我的電子情人夢(48)：我所能了解的量子加密

量子物理學是用原子的概念來理解和描述世界。

量子電腦是一種基於原子所具有的神秘量子物理特性的裝置，這些特性使得原子能夠通過相互作用，到電腦處理器和儲存器的作用。是故，量子電腦的基本元件就是”原子”和”分子”。

量子運算的概念，大約是起於1985年的提案。1994年出現了量子演算式，可以瞬間達成整數分解。RSA加密能夠快速被破解，這點對於現代社會，帶來非常大的威脅感與不安。於是，又有量子加密的觀念。

量子加密乃是利用「不確定性原理」之量子力學不可思議的性質，配送安全性的鍵資料。

Internet的終極密碼戰，會不會是量子加密，我不知道。不過，人間高手卻是如是說的：

「所有的加密技術都是設計來讓人破解的。」

難道網路安全的最後希望之火，還是會被撲滅嗎？目前答案是還沒有哩 !

量子加密的開端大概是在1990年代。杜林獎(Turing Award)唯一的華人得主姚期智說，像網路這麼重大的發展，十年、二十年也不會碰到一次，起先也沒人想到網路發展會變得這麼巨大，網路的發展也不過是近幾十年的事，現在網路的發展還沒有到最後階段，互聯網的安全性始終是當務之急，若不及時研究防範，後患無窮。密碼學、安全學以前是政府機關的工作，但是，隨著E-Commerce越做越大，龐大的機構像銀行、政府，有可能發生駭人聽聞的安全事件。電子爭霸，終究會回歸物理。狂者說：誰先擁有量子電腦，誰就可以先掌握世界，不知是真是假。

請允許讓我從頭來說起吧。

加密的遠近史暨概念演進：

當所傳遞的資訊，不希望被第三者知道(盜錄竊聽)的場合，從日常生活的書信、電話、電子郵件到取款卡的密碼等，如何施與安全的對策，從古今中外，往往會採取通信的密碼或是加密的方式。

其實，加密的歷史可以追溯到古代。最為典型的古典密碼之一，也需該是羅馬時代凱薩(Gaius Julius Caesar)所使用的「凱薩密碼(Caesar Cipher)」。它是一套很簡易的法則，就是將文字的順序往下推3文字，a - d，b - e等的方式。一段原文為secret的文字透過加密之後就變為vhfuhw。第三者只要不知道這個規則，就難以窺知原文。

由於凱薩密碼僅是文字順序的置換，解讀上並不困難。算是基本加密法則中的基本方式。

歷史走到了太平洋戰爭，美軍採用了「Code Talker」的方式，來傳達偵查報告或是下達命令。其實，這並非真實的密碼，而是利用美國原住民族(如Navajo)的語言，由於其文法以及發音上的超級特殊性，敵人學習非常非常地困難。日軍根本無法解讀通信。

有一個感性的說法，密碼的歷史就有如創造者與破解者的智慧競賽史。只要密碼被破解，新的加密方式就會再出現，而帶動密碼技術的進步。在這漫長的歷史歲月裏，破解密碼的解讀法越來越洗鍊。為了對抗解讀法，就逐漸產生了頻繁變更加密鍵(或是稱為加密金鑰)的方法。

以凱薩密碼為例，將原本往後挪的技巧改成「2，3，1，4」的順序反覆出現，也就是將加密鍵的長度加長，強化加密能力。此時，原文為secret的文字透過加密之後就變為uhdvgw。延長加密鍵的長度，增加了安全性，解讀上變的困難許多。加上，若是採用了所謂OTP(One Time Pad)的方式，就是每回通信會採用不同的隨機加密鍵；理論上，是徹底的安全。但是，回過頭來說，若是通信雙方共有龐大的加密鍵，實際運用上也會衍生出問題。

注：加密鍵也可稱為加密金鑰。

使用「共通鍵」方式的傳送端與接收端如何秘密地保有這個加密鍵就是所謂地「鍵配送問題」。這個問題的解決在於1970年代，就出現解決對策了。

一般通稱的公開鍵加密方式(Public key encryption system)是在1976年，Whitfield Diffie與Martin E. Hellman提出的概念。

