量子密码

量子

• 黑体辐射，催生了“量子论”。普朗克在柏林物理学会上宣读了那篇具备跨时代意义的论文《正常光谱能量分布律理论》，获得一个重要结论：能量是由肯定数目的、彼此相等的、有限的能量包构成。
• 一个物理量若是存在最小的不可分割的基本单位，则这个物理量是量子化的，并把最小单位称为量子。
• “量子化”指其物理量的数值是离散的，而不是连续地任意取值。光子就是一种量子，而且是量子密码学中常使用的量子。
  

量子计算与量子计算机

一、量子计算有关的量子态的基本特性:

• 量子态的叠加 ( superposition)
• 干涉 ( interference)
• 纠缠 ( entanglement)
• 不可克隆 (nonclonability) 。

二、广义的量子计算除了计算之外, 还包括

• 量子通讯( guantum communication )
• 量子密码 ( guantum cryptography)
• 量子传态( guantum teleportation)
• 量子密集编码( guantum dense coding)

三、量子计算机的优点和弱点

- 优点：

• 大数N的因子分解是一个NP问题当N很大时常规计算机无能为力. Shor量子算法可将此问题变为P问题,这是量子计算机的优点。
• 除了大数因子分解 Shor 量子算法外, 著名的算法还有 Grover 量子搜索算法。在N个元素的集合中搜寻某个元素, 经典算法搜寻N/2次后, 找到的几率为 1/2。Grover 量子搜索算法则只需 N1/ 2次便可达到一样的几率。当 N 很大时, Grover 量子搜索算法颇有效。
• 对于量子系统的计算, 若是使用常规计算机, 其时间复杂度和空间复杂度都很可观, 并且有些问题在常规计算机上几乎不能计算, 量子计算机则能够有效地模拟或计算。量子态具备不可克隆性, 并且量子叠加态在测量时出现坍缩, 若是将这些特性用于通讯, 则可彻底避免窃听。因此, 量子信息技术很是适合于保密通讯。**

- 缺点：

• 但因为量子计算机原则上是专用的, 它的应用范围有必定的限制, 所以量子计算机不能替代传统的通用计算机。
• 大数因子分解 Shor 量子算法能将NP问题变为P问题, 那么, 是否存在可以将 NP 彻底问题变为P 问题的量子算法呢? 答案是否认的。例如, 对解决旅行商问题,
• 若是量子算法使时间复杂度为多项式, 则所需功率按指数增加, 这是不现实的。
• 在计算机解题过程当中, 数据的读出和复制是常常要执行的操做. 这些操做在常规计算机中是很容易实现的, 而在量子计算机中, 因为量子叠加态在测量时的坍缩和量子态的不可克隆性, 实现这些操做很麻烦。**

四、量子计算机

• 量子的另外一个奇妙特性是量子通讯具备保密特性．这是由于量子态具备测不许和不可克隆的属性，根据这种属性除了合法的收发信人以外的任何人窃取信息，都将破坏量子的状态．这样，窃取者不只得不到信息，并且窃取行为还会被发现，从而使量子通讯具备保密的特性．
• 目前，量子保密通讯比较成熟的技术是，利用量子器件产生随机数做为密钥，再利用量子通讯分配密钥，最后按传统的“一次一密”方式加密．
• 量子纠缠态的超距做用预示，若是可以利用量子纠缠态进行通讯，将得到超距和超高速通讯量子计算机是一种以量子物理实现信息处理的新型计算机．奇妙的是量子计算具备自然的并行性．n量子位的量子计算机的一个操做可以处理2“个状态，具备指数级的处理能力，因此能够用多项式时间解决一些指数复杂度的问题．这就使得一些原来在电子计算机上没法解决的困难问题，在量子计算机上倒是能够解决的

量子通讯

• 量子通讯，分为“量子密钥分发”和“量子隐形传态”。
• “量子密钥分发”只是利用量子的不可克隆性，对传统信息进行加密，属于解决密钥问题。
• “量子隐形传态”彻底不一样，它是利用量子的纠缠态，来传输量子比特。信息传递方式已经彻底不一样。
  

