3月18日，美國計(jì)算機(jī)協(xié)會(huì)（ACM）揭曉的2025年圖靈獎(jiǎng)（ACM A.M. Turing Award）將一個(gè)古老而又神秘的學(xué)科領(lǐng)域——密碼學(xué)重新帶入公眾視野，這一場(chǎng)跨越千年的人類智力博弈在量子理論的引領(lǐng)下進(jìn)入發(fā)展新階段，而打開量子密碼學(xué)新世界大門的正是兩位得主：IBM的量子信息科學(xué)家查爾斯·貝內(nèi)特（Charles H. Bennett）與加拿大蒙特利爾大學(xué)的密碼學(xué)家吉爾·布拉薩德（Gilles Brassard）。

從舊時(shí)代密碼學(xué)到“一次一密”

舊時(shí)代密碼學(xué)，簡單來說就是指給文字加密的方法。人類歷史上加密者與破密者之間的智力博弈由來已久，讓我們先簡單回顧幾段歷史小故事：2500多年前的密碼棒，是科學(xué)家們目前已發(fā)現(xiàn)的歷史記載的最早加密方式。

公元前100年左右，凱撒大帝使用字母替換法向駐守在前線的軍隊(duì)將領(lǐng)傳達(dá)秘密信息，其方法也稱作凱撒密碼，是密碼學(xué)中最簡單且最廣為人知的加密技術(shù)。當(dāng)然，一旦洞悉其中規(guī)律，破解也相當(dāng)容易。

▲凱撒密碼經(jīng)典的“shift by 3 cipher”（3位字符偏移）方法，將每個(gè)字符偏移3個(gè)位置，就能獲得皇帝想要傳達(dá)的真正信息。來源：維基百科

1553年，吉奧萬·巴蒂斯塔·貝拉索（ Giovan Battista Bellaso）寫了一本書《吉奧萬·巴蒂斯塔·貝拉索先生的密碼》（La cifra del. Sig. Giovan Battista Bellaso），這是最早記錄了維吉尼亞密碼的書。一直到301年后，維吉尼亞密碼系統(tǒng)才被英國數(shù)學(xué)家查爾斯·巴貝奇（Charles Babbage）成功破解。

當(dāng)時(shí)普遍認(rèn)為，只要有足夠長的時(shí)間，任何加密系統(tǒng)總會(huì)被后人破譯出來。由此引發(fā)了密碼學(xué)終極一問：是否存在“完全保密”的安全加密系統(tǒng) ？所謂完全保密，即他人在擁有密文情況下也無法獲知解密文本的任何信息，同時(shí)也意味著該系統(tǒng)能夠抵抗無限的計(jì)算能力。

1882年，美國銀行家、密碼學(xué)家富蘭克林·米勒（Franklin Miller）提出了“一次一密”（one-time pad，OTP）加密系統(tǒng)，1918年吉爾伯特·弗納姆（Gilbert S.Vernam）設(shè)計(jì)出類似的一次一密亂碼本（又稱多表代換密碼）。20世紀(jì)中葉，美國數(shù)學(xué)家、密碼學(xué)家克勞德·香農(nóng)（Claude Shannon）證明了這套系統(tǒng)的完全保密性。

在歐洲，與弗納姆同一時(shí)代的德國工程師亞瑟·謝爾比烏斯（Arthur Scherbius）于1919年設(shè)計(jì)出歷史上最著名的密碼機(jī)——恩尼格瑪轉(zhuǎn)輪密碼機(jī)（Enigma），在第二次世界大戰(zhàn)中后期，在多國科學(xué)家的先后努力下，包括計(jì)算機(jī)之父圖靈在內(nèi)，終將其破解。

▲恩尼格瑪密碼機(jī)，來源：維基百科

從現(xiàn)代密碼學(xué)到量子密碼學(xué)

到了20世紀(jì)70年代，受當(dāng)時(shí)計(jì)算機(jī)科學(xué)蓬勃發(fā)展的推動(dòng)，現(xiàn)代密碼學(xué)逐漸成形，電子計(jì)算機(jī)的快速計(jì)算能力以及現(xiàn)代數(shù)學(xué)方法一方面為加密技術(shù)創(chuàng)造了新概念和新工具，另一方面也給破密者提供了有力武器。

