量子計算機的商業(yè)化進展及對信息安全的挑戰(zhàn)

2016-09-23 01:59:34王潮王云江胡風

網(wǎng)絡(luò)與信息安全學報 2016年3期

王潮，王云江，胡風

（1. 上海大學特種光纖與光接入網(wǎng)重點實驗室，上海200072；2. 西安電子科技大學綜合業(yè)務(wù)網(wǎng)理論及關(guān)鍵技術(shù)國家重點實驗室，陜西西安 710071）

王潮1，王云江2，胡風1

通用量子計算機器件進展緩慢，對實用化1 024 bit的RSA密碼的破譯尚不構(gòu)成威脅，現(xiàn)代密碼依舊是安全的。首次提出了對Shor算法的改進應(yīng)考慮量子器件約束，第一和第二量子寄存器器件要求需從設(shè)計理論的1 000～2 000 Qubit降至100 Qubit以下。基于量子人工智能的專用量子計算機的商業(yè)化進展迅猛，已列為應(yīng)對美國國家戰(zhàn)略計算計劃的新一代計算思想，在機器學習和模式識別領(lǐng)域應(yīng)用廣泛，不能忽視其對互聯(lián)網(wǎng)大數(shù)據(jù)信息安全的影響。首次提出了將量子計算機應(yīng)用于密碼設(shè)計，從量子人工智能角度提出了國外尚未開展的量子計算密碼研究。關(guān)鍵詞：加拿大量子計算機；量子人工智能；量子隧穿效應(yīng)；量子糾錯；量子認知

1　引言

現(xiàn)有2類量子計算機。一是通用量子計算機，器件進展極其緩慢，對于當前的實用密碼尚不能構(gòu)成威脅。二是2011年加拿大D-Wave公司率先推出的專用量子計算機，其商業(yè)化進展迅猛，目前Google也在加緊研發(fā)。這2類量子計算機執(zhí)行的量子計算算法、依據(jù)的量子理論和可實現(xiàn)的功能完全不同，器件進展程度也有很大差異。

由于學科跨度較大，極易混淆這2類量子計算機，將可以運行Shor算法破譯公鑰密碼、但是器件進展緩慢遠不能實用化的通用量子計算機，與商業(yè)化迅猛進展、無法運行Shor算法的專用量子計算機混淆，誤以為通用量子計算機破譯現(xiàn)有電子政務(wù)CA系統(tǒng)的RSA公鑰密碼指日可待。這樣的混淆對于判斷現(xiàn)代密碼的安全性會產(chǎn)生很大的誤解，錯誤地認為現(xiàn)代密碼已經(jīng)不再安全。

本文將介紹 2類量子計算機的器件進展情況、應(yīng)用特點，并首次分析目前唯一實用化的專用量子計算機對密碼學和大數(shù)據(jù)時代信息安全的挑戰(zhàn)。

2　通用量子計算機進展

業(yè)內(nèi)對通用量子計算機最關(guān)注的是其運行Shor算法破譯RSA等公鑰密碼的能力。然而，通用量子計算機器件進展緩慢，破譯實際運行的RSA等公鑰密碼尚需時日。

2014年12月，《Nature》在調(diào)研了歐洲和美國的多個著名量子研究中心后，撰文“30年的奮斗，科學家終于在量子計算找到可達目標（after a 30-year struggle to harness quantum weirdness for computing，physicists finally have their goal in reach）”［1］，判斷通用量子計算機的器件進展緩慢，近期無法實現(xiàn)破譯實用化1 024 bit RSA公鑰密碼所需的千位量子比特（Qubit）通用量子計算機。

從二十世紀七、八十年代美國著名物理學家Richard Feynman、阿貢（Argonne）國家實驗室的Paul Benioff、牛津大學的David Deutsch等國際學者提出量子計算機的概念至今已經(jīng)30多年，對量子效應(yīng)的操控依舊是個難題，一旦受到例如來自外界的雜散光子或振動造成的干擾，量子計算將崩潰。

2014年12月，瑞士聯(lián)邦理工學院的國際著名量子物理專家Matthias Troyer教授在《Nature》闡述其觀點［1］：由于器件進展緩慢，通用量子計算機缺乏殺手級應(yīng)用，通用量子計算機已知的 2個典型應(yīng)用——基于 Shor算法的公鑰密碼破譯和基于 Grover算法的數(shù)據(jù)庫搜索都無法成功實現(xiàn)。而且，百位量子比特實現(xiàn)難度很大，即使能夠得以實現(xiàn)，也需要投入大量財力。Matthias Troyer對通用量子計算機和加拿大D-Wave商業(yè)化專業(yè)量子計算機的進展都非常熟悉，也參加了南加州大學的加拿大量子計算機測試。

事實上，根據(jù)《Nature》和《Science》近年來的報道，尚無對1 024 bit以上的RSA的成功攻擊實驗，或者說目前的進展距離此實用化破譯要求差距甚遠。2011年，美國UCSB的John Martinis團隊［2］通過量子電路成功實現(xiàn)了馮·諾依曼結(jié)構(gòu)、量子傅里葉變換和三量子比特Toffoli門，這是攻擊RSA公鑰密碼的Shor算法的核心量子電路。2012年，John Martinis團隊［3］還宣布完成了采用量子電路分解素數(shù)的實驗，完成攻擊小規(guī)模RSA的實驗，成功實現(xiàn)了分解15=3×5。

盡管在原理上驗證了Shor計算攻擊RSA的可行性，John Martinis依舊認為通用量子計算機還處于類似二戰(zhàn)期間第一臺電子計算機的階段［1］。根據(jù)《Nature》的近年文獻，UCSB的 John Martinis團隊已經(jīng)完成了5 Qubit的通用量子計算機的研制，且能制造出9 Qubit的通用量子計算機，這是目前已經(jīng)實現(xiàn)的通用量子計算機的最大規(guī)模［4］。由Hanson和Vandersypen等領(lǐng)導的荷蘭量子研究中心（QuTech centre）的目標是5年后實現(xiàn)17 Qubit的通用量子計算機，10年后設(shè)計100 Qubit的通用量子計算機［1］。國際上最頂級的通用量子計算機器件進展距離破譯1 024 bit RSA公鑰密碼所需的千位量子比特差距甚遠。

