量子随机数发生器或将是网络安全的未来

1882年，加州萨克拉门托的银行家弗兰克•米勒（Frank Miller）开发出一种牢不可的加密方法。140年过去了，密码学家依然没有提出更好的加密方法。

美国内战期间，米勒作为军事侦查员学习过密码学。后来，他开始对电报学感兴趣，特别想预防电信欺诈，当时这个问题使很多银行家感到沮丧。与他同时代的法国大西洋电报公司秘书罗伯特•斯莱特（Robert Slater）在1870年出版的《电报密码，确保电报发送的私密性》（Telegraphic Code, to Ensure Secresy [sic] in the Transmission of Telegrams）一书中写道：“不诚实的电报员要实施巨额欺诈犯罪易如反掌。”

米勒在1882年出版了一本关于电报密码的书，提出了一种加密方法：按照随机数移动报文中每个字母的位置，形成一串乱码，实现对报文的加密。例如，要对单词HELP进行加密编码，你可以将H移动5个位置，于是它变为M，将E移动3个位置使之变为H，将L移动2个位置使之变为N，将P移动4个位置使之变为T。即使是一名爱管闲事的电报员也不知道如何生成MHNT，除非他也有5-3-2-4的随机数列表。为实现真正牢不可破的加密，每个随机数字串只对一条报文进行加密编码，随后即被弃用。

在米勒的书出版大约35年后，贝尔实验室的工程师吉尔伯特•S•弗纳姆（Gilbert S. Vernam）和美军上尉约瑟夫•莫博涅（Joseph Mauborgne）提出了本质相同的想法，他们称之为一次性密钥。此后，密码学家一直尝试设计出一种方法，来生成并分配该技术所需的独特而真正随机的数字。但事实表明，这非常困难。

于是我们转而使用安全性低的加密方法，其后果是，只要攻击者具有足够的耐心和知识，就可以破解他们想要的任何加密数据。和米勒所在的电报时代相比，今天我们有着更多的联通方法，如物联网设备、可穿戴技术和区块链相关服务等，它们都需要强大的加密技术。根据网络信任联盟（Online Trust Alliance）2017年的《网络安全和泄密趋势报告》（Cyber Incident & Breach Trends Report），去年有超过15万家企业与政府机构成为网络犯罪的受害者。仅在对消费者信用报告公司Equifax的一例攻击中，黑客就删除了将近1.48亿名消费者的个人信息。报告总结道：“毫不奇怪，2017年是全球个人数据泄露与网络安全事件的又一个‘史上最差年份’。”

幸运的是，近年来研究者们在生成并分配真随机数的技术开发方面取得了良好的进展。通过测量亚原子粒子的不可预知属性，这些设备能够利用量子力学原理对消息进行加密。这意味着我们终于距离解决密码学的其中一大谜题更近一步，并有望实现多年前米勒所设想的不可破译的加密技术。

密码员都知道，防破解的加密方法有3个构成要素：首先，你需要一种算法将报文转换为一串无意义的字符串；第二，你需要一种产生随机数的方法；最后，你需要将前两项要素在他人无法访问的情况下交付给预定接收者。

单独使用第一种要素，无论算法多么优秀，都无法保护报文。加密报文将完全暴露给知道加密报文算法的人。这就是为什么我们将算法与随机数相结合。尽管其算法相对简单，但增加随机数的一次性密钥是不可破译的。要想恢复原始报文，你需要知道算法对报文加密所用的特定随机数序列。这些随机数就是密钥，它可解密这段报文的内容，但无法解密其他报文，就像你的房子钥匙可以开启你的门，但无法打开你邻居的门。因此，你的密钥越不可预测，你的加密系统就越强大。

可惜的是，大多随机数的来源都不是真正随机的。这些伪随机数发生器使用算法产生貌似随机的数字序列。但是，如果你知道底层算法，它们就变得完全可预测了。

我们也可以通过测量物理过程产生随机数，比如测量抛出硬币的结果或无线电通信对电流的干扰。但问题是如果这个过程受到经典物理定律的约束，那么测量结果就可以预测。当然，对被测量的内容进行反向工程可能需要费一番周折，但密码员必须假定，最终会有人找到一种破解办法。

