量子力學與信息科學相結合的量子信息學，包括三個基本方向。除了量子計算之外，還有量子通信以及量子精密測量。在量子通信中，研究和應用較多的是量子密碼。開啟量子密碼學這扇大門的，是三位科學家。他們最早提出了有關量子信息的幾個奇思妙想，後來發展為“量子密鑰分發”中的BB84協議，這是量子密碼學任務中一個著名的例子。

圖1：開啟量子密碼學的科學家

量子粒子與經典事物的區別之一是不能複製又無法測量！那麼，有人就想：能不能把光量子印到鈔票上以避免假鈔呢？他的朋友說：好像很難，光子跑得太快了！於是，他們說：那就讓它跑吧，也許可以幫我們傳遞通信中的密碼！後來，就有了量子密鑰分發……

量子密鑰分發，與其字面上的意思差不多，就是用量子的方式來發送一把“私密鑰匙”。具體而言體現在圖1中右邊兩位科學家提出的BB84協議，其中的BB，是兩位科學家姓氏的首字母，再加上方案提出的年份84，就是1984年。那麼，私密鑰匙是個什麼鑰匙？為什麼要發送它？BB84協議又說些啥？為了探索這些問題，我們先簡介經典通信，也順便了解幾個加密通信中的專用名詞。

01

兩種經典加密方法

保密和竊密的概念自古有之，“道高一尺，魔高一丈”，兩者間永遠進行着不停升級的智力戰爭【1】。現代保密通信技術的目的，除了保護個人隱私之外，也關繫着國家政府及政黨間的鬥爭，以及戰爭的勝負，國家的存亡等等。

舉一個通俗例子：愛麗絲和鮑勃分居於兩個遠離的城市，且工作繁忙不易見面。但愛麗絲經常給鮑勃送去貴重禮物，她通常將禮物用某種鎖鎖在牢固的箱子裡寄給鮑勃，又用某種方式將開鎖的鑰匙傳遞給鮑勃。這樣，鮑勃收到箱子後用鑰匙將鎖打開就得到禮物了。

假設鑰匙是偷禮物的唯一方式，這樣，所寄物品的安全性就完全取決於鑰匙的安全性了。

有人說，這很簡單，兩個人預先為這把鎖定製兩個一樣的鑰匙就可以了，別人沒有鑰匙，無法偷走禮物。不過，這種辦法只能用1、2次，如果久而久之，總用同一把鎖同樣的鑰匙的話，顯然是不安全的，小偷可以想辦法複製鑰匙啊！

又有人出主意啦：可以每次都變更鎖和鑰匙，然後，花錢僱傭一個可靠的人專門為他們傳遞鑰匙。也就是說，使用第三方作為信使。不過，這也不是什麼好辦法，如果信使可以傳鑰匙還不如直接帶禮品了。況且，信使也未必就那麼可靠啊，有歷史為證，叛徒和姦細比比皆是。

所以，我們仍然回到了如何傳遞“每次變更”的鑰匙的問題。

上面描述的方法，愛麗絲和鮑勃用同樣的鎖和鑰匙，是對稱的，叫做對稱加密，如圖2（a）所示。對“每次變更”鑰匙和鎖的方法，則叫做“一次一密”（one-time pad，OTP）。

聰明的鮑勃想出了第二種辦法：鮑勃自己打造一套鎖和鑰匙。他只將一把打開了的鎖寄給愛麗絲，自己保管着配套的鑰匙。愛麗絲沒有鑰匙，但可以很方便地用這個鎖將箱子鎖上，然後寄給鮑勃。最後，鮑勃用自己保存的鑰匙打開箱子，得到禮物。這種方法叫做非對稱加密，因為鮑勃有鑰匙，愛麗絲沒鑰匙，雙方不對稱，如圖2（b）所示。

圖2：兩種常用的密碼方法

以上愛麗絲和鮑勃所採取的兩種方法，是現代通信中常用的。不同的是，現代通信被加密和解密的是文件，並且使用計算機和網絡技術來實現這些操作。在密碼學中，需要保密傳遞的文字被稱為‘明文’，將明文用某種方法改造後的文字叫做‘密文’或‘密碼’。因此，將明文變成密文的過程就叫‘加密’，反過程則被稱為‘解密’。現代通信中，加密解密時使用的方法，指的是某種計算機‘算法’，這些完成特定計算算法中的一組參數，叫做‘密鑰’。

對稱加密技術中，信息的發出方（愛麗絲）和接收方（鮑勃）共享同樣的密鑰，解密算法是加密算法的逆算法。這種方法簡單、技術成熟，但由於“共享密鑰”，所以難以保證密鑰的安全傳遞。