值得注意的是，根據(jù)《Nature》2014年9月2日［5］的報道，研究通用量子計算機的UCSB John Martins團隊的20人已經(jīng)整建制轉(zhuǎn)入Google“建造能解決實際問題的量子計算機”，即John Martins所認為的“30年的奮斗，科學家終于在量子計算找到可達目標”［1］。John Martins團隊不再繼續(xù)從事通用量子計算機的研究，旨在加速Google自己研制1 000 Qubit量子退火芯片即專用量子計算機的進程，需要說明的是，量子退火芯片的原理并不能運行破譯公鑰密碼的Shor算法。

3　商業(yè)化專用量子計算機研制進展

3.1專用量子計算機商業(yè)化進展

近年來，專用量子計算機商業(yè)化進展迅速，其原理是基于量子人工智能獨特的量子隧穿效應(yīng)（quantum tunneling effect），完全不同于通用量子計算機，也不能運行破譯RSA密碼的Shor算法，對Shor算法破譯RSA密碼沒有任何直接幫助。

根據(jù)《Nature》2011年5月的報道［6］，Lockheed Martin率先以1 000萬美元（液氦冷卻裝置價格另計）購置了第一臺128 Qubit的商業(yè)化加拿大專用量子計算機D-Wave One，用于先進武器設(shè)計、F35戰(zhàn)機缺陷分析、開發(fā)和測試雷達、航天和航空器系統(tǒng)等。2013年5月，Google正式宣布以1 500萬美元購買了年初推出的第二代512 Qubit商業(yè)化專用量子計算機D-Wave Two，專用量子計算機已正式進入實際商用階段。

2013年8月底，國內(nèi)也有研究量子計算的學者與從事神舟七號飛船軟件測試的專家共同成功分析了加拿大量子計算機用于飛控軟件測試的技術(shù)路線可行性。

作為商業(yè)化和產(chǎn)業(yè)化的一個成熟標志，量子計算機在投資、融資的同時也在發(fā)熱，一些互聯(lián)網(wǎng)公司開始投資量子計算機。如2012年10月，亞馬遜創(chuàng)始人Jeff Bezos和美國中情局旗下投資機構(gòu)In-Q-Tel投資了3 000萬美元給D-Wave公司，到2015年，高盛集團（Goldman Sachs）、BDC Capital、Harris & Harris Group及DFJ等開始投資專用量子計算機，D-Wave獲得了新一輪2 900萬加元（約2 310萬美元）的融資。而2013年黑莓之父Mike Lazaridis也投資一億美金給Quantum Valley Investment。2014年，IBM公司也表示未來5年將投入30億美元用于下一代半導體研究，其中也包括量子計算。Microsoft、Intel 和HP等也將在量子計算機方面投資。

3.2商業(yè)化專用量子計算機原理

Lockheed Martin購買的第一代128 Qubit商業(yè)化加拿大量子計算機D-Wave One系統(tǒng)已經(jīng)成功實現(xiàn)了具有量子隧穿效應(yīng)的量子退火算法，量子退火與模擬退火示意如圖1所示。在低溫液氦作用下，運行在接近絕對0℃的-273.145超導狀態(tài)，系統(tǒng)功耗為15.5 kW。D-Wave One系統(tǒng)采用國際通用做法，基于鈮的低溫超導性質(zhì)實現(xiàn)量子比特，電流有順時針、逆時針以及順逆同時存在的混合狀態(tài)，量子比特通過由超導鈮合金組成的超導回路（coupler）實現(xiàn)。

量子波動使量子具有穿透比它自身能量更高的勢壘能力，即量子隧穿效應(yīng)。量子退火算法利用量子波動產(chǎn)生的量子隧穿效應(yīng)可以使算法跳出局部亞優(yōu)解、有望以較大概率逼近全局最優(yōu)。如圖1所示，這是與模擬退火及其他眾多計算搜索算法相比的一個獨特優(yōu)勢。

圖1　量子退火與模擬退火示意

從量子器件角度分析，實現(xiàn)量子退火難度很大，量子比特可以通過2種方式改變自旋方向：通過量子力學的隧穿機制，或者通過經(jīng)典的熱運動。由于加熱會破壞量子比特的量子性質(zhì)，必須使用一種通過隧穿效應(yīng)使自旋反轉(zhuǎn)的方法。量子的熱運動和隧穿效應(yīng)各自有一個“凍結(jié)”時間，量子退火計算依賴于基態(tài)和第二低能的態(tài)的能量差。對系統(tǒng)施以冷卻，直到隧穿和熱運動導致的轉(zhuǎn)換都已經(jīng)停止，量子比特被“凍結(jié)”。通過在不同溫度下重復這一過程，就能夠確定如何使用隧穿效應(yīng)完成量子退火。

D-Wave One占地100平方英尺，遠小于當初的第一臺電子計算機，也小于過去的VAX系列小型機。整個系統(tǒng)采用2.4萬個超導約瑟夫森結(jié)［7］，如表1所示，充分驗證了利用超導約瑟夫森結(jié)研究量子計算機小型化成為可能。事實上，D-Wave One系統(tǒng)的量子處理器實際芯片大小為1英寸見方，由美國宇航局噴氣推進實驗室制造。

表1　D-Wave One Rainier芯片和D-Wave Two Vesuvius芯片約瑟夫森結(jié)

圖2　D-Wave 芯片組示意

D-Wave 芯片組示意［8～10］如圖 2所示，D-Wave芯片均采用量子簇矩陣單元設(shè)計，每個單元（量子簇）由8個量子比特組成。D-Wave One采用SFQ信號分離器來進行尋址，D-Wave Two采用XYZ結(jié)構(gòu)來尋址。對于2015年6月最新推出的1 000+QubitD-Wave 2X，其6道0.25 μm金屬層的平面中共有12.8萬多個約瑟夫森結(jié)（帶超導電極的隧道結(jié)），被認為是目前最復雜的超導集成電路。

