干货来了!京沪量通工程必要性的全面分析(科普系列二)
宣传“量子通信”必要性和重要性的逻辑是:即将出现的量子计算机可以轻易破解传统密码系统,而量子通信技术能够提供绝对安全的保密通信,所以必须尽快加速建设量子通信网络以解信息系统安全的燃眉之急。事实证明,作为逻辑推理的这两大前提都是错的。
目前的量子通信技术不能够提供绝对安全的保密通信,系列上一篇文章中也已经作了说明,后面还有文章作更详细的分析。本文的重点是驳斥量子计算机可以轻易破解传统密码系统的错误观点。有些人非要用论文说事,也好,就让我们从介绍论文开始吧。
不久前出现这样一篇论文:“后量子时代的RSA”[1],该文发表后被多家相关杂志转载和引用,这些文章的共识是:目前使用的公钥密码RSA不会因为量子计算机的出现而消亡。喜欢读论文请到本文后面注解中查找链接。
该篇论文的核心观点是:假设量子计算机已经建成,再假设量子计算机的量子比特(Qbit)可以无限扩展,进一步假设该量子计算机的运行成本与现在通用电子计算机的成本可以相比,用这样一台超级想象出来的量子计算机来破解长度为Terabyte(太字节,等于1024GB)的RSA公钥密码需要量子计算机的量子比特操作总数为2^100(2的100次方)。
再让我们估算一下量子计算机破解RSA需要多少量子比特。使用肖尔量子算法破解4096位的RSA,据有关专家估算,考虑到必要的纠错等因素,量子计算机需要的量子比特约为 4096^3 = 68719476736 。不久前IBM实现了50个量子比特,尽管IBM自己承认还在试验阶段,这条消息已经震惊全世界,仅仅只是可怜的50位!但要破解4096位的RSA,IBM设备的量子比特还需扩大至少10亿倍,从工程角度来看,这几乎就是不能完成的任务。请注意这里讨论的仅仅是4096位的RSA,那么对1T字节长度的RSA呢?按上述比例不难估算出需要的量子位约为2的126次方,那更是一个难以想象的天文数字。
2^100是一个什么概念?这个数大于地球上所有生物细胞的总数!当然使用长度为Terabyte的RSA公钥确实也有点离谱,但论文作者在今日的电子计算机上产生了这样的公钥,并有效地实施了加密和解密。按目前的技术水平,长度为Terabyte的RSA公钥虽然并不实用,但至少还是可以实现的,随着传统电子计算机性能的飞速提高,使用超长字长的公钥在技术上不会有很大困难。但是量子计算机即使建成,要破解这样的RSA公钥也毫无希望。
这篇论文并不是要为对抗量子计算机提供确切的方案,而是通过实验和数据分析指出了一个冷酷的事实:即使围绕量子计算机的技术难题和运营成本全都解决,只要现行的RSA公钥增加字长和改善算法,就能迫使量子计算机的恶意攻击因为难以承受的代价而失败告终,在后量子时代作为经典密码系统重要基石的RSA具有足够长的生命力。急于丢弃RSA等公钥密码系统而另辟蹊径真的是杞人忧天。
请仔细思考一下,空间上需要超过2的100次方的量子位(再次强调,这个数大于地球上所有生物细胞的总数!),时间上需要2的100次方的操作,这样的量子计算机究竟什么时候才能造得出来?但凡稍有一点常识,应该不难作出正确的判断[2]。有些科普文章把量子计算机写得太神奇,好像公钥密码面对量子计算机不堪一击,这是没有科学根据的。科普宣传必须实事求是,千万不可越界写成科幻作品。有些量子通信的科普作品把公钥密码描写成危在旦夕,又把“量子通信”吹成绝对安全,为量子通信工程仓促上马制造舆论,这和街头推销大力丸靠一吓二吹又有何区别。
