'量子計算：如何應對國家安全風險（上）'

作者 | Dr. Arthur Herman，Idalia Fredson

編譯 | 中國信息協會量子信息分會

​

想象一下，一個計算機可以在眨眼間解決當今速度最快的超級計算機也無法解決的數學問題。想象一種技術可以讓觀察者透過牆壁看到牆後的事物，或者看到最黑暗的海洋世界深處。想象一種技術可以在構建完全不可攻破的全球網絡的同時，破解對手最機密的數據。

所有這些都是量子計算機和量子技術的特徵。它們將在今後幾十年甚至幾個世紀內界定全球信息技術的未來。它代表了一場新的革命。這個革命會和歷史上其他的幾個革命一樣，深遠地影響著這個世界。目前，我們已經站在了這場新的革命的邊沿，風險與機遇並存。

譯者按

近年來，量子技術的發展受到了廣泛的關注。繼歐洲之後，2018年美國也公開了國家量子技術發展戰略。實際上，在此之前，美國對於量子技術的投入並不少。根據歐盟的統計，2010年左右，美國每年投入量子技術的研究經費已超過1億美元。那麼，美國啟動國家層面量子技術發展戰略背後的考慮是什麼？對於中國以及世界範圍會產生怎樣的影響？

2017年，美國哈德遜研究所（Hudson Institute）發起了量子聯盟計劃（The Quantum Alliance Initiative ，QAI)，目前已有8個國家的18家公司、大學、研究所加入。QAI成立伊始就十分積極地推動量子技術的國際標準工作，迅速地推動了ITU-T的量子通信相關標準的制定工作，併力圖使美國成為每一項量子技術標準的主導者。2018年8月，通過QAI的技術支持，哈德遜研究所完成併發布了一份題為《量子計算：如何應對國家安全風險》的研究報告。

這份報告認為,為了保護和擴大美國在21世紀的全球領導地位，美國應該重視量子信息技術，並且重要性可以和二戰中確保美國製造第一顆原子彈的哈曼頓計劃類比。美國目前在量子計算領域處於世界領先地位，但是，在量子技術發展的國家戰略層面，中國處於領先地位。美國應該向中國學習，在發展戰略中對量子計算和量子網絡安全作統一的發展。

報告中建議，在量子網絡安全方面，美國應向加拿大，英國，澳大利亞，韓國等盟友尋求技術共享。在具體的技術發展路線上，應該首先發展量子隨機數生成技術，然後逐步實現後量子密碼學技術和量子通信技術。在人才培養層面上，美國需要開展對勞動力的普及培訓，在大學本科教育階段引入“量子思維”，以保證長期競爭力。在科研方面，美國應該對包括俄羅斯和中國在內的競爭對手，在科研和科學設備方面進行封鎖。

為了使更廣泛的讀者瞭解更多關於量子技術發展及影響力的資訊，同時為感興趣者增加一個瞭解美國量子技術戰略思維的角度，譯者將該報告全文譯出，以饗大眾，並供方家商榷。限於水平，譯文中不準確或錯謬之處，歡迎批評指出。

在21世紀，全球霸權將屬於控制了信息技術（IT）未來的國家， 而量子技術將成為信息技術的核心。

量子計算機將使用量子力學原理，以指數倍快於傳統計算機的運算速度對數據進行操作，這種方式甚至遠遠超過了當今最快超級計算機的計算能力。

例如，具有300個量子比特（“量子比特”）的量子計算機可以執行的計算次數，比宇宙中原子的總數更多。這種加速計算能力可以被用於包括早期癌症檢測、機器學習算法的改進、藥品的改進等等應用中[1]。

不幸地是，這樣的計算機也能在眨眼之間破解當今的公鑰密碼系統。

這樣的系統會對國家安全構成威脅，因為它會破解國家、公司和個人的祕密，並能使關鍵基礎設施和金融系統陷入癱瘓。具有量子計算優勢的外國競爭對手可能會在威脅美國經濟安全的同時，還收割諸多量子時代的經濟紅利。