仿效摩爾定律，D-Wave公司的CTO Geordie Rose提出了專業(yè)量子計算機的發(fā)展路線［11］，如圖3所示。目前，16 Qubit（2007年）、48 Qubit（2008年）、128 Qubit（2011年）、512 Qubit（2013年）的推出時間均符合預想，最新的 1 000 Qubit D-Wave 2X專用量子計算機也已經(jīng)于2015年底推出。

圖3　Geordie Rose 的D-Wave路線

3.3D-Wave的應(yīng)用領(lǐng)域

盡管D-Wave系統(tǒng)是專用量子計算機，但是本文認為其用途是廣泛的，完全不同于當年電子計算機發(fā)展歷程中只有單一功能的王安電腦等專用電子計算機［12］。

D-Wave公司的設(shè)計構(gòu)思非常巧妙，利用量子隧穿效應(yīng)實現(xiàn)了量子退火，可以將一些組合優(yōu)化問題求解的NP難題在多項式時間解決，《Nature》認為可廣泛用于密碼學、人工智能、圖像搜索、圖像識別和模式分類、金融風險分析、生物信息學、情感分析等眾多領(lǐng)域。

本文分析認為，在科學問題基礎(chǔ)性質(zhì)和理論不清楚的情況下，即沒有多項式時間求解的數(shù)學公式可用的情況下，可利用量子退火增強指數(shù)級解空間的搜索能力，并通過量子隧穿效應(yīng)跳出局部亞優(yōu)解，有望以更大的概率接近全局最優(yōu)解，這是與經(jīng)典的模擬退火算法相比具有很大優(yōu)勢。

通過Google和哈佛［13］2009年以來利用量子退火芯片在圖像處理、蛋白質(zhì)折疊等方面的成功實驗，業(yè)內(nèi)認為基于量子退火的專用量子計算機對計算機科學非常重要：有利于解決“有指數(shù)級可能性的答案”搜索，即有望以更大的概率搜索指數(shù)級解空間，逼近全局最優(yōu)解?！禢ature》相關(guān)文獻報道也對商業(yè)化專用量子計算機解決一系列各類組合優(yōu)化問題抱有很大期望。

3.4專用量子計算機的關(guān)鍵技術(shù)

通用量子計算機的一些關(guān)鍵技術(shù)進展同樣有助于專用計算機的發(fā)展。

事實上，近年來，在美國DARPA等量子研究計劃的支持下，眾多量子計算機的關(guān)鍵技術(shù)在發(fā)展，包括美國多家大學依次采用固態(tài)量子計算技術(shù)突破目前量子計算機所依賴的低溫超導，IBM 公司也聯(lián)合耶魯大學試圖解決量子脫散問題，提升量子計算機商業(yè)化過程中不可避免的量子糾錯這一難題。如倫敦大學學院實驗物理學家John Morton所言，對量子比特出錯率的改進以及代碼處理錯誤能力的提高，已經(jīng)極大改變了該領(lǐng)域的發(fā)展前景，“可以把焦點放在量子計算機的升級上”［1］。

John Martinis的研究則可以提升量子比特相干態(tài)維持時間，使量子退火工作時間更長［14］。事實上，根據(jù)《Nature》報道，在2015年4月已經(jīng)實現(xiàn)了5個量子比特陣列的1%糾錯成果［4］。

IEEE［15］和《Nature》［16］在2015年3月4日報道了Google與John Martinis 合作的第一個成果：測試量子退火芯片的糾錯性能，也驗證了在2014年9月的一個猜想——雙方的合作旨在利用John Martinis團隊在量子態(tài)控制和芯片可靠性方面的超強實力，進一步提升量子退火芯片的可靠性和實用性。

事實上，近年來John Martinis團隊在《Nature》發(fā)表了surface code糾錯碼技術(shù)、Xmons量子比特技術(shù)等一系列研究成果［17，18］，提升了量子邏輯和量子計算的精度；John Martinis團隊將量子態(tài)持續(xù)時間從nanoseconds提升到30 microseconds，對于量子計算的實用性而言這是一個很大的飛躍。這一系列成果［14，17，18］將有助于量子比特相干態(tài)維持更久，使量子退火工作得更好。

2015年4月29日，IBM演示了使用四量子位方形超導量子比特點陣（約四分之一英寸見方）的糾錯運算。首次成功實現(xiàn)了檢測2類量子計算錯誤，即比特翻轉(zhuǎn)（bit-flip）和相位翻轉(zhuǎn)（phase-flip）。IBM認為這是邁向構(gòu)建大型量子計算機的重要一步［19］。

3.5D-Wave測試情況分析

由于D-Wave專用量子計算機的量子人工智能原理完全不同于業(yè)內(nèi)熟悉的通用量子計算機，業(yè)內(nèi)對其也有一些誤解。

1）誤以為能運行 Shor算法，認為 D-Wave的成功將加速破譯RSA等公鑰密碼

事實上，D-Wave專用量子計算機的設(shè)計初衷與密碼破譯無關(guān)。

2）誤以為可以求解任意數(shù)學問題

事實上，D-Wave專用量子計算機的設(shè)計初衷是基于量子人工智能算法求解組合優(yōu)化問題，因此也具有廣泛的應(yīng)用，模式識別和機器學習等人工智能領(lǐng)域有很多科學問題可以轉(zhuǎn)化為組合優(yōu)化問題求解。

3）是否是量子計算機，有沒有量子效應(yīng)

D-wave 公司的CEO Vern Brownell于2014 年4月21日接受IEEE Spectrum采訪，對加拿大量子計算機的特點做出如下評價：①加拿大量子計算機的原理不同于已有的量子計算機，是基于MIT的絕熱量子計算原理；②3個用途是蒙特卡洛模擬、優(yōu)化問題、深度學習；③目前能肯定具有8 Qubit級別的量子糾纏狀態(tài)（8 Qubit是D-Wave量子計算機體系結(jié)構(gòu)中的一個基本量子電路單元，如圖3所示）。

Matthias Troyer教授在尋找適用于量子計算的殺手級應(yīng)用的同時，也一直參與、跟蹤D-Wave的各項測試研究［1］。2014年2月，Matthias Troyer教授等在《Nature Physics》撰文［8］，通過108 Qubit D-Wave的伊辛模型測試實驗，證明了D-Wave量子計算機確實具備量子效應(yīng)。

