论文部分内容阅读
如果不是因为随机数短缺,历史上最有名的一个间谍网恐怕就永远不会暴露。这一短缺发生在1941年末,也就是第二次世界大战开始两年后。当时,希特勒的军队企图踏平莫斯科,苏联领导人斯大林下令重要人员撤离该市。在随后的混乱中,苏联情报机构、克格勃的前身——内务人民委员部(简称NWD)犯了一个错误,导致试图渗透美国绝密计划——“曼哈顿”(美国原子弹研发计划)的苏联间谍全军覆没。
上述错误与NKVD的密码册有关。这些密碼册都只一次性使用。它们运用随机数扰乱字母、单词和短语组合顺序。任何一次性密电的随机数密钥都只有密电发送和接收者知道。没有密钥,就不可能解读加密电文。一次性密码使用一次就销毁,如果使用得当,密电就完全不会被破解。但制作随机数密钥需要印刷大量随机数。外界无人知道苏联人怎样产生随机数,毕竟当时计算机还处在雏形阶段。有一种说法是,NKVD雇佣一批女性在一个房间里随机说出数字。还有一种说法是,NKVD使用了一种类似彩票机的装置,利用号码球形成随机数。
据退休女物理学家简后来回忆,苏联当时无法快速制造所需的足够随机数。面对加密数万份密电的需求,NKVD官员图省事,印制了超过3.5万张复制的随机数密钥分配给战地间谍。这一致命错误让美国译码员通过寻找加密电文中的重复模式,破译了原本牢不可破的密电。
两年后,即1943年,美国军方的信号情报局(国家安全局的前身)开始执行旨在监视苏联外交电报的“维罗纳”计划。1946年12月,年轻的美国语言学家及译码员加德纳破译的一份密电中提到了参与“曼哈顿”的美国科学家名字。这最终导致向苏联泄露美国原子弹计划的所有间谍曝光,其中包括在1953年被处决的一对夫妇。“维罗纳”在美苏冷战中的重要角色直到1995年才为公众所知,当时该计划被最终解密。
简告诉记者,直到1980年,美国情报部门依然通过“维罗纳”破译苏联密电。简的丈夫理查也是洛斯阿拉莫斯国家实验室的退休物理学家。“二战”期间,就连洛斯阿拉莫斯镇的存在也是高度机密,参与“曼哈顿”的科学家均使用当地的同一个邮箱。
网络安全隐忧
目前产生随机数的方式不可持续,网络并非那么安全。那么,能否找到一种不怕黑客破坏的随机数产生方式?
简和理查都对随机数的现状感到担忧。一个鲜为人知的事实是,如果没有随机数,国际互联网和全球大部分经济都无法运作。作为网络安全的源泉,随机数保护着从国家电网到机票销售的一切事物。就像间谍使用的一次性密钥,联网电脑互发随机数作为密钥来解锁数字密码。当然,电脑密码不是为了保护间谍身份不被泄露,而是为了加密网上密码、信用卡数据等等。
其实,你每次在网站购物或输入信用卡信息,你所使用的电脑都会从其核心部位产生一个随机数,它把你与电脑的交互和你的身份与任何他人与电脑的交互及其身份区分开。虽然随机数导致经济崩溃的危机并非迫在眉睫,但产生随机数的技术显然已难以跟上互联网流量的无限制增长。诸如亚马逊这样的巨型网络零售商的电脑,可能需要同时处理上万桩交易,其中每一桩都需要一个独特的随机数密钥。6年前的一项研究发现,在互联网使用的近2.7万个密钥(抽样样本)实际上不是随机数,因而无法抵御黑客侵袭。所以,目前产生随机数的方式是不可持续的,网络并不像人们以为的那么安全。
能否找到一种不怕黑客破坏的随机数产生方式?这一任务比听起来要困难些。
随机数发生器
随机性必须具有不可预测和不可复制特征。随机性的本质特征是可重复,即两种概率相等的状态中有一种可能出现得多得多。