其理念大致上是這樣子的：

首先，做成一對鍵，分別是「公開鍵」與「秘密鍵」，兩鍵互有關連。以A使用者為解說例子。

公開鍵，誠如其名是公開的，秘密鍵則是機密。A使用者有其秘密鍵，誰也見不到。

由於公開鍵加密方式乃是使用「公開鍵」來加密，只要有加密軟體，誰都可以進行加密。然而，公開鍵可以看成一方的通行鍵，一旦加密之後，靠公開鍵是無法還原的。必須利用A使用者的「秘密鍵」才能夠還原本文。

當加密文送給A使用者，A使用者利用持有的秘密鍵來解讀本文。如下：

因此，公開鍵加密方式的系統可視為如下圖所示。

然而，最被廣泛使用的公開鍵加密方式卻是”RSA加密”。1997年，Ron Rivest、Adi Shamir、Leonard Adleman利用質因數分解的困難度，開發了公開鍵加密的演算式。安全性上擔保，成為現在的主流。

RSA加密一直到今日還是電腦通信安全性保證的標準技術。加密鍵的長度，伴隨著電腦處理能力的提升，從數十位元到數百位元甚至1000位元以上。

注：公開鍵加密方式是WWW瀏覽器通信機能SSL (Secure Socket layer)/ TSL(Transport Layer Security)確認信賴性數位簽名用的技術。

1989年，Don Eigler 博士成功地利用35個原子做出IBM三個文字，係利用STM(Scanning Tunneling Microscope)掃描穿隧顯微鏡達成原子操作。

而堅固堡壘的RSA加密方式，卻因為量子電腦的出現而呈現了危機。

有一名出身台灣的教授姚期智是杜林獎(Turing Award)唯一的華人得主，杜林獎是資訊學門的諾貝爾獎，是這個領域的最高榮譽。RSA加密演算法(應用在電子商務、網路認證中的特殊非對稱密碼法)的三位發明人，也都曾得過這個獎。

很多人說，過去傳統電腦要花上千年才能解開由0和1構成的傳統密碼，在量子電腦上只要幾秒鐘，就能夠破解完成。

量子運算的概念，大約是起於1985年的提案。1994年出現了量子演算式，可以瞬間達成整數分解。RSA加密的快速能夠被破解，對於現代社會，帶來非常大的威脅感。

注：1936年，Alan Turing提出了一個數學模型，這個數學模型後來就變成今日電子計算機(電腦)的基本數學模型。Richard Feynman先生，在1982年時，就率先提出量子計算的概念。一直到1985年，David Deutsch發表在英國一個雜誌的文章，才正式給了量子電腦(Quantum computer)這樣一個名詞。

1994年Peter Shor提出來一個整數快速分解的一個方法，可以破解RSA加密，美軍開始緊張，投注了很多人力與經費從事這方面的研究。也就是從這個時期開始，很多的報章雜誌、媒體上面，大家也漸漸聽到所謂量子電腦、量子運算(Quantum computing)這樣的名詞。1996年，一個印度的數學家則提出所謂量子搜尋(Quantum search)，也就是在量子的資料庫裡面，如何快速攫取你所需要的資料。

支配半導體多年的摩爾定律(Moore Law)，的確走到了它的瓶頸。

2000年IBM公司宣布研製出利用5個原子作為處理器和儲存器的量子電腦(Quantum Computer)。

量子電腦是一種基於原子所具有的神秘量子物理特性的裝置，這些特性使得原子能夠通過相互作用，到電腦處理器和儲存器的作用。

量子電腦的基本元件就是原子和分子，IBM的這台量子電腦被認為是朝著具有超高速運算能力的新一代計算裝置邁出的新的一步。它可以用於資料庫的超高速搜索，還可以運用於密碼技術上的破解。