3.6與傳統(tǒng)數(shù)學方法及智能算法的比較

2015年12月，Google量子人工智能實驗室主任Harmut Neven及其團隊［10］聲明在一個涉及近 1 000個二進制變量的問題實例上，與單處理器傳統(tǒng)計算機對比，D-Wave得到了1億倍的提速。需要說明的是，所測試的問題是一些特定的、精心設(shè)計的問題，并非通用問題。

盡管如此，本文分析認為，這個測試可以說明D-Wave專業(yè)量子計算機的搜索速率非?？?，有利于算法的問題求解。

通常情況下，智能算法適合在科學性質(zhì)未知情況下的問題求解，此時傳統(tǒng)數(shù)學方法難以奏效，即沒有多項式時間求解的數(shù)學公式。此時，往往指數(shù)級解空間的解分布和解結(jié)構(gòu)未知，即求解成功率具有隨機性，初始點選擇、搜索策略及單位時間的搜索速率、搜索覆蓋范圍是影響求解的幾個關(guān)鍵因素。

加之量子隧穿效應(yīng)的作用，D-Wave從其量子人工智能原理上說，有望跳出局部亞優(yōu)解，擴大解空間搜索范圍，有助于獲得較優(yōu)的解。對于組合優(yōu)化問題求解，單位時間內(nèi)搜索逼近全局最優(yōu)解的概率應(yīng)該超過傳統(tǒng)智能算法。

4　Shor算法的量子器件約束分析

需要重視Shor算法對RSA密碼攻擊所面臨的通用量子計算機器件約束問題。

如前文分析，通用量子計算機器件進展緩慢，短期內(nèi)破譯1 024 bit的RSA公鑰密碼所需的千位Qubit差距極大。因此可以判斷，在通用量子計算機的進展情況下，現(xiàn)代密碼依舊是安全的，二代身份證、電子政務(wù)CA系統(tǒng)中涉及的RSA和ECC算法公鑰密碼也是安全的。

盡管Shor算法攻擊RSA密碼在理論上是成熟的，但對量子比特Qubit需求較大，從目前通用量子計算機實際器件進展而言，需要進一步評估其可行性、現(xiàn)實性。

事實上，采用量子器件實現(xiàn) Shor算法破譯RSA密碼，理論上第一量子寄存器需要的量子比特數(shù)第二量子寄存器需要的量子比特數(shù)N為RSA密碼中需要分解的大數(shù)。記L=lbN，量子器件的空間復雜度為（2L，L），時間復雜度為T=O（L3）。如破解1 024 bit的RSA，需要2 048量子比特Qubit。

目前，國內(nèi)外文獻表明，Shor算法的改進算法很多，但是第一量子寄存器和第二量子寄存器還不能做到全部都降低到L規(guī)模之下，破解1 024 bit的RSA不僅僅需要千位Qubit量子計算機，也需要高精度和長時間的量子態(tài)維系能力等。而目前通用量子計算機的最大規(guī)模是9 Qubit，實際器件進展距離破譯RSA密碼的理論需求比較遙遠。

因此，需要考慮在通用量子計算機的器件受條件限制的實際情況下，研究公鑰密碼RSA的小Qubit量子計算攻擊方法，降低對通用量子計算機的器件要求。

目前，最樂觀的通用量子計算機器件進展情況，可以考慮荷蘭量子研究中心提出的10年后設(shè)計100 Qubit通用量子計算機這一背景。Shor算法攻擊RSA等公鑰密碼的可行性研究，建議以此約束條件為前提。

因此，如何改進Shor算法，使第一量子寄存器和第二量子寄存器從現(xiàn)有理論設(shè)計要求的1 000～2 000 Qubit降低至100 Qubit以下，是一個業(yè)內(nèi)還沒有考慮的實際問題。

5　專用量子計算機對信息安全的影響分析

以量子人工智能為基礎(chǔ)的專用量子計算機作為下一代戰(zhàn)略計算（NSCI）的核心思想，對機器學習和互聯(lián)網(wǎng)內(nèi)容分析能力有重大影響。

斯諾登事件之后，應(yīng)該重視專用量子計算機機器的學習能力對互聯(lián)網(wǎng)大數(shù)據(jù)內(nèi)容分析和行為隱私分析所構(gòu)成的潛在威脅。

5.1專業(yè)量子計算機對機器學習能力的影響

需要重視加拿大商用量子計算機的搜索能力對量子機器學習的影響。

2013年5月，Google正式宣布購買512 Qubit加拿大量子計算機 D-Wave Two的同時，與NASA（National Aeronautics and Space Administration）Ames中心聯(lián)合成立量子人工智能實驗室（QuAIL，Quantum Artificial Intelligence Lab）。Google希望量子計算技術(shù)可以推動機器學習領(lǐng)域的發(fā)展，在疾病治療、跟蹤氣候變化和開發(fā)語音識別技術(shù)方面發(fā)揮作用，更好地解決空中交通管制、機器人、任務(wù)規(guī)劃和調(diào)度等領(lǐng)域的問題。NASA則利用量子計算機模擬太空氣象、行星大氣層、星系碰撞，研究磁動流體力學、超音速飛行器以及處理大量數(shù)據(jù)等。

事實上，早在2009年，Google圖像識別技術(shù)組負責人Hartmut Neven在Google Research博客公布了Google近年來正在研究D-Wave量子退火芯片用于圖像搜索，核心算法采用MIT物理系Edward Farhi發(fā)現(xiàn)的quantum adiabatic算法。在神經(jīng)信息處理系統(tǒng)（NIPS）2009大會上，Google演示了此項研究的進展，通過測試識別2萬張圖片中的汽車，證明了該研究的效果優(yōu)于傳統(tǒng)軟件。

SanDiego超算中心研究員Allan Snabelly曾經(jīng)使用過D-Wave系統(tǒng)的算法，對其進行了評價：對計算機科學非常重要；有利于解決“有指數(shù)級可能性的答案”搜索。2013年10月，國內(nèi)有專家評論：如果能解決圖像處理問題，也是很有意義的。

