一個基于三粒子部分糾纏態的量子廣播多重盲簽名協議*

張維 韓正甫

1) (黔南民族師范學院數學與統計學院, 復雜系統與計算智能重點實驗室, 都勻 558000)

2) (中國科學技術大學, 中科院量子信息重點實驗室, 合肥 230026)

1 前 言

經典簽名是對手寫簽名的模擬, 并已經被廣泛應用于電子商務、電子政務和電子支付等領域, 它的安全性基于一些數學上的難解問題假設, 如大數分解問題和離散對數問題等. 很不幸的是, 1994年Shor[1]發現了多項式時間的量子因數分解算法, 該算法能夠快速地實現大整數的因數分解. 因此, 以RSA為代表的公鑰密碼系統在量子計算機面前將沒有任何保密性可言, 量子計算機可以在瞬間攻破它. 相比于經典簽名, 量子簽名是一種基于未知量子態不可克隆定理和海森堡測不準原理等基本物理屬性之上的簽名協議. 特別是有一些量子簽名協議已經在理論上被證明是無條件安全的[2,3]. 因此,量子簽名受到了越來越多研究者的關注, 成為量子密碼的一個重要分支. 量子簽名協議有望在量子時代里取代經典簽名, 廣泛應用于電子商務、電子政務和電子支付等領域. 研究者們也參照經典簽名設計出了一些與之對應的量子簽名協議.

2001年, Gottesman和Chuang[4]基于量子單向函數和量子交換測試給出了第一個量子簽名協議, 并指出該協議是可以抵御量子攻擊的. 從那之后, 量子簽名迅速蓬勃發展起來, 各種不同類型的量子簽名協議相繼被提出. 如2002年, Zeng和Keitel[5]提出了一個基于GHZ糾纏態的量子仲裁簽名協議; 2009年, Li等[6]給出了一個基于貝爾態的量子仲裁簽名協議, 與Zeng和Keitel提出的協議相比, 不僅可以節約糾纏資源還提高了簽名的效率; 2010年, Zou和Qiu[7]給出了一個不需要使用量子糾纏的量子仲裁簽名協議. 隨著人們對量子簽名研究的深入, 針對不同的應用需求, 提出了不同類型的量子簽名協議, 如量子代理簽名[8?12]、量子群簽名[13?17]、量子盲簽名[18?21]和量子多重簽名[22,23]等.

一個安全的量子簽名協議必須滿足不可偽造和不能抵賴兩方面的要求. 所謂不可偽造指的是除了合法的簽名者以外, 任何人不能偽造簽名者的簽名, 包括簽名協議的參與者(消息發送者或接收者等)和任何的外部攻擊者[24]. 不可抵賴指的是任何參與者都不能拒不承認他們的所有行為, 包括：1)消息發送者不能拒不承認發送消息的事實;2)每一個簽名者不能拒不承認他們自己的簽名;3)簽名接收者不能拒不承認他收到簽名的事實,也不能拒不承認簽名的完整性[25]. 對于量子盲簽名而言還需要滿足盲性和可追溯性[25]. 所謂盲性指的是簽名者在簽名的時候不能獲取他所簽名消息的具體內容, 而可追溯性是指在簽名雙方無法達成一致的時候, 簽名者可以追溯到消息的發送者[25].

2014年, Tian等[26]給出了一個基于量子隱形傳態的量子廣播多重盲簽名協議, 該協議有望應用于網上銀行系統. 然而Zhang等[27]對該協議進行了安全性分析, 發現它存在一些潛在的安全漏洞,并給出了一個改進協議. 針對Zhang等提出的協議中復合簽名的大小隨著簽名者的個數呈線性增長這一問題, Xiao和Li[25]基于糾纏交換給出了一個新的量子廣播多重盲簽名協議, 該協議的復合簽名的大小是一個定值, 不會隨參與者的個數呈線性增長. 在文獻[28]中, Tian等基于三粒子極大糾纏GHZ態給出了一個量子廣播多重盲簽名協議.隨后Zhang等[29]指出了該協議潛在的安全風險并給出了一個改進方案. 本文在文獻[29]的基礎上給出了一個基于三粒子部分糾纏態的量子廣播多重盲簽名協議, 該協議使用的是三粒子部分糾纏態,與基于GHZ態的協議相比, 它不再依賴于極大糾纏態, 降低了協議的實現條件, 節省糾纏資源的同時還可以不損失安全性, 這充分體現了在某些情況下, 多體部分糾纏可以作為一種資源實現完美的量子通信任務.