那麼，一個好問題來了。為何量子電腦能夠執行如此高速的運算呢？或許利用一個圖來解釋一般電腦的世界與量子電腦世界裡的乾坤差異，比較容易體會出來。

電腦的世界是邏輯一與邏輯零的位元，量子電腦則是稱為「量子位元」。最為有趣的地方在於「量子位元」可以是1與0同時存在的。也就是說兩個量子位元，可以同時表示出00/01/10/11等四種狀態。在一個時間上卻可以同時表示00、01、10和11四種狀態 (四個數字)，我們可以把一個運算同時作用在這四個數字上。量子電腦的超級計算能力就是來自這裡。這是因為量子的世界持有"波"的性質。

如此的狀態在現實的生活世界中並不能見到。

BB84，世界上最初的量子加密：

隨著量子電腦理論的並形發展，量子加密(Quantum cryptography)的概念也是跟著登場，突破的時間點是在1984年。Bennett與Brassard發表了BB84協定。IBM的TJ.Watson研究所於1989年實驗證實了BB84。1994年，PW.Shor證明了使用量子電腦很容易完成質因數分解與離散對數問題。

注：其實，量子加密的idea遠比量子電腦來的還要早。追溯到1969年，當時就讀於哥倫比亞大學的Stephen Wiesner就寫了一篇「Conjugate Coding」的論文投稿到IEEE，但是並未被刊登出來。然而告知就讀於Brandeis大學的朋友Charles H.Bennett。後來，Bennett就職於IBM的研究員，將這個概念告訴了其他的研究者。而信號加密的專家Gilles Brassard在1979年才聽到這個說辭而開始量子加密的研究。在1984年印度所舉辦的電腦系統與信號處理的國際會議上，Bennett與Brassard發表了世界初的量子加密協定，BB84就是取其名的頭文字與年代而命名的。

一般的通信場合，第三者(竊聽者)可以在中間攔截，而接收者卻渾然不知。若是使用量子狀態通信，中途若是有竊聽者，會因為變化量子狀態，接收端可以檢知被竊聽。而使用量子狀態實用化的通信媒體，光纖即是。光子與電子不同，在光纖中通過的光子，途中若是遭到竊聽，光子狀態不能回復，而得知竊聽者的存在。

簡單言之，BB84就是利用量子性質安全傳送秘密鍵的協定。與其說BB84是量子加密，倒不如說量子加密鍵的配送，更具政治正確。

BB84分別使用了4種類的偏光方向。偏極化分成兩種「正角偏極化」、「斜角偏極化」。正角偏極化:0°、90°，斜角偏極化:45°、135°。

注：一般燈泡或者太陽的光線都是所謂的「非偏極化光」。各方向振動的光子都有。攝影學告訴我們，只要在鏡頭前加一個偏光鏡，就可以濾掉一些不想要的方向的光，而只剩下某一個方向的光，使相片照出來顏色更加飽和。至於是哪一個方向的光可以通過則要看偏光鏡的角度了。

一個沒有偏極化的光經過水平偏光鏡後變成水平方向偏極化，再通過第二個有斜角的偏光鏡後，在銀幕上出來的偏極化方向也有一個角度。

當初，BB84的確認是在IBM的Watson研究所進行，距離僅30公分。後來，日商三菱與NEC在100Km以上距離完成了確認。

E91，量子糾纏之不可思議密碼：

當代研究的量子加密，實在與語言上的敘述有點差異。它並非任意資料的加密手法，比較接近加密鍵的安全送達，該可以說是「鍵配送」的手法或協定。量子加密系統就是利用量子的性質，來配送安全鍵，使用既知的加密演算式來傳送加密資料。

量子加密「絕對安全」的根據，在於利用量子一旦被測定就難以再現原來狀態的性質。

另外，使用量子別的性質來安全配送加密鍵的提案是Artur Ekert於1991年提出來的。它是利用量子糾纏(Quantum Entanglement)的性質，一旦相互作用的複數量子無法分離的狀態。這個提案簡稱為E91。

注：一對光子或粒子不論多遠都會互相影響其狀態的現象，稱為量子糾纏(Quantum entanglement)。

要說E91，就要說一點歷史了。量子力學是起始於1913年Niels Bohr的原子模型，1925年Werner Heisenberg作成行列矩陣力學，經過1926年Erwin Schrodinger的波動力學，最後Heisenberg於1927年確立了「不確定性原理(Uncertainty principle)」，或說「測不準原理」。

