圖靈獎(jiǎng)揭曉:45年前的海邊偶遇,讓物理學(xué)為信息科學(xué)帶來(lái)劃時(shí)代變革

當(dāng)?shù)貢r(shí)間3月18日，國(guó)際計(jì)算機(jī)學(xué)會(huì)（ACM）宣布，2025年ACM A.M.圖靈獎(jiǎng)授予 Charles H. Bennett 與 Gilles Brassard，以表彰他們?cè)诘於孔有畔⒖茖W(xué)基礎(chǔ)、變革安全通信與計(jì)算領(lǐng)域所發(fā)揮的關(guān)鍵作用。

Charles H. Bennett 和 Gilles Brassard 是公認(rèn)的量子信息科學(xué)奠基人，二人彌合了物理學(xué)與計(jì)算機(jī)科學(xué)的鴻溝，聯(lián)合提出首個(gè)量子密鑰分發(fā)協(xié)議——BB84，這也標(biāo)志著量子密碼學(xué)的正式誕生。值得一提的是，1994年美國(guó)數(shù)學(xué)家Peter Shor提出的Shor算法，證明量子計(jì)算機(jī)可以威脅經(jīng)典密碼體系，這一突破反向凸顯了 BB84 協(xié)議的不可替代性，讓量子密碼的戰(zhàn)略價(jià)值被全球認(rèn)可。他們的工作構(gòu)起了量子世界的“矛”與“盾”，深刻影響了信息安全的格局。

撰文 | 下雪

原標(biāo)題：《2025圖靈獎(jiǎng)揭曉：45年前的海邊偶遇，讓物理學(xué)為信息科學(xué)帶來(lái)劃時(shí)代變革》

長(zhǎng)期以來(lái)，信息安全和隱私保護(hù)主要依賴于經(jīng)典密碼學(xué)，其安全機(jī)制是基于計(jì)算復(fù)雜度，即特定的數(shù)學(xué)難題在經(jīng)典計(jì)算機(jī)上難以解決，例如大整數(shù)的因子分解（RSA加密）或離散對(duì)數(shù)問題（Diffie–Hellman密鑰交換）等。到20世紀(jì)80年代，隨著量子物理學(xué)開始與信息科學(xué)交匯，一種全新的通信范式開始醞釀，可以保證數(shù)據(jù)的物理不可侵犯性，這就是量子密碼學(xué)（Quantum Cryptography）。此后，人們發(fā)現(xiàn)量子計(jì)算機(jī)可以使傳統(tǒng)密碼系統(tǒng)失效，這樣量子密碼的重要性就凸顯出來(lái)。這些工作構(gòu)成了今天量子信息科學(xué)的基礎(chǔ)。

美國(guó)物理學(xué)家Charles H. Bennett、加拿大密碼學(xué)家Gilles Brassard以及Peter Shor三位先驅(qū)人物，通過他們的開創(chuàng)性研究證明，量子現(xiàn)象可以直接用于信息的安全傳輸和處理，并揭示了量子信息的雙重面貌——既能守護(hù)信息，也能摧毀舊有安全。

量子密碼學(xué)的起源

如果有人第一次接觸到量子行為而不為之目眩神迷，那他只字未懂。（Anyone who is not dizzy after his first acquaintance with the quantum of action has not understood a word.）

——尼爾斯·玻爾（Niels Bohr）

量子密碼學(xué)的誕生，源于Charles H. Bennett與Gilles Brassard的智慧碰撞。Bennett 1943年出生于美國(guó)紐約，1970年獲得哈佛大學(xué)化學(xué)物理學(xué)博士學(xué)位，1972年進(jìn)入IBM。在那里他受物理學(xué)家Rolf Landaue的啟發(fā)，開始將興趣轉(zhuǎn)向信息處理的物理基礎(chǔ)。他早期的突破性論文證明了通用計(jì)算可以在熱力學(xué)可逆的設(shè)備上進(jìn)行，理論上不需要消耗能量。而在1970年代初，他與美籍以色列物理學(xué)家Stephen Wiesner的早期交流，為后續(xù)量子密碼的研究奠定了基礎(chǔ)，兩人為大學(xué)同學(xué)并長(zhǎng)期保持聯(lián)系。

