量子密碼

量子

• 黑體輻射，催生了「量子論」。普朗克在柏林物理學會上宣讀了那篇具備跨時代意義的論文《正常光譜能量分佈律理論》，獲得一個重要結論：能量是由肯定數目的、彼此相等的、有限的能量包構成。
• 一個物理量若是存在最小的不可分割的基本單位，則這個物理量是量子化的，並把最小單位稱爲量子。
• 「量子化」指其物理量的數值是離散的，而不是連續地任意取值。光子就是一種量子，而且是量子密碼學中常使用的量子。
  

量子計算與量子計算機

一、量子計算有關的量子態的基本特性:

• 量子態的疊加 ( superposition)
• 干涉 ( interference)
• 糾纏 ( entanglement)
• 不可克隆 (nonclonability) 。

二、廣義的量子計算除了計算之外, 還包括

• 量子通訊( guantum communication )
• 量子密碼 ( guantum cryptography)
• 量子傳態( guantum teleportation)
• 量子密集編碼( guantum dense coding)

三、量子計算機的優點和弱點

- 優點：

• 大數N的因子分解是一個NP問題當N很大時常規計算機無能爲力. Shor量子算法可將此問題變爲P問題,這是量子計算機的優點。
• 除了大數因子分解 Shor 量子算法外, 著名的算法還有 Grover 量子搜索算法。在N個元素的集合中搜尋某個元素, 經典算法搜尋N/2次後, 找到的機率爲 1/2。Grover 量子搜索算法則只需 N1/ 2次便可達到一樣的機率。當 N 很大時, Grover 量子搜索算法頗有效。
• 對於量子系統的計算, 若是使用常規計算機, 其時間複雜度和空間複雜度都很可觀, 並且有些問題在常規計算機上幾乎不能計算, 量子計算機則能夠有效地模擬或計算。量子態具備不可克隆性, 並且量子疊加態在測量時出現坍縮, 若是將這些特性用於通訊, 則可徹底避免竊聽。因此, 量子信息技術很是適合於保密通訊。**

- 缺點：

• 但因爲量子計算機原則上是專用的, 它的應用範圍有必定的限制, 所以量子計算機不能替代傳統的通用計算機。
• 大數因子分解 Shor 量子算法能將NP問題變爲P問題, 那麼, 是否存在可以將 NP 徹底問題變爲P 問題的量子算法呢? 答案是否認的。例如, 對解決旅行商問題,
• 若是量子算法使時間複雜度爲多項式, 則所需功率按指數增加, 這是不現實的。
• 在計算機解題過程當中, 數據的讀出和複製是常常要執行的操做. 這些操做在常規計算機中是很容易實現的, 而在量子計算機中, 因爲量子疊加態在測量時的坍縮和量子態的不可克隆性, 實現這些操做很麻煩。**

四、量子計算機

• 量子的另外一個奇妙特性是量子通訊具備保密特性．這是由於量子態具備測不許和不可克隆的屬性，根據這種屬性除了合法的收發信人以外的任何人竊取信息，都將破壞量子的狀態．這樣，竊取者不只得不到信息，並且竊取行爲還會被發現，從而使量子通訊具備保密的特性．
• 目前，量子保密通訊比較成熟的技術是，利用量子器件產生隨機數做爲密鑰，再利用量子通訊分配密鑰，最後按傳統的「一次一密」方式加密．
• 量子糾纏態的超距做用預示，若是可以利用量子糾纏態進行通訊，將得到超距和超高速通訊量子計算機是一種以量子物理實現信息處理的新型計算機．奇妙的是量子計算具備自然的並行性．n量子位的量子計算機的一個操做可以處理2「個狀態，具備指數級的處理能力，因此能夠用多項式時間解決一些指數複雜度的問題．這就使得一些原來在電子計算機上沒法解決的困難問題，在量子計算機上倒是能夠解決的

量子通訊

• 量子通訊，分爲「量子密鑰分發」和「量子隱形傳態」。
• 「量子密鑰分發」只是利用量子的不可克隆性，對傳統信息進行加密，屬於解決密鑰問題。
• 「量子隱形傳態」徹底不一樣，它是利用量子的糾纏態，來傳輸量子比特。信息傳遞方式已經徹底不一樣。
  