大意上是說，量子的世界裡位置與運動量是無法同時決定的；爾後，成為量子力學的基本原理。

而波爾(Bohr)-愛因斯坦(Einstein)論辯，兩人之間一連串的量子力學批判，非常地精采。乃是一場持續了30年的世紀大辯論。

1927年，波爾(Bohr)首度公開地演講他的互補原理(complementary principle)。愛因斯坦一直對量子力學的機率解釋感到不滿。他曾在寫給波爾(Bohr)的信中提到：

「量子力學雖然令人讚嘆，但在我的心中有個聲音告訴我，它還不是那真實的東西……我無論如何都不相信上帝會擲骰子！」。

1935年在 Physical Review 上，愛因斯坦(Einstein)和他的兩位同事 B. Podolsky 和 N. Rosen 共同發表了一篇「 Can Quantum-Mechanical Description of Physical Reality Be Considered Complete? (能認為量子力學對物理世界的描述是完備的嗎?)」。三個人異口同聲地回答:「不!」。這就是歷史上有名的「EPR悖論(Einstein-Podolsky-Rosen Paradox)」。探討量子力學的完備性，提出了一個量子狀態，這個量子狀態具有非局部性。

而波爾(Bohr)自然亦發表文章反駁，這個因果矛盾的爭論直到三十多年後(1964)才由貝爾(John S. Bell)為這個爭論作出了總結，讓問題單純化。提出傳頌一時的貝爾不等式 (Bell inequality)。大意是，依據實驗結果，不等式成立的話，愛因斯坦派是正確的。若是無法滿足不等式，則是量子力學正確。

1982年，法國物理學家Alain Aspect和他的小組成功地完成了一項實驗，證實了微觀粒子之間存在著一種叫作「量子糾纏(Quantum entanglement)」的關係。解決了長期存在波爾(Niels Bohr)和愛因斯坦(Albert Einstein)的量子物理學解釋的爭端，證明後者是錯誤的。

在量子力學中，有共同來源的兩個微觀粒子之間存在著某種糾纏關係，不管它們被分開多遠，都一直保持著糾纏的關係，對一個粒子擾動，另一個粒子不管相距多遠立即就知道了。當觀察其中之一個粒子，確實影響了被觀測的粒子，也就是說量子糾纏可能會證實愛因斯坦不喜歡的「超距作用(spooky action in a distance)」是存在的。

瑞士日內瓦大學的 Nicolas Gisin的研究群實驗，證實『粒子的相關不隨距離增加而衰減』。

1991年，Ekert建議利用EPR 狀態的特性，來作量子鍵(或稱量子密鑰)。在A、B兩地甲與乙分別擁有EPR電子對中的一個電子。當要建立量子鍵時，他們可以藉著測量電子自旋，然後公開比對結果，得到密鑰分佈，因而解決了量子密鑰儲藏的問題。

而E91的實驗成功，則是8年後1999年陸續有大學研究團隊證實。真正現場的實驗是於2004年於維也納大學的Zeilinger團隊在奧地利信用銀行的本部與650公尺遠的行政事務所，利用1.45公里的光纖實現了量子鍵的配送。

而量子糾纏態的這種非局限性，也是實現量子遠距傳輸、量子密碼學、量子電腦的重要基礎。

量子加密系統的具體動作：

量子加密系統是測定光子的狀態來傳達資訊。這時候，信號的檢出方式就是「干涉」。

一個著名的雙狹縫實驗，光通過雙狹縫之後在屏幕上會出現干涉條紋。量子加密系統的接收端就是應用這個原理。接收的光子起了干涉，依據何處到達來區別0與1。也就是說利用光的干涉來檢出信號。

BB84的場合，傳送端將載送資訊的光子偏光，偏光可以隨機選擇「縱橫」或「偏協」。選擇「縱橫」的場合，「縱」為資訊1，「橫」為資訊0。接收端的偏光也是隨機，當與傳送端的偏光一致時，採用這個資料作為加密鍵。接收端偏光一致時會引起干涉，依據光子的到達場所來區別0與1。

