資訊科技

量子金鑰 鎖住鈔票

一旦量子電腦在10年後問世,駭客便有機會隨時竊取你的網路交易資訊,屆時荷包恐不保。幸好,兩位科學家30多年前在海灘上想出的創新點子,如今可能演變成我們的救命繩。

撰文/佛爾吉(Tim Folger)
翻譯/鍾樹人

資訊科技

量子金鑰 鎖住鈔票

一旦量子電腦在10年後問世,駭客便有機會隨時竊取你的網路交易資訊,屆時荷包恐不保。幸好,兩位科學家30多年前在海灘上想出的創新點子,如今可能演變成我們的救命繩。

撰文/佛爾吉(Tim Folger)
翻譯/鍾樹人


重點提要
一般電子商務和通訊使用的加密法,通常以大質數為基礎,現今的電腦配備還不足以破解這種加密技術。
量子電腦利用次原子世界的奇異規則,可同時嘗試程式碼的所有解法,因此能破解現在的加密法。
尚未有人打造出完整的量子電腦,但學術機構、政府和民間研究人員都在研發,某些專家表示,他們可能不出10年就會成功。
研究人員挖空心思使量子加密技術更加完美,並爭相推廣。量子加密利用量子的不確定性,創造出幾乎無法破解的程式碼。


10月的某個晴朗下午,在波多黎各聖胡安的海灘上,兩位科學家想到了一個創新的點子。那是1979年,布拉薩(Gilles Brassard)剛拿到美國康乃爾大學的博士學位,沉浸在溫暖的加勒比海裡,當時有人游向他,這位黑髮的陌生人侃侃而談如何製造無法偽造的貨幣。1969年,哥倫比亞大學的研究生魏斯納(Stephen Wiesner)提出了一項技術:在紙幣中嵌入光子;每張鈔票都有獨特的一連串光子、一個無法複製的量子序號。根據量子力學定律,任何測量或複製光子的方法都會立即改變光子的特性。


布拉薩現在是加拿大蒙特婁大學的資訊科學教授,他說:「當然,那時我很驚訝,但我還是禮貌地聽他說。」布拉薩表示,那段對話後來改變了他的人生;那位黑髮的班奈特(Charles Bennett)如今是IBM的研究物理學家,他在先前的研討會上就聽說了布拉薩。雖然他們都對量子鈔票的點子很著迷,但也明白這個點子在技術上不可行。即使到了今天,還是沒人知道如何在一張紙上捕捉、固定並儲存光子。畢竟,光子的速度很快。


布拉薩說:「現在稍有進展,雖然量子鈔票距離實際應用還有一大段差距,但就想像實驗來說,這是一個起點。這充份說明一個點子在實用層面上可能荒誕不羈,卻富有創意。因為班奈特和我就是從那裡,才開始有了新的想法,也就是如今廣為人知的量子金鑰傳輸(QKD)。」


QKD是利用光子來編碼並傳輸資料的技術,原則上,它提供了完全無法破解的加密型式。班奈特和布拉薩那天在海灘上相遇後,開始了為期五年的合作,催生有史以來第一個不借助數學複雜性、改用物理定律的加密法。當他們在1984年發表研究結果,很少研究人員注意到這個點子,更遑論有人認真看待了。布拉薩說:「有些人認為異想天開,但仔細讀過的人才會這麼說。我想連我們也沒這麼看重自己。」


不過情況今非昔比。30年前,除了政府的情報機構,很少人會用到加密技術。現在,加密已成為一般網路交易的基本技術。每當有人在網路上輸入密碼或信用卡號碼,網頁瀏覽器內建的精密程式會在幕後保護資訊安全,防止網路竊賊的覬覦。加拿大滑鐵盧大學量子計算研究所的研究人員馬卡洛夫(Vadim Makarov)說:「這是大家需要卻不會注意到的技術,可是它真的管用。」

  過不了多久,加密技術可能就會失靈。隨著量子電腦的出現,現今的每種加密法幾乎不再管用,因為量子電腦能破解複雜的程式碼,無論亞馬遜購物網站或電力網,都將暴露在危險之中。雖然還沒有人打造出完整的量子電腦,但全世界的學術機構、企業和政府實驗室都在嘗試。2013年,史諾登(Edward Snowden)揭露美國國家安全局(NSA)秘密蒐集資料的行為,並提到NSA的秘密計畫「穿透硬目標」(Penetrating Hard Targets):他們打算花費7970萬美元打造量子電腦。洛沙拉摩斯國家實驗室的物理學家紐厄爾(Ray Newell)說:「沒有人能拍胸脯保證,量子電腦不會在10或15年後問世。」