Brassard（左）和Bennett丨圖源：Merlijn Doomernik

1970年代初，Wiesner向Bennett分享了兩項(xiàng)核心思路：一是基于量子力學(xué)原理制造“量子貨幣”（Quantum money），從物理上實(shí)現(xiàn)不可偽造的貨幣；二是“量子多路復(fù)用信道”（quantum multiplexing channel），接收方可以二選一讀取消息，但必須以不可逆銷毀另一消息為代價(jià)，這一概念后被認(rèn)為是“二選一遺忘性傳輸”（1-out-of-2 Oblivious Transfer）的雛形。然而，Wiesner撰寫的文章投至IEEE信息理論匯刊（IEEE Transactions on Information Theory）時(shí)被拒稿，因?yàn)樗梦锢韺W(xué)語(yǔ)言對(duì)信息科學(xué)家來(lái)說難以理解（所幸Bennett保存了原始打印稿）。當(dāng)時(shí)量子物理和計(jì)算機(jī)科學(xué)是兩個(gè)相距甚遠(yuǎn)的領(lǐng)域，它們的交叉完全處于學(xué)科邊緣。

1979年10月底，在波多黎各舉行的第20 屆 IEEE 計(jì)算機(jī)科學(xué)基礎(chǔ)研討會(huì)期間，Bennett主動(dòng)找到正在海邊游泳的Gilles Brassard，兩人在水里交流了量子貨幣的概念。當(dāng)時(shí)的Brassard年僅24歲，剛剛在康奈爾大學(xué)獲得博士學(xué)位。Brassard可謂早慧，13歲就進(jìn)入蒙特利爾大學(xué)，并先后獲得計(jì)算機(jī)科學(xué)的學(xué)士和碩士學(xué)位。這次饒有趣味的碰面開啟了兩人長(zhǎng)期合作。此前兩人并不認(rèn)識(shí)，Brassard是在前往會(huì)議的旅途中看到Bennett在雜志上發(fā)表的文章才知道了他的名字，而Bennett則是在會(huì)議手冊(cè)中知道Brassard正在研究密碼學(xué)，他想找個(gè)人聊聊“量子密碼”。

這次交流被Brassard認(rèn)為是他生涯中最魔幻的時(shí)刻——他們?cè)趲讉€(gè)小時(shí)內(nèi)就找到了將Wiesner的編碼方案與當(dāng)時(shí)的公鑰密碼相結(jié)合的方法。1982年他們發(fā)表的首篇合作論文中正式提出了“量子密碼學(xué)”這一術(shù)語(yǔ)。緊接著1983年，他們從“光子本就是傳播”得到啟發(fā)，開始思考利用量子信道傳輸信息，最后提出了一個(gè)利用量子物理定律進(jìn)行密鑰協(xié)商的密碼系統(tǒng)——量子密鑰分發(fā)（Quantum Key Distribution，QKD），基于量子不可克隆定理，竊聽者（Eve）不可能在不被感知的情況下獲取密鑰信息。與此同時(shí)，由于密鑰是基于量子物理行為協(xié)商生成的，任何的計(jì)算方法，哪怕是量子計(jì)算，也無(wú)法破解這一密鑰。

Bennett和Gilles Brassard將他們的密碼系統(tǒng)最終命名為“BB84協(xié)議”，基于兩人姓氏首字母，以及1984年在印度舉辦的一次IEEE會(huì)議上發(fā)表的相關(guān)報(bào)告。事實(shí)上。兩人在1983年就在IEEE信息論討論會(huì)（ISIT）上提交了論文。盡管會(huì)議只接收了摘要，但這篇摘要成了量子密鑰分發(fā)的“官方出生證明”。

