揭秘2025圖靈獎得主：“量子雙雄”如何打開量子密碼學新世界的大門？

3月18日，美國計算機協會（ACM）揭曉的2025年圖靈獎（ACM A.M. Turing Award）將一個古老而又神秘的學科領域——密碼學重新帶入公眾視野，這一場跨越千年的人類智力博弈在量子理論的引領下進入發展新階段，而打開量子密碼學新世界大門的正是兩位得主：IBM的量子信息科學家查爾斯·貝內特（Charles H. Bennett）與加拿大蒙特利爾大學的密碼學家吉爾·布拉薩德（Gilles Brassard）。

從舊時代密碼學到“一次一密”

舊時代密碼學，簡單來說就是指給文字加密的方法。人類歷史上加密者與破密者之間的智力博弈由來已久，讓我們先簡單回顧幾段歷史小故事：2500多年前的密碼棒，是科學家們目前已發現的歷史記載的最早加密方式。

公元前100年左右，凱撒大帝使用字母替換法向駐守在前線的軍隊將領傳達秘密信息，其方法也稱作凱撒密碼，是密碼學中最簡單且最廣為人知的加密技術。當然，一旦洞悉其中規律，破解也相當容易。

▲凱撒密碼經典的“shift by 3 cipher”（3位字符偏移）方法，將每個字符偏移3個位置，就能獲得皇帝想要傳達的真正信息。來源：維基百科

1553年，吉奧萬·巴蒂斯塔·貝拉索（ Giovan Battista Bellaso）寫了一本書《吉奧萬·巴蒂斯塔·貝拉索先生的密碼》（La cifra del. Sig. Giovan Battista Bellaso），這是最早記錄了維吉尼亞密碼的書。一直到301年后，維吉尼亞密碼系統才被英國數學家查爾斯·巴貝奇（Charles Babbage）成功破解。

當時普遍認為，只要有足夠長的時間，任何加密系統總會被后人破譯出來。由此引發了密碼學終極一問：是否存在“完全保密”的安全加密系統 ？所謂完全保密，即他人在擁有密文情況下也無法獲知解密文本的任何信息，同時也意味著該系統能夠抵抗無限的計算能力。

1882年，美國銀行家、密碼學家富蘭克林·米勒（Franklin Miller）提出了“一次一密”（one-time pad，OTP）加密系統，1918年吉爾伯特·弗納姆（Gilbert S.Vernam）設計出類似的一次一密亂碼本（又稱多表代換密碼）。20世紀中葉，美國數學家、密碼學家克勞德·香農（Claude Shannon）證明了這套系統的完全保密性。

在歐洲，與弗納姆同一時代的德國工程師亞瑟·謝爾比烏斯（Arthur Scherbius）于1919年設計出歷史上最著名的密碼機——恩尼格瑪轉輪密碼機（Enigma），在第二次世界大戰中后期，在多國科學家的先后努力下，包括計算機之父圖靈在內，終將其破解。

▲恩尼格瑪密碼機，來源：維基百科

從現代密碼學到量子密碼學

到了20世紀70年代，受當時計算機科學蓬勃發展的推動，現代密碼學逐漸成形，電子計算機的快速計算能力以及現代數學方法一方面為加密技術創造了新概念和新工具，另一方面也給破密者提供了有力武器。

1976年，美國密碼學家貝利·惠特菲爾德·迪菲（Bailey Whitfield Diffie）和馬丁·赫爾曼（Martin Hellman）共同提出公鑰加密思想：迪菲-赫爾曼密鑰交換，標志著現代密碼學的誕生。兩位于2015年獲得圖靈獎。

至于公鑰加密以及密鑰建立，布拉薩德曾于2018年受邀在墨子沙龍舉辦過一場講座，期間用一個非常淺顯的故事闡明了原理：

假設Alice有一輛自行車要借給朋友Bob，她把車停放在某一地點，然后將其上鎖。隨后，Alice告知Bob停車地點，但Bob沒有開鎖的鑰匙。這沒有關系，Bob稍晚到了停車地點后，給自行車上了第二把鎖就離開了。隨后，Alice返回停車地點，取下自己的鎖并離開，最后，Bob再次返回，打開自己的鎖，同時也順利在沒有獲得Alice鑰匙的情況下騎走了自行車。倆人從來沒有共享過任何秘密信息，也沒有對方鎖的鑰匙，甚至無需親自見面，就完成了上鎖-用各自鑰匙開各自鎖-取車過程。

其中，自行車上的鎖相當于公鑰，即加密方法可公開傳輸，而個人手中的鑰匙——私鑰，即保密參數是個人保密。從私鑰可以解鎖被公鑰加密的信息，但有了公鑰卻難以得到私鑰。如此一來，這便是一種正向操作容易、逆向操作非常困難的加密算法，也稱作非對稱加密。