  如果第一台量子電腦啟動了,在破解程式碼的威脅下,我們最有效的反製作為可能是另外一種量子魔法:以班奈特和布拉薩在32年前提出來的理論為基礎的網路加密技術。量子加密利用單一光子的奇異特性來編碼資料,事實上,打造量子加密會比量子電腦容易得多。再者,一些小型的量子加密計畫已經開始執行。只不過有個問題:以量子加密取代全世界的加密系統,可能會比發展量子電腦的時間還長。紐厄爾說:「如果你覺得未來10~15年將出現這個問題,那麼我們應該在昨天就開始做這件事,我們可能已經為時已晚了。」


對稱與非對稱的隱密

  
現在我們進行電子商務非常簡單,只要按按滑鼠、點點螢幕,但隱藏在背後的是優雅而複雜的數學演算法,是由兩種不同型式的加密法構成:「對稱加密」和「非對稱加密」。對稱加密使用同樣的密鑰來加密或解密資料;在非對稱加密中,一個金鑰用於編碼資料,另一個不同的金鑰則解碼資料。我們每次在網路上安全交換資訊,都需要用到這兩種方法。

  一般來說,顧客的家用電腦與商家的網站伺服器進行資料傳輸,會先產生在網路上共享的一個對稱金鑰,對信用卡號碼和其他個人資訊進行編碼。基本上,金鑰是一組關於如何編碼資訊的指令。簡單說,金鑰可能把信用卡號碼的每個數字都乘以3。當然,在現實世界裡,金鑰的數學演算法複雜得多。每當有人在網路上購物,家用電腦的網頁瀏覽器就會與商家的網站伺服器交換金鑰。但在最初的交換過程中,我們如何保持金鑰的隱密性?這時就得透過非對稱加密這個第二層安全措施,加密對稱金鑰。

  1970年代,英國秘勤局(secret service)和學術研究人員各自獨立研發出非對稱加密,使用了兩種不同的金鑰:公鑰和私鑰。對任何加密的交易來說,公鑰和私鑰都是必要的。在網路購物過程中,商家的伺服器傳輸公鑰到顧客的電腦,顧客的電腦藉由商家的公鑰(所有顧客都能取得)來加密共享的對稱金鑰。商家的伺服器收到顧客的加密對稱金鑰後,利用私鑰解密。一旦對稱金鑰安全分享,就能對交易過程進行加密。

  非對稱加密使用的公鑰和私鑰,來自極大數的因數;精確說,是質數——只能被1和本身整除的數字。公鑰是兩個大質數的乘積,私鑰則是創造公鑰的兩個質因數。即使小學生也會質數相乘,但把一個極大數分成兩個質數,連最強大的電腦也會備感吃力。非對稱加密使用的極大數通常多達幾百位數。找出這種極大數的質因數,就像從一桶調色過的顏料分離原本的顏色一樣難,紐厄爾說:「混合顏料是小事,但分離顏料就不是了。」

  現今最常用的非對稱加密法是RSA。1970年代晚期,瑞維斯特(Ron Rivest)、希米爾(Adi Shamir)和艾德曼(Leonard Adleman)在麻省理工學院(MIT)發展出這個概念,這套加密法就是以他們的姓氏來命名。因為駭客的電腦速度越來越快,技巧越來越好;為了安全起見,金鑰的位元數也不斷增加,位元數越多的金鑰需要更強大的運算能力才能破解。現在,非對稱金鑰通常是1024位元,即使不論量子電腦的前景,這似乎不足以抵擋未來的網路攻擊。洛沙拉摩斯國家實驗室的物理學家休斯(Richard Hughes)說:「美國國家標準與技術局(NIST)正積極建議把RSA金鑰擴展到2048位元。但增加金鑰位元數會犧牲效能,當你按下『購買』鍵後,網頁會短暫停頓,因為公鑰加密法正在運作,造成惱人的時間延遲。金鑰位元數越多,時間延遲越長。」駭客的解密技巧逼得人們必須不斷增加金鑰位元數,可是現今電腦處理器的進步幅度難以與之抗衡。休斯說:「有好幾個原因值得擔憂。如果你同時在雲端系統執行多個公鑰運作,或是用於管理電力網,就不能容許這樣的時間延遲。」

  如果量子電腦現身,連NIST的建議也會失效。量子計算研究所的共同創辦人莫斯卡(Michele Mosca)在提到RSA即將推出的2048位元金鑰時,他說:「我認為量子電腦在2030年破解RSA-2048加密的機率有五成。」NIST的網路安全首席顧問竇德生(Donna Dodson)說:「在過去五年,量子電腦有不小的進展,我們認為必須預先準備、調整心態,因為量子電腦可能成真。」



