Keynote by Martin Hellman at CCS 2016
請和我一起歡迎 Martin Hellman 教授,他將與我們談論網路安全、核武安全、Alan Turing 以及邏輯。[掌聲]
引言與個人轉變
好的,謝謝那段精彩的介紹,也謝謝組織委員會的出色工作,他們精心安排,讓我能如此輕鬆地來到這裡,讓我感到非常受歡迎。當然,也要謝謝 ACM Turing獎的評選委員會,沒有他們,我今天就不會在這裡演講。
這個獎項表彰了我 40 年前的工作,就像剛才指出的那樣,可以理解的是,自那以後我的工作方向有所轉變,我的重心已大不相同。事實上,我目前專注的最新專案是一本書,是我妻子和我剛完成的,副標題對於像這樣的研討會來說可能不太可能:《在家創造真愛,在地球實現和平》(Creating True Love at Home and Peace on the Planet)。所以這次演講將連結這兩個看似無關的領域,但第一個連結很容易:Turing獎附帶一百萬美元,這要感謝 Google,當然 Whit 拿一半,我拿一半,我妻子和我們很快就同意將我們那一半用於推動我們在建立一個更和平、更可持續的世界上的工作,也許最初,也是唯一的重心,就是我們剛寫的這本書。
所以,稍微推廣一下這本書——得注意眼鏡往下掉——如果你想買這本書,我希望你在聽完這次演講後會想買,儘管這次演講主要是關於密碼學。網站是三個詞連在一起:anewmap.com,你也可以從我 Stanford 的首頁進入,首頁上有連結,特別是最後一個連結會帶你到那裡。
但這是 ACM 資訊安全與通訊安全會議,不是 ACM 婚姻諮詢會議,也不是 ACM 和平會議。所以,我會從網路安全開始,只有在接近尾聲時才會簡要地將其與書連結。
DES與金鑰尺寸之爭
讓我們回到 1975 年 3 月,也就是《新方向》(New Directions) 問世的一年半前。當時,美國國家標準局(現在是 NIST,美國的國家標準局)在《聯邦公報》(Federal Register) 上發布了一份擬議的資料加密標準 (Data Encryption Standard),也就是我們今天所知的 DES。Whit 和我看了看這個標準,很快得出結論,它的金鑰尺寸——它的金鑰尺寸是值得質疑的。它有一個 56 位元的金鑰尺寸,這當然是一個非常奇怪的金鑰尺寸,這有點被掩蓋了,因為金鑰被指定為 64 位元,但演算法做的第一件事就是丟棄了 8 位元。所以即使你試圖使用全部 64 位元,你也不能。藉口是那些是同位元檢查位元,但那是一個非常糟糕的藉口。他們真正想要的是一個 56 位元的金鑰尺寸,那是因為我們結論,一個 56 位元的金鑰尺寸即使在 1975 年,或當然在幾年後當這個標準被廣泛使用時,都是可以透過窮舉搜尋破解的。
2 的 56 次方,也就是你必須搜尋的金鑰數量,大約是 10 的 17 次方,這是 100,000 百萬百萬個金鑰,這聽起來,特別是在 1975 年,像是個不可能搜尋的數字。但 Whit 我估計,你可以製造一個單一晶片,每秒可以搜尋一百萬個金鑰,如果你設計一個客製化晶片,你可以製造一百萬個這樣的晶片,那每秒你能搜尋多少金鑰呢?一百萬乘一百萬,對吧?10 的 12 次方。所以搜尋所有 100,000 百萬百萬個金鑰需要多久?只需要 100,000 秒,這比一天多一點。所以從數量級來看,搜尋這些金鑰空間大約需要一天。我們估計每個解決方案的成本約為 10,000 美元,我們注意到,即使我們估計差了一個數量級,也就是即使每個解決方案花費 100,000 美元,這在 5 年內也會因為摩爾定律的發展和計算成本的下降而被抹平。
一場主要的戰鬥隨之而來,因為起初我們只以為這是一個錯誤,我們試圖增加金鑰尺寸。但隨著時間的推移,越來越清楚這不是一個錯誤,而是一個設計特徵。並且是未公開的,這是因為美國國家安全局 (NSA) 想確保如果這個密碼被敵對者使用,他們能夠破解它。這當然從美國政府的角度來看是合理的,但這引發了問題,正如你可以想像的,這與今天 FBI 和 Apple 之間的爭論非常相似,我稍後會再提到。
公開金鑰加密與NSA的回應
