现代密码学林喜军中国海洋大学信息安全实验室量子密码学第10章219世纪末20世纪初,物理学处于新旧交替时期。生产和技术的发展与提高导致物理学实验上一系列重大发现,使经典物理的地位愈发巩固。唯一不协调的只是物理学天空上的“两朵乌云”,然而物理学革命的序幕已悄然拉开。一朵乌云诞生下相对论,另一朵乌云则诞生下量子论,这两个理论使物理学的面貌焕然一新。4相对论狭义相对论狭义相对论光速恒定,是物质运动速度的上限高速运动时:•时间会变慢•长度会变短•质量会增加5相对论广义相对论广义相对论物质作用于空间速度变化质量变化空间变化质量越大空间弯曲越厉害量子论揭示了微观世界的基本规律,能很好地解释原子结构、化学元素的性质、光的吸收和辐射等。量子论7量子论1900年前后,微观粒子领域的研究进程1895伦琴X射线1896贝克勒尔放射性1897汤姆生电子1898卢瑟福alpha射线1899卢梅尔等热辐射能量分布曲线偏离维恩分布率1900维拉德gamma射线1901考夫曼电子质量随速度增加1902勒那德光电效应基本规律1902里查森热电子发射规律1903卢瑟福放射性元素的蜕变规律8量子论量子概念1900年普朗克•量子概念•普朗克常数能量是一份一份传递的,是不连续的,每一份就叫一个量子9量子论光子假说1905年爱因斯坦(普朗克学生)•光子假说光是一份一份传递的,是不连续的,每一份叫一个光子成功解释光电效应表明光具有波粒二象性101911年卢瑟福•原子结构模型量子论原子结构模型遇到难题:缺少理论支持(牛顿力学无法解释电子云现象)111913年玻尔(卢瑟福学生、哥本哈根学派掌门)•定态假设•跃迁假设量子论原子结构模型121924年德布罗意•物质波一切微观粒子均有波粒二象性量子论物质波131926年薛定谔•薛定谔方程(量子理论奠基石)用波动方程(波函数)描述微观粒子的运动状态量子论波函数141926年玻恩•用概率解释波函数(哥本哈根解释)电子运动只能用统计给出分布,而不能精确给出定位量子论电子云的解释15量子论量子力学1925年海森堡等矩阵力学1926年薛定谔波动力学等价161927年海森堡•不确定性原理(测不准原理)微观粒子的位置与动量不可被同时确定量子论不确定性原理17哥本哈根学派的观点:1.波函数精确描述单个体系的状态(玻恩的概率解释)2.测量仪器对粒子的干扰导致测不准关系(海森堡不确定性原理)3.在空间、时间中发生的微观过程和经典因果律不相容(牛顿力学不适用)量子论哥本哈根学派1927年第五届索尔维会议19爱因斯坦:用概率解释现象可以,但不能解释其本质任何现象必然有其基本规律(因果论)量子论还不完备玻尔:量子的本质就是概率量子理论已完备量子论爱因斯坦对哥本哈根解释的质疑21波函数的坍缩:不知道什么时候,电子云突然变成一个电子打在电子靶上。哥本哈根解释:没测量之前,粒子的状态模糊不清,同时处于各种可能的状态(叠加)。一旦测量,粒子便会随机地选择一种状态出现。但是:物理学没有一个公式能描述这种坍缩。量子论哥本哈根解释存在的问题22量子论薛定谔对哥本哈根解释的反击•电子计算机的计算能力存在瓶颈•芯片所能集成的电子元件数量有限•摩尔定律•量子效应•芯片集成密度达到纳米级,出现量子效应量子计算机传统比特:任一时刻,非0即1,确定的量子比特:利用量子作出的单一比特,就称为量子比特(QuantumBit,Qubit)量子计算机量子比特有1/2的概率为状态|0和|1,所以量子计算机可以生成令传统电子计算机头疼的真正随机数。真正的随机性量子计算机n个量子比特,可以产生2n个所有可能组合(n位二进制数)。量子计算机的处理器有n个量子比特,同一时间执行一次运算,就可以同时对所有2n个不同状态作运算。按理论估算,一个有5000个量子比特的量子计算机,用30s就可以解决因式分解问题,而传统的电子计算机需要100亿年(地球的岁数是46亿年,太阳还有50亿年!)。量子计算机量子计算机对密码学的影响Questions计算上不可行计算上可行量子计算机(超级计算)密码学在所有问题基本上都是可计算的情况下,如何构建新的密码体制•世界上两大公认最难的学科①密码学:因为人类太聪明②量子物理:因为大自然太复杂量子密码学(QuantumCryptography)是量子物理与现代密码学相结合的产物,是现代密码学领域一个崭新的方向量子密码学29量子密码学不是用来取代现代密码学,而是要将量子密码学的优势和现代密码体制(如公钥密码体制)的优势结合起来,寻找新的应用领域。在量子通信中,信息被转化为量子状态(量子比特)。通常,使用光子制备量子状态。