1與0的量子位元


為何量子電腦如此強大?在現今電腦上,資訊的任一位元只會是兩種數值之一:0或1。然而,量子電腦利用次原子世界的奇異特性,單一粒子可同時以多種狀態存在。就像薛丁格的貓可能既活又死,除非有人打開盒子一探究竟。資訊的量子位元(qubit)可能同時是1和0。(在物理學中,量子位元可能是一個同時有兩種自旋態的電子。)一台擁有1000個量子位元的量子電腦,可能含有21000種不同的量子態,遠超過宇宙中的粒子總數。這並不代表量子電腦的資料儲存容量是無限大;任何觀察量子位元的嘗試,都會立刻決定1000位元的數值。但透過聰明的程式設計,可以在不觀察的情況下,管理大量的量子位元狀態,執行現今電腦辦不到的計算。


1994年,貝爾實驗室的數學家修爾(Peter Shor)證明量子電腦可以分解出RSA加密這類極大數的因數;RSA加密這種非對稱編碼方式,可以保護網路交易中對稱金鑰的交換。事實上,修爾寫出量子電腦的第一個程式。現今電腦會一次執行一個步驟,按順序進行運算;量子電腦卻同時執行所有的運算,修爾充份利用了這樣的特性。莫斯卡說:「修爾的演算法會撼動RSA。」人們最常用的對稱加密法是NIST在2001年通過的「先進加密標準」(AES)。但對稱加密法目前還不會受到量子電腦影響,因為AES這類對稱加密程式沒有使用質數來編碼金鑰。對稱金鑰由隨機產生的一連串0與1組成,通常是128位元,會產生2128種不同的金鑰,換句話說,駭客必須爬梳天文數字般的金鑰組合。目前全世界最快的電腦是中國的天河二號,每秒可執行3.38×1016次運算,但搜尋金鑰的所有組合,仍得耗費超過一兆年,即使量子電腦也無法幫助駭客直接破解這麼大的數字。在網路交易過程中,我們使用RSA這類非對稱程式來加密這些龐大的對稱金鑰,可是對修爾的因數分解法來說,非對稱程式現在形同虛設。


不過,必須先有一台量子電腦足以執行修爾的程式,才可能破解RSA。莫斯卡預測,到了明年,全世界一些實驗室會發展出由幾十個量子位元組成的原始系統。他說:「如果你想分解2048位元的RSA金鑰,可能需要至少2000個量子位元。」從幾十個量子位元發展到幾千個,可能得花上10年,但莫斯卡覺得難關終將克服。他說:「現在我們已經大致達到效能標準,足以打造出大型量子電腦,只是當系統放大時,不一定還能滿足標準。」


好消息是,正當人們還在嘗試製造量子電腦時,量子加密技術已大有進展。量子加密在1991年開始起步,當時英國牛津大學的物理學家埃卡(Artur Ekert)在《物理評論通訊》發表了量子密碼學的論文。埃卡並不知道班奈特和布拉薩先前的研究,在論文裡提到了另一種方法,利用量子力學來加密資訊。他的研究讓世人重新認識班奈特和布拉薩的想法,而且比起埃卡的方法,他們的想法更實際。


然而,直到2000年代早期,量子加密技術才開始走出實驗室,進入商業界。那時,物理學家已經知道如何使用電流來冷卻光子偵測器,而不必用液態氮;光子偵測器是量子加密裝置裡最關鍵、也最昂貴的元件。ID Quantique是一家瑞士公司,他們在2007年發展出第一個商用量子加密系統,瑞士政府已採購並用於保護資料中心。該公司的執行長里波迪(Gregoire Ribordy)說:「1997年我開始攻讀博士,冷卻偵測器的方法是把它放進裝有液態氮的杜瓦瓶裡,這種方法在實驗室可行,但用在資料中心就不切實際了。」之後,該公司把軟硬體賣給瑞士銀行,現在與美國拜特爾技術學院合作,想要打造一條線路,連結俄亥俄州的辦公室與華盛頓特區的分部。


在一個多雲的夏日,拜特爾技術學院的物理學家瓦連塔(Nino Walenta)向我介紹其中一個加密裝置。他說:「我們需要的東西都在這個櫃子上,所有的量子光學設備,產生並分配金鑰的每樣必需品,全在這裡。」在拜特爾技術學院哥倫布校區的地下實驗室裡,瓦連塔站在兩公尺高的櫃子旁。櫃子的其中一個擱板上,放著大型公事包大小的金屬盒。30多年前,班奈特和布拉薩率先提出的量子編碼方法,如今在這個盒子裡實現了。


