图灵奖揭晓:45年前的海边偶遇,让物理学为信息科学带来划时代变革,图灵奖获得者简介及获奖原因

当地时间3月18日，国际计算机学会（ACM）宣布，2025年ACM A.M.图灵奖授予 Charles H. Bennett 与 Gilles Brassard，以表彰他们在奠定量子信息科学基础、变革安全通信与计算领域所发挥的关键作用。

Charles H. Bennett 和 Gilles Brassard 是公认的量子信息科学奠基人，二人弥合了物理学与计算机科学的鸿沟，联合提出首个量子密钥分发协议——BB84，这也标志着量子密码学的正式诞生。值得一提的是，1994年美国数学家Peter Shor提出的Shor算法，证明量子计算机可以威胁经典密码体系，这一突破反向凸显了 BB84 协议的不可替代性，让量子密码的战略价值被全球认可。他们的工作构起了量子世界的“矛”与“盾”，深刻影响了信息安全的格局。

撰文 | 下雪

原标题：《2025图灵奖揭晓：45年前的海边偶遇，让物理学为信息科学带来划时代变革》

长期以来，信息安全和隐私保护主要依赖于经典密码学，其安全机制是基于计算复杂度，即特定的数学难题在经典计算机上难以解决，例如大整数的因子分解（RSA加密）或离散对数问题（Diffie–Hellman密钥交换）等。到20世纪80年代，随着量子物理学开始与信息科学交汇，一种全新的通信范式开始酝酿，可以保证数据的物理不可侵犯性，这就是量子密码学（Quantum Cryptography）。此后，人们发现量子计算机可以使传统密码系统失效，这样量子密码的重要性就凸显出来。这些工作构成了今天量子信息科学的基础。

美国物理学家Charles H. Bennett、加拿大密码学家Gilles Brassard以及Peter Shor三位先驱人物，通过他们的开创性研究证明，量子现象可以直接用于信息的安全传输和处理，并揭示了量子信息的双重面貌——既能守护信息，也能摧毁旧有安全。

量子密码学的起源

如果有人第一次接触到量子行为而不为之目眩神迷，那他只字未懂。（Anyone who is not dizzy after his first acquaintance with the quantum of action has not understood a word.）

——尼尔斯·玻尔（Niels Bohr）

量子密码学的诞生，源于Charles H. Bennett与Gilles Brassard的智慧碰撞。Bennett 1943年出生于美国纽约，1970年获得哈佛大学化学物理学博士学位，1972年进入IBM。在那里他受物理学家Rolf Landaue的启发，开始将兴趣转向信息处理的物理基础。他早期的突破性论文证明了通用计算可以在热力学可逆的设备上进行，理论上不需要消耗能量。而在1970年代初，他与美籍以色列物理学家Stephen Wiesner的早期交流，为后续量子密码的研究奠定了基础，两人为大学同学并长期保持联系。

Brassard（左）和Bennett丨图源：Merlijn Doomernik

1970年代初，Wiesner向Bennett分享了两项核心思路：一是基于量子力学原理制造“量子货币”（Quantum money），从物理上实现不可伪造的货币；二是“量子多路复用信道”（quantum multiplexing channel），接收方可以二选一读取消息，但必须以不可逆销毁另一消息为代价，这一概念后被认为是“二选一遗忘性传输”（1-out-of-2 Oblivious Transfer）的雏形。然而，Wiesner撰写的文章投至IEEE信息理论汇刊（IEEE Transactions on Information Theory）时被拒稿，因为他所用物理学语言对信息科学家来说难以理解（所幸Bennett保存了原始打印稿）。当时量子物理和计算机科学是两个相距甚远的领域，它们的交叉完全处于学科边缘。

1979年10月底，在波多黎各举行的第20 届 IEEE 计算机科学基础研讨会期间，Bennett主动找到正在海边游泳的Gilles Brassard，两人在水里交流了量子货币的概念。当时的Brassard年仅24岁，刚刚在康奈尔大学获得博士学位。Brassard可谓早慧，13岁就进入蒙特利尔大学，并先后获得计算机科学的学士和硕士学位。这次饶有趣味的碰面开启了两人长期合作。此前两人并不认识，Brassard是在前往会议的旅途中看到Bennett在杂志上发表的文章才知道了他的名字，而Bennett则是在会议手册中知道Brassard正在研究密码学，他想找个人聊聊“量子密码”。

