偶然相遇——隨機數傳奇

劉安立

美國洛斯阿拉莫斯國家實驗室鳥瞰照。

如果不是因為隨機數短缺，歷史上最有名的一個間諜網恐怕就永遠不會暴露。這一短缺發生在1941年末，也就是第二次世界大戰開始兩年后。當時，希特勒的軍隊企圖踏平莫斯科，蘇聯領導人斯大林下令重要人員撤離該市。在隨后的混亂中，蘇聯情報機構、克格勃的前身——內務人民委員部（簡稱NWD）犯了一個錯誤，導致試圖滲透美國絕密計劃——“曼哈頓”（美國原子彈研發計劃）的蘇聯間諜全軍覆沒。

上述錯誤與NKVD的密碼冊有關。這些密碼冊都只一次性使用。它們運用隨機數擾亂字母、單詞和短語組合順序。任何一次性密電的隨機數密鑰都只有密電發送和接收者知道。沒有密鑰，就不可能解讀加密電文。一次性密碼使用一次就銷毀，如果使用得當，密電就完全不會被破解。但制作隨機數密鑰需要印刷大量隨機數。外界無人知道蘇聯人怎樣產生隨機數，畢竟當時計算機還處在雛形階段。有一種說法是，NKVD雇傭一批女性在一個房間里隨機說出數字。還有一種說法是，NKVD使用了一種類似彩票機的裝置，利用號碼球形成隨機數。

這類證據證實了維羅納計劃的有效性

據退休女物理學家簡后來回憶，蘇聯當時無法快速制造所需的足夠隨機數。面對加密數萬份密電的需求，NKVD官員圖省事，印制了超過3.5萬張復制的隨機數密鑰分配給戰地間諜。這一致命錯誤讓美國譯碼員通過尋找加密電文中的重復模式，破譯了原本牢不可破的密電。

兩年后，即1943年，美國軍方的信號情報局（國家安全局的前身）開始執行旨在監視蘇聯外交電報的“維羅納”計劃。1946年12月，年輕的美國語言學家及譯碼員加德納破譯的一份密電中提到了參與“曼哈頓”的美國科學家名字。這最終導致向蘇聯泄露美國原子彈計劃的所有間諜曝光，其中包括在1953年被處決的一對夫婦。“維羅納”在美蘇冷戰中的重要角色直到1995年才為公眾所知，當時該計劃被最終解密。

簡告訴記者，直到1980年，美國情報部門依然通過“維羅納”破譯蘇聯密電。簡的丈夫理查也是洛斯阿拉莫斯國家實驗室的退休物理學家。“二戰”期間，就連洛斯阿拉莫斯鎮的存在也是高度機密，參與“曼哈頓”的科學家均使用當地的同一個郵箱。

網絡安全隱憂

目前產生隨機數的方式不可持續，網絡并非那么安全。那么，能否找到一種不怕黑客破壞的隨機數產生方式？

簡和理查都對隨機數的現狀感到擔憂。一個鮮為人知的事實是，如果沒有隨機數，國際互聯網和全球大部分經濟都無法運作。作為網絡安全的源泉，隨機數保護著從國家電網到機票銷售的一切事物。就像間諜使用的一次性密鑰，聯網電腦互發隨機數作為密鑰來解鎖數字密碼。當然，電腦密碼不是為了保護間諜身份不被泄露，而是為了加密網上密碼、信用卡數據等等。

其實，你每次在網站購物或輸入信用卡信息，你所使用的電腦都會從其核心部位產生一個隨機數，它把你與電腦的交互和你的身份與任何他人與電腦的交互及其身份區分開。雖然隨機數導致經濟崩潰的危機并非迫在眉睫，但產生隨機數的技術顯然已難以跟上互聯網流量的無限制增長。諸如亞馬遜這樣的巨型網絡零售商的電腦，可能需要同時處理上萬樁交易，其中每一樁都需要一個獨特的隨機數密鑰。6年前的一項研究發現，在互聯網使用的近2.7萬個密鑰（抽樣樣本）實際上不是隨機數，因而無法抵御黑客侵襲。所以，目前產生隨機數的方式是不可持續的，網絡并不像人們以為的那么安全。

