| 送交者: Michaelliu888[♂☆★★铁面钟馗★★☆♂] 于 2019-03-22 15:50 已读 732 次 | Michaelliu888的个人频道 |
作者 袁岚峰
转自风云之声 6park.com2019年3月中旬,一下子有许多人来问我:听说量子加密惊现破绽,是怎么回事? 6park.com他们的问题都来自一篇微信文章《量子加密惊现破绽:上海交大团队击穿“最强加密之盾”,实验成功率竟高达60%!》(https://mp.weixin.qq.com/s/EVB3xGeT4rAjYkNCF9xboA),这篇文章的卖点是……好吧,都在标题上。这篇文章3月12日发在著名的科技自媒体“DeepTech深科技”上,作者是林宗辉。 6park.com既然大家都很关心这件事,我立刻就调研了一番。调研的结论是: 6park.com这篇文章纯粹是标题党啊!作者压根不知道自己在说什么啊! 6park.com下面,我先来简略地回答几个最常见的问题,然后再详细解释。 6park.com问:量子密码不是号称绝对安全吗?怎么会被破解?这是立了个flag被打脸了吗?牛皮吹爆了吗? 6park.com答:平常说的破解量子密码和破解传统密码,指的是不同层面的事情。传统密码的破解,指的是用数学方法破解。而量子密码是不可能用数学方法破解的,要窃密只能用物理方法攻击设备。所谓破解量子密码,就是指用某种方法攻击设备,好比《偷天陷阱》之类的盗宝电影。跟数学手段相比,这相当于作弊。你明白这两者的区别了吧? 6park.com你经常会听到人们说量子密码术具有绝对安全性,或者无条件安全性,或者完美安全性,或者信息论安全性等等,这些说法指的就是上面的意思:不可能用数学破解。也就是说,如果你的设备是可靠的,那么你绝对不会泄密。这是一个得到数学证明的结果,是一个定理。 6park.com所以,当科学家说量子密码具有绝对安全性的时候,不是在吹牛立flag,而是在陈述一个数学定理。如果有人能给你的设备捣鬼,那么他当然有可能偷到你的信息,但这跟绝对安全性并不矛盾。你应该这样理解:别人只能通过入侵你的设备来窃密,岂不正说明了这种保密方法的安全性? 6park.com实际上,即使是物理攻击,也有很多是量子密码术已经能够防住的。也就是说,即使你作弊,我也不见得怕。用游戏的语言来表述,就是:量子密码的数学抗性是100%,物理抗性还没有达到100%,但也已经相当高了。 6park.com因此,量子密码术的厉害之处,可以用这样一句话来表示: 6park.com我允许你作弊! 6park.com问:深科技这篇文章介绍的,究竟是什么? 6park.com答:是一种对量子密码设备新的物理攻击手段,叫做“注入锁定”(injection locking)。 6park.com问:这种物理攻击方法,破解量子密码术了吗? 6park.com答:其实原始论文说的很清楚:他们是自己搭了一个原型的量子密码光路,然后用注入锁定偷到了信息。同时他们指出,用一个常见的器件“光隔离器”(optical isolator),就能防止注入锁定的攻击。 6park.com现在的量子通信设备,都装了光隔离器。因此,这项工作就好比告诉大家:如果你的电脑没有装杀毒软件,我就能劫持你的电脑。这是完全正确的,但大家本来就已经装了杀毒软件。 6park.com问:中国的量子通信干线“京沪干线”有没有风险?要不要为此改装设备,增加成本? 6park.com答:上面已经说了,现在的量子通信设备已经能抵御这种攻击。所以京沪干线没有受到影响,不会为此多花钱。 6park.com问:既然量子密码术也有可能被破解,那么基于数学难题的密码术是不是更好呢? 6park.com答:这个问题的关键一句话就能点破:基于数学的传统密码术的设备,难道不会受到物理攻击吗? 6park.com你稍微一想就能明白,量子密码术面临的威胁只来自物理,传统密码术面临的威胁来自数学加物理。因此,前者显然优于后者。 6park.com问:你是怎么知道这些结论的? 6park.com答:哈,这就要引出一长篇文章了。 6park.com一、基本背景 6park.com深科技这篇标题党的文章,本意是要报道上海交通大学物理与天文学院特别研究员金贤敏研究组的一篇论文。这篇论文是用英文写的,标题叫做《用注入锁定破解量子密钥分发》(Hacking Quantum Key Distribution via Injection Locking),2019年2月27日发布在学术预印本平台arXiv上,2月28日稍加修订后发布了第二版。 