1、1量 子 計 算 與 密 碼 學曾文貴 交通大學 資訊科學系愛因斯坦(Albert Einstein)說上帝不丟骰子 ,意味著他相信世界的下一步是確定的;然而經由驗證貝爾不等式(J. Bells inequality),代表世界的下一步是隨機的的量子(quantum mechanics)學派得到現今大多數物理學家的認同。物理的論證似乎有了一個定論,但是密碼學家的夢靨才剛剛要開始。自從費因曼(Richard Feynman)在八十年代提出利用量子現象來增加計算的速度之後,量子電腦(quantum computer)的概念漸漸的形成。量子電腦的最大特點是 N 個儲存位元可以同時儲存 2N個資料,因
2、此量子電腦可以在多項式時間內解決一些目前電腦還需要指數計算量才能解決的問題,例如質因數分解、計算整數對數等;另外,量子電腦也可以加快完全搜尋(exhaustive search)的速度。根據估計,只要有幾千量子位元(qbits, quantum bits)的量子電腦,它的計算能力就要比現今地球上所有電腦的計算能力總和強上不知凡幾倍。目前具有幾個量子位元的量子電腦已經實驗成功,20 至 30 量子位元的量子電腦也在設計與實驗中。如果實用的量子電腦實現了,密碼的研究要往哪裡走呢?這篇文章介紹量子計算(quantum computation)、 量子密碼分析(quantum cryptanalysi
3、s)、 量子密碼方法(quantum cryptography)等,並討論未來密碼研究的方向。奇 妙 量 子 的 世 界物質具有粒子與波的雙重特性,到了次原子的世界,他們所產生的量子現象實在是令人難以相信。我們先來說一個大家熟悉的電子繞射干擾實驗,圖一中的電子槍 E 將電子一顆一顆的射向有 A 和 B 兩個細縫閘的薰黑玻璃, 這時螢幕 S 上會有光點一個一個出現,而且漸漸地顯示出明顯的干涉條文。但是如果將 B 閘遮蓋起來,則螢幕上會呈現出如圖二的一片模糊。我們現在來看這個實驗的量子現象,在圖二中,當一個電子從 E 到達 A 閘時,它可以到達螢幕上的任一點,因此螢幕呈現出一團模糊的光點。在圖一中
4、SA B. . . . . . .E2多一個 B 閘,因此一個電子可以到達 A 閘或是 B 閘,然後再到螢幕上顯像出來。問題是當一個電子在 A 閘 (或 B 閘) 時,它如何得知 B 閘 (或 A 閘) 是開的,然後跑到螢幕相關的位置上而形成干涉條文,這不是很奇怪嗎?量子論對此的解釋是一個電子是可以 同時 出現在 A 閘與 B 閘,因此它知道要在螢幕上形成干涉的條文,量子論稱同時出現在不同的位置為重位置(superposition),也就是這些量子狀態 coherence 在一起。因此我們可以用一個量子來同時表示兩個不同的狀態,這稱為一個量子位元(qbit);以此類推,N 個量子位元可以同時表
5、示 2N種不同的狀態!舉例來說,目前兩個位元的暫存器,在一個時間上只能表示 00、01、10和 11 中的一種狀態,但是兩個量子位元的暫存器,在一個時間上卻可以同時表示 00、01、10 和 11 四種狀態 (四個數字),我們可以把一個運算同時作用在這四個數字上。量子電腦的超級計算能力就是來自這裡。量 子 電 腦 如 何 計 算一個量子位元的兩個狀態以 |0 和 |1 來表示,其中 a 和 b 為虛數,但是 |+|=1;兩個量子位元的暫存器 (2-qbit register)可以代表a1|00、 a2|01、a 3|10和 a4|11,其中各 ai為虛數,而且 |a1|+|a2|+|a3|+|
6、a4|=1;其餘的以此類推。我們可以把一個運算(unitary operation) F 對 N 量子位元暫存器作運算,將重位置由 a1|00 0、 a2|001、a 2N|111轉換成 b1|00 0、 b2|001、b 2N|111,例如,圖三中的 F 對三個量子位元暫存器的八個數字作運算而得到新的重位置。因此 F 是對這 2N個數字同時作運算,也就是量子平行運算 ,但是只要有個量子位元的暫存器及一些量子邏輯閘即可。量子電腦的功能雖然強大,實際使用時必須克服一些問題;主要是量子狀態的不可回覆性及量子狀態的脆弱性 。雖然量子電腦可以同時表示 2Na1|000a2|001 a3|010 a4|
7、011 a5|100 a6|101 a7|110 a8|111Fa1F|000a2F|001 a3F|010 a4F|011 a5F|100 a6F|101 a7F|110 a8F|111b1|000b2|001 b3|010 b4|011 b5|100 b6|101 b7|110 b8|111=SA. . . . . . .E3個值,但是如果我們要得到暫存器的內容時,必須作 de-coherence 的動作,也就是摧毀量子狀態而得到一個值,這個值是所有狀態的一種,而且得到某個值的機會是相對狀態的係數的長度。更困難的是,量子狀態一但 de-coherence 之後就無法恢復到原來的狀態,因此計
