本文將簡單介紹量子力學的特性,並使用IBM量子電腦Q System One來演示量子特性,並說明量子密碼學中經典且重要的協定BB84量子金鑰分配協定,讓大家對量子通訊協定有初步的認識與瞭解。
因應網際網路應用飛速的發展,數位化系統與服務已成為當今世界的主流技術,而這個趨勢讓更多資料需要透過網際網路進行傳輸。因此,提供完整的安全機制來保護資料的機密性和完整性,並確保發送者和接收者之間的身分驗證,是網路數位時代的一項重要問題。為了達成上述的安全機制,密碼學被提出與快速發展。
在1976年,美國知名密碼學家Whitfield Diffie與Martin Hellman Diffie提出公開金鑰密碼系統的概念後,各式各樣的公開金鑰系統接續被提出。這些密碼系統皆屬於基於某些數學難題的加密演算法,目前傳統電腦無法在有效時間內破解這一些數學難題。因其安全性容易被證明,故這些技術是目前主流加密機制,並廣泛應用於現今數位系統與網際網路應用上,例如日常用來安全瀏覽網頁的https協定中就使用到公開金鑰密碼系統。
然而,這些數學難題雖然在傳統電腦中無法有效破解,卻不代表其他運算技術無法有效破解,早在1994年時,量子資訊領域知名學者彼得.秀爾(Peter Shor)所提出量子因數分解演算法已證實透過量子特有的平行計算能力可以快速破解大質因數分解的數學難題。這意味著目前主流的加密技術,例如知名的RSA加解密技術無法抵禦量子電腦特有的運算能力。不幸地,在90年代後期,量子力學與相關實作技術發展仍處於黑暗時期,雖有彼得.秀爾所提出有效的因數分解演算法,卻苦無實現演算法所需的硬體技術與設備,故無法撼動到當時如日中天的公開金鑰密碼學技術。
然而,風水輪流轉,十年河東十年河西,在許多學者努力不歇的奮鬥下,近年來量子力學不管在理論與實作技術上皆獲得突破性的發展,這使得量子電腦不再是電影或小說中的劇情,各國政府與大型公司紛紛展現自身在量子通訊、量子運算與電腦所獲得的成果。2019年,擁有百年歷史的資訊大廠IBM提出全球第一台商用量子電腦,把量子電腦從實驗室裡的原型機推到第一線商業運用上,此時世界量子霸權戰爭的鼓聲正式被敲響,同年9月資訊巨擘Google也提出Sycamore量子電腦,其可以在200秒內完成全球最強超級電腦須耗時1萬年的運算任務。英特爾、Honeywell以及中國多家企業(百度、阿里、騰訊、華為)也都紛紛成立相關部門,積極投入量子電腦的研發。當然,我國也在政府與產業龍頭大廠(鴻海、台積電等等)帶領下組成台灣量子國家隊積極投入相關技術研發,以期可以創造下一個的護國神山群。
在量子電腦逐漸成為下世代技術的氛圍下,首當其衝的既有技術就是目前主流的公開金鑰密碼。目前植基於數學難題的密碼技術,在量子電腦技術成熟後將不再能提供安全的資訊加密保護。因此,「如何在量子電腦普及的世代中保護數位資訊的安全?」成為當前密碼學首要挑戰。
對於量子電腦對密碼系統帶來的衝擊,目前主流的解決方案有二種:(1)仍使用傳統電腦計算技術,但其計算複雜度可以抵抗量子電腦運算能力的「後量子密碼學技術」,以及(2)直接使用量子力學特性來設計安全機制的「量子密碼學技術」。本文只針對量子密碼學技術進行介紹,並對量子密碼學中最重要的技術-量子金鑰分配協定(Quantum Key Distribution,簡稱QKD)進行說明,讓大家對量子密碼學有初步的認識。
不論傳統密碼學、後量子密碼學或量子密碼學中,金鑰分配協定皆是其中最重要的議題之一,其主要的目的是讓網路上的二個使用者可以分享秘密金鑰,並以此秘密金鑰來保護後續傳輸資料,其金鑰分配協定的概念如圖1所示。
圖1 金鑰分配協定流程示意圖。
圖1中Alice與Bob希望在網際網路上進行安全的通訊,因此他們先透過執行金鑰分配協定來分配一把安全金鑰KAB,之後Alice就可以透過KAB以及加密演算法來傳輸自己的資訊給Bob。因為只有Bob擁有KAB,故其他人是無法從密文(CiphertextAB)獲取Alice要傳送給Bob的訊息。
