量子保密通信慢不是问题,安全就行 | 袁岚峰
https://www.ixigua.com/7250361542649381431
本视频2023年6月30日发布于B站,观看量为11.4万
你家的网速是多少?现在千兆网线很常见,考虑到效率损失后家里网速达到几百兆很正常。例如我家刚才测了一下,从路由器到互联网的网速是349兆每秒。
那么现在如果有人跟你说,给你提供一项高新技术,但网速下降到只有一百兆出头,你干不干?你肯定会觉得很可笑,不会同意。但假如他再补充一点,这项高新技术可以让你的通信完全安全,再也没有泄密之忧,你干不干?
这项高新技术,就是量子保密通信,或者称为量子密码(quantum cryptography)、量子密钥分发(quantum key distribution,简称QKD)。它最大的特点,就是能够实现“无条件安全”(unconditional security),即敌人即使有无限的计算能力,也无法破解你的密码,这是能够想象的最高程度的安全。而目前常用的保密方法都是“有条件安全”(conditional security),即敌人的计算能力如果够强,就可以破解你的密码。因此,量子密码在本质上就比传统的保密方法安全得多,设想中的量子互联网也被称为“不可破解的网络”(人民日报发表袁岚峰文章:量子互联网的未来)。
然而如果你问我,量子密码有什么缺点,我就会老老实实地告诉你:太慢了。例如2021年1月有一个大新闻,中国科学技术大学宣布建成天地一体化量子通信网络(跨越4600公里,中国量子通信全球领先,欧美多久才能追上?| 袁岚峰)。这指的是天上的“墨子号”卫星和地上的“京沪干线”,前者实现了天地之间的量子保密通信,后者实现了从北京到上海2000公里距离上的量子保密通信,两者组合起来实现了天地一体化的量子通信网络。
然而京沪干线的传输速率是多少呢?论文表1里给出了数据:最低28.1 kbps,最高235.4 kbps,平均值只有79.3 kbps!这个单位甚至不是M,而是k!也就是说,一秒连一兆都不到。
几十k的传输速率,一下子让我们梦回九十年代,刚开始上网的时候。那时典型的上网设备叫做“猫”,即MODEM(调制解调器),典型速率就是几k、几十k。用这种龟速看看文字还行,但是传个图片就要等老半天了,听个音乐都费劲,看电影就更不用提了。这种网速还会让经历者回忆起一些上古文化,如校园BBS和网络小说《第一次亲密接触》……
为什么量子保密通信会如此之慢?因为实际上它是一种利用量子力学操作产生密钥的方法,量子力学的奇妙之处在于能够让通信双方直接共享一段相同的随机字符串作为密钥,不需要第三者的信使。这就是为什么如前面所说,它有个技术性名称叫做量子密钥分发(quantum key distribution,简称QKD)。但产生密钥之后,要达到无条件安全,就必须“一次一密”地来用,即一段密钥只能用一次。这还没完,密钥的长度还要和待传输的明文信息一样长。也就是说,如果你要无条件安全地传输一本《红楼梦》,那么你产生的密钥就需要跟《红楼梦》一样长!
