撰文 |
|
(1。
低維量子物理國家重點實驗室、清華大學物理系;
2。
教育部量子資訊前沿中心;
3。
北京資訊科學與技術國家研究中心;
4。
北京量子資訊科學研究院)
|
本文選自《現代物理知識》2021年第2期
龍桂魯
主要包括
。
|
|
量子保密通訊
量子金鑰分發和量子直接通訊
Bennett
和
,實際上是密碼學中的金鑰協商,
Alice
和
Bob
雙方傳輸隨機數,在確定其安全後,將傳輸的隨機數升級為金鑰,用於經典保密通訊。密碼學中的金鑰分發是把事先確定好的金鑰傳送給指定的接收方。不過由於歷史原因,大家一直這麼稱呼。由於稱呼的不同,有時候會引起密碼學家對量子金鑰分發的誤解。
Brassard
在
簡稱量子直通,在量子通道直接安全地傳輸資訊,
1984
年提出的量子金鑰分發
量子直接通訊
這是資訊理論意義上的通訊,它直接傳輸有意義的資訊,也可以傳輸事先確定的金鑰。
,
指的是用於攜載訊號的量子態以及傳輸它們的介質,如用單光子極化量子態在光纖中傳輸,就給出了一個量子通道。經典通訊本身不考慮安全性,考慮的是如何把資訊可靠的傳輸到目的地。著名的夏農理論保證了資訊的可靠傳輸,即在通道容量大於零時,總可以找到一個編碼,以小於或者等於通道容量的速率可靠的通訊。量子直通是在有噪聲和竊聽的通道下,既可靠又安全地通訊。
有一個說法是
是清華大學學者在
這種說法最早從什麼地方提出不得而知,但是影響最大的可能是著名法國通訊專家
Emmanuel Desurvire
教授。他是摻鉺放大器的發明者,獲得包括富蘭克林工程獎章、
IEEE Tyndall
獎等國際大獎。在他的《
Classical and Quantum Information Theory
》的最後一章,專門講了這一攻擊手段。大致的方法是這樣:假如
Alice
和
Bob
是合法通訊雙方,
Eve
是竊聽者。
Eve
假裝是
Bob
和
Alice
進行量子金鑰分發,同時假裝是
Alice
來和
Bob
進行量子金鑰分發,這樣
Eve
就可以獲得雙方所有的金鑰和通訊而不被發現,而且這也不違背量子力學的原理。
為了後面的敘述,我們先介紹
2000
。公開密碼體系是一種經典加密和解密方法。例如,在
RSA
公開密碼體系中,每個使用者有三個引數,一個大數
N
,公鑰
E
,私鑰
D
,其中
N
和公鑰
E
都是公開的,
D
是私鑰,不公開。
Alice
有(
Na
,
Ea
,
Da
),
Bob
有(
Nb
,
Eb
,
Db
),竊聽者
Eve
是其中的一個使用者,有(
Ne
,
Ee
,
De
)。如果
Bob
要給
Alice
發一封加密信,內容是
x
,則
Bob
用
Alice
的(
Na
,
Ea
)加密,即
x^Ea=C
,
C
即是加密後的密文,
Alice
收到
C
後,利用私鑰
Da
解密得到原文,
C^Da=x
。在現在的網路裡,一般用公開密碼體系,如
RSA
,
SM2
加密小量的金鑰;用對稱密碼,如
AES
,
SM1
,
SM4
來加密大量的資訊。
年提出的。
。這裡面有兩個認證,一個是
量子通道
,即證明
Alice
就是使用公鑰
Ea
的人;第二個是
量子保密通訊無法抵禦中間人攻擊,即竊聽者在通訊線路的中間假裝是通訊的合法使用者,來套取通訊雙方的內容。
,即證明資訊確實是擁有公鑰
Ea
的人發出的。如果
Alice
和
Bob
已經完成身份認證和網路認證,
Eve
就無法對他們的量子通訊進行中間人攻擊。中間人攻擊這一問題在經典通訊也是存在的。網路認證問題可以用西遊記中的真假孫悟空例子來說明。在西遊記的五十七回,六耳獼猴冒充孫悟空,兩個長得一模一樣的齊天大聖站在唐僧和師弟們面前,他們都分不出來哪個是真的。
現在經典密碼學中普遍採用的認證方法,是利用
公開密碼體系
。公開密碼體系
RSA
也可以做認證。假如
Bob
有一筆很大的款項要發給
Alice
,他要確認
Alice
是不是真的
Alice
。作為身份認證,
Alice
可用私鑰加密一個認證資訊
A
,
y=A^Da
,把
y
傳送給
Bob
以證明她就是擁有公鑰
Ea
的使用者。
Bob
收到
y
後,利用公鑰
Ea
解密
y
得到
A
,
y^Ea=A
。這一步確認了這個資訊
y
是發自公鑰為
Ea
的使用者。但是這並不能證明這個有公鑰
