因应量子运算对传统網安带来的威胁　企业应重视量子加密通讯技术

量子运算的发展将对传统信息安全造成严重威胁，进而促使量子加密通讯技术不断演进。目前量子加密通讯的应用主要在为数据中心提供防护，并延伸到政务、国防等特殊领域的安全应用。未来，随著量子加密通讯组网技术更加成熟，终端设备趋于微型化、移動化，量子加密通讯也将扩展到通讯網絡和企业云端储存服务等应用领域。

量子加密通讯是量子力学与信息科学结合产生的交叉学科，量子加密通讯是利用量子比特(qubit)，而非经典比特以二进制數字信號作为信息载体，进行信息传递，可确保在信息安全方面超越经典信息技术的极限。目前量子加密通讯的典型组成技术包括量子金钥分发(Quantum Key Distribution；QKD)和量子真随机数产生器(Quantum Random Number Generator；QRNG)这两种技术。

目前电信和手机业者是最积极探索量子加密通讯与安全技术的业者，包括开发基于量子加密通讯技术的加密通话产品及整合量子真随机数产生器到云端服务。相关厂商推出的产品包括韓國SK Telecom与三星电子合作推出搭载量子安全加密技术的手机；英国电信集团(British Telecommunications)与日本东芝公司(Toshiba)合作建造一套基于量子安全的網絡通讯系统；中国电信、中国联通与华为合作推出搭载量子安全加密技术的手机。

企业应采用量子加密通讯技术以防范经典加密技术被破解

随著越来越多公司机构和政府单位使用網絡云端管理日常营运，網絡攻击和数据泄露发生频率越来越高，因此，发展保护信息安全的技术也就益加重要。而未来如果量子电脑技术研发取得突破，也会严重威胁经典(classical)口令学的安全性，企业将需要透过量子加密通讯技术以维持信息的安全性。

经典加密技术的安全保障是基于计算的复杂性远超越既有电脑的计算能力，以最广泛使用的RSA加密演算法来说，其安全性就是基于对极大整数做质因数分解的困难度，例如233和307这两个质数，计算它们的乘积71,531很容易；然而，反过来分解71,531得到233和307这两个质因数就困难得多。而欲破解RSA-1024就是要能分解一个1,024位元的大数，这项任务的计算量大到就算是使用当今世上最快的超级电脑，也得花费数亿年的时间去计算，而RSA加密演算法的安全性正是依赖于计算的复杂度。

目前金融体系、电子邮件的數據加密、HTTPS连线协议、SSH连线协议、电子IC卡凭证、網絡數字交易、区块链、加密货币及數字签章的安全性都是基于RSA加密演算法。然而RSA加密演算法被破解只是时间问题，因此，公司机构和政府单位有必要关注无法被破解的量子加密通讯技术。

由于量子叠加与量子纠缠所带来的平行运算特性，量子演算法在某些问题上可实现指数级的加速，从而求解经典电脑无法解决的问题。1994年由美国麻省理工学院的应用数学系教授Peter Shor提出的Shor演算法，就是透过量子傅立叶变换(Quantum Fourier Transform；QFT)对于寻找函数周期的快速性，以此达到对质因数分解实现指数级加速的量子演算法，而透过Shor演算法破解RSA-1024仅需耗时数分钟。

尽管目前量子电脑的研发进展尚未达到可以商用化的程度，距离黑客能够广泛地利用量子电脑去破解现有的经典加密方法也仍然有段时间，但是目前黑客的攻击形式可称为「先收获，再破解(Harvest Now, Decrypt Later)」导致现在传输的數據仍然存在信息安全隐患。黑客已经开始窃取大量加密數據并将其搁置，直到量子电脑未来某一天发展成熟并允许他们解密该數據，则过去收藏的数据将会被破解。这些数据包括高度敏感的详细信息，例如客户信息、个人财务详细信息和机密公司信息。对于政府的极机密數據而言，现在储存的數據即使在未来几十年后破解也仍然可能存在敏感性，因此采用防范量子破解加密演算法的通讯方式应该越早移動越好。

量子加密通讯是量子力学与信息科学结合产生的交叉学科，量子加密通讯利用量子态作为信息载体来进行信息的传递。目前量子加密通讯的典型组成技术包括量子金钥分发和量子真随机数产生器两种技术。