量子密钥分发

储备知识

• 一、信息论创始人香农，总结提出了“无条件安全”的条件：
  • 密钥真随机且“只使用一次”
  • 与明文等长且按位进行二进制异或操做

• 二、光的偏振
  由于光子有两个偏振方向，并且相互垂直。
  因此，单光子源每次生成的单个光子，能够是这样：
  

• 三、偏振方向测量
  咱们能够简单选取“水平垂直”或“对角”的测量方式（咱们称之为测量基），对单光子源产生的单光子进行测量。
  

• 四、对量子编码
  当测量基和光子偏振方向一致，就能够得出结果（要么是1，要么是0）；
  

  • 当测量基和光子偏振方向偏45°，就不能得出准确的结果。光子就会变化，偏振方向改变45°，那么就是1或0的几率各50%。因此，两种测量基，对不一样偏振方向光子的测量结果概括以下：
    
• 五、量子密钥生成方法

  • 5.一、发送方（咱们先称为A），首先随机生成一组二进制比特（所谓的经典比特，0或1这种）。
    

  • 5.二、A对每1个比特，随机选择测量基。
    

  • 5.三、发送以下偏振光
    

  • 5.四、接收方（咱们先称为B），收到这些光子以后，随机选择测量基进行测量：
    

  • 5.五、那么，测量结果以下（见虚线框内）：
    

  • 5.六、A和B经过传统方式（例如电话或QQ，不在意被窃听），对比双方的测量基。测量基相同的，该数据保留。测量基不一样的，该数据抛弃。

  • 保留下来的数据，就是最终的密钥。 （下图中，1001就是密钥）
    

  • 六、防窃听原理
    • 若是，存在一个窃取者（咱们称为C）。若是C只窃听A和B对比测量基，那C会获得这样的信息：不一样 不一样 相同 相同 不一样 不一样 相同 相同 。这个对他来讲，没有任何意义。C只能去测量A到B的光子。由于量子的不可克隆性，C没有办法复制光子。
  • 七、量子密码与经典密码的区别

  • 以数学为基础的当前普遍使用的密码系统（能够称为数学密码），利用数学难题设计密码协议和算法，利用求解数学难题的困难性保障密码方案的安全性。与此相似，也可认为量子密码算法和协议是利用求解问题的困难性或者不可能性来保障方案的安全性。不过，这些问题是物理问题而不是数学问题，求解这些问题也必须经过物理方式实现。

  • 八、量子密码中的两个基本问题。
    • 问题１：如何在不损坏原来量子比特的状况下断定一个未知量子比特的精确值，或者精确区分两个或多个非正交量子比特。
    • 问题２：如何同时精确测量量子比特中两个或多个非共轭量。
    • 经过物理和数学方法已经证实，上述两个问题的求解是不可能的。在第一个问题的基础上产生了量子不可克隆定理；在第二个问题的基础上产生了海森堡测不许原理。
    • 显然，从基本思想方面来看，量子密码和数学密码是一致的，均可以被认为是经过求解问题的困难性来实现对信息的保护的，只是量子密码中对问题的求解是经过物理方式实现的，且上面所列的两个基本问题的求解是不可能的。

  • 九、量子密码的主要特色
    对外界任何扰动的可检测性和容易实现的无条件安全性，这些特征依赖于量子系统的内禀属性：测不许性和不可克隆性。对扰动可检测性的物理基础是海森堡测不许原理；而无条件安全性的物理基础是量子不可克隆定理。前者保证了任何攻击行为均可能被检测出来，后者保证了量子密码系统的安全特性。

  • 十、窃听者的策略：
    • 1、将甲发来的量子比特进行克隆，而后再发给乙方。但量子不可克隆性确保窃听者没法克隆出正确的量子比特序列，于是也没法得到最终的密钥。

    • 2、是窃听者随机地选择检偏器，测量每一个量子比特所编码的随机数，而后将测量后的量子比特冒充甲方的量子比特发送给乙方。

    • 按照量子力学的假定，测量必然会干扰量子态，所以这个“冒充”的量子比特与原始的量子比特可能不同，这将致使甲乙双方最终造成的随机数序列出现偏差，他们经由随机比对，只要发现误码率异常地高，便知有窃听者存在，这样的密钥不安全，弃之不用。只有当他们确认无窃听者存在，其密钥才是安全的。接下来即可用此安全密钥进行“一次一密”的经典保密通讯。