BB84協(xié)議：基于不可克隆定理的防御

量子密鑰分發(fā)是量子密碼學(xué)最成熟的技術(shù)之一，專注于安全密鑰生成。而BB84協(xié)議是第一個(gè)純粹基于量子物理現(xiàn)象的密鑰分發(fā)協(xié)議，其核心思想是利用量子力學(xué)中的不確定性原理和不可克隆定理來(lái)保證密鑰交換的安全性。單個(gè)粒子可以同時(shí)處于多個(gè)狀態(tài)，即處于疊加態(tài)。不確定性原理表明，任何試圖觀測(cè)光子的行為都會(huì)不可避免地改變光子原有的狀態(tài)；而不可克隆定理表明單個(gè)量子態(tài)無(wú)法被完美復(fù)制。這意味著竊聽者無(wú)法在不驚動(dòng)通信雙方的情況下，偷偷進(jìn)行測(cè)量并復(fù)制原光子態(tài)繼續(xù)向前傳輸。換句話說，任何試圖截獲密鑰的行為都會(huì)破壞傳輸中的光子態(tài)，從而引起對(duì)話者的警覺。

BB84協(xié)議的基本原理如下。發(fā)送者利用光子偏振態(tài)來(lái)編碼信息，使用兩個(gè)正交的基（Basis），例如直線基（Z），垂直（90°）和水平（0°）偏振，分別對(duì)應(yīng)比特的0和1；或者對(duì)角基（X），＋45°和-45°偏振分別對(duì)應(yīng)比特0和1。發(fā)送方將隨機(jī)選擇一個(gè)比特值（0或1）以及一個(gè)隨機(jī)的基（Z或X）來(lái)編碼光子（實(shí)際為生成兩組隨機(jī)數(shù)，并以此決定最終發(fā)出的偏振態(tài)），并將光子發(fā)送給接收方。接收端則隨機(jī)選擇一個(gè)基來(lái)測(cè)量接收到的光子。雙方使用一個(gè)公開的經(jīng)典信道溝通發(fā)送測(cè)量時(shí)選擇的基，但不公布具體測(cè)量結(jié)果的比特值，只有當(dāng)雙方選擇的基一致時(shí)，接收方得到的測(cè)量結(jié)果才被保留下來(lái)，構(gòu)成初步密鑰。而基不匹配時(shí)，測(cè)量結(jié)果是完全隨機(jī)的，對(duì)應(yīng)的比特值被丟棄。

BB84協(xié)議基本原理丨圖源：global.toshiba

雙方得到初步的密鑰序列后，為了將其轉(zhuǎn)化成最終的安全密鑰，還需要進(jìn)行兩個(gè)經(jīng)典步驟，即誤差檢測(cè)（Error correction）和隱私放大（Privacy amplification）。首先是誤差檢測(cè)，通過抽樣比對(duì)和糾錯(cuò)算法，計(jì)算量子比特錯(cuò)誤率（QBER），以消除初步密鑰中由于信道噪聲或竊聽者介入而導(dǎo)致的比特錯(cuò)誤，若QBER低于某個(gè)閾值則表明密鑰可用并進(jìn)行糾錯(cuò)，使雙方得到完全一致的初步密鑰。但是，即使進(jìn)行了誤差檢測(cè)，竊聽者仍然可能擁有關(guān)于密鑰的信息，因此進(jìn)一步消除可能被泄露的信息并得到安全和保密的最終密鑰變得很必要。這就是隱私放大，雙方將使用通用哈希函數(shù)將初步密鑰壓縮成一個(gè)更短且理論上完全安全的最終密鑰。

總的來(lái)說，量子密鑰分發(fā)克服了傳統(tǒng)一次一密通信中的密鑰分發(fā)困難問題，使通信雙方能夠在不依賴可信第三方的情況下安全共享隨機(jī)密鑰，使其具備理論上無(wú)條件安全的保密能力。