DES 宣布後不久,Whit 和我提出了公開金鑰加密的概念,這讓 NSA 的問題更加嚴重,因為事實證明,相較於他們慣用的金鑰尺寸,56 位元實際上是一個相當大的金鑰尺寸。事實上,他們以前根本不需要加密,他們可以直接獲取未加密的資料並以非常低的成本進行搜尋。因此,即使是 10,000 美元一把金鑰對他們來說也是一個巨大的開銷。但我認為他們的理由——而且有證據顯示他們確實如此認為——是人們不會太頻繁地更換金鑰,因為更換金鑰太昂貴了,你必須派信使或掛號信。但公開金鑰加密允許人們一天換一次金鑰,或者如果他們願意的話,一分鐘換一次。所以這場戰鬥變得更加激烈。
公開金鑰加密被稱為革命性的,我不想阻止人們這樣稱呼它——請繼續這樣做——但我沒有時間深入解釋。我有一個專門的演講是關於公開金鑰加密的演進,聽完那個演講後,我會說你會想知道為什麼我們花了這麼長時間。在這裡,我只提一個例子,那就是「陷門加密系統」(trapdoor crypto system)。這個概念在公開金鑰加密出現之前,我們就有了一些想法,我們最初在軍事背景下看到了它。如果你是一位將軍,你希望你的部隊有安全的加密系統,但如果那個設備被敵人俘獲,你不希望他們能夠使用它,讓你一無所知。所以理想的軍事密碼系統是一個陷門加密系統,你知道陷門資訊而你的對手不知道,所以對他來說看起來是安全的,但如果它被你的對手使用,你就能破解它。從這裡到公開金鑰加密是一個相對小的步驟,而且我相當確定這在《密碼學的新方向》(New Directions in Cryptography) 一書中有所提及。所以這就是其中一個我說有跡象引導我們走向公開金鑰加密的例子。
Ralph Merkle 是一個可能你們當中很少人知道的名字,我想確保你們知道他。Ralph Merkle 當時是 Berkeley 的大學生,獨立於 Whit 和我進行研究,後來他在那裡攻讀碩士學位,他獨立地提出了公開金鑰分發的概念。他沒有數位簽章,但他有公開金鑰分發。因此,我們各自獨立發表了論文,因為他獨立於我們工作。這真的很不幸,因為他現在是公開金鑰加密領域中一位被嚴重低估的英雄。事實上,我在書桌邊想出來的演算法,大概是 1976 年 5 月深夜凌晨 1 點,現在被稱為 Diffie-Hellman 金鑰交換,我認為如果以名字命名,應該稱為 Diffie-Hellman-Merkle 金鑰交換,因為它是基於他公開金鑰分發方法的 Merkle 系統,而不是 Whit 和我最初提出的公開金鑰加密系統。
第一次加密戰爭與核心動機的反思
DES 金鑰尺寸之爭加劇了。1976 年 1 月,兩位 NSA 高層官員飛到加州,因為那時對我們來說已經很清楚,我們無法通過技術爭論來解決這個問題。這是一場政治鬥爭,我們必須去國會舉行聽證會,我們必須去媒體爭取新聞報導。當 NSA 獲知此事時,這兩位高層官員來了,我記得他們幾乎原話說:「請保持安靜,你們錯了,但請閉嘴。如果你們繼續這樣做,將會嚴重損害國家安全。」當然,這聽起來不合邏輯。他們真正的意思是:「你們是對的,但請保持安靜。如果你們繼續說你們正在說的,將會嚴重損害國家安全。」
這發生在水門事件揭露後僅僅幾年,所以像這樣的聲明在任何情況下都是值得質疑的,特別是在那個時間點。那天晚上我確實回家了,試圖弄清楚正確的事情該怎麼做。一方面,我的理智告訴我,NSA 不應該根據自己的利益來設定整個國家,甚至整個世界將要使用的安全級別,而且還是秘密進行,不告訴任何人,事實上還隱瞞真相。另一方面,這兩位 NSA 官員告訴我,繼續這條道路將會嚴重損害我的國家。
我沒有時間詳細說明,但在我妻子和我寫的那本書中有一個章節討論這個。我描述了當我坐下來試圖弄清楚正確的事情該怎麼做時,腦中突然冒出一個想法:「忘了對錯吧,你再也不會有比這更好的機會來影響世界了,放手去做吧。」這就是我所謂的「陰影動機」(shadow motivation)。它來自心理學中的「陰影面」(shadow side) 的概念,是我們個人和國家內部那些社會上如此不可接受的一面,以至於我們無法承認它們的存在,即使是在我們自己的意識中,但在潛意識層面,它們卻在驅使我們。
所以令人驚訝的是,這個陰影動機竟然以意識層面出現了。我將其比作電影中魔鬼出現在演員肩膀上低語的情景。就像那樣。我以為我拂去了肩膀上的魔鬼,做出了正確的決定。但是,同樣地,我沒有時間詳細說明,但在我們寫的這本書中有一個故事,我描述了五年後,觀看一部關於第一顆原子彈——曼哈頓計畫——製作過程的紀錄片。以及我認為曼哈頓計畫的科學家是如何欺騙自己的。他們都說他們研發這種可怕武器的動機是納粹德國和希特勒。然而,當希特勒被擊敗後,他們卻繼續工作。為什麼?
