鄭 濤 張仕斌 昌 燕 李雪楊

(成都信息工程大學(xué) 四川 成都 610225)

0 引 言

1984年Bennett和Brassard提出了第一個(gè)量子密碼協(xié)議，即BB84協(xié)議[1]。隨后科研工作者們提出了大量的量子密碼協(xié)議與量子通信協(xié)議，包括量子密鑰分發(fā)協(xié)議(QKD)[2-4]、量子直接安全通信協(xié)議(QSDC)[5-7]、量子秘密共享協(xié)議(QSS)[8-9]、量子隱私查詢協(xié)議(QPQ)[10-15]等。

電子簽名的概念由Diffie和Hellman在1976年第一次提出[11]，1983年Chaum等基于電子簽名提出了盲簽名的概念。盲簽名協(xié)議的基本要求有：(1)不可偽造性，除簽名人之外沒有人可以偽造簽名。(2)不可否認(rèn)性，消息擁有者和簽名人都不能否認(rèn)自己對(duì)消息的操作。(3)盲性，簽名者不能將自己的簽名與消息對(duì)應(yīng)起來(lái)。盲簽名方案在現(xiàn)實(shí)生活中有著廣泛的應(yīng)用，比如匿名選舉、電子現(xiàn)金交易等。

隨著量子技術(shù)的不斷發(fā)展，量子計(jì)算機(jī)的出現(xiàn)將會(huì)使基于數(shù)學(xué)計(jì)算復(fù)雜性的簽名方案變得不再安全。研究人員在過(guò)去的十多年內(nèi)開始研究基于量子信息的簽名協(xié)議。2001年Gottsman等[16]提出了基于量子單向函數(shù)的簽名方案。曾貴華等[17]于同年提出了基于GHZ態(tài)的量子仲裁簽名方案。這兩個(gè)方案都要求一個(gè)可信的第三方來(lái)完成認(rèn)證。2009年溫曉軍等[18]提出了基于量子密鑰的弱盲簽名協(xié)議，2010年他們又提出了基于量子秘密共享的強(qiáng)盲簽名協(xié)議[19]。2011年陳永志等[20]提出了基于可控形態(tài)的代理弱盲簽名協(xié)議。隨后出現(xiàn)了一系列基于量子密鑰的盲簽名協(xié)議[21-27]。

本文提出了一種基于Bell態(tài)糾纏交換的盲簽名協(xié)議，消息擁有者與簽名者使用量子密鑰分發(fā)技術(shù)共享密鑰對(duì)消息進(jìn)行加密，協(xié)議使用一次一密技術(shù)保證整個(gè)簽名過(guò)程的絕對(duì)安全性。

1 準(zhǔn)備知識(shí)

1.1 糾纏交換

四種Bell態(tài)粒子描述如下：

假設(shè)Alice擁有Bell態(tài)粒子|φ+〉12，Bob擁有|φ+〉34，經(jīng)過(guò)Bell糾纏交換，量子系統(tǒng)變化為：

(1)

當(dāng)對(duì)粒子1和粒子3執(zhí)行Bell基測(cè)量時(shí)，粒子2和粒子4塌縮到對(duì)應(yīng)的糾纏狀態(tài)。比如Alice對(duì)粒子1和粒子3的Bell基測(cè)量結(jié)果為|ψ+〉13，則Bob對(duì)粒子2和粒子4的測(cè)量結(jié)果為|ψ+〉24。

1.2 量子邏輯操作

四種常見的量子邏輯操作(泡利操作符)表示為：

σ00=I=|0〉〈0|+|1〉〈1|σ01=σx=|0〉〈1|+|1〉〈0|σ10=iσy=|0〉〈1|-|1〉〈0|σ11=σz=|0〉〈0|-|1〉〈1|

以Bell態(tài)|φ+〉A(chǔ)B為例，經(jīng)過(guò)泡利操作符作用后，量子態(tài)變化情況如表1所示。

表1 Puali操作與Bell態(tài)粒子的測(cè)量結(jié)果

2 量子盲簽名方案

2.1 初始化階段

(1) 消息變換：Alice將待簽名消息m轉(zhuǎn)換成二進(jìn)制序列M=T2(m1,m2,…,mn)∈{0,1}n。T2代表一個(gè)二進(jìn)制轉(zhuǎn)換函數(shù)。

(2) 密鑰共享：假定Alice是消息擁有者，Bob是消息確認(rèn)者，Charlie是盲簽名者。通過(guò)量子密鑰分發(fā)技術(shù)(Quantum Key Distribution,QKD)，Alice與Bob秘密共享keyAB，Alice與Charlie秘密共享keyAC，Bob與Charlie秘密共享keyBC。QKD的物理安全特性保證密鑰分發(fā)過(guò)程的絕對(duì)安全性。

(3) 粒子制備與分發(fā)：Charlie制備兩串長(zhǎng)度為n的Bell態(tài)粒子序列，n代表消息的長(zhǎng)度。為方便描述，假定兩串Bell態(tài)處于|φ+〉12和|φ+〉34(其余狀態(tài)的簽名過(guò)程類似)，Charlie按粒子下標(biāo)將其分成序列P={S1,S2,S3,S4},其中Si代表兩串Bell態(tài)中所有下標(biāo)為i的粒子組成的序列。Charlie將S1S3發(fā)送給Alice，將S2發(fā)送給Bob，自己保留S4。