在上世紀(jì)80年代，BB84 協(xié)議的安全性意義并未立即得到科學(xué)界的重視。兩位開創(chuàng)者Bennett和Brassard決定制造出一臺(tái)原型機(jī)證明其價(jià)值。兩人都屬于理論家，所以分別邀請(qǐng)合作者進(jìn)行硬件和軟件的開發(fā)，最終在1989年10月29日，他們成功實(shí)現(xiàn)了歷史上首次量子保密傳輸，傳輸距離為32.5厘米（恰好是Bennett和Brassard在海灘會(huì)面的十周年紀(jì)念日）。由于并沒有專門的經(jīng)費(fèi)，他們的原型機(jī)實(shí)際上非常簡(jiǎn)陋。電源會(huì)產(chǎn)生噪聲，他們甚至可以“聽”到光子傳輸?shù)穆曇簦驗(yàn)楫a(chǎn)生不同偏振所需電壓不同，噪聲也不一樣。Brassard曾開玩笑說，對(duì)于耳聾的竊聽者，它是無(wú)條件安全的。而他們的文章發(fā)表在1990年《科學(xué)美國(guó)人》（Scientific American）雜志上，此后引發(fā)了學(xué)界廣泛的興趣。

Bennett和Brassard等人研制的第一臺(tái)QKD原型機(jī)丨圖源：Rev. Mod. Phys. 94, 035001

值得一提的是，波蘭裔英國(guó)物理學(xué)家Artur Ekert在90年代引入量子糾纏和貝爾不等式違背的概念后重新提出了量子密鑰分發(fā)——E91協(xié)議，該協(xié)議與BB84協(xié)議等價(jià)，但為原始的非糾纏BB84方案的安全性證明提供了更簡(jiǎn)潔的方案。Ekert的工作發(fā)表于《物理評(píng)論快報(bào)》（PRL），而非計(jì)算機(jī)科學(xué)領(lǐng)域的期刊，使QKD在物理學(xué)界的影響力極大增加。此后，Bennett和Brassard提出了基于糾纏態(tài)的QKD協(xié)議BBM92，不再需要發(fā)送方制備光子，而是用糾纏源向發(fā)送和接收雙方分發(fā)糾纏光子，消除了“信源必須完全可信”的假設(shè)。

量子密鑰分發(fā)的挑戰(zhàn)

如今，基于量子密鑰分發(fā)的量子通信技術(shù)體系，已經(jīng)實(shí)現(xiàn)了上千公里的安全密鑰傳輸，在商業(yè)化方面也正蓬勃發(fā)展，從金融機(jī)構(gòu)到政府通信，均已開始布局相關(guān)的量子保密網(wǎng)絡(luò)。特別是中國(guó)在相關(guān)領(lǐng)域取得諸多成就。2017年發(fā)射的“墨子號(hào)”量子科學(xué)實(shí)驗(yàn)衛(wèi)星，實(shí)現(xiàn)了世界首次空間-地面量子密鑰分發(fā)，隨后將其與京滬光纖干線整合。利用該衛(wèi)星作為可信中繼，研究人員實(shí)現(xiàn)了多個(gè)洲際通信壯舉。例如，促成中國(guó)與奧地利之間約7,600公里的量子安全通信鏈路，并完成了首次洲際安全量子視頻通話；還利用另一顆量子微納衛(wèi)星“濟(jì)南一號(hào)”實(shí)現(xiàn)了北京與南非斯泰倫博斯之間12,900公里的實(shí)時(shí)安全密鑰共享和加密通信，首次將量子安全實(shí)驗(yàn)實(shí)施到南半球，等等。

事實(shí)上，QKD在實(shí)際應(yīng)用中仍面臨主要來(lái)自工程實(shí)現(xiàn)層面的挑戰(zhàn)：?jiǎn)喂庾釉吹纳珊烷L(zhǎng)距離傳輸都非常困難，實(shí)際的QKD系統(tǒng)使用的硬件并非理想化的單光子源，而是通常采用弱相干光脈沖。發(fā)送者的激光源不可避免地會(huì)發(fā)射多光子脈沖；接收者的單光子探測(cè)器效率也可能不匹配。因此竊聽者有可能利用這些硬件缺陷發(fā)動(dòng)光子數(shù)分離攻擊（PNS；截取發(fā)送端多余的光子）或時(shí)間漂移攻擊（利用接收方探測(cè)效率的時(shí)序差異），在不引入可檢測(cè)錯(cuò)誤的情況下竊取部分信息。