量子網路走出實驗室


這套硬體包括一個小型雷射二極體,這個類似DVD播放器和條碼掃描器使用的雷射二極體,把光脈衝對準了玻璃濾光器。濾光器幾乎會吸收所有的光子,一般來說,一次只通過一個光子。接著光子可分成兩類不同的偏振方向,對應到1或0的位元值。這些光子一旦經過濾光器並帶有偏振後,就變成密鑰的基礎,再由光纖纜線傳送給指定的接收者,硬體會測量光子的偏振方向來編碼金鑰。


光子金鑰與傳統密鑰不同,幾乎無法篡改。(稍後會談到為何是「幾乎」。)任何覬覦的人想要攔截光子,都會干擾光子並改變數值。傳送者與接收者可以比較金鑰的一部份,檢查傳送到的光子是否與原始相符。如果他們察覺到窺視的跡象,就會把金鑰作廢,重新來過。瓦連塔說:「今天,金鑰通常可以用上好幾年,但有了QKD,我們可以每秒或每分鐘改變金鑰,所以非常安全。」


拜特爾技術學院已經架設一個量子網路,使用了110公里長的光纖,在哥倫布市總部和俄亥俄州都柏林市的製造工廠之間,用來交換財務報告和其他機密資料。結果,這樣的距離已接近傳送量子加密資料的極限。距離再長,光纖纜線會吸收光子,造成訊號惡化。


拜特爾技術學院為了避開這項限制,並把網路延伸到哥倫布市的其他地方,甚至在不久的將來,能涵蓋華盛頓特區,研究人員正與ID Quantique合作佈建所謂的信賴節點,也就是能接收並傳送量子傳輸的繼電器箱。他們以絕緣的密封元件封裝節點,保護裡面靈敏的光子偵測器(冷卻到-40℃)。如果有人侵入節點,內部的裝置會關閉並抹除資料。物理學家赫福特(Don Hayford)在拜特爾技術學院主導量子加密的研究,他說:「金鑰的運作會立刻停止。」


赫福特表示,如果信賴節點的鏈結順利運作,這項技術就能有更大規模的應用。他遞給我一張傳單,上面的地圖顯示量子網路在未來將延伸到美國多數地區。他說:「這是我們對量子網路的想像,用來保護所有的聯邦準備銀行系統。如果所有的聯邦準備銀行能使用量子網路互相傳輸,表示成果已相當不錯。為了橫跨全美國,我們需要大約75個節點,這聽起來或許很多,但以傳統的光纖網路來說,在同樣的間隔也需要佈建中繼器。」


中國政府也採用了類似的技術。他們已經開始在上海和北京之間建造一個2000公里長的量子網路,將提供給政府和金融機構使用。不管是赫福特的想像,或是中國正在進行的計畫,都使用專用網路來保護銀行和其他機構,這對網際網路來說並不實用。信賴節點連結兩台電腦的型式是直接鏈結,而不是任何機器能輕易相連的分支網路。諾霍特(Beth Nordholt)是剛從洛沙拉摩斯國家實驗室退休的物理學家,她表示,這樣的點對點連結,讓人回想起19世紀末電話產業草創的混亂,當時城市街道上都掛著錯綜複雜的深色纜線。諾霍特說:「當時,不管你與誰通話,都必須有條專用線路才行。這樣的擴充性並不佳。」


諾霍特、休斯、紐威爾和彼得森(Glen Peterson)正努力讓量子加密更有擴充性。為了這個目的,他們打造了一台記憶卡大小的裝置,可供網路裝置(手機、家用電腦、甚至電視)連結到安全的中央伺服器,交換量子金鑰,而且數量沒有上限。他們稱這項發明為QkarD,源自QKD。諾霍特說:「量子加密法最昂貴的零件,就是那些光子偵測器,以及冷卻並順利運作它們的所有器材。」所以她和同事把最複雜也最昂貴的元件,安裝在網路的集散點上。每台裝上QkarD的客戶電腦以光纖網路連結到集散點,而不是直接彼此相連。QkarD是發射器,透過小型雷射把光子傳送到集散點。


QkarD的作用有點像電話交換機。在這個網路中每台電腦會以一連串光子來編碼對稱金鑰,然後上傳到集散點。這種量子加密法會取代用來保護對稱金鑰傳輸的傳統RSA編碼。一旦客戶電腦和集散點之間交換了金鑰,集散點透過金鑰和AES,在網路的客戶端之間中繼非量子的傳統訊息,如此一來就能分享機密資料。