1976年，美國密碼學(xué)家貝利·惠特菲爾德·迪菲（Bailey Whitfield Diffie）和馬丁·赫爾曼（Martin Hellman）共同提出公鑰加密思想：迪菲-赫爾曼密鑰交換，標(biāo)志著現(xiàn)代密碼學(xué)的誕生。兩位于2015年獲得圖靈獎(jiǎng)。

至于公鑰加密以及密鑰建立，布拉薩德曾于2018年受邀在墨子沙龍舉辦過一場(chǎng)講座，期間用一個(gè)非常淺顯的故事闡明了原理：

假設(shè)Alice有一輛自行車要借給朋友Bob，她把車停放在某一地點(diǎn)，然后將其上鎖。隨后，Alice告知Bob停車地點(diǎn)，但Bob沒有開鎖的鑰匙。這沒有關(guān)系，Bob稍晚到了停車地點(diǎn)后，給自行車上了第二把鎖就離開了。隨后，Alice返回停車地點(diǎn)，取下自己的鎖并離開，最后，Bob再次返回，打開自己的鎖，同時(shí)也順利在沒有獲得Alice鑰匙的情況下騎走了自行車。倆人從來沒有共享過任何秘密信息，也沒有對(duì)方鎖的鑰匙，甚至無需親自見面，就完成了上鎖-用各自鑰匙開各自鎖-取車過程。

其中，自行車上的鎖相當(dāng)于公鑰，即加密方法可公開傳輸，而個(gè)人手中的鑰匙——私鑰，即保密參數(shù)是個(gè)人保密。從私鑰可以解鎖被公鑰加密的信息，但有了公鑰卻難以得到私鑰。如此一來，這便是一種正向操作容易、逆向操作非常困難的加密算法，也稱作非對(duì)稱加密。

1977年，當(dāng)時(shí)同在麻省理工學(xué)院工作的羅納德·李維斯特（Ron Rivest）、阿迪·薩莫爾（Adi Shamir）和萊奧納德·阿德曼（Leonard Adleman）一起提出的RSA密碼系統(tǒng)正完美實(shí)現(xiàn)了上述目的。RSA算法基于一個(gè)簡單的數(shù)論事實(shí)：將兩個(gè)素?cái)?shù)相乘十分容易，反過來，將其乘積進(jìn)行因式分解而找到構(gòu)成它的素?cái)?shù)卻非常困難。計(jì)算17×37=629是很容易的事，但如果反過來，給出629并要求找出它的因子就困難一些了。此外，正向逆向計(jì)算難度的差異隨著數(shù)值的增大而急劇增大：正向兩數(shù)乘法運(yùn)算的時(shí)間復(fù)雜度頂多是大小的平方，而逆向運(yùn)算復(fù)雜度成指數(shù)增長。對(duì)經(jīng)典計(jì)算機(jī)而言，破解高位數(shù)的RSA密碼基本不可能。例如，一個(gè)每秒鐘能做1012次運(yùn)算的機(jī)器，破解一個(gè)300位的RSA密碼需要15萬年！

繼RSA算法之后，ElGamal、橢圓曲線、雙線性對(duì)等公鑰密碼相繼被提出，密碼學(xué)進(jìn)入了全新發(fā)展時(shí)期。

在經(jīng)典計(jì)算機(jī)時(shí)代，公鑰密碼的安全性由相應(yīng)數(shù)學(xué)問題在計(jì)算機(jī)上的難解性來保證。然而，技術(shù)總是不斷在進(jìn)步。經(jīng)過一百多年的研究，隨著人們對(duì)于量子世界的認(rèn)識(shí)不斷拓展、加深，量子計(jì)算機(jī)有潛力幫助科學(xué)家利用量子性質(zhì)來完成經(jīng)典計(jì)算機(jī)無法完成的任務(wù)。