这次交流被Brassard认为是他生涯中最魔幻的时刻——他们在几个小时内就找到了将Wiesner的编码方案与当时的公钥密码相结合的方法。1982年他们发表的首篇合作论文中正式提出了“量子密码学”这一术语。紧接着1983年，他们从“光子本就是传播”得到启发，开始思考利用量子信道传输信息，最后提出了一个利用量子物理定律进行密钥协商的密码系统——量子密钥分发（Quantum Key Distribution，QKD），基于量子不可克隆定理，窃听者（Eve）不可能在不被感知的情况下获取密钥信息。与此同时，由于密钥是基于量子物理行为协商生成的，任何的计算方法，哪怕是量子计算，也无法破解这一密钥。

Bennett和Gilles Brassard将他们的密码系统最终命名为“BB84协议”，基于两人姓氏首字母，以及1984年在印度举办的一次IEEE会议上发表的相关报告。事实上。两人在1983年就在IEEE信息论讨论会（ISIT）上提交了论文。尽管会议只接收了摘要，但这篇摘要成了量子密钥分发的“官方出生证明”。

BB84协议：基于不可克隆定理的防御

量子密钥分发是量子密码学最成熟的技术之一，专注于安全密钥生成。而BB84协议是第一个纯粹基于量子物理现象的密钥分发协议，其核心思想是利用量子力学中的不确定性原理和不可克隆定理来保证密钥交换的安全性。单个粒子可以同时处于多个状态，即处于叠加态。不确定性原理表明，任何试图观测光子的行为都会不可避免地改变光子原有的状态；而不可克隆定理表明单个量子态无法被完美复制。这意味着窃听者无法在不惊动通信双方的情况下，偷偷进行测量并复制原光子态继续向前传输。换句话说，任何试图截获密钥的行为都会破坏传输中的光子态，从而引起对话者的警觉。

BB84协议的基本原理如下。发送者利用光子偏振态来编码信息，使用两个正交的基（Basis），例如直线基（Z），垂直（90°）和水平（0°）偏振，分别对应比特的0和1；或者对角基（X），＋45°和-45°偏振分别对应比特0和1。发送方将随机选择一个比特值（0或1）以及一个随机的基（Z或X）来编码光子（实际为生成两组随机数，并以此决定最终发出的偏振态），并将光子发送给接收方。接收端则随机选择一个基来测量接收到的光子。双方使用一个公开的经典信道沟通发送测量时选择的基，但不公布具体测量结果的比特值，只有当双方选择的基一致时，接收方得到的测量结果才被保留下来，构成初步密钥。而基不匹配时，测量结果是完全随机的，对应的比特值被丢弃。

BB84协议基本原理丨图源：global.toshiba

双方得到初步的密钥序列后，为了将其转化成最终的安全密钥，还需要进行两个经典步骤，即误差检测（Error correction）和隐私放大（Privacy amplification）。首先是误差检测，通过抽样比对和纠错算法，计算量子比特错误率（QBER），以消除初步密钥中由于信道噪声或窃听者介入而导致的比特错误，若QBER低于某个阈值则表明密钥可用并进行纠错，使双方得到完全一致的初步密钥。但是，即使进行了误差检测，窃听者仍然可能拥有关于密钥的信息，因此进一步消除可能被泄露的信息并得到安全和保密的最终密钥变得很必要。这就是隐私放大，双方将使用通用哈希函数将初步密钥压缩成一个更短且理论上完全安全的最终密钥。

总的来说，量子密钥分发克服了传统一次一密通信中的密钥分发困难问题，使通信双方能够在不依赖可信第三方的情况下安全共享随机密钥，使其具备理论上无条件安全的保密能力。

在上世纪80年代，BB84 协议的安全性意义并未立即得到科学界的重视。两位开创者Bennett和Brassard决定制造出一台原型机证明其价值。两人都属于理论家，所以分别邀请合作者进行硬件和软件的开发，最终在1989年10月29日，他们成功实现了历史上首次量子保密传输，传输距离为32.5厘米（恰好是Bennett和Brassard在海滩会面的十周年纪念日）。由于并没有专门的经费，他们的原型机实际上非常简陋。电源会产生噪声，他们甚至可以“听”到光子传输的声音，因为产生不同偏振所需电压不同，噪声也不一样。Brassard曾开玩笑说，对于耳聋的窃听者，它是无条件安全的。而他们的文章发表在1990年《科学美国人》（Scientific American）杂志上，此后引发了学界广泛的兴趣。

