密码的安全性有两种,一种为计算安全性,原理上可破译,但须耗费大量的时间和资源;第二种是无条件安全性,原理上不可破译,无论窃听者能力如何强大。
嘉宾:郭光灿
●中国科学院院士
●全国量子光学专业委员会主任
●中国科学院量子信息重点实验室主任
“现在很多东西都能克隆——甚至有人想克隆爱因斯坦——但量子态不能克隆,世界上没有一个‘量子机’能对任意一个未知的量子态进行完全相同的复制过程,这就是量子不可克隆定理。用量子态做密码的安全性就在于此。”日前,中科院院士、全国量子光学专业委员会主任郭光灿谈到量子技术的应用时说,“量子密码是量子学中第一个可用的技术。”
“未来的100年人类会进入量子调控新纪元,会有一批新的技术叫量子技术。影响最大的是量子计算机,大概还有10~20年以后才能实现;但是量子密码,现在已经到了实用阶段。”郭光灿说。
信息安全,永无休止的博弈
古今中外,人们给信息加密的手段层出不穷,“加密”正是为了保护信息安全。
据《六韬·龙韬·阴符》载:“主与将有阴符,凡八等:有大胜克敌之符,长一尺;破军擒将之符,长九寸;降城得邑之符,长八寸;却敌报远之符,长七寸;警众坚守之符,长六寸;请粮益兵之符,长五寸;败军亡将之符,长四寸;失利亡士之符,长三寸。”
还有古罗马的凯撒密码盘,古斯巴达人的“天书”密码……直到近代,德国在二战中用上了密码机。而成功破译轴心国的通信密码,对盟军的最后获胜也起到关键作用。
“人类进入信息时代,信息安全的重要性更加非同一般。”郭光灿指出,密码系统的诞生,就是为信息安全保驾护航。然而,无论多么高级别的密码系统,都不可避免地遭受着被破译的风险,“威胁无处不在”。
“信息安全的重要性已经提升到了国家层面,许多国家都有网络司令部、信息战军团,动用海量软、硬件资源,甚至国家力量破解现有加密系统——网络武器、网络恐怖主义和网络战争已经迫在眉睫,信息保护升级刻不容缓。”郭光灿举例说,“比如网络上的一个安全漏洞,2001年需要花6个月找出来,2005年只需1~2天,到了2010年两个小时就够了,现在肯定更快。”
加密与破译如同盾和矛,它们之间的博弈永不停息。
目前,人们已经可以使用专用芯片、并行计算等进行密码破译,而随着量子计算机的脚步越来越近,更是对现有密码体制提出了严峻挑战。郭光灿说:“量子计算机可以挑战现在所有保密方式,也就是说,挑战的是现代密码学。”
来自量子计算机的挑战
密码学研究信息从发端到收端的安全传输和安全存储,是研究“知己知彼”的一门科学。现有的密码体制各不相同,但它们都可以分为对称密钥(如 DES密码)和非对称密钥(如RSA密码)。前者的加密过程和脱密过程相同,而且所用的密钥也相同;后者,每个用户都有各自的公开和私人密钥。
“对称密钥体制中加密和解密的密钥一样,因此密钥要保密,如果被第三者窃取,就失败了。”郭光灿介绍说,“现在证明(对称密钥)有一种保密方式绝对不可能被破译,即一次一密。密钥用一次就丢掉,这种密钥理论上不可破译。”
一次一密是在流密码中使用与消息长度等长的随机密钥, 每个密钥使用一次后即销毁。由于使用与消息等长的随机密钥, 产生与原文没有任何统计关系的随机输出,因此一次一密方案不可破解。
人类似乎找到了安全的通讯办法。然而,一次一密也有明显的缺陷。
“一次一密的密钥就要大量的密钥,产生大量的随机数,密钥的更新是个大问题,比如密码本上的密钥用完了怎么办?被窃取就更麻烦。”郭光灿说,“尽管一次一密绝对安全,但密钥传输是漏洞。”
“有没有解决办法?有,就是非对称密钥,使用加密的密钥。”郭光灿说,由于公钥公开对外发布,想给私钥持有者发送信息的人都可以取得公钥,用公钥加密后,发送给私钥持有者,即使被拦截或窃取,没有私钥的攻击者也无法获得加密后的信息,可以保证信息的安全传输。
这样安不安全呢?人们能不能通过计算机破解加密信息呢?郭光灿介绍说,这又引申到一个数学问题,基于大数因子分解的难题,保证从公开密钥推导出私有密钥需耗费极为巨大的资源。
“比如将一个129位数分解成64位素数× 65位素数,1977年的计算机水平要耗时400万年计算出来;到1994年,8个月就可以破解掉;而如果人们发明了量子计算机,2000个Qubit的量子计算机1秒就能破解。”
郭光灿说,这种密码方案也只是相对安全,即计算安全性——原理上可破译,但须耗费极大的时间和资源。而一旦量子计算机研制成功,现有的基于大数分解的RSA密钥将无密可保。
“在路上”的量子密码
“密码的安全性有两种,一种为计算安全性,原理上可破译,但须耗费大量的时间和资源;第二种是无条件安全性,原理上不可破译,无论窃听者能力如何强大。一次一密可以做到无条件安全,问题是如何分配密钥。”郭光灿指出,“现在我们可以靠量子密码来解决这个问题。”
量子密码是利用信息载体(例如光子等粒子)的量子特性,以量子态作为符号描述的密码。“利用量子的性质,量子的不确定性和概率性,可以规避经典密码中的短板。”郭光灿介绍说,经典比特只有0、1两种状态,例如对应着晶体管的电流导通和截止两种状态;由于态叠加原理,量子比特不仅可以处在0、1两种状态,还可以处在0、1的叠加态,例如对应着电子自旋状态、光子的偏振状态。
另外,量子密码的安全性由量子力学的物理原理保障。根据“测量塌缩理论”(对量子态进行测量将会改变最初的量子态),窃听者的存在会引入额外误码。“比如,无窃听者存在时,误码率为0;受截取重发攻击时,误码率为25%。当误码率超过了阈值,就表示信道中间存在窃听者。此时警报响起,停止密钥分发,已分发密钥丢弃不用。”郭光灿说。
“量子密钥建立密码的程序可以发现窃听,经典密码是做不到的,这是量子密码的安全性。”郭光灿告诉记者,理论上能够证明,量子密码不仅能抵抗经典的截取重发攻击,即使在量子攻击下也是安全的。
实际上,量子密钥分配的理论安全性已得到了严格的数学证明。1999年,首个量子密钥分配的无条件安全性证明被提出;2001年,理想的BB84协议被证明无条件安全。
“现在已经快到实用阶段了。”郭光灿介绍说,2004年,其课题组在国际上首次成功分析实际光纤量子密码系统不稳定的原因,并使用法拉第反射镜的迈克尔逊干涉方案实现了国际上第一个城际量子密码实验,量子线路长度125公里,创下了当时的世界纪录。
当前,量子密码技术的应用化还面临若干障碍,主要的有量子密码系统的实际安全性问题,即由于器件等的非理想性导致安全性漏洞。量子密码系统必须能经受得住现有所有可能手段的攻击才可以实际应用。另外,提高密码比特率、研制实用量子中继器等也是重要的问题。
最近,丹麦Aarhus大学教授Martin Kristensen着手研究使用集成光学的方法制造量子密码芯片,已取得了初步成果。“预计在5到10年内,就会有能够投入市场的量子密码芯片成品。”郭光灿说。(本报见习记者 赵广立)
来源:《中国科学报》 (2014-03-28 第15版 纵览)