因此，美國已被捲入另一場競賽，一場和第二次世界大戰中的原子彈製造競賽一樣，對國家安全、經濟、甚至自由民主的未來都生死攸關的競賽：製造第一臺完全實用的量子計算機；這場競賽的勝負，專家們相信在未來10- 20年內就將見分曉。

2017年10月，哈德遜研究所舉辦了一次會議。這次會議也許是第一次將國際量子界中量子計算領域和量子網絡安全領域的專家聚集在一起。這兩個領域的專家在這個公共論壇上討論瞭如何構建下一步的對話機制，讓政策制定者、立法者這一方和作為另一方的量子技術製造者之間展開討論，美國為量子革命必須做些什麼準備。

這種對話已經在進行之中了。這是因為立法者開始意識到量子計算革命不僅會對科學和經濟產生深遠的影響，還會威脅國家安全。在10月份的會議上，哈德遜高級研究員亞瑟·赫爾曼（Arthur Herman）將國家量子計劃的必要性與曼哈頓計劃（確保美國擁有第一顆原子彈的計劃）進行了類比。5個月後，數字政府中心的高級研究員Morgen Wright進行了相同的類比。就像對曼哈頓計劃那樣，賴特在《山莊》雜誌上寫到，對於量子計劃，“所有人都必須在甲板上（為俚語，宜意譯為所有力量都要集中起來）、必須花錢、必須進行研究。中國、俄羅斯和其他敵對國家必須被禁止進入我們的研究和科學設施”[2]。

這一共同努力必須從現在開始，因為美國的主要競爭對手，包括俄羅斯和中華人民共和國（譯者注：文中寫的是中華民國,應該是筆誤），也在急切地開發這樣的量子計算機，並試圖成為量子時代的主導者。

本報告的主要目的有兩個：

首先，本報告解釋了量子技術的重要性，並分析了它將帶來的國家層面的機遇及潛在威脅。

其次，本報告闡述了建立國家量子戰略的原則。正如將要解釋的那樣，贏得量子計算競賽需要更多資源，而不僅僅是增加聯邦資金和聯邦監督。例如，美國的私營部門在維護和促進量子時代的美國IT領導方面發揮著至關重要的作用。與此同時，政府應該幫助確定新興網絡安全措施的優先級、標準和目標，讓私營部門專其所長：創新以及在最短的時間內儘可能地提高新興技術的效能和效費比。

無論如何，“美國數十年的IT主導地位將自動轉化為量子時代統治地位”的假設將是錯誤的。但是，通過正確的戰略和足夠多的、包括資金在內的資源支持，美國可以保持其在IT領域的全球優勢，並引領世界其他民主國家進入量子時代。

量子計算：嚴重的國家安全威脅

發展量子技術不僅僅是基於科學和經濟因素的考慮，更是關係到國家安全戰略的考量。這是因為量子計算機將能夠入侵和破壞當下幾乎所有的信息系統。國家安全風險和經濟效益都要求美國贏下率先研製成功完全實用化量子計算機的競賽。

量子計算機將如何攻破今天看來似乎安全的加密系統呢？

目前所有的計算機（包括超級計算機在內）,都使用電信號處理“比特”線性序列這樣的數據，其中每個比特可能是1或0。這種經典的1和0系統被稱為二進制系統[3]。

然而，量子計算機運行時使用量子比特（qubit），每個量子比特是物理光子而不是電信號。在奇異的量子力學世界中，這些光子可以同時處於兩種狀態（類似薛定諤的貓，同時處於生或者死的狀態），在原理上可以同時承擔0和1的功能。這種性質，允許量子計算機一次操作中進行兩次或更多次的計算。隨著量子比特數量的增加，這種（並行）計算速度的提升會呈指數增長。利用這些量子物理的特性，量子計算機能夠比現在最快的超級計算機快幾千倍地解決問題[4]。

然而，與傳統計算機相比，量子計算機的關鍵優勢不在於運行速度，而在於它能夠顯著減少獲得結果所需的操作數量。這種（指數方式）增加的計算能力給非對稱加密帶來了困擾，而這種加密方案被用於保護當今幾乎所有的電子數據。

