如何产生真正的随机数？量子物理学来助力现代密码学使用的加密方案大量使用随机

原文以The certainty of quantum randomness为标题

发布在2018年4月11日的《自然》新闻与观点上

原文作者：布鲁塞尔自由大学量子信息实验室研究员Stefano Pironio

通信系统依靠随机数发生器来加密信息。即便是不可信的设备，如果它可以产生真正的随机数，也可以提高安全性。

现代密码学使用的加密方案大量使用随机、不可预知的数字来确保攻击者无法破译加密的数据或信息。因此，可靠的随机数发生器至关重要。一项全因特网分析发现，数以万计的服务器因为使用劣质随机数发生器而容易受到基本攻击。Bierhorst 等人在《自然》上发表了一篇文章，介绍他们利用量子物理学和狭义相对论交叉地带的一些效应，展示了一种终极随机数发生器，实现了前所未有的安全性。

尽管很容易想到可以产生随机数字的方案，但是却很难评估它们的安全性，即这些随机数对于攻击者来说的不可预测性究竟有多大。追根究底，许多问题出在这类方案不能仅仅通过从黑箱角度，即内部运作不可知的角度，考察它们的输出来加以检验。例如，某些被称为伪随机数发生器的算术运算可产生完全可预测的数字序列。然而，这些序列没有任何可识别的模式，因此，如果一个人不知道这些数字原本是如何产生的，则很难将它们与通过真正的随机方法获得的序列区分开来。

只有当随机数发生器满足两个条件时，才能建立安全性。首先，用户必须知道数字是如何生成的，以验证正在执行的是一个有效程序。其次，这个系统对攻击者来说必须是一个黑箱，以防止其内部机制被攻击者利用。

但是，第一个条件是不现实的。由于瑕疵，元件老化，意外故障或攻击者的有意篡改，随机数发生器可能偏离其预期设计，导致产生未能被发现的偏差。实时监控随机数发生器的内部机制既不切实际也有困难。此外，第二个条件违反了柯克霍夫原则

（Kerckhoffs’ principle）

——现代密码学的核心原则，信息理论之父克劳德·香农

（Claude Shannon）

将其重新描述为“敌人了解正在使用的系统”。换句话说，设计密码系统时应该假设对手会很快熟悉它们。

值得注意的是，有鉴于不同寻常的量子物理学法则，有可能创建一个可证明的安全的随机数发生器：用户不知道它的内部生成机制，而攻击者可以充分详细地描述它。

要理解它的工作方式，请看Bierhorst及其同事进行的实验

（图1）

。他们先制备了两个纠缠态光子，然后将每个光子分别发送到不同的远程测量站，在那里记录光子的极化。在测量过程中，光子无法相互作用——测量站相距太遥远了，要求信号的传播速度比光速快。然而，由于光子的纠缠性质，测量结果是强相关的。这种相关性可以通过被称为贝尔不等式的破坏

（violations of Bell inequalities）

的统计标准进行实验性检验。

图1 | 量子随机数发生器。Bierhorst 等人报告了一个可以产生真正随机比特串

（0s和1s）

的实验，有助于提高各种通信系统的安全性。作者制备了一对纠缠在一起的光子

（蓝色和红色）

，这意味着它们的属性是强相关的。然后他们将每个光子发送到不同的远程测量站，在那里记录光子的极化。因为光子对的强相关行为和相互之间的远距离，两个观测站的测量结果是不可预测的。然而，即使在数百万次运行之后，随机性也很小。作者使用强大的后处理技术从这些测量中生成真正的随机比特，且该过程中对光子行为的物理假设最少。

两个远程光子的强相关行为表明，它们可以用来设计一个比光速更快的通信设备。这确实是可能的，除非光子的测量结果是不可预测的，在这种情况下，在通信设备中使用这些光子的任何尝试都将失败，因为这会导致信息混乱，难以辨认。由于不可能进行比光速更快的通信，因此贝尔不等式的破坏意味着随机测量结果。也就是说，它提供了一个随机性的实验性认证。

这个结论仅仅取决于比光速更快的信号传输的不可能性，而不取决于相关量子系统的任何详细描述。因此，从对手的角度来看，无论对手对进行中的量子过程有何了解，它都必然是真实的。而且由于贝尔不等式的破坏只能由观察到的输出结果的统计数据来验证，验证程序代表了随机性的黑箱测试。

过去三十年来，人们在许多实验中都观察到了贝尔不等式的破坏，并且它们与随机性的定性关联已为人所知多年。然而，量子信息研究人员仅在过去几年才开始开发工具来利用这种关联。

一个关键的困难是，大多数违反贝尔不等式的实验都受到漏洞的影响，这意味着它们不能被视为黑箱实验。举例来说，在之前两个基于贝尔不等式来产生随机的实验中，两个光子不能进行亚光速信号交换这一束缚条件并没有得到严格满足。在过去的几年中，人们已经开展了一些无漏洞实验，但它们仍然是一项技术挑战。特别是，在这些实验中观察到的贝尔不等式的破坏程度尽管足以证实光子的相关行为，但是不足以验证质量足够高到能用于加密目的随机性的存在。

Bierhorst及其同事已经改进了现有的无漏洞实验设置，使这种随机性有可能实现。但是，这个门槛才勉强触碰到。在他们的实验中，每次测量一个光子时，所产生的随机性

（以比特0s和1s表示）

相当于投掷一枚正面朝上概率为99.98％的硬币。

在运行多次后，测量结果的序列应该已经积累了足够的不确定性，通过巧妙的后期处理应能够提取真正的随机比特。但是，现有的序列分析方法不足以达成这个目标。Bierhorst 等人因此引入了一种强大的统计技术，针对他们观察到的贝尔不等式的弱破坏，实现了这一目标。最终，作者能够在大约10分钟的数据采集中生成1,024个随机比特，相当于测量5500万个光子对。

Bierhorst和同事们的随机数发生器代表了有史以来产生随机性的最细致和最安全的方法。然而，它的产生速度远低于更常规的商业量子随机数发生器，后者每秒可以产生数百万个随机比特。尽管如此，可以合理预期该随机数发生器的产生速率会提高，而最终不会成为严重的限制因素。

作者的随机数发生器更大的问题在于尺寸：它包括两个相距187米的测量站，以防止光子对之间的亚光速信号传递。未来这种距离可能会缩短，但很难想象它能使用可预见的技术达到更标准的电子硬件的尺寸

（最多几厘米）

。

虽然Bierhorst及其同事的研究不会直接带来实用的消费级随机数发生器，但它为随机比特的安全生产提供了一个新的方向和理想选择。作者的实验和理论方法可以被改进用来设计更实用且更简单的随机数发生器，其中有望保留研究中的许多概念和安全优势。

Nature|doi: 10.1038/d41586-018-04105-4

点击“

阅读原文

”阅读英文原文

↓长按并提取二维码阅读相关论文

Experimentally generated randomness certified by the impossibility of superluminal signals

热门文章

点击图片阅读：科学家研发稳定的无线移动充电系统

点击图片阅读：

中国量子卫星向超安全通信迈出重大一步

点击图片阅读：量子热力学的星星之火，会燎原还是会熄灭？

本文由施普林格·自然上海办公室负责翻译。中文内容仅供参考，一切内容以英文原版为准。欢迎转发至朋友圈，如需转载，请邮件Chinapress@nature.com。未经授权的翻译是侵权行为，版权方将保留追究法律责任的权利。