量子密码的安全性

2020-06-15 09:46:24

量子密钥分发(以下简称“量子密码”)的安全性一直是量子通信领域的研究重点,也是公众关注的热点。在该领域主流学术圈内,欧洲学者Renato Renner等人主张的“迹距离”作为量子密码的安全性标准,已被普遍接受(迹距离是量子力学中用来衡量两个量子体系相似程度的度量工具,迹距离越小,相似程度越大。在量子密码中,迹距离刻画了生成的最终密钥串和完全随机的理想密钥串之间的相似程度)。

2016年,美国西北大学Horace P。 Yuen教授曾质疑迹距离这一现已普遍使用标准的安全性:在迹距离为10-9时,他得出量子密钥被窃听者猜中概率的一个上界值10-6,并因10-6这个值太大而质疑量子密码的安全性(猜中概率指窃听者成功猜中最终密钥串的概率)。

近年来,上述基于猜中概率上界值的“质疑”被一些自媒体大肆渲染,误导了大众对量子密码及量子通信安全性的认知,也让量子通信处于争议的风口浪尖。

“质疑者”在这里犯了一个逻辑错误。事实上:10-6并不是窃听者可达到的值,而是一个达不到的上界值,它的含义是:任何窃听者对密钥的猜中概率一定小于10-6 。或者说,虽然10-6这个值本身较大而不能被视为安全值,但是,Yuen的结果并不是说窃听者对密钥的猜中概率能够达到10-6 ,而是肯定不能达到,这当然不能证明在猜中概率标准下量子密钥是不安全的。

道理很显然:如果窃听者的实际猜中概率只有10-1000(这样的值是安全的),那也是小于10-6的。事实上,如果不作任何努力,任何人对任何密钥都可以说,窃听者的猜中概率不超过百分之百。百分之百这个上界值在数学上当然是对的,这个值很大(是任何概率的最大可能值),它能说明任何密钥都是不安全的吗?当然不能。所以,我们只能说这个结果本身太弱而没有科学价值,不足以据此“质疑”任何密钥的安全性。

在Yuen的论文中,他已经十分努力地去获取紧致的猜中概率上界值,但结果仅在他努力范围内是“紧致”的,却未必真得很紧致。要彻底澄清这个问题,最好的办法是给出一个非平庸的,真正紧致的猜中概率上界值。我们小组最近利用一种简洁明了的数学映射方法,给出量子密钥猜中概率的紧致结果:在迹距离同样是10-9的前提下,证明了窃听者对量子密钥的猜中概率不超过2×10-3277,这是一个很小的数,紧致程度比Yuen的结果强3000多个数量级。这个结果已于5月22日在国际专业学术期刊NPJ Quantum Information在线发表[1]。

我们的证明结果与Yuen的结果在数学上并不矛盾。对于同样条件下的密钥,Yuen证明了窃听者猜中概率一定小于10-6,我们证明了窃听者猜中概率的一定不超过,这个结果当然也是小于10-6的。虽然数学上并不矛盾,但是这两个结果的科学价值完全不同:Yuen证明的猜中概率小于10-6这一松散结果,无法判断在猜中概率标准下量子密码是否安全,而我们的结果明确判断了量子密码在猜中概率的标准下是安全的,因为是一个很小很小的数。

我们打个比方:某食品含有化学物质X,当X的含量低于千分之一时是安全无害的。现用A/B两台检测设备同时检测一块X含量为亿分之一的食品,A测定后发现该食品中X物质含量小于百分之一,B测定后发现X的含量小于千万分之一。这两个上界值结果数学上都是对的(因为都大于实际值),但是,A的测定结果能证明该食品是不安全的吗?当然不能,虽然它证明了该饮料中X物质含量小于百分之一,但万分之一也是小于百分之一的,却高于安全标准。该测定结果唯一能说明的是:这个测定结果无法证明该食品的安全性。或者说,对于判定该食品的安全性,A设备是个无效设备。而更高精度的B可以给出更加可靠的测定结果,用来证明该食品是否安全才是科学有效的。

虽然我们得到了关于猜中概率的紧致结果,但我们并不主张在量子密码领域从此用猜中概率取代迹距离的标准,相反,我们这个结论恰恰进一步确认了迹距离标准的有效性。最近,我国科学家完成的、创最远距离纪录的509公里光纤量子保密通信实验,采用的就是迹距离标准,其迹距离小于[2]。

综上可知:

1、基于之前的猜中概率松散上界值对量子密码安全性的“质疑”起源于一个逻辑错误;

2、之前的猜中概率松散上界值10-6,既不能证明量子密码是安全的,也不能证明量子密码是不安全的,唯一能证明的是:对于量子密码安全性的判别,10-6这个松散上界值没有科学价值,就好比前述的那台食品安全检验的“无效设备”

3、我的研究小组给出的猜中概率紧致上界值,明确显示量子密码在猜中概率标准下是安全的。

去年我发在《知识分子》上的评论文章(《王向斌谈量子保密通信:我为什么不愿回应自媒体的一些文章》)中就指出,Yuen对量子密码安全性曾发布了多个异于学术主流的另类观点。而Yuen的上述“质疑”,也如同他的若干其他“质疑”一样,未获本领域主流科学家们的认同。