6park.com什么叫预印本?预印本就是没有经过同行评审的文章稿件。学术期刊上的论文,都是要经过同行评审后才能发表的,这是期刊公信力的根本。越著名的期刊,评审的标准越高,过审越不容易,所以大家听到一篇文章发在像《自然》(Nature)、《科学》(Science)这样的顶级期刊上,才会觉得十分高大上。 6park.com不过,审稿可能会需要很长时间。如果你只看已经发表出来的文章,也许会错过一些有趣的最新进展。因此,学术共同体搭建了像arXiv这样的预印本平台,供大家把自己尚未发表的文稿发上来交流。预印本的好处是快,不足自然就是质量缺乏保证,公信力跟期刊文章不可同日而语。 6park.com金贤敏研究组的这篇文稿,可以在这个链接下载到:https://arxiv.org/abs/1902.10423。这篇文章不算长,只有7页。我仔细读了这篇文稿,包括它的两个版本,感觉除了一些技术细节之外,基本上理解了它的意思。 6park.com著名的科技媒体“麻省理工学院技术评论”(MIT technology review)有一个栏目,是专门发来自arXiv的技术进展的。他们注意到了这篇文稿,于是写了一篇新闻《有一种破解量子密码术的新方法》(There’s a new way to break quantum cryptography)(https://www.technologyreview.com/s/613079/theres-a-new-way-to-break-quantum-cryptography/)。但后面我们会看到,MIT技术评论的这篇新闻就已经不太专业了,有不少似是而非的错误,可见编辑对量子信息这个学科只是一知半解。 6park.com然后,深科技的作者把MIT技术评论的这篇新闻翻译成了中文,还加上了一些自己添油加醋的评论,这就是引起热议的那篇标题党文章(https://mp.weixin.qq.com/s/EVB3xGeT4rAjYkNCF9xboA)。深科技的作者对量子信息了解得似乎更少,导致文章中错误变得更多,一些最基本的术语都翻译错了,可见作者压根不知道自己在说什么。 6park.com然后,看到许多媒体在错误的基础上热议此事,许多群众的节奏被带歪,相关的科学家只好出来发了两个声明。一个声明来自量子卫星和京沪干线的首席科学家潘建伟院士以及他的合作者,标题叫做《潘建伟等科学家关于量子保密通信现实安全性的讨论》(https://mp.weixin.qq.com/s/CcNhUWzPXE4-34OlBeO71Q)。另一个声明来自arXiv文稿的作者金贤敏研究组,标题叫做《攻击是为了让量子密码更加安全》(https://mp.weixin.qq.com/s/m4H2pWur7mu4wrElJV8YWg)。这攻防双方给出的大图景是一样的,就是我在前面那些问答中解释的。 6park.com在我看来,这两个声明已经说得足够清楚了,完全解答了相关的科学问题,甚至还做了许多额外的科普。不过,大多数网民显然没有看懂这两个充满术语的声明。在我的微信公众号“风云之声”的留言中,大部分说的都是类似这种:每个字都认识,连起来就不知道是什么意思了…… 6park.com这真是令人很遗憾,科学家的严谨声明,传播力远不如胡编乱造的自媒体文章。不过,有一点信息我相信大家一听就能理解:金贤敏跟潘建伟是什么关系? 6park.com如果你做一下调研,立刻就能知道: 6park.com金贤敏就是潘建伟的学生啊! 6park.com你看,上海交通大学物理与天文学院金贤敏的主页(http://www.physics.sjtu.edu.cn/xianmin.jin)上写得清清楚楚:2003年起师从潘建伟教授,获中国科学技术大学博士学位。所以,他也是我的科大师弟。 6park.com好,大家可以问问自己,也问问媒体:你觉得,金贤敏会故意给自己的博士导师背后捅一刀吗?有点常识好吧! 6park.com所以,我估计金师弟最近被媒体搞得很郁闷,一个正常的科学研究被歪曲得不成样子,甚至拖累了自己的导师,这都什么破事儿啊。 6park.com在此期间,传统媒体也采访了其他一些专业人士。例如《科技日报》3月16日的报道《量子加密惊现破绽?业界大咖纷纷回应!