基于量子遗忘传输与比特承诺的实验性安全多方计算

在合作中保守秘密

现代生活依赖共享数据，但许多组织无法简单地合并信息而不冒隐私、安保或法律风险。本文展示了如何利用量子物理的思想，使银行等机构能够在不实际披露各自客户记录的情况下，就敏感任务（例如发现重叠的欺诈案件）开展合作。

为什么私密联合计算很重要

许多重要问题需要多方在其合并数据上进行计算，同时保持每方输入的机密性。这个广义概念称为安全多方计算，是金融、机器学习甚至基因学中隐私保护工具的基础。例如，银行可能希望比较可疑账户名单，医院可能希望共同分析病人数据，而不暴露完整数据库。此类任务的核心构件之一是称为“遗忘传输”的数字原语：其中发送方持有两条消息，接收方恰好学习其中一条，而发送方永远不知道被选择的是哪一条。

经典安全遇上量子时代

传统的遗忘传输方案依赖于当今计算机难以解决的数学问题，例如大整数分解。然而，这些问题可能被未来运行肖尔算法的量子计算机攻破，从而威胁到当今的大部分密码学。量子密码学提供了一种替代方案：它不仅仅依赖数学难题，而是利用量子物理定律来限制窃听者能获取的信息。但此前的量子遗忘传输实验仅在攻击者的量子存储存在噪声或极度受限时才安全——随着量子硬件的进步，这一假设可能不再成立。

在实验室构建量子安全的遗忘传输

作者在实验中实现了一种新型量子遗忘传输，即便攻击者拥有强大的量子存储，只要其计算被限制在现实（多项式）时间内，该方案仍对其安全。他们的装置改编了基于微弱激光脉冲和诱饵态的著名量子密钥分发设计。一个设备（爱丽丝）向另一个设备（鲍勃）通过光纤发送单光子级别的光脉冲，脉冲的偏振由随机选择。鲍勃以随机方式对每个脉冲进行测量，然后使用一种标准的密码学技术——比特承诺，来锁定他的测量选择和结果，在得知爱丽丝如何制备脉冲之前进行绑定。如果鲍勃事后试图更改其说法，一个精心设计的检测将几乎肯定揭露作弊行为。

系统如何保持诚实且务实

实验仔细考虑了真实硬件的缺陷，例如缺失光子和由噪声导致的偶发比特翻转。协议包含对整体探测率的测试，以捕捉鲍勃可能尝试保留额外光子并在稍后测量以获取超出应有信息的复杂攻击——这类似于已知的针对量子密钥分发的攻击方法。随后使用纠错码和隐私放大，使得鲍勃只能学习到单条消息且几乎无法获得关于另一条的任何信息，而爱丽丝永远无法知道他选择了哪一条。研究者还估算了一个不诚实的鲍勃通过合并各种可能技巧来击败系统的难度。按他们的参数，即便仅成功作弊一次，平均也需要约120,000年连续尝试，使现实世界中的攻击实际上不可能实现。

在不共享全部信息的情况下找出共同的欺诈目标

借助这一稳健的遗忘传输原语，团队演示了一个具体的金融应用：私有集合交集。在此任务中，两家银行希望找出哪些账户标识在彼此记录中同时出现——例如，一家银行的可疑账户黑名单与另一家银行的活跃客户名单——而不泄露其他任何账户。通过将量子遗忘传输集成到一种称为遗忘伪随机函数的高效协议中，他们展示了各银行如何将数据转换为混淆令牌，比较这些令牌并仅发现重叠条目。他们的实验使用模拟和真实银行数据，处理的集合规模可达每方十万项，通信量在几十兆字节量级，且在标准高速网络上处理时间低于半秒。

这对未来安全计算意味着什么

这项工作首次展示了使用量子遗忘传输来解决现实的多方计算问题，将量子密码学从密钥交换推进到实用的数据分析任务。由于其安全性建立在基本哈希函数和单光子的物理特性上——而非量子计算机可能破解的数论问题——它为隐私保护协作提供了更具未来抗性的基础。换言之，它指向一个前景：机构可以在保护其余信息不被泄露的情况下，安全地就敏感信息（如欺诈模式或病历）进行“比对”。

引用: Zhang, KY., Huang, AJ., Tu, K. et al. Experimental secure multiparty computation from quantum oblivious transfer with bit commitment. npj Quantum Inf 12, 76 (2026). https://doi.org/10.1038/s41534-026-01219-w

关键词: 量子密码学, 安全多方计算, 遗忘传输, 私有集合交集, 金融数据隐私