量子隨機(jī)數(shù)發(fā)生器或?qū)⑹蔷W(wǎng)絡(luò)安全的未來

1882年，加州薩克拉門托的銀行家弗蘭克?米勒（Frank Miller）開發(fā)出一種牢不可的加密方法。140年過去了，密碼學(xué)家依然沒有提出更好的加密方法。

美國內(nèi)戰(zhàn)期間，米勒作為軍事偵查員學(xué)習(xí)過密碼學(xué)。后來，他開始對電報學(xué)感興趣，特別想預(yù)防電信欺詐，當(dāng)時這個問題使很多銀行家感到沮喪。與他同時代的法國大西洋電報公司秘書羅伯特?斯萊特（Robert Slater）在1870年出版的《電報密碼，確保電報發(fā)送的私密性》（Telegraphic Code, to Ensure Secresy [sic] in the Transmission of Telegrams）一書中寫道：“不誠實(shí)的電報員要實(shí)施巨額欺詐犯罪易如反掌。”

米勒在1882年出版了一本關(guān)于電報密碼的書，提出了一種加密方法：按照隨機(jī)數(shù)移動報文中每個字母的位置，形成一串亂碼，實(shí)現(xiàn)對報文的加密。例如，要對單詞HELP進(jìn)行加密編碼，你可以將H移動5個位置，于是它變?yōu)镸，將E移動3個位置使之變?yōu)镠，將L移動2個位置使之變?yōu)镹，將P移動4個位置使之變?yōu)門。即使是一名愛管閑事的電報員也不知道如何生成MHNT，除非他也有5-3-2-4的隨機(jī)數(shù)列表。為實(shí)現(xiàn)真正牢不可破的加密，每個隨機(jī)數(shù)字串只對一條報文進(jìn)行加密編碼，隨后即被棄用。

在米勒的書出版大約35年后，貝爾實(shí)驗室的工程師吉爾伯特?S?弗納姆（Gilbert S. Vernam）和美軍上尉約瑟夫?莫博涅（Joseph Mauborgne）提出了本質(zhì)相同的想法，他們稱之為一次性密鑰。此后，密碼學(xué)家一直嘗試設(shè)計出一種方法，來生成并分配該技術(shù)所需的獨(dú)特而真正隨機(jī)的數(shù)字。但事實(shí)表明，這非常困難。

于是我們轉(zhuǎn)而使用安全性低的加密方法，其后果是，只要攻擊者具有足夠的耐心和知識，就可以破解他們想要的任何加密數(shù)據(jù)。和米勒所在的電報時代相比，今天我們有著更多的聯(lián)通方法，如物聯(lián)網(wǎng)設(shè)備、可穿戴技術(shù)和區(qū)塊鏈相關(guān)服務(wù)等，它們都需要強(qiáng)大的加密技術(shù)。根據(jù)網(wǎng)絡(luò)信任聯(lián)盟（Online Trust Alliance）2017年的《網(wǎng)絡(luò)安全和泄密趨勢報告》（Cyber Incident & Breach Trends Report），去年有超過15萬家企業(yè)與政府機(jī)構(gòu)成為網(wǎng)絡(luò)犯罪的受害者。僅在對消費(fèi)者信用報告公司Equifax的一例攻擊中，黑客就刪除了將近1.48億名消費(fèi)者的個人信息。報告總結(jié)道：“毫不奇怪，2017年是全球個人數(shù)據(jù)泄露與網(wǎng)絡(luò)安全事件的又一個‘史上最差年份’?！?/p>

幸運(yùn)的是，近年來研究者們在生成并分配真隨機(jī)數(shù)的技術(shù)開發(fā)方面取得了良好的進(jìn)展。通過測量亞原子粒子的不可預(yù)知屬性，這些設(shè)備能夠利用量子力學(xué)原理對消息進(jìn)行加密。這意味著我們終于距離解決密碼學(xué)的其中一大謎題更近一步，并有望實(shí)現(xiàn)多年前米勒所設(shè)想的不可破譯的加密技術(shù)。

密碼員都知道，防破解的加密方法有3個構(gòu)成要素：首先，你需要一種算法將報文轉(zhuǎn)換為一串無意義的字符串；第二，你需要一種產(chǎn)生隨機(jī)數(shù)的方法；最后，你需要將前兩項要素在他人無法訪問的情況下交付給預(yù)定接收者。

