| 送交者: Michaelliu888[♂☆★★铁面钟馗★★☆♂] 于 2019-03-22 17:11 已读 500 次 | Michaelliu888的个人频道 |
作者 袁岚峰
转自风云之声 6park.com许多人听到类似“绝对不可破译”这样的说法,第一反应就是在哲学层面上不信:世界上怎么会有绝对的陈述呢?于是乎,任何人都能来掉几句书包,显摆一下自己的哲学修养:没有绝对安全的系统,任何声称绝对安全的系统最终都会被攻破云云。 6park.com这些人貌似很有哲学水平,实际上是没有搞清楚人家说的是什么意思,乱发议论。你应该想一想,你能想到的,难道数学家们想不到吗?很多数学定理都是在某些前提下,得到一个绝对的结论。难道你能禁止数学中使用“绝对”这个词吗?别忘了,还有“绝对值”呢!希望读者朋友们提高知识水平,多谈有技术含量的干货,抛弃这种廉价的、自作聪明的哲学清谈。 6park.com一件有趣的事,是量子密码研究者在对公众宣传时用词的变化。最初他们经常说“绝对安全性”,后来发现老是被人误解,于是就改说“无条件安全性”或者“完美安全性”。即使这样也经常被误解,于是最新的流行用词成了“信息论安全性”,意思是,如果你承认香农的信息论是正确的,那么你就会承认这种密码体系是安全的。 6park.com你有没有觉得这个说法变得好听一点呢?实际上,所有这些词说的都是同样的意思!嗯,人类的本质不只是复读机,还包括朝三暮四的猴子…… 6park.com值得注意的是,一次性便笺中的三个条件缺一不可。无论是密钥长度小于明文,还是密钥的各位之间有联系,还是同一串密钥用了两次,都会导致密文呈现某种结构,你的对手就有了着力之处,就可能通过频率分析之类的手段破解你的密码。大家可以自己想想这个道理,作为一个课后练习。 6park.com好,现在来思考一下:既然一次性便笺密钥已经能保证不可破译,为什么大家不用这种方法呢?为什么还要花大力气发展各种各样复杂得多的密码体系呢? 6park.com原因其实也很明显。一次性便笺密钥跟原文一样长,你怎么传输这么大量的密钥?如果你有一个安全的信道来传输密钥,那么你用这个信道直接传输原文不就行了,还要加密干什么?之所以要加密,不就是因为没有安全的信道吗?这就好像《国产凌凌漆》里那个“有光照才会发光的手电筒”,成了一个一本正经的笑话。
如果你在不安全的信道上传输密钥,那密钥被人窃取了怎么办?如果你派一个信使去传送密钥,那么如果这个信使被抓了(例如《红灯记》中的李玉和),或者叛变了(例如《红岩》中的甫志高),那损失会有多么巨大? 6park.com在实用当中,一次性便笺只用在极少数的场合,就是那些需要绝对安全的通信,为此不惜任何代价的地方。例如美俄总统之间的热线,就是用这种方法来防护的。 6park.com你也许会感到很失望:这种办法看似很完美,实际上反而是用得最少的啊! 6park.com别急,下面就是大反转的时刻了。 6park.com你有没有注意到,到目前为止,我们谈的全都是作为数学方法的一次性便笺密码术,跟量子力学还毫无关系? 6park.com量子密码术,就是用量子力学的物理方法在通信双方产生了一次性便笺密钥。这里的要点是什么呢?是双方同时获得了密钥!没有第三者信使在中间传输! 6park.com听起来很不可思议,是吧?是的,这确实是非常巧妙的思想,量子力学创造的奇迹。量子密码术的技术含量,就是表现在这里。量子密钥的产生过程,同时就是分发过程,因此量子密码术又有个专业名称,叫做“量子密钥分发”(quantum key distribution),就是前面说的深科技的标题党文章(https://mp.weixin.qq.com/s/EVB3xGeT4rAjYkNCF9xboA)翻译成“量子键分布”的那个。 6park.com有些文章把量子密码术贬得一钱不值,说这东西不过就是传统的激光通信之类,毫无技术含量。这些文章都是不懂装懂的人写的。你可以问问他:你有什么办法,不用信使就让通信双方共享密钥?他就抓瞎了。一个真正意义的高科技,给他们说成低科技,真是无知者无畏! 