2003年Won-Young Hwang提出的“誘騙態(tài)”方法，旨在解決這一漏洞，即利用不同強(qiáng)度脈沖的統(tǒng)計(jì)特性差異來(lái)識(shí)別竊聽行為。發(fā)送方在承載真實(shí)密鑰信息的信號(hào)光脈沖之間，隨機(jī)插入若干光強(qiáng)不同（通常更弱）的“誘騙”光脈沖。竊聽者無(wú)法區(qū)分不同強(qiáng)度的光脈沖，只能從總的信號(hào)中截取光子，而這樣的攻擊將導(dǎo)致信號(hào)態(tài)與誘騙態(tài)脈沖的探測(cè)率和誤碼率分布出現(xiàn)偏差，從而改變兩者在總體統(tǒng)計(jì)分布中的比例。發(fā)送方和接收方通過比對(duì)這些統(tǒng)計(jì)數(shù)據(jù)，能夠精確地估計(jì)出單光子脈沖安全傳輸?shù)男阅埽瑥亩炕?Eve 最多能獲取多少信息，并進(jìn)行相應(yīng)的隱私放大，有效阻斷 PNS 攻擊。

通過誘騙態(tài)方法等關(guān)鍵技術(shù)的引入，量子密鑰分發(fā)的安全性與可實(shí)現(xiàn)性得到了顯著提升。然而，從實(shí)驗(yàn)室走向全球化、網(wǎng)絡(luò)化的量子通信體系，仍需在器件可靠性、系統(tǒng)集成度以及成本控制等方面持續(xù)突破。量子通信的未來(lái)，正在安全與可行之間尋找新的平衡。

當(dāng)然，這一切的源頭，要追溯至 Bennett 與 Brassard 于 1984 年提出的 BB84 協(xié)議——它首次以量子疊加與測(cè)量原理建立了安全通信的新范式。他們將量子物理學(xué)從一個(gè)純粹的理論領(lǐng)域，拓展為具有實(shí)際計(jì)算和通信應(yīng)用潛力的新領(lǐng)域，為量子信息科學(xué)奠定了基礎(chǔ)。

量子攻擊的利劍——挑戰(zhàn)經(jīng)典密碼學(xué)

1994年，當(dāng)時(shí)在貝爾實(shí)驗(yàn)室工作的Peter Shor發(fā)現(xiàn)，標(biāo)準(zhǔn)密碼學(xué)所基于的所謂困難問題——大數(shù)的質(zhì)因數(shù)分解——在假想的量子計(jì)算機(jī)所能解決的范圍之內(nèi)。他提出了著名的算法——Shor算法，在量子計(jì)算機(jī)上，整數(shù)分解問題可以在準(zhǔn)多項(xiàng)式時(shí)間內(nèi)高效求解，這一速度遠(yuǎn)超傳統(tǒng)超級(jí)計(jì)算機(jī)所需的指數(shù)時(shí)間。因此，基于大數(shù)分解難題的傳統(tǒng)公鑰密碼體系（如 RSA）在量子計(jì)算機(jī)面前面臨潛在安全威脅。Shor的發(fā)現(xiàn)激發(fā)了密碼學(xué)領(lǐng)域的發(fā)展，因?yàn)槿藗兿Ｍ业礁踩⒏y破解的系統(tǒng)。另一方面，物理學(xué)家和計(jì)算機(jī)科學(xué)家則希望制造出量子計(jì)算機(jī)。與此同時(shí)，人們也發(fā)現(xiàn)了Bennett 與 Brassard提出BB84協(xié)議的重要性。