底下是一個BB84具體裝置的解釋圖。

從傳送端的光源在內部一分為二，分別是通過經路較短Sa與經路較長La，Sa的途中放置了相位調變器，利用偏光載送資訊。而通過Sa的光波早一點送出。當兩個光波到達接收端時，也一樣有兩個經路Lb、Sb。調整La -Sb，Sa - Lb的光波時序。這兩個光波在合流處會引起干涉，當傳送端與接收端偏光一致時，改變光子的到達地點，利用感度高的APD(Avalanche Photodiode)元件來檢出光子的到達，判別0或1。

以上這個系統的最大問題就是為了正常動作的調整相當不容易。傳送接收端光的經路長度嚴密配合的調整，乃是必要的。因此，一個無需調整、隨插即用的構思或方案，對於邁入實用化階段卻是必須的。1996年，瑞士日內瓦大學研究團隊，就提案出一個隨插即用(Plug-and-Play)的量子加密系統。

這個隨插即用(Plug-and-Play)的量子加密系統的概念是在接收端安置了光源以及分歧經路，傳送端配置了反射光的法拉第鏡(Faraday Mirror)以及相位調變裝置。

隨插即用的方式，光子是在接收端相同的分歧經路來回通過引起干涉，不像過去傳統方式因應光纖的長度等考量需要嚴密去調整，此種方式無須調整。缺點反而是落在法拉第鏡。反射的特性可能隨著溫度變化的影響，如何保溫是一重要的考量。再者，法拉第鏡回轉角度精密的配合也非容易的事情。

針對這個議題，日商NEC就提出了一個交互變動(Shift)的相位調變方式，拿掉法拉第鏡。

另外，量子加密系統實用化的最大課題之一，即是到達接收端光子的檢出。1個光子作為信號，非常微弱。熱雜訊對於信號存在之有無的影響，難以忽視。一般，光子的檢出是採用了APD元件。由於熱雜訊的影響，光子未到達時的檢出，也就是錯誤的暗計數(Dark count)可能存在。因為，熱雜訊乃是溫度而產生。最最簡單的方式，就是下降檢出器的溫度，將之以極低溫冷卻，也是理想的對策。

以NEC所開發的量子加密系統為例子，就是使用了「Peltier device」，以就是TE致冷器(Thermal Electric Cooler)；將檢出器冷卻在攝氏負50度，確保50公里的傳送距離。

而APD的構造，也有需要留意的課題。主要是「殘留脈衝(After Pulse)」的現象。意思是指檢出光子之後，在下一個光子尚未到達之時，信號檢出的現象。

對於系統順暢的運作，從量子的傳送、相位調變到光子的檢出，時序(Timing)的管理很重要。光要順利干涉，接收端內部的兩個光脈衝，同步是必須的。

光子檢出器，若要提升增幅率，就有必要在光子入射的瞬間，施予偏壓。

光纖會因為溫度而伸縮，而影響信號的時序。如何導入不受光纖長度影響的時序控制也是要納入考量的要素。

光子的產生，減弱雷射光，平均0.1個的類似單一光子。但是，平均0.1個也就是說10回的通信，僅有1回是送光子，傳送效率不好。

以後的視野該是利用單一光子的系統，提升傳送效率。

一般半導體雷射的構造乃是利用電子與電洞的結合而放出光。就是由於這個構造，各個各個電子與電洞的結合之控制來連續發生同樣波長的光，理論上是很難的。

因此，利用普通半導體雷射的改良作為單一光子發光源是很困難的。

而自然界存在單一原子的取出控制也是不容易。因此，多數場合是採用「人工原子」的方式，來作為單一光子的發生源。

從量子鍵配送到量子中繼：

且說：

1984，BB84登場。

1991，E91出現。

1992，BB84提案的Charles H.Bannett提案新的量子加密，簡稱B92。BB84與B92的最主要差異點，是在於前者一個位元有4種量子狀態，B92則是兩種狀態。

B92使用非直交的量子狀態，亦即0度與180度的非直交狀態。傳送端分成長短兩個經路，由於一端有延遲，送出兩個脈衝。脈衝的大小不均等，通過長經路的脈衝較大，而通過短經路的脈衝會進入相位偏移器，僅有0度或180度，這就相當於位元0或位元1。