6park.com量子密码术的研究者在学术界获得过很多大奖,例如潘建伟团队不久前刚刚获得美国科学促进会颁发的2018年度克利夫兰奖。如果你不带偏见去看,你很容易就能看出,这个领域当然不是浪得虚名的,是有真材实料的。 6park.com你肯定想问了,量子密码术是怎么实现无信使的密钥分发的呢?很遗憾,由于篇幅限制,在这里不能解释细节。 6park.com回想一下前面打的预防针,再好的科普也不可能让你真正理解深奥的科学内容,博士寒窗苦读十几年不是白读的。在这里,只能非常简略地解释:量子密码术利用了量子力学中的两个原理,一个是叠加原理,另一个是测量可能导致状态突变。基于这两个原理,通过发射和接收一系列处于随机状态的单光子,来使通信双方获得一串相同的随机字符串。这串随机字符串,就是一次性便笺密钥。 6park.com也就是说,通过一系列操作以后,双方都获得了一串随机的0和1,比如说0010111001001010101……最重要的是,双方的这个字符串完全一样。这就是最终的效果。 6park.com如果你想知道具体的操作过程和背后的物理原理,那么,欢迎阅读我的文章《你完全可以理解量子信息》。很多人看了以后,都很开心地表示明白了哦~ 6park.com有了密钥之后,干什么呢?后面就是用密钥把明文加密成密文,把密文发送出去。既然密文已经是不可破译的了,这一步就不需要任何特别的设备,直接在传统信道上大摇大摆地走就是了,敌人截获也无妨。 6park.com一个常见的误解,是以为最后的信息传送要通过某种量子信道。当他们知道传统信道就行的时候,就感到大惑不解,甚至以为搞量子通信的都是骗子。 6park.com另一个常见的误解,是以为密钥也要通过传统信道传输。这是绝对不可能的,如果你要把密钥通过不安全的信道发出去,那就完全失去了保密的意义。任何密码系统,都不会愚蠢到这种程度。 6park.com总结一下,量子密码术真实的做法是:用量子信道产生密钥,用传统信道传送密文。你原来理解对了吗? 6park.com现在,你可以理解量子密码术的用处了。原来专属于美俄总统通话这种级别的安全性,现在可以在大得多的范围内实现了。同学们觉得开心吗?~ 6park.com四、量子密码术的攻防 6park.com几年以前,我有一次给某个系统的工作人员讲量子信息原理与技术。当我讲到量子密码术绝对不可破译的时候,我本来以为他们会很高兴,没想到他们纷纷来问我一个问题:如果我们想监控某些情报,而对方用了量子密码,我们该怎么办? 6park.com我感到非常意外,居然还有这样的问题?! 6park.com我读过量子信息的一些经典教材,但上面并没有讲这个。后来我咨询了一些量子通信的一线研究者,如我的科大同事张强教授,对此才有了一些概念。 6park.com基本的框架其实很简单。既然数学方法是不可能破译量子密码的,那么唯一的途径当然就是物理方法,用各种手段入侵量子通信设备。也就是说,密码攻防猫捉老鼠的游戏并没有结束,在有了量子密码之后,窃密一方还是有的玩的,仍然有可能偷到信息。 6park.com有些人在这里就出来和稀泥:你看,量子密码也可能被破解,可见它跟传统密码并没有本质的区别。还有人说:传统密码有种种好处,例如成熟、廉价、快速、易于组网等等,因此量子密码还不如传统密码,甚至是根本没有用处。 6park.com应该如何看待这些观点呢? 6park.com其实这是一种典型的把水搅浑,偷换概念。 6park.com我们在对传统密码的讨论中,主要考虑数学破解,是因为用数学就“有可能”破解它们,而不是“只有”用数学才能破解它们。请思考一下,用物理手段能不能破解传统密码?当然可以。否则,你认为各国的情报部门是干什么的? 6park.com因此,量子密码术和传统密码术的对比,并不是前者的威胁只来自物理,后者的威胁只来自数学。这是那些把水搅浑的人希望给你制造的印象,让你觉得这两个是差不多的,甚至数学难题还更可靠一些。实际的对比,应该是量子密码术面临的威胁只来自物理,传统密码术面临的威胁来自数学加物理! 6park.com你本来可能被数学攻破,也可能被物理攻破,现在我把数学的威胁关闭了,只剩下物理的威胁,这难道不是一个重大的进步吗? 