1977年，當時同在麻省理工學院工作的羅納德·李維斯特（Ron Rivest）、阿迪·薩莫爾（Adi Shamir）和萊奧納德·阿德曼（Leonard Adleman）一起提出的RSA密碼系統正完美實現了上述目的。RSA算法基于一個簡單的數論事實：將兩個素數相乘十分容易，反過來，將其乘積進行因式分解而找到構成它的素數卻非常困難。計算17×37=629是很容易的事，但如果反過來，給出629并要求找出它的因子就困難一些了。此外，正向逆向計算難度的差異隨著數值的增大而急劇增大：正向兩數乘法運算的時間復雜度頂多是大小的平方，而逆向運算復雜度成指數增長。對經典計算機而言，破解高位數的RSA密碼基本不可能。例如，一個每秒鐘能做1012次運算的機器，破解一個300位的RSA密碼需要15萬年！

繼RSA算法之后，ElGamal、橢圓曲線、雙線性對等公鑰密碼相繼被提出，密碼學進入了全新發展時期。

在經典計算機時代，公鑰密碼的安全性由相應數學問題在計算機上的難解性來保證。然而，技術總是不斷在進步。經過一百多年的研究，隨著人們對于量子世界的認識不斷拓展、加深，量子計算機有潛力幫助科學家利用量子性質來完成經典計算機無法完成的任務。

眾所周知，量子計算機使用可以同時是0又是1的量子比特進行計算，而且量子計算機使用Shor算法，理論上只需幾秒鐘便可能破解剛才經典計算機需要15萬年才能解開的300位RSA密碼。不僅如此，Shor算法可有效提取離散對數，破解迪菲-赫爾曼加密系統，還可破解橢圓曲線密碼系統。一旦通用量子計算機變成現實，現今使用的所有密碼學都將面臨崩潰局面。

上述言論聽上去對加密者來說如同滅頂之災，但“水能覆舟，亦能載舟“。同樣地，也可以通過量子理論來建立保密密鑰，從而實現安全的加密通信。思想源頭是一位頗具傳奇色彩的“隱士”科學家史蒂芬·威斯納（Stephen Wiesner）。

1960年，威斯納進入加州理工學院學習，與約翰·克勞澤（John Clauser）一起上物理實驗課，并成為了好友，倆人經常討論量子力學問題。后者獲得2022年諾貝爾物理學獎。后來威斯納轉學到布蘭戴斯大學，在那里結識了當時在化學系讀大三的查爾斯·貝內特，他倆不僅是室友還是好朋友。1964年，貝爾作為訪問學者來到布蘭戴斯大學，在那里完成了關于貝爾不等式的論文。這些經歷大大啟發著威斯納頭腦中關于量子信息的想法。

1966年威斯納大學畢業后到哥倫比亞大學繼續上研究院。兩年后，他交出了一篇奇文——《共軛編碼》（Conjugate Coding），提出利用光子偏振，打造出無法仿冒的“量子貨幣”。他的出發點是解決偽鈔問題，利用量子物理學中的“量子不可克隆定理”，以及不確定性原理，具體來說，如果你制造出一個量子態，并且對外界保密，那么除你之外的任何人都不可能克隆出一個一模一樣的量子態。量子貨幣除了和普通紙鈔一樣擁有印鈔編號，還可嵌入與編號對應的偏振光子，銀行可以通過偏振片驗證紙幣的真偽。

▲威斯納設想的量子貨幣。圖片來源：ResearchGate

在當時看來，這篇論文完全具有革命性，威斯納將這篇充斥著量子物理學專業術語的文章投稿給工程學期刊，結果作為工程師的編輯們完全看不懂他想表達的內容，隨之拒稿。這篇文章直到1983年才發表在美國計算機學會的SIGACT刊物上。但威斯納本人性格十分內向，也淡泊名利，1993年他離開美國移民到以色列，在耶路撒冷當一名普通建筑工人，過著極為簡樸的生活，2021年這位量子信息第一人與世長辭，享年79歲。

雖然威斯納大隱隱于市地走過了一生，但他的量子信息思想卻被好友發揚光大，并以此為基石開辟出一條新道路。前文講過，貝內特在大學期間一直聽著威斯納興趣盎然分享著自己的各種奇思妙想，他用當時還不存在的短語“量子信息”來總結。后來，雖然威斯納的論文被拒稿，但貝內特仍到處宣揚其觀點，即使整整10年無人問津，他都始終不放棄。直到1979年，貝內特到波多黎各參加密碼學會議，在海里游泳時巧遇另外一名年輕的科學家布吉爾·布拉薩德，后者在海里被貝內特堵住去路，只好勉為其難地聽他講完用量子理論制作鈔票的怪論。

沒想到，兩位科學家因此一見如故，他們的思想經過劇烈碰撞，覺得“量子貨幣”的想法并不現實，光子轉瞬即逝，很難“印”在鈔票上放入口袋里。但是，光本來就是用來傳播信息的，何不發揮其特長，來傳遞某種“不可偽造”、“不可復制”的重要信息呢？量子物理學與密碼學在波多黎各圣胡安的海洋中激情碰撞，迸發出“量子密碼學”的思想之光。