我回溯了一下——這是 1981 年,在我「魔鬼在肩膀上」的經歷發生五年後——我意識到他們可能做了我知道自己在 1976 年做過的事情。我沒有先弄清楚正確的事情該怎麼做,然後去做;我先決定了我想做的事情,然後去做,然後再想出合理的理由來解釋為什麼這是正確的事情。幸運的是,我做出的決定是正確的,隨著演講的進行,我們稍後會看到。甚至當時的 NSA 局長也承認這是正確的決定。
事實上,我現在就提一下。兩年前的一次採訪中,Admiral Bobby Inman,他在 1970 年代末擔任 NSA 局長,被問到:「那麼,以您現在所知,您還會試圖壓制 Hellman 的工作嗎?」他說:「恰恰相反,我會盡快將其推廣出去。」他引用中國竊取噴射戰鬥機設計圖的事件作為證明,說明我們需要強大的商業級加密來保護甚至美國的國家安全。但那完全是運氣好我做出了正確的決定。如果我當時在參與曼哈頓計畫,我肯定會像我認為那些科學家那樣欺騙自己。我發誓再也不犯那個錯誤了。但這不像聽起來那麼容易。書中還有一個故事,我同樣沒有時間詳細說明,涉及我與 Stanford 和 MIT 以及 RSA Data Security 之間的專利訴訟。當時我對他們非常生氣——順帶一提,我們現在是好朋友——但當時我對他們不支付我們發明的版權費非常生氣。當有人向我提出一個可能會傷害他們的提議時,我無法確定自己是否在欺騙自己。所以,我如何做出那個決定,如何確保自己沒有欺騙自己,這留待書中介紹。
學術出版自由與法律挑戰
所有這一切,我稱之為,事實上我們大多數人稱之為第一次加密戰爭 (first crypto war),這發生在 70 年代中期到末期,以及 80 年代初期,主要是關於出版自由的問題。幸運的是,那場戰爭已經贏得了。但我還要再告訴你們一個關於這件事的故事。
這是 1977 年 7 月,一位名叫 Joseph Meyer 的人,他是 IEEE 的成員,寫了一封信給 IEEE,當時我大部分論文——事實上是我所有的論文——都在那裡發表。他說,作為 IEEE 的成員,他擔心該組織出版某些論文違反了法律。這很有趣,人們在談論密碼學時——至少在那個年代,我不知道現在是否仍然如此——他們用暗語說話,他們不直接說他們的意思。所以他沒有說:「你們正在出版 Hellman 的論文」,但他列舉了五六期期刊,除了其中一期,我的論文都出現在每一期中。
IEEE 的回覆也使用了暗語。他們寄了一份回覆副本給我,因為我是負責出版大部分這些論文的 IEEE 其中一個分會的理事會成員,但他們沒有寄給理事會的其他成員。所以他們寄給我,因為他們知道我是所有這些事的目標。
我與 John Schwarz 見了面,他是 Stanford 的總法律顧問。IEEE 回覆給 Meyer 的信中說:「我們非常清楚這項法律,但我們一貫的立場是我們不能強制執行。這是由作者和他們的機構來確保他們的論文出版沒有違法。」所以我去了 Stanford 的總法律顧問 John Schwarz 那裡,有兩個原因。第一,Stanford 可能會承擔法律責任。另一個原因,如果我當時被起訴,那是一個真正的威脅,我想確保 Stanford 會為我辯護,因為僅僅聘請律師處理一個多年的訴訟案件就能讓你破產。
所以我永遠不會忘記那個會議。我把信給 John Schwarz 幾天後,我們再次見面,他告訴我,從法律上看,如果這項法律被廣泛解釋到涵蓋我的工作,涵蓋我出版論文,那麼它就是違憲的,將會侵犯言論自由和出版自由。但他同時警告我,那只是他的法律意見,真正確定這件事的唯一方法是在法庭上。他告訴我,如果我被起訴,Stanford 會為我辯護;如果我被定罪,他們會上訴。但他接著說了一句我永遠不會忘記的話:「如果所有的上訴都用盡了,我們不能替你坐牢。」
但我感到心安了。他還說了另一件事。我們有兩篇論文將在 10 月於 Cornell University 舉行的一個會議——國際資訊理論研討會——上發表,與兩位學生 Ralph Merkle 和 Steve Pohlig 合作。John Schwarz,Stanford 的總法律顧問,強烈建議由我來發表論文,而不是原計劃由學生發表。他指出了一些理由,但最實際的可能是,如果是一個多年的訴訟案件,我是一位終身教授,我的職業生涯可以承受那樣的案件。但是,一位剛獲得博士學位的人,無論他笑容多燦爛,他的職業生涯都難以承受。
所以我去了學生那裡,告訴他們情況。我說:「我很樂意發表論文,我並不擔心,因為 Stanford 有經濟支持。」學生起初都說:「不,我們會發表論文,我們也不擔心。」但大約一周後,他們都回來找我,說:「我們父母一直透過電話瘋狂地唸叨我們,他們真的很擔心。所以,是的,麻煩您來發表論文吧。」