非對稱加密的安全性基於某個需要經典計算機幾個世紀才能解決的數學難題。

例如，非對稱加密——常常稱為公鑰加密（譯者注：更準確地說，這裡指的是RSA公鑰加密）——依賴於兩個密鑰。一個是私鑰，它由只有保護數據的一方（例如銀行）才知道的兩個大素數組成。公鑰位於網絡空間，是將兩個私有素數相乘產生的半素數。黑客破解此類加密信用卡信息的唯一方法是將很長的(通常是600位數或更長)的公鑰正確分解為兩個私鑰。而這項因式分解任務對於目前的計算機來說實在是太難了，因為它們必須循序地尋找一個數學問題的可能解。 (譯者注：這裡的難度來自於算法要查找的可能解的數量，而這個數量是和公鑰長度的指數大小相關的。例如，當公鑰長度為1024比特時，分解公鑰需要的運算次數大約是280。目前最快的超算計算速度約為每秒250，即使超算每秒能完成一次破解需要的運算，也需要運算230秒，約180年)[5]。

而量子系統能夠在不到1秒鐘的時間裡，同時查看每個可能的分解併產生答案 。不僅僅是輸出單一的“最佳答案”，還會輸出近萬個接近的答案。這大致相當於能夠同時閱讀美國國會圖書館的每本書，並找到可以回答特定問題的書[6]。

為什麼量子計算機如此危險？

量子計算的威脅來源於，現今非對稱密碼技術所保護的規模極為龐大的關鍵信息，包括：銀行和信用卡信息、電子郵件通信、軍事網絡和武器系統、自動駕駛汽車、電網、人工智能（AI）等等。雖然非對稱加密在抵抗現今使用經典計算機的黑客上卓有成效，但量子計算機能夠入侵這些系統、破壞它們的運行並且（或者）竊取受保護的數據。

專家們喜歡將通用量子計算機可以攻破非對稱加密的那一天稱為“Q-Day”或“Y2Q”。Y2Q的說法是為了紀念那個可能導致計算機崩潰但最終在技術人員努力下得以避免的Y2K(千年蟲)危機。

此外，來自量子計算機的攻擊可能幾乎是無法感知的。這是因為，通過公鑰和量子計算機破譯出來的私鑰，黑客可以冒充被攻擊系統中的某個用戶。因此，被攻擊網絡中的用戶需要注意出現的異常行為以檢測攻擊。即使如此，也很難判斷這個異常行為是由量子攻擊引起的，還是由其他類型的網絡攻擊引起的。

無論如何，量子計算機能夠破解非對稱加密系統，對國家安全構成明顯的威脅。在最糟糕的情況下，Q-Day可能相當於量子珍珠港襲擊事件—— 特別是在一大部分美國基礎設施系統，包括電網、水淨化和運輸系統，以及交通信號燈和鐵路系統等等都是電子化運行的情況下。更令人擔憂的是，這將是一個隱形的珍珠港襲擊事件，沒有人會發現，直到為時已晚（造成無法挽回的損失）。

由於沒有一個簡潔的術語來指代未來可以破解非對稱密碼的大規模量子計算機，在哈德遜研究所的量子聯盟計劃（QAI）政策中心，我們將這樣的計算機 稱為量子素數計算機[7]。正如本節後面所討論的，關於何時能造出量子素數計算機有不同的估計。

由於亞原子粒子固有的不穩定性，保持足夠數量的量子比特長時間糾纏，以支持進行計算是非常困難的。物理學家稱這種固有的不穩定性為退相干。當給定的量子比特退相干時，它會失去其疊加性，並且不能再同時處於0和1的狀態，而是變成確定的0或者1（退化為經典比特）。因此，以量子方式進行計算所需的能力就會消失。對於量子科學家來說，不幸的是即使最輕微的干擾都可能導致量子比特的退相干。這意味著工程師必須不斷研究，如何減輕那些時刻存在的、來自於諸如輕微擾動、聲音和光線等干擾的影響。這也是為什麼許多量子計算機都是在真空和超低溫條件下構建的原因[8]。

所有這些問題，意味著量子計算技術重大突破的到來會非常緩慢，而且需要時間、金錢和人力方面可觀的投入。實現量子素數計算機的最終突破將是眾多量子計算技術突破中最慢的一個，有些專家認為這可能不會在2030年之前發生[9]。