Peter Shor丨圖源：news.mit.edu

Brassard在獲得前沿知識(shí)獎(jiǎng)（Frontiers of Knowledge Awards）后接受采訪時(shí)回憶道：“Shor摧毀了所有其他東西之后，我們工作的重要性才變得更加明顯。這點(diǎn)很有意思，因?yàn)?984年量子理論帶來(lái)了最安全的保密性。十年后，同樣的量子理論挑戰(zhàn)了所有當(dāng)時(shí)部署的保護(hù)互聯(lián)網(wǎng)的加密系統(tǒng)。”

Peter Shor 1959年出生在美國(guó)紐約，他在高中期間獲得國(guó)際數(shù)學(xué)奧林匹克競(jìng)賽銀牌，1985年在MIT獲得應(yīng)用數(shù)學(xué)博士，畢業(yè)后在加州大學(xué)伯克利分校進(jìn)行博士后研究，隨后在貝爾實(shí)驗(yàn)室工作，正是在此期間他開發(fā)了Shor算法。一次，Bennett來(lái)到貝爾實(shí)驗(yàn)室展示BB84協(xié)議，Shor第一次聽說量子通信就被迷住了。他最初的興趣點(diǎn)在于如何數(shù)學(xué)上證明BB84的安全性，但隨后他的研究轉(zhuǎn)向了一個(gè)更具顛覆性的問題：如何利用量子特性加速計(jì)算本身。

Shor算法

1994年，Shor首先提出了一個(gè)量子算法，可以指數(shù)級(jí)加速解決離散對(duì)數(shù)問題。這個(gè)突破已經(jīng)足以對(duì)現(xiàn)有加密體系構(gòu)成威脅。有趣的是，Shor在貝爾實(shí)驗(yàn)室做過報(bào)告后，傳出謠言，稱他解決了更棘手、對(duì)全球安全影響更大的素?cái)?shù)因子分解問題。更令人驚訝的是，隨后的四天內(nèi)，Shor真的完成了概念擴(kuò)展，找到了解決素?cái)?shù)因子分解的量子方法，這便是今天的Shor算法。

Shor算法主要包括兩個(gè)部分：經(jīng)典部分和量子部分。經(jīng)典部分將整數(shù)因式分解問題轉(zhuǎn)化為尋找一個(gè)特定函數(shù)的周期問題；量子部分則利用量子計(jì)算的并行性和干涉性，快速找到該函數(shù)的周期，從而實(shí)現(xiàn)因子分解。

經(jīng)典計(jì)算機(jī)上分解大整數(shù)N的最快已知方法是通用數(shù)域篩選法（General Number Field Sieve, GNFS），其運(yùn)行時(shí)間是關(guān)于N的位數(shù)L的亞指數(shù)時(shí)間，隨著L增加，所需計(jì)算時(shí)間呈指數(shù)級(jí)增長(zhǎng)。目前認(rèn)為按GNFS方法破解RSA-2048（二進(jìn)制位數(shù)）是不可行的，以2009年破解RSA-768的算力估計(jì)需要6400萬(wàn)億年；而如果用量子計(jì)算機(jī)，在數(shù)百萬(wàn)到數(shù)千萬(wàn)量子比特的情況下只需要數(shù)小時(shí)到數(shù)天時(shí)間。（當(dāng)然，這一量級(jí)的量子比特在短期內(nèi)也難以實(shí)現(xiàn)，所以RSA-2048仍被認(rèn)為是安全的公鑰加密方案之一。）

尋找r則是計(jì)算最為關(guān)鍵，也是最為困難的部分。這里Shor利用量子并行性（Quantum parallelism；同樣基于量子疊加性和糾纏性），在一個(gè)疊加態(tài)中同時(shí)計(jì)算所有可能的值，再應(yīng)用量子傅里葉變換，計(jì)算出隱藏在疊加態(tài)中的周期r。在解決離散對(duì)數(shù)問題時(shí)，Shor受Simon問題（Daniel R. Simon提出理論上量子計(jì)算機(jī)可以比）的啟發(fā)，后者使用二進(jìn)制矢量空間上的傅里葉變換來(lái)找出該矢量空間上某個(gè)函數(shù)的周期。而Shor引用了量子傅里葉變換，把量子態(tài)中隱藏的周期性轉(zhuǎn)化為測(cè)量概率分布中的峰值，從而提取出周期r。