眾所周知，量子計(jì)算機(jī)使用可以同時(shí)是0又是1的量子比特進(jìn)行計(jì)算，而且量子計(jì)算機(jī)使用Shor算法，理論上只需幾秒鐘便可能破解剛才經(jīng)典計(jì)算機(jī)需要15萬年才能解開的300位RSA密碼。不僅如此，Shor算法可有效提取離散對(duì)數(shù)，破解迪菲-赫爾曼加密系統(tǒng)，還可破解橢圓曲線密碼系統(tǒng)。一旦通用量子計(jì)算機(jī)變成現(xiàn)實(shí)，現(xiàn)今使用的所有密碼學(xué)都將面臨崩潰局面。

上述言論聽上去對(duì)加密者來說如同滅頂之災(zāi)，但“水能覆舟，亦能載舟“。同樣地，也可以通過量子理論來建立保密密鑰，從而實(shí)現(xiàn)安全的加密通信。思想源頭是一位頗具傳奇色彩的“隱士”科學(xué)家史蒂芬·威斯納（Stephen Wiesner）。

1960年，威斯納進(jìn)入加州理工學(xué)院學(xué)習(xí)，與約翰·克勞澤（John Clauser）一起上物理實(shí)驗(yàn)課，并成為了好友，倆人經(jīng)常討論量子力學(xué)問題。后者獲得2022年諾貝爾物理學(xué)獎(jiǎng)。后來威斯納轉(zhuǎn)學(xué)到布蘭戴斯大學(xué)，在那里結(jié)識(shí)了當(dāng)時(shí)在化學(xué)系讀大三的查爾斯·貝內(nèi)特，他倆不僅是室友還是好朋友。1964年，貝爾作為訪問學(xué)者來到布蘭戴斯大學(xué)，在那里完成了關(guān)于貝爾不等式的論文。這些經(jīng)歷大大啟發(fā)著威斯納頭腦中關(guān)于量子信息的想法。

1966年威斯納大學(xué)畢業(yè)后到哥倫比亞大學(xué)繼續(xù)上研究院。兩年后，他交出了一篇奇文——《共軛編碼》（Conjugate Coding），提出利用光子偏振，打造出無法仿冒的“量子貨幣”。他的出發(fā)點(diǎn)是解決偽鈔問題，利用量子物理學(xué)中的“量子不可克隆定理”，以及不確定性原理，具體來說，如果你制造出一個(gè)量子態(tài)，并且對(duì)外界保密，那么除你之外的任何人都不可能克隆出一個(gè)一模一樣的量子態(tài)。量子貨幣除了和普通紙鈔一樣擁有印鈔編號(hào)，還可嵌入與編號(hào)對(duì)應(yīng)的偏振光子，銀行可以通過偏振片驗(yàn)證紙幣的真?zhèn)巍?/p>

▲威斯納設(shè)想的量子貨幣。圖片來源：ResearchGate

在當(dāng)時(shí)看來，這篇論文完全具有革命性，威斯納將這篇充斥著量子物理學(xué)專業(yè)術(shù)語的文章投稿給工程學(xué)期刊，結(jié)果作為工程師的編輯們完全看不懂他想表達(dá)的內(nèi)容，隨之拒稿。這篇文章直到1983年才發(fā)表在美國計(jì)算機(jī)學(xué)會(huì)的SIGACT刊物上。但威斯納本人性格十分內(nèi)向，也淡泊名利，1993年他離開美國移民到以色列，在耶路撒冷當(dāng)一名普通建筑工人，過著極為簡樸的生活，2021年這位量子信息第一人與世長辭，享年79歲。

雖然威斯納大隱隱于市地走過了一生，但他的量子信息思想?yún)s被好友發(fā)揚(yáng)光大，并以此為基石開辟出一條新道路。前文講過，貝內(nèi)特在大學(xué)期間一直聽著威斯納興趣盎然分享著自己的各種奇思妙想，他用當(dāng)時(shí)還不存在的短語“量子信息”來總結(jié)。后來，雖然威斯納的論文被拒稿，但貝內(nèi)特仍到處宣揚(yáng)其觀點(diǎn)，即使整整10年無人問津，他都始終不放棄。直到1979年，貝內(nèi)特到波多黎各參加密碼學(xué)會(huì)議，在海里游泳時(shí)巧遇另外一名年輕的科學(xué)家布吉爾·布拉薩德，后者在海里被貝內(nèi)特堵住去路，只好勉為其難地聽他講完用量子理論制作鈔票的怪論。