Bennett和Brassard等人研制的第一台QKD原型机丨图源：Rev. Mod. Phys. 94, 035001

值得一提的是，波兰裔英国物理学家Artur Ekert在90年代引入量子纠缠和贝尔不等式违背的概念后重新提出了量子密钥分发——E91协议，该协议与BB84协议等价，但为原始的非纠缠BB84方案的安全性证明提供了更简洁的方案。Ekert的工作发表于《物理评论快报》（PRL），而非计算机科学领域的期刊，使QKD在物理学界的影响力极大增加。此后，Bennett和Brassard提出了基于纠缠态的QKD协议BBM92，不再需要发送方制备光子，而是用纠缠源向发送和接收双方分发纠缠光子，消除了“信源必须完全可信”的假设。

量子密钥分发的挑战

如今，基于量子密钥分发的量子通信技术体系，已经实现了上千公里的安全密钥传输，在商业化方面也正蓬勃发展，从金融机构到政府通信，均已开始布局相关的量子保密网络。特别是中国在相关领域取得诸多成就。2017年发射的“墨子号”量子科学实验卫星，实现了世界首次空间-地面量子密钥分发，随后将其与京沪光纤干线整合。利用该卫星作为可信中继，研究人员实现了多个洲际通信壮举。例如，促成中国与奥地利之间约7,600公里的量子安全通信链路，并完成了首次洲际安全量子视频通话；还利用另一颗量子微纳卫星“济南一号”实现了北京与南非斯泰伦博斯之间12,900公里的实时安全密钥共享和加密通信，首次将量子安全实验实施到南半球，等等。

事实上，QKD在实际应用中仍面临主要来自工程实现层面的挑战：单光子源的生成和长距离传输都非常困难，实际的QKD系统使用的硬件并非理想化的单光子源，而是通常采用弱相干光脉冲。发送者的激光源不可避免地会发射多光子脉冲；接收者的单光子探测器效率也可能不匹配。因此窃听者有可能利用这些硬件缺陷发动光子数分离攻击（PNS；截取发送端多余的光子）或时间漂移攻击（利用接收方探测效率的时序差异），在不引入可检测错误的情况下窃取部分信息。

2003年Won-Young Hwang提出的“诱骗态”方法，旨在解决这一漏洞，即利用不同强度脉冲的统计特性差异来识别窃听行为。发送方在承载真实密钥信息的信号光脉冲之间，随机插入若干光强不同（通常更弱）的“诱骗”光脉冲。窃听者无法区分不同强度的光脉冲，只能从总的信号中截取光子，而这样的攻击将导致信号态与诱骗态脉冲的探测率和误码率分布出现偏差，从而改变两者在总体统计分布中的比例。发送方和接收方通过比对这些统计数据，能够精确地估计出单光子脉冲安全传输的性能，从而量化 Eve 最多能获取多少信息，并进行相应的隐私放大，有效阻断 PNS 攻击。

通过诱骗态方法等关键技术的引入，量子密钥分发的安全性与可实现性得到了显著提升。然而，从实验室走向全球化、网络化的量子通信体系，仍需在器件可靠性、系统集成度以及成本控制等方面持续突破。量子通信的未来，正在安全与可行之间寻找新的平衡。

当然，这一切的源头，要追溯至 Bennett 与 Brassard 于 1984 年提出的 BB84 协议——它首次以量子叠加与测量原理建立了安全通信的新范式。他们将量子物理学从一个纯粹的理论领域，拓展为具有实际计算和通信应用潜力的新领域，为量子信息科学奠定了基础。