2 量子廣播多重盲簽名協議

首先介紹本文采用的量子一次一密加密算法(QOTP encryption algorithm). 若量子信息, 其 中滿 足= 1. 該算法可以用一個酉算子表示為

這是一個改進了的量子一次一密加密算法, 它是由Kim等首次在文獻[30]中提出的. (1)式中的輔助算子是為了破壞泡利算子間的對易或反對易性, 以保證加密后的消息不能被攻擊者修改. 更準確的描述為： 對任意的量子消息, 不存在非單位的酉算子和, 使得

為了保證簽名協議中簽名的初始性, 也即簽名不能被隨意更改, 我們使用了哈希函數. 本文使用的哈希函數是一個單向函數, 定義如下[31]：

本文新設計的協議采用的是一個三粒子部分糾纏態[32]

3)之后對二三粒子做一個貝爾基測量, 并記錄結果如下：

由(5)式可以得到如下式子成立：

整個簽名協議包含四個過程, 即初始過程、個體簽名過程、單個簽名驗證和復合簽名生成過程以及復合簽名驗證過程, 如圖1所示.

圖1 量子廣播多重盲簽名協議的圖示Fig. 1. The graph of quantum broadcasting multiple blind signature scheme.

下面給出協議的具體過程：

1)初始過程：

(1) 量子密鑰分配.

Alice分別與Bob, Charlie以及每一個簽名者分享4n比特密鑰,和; Charlie與每一個簽名者分享8n比特密鑰; Bob與Charlie分享4n比特密鑰. 為了保證協議的無條件安全性, 所有的密鑰都采用量子密鑰分配協議來分享密鑰.

(2) 經典消息都轉換成量子消息.

2)個體簽名過程：

(1) 消息盲化.

(2) 糾纏分發.

Charlie生成n個三粒子部分糾纏態

然后將它們的第一個粒子發送給Alice, 第二粒子發送給簽名者, 保留第三粒子. 此處僅以一個簽名者為例來描述個體簽名過程, 且所有粒子都是通過安全的量子信道來分發的, 以保證在整個簽名過程中都能保持原有的量子糾纏.

(3) Alice的測量.

Alice對她收到的粒子做Z?型基測量, 并生成隨機字符串,

(4) 個體簽名.

并將作用后的量子態序列依次發送給Charlie. 同時,利用已有的密鑰生成一個隨機串,滿足

3)個體簽名驗證和復合簽名生成過程.

(4) 個體簽名驗證.

是否都成立. 如果(21)式中的等式都成立, 則Charlie接受簽名. 否則, 拒絕簽名并終止協議.

(5) 復合簽名的生成.

與此同時, Charlie生成

于是可以得到消息

4)復合簽名驗證過程.

(1) 比對消息.

(2) 驗證復合簽名.

相比于文獻[29]中提出的協議, 本文提出的協議的優勢為： 用三粒子部分糾纏態取代了三粒子極大糾纏GHZ態, 一定程度上節省了糾纏資源, 降低了協議實現的條件, 提高了協議的可應用性.

3 安全性分析

一個安全的簽名協議必須滿足不可偽造和不可抵賴兩個基本條件, 由于協議是一個盲簽名協議, 還必須滿足盲性和可追溯性. 下面就不可偽造、不可抵賴、盲性和可追溯性來一一說明.

3.1 不可偽造

3.1.1 Alice不能偽造簽名

3.1.2 Charlie無法偽造簽名

Charlie作為簽名收集者, 他可以獲取所有的個體簽名并生成復合簽名, 被認為是最有可能偽造簽名的, 下面將說明Charlie也是不能偽造簽名的.因為Charlie擁有所有的個體簽名, 因此, 他可以隨意地更改每一個個體簽名. 譬如Charlie將簽名的前段和分別改為和, 但保持是保持不變的. 看似整個過程天衣無縫, 但是修改后的簽名仍然是不能通過驗證的. 因為在驗證過程中Bob不但要檢驗復合簽名, 還要對每一個個體簽名進行檢驗. 由于Charlie無法提前獲知生成所需的簽名者的密鑰, 因此無法根據修改后的和去確定它們所對應的和, 使它們滿足(26)式, 因此無法確保修改后的簽名能通過驗證. 由此可見Charlie也無法偽造簽名.

3.1.3 Bob無法偽造簽名

Bob作為簽名接收者, 一個被認為是最好偽造簽名的辦法就是當他驗證完簽名后, 再將修改為并宣稱就是他收到的簽名. 但在驗證階段,所有的信息都公布在公告板上, 任何人都可以對簽名進行驗證. 因此, Bob的不誠實行為很容易就被發現了. 由此可見, Bob也不能偽造簽名.