以上分析告诉我们,即使明天大型量子计算机的技术难题和运营成本全都解决,公钥密码通过增加字长和改善算法也足够保证数据传输的安全。而事实上,上百万量子位的量子计算机的建成和投入实用在可预见的未来是不可能的,所以公钥密码的安全性是有双重保险的,仓促建设“量子通信”工程完全没有必要。
制造可实用的量子计算机目前远不只是一个工程问题,而是在基础原理层面遇到一系列严峻的挑战。归根到底,量子计算机和“量子通信”的难处都在同一症结上:就是对于单量子态的控制和测量。量子态的叠加和纠缠特性为量子信息处理提供了诱人的前景,但是量子态必须能被测量和读出才能为我所用。但是量子世界中不存在独立的暗中观察者,测量不是被动地读取信息,它会根本地改变被测物的量子态,这就是“海森堡不确定关系”。量子测量必然会干扰被测物量子态的诡异属性使得从量子系统中获取信息变得极其困难。
量子态的叠加、纠缠和测量是量子力学不可分离的三要素,你不能只要量子态叠加和纠缠的长处,而不要量子态测量的短处。真可谓:成也量子态,败也量子态。制造量子计算机遇到的最大困难都可归结到对量子态的测量。
处于叠加和纠缠的量子态具有丰富多样的信息,但水灵灵的量子态也是非常的娇嫩,受到任何一点外界环境的影响(污染),就不再保持理想的量子纯态,逐渐失去量子相干性,这个过程叫量子系统的退相干(decoherence)。为了延长退相干的时间,唯一的办法就是尽量把量子态与外界环境隔离,但是深度隔离的量子态就变得越发的难以测量,因为测量的设备和观察者本身也是环境的一部分。一个量子系统与环境隔离得越好,系统保持的相干时间越长,但是我们也就越难对其控制和测量,测量者好像必须与环境作对,从量子系统中去抢信息。目前超导量子态的相干时间大约在10到100微秒之间,如果用它们做成量子计算机,它最多只能连续工作万分之一秒。
为了解决量子态的退相干难题,引入了量子纠错(quantum error-correction) 技术。 其基本想法是把信息复制多个副本来防止个别副本出现误码,这与重要文件一式多份防止篡改是同一道理。我们把一个量子态的信息分散存储在几个高度纠缠的量子态中,通过测量这些相关状态的总体表现来查错纠错。我们把单独的量子态称为物理量子比特,把多个物理量子比特纠缠形成容错的称为逻辑量子比特,一个逻辑量子比特至少要有500至1000个物理量子比特构成。经过量子纠错,逻辑量子比特的维持时间会远超过物理量子比特的相干时间,这才是真正具有计算功能的逻辑量子比特。当下量子计算机最大的挑战就是实现稳定可靠的逻辑量子比特,这一步到目前为止连实验室都还没有做成功。
这是2013年发表在 Science 上的“量子计算台阶图”,下一层功能是上一层功能的基础,从下到上,一步难于一步。这个台阶图的第三层就是量子纠错和控制,目前世界顶级实验室能登上这第三层的凤毛麟角,而且脚跟都没有站稳。要制成实用的可以破解公钥密码的量子计算机必须一步步往上攀登到达最高的第七层,量子计算难,难于上青天!