單獨(dú)使用第一種要素，無論算法多么優(yōu)秀，都無法保護(hù)報文。加密報文將完全暴露給知道加密報文算法的人。這就是為什么我們將算法與隨機(jī)數(shù)相結(jié)合。盡管其算法相對簡單，但增加隨機(jī)數(shù)的一次性密鑰是不可破譯的。要想恢復(fù)原始報文，你需要知道算法對報文加密所用的特定隨機(jī)數(shù)序列。這些隨機(jī)數(shù)就是密鑰，它可解密這段報文的內(nèi)容，但無法解密其他報文，就像你的房子鑰匙可以開啟你的門，但無法打開你鄰居的門。因此，你的密鑰越不可預(yù)測，你的加密系統(tǒng)就越強(qiáng)大。

可惜的是，大多隨機(jī)數(shù)的來源都不是真正隨機(jī)的。這些偽隨機(jī)數(shù)發(fā)生器使用算法產(chǎn)生貌似隨機(jī)的數(shù)字序列。但是，如果你知道底層算法，它們就變得完全可預(yù)測了。

我們也可以通過測量物理過程產(chǎn)生隨機(jī)數(shù)，比如測量拋出硬幣的結(jié)果或無線電通信對電流的干擾。但問題是如果這個過程受到經(jīng)典物理定律的約束，那么測量結(jié)果就可以預(yù)測。當(dāng)然，對被測量的內(nèi)容進(jìn)行反向工程可能需要費(fèi)一番周折，但密碼員必須假定，最終會有人找到一種破解辦法。

很多物理隨機(jī)數(shù)的產(chǎn)生很緩慢。一種常用的方法是記錄鼠標(biāo)在計算機(jī)屏幕上的點(diǎn)擊或移動的坐標(biāo)。KeePass是一個開源的密碼管理器，利用鼠標(biāo)的晃動生成主密碼?？梢栽囅胍幌?，為了加密所發(fā)送的每一封電子郵件，你需要多少次隨機(jī)點(diǎn)擊或晃動鼠標(biāo)。

我們需要一種能快速產(chǎn)生真隨機(jī)數(shù)的來源，并且任何設(shè)備都可以使用。這就是量子力學(xué)發(fā)揮作用的時候了。

因其自身性質(zhì)，電子和光子這類亞原子的行為方式是無法預(yù)測的。觀察一個原子在相同條件下的不同時間發(fā)射的兩個光子，可以發(fā)現(xiàn)，它們呈現(xiàn)出不同的行為，并且這些行為是無從提前預(yù)測的。這并不是說任何行為都是可能的，而是說在任何可能的結(jié)果中，我們無法預(yù)知將會得到哪一個。這種不可預(yù)測性對于開發(fā)隨機(jī)數(shù)發(fā)生器而言至關(guān)重要。

20世紀(jì)90年代，英國國防部的一個團(tuán)隊首次提出將量子力學(xué)用于隨機(jī)數(shù)生成。今天，你可以從QuintessenceLabs和ID Quantique等公司購買商業(yè)量子隨機(jī)數(shù)發(fā)生器。QuintessenceLabs的發(fā)生器基于量子隧道效應(yīng)——亞原子粒子不自主地穿過那些經(jīng)典物理學(xué)認(rèn)為無法翻越的屏障。ID Quantique發(fā)生器則追蹤單個光子碰撞檢測器的分布。

所有這些商用發(fā)生器都被限定于特殊應(yīng)用，例如對機(jī)密軍事數(shù)據(jù)或金融交易進(jìn)行加密。而對于大眾市場應(yīng)用來說，它們過于龐大，運(yùn)行緩慢，成本又高。大眾市場需要的是微型量子隨機(jī)數(shù)發(fā)生器，它們可以安裝在手機(jī)、筆記本電腦或任何需要安全通信的設(shè)備上。過去8年來，我們集團(tuán)位于巴塞羅那的光子科學(xué)研究所（ICFO）一直致力于創(chuàng)建價廉物美、結(jié)構(gòu)緊湊且運(yùn)行快速的量子系統(tǒng)。

最有希望的一種方法基于一種半導(dǎo)體激光器，稱為分布式反饋激光二極管。我們首先讓激光二極管在其閾值上下振蕩——閾值就是光子受激發(fā)射時的能級。我們激光二極管的閾值約為10毫安。激光二極管超過其閾值時，會發(fā)射出隨機(jī)相位的光子，也就是說光子處于波長的一個不可預(yù)知的點(diǎn)上。這些隨機(jī)相位也就是生成密鑰隨機(jī)數(shù)的基礎(chǔ)。