相比經(jīng)典算法，Shor算法實(shí)現(xiàn)了指數(shù)級(jí)加速，也是量子計(jì)算優(yōu)越性的最有力證明。

此外，由印度裔美國(guó)物理學(xué)家 Lov K. Grover于 1996年在貝爾實(shí)驗(yàn)室提出的Grover算法是又一關(guān)鍵進(jìn)展。它展示了量子計(jì)算不僅能在特定問題上提供指數(shù)級(jí)加速（如Shor算法在因數(shù)分解問題中的表現(xiàn)），也能在通用搜索問題中提供平方級(jí)加速（quadratic speedup）——這意味著在某些“無(wú)結(jié)構(gòu)搜索”任務(wù)中，量子計(jì)算機(jī)的效率可顯著超越任何經(jīng)典算法。兩者共同構(gòu)成了量子算法設(shè)計(jì)的核心。

量子計(jì)算的基石：量子糾錯(cuò)碼

Shor算法發(fā)布之初，雖然其理論價(jià)值得到承認(rèn)，但許多物理學(xué)家對(duì)其實(shí)用性表示懷疑，因?yàn)樗惴ㄖ械拿總€(gè)量子比特在計(jì)算過程中都必須長(zhǎng)時(shí)間保持相干性，而真實(shí)的量子比特則遠(yuǎn)沒有這么穩(wěn)定。量子系統(tǒng)對(duì)噪聲極其敏感，容易發(fā)生退相干和錯(cuò)誤，任何微小的擾動(dòng)都可能破壞其相干性，從而使計(jì)算結(jié)果隨機(jī)化。要構(gòu)建一個(gè)足以運(yùn)行Shor算法的大規(guī)模、低錯(cuò)誤率的量子計(jì)算機(jī)，在物理上似乎是不可能實(shí)現(xiàn)的。

而Shor本人也轉(zhuǎn)向研究如何使量子計(jì)算具有容錯(cuò)性，并再次做出了一項(xiàng)具有里程碑意義的貢獻(xiàn)，即量子糾錯(cuò)。1995年，Shor提出了第一個(gè)量子糾錯(cuò)（Quantum error correction，QEC）碼。經(jīng)典糾錯(cuò)通過簡(jiǎn)單復(fù)制信息實(shí)現(xiàn)冗余，但這在量子力學(xué)中是被不可克隆定理所禁止的。Shor的QEC通過將一個(gè)邏輯量子比特的信息以高度糾纏的方式冗余地編碼在多個(gè)物理量子比特中，從而實(shí)現(xiàn)了對(duì)錯(cuò)誤的隔離和修復(fù)，同時(shí)保持了量子相干性。Shor 最初設(shè)計(jì)的9比特量子糾錯(cuò)碼，通過兩次利用重復(fù)碼來(lái)處理兩種錯(cuò)誤，即同時(shí)糾正一個(gè)量子比特的位翻轉(zhuǎn)錯(cuò)誤（bit-flip error）和相位翻轉(zhuǎn)錯(cuò)誤（phase-flip error）。這意味著可以使用9個(gè)物理比特來(lái)編碼一個(gè)邏輯比特。（關(guān)于如何實(shí)現(xiàn)量子糾錯(cuò)可參見《量子計(jì)算的下一個(gè)超級(jí)大挑戰(zhàn)》）

Shor在一次采訪中回憶道：“每個(gè)人都認(rèn)為量子計(jì)算機(jī)無(wú)法糾正錯(cuò)誤，因?yàn)橐坏┠阍噲D測(cè)量一個(gè)量子系統(tǒng)，你就擾亂了它。換句話說，如果你試圖測(cè)量錯(cuò)誤并糾正它，你就擾亂了它，計(jì)算就會(huì)中斷。我的算法表明，你可以隔離并修復(fù)錯(cuò)誤，同時(shí)仍然保持計(jì)算的完整性。”可以說，量子糾錯(cuò)碼的提出與隨后的一系列實(shí)驗(yàn)驗(yàn)證，首次證明了量子計(jì)算在理論上具備容錯(cuò)的可能性，為實(shí)用量子計(jì)算機(jī)的誕生奠定了基礎(chǔ)。