  • 十一、问题
  • 上述这种保密通讯，实质上是“一次一密”的经典通讯，只是密钥是由QKD生成的，一般也称为量子保密通讯。
    • 一是，若是窃听者不停地窃听，甲乙双方就没法得到安全的密钥，因而保密通讯便没法进行。确实如此，QKD对此无能为力！它惟一的优点功能就是判定是否有窃听者存在，所分配的密钥是否安全而已。这点在传统密钥分配原则上作不到。QKD只能用来确保传递信息的安全性，没法抗击“破坏信息传送”的行为。在这种场合只有借助于其余办法进行保密通讯，好比，采用网络QKD，若某一路中段，寻找不被窃听的传输路径实现安全的密钥分配。若是QKD网络都处于被窃听的状态，那只好采用传统的保密通讯办法了。
    • 二是采用量子比特所生成的安全密钥比起用传统方法所获得的安全密钥（假定存在这种办法）有优越性吗？回答是否认的。只要密钥是安全的，无论是用何种办法生成的，二者性能彻底同样。特别是，若是达不到“一次一密”的加密程度，即便QKD的密钥是绝对安全的，这种密绝对安全的，这种密码体系一样可能被聪明的破译者所攻破。所谓“通讯”简单地说就是传递信息（即“明文”）。量子密码只是传送经典随机数而已，不包含有任何信息内容，所以，与“通讯”无关。量子保密通讯实际上包括由QKD生成的安全密码和“一次一密”经典通讯两个部分，本质上仍然是经典通讯。

量子通讯的另一种方式 ——“量子隐形传态”

量子密钥分发只是量子力学应用于经典通讯的一个小应用（加了把量子锁），那量子隐形传态就是“真正”的量子通讯了。

• 一、两个重要概念——“量子比特”和“量子纠缠”
  • 1.一、量子比特
    • 咱们目前进行信息存储和通讯，使用的是经典比特。一个经典比特在特定时刻只有特定的状态，要么0，要么1，全部的计算都按照经典的物理学规律进行。但量子比特和经典比特不一样。量子信息扎根于量子物理学，一个量子比特（qubit）就是0和1的叠加态。量子信息扎根于量子物理学，一个量子比特（qubit）就是0和1的叠加态。
    • 表示量子比特的Bloch球。Bloch球的球面表明了一个量子比特全部可能的取值。
      
  • 注意：一个量子比特只含有零个经典比特的信息。由于一个经典比特是0或1，即两个向量。而一个量子比特只是一个向量（0和1的向量合成）。就比如一个经典比特，只能取0，或者只能取1，它的信息量是零个经典比特。
  • 1.二、量子纠缠
    • 量子力学中最神秘的就是叠加态，而“量子纠缠”正是多粒子的一种叠加态。量子有许多经典物理所没有的奇妙特性。量子的纠缠态就是其中突出的一个。原来存在相互做用、之后再也不有相互做用的2个量子系统之间存在瞬时的超距量子关联。
• 二、隐形传态

• 因为量子纠缠是非局域的，即两个纠缠的粒子不管相距多远，测量其中一个的状态必然能同时得到另外一个粒子的状态，这个“信息”的获取是不受光速限制的。因而，物理学家天然想到了是否能把这种跨越空间的纠缠态用来进行信息传输。所以，基于量子纠缠态的量子通信便应运而生，这种利用量子纠缠态的量子通信就是“量子隐形传态”（quantum teleportation）。

• 三、量子隐形传态的过程（即传输协议）通常分以下几步：
  

  • （1）制备一个纠缠粒子对。将粒子1发射到A点，粒子2发送至B点。
  • （2）在A点，另外一个粒子3携带一个想要传输的量子比特Q。因而A点的粒子1和B点的粒子2对于粒子3一块儿会造成一个总的态。在A点同时测量粒子1和粒子3，获得一个测量结果。这个测量会使粒子1和粒子2的纠缠态坍缩掉，但同时粒子1和和粒子3却纠缠到了一块儿。
  • （3）A点的一方利用经典信道（就是经典通信方式，如电话或短信等）把本身的测量结果告诉B点一方。
  • （4）B点的一方收到A点的测量结果后，就知道了B点的粒子2处于哪一个态。只要对粒子2稍作一个简单的操做，它就会变成粒子3在测量前的状态。也就是粒子3携带的量子比特无损地从A点传输到了B点，而粒子3自己只留在A点，并无到B点。

