1882年，加州薩克拉門(mén)托的銀行家弗蘭克?米勒（Frank Miller）開(kāi)發(fā)出一種牢不可的加密方法。140年過(guò)去了，密碼學(xué)家依然沒(méi)有提出更好的加密方法。

美國(guó)內(nèi)戰(zhàn)期間，米勒作為軍事偵查員學(xué)習(xí)過(guò)密碼學(xué)。后來(lái)，他開(kāi)始對(duì)電報(bào)學(xué)感興趣，特別想預(yù)防電信欺詐，當(dāng)時(shí)這個(gè)問(wèn)題使很多銀行家感到沮喪。與他同時(shí)代的法國(guó)大西洋電報(bào)公司秘書(shū)羅伯特?斯萊特（Robert Slater）在1870年出版的《電報(bào)密碼，確保電報(bào)發(fā)送的私密性》（Telegraphic Code, to Ensure Secresy [sic] in the Transmission of Telegrams）一書(shū)中寫(xiě)道：“不誠(chéng)實(shí)的電報(bào)員要實(shí)施巨額欺詐犯罪易如反掌。”

米勒在1882年出版了一本關(guān)于電報(bào)密碼的書(shū)，提出了一種加密方法：按照隨機(jī)數(shù)移動(dòng)報(bào)文中每個(gè)字母的位置，形成一串亂碼，實(shí)現(xiàn)對(duì)報(bào)文的加密。例如，要對(duì)單詞HELP進(jìn)行加密編碼，你可以將H移動(dòng)5個(gè)位置，于是它變?yōu)镸，將E移動(dòng)3個(gè)位置使之變?yōu)镠，將L移動(dòng)2個(gè)位置使之變?yōu)镹，將P移動(dòng)4個(gè)位置使之變?yōu)門(mén)。即使是一名愛(ài)管閑事的電報(bào)員也不知道如何生成MHNT，除非他也有5-3-2-4的隨機(jī)數(shù)列表。為實(shí)現(xiàn)真正牢不可破的加密，每個(gè)隨機(jī)數(shù)字串只對(duì)一條報(bào)文進(jìn)行加密編碼，隨后即被棄用。

在米勒的書(shū)出版大約35年后，貝爾實(shí)驗(yàn)室的工程師吉爾伯特?S?弗納姆（Gilbert S. Vernam）和美軍上尉約瑟夫?莫博涅（Joseph Mauborgne）提出了本質(zhì)相同的想法，他們稱之為一次性密鑰。此后，密碼學(xué)家一直嘗試設(shè)計(jì)出一種方法，來(lái)生成并分配該技術(shù)所需的獨(dú)特而真正隨機(jī)的數(shù)字。但事實(shí)表明，這非常困難。

于是我們轉(zhuǎn)而使用安全性低的加密方法，其后果是，只要攻擊者具有足夠的耐心和知識(shí)，就可以破解他們想要的任何加密數(shù)據(jù)。和米勒所在的電報(bào)時(shí)代相比，今天我們有著更多的聯(lián)通方法，如物聯(lián)網(wǎng)設(shè)備、可穿戴技術(shù)和區(qū)塊鏈相關(guān)服務(wù)等，它們都需要強(qiáng)大的加密技術(shù)。根據(jù)網(wǎng)絡(luò)信任聯(lián)盟（Online Trust Alliance）2017年的《網(wǎng)絡(luò)安全和泄密趨勢(shì)報(bào)告》（Cyber Incident & Breach Trends Report），去年有超過(guò)15萬(wàn)家企業(yè)與政府機(jī)構(gòu)成為網(wǎng)絡(luò)犯罪的受害者。僅在對(duì)消費(fèi)者信用報(bào)告公司Equifax的一例攻擊中，黑客就刪除了將近1.48億名消費(fèi)者的個(gè)人信息。報(bào)告總結(jié)道：“毫不奇怪，2017年是全球個(gè)人數(shù)據(jù)泄露與網(wǎng)絡(luò)安全事件的又一個(gè)‘史上最差年份’?！?/p>

