量子密碼技術(shù),量子密碼技術(shù)原理解析

在今天的信息時代,大量的敏感信息如病歷、法庭記錄、資金轉(zhuǎn)移、私人財產(chǎn)等常常通過公共通信設(shè)施或計算機網(wǎng)絡(luò)來進行交換,而這些信息的秘密性和真實性是人們迫切需要的.密碼學(xué)經(jīng)過傳統(tǒng)的秘密密鑰加密體制、公共密鑰加密體制長期的演繹和發(fā)展,各種理論和算法推陳出新,極大推動了網(wǎng)絡(luò)信息一體化的蓬勃發(fā)展.然而,當(dāng)理性地看待今天網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀和展望其未來的發(fā)展趨勢時,不得不更多地從總體和長遠(yuǎn)性來思考一直困擾著密碼設(shè)計者的系統(tǒng)體制問題.

圖1所示典型加密系統(tǒng)是通過密鑰K將明文P轉(zhuǎn)換成密文C,放在公共信道上發(fā)送,在接受方進行逆變換的解密恢復(fù)可讀明文.其安全性在于通信雙方首先能在安全信道上傳遞密鑰,一次一密鑰方案(注意:密鑰K長度應(yīng)不小于明文P的長度,即熵H(K)≥H(P)).C.E.Shannon證明是絕對安全的.可是在幾乎所有應(yīng)用系統(tǒng)里,這幾乎是不可能實現(xiàn)的,尤其致命的是:既然通信雙方要進行保密通信,他們首先必須獲得密鑰,即需要進行獲得密鑰的秘密通信,但這種安全性是得不到證明的,通信雙方對是否存在竊聽者毫無所知；這就是在保密通信中經(jīng)常涉及到的“Catch 22”問題,原因在于密鑰的建立過程總要利用某種載體的某種物理屬性,而經(jīng)典物理學(xué)指出,測量該載體的這些屬性對其不會產(chǎn)生任何影響.

圖1　典型通信加密系統(tǒng)

解決“Catch 22”問題一種方案是現(xiàn)代密碼學(xué)中的公鑰密碼體制(PKCS),如圖2所示.通信雙方可以建立各自的加密／解密密鑰對(Ek,Dk),將加密密鑰Ek公開同時,各自妥善保管專有解密密鑰Dk,這種加密體制的安全性大多建立在一些著名的數(shù)學(xué)難題基礎(chǔ)之上,通過設(shè)計單向陷門函數(shù)以實現(xiàn)加解密算法的不可逆性(至少在現(xiàn)有的資源和算法下是不現(xiàn)實的).從理論上說,由公開密鑰獲得秘密密鑰在計算上是不可能的,“Catch 22”問題似乎得到了解決,但到目前為止還沒有人能證明是否存在真正的單向陷門函數(shù),因此也就沒有人真正了解公鑰密碼體制的安全強度.從根本上說,公鑰體制是在一定程度上繞過了“Catch 22”問題,隨著數(shù)學(xué)和計算技術(shù)的快速發(fā)展,特別是最近發(fā)展的量子計算技術(shù),當(dāng)量子計算機成為現(xiàn)實時,公鑰密碼體制將可以很容易地被破譯,例如應(yīng)用肖氏(Shor's)量子分解因式算法可以在多項式時間內(nèi)輕易地破解RSA加密算法.另一個缺陷是眾多實際應(yīng)用中的公鑰密碼系統(tǒng),其密鑰往往由密鑰管理中心獨立管理,因此在收發(fā)方進行保密通信之前仍然需要通過秘密信道與管理中心通信.基于此,公鑰體制沒有徹底解決“Catch 22”問題.而量子密碼體制提供了可證明的安全性和對外界干擾的檢測性［1］,從而解決了“Catch 22”這個一直未能解決的重要問題.

圖2　公開密鑰加密體系

現(xiàn)代密碼學(xué)認(rèn)為,任何加密體系的加、解密算法都是可以公開的,其安全性應(yīng)該在于密鑰的保密性.量子密碼方案在密鑰分配協(xié)議中提供了傳統(tǒng)密碼體制所無法比擬的潛在優(yōu)勢:具有可證明的安全性；能在密鑰生成之前進行量子通信以檢測侵入者的威脅,為此它為未來的保密通信提供了最終確實的保障.以下在涉及正題之前先作一個大致的描述:

首先通信發(fā)送者隨機選擇一二進制序列,序列中的每一比特都由隨機選擇的具有某量子態(tài)(例如偏振態(tài))的單光子代表,從而在真正物理意義上是發(fā)送一串特定時間間隔的單光子序列,接收方則保持同步地隨機選擇探測方法,獨立地探測光脈沖中各單光子狀態(tài),如果探測到了一個光子,他就記錄下探測到它的時間、結(jié)果、方法；發(fā)送接收完畢后,雙方在公共信道里討論光子序列的總體接收情況,接收方告訴發(fā)送方他接收到各光子的時間和探測方法,但不通報結(jié)果；發(fā)送方根據(jù)自己的發(fā)送記錄與反饋信息,通知接收方哪些光子的接收方法是正確的,摒棄那些未被接收到的光子和探測方法錯誤的光子,接收方根據(jù)提示從所收到的初始光子序列中提取有用的比特,建立起初始密鑰(Raw key)；而后通信雙方再任意從初始密鑰中選取一部分,逐個比較比特值,判斷誤碼率是否超出了誤差閾值(藉此推斷竊聽者是否存在),在未超出情況下去除初始密鑰測試部分,余下的比特序列再經(jīng)過一定的誤差校驗算法構(gòu)成正式通信密鑰,否則放棄所有數(shù)據(jù),檢查通道,重頭開始通信.

