圖靈獎揭曉:45年前的海邊偶遇,讓物理學為信息科學帶來劃時代變革

當地時間3月18日，國際計算機學會（ACM）宣布，2025年ACM A.M.圖靈獎授予 Charles H. Bennett 與 Gilles Brassard，以表彰他們在奠定量子信息科學基礎、變革安全通信與計算領域所發揮的關鍵作用。

Charles H. Bennett 和 Gilles Brassard 是公認的量子信息科學奠基人，二人彌合了物理學與計算機科學的鴻溝，聯合提出首個量子密鑰分發協議——BB84，這也標志著量子密碼學的正式誕生。值得一提的是，1994年美國數學家Peter Shor提出的Shor算法，證明量子計算機可以威脅經典密碼體系，這一突破反向凸顯了 BB84 協議的不可替代性，讓量子密碼的戰略價值被全球認可。他們的工作構起了量子世界的“矛”與“盾”，深刻影響了信息安全的格局。

撰文 | 下雪

原標題：《2025圖靈獎揭曉：45年前的海邊偶遇，讓物理學為信息科學帶來劃時代變革》

長期以來，信息安全和隱私保護主要依賴于經典密碼學，其安全機制是基于計算復雜度，即特定的數學難題在經典計算機上難以解決，例如大整數的因子分解（RSA加密）或離散對數問題（Diffie–Hellman密鑰交換）等。到20世紀80年代，隨著量子物理學開始與信息科學交匯，一種全新的通信范式開始醞釀，可以保證數據的物理不可侵犯性，這就是量子密碼學（Quantum Cryptography）。此后，人們發現量子計算機可以使傳統密碼系統失效，這樣量子密碼的重要性就凸顯出來。這些工作構成了今天量子信息科學的基礎。

美國物理學家Charles H. Bennett、加拿大密碼學家Gilles Brassard以及Peter Shor三位先驅人物，通過他們的開創性研究證明，量子現象可以直接用于信息的安全傳輸和處理，并揭示了量子信息的雙重面貌——既能守護信息，也能摧毀舊有安全。

量子密碼學的起源

如果有人第一次接觸到量子行為而不為之目眩神迷，那他只字未懂。（Anyone who is not dizzy after his first acquaintance with the quantum of action has not understood a word.）

——尼爾斯·玻爾（Niels Bohr）

量子密碼學的誕生，源于Charles H. Bennett與Gilles Brassard的智慧碰撞。Bennett 1943年出生于美國紐約，1970年獲得哈佛大學化學物理學博士學位，1972年進入IBM。在那里他受物理學家Rolf Landaue的啟發，開始將興趣轉向信息處理的物理基礎。他早期的突破性論文證明了通用計算可以在熱力學可逆的設備上進行，理論上不需要消耗能量。而在1970年代初，他與美籍以色列物理學家Stephen Wiesner的早期交流，為后續量子密碼的研究奠定了基礎，兩人為大學同學并長期保持聯系。

Brassard（左）和Bennett丨圖源：Merlijn Doomernik

1970年代初，Wiesner向Bennett分享了兩項核心思路：一是基于量子力學原理制造“量子貨幣”（Quantum money），從物理上實現不可偽造的貨幣；二是“量子多路復用信道”（quantum multiplexing channel），接收方可以二選一讀取消息，但必須以不可逆銷毀另一消息為代價，這一概念后被認為是“二選一遺忘性傳輸”（1-out-of-2 Oblivious Transfer）的雛形。然而，Wiesner撰寫的文章投至IEEE信息理論匯刊（IEEE Transactions on Information Theory）時被拒稿，因為他所用物理學語言對信息科學家來說難以理解（所幸Bennett保存了原始打印稿）。當時量子物理和計算機科學是兩個相距甚遠的領域，它們的交叉完全處于學科邊緣。

1979年10月底，在波多黎各舉行的第20 屆 IEEE 計算機科學基礎研討會期間，Bennett主動找到正在海邊游泳的Gilles Brassard，兩人在水里交流了量子貨幣的概念。當時的Brassard年僅24歲，剛剛在康奈爾大學獲得博士學位。Brassard可謂早慧，13歲就進入蒙特利爾大學，并先后獲得計算機科學的學士和碩士學位。這次饒有趣味的碰面開啟了兩人長期合作。此前兩人并不認識，Brassard是在前往會議的旅途中看到Bennett在雜志上發表的文章才知道了他的名字，而Bennett則是在會議手冊中知道Brassard正在研究密碼學，他想找個人聊聊“量子密碼”。