儘管量子素數計算機的研製可能還需要多年，但量子計算方面的一個顯著進展：量子霸權，有可能在一到兩年的時間內實現。

瞭解量子霸權

量子霸權一詞有時用於表徵未來量子計算機破解非對稱密碼算法的能力，但它實際上是一個非常專門、具有特定含義的術語。當量子計算機能夠成功解決經典計算機無法解決的某個問題時，即使是一個特別設計的問題，也算是實現量子霸權[10]。

許多專家認為量子霸權將通過大約50個量子比特的全局糾纏來實現。在2018年3月，谷歌糾纏了72個量子比特（譯者注：實際上這72個量子比特還沒有形成全局糾纏），儘管它還沒有能夠保持這些量子比特的糾纏性來實現量子霸權[11]。

雖然量子霸權的實際應用價值還存在爭議，並且看來在短期內價值有限[12]，但其意義不止於此。它代表著量子計算機將邁出第一步，證明它們確實可以能經典計算機所不能，不僅在理論上而且在實踐中皆是如此。

雖然如此，值得指出的是，即使量子霸權達成，量子計算機也無法徹底取代傳統計算機，而且在可預見的未來裡也不會取而代之[13]。但是不可否認，它們在計算領域將開始逐步成為主角。

最後，實現量子霸權將成為展示量子計算機可行性和接近真正的量子素數計算機的重要里程碑。

三類量子計算機

今天有三種類型的量子計算機在使用和研製。一種是量子退火計算機，D-Wave系統是這種計算機中最先進的代表[14]。量子退火計算機在計算時，不會嘗試操縱量子位。這意味著它們可以使用一千個或更多的量子比特，依賴於或多或少隨機糾纏的量子比特進行計算。通過這種方式，量子退火計算機可用於解決複雜的抽樣和優化問題[15]。

第二種類型的量子計算機，或者說計算機模型， 是量子仿真器或模擬器，它實際上是一個模擬系統。量子仿真器可以用來研究難以在實驗室中探索，且即使用超級計算機也無法進行建模的量子系統。它們是專用設備，旨在解答特定物理問題，例如模擬受控實驗中地球氣候的某些方面，或模擬電力無損傳輸的最佳方式。最近，兩個獨立的科學家團隊，其中一個團隊來自於聯合量子研究所（Joint Quantum Institute），通過50多個相互作用的原子量子比特,來模擬磁性量子物質[16]。

第三種類型的量子計算機，是通用量子計算機。評論家們一般討論量子計算時所指的就是這種計算機。通用量子計算機能夠運行幾乎任何類型的算法，發掘當今電子計算機（包括速度最快的超級計算機）所發現不了的數據模式。然而，通用量子計算機的特殊計算能力要求所有量子比特在整個計算期間是糾纏在一起的，這是一項非常有挑戰性的壯舉。

Q-day難以被預測

假設把第一個有用的通用量子計算機看作是量子計算機1.0版本，每個後續版本的量子計算機都將擁有更多的糾纏量子位，並提供越來越多的計算能力，那麼，量子素數計算機將近似於量子計算機5.0版本，它對糾纏起來的量子比特數目的要求和計算機制造商現今已經成功糾纏的數量相比會大幅增加。和Google現在實現的72個量子比特相比，專家預測量子素數計算機將需要同時糾纏4,000個量子比特（通常稱為邏輯量子比特）才能破解RSA 2096（譯者注：此處有誤應為RSA2048），需要同時糾纏2500個量子比特以破解橢圓曲線密碼——RSA 2096和橢圓曲線密碼是目前廣泛使用的兩個非對稱密碼系統。

關於這樣的量子計算機是否可以在5年、10年或15年內製造出來，存在著很大的爭議。例如，IBM預測，大規模通用量子計算機，也就是我們所說的量子素數計算機，只需要5年時間就會出現[17]。

為什麼預測從今天的量子計算機1.0到量子素數計算機的進化會如此地困難？

難以進行預測的第一個原因是，有很多不同的架構模型（例如，超導、拓撲和離子阱）[18]可用於製造量子比特。一些領先的公司正在採用這些不同的方法制造量子比特，但這些方法仍存在許多理論和工程上的障礙。