6park.com我在2018年2月22日的科技袁人节目中(https://www.******/video/av19910566),说到日本在很多产业领域下降了,以前能卖整机,现在只能卖零件了。令我发笑的是,有些人在评论中说,卖零件的利润率比卖整机还高。 6park.com我只好在2018年3月8日的科技袁人节目中(https://www.******/video/av20521208),答疑了一下这个问题: 6park.com“难道你认为,我们是在比较整机和零件吗?难道你认为,日本当年做整机的时候,零件都用的是别人的吗?当然不是了。你要比较的对象,其实不是以前的整机对现在的零件,而是以前的整机加零件对现在的只有零件。这样看来,当然是下降了。这么说,你就清楚了吧?你看,非得说到这个程度才行!” 6park.com在这里,我们遇到的就是同样的思维陷阱。 6park.com我们还可以做个比喻。围棋选手甲,跟人分先下的胜率是90%。围棋选手乙,跟人分先下必定能赢,所以他现在都不下分先棋了,只下让子棋,下让子棋的胜率是60%。请问,你觉得哪个人的水平更高? 6park.com答案显然是乙。如果有人因为甲字面上的胜率更高而选了甲,那他的脑子确实已经成一锅浆糊了。 6park.com棋手甲就好比传统密码术,棋手乙就好比量子密码术,分先棋好比数学攻击,让子棋好比数学加物理的攻击。我们平时不关心甲下让子棋的表现,不是因为他下让子棋比乙厉害,而是因为他连分先都不一定能赢,哪里还轮得到考虑让子。敢于下让子棋,而且只下让子棋,这本身就是棋手乙比棋手甲高明的表现! 6park.com我们还可以再做一个比喻。让子棋好歹还是在按照规则下棋,而物理攻击更像作弊,比如说,在棋盘上钻个洞,或者把棋盘倾斜过来,甚至拿棋盘砸人脑袋。 6park.com最后一句不是随便说说的哦。西汉时,汉景帝刘启作太子的时候,跟吴王刘濞的太子刘贤下棋。两人争执起来,刘启就拿棋盘砸刘贤,把刘贤给打死了。这事成了七国之乱的一个诱因。你看,棋盘就像《食神》中的折凳一样,也是一种了不得的武器啊! 6park.com这样看起来,你就更能理解棋手乙的厉害之处了。面对种种匪夷所思的作弊手段,他竟然还是经常能赢! 6park.com当然,比喻只是个比喻。我们需要强调一点,这里说的“赢”,是指保住了秘密,没有泄露,并不是一定要把信息发出去。敌人可以破坏你的器件,或者不停地干扰,让你无法通信,但只要没有偷到信息,都算他输。 6park.com还有,我们讨论的是窃密,而不是抢劫。用《水浒传》来作比喻,我们允许的是像鼓上蚤时迁那样神不知鬼不觉地把信息偷走,而不是像黑旋风李逵那样抡起两把板斧杀上门去。也就是说,物理攻击如果被通信者发现,就算攻击者输。 6park.com这些是很合理的条件。我都允许你作弊了,好比我允许你拿着火箭筒,我却只有把小手枪,如果你简简单单地把我轰杀就算你赢,那这游戏还有什么意义? 6park.com也就是说,——作弊也要按照基本法啊! 6park.com在以上这些框架下,我们可以来介绍量子密码术的攻防状况了。 6park.com最容易产生的想法是:如果被物理攻击,量子密码术是不是就挂了?所以我们唯一的出路,只能是尽量谨慎点,多盯着监控? 6park.com非常惊人的是,答案居然是“否”。 6park.com量子密码术现在的研究前沿,就是在假定敌人成功地进行了若干种物理攻击的前提下,我仍然能够保证信息不泄露。 6park.com例如,我可以把我的测量仪器都交给你,随你怎么去捣鬼,但我仍然有办法发现你在捣鬼,因此及时地中止生成密钥,信息也就不会泄露。这叫做“测量仪器无关的量子密钥分发”(MDI-QKD,是measurement device independent quantum key distribution的缩写),在这个领域里中国也走在世界前列。 6park.com想想看,这是多么令人吃惊的技术!简直好像《倚天屠龙记》里,空见神僧的金刚不坏体神功。 6park.com但这还没完,研究者们还在发展“仪器无关的量子密钥分发”(DI-QKD,是device independent quantum key distribution的缩写),跟前面那个MDI-QKD相比,少了一个M,测量。