量子密鑰分發

儲備知識

• 一、信息論創始人香農，總結提出了「無條件安全」的條件：
  • 密鑰真隨機且「只使用一次」
  • 與明文等長且按位進行二進制異或操做

• 二、光的偏振
  由於光子有兩個偏振方向，並且相互垂直。
  因此，單光子源每次生成的單個光子，能夠是這樣：
  

• 三、偏振方向測量
  咱們能夠簡單選取「水平垂直」或「對角」的測量方式（咱們稱之爲測量基），對單光子源產生的單光子進行測量。
  

• 四、對量子編碼
  當測量基和光子偏振方向一致，就能夠得出結果（要麼是1，要麼是0）；
  

  • 當測量基和光子偏振方向偏45°，就不能得出準確的結果。光子就會變化，偏振方向改變45°，那麼就是1或0的機率各50%。因此，兩種測量基，對不一樣偏振方向光子的測量結果概括以下：
    
• 五、量子密鑰生成方法

  • 5.一、發送方（咱們先稱爲A），首先隨機生成一組二進制比特（所謂的經典比特，0或1這種）。
    

  • 5.二、A對每1個比特，隨機選擇測量基。
    

  • 5.三、發送以下偏振光
    

  • 5.四、接收方（咱們先稱爲B），收到這些光子以後，隨機選擇測量基進行測量：
    

  • 5.五、那麼，測量結果以下（見虛線框內）：
    

  • 5.六、A和B經過傳統方式（例如電話或QQ，不在意被竊聽），對比雙方的測量基。測量基相同的，該數據保留。測量基不一樣的，該數據拋棄。

  • 保留下來的數據，就是最終的密鑰。 （下圖中，1001就是密鑰）
    

  • 六、防竊聽原理
    • 若是，存在一個竊取者（咱們稱爲C）。若是C只竊聽A和B對比測量基，那C會獲得這樣的信息：不一樣 不一樣 相同 相同 不一樣 不一樣 相同 相同 。這個對他來講，沒有任何意義。C只能去測量A到B的光子。由於量子的不可克隆性，C沒有辦法複製光子。
  • 七、量子密碼與經典密碼的區別

  • 以數學爲基礎的當前普遍使用的密碼系統（能夠稱爲數學密碼），利用數學難題設計密碼協議和算法，利用求解數學難題的困難性保障密碼方案的安全性。與此相似，也可認爲量子密碼算法和協議是利用求解問題的困難性或者不可能性來保障方案的安全性。不過，這些問題是物理問題而不是數學問題，求解這些問題也必須經過物理方式實現。

  • 八、量子密碼中的兩個基本問題。
    • 問題１：如何在不損壞原來量子比特的狀況下斷定一個未知量子比特的精確值，或者精確區分兩個或多個非正交量子比特。
    • 問題２：如何同時精確測量量子比特中兩個或多個非共軛量。
    • 經過物理和數學方法已經證實，上述兩個問題的求解是不可能的。在第一個問題的基礎上產生了量子不可克隆定理；在第二個問題的基礎上產生了海森堡測不許原理。
    • 顯然，從基本思想方面來看，量子密碼和數學密碼是一致的，均可以被認爲是經過求解問題的困難性來實現對信息的保護的，只是量子密碼中對問題的求解是經過物理方式實現的，且上面所列的兩個基本問題的求解是不可能的。

  • 九、量子密碼的主要特色
    對外界任何擾動的可檢測性和容易實現的無條件安全性，這些特徵依賴於量子系統的內稟屬性：測不許性和不可克隆性。對擾動可檢測性的物理基礎是海森堡測不許原理；而無條件安全性的物理基礎是量子不可克隆定理。前者保證了任何攻擊行爲均可能被檢測出來，後者保證了量子密碼系統的安全特性。

  • 十、竊聽者的策略：
    • 1、將甲發來的量子比特進行克隆，而後再發給乙方。但量子不可克隆性確保竊聽者沒法克隆出正確的量子比特序列，於是也沒法得到最終的密鑰。

    • 2、是竊聽者隨機地選擇檢偏器，測量每一個量子比特所編碼的隨機數，而後將測量後的量子比特冒充甲方的量子比特發送給乙方。

    • 按照量子力學的假定，測量必然會干擾量子態，所以這個「冒充」的量子比特與原始的量子比特可能不同，這將致使甲乙雙方最終造成的隨機數序列出現偏差，他們經由隨機比對，只要發現誤碼率異常地高，便知有竊聽者存在，這樣的密鑰不安全，棄之不用。只有當他們確認無竊聽者存在，其密鑰纔是安全的。接下來即可用此安全密鑰進行「一次一密」的經典保密通訊。

