产生随机数 如何产生真正的随机数？量子物理学来助力

原文名为《量子随机性证书》

发表在2018年4月11日《自然》的新闻和观点上

原作者:斯特凡诺·皮罗尼奥，布鲁塞尔自由大学量子信息实验室研究员

通信系统依靠随机数发生器来加密信息。即使是不可信的设备，如果能生成实随机数，也能提高安全性。

现代密码学中使用的加密方案使用随机和不可预测的数字来确保攻击者无法解密加密的数据或信息。因此，一个可靠的随机数发生器非常重要。一项全互联网分析发现，成千上万的服务器容易受到基本攻击，因为它们使用劣质的随机数生成器。Bierhorst等人在《自然》杂志上发表了一篇文章，介绍他们利用量子物理和狭义相对论交叉的一些效应，展示了一个终极随机数发生器，实现了前所未有的安全性。

虽然很容易想到可以生成随机数的方案，但是很难评估它们的安全性，也就是这些随机数对于攻击者来说有多不可预测。说到底，很多问题在于，这类方案不能只从黑箱的角度，即不可知的内部运行的角度来考察它们的输出来检验。例如，一些被称为伪随机数发生器的算术运算可以产生完全可预测的数字序列。然而，这些序列没有任何可识别的模式。因此，如果人们不知道这些数字最初是如何产生的，就很难将它们与通过实随机方法获得的序列区分开来。

只有当随机数发生器满足两个条件时，才能建立安全性。首先，用户必须知道这些数字是如何生成的，以验证一个有效的程序正在执行。其次，这个系统必须是攻击者的黑箱，防止其内部机制被攻击者利用。

但是，第一个条件不现实。由于缺陷、组件老化、意外故障或攻击者的故意篡改，随机数发生器可能会偏离其预期设计，导致未检测到的偏差。实时监控随机数发生器的内部机制是不切实际和困难的。另外，第二个条件违反了现代密码学的核心原理——克尔克霍夫原理。信息论之父克劳德·香农将其重新描述为“敌人知道正在使用的系统”。换句话说，在设计密码系统时，应该假设对手很快就会熟悉它们。

值得注意的是，鉴于量子物理不寻常的规律，有可能创造出一个可证明安全的随机数发生器:用户不知道它的内部生成机制，但攻击者可以足够详细地描述它。

为了理解它是如何工作的，请看比埃尔斯特和他的同事们的实验。他们首先准备了两个纠缠光子，然后将每个光子发送到不同的远程测量站，在那里记录光子的偏振。在测量过程中，光子不能相互作用——测量站之间的距离太远，这要求信号的传播速度超过光速。然而，由于光子的纠缠，测量结果是强相关的。这种相关性可以通过一种叫做贝尔不等式违反的统计标准进行实验测试。

图1 |量子随机数发生器。Bierhorst等人报道了一个可以产生真实随机位串的实验，有助于提高各种通信系统的安全性。作者制备了一对纠缠光子，这意味着它们的性质是强相关的。然后，他们将每个光子发送到不同的远程测量站，在那里记录光子的偏振。由于光子对的强相关行为和它们之间的长距离，两个观测站的测量结果是不可预测的。但是，即使经过百万次运行，随机性也很小。作者使用强大的后处理技术从这些测量中生成真实的随机位，光子行为的物理假设在这个过程中是最少的。

两个远程光子的强相关行为表明，它们可以用来设计比光速更快的通信设备。这确实是可能的，除非光子的测量结果是不可预测的。在这种情况下，在通信设备中使用这些光子的任何尝试都将失败，因为这将导致混淆和难以辨认的信息。因为不可能以比光速更快的速度交流，贝尔不等式的破坏意味着测量结果的随机。换句话说，它提供了一个随机的实验认证。

这个结论只依赖于信号传输速度快于光速的不可能性，并不依赖于任何相关量子系统的详细描述。所以从对手的角度来说，无论对手对正在进行的量子过程了解多少，都必须是真的。而且由于Bell不等式的破坏只能通过观测输出结果的统计数据来验证，所以验证程序代表随机黑盒检验。

在过去的三十年里，人们在许多实验中观察到了贝尔不等式的破坏，它们与随机性的定性关系多年来一直为人所知。然而，量子信息研究人员在过去几年才开始开发工具来利用这种联系。

一个关键的难点是，大多数违反贝尔不等式的实验都受到了漏洞的影响，这意味着不能把它们看作是黑箱实验。比如前面两个基于贝尔不等式的随机实验，没有严格满足两个光子不能交换亚光信号的约束条件。在过去的几年里，人们进行了一些无泄漏实验，但它们仍然是一个技术挑战。特别是，在这些实验中观察到的贝尔不等式的破坏程度，虽然足以验证光子相关行为，但不足以验证具有足够高质量的随机性的存在，以用于加密目的。

Bierhorst和他的同事改进了现有的无泄漏实验设置，使得实现这种随机性成为可能。然而，这一门槛几乎没有被触及。在他们的实验中，每次测量一个光子，其随机性相当于投掷一枚概率为99.98%的硬币。

经过多次运行，系列测量结果应该已经积累了足够的不确定度，真正的随机位应该通过巧妙的后处理提取出来。然而，现有的序列分析方法不足以实现这一目标。Bierhorst等人因此引入了一种强大的统计技术，针对他们观察到的Bell不等式的弱破坏，达到了这个目的。最后，作者可以在大约10分钟的数据采集时间内生成1024个随机位，相当于测量了5500万个光子对。

Bierhorst和他的同事的随机数发生器代表了历史上最详细和最安全的产生随机性的方法。但是它的生成速度远远低于更常规的商用量子随机数发生器，后者每秒可以生成数百万个随机比特。尽管如此，可以合理预期，随机数发生器的生成速率将会提高，最终不会成为严重的限制因素。

作者的随机数发生器更大的问题在于它的尺寸:它包括两个距离为187米的测量站，以防止光子对之间的亚光速信号传输。在未来，这个距离可能会缩短，但很难想象它可以用可预见的技术达到更标准的电子硬件的尺寸。

虽然Bierhorst及其同事的研究不会直接带来实用的消费随机数发生器，但为随机比特的安全产生提供了新的方向和理想的选择。作者的实验和理论方法可以加以改进，设计出更实用、更简单的随机数发生器，有望在研究中保留许多概念和安全优势。ⓝ

自然| doi:10.1038/d 41586-018-04105-4

版权声明:

本文由斯普林格自然上海办公室翻译。中文内容仅供参考，所有内容以英文原版为准。欢迎加入朋友圈。如果你需要重印，请寄到Chinapress@nature.com。未经授权的翻译是侵权行为，版权方保留追究法律责任的权利。

2018麦克米伦出版有限公司，斯普林格自然的一部分。版权所有