邁向量子網際網路

數字遊戲。構建量子信息技術的基本單元是「量子比特」。經典比特以二進位值「0」或「1」編碼信息，而量子比特可以處於兩個值的疊加狀態，並且可以相互糾纏。利用這些特徵，量子計算機可以同時探索多變量問題的多種可能的解決方案。這使其在處理優化任務方面比經典計算機更有效率，例如預測分子結構和天氣，或模擬金融市場。但量子計算機威脅數據安全的根本原因是其非常擅長進行大數分解，而這正是當前多數加密技術的基石

安全性的關鍵

加密數據並不困難，在如今的網際網路上，通常使用先進加密標準 (AES) 算法就可以做到。發送者使用一個密鑰，通過算法加密信息後，將其通過網際網路發送給接收者。後者需要用與加密相同的密鑰解密數據，如果沒有密鑰，則幾乎無法解密數據。這聽起來很不錯，但是應該如何在用戶間共享密鑰呢？直接通過網絡發送密鑰顯然風險較大，因此需要使用「公鑰密碼學」加密該密鑰。RSA算法是最常見的加密方式，它幾乎被用於保障當今網際網路的所有安全通信，URL開頭的「https」就是一個例子。

RSA需要生成額外的兩個密鑰 (公鑰和私鑰) 來加密AES所用的密鑰。公鑰對所有人公開，但只有擁有私鑰的人才能解密信息。希望獲得AES密鑰的人只需公開其公鑰，待接收到用公鑰加密的AES密鑰後，使用其私鑰解密即可。RSA通過大質數相乘產生密鑰，然後將其結合簡單的數學算法完成加密。傳統的計算機很難逆向分解得到用於生成密鑰的質因數，因此也就無法破譯數據。據估計，即使用當前最先進的超級計算機，也需數十億年才能破解使用2048位密鑰的RSA標準。

相比之下，量子計算機則可以輕鬆快速地完成大數的質因數分解。因為這是當前大部分經典密碼學的根基，因此會使整個網際網路面臨風險。雖然目前黑客還無法獲得足夠強大的量子計算機，但更大的危險在於，黑客可以實施「先截獲、再破譯」的攻擊，即將加密後的數據儲存下來，等到今後有更強大的量子設備時再進行解密。

設計可以更好抵禦量子計算機攻擊的新協議是解決該問題的一種方案。這些無需依賴質因數分解算法的協議被稱為「後量子密碼學」 (post-quantum cryptography)。雖然這類算法正在被加緊研究，並且有望在接下來的幾年內推出新的標準，但它們的完備性 (integrity) 依賴於對量子計算機實際限制的各種假設，而這些假設可能被大多數而非所有用戶接受。鑒於QKD是唯一從理論上被證明安全的密鑰分發方法，我們更希望從「AES+RSA」轉向「AES+QKD」或AES與其他形式的後量子密碼學方法結合。

工業影響

Andrew Shields是東芝劍橋研究院量子技術部門的負責人。他表示，非量子物理領域的大數據管理人員終於開始意識到了量子計算對數據安全的威脅。而在他從業的早期，主要的關注點還在1984年提出的BB84協議本身。在BB84協議中，量子比特以單光子偏振態的形式存在，例如：水平偏振光子代表「0」，垂直偏振光子代表「1」。基於量子力學原理，竊聽者的測量會不可隱匿地改變被測量子比特的狀態，從而使接收者可以推測信息是否被竊聽。

BB84協議在理論上無懈可擊，但實際生成和長距離傳輸單光子都非常困難。因此，東芝和英國電信組建的QKD使用了弱雷射脈衝作為光源。但是，此類光源中存在一定的多光子脈衝，這些光子可能被編碼到同一偏振狀態。這裡的安全性問題在於，如果一個密鑰被編碼在同一個脈衝的兩個或更多的光子上，竊聽者就可以截取其中的一個光子，而不改變其他光子的狀態。這將使這些光子不再安全。2003年提出的「誘騙態」方法可以解決這一問題。它在承載真實密鑰信息的信號光脈衝之間，摻雜一些光強更弱的「誘騙」光脈衝。當竊聽者從總的信號中截取一些光子時，他們會從誘騙態光脈衝取出比信號光脈衝更少的光子，從而改變兩者在總體混合脈衝中的比例，而這是接收端可以檢測到的明顯特徵。「儘管在單光子和糾纏光子源方面已經有了很多進展，但使用弱雷射源仍然是最有效的，」Shields表示，「使用誘騙態協議，我們可以獲得非常接近使用真正單光子源的理想密鑰率。」事實上，基於誘騙態脈衝的協議已經成為長距離QKD的新標準。