非對稱加密技術如圖2（b）所示，每個人（作為接收方）產生自己的一對密鑰（公鑰和私鑰）。例如，圖中打開的鎖是公鑰，鑰匙是私鑰。公鑰用於加密，私鑰用於解密。加密算法（公鑰）是公開傳輸的，解密算法是保密的。非對稱加密在算法上也不對稱：從私鑰的算法可以容易地得到公鑰，而有了公鑰卻極其難以得到私鑰。也就是說，需要一種正向操作容易，逆向操作非常困難的算法。目前常用的RSA密碼系統就是為了達到這個目的。

RSA算法是李維斯特（Ron Rivest）、薩莫爾（Adi Shamir）和阿德曼（Leonard Adleman）三人發明的【2】，以他們姓氏中的第一個字母命名。它基於一個簡單的數論事實：將兩個素數相乘十分容易，反過來，將其乘積進行因式分解而找到構成它的素數卻非常困難。例如，計算17×37=629是很容易的事，但是，如果反過來，給你629，要你找出它的因子就困難一些了。並且，正向逆向計算難度的差異隨着數值的增大而急劇增大：正向兩數乘法運算的時間複雜度頂多是大小的平方，而逆向運算複雜度成指數增長。對經典計算機而言，破解高位數的RSA密碼基本不可能。例如，一個每秒鐘能做1012次運算的機器，破解一個300位的RSA密碼需要15萬年！

02

量子信息第一人

RSA密碼不容易被經典計算機破解，似乎挺安全的。然而，技術總是在不停地進步，如果有了量子計算機，情況就變得大不一樣。量子計算機可以使用Shor算法，只需幾秒鐘便有可能破解剛才那個現代計算機15萬年才能破解的300位的密碼。這聽起來太可怕了！如果在戰爭中，敵對方有了量子計算機的話，破解他方的RSA通信密碼就將輕而易舉不成問題了。雖然通用的量子計算機目前尚未開發出來，但是防火於未燃還是有必要的，這就是為什麼各個大國大公司都開始研究量子信息及量子通信技術的原因。

既然量子理論可以用來建造量子計算機，是否也有可能用來進行保密通信呢？最開始提出這個問題，設想量子信息原始思想的，是一位頗為傳奇的科學家史蒂芬·威斯納（Stephen Wiesner，1942—2021）【3】。也不是1984年，而是早在14年前的1970年。那年，哥倫比亞大學的威斯納寫了一篇名為“共軛密碼”的論文（圖3），指出結合量子力學，可以完成兩項經典密碼學無法完成之事。一是量子支票，二是兩條經典信息合成一條量子信息發送，接受者只能選擇接受其中一條。這兩項都包含了量子密碼的思想。但在當時聽起來太匪夷所思，所以論文未被專業雜誌接受。

圖3：威斯納和他1970年的論文

威斯納出生於美國的猶太移民家庭，父親是電機博士，麻省理工學院教授，當年在該校的輻射實驗室從事微波雷達開發工作。二戰之後，他在洛斯阿拉莫斯國家實驗室短暫工作過，然後於1946年至1961年返回麻省理工學院電子研究實驗室。他曾經擔任肯尼迪總統的科學顧問，之後又擔任麻省理工學院（MIT）理學院院長和第十三任校長。

成長於這樣的家庭環境下，威斯納對量子力學、和電子通信充滿興趣。

1960年，威斯納進入加州理工學院，正好與1972年首次用實驗證明貝爾定理的克勞澤（Clauser，2022諾貝爾物理獎得主）一起上物理實驗課並成為好友，經常互相討論量子力學問題。但威斯納後來轉學到東岸麻州的布蘭戴斯大學，不過又與當時在化學系讀大三的查理·貝內特（Charles Bennett，1943-）成為室友和好朋友。這份友誼在日後促成了貝內特研究量子密鑰分發並提出BB84協議。並且，貝爾（Bell，1928-1990）於1964年，以訪問學者的身分來到布蘭戴斯大學，就在那年完成了有關貝爾不等式的論文。這些經歷，幫助和啟發威斯納萌發了他有關量子信息的想法。

威斯納於1966年畢業後，到哥倫比亞大學讀研究所。兩年後他寫了那篇題為《共軛編碼》(Conjugate Coding)的論文，提出如何利用光子的偏振，打造無法仿冒的“量子貨幣”（quantum money）。

1969年，威斯納向IEEE信息論彙刊提交了論文。當時，沒有人認為量子理論與信息理論有關係，手稿被拒絕了。他之後沒有試圖在任何地方重新提交它，而且他從周圍的大多數人（包括他的博士導師）那裡收到的信息是，這些想法不是“嚴肅的科學”。儘管威斯納這項工作十多年來一直未發表，但幸運的是，他將副本發送給了包括查理·貝內特在內的一些同事，使其以手稿形式傳播，從此打開了量子信息學之門。