接收端的光回路與傳送端一樣，也是區分成長短兩個經路。僅有與傳送端的相位偏移量相同時，會出現干涉。再調查接收端的相位偏移量判別0與1。

從B92之後，各種量子鍵配送的新提案暫緩了下來。一直到了2002年，美國史丹佛大學與日本NTT的研究團隊，才提出DPSQKD(Differential Phase Shift Quantum Key Distribution)的新方式。這是應用差動相位偏移調變DPSK(Differential Phase Shift keying)到量子加密的方式。用連續兩個脈衝的相位差資訊。

BB84/B92送收雙方測定不一致時會將位元捨棄，DPSQKD方式就沒有必要，因此通信效率高。

單一光子光源實用化需要時間。假設這個問題遲早能夠被克服的話，殘餘的問題就剩下距離的長度了。要覆蓋整個都會圈，就必須仰賴信號中繼器了。若是使用信號放大器不就是盜聽，破壞了量子狀態嗎？其實，還是有辦法的。那就是利用「量子遠距傳輸(Teleportation)」的現象。

遠距傳輸(Teleportation)原本是科幻小說或電影中的用語，有物質瞬間轉移到其他場所的意味。1993年，BB84/B92提案Bennett的研究小組，推出相同的量子狀態可以用別的量子再現的理論。(注：原來，1960年代星際爭霸戰Star Trek影集到後來電影的人物以光束傳輸的方式轉移真的不是亂編的，好佩服!)

量子遠距傳輸(Teleportation)的涵義可以如此來解釋。傳送端A與接收端B，從A端送出的光子a狀態，並沒有將自體渡到B端，而是在B端再現。這是因為使用EPR光子對的原因。

傳送端A送出光子a資訊，中繼裝置C配合光子a的到達時序產生光子對Ca與 Cb。使用Bell測定結果的Cb變換而再現光子a的狀態。

量子遠距傳輸(Teleportation)最初的實驗是在1998年加州理工學院的古澤明完成成功的實驗。爾後的各種實驗報告就此起彼落了。

通信本文的加密：

BB84等運用於加密鍵的配送，卻不適用本文。難道在量子力學原理中就沒有不使用加密鍵，直接加密本文的方案嗎？答案是有 !

那是2000年由西北大學的Horce P.Yuen所提案的，因此稱為Y-00。加密技術有區塊加密與位元流加密兩種類，美國標準密碼常用的DES(Data Encryption Standard)以及AES(Advanced Encryption Standard)屬於前者，Y-00則是歸屬於後者。

2007/4，SoftBank Telecom、日立情報通信Engineering，及玉川大學成功利用2.5Gbps光通訊Y-00量子加密技術與商用光纖網路完成192km的光傳輸實驗。

總之，Y-00的研究歷史尚短，於1984年提出的BB84也是到了2000年左右才完全證明其安全性。

同理類推，Y-00的最終結論還是需要一段時間來磨練試探。

說一個小結語：

再重複一次敘述。

量子物理學是用原子的概念來理解和描述世界。

量子加密乃是利用「不確定性原理」之量子力學不可思議的性質，配送安全性的鍵資料。

「所有的加密技術都是設計來讓人破解的。」，癮科技上如是說。難道網路安全的最後希望之火，還是會被撲滅嗎？答案是還沒有!

只是，量子加密的方案，目前尚不符合經濟效益；量子加密傳送距離也還不夠遠。還要一段遠路要走。不過，來到只是時間的問題罷了。

注：事實上，人們對量子理論的不解與疑惑，也許正如費曼 (Richard Feynman, 1918-1988) 所曾下過的註腳一樣困惑人心：『"I think I can safely say that nobody understands the quantum theory(我想持平來說沒有人真正了解量子理論)』。代表「世界的下一步是隨機的」的量子學派得到現今大多數物理學家的認同。

注：二十世紀爆發了三次科學革命：愛因斯坦的相對論打破了幾千年來人類對於時空概念的信心；海森堡的測不準原理與量子力學的發展推翻了古典物理的世界；哥德爾的不完備定理動搖了數學領域的基礎。