所以當到了研討會發表第一篇和第二篇論文的時候,所有人都知道發生了什麼。我和 Ralph 及 Steve 一起上台,我對聽眾說:「通常 Steve 或 Ralph 會發表這篇論文,但根據 Stanford 總法律顧問的建議,我來代替。不過,我想讓他們得到應得的榮譽。所以,雖然他會站在這裡默不作聲,但我希望你們把我說出來的話,視為是從他嘴裡說出來的,除了法律上。」正如你們可以想像的,學生們以這種方式獲得了比他們原本會獲得的更多榮譽和關注。
NSA 和我當時在媒體上進行這場鬥爭,事實上 NSA 從未直接發聲,總是透過 Joseph Meyer 這樣的人從他的家庭地址寫信,儘管他確實為 NSA 工作——雖然我們後來認為他是自發這樣做的。但機構內部肯定有人這樣想。
與NSA和解及風險分析的引入
然後在 1978 年發生了一些事情。我接到 NSA 局長辦公室的電話,Admiral Inman,NSA 局長,想在我去加州時拜訪我,我是否願意接受這個可能性。我欣然抓住了這個機會。我認為面對面交談比在媒體上鬥爭、完全不知道他們實際在說什麼要好得多。當 Inman 來到我的辦公室時,他說他來這裡違背了機構內所有其他高級官員的建議。但他說:「我不認為談話有什麼壞處。」這是一種非常跳脫框架的處理方式,我們今天更需要這種方式。
我們最初的對話很謹慎,事實上他對我說的第一句話是:「很高興看到你沒有長角。」因為我在 NSA 被描繪成那樣,我是魔鬼的化身。我看了看他,說:「彼此彼此。」因為我一直把 NSA 看得更像 Darth Vader,而我把自己想成 Luke Skywalker。我當時三十出頭,現在已經 71 歲了,所以年輕的英雄是一個更適合當時的模型。
雖然這最初是一個謹慎的關係,但後來我們成了朋友。事實上,大約八年前,當我第一次開始將風險分析應用於核武嚇阻可能失效的問題時,Admiral Inman 簽署了一份支持聲明。
在 1990 年代中期,大約 15 年後,美國國會透過其研究機構國家研究委員會 (National Research Council),要求對國家密碼學政策進行研究。網際網路開始蓬勃發展,他們可以看到在其他領域,密碼設備因出口限制而遭受的嚴重限制,正在損害國家,而不是幫助國家。該委員會發布了一份報告,許多人可能都熟悉,稱為「危機報告」(Crisis Report),它代表「密碼學在資訊社會安全中的作用」(Cryptography's Role in Securing The Information Society)。委員會的代表性非常廣泛,有像我這樣的隱私權倡導者,有前總檢察長 Benjamin Civiletti 代表 FBI 和執法部門的利益,還有前 NSA 副局長 Ann Cara Christie 代表他們的利益。
由於我們放下最初的偏見,進行了交流,更重要的是,我們互相傾聽,最終達成了對國家乃至世界都有重大益處的一致結論。特別是,我們建議極大地放寬出口限制,不僅是為了隱私,也是為了像 Inman 今天所見的那樣,幫助國家安全。
國家加密政策研究與跨領域合作
重點是,網路安全往往更多地依賴於政府監管,而不是技術。當時如此,今天某種程度上也如此。我們可以將 FBI-Apple 的法律案件視為一個例子。
我的妻子和我寫的那本書中學到的一個教訓是,為了停止不斷地爭吵,我們必須學會「保持好奇,而非憤怒」(Get curious, not furious)。以前,當我的妻子做一些在我看來很瘋狂的事情時,我會把她當作瘋子對待,這讓她變得更瘋狂,也強化了我認為她瘋狂的信念。現在,我會去找她說:「這對我來說感覺很瘋狂,但你不是瘋子,我錯過了什麼?」通常在幾秒鐘內,那些看起來瘋狂的事情往往是傑出的,而且常常讓我的生活變得更好。在國家研究委員會這個委員會裡,也是如此。我相信今天,在不僅是美國政府,而且英國議會也有類似的問題,以及這裡歐盟也可能存在類似的問題,我們需要更多這種態度。哎呀,又踢到眼鏡了。
在我的婚姻中,「保持好奇,而非憤怒」已經達到了一個境界,我和我妻子再次瘋狂地相愛,就像我們 50 年前剛見面時一樣。在那整個過程中,我們很可能走向離婚。現在,我不指望 FBI 和科技產業能瘋狂地相愛,我當然也不指望世界各國能瘋狂地彼此相愛,但我確實指望他們能足夠理智,不至於毀滅我們自己。
核武嚇阻與網路嚇阻的邏輯性
這就引出了書中內容與我們需要學習以改善網路安全之間的另一層關係。書的第八章標題是「核武嚇阻的邏輯性」(How Logical Is Nuclear Deterrence)。隨著關鍵基礎設施越來越依賴連線,我認為你同樣可以將該章節標題定為「網路嚇阻的邏輯性」。你聽見軍事人員,特別是,談論網路嚇阻的必要性,那是因為他們認為核武嚇阻非常成功,所以我們應該嘗試模仿它。但他們從未真正審視過核武嚇阻到底有多成功。
所以,這是我現在要簡要處理的問題,它確實與網路安全有關,因為有人呼籲網路嚇阻。如果核武嚇阻不是一個好策略,也許網路嚇阻也不是一個好策略。
核武嚇阻的支持者指出,我們已經 71 年沒有世界大戰了,這證明核武器以及威脅在發生戰爭時毀滅世界是有效的。但是,從 71 年沒有世界大戰中,我們應該得到多少安慰呢?