幸運(yùn)的是，近年來(lái)研究者們?cè)谏刹⒎峙湔骐S機(jī)數(shù)的技術(shù)開(kāi)發(fā)方面取得了良好的進(jìn)展。通過(guò)測(cè)量亞原子粒子的不可預(yù)知屬性，這些設(shè)備能夠利用量子力學(xué)原理對(duì)消息進(jìn)行加密。這意味著我們終于距離解決密碼學(xué)的其中一大謎題更近一步，并有望實(shí)現(xiàn)多年前米勒所設(shè)想的不可破譯的加密技術(shù)。

密碼員都知道，防破解的加密方法有3個(gè)構(gòu)成要素：首先，你需要一種算法將報(bào)文轉(zhuǎn)換為一串無(wú)意義的字符串；第二，你需要一種產(chǎn)生隨機(jī)數(shù)的方法；最后，你需要將前兩項(xiàng)要素在他人無(wú)法訪問(wèn)的情況下交付給預(yù)定接收者。

單獨(dú)使用第一種要素，無(wú)論算法多么優(yōu)秀，都無(wú)法保護(hù)報(bào)文。加密報(bào)文將完全暴露給知道加密報(bào)文算法的人。這就是為什么我們將算法與隨機(jī)數(shù)相結(jié)合。盡管其算法相對(duì)簡(jiǎn)單，但增加隨機(jī)數(shù)的一次性密鑰是不可破譯的。要想恢復(fù)原始報(bào)文，你需要知道算法對(duì)報(bào)文加密所用的特定隨機(jī)數(shù)序列。這些隨機(jī)數(shù)就是密鑰，它可解密這段報(bào)文的內(nèi)容，但無(wú)法解密其他報(bào)文，就像你的房子鑰匙可以開(kāi)啟你的門(mén)，但無(wú)法打開(kāi)你鄰居的門(mén)。因此，你的密鑰越不可預(yù)測(cè)，你的加密系統(tǒng)就越強(qiáng)大。

可惜的是，大多隨機(jī)數(shù)的來(lái)源都不是真正隨機(jī)的。這些偽隨機(jī)數(shù)發(fā)生器使用算法產(chǎn)生貌似隨機(jī)的數(shù)字序列。但是，如果你知道底層算法，它們就變得完全可預(yù)測(cè)了。

我們也可以通過(guò)測(cè)量物理過(guò)程產(chǎn)生隨機(jī)數(shù)，比如測(cè)量拋出硬幣的結(jié)果或無(wú)線電通信對(duì)電流的干擾。但問(wèn)題是如果這個(gè)過(guò)程受到經(jīng)典物理定律的約束，那么測(cè)量結(jié)果就可以預(yù)測(cè)。當(dāng)然，對(duì)被測(cè)量的內(nèi)容進(jìn)行反向工程可能需要費(fèi)一番周折，但密碼員必須假定，最終會(huì)有人找到一種破解辦法。

很多物理隨機(jī)數(shù)的產(chǎn)生很緩慢。一種常用的方法是記錄鼠標(biāo)在計(jì)算機(jī)屏幕上的點(diǎn)擊或移動(dòng)的坐標(biāo)。KeePass是一個(gè)開(kāi)源的密碼管理器，利用鼠標(biāo)的晃動(dòng)生成主密碼。可以試想一下，為了加密所發(fā)送的每一封電子郵件，你需要多少次隨機(jī)點(diǎn)擊或晃動(dòng)鼠標(biāo)。

我們需要一種能快速產(chǎn)生真隨機(jī)數(shù)的來(lái)源，并且任何設(shè)備都可以使用。這就是量子力學(xué)發(fā)揮作用的時(shí)候了。

因其自身性質(zhì)，電子和光子這類亞原子的行為方式是無(wú)法預(yù)測(cè)的。觀察一個(gè)原子在相同條件下的不同時(shí)間發(fā)射的兩個(gè)光子，可以發(fā)現(xiàn)，它們呈現(xiàn)出不同的行為，并且這些行為是無(wú)從提前預(yù)測(cè)的。這并不是說(shuō)任何行為都是可能的，而是說(shuō)在任何可能的結(jié)果中，我們無(wú)法預(yù)知將會(huì)得到哪一個(gè)。這種不可預(yù)測(cè)性對(duì)于開(kāi)發(fā)隨機(jī)數(shù)發(fā)生器而言至關(guān)重要。