量子金钥分发的安全性是基于量子力学的基本原理

目前最成熟的量子金钥分发是采用BB84协议，BB84协议是由Charles Bennett和Gilles Brassard在1984年时所发展出的一种量子金钥分发协议，这是利用光纤来传输光子的量子态，并利用光子的偏振特性来确保金钥分发的安全性。量子力学的基本原理保证了金钥的不可窃听特性，从而达到量子加密通讯在原理上无法被破解的安全性。量子金钥分发通过光纤来传输光子的量子态，并在距离遥远的两地间共享安全金钥，再利用该金钥对信息进行一次一密的严格加密。

量子金钥分发是基于量子物理学的基本原理，包括量子纠缠和不可复制定理(No cloning theorem)，以防止窃听和破解，此可以解决国防、金融、政务、商业等领域所面临的信息安全问题。

量子比特具有以下的物理特性，包括「量子叠加」、「波函数塌缩」、「量子纠缠」、和「不可复制定理」，这些量子物理的特性是量子金钥分发安全性的基础。量子金钥分发的核心精神就是运用量子比特的独特物理特性，以达到经典通讯做不到的安全性。

相较于在经典力学中，一个经典系统只能处於单一的一种物理状态下，而在量子力学中，量子系统具有不确定性。也就是说，一个量子系统可以处于好几种不同的物理状态，而且多种物理状态的可能性同时存在，这种不确定的物理状态称为「叠加态」。一个量子系统在测量前可以处于多种状态的叠加态，但当我们去测量它后，它就会根据叠加的机率，体现出其中一种状态，而这种现象称为「波函数塌缩」。

量子纠缠是一种只能发生于量子力学中的现象。如果两个粒子彼此之间存在纠缠，则对其中一个粒子进行测量，假如得到结果为1，则另外一个粒子的测量结果必定为0，反之亦然；假如测量得到结果为0，则另外一个粒子测量的结果必定为1。

「量子叠加」、「波函数塌缩」、「量子纠缠」是量子力学的基本特性，而「不可复制定理」则是确保了量子加密通讯的安全性，可以避免金钥被窃听和被破解。

相较于经典加密技术，量子金钥分发最重要的性质是，通讯的双方借由量子力学原理产生并互相分享一个真正随机的、安全的金钥，并借此来加密和解密信息。如果有第三方恶意窃听者(eavesdropper)试图窃听口令，则通讯的双方便会察觉。这种性质是基于量子力学的海森堡不确定性原理(uncertainty principle)，任何对量子系统的测量都会对系统产生干扰。因此，当某位恶意窃听者试图窃听由光子携带的加密信息，则必须测量光子，而任何测量都会对光子造成可察觉的异常干扰，所以通讯的双方便可以检测到是否被第三方窃听。

简单的通讯模型如下：发送者和接收者以量子通道(例如光纤管)进行加密金钥的交换，另外以一条经典通道(例如互聯網或是广播，此为公开通道)作为通讯管道，并假设有一位窃听者从旁边恶意的窃听。

BB84协议要求通讯双方有两条通道，一条为量子通道、另一条为经典通道。量子金钥分发的原理是利用雷射来产生光子，并利用光子的偏振特性，把光子做为二进制比特的方式编码、传递加密用的钥匙。

根据量子力学的海森堡不确定性原理，我们无法在不破坏量子态的情况下进行测量。一旦窃听者窃听到量子通道的信息，就会破坏光子的量子态。根据不可复制定理，窃听者无法复制出被他拦截的那个量子态，因此窃听者必须随机产生一个光子放回通道中；而窃听者生成的光子必定不同于发送者发送的光子。所以发送者与接收者可以交换得到的金钥，从接收的结果就能察觉是否有第三方在窃听，如果错误率太高就可以将这次的金钥作废，并要求重新传送。因此，使用BB84协议就能确保当通讯被窃听时，通讯双方能及时发现，而后便能立即中止通讯。

因为BB84协议在理论上被证明是安全的，所以BB84协议比RSA协议更为可靠。BB84协议可以作为一种将私钥从一方安全地传送到另一方以用于一次性口令本(One-Time Pad；OTP)加密的方法。在实际应用中，往往通过公开金钥加密法(public key cryptography)，亦可称之为非对称式口令学(asymmetric cryptography)，如BB84协议或RSA协议，来随机建立临时的对称金钥，亦即对谈金钥(session key)，然后通过对称加密来传输大量、主要的數據。实际上当在加密文本时通常都是使用对称加密金钥，无论是用RSA协议分发还是用BB84协议分发。BB84协议相较于RSA协议的优势在于可以避免被窃听和破解。在金融和通讯产业中，更需要使用BB84协议来替代RSA协议，用以传递对称加密所需的金钥。