很多物理随机数的产生很缓慢。一种常用的方法是记录鼠标在计算机屏幕上的点击或移动的坐标。KeePass是一个开源的密码管理器，利用鼠标的晃动生成主密码。可以试想一下，为了加密所发送的每一封电子邮件，你需要多少次随机点击或晃动鼠标。

我们需要一种能快速产生真随机数的来源，并且任何设备都可以使用。这就是量子力学发挥作用的时候了。

因其自身性质，电子和光子这类亚原子的行为方式是无法预测的。观察一个原子在相同条件下的不同时间发射的两个光子，可以发现，它们呈现出不同的行为，并且这些行为是无从提前预测的。这并不是说任何行为都是可能的，而是说在任何可能的结果中，我们无法预知将会得到哪一个。这种不可预测性对于开发随机数发生器而言至关重要。

20世纪90年代，英国国防部的一个团队首次提出将量子力学用于随机数生成。今天，你可以从QuintessenceLabs和ID Quantique等公司购买商业量子随机数发生器。QuintessenceLabs的发生器基于量子隧道效应——亚原子粒子不自主地穿过那些经典物理学认为无法翻越的屏障。ID Quantique发生器则追踪单个光子碰撞检测器的分布。

所有这些商用发生器都被限定于特殊应用，例如对机密军事数据或金融交易进行加密。而对于大众市场应用来说，它们过于庞大，运行缓慢，成本又高。大众市场需要的是微型量子随机数发生器，它们可以安装在手机、笔记本电脑或任何需要安全通信的设备上。过去8年来，我们集团位于巴塞罗那的光子科学研究所（ICFO）一直致力于创建价廉物美、结构紧凑且运行快速的量子系统。

最有希望的一种方法基于一种半导体激光器，称为分布式反馈激光二极管。我们首先让激光二极管在其阈值上下振荡——阈值就是光子受激发射时的能级。我们激光二极管的阈值约为10毫安。激光二极管超过其阈值时，会发射出随机相位的光子，也就是说光子处于波长的一个不可预知的点上。这些随机相位也就是生成密钥随机数的基础。

我们还打造成了几种设备，这些设备有助于确认量子力学中的“幽灵远程效应”，即无论相距多远，相互纠缠的粒子都可以在瞬间相互作用。具体地说，我们的设备可提供一种独立观察方法，来验证这种幽灵效应是否发生，这对证实真实发生相互作用的瞬间是非常重要的。我们使用光纤来构建这些设备，每台设备差不多有鞋盒大小。现在，我们利用标准芯片制造技术，将我们的量子随机数发生器的组件集成到不足2毫米×5毫米的磷化铟芯片上，该芯片可以直接安装在手机或物联网传感器上。

Quside科技公司于去年成立，是我们研究所的分拆公司，现正利用我们的技术将组件商业化。（本文作者Abellán即Quaide目前的首席执行官。）Quside公司的最新一代量子源每秒能够产生数千兆比特的随机数，对于当前或新兴的任何加密需求，一个量子源就已足够。并且由于这些量子源采用标准芯片制造技术，应该很容易进行大规模量产。

此外，我们的芯片不受附近电子的干扰。一般来说，任何电子设备都会受到热干扰或电子干扰。举例来说，白噪声会对无线电信号的接收造成干扰。如此微小的量子源尤其容易受到影响。在大多数情况下，设计者需要特别注意消除那些可能会破坏量子过程中纯粹而固有的随机性的影响。我们的解决方案巧妙而简单地避开了这个问题，因为光子的相位在很大程度上不受临近电流的影响。

另一种良好随机数量子源是发光二极管。2015年，维也纳科技大学的研究人员展示了首台这样的紧凑型随机数发生器。它由一个发出近红外光的硅发光二极管和一个单光子探测器组成。它产生的随机数与光子到达探测器的时间相关联。实验室原型机能以每秒几兆比特的速率生成随机数。