20世紀(jì)90年代，英國(guó)國(guó)防部的一個(gè)團(tuán)隊(duì)首次提出將量子力學(xué)用于隨機(jī)數(shù)生成。今天，你可以從QuintessenceLabs和ID Quantique等公司購(gòu)買商業(yè)量子隨機(jī)數(shù)發(fā)生器。QuintessenceLabs的發(fā)生器基于量子隧道效應(yīng)——亞原子粒子不自主地穿過(guò)那些經(jīng)典物理學(xué)認(rèn)為無(wú)法翻越的屏障。ID Quantique發(fā)生器則追蹤單個(gè)光子碰撞檢測(cè)器的分布。

所有這些商用發(fā)生器都被限定于特殊應(yīng)用，例如對(duì)機(jī)密軍事數(shù)據(jù)或金融交易進(jìn)行加密。而對(duì)于大眾市場(chǎng)應(yīng)用來(lái)說(shuō)，它們過(guò)于龐大，運(yùn)行緩慢，成本又高。大眾市場(chǎng)需要的是微型量子隨機(jī)數(shù)發(fā)生器，它們可以安裝在手機(jī)、筆記本電腦或任何需要安全通信的設(shè)備上。過(guò)去8年來(lái)，我們集團(tuán)位于巴塞羅那的光子科學(xué)研究所（ICFO）一直致力于創(chuàng)建價(jià)廉物美、結(jié)構(gòu)緊湊且運(yùn)行快速的量子系統(tǒng)。

最有希望的一種方法基于一種半導(dǎo)體激光器，稱為分布式反饋激光二極管。我們首先讓激光二極管在其閾值上下振蕩——閾值就是光子受激發(fā)射時(shí)的能級(jí)。我們激光二極管的閾值約為10毫安。激光二極管超過(guò)其閾值時(shí)，會(huì)發(fā)射出隨機(jī)相位的光子，也就是說(shuō)光子處于波長(zhǎng)的一個(gè)不可預(yù)知的點(diǎn)上。這些隨機(jī)相位也就是生成密鑰隨機(jī)數(shù)的基礎(chǔ)。

我們還打造成了幾種設(shè)備，這些設(shè)備有助于確認(rèn)量子力學(xué)中的“幽靈遠(yuǎn)程效應(yīng)”，即無(wú)論相距多遠(yuǎn)，相互糾纏的粒子都可以在瞬間相互作用。具體地說(shuō)，我們的設(shè)備可提供一種獨(dú)立觀察方法，來(lái)驗(yàn)證這種幽靈效應(yīng)是否發(fā)生，這對(duì)證實(shí)真實(shí)發(fā)生相互作用的瞬間是非常重要的。我們使用光纖來(lái)構(gòu)建這些設(shè)備，每臺(tái)設(shè)備差不多有鞋盒大小?，F(xiàn)在，我們利用標(biāo)準(zhǔn)芯片制造技術(shù)，將我們的量子隨機(jī)數(shù)發(fā)生器的組件集成到不足2毫米×5毫米的磷化銦芯片上，該芯片可以直接安裝在手機(jī)或物聯(lián)網(wǎng)傳感器上。

Quside科技公司于去年成立，是我們研究所的分拆公司，現(xiàn)正利用我們的技術(shù)將組件商業(yè)化。（本文作者Abellán即Quaide目前的首席執(zhí)行官。）Quside公司的最新一代量子源每秒能夠產(chǎn)生數(shù)千兆比特的隨機(jī)數(shù)，對(duì)于當(dāng)前或新興的任何加密需求，一個(gè)量子源就已足夠。并且由于這些量子源采用標(biāo)準(zhǔn)芯片制造技術(shù)，應(yīng)該很容易進(jìn)行大規(guī)模量產(chǎn)。