• 注意: 以上就是经过量子纠缠实现量子隐形传态的方法，即经过量子纠缠把一个量子比特无损地从一个地点传到另外一个地点，这也是量子通信目前最主要的方式。须要注意的是，因为步骤3是经典信息传输并且不可忽略，所以它限制了整个量子隐形传态的速度，使得量子隐形传态的信息传输速度没法超过光速。

• 四、量子互联网
  由于量子计算须要直接处理量子比特，因而“量子隐形传态”这种直接传的量子比特传输将成为将来量子计算之间的量子通讯方式，将来量子隐形传态和量子计算机终端能够构成纯粹的量子信息传输和处理系统，即量子互联网。这也将是将来量子信息时代最显著的标志。

抗量子计算密码

• 一、量子计算机对现有密码提出严重挑战针对密码破译的量子计算机算法主要有如下2种．
  • 第1种量子破译算法叫作Grover算法。
    • 这是贝尔实验室的Grover在1996年提出的一种通用的搜索破译算法，其计算复杂度为O(√Ⅳ)．对于密码破译来讲，这一算法的做用至关于把密码的密钥长度减小到原来的一半．这已经对现有密码构成很大的威胁，可是并未构成本质的威胁，由于只要把密钥加长1倍就能够了。
  • 第2种量子破译算法叫作Shor算法。
    • 这是贝尔实验室的Shor在1997年提出的在量子计算机上求解离散对数和因子分解问题的多项式时间算法．利用这种算法可以对目前普遍使用的RSA、ECC公钥密码和DH密钥协商体制进行有效攻击．对于椭圆曲线离散对数问题，Proos和Zalka指出：在Ⅳ量子位(qbit)的量子计算机上能够容易地求解k比特的椭圆曲线离散对数问题"J，其中N一5后+8(k)l／2+5log 2k．对于整数的因子分解问题，Beauregard指出：在Ⅳ量子位的量子计算机上能够容易地分解k比特的整数p]，其中N一2k．根据这种分析，利用l 448 qbit的计算机能够求解256位的椭圆曲线离散对数，所以也就能够破译256位的椭圆曲线密码，这可能威胁到我国第2代身份证的安全．利用2 048 qbit的计算机能够分解1 024位的整数，所以也就能够破译l 024位的RSA密码，这就可能威胁到咱们电子商务的安全
    • Shor算法的攻击能力还在进一步扩展，已从求广义解离散傅里叶变换问题扩展到求解隐藏子群问题(HSP)，凡是能归结为HSP的公钥密码将再也不安全．因此，一旦量子计算机可以走向实用，如今普遍应用的许多公钥密码将再也不安全，量子计算机对咱们的密码提出了严重的挑战．

