科學人/量子電腦問世後…世上還有不可破解的加密法? 密碼攻防史一次看
量子電腦示意圖。圖/Ingimage
如果說加密就像是把遞送的包裹上鎖,好讓持有鑰匙的收件人才能打開,那麼只能說世界上沒有絕對安全的鎖,無論加密的一方再多加上幾道鎖,伺機而動的解密者總是能夠逐一找到開鎖的方法。
近代最著名的例子,就是二次大戰時德軍所使用的謎碼機(Enigma,或者音譯爲「恩尼格瑪機」),總共有26×26×26×6=10萬5456種電路變化,相當於有一萬兆以上的加密方式,號稱無法破解。但最後還是在圖靈(Alan M. Turing)等英國學者的合力下,縮小排列組合的可能範圍,再利用計算機成功找出密鑰,破譯謎碼機加密的電報。
千年以來,加密陣營面對破譯陣營的一波波攻擊,不斷節節敗退,直到公鑰密碼學的出現才得以扭轉劣勢。1976年,美國數學家迪菲(Whitfield Diffie)與赫爾曼(Martin Hellman)以及墨克(Ralph Merkle)三人發表了石破天驚的概念,指出利用模算術(modular arithmetic)建構出的某種單向函數,可用來進行加密,而密鑰大可公諸於世,也不怕遭到破譯。因爲這種函數容易計算,卻很難從結果反推出原來的數值,只能夠以試誤法逐一驗算;當數值很大時,算到地老天荒也可能都還沒有結果。
隔年(1977),瑞維斯特(Ronald Rivest)、希米爾(Adi Shamir)、艾德曼(Leonard Adleman)三人結合質因數分解,打造出更難反推的單向函數,以他們三人姓氏第一個字母爲名的RSA加密演算法有效又好用,除了國防外交上的加密用途,更進入我們的日常生活之中,廣泛用於網路通訊、認證、金融交易等方面,而無須擔心遭到駭客竊取資料。即使電腦運算速度不斷提升,逐漸縮短破譯的時間,只要再增加密鑰的長度,讓電腦破譯速度追趕不上就好。
不過這對傳統電腦有效,但對量子電腦就不盡然了。美國數學家修爾(Peter W. Shor)在1994年便提出修爾演算法,證明量子電腦可以在足夠短的時間之內完成因數分解,代表現在廣泛使用的公鑰加密法,在未來恐怕就不再安全。
難道好不容易得以喘息數十年的加密陣營又要敗下陣嗎?其實有個保證永遠不會被破解的加密法,那就是量子加密。有趣的是,這個構想的起源並不是爲了對抗修爾演算法才提出的,而是早在1969年,美國哥倫比亞大學的物理博士生魏斯納(Stephen Wiesner)所寫的博士論文。這篇題爲〈共軛編碼〉(Conjugate Coding)的論文描述如何利用光子的偏振,打造絕對無法仿冒的「量子貨幣」。無奈他投稿期刊遭到退稿,就連指導教授也認爲這不是「正經的科學」,這篇論文從此無人聞問,倒是他的室友班奈特(Charles Bennett)念念不忘,不時在腦中反覆思索。
直到15年後,班奈特終於茅塞頓開,和加拿大蒙特婁大學的布拉薩(Gilles Brassard)想出如何用光子隨機產生一次性密鑰。因爲密鑰從不重複,也就不可能被破解;倘若有人試圖監聽偷窺,也會因此改變光子的偏振方向而遭發現。這個BB84協定(代表兩人姓氏以及對外發表的1984年)可保證絕對安全的量子加密與量子通訊,終於爲千年的加密∕破譯攻防戰畫上句點。別以爲這還在紙上談兵的階段,近年來包括我國在內的許多國家紛紛都已完成可行性實驗。
只不過量子加密固然牢不可破,成本卻太過昂貴,加上全球億萬臺終端裝置仍是傳統電腦,在可見的未來也不可能採用量子加密,因此在實務面,還是有必要開發能抵抗量子電腦、又適用於傳統電腦與網路的加密演算法,也就是所謂的「後量子密碼學」。其中由美國電腦科學家艾以泰(Miklós Ajtai)與德沃克(Cynthia Dwork)共同提出的「晶格密碼學」(lattice-based cryptography),因爲涉及在N維空間中找出最近向量的問題夠複雜,所產生的密鑰長度又不會太長,目前最受到矚目;若想了解其基本原理,請見62頁〈倒數2030,量子電腦與晶格加密的頂尖對決〉。
延伸閱讀
(本文出自2024.07.01《科學人》網站,未經同意禁止轉載。)