量子攻击的利剑——挑战经典密码学

1994年，当时在贝尔实验室工作的Peter Shor发现，标准密码学所基于的所谓困难问题——大数的质因数分解——在假想的量子计算机所能解决的范围之内。他提出了著名的算法——Shor算法，在量子计算机上，整数分解问题可以在准多项式时间内高效求解，这一速度远超传统超级计算机所需的指数时间。因此，基于大数分解难题的传统公钥密码体系（如 RSA）在量子计算机面前面临潜在安全威胁。Shor的发现激发了密码学领域的发展，因为人们希望找到更安全、更难破解的系统。另一方面，物理学家和计算机科学家则希望制造出量子计算机。与此同时，人们也发现了Bennett 与 Brassard提出BB84协议的重要性。

Peter Shor丨图源：news.mit.edu

Brassard在获得前沿知识奖（Frontiers of Knowledge Awards）后接受采访时回忆道：“Shor摧毁了所有其他东西之后，我们工作的重要性才变得更加明显。这点很有意思，因为1984年量子理论带来了最安全的保密性。十年后，同样的量子理论挑战了所有当时部署的保护互联网的加密系统。”

Peter Shor 1959年出生在美国纽约，他在高中期间获得国际数学奥林匹克竞赛银牌，1985年在MIT获得应用数学博士，毕业后在加州大学伯克利分校进行博士后研究，随后在贝尔实验室工作，正是在此期间他开发了Shor算法。一次，Bennett来到贝尔实验室展示BB84协议，Shor第一次听说量子通信就被迷住了。他最初的兴趣点在于如何数学上证明BB84的安全性，但随后他的研究转向了一个更具颠覆性的问题：如何利用量子特性加速计算本身。

Shor算法

1994年，Shor首先提出了一个量子算法，可以指数级加速解决离散对数问题。这个突破已经足以对现有加密体系构成威胁。有趣的是，Shor在贝尔实验室做过报告后，传出谣言，称他解决了更棘手、对全球安全影响更大的素数因子分解问题。更令人惊讶的是，随后的四天内，Shor真的完成了概念扩展，找到了解决素数因子分解的量子方法，这便是今天的Shor算法。

Shor算法主要包括两个部分：经典部分和量子部分。经典部分将整数因式分解问题转化为寻找一个特定函数的周期问题；量子部分则利用量子计算的并行性和干涉性，快速找到该函数的周期，从而实现因子分解。

经典计算机上分解大整数N的最快已知方法是通用数域筛选法（General Number Field Sieve, GNFS），其运行时间是关于N的位数L的亚指数时间，随着L增加，所需计算时间呈指数级增长。目前认为按GNFS方法破解RSA-2048（二进制位数）是不可行的，以2009年破解RSA-768的算力估计需要6400万亿年；而如果用量子计算机，在数百万到数千万量子比特的情况下只需要数小时到数天时间。（当然，这一量级的量子比特在短期内也难以实现，所以RSA-2048仍被认为是安全的公钥加密方案之一。）

寻找r则是计算最为关键，也是最为困难的部分。这里Shor利用量子并行性（Quantum parallelism；同样基于量子叠加性和纠缠性），在一个叠加态中同时计算所有可能的值，再应用量子傅里叶变换，计算出隐藏在叠加态中的周期r。在解决离散对数问题时，Shor受Simon问题（Daniel R. Simon提出理论上量子计算机可以比）的启发，后者使用二进制矢量空间上的傅里叶变换来找出该矢量空间上某个函数的周期。而Shor引用了量子傅里叶变换，把量子态中隐藏的周期性转化为测量概率分布中的峰值，从而提取出周期r。

相比经典算法，Shor算法实现了指数级加速，也是量子计算优越性的最有力证明。

此外，由印度裔美国物理学家 Lov K. Grover于 1996年在贝尔实验室提出的Grover算法是又一关键进展。它展示了量子计算不仅能在特定问题上提供指数级加速（如Shor算法在因数分解问题中的表现），也能在通用搜索问题中提供平方级加速（quadratic speedup）——这意味着在某些“无结构搜索”任务中，量子计算机的效率可显著超越任何经典算法。两者共同构成了量子算法设计的核心。

量子计算的基石：量子纠错码

Shor算法发布之初，虽然其理论价值得到承认，但许多物理学家对其实用性表示怀疑，因为算法中的每个量子比特在计算过程中都必须长时间保持相干性，而真实的量子比特则远没有这么稳定。量子系统对噪声极其敏感，容易发生退相干和错误，任何微小的扰动都可能破坏其相干性，从而使计算结果随机化。要构建一个足以运行Shor算法的大规模、低错误率的量子计算机，在物理上似乎是不可能实现的。