此外，我們的芯片不受附近電子的干擾。一般來(lái)說(shuō)，任何電子設(shè)備都會(huì)受到熱干擾或電子干擾。舉例來(lái)說(shuō)，白噪聲會(huì)對(duì)無(wú)線電信號(hào)的接收造成干擾。如此微小的量子源尤其容易受到影響。在大多數(shù)情況下，設(shè)計(jì)者需要特別注意消除那些可能會(huì)破壞量子過(guò)程中純粹而固有的隨機(jī)性的影響。我們的解決方案巧妙而簡(jiǎn)單地避開(kāi)了這個(gè)問(wèn)題，因?yàn)楣庾拥南辔辉诤艽蟪潭壬喜皇芘R近電流的影響。

另一種良好隨機(jī)數(shù)量子源是發(fā)光二極管。2015年，維也納科技大學(xué)的研究人員展示了首臺(tái)這樣的緊湊型隨機(jī)數(shù)發(fā)生器。它由一個(gè)發(fā)出近紅外光的硅發(fā)光二極管和一個(gè)單光子探測(cè)器組成。它產(chǎn)生的隨機(jī)數(shù)與光子到達(dá)探測(cè)器的時(shí)間相關(guān)聯(lián)。實(shí)驗(yàn)室原型機(jī)能以每秒幾兆比特的速率生成隨機(jī)數(shù)。

2016年，我們位于巴塞羅那的小組展示了前文提及的芯片量子源，它使用分布式反饋激光器，每秒能夠產(chǎn)生千兆比特隨機(jī)數(shù)。還有一項(xiàng)額外收獲，我們制造量子源所使用的是現(xiàn)成的元件和標(biāo)準(zhǔn)的光學(xué)通信與制造技術(shù)。

同時(shí)，韓國(guó)最大的電信設(shè)備商SK電訊的研究者們展示了一種隨機(jī)數(shù)發(fā)生器芯片，這種芯片使用智能手機(jī)攝像頭，來(lái)檢測(cè)發(fā)光二極管的光強(qiáng)度的波動(dòng)。該設(shè)計(jì)基于ID Quantique的專利。原型機(jī)于2016年推出，尺寸為5毫米×5毫米；后來(lái)，SK電訊宣布計(jì)劃實(shí)現(xiàn)同級(jí)別尺寸芯片的商業(yè)化計(jì)劃——它小到可以裝到智能手機(jī)里。

還有研究人員正在研究基于單光子探測(cè)陣列的量子隨機(jī)數(shù)發(fā)生器。該陣列能檢測(cè)到光源波動(dòng)時(shí)的微小振動(dòng)，檢測(cè)量子波動(dòng)的效果比傳統(tǒng)相機(jī)還要好。

━━━━

只有加密算法與真隨機(jī)數(shù)相匹配還遠(yuǎn)遠(yuǎn)不夠。你需要一種安全的方法，將報(bào)文和密鑰一起發(fā)送給收?qǐng)?bào)人。

針對(duì)密鑰的加密和解密，多年來(lái)的標(biāo)準(zhǔn)協(xié)議一直是RSA算法。它由密碼員羅恩?李維斯特（Ron Rivest）、阿迪?沙米爾（Adi Shamir）以及計(jì)算機(jī)科學(xué)家倫納德?阿德曼（Leonard Adleman）于1977年開(kāi)發(fā)，依靠一種被稱為單向函數(shù)的數(shù)學(xué)技巧，即任何計(jì)算在一個(gè)方向上求解都很容易，但反向求解極其困難，李維斯特、沙米爾和阿德?tīng)柭捎玫氖且粋€(gè)經(jīng)典的例證，即將兩個(gè)大素?cái)?shù)相乘，通常位數(shù)可達(dá)到1024位甚至2048位。將兩個(gè)大素?cái)?shù)相乘當(dāng)然非常容易，但將結(jié)果分解回原始素?cái)?shù)則非常困難。