《红楼梦》电视剧
而且一次一密意味着,这么长的密钥还只能用一次。下次你如果又要传一本《水浒传》,那么你不能把刚才的密钥拿来再用,你必须再产生一段跟《水浒传》一样长的密钥。
《水浒传》电视剧
至于密钥产生了以后怎么传加密的密文,那倒是非常简单的:用任何常规的通信方式都可以,因为这样加密的密文已经是不可破解的了。因此,量子保密通信分为两步,第一步是密钥的产生,这一步是慢的,第二步是密文的传输,这一步是快的。这就决定了,量子保密通信的信息传输速度取决于第一步即密钥产生的速度,术语叫做成码率(secret key rate,简称SKR)。实际上,前面论文里那个表列出的就是成码率。
下面重点来了:量子密码的成码率天然地就比较低,因为它在产生密钥时,一次只能发一个光子。是的,这是跟常规通信的一个根本区别。常规的通信可以发很强的一束光,里边包含很多个光子,但量子密钥的产生过程一次只能发一个光子。
为什么呢?如果你只发一个光子,敌人就无法从中偷到信息,因为他不可能偷走半个光子。光子就像电子一样,只能有零个、一个、两个、三个,不可能有半个。而假如一次发多个光子,敌人就有可能通过偷走其中的一个来窃密了,这叫做“光子数分离攻击”(photon number splitting attack)(量子加密惊现破绽?请媒体提高知识水平,不要乱搞大新闻 | 袁岚峰)。所以一次发一个光子正是量子密码的一大技术关键,完全封住了光子数分离攻击。然而这也就决定了,它的成码率会比较低。毕竟,一次传一个光子怎么可能赶得上一次传多个光子呢!
光子数分离攻击
因此,量子密码在实用过程中最显而易见的瓶颈就是成码率。毕竟如果跟你说,现在我能让你的通信绝对保密,但速率只有几十k,大多数人恐怕都不会接受,——除非你的信息是真正的绝密,要不惜一切代价保护的那种。
在我做量子信息科普的这些年中,我见过许多对量子信息的攻击,各种角度的都有。其中比较有技术含量的一种就是:量子保密通信的成码率太低,所以没用。例如大家搜一下“成码率”这个词,立刻就能见到类似这样的文章《量子通信技术困境之一:极低的成码率》(http://www.yiguangdian.cn/article/15)。来给大家摘引几句:
“在现代化高速、实时、多媒体互动通信的舞台上,蜗牛般低速的成码率使得量子通信没有任何立足之地。……QKD极低的成码率是被物理原理所决定的,靠工程技术很难发生实质性的改变。……在现代高速率、低延迟通信时代,超低成码率的量子密钥分发技术没有任何切入口,是不可能有应用前景的。”
这样的文章往往充满各种术语,让外行产生一种不明觉厉的感觉。于是乎,许多人就认定,量子保密通信是骗局,搞这些的潘建伟等人是骗子。
真的是这样吗?下面来给大家看一条新闻:依托中国科学技术大学组建的中科院量子信息与量子科技创新研究院潘建伟、徐飞虎等与上海微系统所、济南量子技术研究院、哈尔滨工业大学等单位的科研人员合作,首次在国际上实现百兆比特率的实时量子密钥分发,将此前的成码率纪录提升一个数量级(中科院量子信息与量子科技创新研究院实现百兆比特率量子密钥分发量子科话 | 量子科话)。该成果于2023年3月14日在线发表于《自然·光子学》(https://www.nature.com/articles/s41566-023-01166-4)。
《超越110兆每秒的高速率量子密钥分发》
这里说的百兆比特率具体是多少呢?是10公里标准光纤信道下115.8 Mbps。现在如果有人跟你说,能让你的通信绝对保密,速率有一百多兆,愿意接受的人是不是就多得多了呢?
为什么会出现这样峰回路转的发展?前面那种认为量子密码没用的文章错在什么地方?错在用静止的眼光看问题。
前面的引文里有一句:“QKD极低的成码率是被物理原理所决定的,靠工程技术很难发生实质性的改变。”实际上,物理原理只能决定量子保密通信的传输速率比常规通信低,但并不能决定它的上限。近年来的实践是,量子密码的成码率在快速增加。
例如,前面说的京沪干线79.3 kbps看起来很低,但你猜它的设计指标是多少?是8 kbps!从8到80,实际上它已经超出预期十倍了!