沒想到，兩位科學(xué)家因此一見如故，他們的思想經(jīng)過劇烈碰撞，覺得“量子貨幣”的想法并不現(xiàn)實(shí)，光子轉(zhuǎn)瞬即逝，很難“印”在鈔票上放入口袋里。但是，光本來就是用來傳播信息的，何不發(fā)揮其特長，來傳遞某種“不可偽造”、“不可復(fù)制”的重要信息呢？量子物理學(xué)與密碼學(xué)在波多黎各圣胡安的海洋中激情碰撞，迸發(fā)出“量子密碼學(xué)”的思想之光。

這段倆人職業(yè)生涯中的這場(chǎng)魔幻相遇促成了量子信息編碼與公鑰密碼學(xué)的結(jié)合，時(shí)間遠(yuǎn)早于彼得·肖爾提出自己的shor算法，可見兩位思想的超前性。兩人隨后展開合作，并于1984年在一場(chǎng)IEEE會(huì)議上詳細(xì)發(fā)表了原創(chuàng)的安全通信協(xié)議——“BB84 協(xié)議”，具體操作如下圖所示：

▲上圖是BB84通信協(xié)議示意圖，下面簡單解釋一下其通信過程：

1）信號(hào)通道有兩個(gè)：經(jīng)典通道，傳遞方法和原來一樣，通過無線電或因特網(wǎng)等公共通道實(shí)現(xiàn)；另外還有一條特殊的量子通道。其中，發(fā)送者利用光子偏振態(tài)來傳輸信息，光子可以經(jīng)過光纖或其他介質(zhì)發(fā)射到信息接收方。量子通道的目的只是產(chǎn)生和傳遞“密鑰”。一般來說，假設(shè)Eve具備竊聽這兩個(gè)通道信息的能力。

2）實(shí)施的傳遞過程分兩步：

第一步，傳遞和產(chǎn)生可靠的“共享密鑰”，使用量子通道為主，經(jīng)典通道為輔。

第二步，傳遞用“共享密鑰”加密后的文件，這時(shí)只用經(jīng)典通道，與經(jīng)典情況一樣。

3）要點(diǎn)是防止竊聽。經(jīng)典通信中，Alice和Bob無法發(fā)現(xiàn)Eve是否在竊聽。但在量子密鑰分發(fā)的量子通道，Alice和Bob則可以發(fā)現(xiàn)Eve的竊聽行為，因?yàn)槿我猥@取信息的行為都會(huì)改變量子系統(tǒng)，又因量子不可克隆，Eve也不能直接復(fù)制信息。傳遞信息的雙方一旦發(fā)現(xiàn)第三者的竊聽行為，便可以立即停止通信，重置密鑰。

4）BB84協(xié)議與量子糾纏無關(guān)。經(jīng)典信息的傳遞對(duì)通信的完成是必要的，傳遞速度由其決定，不存在是否“超光速通信”的疑問。

總而言之，BB84協(xié)議的核心是，利用量子態(tài)增強(qiáng)信息傳輸?shù)谋Ｃ苄裕驗(yàn)楦`聽必然會(huì)擾動(dòng)量子態(tài)而留下痕跡。量子態(tài)的特性可以確保密鑰的安全性，而用密鑰對(duì)信息進(jìn)行加密傳輸，是已經(jīng)成熟且被廣泛使用的經(jīng)典信息安全技術(shù)，因此整個(gè)量子保密通信的過程大為簡化，效率大為提高。正是由于拋棄了把信息本身加載到量子態(tài)上傳送這一設(shè)想而改為只用量子態(tài)來傳送密鑰，量子保密通信才變得具有現(xiàn)實(shí)意義，成為最先進(jìn)入實(shí)用化階段的量子信息技術(shù)。

