張維 韓正甫

1) (黔南民族師范學(xué)院數(shù)學(xué)與統(tǒng)計(jì)學(xué)院, 復(fù)雜系統(tǒng)與計(jì)算智能重點(diǎn)實(shí)驗(yàn)室, 都勻 558000)

2) (中國(guó)科學(xué)技術(shù)大學(xué), 中科院量子信息重點(diǎn)實(shí)驗(yàn)室, 合肥 230026)

1 前 言

經(jīng)典簽名是對(duì)手寫(xiě)簽名的模擬, 并已經(jīng)被廣泛應(yīng)用于電子商務(wù)、電子政務(wù)和電子支付等領(lǐng)域, 它的安全性基于一些數(shù)學(xué)上的難解問(wèn)題假設(shè), 如大數(shù)分解問(wèn)題和離散對(duì)數(shù)問(wèn)題等. 很不幸的是, 1994年Shor[1]發(fā)現(xiàn)了多項(xiàng)式時(shí)間的量子因數(shù)分解算法, 該算法能夠快速地實(shí)現(xiàn)大整數(shù)的因數(shù)分解. 因此, 以RSA為代表的公鑰密碼系統(tǒng)在量子計(jì)算機(jī)面前將沒(méi)有任何保密性可言, 量子計(jì)算機(jī)可以在瞬間攻破它. 相比于經(jīng)典簽名, 量子簽名是一種基于未知量子態(tài)不可克隆定理和海森堡測(cè)不準(zhǔn)原理等基本物理屬性之上的簽名協(xié)議. 特別是有一些量子簽名協(xié)議已經(jīng)在理論上被證明是無(wú)條件安全的[2,3]. 因此,量子簽名受到了越來(lái)越多研究者的關(guān)注, 成為量子密碼的一個(gè)重要分支. 量子簽名協(xié)議有望在量子時(shí)代里取代經(jīng)典簽名, 廣泛應(yīng)用于電子商務(wù)、電子政務(wù)和電子支付等領(lǐng)域. 研究者們也參照經(jīng)典簽名設(shè)計(jì)出了一些與之對(duì)應(yīng)的量子簽名協(xié)議.

2001年, Gottesman和Chuang[4]基于量子單向函數(shù)和量子交換測(cè)試給出了第一個(gè)量子簽名協(xié)議, 并指出該協(xié)議是可以抵御量子攻擊的. 從那之后, 量子簽名迅速蓬勃發(fā)展起來(lái), 各種不同類(lèi)型的量子簽名協(xié)議相繼被提出. 如2002年, Zeng和Keitel[5]提出了一個(gè)基于GHZ糾纏態(tài)的量子仲裁簽名協(xié)議; 2009年, Li等[6]給出了一個(gè)基于貝爾態(tài)的量子仲裁簽名協(xié)議, 與Zeng和Keitel提出的協(xié)議相比, 不僅可以節(jié)約糾纏資源還提高了簽名的效率; 2010年, Zou和Qiu[7]給出了一個(gè)不需要使用量子糾纏的量子仲裁簽名協(xié)議. 隨著人們對(duì)量子簽名研究的深入, 針對(duì)不同的應(yīng)用需求, 提出了不同類(lèi)型的量子簽名協(xié)議, 如量子代理簽名[8?12]、量子群簽名[13?17]、量子盲簽名[18?21]和量子多重簽名[22,23]等.

一個(gè)安全的量子簽名協(xié)議必須滿(mǎn)足不可偽造和不能抵賴(lài)兩方面的要求. 所謂不可偽造指的是除了合法的簽名者以外, 任何人不能偽造簽名者的簽名, 包括簽名協(xié)議的參與者(消息發(fā)送者或接收者等)和任何的外部攻擊者[24]. 不可抵賴(lài)指的是任何參與者都不能拒不承認(rèn)他們的所有行為, 包括：1)消息發(fā)送者不能拒不承認(rèn)發(fā)送消息的事實(shí);2)每一個(gè)簽名者不能拒不承認(rèn)他們自己的簽名;3)簽名接收者不能拒不承認(rèn)他收到簽名的事實(shí),也不能拒不承認(rèn)簽名的完整性[25]. 對(duì)于量子盲簽名而言還需要滿(mǎn)足盲性和可追溯性[25]. 所謂盲性指的是簽名者在簽名的時(shí)候不能獲取他所簽名消息的具體內(nèi)容, 而可追溯性是指在簽名雙方無(wú)法達(dá)成一致的時(shí)候, 簽名者可以追溯到消息的發(fā)送者[25].

