如果不是因为随机数供应短缺,历史上最臭名昭著的间谍网络之一可能永远不会被曝光。短缺发生在1941年末,即第二次世界大战开始两年后。随着希特勒的入侵军队即将攻占莫斯科,苏联领导人(兼前银行劫匪)约瑟夫·斯大林命令主要人员撤离首都。随后的混乱中,斯大林的情报机构,克格勃的前身——内务人民委员部(NKVD)犯了一个错误,这个错误将注定所有渗透到曼哈顿计划(美国建造原子弹的绝密计划)的苏联特工的命运。
这个错误与内务人民委员部的密码本有关,这些密码本被称为一次性密码本,它们使用随机数来打乱字母、单词和短语。任何特定一次性密码本的随机数密钥只有发送者和接收者知道。没有它,加密的信息就无法解密。顾名思义,一次性密码本旨在只使用一次然后销毁。如果使用得当,它们是完全无法破解的。但制作它们需要费力地印刷大量随机数。没有人确切知道苏联人是如何生成随机数的——计算机当时还处于起步阶段。据一些记载,内务人民委员部雇佣了一屋子妇女随意地喊出数字,或者他们可能使用了类似彩票机的东西,带有编号的球。已知的是:他们的方案未能满足需求。
“苏联无法足够快地生成随机数并将其分发到所有需要它们的地方,”新墨西哥州洛斯阿拉莫斯国家实验室(曼哈顿计划所在地)的退休物理学家简·诺德霍尔特说。面对需要加密数万条信息的情况,内务人民委员部官员走捷径:他们印刷了超过35,000页重复的随机数密钥,并将其分发给外勤特工。这个决定性的错误让美国密码学家通过在加密信息中发现重复模式来破解苏联密码,否则这些信息将无法破解。
两年后,1943年,美国陆军信号情报局——国家安全局的前身——启动了一项名为“维诺娜”的秘密计划,用于监听苏联外交电报。该计划于1946年12月取得成效,当时一位才华横溢的年轻语言学家和密码学家梅里迪思·加德纳解密了一份提到参与曼哈顿计划的美国科学家姓名的电报。他的工作最终揭露了所有向苏联泄露美国炸弹制造计划的间谍,包括夫妇朱利叶斯和埃塞尔·罗森堡,他们于1953年因叛国罪被处决。“维诺娜”在冷战中的关键作用一直对公众保密,直到1995年该项目最终解密。
凯莉·耶格尔
“他们一直在用维诺娜解密东西,直到1980年,”诺德霍尔特告诉我,她在新墨西哥州圣达菲一个温暖的七月下午讲述了维诺娜的故事。我们和诺德霍尔特的丈夫理查德·休斯(也是洛斯阿拉莫斯国家实验室的退休物理学家)坐在城市古老的殖民广场的长凳上。就在一个街区以东,矗立着一座单层17世纪的土坯建筑,曾是曼哈顿计划的行政办公室;现在,一家销售西南纪念品的小店占据了那个空间。二战期间,洛斯阿拉莫斯镇的存在本身就是一个秘密,项目研究人员使用圣达菲的一个邮政信箱号码进行所有通信。
诺德霍尔特向我讲述了“维诺娜”事件,因为她对随机数思考了很久,她和休斯开始感到担忧。这里有一个鲜为人知的事实:互联网——以及世界大部分经济——离不开随机数就无法运作。它们是网络安全的基础,保护着从国家电网到机票销售的一切。就像苏联间谍使用的一次性密码本一样,联网计算机相互发送随机数字作为解锁数学密码的密钥。只不过这些密码不是在保护间谍的身份——它们正在加密在线密码、信用卡数据等等。
“每次你在亚马逊上购买东西或输入信用卡信息时,你的电脑——在其内部深处——都会生成一个随机数,这是区分你的交互和身份与其他交互和身份所必需的,”洛斯阿拉莫斯国家实验室的物理学家、休斯和诺德霍尔特的同事雷蒙德·纽厄尔说。
尽管随机数引发经济崩溃的危险并非迫在眉睫,但生成随机数的技术正努力跟上互联网流量的持续增长。像亚马逊这样的大型在线零售商的计算机可能同时发生数千笔交易,每笔交易都需要交换一个独特的随机数密钥。六年前,一项研究发现,互联网上使用的一小部分但数量可观的密钥根本不是随机的。其中近27,000个密钥——大约每1,000个公钥中有4个——无法提供免受黑客攻击的安全保障。纽厄尔说,现在生成随机数的方式“是不可持续的。它不像人们声称的那样安全。”
事实证明,有一种方法可以创建对黑客免疫的随机数——这项任务实际上比听起来更难。
定义随机
到底什么是随机数?电脑又是如何制造它们的?我在圣达菲广场附近的一家咖啡馆里,一边品尝着辣椒热巧克力,一边向休斯和诺德霍尔特提出了这些问题。柜台前,顾客们漫不经心地用塑料卡支付,丝毫没有察觉到正在为他们工作的随机数。
