1990年的一天,牛津大学的研究生埃克特(Artur Ekert)在图书馆里静静地阅读爱因斯坦、波多尔斯基和罗森的那篇EPR论文。在他的这个学生年代,量子纠缠、贝尔不等式不再是异端邪说,已经进入传统高等学府的大雅之堂。但即使对这些进展已经颇为了解,埃克特也还是第一次捧起这篇半个多世纪以前的经典,直接与当年的大师面对面。
在那篇题为《量子力学对物理实在的描述可以被认为是完备的吗?》论文的开头,爱因斯坦和他的合作者不厌其烦地为他们即将讨论的基本概念给出确切的定义,包括什么是物理实在,一个理论怎样才是完备的,等等。埃克特尤其注意到他们对“物理实在”下的定义:“如果在不对系统造成任何干扰的前提下,我们能够以百分之百的确信度预测一个物理量的数值,那么该系统中必然存在有一个与这个物理量相对应着的物理实在。”
作为新生代研究生,埃克特明白爱因斯坦的这个定义来自他对“局域性现实”(local realism)的信念。有着波粒二象性、违背贝尔不等式的量子力学并没有满足爱因斯坦的意愿。
埃克特的目光却集中在“如果在不对系统造成任何干扰的前提下,我们能够……”这一操作性的细节上。在研究理论物理的同时,他的业余爱好是密码学。在他眼里,EPR这样描绘的所谓物理实在,其实正是一个在不被发现的条件下偷窥机密的过程。既然量子力学中并不存在这样的现实,埃克特突然脑洞大开,那就不可能在不造成干扰的前提下得知量子系统的状态。
不久,贝尔来到牛津讲学访问。埃克特逮到一个机会匆匆忙忙地向这位大师讲述了他的发现:量子系统可以用来作为无法被窃听的通讯渠道。
贝尔听后诧异地回问:“你是在告诉我这可能会有实际用途?”得到肯定答复后,他不由感慨,“不可思议。”
虽然喜欢自称“量子工程师”,贝尔毕竟还是身处欧洲核子研究中心象牙塔内的学者,不了解外面世界的精彩。在他的心目中,量子力学的基础问题只是理论家、哲学家的坐而论道。量子力学本身的正确性毋庸置疑,在现实世界中的应用也早已硕果累累。那抽象得无从把握的量子纠缠概念却与实用价值完全沾不上边。
贝尔的不等式已经问世快30年了。那些年里,他对美国嬉皮士们企图借助量子纠缠实现超光速通讯以及超感官知觉、心灵感应等特异功能的喧嚣从来没有兴趣。他也没意识到随着他的理论逐渐被主流物理学界接受,其实际应用的可能性也不再是天方夜谭。
威斯纳(Stephen Wiesner)出身书香门第。他父亲是麻省理工学院的知名教授,曾经长期担任院长。在父亲的熏陶下,威斯纳从小勤奋阅读,尤其喜欢量子力学、信息理论和通讯技术。1960年,他进入加州理工学院,与也是知名学者家庭出身的本科新生克劳泽结为好友。他们不仅是物理实验室中的搭档,还曾合伙买过一辆旧车。
但在克劳泽兢兢业业学习、毕业的年月,威斯纳却不得不从加州理工学院退学,转回东部的布兰迪斯大学继续学业。那正是贝尔在美国访问期间完成他著名论文时所在的学校。当时还是毕业班学生的威斯纳对贝尔的行踪、成果一无所知。
威斯纳毕业后也辗转来到哥伦比亚大学攻读研究生。他也不知道老朋友克劳泽正在那里的天文系里琢磨如何验证贝尔的不等式。在物理系的威斯纳也同样地不务正业。那时,高保真度的彩色复印机刚刚出现,复印纸币以假乱真成为一个热门话题。威斯纳也随大流思考起如何防止钱币被伪造的难题来。
他的想法非常超前。
每张纸币都有一个特定的序列号。威斯纳认为可以把这种印在纸面上的数字换作光子的自旋量子态。这样,钱币的序列号由一串禁锢在狭小空间的光子组成,它们的偏振态构成序列号的数值。如果不法分子要制作同样序列号的假币,他必须先读出这些光子的偏振态,即对光子实施测量。但因为这些光子有些处于线偏振的本征态,有些则处于圆偏振本征态,不明就里的假冒者无法知道应该以哪一种偏振方式测量。如果他用线偏振的偏振片去测量一颗处于圆偏振态的光子,他就会造成光子波函数新的坍缩而读到一个随机的数值,与原来的序列值不符。
那还是1960年代末。克劳泽还在为他的实验寻求支持,赫伯特也还没琢磨出他的超光速通讯设计。威斯纳找不到愿意接受这篇“量子钱币”(quantum money)论文的学术刊物,只给自己的几个朋友寄送了预印本。几年后,他完成了“正经”的研究生论文获得博士学位,旋即离开学术界开始浪荡天涯的嬉皮士生活。