量子密碼理論

量子物理與經(jīng)典物理最重要的區(qū)別可以概括為互補性和相關(guān)性.常說的波粒二象形就是一個量子體系的兩種互補屬性,在著名的楊氏雙縫實驗中,如果想確知發(fā)出的某光子通過哪個縫隙,因而來探測系統(tǒng)的微粒性,結(jié)果將導(dǎo)致無法觀測到光的干涉現(xiàn)象；同樣,如果想觀測光的干涉現(xiàn)象,所以測量系統(tǒng)的波動性時,就無法確定光子通過的路徑.量子密碼技術(shù)正是應(yīng)用了這一互補性以及量子力學(xué)的基本理論［2,3］,包括海森伯格測不準(zhǔn)原理和單光子的不可分割性,從而解決了經(jīng)典密碼學(xué)一直無法妥善處理的安全性問題,表述如下:

設(shè)A和B分別是表示一個量子體系兩力學(xué)量的算符,二者不對易,即 [A,B］=AB-BA≠0,　　(1) 這意味著,A和B不能同時有確定值,在同一個態(tài)ψ中,A和B不確定程度滿足下列關(guān)系: <(ΔA)2〉〈(ΔB)2≥1/4‖〈［A,B］〉‖2,　　(2) 注:ΔA=A-〈A〉; ΔB=B-〈B〉;

<(ΔA)2〉代表算符A的均方偏差;〈(ΔB)2〉代表算符B的均方偏差. 海森伯格測不準(zhǔn)原理說明,微觀粒子兩類非相容可觀測態(tài)的屬性是互補的,對其中一種屬性的精確測量必然會導(dǎo)致其互補屬性的不確定性.在量子力學(xué)中,一個物質(zhì)體系(例如一個電子或一個光子)是用希耳伯特空間中的一個態(tài)矢量來表示,體系的每種物理屬性(例如坐標(biāo)或動量)均用專有算符表示,而每個算符的所有本征態(tài)(組成完全系)構(gòu)成希耳伯特空間中一組相互正交的基態(tài)(基矢),任何態(tài)矢量都可以按照一個完全系的基矢進行展開,例如:態(tài)矢量|ψ〉,按照算符A的本征態(tài)展開如下:

注:aj是算符A在各本征態(tài)的本征值,滿足方程A|aj〉=aj|aj〉,式(3)說明,對算符A進行數(shù)值測量,測量結(jié)果為aj,同時使被測量體系處于新的態(tài)矢量|aj〉的概率為‖〈aj|ψ〉‖2.具體說,就是在量子通信中,竊聽者對傳送的光子序列所進行的任何干擾、竊聽,例如量子拷貝、截取/重發(fā)等,都將導(dǎo)致光子狀態(tài)的改變,從而影響接收者的測量結(jié)果,由此可對竊聽者的行為進行判定和檢測.現(xiàn)在假設(shè)如圖3.

圖3　正常量子信道發(fā)-收模型

態(tài)矢量|aj〉入射到B(算符)過濾器上,只允許其本征態(tài)|βk〉(滿足B|βk〉=βk|βk〉) 通過,根據(jù)展開式:測量的本征值為βk的概率為‖〈βk|aj〉‖2.如果態(tài)矢量|aj〉按照另一個算符E的本征態(tài)進行展開:假若態(tài)矢量|aj〉在入射到B(算符)過濾器之前,被插入E(算符)過濾器,見圖4.那么此系統(tǒng)最終測得本征值為βk的所有可能的概率總計為

圖4　存在竊聽者的量子信道模型

通過比較式(4)和(5),可以得出:

用雙縫試驗進行類比來形象說明的話,E(算符)過濾器就相當(dāng)于檢測光子的精確軌跡,式(5)是代表波動性的干涉現(xiàn)象遭到破壞后的結(jié)果數(shù)學(xué)表達(dá)式.那么能鑒別出中途是否進行過測量嗎？可以.因為無法鑒別就是要式(5)和(6)相等,這必須滿足:

因此只要算符A和B本身是相容的可觀測態(tài),而E與A、B不對易(屬性互補),通過對B(算符)過濾裝置輸出結(jié)果進行數(shù)理統(tǒng)計,就能檢測出是否應(yīng)用過E(算符)過濾器進行了干擾.以下重點介紹量子密鑰分發(fā)協(xié)議,深入了解一下實際運作的量子密碼術(shù)。