在東芝的商用QKD系統中，還開發了一種「復用」技術，使量子光可以與不同波長的經典光一起被發送和接收。「量子通道將不得不依賴於現有的通信基礎設施，因為從成本角度來看，更換它是不現實的，」 Shields說。雖然在傳輸數據的光纜中，並非所有的光纖都被使用，因此量子和經典通信光纖傳輸並非絕對必要。但一種有說服力的觀點認為，共享基礎設施可以最大限度地發揮QKD在未來的潛力，並允許它在漸趨單芯的光纖網絡的邊緣接入使用。

搭建量子網絡

東芝—英國電信量子城域網絡連接了三個核心節點：倫敦西區、倫敦市和斯勞。英國電信光學研究高級經理Andrew Lord稱，用戶在任意三個節點之一的半徑10-15 km範圍內都可以註冊並使用QKD傳輸數據。

然而，這種能力來之不易。「我們的主要業務是在客戶之間傳輸數據，無論其是否被加密，」Lord說。「問題是，如何將量子用於其中？」網絡需要管理量子信號，保證其到達正確的終端，同時還要修改標準的波分復用 (WDM) 數據信道。最大的難題是當高功率雷射在光纖中傳輸時，會干擾精密的量子狀態。「一不小心，經典數據就會淹沒量子通道。」因此，QKD系統設計者必須與WDM廠商合作進行優化，通過縝密的設計才能達到量子網絡的要求。

根據Lord所述，該網絡自2022年6月以來一直在無故障地運行。除了會計事務所巨頭安永，還引起了其他金融部門、醫療保健公司，以及政府的興趣。這有助於Lord、Shields及其同事確定市場對量子網絡的需求，以及如何創建全國範圍的廣域量子服務。英國電信正在開展一項由英國政府支持的可行性研究，預估使用現有技術實現這樣的網絡所需的代價。

量子密鑰分發(QKD)保障數據在網際網路中傳輸而不被量子計算機竊取。它使用由單光子流組成的密鑰對數據進行加密，其中「0」是水平偏振的光子，「1」是垂直偏振的光子。當接收者得到密鑰時，他們可以使用QKD解密數據，並計算出是否有人竊聽。由量子力學保證了這種竊聽或測量必將改變密鑰的狀態。(譯者註：QKD僅用於保證密鑰分發過程的安全性，加解密仍需使用其他算法來完成。且「０」或「１」代表的是非正交基下的一組光子，如「０」代表水平偏振或另一組編碼基下45°偏振的光子)

但是，使用現有技術搭建可以跨大西洋的洲際光纖量子網絡仍然力有不逮：微弱的量子信號每傳輸50公里，密鑰生成的速率就會降低約10倍。有兩種方案可以解決該問題，其一是使用衛星通信。2020年，中國研究者利用「墨子號」衛星在距離1100多公里的青海德令哈站和烏魯木齊南山站之間實現了QKD。但「墨子號」每晚在地面站上空僅停留5分鐘，密鑰無法持續更新。更高的軌道可以提供更長的覆蓋時間，但同時信號也會更微弱。另一種方法是使用「量子中繼器」。該裝置放置於長距離信道的中間，將具有糾纏特性的光子對分發到信道兩端。輸入光子通過與其中的一個光子相互作用，可以將其狀態傳送到遠端的另一個糾纏光子上。因此，量子中繼器可以成為拓展量子信號傳輸距離的橋樑。雖然量子中繼器的部分技術已經得到了驗證，但全功能的量子中繼器尚未實現。

無形的成功

雖然通往量子網際網路的道路仍然布滿荊棘，但相關技術正在得到迅速發展，大量資金也在近些年開始湧入這一領域。2018年，歐盟宣布將在未來10年內至少投入10億歐元，用於開展量子旗艦計劃。美國政府僅在今年就撥款近8.5億美元，更多的資金則通過谷歌、IBM和微軟等計算機巨頭私下地投入。英國政府承諾在下一個十年期的量子戰略規劃中撥款25億英鎊用於量子技術開發，並希望能再帶動10億英鎊的私人投資。

也許十年內，量子網際網路就可能以某種形式出現在我們的身邊。但頗具諷刺意味的是，對致力於此的人來說，只有失敗才會獲得關注。如果他們成功了，我們的敏感數據將不會被竊取，大多數人甚至不會意識到量子計算機曾造成過威脅。

本文經授權轉載自微信公眾號「中國物理學會期刊網」。

特 別 提 示

1. 進入『返樸』微信公眾號底部菜單「精品專欄「，可查閱不同主題系列科普文章。

2. 『返樸』提供按月檢索文章功能。關注公眾號，回復四位數組成的年份+月份，如「1903」，可獲取2019年3月的文章索引，以此類推。