RSA和類似算法為每個(gè)網(wǎng)絡(luò)用戶提供兩個(gè)密鑰：公鑰（所有人都知道）和私鑰（只有用戶知道）。用戶使用接收人的公鑰對(duì)要發(fā)送的信息加密。然后接收人使用其私鑰對(duì)信息解密。這類算法已經(jīng)良好運(yùn)行了40余年，因?yàn)榧词怪拦€，破解私鑰也是極端困難的。

不過(guò)，這類算法并不完美。其中的一個(gè)主要問(wèn)題是，要耗費(fèi)很長(zhǎng)時(shí)間對(duì)少量的數(shù)據(jù)進(jìn)行加密和解密。出于這個(gè)原因，我們利用這些算法對(duì)密鑰進(jìn)行加密，而不是對(duì)報(bào)文進(jìn)行加密。另一個(gè)大問(wèn)題是這些算法在理論上是可以破解的，只是目前數(shù)學(xué)上的突破進(jìn)展還不能實(shí)際破解RSA和類似算法，破解密碼要耗費(fèi)很長(zhǎng)時(shí)間。即使是今天的超級(jí)計(jì)算機(jī)也無(wú)法進(jìn)行實(shí)際破解。

然而，利用20年前的巧妙算法，量子計(jì)算機(jī)利用量子疊加的特性，可大大減少所需的計(jì)算時(shí)間，輕而易舉地計(jì)算出素?cái)?shù)因子。今天的量子計(jì)算機(jī)還沒(méi)有強(qiáng)大到可破解RSA的水平。但這只是時(shí)間問(wèn)題，當(dāng)這一天到來(lái)時(shí)，我們目前的網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施會(huì)完全失效。

理想情況下，在量子計(jì)算機(jī)或數(shù)學(xué)突破令我們措手不及之前，我們應(yīng)該能夠讓加密密鑰變得不可破解。一種可能性是利用被稱之為量子密鑰分配的技術(shù)。就像生成真隨機(jī)數(shù)一樣，量子密鑰分配依賴于量子力學(xué)不可預(yù)測(cè)的特性，在此情況下，為兩名用戶分配獨(dú)有的、第三方無(wú)法竊聽(tīng)的密鑰。最為常見(jiàn)的一個(gè)方法是，將密鑰編碼為光子方向，并將該光子發(fā)給另一個(gè)人。為了實(shí)現(xiàn)百分百的安全性，我們需要將量子密鑰分配與一次性密碼相結(jié)合，對(duì)我們的報(bào)文進(jìn)行加密，這仍然需要極高速的隨機(jī)數(shù)發(fā)生器。

我們相信，這些量子隨機(jī)數(shù)發(fā)生器將能夠提供我們所需要的所有隨機(jī)數(shù)。我們還必須不斷地檢查量子源是否存在缺陷和干擾，能否產(chǎn)生真正隨機(jī)的數(shù)字。在實(shí)驗(yàn)室里，我們已經(jīng)開(kāi)發(fā)出一種方法，來(lái)確定量子源的真正隨機(jī)性的可信度。我們的“隨機(jī)性度量”首先確立量子源所使用的物理過(guò)程和測(cè)量精度。我們使用這些信息設(shè)定純粹來(lái)自量子過(guò)程隨機(jī)性的邊界。

現(xiàn)在，我們?cè)陂_(kāi)發(fā)量子隨機(jī)數(shù)發(fā)生器方面已經(jīng)走出了第一步，這種量子發(fā)生器體積小、價(jià)格低、速度快，適合廣泛的日常應(yīng)用，下一步是在計(jì)算機(jī)、智能手機(jī)和物聯(lián)網(wǎng)設(shè)備上進(jìn)行安裝和測(cè)試。我們利用真隨機(jī)數(shù)發(fā)生器，可以產(chǎn)生不可預(yù)測(cè)的加密密鑰。如果將這些密鑰與密鑰分配安全方法相結(jié)合，我們就不必再擔(dān)憂對(duì)手在計(jì)算或數(shù)學(xué)方面的技術(shù)了——面對(duì)真正的不可預(yù)測(cè)性，再?gòu)?qiáng)大的攻擊者也無(wú)能為力。在弗蘭克?米勒提出他的一次性密碼近150年之后，我們終于掌握了牢不可破的安全性。