結果是,如果你想要 95% 的信心——這是一個典型的統計信心度量——你可以預測的時間只有我們回顧過去時間的三分之一長。如果你只需要大約 50% 的信心,那麼你可以預測的時間大約與回顧過去的時間一樣長。但如果你想要 95% 的信心,我們只能預測大約 20-25 年的未來,這並不是太好。
我在過去的八到十年裡花了很多時間研究核武嚇阻的風險分析。在這裡,我只給你們一個非常簡短的摘要。在工程學中,當我們嘗試做粗略估計時,我們使用所謂的「數量級估計」(order of magnitude estimates)。所以,讓我們看看核武嚇阻在失效並毀滅我們之前可以持續工作多久的數量級估計。
一年時間太短了,這是所有我與之交談過的人的看法,過去十年我與大約幾百人就此進行了交談,甚至更多。我的意思是,我們已經在核武嚇阻下生存了五六十年,我們預計它在接下來的一年裡會發揮作用——我的意思是,並非以 100% 的機率,但生存下去的可能性大於不大。然後我跳到 10 年,同樣,人們當然會說:是的,生存下去的可能性大於不大。但接著我跳過了 100 年,跳到下一個 10 的冪次,也就是一千年。雖然有極少數例外,但絕大多數人,超過 95% 我採訪過的人,都說一千年聽起來過於樂觀。我猜對大多數你們來說也是如此。
所以,剩下的唯一一個數量級是什麼?一百年,對吧?起初這聽起來還好,因為我們大多數人很可能活不到一百年後。但是,一百年作為時間範圍,對應於每年 1% 的風險。現在我不是說恰好是 1%,因為這是數量級,它可能是這個數字的兩倍或一半,甚至可能差了三倍。但讓我們暫時維持在 1%。這意味著未來十年有 10% 的風險,考慮到後果,這是驚人的。今天出生的孩子,在已開發國家,預期壽命遠超過 80 歲,如果每年風險是 1%,這個孩子生存的機率甚至低於 50/50。那麼,為什麼我們卻表現得好像核武嚇阻是一種無風險的策略呢?
對公開金鑰加密應用的風險分析
那麼,這與網路安全有什麼關係呢?類似的風險框架可以應用於公開金鑰加密。在不久的將來,發現新的因數分解演算法或離散對數演算法的風險是什麼?對公開金鑰加密的大部分關注都集中在量子計算和尋找量子抗性演算法上。但很少有人關注另一個因數分解的進展是否會出現,就像數字域篩法 (number field sieve) 那樣,它確實增加了所需金鑰的尺寸。
讓我們看看因數分解進展的歷史,離散對數也沿著類似的軌跡。1970 年,有一個重大進展,這是 Morrison 和 Brillhart 的連續分數因數分解演算法 (continued fraction factoring algorithm),它大約將我們能分解的數字大小翻了一番。所以,如果公開金鑰加密那時已經存在,我們就需要將金鑰尺寸加倍。但當然,1970 年時它還不存在。1980 年代,對於篩法,大多數人想到的是 Pomerance 的二次篩法 (quadratic sieve),但 Pomerance 在他的論文中將功勞歸於 Richard Tropel,他是密碼學領域另一位被低估的英雄,他第一個真正建議以稍微不同的方式使用篩法。二次篩法是 Shell 方法的一個變種,它再次將所需金鑰尺寸加倍。接著 10 年後,大約在 1990 年代,數字域篩法被發現,它再次大約將我們能分解的數字大小翻了一番,並且後來也被應用於離散對數。
所以我們每十年就有一次進展:1970 年、1980 年、1990 年。但在 2000 年我們沒有,在接下來的十年裡直到 2010 年也沒有,而這個十年至今,將近六年過去了,也沒有重大的進展。所以很多人傾向於說,看起來因數分解和離散對數似乎碰壁了。但讓我們用我看待核武嚇阻的那個鏡頭來看它,核武嚇阻對社會來說似乎非常安全,但我們看到實際上它是相當危險的。同樣地,我們會看到出現因數分解演算法進展的風險是顯著的——風險並非微不足道——我們應該為此做好規劃。
把每個十年想像成擲硬幣。如果硬幣出現正面,那個十年就有一次重大的因數分解進展;如果出現反面,就沒有。那麼我們看到什麼?1970 年正面,1980 年正面,1990 年正面,2000 年反面,2010 年反面。現在,即使下個十年出現反面,在未來四年內沒有進一步的進展,如果你擲硬幣六次,看到了正面正面正面反面反面反面,你會預測未來無限期都是反面嗎?不會。所以雖然這只是一個模型,但我認為這表明存在不可忽視的機會——不一定是很大的機會——需要關注因數分解演算法的進展並為之規劃。
從邏輯的極限:Gödel與Turing對我的啟示