  • 十一、問題
  • 上述這種保密通訊，實質上是「一次一密」的經典通訊，只是密鑰是由QKD生成的，一般也稱爲量子保密通訊。
    • 一是，若是竊聽者不停地竊聽，甲乙雙方就沒法得到安全的密鑰，因而保密通訊便沒法進行。確實如此，QKD對此無能爲力！它惟一的優點功能就是判定是否有竊聽者存在，所分配的密鑰是否安全而已。這點在傳統密鑰分配原則上作不到。QKD只能用來確保傳遞信息的安全性，沒法抗擊「破壞信息傳送」的行爲。在這種場合只有藉助於其餘辦法進行保密通訊，好比，採用網絡QKD，若某一路中段，尋找不被竊聽的傳輸路徑實現安全的密鑰分配。若是QKD網絡都處於被竊聽的狀態，那隻好採用傳統的保密通訊辦法了。
    • 二是採用量子比特所生成的安全密鑰比起用傳統方法所獲得的安全密鑰（假定存在這種辦法）有優越性嗎？回答是否認的。只要密鑰是安全的，無論是用何種辦法生成的，二者性能徹底同樣。特別是，若是達不到「一次一密」的加密程度，即便QKD的密鑰是絕對安全的，這種密絕對安全的，這種密碼體系一樣可能被聰明的破譯者所攻破。所謂「通訊」簡單地說就是傳遞信息（即「明文」）。量子密碼只是傳送經典隨機數而已，不包含有任何信息內容，所以，與「通訊」無關。量子保密通訊實際上包括由QKD生成的安全密碼和「一次一密」經典通訊兩個部分，本質上仍然是經典通訊。

量子通訊的另一種方式 ——「量子隱形傳態」

量子密鑰分發只是量子力學應用於經典通訊的一個小應用（加了把量子鎖），那量子隱形傳態就是「真正」的量子通訊了。

• 一、兩個重要概念——「量子比特」和「量子糾纏」
  • 1.一、量子比特
    • 咱們目前進行信息存儲和通訊，使用的是經典比特。一個經典比特在特定時刻只有特定的狀態，要麼0，要麼1，全部的計算都按照經典的物理學規律進行。但量子比特和經典比特不一樣。量子信息紮根於量子物理學，一個量子比特（qubit）就是0和1的疊加態。量子信息紮根於量子物理學，一個量子比特（qubit）就是0和1的疊加態。
    • 表示量子比特的Bloch球。Bloch球的球面表明了一個量子比特全部可能的取值。
      
  • 注意：一個量子比特只含有零個經典比特的信息。由於一個經典比特是0或1，即兩個向量。而一個量子比特只是一個向量（0和1的向量合成）。就比如一個經典比特，只能取0，或者只能取1，它的信息量是零個經典比特。
  • 1.二、量子糾纏
    • 量子力學中最神祕的就是疊加態，而「量子糾纏」正是多粒子的一種疊加態。量子有許多經典物理所沒有的奇妙特性。量子的糾纏態就是其中突出的一個。原來存在相互做用、之後再也不有相互做用的2個量子系統之間存在瞬時的超距量子關聯。
• 二、隱形傳態

• 因爲量子糾纏是非局域的，即兩個糾纏的粒子不管相距多遠，測量其中一個的狀態必然能同時得到另外一個粒子的狀態，這個「信息」的獲取是不受光速限制的。因而，物理學家天然想到了是否能把這種跨越空間的糾纏態用來進行信息傳輸。所以，基於量子糾纏態的量子通信便應運而生，這種利用量子糾纏態的量子通信就是「量子隱形傳態」（quantum teleportation）。

• 三、量子隱形傳態的過程（即傳輸協議）通常分以下幾步：
  

  • （1）製備一個糾纏粒子對。將粒子1發射到A點，粒子2發送至B點。
  • （2）在A點，另外一個粒子3攜帶一個想要傳輸的量子比特Q。因而A點的粒子1和B點的粒子2對於粒子3一塊兒會造成一個總的態。在A點同時測量粒子1和粒子3，獲得一個測量結果。這個測量會使粒子1和粒子2的糾纏態坍縮掉，但同時粒子1和和粒子3卻糾纏到了一塊兒。
  • （3）A點的一方利用經典信道（就是經典通信方式，如電話或短信等）把本身的測量結果告訴B點一方。
  • （4）B點的一方收到A點的測量結果後，就知道了B點的粒子2處於哪一個態。只要對粒子2稍作一個簡單的操做，它就會變成粒子3在測量前的狀態。也就是粒子3攜帶的量子比特無損地從A點傳輸到了B點，而粒子3自己只留在A點，並無到B點。

• 注意: 以上就是經過量子糾纏實現量子隱形傳態的方法，即經過量子糾纏把一個量子比特無損地從一個地點傳到另外一個地點，這也是量子通信目前最主要的方式。須要注意的是，因爲步驟3是經典信息傳輸並且不可忽略，所以它限制了整個量子隱形傳態的速度，使得量子隱形傳態的信息傳輸速度沒法超過光速。

