本末倒置的量子通信
通讯的基本任务是什么?量子通讯真的很神奇吗?
一、什么是信息?
通常所说的信息就是指符号、文字、图像、语音等。这些信息在实际通讯中通常都表示成由0、1构成的比特串。比如:中文字符“汉”的Unicode编码是0x6C49,利用UTF-8规则转化成二进制后得到的是11100110 10110001 10001001. 身在北京的张三怎样把这个比特串发给上海的李四呢?这就需要利用通讯信号。
二、什么是信号?
通讯信号是指能够用来传递信息的物质,比如无线电波、电信号、磁信号、光信号等。电路中电压的大小可以用来表示1、0。张三利用电压调制电路把11100110 10110001 10001001调制成相应的电信号,这些电信号再通过光电转换器转换成不同强度或频率的光信号,然后利用光纤传送出去。在传送过程中,光信号会衰退,需要利用中继服务器来增强信号,直至传递到上海李四端的接收设备,接收设备把光信号转换为电信号,然后转换成11100110 10110001 10001001,再用对应的编码规则转换成“汉”。为了叙述方便,此处略去了加密,纠错编码等环节。
在光纤通讯的发展史上,有两个至关重要的人物。爱因斯坦在1905年提出了光量子假说,成功地解释了光电效应现象,这是光电信号转换原理的基础。1921年,他因为这一学说获得了诺贝尔物理学奖。2009年获得诺贝尔物理学奖的华人学者是高锟,他取得了光纤物理学上的突破性成果,发现了如何使光在光导纤维中进行远距离传输,这项成果最终促使光纤通信系统问世。没有高锟坚持不懈的研究,就没有今天的互联网时代。
三、什么是信息安全?
信息安全包括很多内容,最主要的是机密性和认证。机密性是指没有被授权的用户无法读取通讯信号中蕴藏的信息。从形式上看,非授权用户得到的只是由0、1构成的比特串,他不知道采用什么样的变换规则把获得的比特串转换成原始信息。认证是指用户能够确认通讯对方的身份或者信息的来源。
因为光电信号的经典性态(光强、频率、电压等)是很容易调制和测量的,所以敌手可以通过监听线路获得通讯信号。传统的密码学总是假定敌手已经窃得了所有通讯信号,在这种情形下,研究如何阻止敌手读取信号中蕴藏的信息,或者敌手篡改信号欺骗用户。因为敌手在窃听的时候基本上没有干扰原来的通讯信号,所以目标用户能够正确地恢复出发送端发送的信号。发送双方无法得知有没有敌手在窃听,也就是说传统的密码学不能发现窃听行为。就机密性而言,传统的密码学的目的是阻止敌手获得蕴藏在信号中的信息,是一种智力手段。
四、什么是信号安全?
1984年, IBM公司的研究人员Bennett和蒙特利尔大学的学者Brassard在印度召开的一个国际学术会议上提交了一篇论文《量子密码学:公钥分发和拋币》(Quantum cryptography: Public key distribution and coin tossing)。文章宣称量子密码学能够发现窃听行为,是绝对安全的。其理论基础是量子力学的测不准原理。
传统的通讯信号性态是指电压值、光的强度与频率、电磁波的频率等。与这些性态不一样,量子通讯利用的信号性态是量子态,比如,光的偏振方向和电子的自旋方向。因为一个未知的量子态是无法复制的,一旦敌手试图窃听量子信号,将有一半的机会改变发送方发送的量子态,所以接收方就会无法正确地恢复出发送端发送的信号。发送双方事后通过一个传统信道进行公开比对,如果发现双方在采用同样的测量方案时测得的量子态是不一致的,就可以断言量子信道上有窃听者。量子密码学的目的是阻止敌手获得信号,是一种物理手段。
五、信息安全与信号安全的关系
敌手无法获得信号,自然就无法获得蕴藏在信号中的信息。因此,一个通讯系统是信号安全的,也必然是信息安全的。这就是量子通讯绝对安全的由来。但在有敌手介入的情形下,一个通讯系统在阻止敌手获得信号的同时也必然无法保证目标用户获得正确的信号,也就是说该系统是不稳定的。
六、通讯的首要目的是什么?