這次交流被Brassard認為是他生涯中最魔幻的時刻——他們在幾個小時內就找到了將Wiesner的編碼方案與當時的公鑰密碼相結合的方法。1982年他們發表的首篇合作論文中正式提出了“量子密碼學”這一術語。緊接著1983年，他們從“光子本就是傳播”得到啟發，開始思考利用量子信道傳輸信息，最后提出了一個利用量子物理定律進行密鑰協商的密碼系統——量子密鑰分發（Quantum Key Distribution，QKD），基于量子不可克隆定理，竊聽者（Eve）不可能在不被感知的情況下獲取密鑰信息。與此同時，由于密鑰是基于量子物理行為協商生成的，任何的計算方法，哪怕是量子計算，也無法破解這一密鑰。

Bennett和Gilles Brassard將他們的密碼系統最終命名為“BB84協議”，基于兩人姓氏首字母，以及1984年在印度舉辦的一次IEEE會議上發表的相關報告。事實上。兩人在1983年就在IEEE信息論討論會（ISIT）上提交了論文。盡管會議只接收了摘要，但這篇摘要成了量子密鑰分發的“官方出生證明”。

BB84協議：基于不可克隆定理的防御

量子密鑰分發是量子密碼學最成熟的技術之一，專注于安全密鑰生成。而BB84協議是第一個純粹基于量子物理現象的密鑰分發協議，其核心思想是利用量子力學中的不確定性原理和不可克隆定理來保證密鑰交換的安全性。單個粒子可以同時處于多個狀態，即處于疊加態。不確定性原理表明，任何試圖觀測光子的行為都會不可避免地改變光子原有的狀態；而不可克隆定理表明單個量子態無法被完美復制。這意味著竊聽者無法在不驚動通信雙方的情況下，偷偷進行測量并復制原光子態繼續向前傳輸。換句話說，任何試圖截獲密鑰的行為都會破壞傳輸中的光子態，從而引起對話者的警覺。

BB84協議的基本原理如下。發送者利用光子偏振態來編碼信息，使用兩個正交的基（Basis），例如直線基（Z），垂直（90°）和水平（0°）偏振，分別對應比特的0和1；或者對角基（X），＋45°和-45°偏振分別對應比特0和1。發送方將隨機選擇一個比特值（0或1）以及一個隨機的基（Z或X）來編碼光子（實際為生成兩組隨機數，并以此決定最終發出的偏振態），并將光子發送給接收方。接收端則隨機選擇一個基來測量接收到的光子。雙方使用一個公開的經典信道溝通發送測量時選擇的基，但不公布具體測量結果的比特值，只有當雙方選擇的基一致時，接收方得到的測量結果才被保留下來，構成初步密鑰。而基不匹配時，測量結果是完全隨機的，對應的比特值被丟棄。

BB84協議基本原理丨圖源：global.toshiba

雙方得到初步的密鑰序列后，為了將其轉化成最終的安全密鑰，還需要進行兩個經典步驟，即誤差檢測（Error correction）和隱私放大（Privacy amplification）。首先是誤差檢測，通過抽樣比對和糾錯算法，計算量子比特錯誤率（QBER），以消除初步密鑰中由于信道噪聲或竊聽者介入而導致的比特錯誤，若QBER低于某個閾值則表明密鑰可用并進行糾錯，使雙方得到完全一致的初步密鑰。但是，即使進行了誤差檢測，竊聽者仍然可能擁有關于密鑰的信息，因此進一步消除可能被泄露的信息并得到安全和保密的最終密鑰變得很必要。這就是隱私放大，雙方將使用通用哈希函數將初步密鑰壓縮成一個更短且理論上完全安全的最終密鑰。

總的來說，量子密鑰分發克服了傳統一次一密通信中的密鑰分發困難問題，使通信雙方能夠在不依賴可信第三方的情況下安全共享隨機密鑰，使其具備理論上無條件安全的保密能力。

在上世紀80年代，BB84 協議的安全性意義并未立即得到科學界的重視。兩位開創者Bennett和Brassard決定制造出一臺原型機證明其價值。兩人都屬于理論家，所以分別邀請合作者進行硬件和軟件的開發，最終在1989年10月29日，他們成功實現了歷史上首次量子保密傳輸，傳輸距離為32.5厘米（恰好是Bennett和Brassard在海灘會面的十周年紀念日）。由于并沒有專門的經費，他們的原型機實際上非常簡陋。電源會產生噪聲，他們甚至可以“聽”到光子傳輸的聲音，因為產生不同偏振所需電壓不同，噪聲也不一樣。Brassard曾開玩笑說，對于耳聾的竊聽者，它是無條件安全的。而他們的文章發表在1990年《科學美國人》（Scientific American）雜志上，此后引發了學界廣泛的興趣。