ACM Turing 獎與我妻子和我寫的這本書之間的另一層關係,在書的第八章第一部分,也就是「核武嚇阻的邏輯性」——我們剛才看到,它不如我們想像的那麼邏輯。但我想聚焦於直接與 ACM Turing 獎的命名者 Alan Turing 相關的另一個方面。該章節的第一部分稱為「不合邏輯的邏輯」(Illogical Logic),它談論了我在 1968 年,作為一名二年級研究生,了解到 Gödel 不完備定理 (Gödel's incompleteness theorem) 時的感受——這是另一項奧地利的發明,不過我想他可能是在美國做的。在此之前,事實上不幸的是,在此後幾年,我將我的一生都建立在邏輯上。而在這裡,邏輯向我展示了邏輯在字面上是不完備的——這就是定理的名稱,不完備定理。
我回到家,告訴我的妻子——那時我們結婚大約六或九個月——我說我感覺自己精神崩潰了。但結果是,雖然這太複雜無法寫入書中,我在書中全都以 Gödel 不完備定理來表述,真正震撼我的邏輯地震是 Alan Turing 的證明,即可計算實數 (computable real numbers) 雖然是可數的 (countable),但並非可有效列舉的 (effectively denumerable)。這有點棘手,我會將完整的描述放在這次演講的書面版本中。在這裡,我只能做一個非常快速的手揮式論證,所以如果你沒聽懂,請等待書面版本。
19 世紀末,著名的德國數學家 Georg Cantor 證明了實數是不可數的無限集合,存在不同層次的無限:$\aleph_0$、$\aleph_1$ 等等。正整數顯然是可數的,也就是說,你可以說有一個第一個,像 1,一個第二個,像 2,一個第三個,像 3,依此類推。即使是有理數也是可數的,這有點令人驚訝,但這可以很容易證明。但 Cantor 證明了實數是不可數的無限集合,從非常真實的意義上說,它們比正整數「更大」。
他使用了對角線論證 (diagonalization argument)。他說:「假設它們是可數的,然後我們將展示一個矛盾。如果一個假設導致歸謬法 (reductio ad absurdum)——回到荒謬——那麼這個假設一定是錯誤的。」所以他說:「假設有一個第一個實數 R1。」為了論證方便,假設它是 0。所以它的二進制展開是 0.0000...。現在,看看這個第一個假定實數的第一個小數點(二進制小數)位置,並將其補碼。所以不是寫 0,我們寫下 1。現在,看看第二個假定實數,假設它是 1,那就是 1.000...。你會看它的第二個小數點(二進制小數)位置並將其補碼,然後作為一個數字的第二個小數點寫下來。當你完成所有這些後,在這個整體前面加上一個小數點。你現在得到了一個實數,它不在列表裡,因為它與列表中的第一個實數在第一個小數點位置不同,它與第二個實數在第二個小數點位置不同,依此類推。因此,實數是不可數的無限集合。
Alan Turing 定義了可計算實數。他也定義了 Turing 機——儘管他自己沒有這樣稱呼,就像 Whit 和我沒有稱它為 Diffie-Hellman 金鑰交換一樣。現在,顯然存在可數個可計算實數,這些是可以用最強大的電腦——也就是一個通用 Turing 機——計算出來的數字。一旦你有了這樣的機器,某些 C 程式會計算出實數,而另一些程式會卡住什麼也不做。所以,由於程式的數量是可數的無限集合——因為如果我們將程式視為二進制序列,長度為一的程式有多少個?只有兩個,對吧?0 和 1。然後我們可以列舉所有長度為二的程式:00、01、10 和 11。你繼續下去,每個程式都在那個列表裡。並非每個程式都產生一個可計算實數,所以可計算實數的數量必定不超過可數的無限個,而且顯然存在可數個可計算實數。到目前為止,沒有問題,我也沒有精神崩潰。
但接著 Turing 在這篇論文中有一個著名的證明。他說:「計算第一個可計算實數到第一個小數點位置,然後將其補碼並印出來。計算第二個可計算實數到第二個小數點位置,將該位元補碼並作為一個數字的第二個小數點印出來。」這看起來完全像 Cantor 的論證,即實數是不可數的無限集合,對吧?但是等等,我們必須回到假設。結果證明,這裡的錯誤假設不是可計算實數是可數的——它們確實是。錯誤的是,存在一個「有效程式」(effective program),給定 i,它能計算出第 i 個可計算實數到你想要的任意多個小數點位置。數學家決定這才是錯誤的假設。所以可計算實數雖然有第一個、第二個、第三個等等,但我們永遠無法知道它們是什麼。上帝知道,但我們不知道。
你能理解這結果是如何真正震撼了我的基礎嗎?我當時應該做的是我大約在十五二十年後處理婚姻問題時所做的事情。我應該放棄嘗試將一切建立在邏輯上。那是非常不合邏輯的,特別是考慮到我的婚姻和我的兩個女兒,我一直在得到負面的實驗結果——你會認為邏輯會告訴我嘗試一些不同的方法。特別是考慮到 Gödel 不完備定理和我剛才提到的 Turing 的這個結果。事實上,我甚至將邏輯作為武器來贏得那些邏輯不適用的爭論。