威斯納考慮“量子貨幣”，最初是想解決偽鈔的問題。歹徒總是可以做出就連銀行都難辨真假的偽鈔。於是，威斯納便利用量子物理學中的“量子不可克隆定理”，及不確定性原理，想出了這麼一個方法，大概意思是說，如果你製造了一個量子態，並且對外界保密，那麼任何人都不可能克隆一個跟它一模一樣的量子態出來。量子貨幣除了和一般紙鈔一樣印有鈔票編號，還嵌入和鈔票編號對應的偏振光子。銀行可以透過偏振片檢查是否假鈔。

威斯納後來以弱相互作用方面的論文，於1972年取得博士學位。“共軛編碼”的論文也終於在1983年刊載於美國計算機學會的SIGACT刊物上。威斯納性格內向、害羞，他不關心榮譽，發表論文也不上心。1993年，他選擇離開美國，移民到以色列，成為耶路撒冷的一名建築工人。晚年的威斯納，極力避開世俗人群，過着極為簡樸的生活。2021年，這位量子信息之第一人在耶路撒冷去世，享年79歲。

03

貝內特和布拉薩德

貝內特1943年出生於紐約市，在哈德遜河一帶度過童年，後來，有機會接觸到最早版本的計算機。不過，他在布蘭代斯大學讀本科時的第一個興趣是生物化學，之後，當他成為哈佛大學研究生時，注意力轉向了化學物理。美國大學的博士研究生，一般同時會擔任某課程的助教。貝內特正好是為詹姆斯·沃森 (James Watson)的課程作助教。這位DNA 領域著名的科學家，自然地經常談到遺傳密碼；這使貝內特突然產生了將遺傳密碼機制與圖靈機聯繫起來的思想。

畢業後，貝內特到芝加哥的阿貢實驗室作博士後，又對計算機進行數據分析產生了日益增長的興趣。在那兒他聽到IBM的蘭道爾關於計算不可避免的能源成本的演講，蘭道爾表明這是由於邏輯上不可逆的步驟造成的。在蘭道爾的鼓勵下，貝內特用化學圖靈機的想法，用計算機探索這個熱力學問題，最後，研究頗有成效，貝內特轉到IBM作博士後。

幾乎同時，貝內特開始與本科時的好友威斯納交談，那正是威斯納考慮“共軛編碼、量子紙幣”這些概念的時候。威斯納對“用量子粒子可以做到而用普通信息無法做到”的事情有一些想法，貝內特將這些想法用當時還不存在的短語“量子信息”來總結，他特別感興趣的是，如何使用量子通道將兩個消息組合在一起傳遞。

幾年後，貝內特在一次信息學國際會議上，碰到加拿大蒙特利爾大學來的一位計算機博士生。吉爾斯·布拉薩德（ Gilles Brassard，1955-）研究密碼學，在那次會議上作了一個“相對密碼學”的報告，貝內特認為他可能會對量子信息感興趣，便和他一起討論這些想法。

兩個年輕科學家一見如故，他們的思想經過劇烈碰撞後，發現“量子鈔票”的想法也許不實際，因為光子轉瞬即逝，很難將其“印”在鈔票上裝進人們口袋裡。但是，光本來就是用來傳播信息的，那我們幹嘛不發揮它的特長，讓它來傳遞某種“不可偽造”、“不可複製”的重要信息呢？這個方面，作為密碼通信的一種新想法，是值得研究的。

於是，他們合作研究，向世人介紹了一個新的理論，叫作“量子密碼學”。他們開發了量子密鑰分發的一種具體方案，之後被稱為 BB84 協議，他們的論文發表在1984年的一次IEEE的會議上。

貝內特和布拉薩德於2018年，榮獲沃爾夫物理學獎【4】。

04

量子密鑰分發

現在我們回到經典密碼學，看看量子論對它能做些什麼？我們介紹了常用的兩種密碼通信系統：對稱的和不對稱的。前者的想法簡單，但問題是安全性取決於“密鑰”的傳遞；後者設計巧妙，典型例子是RSA算法，經典計算機難以在有效的時間內破解，所以因其暫時的安全性而被廣泛使用。

科學家們從兩個不同的方向將量子概念用於通信技術。一是研發量子計算機，來攻擊和破解不對稱系統中的RSA算法。第二個方向，就是貝內特和布拉薩德發明的量子密鑰分發，它利用量子力學的特殊物理規律，與“一次一密”的加密技術結合，可以在對稱系統中實現安全的“密鑰”傳遞。