2012年8月，哈佛大學的一個研究團隊利用D-Wave One 解決了最大的蛋白質(zhì)折疊問題。Google進一步利用D-Wave量子計算機應(yīng)用于無人駕駛汽車的研究，期望以更加接近人腦的方式對障礙物進行判斷，提供更好的導航。

Google 在 2014年 9月 2日宣布與 John Martinis團隊合作的同時，也引進了一批人工智能專家，如Toronto的Deep Neural Network 專家Geoff Hinton，并收購其公司DNNresearch。Google QuAIL的研究員Masoud Mohseni認為量子計算機適合處理互聯(lián)網(wǎng)海量數(shù)據(jù)。著名信息安全專家王育民教授分析認為 Google此舉有助于互聯(lián)網(wǎng)內(nèi)容分析。

2015年，Google量子人工智能實驗室主任Hartmut Neven判斷，10年后將是量子機器學習的天下。

5.2專業(yè)量子計算機成為新一代計算思想

從2015年9月起，Lockheed Martin、Google 和NASA的QAIL陸續(xù)與D-wave簽署多年合作協(xié)議并升級到最新1 000+Qubit D-Wave 2X。2015 年11月，美國能源部DOE下屬的2個核武器國家實驗室之一Los Alamos確定在2016年安裝1 000+Qubit D-Wave 2X，將量子退火作為響應(yīng)美國國家戰(zhàn)略計算計劃的重要一步（power step）。此前，Los Alamos已經(jīng)取消了對量子密碼的研究。

Alamos國家實驗室選擇將量子退火作為新一代計算方法，意欲突破傳統(tǒng)計算已經(jīng)達到的瓶頸（摩爾定律：能耗隨計算規(guī)模和計算性能指數(shù)級增長）。旨在作為重要一步，響應(yīng)奧巴馬2015 年7月29日頒布的“美國國家戰(zhàn)略計算計劃”。

NSCI的 3個領(lǐng)導機構(gòu)是美國國家自然科學基金委（NSF，National Natural Science Foundation）、能源部（DOE，Department of Energy）、國防部（DOD，Department of Defense）；基礎(chǔ)研究機構(gòu)是IARPA（Intelligence Advanced Research Projects Activity）、NIST（National Institute of Standards and Technology）；實施機構(gòu)包括 FBI（Federal Bureau of Investigation）、NASA、海洋與大氣署等。

白宮網(wǎng)站公布NSCI的幾條建設(shè)目標如下。

第一條：Exascale（百億億次計算，百倍現(xiàn)在的10 Petaflop，30倍天河二的運算速度）；

第二條：用于數(shù)據(jù)分析計算（包括后續(xù)從政府、工業(yè)界等搜集的數(shù)據(jù)）；

第三條：15年內(nèi)突破目前的計算限制，實現(xiàn)后摩爾定律（the“post-Moore's Law era”）；

第四條、第五條略。

加拿大專用量子計算機及其量子退火算法符合第二條、第三條要求。

2015年9月底，最新的1 000 +Qubit D-wave 2X安裝在NASA Ames中心的QAIL之后，IEEE Spectrum隨即在10月5日也專門刊文討論需要多少能耗（How much power will quantum computing need？）。但是，事實上D-Wave 2X能耗還是在15 kW以下，與512 Qubit D-Wave Two相比沒有增長。和傳統(tǒng)的電子計算機相比，其能耗是很大的優(yōu)勢。

關(guān)于傳統(tǒng)計算已經(jīng)達到的瓶頸，Alamos國家實驗室的幾個部門（理論仿真計算部和實驗武器物理部等）都一致認為：“傳統(tǒng)計算從每瓦能耗可達的計算規(guī)模和計算性能來看，已經(jīng)到了盡頭。需要研究新的技術(shù)來支持未來需求”。

Alamos國家實驗室認為：選擇研究和優(yōu)化量子退火并使之作為新方法的基礎(chǔ)，以應(yīng)對未來的棘手問題，是重要而有力的一步。

5.3量子認知進展

2015年，加州大學圣芭芭拉分校物理學家Matthew P.A. Fisher首次通過核自旋給出了人腦認知思維可能是一種量子效應(yīng)的結(jié)果，再一次把大腦量子計算機化推到了世人面前。Matthew的工作之所以這么引人注目，就在于他對于人們關(guān)于在人腦潮濕、溫熱的環(huán)境下如何能保持量子相干態(tài)的疑慮有了初步的科學解釋［20］。當然，現(xiàn)在講人腦其實是一個量子計算機還為時過早。Matthew的工作也引起了部分爭議，比如來自生命科學領(lǐng)域的學者認為，目前神經(jīng)科學已經(jīng)取得了豐碩成果，解決了很多問題，沒有必要從量子力學的角度來理解人腦的運行和思維機理。

另一方面，Matthew的工作也得到了來自各個領(lǐng)域?qū)＜覍W者的支持，比如生命科學領(lǐng)域的施一公教授，就在其最近的一次研究中提到以后可能需要從量子的層面去理解人腦的思維與意識。還有著名的量子信息科學家加州理工大學的John Preskill教授認為該項跨學科的研究非常有價值，事實上，Matthew下一步的工作，正是聯(lián)合來自神經(jīng)科學、化學等領(lǐng)域的科學家進一步從微觀領(lǐng)域入手研究量子力學和人腦思維之間的聯(lián)系?？梢灶A見的是，目前人類關(guān)于自己大腦的科學認識還遠遠達不到令人滿意的程度，基于目前的神經(jīng)科學，還有很多關(guān)于大腦思維和意識存儲的未解之謎。