2016年，我们位于巴塞罗那的小组展示了前文提及的芯片量子源，它使用分布式反馈激光器，每秒能够产生千兆比特随机数。还有一项额外收获，我们制造量子源所使用的是现成的元件和标准的光学通信与制造技术。

同时，韩国最大的电信设备商SK电讯的研究者们展示了一种随机数发生器芯片，这种芯片使用智能手机摄像头，来检测发光二极管的光强度的波动。该设计基于ID Quantique的专利。原型机于2016年推出，尺寸为5毫米×5毫米；后来，SK电讯宣布计划实现同级别尺寸芯片的商业化计划——它小到可以装到智能手机里。

还有研究人员正在研究基于单光子探测阵列的量子随机数发生器。该阵列能检测到光源波动时的微小振动，检测量子波动的效果比传统相机还要好。

━━━━

只有加密算法与真随机数相匹配还远远不够。你需要一种安全的方法，将报文和密钥一起发送给收报人。

针对密钥的加密和解密，多年来的标准协议一直是RSA算法。它由密码员罗恩•李维斯特（Ron Rivest）、阿迪•沙米尔（Adi Shamir）以及计算机科学家伦纳德•阿德曼（Leonard Adleman）于1977年开发，依靠一种被称为单向函数的数学技巧，即任何计算在一个方向上求解都很容易，但反向求解极其困难，李维斯特、沙米尔和阿德尔曼采用的是一个经典的例证，即将两个大素数相乘，通常位数可达到1024位甚至2048位。将两个大素数相乘当然非常容易，但将结果分解回原始素数则非常困难。

RSA和类似算法为每个网络用户提供两个密钥：公钥（所有人都知道）和私钥（只有用户知道）。用户使用接收人的公钥对要发送的信息加密。然后接收人使用其私钥对信息解密。这类算法已经良好运行了40余年，因为即使知道公钥，破解私钥也是极端困难的。

不过，这类算法并不完美。其中的一个主要问题是，要耗费很长时间对少量的数据进行加密和解密。出于这个原因，我们利用这些算法对密钥进行加密，而不是对报文进行加密。另一个大问题是这些算法在理论上是可以破解的，只是目前数学上的突破进展还不能实际破解RSA和类似算法，破解密码要耗费很长时间。即使是今天的超级计算机也无法进行实际破解。

然而，利用20年前的巧妙算法，量子计算机利用量子叠加的特性，可大大减少所需的计算时间，轻而易举地计算出素数因子。今天的量子计算机还没有强大到可破解RSA的水平。但这只是时间问题，当这一天到来时，我们目前的网络安全基础设施会完全失效。

理想情况下，在量子计算机或数学突破令我们措手不及之前，我们应该能够让加密密钥变得不可破解。一种可能性是利用被称之为量子密钥分配的技术。就像生成真随机数一样，量子密钥分配依赖于量子力学不可预测的特性，在此情况下，为两名用户分配独有的、第三方无法窃听的密钥。最为常见的一个方法是，将密钥编码为光子方向，并将该光子发给另一个人。为了实现百分百的安全性，我们需要将量子密钥分配与一次性密码相结合，对我们的报文进行加密，这仍然需要极高速的随机数发生器。

我们相信，这些量子随机数发生器将能够提供我们所需要的所有随机数。我们还必须不断地检查量子源是否存在缺陷和干扰，能否产生真正随机的数字。在实验室里，我们已经开发出一种方法，来确定量子源的真正随机性的可信度。我们的“随机性度量”首先确立量子源所使用的物理过程和测量精度。我们使用这些信息设定纯粹来自量子过程随机性的边界。

现在，我们在开发量子随机数发生器方面已经走出了第一步，这种量子发生器体积小、价格低、速度快，适合广泛的日常应用，下一步是在计算机、智能手机和物联网设备上进行安装和测试。我们利用真随机数发生器，可以产生不可预测的加密密钥。如果将这些密钥与密钥分配安全方法相结合，我们就不必再担忧对手在计算或数学方面的技术了——面对真正的不可预测性，再强大的攻击者也无能为力。在弗兰克•米勒提出他的一次性密码近150年之后，我们终于掌握了牢不可破的安全性。