8、算必須一氣呵成。因為要得到某個特定的值是不可行的,只好將我們要的值的係數估算出來,再利用統計的方法求之,因此每一次計算都要準備 m 個相同量子計算,再利用 random sampling 的技巧來估算未知值。量子狀態也非常脆弱,易受外在環境的干擾而崩潰,因此要將量子狀態維持一段時間以完成計算並不容易,也許未來可以克服這個技術問題。總括來說,量子的計算可以分成下列幾個步驟:1. 準備 m 個相同的量子暫存器,並將它們狀態的係數調好。2. 把運算作用在這些暫存器上,使得某些狀態的值為結果,並計算這些狀態的係數。3. 對 m 個量子暫存器作 de-coherence 而得到一些 random sam
9、pling 的結果,再利用統計的方法計算出我們要的值。量 子 密 碼 分 析量子電腦對密碼學的衝擊來自它能在多項式時間內作因數分解及計算整數對數 ,現在我們來看量子電腦如何做因數分解。量子電腦計算 N 的因數分解是求 FN(x)=ax mod N 的週期(order),也就是求T 使得 aT mod N=1。如果我們能求得 T 且 T 為偶數,那麼有很大的機會gcd(aT/21, N)是 N 的因數。例如,如果要因數分解 N=21,我們找任一數 a=2,計算出它的週期 T=6,因此 gcd(231, 21)=3 和 7 是 21 的因數。量子電腦準備兩個量子暫存器 R1 及 R2 各有 n=l
10、og N 位元,然後執行下列步驟:1. 將 R1 的位元設定為含有 2n個值的重位置(superposition),也就是 R1含有所有可能的 n 位元值 x,從 000 到 111。這可以輕易的達到,首先將每個量子位元設為 1|0,再利用簡單的 unitary 轉換將它轉成)1|0(|2然後兩個量子位元會 coherence 變成)1|0|0(|21)|0(2)|( 其餘的以此類推。2. 對 R1 的重位置值 x,計算 FN(x)並放到 R2 內,這時 R1 和 R2 的量子位元形成新的重位置(不列出各狀態的係數)xN)(|43. 將 R2 的內容 de-coherence 得到某一個 FN
11、(k)值,這時 R1 內的重位置值為 ,其中 x=k, k+T, k+2T, ,也就是所有的 x 值使得 FN(x)x|=FN(k)。4. 對 R1 的內容作 quantum Fourier transformation,將 R1 的內容作一個平行位移並將週期調成 1/T,就是 x 的值為 1/T 的倍數。5. 將 R1 的內容作 de-coherence 得到一些值,再求這些值得 gcd 得到1/T。6. 最後用一般的計算機求 gcd(kT/21, N)。量子電腦也可以在多項式時間內計算自然對數。它還可以加快完全搜尋,目前已經把完全搜尋時間由 2N推進到 2N/3,新的演算法還在研究之中。量
12、 子 密 碼 方 法從另一個角度來看,量子特性也可以用來解決安全上的問題,最主要是利用量子不可能被竊聽的物理特性,因為攻擊者一旦竊聽了量子所帶的資訊,也就破壞了量子的狀態,接收者也就收不到該信息了。量子金匙分配(quantum key distribution)就是利用這個特性來達成。一個光子可以用不同的測量方法 (basis) X 或 Y 來測量它的狀態,現在我們令它們代表不同的值如下:State Basis Value|0 X 0|1 X 1|0+|1 Y 0|0-|1 Y 1如果 Alice 和 Bob 要建一把秘密金匙 K。先假設 K 只有一個位元,Alice 任意選用四種狀態 (st
13、ate, basis) 中的一種來產生光子,並將它傳送給 Bob。Bob任意用 X 或 Y 測量方法來測量該光子的狀態,如果 Bob 所使用的測量方法和Alice 相同,那麼他會得到 Alice 所送的值;如果 Bob 所使用的測量方法與Alice 的不同,所得到的值就不一定和 Alice 的相同,應該捨棄該位元,重新再作;整個步驟如下:1. Alice 任選一個 state, basis=s, b,然後送該光子給 Bob。2. Bob 任選一個測量方法 b來測量送來的光子。3. Alice 和 Bob 都公開宣佈他們所用的測量方法 b 和 b。4. 如果 b=b,則 Alice 和 Bob
14、共有一個值,如上表所示。重複上述步驟多次,可以得到一個 n 位元的共同秘密金匙 K。對竊聽者Eve 而言,她可以使用 X 或 Y 測量方法來偵測傳送給 Bob 的光子的值,如果Eve 用的測量方法和 Bob 相同,Bob 所收到的值就和 Eve 相同,但是如果他們用的測量方法不同,Bob 所收到的是一個任意值,因此即使 Bob 和 Alice 使用相同的測量方法,仍然有一半的機會他們的值是不相同的,最後 Alice 和 Bob5利用 K 加密一個公開的明文,就可確定是否有竊聽者。目前已有多處實驗室在實驗量子金匙分配,到 1996 年為止,已經能夠利用光纖將光子傳送到 23 公里遠的地方2,到