随机性并非总是易于识别。考虑以下数字串:1.41421356237309504880168872420。它看起来确实是随机的——没有可辨别的模式。而且它满足了休斯告诉我的随机数字串必须具备的一个标准:串中的每个数字都独立于它前面的数字(不像这个数字串:1248,其中每个数字都是其前一个数字的倍数)。但是,这个长数字串未能达到密码学所需随机性水平的关键标准。尽管表面如此,整个数字串都是可预测的:它是2的平方根。因此它不能用作编码数据的秘密密钥:任何有数学背景的人都会认出这个数字。对于高安全性,仅凭复杂性是不够的。休斯说:“你需要不可预测性和不可复制性。”
简·诺德霍尔特和理查德·休斯,两位前洛斯阿拉莫斯物理学家,担心互联网可能用尽随机数。图片由简·诺德霍尔特和理查德·休斯提供
简·诺德霍尔特和理查德·休斯
我们大多数人对随机性的真正本质知之甚少。一个经典的例子说明我们的直觉在随机领域如何失败,被称为赌徒谬误,即认为过去的结果会影响未来的结果。例如,如果一枚硬币前10次都正面朝上,那么很容易认为第11次很可能是反面朝上。但是反面朝上的概率仍然固定在50%。人们不知不觉地接受赌徒谬误,不出所料地让许多赌场赚得盆满钵满。一个特别戏剧性的案例发生在1913年8月18日,在摩纳哥的蒙特卡洛赌场,当一个轮盘连续26次停在黑色时。在那个侥幸的连胜中,玩家开始大量押注红色,将他们的赌注加倍甚至三倍,结果却在接下来的几轮转动中损失更大。赌场当天凭借赌徒们认为随机性不可能重复的信念赚了数百万法郎。
“有一幅《呆伯特》漫画,呆伯特来到公司的地下室,遇到了公司的随机数生成器,那是一个小怪物,”休斯说。“它就坐在那里说,‘九,九,九……’有时随机数生成器会那样。那听起来不‘随机’,但你可能会得到相当长的重复数字序列,比直觉所暗示的要长。”
甚至计算机在随机性方面也有困难。不像我们,它们是“被设计”成可预测的;它们被编程了。那么,如何才能从一台确定性机器中引出无序呢?今天的计算机依赖于所谓的伪随机数生成器,这是一种利用计算机电路中自然背景抖动并将这种静态转换为数字串的软件程序。它们被称为伪随机数生成器,因为它们只模仿真实随机数的反复无常。它们产生的数字可能看起来像从存钱罐里洒出的硬币一样杂乱无章,但由于它们是由算法(一套规则)创建的,所以它们并非真正不可预测。纽厄尔说:“它们是‘复杂的’,而不是随机的。”
对于伪随机数,总是有可能出现一个技术高超的对手,只要有足够的程序输出,就能找出它生成数字所用的规则。例如,2010年,黑客利用设计不当的伪随机数生成器,破解了索尼PlayStation 3的安全系统,这个漏洞使得任何有足够专业知识的人都能在该设备上运行盗版游戏。2016年,爱荷华州一家彩票供应商的前安全主管因操纵游戏的伪随机数生成器,在六年间获得了1430万美元,而被定罪。(这位犯罪主谋显然未能预料到他通过在他工作的彩票中赢得数百万美元可能会引起的怀疑。)
这些漏洞揭示了现有随机数生成器的一个根本问题。“幕后有一条信任链,”休斯说,“这条链的一部分是,你信任正在使用的随机性吗?一切的基础都是信任。”理想情况下,信任应该完全从这项工作中移除。
诺德霍尔特本人发明了一种独特的随机数生成器,一个可以安装在电脑电路板上的小盒子。它已经被推广给网络托管公司、银行和数据中心。这个被称为“熵引擎”的设备利用了真正的随机性来源——光子(光粒子)的混沌扰动——来生成数字。如果广泛使用,它将大大提高互联网的安全性。然而,由于该设备是专有的,诺德霍尔特不能过多谈论它的工作原理,因此即使是她的设备,也仍然需要一定程度的信任。谈到随机性,只有一种方法可以完全消除信任因素:一个半个世纪前由一个证明爱因斯坦错误的人设计的测试。
爱因斯坦,面对现实吧
我面前的实验室门上贴着一张黄黑相间的警告贴纸:“注意!正在发生局部实在性违反。”门后没有什么危险,但这里进行的实验确实构成了一种威胁——对我们理解现实是如何构成的一种威胁。
“整个实验就像一个巨大的掷硬币游戏,”克里斯特·沙尔姆说,他一直引导我穿过科罗拉多州博尔德国家标准与技术研究院的一系列长廊。自2012年以来,沙尔姆,一位NIST物理学家和狂热的摇摆舞者(他曾用林迪舞来阐释量子理论的原理),以及他的同事们一直在这里建造一种非凡的随机数生成器。他们的设备会让爱因斯坦感到困惑,因为它证实了一种他曾嘲讽地称之为“幽灵般的超距作用”的现象。