我們還打造成了幾種設(shè)備，這些設(shè)備有助于確認(rèn)量子力學(xué)中的“幽靈遠(yuǎn)程效應(yīng)”，即無論相距多遠(yuǎn)，相互糾纏的粒子都可以在瞬間相互作用。具體地說，我們的設(shè)備可提供一種獨(dú)立觀察方法，來驗證這種幽靈效應(yīng)是否發(fā)生，這對證實(shí)真實(shí)發(fā)生相互作用的瞬間是非常重要的。我們使用光纖來構(gòu)建這些設(shè)備，每臺設(shè)備差不多有鞋盒大小?，F(xiàn)在，我們利用標(biāo)準(zhǔn)芯片制造技術(shù)，將我們的量子隨機(jī)數(shù)發(fā)生器的組件集成到不足2毫米×5毫米的磷化銦芯片上，該芯片可以直接安裝在手機(jī)或物聯(lián)網(wǎng)傳感器上。

Quside科技公司于去年成立，是我們研究所的分拆公司，現(xiàn)正利用我們的技術(shù)將組件商業(yè)化。（本文作者Abellán即Quaide目前的首席執(zhí)行官。）Quside公司的最新一代量子源每秒能夠產(chǎn)生數(shù)千兆比特的隨機(jī)數(shù)，對于當(dāng)前或新興的任何加密需求，一個量子源就已足夠。并且由于這些量子源采用標(biāo)準(zhǔn)芯片制造技術(shù)，應(yīng)該很容易進(jìn)行大規(guī)模量產(chǎn)。

此外，我們的芯片不受附近電子的干擾。一般來說，任何電子設(shè)備都會受到熱干擾或電子干擾。舉例來說，白噪聲會對無線電信號的接收造成干擾。如此微小的量子源尤其容易受到影響。在大多數(shù)情況下，設(shè)計者需要特別注意消除那些可能會破壞量子過程中純粹而固有的隨機(jī)性的影響。我們的解決方案巧妙而簡單地避開了這個問題，因為光子的相位在很大程度上不受臨近電流的影響。

另一種良好隨機(jī)數(shù)量子源是發(fā)光二極管。2015年，維也納科技大學(xué)的研究人員展示了首臺這樣的緊湊型隨機(jī)數(shù)發(fā)生器。它由一個發(fā)出近紅外光的硅發(fā)光二極管和一個單光子探測器組成。它產(chǎn)生的隨機(jī)數(shù)與光子到達(dá)探測器的時間相關(guān)聯(lián)。實(shí)驗室原型機(jī)能以每秒幾兆比特的速率生成隨機(jī)數(shù)。

2016年，我們位于巴塞羅那的小組展示了前文提及的芯片量子源，它使用分布式反饋激光器，每秒能夠產(chǎn)生千兆比特隨機(jī)數(shù)。還有一項額外收獲，我們制造量子源所使用的是現(xiàn)成的元件和標(biāo)準(zhǔn)的光學(xué)通信與制造技術(shù)。

同時，韓國最大的電信設(shè)備商SK電訊的研究者們展示了一種隨機(jī)數(shù)發(fā)生器芯片，這種芯片使用智能手機(jī)攝像頭，來檢測發(fā)光二極管的光強(qiáng)度的波動。該設(shè)計基于ID Quantique的專利。原型機(jī)于2016年推出，尺寸為5毫米×5毫米；后來，SK電訊宣布計劃實(shí)現(xiàn)同級別尺寸芯片的商業(yè)化計劃——它小到可以裝到智能手機(jī)里。

還有研究人員正在研究基于單光子探測陣列的量子隨機(jī)數(shù)發(fā)生器。該陣列能檢測到光源波動時的微小振動，檢測量子波動的效果比傳統(tǒng)相機(jī)還要好。

