩人的姓氏與發表年份，命名為「BB84」，不但證明威斯納十幾年前那篇量子加密的論文並非胡思亂想，也猶如量子力學顛覆古典物理學般，改寫了密碼學。

說的好聽，實際上呢？

班奈特和布瑞瑟提出 BB84 原本就不是為了取代 RSA，而是純粹基於學理，想證明存在無法破解的加密方式。如今目標達成已心滿意足，就如班奈特自己說的：「既然知道北極就在那兒，就沒有必要特地跑一趟查證。」不過，卻還是有很多人懷疑 BB84 和量子貨幣一樣，根本是無法實現的空中樓閣。

面對越來越多的質疑聲浪，班奈特決定證明他們的理論實際上是行得通的。1988 年，他找了尚在麻省理工學院讀研究所的斯莫林 (John Smolin)，開始打造可以進行 BB84 加密協定的通訊系統。

第二年的一個夜裡，在 IBM 毫不透光的實驗室中，他們兩人架設好所有設備，展開正式測試。一台名為愛麗斯的電腦和另一台名為巴伯的電腦依照設定，從發送光子開始，一步步完成所有步驟，成功產生隨機密鑰，完成史上首次的「量子密鑰分發」(quantum key distribution，簡稱 QKD)。班奈特倒沒有驚喜之感，因為這本在他的意料之中；他反而覺得鬆了一口氣，慶幸自己沒有笨手笨腳搞砸實驗。

雖然這次實驗兩台電腦只有相距 30 公分，但已足以證明量子密鑰的可行性。原本觀望的科學家與工程師們紛紛投入研究，除了試圖拉長通訊距離，也研究如何減少失誤、增加隨機性，甚至進一步利用量子纏結產生光子對給通訊雙方。而今量子密鑰不僅透過光纖可傳輸達數千公里，中國的墨子號量子衛星甚至讓光子傳抵相隔 1,200 公里的地面，仍無損原來的量子態。

對班奈特而言，這一切或許仍是他意料之中的發展，但我們知道這絕不是那麼理所當然。若非他對量子加密的信念與堅持，威斯納那個無人認可的量子貨幣，也不會在二十年後在他手中化為貨真價實的量子密鑰，進而帶動量子密碼學的發展。借用他說過的比喻，正因為他指出北極就在那兒，才吸引探險隊競相前往探索啊。

參考資料：

1. Brandeis 64 Whole book.indd
2. Charles H. Bennett – IBM
3. The Very Strange — And Fascinating — Ideas Behind IBM’s Quantum Computer (forbes.com)
4. Experimental quantum cryptography (uoa.gr)
5. Quantum Information’s Revolutionary Origins | Charles Bennett – YouTube
6. Quantum key distribution – Wikipedia
7. 《碼書》，Simon Singh 著，劉燕芬 譯，台灣商務印書館出版