相同於傳統密碼學中的金鑰分配協定,在量子金鑰分配協定(簡稱QKD協定)目標仍然是讓二個使用者進行秘密金鑰分配。然而,有別於傳統協定,在QKD協定中使用者將利用量子力學的特性來進行金鑰分配,故二個使用者之間除了存有傳統網路通道外,還需要建置量子通道。QKD協定的環境與架構,就如圖2所示。
圖2 QKD協定環境示意圖。
Alice與Bob可以利用量子通道來傳輸量子位元,以此利用量子力學特性來產生所需的金鑰。此外,QKD協定仍然需要使用傳輸網路通道來協助雙方進行相關後置處理步驟。上述所提及用於金鑰分配的量子力學特性,將以簡單易懂的方式介紹,讓大家有初步認識。
量子物理特性簡介
這裡將針對設計QKD協定常使用到的量子物理特性進行簡單介紹,讓大家可以對量子物理特性有初步的認識與瞭解。在QKD協定中,常被使用的量子特性包含量子疊加態、量測不確定性、不可複製性與量子糾纏性等等。以下針對「量子位元」、「量子疊加態」、「量測不確定性」以及「量子糾纏」進行簡單說明。
量子位元與量子疊加態
相次於傳統資訊位元0與1,量子位元可以使用波函數來表示0與1,簡單來說,可以用行向量來表示一個量子位元,通常會使用1958年Dirac所發明的ket符號(|⟩)來表示量子位元,其傳統資訊位元的0與1分別可以表示成|0⟩與|1⟩。值得注意的是:相對傳統資訊位元「不是0就是1」的限制,一個量子位元可以呈現「是0也是1」的狀態。
常有人使用薛丁格貓來說明這一個量子力學特性神奇之處。薛丁格的貓是一個思想實驗(即使用想像力去進行的實驗,所做的都是在現實中無法做到或現實未做到的實驗),它是思考實驗過程為把一隻貓關在一個鋼盒裡,盒中裝有如下量子設備,如圖3所示。
圖3 薛丁格的貓思想實驗示意圖。
‧在計數器旁邊有一塊輻射物質(R),在1小時內,可能會有原子核衰變,也可能不會衰變,兩者的機率各為50%。
‧假如輻射物質(R)的原子核發生衰變的話,計數器(G)就會放電,啟動一連串機制釋放劇毒物毒死盒內的貓。
如果將整個系統獨立存在1小時的話,可以說:若沒有原子核衰變,貓就是活的,但只要有原子核衰變,貓就是死的。換言之,在這段時間中,貓的狀態處於非死即活的疊加態,可以表示成如公式1所示:
...................公式1
若以電影、小說或漫畫中的說法—平行宇宙解釋,此時貓的未來處於在二個平行的宇宙空間「生」以及「死」,當打開鋼盒去觀察貓的狀態,則此平行宇宙獨立性就被打破,此時貓只會屬某一個宇宙空間,換言之,不是「生」就是「死」。
因此,任何一個量子位元可以下列疊加態表示,如公式2所示:
..................公式2
其中,α²與β²分別為處於|0⟩與|1⟩狀態的機率。由上量子位元表示式可以發現,量子位元具備平行計算的特性,在尚未量測前,一個量子就可以同時處理0或1的情況,這讓量子計算在某些數學問題上明顯優於傳統位元計算技術。
量測不確定性
量子量測與薛丁格的貓相同,當觀察貓的狀態時,就會打破原本的疊加態,也就是說當對量子進行量測時,量子態會因量測影響而改變原有的狀態,使它狀態轉為量測所獲得的結果。舉例說明,當使用為基底{|0⟩,|1⟩}量測量子位元|ψ⟩=α|0⟩+β|1⟩,依據量子力學可以知道量測結果有機率α²得到|0⟩,而有機率β²得到|1⟩,而在量子位元被量測後,其狀態將崩塌成所獲得的結果(|0⟩或|0⟩),如圖4所示。因此,透過量測結果,無法直接獲得量子位元的原始狀態。
圖4 量子位元量測不確定性示意圖。
若以上述薛丁格的貓進行解釋,「量測量子」等於「打開鋼盒觀察貓」,當打開鋼盒時,馬上可以確認貓的狀態是|生⟩還是|死⟩,原本平行宇宙的世界線也被打破,而使貓狀態無法回到「既生亦死」的疊加情況。