量子计算机目前面临的不止只是工程困境,现在有些科学家甚至认为从原理层面上来看,建造用来破解密码的量子计算机就是不可能完成的任务。2018年初的量子杂志连载有三篇质疑量子计算机可行性的相关报导,其中的一篇介绍了以色列数学家Gil Kalai和他的研究工作,下面让我们再介绍一篇论文。
Gil Kalai和其他专家合作发表了一篇论文[3]。Kalai的文章是关于玻色采样(Boson sampling)的噪声分析,结论是玻色采样对噪声相当敏感,在容错量子计算机中很难实现明显的量子加速。量子态的退相干现象实质上是有关噪声的物理过程,Kalai通过数学建模和分析得出两条结论:1)把物理过程的噪声抑制趋向于零的代价是无法承受的,换言之,要得到精确稳定的逻辑量子比特,需要的物理量子比特数会有指数型的增加;2)过程的噪声减少是以系统灵敏度减少为代价的,就是说,量子纠错会限制量子态承载信息的丰富多样性。总而言之,我们不能既要量子态的丰富多样,又要量子态的可控和稳定,就像你很难找到一个思想上天马行空,而又对你百依百顺的天才型奴才。Gil Kalai的观点有待进一步的实验验证,但是他的研究至少让我们进一步认识到,研制实用的量子计算机的道路十分艰难遥远。
为了满足论文爱好者的需求,本文再引两篇中国科学家的论文[5]。这里展示一下论文的部分结束语:“这些结果表明,解释量子力学现象并非一定需要哥本哈根的波包塌缩诠释!依据并无共识的哥本哈根诠释、不加甄别地发展依赖诠释的量子技术,在量子技术发展中会导致技术科学基础方面的问题。随着时间的推移,这种问题严重性会逐渐凸显出来。显然,如果不能正确地理解量子力学波函数如何描述测量,就会得到“客观世界很有可能并不存在”的荒诞结论;如果有人不断宣称“实现”了某项量子技术的创新,但何为“实现”却依赖于有争议的、基于波包塌缩的“后选择性”,这样的技术创新的可靠性必定存疑。因此,澄清量子力学诠释概念不仅可以解决科学认识上的问题,而且可以防止量子技术发展误入歧途。”
通用大型量子计算机有可能永远也做不出来,即使最后做成功,没有一二十年不可能,就是有了量子计算机,要真正威胁4096位的RSA公钥密码恐怕还得再等一二十年,到了那时候公钥密码增加字长改变算法,量子计算机还是只能望洋兴叹。公钥密码在可以预见的将来是足够安全的,那么现在仓促建设“量子通信”工程的必要性究竟又在哪里?
事实上,“量子通信”工程团队中不少人现在己经明白他们当时的宣传和逻辑推理是错的,但又没有勇气承认错误,于是只能避开量子计算机这个问题的实质,转移目标,扯进了传统电子计算机作为挡箭牌。
现在推动量子通信工程建设的新借口是:在传统电子计算机攻击下公钥密码的绝对安全也是无法证明的,而量子通信至少在理论上是绝对安全的,所以有没有量子计算机攻击都要坚持量子通信工程建设。真是:“欲找借口,何患无辞!”
量通人士的新借口事实上不值一驳,但凡稍有一些工程技术背景的都能看出其中的错误。但是量通人士在实验室的象牙塔中呆得太久,我们只能对他们多些耐心,把工程思维的基本原则为他们重新疏理一遍。
1)工程建设没有绝对安全这样的概念,建座桥,造架飞机,生产药品,需要绝对安全的证明吗?怎么证明?不能证明绝对安全就必须立即启动新的工程来代替吗?新的工程的绝对安全性又怎么证明?
2)理论上的绝对安全都是有许多条件的,工程实施时无法完全满足这些条件,否则工程的代价无法忍受,工程都是性能和代价的折衷和最优化。“量子通信”工程一定也逃脱不了这个规律,绝对安全的量子通信在现实中也是不存在的,事实上目前的京沪量子通信干线的安全性远差于传统密码系统,对此后面还有文章作更详细的分析。
3)从工程的角度分析,本无绝对安全性这个概念。安全都是相对的,它应该只是一组统计数据,要看论文请看文后注解[5]。在密码工程中,信息需要保护的时间都是有期限的,世上不存在需要永远保密的信息。一个密码系统只要保证信息在敏感期内不被破解,或者更正确的说,在信息敏感期内让破解要付出难以承受的代价,那么这个密码就是足够安全的。长期的使用实践和理论算法分析为公钥密码的安全性作出了坚实的背书,就像我们认为三峡工程和高铁工程都是足够安全的,这里使用的是同样的逻辑和标准。只有我们可爱的量子通信工程推动者们不明白这个道理。