能否找到一種不怕黑客破壞的隨機數產生方式？這一任務比聽起來要困難些。

隨機數發生器

隨機性必須具有不可預測和不可復制特征。隨機性的本質特征是可重復，即兩種概率相等的狀態中有一種可能出現得多得多。

究竟什么是隨機數？計算機怎樣產生隨機數？隨機性并不總是容易識別。考慮這串數字：1.41421356237309504880168872420（簡稱數字串A）。它看起來當然是隨機的——它沒有任何可識別的模式。任何隨機數都必須滿足的標準之一是：隨機數串當中每一個數都獨立于它之前那個數（比如不能是1248，因為這個數字串中每個數都等于它前面那個數乘以2）。數字串A顯然符合隨機數的這個標準。但數字串A并未達到密碼學所要求的隨機性程度。雖然看起來是隨機分布的，但數字串A是可預測的：它是2的平方根。因此，數字串A不能被用作一個密鑰來加密數據——任何懂一些數學的人都能識別這串數字。為了高水平安全，只有復雜性是不夠的，還必須有不可預測性和不可復制性。

彩票開獎基本上是一種隨機數發生過程。

大多數人都對隨機性的本質有所見識。人的直覺在隨機性王國中失敗的一個經典例子被稱為“賭徒悖論”，即相信過去的結果會影響未來的結果。例如，如果前10次拋硬幣的結果都是落下來的硬幣正面朝上，那么你很容易相信第11次的結果是反面朝上。但實際上，正面或反面朝上的概率均為50%。西方人在不經意間對“賭徒悖論”的信奉，毫不奇怪讓許多賭場賺了大錢。這方面的一個著名案例出現在1913年8月18日的摩納哥（歐洲西南部國家）蒙特卡羅賭場。當時，一只輪盤（賭博工具）的輪子連續26次停在黑色位置。在此過程中，賭徒們不斷加倍對輪子停在紅色位置的下注額。那一天，由于賭徒們對隨機事件不能重復的篤信，賭場簡直賺翻了天。事實上，既然是隨機的，就不是均衡的，如擲硬幣時反復多次出現正面向上的結果，而不出現或很少出現反面向上的結果。也就是說，隨機性的本質特征就是重復性，即兩種概率相等的狀態中有一種可能（重復）出現得多得多（這叫作偏倚）。

著名的呆伯特（卡通人物，身居斗室的生意圈里的平庸之輩）漫畫里有一幅畫的是呆伯特來到公司地下室，看到了公司的隨機數發生器。那是一臺巨大的機器，呆伯特坐在它面前說：“9，9，9……”有時候隨機數發生器也會如此發聲。這聽起來不是隨機的，但隨機數發生器不斷運轉，產生直覺根本想不到的很長的隨機數串。

就算是計算機，在產生隨機性方面也有麻煩。與人不同，計算機是程序化的，因而是可預測的。那么，程序化的計算機是怎樣產生無序（隨機性）的呢？今天的計算機依賴的是偽隨機數發生器，即利用計算機電子線路中的背景振動、并將這種靜電干擾轉換為數字的軟件。它們之所以被稱為“偽隨機數發生器”，是因為它們只是在模擬真正的隨機性的變幻無常。它們產生的數字或許看起來就像從存錢罐里倒出的硬幣一樣無序，但因為這些數字是通過軟件（程序規則）設計出來的，所以它們并不真正是隨機的。偽隨機數只是很復雜，而不是隨機的。