這裡使用IBM量子運算雲端平台來呈現量子量測不確定性,以平台提供一般民眾在線上遠端體驗量子電腦的平台(圖5)。截至目前,該平台所提供實際量子電腦最大的量子位元數為15個量子位元。這裡使用IBM量子運算雲端中實際量子電腦來產生量子位元為|ψ⟩=1/√2(|0⟩+|1⟩)並進行量測,重複此步驟1,024次來統計分析量測結果。若依據上述量子量測不確定理論,可以知道量測結果為|0⟩或|1⟩的機率各自皆為50%。
圖5 IBM Quantum Experience介面。
然而,透過實際量子電腦執行結果(圖6),可以發現量測結果為|0⟩的機率為52%,而量測結果為|1⟩的機率是48%,其與理論結果有一定幅度的誤差。這一個誤差主要原因是量子設備(包含產生器與量測設備)不夠完美。這個問題也是目前量子電腦無法提供更多量子位元給用戶使用的主要原因,因為只要量子數量一旦成長,則誤差所引發的影響則會呈現指數成長。
圖6 量子位元量測結果。
量子糾纏性
量子糾纏性是量子力學中最重要也最具有神秘色彩的特性之一,它超越了一般認知的四維時空(三維空間+一維時間),可以不受時間與空間的約束,並違反定域性原理。以下列二顆量子的糾纏量子態與圖7的例子來解釋其特性,以讓大家可以對量子糾纏有一個初步瞭解,如公式3所示。
圖7 量子糾纏性說明示意圖。
..................公式3
先假設上述二顆存在糾纏特性的量子分別被放置在「地球」與「月球」上,當針對地球上的量子進行量測並獲得量測結果為|0⟩時,遠在月球端的量子狀態將瞬間變成為|0⟩。反之,若地球端的量子量測結果為|1⟩,則月球端的量子態也會瞬間轉換為|1⟩。
這一個現象明顯跟一般認識的傳統物理—定域性原理,有著明顯的不同。在定域性原理中,只要二個物體間距離足夠遙遠,一端所發生的行為是不會影響到另一端。例如廣島引爆原子彈時,遠在太平洋另外一端的美國加州不會產生任何影響。然而,在量子力學世界中定域性原理卻可以被糾纏特性打破的,換言之,若量子間存有糾纏關係,則不管二個量子距離多遠,只要對其中一顆量子進行操作都會立即影響到遠在另外一方的量子。
這裡也採用IBM量子電腦來證實量子糾纏特性,透過量子電路產生知名雙量子糾纏態-貝爾態(Bell State)(公式4),並量測二個具有貝爾糾纏關係的量子:
....................公式4
在此實驗中,同時使用量子模擬器與量子電腦進行驗證(圖8),可以發現使用模擬器的量測結果,只會出現|00⟩和|11⟩,其機率分別為49.9%與50.1%,與上數量子力學理論值差異不大。但使用實際量子電腦進行量測,則會出現四種量測結果|00⟩、|01⟩、|10⟩以及|11⟩,其量測的機率分別為45.0%、2.5%、5.4%與47.1%,隨然量測結果為|00⟩與|11⟩的機率仍然為主,但其中出現錯誤量測結果(|01⟩與|10⟩),這也是因量子設備不完善所產生的雜訊。
圖8 使用IBM量子電腦實作貝爾態量測結果。
透過上述實驗,可以證明到量子糾纏態所特有的特性,雖然量子糾纏態可以運用來做許多十分前瞻的應用(例如電影中用來做瞬間移動的技術),但目前量子力學技術在長時間維護量子糾纏態上仍尚未成熟,需要花費很高的成本才能維持糾纏態且維持時間很短(微秒μs到毫秒ms),這部分仍需要科學家進一步研究與克服。
量子金鑰分配協定—BB84
早在1970年代初期,學者Stephen Wiesner與Gilles Brassard就使用量子力學特性來安全地儲存與傳送資訊,成為了量子密碼學研究先驅,然而因當時量子力學相關技術尚為成熟與完備,故無法獲得突破性的研究成果。直到1979年,IBM研究中心研究員Gilles Brassard與Gilles Brassard在一場學術研討會上見面後,找出原本Wiesner提出編碼的突破點—光子是用來傳輸資訊,而不是用來儲存資訊,才開啟了量子密碼學研究的大門,並以此基礎概念建構出量子密碼學上第一個安全協定—量子金鑰分配協定,並在1984年IEEE國際研討會上,正式發表此量子金鑰分配協定,後人通稱此量子密碼協定為BB84協定。
