一種態制備誤差容忍的量子數字簽名協議*

馬洛嘉 丁華建 陳子騏 張春輝 王琴?

1)(南京郵電大學,量子信息技術研究所,南京 210003)

2)(南京郵電大學,寬帶無線通信與傳感網教育部重點實驗室,南京 210003)

1 引言

數字簽名[1]能夠保證消息的真實性、完整性和不可抵賴性,被廣泛應用于金融交易、電子郵件、文件傳輸和電子文件的簽名等方面,是保證當前互聯網安全的重要基石.絕大多數經典數字簽名協議的安全性都依賴于大數質因子分解的計算復雜度,例如非對稱加密算法,數據簽名算法以及橢圓曲線數字簽名算法.然而,隨著量子計算機的發展,這些協議的安全性受到威脅.因此,在量子計算時代發展更高安全性的數字簽名協議至關重要.

相比經典的數字簽名,基于量子力學基本原理的量子數字簽名(quantum digital signature,QDS)擁有更高級別的安全性.第一個QDS 協議由Gottesman 和Chuang[2]于2001 年提出,簡稱GC-01 協議.盡管該協議要求非破壞性的量子態比較、長時間的量子存儲和安全的量子信道,在當前技術條件下難以實現,但該協議具有重要啟發意義.此后,實驗友好型的協議相繼被提出并得到驗證.其中,Clarke 等[3]利用相干態編碼和光學多端干涉儀完成了第1 個QDS 實驗; Collins 等[4]進一步降低了使用長壽命量子存儲器的技術要求; Amiri 等[5]基于現有的量子密鑰分發設備首次提出了無需安全量子信道的實用化QDS 方案,并給出了誘騙態QDS的一般模型.此后,研究人員相繼實現了測量設備無關的QDS[6]、GHz 時鐘頻率的高速QDS[7]、被動式誘騙態的QDS[8],遠距離傳輸的QDS[9]和基于一次哈希的高效QDS[10].

QDS 是一個涉及多用戶的加密體制,其包括密鑰分發階段和消息認證階段[11,12].三用戶場景中,假設Alice 為簽名消息發送方,Bob 和Charlie為消息的接收方.在分發階段,Alice 和Bob、Alice和Charlie 通過密鑰產生協議(key generation protocol,KGP)、密鑰交換操作等步驟構建對稱密鑰; 在消息階段,Alice 簽名消息并發送給Bob,Bob驗證接收到的簽名消息,并轉發給Charlie 進行驗證.KGP 過程其實是量子密鑰分發的量子部分,即產生篩后密鑰即可,無需再進行糾錯和保密放大等后處理過程.但是,關于安全性分析仍需要計算最小熵來估計竊聽者Eve 獲取的信息量,以保證后續簽名申明的不匹配數小于預設值,為此需要考慮Alice 和Bob (Alice 和Charlie)的相位誤碼率.例如,在沒有光源缺陷的情況下,即Bob 或Charlie的光源滿足基矢無關性,可以根據隨機抽樣理論利用X基矢的比特誤碼率來估計Z基矢的相位誤碼率,反之亦然.但是,實際系統中由于帶寬不足、校準錯誤以及環境的影響等問題,制備的量子態都存在誤差[13–15],盡管這一誤差很小但可以被竊聽者以某種方式增強.這一態制備誤差問題可以通過量子硬幣的思想來解決[16],但是該方法考慮最壞的情況,即竊聽者可以通過信道損耗來增強缺陷,協議的最終性能大幅度下降.

在量子密鑰分發(quantum key distribution,QKD)應用中,Tamaki 等[17]曾提出過一種損耗容忍(loss tolerant,LT)量子密鑰分發(quantum key distribution,QKD)協議,降低了態制備誤差對QKD 系統性能的影響.本文將以上損耗容忍思想引入QDS 協議模型之中,提出了一種態制備誤差容忍的QDS 協議,并構建相應的模型,對改進協議的簽名率和安全性能進行仿真.仿真結果顯示,當態制備誤差增大時,本文提出的方法的簽名率曲線變化并不明顯,對態制備誤差有較高的容忍度,相較于此前該方向研究者常常使用的GLLP(Gottesman-Lo-Lütkenhaus-Preskill,GLLP)方法的結果,有顯著的性能提升; 另外本方案只需要制備3 個量子態,降低了實驗的難度.

2 理論模型分析與計算方法

假設每輪協議中用于密鑰傳輸的總脈沖數為Ntot,然后從得到的原始密鑰串中選擇L長度的密鑰用于簽名半比特消息.協議具體流程如下.