Bennett和Brassard等人研制的第一臺QKD原型機丨圖源：Rev. Mod. Phys. 94, 035001

值得一提的是，波蘭裔英國物理學家Artur Ekert在90年代引入量子糾纏和貝爾不等式違背的概念后重新提出了量子密鑰分發——E91協議，該協議與BB84協議等價，但為原始的非糾纏BB84方案的安全性證明提供了更簡潔的方案。Ekert的工作發表于《物理評論快報》（PRL），而非計算機科學領域的期刊，使QKD在物理學界的影響力極大增加。此后，Bennett和Brassard提出了基于糾纏態的QKD協議BBM92，不再需要發送方制備光子，而是用糾纏源向發送和接收雙方分發糾纏光子，消除了“信源必須完全可信”的假設。

量子密鑰分發的挑戰

如今，基于量子密鑰分發的量子通信技術體系，已經實現了上千公里的安全密鑰傳輸，在商業化方面也正蓬勃發展，從金融機構到政府通信，均已開始布局相關的量子保密網絡。特別是中國在相關領域取得諸多成就。2017年發射的“墨子號”量子科學實驗衛星，實現了世界首次空間-地面量子密鑰分發，隨后將其與京滬光纖干線整合。利用該衛星作為可信中繼，研究人員實現了多個洲際通信壯舉。例如，促成中國與奧地利之間約7,600公里的量子安全通信鏈路，并完成了首次洲際安全量子視頻通話；還利用另一顆量子微納衛星“濟南一號”實現了北京與南非斯泰倫博斯之間12,900公里的實時安全密鑰共享和加密通信，首次將量子安全實驗實施到南半球，等等。

事實上，QKD在實際應用中仍面臨主要來自工程實現層面的挑戰：單光子源的生成和長距離傳輸都非常困難，實際的QKD系統使用的硬件并非理想化的單光子源，而是通常采用弱相干光脈沖。發送者的激光源不可避免地會發射多光子脈沖；接收者的單光子探測器效率也可能不匹配。因此竊聽者有可能利用這些硬件缺陷發動光子數分離攻擊（PNS；截取發送端多余的光子）或時間漂移攻擊（利用接收方探測效率的時序差異），在不引入可檢測錯誤的情況下竊取部分信息。

2003年Won-Young Hwang提出的“誘騙態”方法，旨在解決這一漏洞，即利用不同強度脈沖的統計特性差異來識別竊聽行為。發送方在承載真實密鑰信息的信號光脈沖之間，隨機插入若干光強不同（通常更弱）的“誘騙”光脈沖。竊聽者無法區分不同強度的光脈沖，只能從總的信號中截取光子，而這樣的攻擊將導致信號態與誘騙態脈沖的探測率和誤碼率分布出現偏差，從而改變兩者在總體統計分布中的比例。發送方和接收方通過比對這些統計數據，能夠精確地估計出單光子脈沖安全傳輸的性能，從而量化 Eve 最多能獲取多少信息，并進行相應的隱私放大，有效阻斷 PNS 攻擊。

通過誘騙態方法等關鍵技術的引入，量子密鑰分發的安全性與可實現性得到了顯著提升。然而，從實驗室走向全球化、網絡化的量子通信體系，仍需在器件可靠性、系統集成度以及成本控制等方面持續突破。量子通信的未來，正在安全與可行之間尋找新的平衡。

當然，這一切的源頭，要追溯至 Bennett 與 Brassard 于 1984 年提出的 BB84 協議——它首次以量子疊加與測量原理建立了安全通信的新范式。他們將量子物理學從一個純粹的理論領域，拓展為具有實際計算和通信應用潛力的新領域，為量子信息科學奠定了基礎。