除了從微觀領(lǐng)域出發(fā)開展人腦運行的量子機制，目前也出現(xiàn)了基于量子力學原理建模人腦思維和判斷等認知過程。2014年，俄亥俄州立大學Wang等［21］學者提出了量子問題等價性原理（quantum question equality），用來解釋人腦對一些順序相關(guān)問題的反應(yīng)，用來支撐人腦思維是遵從量子邏輯而不是經(jīng)典的概率論這一假說。同時，文章指出，人腦對很多問題的反應(yīng)回答和問題的提問順序有關(guān)，換句話說，當先回答A問題，再回答B(yǎng)問題時，會受到剛才回答A問題思維的影響。當然這里設(shè)計的問題A和問題B是有一定的相關(guān)性的，他們認為這和量子力學里某些測量算子的不可對易性緊密相關(guān)，為此提出了用人腦在某些問題下的基于量子理論的概率思維模型。2015年，Busemeyer和 Wang［22］給出了關(guān)于量子理論中的完備性理論（complementarity）和疊加原理（superposition）在認知心理學中的應(yīng)用。

從量子科學的角度出發(fā)，開展人腦認知研究，不失為一個重要并新穎的途徑。另外，多學科交叉融合的過程，也許會對未來量子人工智能領(lǐng)域帶來積極的促進作用，進而也會給量子機器學習以及與此相關(guān)的大數(shù)據(jù)網(wǎng)絡(luò)帶來深遠影響。

5.4專用量子計算機對密碼學的影響

量子時代的密碼學研究可以概括為以下幾個特點。

1）無論通用量子計算機還是專用量子計算機，都未涉及密碼設(shè)計。

2）已有的量子時代的密碼學研究包括量子密碼、抗量子密碼均為國外提出。

3）目前量子計算對現(xiàn)代密碼的攻擊均由貝爾實驗室提出。

其二，1994年發(fā)明的Shor算法，其擴展算法能在多項式時間內(nèi)破譯可以轉(zhuǎn)換成廣義離散傅里葉變換的公鑰密碼，包括RSA等。

問題之一：除了Shor算法對RSA等公鑰密碼破譯，量子時代還能攻擊哪些密碼算法？是否能形成普適性的攻擊算法？目前還沒有結(jié)論。

問題之二：Grover算法能否找到對公鑰密碼有效的攻擊途徑？目前也還沒有結(jié)論。

由于通用量子計算機的器件進展緩慢，尚未具有實用性。因此，探索采用商業(yè)化專用量子計算機用于密碼設(shè)計和分析，具有現(xiàn)實意義。事實上，盡管量子人工智能算法已經(jīng)應(yīng)用于諸多組合優(yōu)化問題，比如旅行商問題［23，24］、圖像識別問題［25］、蛋白質(zhì)折疊問題［13］等，但有關(guān)密碼設(shè)計和分析的問題還未涉及。

2014年12月2日，Matthias Troyer教授在Google做了一個主題為“High performance quantum computing”的報告，提出了四大量子計算研究方向：解碼與編碼、量子化學和材料模擬、處理線性問題以及機器學習。Matthias Troyer認為，為量子計算機尋找新的殺手級應(yīng)用是一個挑戰(zhàn)。

需要中國學者從量子計算、量子人工智能的角度研究商業(yè)化專用量子計算機對密碼分析和設(shè)計的理論和技術(shù)，提出國外尚未開展的量子計算密碼研究，主要有以下2個方面。

1）重視加拿大商用量子計算機的搜索能力對現(xiàn)代密碼攻擊的影響

需要研究論證D-Wave One系統(tǒng)對密碼系統(tǒng)實施窮舉破譯的可能性。D-Wave 系統(tǒng)利用量子隧穿效應(yīng)實現(xiàn)了量子退火，可以將組合優(yōu)化問題求解的NP難題在多項式時間解決，有助于解決指數(shù)級解空間的搜索問題，預計可以減少密碼攻擊所需搜索空間的量級［12］。

2）重視加拿大商用量子計算機的搜索能力對現(xiàn)代密碼設(shè)計的影響

現(xiàn)代密碼設(shè)計大多基于一定的數(shù)學難題使安全性更高。在某些密碼函數(shù)設(shè)計中，如果密碼性質(zhì)、結(jié)構(gòu)、分布等基本性質(zhì)不清楚，且密碼函數(shù)的參數(shù)解空間達到指數(shù)級，傳統(tǒng)密碼設(shè)計將遭遇瓶頸。同時，利用窮舉法或傳統(tǒng)優(yōu)化算法搜索這類密碼函數(shù)的參數(shù)猶如“大海撈針”，會在指數(shù)級空間中陷入“止步不前”的現(xiàn)象。

因此，加拿大專業(yè)量子計算機D-Wave的核心算法量子退火，可以考慮作為新的計算搜索方法，利用量子波動產(chǎn)生量子隧穿效應(yīng)跳出局部亞優(yōu)解，增強系統(tǒng)指數(shù)級解空間搜索能力，并以較大概率逼近全局最優(yōu)解，有望突破傳統(tǒng)瓶頸。

而且，Google的測試也已表明D-Wave的搜索速度極快這一巨大優(yōu)勢。從理論上說，結(jié)合隧穿效應(yīng)，針對傳統(tǒng)計算機無法有效解決的指數(shù)級空間搜索難題，D-Wave商用量子計算機的搜索覆蓋面和搜索速度會更好。

通過初步性實驗，利用量子退火設(shè)計多指標安全密碼函數(shù)，得到的參數(shù)結(jié)果優(yōu)于 IEEE Transactions on Information Theory期刊上發(fā)布的由傳統(tǒng)數(shù)學理論構(gòu)造的最好結(jié)果。這也在一定程度上初步驗證了量子計算密碼的可行性。

6　量子糾錯對量子計算機實用化的推動

安全可靠的量子信息處理過程包括通用量子計算機、D-Wave那樣的專用量子計算機以及量子通信，這些都離不開差錯控制。事實上，目前限制通用量子計算機進一步發(fā)展的一個重要原因就是量子計算過程中的差錯控制。

這包含2個方面的工作：一方面，提高量子邏輯器件本身的操控精度；另一方面，由于量子態(tài)本身非常敏感和脆弱，必須設(shè)計有效的糾錯機制來克服外界噪聲帶來的退相干影響，從而實現(xiàn)對量子信息的保護。對于后者，目前廣泛采用的是和經(jīng)典信息處理同樣的思路，即通過差錯編碼來對抗噪聲的影響。事實上，自從Shor于20世紀90年代初提出量子糾錯編碼的思想以來，量子糾錯碼的研究獲得了長足的進步，幾乎所有在經(jīng)典信息領(lǐng)域應(yīng)用的糾錯編碼機制都被成功地引入到量子領(lǐng)域中來，這其中也包括本文作者王云江提出的量子稀疏圖碼的譯碼算法以及和國外的本領(lǐng)域?qū)＜覍W者提出的量子級聯(lián)編碼思想。