3.1.4 外部攻擊者不能偽造簽名

在這一小節主要討論幾種常見的外部攻擊手段, 如糾纏輔助粒子攻擊, 截獲?重發攻擊和中間人攻擊. 糾纏輔助粒子攻擊是一種常見的攻擊方案,所謂糾纏輔助粒子攻擊就是攻擊者用一個輔助粒子與信道中所發送的量子態相結合, 然后通過CNOT門使得它們之間建立糾纏, 然后通過解糾纏并測量輔助粒子來獲取消息[24]. 由于本協議在分發糾纏粒子的時候采用的是安全的量子信道, 外部攻擊者無法將輔助粒子與信道中傳輸的粒子進行糾纏, 該方案是行不通的. 因此, 外部攻擊者無法使用該方案來偽造簽名. 對于截獲?重發攻擊, 由于協議中所有的消息都是先轉換成量子消息, 然后經過改進后的量子一次一密加密算法加密后進行傳輸, 攻擊者即使截獲了消息也無法偽造簽名. 對于中間人攻擊, 由于在參與者之間事先利用量子密鑰分配協議分享了安全的密鑰, 由量子密鑰的無條件安全性可知, 攻擊者是無法獲取到參與者的密鑰的, 因此, 攻擊者無法實行中間人攻擊. 綜上所述,外部攻擊者是不能偽造簽名的.

3.2 不可抵賴

3.2.2 接收者Bob不能抵賴

Bob的抵賴包含兩個層面： 1)Bob拒不承認他收到簽名這一事實; 2)Bob拒絕簽名的完整性. 首先來說明Bob不能拒不承認他收到了簽名. 因為在驗證簽名的時候, Bob需要比對消息, 如果消息一致, 則公布, 否則, 公布. 當他公布驗證參數時, 則表明他已經收到了消息. 在協議中Charlie是將消息和簽名依次發送給Bob的. 如果Bob堅持聲稱沒有收到簽名, 則Charlie可以再發送一次或是直接公布簽名. 這樣Bob就不能不承認他已經收到簽名. 接下來說明Bob不能拒絕簽名的完整性. 所謂拒絕簽名的完整性指的是Bob已經驗證了成立, 但為了自身的利益,謊稱來拒絕簽名. 由于該簽名協議簽發的都是經典消息, 且Alice, Charlie和Bob都可以得到該消息. 當Bob謊稱來拒絕簽名時, 可以要求Alice, Charlie和Bob同時公布消息, 由于只有Bob在撒謊, 因此, Alice和Charlie所公布的消息一定是一致的, 此時可以根據少數服從多數的原則來判定Bob是在撒謊. 由此可見, Bob也是不能拒絕簽名的完整性的. 綜上所述, 在協議中Bob是不可抵賴的.

3.3 盲性

本協議中, 消息在發送之前都通過了盲化處理, 將每一份消息轉換成了到Bob的密鑰, 于是簽名者也無法獲知消息. 因此, 該簽名協議是一個盲簽名協議, 具有盲性.

3.4 可追溯性

雖然簽名者不能獲取消息的內容, 但是一旦發生糾紛, 簽名者可以追溯到消息的發送者. 本協議中消息在盲化處理的時候都轉化成了協議中只有Alice同時擁有這兩個密鑰, 因此,很容易就可以確認消息來自于Alice.

4 結 論

本文在前人已有的工作基礎上, 給出了一個基于三粒子部分糾纏態的量子廣播多重盲簽名協議.與文獻[29]中基于GHZ態的協議相比, 該協議在安全性上并沒有受到任何損失, 這是一件有意義的事情. 眾所周知量子糾纏是一種重要的資源, 在量子計算和量子通信中發揮著不可替代的作用, 但是糾纏資源非常脆弱, 很容易受環境的影響而發生退相干現象. 在現有的技術條件下, 要在整個通信過程中長時間地保持極大糾纏是一件有難度的事情,而本文的協議不再依賴極大糾纏態而使用部分糾纏態, 這不僅節約了糾纏資源, 降低了協議實現的條件, 一定程度上提高了協議的可應用性. 這也充分體現了在某些情況下, 多粒子部分糾纏也可以作為一種資源來完美地完成一些既定的通信任務. 但是本協議安全性是基于使用的哈希函數, 仍是基于計算安全的. 如何設計一個具有理論上無條件安全的基于部分糾纏的量子廣播多重盲簽名協議是值得考慮的.