這在我青少年時期就已經成為我的第二天性。但在 1964 年,當我 19 歲時,我必須為申請工程榮譽學會 Tau Beta Pi 寫一篇論文。其中一個問題是:「你的一些優點和缺點是什麼?」對於我的一個缺點,我是這樣寫的——我們翻閱舊論文時找到了這個,所以這是我逐字逐句寫下的:「我的另一個缺點是試圖在理性基礎上爭辯情感問題。我會提出理性的論點來支持我方的觀點,儘管這完全沒有用,因為雙方的心智都已經由非理性方式決定了。然而,我偶爾也喜歡這樣的討論,因為對方或其他人通常會用情感呼籲來反擊,而在這個世界,理性被認為更重要。」引文結束。
幸運的是,我妻子和我在婚姻取得很大進展後才發現這個。否則我們真的會離婚,因為她看了後說:「我的天啊,你不僅以這種方式折磨我——這她早就知道我一直在做——而且你還知道你在這樣做,你是故意這樣做的!」我必須告訴她:「親愛的,我知道看起來是這樣,但我必須告訴你,它已經變得如此無意識的反射,我甚至不知道我在做。」幸運的是,我現在不再這樣做了。
所以幸運的是,我後來確實學會了停止在邏輯不適用的地方濫用邏輯作為武器,或者根本就不再將邏輯作為武器使用。但是,正如我剛才應用於核武嚇阻的風險分析論證所示,作為一個社會,我們還沒有認識到我們應用於核武嚇阻的不合邏輯的邏輯。事實上,有一層邏輯的表象,使用賽局理論,使得核武嚇阻看起來有效——這是一層非常有誘惑力的邏輯表象,使得它看起來有效。但我們需要深入研究它,我們需要審視支撐它的假設,就像在 Alan Turing 的結果中,非常仔細地審視那些未陳述的假設是很重要的——比如存在一個未陳述的假設,即如果在整數和某個集合之間存在一對一的對應關係,那麼它可以被計算出來。結果證明事實並非如此。
結論:從關係到全球的連結
最後,我希望雖然我的妻子和我剛完成的書《關係的新地圖:在家創造真愛,在地球實現和平》與這並非 ACM 婚姻諮詢或和平會議的演講初看之下重疊甚少,但我希望我今天所說的內容已經展示了它們之間存在著強烈的連結。我也希望——免費宣傳一下——這能讓你們去買這本書,它在 Amazon 上有售。再說一次,你可以直接上 Amazon 搜尋我的名字,或者訪問 anewmap.com。如果你這樣做了,ACM Turing 獎將不僅通過給我五十萬美元用於宣傳,還以更多方式幫助將書中的思想傳播出去。這將是所有事情中最重要的一件。非常感謝大家!
我們還有幾分鐘問答時間。好的,我什麼都看不見,所以就麻煩你們處理問題了,我只看到非常亮的燈光。
如果你想提問,請上前到麥克風前。哦,麥克風就在這裡。好的。
問答環節
觀眾 1: 好的,謝謝您精彩的演講。我相信您知道這點,但也有許多具體的例子,特別是在冷戰期間,差點發生核災難,只是因為一些電腦故障或雷達故障之類的原因。所以我想知道您對此有何看法?
Martin Hellman: 謝謝您。我確實有想法,事實上書中列舉了幾個例子,我的各種論文中也有其他例子。如果你去我的 Stanford 首頁,查看「出版物」(publications),最後三篇是關於這些領域的,你會在那裡找到許多例子,包括一份關於古巴飛彈危機 50 週年的報告,其中列舉了許多例子。但其中一個幾乎連國際關係界都鮮為人知的例子,在書中有描述。這是一場我稱之為 2008 年古巴轟炸機小型危機 (Cuban bomber mini-crisis of 2008) 的事件,因為我一直在關注這些事情。我尋找這些風險分析可以透過審視可能導致災難的事故鏈,然後看看我們在這些事故鏈的各種環節中走得多遠,來幫助更好地評估災難的風險。我為古巴飛彈危機建立了一個這樣的事故鏈,簡而言之,在 2008 年 7 月,我們重複了導致古巴飛彈危機的五個半步驟。我們只差半步就陷入了一場全面危機。所以是的,我們絕對需要關注這些。順帶一提,這也是降低風險的好方法,因為即使我們對風險程度意見不一,如果你開始更加關注那些早期預警信號,那麼你就不會把它們看作是所有備用系統都正常工作了,而是可以實際降低風險。這也是我剛才在提問中提到的另一個重大的因數分解進展。順帶一提,過去幾年確實發生了一個小的震盪,一個演算法可以在具有特殊特性(小特性)的領域非常快速地計算離散對數。如果你記得,數字域篩法最初只適用於一種非常特殊的數字形式,但後來被推廣了。好的,還有其他問題嗎?
有人從後面走上來了,我看到了。
觀眾 2: Hellman 教授,非常感謝您精彩的演講。您提到了網路嚇阻,我不太清楚您對其功用有何看法,但關於網路——非網路武器的非擴散呢?