BB84协议从功能上来说要实现的目标与RSA协议类似，都是为了安全地传递金钥。而BB84协议相比RSA协议，最主要的优势在于安全性，无论攻击者的运算破解能力有多厉害，BB84协议都能确保安全性。从理论到实验经过30余年的发展，BB84协议的量子金钥分发技术逐渐达到实用水平，相关技术、设备的通讯能力，足以支持城市之间及从地面到卫星之间的通讯。

量子真随机数产生器已投入商业使用

量子真随机数产生器是以随机数来加强安全性的工具。之所以称为「真」随机数产生器，是相对于被广泛使用、但却缺乏安全的「伪随机数」(pseudo-randomness)产生技术。

当今在金融产业和通讯产业中，为了安全性的目的，往往需要高度倚赖随机数的产生装置，而且随机数在众多加密协议中都被当成加密金钥使用。因此如何既快速又可靠地产生真正的随机数一直都是关键的網安问题。

然而目前绝大多数的随机数生成技术都是倚赖电脑的随机数演算法所产生的数列，这样生成的随机数都是「伪随机数」，例如一组包含发生时间的随机数生成函数所形成的随机数，这样产生的随机数实际上是有迹可循的，仍有被破解的可能性。随著超级电脑的计算能力和计算速度不断提升，由经典的随机数演算法所产生的伪随机数的安全性将会逐渐受到挑战。

由于量子真随机数产生器的原理是利用量子力学测量的机率特性，透过量子力学的测量和塌缩原理所产生的随机数，其结果是完全不可能被预测的，这便是与采用随机数演算法为基础的电脑伪随机函数的最大区别。

量子随机源的种类众多，因此使用的协议与原理也各不相同，目前较为成熟且已有商用产品的是基于相位涨落的量子真随机数产生器、基于真空噪声的量子真随机数产生器、基于放大自发辐射噪声的量子真随机数产生器和基于分支路径的量子真随机数产生器。其中，分支路径量子真随机数产生器是出现最早，也是技术最成熟的量子真随机数产生器方案。

分支路径量子真随机数产生器通常使用单光子光源，但一般可使用将相干能量衰减至每脉冲小于1个光子的弱相干光源作为替代。基于分支路径的单光子随机数产生器的基本结构如下图所示。光子一个一个被发送到半反半透镜面上，同时进行测量，被反射或穿透的结果产生对应0或1的值。

在分支路径量子真随机数产生器的商用产品具体实作中，可以透过单光子侦测器(single photon detector)实现。在一个使用该原理的量子真随机数产生器中，如果下方路径的单光子侦测器响应，经过时间數字转换器(time-to-digital converter)测量记录，输出就是0；如果上方路径的单光子侦测器响应，经过时间數字转换器测量记录，输出就是1。理论上，0和1输出的机率是相同的，因此这样输出的结果就是真随机数。

基于量子力学原理设计的量子真随机数产生器的发展，将有可能取代经典的随机数产生器，成为未来安全通讯的基础。对于通讯和金融行业而言说，高速的量子真随机数生成对于未来加密金钥的应用，将会引起相当重要的作用。除了能提供更安全的加密金钥外，也更能有效地去防御量子电脑的攻击。

一臺量子真随机数产生器的大小约略为一个移動硬盤或是显示卡的尺吋。通常都会具备PCIe或USB界面，以便整合至既有的电脑应用中，在电脑上读取随机数使用，目前被使用在加密金钥生成和博奕游戏产业中。当今也有一些云端运算服务公司，例如亚马逊云端运算服务(Amazon Web Services；AWS)在2021年与澳大利亚国立大学合作，提供云端量子真随机数生成服务，它们能够依据量子物理特性，制造任何人都无法预测的真随机数。

2021年阿里巴巴在其云端服務器中整合量子真随机数产生器，云端服务用户可以从量子安全平臺上请求量子真随机数来执行各种加密任务，从而提高網絡安全性。阿里巴巴采购的量子真随机数产生器设备来自国盾量子和瑞士ID Quantique公司。阿里巴巴也将量子真随机数应用于蚂蚁金服、支付宝、智能接入网关(Smart Access Gateway)等需要大量且實時的随机数来满足在線加密的应用场景中。