4)传统密码对于传统电子计算机破解从数学算法上有着严格全面的分析研究,传统密码可以通过调节密钥字长和算法的改进确保信息在敏感期内的安全。由于对传统电子计算机可行算法的研究是非常清楚的,不可能出现算法革命性突破,所以传统密码并不面临紧急的危机。但电子计算机运行速度的提高和破解算法的改进(特别是算法的平行化改进)也不能忽视,所以传统密码学的研发也从未停止。
事实上,传统密码学研究产生的一些新算法和新成果对付传统电子计算机攻击可以说是游刃有余。但是这个事实对于密码学研究者却并非好事,因为这就失去了争取大额研发经费的理由,这也是为什么部分传统密码学的研究人员恰恰是量子计算机威胁的鼓吹者。
5)密码系统保证的是信息在信道传输中的安全,信道安全只是信息系统安全的一部分,从目前来看信源上的安全问题更严重,信源安全才是信息安全水桶上的短板,理应受到更多的重视,关于信息安全的水桶效应本系列另有专文分析。总体来看,传统密码在可预见的将来具有足够的相对安全性,“量子通信”的相关基础研究是应该的,但建设量子通信工程目前完全没有必要。
通过以上详细的分析,得到的结论就是传统密码系统在可预见将来是足够安全的,建设量子通信工程目前完全没有必要。这个结论实际上是大多数IT业界的共识。有何根据?请只要看看红红火火的区块链技术发展。区块链技术的数据传输安全保障用的就是公钥密码,公钥密码是整个区块链技术安全的基石。到如今,没有一块比特币因公钥密码被破解而失窃的!
我有一个老朋友是甲骨文公司负责区块链开发的VP,为了公钥密码的安全性我特地通过电话向他请教。我对他说:“量子通信”科研人员认为公钥密码不安全,你们全力开发区块链就一点不担心吗?他反问我:“有关信息安全的工程评估和技术路线的决策,我应该相信工程一线上的大多数工程师和专家呢,还是去相信一些大学实验室里的学究呢?”
至此做个小结:
可以威胁公钥密码安全的量子计算机还在遥远的未来,即使明天外星人带来一台大型实用的量子计算机,公钥密码也能通过增加字长和改变算法保持足够的安全性。公钥密码是传统密码系统中的分系统,它的一个子功能是用作密钥分发的。公钥密码也不是密钥分发的唯一方法,传统密码系统还有多种其它方法进行密钥分发。未来数十年内传统密码系统是安全的,仓促建设“量子通信”干线完全没有必要。更何况“量子通信”的绝对安全仅停留在纸面上,而且也不具备工程建设的可行性,下文的重点就是“量子通信”工程建设的可行性分析。敬请关注跟读。
(作者:洞庭东山人)
相关阅读
——————————————
[1] https://eprint.iacr.org/2017/351.pdf
[2]对公钥密码RSA的量子攻击,到目前为止都只是纸上谈兵而已,是在给现实不存在的计算机写程序。破解1T字节长度的RSA的肖尔量子算法,究竟需要多少位Qbit的量子计算机,需要多少次的操作,每次量子比特操作又需要多少时间,到目前为止仍缺乏可靠的数据,由此很难给出量子破解在时间上的总开销。谁也给不出正确的数据。
根据经典电子计算机的经验,我们当然有办法压缩量子计算机Qbit位数,但这必然会以大幅增加操作次数为代价的。用量子计算机破解RSA的总难度基本不会有改变。
无论从量子位数和运行操作步数来看,在可预见的将来,量子计算机要破解1T字节长度的RSA是根本不可能的。量子计算机对经典密码系统的威胁还十分的遥远。
[3]“Gaussian Noise Sensitivity and BosonSampling” https://arxiv.org/abs/1409.3093
[4]中国物理学会期刊网 2017-08-17
作者:孙昌璞( 中国工程物理研究院研究生院北京 北京计算科学研究中心)
https://mp.weixin.qq.com/s/ikuj1---4p7seVxp0mE5Iw
https://mp.weixin.qq.com/s/O2IPcuBRkGZkA6nA0WT-qg
[5] https://www.sciencedirect.com/science/article/pii/S0304397514006963
https://www.nature.com/articles/npjqi201625