2.2 簽名階段

表2 二進(jìn)制消息M經(jīng)量子門轉(zhuǎn)換后的變換情況

(2) 盲簽名：Charlie收到EkeyAB(R1R3)后，使用Z基(|0〉,|1〉)或X基(|+〉,|-〉)對(duì)自己保留的S4進(jìn)行測(cè)量，得到測(cè)量結(jié)果R4。Charlie使用keyBC加密R4和EkeyAB(R1R3)，得到EkeyBC(R4,EkeyAB(R1R3))。Charlie將EkeyBC(R4,EkeyAB(R1R3))發(fā)送給Bob。

2.3 驗(yàn)證簽名階段

(1) Bob接收了Charlie發(fā)送的加密序列后EkeyBC(R4,EkeyAB(R1R3))，使用keyBC解密后獲得R4和EkeyAB(R1R3)，再使用keyAB解密EkeyAB(R1R3)獲得R1R3；根據(jù)R4，Bob選擇相同的測(cè)量基對(duì)S2進(jìn)行測(cè)量，得到R2。此時(shí)Alice告知Bob她對(duì)消息M的綁定規(guī)則。

表3 驗(yàn)證規(guī)則

3 方案分析

3.1 無(wú)條件安全性

在本協(xié)議中，Alice與Bob、Charlie三方分別秘密共享的密鑰都是通過(guò)量子密鑰分配技術(shù)(quantum key distribution,QKD)在量子信道中完成分發(fā)的。量子密鑰分配技術(shù)結(jié)合一次一密(one-time pad,OTP)在理論和實(shí)踐中都已經(jīng)被證明是絕對(duì)安全可靠的，因此密鑰keyAB和keyBC以及keyAC均是絕對(duì)安全的。

如果攻擊者Eve采用截獲重發(fā)攻擊(一種強(qiáng)有力的攻擊方式)，量子的不可克隆性保證了Bell態(tài)粒子是不可被復(fù)制的，Eve對(duì)截獲的粒子進(jìn)行測(cè)量等操作勢(shì)必會(huì)破壞Bell態(tài)粒子的糾纏關(guān)系，Alice簽名信息相應(yīng)會(huì)產(chǎn)生擾動(dòng)，Charlie將拒絕簽名；同理，三方均可以通過(guò)分析粒子糾纏關(guān)系以及檢測(cè)量子信道等方式來(lái)檢測(cè)是否存在竊聽者。若發(fā)現(xiàn)竊聽者存在，協(xié)議終止。需要注意的是，由于Alice通過(guò)泡利操作將消息編碼在S1S3中，假設(shè)Eve僥幸避開檢測(cè)，也得不到任何有用的信息。

3.2 不可偽造性

假設(shè)Alice或Eve是不誠(chéng)實(shí)的用戶，她們想偽造簽名者Charlie來(lái)對(duì)消息進(jìn)行簽名，達(dá)到欺騙的目的。通過(guò)分析協(xié)議可以得知：keyBC是Charlie和Bob通過(guò)QKD和OTP進(jìn)行安全保障的，Alice或Eve在不知道keyBC的情況下是不可能得到加密序列EkeyBC(R4,EkeyAB(R1R3))；與此同時(shí)，Charlie將自己對(duì)S4的測(cè)量結(jié)果R4也放在盲簽名序列中，Alice或Eve無(wú)法得知R4的正確信息，因此本協(xié)議產(chǎn)生的盲簽名是不可偽造的。

3.3 不可抵賴性

根據(jù)協(xié)議的描述，Charlie是無(wú)法否認(rèn)自己的盲簽名信息:Bob接收的加密序列使用的密鑰必須為Bob與Charlie秘密共享的keyBC；同理，Charlie收到的加密序列EkeyAB(R1R3)必須由密鑰keyAB加密，當(dāng)Bob使用keyBC解密了EkeyBC(R4,EkeyAB(R1R3))后，只能使用keyAB才能解密出正確的R1R3，因此Alice也無(wú)法否認(rèn)自己對(duì)消息的編碼操作。

3.4 消息盲性

在本協(xié)議中，Charlie在執(zhí)行簽名的過(guò)程中，所有消息內(nèi)容都是Alice通過(guò)keyAB加密的EkeyAB(R1R3)，Charlie無(wú)法在簽名時(shí)獲取任何和消息相關(guān)的內(nèi)容。簽名完成后，Alice與Bob的信息交換均不涉及原始的消息，而是通過(guò)對(duì)量子序列的操作。即Charlie無(wú)法將自己的簽名與Alice的消息對(duì)應(yīng)起來(lái)，達(dá)到了盲簽名效果。

3.5 效率分析

量子簽名協(xié)議的效率可以用如下公式計(jì)算：

表4 效率分析

4 結(jié) 語(yǔ)

本文基于Bell態(tài)糾纏變換關(guān)系，提出了一個(gè)量子盲簽名協(xié)議，消息擁有者對(duì)粒子序列執(zhí)行泡利操作完成經(jīng)典消息向量子消息的轉(zhuǎn)變。三個(gè)參與方通過(guò)分別共享的量子密鑰保證了協(xié)議的絕對(duì)安全性。通過(guò)方案分析可知本協(xié)議滿足盲簽名定義，通過(guò)效率分析可知完成n比特消息的盲簽名，本協(xié)議的粒子效率為28.6%。由于現(xiàn)實(shí)通信環(huán)境的噪音等干擾因素，實(shí)際粒子效率可能偏低。