十多年后的1983年,威斯纳的量子钱币论文终于出现在一份计算机技术刊物上,更没能引起物理学界注意。只有他当初在布兰迪斯大学时的同学和好友班尼特(Charles Bennett)还一直记得他曾经收到的预印本。班尼特大学毕业后在哈佛获得博士学位,随后在国际商业机器(IBM)公司的研发实验室工作,兴趣逐渐从物理转为计算机、通讯技术,也开始涉及量子力学的测量问题。因为惠勒的邀请,他在参加得克萨斯大学的研讨会时结识了那里的祖瑞克和伍特斯,得知他们证明量子态不可复制的新成果。
班尼特意识到威斯纳的量子钱币之所以无法被假冒,正是因为由光子量子态组成的序列号无法被复制。威斯纳早在十多年前就已经直觉地意识到量子力学这个特性。只是他没有像祖瑞克他们那样提供严格的数学证明。对威斯纳来说,那是一个不言而喻、天经地义的推断。
这个量子钱币的设计虽然合理,却并不具备现实可能。但班尼特在老同学的旧论文中看到另一层含义。威斯纳用光子的量子态制作无法复制的序列号,其实就是一项为数据加密的新技术。它更可以用来储存、传送各种秘而不宣的机要讯息。
1984年底,班尼特和他的合作者、加拿大计算机专家布拉萨德(Gilles Brassard)在印度举行的国际会议上发布了一个结合威斯纳的创见和量子态的不可复制原理而设计的密码传送新方案。
在1960年代的中国,作为样板戏的京剧《红灯记》曾经家喻户晓。这个剧的焦点是一本密电码。为了它,主角李玉和一家子与日本宪兵展开殊死的斗争。
密电码是机密电报通讯至关重要的工具。无线电电台发出的通信电波在大气中传播,任何人都可以在附近接收监听。为防止泄密,发信息的一方要先用密电码将电报内容加密,使其成为无法理解的天书。只有使用同一份密电码解密后才能阅读到电报的内容。
这个保密过程的前提条件是发送方和接收方拥有同样的密码。在《红灯记》中,交通员、李玉和、铁梅和磨刀人以生命保护密电码的安全,前赴后继将其送到作为接收方的游击队手中。这样的情节在真实生活中屡见不鲜。第二次世界大战期间,各个交战国都曾竭尽全力,不惜代价地保护己方的通信密码。他们也同样不顾一切地试图破获、夺取敌方的密码。
还是在大战之后的和平年代,通讯专家终于发现一个传送密码的新方法。在这个精心设计的过程中,远隔万里的发送和接收两方不再需要危险的秘密渠道。他们可以分别选定一个公开的“公钥”(public key)和一个秘不示众的“密钥”(private key)。然后他们各自用自己的密钥与对方的公钥结合进行特定的代数运算,又坦荡地公开交换运算的结果。由此他们可以推导出一个双方完全一致的数值,成为共有的密码。
除了各自的密钥和最后的结果,这个过程中的运算步骤和中间结果都是公开的。偷听或旁观的第三方完全可以根据这些信息采用代数运算手段倒推出他们所用的密钥和最后达成的密码。只是这个倒推的过程中会涉及最为繁复的代数运算——比如两个大数相乘是一个简单的代数运算。而如果知道这个乘积需要倒推出原来的两个因子却是难上加难。这个密码过程就是利用了这样的“非对称运算”步骤——以至于穷极现有的计算资源也无法在有生之年完成。因而这样产生的密码是安全的。
这个方法以公开提出实施方案的三位专家姓氏命名,叫做“RSA加密演算法”。因为通信双方不需要近距离接触或隐秘的地下通道传递密码,它大大地扩展了机密通讯的运用范围。今天,所有人都可以在互联网上轻松直接地与万里之外素未谋面的新朋旧友以及商业公司或政府机关交流,无需惧怕其中的隐私在网络传输过程中被窃听,就是在享受这一算法带来的福利1。
然而,这个算法虽然免去了传送密码过程中的危险,它的可靠性却也完全依赖于其中代数运算的复杂性超越现有的计算能力。一旦后者获得突破性提升超越前者,这个算法就不再具备任何保密价值。未雨绸缪,密码学家因而也一直在寻找更为保险的途径。
为了摆脱这个被计算能力追逐的被动局面,班尼特和布拉萨德的新方案不再通过数学计算的方式产生发送和接收方共有的密码。他们又回到传送或分发密码的传统途径。只是他们提出的传送过程不需要李玉和式的牺牲,完全可以通过公开的通信渠道进行。
与克劳泽和阿斯佩的实验相似,发送的甲方先产生一连串的纠缠光子对。每对光子中的一颗留在当地,另一颗则发送给接收的乙方。随后,甲方逐个测量当地光子的自旋,每次按照自己随意设定的次序或者使用偏振片或者使用半波片。这样的测量会让光子和它孪生兄弟的波函数坍缩到某个特定的量子态。比如,甲方用偏振片测量第一颗光子,发现其自旋向上。那么,乙方收到的第一颗光子就会处于线偏振的本征态,自旋向下。接着甲方用半波片测量第二颗光子,发现其为左旋。到达乙方的第二颗光子便会是在右旋的圆偏振态中。以此类推。