再来听听量子黑客怎么说…》(http://view.inews.qq.com/a/20190316A0973B00),采访了我的科大同事、中科院量子信息重点实验室韩正甫教授以及正在科大访问的俄罗斯量子中心研究员瓦蒂姆·马卡洛夫(Vadim Makarov)。他们都指出,那篇流传甚广的自媒体报道(https://mp.weixin.qq.com/s/EVB3xGeT4rAjYkNCF9xboA)就是为了吸引眼球,这种攻击对现在的量子通信设备并不构成威胁。 6park.com顺便说一句,马卡洛夫是一位国际著名的“量子黑客”,做了很多攻击量子密码体系的工作,在科学期刊上发表了很多论文,被引用次数达到3500。 6park.com马卡洛夫表示,量子黑客们将所有发现的安全漏洞全部以科学论文的形式公开,与量子密码系统构建者紧密合作,共同推动了实际系统的安全性。从这种意义上来说,量子黑客肩负着特殊使命,已经成为独立于量子密码设备生产商和用户的“第三方评估者”,并在量子密码系统标准化的工作中发挥重要作用。 6park.com经常可以看到有人抨击量子密码没有经过实践检验,要求搞红蓝军对抗。现在你明白了吧,这个领域的研究者本来就在搞红蓝军对抗! 6park.com其实自媒体并不是全都知识水平低下,开局一张图,内容全靠编,也有一些相当专业的。3月19日,风云之声转发了“量子客Qtumist”的一篇文章《量子黑客的独白:自媒体妖言惑众,“量子加密”被“惊现破绽”,我们需要底线!》(https://mp.weixin.qq.com/s/1CZC0H5f4eSmU5vMFbbVsw)。这篇文章的专业水平就相当高。不过,从读者留言来看,大多数人只是看明白了此文的态度,即愤怒地抨击标题党,还是很难看明白此文的科学内容。 6park.com下面,我就来向大家解释一下这里的科学原理。不过,首先要打个预防针,再好的科普也不可能让你真正理解深奥的科学内容,博士寒窗苦读十几年不是白读的。读者千万不要有一种幻觉,以为自己看几篇微信文章就能掌握量子信息这种前沿科技了,甚至就能指责专家是骗子了。 6park.com我在这么一篇短文中提供给你的,不可能是技术性细节,最多只能是量子密码这个领域的大图景。即使仅仅是理解大图景,也是需要读者付出可观的努力认真去学习的,没有付出就没有收获。 6park.com有了这个共识,咱们才能往下进行。否则有些人可能会赖在我身上,他们会说:你说的我都看不懂,可见你说的都是错的!不要笑,我真的见过这种人。在感叹“活久见”之余,我只好先加上这一段基本说明,让大家先有个正确的态度。 6park.com因此,在本文中,如果你有什么地方感到不明白,这是完全正常的。我写过一篇4万字的文章《你完全可以理解量子信息》,你如果想了解更多的细节,欢迎去看这篇长文。风云之声把《你完全可以理解量子信息》分成了一系列短文,你进入风云之声的页面,点一级菜单“科技”,再点二级菜单“量子科普”就能看到。 6park.com此外,我还写过一篇“短”文,“只有”1万7千字,叫做《量子保密通信好与坏?别把“李鬼”当“李逵”!》(https://mp.weixin.qq.com/s/hZU2e8LIAIMDvVBievIYVA),也欢迎大家去阅读。 6park.com由于有这些比较详细的文章在前,这次我就跳着说了,只解释一个大框架。 6park.com二、传统密码术 6park.com密码术的基本目的,是为了解决一个问题:如何在不安全的信道上,安全地传输信息? 6park.com回答就是,通信双方要隐藏一些信息,在不安全的信道上只传送密文,用这些隐藏信息把密文还原成明文。这些隐藏信息就叫做密钥,英文是key。类似的密码体系,还有椭圆曲线密码等等,有大量的密码学家在这个领域里耕耘。我对这些成果都充满敬意,它们确实有非常高的智力含量。如果让我去解决这些数学难题,我肯定是不会的。 6park.com但是,密码学家面对的对手并不是像我这样的普通人,而是全世界最聪明的数学家,大多数情况下就是其他密码学家。 6park.com例如,计算机科学的创始人之一、英国数学家阿兰·图灵(Alan Mathison Turing,1912 - 1954),在二战期间参加了破译德国密码体系“奇谜”(ENIGMA)的工作,做出了巨大贡献。 6park.com令人吐血的是,深科技那篇标题党文章中(https://mp.weixin.qq.com/s/EVB3xGeT4rAjYkNCF9xboA),连密钥这个词都翻译错了,写成了“键盘”的“键”。