量子信息（科普向）

一、“量子”是什么？

1. 量子是离散变化的最小单元
2. 离散变化：统计人数只能一个两个，不能半个，此时一个人就是一个量子
3. 没有某种专门的粒子叫量子，不同语境对应不同的粒子
4. 离散变化是微观世界的一个本质特征，从而创立了“量子力学”，用来准确描述微观世界的物理学理论，之前传统的牛顿力学被称为“经典力学”

二、无处不在的量子力学

1. 量子力学和相对论是二十世纪的两大科学革命，相对论是名气较大用的少，量子力学是名气较小用的多
2. 电器导电性是由量子力学解释的，电源、芯片、存储器、显示器的工作原理是基于量子力学的；走进一个房间，钢铁、水泥、玻璃、塑料的性质是由量子力学决定的；运输工具燃料的燃烧过程是由量子力学决定的；研制新的化学工艺、新材料、新药都离不开量子力学
3. 量子力学需要微分方程和线性代数做定量计算

三、量子信息

• 破解最常用的密码体系——量子因数分解
• 用途最广泛的量子算法——量子搜索（接受以一定概率找到解）
• 永远不会被破解的保密方法——量子密码术（最接近实用）
• 科幻电影中的“传送术”——量子隐形传态（传的是状态）

四、量子力学与信息科学相关的“三大奥义”

• 叠加、测量和纠缠

叠加

1. 如果两个状态是一个体系允许出现的状态，那么他们的任意线性叠加也是这个体系允许出现的状态
2. 狄拉克符号：|>
3. 如果一个体系能够处于 |0> 和 |1> ，那么他也能处于任何一个 a|0> + b|1> ，这样的状态称为“叠加态”，这里a和b的唯一限制是 |a|² + |b|² = 1 。
4. 在“叠加原理”下，经典的比特变成了“量子比特”，一个量子比特包含比一个经典比特大得多的信息量
5. 取一组矢量，如果其他所有的矢量都能表示成这组矢量的线性叠加，那么这组矢量就叫做“基组”，基组有无穷多个。

测量

1. 每一次测量都必须对应某个基组
2. 如果测量的态不是基组中的一个态（比如在 |0> 和 |1> 的基组中测量 a |0> + b|1> ，其中a，b都不等于0），这个态会发生坍缩，以|a|²的概率变成 |0> ，以|b|²概率变成 |1> 。
3. 对于单独一次实验，无法预测结果，只能预测概率。由于只可能有两种结果，所以这两个概率相加等于1，这就是 |a|² + |b|² = 1 的原因。
4. 坍缩之后，无论再测多少次，都是第一次测得的情况，不会变了

纠缠

1. 量子力学中，体系的状态（态矢量）可以用一个函数来表示。单粒子体系的态函数是一元函数，多粒子体系的函数是多元函数。如果这个多元函数可以分离变量，就称为“直积态”，不能分离称为“纠缠态”。
2. |00>表示两个粒子都处于|0>态，|00>，|01>，|11>，|10>都是直积态，对于直积态，测量粒子1的时候不会影响粒子2的状态
3. |β00> = （|00> + |11>）/ √2，不能分离，是纠缠态，不能用“粒子1处于XX态，粒子2处于XX态”来描述。纠缠态无法预测单次测量结果，但是可以确定粒子1变成什么，粒子2同时也变成了什么。两者同步变化。
4. 对于 |β01> = （|01> + |10>）/ √2，测量时，粒子1变成什么，粒子2就变成了相反的状态。

• EPR对实验：
  让两个粒子处于 |β00> 态，这样一对粒子称为“EPR对”。把这两个粒子在空间上分开很远，然后测量粒子1，若果测得粒子1在 |0> ，那么粒子2也在 |0> ，EPR（爱因斯坦、波多尔斯基、罗森）认为两个粒子之间出现了“鬼魅般的超距作用”，信息传递速度超过光速；玻尔认为处于纠缠态的粒子是一个整体，不存在信息传递，不违反相对论。

五、量子信息的优势

• 潜在的巨大优势（不容易利用）：一个包含n个经典比特的体系，总共有2ⁿ个状态，想知道一个函数在这个n比特体系上的效果需要2ⁿ次计算，而n个量子比特的体系，一次操作就可以得到所有2ⁿ个结果的叠加态。
• 量子计算机考虑的是“针对哪个数学问题，把计算量从什么改进到了什么”

六、量子态不可克隆定理

• 量子力学中不能复制一个粒子的未知状态
• 因此量子计算机中没有复制操作
• 量子隐形传态也不是复制，而是以不高于光速的速度，破坏性（B粒子获得A粒子最初状态的同时，A粒子状态必定改变）的把一个体系的未知状态传输给另一个体系

七、量子密码术

• 也称为量子保密通信或者量子密钥分发

7.1. 一次性便笺

• 信息论创始人香农证明了一个数学定理：密钥如果满足三个条件，那么通信就是绝对安全的：

  1. 密钥是一串随机的字符串
  2. 密钥的长度和明文一样，甚至更长
  3. 每传送一次密文就更换密钥，即“一次一密”。

  满足这三个条件的密钥叫做“一次性便笺”