但乙方接收到这一连串光子时并不知道甲方实施的测量方式。这些光子对他来说就是威斯纳量子钱币的序列号,暗藏着他不知道应该如何阅读的信息。无奈,他也只能像企图伪造钱币的不法分子一样瞎碰运气,随机地选取偏振片或半波片逐个进行测量。
如果他碰巧用了偏振片测量到来的第一颗光子,他肯定会看到光子的自旋向下。接下来,如果他还是用偏振片测量第二颗光子,他则可能会看到自旋向上或向下。那是因为他的测量造成了处于圆偏振态的第二颗光子波函数的再次坍缩,自旋向上和向下各有50%的可能性出现。因为只能做这么一次的测量,乙方自己无法知道他的结果是因为量子纠缠非局域性带来的确实信息(第一颗)还是他自己测量导致的随机结果(第二颗)。
这也就是赫伯特超最初的超光速通讯设计被埃伯哈特、吉拉迪等人点中的死穴。如果甲方与乙方没有另外的联络,他们只通过这些光子无法鉴定其量子态中可能携带的有用信息。好在班尼特和布拉萨德追求的不是超光速通信,他们只是要传递隐秘信息。为这个目的,他们让甲乙双方在各自完成测量之后再打开一条常规的通讯渠道,比如电话、互联网电邮或短信等等。这个渠道的安全性自然不会很理想,但他们也不在乎有人窃听。
在电话上,甲乙双方互相通报各自对每颗光子的测量方式,同时也都对自己的测量结果缄口不言。按照光子到来的顺序,如果他们正好都用了偏振片(或半波片)测量同一颗光子,那么他们对彼此的结果心领神会,无需多语。反之,如果在同一颗光子上一人用了偏振片而另一人用了半波片,那么测量的结果毫无意义。他们可以把轻松地把这些噪音从结果序列中剔除。
因为只有偏振片和半波片这两种选择,甲方乙方即使是瞎碰运气也会有大约一半的光子对在两边经历了同样的测量手段,有着双方一致的结果。它们携带的量子态序列便构成一份密码,其数值只有甲方和乙方共同掌握。在那之后,他们可以用这个密码为任何信息加密,放心地用普通的通讯渠道传送。只有他们对方才可能拥有可以用来解密的这个密电码。
假如的确有人偷听到了甲方和乙方的这一番通话,偷听者可以获知这个光子系列中哪些光子的量子态构成了甲乙双方手中的密码,甚至也能知道对其中每颗光子应该如何测量而得知其量子态。但偷听者却无法知道那些光子的量子态本身,也就是密码的数值。这个至关重要的秘密从来没有在电话上提及。
那么,如果偷听者也曾悄悄地截获到了先前的光子通讯,那他这时不就既知道该测量哪些光子又知道如何去测量了吗?那些光子所携带的密码信息便随之唾手可得。
在班尼特和布拉萨德发表的论文中,他们开篇明确表示这个方案之所以能够行之有效,关键就在于祖瑞克和伍特斯发现的量子态不可复制原理。如果在甲方、乙方之外的偷听者还能拥有着同一个光子系列可供测量,只能说明那些光子已经被复制。而因为量子力学的保佑,那却是绝对不可能的。
电影中的间谍常常潜入某个房间,偷偷拍摄机密信件而不被发现。那只是我们日常生活的经典世界中场景。如果这些信件是由光子的量子态“写”就,所有间谍就只能望“文”兴叹,不再有用武之地。
当然,即使光子的量子态不可能被复制,量子力学也不能保证光子在传输过程中会被做手脚。也许某颗光子被偷走(或注入了新的光子),造成后面的序列对不上号;也许有的光子曾被偷听者测量过,其量子态已经改变。为了保证密码的完整无误,甲方和乙方还需要在已经确定保留的光子中再随机选取一部分进行抽查。他们可以在电话上核对这些光子的量子态。如果一方看到自旋向上,另一方应该是自旋向下。或者一方是左旋,另一方应该是右旋,等等。一旦他们发现有对不上号的情形,就说明这些光子已经被窃听过,必须完全舍弃从头再来。
正如埃克特在牛津图书馆中的顿悟,量子力学中的偷听者无法“在不对系统造成任何干扰的前提下”窃取系统的信息。他们能够偷听,却不得不留下能被察觉的证据。量子力学的不确定原理——加上也是由它而来的量子态不可复制——成为机密通讯的保护神。
根据班尼特和布拉萨德的姓氏字母和发表年份,他们这个方案在密码学中被命名为“BB84”。这是所谓“量子密钥分发”(quantum key distribution)新技术的第一个具体方案,也是“量子密码学”(quantum cryptography)诞生的标志。
在1980年代中期,曾经让爱因斯坦、薛定谔、贝尔等人绞尽脑汁的量子纠缠也由此走向了现实世界的应用。
(待续)
当然,互联网的隐私问题是多方面的。这里只是特指使用“https”加密协议传输过程中的安全性。
讲了原理,下次可以比较潘建伟和竞争者成就