• 四、量子互聯網
  由於量子計算須要直接處理量子比特，因而「量子隱形傳態」這種直接傳的量子比特傳輸將成爲將來量子計算之間的量子通訊方式，將來量子隱形傳態和量子計算機終端能夠構成純粹的量子信息傳輸和處理系統，即量子互聯網。這也將是將來量子信息時代最顯著的標誌。

抗量子計算密碼

• 一、量子計算機對現有密碼提出嚴重挑戰針對密碼破譯的量子計算機算法主要有如下2種．
  • 第1種量子破譯算法叫作Grover算法。
    • 這是貝爾實驗室的Grover在1996年提出的一種通用的搜索破譯算法，其計算複雜度爲O(√Ⅳ)．對於密碼破譯來講，這一算法的做用至關於把密碼的密鑰長度減小到原來的一半．這已經對現有密碼構成很大的威脅，可是並未構成本質的威脅，由於只要把密鑰加長1倍就能夠了。
  • 第2種量子破譯算法叫作Shor算法。
    • 這是貝爾實驗室的Shor在1997年提出的在量子計算機上求解離散對數和因子分解問題的多項式時間算法．利用這種算法可以對目前普遍使用的RSA、ECC公鑰密碼和DH密鑰協商體制進行有效攻擊．對於橢圓曲線離散對數問題，Proos和Zalka指出：在Ⅳ量子位(qbit)的量子計算機上能夠容易地求解k比特的橢圓曲線離散對數問題"J，其中N一5後+8(k)l／2+5log 2k．對於整數的因子分解問題，Beauregard指出：在Ⅳ量子位的量子計算機上能夠容易地分解k比特的整數p]，其中N一2k．根據這種分析，利用l 448 qbit的計算機能夠求解256位的橢圓曲線離散對數，所以也就能夠破譯256位的橢圓曲線密碼，這可能威脅到我國第2代身份證的安全．利用2 048 qbit的計算機能夠分解1 024位的整數，所以也就能夠破譯l 024位的RSA密碼，這就可能威脅到咱們電子商務的安全
    • Shor算法的攻擊能力還在進一步擴展，已從求廣義解離散傅里葉變換問題擴展到求解隱藏子羣問題(HSP)，凡是能歸結爲HSP的公鑰密碼將再也不安全．因此，一旦量子計算機可以走向實用，如今普遍應用的許多公鑰密碼將再也不安全，量子計算機對咱們的密碼提出了嚴重的挑戰．

