量子加密

在IBM的龍華實驗室裏，班奈特（Charles Bennett）是位知名而優秀的理論學家，也是量子計算這個新領域的創始者之一。就像其他多數理論學家一樣，他待在實驗室的經驗並不多。他對於外在的事物漫不經心，有一次甚至把茶壺放在隔水加熱器太久，從綠色煮成紅色。不過，在1989年，班奈特和同事斯莫林（John A. Smolin）以及布拉薩（Gilles Brassard）決定放手一搏，着手進行一項開創性的實驗。他們根據量子力學的原理，展示了一種新的密碼技術。

在這個實驗裏，他們讓光子在一個暱稱為“瑪莎阿姨的棺材”的光密盒裏走了30公分。光子振盪（偏振化）的方向，代表一連串量子位元裏的0與1。量子位元構成密碼的“鑰匙”，可以對訊息加密或解密。竊聽者之所以刺探不到鑰匙，是由於海森堡的測不準原理—這是量子物理的基礎之一，當我們在測量量子態的某個性質時，會使另一個性質受到擾動。在量子密碼系統裏，任何竊取者在偷看光子束時都會更動到它，而被髮送者或接收者察覺。原則上，這種技術可以做出無法破解的秘密鑰匙。

從班奈特辦公桌上的臨時設計一直髮展至今，量子密碼技術已經有了長足的進展。現在美國國防安全署或聯邦準備銀行已經可以向兩家小公司購買量子密碼系統，而且未來還會有更多的產品。這種加密的新方法結合了量子力學與資訊理論，成了量子資訊科學的第一個主要商品。未來，從這個領域誕生的終極技術可能是量子電腦，它將具有超強的解碼能力，而要避免密碼遭破解的方法，可能得用上量子密碼技術。

現代的密碼專家所遇到的挑戰是，如何讓發送者與接收者共同擁有一把鑰匙，並保證不會外流。我們通常用一種稱為“公開金鑰加密法”（public-key cryptography）的方法發送“秘密鑰匙”（簡稱密鑰或私鑰），對傳送的訊息加密或解密。這種技術之所以安全，是因為應用了因數分解或其他困難的數學問題。要計算兩個大質數的乘積很容易，但要將乘積分解回質數卻極為困難。目前在公開金鑰加密法中，最常用到的RSA密碼演算法，就是應用因數分解的原理。在發送與接收者之間傳遞的秘密訊息，是以“公開鑰匙”（簡稱公鑰）加密，這個公鑰是一個很大的數，例如408508091（實際上用的數會遠大於此）。資料只能以接收者握有的密鑰解開，這把密鑰是公鑰的兩個因數，而在這個例子裏就是18313與22307。

由於破解公開金鑰加密法很困難，因此在未來10年甚至更久，密鑰的安全性仍舊很高。但是隨着量子資訊時代的來臨（尤其是量子電腦可以快速算出嚇人的高難度因數分解）可能預示了RSA及其他密碼技術終將失效。英國布里斯托大學電子及電機工程系教授瑞若堤（John Rarity）説：“如果量子電腦成真，一切都會不一樣。”

量子密碼術和公開金鑰加密法的差別在於，前者在量子電腦出現後仍然牢不可破。要在兩端傳遞量子加密鑰匙，其中一種方法就是以雷射發出單一光子，光子會以兩種模式中的其中一種偏振。光子的第一種偏振方向是垂直或平行（直線模式）；第二種則是與垂直呈45度角（對角模式）。不管是哪一種模式，光子的不同指向分別代表0或1這兩個數字。依慣例，密碼學者通常稱發送者為愛麗絲，她以直線或對角隨機模式送出光子，發射出一串位元。至於接收者則稱為鮑伯，他也隨機決定以兩種模式之一來量測射入的位元。根據海森堡的測不準原理，他只能以一種模式來測量位元，而不能用兩種。只有當鮑伯與愛麗絲選用相同的模式時，位元的指向才能保證是正確的，不會影響原來的數值。

首先是製作鑰匙，愛麗絲讓一個光子通過直線式或對角式偏振片裏的0或1狹縫，同時記錄下不同的指向。對於每個射入的位元，鮑伯隨機選擇一個濾片偵測，同時寫下偏振方向以及位元值。

在傳送之後，鮑伯與愛麗絲互相聯絡，這時不需要保密，鮑伯告訴對方他是用哪種模式接收個別光子。不過他並沒有説明各個光子的位元是0或1。接着愛麗絲告訴鮑伯他哪些模式的測量方式是正確的。他們會刪除沒有以正確模式觀測的光子，而以正確模式所觀測出來的光子便成為鑰匙，用以輸入演算法來對訊息加密或解密。

如果有人（稱為伊芙）想攔截這道光子流，由於海森堡原理的關係，她無法兩種模式都測。如果她以錯誤的模式進行測量，即使她將位元依照測到的結果重傳給鮑伯，都一定會有誤差。愛麗絲與鮑伯可以選擇性地比較一些位元，並檢查錯誤，來偵測是否有竊聽者。

從2003年起，瑞士日內瓦的id Quantique以及美國紐約市的神奇量子科技（MagiQ），都發表了可以傳送量子密鑰的商品，傳送距離超過在班奈特實驗裏的30公分。還有NEC的產品，它傳送了150公里遠，創下紀錄，並將在2005年初上市。除此之外，IBM、富士通以及東芝等也正在加緊研發。