量子密码学31量子密码的安全性基于量子状态的特性•目前,量子密码学主要用来实现对称密钥的分发,其优点:①密钥在公开信道中传输不必担心被窃听②能检查出密钥在传输过程中是否被窃听量子密码学•根据量子状态的不同特性,量子密钥分发体制(QKD)可分为两类:•基于不确定性原理•基于量子的纠缠态虽然量子密钥分发体制还没有进入实用阶段,可是它成为实用的秘密通信手段已经没有原则问题了。量子密码学信息的获取涉及测量过程测量精度决定可获取的信息量•经典物理•测量过程可以不改变被测物体状态•窃听者可以获取信息而不被发现•量子物理•测量过程一般会改变被测物体状态(不确定性原理)•量子力学提供了探测窃听的手段(更重要的是,能够计算被截获信息的数量)量子密钥分发体制基于不确定性原理35…10111000001101…10011010001101AliceBobEve量子编码Errors密钥生成器量子力学:测量过程对量子态产生扰动过高的比特误码率窃听者的存在•量子纠缠两个或更多量子状态能够建立某种联系,使它们无论距离多远依然被看做是一个整体的量子状态,而不是独立的个体•量子纠缠的特点对其中一个量子的测量会影响其他量子•如何应用如果一对相互纠缠的量子被通信双方分别持有,那么任何对信息的拦截都会改变整个系统,使第三方的存在(以及他截获信息的数量)能被检测到。量子密钥分发体制基于量子纠缠态•要破译量子密码就意味着必须否定量子力学定律,所以量子密码学也是一种理论上无条件安全的密码技术•在美国《商业周刊》中,量子密码位列“改变人类未来生活的十大发明”第三位。•科学家们认为它是目前最安全的密码,最高明的攻击者也一筹莫展。•因此,量子密码可能成为光纤通信网络中数据保护的强有力工具,而且要能对付未来具有量子计算能力的攻击者,量子密码可能是唯一的选择。量子密码学的地位•1970年,Wiesner(美国)提出量子密码学的思想。•1984年,Bennett(IBM)和Brassard(Montreal大学)提出第一个量子密码的密钥分配协议,称为BB84协议。•1991年,Ekert(牛津大学)提出基于纠缠量子的量子密钥分配协议(E91协议),比BB84更灵活。•1992年,Bennett指出只用两个非正交态即可实现量子密码通信,并提出B92协议。•至此,量子密码通信三大主流协议(BB84、E91、B92)已基本形成。量子密码学发展史39•实验系统–距离:150km–光纤:250km–效率:(50km):1Mbits/S•商用系统–距离:100km(光纤)–效率:10Kbits/S•全球QKD网络–传统中继站–量子中继器–卫星现状及未来欧盟(2008)美国(2005)日本(2010)中国(2009)40QKD网络41美国:MAGIQTECH.瑞士:IDQUANTIQUE商业化QKD系统•量子密码体制的实现还有一些技术问题,具体有以下几个方面:①光子源难以实现真正的单光子脉冲②信息通道目前还没有理想的单模光纤③单光子探测器预计会在不久的将来出现商用的红外单光子探测器量子密码的技术挑战43实际QKD系统的安全性Quantumcryptography:SeekingabsolutesecurityQuantumcryptographyistheoreticallyunbreakable,yetahandfulofphysicistsarefindingwaystohackintoitssecrets.GeoffBrumfielfindsouthow.Nature447,372-373(24May2007)“不可破译”的密码?44QKD协议Hilbert空间AliceBob实际系统•建立在一定假设上的数学模型•可以完全用量子力学描述•可以建立严格的安全性证明•存在各种噪声及不完善性•无法完全用量子力学描述•安全性证明不能直接应用理想QKD协议与实际系统的差别45Gottesman&Lo,PhysicsToday,53,22-27(2000)“Traditionally,breakingcryptographicprotocolshasbeenconsideredtobeasimportantasmakingthem—theprotocolsthatsurvivearemorelikelytobetrulysecure.ThesamestandardwillhavetobeappliedtoQKD.”Hackingisaneffectivewaytofindpotentialloopholes①寻找量子签名、量子身份认证、量子投票等量子密码学的新研究领域②如何进一步将量子密码通信在Internet中推广应用,实现量子密码通信的网络化③在光纤和大气环境中如何实现更长距离、更快速度、更低误码率的量子密钥的分发,使点对点量子密码通信进入实用阶段……量子密码学的未来发展方向47