抗量子計算密碼的發展示狀

• 二、抗量子計算密碼(Resistant Quantum ComputingCryptography)主要包括如下3類
  • 第1類，量子密碼；
    • 量子保密的安全性創建在量子態的測不許與不可克隆屬性之上，而不是基於計算的困難．
  • 第2類，DNA密碼；
    • DNA密碼的安全性創建在一些生物困難問題之上，也不是基於計算的困難問題．所以，它們都是抗量子計算的．因爲技術的複雜性，目前量子密碼和DNA密碼尚不成熟．
  • 第3類，基於量子計算不擅長計算的那些數學問題所構建的密碼．
    • 基於量子計算機不擅長計算的那些數學問題構建密碼，就能夠抵禦量子計算機的攻擊。全部量子計算機不能攻破的密碼都是抗量子計算的密碼。
• 三、國際上關於抗量子計算密碼的研究主要集中在如下4個方面
  • 3.一、基於HASH函數的數字簽名
    • 1989年Merkle提出了認證樹簽名方案(MSS) Merkle簽名樹方案的安全性僅僅依賴於Hash數的安全性．目前量子計算機尚未對通常Hash函數的有效攻擊方法，所以Merkle簽名方案具備抗量子計算性質．
    • 雖然基於Hash函數的數字簽名方案已經開始應用，可是還有許多問題須要深刻研究．如增長簽名的次數、減少簽名和密鑰的尺寸、優化認證樹的遍歷方案以及如何實現加密和基於身份的認證等功能，均值得進一步研究
  • 3.二、基於糾錯碼的公鑰密碼
    • 基於糾錯碼的公鑰密碼基本思想是：把糾錯的方法做爲私鑰，加密時對明文進行糾錯編碼，並主動加入必定數量的錯誤，解密時運用私鑰糾正錯誤，恢復出明文．1978年Berlekamp等證實了通常線性碼的譯碼問題是NPG問題。如何用糾錯碼構造一個既能加密又簽名的密碼，是一個至關困難但卻很是有價值的開放課題
  • 3.三、基於格的公鑰密碼
    • 格上的一些難解問題已被證實是NP難的，如最短向量問題(svP)、最近向量問題(CVP)等．基於格問題創建公鑰密碼方案具備以下優點：
      • ①因爲格上的一些困難性問題還未發現量子多項式破譯算法，所以咱們認爲基於格上困難問題的密碼具備抗量子計算的性質．
      • ②格上的運算大多爲線性運算，較RSA等數論密碼實現效率高，特別適合智能卡等計算能力有限的設備．
      • ③根據計算複雜性理論，問題類的複雜性是指該問題類在最壞狀況下的複雜度．進一步研究格上的困難問題，基於格的困難問題設計構造既能安全加密又能安全簽名的密碼，都是值得研究的重要問題
  • 3.四、MQ公鑰密碼
    • MQ公鑰密碼體制，即多變量二次多項式公鑰密碼體制(Multivariate Quadratic Polynomials Public Key Cryptosystems)．如下簡稱爲MQ密碼．它最先出現於上世紀80年代，因爲早期的一些MQ密碼均被破譯，加之經典公鑰密碼如RSA算法的普遍應用，使得MQ公鑰算法一度遭受冷落．但近lO年來MQ密碼的研究從新受到重視，成爲密碼學界的研究熱點之一．其主要有3個緣由：
      • 一，量子計算對經典公鑰密碼的挑戰；
      • 二，MQ密碼孕育了代數攻擊的出現，許多密碼(如AES)的安全性都可轉化爲MQ問題，人們試圖借鑑MQ密碼的攻擊方法來分析這些密碼，反過來代數攻擊的興起又帶動了MQ密碼的蓬勃發展；
      • 三，MQ密碼的實現效率比經典公鑰密碼快得多．在目前已經構造出的MQ密碼中，有一些很是適用於智能卡、RFID、移動電話、無線傳感器網絡等計算能力有限的設備，這是RSA等經典公鑰密碼所不具有的優點
    • 目前尚未一種公認安全的MQ公鑰密碼體制．目前MQ公鑰密碼的主要缺點是：只能簽名，不能安全加密(加密時安全性下降)，公鑰大小較長，很難設計出既安全又高效的MQ公鑰密碼體制。
• 四、小結
  • 不管是量子密碼、DNA密碼，仍是基於量子計算不擅長計算的那些數學問題所構建的密碼，都還存在許多不完善之處，都還須要深刻研究．量子保密通訊比較成熟的是，利用量子器件產生隨機數做爲密鑰，再利用量子通訊分配密鑰，最後按「一次一密」方式加密．在這裏，量子的做用主要是密鑰產生和密鑰分配，而加密仍是採用的傳統密碼．所以，嚴格說這隻能叫量子保密，尚不能叫量子密碼．另外，目前的量子數字簽名和認證方面還存在一些困難。對於DNA密碼，目前雖然已經提出了DNA傳統密碼和DNA公鑰密碼的概念和方案，可是理論和技術都還不成熟一。對於基於量子計算不擅長計算的那些數學問題所構建的密碼，現有的密碼方案也有許多不足．如，Merkle樹簽名能夠簽名，不能加密；基於糾錯碼的密碼能夠加密，簽名不理想；NTRU密碼能夠加密，簽名不理想；MQ密碼能夠簽名，加密不理想．這說明目前尚沒有造成的理想的密碼體制．並且這些密碼的安全性還缺乏嚴格的理論分析。總之，目前還沒有造成理想的抗量子密碼．

參考文獻：

• 一、從量子計算到量子安全：什麼是「抗量子密碼」
  http://www.sohu.com/a/120471605_468720
• 二、量子十問之六：量子密碼就是量子通訊嗎？
  http://www.sohu.com/a/126986032_466840
• 三、《獨家揭祕：量子通訊如何作到「絕對安全」？》
• 四、《量子密碼學》 曾貴華 信息安全國家重點實驗室
• 五、後量子密碼專欄 鬱昱 上海交通大學
• 六、量子密碼技術及將來應用前景 潘峯
• 七、量子密碼實際安全性與應用研究 劉東 中國科學技術大學
• 八、全球量子密碼專利分析 戰略支援部隊信息工程大學
• 九、量子糾纏和量子計算 錢辰 南京大學計算機軟件新技術國家重點實驗室
• 十、量子計算的挑戰與思考 張煥國 武漢大學
• 十一、量子計算 夏培肅 中國科學院計算技術研究所
• 十二、淺談量子計算與後量子密碼 鬱昱 上海交通大學

**