━━━━

只有加密算法與真隨機(jī)數(shù)相匹配還遠(yuǎn)遠(yuǎn)不夠。你需要一種安全的方法，將報文和密鑰一起發(fā)送給收報人。

針對密鑰的加密和解密，多年來的標(biāo)準(zhǔn)協(xié)議一直是RSA算法。它由密碼員羅恩?李維斯特（Ron Rivest）、阿迪?沙米爾（Adi Shamir）以及計算機(jī)科學(xué)家倫納德?阿德曼（Leonard Adleman）于1977年開發(fā)，依靠一種被稱為單向函數(shù)的數(shù)學(xué)技巧，即任何計算在一個方向上求解都很容易，但反向求解極其困難，李維斯特、沙米爾和阿德爾曼采用的是一個經(jīng)典的例證，即將兩個大素數(shù)相乘，通常位數(shù)可達(dá)到1024位甚至2048位。將兩個大素數(shù)相乘當(dāng)然非常容易，但將結(jié)果分解回原始素數(shù)則非常困難。

RSA和類似算法為每個網(wǎng)絡(luò)用戶提供兩個密鑰：公鑰（所有人都知道）和私鑰（只有用戶知道）。用戶使用接收人的公鑰對要發(fā)送的信息加密。然后接收人使用其私鑰對信息解密。這類算法已經(jīng)良好運(yùn)行了40余年，因為即使知道公鑰，破解私鑰也是極端困難的。

不過，這類算法并不完美。其中的一個主要問題是，要耗費(fèi)很長時間對少量的數(shù)據(jù)進(jìn)行加密和解密。出于這個原因，我們利用這些算法對密鑰進(jìn)行加密，而不是對報文進(jìn)行加密。另一個大問題是這些算法在理論上是可以破解的，只是目前數(shù)學(xué)上的突破進(jìn)展還不能實(shí)際破解RSA和類似算法，破解密碼要耗費(fèi)很長時間。即使是今天的超級計算機(jī)也無法進(jìn)行實(shí)際破解。

然而，利用20年前的巧妙算法，量子計算機(jī)利用量子疊加的特性，可大大減少所需的計算時間，輕而易舉地計算出素數(shù)因子。今天的量子計算機(jī)還沒有強(qiáng)大到可破解RSA的水平。但這只是時間問題，當(dāng)這一天到來時，我們目前的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施會完全失效。

理想情況下，在量子計算機(jī)或數(shù)學(xué)突破令我們措手不及之前，我們應(yīng)該能夠讓加密密鑰變得不可破解。一種可能性是利用被稱之為量子密鑰分配的技術(shù)。就像生成真隨機(jī)數(shù)一樣，量子密鑰分配依賴于量子力學(xué)不可預(yù)測的特性，在此情況下，為兩名用戶分配獨(dú)有的、第三方無法竊聽的密鑰。最為常見的一個方法是，將密鑰編碼為光子方向，并將該光子發(fā)給另一個人。為了實(shí)現(xiàn)百分百的安全性，我們需要將量子密鑰分配與一次性密碼相結(jié)合，對我們的報文進(jìn)行加密，這仍然需要極高速的隨機(jī)數(shù)發(fā)生器。

我們相信，這些量子隨機(jī)數(shù)發(fā)生器將能夠提供我們所需要的所有隨機(jī)數(shù)。我們還必須不斷地檢查量子源是否存在缺陷和干擾，能否產(chǎn)生真正隨機(jī)的數(shù)字。在實(shí)驗室里，我們已經(jīng)開發(fā)出一種方法，來確定量子源的真正隨機(jī)性的可信度。我們的“隨機(jī)性度量”首先確立量子源所使用的物理過程和測量精度。我們使用這些信息設(shè)定純粹來自量子過程隨機(jī)性的邊界。

現(xiàn)在，我們在開發(fā)量子隨機(jī)數(shù)發(fā)生器方面已經(jīng)走出了第一步，這種量子發(fā)生器體積小、價格低、速度快，適合廣泛的日常應(yīng)用，下一步是在計算機(jī)、智能手機(jī)和物聯(lián)網(wǎng)設(shè)備上進(jìn)行安裝和測試。我們利用真隨機(jī)數(shù)發(fā)生器，可以產(chǎn)生不可預(yù)測的加密密鑰。如果將這些密鑰與密鑰分配安全方法相結(jié)合，我們就不必再擔(dān)憂對手在計算或數(shù)學(xué)方面的技術(shù)了——面對真正的不可預(yù)測性，再強(qiáng)大的攻擊者也無能為力。在弗蘭克?米勒提出他的一次性密碼近150年之后，我們終于掌握了牢不可破的安全性。