究竟什么是随机数?计算机怎样产生随机数?随机性并不总是容易识别。考虑这串数字:1.41421356237309504880168872420(简称数字串A)。它看起来当然是随机的——它没有任何可识别的模式。任何随机数都必须满足的标准之一是:随机数串当中每一个数都独立于它之前那个数(比如不能是1248,因为这个数字串中每个数都等于它前面那个数乘以2)。数字串A显然符合随机数的这个标准。但数字串A并未达到密码学所要求的随机性程度。虽然看起来是随机分布的,但数字串A是可预测的:它是2的平方根。因此,数字串A不能被用作一个密钥来加密数据——任何懂一些数学的人都能识别这串数字。为了高水平安全,只有复杂性是不够的,还必须有不可预测性和不可复制性。
大多数人都对随机性的本质有所见识。人的直觉在随机性王国中失败的一个经典例子被称为“赌徒悖论”,即相信过去的结果会影响未来的结果。例如,如果前10次抛硬币的结果都是落下来的硬币正面朝上,那么你很容易相信第11次的结果是反面朝上。但实际上,正面或反面朝上的概率均为50%。西方人在不经意间对“赌徒悖论”的信奉,毫不奇怪让许多赌场赚了大钱。这方面的一个著名案例出现在1913年8月18日的摩纳哥(欧洲西南部国家)蒙特卡罗赌场。当时,一只轮盘(赌博工具)的轮子连续26次停在黑色位置。在此过程中,赌徒们不断加倍对轮子停在红色位置的下注额。那一天,由于赌徒们对随机事件不能重复的笃信,赌场简直赚翻了天。事实上,既然是随机的,就不是均衡的,如掷硬币时反复多次出现正面向上的结果,而不出现或很少出现反面向上的结果。也就是说,随机性的本质特征就是重复性,即两种概率相等的状态中有一种可能(重复)出现得多得多(这叫作偏倚)。 著名的呆伯特(卡通人物,身居斗室的生意圈里的平庸之辈)漫画里有一幅画的是呆伯特来到公司地下室,看到了公司的随机数发生器。那是一台巨大的机器,呆伯特坐在它面前说:“9,9,9……”有时候随机数发生器也会如此发声。这听起来不是随机的,但随机数发生器不断运转,产生直觉根本想不到的很长的随机数串。
就算是计算机,在产生随机性方面也有麻烦。与人不同,计算机是程序化的,因而是可预测的。那么,程序化的计算机是怎样产生无序(随机性)的呢?今天的计算机依赖的是伪随机数发生器,即利用计算机电子线路中的背景振动、并将这种静电干扰转换为数字的软件。它们之所以被称为“伪随机数发生器”,是因为它们只是在模拟真正的随机性的变幻无常。它们产生的数字或许看起来就像从存錢罐里倒出的硬币一样无序,但因为这些数字是通过软件(程序规则)设计出来的,所以它们并不真正是随机的。伪随机数只是很复杂,而不是随机的。
因为是伪随机数,所以总有一种可能性——有了计算机程序的足够的输出数据,黑客就可能弄清程序的算法规则来产生数字。例如,2010年有黑客利用一个设计不佳的伪随机数发生器突破了索尼“PS3”游戏机的安全防范,从而可能让任何有足够专业知识者在这种游戏机上运行盗版游戏。2016年,美国艾奥瓦州一名彩票商的安全负责人被控操纵彩票开奖装置的伪随机数发生器,在6年时间里诈骗了1430万美元。这个技术黑客之所以引起怀疑,正是因为他赢了太多彩票大奖。
黑客们的这些“业绩”,暴露出现有随机数发生器的一大弊端。在这些伪随机数事件背后都存在信任链。信任链的一部分是:你是否相信正在被使用的随机性?理想情况是,这种信任被彻底消除,换句话说,就是实现完全的随机。简已经发明了一种独特的随机数发生器,它是一个与计算机电路板连接的小盒子。已经有一些虚拟主机公司、银行和数据中心购买了这种发生器。这种名为“信息熵引擎”的随机数发生器,运用的是一种真正的随机性来源——光子(光线中的粒子)的混乱(随机)碰撞。如果获得推广,信息熵引擎将大大增强互联网安全。由于这种装置有专利,简不愿透露有关它的工作原理的过多信息,因此对她发明的随机数发生器我们仍需要保留一点点“信任”,也就是说它的随机性仍不完整。说到完全无需信任的完整随机性,目前只有一项设计于半个世纪前的测试能做到。该测试的设计者证明——爱因斯坦错了。
挑战爱因斯坦
爱因斯坦不相信宇宙基本上是随机的,认为光速不可超越。但量子力学认为宇宙是随机的,光速可以被超越。究竟孰是孰非?