輪盤及其轉輪（賭博用具）。

早期輪盤賭徒對隨機性認識不足。

因為是偽隨機數，所以總有一種可能性——有了計算機程序的足夠的輸出數據，黑客就可能弄清程序的算法規則來產生數字。例如，2010年有黑客利用一個設計不佳的偽隨機數發生器突破了索尼“PS3”游戲機的安全防范，從而可能讓任何有足夠專業知識者在這種游戲機上運行盜版游戲。2016年，美國艾奧瓦州一名彩票商的安全負責人被控操縱彩票開獎裝置的偽隨機數發生器，在6年時間里詐騙了1430萬美元。這個技術黑客之所以引起懷疑，正是因為他贏了太多彩票大獎。

黑客們的這些“業績”，暴露出現有隨機數發生器的一大弊端。在這些偽隨機數事件背后都存在信任鏈。信任鏈的一部分是：你是否相信正在被使用的隨機性？理想情況是，這種信任被徹底消除，換句話說，就是實現完全的隨機。簡已經發明了一種獨特的隨機數發生器，它是一個與計算機電路板連接的小盒子。已經有一些虛擬主機公司、銀行和數據中心購買了這種發生器。這種名為“信息熵引擎”的隨機數發生器，運用的是一種真正的隨機性來源——光子（光線中的粒子）的混亂（隨機）碰撞。如果獲得推廣，信息熵引擎將大大增強互聯網安全。由于這種裝置有專利，簡不愿透露有關它的工作原理的過多信息，因此對她發明的隨機數發生器我們仍需要保留一點點“信任”，也就是說它的隨機性仍不完整。說到完全無需信任的完整隨機性，目前只有一項設計于半個世紀前的測試能做到。該測試的設計者證明——愛因斯坦錯了。

挑戰愛因斯坦

愛因斯坦不相信宇宙基本上是隨機的，認為光速不可超越。但量子力學認為宇宙是隨機的，光速可以被超越。究竟孰是孰非？

在美國標準技術國立研究院（位于美國科羅拉多州博爾德）的這間實驗室的門上貼著一張黃黑色相間的警告：“小心！局部真實違反正在進行。”其實門背后并沒有什么危險，但這里進行的實驗的確危及了我們對“真實性是什么”的認識。

從2012年開始，摯愛搖擺舞的物理學家蕭穆（他用林迪舞來說明量子理論的原則）及其同事一直致力于建造一部非常了不起的隨機數發生器。這部發生器會讓愛因斯坦感到挫敗，因為它證實愛因斯坦嘲諷的“鬼魅般的超距力作用”（簡稱超距作用）是真實的存在。

愛因斯坦從未全盤接受過量子力學。作為一種理論，量子力學描述宇宙中原子、質子和其他所有粒子的特性。愛因斯坦因為隨機性在量子力學中的核心作用而非常困惑。20世紀初發展出來的量子力學，完全推翻了由牛頓遺贈給我們的有序、可預測的宇宙。按照量子力學，在被實際測量之前，粒子不具備任何特定速度、能量或位置。在被測量之前，粒子的特性只能以概率來描述。與牛頓力學的確定型規則不同，量子力學描述的是事物發生的頻率。

這并不只是說我們不知道一個粒子的位置。量子理論暗示的是還要極端得多的東西：在我們觀察粒子之前，粒子實際上根本就沒有一個固定位置。在我們觀察粒子之前，一個粒子同時占據許多位置。在量子理論中，真實性就像輪盤賭的轉輪，只不過那只小小的白球“占據”輪子上的每個數字，只是在輪子停止旋轉而我們開始觀察時，小白球才在一個數字上“崩潰”。愛因斯坦不相信宇宙基本上是隨機的。他的一句名言是：“上帝不摔骰子。”

更讓愛因斯坦感到不安的是量子糾纏現象，即一個粒子能瞬時影響另一個粒子，就好像它們被無形的線連接，哪怕是這兩個粒子位于宇宙的面對面。這種超距糾纏作用蔑視愛因斯坦狹義相對論的基本原則（即任何物體的速度都不能超越光速）。這讓愛因斯坦確信量子力學站不住腳，由此指向一種更全面的理論。他說，這種糾纏可以用隱藏變量（決定粒子交互、但尚未被發現的規則）來解釋。他感覺，未來一些理論將最終描述隱藏變量，從而證明他的推測。