近些年的理論研究表明，在量子差錯控制領(lǐng)域，一方面需要借鑒經(jīng)典編碼理論上的經(jīng)驗和成功理論，開展量子碼的研究，構(gòu)造出資源消耗和性能均達到較優(yōu)的量子糾錯碼，比如采用拓撲結(jié)構(gòu)和圖論的思想設(shè)計量子糾錯碼［26，27］。另一方面，應(yīng)該進一步意識到量子糾錯碼和經(jīng)典糾錯碼的不同之處，開展與具體的量子計算的物理實現(xiàn)機制相結(jié)合的糾錯體系設(shè)計，實現(xiàn)量子編碼與相應(yīng)的物理實現(xiàn)深度融合，這樣才能更好地為量子計算得到量身定做的差錯控制方案。前文所述的UCSB的Martinis課題組基于超導量子線路模型所采用的surface code，就是利用了surface code的糾錯機制和超導量子比特的鄰接物理模型的匹配性［4］。2015年，IBM沃森研究中心也提出了類似的量子差錯控制方案，并通過了物理實驗的驗證［19］。值得指出的是，上面的量子差錯控制方案雖然是基于通用量子計算機為背景提出的，事實上，對于類似D-Wave的專用量子計算機，上面的量子差錯控制思想仍然適用，比如南加州大學的 Lidar課題組針對目前已經(jīng)商用的D-Wave量子計算機，利用344個超導量子比特實現(xiàn)了量子退火糾錯，大大提高了D-Wave的運算可靠度［28］。

從上面的研究可以看出，近些年來有關(guān)量子差錯控制方面的研究頻頻出現(xiàn)在國際頂級的期刊上，是量子信息與量子計算領(lǐng)域中的重要方向，對可靠量子信息處理的出現(xiàn)起到至關(guān)重要的作用。因此，一方面需要加強對量子計算的應(yīng)用研究，特別是對目前已有的量子計算技術(shù)（如D-Wave量子計算機）的應(yīng)用研究；另一方面，為了保證量子計算的實現(xiàn)（包括D-Wave量子計算機的進一步提升），也需要加強量子計算的差錯控制研究。這其中值得關(guān)注2個方向：一是采用新的原理和方法來設(shè)計好的量子糾錯碼；二是開展與物理原理和量子計算的物理模型相融合的量子差錯控制機制研究。

7　結(jié)束語

受到量子器件進展的限制，通用量子計算機距離破譯電子政務(wù)中 RSA密碼所需要的千位Qubit遙遙無期。如果采用Shor算法破譯實用化的RSA等公鑰密碼，首先需要考慮對Shor算法的改進，同時降低第一量子寄存器和第二量子寄存器，使之對器件的要求降低到百位Qubit。目前，現(xiàn)代密碼還是安全的，量子計算機的器件進展還遠不能投入實際運行，無法破譯現(xiàn)代密碼。

量子計算機的商業(yè)化還涉及到量子糾錯、量子計算模型和理論及軟件方法等一系列關(guān)鍵理論和技術(shù)。

需要重視商業(yè)化專用量子計算機對密碼學和互聯(lián)網(wǎng)大數(shù)據(jù)時代信息安全的影響。商業(yè)化專用量子計算機實現(xiàn)了量子人工智能算法，可以成功應(yīng)用于大量的可以轉(zhuǎn)化為組合優(yōu)化的機器學習、模式識別等科學問題，不能忽視其對互聯(lián)網(wǎng)大數(shù)據(jù)時代的信息安全形成的挑戰(zhàn)。

目前，無論是通用量子計算機還是商業(yè)化專用量子計算機，都沒有涉及密碼設(shè)計，且有關(guān)量子時代的密碼研究均為國外提出。

展望未來，將考慮采用商業(yè)化專用量子計算機的理論。中國學者從量子計算、量子人工智能的角度在國際上率先提出了量子計算密碼的研究，在國際上首次考慮了量子計算對密碼設(shè)計的作用，同時也會開辟不同于Shor算法的量子計算密碼破譯之路。

［1］GIBNEY E. Physics：quantum computer quest［EB/OL］. http：//www. nature.com/news/physics-quantum-computer-quest-1.16457#/b4.

［2］MARIANTONI M，WANG H，YAMAMOTO T，et al. Implementing the quantum von neumann architecture with superconducting circuits［J］. Science，2011，334（6052）：61-65.

［3］ERIK L，BAREDNS R，CHEN Y，et al. Computing prime factors with a Josephson phase qubit quantum processor［J］. Nature Physical，2012，8（10）：719-723.

［4］BARENDS R，KELLY J，MEGRANT A，et al. Superconducting quantum circuits at the surface code threshold for fault tolerance［J］. Nature，2014，508（7497）：500-503.

［5］Seven days：5-11 september 2014［EB/OL］. http：//www.nature. com/news/seven-days-5-11-september-2014-1.15881.

［6］JOHNSON M W，AMIN M H，GILDERT S，et al. Quantum annealing with manufactured spins［J］. Nature，2011，473（7346）：194-198.

［7］LUCAS B. Adiabatic quantum computing［R/OL］. http：//www.hpcc. unical.it/hpc2012/pdfs/lucas.pdf.

［8］BOIXO S，RONNOW T F，ISAKOV S V，et al. Evidence for quantum annealing with more than one hundred qubits［J］. Nature Physics，2014，10（3）：218-224.

［9］RONNOW T F，WANG Z，JOB J. Defining and detecting quantum speedup［J］. Science，2014，345（6195）：420-424.

［10］DENCHEV V S，BOIXO S，ISAKOV S V，et al. What is the computational value of finite range tunneling［EB/OL］. http：//arxiv.org/pdf/1512.02206v4.pdf.

