牛津、慕尼黑和上海 三组团队各自验证了设备无关的量子密钥分发的绝对隐私性

几乎在30年前，就有迹象表明可以用量子通信实现绝对安全通信。理论证明，令人惊讶的是，用户为确保隐私所要做的就是让设备玩游戏。简单地获胜——以足够高的分数——将证明没有第三方可以在信道中窃听。

现在，牛津和慕尼黑的两个不同实验已经验证了这一过程——它称为设备无关的量子密钥分发。在上海进行的第三个实验同时展示了许多必要的条件。三组研究人员都必须仔细地用量子组件设计完整的密码系统。

约克大学的罗杰·科尔贝克说：“看到他们，我感到非常兴奋和高兴。们在做不同的事情；每个团队都是一个非常令人印象深刻的成就。”

他们的实验将量子领域固有的完美保密性——本质上是未知和不确定的——提升到日常生活的宏观世界中。使用该技术通信仍然太慢而没有实用性。尽管如此，即使是最偏执的人现在也知道可以在完全隐私安全的情况下进行交流。

1949 年，当时克劳德·香农证明了完美的保密甚至是可能的。

假设要加密一些信息，表示为一系列位(1 和 0)。你可以向它添加另一个位序列——完全随机的——称为密钥。组合序列变成乱码，对于任何不知道密钥的观察者来说都是没有意义的。

问题变成了如何安全地将密钥分发给需要它的人——以及如何及时完成。以色列魏茨曼科学研究所的 Rotem Arnon-Friedman 说：“要使这把钥匙有用，需要我们俩都持有这把钥匙，其他人则没有。”

虽然您可以简单地将钥匙写在一张纸上并通过快递发送，但这只会重新定义问题：您如何确保快递的安全和速度？在接下来的 30 年中，密码学家创建了可以快速安全地分发的非随机密钥。然而，这些新型密钥并不是完全安全的：它们可以被足够的计算能力破解。为了达到完美，密码学家必须学习如何玩非局域游戏。

这些游戏最初是物理学家为了测试量子力学定律是否真实而发明的。直到后来，牛津大学的物理学家阿图尔·埃克特(Artur Ekert)才意识到它们可以作为保密的来源。

Ekert 研究的游戏有两个玩家，Alice 和 Bob，他们彼此完全隔离。在每一轮中，每个玩家都会被随机询问两个是或否问题中的一个。为了赢，他们的答案必须以以下特定方式对应。如果给出的都是第一个问题，他们必须给出相同的答案(同时答“是”或“否”)。同样，如果向他们给出不同的问题，他们也必须给出相同的答案。但如果给出第二个问题，他们必须给出不同的答案。

Alice 和 Bob 应该如何玩这个游戏来最大化他们获胜的机会？由于问题是随机提出的，因此他们都被问到第二个问题(需要不同答案才能获胜)的机会只有 25%。那么，在非量子计算的情况下，最佳策略就是总是给出相同的答案，总是是或总是否。如果他们这样做，他们将平均赢得 75% 的回合。

但物理学家发现可以通​​过量子物理做得更好。在分开之前，Alice 和 Bob 需要四个量子对象(例如原子或粒子)，两个给 Alice，两个给 Bob。我们可以将这些对象视为硬币，因为与它们交互会产生两种结果之一，正面或反面。

然后必须将硬币置于量子纠缠之中。他们以特定方式将它们纠缠在一起。在游戏里，通过遵循量子硬币的指令，Alice和Bob最多可以有85% 左右的胜率：赌徒的梦想。

“它遵循量子力学定律，”科尔贝克说，“你只要算出来，你就能得到 85%。但是没有很好的直观原因解释为什么会是这个数字。”

1991 年，Ekert 表明该游戏提供了量子密钥分发的理论基础。但是理论家将花费30多年的时间将游戏变成一个协议或详细的过程，他们可以在数学上证明是那是完全保密的。

为了将他们的游戏变成一个共享密钥的过程，Alice 和 Bob 必须公开宣布。

每隔一段时间，在一轮结束后，他们就会广播一些他们的问题和答案。这使他们可以检查他们的答案与他们的问题并计算出他们的获胜百分比。如果他们发现他们的胜率达到了 85%(理论上的最大值)，那么它就确立了一系列关于使完美安全成为可能的过程的非凡事实。

首先，它证明了抛硬币的结果是随机的。他们怎么知道？

假设一个名叫 Eve 的窃听者试图操纵硬币以使它们成为非随机的——例如，改变 Alice 和 Bob 的第一批硬币，使它们总是正面朝上。这似乎会增加胜率，但事实并非如此。如果您系统地分析概率，您会发现无论 Eve 做什么，她都无法操纵硬币让 Alice 和 Bob 赢得超过 75% 的时间。因此，超过 75% 的胜利意味着没有任何事情可以被操纵或预先安排。

“一些随机的事情正在发生。”科尔贝克说。

通过随机翻转，Alice 和 Bob 然后可以创建形成密钥所需的随机位。对于他们没有公开披露的每一次硬币翻转，Alice 和 Bob 将正面标记为 1，反面标记为 0。这个序列是秘密的，只有他们知道。但是因为他们的硬币是相关的，所以他们也很清楚对方记下的秘密序列。 (他们并不完全了解它，因为它们的相关性并没有达到 100%，但他们可以通过对游戏进行轻微修改来发现它。)

