为什么“绝对安全”？

需要明确的是：密码学和量子技术两者各自包含的内容都很丰富，目前人们讨论的已经可以开始实际运用的，只是量子技术在“密钥分配”这个具体的分支上的作用。

密码学中所谓“绝对安全”，并非是一般的字面意思，而是一个数学术语，它的含义是：即使他人截取了密文，也无法破译出明文。美国数学家、电子工程师和密码学家，被誉为信息论的创始人克劳德·香农证明了一个数学定理——密钥如果满足以下三个条件，那么密钥就可以是“绝对安全”的：一、密钥是一串随机的字符串；二、密钥的长度跟明文一样，甚至比明文更长；三，每传送一次密文就更换一次密钥，即“一次一密”。

“绝对安全”的前两个条件已经在一定程度上被传统的加密技术满足，而“一次一密”是最难广泛推行的，因为这种方式需要通信的双方不断地更新密钥，并且分发给对方，成本较高。而量子密钥分配可以解决这个问题。

在量子密钥分配中，密钥并不是预先就有的，而是在双方建立通信之后，通过双方的一系列操作产生出来的。利用量子力学的特性，可以使双方同时在各自手里产生一串随机数，而且不用看对方的数据。如果确定对方的随机数序列和自己的随机数序列是完全相同的，这串随机数序列就被用作密钥。量子密钥的产生过程，同时就是分发过程。量子密钥是一串随机的字符串，长度可以任意长，而且每次需要传输信息时都重新产生一段密钥，这样就完全满足了香农定理的三个要求，是“绝对安全”的。

另一方面，量子加密也可以让通信的甲乙双方比较容易地知道密钥在传输的过程中是否被窃听。

窃听者骗取量子密钥有两种策略：一是将甲发来的量子比特进行克隆，然后再发给乙方。但量子的不可复制性确保窃听者无法克隆出正确的量子比特序列，因而也无法获得最终的密钥。另一种策略是窃听者随机地测量每个量子比特所编码的随机数，然后将测量后的量子比特冒充甲方的量子比特发送给乙方。但按照量子力学理论，测量必然会干扰量子态，因此这个“冒充”的量子比特与原始的量子比特可能不一样，这将导致甲乙双方各自得到的随机数序列出现误差。他们经由随机比对，只要发现误码率异常地高，便知有窃听者存在，判断这样的密钥不安全，换用新的密钥。只有当他们确认密钥无窃听者存在，才使用它进行加密通信。而接下来的通信方式就跟传统的手段完全相同了。

总之，量子保密通信的全过程包括两步。第一步是密钥的产生和分发，这一步用到量子力学的特性，需要特别的方案和设备。第二步是密文的传输，这一步就是普通的通信，可以利用任何现成的通信方式和设施。目前，量子保密通信所有的奇妙之处都在第一步上，而并不是在于传输信息本身，所以它又被叫做“量子密钥分发”。

量子保密也有弱点？

前面已经提到，“绝对安全”是一个密码学领域的数学术语，那么，量子保密能否真正实现一般意义上在各种情况下都完美的“无懈可击”？

很遗憾，还不行。目前量子保密只运用于密钥分发环节，它的优势主要是帮助合法的通信双方判断是否有窃听者存在，所分配的密钥是否安全，而无法抵抗“破坏信息传送”这一行为本身。这就是说，如果窃听者不停地窃听，甲乙双方就无法获得安全的密钥，就无法进行保密通信。在这种场合下，只有借助于其他办法进行保密通信，比如，选用量子加密网络中某一段未被窃听的部分来通信。如果窃听者的能力强大到对整个量子加密网络都能采取窃听，那通信者也只好返回传统的保密通信方式。

另外，采用量子加密方式生成的密钥，如果通信者不按照香农定理执行“一次一密”的操作，还是有可能不安全，也就是无法完全排除人为操作的影响因素。

最后，量子技术的另一项潜在运用“量子计算机”，尽管目前还远远没有实现实质的技术突破，但它在理论上的运算能力是千万倍于当下最顶级的电子计算机，有攻破目前任何密码体系的能力。未雨绸缪者已经有了：2015年8月19日，美国国家安全局网站上发布了一则消息，指出“由于面临量子计算机的潜在威胁”，决定将美国联邦政府目前所使用的密码体制替换成“抗量子密码体制”。“抗量子密码”还有其他很多同义词，比如“后量子密码”“抗量子算法”。它们本质上都是指“能够抵御量子计算机攻击的数学密码”。

等到量子计算机真正能实际运用之时，可能就真的要实现“以子之矛，攻子之盾”了。量子技术在保密攻防的两端，是否能分出高下？

原文发布时间为：2017-12-26
本文作者：陶卿
本文来源：九州量子，如需转载请联系原作者。