在BB84協定被提出後,許多學者開始專注於分析其安全性,並證實BB84協定屬於「無條件安全」,換言之,它的安全性不基於任何計算難題上。
在此BB84協定中,Alice與Bob將採用二個基底之間的量測不確定性來保護傳輸的秘密資訊。下面使用Z基底{|0⟩,|1⟩}與X基底{|+⟩=1/√2(|0⟩+|1⟩),|-⟩=1/√2(|0⟩-|1⟩)}與表1的編碼方式進行說明。
依據量測不確定性,可以知道:若量子由使用相同基底進行產生與量測,將有100%機率得到得知原本的量子態,但若採用不相同的基底產生與量測量子,則無法確切得知原本的量子態。
如圖9範例所示,Alice傳輸Z基底的量子|0⟩給Bob,而Bob選擇X基底量測量子,則其可能的量測結果可能為|+⟩或|-⟩,所以Bob無法確切得知Alice所要傳輸的訊息。反之,Bob選擇Z基底量測,其量測結果必為|0⟩,故可以獲得Alice所傳輸的訊息。
圖9 使用正確與錯誤基底量測結果示意圖。
BB84協定就是透過量子量測不確定性來加密訊息。簡單來說,Alice隨機使用Z與X產生量子並傳送給Bob,Bob隨機選擇Z或X基底量測量子,在雙方完成量子傳遞與量測後,才會公布各自使用的基底進行討論,並只是選擇相同基底的部分為秘密金鑰。圖10使用6顆量子的範例來說明BB84協定的流程與步驟:
圖10 BB84協定範例示意圖。
STEP 1 ��Alice產生亂數值,隨機使用Z或X基底產生量子,並將量子傳送給Bob。
STEP 2 ��Bob隨機選擇Z基底或X基底量測量子,並儲存量測結果。
�STEP 3 �Bob公布所使用量測的基底資料。
STEP 4 ��Alice公布那些量子Bob量測正確與那些是錯誤。此時,雙方只保留正確量測部分作為候選金鑰。
STEP 5 �Alice與Bob使用部分候選金鑰資訊進行討論,例如Alice請Bob公布第1與第3個位置位元資訊,來確定雙方的資訊是否相同,以此評估量子在傳輸過程中是否遭受到攻擊。若比較成果正確,則Alice與Bob利用剩下的位元當作秘密金鑰。
明顯地,在Alice與Bob尚未討論基底前,駭客是不知道量子產生的基底,若貿然隨意選擇基底進行量測,則他除了無法獲得正確量子態之外,也將會破壞量子初始狀態,這讓通訊雙方在後續討論過程中有機會發現攻擊的存在。這種檢查竊聽機制是量子密碼協定所特有的,傳統資訊因不存在量測不確定性,故傳統密碼學是無法檢查竊聽攻擊。
未來挑戰與結論
面臨量子電腦時代的來臨,許多國家與產業龍頭紛紛投入大量資源於量子電腦研發的領域,期望可以在量子霸權爭奪戰上拔得頭籌,其中,首當其衝的資訊安全技術,也紛紛提出新的加密演算法來因應量子電腦所帶來密碼戰爭,例如美國國家標準與技術局(NIST)自2016年起舉辦「後量子密碼學標準化競賽」,讓全球研究團隊後量子密碼學時代中找出可以抵禦量子電腦強悍計算的加密演算法。依據目前研究與發展的趨勢,QKD網路很可能成為下一世代網際網路環境中重要的關鍵建設,透過QKD網路服務讓網際網路上任意的終端用戶∕應用程式間可以獲得絕對安全的金鑰。雖然許多國家和研究機構已經投入了大量資源來進行理論研究和實際場域實驗,並且許多關鍵技術上已獲得突破性的成果,但仍有部分關鍵技術需要進一步克服。未來密碼學技術將是以QKD網路成為網路安全基礎建設,還是全面採用後量子密碼技術,或整合二種技術優勢提出混合型技術,目前仍未知,仍然需要持續觀察未來相關研究發展情況,以及所需的關鍵技術與否可以成功突破。
<本文作者:社團法人台灣E化資安分析管理協會(ESAM, https://www.esam.io/)國立臺東大學Quantum Information and Communication Lab(QIC Lab)2018年創立,由蔡家緯博士率領子弟兵致力於量子資訊、量子通訊與量子密碼學相關應用等研究,其主要領域包含於量子密碼學、量子通訊協定、量子網路等等。>