此时，Alice 和 Bob 已经分发了一个随机密钥。但一个有问题的可能性仍然存在。那保密吗？假设 Eve 在开始之前将她自己的两枚硬币与 Alice 和 Bob 的硬币纠缠在一起。那不是允许她分享相关性，使她能够创建自己的相同密钥版本吗？

奇怪的是，答案是否定的。埃克特意识到，85% 的胜利排除了Eve(或其他任何人)从事间谍活动的可能性。那是因为量子纠缠是“一夫一妻制的”——在两方以上传播它意味着它必须传播得更薄。如果 Eve 的币也与 Alice 和 Bob 的纠缠在一起，相关性水平就会下降，他们的中奖率会下降到 85% 以下。这意味着，如果他们测量出 85% 的胜率，Eve 就不可能在监听。

这两个特性——随机性和隐私性——原则上确定，在 85% 的比赛中获胜是 Alice 和 Bob 需要做的所有事情，以完全保密地分发密钥。但对于职业偏执的密码学家来说，事情就没有那么简单了。在他们心中最重要的是知道在现实世界中以 85% 的分数赢得比赛是不可能的。毕竟，硬币是真正的量子物体，必须在复杂机器的帮助下进行操作。这使他们容易受到无数错误和黑客策略的影响。

因此，理论家着手证明，只要 Alice 和 Bob 赢得超过 75% 的经典最大值，但低于 85% 的量子最大值，仍然可以保证完美的安全性。他们成功了——但只有在设备值得信赖的情况下，并保证它们以某些方式工作(例如没有记忆)。到 2007 年，研究人员开始成功地摒弃了这些假设，表明限制较少的设备也可以实现安全性。

这项研究在 2018 年的结果中达到了高潮，当时证明，即使 第三方Eve 制造设备，也可以通过似乎足够低的获胜百分比来实现安全性。只要设备允许A和B在游戏中以一定的比例获胜，很明显：他们已经获得了保密性。

两年前，在新结果的鼓舞下，三组研究人员中的每一个都认为现在可以进行与设备无关的密钥分发的演示。

他们已经开发出不同的游戏方式。参与牛津实验的研究人员使用电离原子，他们在每一轮开始时将原子纠缠在一起。一旦纠缠成功，他们就用激光射击原子并测量它们是发光还是保持黑暗来翻转两种不同的结果，就像硬币的字背一样。他们能够通过使用一枚硬币而不是两枚硬币来降低协议的复杂性，他们可以用两种不同的方式翻转(测量)硬币。慕尼黑实验的研究人员使用了类似的设置，而上海实验的研究人员则采用了不同的方向，使用光子作为硬币。

然而，仅仅玩游戏是不够的。实验必须可靠地达到足够高的胜率。只有满足这个要求，他们才能证明他们的信息是真正私密的。

最初，慕尼黑实验无法达成条件。但团队最终意识到他们可以通过改变他们的协议来降低获胜所需的百分比，在游戏中加入额外的翻转。

“通过引入更多的随机测量，”新加坡国立大学的 Charles Lim 说，“随机性对 Eve 的不利影响比以前更大，因此，我们可以容忍更多的噪音。”

在这里，中国的实验有优势。他们可以高速产生光子。然而，这使得测量每个硬币的翻转非常困难。这可能导致研究人员错过翻转，这将给Eve一个强大的策略，她可以作弊，那被称为检测漏洞。

“B需要保留之前的数据，并确保他的 [探测器] 效率非常高。”中国科学技术大学的徐飞虎(因)说。

在某种程度上，参与上海实验的研究人员通过开发一种新协议克服了这个问题，该协议允许他们可证明地生成密钥的秘密位，即使检测效率较低。然而，当他们的设备被最强大的对手操纵时，他们创建的新协议并不能确保完美的隐私。

相比之下，牛津和慕尼黑的实验可以证明，每一轮产生的比特都是秘密的，无论是否有任何可能的篡改。然而，牛津团队试图更进一步并分发一个完整的有限密钥，该密钥具有最高可能的隐私标准。即使制作它需要数十万个密钥位。因此，他们需要更快的速度，这受到 Alice 和 Bob(以及他们的原子)之间的距离等因素的限制。

通过短距离设置，牛津实验在一天内成功生成了超过一百万个密钥位。然后，他们开发并执行了一个广泛的协议，将这一大组比特转换为一个完整的有限密钥。

总之，这些实验表明，我们已经进入了一个量子设备的复杂性不再成为完美分享秘密的瓶颈的时代。

尽管取得了成就，但这三个实验仍然只是一个开始。以有现实意义的速度和相当远的距离生成和分发密钥，每个小组都在积极努力改进这两个方向。

“我有时会开玩笑说，连上帝都不知道。宇宙在测量之前还没有决定这个值(85%)是多少，”科尔贝克说， “这就是通信绝对安全的由来。”

https://www.quantamagazine.org/cryptographers-achieve-perfect-secrecy-with-imperfect-devices-20220225/