諾霍特團隊一直在測試原型的QkarD。整個系統位在洛沙拉摩斯的一間小實驗室裡,光纖纜線被捲放在實驗室長椅下方的一個桶子裡,長度有50公里,可連結系統的各個元件,模擬真實世界的距離。QkarD的技術已經授權給懷特伍德加密系統進行商業發展。如果這個裝置真的問世,休斯估計,一個連結1000個配備QkarD客戶端的中央集散點,可能就要價一萬美元。如果大量製造,QkarD的價格會是50美元。


諾霍特說:「我樂見手機和平板電腦內建QkarD,這樣你就可以安全連線到伺服器;或者你也可以在辦公室的基地台裡安裝一個,用來上傳金鑰(到伺服器)。你可以根據需求打造網路。」


加密與解密的攻防戰


澈底翻新全世界的加密基礎建設,可能需要10年以上。莫斯卡說:「一樣東西佈建得越廣泛,就越難修理。即使在技術層面上可以修理,大家還得統一做法,而且全球電信系統必須能交互運作。我們甚至沒有通用的電力系統,你每次旅行都得帶轉接插頭。」


這項挑戰的難度很高,還有迫切性。諾霍特說:「不只為了保護信用卡號碼,事態其實已經相當嚴重。」她表示,愛達荷國家實驗室幾年前進行了一項研究,顯示駭客只要把錯誤資料送進電力網的控制網路,就能炸掉發電機。她說:「我不想提到世界末日的景象,但這真的會對人們的生活造成重大衝擊。」


不過,量子電腦的第一個目標可能不是電力網。密碼學領域的很多研究人員相信,NSA和全球其他情報機構從網際網路擷取了大量的加密資料,目前的技術還無法破解這些資料。研究人員合理推斷,將來NSA有了量子電腦後,就可以解密這些儲存的資料。如此一來,幾十年後,不只一般民眾的私下交易會有風險,我們現在以為很安全的通訊也陷入險境。


布拉薩說:「我們可以理性推斷,一定有人(甚至可能很多人)把所有資料都抓下來,只為了將來有技術可以回頭破解。即使量子電腦仍未問世,甚至未來20年也不會成真,一旦它發展出來,你從第一天利用傳統加密技術傳輸的所有資料都將受害。」


即使量子加密普及了,貓捉老鼠的加密攻防戰仍會繼續。如果以傳統密碼學的歷史為鑑,我們知道,完美的理論和現實的世界之間必定有所差距。RSA公司的技術長拉姆詹(Zulfikar Ramzan)表示,RSA加密法剛發表時,世人認為它絕對安全。RSA是瑞維斯特、希米爾和艾德曼把自己的發明商業化而創辦的公司。但是在1995年,史丹佛大學的學生柯赫爾(Paul Kocher)發現,只要觀察電腦耗費多久時間編碼少量的資料,就能破解RSA加密。


拉姆詹說:「如果金鑰中的1比0多,運算RSA加密法會多花一點時間。你只要不斷重複這項觀察並計時,檢查運算時間,就能獲得完整的RSA金鑰。」變通的方法其實很簡單,工程師在加密程序裡加進一些隨機性,設法遮掩運算時間。拉姆詹說:「同樣地,之前沒有人想過這類攻擊,但終究還是出現了。所以在量子加密技術的脈絡裡,或許也有類似的攻擊。」


事實上,第一個量子駭客攻擊已經發生了。五年前,那時在挪威科技大學的馬卡洛夫帶領一組團隊,攜帶一個裝滿光學設備的公事包,透過一條光纖纜線連結到ID Quantique打造的量子加密系統。馬卡洛夫的團隊利用雷射脈衝讓加密系統的光子偵測器暫時失去作用,成功解密了一個原本應該很安全的量子傳輸。


馬卡洛夫表示,一般的駭客還無法做出這類攻擊。他說:「你的年紀必須比青少年大一點,而且能進到光學實驗室。若你只待在地下室裡,將無法學會這項技術,至少目前還不行。」雖然ID Quantique已經補強系統,這類攻擊無法再發揮功效,但馬卡洛夫的成功破解,戳破了量子密碼學的無敵泡泡。馬卡洛夫說:「破壞比建造容易。」


對布拉薩來說,多年前他與班奈特在海灘上想出的古怪點子,即使並不完美,但必定會在未來成為全世界網路的安全關鍵。布拉薩說:「量子加密有執行的必要,也會花很多錢,就像對抗氣候變遷同樣很花錢。但如果我們不做,到時候失去的東西將非同小可。」



關鍵字:
對稱加密、量子電腦、量子位元



延伸閱讀
〈量子傳訊,絕對機密〉,《科學人》2005年2月號