这就更不可思议了,我的所有仪器都交给你捣鬼,我居然都不怕,——简直是逆天啊! 6park.com目前的发展状况是,MDI-QKD的实验已经成功了,下一步是提高成码率的问题。DI-QKD还没有完整的实验验证,因为难度非常大,而且学术界普遍认为它的实用价值不高。为什么呢?好比我还是拿着把小手枪,对方却连火箭筒都不满足了,拿着个原子弹过来了,这也太夸张了吧!要不要这么偏执狂啊!虽然我允许你作弊,但作弊也要按照基本法啊! 6park.com讲这些是为了让大家明白,量子密码术的研究者是在考虑什么范畴的问题。大家可以想想,对传统密码设备如何抵御物理攻击,有这样的研究吗?没有。因为量子密码对物理攻击的抵抗能力,是有物理原理作指导向上提升的,而传统密码没有物理原理指导,不知该向哪里努力。 6park.com上面讲的MDI-QKD和DI-QKD并不是这个领域里全部的重要成果,至少还有一个重要成果值得介绍,就是激光光源的“诱骗态协议”(decoy-state protocol),这是用来对抗“光子数分离攻击”(photon number splitting attack)的。中国理论物理学家王向斌、马雄峰和实验物理学家潘建伟等人,对诱骗态协议有重要贡献。由于篇幅所限,在这里我们不能详细解释诱骗态协议,只能告诉大家,这是一个非常有智力含量的成果。想了解更多的读者,可以去看我的文章《你完全可以理解量子信息》。 6park.com大家看到了吧,世界上最热衷于给量子密码寻找物理攻击方法的是谁?就是量子密码的研究者,例如前面提到的马卡洛夫。矛和盾是一体,他们想到的矛和盾,都远远超出普通人的想象。 6park.com因此,用游戏的语言总结一下:量子密码的数学抗性是100%,物理抗性还没有达到100%,但也已经相当高了。开玩笑地说,这可以叫做“魔武双修”。无论是数学抗性还是物理抗性,量子密码都高于传统密码。 6park.com我们最后需要强调一下,我们当然希望把量子密码的物理抗性提高到100%,但量子密码并不是只有在实现这个最终目标之后才有价值。在实现最终目标之前,量子密码就已经很有价值了。如果你认为“没有达到极致就是垃圾”,那就陷入思维误区了。 6park.com量子密码的数学抗性达到了100%,这本身就是一个重大的优点。而且,量子密码还有希望把物理抗性提高到100%,这也是一个重大的优点。能做到这些,都是因为量子密码术基于的是物理规律,而不是数学难题。思路的转换带来境界的提升,这是值得我们深入思考的。 6park.com五、金贤敏研究组的工作 6park.com了解了以上的框架,我们就可以理解金贤敏研究组这篇arXiv文稿的工作了。这是一个正常的研究,提出了一种新的物理攻击方法,叫做“注入锁定”。 6park.com这个词是什么意思呢?就是两个振子如果耦合在一起,而且最初频率相差不远,那么它们的频率就会逐渐变得相同。这个现象最初是荷兰物理学家、摆钟的发明者、光学的创始人之一惠更斯(Christiaan Huygens,1629 - 1695)发现的,他注意到,挂在同一块板上的两个摆会逐渐变得同步。 6park.com金贤敏研究组提出,用一束激光注入到量子密钥分发的光源中,试探它在什么时候发生了注入锁定,就可以知道光源在发送什么状态的光子,最终就可以 6park.com金贤敏等人搭建了一个原型的量子密钥分发体系,然后用注入锁定的方法,以60.0%的成功率偷到了密钥。 6park.com在这个层面上,这个研究是有价值的。但是,媒体胡乱发挥,把这件事描述成量子通信立了个不可破解的flag然后被打脸,就大错特错了。 6park.com第一,量子密码的不可破解说的是不可能被数学手段破解,而不是不可能被任何手段破解。 6park.com第二,金贤敏等人的目的,就是把量子密码的物理抗性进一步提升。他们的声明,标题就说得很清楚,《攻击是为了让量子密码更加安全》。炒作的媒体完全误解了金贤敏等人的基本出发点。 6park.com第三,金贤敏等人攻击的,是原型的、没有防护的量子密钥分发光路,不是在实用中的设备。