分發階段Bob(Charlie)制備Ntot個光脈沖,每個脈沖等概地調制為{|0〉,|1〉,|+〉} 中的一個,并發送給Alice.其中 |0〉和 |+〉對應經典比特 0,|1〉對應經典比特 1,并且|0〉和 |1〉對應Z基,|+〉對應X基.Alice 也等概率地選擇X基或Z基對收到的脈沖測量.當他們都選擇Z基時,相應的比特用作簽名密鑰串,但Alice 選擇X基時,相應的比特用作參數估計.接著他們從Ntot個光脈沖中選取占比為d的一部分密鑰串ntest估算誤碼率eAB(eAC),剩下的作為簽名的密鑰池并記作npool.對未來可能的消息m=0 或m=1 簽名,Alice 和Bob (Charlie)從npool中選擇長度為L的密鑰串來構造簽名序列,其中由Alice持有,由Bob (Charlie)持有.最后,Bob(Charlie)隨機選擇一半的密鑰,通過一個經典認證信道將它們及其相對應的位置轉發給Charlie(Bob),我們將保留的那一半密鑰稱為,另一半稱為.此時Bob 和Charlie 持有的對稱密鑰為.

根據測試密鑰串ntest的誤碼率eAB,Alice 和Bob 可以使用Serfling 不等式[18]估計誤碼率上界:

其中εPE為(1)式的失敗概率.類似地,Alice 和Charlie 估計誤碼率eAC上界,并且定義eU=.接著考慮由竊聽者Eve 竊聽時引入的最小誤碼率emin,其滿足

其中H2(x)=?xlog2x?(1?x)log2(1?x) 表示2進制香農熵函數,為Z基下單光子脈沖響應計數的下界,表示Z基下單光子脈沖的相位誤碼率的上界,NZ表示雙方都選擇Z基時的響應計數.

消息階段Alice 發送簽名 (m,Sigm) 給Bob,其中 Sigm=.Bob 將他手上的驗證密鑰和接收到的簽名 Sigm進行比較,并且記錄不匹配的數量.如果兩部分的不匹配數目都小于sαL/2,那么Bob 接收該簽名消息并轉發給Charlie; 否則,Bob 拒絕消息并宣布中止協議.其中sα表示和QDS安全所需要的身份驗證的閾值,并且 0＜sα＜0.5.Charlie 以相同方法檢查Bob 轉發而來的簽名消息,與先前不同的是這次的閾值為sv,并且 0＜sα＜sv＜0.5,如果不匹配數目仍然小于svL/2,那么Charlie 就接收消息.

考慮QDS 協議的三大安全性分析: 魯棒性P(robust)、不可抵賴性P(repudiation) 和不可偽造性P(forge)[5],為了保證協議的安全性,系統的安全參數Psec需滿足:

以往的QDS 分發階段的研究里,在KGP 過程中通常會假設態制備的完美性,此時Z基的相位誤碼率可以由X基的比特誤碼率所表征,然而當存在態制備誤差時,Z基的相位誤碼率會受到信道損耗的影響,之前的方法便不再適用.由于實際系統在制備量子態時不可避免地存在態制備誤差,如果忽略這些誤差,那么系統的安全性會大打折扣,如果考慮這些制備誤差,前期研究結果的性能又會大幅度降低.針對該問題,我們提出了態制備誤差容忍的QDS 協議,將態制備誤差刻畫進協議中.使得理論分析不僅貼近于實際實現,而且提高協議對態制備誤差的容忍度.根據損耗容忍分析方法[17,19],在態制備階段只需要制備3 個量子態,可以分別記作:

其中δ1(δ1≥0) 為衰減器或者強度調制器引發的態制備誤差,δ2(δ2≥0) 為分束器的誤差造成的.需要說明的是,這里假定 |?0Z〉的態制備誤差為0,主要由于實驗中可以將 |?0Z〉當作參考量子態,然后使用相對誤差 (δ1和δ2)來刻畫制備 |?1Z〉和 |?0X〉所產生的誤差大小.

為方便后面計算公式表示,進行如下定義:β=ηCsα|jγ,D=1?Pd,其中η=ηd10?αL/10表示光子從發送端到接收端的整體效率(不包含投影測量效率);ηd指接收端探測器的探測效率;α代表信道損耗系數;L是傳輸的距離;Csα|jγ代表接收端選擇α作為測量基對 |?jγ〉態進行測量并獲得比特值s的概率;Pd代表探測器的暗計數率,強度為λ∈(μ,v,w) 時對應的光子態增益可以分別表示為

其中Yn代表發射端發送包含n光子態的光脈沖在接收端產生響應的條件概率.使用三強度誘騙態方法[19],可以得到單光子條件計數率的下界:

其中Pλ表示選擇λ強度光子發射的概率.對于單光子脈沖響應計數的下界:

虛擬協議在X基的比特誤碼率eX可以寫成下面形式:

為了保證QDS 協議的安全性,需要確保Eve在竊聽時引入的最小誤碼率emin小于通信雙方由于正常通信引起的誤碼率eU.為了量化emin,首先計算Z基下單光子脈沖響應計數下界;接著結合損耗容忍分析方法,由真實態的傳輸速率求得虛擬態的傳輸速率,進而獲得相位誤碼率的大小,由此得出emin.最后考慮QDS 的三大安全性分析,構造出與密鑰串相關的方程,最終得到簽名率大小.