抗量子计算密码的发展示状

• 二、抗量子计算密码(Resistant Quantum ComputingCryptography)主要包括如下3类
  • 第1类，量子密码；
    • 量子保密的安全性创建在量子态的测不许与不可克隆属性之上，而不是基于计算的困难．
  • 第2类，DNA密码；
    • DNA密码的安全性创建在一些生物困难问题之上，也不是基于计算的困难问题．所以，它们都是抗量子计算的．因为技术的复杂性，目前量子密码和DNA密码尚不成熟．
  • 第3类，基于量子计算不擅长计算的那些数学问题所构建的密码．
    • 基于量子计算机不擅长计算的那些数学问题构建密码，就能够抵御量子计算机的攻击。全部量子计算机不能攻破的密码都是抗量子计算的密码。
• 三、国际上关于抗量子计算密码的研究主要集中在如下4个方面
  • 3.一、基于HASH函数的数字签名
    • 1989年Merkle提出了认证树签名方案(MSS) Merkle签名树方案的安全性仅仅依赖于Hash数的安全性．目前量子计算机尚未对通常Hash函数的有效攻击方法，所以Merkle签名方案具备抗量子计算性质．
    • 虽然基于Hash函数的数字签名方案已经开始应用，可是还有许多问题须要深刻研究．如增长签名的次数、减少签名和密钥的尺寸、优化认证树的遍历方案以及如何实现加密和基于身份的认证等功能，均值得进一步研究
  • 3.二、基于纠错码的公钥密码
    • 基于纠错码的公钥密码基本思想是：把纠错的方法做为私钥，加密时对明文进行纠错编码，并主动加入必定数量的错误，解密时运用私钥纠正错误，恢复出明文．1978年Berlekamp等证实了通常线性码的译码问题是NPG问题。如何用纠错码构造一个既能加密又签名的密码，是一个至关困难但却很是有价值的开放课题
  • 3.三、基于格的公钥密码
    • 格上的一些难解问题已被证实是NP难的，如最短向量问题(svP)、最近向量问题(CVP)等．基于格问题创建公钥密码方案具备以下优点：
      • ①因为格上的一些困难性问题还未发现量子多项式破译算法，所以咱们认为基于格上困难问题的密码具备抗量子计算的性质．
      • ②格上的运算大多为线性运算，较RSA等数论密码实现效率高，特别适合智能卡等计算能力有限的设备．
      • ③根据计算复杂性理论，问题类的复杂性是指该问题类在最坏状况下的复杂度．进一步研究格上的困难问题，基于格的困难问题设计构造既能安全加密又能安全签名的密码，都是值得研究的重要问题
  • 3.四、MQ公钥密码
    • MQ公钥密码体制，即多变量二次多项式公钥密码体制(Multivariate Quadratic Polynomials Public Key Cryptosystems)．如下简称为MQ密码．它最先出现于上世纪80年代，因为早期的一些MQ密码均被破译，加之经典公钥密码如RSA算法的普遍应用，使得MQ公钥算法一度遭受冷落．但近lO年来MQ密码的研究从新受到重视，成为密码学界的研究热点之一．其主要有3个缘由：
      • 一，量子计算对经典公钥密码的挑战；
      • 二，MQ密码孕育了代数攻击的出现，许多密码(如AES)的安全性都可转化为MQ问题，人们试图借鉴MQ密码的攻击方法来分析这些密码，反过来代数攻击的兴起又带动了MQ密码的蓬勃发展；
      • 三，MQ密码的实现效率比经典公钥密码快得多．在目前已经构造出的MQ密码中，有一些很是适用于智能卡、RFID、移动电话、无线传感器网络等计算能力有限的设备，这是RSA等经典公钥密码所不具有的优点
    • 目前尚未一种公认安全的MQ公钥密码体制．目前MQ公钥密码的主要缺点是：只能签名，不能安全加密(加密时安全性下降)，公钥大小较长，很难设计出既安全又高效的MQ公钥密码体制。
• 四、小结
  • 不管是量子密码、DNA密码，仍是基于量子计算不擅长计算的那些数学问题所构建的密码，都还存在许多不完善之处，都还须要深刻研究．量子保密通讯比较成熟的是，利用量子器件产生随机数做为密钥，再利用量子通讯分配密钥，最后按“一次一密”方式加密．在这里，量子的做用主要是密钥产生和密钥分配，而加密仍是采用的传统密码．所以，严格说这只能叫量子保密，尚不能叫量子密码．另外，目前的量子数字签名和认证方面还存在一些困难。对于DNA密码，目前虽然已经提出了DNA传统密码和DNA公钥密码的概念和方案，可是理论和技术都还不成熟一。对于基于量子计算不擅长计算的那些数学问题所构建的密码，现有的密码方案也有许多不足．如，Merkle树签名能够签名，不能加密；基于纠错码的密码能够加密，签名不理想；NTRU密码能够加密，签名不理想；MQ密码能够签名，加密不理想．这说明目前尚没有造成的理想的密码体制．并且这些密码的安全性还缺乏严格的理论分析。总之，目前还没有造成理想的抗量子密码．

参考文献：

• 一、从量子计算到量子安全：什么是“抗量子密码”
  http://www.sohu.com/a/120471605_468720
• 二、量子十问之六：量子密码就是量子通讯吗？
  http://www.sohu.com/a/126986032_466840
• 三、《独家揭秘：量子通讯如何作到“绝对安全”？》
• 四、《量子密码学》 曾贵华 信息安全国家重点实验室
• 五、后量子密码专栏 郁昱 上海交通大学
• 六、量子密码技术及将来应用前景 潘峰
• 七、量子密码实际安全性与应用研究 刘东 中国科学技术大学
• 八、全球量子密码专利分析 战略支援部队信息工程大学
• 九、量子纠缠和量子计算 钱辰 南京大学计算机软件新技术国家重点实验室
• 十、量子计算的挑战与思考 张焕国 武汉大学
• 十一、量子计算 夏培肃 中国科学院计算技术研究所
• 十二、浅谈量子计算与后量子密码 郁昱 上海交通大学

**