2014年, Tian等[26]給出了一個(gè)基于量子隱形傳態(tài)的量子廣播多重盲簽名協(xié)議, 該協(xié)議有望應(yīng)用于網(wǎng)上銀行系統(tǒng). 然而Zhang等[27]對(duì)該協(xié)議進(jìn)行了安全性分析, 發(fā)現(xiàn)它存在一些潛在的安全漏洞,并給出了一個(gè)改進(jìn)協(xié)議. 針對(duì)Zhang等提出的協(xié)議中復(fù)合簽名的大小隨著簽名者的個(gè)數(shù)呈線(xiàn)性增長(zhǎng)這一問(wèn)題, Xiao和Li[25]基于糾纏交換給出了一個(gè)新的量子廣播多重盲簽名協(xié)議, 該協(xié)議的復(fù)合簽名的大小是一個(gè)定值, 不會(huì)隨參與者的個(gè)數(shù)呈線(xiàn)性增長(zhǎng). 在文獻(xiàn)[28]中, Tian等基于三粒子極大糾纏GHZ態(tài)給出了一個(gè)量子廣播多重盲簽名協(xié)議.隨后Zhang等[29]指出了該協(xié)議潛在的安全風(fēng)險(xiǎn)并給出了一個(gè)改進(jìn)方案. 本文在文獻(xiàn)[29]的基礎(chǔ)上給出了一個(gè)基于三粒子部分糾纏態(tài)的量子廣播多重盲簽名協(xié)議, 該協(xié)議使用的是三粒子部分糾纏態(tài),與基于GHZ態(tài)的協(xié)議相比, 它不再依賴(lài)于極大糾纏態(tài), 降低了協(xié)議的實(shí)現(xiàn)條件, 節(jié)省糾纏資源的同時(shí)還可以不損失安全性, 這充分體現(xiàn)了在某些情況下, 多體部分糾纏可以作為一種資源實(shí)現(xiàn)完美的量子通信任務(wù).

2 量子廣播多重盲簽名協(xié)議

首先介紹本文采用的量子一次一密加密算法(QOTP encryption algorithm). 若量子信息, 其 中滿(mǎn) 足= 1. 該算法可以用一個(gè)酉算子表示為

這是一個(gè)改進(jìn)了的量子一次一密加密算法, 它是由Kim等首次在文獻(xiàn)[30]中提出的. (1)式中的輔助算子是為了破壞泡利算子間的對(duì)易或反對(duì)易性, 以保證加密后的消息不能被攻擊者修改. 更準(zhǔn)確的描述為： 對(duì)任意的量子消息, 不存在非單位的酉算子和, 使得

為了保證簽名協(xié)議中簽名的初始性, 也即簽名不能被隨意更改, 我們使用了哈希函數(shù). 本文使用的哈希函數(shù)是一個(gè)單向函數(shù), 定義如下[31]：

本文新設(shè)計(jì)的協(xié)議采用的是一個(gè)三粒子部分糾纏態(tài)[32]

3)之后對(duì)二三粒子做一個(gè)貝爾基測(cè)量, 并記錄結(jié)果如下：

由(5)式可以得到如下式子成立：

整個(gè)簽名協(xié)議包含四個(gè)過(guò)程, 即初始過(guò)程、個(gè)體簽名過(guò)程、單個(gè)簽名驗(yàn)證和復(fù)合簽名生成過(guò)程以及復(fù)合簽名驗(yàn)證過(guò)程, 如圖1所示.

圖1 量子廣播多重盲簽名協(xié)議的圖示Fig. 1. The graph of quantum broadcasting multiple blind signature scheme.

下面給出協(xié)議的具體過(guò)程：

1)初始過(guò)程：

(1) 量子密鑰分配.

Alice分別與Bob, Charlie以及每一個(gè)簽名者分享4n比特密鑰,和; Charlie與每一個(gè)簽名者分享8n比特密鑰; Bob與Charlie分享4n比特密鑰. 為了保證協(xié)議的無(wú)條件安全性, 所有的密鑰都采用量子密鑰分配協(xié)議來(lái)分享密鑰.

(2) 經(jīng)典消息都轉(zhuǎn)換成量子消息.

2)個(gè)體簽名過(guò)程：

(1) 消息盲化.

(2) 糾纏分發(fā).

Charlie生成n個(gè)三粒子部分糾纏態(tài)

然后將它們的第一個(gè)粒子發(fā)送給Alice, 第二粒子發(fā)送給簽名者, 保留第三粒子. 此處僅以一個(gè)簽名者為例來(lái)描述個(gè)體簽名過(guò)程, 且所有粒子都是通過(guò)安全的量子信道來(lái)分發(fā)的, 以保證在整個(gè)簽名過(guò)程中都能保持原有的量子糾纏.

(3) Alice的測(cè)量.

Alice對(duì)她收到的粒子做Z?型基測(cè)量, 并生成隨機(jī)字符串,

(4) 個(gè)體簽名.