在美国标准技术国立研究院(位于美国科罗拉多州博尔德)的这间实验室的门上贴着一张黄黑色相间的警告:“小心!局部真实违反正在进行。”其实门背后并没有什么危险,但这里进行的实验的确危及了我们对“真实性是什么”的认识。
从2012年开始,挚爱摇摆舞的物理学家萧穆(他用林迪舞来说明量子理论的原则)及其同事一直致力于建造一部非常了不起的随机数发生器。这部发生器会让爱因斯坦感到挫败,因为它证实爱因斯坦嘲讽的“鬼魅般的超距力作用”(简称超距作用)是真实的存在。
爱因斯坦从未全盘接受过量子力学。作为一种理论,量子力学描述宇宙中原子、质子和其他所有粒子的特性。爱因斯坦因为随机性在量子力学中的核心作用而非常困惑。20世纪初发展出来的量子力学,完全推翻了由牛顿遗赠给我们的有序、可预测的宇宙。按照量子力学,在被实际测量之前,粒子不具备任何特定速度、能量或位置。在被测量之前,粒子的特性只能以概率来描述。与牛顿力学的确定型规则不同,量子力学描述的是事物发生的频率。
这并不只是说我们不知道一个粒子的位置。量子理论暗示的是还要极端得多的东西:在我们观察粒子之前,粒子实际上根本就没有一个固定位置。在我们观察粒子之前,一个粒子同时占据许多位置。在量子理论中,真实性就像轮盘赌的转轮,只不过那只小小的白球“占据”轮子上的每个数字,只是在轮子停止旋转而我们开始观察时,小白球才在一个数字上“崩溃”。爱因斯坦不相信宇宙基本上是随机的。他的一句名言是:“上帝不摔骰子。”
更让爱因斯坦感到不安的是量子纠缠现象,即一个粒子能瞬时影响另一个粒子,就好像它们被无形的线连接,哪怕是这两个粒子位于宇宙的面对面。这种超距纠缠作用蔑视爱因斯坦狭义相对论的基本原则(即任何物体的速度都不能超越光速)。这让爱因斯坦确信量子力学站不住脚,由此指向一种更全面的理论。他说,这种纠缠可以用隐藏变量(决定粒子交互、但尚未被发现的规则)来解释。他感觉,未来一些理论将最终描述隐藏变量,从而证明他的推测。
对爱因斯坦来说更重要的是,他所预测的隐藏变量只具有局部效应——隐藏变量不能违反由光速强加的限制。如果粒子的确有隐藏变量,就意味着它们在被测量前必须拥有至少一些确定特性。物理学家现在称爱因斯坦的这个观点为“局域实在”。之所以叫“局域”,是因为不涉及超光速的超距作用。之所以叫“实在”(真实),是因为无论是否被观测到,粒子的特性都是永恒的。
重复贝尔实验
多次量子力学“抛硬币”实验,最终证实了超距作用和真正的随机性。那么,是怎样证实的呢?
有关量子纠缠和隐藏变量的争论几十年来没有解决。1964年,来自北爱尔兰、在欧洲核研究中心(位于日内瓦附近)工作的36岁物理学家贝尔,提议进行一项能测试爱因斯坦狭义相对论的实验。萧穆认为,贝尔实验很复杂,但它基本上是抛硬币的量子力学版本:光子替代硬币,偏振现象替代硬币正面或反面。
贝尔实验真的很折磨人。2015年,萧穆开始进行这种实验。这年秋季,当他和同事开始取得实验结果时,他结婚了。结婚日清早,他醒来后又进行了数据分析和一系列计算。
在抛硬币游戏中总有作弊的可能,比如作弊者设法让硬币的一面变得重些。测试硬币是否作弊(即测试偏倚)的唯一方法是反复许多次抛硬币。如果抛的次数很多,而硬币没有作假,那么硬币正反面出现的次数应该相等。贝尔的伟大见解是:对纠缠粒子的反复测量可能揭示自然的偏倚——如果自然允许超距作用,那么某些实验结果(例如相关性)就会比在爱因斯坦隐藏变量理论为真的情况下出现得更频繁(重复性强),从而就能证明事物的确是随机的。萧穆认为,量子力学是一种统计理论,而不是抛一次硬币看结果。
贝尔实验在几十年中进行过许多次。但只在最近几年来,光子探测器及其他光学设备才变得足够敏感,从而能进行结论确定的实验。现在的实验设备包括:产生光子的激光器、放大光子的特制水晶、用以分离光子的过滤器和透镜、让纠缠光子对分离而让各个光子进入不同探测器的光缆。
量子力学告诉我们,光子既是波又是粒子。随着光子波迅速通过安装在实验大厅墙壁和天花板上的光缆,光子波以不同模式振动,这就是偏振。它们可以水平、垂直或倾斜地偏振。光子的不寻常在于,任何单个光子都可分解成两个纠缠的子光子,而这两个子光子的偏振是不同的。比如,如果一个子光子垂直偏振,另一个就必须水平偏振。