他们在文章中就指出了,一个非常直截了当的防御手段就是光隔离器。 6park.com我们来解释一下,隔离器的作用是让光只能从一个方向通过,从反方向通过的光会受到极大的衰减。为了抑制反射光对光路的干扰,隔离器是一种常用的器件。正向光与反向光的功率之商的常用对数乘以10,就是隔离的分贝(dB)数。例如10 dB的隔离,就意味着反向光的功率是正向光的1/10。 6park.com金贤敏等人在没有加隔离的情况下,测得攻击的成功率是60.0%。然后加了1 dB和3 dB的隔离,测得攻击成功率下降到了44.0%和36.1%。他们说,这仍然是很高的成功率。 6park.com是的,这完全正确。但实际上,现有的商用量子通信设备中的隔离度一般是100 dB,这意味着反向光的功率是正向光的100亿分之一。用注入锁定来破解这样的系统,激光功率需要达到1千瓦。 6park.com这是个什么概念呢?我参观过生产激光器的企业,他们现场表演了激光切割金属,制作铭牌、书画等等,他们用的激光就是1千瓦的量级。也就是说,这么高功率的注入激光,已经相当于激光武器了。你会看到设备被切割开,整个系统被毁掉,但这并不是窃密。 6park.com我们在前面说过,我们讨论的是窃密,不是抢劫。没有被发现的物理攻击,才叫做成功的物理攻击。如果看到有这么强的激光在照射你的仪器,你都茫然不觉,这心得大到什么程度?这合理吗? 6park.com还是那句话:作弊也要按照基本法啊! 6park.com因此,金贤敏等人这篇文稿,只是提供了一种研究思路,对现有的量子保密通信系统并没有构成现实威胁。相当于证明了,如果你家没装防盗门,我就很容易破门而入。这话很正确,但是你家已经装了防盗门。 6park.com有些人急吼吼地质问,京沪干线的设备是不是要更换?增加的成本谁来出?责任谁来负?这都是没搞清楚基本状况。 6park.com还有些人借此机会,又在鼓吹量子密码无用论。相信看完这篇文章的读者,已经明白这种说法的荒谬之处了。 6park.com让我们重新回想一下前面提到的问题: 6park.com如果你是美国的决策者,看到中国发展了量子密码,让自己的数学破解能力无用武之地,你会怎么做呢?你会不会派人去散布舆论说,量子密码没有用处,忽悠中国自己把量子密码体系废掉? 6park.com六、结语 6park.com这次事件,在科学界内部很快就形成了共识:纯粹是一场媒体知识水平低下还要博眼球,炒作出来的闹剧。 6park.com这次炒作的始作俑者MIT技术评论和深科技,是国内外相当著名的科技媒体,我以前也看过它们的不少好文章。这次却表现得如此糟糕,为了搞个大新闻,去乱扯自己不懂的东西,实在令人深感遗憾。 6park.com希望这两家媒体以及所有有类似毛病的媒体,都从中吸取教训,好好提升编辑的专业水平。毕竟,科技报道不是明星八卦,还是要以实事求是作为基本价值的。 6park.com还有一点,是想对我的一些读者说的。他们对科技新闻充满兴趣,但拿了太多巨细无遗的问题来问我,一会问一句“这篇文章的这句话对不对”,一会问一句“那篇文章的那句话对不对”,甚至“这个读者评论对不对”,几乎是把整篇文章连带读者评论都复制一遍来问我了。 6park.com有热情当然很好,但我实在顾不上回答这么多问题。更重要的是,读者朋友们应该想清楚,这不是高效率的学习方法。请不要问我那么多细节问题,因为正确的道路只有一条,错误的道路却有无限条,再贴心的FAQ也不可能回答完所有各种匪夷所思的问题。 6park.com真正高效的学习方法是什么?如果你真的想对一个领域达到深入了解,就请去拿起教科书从头研读。你的目标应该和你的努力相匹配。不要指望通过问人能获得细节级别的了解,那样只能把别人累死,你也不可能真正搞懂。 6park.com说到底,就是要相信自己,相信自己的学习能力、理解能力。你对科学的爱好是建立在你自己能理解的基础上的,而不是建立在听某个权威的基础上。如果这个权威不在了,难道你就不懂科学了? 6park.com自己努力地去学习科学,理解科学,就是这个时代最需要的品质。我希望把这句话送给媒体的编辑,送给热心的读者,送给我们大家。
请点这里投票,“赞”助支持!