Ea
的使用者就是
Alice
。如果另一個使用者
Eve
假裝是
Alice
,用她自己的私鑰
De
加密
A
,得到
A^De=y‘
,並將
y’
傳送給
Bob
,
Bob
用
Eve
的公鑰
Ee
解密
y‘
,也可以得到
A
,這樣
Bob
就無法判斷哪個是真正的
Alice
。就像孫悟空、六耳獼猴長得一模一樣、都有金箍棒,唐僧無法判斷一樣。在經典網路中,這一問題是靠一個大家都信任的超級網路管理者來解決的。
網路超級管理者用自己的私鑰
Dsuper
加密一個證書,上面寫著證明
Alice
的公鑰為
Ea
,大數為
Na
。他也給
Bob
做一個證書,證明
Bob
的公鑰為
Eb
,大數為
Nb
。這樣,任何人都可以使用超級管理者的公鑰
Esuper
來解密這個證書,讀出證書的內容,認可
Ea
的擁有者就是
Alice
。
Eve
得不到這樣的證書,就無法假裝成
Alice
了。在西遊記中,這個超級網路管理者就是如來佛。網路管理者需要做的認證書的個數,就是網路中的使用者數目,每個使用者只需要有一個大數
N
和一個公鑰
E
即可。
在量子保密通訊中,尚沒有量子版本的非對稱密碼體系。身份認證和網路認證可透過讓
Alice
和
Bob
事先共享一組金鑰
K
來解決。由於
Alice
和
Bob
事先見過,他們能夠肯定掌握這組密碼的人就是
Alice
和
Bob
,這樣解決了網路認證的問題,即擁有這組密碼的人就是
Alice
和
Bob
。
Alice
和
Bob
有這組金鑰,而
Eve
沒有,這樣
Bob
讓
Alice
發來共享的金鑰
K
,就可證明發資訊的人是
Alice
。當然
Alice
傳送的時候,一定要保密,不然的話,
Eve
得到了這個共享金鑰,就可以假裝成
Alice
,使得
Bob
無法判斷真假。在西遊記中就有生動的例子,本來唐僧或者觀音菩薩可以採用念緊箍咒,看是否頭疼的方法來判斷,只有真的孫悟空才會頭疼。如果他用這個方法分別地來測試,就可以判斷真假。但是他把兩個猴子叫到一起,這時候六耳獼猴就偷偷地學孫悟空裝疼,躲過了甄別。
採用共享金鑰的方法進行認證,比用公開金鑰生成證書的方法要複雜。任何兩個使用者都需要共享一組金鑰,這樣,整個網路裡需要共享的金鑰數量就是
N
(
N-1
)
/2
,也就是
N
的平方量級,
N
是網路的使用者數量。對於一個擁有
5
萬用戶的網路,採用公開密碼方法生成證書的方法認證,只需要發放
5
萬個證書,而採用互相共享金鑰的方法,則需要共享的
25
億組金鑰,大大增加了複雜度。
如果
Alice
和
Bob
事先沒有共享金鑰
K
,他們可以透過都信任的第三方
Charlie
來完成。
Charlie
可以分別和
Alice
和
Bob
進行保密通訊,例如可以採用量子金鑰分發
+
一次一密經典加密通訊,或者量子直接通訊,讓
Alice
和
Bob
共享金鑰,以便他們完成認證。這樣
Charlie
要首先和每個使用者都建立一組金鑰,任何其他兩個使用者想進行認證,都需要
Charlie
來幫助他們,共享一組金鑰。其數量和事先見面共享金鑰的數量一樣,也是平方的複雜度。
總之,量子保密通訊中,
中間人攻擊的實質就是認證問題
。並不像
Emmanuel Desurvire
教授書中說的那樣沒有解決。經典認證和量子認證各有自己的優缺點。基於
RSA
等公開密碼體系的身份認證體系在複雜度上更有優勢,適合在大型網路中使用。但是由於經典密碼演算法的絕對安全性沒有得到證明,即使現在發展的後量子密碼演算法,也無法證明其絕對安全性,就像
NIST
負責後量子密碼的首席科學家
Dustin Moody
所說,因為擔心未來有人破解,所選擇的候選後量子密碼演算法選擇了多種途徑。而採用量子通訊來建立的網路認證和身份認證,其安全性在原理上已經得到了證明,其缺點是複雜度高,不利於在大型網路中使用。因而在實際應用中,可以根據其不同的使用場景,選擇相應的認證方法。
本文經授權轉載自微信公眾號“現在物理知識雜誌”,
YWA摘編
。
網路認證
1。 進入
『返樸』微信公眾號底部選單“精品專欄“,可查閱不同主題系列科普文章。
2。 『返樸』提供按月檢索文章功能。關注公眾號,回覆四位陣列成的年份+月份,如“1903”,可獲取2019年3月的文章索引,以此類推。