15、1998 年,50 公里的傳送也實現了。如果是在一般的空間中傳送,也可以達到幾十呎遠。結 論目前的公開金匙系統大都是基於解自然對數及因數分解的困難度,但是量子電腦能夠解決這些問題,因此如果量子電腦成功,基於這些問題困難度的加密系統、數位簽章、及密碼協定都將變的不安全。然而安全性基於資訊理論(information-theoretic) 的密碼系統仍然能夠保持安全。從另一個角度來看,量子計算也提供了另一種設計密碼系統的工具,例如量子金匙分配,因此量子密碼系統的設計與分析是值得注意的。Peter Shor 利用量子演算法(quantum algorithm)解決自然對數及因數分解等問題8 ,促使更
16、多研究者投入這方面的研究,量子電腦上演算法的設計與分析是一個值得注意的研究方向。要實現量子電腦的技術還在萌芽階段,它的前景仍然充滿不確定性,有人樂觀,有人完全不看好,我們應該密切注意它的發展。後 記 量 子 計 算 與 量 子 密 碼 學 簡 史Richard Feynman 於 1982 年首先提出量子計算的慨念 7,但是沒有馬上受到重視,直到 1985 年 David Deutsch 提出一個量子電腦(universal quantum computer)的計算模式之後4 ,才有一些研究者加入研究。然而幾年的研究,並沒有太大的突破,量子電腦似乎不能解決什麼實際的問題。直到 1994 年 P
17、eter Shor 提出因數分解與計算自然對數的量子演算法後 8,大家才認識到量子電腦的超強計算能力,特別是破解編碼的能力,之後就有很多研究者加入這方面的研究。Stephen Wiesner 於 1969 年首先將量子理論應用到密碼學上,他提出conjugate coding ,開創了 Quantum cryptography,但是並沒有受到什麼注意,因此直到 1983 年才發表了這個結果9。Charles H. Bennett 和 Gilles Brassard 是比較早認識到這個結果的重要性的人,他們在 1984 年提出量子金匙分配的方法1,並致力推廣量子計算。參考資料1 C.H. Ben
18、nett, G. Brassard. Quantum cryptography: public key distribution and coin tossing. Proceedings of IEEE International Conference on Computers, System and Signal Processing, Bangalore, India, pp.175-179, 1984.2 G. Brassard, C. Crpeau. Cryptology column 25 years of quantum cryptography. 6SIGACT News, 1
19、996.3 G. Brassard. Quantum information processing: the good, the bad and the ugly. Advances in Cryptology Crypto 97, pp.337-341, 1997.4 D. Deutsch. . Quantum theory, the Church-Turing Principle and the universal quantum computer. Proceeding of the Royal Society of London A400, pp.73-90, 1985.5 A. Ek
20、ert. Quantum cryptography based on Bells theorem. Physical Review Letters 67(6), pp.661-663, 1991.6 A. Ekert. Quantum cryptoanalysis Introduction.http:/eve.physics.ox.ac.uk/Qcresearch/cryptoanalysis/qc.html.7 R. Feynman. Simulating Physics with computers. International Journal of Theoretical Physics 21(6), pp.467-488, 1982.8 P.W. Shor. Algorithms for quantum computation: discrete logarithm and factoring. Proceedings of the 35th Annual Symposium on the Foundations of Computer Science, pp.124-134, 1994.9 S. Wiesner. Conjugate coding. SIGACT News 15(1), pp.77-78, 1983.