第二個原因是，量子計算機1.0將被用於設計下一代量子計算機[19]。科學家長期以來一直在警告，用於預測技術發展速度的摩爾定律將會終結。隨著量子計算的發明和潛在的普及，的確無法判斷摩爾定律是否適用於預測我們何時能建成量子素數計算機[20]。

最後，新興技術也將在設計未來量子計算機方面發揮作用。例如，人工智能比量子計算更接近迎來實用化的曙光；無論是長期還是短期來看，它對於量子算法和軟件的編寫都是有益的[21]。

同樣，很難預測AI將在多大程度上加速從量子計算機1.0版本到量子素數計算機的時間進度。但量子和AI在未來無疑地會互相融合。面對不同的預測分析，值得注意的是，量子計算公司出於自身利益會預測實現量子素數計算機的時間比較長（通常認為20年或更長時間），而量子網絡安全專家則樂於預測Q-day會更早地到來（有人說最快2026年）[22]。

關鍵是，存在太多的變數，以至於無法準確預料何時量子計算機會對國家安全構成如此重大的威脅。

對已存儲數據的威脅

然而，從長期安全的角度來看，量子計算機對加密數據所構成的威脅已經出現在我們身上，而不是幾年之後——量子計算機被造出來的時候。我們看作競爭對手或敵對方的那些國家正在收集和存儲敏感數據，因為他們知道，在實現量子素數計算機時他們將能夠解密這些信息[23]。這意味著在Q-Day之前和之後，未受保護的數據同樣受到量子計算機的威脅[24]。對於那些10-20年之前的信息不重要 的領域，這種數據的蒐集也許並不會帶來安全威脅。但是，為了保護國家最重要的信息和人員資產，情報部門常常把相關信息的保密期標定50年以上[25]。雖然關於量子計算機實現時間 Q-day存在爭議，但是專家們都認為它將在50年內實現。顯然，現在被收集和存儲的信息將對美國經濟和國家安全產生負面影響。

值得慶幸地是，對於量子計算機攻擊所帶來的威脅存在一個解決方案，那就是量子網絡安全——對於這種技術的開發和實施必須擺在一個優先的位置。

參考鏈接：

[1] Sergei Kouzmine, “4 Ways That Quantum Technology Could Transform Health Care,” Fast Company, September 4, 2013, https://www.fastcompany.com/3016530/4-ways-that-quantum-technology-could-transform-health-care.

[2] Morgan Wright, “America’s Enigma Problem with China: The Threat of Quantum Computing,” The Hill, March 5, 2018, http://thehill.com/opinion/national-security/376676-americas-enigma-problem-with-china-the-threat-of-quantum-computing.

[3] F. Arnold Romberg, “Computers and the Binary System,” in Mathematics, 2nd ed., ed. Mary Rose Bonk, vol. 1 (Farmington Hills, MI: Macmillan Reference USA, 2016), 159–65.

[4] Arthur Herman, “The Computer That Could Rule the World,” Wall Street Journal, October 27, 2017, https://www.wsj.com/articles/the-computer-that-could-rule-the-world-1509143922.

[5]Arthur Herman, “The Computer That Could Rule the World,” Wall Street Journal, October 27, 2017, https://www.wsj.com/articles/the-computer-that-could-rule-the-world-1509143922.

[6]Arthur Herman, “The Computer That Could Rule the World,” Wall Street Journal, October 27, 2017, https://www.wsj.com/articles/the-computer-that-could-rule-the-world-1509143922.

[7] To be precise, a quantum prime computer is one that can reverse-factor large semi-prime numbers used in asymmetric encryption back to their original prime numbers, or keys. These keys unlock the protected data.

[8] Arthur Herman, “The Computer That Could Rule the World,” Wall Street Journal, October 27, 2017, https://www.wsj.com/articles/the-computer-that-could-rule-the-world-1509143922.