在美国标准技术研究院进行的实验中,两部分开的探测器被独立设定程序,目的是随机选择怎样测量一个到来的光子:是寻找垂直偏振(这需要一种光学偏振器)还是水平偏振(这需要另一种光学偏振器)?那么,这种尖端实验使用什么随机数发生器?原来,他们把圆周率、电影、电视剧数据一起粉碎,产生一种很好的二进制随机数。这部分实验等同于定义硬币的正反面。很重要的是,两部探测器相隔足够远(大约180米)。这样一来,两部探测器之间有关测量选择的任何通讯都必须超过光速。这就排除了对实验结果进行任何常规、非超距作用解释的可能性。
站在其中一部探测器旁边,萧穆难以掩饰自己对这部装置的敬畏。这种探测器是由萧穆的上司(也是一位物理学家)设计的。萧穆将其比喻说,让光子进入探测器就好像是量子箭术。两部探测器都位于一个发光的圆柱罐里,液氦把罐子温度降到绝度零度之上不到1度。光缆引导光子进入罐中,飞向嵌在一个芯片(宽度仅为几十亿分之一厘米)上的一根电线。经过科学家的一系列设计,来自一个光子的热量就足以升温电线。当电线升温,会发出滴答声。在超过9096的时间里,当一个光子击中一部探测器时,它都被探测到。这真是一个很了不起的成就。
如果超距作用是真实的,那么由两部探测器进行的偏振测量就会高度相关,比只有隐藏变量情况下的相关性高。也就是说,一部探测器对于一个分解光子是水平还是垂直偏振的测量看来会影响另一部探测器对另一个分解光子的探测结果,反之亦然。例如,如果第一部探测器测量到的主要是水平偏振,那么另一部探测器就可能记录到更多的垂直偏振。与抛硬币类比,这就意味着在上万次抛硬币中,几乎每一次一个房间里的一个人得到硬币正面,另一个房间里的一个人都得到反面,但这在实际中是极不可能的。
然而,美国标准技术研究院的实验结果,以及最近在欧洲进行的两次贝尔实验结果,恰恰证明了这种“极不可能”在量子世界是真实的。大自然是偏倚的,量子“硬币”青睐量子纠缠。经过几万次测量,萧穆他们几乎可以肯定量子“硬币”是偏倚的,理由是他们发现的相关性比预计的还强,而隐藏变量理论产生同样结果的概率只有十亿分之一。由此,超距作用和真正的随机性被证实,对光子的任何测量结果都不可能被提前预测。这就说明虽然局域实在理论对于像爱因斯坦这样的经典物理学家来说颇有安慰性,但它实际上是错的。
随机性真实
在被测量之前数量并不存在这个事实,意味着不可能在某个时点之前盗窃随机数!利用此,可能产生万无一失的随机数。
有科学家认为,这些最近的实验在已经名存实亡的局域实在理论的棺板上打上了钉子。这些实验的结果确定无疑地证实了物理学界已经知道了几十年的东西——量子力学是正确的,遵从局域实在原则的经典物理理论是错误的。
说局域实在理论是错的,意味着什么?贝尔实验证明,我们对于真实性的常规观点需要修订。像光子这样的粒子的特性在被测量之前不仅对我们来说是未知的,而且对于大自然来说也是未知的:量子“轮盘球”真的是“分布于”每个数字上的。一位物理學家指出,物理学已踏足听起来就像是哲学家已经辩论了成千上万年的问题:真相的本质是什么?事物是否在你测量它们之前就具有特性?对于这后一个问题,答案是否定的。
除了哲学意义之外,这些实验结果对密码学的意义也很大。在你进行测量之前数量并不存在这个事实,是随机数发生器的一个极好特点,因为它意味着某个人不可能在某个时点之前盗窃随机数,这又是由于要盗窃的随机数甚至还不在那儿!
未来几年里,萧穆及其同事计划运用他们的实验结果作为由美国标准技术研究院批准的随机数灯塔。他们希望最终每分钟产生512位随机数串。这样的随机数串是万无一失的,因而将有广泛用途,例如决定让孩子上哪所学校,或确定使用什么投票机。
具有讽刺意味的是,没有正规数学证据来保障任何数字串的随机性。就算是数学也有自己的局限。最终,看来对信任链的终结在于我们对终极链接——量子力学的信心。
即使作为理论物理学家,贝尔依然以非常实际的眼光来看待事物。这让他一直保持理性,让他不会偏离到哲学领域。理查认为,正是理性导致贝尔问了一些非常深奥的问题。例如:我能不能做实验来测试世界上是否存在隐藏变量?世界是否按照量子力学运作?难怪正是贝尔证明了爱因斯坦的狭义相对论是错的。
无论好坏,大自然真的在“投骰子”。