［11］Rose's law for quantum computers［EB/OL］. http：//www.33rdsquare. com/2012/10/roses-law-for-quantum-computers.html.

［12］王潮，張煥國. 加拿大商用量子計算機對密碼學的影響［J］. 信息安全與通信保密，2012，2（35）：31-32. WANG C，ZHANG H G. The influence of Canadian commercial quantum computer in cryptography［J］. China Information Security，2012，2（35）：31-32.

［13］PERDOMO-ORTIZ A，DICKSON N，DREW-BROOK M，et al. Finding low-energy conformations of lattice protein models by quantum annealing［J］. Scientific Reports，2012，2（8）：571.

［14］HSU J. Google's first quantum computer will build on D-Wave's approach［EB/OL］.http：//spectrum.ieee.org/tech-talk/computing/hardware/googles-first-quantum-computer-will-build-on-dwavesapproach.

［15］HSU J. Google tests first error correction in quantum computing［EB/OL］.http：//spectrum.ieee.org/tech-talk/computing/hardware/google-tests-first-error-correction-in-quantum-computing/？utm_sou rce=techalert&utm_medium=email&utm_campaign=030515.

［16］KELLY J，BARENDS R，F(xiàn)WLER A G，et al. State preservation by repetitive error detection in a superconducting quantum circuit［J］. Nature，2015，519（7541）：66-69.

［17］CHOW J M，BAMBETTA J M，MAGESAN E，et al. Implementing a strand of a scalable fault-tolerant quantum computing fabric［J］. Nature Communications，2013，5：4015.

［18］BAREND R，KELY J，MEGRANT A，et al. Superconducting quantum circuits at the surface code threshold for fault tolerance［J］. Nature，2014，508（7497）：500-503.

［19］CORCOLES A D，MAGESAN E，SRINIVASAN S J，et al. Demonstration of a quantum error detection code using a square lattice of four superconducting qubits［J］. Nature Communications，2015，6：6979.

［20］MATTHEW P A. Quantum cognition：the possibility of processing with nuclear spins in the brain［J］. Annals of Physics，2015，362：593-602.

［21］ZHENG W，TYLER S，RICHARD M S，et al. Context effects produced by question orders reveal quantum nature of human judgments［J］. Proceedings of The National Academy of Sciences of the United States of America，2014，111（26）：9431-9436.

［22］BUSEMEYER J R，ZHENG W. What is quantum cognition，and how is it applied to psychology［J］. APS Association for Psychological Science，2015，24（3）：163-169.

［23］MARTONáK R，SANTORO G E，TOSATTI E. Quantum annealing of the traveling salesman problem［J］. Physical Review E Statistical Nonlinear & Soft Matter Physics，2004，70（5）：057701.

［24］CHEN H，KONG X，CHONG B，et al. Experimental demonstration of a quantum annealing algorithm for the traveling salesman problem in a nuclear-magnetic-resonance quantum simulator［J］. Physical Review A，2011，83（3）：6541-6548.

［25］NEVEN H，ROSE G，MACREADY W G. Image recognition with an adiabatic quantum computer［EB/OL］. http：//arxiv.org/pdf/0804. 4457v1.pdf.

［26］NIGG D，MULLER M，MARTINEZ E A，et al. Quantum computations on a topologically encoded qubit［J］. Science，2014，345（6194）：302-305.

［27］BELL B A，HERRERA-MART D A，TAMEM S D，et al. Experimental demonstration of a graph state quantum error-correction code［J］. Nature Communications，2014，5（4）：3658.

［28］PUDENZ K L，ALBASH T，LIDAR D A. Error-corrected quantum annealing with hundreds of qubits［J］. Nature Communications，2014，5（2）：163-180.

Shaping the future of commercial quantum computer and the challenge for information security

WANG Chao1，WANG Yun-jiang2，HU Feng1

（1. Key Laboratory of Special Fiber Optics and Optical Access Networks（SCIE），Shanghai University，Shanghai 200072，China；2. State Key Laboratory of Integrated Services Networks（ISN），Xidian University，Xi'an 710071，China）

The progress on universal quantum computer devices is show，so that attacking the 1 024 bit RSA by Shor algorithm is impractical currently. The modern cryptography still has strong security. Take the quantum devices constraints into consideration was proposed for the first time，the storage of former registers in the Shor algorithm should be 100 or less Qubits theoretically decreased from 1 000 or more Qubits. Quantum artificial intelligence，as the rapid progress of special quantum computer，was regarded as the new generation computing idea which met the goal of national strategic computing initiative（NSCI）. With the wide applications in the field of machine learning and artificial intelligence，importance to the influences of quantum artificial intelligence on the big data security on internet should be attached. Additionally，it was the first time to use the quantum computer for designing cryptography and it shed an interesting light on cryptography design based on the quantum artificial intelligence which had not been reported anywhere before.

Canadian quantum computer，quantum artificial intelligence，quantum tunneling effect，quantum error correction，quantum cognition

TN918

10.11959/j.issn.2096-109x.2016.00026

2016-02-14；

2016-02-20。通信作者：王潮，wangchao@staff.shu.edu.cn

國家自然科學基金重點資助項目（No.61332019）；國家自然科學基金資助項目（No.61572304，No.61272096，No.61301172，No.61502376）；上海市教委創(chuàng)新基金資助項目（No.14ZZ089）；上海市特種光纖與光接入網(wǎng)重點實驗室開放課題基金資助項目（No.SKLSFO2014-06）；國家教育部博士點基金資助項目（No.20120203120001）；高等學?；究蒲谢鹳Y助項目（No.JB140105，No. JB151204）；國家111基地基金資助項目（No.B08038）

Foundation Items：Key Program of National Science Foundation of China（No.61332019），The National Natural Science Foundation of China（No.61572304，No.61272096，No.61301172，No.61502376），The Innovation Grant of Shanghai Municipal Education Commission（No.14ZZ089），Shanghai Key Laboratory of Specialty Fiber Optics and Optical Access Networks（No.SKLSFO2014-06），Ph.D. Program Foundation of Ministry of Education of China（No.20120203120001），The Fundamental Research Fund for the Central University（No.JB140105，No. JB151204），The 111 Program（No.B08038）