这真是如假包换的——键盘侠! 6park.com量子保密通信的专业名称叫做量子密钥分发(quantum key distribution),此文也非常荒诞地翻译成了“量子键分布”。更加离谱的是,同一句中后面的“量子力学”(quantum mechanics),居然被翻译成了“量子机械”! 6park.com连基本知识都没有,就来指手画脚,这样错误百出的文章,能在舆论场大行其道,真是时代的悲哀。 6park.com吐完血之后,让我们继续学习。所有的密码术,都包含两个元素:密钥和算法。举个例子,一个非常简单的加密方法,算法是“在英文字母表上前进x步”,密钥就是x这个数。如果取x =1,明文的“fly at once”(立即起飞)就会变成密文的“gmz bu podf”。当然,这么简单的密码非常容易破解,在现实中是不会用的。 6park.com现在的绝大多数加密方法,都是基于某种数学问题的单向困难性。也就是说,一个问题沿着正方向很容易,你可以用它来加密,但逆方向就很困难,导致破解很困难。 6park.com举个例子,现在最常用的密码体系之一叫做RSA,这个名字是三位发明者李维斯特(Ronald Linn Rivest)、沙米尔(Adi Shamir)和阿德曼(Leonard Adleman)的姓氏首字母缩写。RSA密码体系用到的数学难题叫做因数分解(factorization),也就是说,找到两个大的质数,把它们乘起来得到一个合数,是很容易的,但给你一个大的合数,把它分解成两个质因数,是很困难的。 6park.com类似的密码体系,还有椭圆曲线密码等等,有大量的密码学家在这个领域里耕耘。我对这些成果都充满敬意,它们确实有非常高的智力含量。如果让我去解决这些数学难题,我肯定是不会的。 6park.com但是,密码学家面对的对手并不是像我这样的普通人,而是全世界最聪明的数学家,大多数情况下就是其他密码学家。 6park.com例如,计算机科学的创始人之一、英国数学家阿兰·图灵(Alan Mathison Turing,1912 - 1954),在二战期间参加了破译德国密码体系“奇谜”(ENIGMA)的工作,做出了巨大贡献。
实际上,在英国人之前,波兰密码学家马里安·瑞杰斯基(Marian Adam Rejewski,1905 - 1980)等人就破解了早期的奇谜系统。在1939年9月1日德国入侵波兰之前,他们把研究成果告诉了英国和法国,为图灵等人的工作提供了基础。令人遗憾的是,他们的名声在很大程度上被埋没了。网络上经常见到对波兰的嘲讽,但我们应该知晓和尊敬波兰人的成就。 6park.com奇谜是一个非常复杂而精巧的密码系统,当时许多人认为它是不可破解的。但实际上,在几年之内就破解了,这成了德国败亡的一个重要原因。 6park.com二战结束后,英国把缴获的几千台奇谜机送给了若干个前殖民地国家。这些国家仍然以为奇谜非常安全,于是英国在很长时间内轻松解译了他们的秘密通信! 6park.com再来看一个近年的例子。中国密码学家王小云院士,在2004年和2005年破解了广泛应用于计算机安全系统的MD5和SHA-1两大算法,引起了国际轰动。 6park.com为什么许多曾经被认为牢不可破的密码体系,最终都被破解了呢?有一个深刻的原因。 6park.com这些算法的基础,都是某些单向困难的数学问题。但在数学上,任何一个实际在用的问题都没有被证明是单向困难的。实际上,就连单向困难的数学问题是否存在,我们都还不知道。 6park.com因此,我们现在对数学密码的信心只能是基于经验,即这个问题看起来很困难,我不知道怎么解,到目前为止也没见人解出来。但这显然不是个真正可靠的理由,你解不出来是你的事,你怎么知道别人解不出来?你怎么知道将来的人解不出来? 6park.com更进一步想一想,你的敌人如果破解了你的密码,他会告诉你吗?二战期间,盟国就成功地隐瞒了破解德国和日本密码的事实,为此甚至不惜让一些部队去牺牲,让他们以为自己的密码还有效。 6park.com因此,如果你说某种密码从来没见人破解过,可见谁也破解不了,这话对于有见识的人来说是很可笑的,完全是低估了密码学的特殊性。 6park.com我在一本讲密码学历史的书上见过一句很有趣的话:“这门研究保密的科学本身就是被保密的科学。”(西蒙·辛格《码书》,刘燕芬译,江西人民出版社2018年3月第一版,作者序第9页)这话的意思是,密码学的很多进展是不会对外公开的。 