量子攻擊的利劍——挑戰經典密碼學

1994年，當時在貝爾實驗室工作的Peter Shor發現，標準密碼學所基于的所謂困難問題——大數的質因數分解——在假想的量子計算機所能解決的范圍之內。他提出了著名的算法——Shor算法，在量子計算機上，整數分解問題可以在準多項式時間內高效求解，這一速度遠超傳統超級計算機所需的指數時間。因此，基于大數分解難題的傳統公鑰密碼體系（如 RSA）在量子計算機面前面臨潛在安全威脅。Shor的發現激發了密碼學領域的發展，因為人們希望找到更安全、更難破解的系統。另一方面，物理學家和計算機科學家則希望制造出量子計算機。與此同時，人們也發現了Bennett 與 Brassard提出BB84協議的重要性。

Peter Shor丨圖源：news.mit.edu

Brassard在獲得前沿知識獎（Frontiers of Knowledge Awards）后接受采訪時回憶道：“Shor摧毀了所有其他東西之后，我們工作的重要性才變得更加明顯。這點很有意思，因為1984年量子理論帶來了最安全的保密性。十年后，同樣的量子理論挑戰了所有當時部署的保護互聯網的加密系統。”

Peter Shor 1959年出生在美國紐約，他在高中期間獲得國際數學奧林匹克競賽銀牌，1985年在MIT獲得應用數學博士，畢業后在加州大學伯克利分校進行博士后研究，隨后在貝爾實驗室工作，正是在此期間他開發了Shor算法。一次，Bennett來到貝爾實驗室展示BB84協議，Shor第一次聽說量子通信就被迷住了。他最初的興趣點在于如何數學上證明BB84的安全性，但隨后他的研究轉向了一個更具顛覆性的問題：如何利用量子特性加速計算本身。

Shor算法

1994年，Shor首先提出了一個量子算法，可以指數級加速解決離散對數問題。這個突破已經足以對現有加密體系構成威脅。有趣的是，Shor在貝爾實驗室做過報告后，傳出謠言，稱他解決了更棘手、對全球安全影響更大的素數因子分解問題。更令人驚訝的是，隨后的四天內，Shor真的完成了概念擴展，找到了解決素數因子分解的量子方法，這便是今天的Shor算法。

Shor算法主要包括兩個部分：經典部分和量子部分。經典部分將整數因式分解問題轉化為尋找一個特定函數的周期問題；量子部分則利用量子計算的并行性和干涉性，快速找到該函數的周期，從而實現因子分解。

經典計算機上分解大整數N的最快已知方法是通用數域篩選法（General Number Field Sieve, GNFS），其運行時間是關于N的位數L的亞指數時間，隨著L增加，所需計算時間呈指數級增長。目前認為按GNFS方法破解RSA-2048（二進制位數）是不可行的，以2009年破解RSA-768的算力估計需要6400萬億年；而如果用量子計算機，在數百萬到數千萬量子比特的情況下只需要數小時到數天時間。（當然，這一量級的量子比特在短期內也難以實現，所以RSA-2048仍被認為是安全的公鑰加密方案之一。）

尋找r則是計算最為關鍵，也是最為困難的部分。這里Shor利用量子并行性（Quantum parallelism；同樣基于量子疊加性和糾纏性），在一個疊加態中同時計算所有可能的值，再應用量子傅里葉變換，計算出隱藏在疊加態中的周期r。在解決離散對數問題時，Shor受Simon問題（Daniel R. Simon提出理論上量子計算機可以比）的啟發，后者使用二進制矢量空間上的傅里葉變換來找出該矢量空間上某個函數的周期。而Shor引用了量子傅里葉變換，把量子態中隱藏的周期性轉化為測量概率分布中的峰值，從而提取出周期r。

相比經典算法，Shor算法實現了指數級加速，也是量子計算優越性的最有力證明。

此外，由印度裔美國物理學家 Lov K. Grover于 1996年在貝爾實驗室提出的Grover算法是又一關鍵進展。它展示了量子計算不僅能在特定問題上提供指數級加速（如Shor算法在因數分解問題中的表現），也能在通用搜索問題中提供平方級加速（quadratic speedup）——這意味著在某些“無結構搜索”任務中，量子計算機的效率可顯著超越任何經典算法。兩者共同構成了量子算法設計的核心。

量子計算的基石：量子糾錯碼

Shor算法發布之初，雖然其理論價值得到承認，但許多物理學家對其實用性表示懷疑，因為算法中的每個量子比特在計算過程中都必須長時間保持相干性，而真實的量子比特則遠沒有這么穩定。量子系統對噪聲極其敏感，容易發生退相干和錯誤，任何微小的擾動都可能破壞其相干性，從而使計算結果隨機化。要構建一個足以運行Shor算法的大規模、低錯誤率的量子計算機，在物理上似乎是不可能實現的。