而Shor本人也转向研究如何使量子计算具有容错性，并再次做出了一项具有里程碑意义的贡献，即量子纠错。1995年，Shor提出了第一个量子纠错（Quantum error correction，QEC）码。经典纠错通过简单复制信息实现冗余，但这在量子力学中是被不可克隆定理所禁止的。Shor的QEC通过将一个逻辑量子比特的信息以高度纠缠的方式冗余地编码在多个物理量子比特中，从而实现了对错误的隔离和修复，同时保持了量子相干性。Shor 最初设计的9比特量子纠错码，通过两次利用重复码来处理两种错误，即同时纠正一个量子比特的位翻转错误（bit-flip error）和相位翻转错误（phase-flip error）。这意味着可以使用9个物理比特来编码一个逻辑比特。（关于如何实现量子纠错可参见《量子计算的下一个超级大挑战》）

Shor在一次采访中回忆道：“每个人都认为量子计算机无法纠正错误，因为一旦你试图测量一个量子系统，你就扰乱了它。换句话说，如果你试图测量错误并纠正它，你就扰乱了它，计算就会中断。我的算法表明，你可以隔离并修复错误，同时仍然保持计算的完整性。”可以说，量子纠错码的提出与随后的一系列实验验证，首次证明了量子计算在理论上具备容错的可能性，为实用量子计算机的诞生奠定了基础。

结语

Shor的算法是量子计算领域的里程碑，让人们第一见到了量子计算的巨大潜力，而他提出的量子纠错码，也让量子计算不再只是理论游戏，而是可以撼动现实密码体系的力量。Shor与Bennett、Brassard的工作构成了量子信息科学中“矛与盾”的关系。Shor算法攻破基于数学复杂度的经典加密堡垒，促使安全领域将目光投放到基于物理定律的量子密码学，特别是BB84协议等量子密钥分发方法，以建立起新的防线，同时也促成了后量子密码学（Post-quantum cryptography，PQC）的诞生。

这三位科学家的成果拓展了科学的边界，让量子物理与计算机和信息科学在同一舞台上交汇，为量子信息发展奠定了基础，点亮了全新的技术时代。如今图灵奖授予Bennett和Brassard，可以说是对包括Shor在内的三位科学家跨越数十年的思想革命的最好注脚。

参考文献

[1] Brassard, Gilles. "Brief history of quantum cryptography: A personal perspective." IEEE Information Theory Workshop on Theory and Practice in Information-Theoretic Security, 2005. IEEE, 2005.

[2] https://www.cwi.nl/en/stories/cwi-interview-with-gilles-brassard-2022/

[3] https://news.mit.edu/2023/weird-weird-quantum-world-peter-shor-killian-lecture-0310

[4] Shor, Peter W. The early days of quantum computation. arxiv:2208.09964 (2022).

[5] ttps://www.frontiersofknowledgeawards-fbbva.es/noticias/the-bbva-foundation-recognizes-charles-h-bennett-gilles-brassard-and-peter-shor-for-their-fundamental-role-in-the-development-of-quantum-computation-and-cryptography/

[6] https://en.wikipedia.org/wiki/Quantum_error_correction

[7] 无邪, 谈量子通信前，先看看经典保密通信安全性几何？返朴

[8] 方粮, 刘汝霖, 汤振森, 等. 量子计算机: 量子算法与物理实现. 计算机工程与科学, 2012, 34(8): 32.

[9] 王向斌, 彭承志, 尹浩, 等. 量子保密通信的技术现状及安全性[J]. 物理, 2006, 35(02): 125-129.

特别提示

1. 进入『返朴』微信公众号底部菜单“精品专栏“，可查阅不同主题系列科普文章。

2. 『返朴』提供按月检索文章功能。关注公众号，回复四位数组成的年份+月份，如“1903”，可获取2019年3月的文章索引，以此类推。

版权说明：欢迎个人转发，任何形式的媒体或机构未经授权，不得转载和摘编。转载授权请在「返朴」微信公众号内联系后台。