通讯的首要目的是稳定性,即目标用户能够正确地恢复出发送方发送的信号。尽管信息安全很重要,但对绝大多数通讯来说,它是不必要的,比如一封普通的电邮,一次寻常的电话交谈。发现窃听不是通讯的目的。通常,总是假定敌手是存在的,无论他在窃听信号还是在篡改信号。
七、信号安全与通讯的稳定性是不兼容的.
密码学总是假定敌手所具备的物理技术手段比接收方更强。因此,一个通讯系统如果从物理上剥夺了敌手窃取信号的能力,那么也必然无法保证接收方获得正确的信号。也就是说通讯系统的稳定性与信号安全是不兼容的。
八、信息安全能够与通讯的稳定性兼容.
一个信息安全系统虽然不能从物理上削弱敌手截获信号的能力,但是能够从智力上保证敌手无法获得蕴藏在信号中的信息,即通讯系统的稳定性与信息安全是兼容的。
九、大规模的量子通讯网络是不可行的
Bennett和Brassard提出的BB84协议一直被称为量子密钥分发(QKD),这种叫法是错误的,正确的叫法应该是量子密钥协商。他们没有认识到密钥分发和密钥协商之间的差别。密钥分发是把预先存在的一些密钥分发出去。密钥协商则是用户之间通过信息交互商定一个共同的密钥,这个密钥事先并不存在。显然,前者比后者更困难。
Bennett和Brassard两人都不是从事密码技术研究的专业人士,对通讯的基本要求似懂非懂。他们没有认识到信号安全与信息安全的差异,逆技术潮流而动,提出了基于物理技术手段而不是智力手段的所谓的量子密码学。尽管他们的后继者发表了许多文章和实验,成功地吸引了公众的关注,但是无法改变这个事实---大规模的量子通讯网络是不可行的。
注:(1) 应财新记者之邀,本文已经公布,见链接
http://china.caixin.com/2016-03-22/100923300.html
(2)教科书中所定义的“信息”(information)是个抽象的概念,是消息(message)所包含的内容。人们日常所说的“信息”就是指消息(数字化后其表现形式就是比特串),不同的人得到同一则消息后会有不同的解读,得到的信息是不一样的。
(3)对称加密体制是指通讯双方持有的密钥是相同的,记为k,甲方利用k把比特串s,经一系列变换后得到新的比特串s’。乙方得到s’后,利用k可以恢复出s。敌手获得的是s’,在不知道密钥k的情形下,他无法恢复出s。
(4)相隔很远的甲乙双方如何获得相同的密钥k呢?一种方法是甲方负责生成k,然后用公钥加密算法(如RSA)把k加密后传送给乙方。另一种方法是,甲乙双方利用一些公开的系统参数协商出一个密钥k,比如Diffie–Hellman协议。这两种方法的安全性都是基于这样的假设:敌手不能在有效时间内分解大整数或者求解离散对数。
(5)目前所说的量子通讯的实质,就是甲乙双方利用量子态来协商密钥k。它需要两个信道,一个是量子信道,另一个是可认证的传统信道。可认证的传统信道的含义是指,甲方必须能够确认对方是不是乙方,乙方也必须能够确认对方是不是甲方。甲乙双方互相确认以后,公开比对他们所选用的量子态的测量基,并牺牲掉一部分相同测量基下所测得的量子态,确认量子信道上是否有窃听。最后,双方把剩余的在相同测量基下测得的量子态(是不公开的)转换成比特串r,再把r作为伪随机数发生器的种子,产生足够长的伪随机密钥k。
(6)有些密码专家认为,搭建一个可认证的传统信道后,可以直接利用传统的方法来协商密钥,量子信道完全是多余的,简直是骑马找马。我想强调的是,骑在马上找到的不一定是马,可能是非驴非马的怪兽。
(7)对传统通讯而言,稳定性与安全性是兼容的,可以在获得稳定性的前提下,再获得安全性。对量子通讯而言,稳定性和安全性是对立的,获得了安全性就失去了稳定性。有些人认为,可以通过后续的理论研究和技术的改进来提高量子通讯的稳定性。这种想法是错误的,量子通讯就是牺牲信号的稳定性来获得安全性的。
后记
近来,网上有些读者痛斥我是“民科”,对此我还是有些不甘心的。争辩固然是无益,但做些解释也算是对善意读者的一份尊敬。
我对量子密码学的认识始于2003年,当时在中国科学院数学与系统科学研究院开始攻读博士学位,导师预设的第一个课题就是量子密码学。研读一些材料后发现,量子密码学的研究内容比较单一,研究方法偏重于实验。然后我就放弃了这个选题。
2007年底,比利时布鲁塞尔自由大学(ULB)计算机系的O. Markowitch参与了物理系N. Cerf主持的一个量子通讯项目,Markowitch在国际密码协会网站上发布了一则招聘启事,急聘一名从事量子密码协议研究的博士后。我投去简历,半月后他就决定为我办理工作签证(work permit)。在2008/4—2010/4这两年间,由于项目的需要,我进一步研读了有关量子计算与量子通讯的文献,随后也撰写了一些论文。