▲BB84協(xié)議論文30周年紀(jì)念版，來源：墨子沙龍

另外，量子信道產(chǎn)生隨機(jī)密鑰后，通過“一次一密”加密系統(tǒng)來使用密鑰。一旦發(fā)現(xiàn)密鑰受到了竊聽，Alice和Bob就可以不用這組生成的密鑰。如果密鑰沒有被竊聽，那么你可以把它用于“一次一密”的系統(tǒng)中，這絕對(duì)安全。

▲BB84協(xié)議-“密鑰分發(fā)”示意圖：Alice可以采取兩種方式來制備偏振態(tài)的光子（或者說制備量子比特）：直線基"+"，和對(duì)角基"×"。在直線基中，分別用水平偏振（0°）和垂直偏振（90°）來表示0和1。在對(duì)角基中，則分別用（45°）偏振和（135°）偏振來表示0和1。

然而，倆人的論文在最初并未引起廣泛關(guān)注。當(dāng)時(shí)許多人認(rèn)為量子力學(xué)距離實(shí)際通信系統(tǒng)太遙遠(yuǎn)。然而他們并沒有放棄，1989年10月團(tuán)隊(duì)做出了一個(gè)由閃光燈和感光器組成的原型機(jī)，作為概念性證明在32.5厘米距離上完成了人類歷史上首個(gè)量子保密傳輸演示。因?yàn)樵蜋C(jī)的高壓電源在切換偏振時(shí)會(huì)發(fā)出不同的噪音，布拉薩德后來幽默地回憶道：“這臺(tái)機(jī)器可能只對(duì)“聾子”竊聽者才絕對(duì)安全！”

雖然距離只有短短的32.5厘米，卻跨出了量子通信從理論走向現(xiàn)實(shí)的一大步。時(shí)至今日，BB84協(xié)議及其改進(jìn)版本仍然是最廣泛部署的量子密碼協(xié)議之一。

另外，除了量子密碼學(xué)，1993年貝內(nèi)特和布拉薩德與其他人合作還發(fā)明了 “量子隱形傳態(tài)”。量子隱形傳態(tài)就是利用了量子糾纏的原理，首先創(chuàng)建糾纏光子對(duì)，然后將其中一個(gè)光子發(fā)送給數(shù)據(jù)發(fā)送者（Alice），另一個(gè)發(fā)送給接收者（Bob）。當(dāng)Alice收到她的糾纏光子時(shí)，她讓它與一個(gè)狀態(tài)未知的“記憶量子位”相互作用，這一量子位保存著她想要傳輸給Bob的數(shù)據(jù)。這種相互作用改變了她的光子的狀態(tài)，而且由于Alice的光子與Bob的光子仍然存在糾纏，這種相互作用也會(huì)瞬間改變Bob光子的狀態(tài)。這一系列操作，會(huì)將 Alice 記憶量子位中的數(shù)據(jù)從她的光子“瞬間傳輸”到 Bob 的光子中，也就是說，從量子層面讓“瞬間傳輸”成為現(xiàn)實(shí)——當(dāng)然“瞬間傳輸”仍然要遵守物理規(guī)律，一切信息的傳播速度不能超光速。

貝內(nèi)特和布拉薩德這兩位量子密碼學(xué)創(chuàng)始人雖然在人類密碼學(xué)歷史上出現(xiàn)的時(shí)間很晚，但有了前輩科學(xué)家打下的基礎(chǔ)，在隨后長達(dá)40多年的時(shí)間內(nèi)彌合了量子物理學(xué)和計(jì)算機(jī)科學(xué)這兩個(gè)原本截然不同的學(xué)科之間的鴻溝，作為開路人將密碼學(xué)拓寬至量子世界。倆人的科研成果自然收獲了滿滿的科學(xué)獎(jiǎng)項(xiàng)認(rèn)可，包括狄拉克獎(jiǎng)、墨子量子獎(jiǎng)、科學(xué)突破獎(jiǎng)，以及如今共同獲得素有“計(jì)算機(jī)界諾貝爾獎(jiǎng)”美譽(yù)的圖靈獎(jiǎng)，實(shí)至名歸。

參考資料：