云端运算服务业者和通讯商业者将量子加密通讯进行商业应用

目前通讯业者正积极探索量子加密通讯与安全技术的商业化途径，包括开发基于量子加密通讯技术的加密通话产品，以及整合量子真随机数产生器到云端服务。这些产品和服务的推出，标志著量子加密通讯技术从科学实验室正逐渐走向商业市场。

2020年韓國的移动通讯运营商业者SK Telecom(SKT)与三星电子(Samsung Electronics)合作推出全球第一臺搭载量子安全加密技术的5G智能手機「Samsung Galaxy A Quantum」，其所搭载的芯片组以量子真随机数产生器来强化信息安全。此手机将量子加密技术提供于網絡服务身份认证的安全保护，将量子真随机数用于登入付款平臺、双重验证等手机服务。

2022年英国电信集团与日本东芝公司合作建造一套基于量子安全的網絡通讯系统，该系统将由东芝提供量子金钥分发的軟件与硬件，并由英国电信集团来实际运营，这是全球首度使用量子加密通讯的商用網絡。

2022年韓國SK Broadband公司使用后量子口令学加密技术，以提升全球虚拟私人網絡(Virtual Private Network；VPN)的安全性，并在美国、日本、新加坡等海外網絡进行测试。这是韓國第一个被美国标准技术研究院(National Institute of Standards and Technology；NIST)采纳的后量子口令学演算法。另外，SK Broadband在认证与金钥分配方面，同步采用既有公开金钥为基础的演算法与后量子口令学演算法，这种混合技术也可强化信息安全。

此外，硬件安全模塊(Hardware Security Module；HSM)公司如Thales、Utimaco和Entrust都已推出支持后量子口令学算法的产品；此外，Google Chrome和Microsoft Edge也支持将经典的非对称口令学方案和后量子口令学方案进行结合的混合型量子口令学保护。德国联邦信息安全局(Bundesamt für Sicherheit in der Informationstechnik；BSI)与法国国家信息系统安全局(Agence nationale de la sécurité des systèmes d'information；ANSSI)等多个国家机构都推荐使用混合方法，以保障信息安全性。在混合系统中，信息安全有赖于两种或多种口令学方案，仅仅破解其中一种方案并不能完全攻破系统。

中国方面由運營商开发量子通讯加密技术。2021年中国电信推出量子通讯安全产品—「天翼量子密话」。天翼量子密话利用量子金钥分发机制来生成金钥，金钥具有真随机性，可以实现一次性口令本的功能，为用户提供通话加密、信息加密和文件加密等服务，目前的用户规模超过100万人。

2023年中国电信推出与华为合作订制的Mate 60 Pro量子密话手机。采用量子安全SIM卡，将量子信息技术与VoLTE網絡融合。用户拨打电话即可直接拨打量子加密电话，在手机端完成VoLTE话音數據的加解密，有效防止通话在網絡传输中被窃听。同时每次通话会随机产生新金钥，以确保通讯安全。

2024年中国联通与华为合作推出Pura 70系列量子密信定制版手机，搭载中国联通加密實時通讯业务App「要谈」，来保障商业用户的通讯安全。利用量子特性产生的真随机金钥，采用量子金钥安全分发、可以实现一次性口令本的功能，为商业用户提供加密實時信息、加密音视讯通话、和档案加密传输等功能。

结语

随著量子信息技术的发展，量子加密通讯網絡及其应用不断演进。目前量子加密通讯的应用，主要集中在利用量子金钥分发和量子真随机数产生器来为数据中心提供防护，并延伸到政务、国防等特殊领域的安全应用。未来，随著量子加密通讯组网技术更加成熟，终端设备趋于微型化、移動化，量子加密通讯也将扩展到通讯網絡和企业云端储存服务等应用领域。

透过量子金钥分发和量子真随机数产生器，可以提升加密通讯系统的长期安全性，目前最主要的应用产业为金融产业和通讯产业，因为这两个领域对信息的安全性有更高的要求。

由于目前金融体系的信息安全性都是建立在RSA加密演算法之上。尽管当前的量子电脑技术仍不足以对破解RSA加密演算法有实际威胁，但量子运算的发展终将导致口令系统的革命，这一天的到来只是时间问题，应提早为此做好准备。为避免加密信息被量子电脑破解，最佳方法就是采用量子金钥分发并搭配量子真随机数产生器以保护信息安全。