結(jié) 語(yǔ)

Shor的算法是量子計(jì)算領(lǐng)域的里程碑，讓人們第一見到了量子計(jì)算的巨大潛力，而他提出的量子糾錯(cuò)碼，也讓量子計(jì)算不再只是理論游戲，而是可以撼動(dòng)現(xiàn)實(shí)密碼體系的力量。Shor與Bennett、Brassard的工作構(gòu)成了量子信息科學(xué)中“矛與盾”的關(guān)系。Shor算法攻破基于數(shù)學(xué)復(fù)雜度的經(jīng)典加密堡壘，促使安全領(lǐng)域?qū)⒛抗馔斗诺交谖锢矶傻牧孔用艽a學(xué)，特別是BB84協(xié)議等量子密鑰分發(fā)方法，以建立起新的防線，同時(shí)也促成了后量子密碼學(xué)（Post-quantum cryptography，PQC）的誕生。

這三位科學(xué)家的成果拓展了科學(xué)的邊界，讓量子物理與計(jì)算機(jī)和信息科學(xué)在同一舞臺(tái)上交匯，為量子信息發(fā)展奠定了基礎(chǔ)，點(diǎn)亮了全新的技術(shù)時(shí)代。如今圖靈獎(jiǎng)授予Bennett和Brassard，可以說是對(duì)包括Shor在內(nèi)的三位科學(xué)家跨越數(shù)十年的思想革命的最好注腳。

參考文獻(xiàn)

[1] Brassard, Gilles. "Brief history of quantum cryptography: A personal perspective." IEEE Information Theory Workshop on Theory and Practice in Information-Theoretic Security, 2005. IEEE, 2005.

[2] https://www.cwi.nl/en/stories/cwi-interview-with-gilles-brassard-2022/

[3] https://news.mit.edu/2023/weird-weird-quantum-world-peter-shor-killian-lecture-0310

[4] Shor, Peter W. The early days of quantum computation. arxiv:2208.09964 (2022).

[5] ttps://www.frontiersofknowledgeawards-fbbva.es/noticias/the-bbva-foundation-recognizes-charles-h-bennett-gilles-brassard-and-peter-shor-for-their-fundamental-role-in-the-development-of-quantum-computation-and-cryptography/

[6] https://en.wikipedia.org/wiki/Quantum_error_correction

[7] 無(wú)邪, 談量子通信前，先看看經(jīng)典保密通信安全性幾何？返樸

[8] 方糧, 劉汝霖, 湯振森, 等. 量子計(jì)算機(jī): 量子算法與物理實(shí)現(xiàn). 計(jì)算機(jī)工程與科學(xué), 2012, 34(8): 32.

[9] 王向斌, 彭承志, 尹浩, 等. 量子保密通信的技術(shù)現(xiàn)狀及安全性[J]. 物理, 2006, 35(02): 125-129.

特 別 提 示

1. 進(jìn)入『返樸』微信公眾號(hào)底部菜單“精品專欄“，可查閱不同主題系列科普文章。

2. 『返樸』提供按月檢索文章功能。關(guān)注公眾號(hào)，回復(fù)四位數(shù)組成的年份+月份，如“1903”，可獲取2019年3月的文章索引，以此類推。

版權(quán)說明：歡迎個(gè)人轉(zhuǎn)發(fā)，任何形式的媒體或機(jī)構(gòu)未經(jīng)授權(quán)，不得轉(zhuǎn)載和摘編。轉(zhuǎn)載授權(quán)請(qǐng)?jiān)凇阜禈恪刮⑿殴娞?hào)內(nèi)聯(lián)系后臺(tái)。