并將作用后的量子態(tài)序列依次發(fā)送給Charlie. 同時(shí),利用已有的密鑰生成一個(gè)隨機(jī)串,滿(mǎn)足

3)個(gè)體簽名驗(yàn)證和復(fù)合簽名生成過(guò)程.

(4) 個(gè)體簽名驗(yàn)證.

是否都成立. 如果(21)式中的等式都成立, 則Charlie接受簽名. 否則, 拒絕簽名并終止協(xié)議.

(5) 復(fù)合簽名的生成.

與此同時(shí), Charlie生成

于是可以得到消息

4)復(fù)合簽名驗(yàn)證過(guò)程.

(1) 比對(duì)消息.

(2) 驗(yàn)證復(fù)合簽名.

相比于文獻(xiàn)[29]中提出的協(xié)議, 本文提出的協(xié)議的優(yōu)勢(shì)為： 用三粒子部分糾纏態(tài)取代了三粒子極大糾纏GHZ態(tài), 一定程度上節(jié)省了糾纏資源, 降低了協(xié)議實(shí)現(xiàn)的條件, 提高了協(xié)議的可應(yīng)用性.

3 安全性分析

一個(gè)安全的簽名協(xié)議必須滿(mǎn)足不可偽造和不可抵賴(lài)兩個(gè)基本條件, 由于協(xié)議是一個(gè)盲簽名協(xié)議, 還必須滿(mǎn)足盲性和可追溯性. 下面就不可偽造、不可抵賴(lài)、盲性和可追溯性來(lái)一一說(shuō)明.

3.1 不可偽造

3.1.1 Alice不能偽造簽名

3.1.2 Charlie無(wú)法偽造簽名

Charlie作為簽名收集者, 他可以獲取所有的個(gè)體簽名并生成復(fù)合簽名, 被認(rèn)為是最有可能偽造簽名的, 下面將說(shuō)明Charlie也是不能偽造簽名的.因?yàn)镃harlie擁有所有的個(gè)體簽名, 因此, 他可以隨意地更改每一個(gè)個(gè)體簽名. 譬如Charlie將簽名的前段和分別改為和, 但保持是保持不變的. 看似整個(gè)過(guò)程天衣無(wú)縫, 但是修改后的簽名仍然是不能通過(guò)驗(yàn)證的. 因?yàn)樵隍?yàn)證過(guò)程中Bob不但要檢驗(yàn)復(fù)合簽名, 還要對(duì)每一個(gè)個(gè)體簽名進(jìn)行檢驗(yàn). 由于Charlie無(wú)法提前獲知生成所需的簽名者的密鑰, 因此無(wú)法根據(jù)修改后的和去確定它們所對(duì)應(yīng)的和, 使它們滿(mǎn)足(26)式, 因此無(wú)法確保修改后的簽名能通過(guò)驗(yàn)證. 由此可見(jiàn)Charlie也無(wú)法偽造簽名.

3.1.3 Bob無(wú)法偽造簽名

Bob作為簽名接收者, 一個(gè)被認(rèn)為是最好偽造簽名的辦法就是當(dāng)他驗(yàn)證完簽名后, 再將修改為并宣稱(chēng)就是他收到的簽名. 但在驗(yàn)證階段,所有的信息都公布在公告板上, 任何人都可以對(duì)簽名進(jìn)行驗(yàn)證. 因此, Bob的不誠(chéng)實(shí)行為很容易就被發(fā)現(xiàn)了. 由此可見(jiàn), Bob也不能偽造簽名.

3.1.4 外部攻擊者不能偽造簽名

在這一小節(jié)主要討論幾種常見(jiàn)的外部攻擊手段, 如糾纏輔助粒子攻擊, 截獲?重發(fā)攻擊和中間人攻擊. 糾纏輔助粒子攻擊是一種常見(jiàn)的攻擊方案,所謂糾纏輔助粒子攻擊就是攻擊者用一個(gè)輔助粒子與信道中所發(fā)送的量子態(tài)相結(jié)合, 然后通過(guò)CNOT門(mén)使得它們之間建立糾纏, 然后通過(guò)解糾纏并測(cè)量輔助粒子來(lái)獲取消息[24]. 由于本協(xié)議在分發(fā)糾纏粒子的時(shí)候采用的是安全的量子信道, 外部攻擊者無(wú)法將輔助粒子與信道中傳輸?shù)牧Ｗ舆M(jìn)行糾纏, 該方案是行不通的. 因此, 外部攻擊者無(wú)法使用該方案來(lái)偽造簽名. 對(duì)于截獲?重發(fā)攻擊, 由于協(xié)議中所有的消息都是先轉(zhuǎn)換成量子消息, 然后經(jīng)過(guò)改進(jìn)后的量子一次一密加密算法加密后進(jìn)行傳輸, 攻擊者即使截獲了消息也無(wú)法偽造簽名. 對(duì)于中間人攻擊, 由于在參與者之間事先利用量子密鑰分配協(xié)議分享了安全的密鑰, 由量子密鑰的無(wú)條件安全性可知, 攻擊者是無(wú)法獲取到參與者的密鑰的, 因此, 攻擊者無(wú)法實(shí)行中間人攻擊. 綜上所述,外部攻擊者是不能偽造簽名的.