這些上市的產品，藉着一條光纖便可將鑰匙傳送到幾十公里以外的地方。神奇量子科技的產品每個售價7~10萬美元。在1999年時創立了神奇量子科技、曾任華爾街量化交易員的葛爾方（Robert Gelfond）評論道：“少數顧客正在測試、使用這個系統，不過還未在任何網路上廣為配置。”

如果竊聽者伊芙想偷看這一串光子，量子力學會使她無法使用兩種濾片來偵測一個光子的指向。如果她選錯濾片，則可能改變偏振方向，造成失誤。

有些政府及金融機構擔心，如果把今天所截獲的加密訊息存放10年以上，到時候量子電腦就會解開它。美國洛沙拉摩斯國家實驗室的量子密碼研究員休斯（Richard J. Hughes），提到一些其他必須長時間保密的資訊：人口普查的原始資料、可口可樂的配方，或是商用衞星的指令。（還記得“午夜船長”嗎？他在1984年曾竊據了HBO四分多鐘。）量子密碼系統的其他可能客户，還包括了提供客户超機密服務的電信業者。目前，想將量子密碼技術放到實際網路上（而非點對點聯繫）的首次嘗試，已經開始在進行。美國國防高等研究計劃署資助了一個計劃，連接六個網路節點，涵蓋麻州劍橋的哈佛大學、波士頓大學，以及BBN科技公司（這家公司在建立網際網路上曾扮演關鍵角色）。密鑰透過專用的連結髮送，然後將加密過的訊息，透過網際網路傳送出去。BBN負責這項計劃的艾略特（Chip Elliott）説：“這可是第一次在實驗室外連續操作量子密碼網路。”這個網路傳送的是一般非機密網路訊息，目的只是用來證實這個技術確實可行。艾略特表示：“我想與這裏有關的機密，就是哪兒有停車位。”2004年秋天，日內瓦的網際網路服務供應商Deckpoint，與id Quantique共同展示了一個網路，可以將日內瓦內的好幾個伺服器資料備份到10公里外的站台，並透過量子加密網路，頻繁地發送新鑰匙。

現在的量子密碼術僅限在地區性的網路上。這項技術的威力在於，任何人只要刺探鑰匙的傳送，都一定會更動到鑰匙。但這也意味着，我們沒辦法藉着網路設備將攜有量子鑰匙的訊號放大，然後繼續傳輸到下一個中繼器。光學放大器會破壞量子位元。

量子加密術運用許多先進的技術，其中有些做法仍然停留在實驗室階段，例如神奇量子科技的技術。為了擴張連結範圍，研究人員正在嘗試以光纖之外的媒介傳送量子鑰匙。科學家爬到山巔（在那樣的高度下，大氣的干擾可以減到最小），想證明透過大氣來發送量子鑰匙是可行的。洛沙拉摩斯國家實驗室在2002年所做的一個實驗，建造出一個10公里遠的連結。同年，英國法恩堡（Farnborough）的QinetiQ，與德國慕尼黑的盧特維格–麥西米連大學合作，在阿爾卑斯山南邊兩個距離23公里的山頂間做了另一個實驗。他們進一步改良技術，例如使用較大的望遠鏡來偵測、用較佳的濾鏡以及抗反射鍍膜，希望由此建造出一個系統，收發距離1000公里以上的訊號，這樣的距離足以到達低軌道衞星。一個衞星網路便可以涵蓋全球。（歐洲太空總署正展開一項計劃，要做地面對衞星的實驗。歐盟在2004年4月也發起一項計劃，要在通訊網路間發展量子密碼技術，部份的原因是為了不讓梯隊系統（Echelon）竊聽—這個系統負責截收電子訊息，供美、英以及其他國家的情報機構使用。）

密碼專家希望最終能夠發展出某種形式的量子中繼器（quantum repeater），它本質上就是量子電腦的一種基本型式，可以克服距離的限制。中繼器能運作，靠的是愛因斯坦著名的“幽靈般的超距作用”（spukhafte Fernwirkungen）。在2004年8月19日的《自然》裏，奧地利維也納實驗物理研究院的柴林格（Anton Zeilinger）和同事發表了中繼器的初步成果，他們在多瑙河底的下水道里拉了一條光纖纜線，兩端則放置了“纏結”（entangled）的光子。測量其中一個光子的偏振狀態（水平或是垂直等），會使另一端的光子立即產生一模一樣的偏振方向。

纏結的存在讓愛因斯坦心裏發毛，但是柴林格和他的研究團隊利用纏結的兩個光子間的聯繫特性，將第三個光子的訊息遠距傳輸（teleport）了600公尺、跨過多瑙河。這樣的傳送系統可以藉由多重中繼器而擴展，因此鑰匙裏的量子位元可以越陌度阡、橫跨大陸或海洋。要讓這件事成真，需發展出奧妙的元件，例如可以實際儲存量子位元、而不會損壞位元的量子記憶體，然後再將位元傳送到下一個連結。曾幫忙創設id Quantique、也曾做過遠距纏結實驗的日內瓦大學教授吉辛（Nicolas Gisin）説：“這些仍在初步階段，都還在物理實驗室裏面嘗試。”