最近有这样一个新闻:科大潘建伟院士、张强...
最近有这样一个新闻:科大潘建伟院士、张强教授团队与云南大学、上海交通大学等单位合作,实现了量子密钥分发(QKD)和后量子算法(PQC)的融合应用(参考图一)。这是什么意思?我来向大家解释一下。这个成果至少是三层的非平凡,而普通人了解第一层都难。
首先,如果你经常看我的节目,你很可能知道量子密钥分发(quantum key distribution,简称QKD)是一种保密通信的方法。顺便说一句,“钥匙”的“钥”字是个多音字,它在密码学的“密钥”这个词里念yuè,你百度一下就会发现(图二)。
量子密钥分发的好处在于,它不可能被数学破解。传统的密码有可能被数学破解,因为它们保密的基础是数学难题。而量子密钥分发保密的基础在于量子力学,只要量子力学的物理原理不被推翻,它就不可能被数学破解,即使敌人有无限的计算能力都不行。这是第一层的非平凡。如果达到这一层,你的知识水平就超过了90%的人(图三,中科院跨越 4600 公里成功分发量子密钥)。
然后,任何通信都有个前提,就是身份认证。也就是说,你得确认跟你通话的人真的是你认为的那个人,而不是冒充的。大家打电话的时候,每次先说一声“喂”,就是这个目的。
量子密钥分发能够保证的是,如果对方的身份是正确的,那么你的通信绝对安全,但它本身并不做身份认证。那么怎么确认对方的身份呢?以前的办法叫做预置密钥,也就是说双方先存下来一段密钥用作身份认证,联系上之后用量子密钥分发产生新的密钥。这些新的密钥大部分用于通信,少部分再存下来用于下一次身份认证。
这个方法在逻辑上很严密,但前提是要在通信之前至少联系一次。那么问题来了,如果是两个素昧平生的人,从来没有联系过,没有预存密钥,那该怎么办呢?也就是说,最初的信任怎么建立起来?
其实,传统的密码学就有身份认证的方法。在公钥密码体系中,用公钥加密的只能用私钥解密,用私钥加密的只能用公钥解密。因此,如果一个人用自己的私钥加密一段信息发给你,你用他的公钥发现确实能解密,那么你就可以确认他是他。这叫做数字签名。
这个方法很巧妙,但问题在于,它整个的前提是密码体系没有被破解。而事实上,我们已经知道许多密码体系是会被量子计算机破解的。例如最著名的公钥密码体系之一RSA,就会被1994年提出的Shor量子算法破解(图四,RSA的三位创始人 )。只是大规模实现这个算法的量子计算机还没造出来,这正是学术界努力的目标。这是第二层的非平凡。如果你达到这一层,你的知识水平就超过了99%的人。
然后,为了对抗量子计算机的发展,密码学界提出了两条思路。一个就是量子密钥分发,它一劳永逸地封住了所有计算机的攻击,包括量子计算机。但它仍然有需要预置密钥的问题。另一个叫做后量子密码(post-quantum cryptography,简称PQC)或者抗量子密码(quantum resistant cryptography),意思是能抵抗量子计算机的密码。它们基于一些更难的数学问题,对这些数学问题现在已知的量子算法都不能破解。至于将来能不能破解?那没有人知道,因为它们仍然是基于数学的,原理上就可能被数学破解。不但有可能被量子计算机破解,甚至有可能被经典计算机破解,这些可能性一直都是存在的。总之,这对矛与盾会不停地升级下去。
了解了这些背景,你终于可以明白潘建伟、张强等人做的是什么了(图五,潘建伟教授)。他们在身份认证环节采用了后量子密码,这样通信双方就不需要事先联系一次了。
真正有趣的问题是:如果这个后量子密码被破解了怎么办?回答是:只要敌人不是立刻破解,而是花了一段时间,那么在这段时间里通信双方已经做过量子密钥分发了。他们已经产生了新的密钥,存起了一部分用作下一次的身份认证。所以如果敌人不能抓住第一次这个稍纵即逝的机会,那么以后就没机会了。这样,我们即使不能完全排除风险,但至少把它压缩到了非常低。
你也许会问,何不从头到尾都用PQC呢?先用它来身份认证,再用它来加密解密,不是更省劲吗?回答是:这样不能保证长期的安全。无论敌人花了多长的时间破解,只要他破解出来,你的信息就泄漏了。而QKD的好处在于,敌人永远不可能用数学破解你的信息,因为根本没有数学难题让他去破解。
现在,你明白QKD与PQC联用的价值了吧?QKD保证长期的安全性,PQC把身份认证扩大到没有预置密钥的通信方。这是第三层的非平凡。如果你达到这一层,你的知识水平就超过了99.9%的人。
如果诸位想了解后量子密码,请在风云之声搜这个关键词,我有篇文章解释过这个问题。