3.2 不可抵賴(lài)

3.2.2 接收者Bob不能抵賴(lài)

Bob的抵賴(lài)包含兩個(gè)層面： 1)Bob拒不承認(rèn)他收到簽名這一事實(shí); 2)Bob拒絕簽名的完整性. 首先來(lái)說(shuō)明Bob不能拒不承認(rèn)他收到了簽名. 因?yàn)樵隍?yàn)證簽名的時(shí)候, Bob需要比對(duì)消息, 如果消息一致, 則公布, 否則, 公布. 當(dāng)他公布驗(yàn)證參數(shù)時(shí), 則表明他已經(jīng)收到了消息. 在協(xié)議中Charlie是將消息和簽名依次發(fā)送給Bob的. 如果Bob堅(jiān)持聲稱(chēng)沒(méi)有收到簽名, 則Charlie可以再發(fā)送一次或是直接公布簽名. 這樣Bob就不能不承認(rèn)他已經(jīng)收到簽名. 接下來(lái)說(shuō)明Bob不能拒絕簽名的完整性. 所謂拒絕簽名的完整性指的是Bob已經(jīng)驗(yàn)證了成立, 但為了自身的利益,謊稱(chēng)來(lái)拒絕簽名. 由于該簽名協(xié)議簽發(fā)的都是經(jīng)典消息, 且Alice, Charlie和Bob都可以得到該消息. 當(dāng)Bob謊稱(chēng)來(lái)拒絕簽名時(shí), 可以要求Alice, Charlie和Bob同時(shí)公布消息, 由于只有Bob在撒謊, 因此, Alice和Charlie所公布的消息一定是一致的, 此時(shí)可以根據(jù)少數(shù)服從多數(shù)的原則來(lái)判定Bob是在撒謊. 由此可見(jiàn), Bob也是不能拒絕簽名的完整性的. 綜上所述, 在協(xié)議中Bob是不可抵賴(lài)的.

3.3 盲性

本協(xié)議中, 消息在發(fā)送之前都通過(guò)了盲化處理, 將每一份消息轉(zhuǎn)換成了到Bob的密鑰, 于是簽名者也無(wú)法獲知消息. 因此, 該簽名協(xié)議是一個(gè)盲簽名協(xié)議, 具有盲性.

3.4 可追溯性

雖然簽名者不能獲取消息的內(nèi)容, 但是一旦發(fā)生糾紛, 簽名者可以追溯到消息的發(fā)送者. 本協(xié)議中消息在盲化處理的時(shí)候都轉(zhuǎn)化成了協(xié)議中只有Alice同時(shí)擁有這兩個(gè)密鑰, 因此,很容易就可以確認(rèn)消息來(lái)自于Alice.

4 結(jié) 論

本文在前人已有的工作基礎(chǔ)上, 給出了一個(gè)基于三粒子部分糾纏態(tài)的量子廣播多重盲簽名協(xié)議.與文獻(xiàn)[29]中基于GHZ態(tài)的協(xié)議相比, 該協(xié)議在安全性上并沒(méi)有受到任何損失, 這是一件有意義的事情. 眾所周知量子糾纏是一種重要的資源, 在量子計(jì)算和量子通信中發(fā)揮著不可替代的作用, 但是糾纏資源非常脆弱, 很容易受環(huán)境的影響而發(fā)生退相干現(xiàn)象. 在現(xiàn)有的技術(shù)條件下, 要在整個(gè)通信過(guò)程中長(zhǎng)時(shí)間地保持極大糾纏是一件有難度的事情,而本文的協(xié)議不再依賴(lài)極大糾纏態(tài)而使用部分糾纏態(tài), 這不僅節(jié)約了糾纏資源, 降低了協(xié)議實(shí)現(xiàn)的條件, 一定程度上提高了協(xié)議的可應(yīng)用性. 這也充分體現(xiàn)了在某些情況下, 多粒子部分糾纏也可以作為一種資源來(lái)完美地完成一些既定的通信任務(wù). 但是本協(xié)議安全性是基于使用的哈希函數(shù), 仍是基于計(jì)算安全的. 如何設(shè)計(jì)一個(gè)具有理論上無(wú)條件安全的基于部分糾纏的量子廣播多重盲簽名協(xié)議是值得考慮的.