這段倆人職業生涯中的這場魔幻相遇促成了量子信息編碼與公鑰密碼學的結合，時間遠早于彼得·肖爾提出自己的shor算法，可見兩位思想的超前性。兩人隨后展開合作，并于1984年在一場IEEE會議上詳細發表了原創的安全通信協議——“BB84 協議”，具體操作如下圖所示：

▲上圖是BB84通信協議示意圖，下面簡單解釋一下其通信過程：

1）信號通道有兩個：經典通道，傳遞方法和原來一樣，通過無線電或因特網等公共通道實現；另外還有一條特殊的量子通道。其中，發送者利用光子偏振態來傳輸信息，光子可以經過光纖或其他介質發射到信息接收方。量子通道的目的只是產生和傳遞“密鑰”。一般來說，假設Eve具備竊聽這兩個通道信息的能力。

2）實施的傳遞過程分兩步：

第一步，傳遞和產生可靠的“共享密鑰”，使用量子通道為主，經典通道為輔。

第二步，傳遞用“共享密鑰”加密后的文件，這時只用經典通道，與經典情況一樣。

3）要點是防止竊聽。經典通信中，Alice和Bob無法發現Eve是否在竊聽。但在量子密鑰分發的量子通道，Alice和Bob則可以發現Eve的竊聽行為，因為任意獲取信息的行為都會改變量子系統，又因量子不可克隆，Eve也不能直接復制信息。傳遞信息的雙方一旦發現第三者的竊聽行為，便可以立即停止通信，重置密鑰。

4）BB84協議與量子糾纏無關。經典信息的傳遞對通信的完成是必要的，傳遞速度由其決定，不存在是否“超光速通信”的疑問。

總而言之，BB84協議的核心是，利用量子態增強信息傳輸的保密性，因為竊聽必然會擾動量子態而留下痕跡。量子態的特性可以確保密鑰的安全性，而用密鑰對信息進行加密傳輸，是已經成熟且被廣泛使用的經典信息安全技術，因此整個量子保密通信的過程大為簡化，效率大為提高。正是由于拋棄了把信息本身加載到量子態上傳送這一設想而改為只用量子態來傳送密鑰，量子保密通信才變得具有現實意義，成為最先進入實用化階段的量子信息技術。

▲BB84協議論文30周年紀念版，來源：墨子沙龍

另外，量子信道產生隨機密鑰后，通過“一次一密”加密系統來使用密鑰。一旦發現密鑰受到了竊聽，Alice和Bob就可以不用這組生成的密鑰。如果密鑰沒有被竊聽，那么你可以把它用于“一次一密”的系統中，這絕對安全。

▲BB84協議-“密鑰分發”示意圖：Alice可以采取兩種方式來制備偏振態的光子（或者說制備量子比特）：直線基"+"，和對角基"×"。在直線基中，分別用水平偏振（0°）和垂直偏振（90°）來表示0和1。在對角基中，則分別用（45°）偏振和（135°）偏振來表示0和1。

然而，倆人的論文在最初并未引起廣泛關注。當時許多人認為量子力學距離實際通信系統太遙遠。然而他們并沒有放棄，1989年10月團隊做出了一個由閃光燈和感光器組成的原型機，作為概念性證明在32.5厘米距離上完成了人類歷史上首個量子保密傳輸演示。因為原型機的高壓電源在切換偏振時會發出不同的噪音，布拉薩德后來幽默地回憶道：“這臺機器可能只對“聾子”竊聽者才絕對安全！”

雖然距離只有短短的32.5厘米，卻跨出了量子通信從理論走向現實的一大步。時至今日，BB84協議及其改進版本仍然是最廣泛部署的量子密碼協議之一。

另外，除了量子密碼學，1993年貝內特和布拉薩德與其他人合作還發明了 “量子隱形傳態”。量子隱形傳態就是利用了量子糾纏的原理，首先創建糾纏光子對，然后將其中一個光子發送給數據發送者（Alice），另一個發送給接收者（Bob）。當Alice收到她的糾纏光子時，她讓它與一個狀態未知的“記憶量子位”相互作用，這一量子位保存著她想要傳輸給Bob的數據。這種相互作用改變了她的光子的狀態，而且由于Alice的光子與Bob的光子仍然存在糾纏，這種相互作用也會瞬間改變Bob光子的狀態。這一系列操作，會將 Alice 記憶量子位中的數據從她的光子“瞬間傳輸”到 Bob 的光子中，也就是說，從量子層面讓“瞬間傳輸”成為現實——當然“瞬間傳輸”仍然要遵守物理規律，一切信息的傳播速度不能超光速。

貝內特和布拉薩德這兩位量子密碼學創始人雖然在人類密碼學歷史上出現的時間很晚，但有了前輩科學家打下的基礎，在隨后長達40多年的時間內彌合了量子物理學和計算機科學這兩個原本截然不同的學科之間的鴻溝，作為開路人將密碼學拓寬至量子世界。倆人的科研成果自然收獲了滿滿的科學獎項認可，包括狄拉克獎、墨子量子獎、科學突破獎，以及如今共同獲得素有“計算機界諾貝爾獎”美譽的圖靈獎，實至名歸。

參考資料：