而Shor本人也轉向研究如何使量子計算具有容錯性，并再次做出了一項具有里程碑意義的貢獻，即量子糾錯。1995年，Shor提出了第一個量子糾錯（Quantum error correction，QEC）碼。經典糾錯通過簡單復制信息實現冗余，但這在量子力學中是被不可克隆定理所禁止的。Shor的QEC通過將一個邏輯量子比特的信息以高度糾纏的方式冗余地編碼在多個物理量子比特中，從而實現了對錯誤的隔離和修復，同時保持了量子相干性。Shor 最初設計的9比特量子糾錯碼，通過兩次利用重復碼來處理兩種錯誤，即同時糾正一個量子比特的位翻轉錯誤（bit-flip error）和相位翻轉錯誤（phase-flip error）。這意味著可以使用9個物理比特來編碼一個邏輯比特。（關于如何實現量子糾錯可參見《量子計算的下一個超級大挑戰》）

Shor在一次采訪中回憶道：“每個人都認為量子計算機無法糾正錯誤，因為一旦你試圖測量一個量子系統，你就擾亂了它。換句話說，如果你試圖測量錯誤并糾正它，你就擾亂了它，計算就會中斷。我的算法表明，你可以隔離并修復錯誤，同時仍然保持計算的完整性。”可以說，量子糾錯碼的提出與隨后的一系列實驗驗證，首次證明了量子計算在理論上具備容錯的可能性，為實用量子計算機的誕生奠定了基礎。

結 語

Shor的算法是量子計算領域的里程碑，讓人們第一見到了量子計算的巨大潛力，而他提出的量子糾錯碼，也讓量子計算不再只是理論游戲，而是可以撼動現實密碼體系的力量。Shor與Bennett、Brassard的工作構成了量子信息科學中“矛與盾”的關系。Shor算法攻破基于數學復雜度的經典加密堡壘，促使安全領域將目光投放到基于物理定律的量子密碼學，特別是BB84協議等量子密鑰分發方法，以建立起新的防線，同時也促成了后量子密碼學（Post-quantum cryptography，PQC）的誕生。

這三位科學家的成果拓展了科學的邊界，讓量子物理與計算機和信息科學在同一舞臺上交匯，為量子信息發展奠定了基礎，點亮了全新的技術時代。如今圖靈獎授予Bennett和Brassard，可以說是對包括Shor在內的三位科學家跨越數十年的思想革命的最好注腳。

參考文獻

[1] Brassard, Gilles. "Brief history of quantum cryptography: A personal perspective." IEEE Information Theory Workshop on Theory and Practice in Information-Theoretic Security, 2005. IEEE, 2005.

[2] https://www.cwi.nl/en/stories/cwi-interview-with-gilles-brassard-2022/

[3] https://news.mit.edu/2023/weird-weird-quantum-world-peter-shor-killian-lecture-0310

[4] Shor, Peter W. The early days of quantum computation. arxiv:2208.09964 (2022).

[5] ttps://www.frontiersofknowledgeawards-fbbva.es/noticias/the-bbva-foundation-recognizes-charles-h-bennett-gilles-brassard-and-peter-shor-for-their-fundamental-role-in-the-development-of-quantum-computation-and-cryptography/

[6] https://en.wikipedia.org/wiki/Quantum_error_correction

[7] 無邪, 談量子通信前，先看看經典保密通信安全性幾何？返樸

[8] 方糧, 劉汝霖, 湯振森, 等. 量子計算機: 量子算法與物理實現. 計算機工程與科學, 2012, 34(8): 32.

[9] 王向斌, 彭承志, 尹浩, 等. 量子保密通信的技術現狀及安全性[J]. 物理, 2006, 35(02): 125-129.

特 別 提 示

1. 進入『返樸』微信公眾號底部菜單“精品專欄“，可查閱不同主題系列科普文章。

2. 『返樸』提供按月檢索文章功能。關注公眾號，回復四位數組成的年份+月份，如“1903”，可獲取2019年3月的文章索引，以此類推。

版權說明：歡迎個人轉發，任何形式的媒體或機構未經授權，不得轉載和摘編。轉載授權請在「返樸」微信公眾號內聯系后臺。