[9] “Modern Cybersecurity Totally Futile in Quantum Computing Era,” ABI Research, October 24, 2017 https://www.abiresearch.com/press/modern-cybersecurity-totally-futile-quantum-comput/

[10] Ariel Bleicher, “Quantum Algorithms Struggle against Old Foe: Clever Computers,” Quanta Magazine, February 1, 2018, https://www.quantamagazine.org/quantum-computers-struggle-against-classical-algorithms-20180201/

[11] Tom Simonite, “Google, Alibaba Spar over Timeline for Quantum Supremacy,” Wired, May 20, 2018, https://www.wired.com/story/google-alibaba-spar-over-timeline-for-quantum-supremacy/.

[12] Alexandra Ossola, “Quantum Computing Is Going to Change the World. Here’s What This Means for You,” Futurism, January 8, 2018, https://futurism.com/quantum-computing-qa/.

[13] Andrea Morello, “Double or Nothing: Could Quantum Computing Replace Moore’s Law?,” The Conversation, June 12, 2018, https://theconversation.com/double-or-nothing-could-quantum-computing-replace-moores-law-362.

[14] There is debate about whether a quantum annealer can be referred to as a quantum computer.

[15] Arthur Herman, “Winning the Race in Quantum Computing,” American Affairs, May 30, 2018, https://americanaffairsjournal.org/2018/05/winning-the-race-in-quantum-computing/.

[16] Emily Edwards, “Quantum Simulators Wield Control over More than 50 Qubits,” Joint Quantum Institute, December1, 2017, http://jqi.umd.edu/news/quantum-simulators-wield-control-over-more-50-qubits.

[17] John Breeden, “Tomorrow’s Quantum Computers Are Already Threatening Today’s Data,” Defense One, July 10, 2018, https://www.defenseone.com/threats/2018/07/future-quantum-computers-already-threatening-todays-data/149557/.

[18] Sam Sattel, “The Future of Computing—Quantum & Qubits” EAGLE (blog), Autodesk 2D and 3D Design and Engineering Software, May 24, 2017, https://www.autodesk.com/products/eagle/blog/future-computing-quantum-qubits/.

[19] Will Knight, “Serious Quantum Computers Are Finally Here. What Are We Going To Do with Them?,” MIT Technology Review, February 21, 2018, https://www.technologyreview.com/s/610250/serious-quantum-computers-are-finally-here-what-are-we-going-to-do-with-them/.

[20] “Technology Quarterly: After Moore’s Law,” Economist, February 25, 2016, https://www.economist.com/technology-quarterly/2016-03-12/after-moores-law.

[21] Cade Metz, “Building A.I. That Can Build A.I.,” New York Times, November 5, 2017, https://www.nytimes.com/2017/11/05/technology/machine-learning-artificial-intelligence-ai.html.

[22] Scott Totzke, “IoT and the Quantum Threat. What To Do?,” ITSP Magazine, June 28, 2017 https://www.itspmagazine.com/from-the-newsroom/iot-and-the-quantum-threat-what-to-do

[23] John Breeden. “Tomorrow’s Quantum Computers Are Already Threatening Today’s Data,” Defense One, July 10, 2018, https://www.defenseone.com/threats/2018/07/future-quantum-computers-already-threatening-todays-data/149557/.

[24] Meredith Rutland Bauer, “Quantum Computing Is Coming for Your Data,” Wired, July 19, 2017, https://www.wired.com/story/quantum-computing-is-coming-for-your-data/.

[25] Exec. Order No. 13526, 3 C.F.R. 13526 (2009), https://www.gpo.gov/fdsys/pkg/CFR-2010-title3-vol1/pdf/CFR-2010-title3-vol1-eo13526.pdf.

譯者聲明：

譯者翻譯本報告，並不代表譯者贊同其觀點或者證實其內容的真實性。同時也注意到，文中有鼓吹美式民主和針對中國的一些不實的表述，相信讀者自能判別。譯者對此未加刪削，以求完整和真實地反映報告的立場和態度，供讀者分析參考。版權歸屬於原報告作者所有。

關於“墨子沙龍”

墨子沙龍是由中國科學技術大學上海研究院主辦、上海市浦東新區科學技術協會及中國科大新創校友基金會協辦的公益性大型科普論壇。沙龍的科普對象為對科學有濃厚興趣、熱愛科普的普通民眾，力圖打造具有中學生學力便可以瞭解當下全球最尖端科學資訊的科普講壇。