6park.com例如,前面说过的RSA密码是两位美国学者和一位以色列学者在七十年代发明的,但在他们之前,三位英国学者艾利斯(James Henry Ellis,1924 - 1997)、考克斯(Clifford Christopher Cocks)和威廉森(Malcolm John Williamson)就已经发明了同样的密码体系。也就是说,RSA密码其实本来应该叫做ECW。 6park.com为什么ECW没有公开他们的发现呢?因为他们在英国的情报部门工作,他们的成果都必须保密。 6park.com我们在敬佩ECW的同时,也应该想一想,有多少其他国家的密码学家在努力破解中国的密码?你能看到他们的成果吗? 6park.com因此,我们应该有个基本的概念:所有基于数学的密码的安全性,都是未经证明的!未经证明的!未经证明的! 6park.com到目前为止,唯一的已经证明不可能被数学破解的密码,就是量子密码。因此,量子密码的价值是一目了然的。 6park.com再想一想,如果你是美国的决策者,看到中国发展了量子密码,让自己的数学破解能力无用武之地,你会怎么做呢?你会不会派人去散布舆论说,量子密码没有用处,忽悠中国自己把量子密码体系废掉? 6park.com这些问题,都是值得大家仔细思考的。 6park.com三、量子密码术 6park.com量子密码术是怎么实现保密的呢?跟传统密码术一样,也是通过算法和密钥。 6park.com实际上,量子密码术用的算法还是个特别简单的算法,简单到三言两语就能说清楚。 6park.com任何一串信息,都可以表示成一串二进制字符,即一串0和1。对这个01字符串的每一位数字a,我们都给它一个对应的密钥k,这个k也是一个0或1的数字。根据a和k,就可以算出对应的密文b,它也是一个0或1的数字。 6park.com对应的规则是:如果k = 0,那么b就等于a;如果k = 1,那么b就等于0和1中不等于a的那一个。也就是说,k =0就把0变成0,1变成1,而k = 1就把0变成1,1变成0。再简单一点说,k = 0就不变,k = 1就01互换。 6park.com这大概是你能够想到的最简单的算法了!你可能会在文献上看到它叫做“异或”或者“模为2的加法”之类,不要被数学术语吓住,其实就是这么个简单得不能再简单的算法。 6park.com你也许会感到奇怪,那么多复杂的算法都保不了密,这个最简单的算法反而可以?凭什么? 6park.com诀窍不在于算法,而在于密钥。 6park.com请注意,这里的密钥不是只有一位数字。如果只有一位数字,那当然完全没有保密效果。实际情况是,对于原文的每一位,都相应地有一位密钥。也就是说,如果原文的长度是n位,那么密钥的长度也是n位。如果原文像《红楼梦》那么长,那么密钥也需要有这么长。 6park.com这还没完。这串密钥的字符串,还必须是个随机的字符串。也就是说,每一位都是随机的0或者1,任何两位数之间,没有任何联系。 6park.com这仍然没完。这么长的密钥,还只能用一次。也就是说,你这次用n位的密钥传输了n位的原文,下次你传同样的内容,还必须从头再来,重新构造n位的密钥,千万不能把原来的密钥再用一次。这叫做“一次一密”。 6park.com这终于完了。量子密码术中的密钥,就是满足这样三个条件的字符串:长度跟明文相等,随机,一次一密。 6park.com为什么要这样做呢?因为这样就绝对不会被数学方法破译。 6park.com为什么不可能被破译?因为这样的一段密文,可能对应任何的一段跟它等长的明文,而且概率相等。比如说,既可能对应“明天上午向东进攻”,也可能以同样的概率对应“后天下午向西撤退”,还可能以同样的概率对应“飞出地球移民宇宙”,甚至可能以同样的概率对应“玄不救非氪不改命”……对这样没有任何偏向性的密文,你能有什么办法分析呢?完全无从下手,因为这里根本就没有一个数学问题让你去解决。这好比真正的“大隐隐于市”。 6park.com长度跟明文相等,随机,一次一密,满足这三个条件的密钥叫做“一次性便笺”(one-time pad)。因此,密码学中一个重要的定理就是:用一次性便笺加密的密文,是绝对不可破译的。这条定理是信息论的创始人克劳德·香农(Claude Elwood Shannon,1916 - 2001)证明的。评分完成:已经给 Michaelliu888 加上 50 银元!
请点这里投票,“赞”助支持!