爱因斯坦从未完全接受量子力学,即描述原子、光子以及构成宇宙所有其他粒子性质的理论。困扰他的是理论中偶然性所扮演的核心角色。20世纪初量子力学的发展彻底颠覆了牛顿留给我们的有序、可预测的宇宙。根据量子力学,粒子在实际测量之前不具有任何确定的速度、能量或位置。在测量之前,它们的性质只能用概率来描述;与牛顿物理学的确定性规则不同,量子理论处理的是事物发生的频率。
NIST 物理学家 Krister Shalm 最近进行了一项贝尔实验的变体,发现爱因斯坦错了。J. Burrus/NIST
这不仅仅是我们自己不知道粒子位置的问题。量子理论提出了更激进的观点:在我们试图观察它之前,粒子实际上“没有”固定位置。在此之前,它同时占据许多位置。在量子理论中,现实就像一个轮盘赌,只不过小白球“散布”在轮盘上的每个数字上,只有当轮盘停止旋转我们观察时,它才会在单个数字上“坍缩”,正如物理学家所说的那样。爱因斯坦拒绝相信宇宙是根本随机的。“上帝不掷骰子,”他曾这样说过。(他可能还会补充说,上帝也不玩轮盘赌。)
更让他不安的是纠缠现象,即一个粒子可以瞬时影响另一个粒子,仿佛有无形的线连接着它们,即使这两个粒子位于宇宙的两端。纠缠的这种诡异作用违背了爱因斯坦狭义相对论的核心原则之一,即没有任何东西能比光速更快。这让爱因斯坦确信量子力学有所欠缺,并指出需要一个更全面的理论。他认为纠缠可以通过所谓的隐变量来解释——尚未被发现的控制粒子相互作用的规则。他觉得,未来的某个理论最终会描述这些隐变量并为他正名。
对爱因斯坦来说最重要的是,他提出的隐变量只具有局部效应——它们不会违反光速所施加的限制。而且,如果粒子确实具有隐变量,则意味着它们必须在测量之前就具有至少一些确定的性质。物理学家现在将爱因斯坦的观点称为局部实在论——“局部”是因为不涉及超光速的诡异现象,“实在论”是因为粒子的性质是永久的,无论是否被观察到。
凯莉·耶格尔
一个随机的现实
“这些最近的实验为一项早已被判死刑的理论盖棺定论,”斯科特·格兰西说,他是沙尔姆在贝尔实验中的合作者之一。“它们以最终和确定的方式证实了物理学界几十年来所知道的——即量子力学是正确的,而遵循局部实在论原理的经典理论是错误的。”
说局部实在论是错误的意味着什么?贝尔测试证明我们对现实的传统看法需要修正。像光子这样的粒子的属性在测量之前不仅对我们来说是未知的,对自然界来说也是未知的:量子轮盘赌球确实散布在所有可能的数字上。“物理学家们踏入了一个听起来像哲学家们争论了几千年的问题,”NIST盖瑟斯堡马里兰校区的物理学家艾伦·米格达尔说。“现实的本质是什么?事物在测量之前就拥有属性吗?”贝尔测试表明它们没有。
除了哲学上的意义,这些结果对密码学也很重要。“一个量在测量之前不存在——这将是随机数生成器的一个极好的特性,”米格达尔说。“因为这意味着在某个时间之前,任何人都无法窃取它,因为它甚至不存在可供窃取!”
欧洲核子研究中心物理学家约翰·贝尔想出了一种方法,来检验爱因斯坦关于量子力学不完备性理论的正确性。欧洲核子研究中心
在接下来的几年里,沙尔姆和他的同事们计划将他们实验的输出作为NIST官方认可的随机数信标。他们希望最终每分钟生成512位长的随机数字串。沙尔姆说,这些数字可以用于各种需要绝对可靠随机数的应用,比如决定哪个孩子上哪个学校,或者选择哪些投票机进行认证。“有很多这样的应用,这个信标将非常有用。”
具有讽刺意味的是,休斯说,当我们还在圣达菲喝着热可可时,没有任何正式的数学证明可以保证任何给定数字串的随机性。即使是数学也有其局限性。最终,信任链似乎止于我们对最后一个环节的信念:量子力学。
很快,诺德霍尔特和休斯将前往旧金山参加一个安全会议,在那里他们将谈论他们的熵引擎。尽管它没有通过贝尔测试,但它从同一个深不可测的量子井(尽管方式不同)中提取随机性,就像NIST的实验一样。而且它的优势在于不占用三个房间。
事实证明,休斯曾是约翰·贝尔在欧洲核子研究中心的导师。“当我在加州理工学院时,我的办公室与理查德·费曼的办公室隔着走廊。[同为诺贝尔奖获得者]穆雷·盖尔曼就在他隔壁。贝尔就是那个级别的人。尽管他是一位理论物理学家,但他对事物有着非常实用的看法。这让他非常脚踏实地。他没有偏离到哲学领域。我认为这促使他提出了非常深刻的问题。有没有一项实验测试可以告诉我世界是否有隐藏变量,或者它是否按照量子力学运行?他就是证明爱因斯坦错了的人。”
上帝,无论好坏,确实在掷骰子。