圖4：BB84協議的兩個通道

圖4是BB84方案的示意圖，簡單解釋一下貝內特和布拉薩德當初設想的通信過程【5】。

1）信號通道有兩個：經典通道，傳遞方法和原來一樣，通過無線電或因特網等公共通道實現；另外還有一條特殊的量子通道。其中，發送者利用光子的偏振態來傳輸信息，光子可以經過光纖或其他介質從發射到。量子通道的目的只是產生和傳遞“密鑰”，相當於圖2a中信使的角色。一般來說，假設Eve具備竊聽這兩個通道信息的能力。

2）實施的傳遞過程分兩步：

第一步，傳遞和產生可靠的“共享密鑰”，使用量子通道為主，經典通道為輔。

第二步，傳遞用“共享密鑰”加密後的文件，這時只用經典通道，與經典情況一樣。

3）要點是防止竊聽。經典通信中，Alice和Bob無法發現Eve是否在竊聽。但量子密鑰分發的量子通道，Alice和Bob則可以發現Eve的竊聽行為，因為任意獲取信息的行為都會改變量子系統，又因量子不可克隆，Eve也不能直接複製信息。傳遞信息的雙方一旦發現第三者的竊聽行為，便可以立即停止通信，重置密鑰。

4）BB84協議與量子糾纏無關。經典信息的傳遞對通信的完成是必要的，傳遞速度由其決定，不存在是否“超光速通信”的疑問。

圖5：BB84協議-“密鑰分發”示意圖

如圖5所示，Alice可以採取兩種方式來製備偏振態的光子（或者說製備量子比特）：直線基"+"，和對角基"×"。在直線基中，分別用水平偏振（0°）和垂直偏振（90°）來表示0和1。在對角基中，則分別用（45°）偏振和（135°）偏振來表示0和1。

這就好比是有兩種產生和測試量子比特0和1的機器，一種機器叫"+"（直線機），一種叫"×"（對角機）。Alice隨機地選擇用某一種機器產生她的每個量子比特，並將她所用的機器順序記錄存放下來，而只把生成的0和1序列串由量子通道發送出去。相應的，接收者Bob和偷竊者Eve，也都擁有測試這兩種量子比特的機器：直線機"+"和對角機"×"。

BB84協議利用了被傳輸的偏振光量子不可克隆性，以及兩種機器生成的光量子的不可區分性。由於不可克隆，一個光量子一旦被測量，它的狀態便發生了改變，不再是被測量的數值。由於光量子不可區分，被傳輸的量子上，並沒有貼上產生它的機器的標籤，因此測量時，只能將它隨機地放入兩種機器中的一個，如果剛好放對了，那麼測得的結果百分之百準確，如果放錯了，那麼百分之五十的可能性是正確的。因為是隨機放的，所以，測得的結果的準確率應該是放對了的50%，再加上放錯了的一半中仍有一半的概率正確（25%），最後得到75%。

Bob收到Alice發送的信息串之後，將每一個光量子隨機地放進兩種測量機中的一個，並記錄下測量結果和機器順序（圖5右邊），將機器順序以及部分比特序列，從經典通道發回給Alice。如果這個信息串半路中沒有被攔截的話，根據上一段的分析，它的正確率應該是75%。這時，Alice可以通過比較Bob接受到的機器順序和部分比特，和她自己發送時的數據，而算出Bob測量結果的正確率。如果這個數值大約是75%，說明信息沒有被竊聽，這樣，Alice就將原來數據中Bob用對了機器的那些量子比特挑選出來，作為通信的密鑰，並且將密鑰的機器順序位置發給Bob。

然而，如果量子比特在傳輸中途被Eve攔截了的話，因為這個量子比特已經被Eve測量過了，不再是原來的數值。所以，因為竊聽者的存在將給Bob得到的最後結果引入額外的50%的誤差。解釋得更詳細一點，Eve竊聽過的量子比特，有50%的可能性沒變（Alice原來的），有50%的可能性改變了。如果Bob測量的這個量子比特，是被Eve竊聽過但沒改變的，正確率便等於75%*50%=37.5%，如果Bob測量的這個被Eve竊聽過但改變了的量子比特，正確率便等於50%*50%=25%。因此，總的正確率等於37.5%+25%=62.5%，小於原來的75%。這樣，Alice比對了自己與Bob的數據之後，發現正確率為62.5%左右，就能知道有竊聽者存在，便丟棄這次傳輸的數據不用而採取其它相應的措施。比如，她可以立即換用另外一個量子通道。

BB84是第一個量子密鑰分發協議，之後還有其它改進和完善的分發方法。

參考資料：

【1】《碼書》，Simon Singh 著，劉燕芬 譯，台灣商務印書館出版

【2】Stephen Wiesner – Wikipedia

【3】Adi Shamir Ronald Rivest and Len Adleman. A method for obtaining digital signatures and public-key cryptosystems. Comm. ACM, 21:120–126, 1978.

【4】維基百科-沃夫物理獎（2018）

【5】維基百科-BB84