7.2. 传统密码术

1. 明文换成密文需要两个元素：变换的规则和变换的参数，前者是编码的算法，例如“在英文字母表上前进x步”，后者是密钥，例如算法里的x这个数。
2. 把希望寄托在算法不泄露是靠不住的。
3. 密码学基本原则：在设计算法时，必须假设敌人已经知道算法和密文，唯一不知道的是密钥，目标是让敌人在这种情况下破译不了密文

7.2.1. 对称密码体制

• 甲乙双方采用相同的密钥
• 密码本身可以是安全的（一次性便笺），但密钥的分发不安全，把密钥安全传给另一方是难题

7.2.2. 非对称密码体制

• 公钥和私钥
• B打造一把锁和相应的钥匙，把打开的锁公开寄给A，A把文件放到箱子里，用这把锁锁上，再公开把箱子寄给B。B用钥匙打开箱子，信息传递就完成了
• 不需要信使，但是可能会被数学方法破解，安全依靠计算复杂性，永远不能排除被破解的可能。
• RSA密码体系以此为基础
  1. 李维斯特，萨莫尔，阿德曼首字母缩写
  2. 目前世界上最常用的密码系统，是一种“公开密钥密码体系”，公开是因为密钥是一个很大的合数，解密无法在正常时间内完成，但是量子计算机可以破解，虽然目前量子算法还只是理论。

7.3. 量子密码术

• 不通过信使，双方直接共享密钥，量子密钥的产生过程，同时就是分发过程。
• 密钥的产生利用量子力学的特性（关键在这一步），密文的传输就是普通的通信

7.3.1. 实现方法

1. 量子密码术有若干种实现方法，不一定非要用到量子纠缠
2. 绝大多数量子密码术的实验都是用单粒子方案（量子纠缠是多粒子体系的现象），基于量子纠缠的量子密码术方案，就像用火箭送快递一样不实用
3. 产生随机数是对叠加态的测量（只需要三大奥义的叠加、测量）

7.3.2. BB84协议

• 最早的量子密码术方案，目前最先进的诱骗态协议可以理解为它的推广

• 用到光子的四个状态：|0>、|1>、|+>、|->，分别对应光子的偏振处于0度，90度，45度和135度

• 一次只发送一个光子，如果被截获，接收方就收不到光子。

• 操作过程：

  1. 拿一个随机数发生器（通俗的说就是掷硬币），产生一个随机数a为0或1
  2. 根据随机数决定选择哪个基组：0就选择|0>和|1>基组，1就选择|+>和|->基组
  3. 再产生一个随机数a’为0或1
  4. 根据a’决定在基组中选择哪个状态，|0>和|1>基组：0就选择|0>，1就选择|1>。|+>和|->基组同理
  5. 双重随机选择后，A把选定状态的光子发送出去

  ---

  6. B收到光子，并不知道它属于哪个基组
  7. B也拿一个随机数发生器，产生一个随机数b为0或1
  8. 0就选择在|0>和|1>基组中测量，1就选择在|+>和|->基组中测量。
  9. B得到|0>或|+>就记下0，得到|1>或|->就记下1，把这个数记为b’

• 如果B猜对了基组（a=b），那么光子的状态必然就是B的基组中的一个，所以测量后不会变，a’必然等于b’

• 如果B没有猜对基组（a≠b），那么光子的状态就不是B的基组中的一个，测量后会突变，a’和b’就不一定相等了 （有一半的概率不同）。

• 重复这种操作若干次，双方发送和测量若干个光子，结束后，双方公布自己的 a 和 b 随机数序列（对全世界公开），比如a的序列是0110，b的序列是1100.然后找出相同的部分，然后得到第二位和第四位，a’和b’必然相同，这两个位就可以记下用作密钥，其余位直接抛弃。

• 如果有E想窃听密钥，他在测量窃取到的光子时只能猜测，这就有一半概率猜错基组，会改变光子的状态，这就是窃听的痕迹。此时利用BB84协议中的第二次公布，从得到的 a’ 和 b’ 序列中挑选一段 a’ 和 b’ 序列公布，查看是否完全相同。如果公布了很长一段都完全相同，就可以把a’和b’序列中剩下的部分作为密钥。

7.3.3. 安全性

1. 密文即使被截获也无法破译
2. 不会被计算技术的进步破解
3. 没有传递密钥的信使
4. 平时不需要保存密钥，使用时现场产生
5. 如果有窃听会被发现

7.3.4. 光子数分离攻击

• 实际情况中单光子的光源效率很低，用它会导致成码率非常低，绝大多数实验用的是效率高的激光光源，但激光光源不是严格的单光子，有一定几率在一个脉冲中出现多个光子。
• 拦截所有的单光子信号，对于多光子信号，分离其中一个留给窃听者自己

7.3.5. 诱骗态协议

• 激光光源发射的光子数有一定的分布，发射许多光脉冲就相当于发射一些单光子脉冲、一些多光子脉冲和一些零光子脉冲（也就是没发）。在脉冲的平均光子数小于 1 时，诱骗态方法可以使得实验等效于只用单光子脉冲。对于量子密码术的安全性而言，这相当于把实际的不完美的光源变成了完美的单光子光源。
• 克服障碍后，量子密码术的传输距离开始迅猛增长。