我在量子计算与量子通讯方面的研究论文主要有:
l LH Liu, ZJ Cao, On computing Ord_N(2) and its application,Information and Computation, 204, 2006, 1173-1178.
l ZJ Cao, O. Markowitch, A note on an arbitrated quantum signaturescheme, International Journal of Quantum Information, Vol. 7 (6), 2009,1205-1209.
l ZJ Cao, O. Markowitch, A note on some quantum secret sharingschemes, International Journal of Quantum Information, Vol. 8 (3), 2010,451-456.
l ZJ Cao, LH Liu. Improvement of one quantum encryption scheme, InternationalJournal of Quantum Information, Vol.10 (7), 2012, DOI: 10.1142/S0219749912500761
l ZJ Cao, O. Markowitch, Security Analysis of One Quantum DigitalSignature Scheme. ITNG 2009: 1574-1576
l ZJ Cao, Analysis of one quantum bit string commitment. IACRCryptology ePrint Archive 2009: 196 (2009)
l ZJ Cao, A Note On Gottesman-Chuang Quantum Signature Scheme. IACRCryptology ePrint Archive 2010: 317 (2010)
l ZJ Cao, Eavesdropping or Disrupting a Communication - On theWeakness of Quantum Communications. IACR Cryptology ePrint Archive 2013: 474(2013)
l ZJ Cao, ZF Cao, LH Liu, Remarks on Quantum Modular Exponentiationand Some Experimental Demonstrations of Shor's Algorithm. IACR CryptologyePrint Archive 2014: 828 (2014)
l ZJ Cao, ZF Cao, On Shor's Factoring Algorithm with More Registersand the Problem to Certify Quantum Computers. IACR Cryptology ePrint Archive2014: 721 (2014)
l ZJ Cao, ZF Cao, Comment on Quantum Cryptography - Which is MoreImportant, Signal Security, Information Security or Communication Reliability.IACR Cryptology ePrint Archive 2015: 1251 (2015)
l ZJ Cao, LH Liu, Comment on "Realization of a scalable Shoralgorithm". IACR Cryptology ePrint Archive 2015: 1133 (2015)
相关专题:量子卫星
转载本文请联系原作者获取授权,同时请注明本文来自曹正军科学网博客。
链接地址:https://wap.sciencenet.cn/blog-3224443-996985.html?mobile=1
收藏