對愛因斯坦來說更重要的是，他所預測的隱藏變量只具有局部效應——隱藏變量不能違反由光速強加的限制。如果粒子的確有隱藏變量，就意味著它們在被測量前必須擁有至少一些確定特性。物理學家現在稱愛因斯坦的這個觀點為“局域實在”。之所以叫“局域”，是因為不涉及超光速的超距作用。之所以叫“實在”（真實），是因為無論是否被觀測到，粒子的特性都是永恒的。

重復貝爾實驗

多次量子力學“拋硬幣”實驗，最終證實了超距作用和真正的隨機性。那么，是怎樣證實的呢？

有關量子糾纏和隱藏變量的爭論幾十年來沒有解決。1964年，來自北愛爾蘭、在歐洲核研究中心（位于日內瓦附近）工作的36歲物理學家貝爾，提議進行一項能測試愛因斯坦狹義相對論的實驗。蕭穆認為，貝爾實驗很復雜，但它基本上是拋硬幣的量子力學版本：光子替代硬幣，偏振現象替代硬幣正面或反面。

貝爾實驗真的很折磨人。2015年，蕭穆開始進行這種實驗。這年秋季，當他和同事開始取得實驗結果時，他結婚了。結婚日清早，他醒來后又進行了數據分析和一系列計算。

北愛爾蘭著名科學家貝爾（192B-1990）。

在拋硬幣游戲中總有作弊的可能，比如作弊者設法讓硬幣的一面變得重些。測試硬幣是否作弊（即測試偏倚）的唯一方法是反復許多次拋硬幣。如果拋的次數很多，而硬幣沒有作假，那么硬幣正反面出現的次數應該相等。貝爾的偉大見解是：對糾纏粒子的反復測量可能揭示自然的偏倚——如果自然允許超距作用，那么某些實驗結果（例如相關性）就會比在愛因斯坦隱藏變量理論為真的情況下出現得更頻繁（重復性強），從而就能證明事物的確是隨機的。蕭穆認為，量子力學是一種統計理論，而不是拋一次硬幣看結果。

貝爾實驗在幾十年中進行過許多次。但只在最近幾年來，光子探測器及其他光學設備才變得足夠敏感，從而能進行結論確定的實驗。現在的實驗設備包括：產生光子的激光器、放大光子的特制水晶、用以分離光子的過濾器和透鏡、讓糾纏光子對分離而讓各個光子進入不同探測器的光纜。

量子力學告訴我們，光子既是波又是粒子。隨著光子波迅速通過安裝在實驗大廳墻壁和天花板上的光纜，光子波以不同模式振動，這就是偏振。它們可以水平、垂直或傾斜地偏振。光子的不尋常在于，任何單個光子都可分解成兩個糾纏的子光子，而這兩個子光子的偏振是不同的。比如，如果一個子光子垂直偏振，另一個就必須水平偏振。

在美國標準技術研究院進行的實驗中，兩部分開的探測器被獨立設定程序，目的是隨機選擇怎樣測量一個到來的光子：是尋找垂直偏振（這需要一種光學偏振器）還是水平偏振（這需要另一種光學偏振器）？那么，這種尖端實驗使用什么隨機數發生器？原來，他們把圓周率、電影、電視劇數據一起粉碎，產生一種很好的二進制隨機數。這部分實驗等同于定義硬幣的正反面。很重要的是，兩部探測器相隔足夠遠（大約180米）。這樣一來，兩部探測器之間有關測量選擇的任何通訊都必須超過光速。這就排除了對實驗結果進行任何常規、非超距作用解釋的可能性。