Martin Hellman: 網路嚇阻。我認為嚇阻本身就是一個錯誤。我們書中有一節叫做「太少蘿蔔,太多棍子」(Too Many Too Few Carrots, Too Many Sticks)。我們思考的是威脅。嚇阻就是一種威脅:「如果你做我不喜歡的事,我就會毀滅你。」我們有核武脅迫 (nuclear compellence),那是:「如果你不做我想讓你做的事,我就會毀滅你。」在古巴飛彈危機中,赫魯曉夫試圖嚇阻美國在豬灣事件後再次入侵古巴,而甘迺迪則試圖用他的威脅脅迫赫魯曉夫從古巴撤走飛彈。而我們唯一普遍接受的代表外交中「蘿蔔」一方的詞彙是「綏靖」(appeasement)。我們都知道那是什麼意思——也許不是所有人都知道,但年輕聽眾應該知道——它指的是 1938 年的慕尼黑,蘇台德區被從捷克斯洛伐克手中奪走交給希特勒。
再說一次,我沒有時間詳細說明,但我們書中有一整節關於為什麼「綏靖」不應該受到那麼糟糕的評價。我認為我們需要尋找的是整體性的解決方案,以改善網路安全。我們需要開始看看美國和俄羅斯——這是網路惡作劇或網路駭客攻擊的兩個主要參與者——真正分歧的地方是什麼?我認為主要是驕傲。如果我們真正審視它,看看我們繼續敵對關係的長期可能後果,與真正理解彼此關切的後果相比,我們會處於更好的位置。
所以,我們有七個——這本書主要是關於我妻子和我的個人故事,從 50 年前相遇時瘋狂相愛,到 13 年後走向離婚,再到重新瘋狂相愛。我們確實有七個關於七個國際局勢的章節,其中一章關於俄羅斯,我鼓勵你們閱讀。我認為如果我們更了解俄羅斯的關切,我們就能採取行動來減輕壓力。這並不是說俄羅斯沒有犯錯,但我在書中不斷強調的一點是,我的婚姻只有在我不再擔心妻子需要做什麼來改善婚姻,而開始專注於我能做什麼來改善婚姻時,才變得更好。同樣地,雖然俄羅斯犯了很多錯誤,但我們在西方需要專注於我們自己——我們是否有能力糾正我們的錯誤。
觀眾 3: 還有一個問題,關於網路武器非擴散。所以我在想防禦的問題。看起來在實體方面,在核武器的實體戰爭中,試圖防禦或要做到防禦是非常困難的。你可能可以做點什麼,但我覺得很難。所以在網路領域,也許有更多機會來建立安全的系統並擁有適當的防禦。您對此有什麼看法?
Martin Hellman: 好的,正如上週五的攻擊所示,這將非常困難。我的意思是,有很多東西都是非常不安全的,而且要清除它們將非常困難,幾乎不可能。所以我認為首先,我們需要更關注我們允許銷售什麼,以及如何關閉那些最終存在安全漏洞的東西。但我認為真正的解決方案是建立一個更具合作性的國際——嗯——運作模式,讓美國——姑且稱之為北約——與俄羅斯和中國開始看看他們有哪些共同點,而不是哪些將他們分開,並權衡合作與持續敵對關係的相對成本。
哦,還有一件事我們需要努力的是網路韌性 (cyber resilience),因為即使我們完全解決了網路安全問題,也存在太陽風暴之類的問題,例如導致電網崩潰。我們需要一個更有韌性的電網來應對這些問題,這也將有助於網路。好的,現在幾點了?我們現在需要結束嗎?情況如何?您還有時間回答一個快速問題嗎?
觀眾 4: 好的,謝謝。我的問題是關於您如何看待社會越來越多地擁抱網際網路用於各種活動,同時我們看到技術還沒有真正準備好——我的意思是,大多數系統都被破解,網際網路越來越多地被用於惡意目的,包括網路戰爭和網路犯罪等等。所以您不認為在某個時候,放慢社會數字化的腳步,直到我們在安全和隱私方面提出健全和可持續的解決方案,這樣做是有意義的嗎?我們是不是在擁抱新技術方面走得太快,只是發現我們實際上沒有做得很好?
Martin Hellman: 是的,如果有一個實用的方法來做您建議的事情,那麼放慢腳步可能確實是明智的。但沒有實用的方法可以做到。這不僅限於網路,您可以在基因剪接和基因工程中看到這一點。
所以,在我看來,真正問題的描述是:真正的問題不是核武器,不是網際網路的增長,不是核電,也不是基因工程。如果深入探究,真正的問題是技術賦予我們的「神一樣的物理力量」與我們人類的成熟度之間的鴻溝。從歷史上看,一百年前,在聖經中,只有上帝才能創造新的生命形式,只有上帝才能像那樣毀滅整個城市。而今天我們可以做到。然而,我們的物理力量透過技術變得像神一樣,當我問人們我們作為一個物種的成熟度離「神一樣」有多近時,他們都笑了。而這就是那個鴻溝——往最好的方面說,我們是不負責任的青少年,而且我們常常處於可怕的兩歲階段,亂發脾氣。
所以,雖然我認為我們不能放慢這種技術進步,但我們需要做的是將其視為一劑腎上腺素,讓我們更快地成長。我們正在成長——與媒體告訴你們的不同——戰爭發生率正在下降,核武器的數量已經減少了四倍。我們正在非常迅速地成為一個更加成熟的物種。問題是,它是否發生得夠快?我希望看到的是,像我們寫的這本書一樣,我們自己製造的風險將被用來給我們「本性中的天使」注射一劑腎上腺素,讓他們贏得戰爭中的戰爭,贏得網路犯罪中的戰爭,然後我們才能建立一個世界。推動我的不僅僅是威脅,還有建立一個比現在好得多的世界的願景,那種拉力遠比推力大得多。
組織者: 好的,謝謝。在我們離開之前,Edgar 想做一些公告,但在那之前,讓我們一起感謝 Hellman 教授帶來如此富有啟發性的演講。