又如最新的百兆级新闻里有一句,将此前的成码率纪录提升一个数量级。这说的就是,以前的最高纪录是10兆的量级,2018年实现的,现在提升到了百兆级。这些都反映了技术进步的速度。
如果你非常有好奇心,你也许会问,百兆级成码率是如何实现的?答案可想而知,需要很多方面的进步。例如在发送端,发展了集成光子片上高速高保真度偏振态调制技术;在接收端,发展了高效率、低噪声、高计数率的超导纳米线单光子探测器。
这个超导纳米线单光子探测器特别值得提一下,它是目前最好的单光子探测器,在量子通信之外的领域也有很多应用。尤其有趣的是,它是中国生产的,不是进口的哦(超导单光子探测器为高速量子通信带来新突破 | 量子科话)。具体而言,是中国科学院上海微系统与信息技术研究所尤立星团队(2400万元的超导纳米线探测器,居然是国产的 | 科技袁人)。
更加有趣的是,尤立星老师自己最初都认为这是不可能的(https://www.cas.cn/zkyzs/2021/09/315/cmsm/202109/t20210914_4805673.shtml)!在参与“九章”光量子计算原型机研制之前,他的单光子探测器效率一直徘徊在10%左右。刚接到“九章”提出的“探测效率要达到80%”的目标时,他认为是“不可能的任务”,“没想到经过几年的‘倒逼’,竟然真的达标了,而且还发现了更多改进空间”。
《协同创新“联合舰队”打造最核心量子科研基地》(《文汇报》 2021年9月9日 第9版)
这个故事给我们一个更大的图景,就是基础研究对工程应用的拉动。例如中国高能物理学界在为江门中微子实验做准备的时候,把中国的光电倍增管水平提高了一大截(想参与大型对撞机之争?先搞清基本背景 | 袁岚峰)。又如中国在为国际热核聚变实验堆(ITER)提供超导线的过程中极大地提高了水平,从一年几公斤做到了几百吨,变成了全世界的领导者(超导材料从发现到大规模应用有多远?【无尽的前沿——“刺激”的室温超导】|科技袁人)。因此,以一时的技术指标不足就认为一个领域是骗局,这属于一种典型的思维谬误,客气地说就是刻舟求剑。
这还启发我们,对像量子密码这样的颠覆性科技,应该首先认识到它在质的层面的突破,认识到这是它的根本价值。如果有人说,它在量的层面有多少多少不足,所以它没用,你应该想到,那些是可以改进的。正如火车刚出来时没有马车跑得快,但有远见的人都能看出火车的前景比马车强得多。类似的道理不仅适用于量子密码,也适用于核聚变、量子计算、太空探索等很多领域。对这些领域也有人说它们是骗局,其实都是同样的思维谬误。
如果你能分清质和量,你就不会被那种充满术语的民科文章误导,你的思维层次就超过了99%的人。正如比尔·盖茨的名言:“人们总是高估未来两年的变化,低估未来十年的变化。”又如科幻大师克拉克的名言:“如果一位年高德劭的科学家说,某件事情是可能的,那他很可能是正确的;但如果他说,某件事情是不可能的,那他很可能是错误的。”
最后说一件有趣的事,即使京沪干线的平均速率只有79.3 kbps,它却已经能支持很多应用,包括量子保密通信手机、人民币跨境收付信息管理系统、电力业务数据量子加密传输等。这是为什么呢?因为只要合理规划,绝密数据的量其实可以很小。例如军用命令体系里一个数字可能就足以代表一系列的战术操作,这些战术方案都是早就制定好的。更进一步,有些应用并不需要实时生成密钥,这时低成码率就完全不是问题了,在不用的时候产生密钥积累起来,要用的时候随时取用,不就行了吗?关于这些具体应用,可以见我的科普书《量子信息简话》。
■ 扩展阅读
跨越4600公里,中国量子通信全球领先,欧美多久才能追上?| 袁岚峰
量子加密惊现破绽?请媒体提高知识水平,不要乱搞大新闻 | 袁岚峰
中科院量子信息与量子科技创新研究院实现百兆比特率量子密钥分发量子科话 | 量子科话
■ 作者简介
风云之声
科学 · 爱国 · 价值
微信扫码关注该文公众号作者