3 數值分析及仿真結果討論

本節主要介紹態制備誤差容忍QDS 協議的仿真思路和結果.根據前面的分析,在求出eU和emin后,由(3)式構造出發射端發射的脈沖數和安全性系數的關系式,以此求出簽名率.定義簽名率R=1/L.在QDS 協議中,保證協議安全性為Psec=10?4的前提下,協議的安全性主要與抵賴概率相關.通過構造L與Psec的關系式,得到一個臨界值所對應的脈沖數L就是簽名消息m所需的最短密鑰串.

考慮到對于態制備誤差容忍的QDS 協議,系統變量的不同取值對簽名率的影響比較大,在仿真過程中利用全局優化算法對幾個參數做了優化,其中包括信號態強度μ、誘騙態強度v、選擇信號態發射的概率Pμ和選擇誘騙態發射的概率Pv.為了簡單起見,仿真中假定態制備誤差δ1=δ2=δ,見表1.

表1 基于量子數字簽名的態制備誤差容忍協議仿真使用的參數列表[21]Table 1.The parameter list used for simulation of state preparation error tolerance protocol based on quantum digital signature protocol[21].

圖1 中的虛線表示態制備誤差δ=0,0.2,0.3時,態制備誤差容忍分析方法下的簽名率曲線隨傳輸距離變化的結果,實線則是使用GLLP 分析方法時對應的結果.當誤差δ=0.2,0.3 時,態制備誤差容忍分析方法下的簽名率隨傳輸距離變化曲線,與不存在誤差即δ=0 時非常接近,最終的傳輸距離都在180 km 左右.在使用GLLP 分析方法的對應結果中,雖然當δ=0 時,簽名率曲線最好并且安全傳輸距離也能達到181 km,但是當δ=0.3 時,安全傳輸距離直接下降到了40 km,可見該方法的簽名率對態制備誤差極為敏感,相比之下,本文方法對態制備誤差具有更好的魯棒性.

圖1 態制備誤差容忍方法和GLLP 分析方法簽名率大小對比結果Fig.1.Comparison on the signature rate between the statepreparation-error tolerance scheme and GLLP method.

圖2 展示了態制備誤差不同時,態制備誤差容忍方法和GLLP 分析方法的錯誤率對比結果,其中實線代表emin,虛線代表eU,當emin＞eU時保證協議是安全的.態制備誤差容忍的QDS 協議中,emin和eU受態制備誤差影響較小.然而在GLLP分析方法的QDS 協議之中,協議的安全性參數對態制備誤差較為敏感,特別是當δ=0.3時,emin和eU下降較快.可以看出在態制備誤差容忍的QDS協議中,態制備誤差對協議安全性能的影響較小,最終的安全傳輸距離變化不大.

圖2 態制備誤差容忍方法和GLLP 分析方法的錯誤率對比結果Fig.2.Comparison on the error rate between the state-preparation-error tolerance scheme and GLLP method.

圖3 展示了態制備誤差容忍方法和GLLP 分析方法下,傳輸距離固定為20 km 時,用于密鑰傳輸的總脈沖數Ntot不同時,簽名率曲線隨著態制備誤差變化的曲線.從圖3 可以看到,使用態制備誤差容忍協議的簽名率曲線隨著態制備誤差增大而緩慢下降,與之相反,使用GLLP 分析方法的簽名率曲線隨著態制備誤差增大而快速下降,顯示了本方法對態制備誤差的良好的魯棒性.此外,在不同的總脈沖數下,該趨勢基本沒有變化,顯示了本方法對有限長效應也具有良好的魯棒性.

圖3 傳輸距離為20 km 時,不同總脈沖數下,態制備誤差容忍方法和GLLP 分析方法簽名率隨著態制備誤差變化對比Fig.3.The signature rate vs.state preparation error for the state-preparation-error tolerance scheme and GLLP method under different total number of pulses.Here the transmission distance is fixed at 20 km.

4 結論

本文將損耗容忍分析方法結合到QDS 協議中,以三強度誘騙態為例,提出了態制備誤差容忍的QDS 協議,并進行簽名率的仿真.移除了原來完美態制備的假設之后,使得理論分析更加貼近于實際實現.當誤差取值不同時,本文提出的方法下的簽名率隨態制備誤差變化較小,最終傳輸距離能夠穩定在180 km 左右,并且安全性能曲線變化較小.而基于GLLP 分析方法的QDS 協議,簽名率隨態制備誤差變化較大,在態制備誤差較大時性能較差.因此從協議的整體性能來看,本文提出的方法對態制備誤差有良好的魯棒性,提高了協議性能.并且由于本方法只涉及3 個量子態的制備,因此也降低了實驗的難度.工作的分析方法也可以與測量設備無關協議的QDS 協議[6]和雙場的QDS協議[22]相結合,進一步增加協議的安全性能.因此本工作將會對QDS 的實現應用和安全性提高起到促進作用.