站在其中一部探測器旁邊，蕭穆難以掩飾自己對這部裝置的敬畏。這種探測器是由蕭穆的上司（也是一位物理學家）設計的。蕭穆將其比喻說，讓光子進入探測器就好像是量子箭術。兩部探測器都位于一個發光的圓柱罐里，液氦把罐子溫度降到絕度零度之上不到1度。光纜引導光子進入罐中，飛向嵌在一個芯片（寬度僅為幾十億分之一厘米）上的一根電線。經過科學家的一系列設計，來自一個光子的熱量就足以升溫電線。當電線升溫，會發出滴答聲。在超過9096的時間里，當一個光子擊中一部探測器時，它都被探測到。這真是一個很了不起的成就。

如果超距作用是真實的，那么由兩部探測器進行的偏振測量就會高度相關，比只有隱藏變量情況下的相關性高。也就是說，一部探測器對于一個分解光子是水平還是垂直偏振的測量看來會影響另一部探測器對另一個分解光子的探測結果，反之亦然。例如，如果第一部探測器測量到的主要是水平偏振，那么另一部探測器就可能記錄到更多的垂直偏振。與拋硬幣類比，這就意味著在上萬次拋硬幣中，幾乎每一次一個房間里的一個人得到硬幣正面，另一個房間里的一個人都得到反面，但這在實際中是極不可能的。

然而，美國標準技術研究院的實驗結果，以及最近在歐洲進行的兩次貝爾實驗結果，恰恰證明了這種“極不可能”在量子世界是真實的。大自然是偏倚的，量子“硬幣”青睞量子糾纏。經過幾萬次測量，蕭穆他們幾乎可以肯定量子“硬幣”是偏倚的，理由是他們發現的相關性比預計的還強，而隱藏變量理論產生同樣結果的概率只有十億分之一。由此，超距作用和真正的隨機性被證實，對光子的任何測量結果都不可能被提前預測。這就說明雖然局域實在理論對于像愛因斯坦這樣的經典物理學家來說頗有安慰性，但它實際上是錯的。

隨機性真實

在被測量之前數量并不存在這個事實，意味著不可能在某個時點之前盜竊隨機數！利用此，可能產生萬無一失的隨機數。

有科學家認為，這些最近的實驗在已經名存實亡的局域實在理論的棺板上打上了釘子。這些實驗的結果確定無疑地證實了物理學界已經知道了幾十年的東西——量子力學是正確的，遵從局域實在原則的經典物理理論是錯誤的。

說局域實在理論是錯的，意味著什么？貝爾實驗證明，我們對于真實性的常規觀點需要修訂。像光子這樣的粒子的特性在被測量之前不僅對我們來說是未知的，而且對于大自然來說也是未知的：量子“輪盤球”真的是“分布于”每個數字上的。一位物理學家指出，物理學已踏足聽起來就像是哲學家已經辯論了成千上萬年的問題：真相的本質是什么？事物是否在你測量它們之前就具有特性？對于這后一個問題，答案是否定的。

一種隨機數發生器。

除了哲學意義之外，這些實驗結果對密碼學的意義也很大。在你進行測量之前數量并不存在這個事實，是隨機數發生器的一個極好特點，因為它意味著某個人不可能在某個時點之前盜竊隨機數，這又是由于要盜竊的隨機數甚至還不在那兒！

未來幾年里，蕭穆及其同事計劃運用他們的實驗結果作為由美國標準技術研究院批準的隨機數燈塔。他們希望最終每分鐘產生512位隨機數串。這樣的隨機數串是萬無一失的，因而將有廣泛用途，例如決定讓孩子上哪所學校，或確定使用什么投票機。

具有諷刺意味的是，沒有正規數學證據來保障任何數字串的隨機性。就算是數學也有自己的局限。最終，看來對信任鏈的終結在于我們對終極鏈接——量子力學的信心。

即使作為理論物理學家，貝爾依然以非常實際的眼光來看待事物。這讓他一直保持理性，讓他不會偏離到哲學領域。理查認為，正是理性導致貝爾問了一些非常深奧的問題。例如：我能不能做實驗來測試世界上是否存在隱藏變量？世界是否按照量子力學運作？難怪正是貝爾證明了愛因斯坦的狹義相對論是錯的。

無論好壞，大自然真的在“投骰子”。