范宇騰,索磊,張春輝,2,陳家明,2,王琴,2*

(1南京郵電大學通信與信息工程學院量子信息技術研究所,江蘇 南京 210003;2南京郵電大學通信與信息工程學院寬帶無線與傳感網技術教育部重點實驗室,江蘇 南京 210003)

0 引言

數字簽名在現(xiàn)代通信中被廣泛地應用于電子郵件和電子商務等領域,以保證信息的真實性和完整性。它允許一個發(fā)送者和多個接收者之間進行信息交換,并保證信息不被抵賴、竊取和篡改。經典數字簽名方案的安全性源于非對稱密鑰加密技術,本質上基于數學計算復雜度,例如RSA算法[1]借助大整數因子分解的難度來保證信息安全,但隨著計算機技術不斷發(fā)展,傳統(tǒng)加密算法受到了挑戰(zhàn)。自2001年Gottesman和Chuang[2]將量子物理應用到數字簽名后,量子數字簽名(QDS)進入人們的視野。量子不可克隆定理[3]、測量塌縮理論和海森堡測不準原理[4]保證QDS具有無條件的安全性,這引起了國內外研究學者的興趣。2006年,Andersson等[5]提出了使用多端口干涉替代Swap Test的QDS方案,提高了QDS協(xié)議的可操作性;2012年,Clarke等[6]借助相干態(tài)和線性光學元件省去了QDS方案中非破壞態(tài)比較的前提條件,并提出了可行性高的簽名方案;2014年,Collins等[7]提出了不依賴量子存儲器也能實現(xiàn)系統(tǒng)安全通信的QDS方案;2016年,Donaldson等[8]演示了數公里級別的量子數字簽名實驗;同年,Amiri等[9]、Yin等[10]提出了不依賴安全量子信道的QDS方案,加快了QDS的普及和實用化進程;2017年,Roberts等[11]用偏振編碼方案實現(xiàn)了BB84協(xié)議與測量設備無關(MDI)協(xié)議可切換的QDS實驗演示;2018年,Zhang等[12]利用參量下轉化光源實現(xiàn)了200 km安全傳輸的被動式誘騙態(tài)量子數字簽名,提高了QDS的安全性和實用性;2019年,An等[13]在相位編碼的高速量子密鑰分配平臺上演示了最遠距離達125 km的QDS實驗,該系統(tǒng)基于Faraday-Sagnac-Michelson干涉儀結構[14],在安全性、重復頻率和穩(wěn)定性三個關鍵指標上均表現(xiàn)優(yōu)異;同年,Chen等[15]提出了基于參量下轉換光源的QDS協(xié)議;2020年,Ding等[16]提出了一種單誘騙態(tài)QDS方案,免去了真空態(tài)的調制,降低了實驗難度和隨機數消耗,實現(xiàn)了280 km的當前最遠傳輸距離。

實際的QDS實驗中,光源容易遭受光子數分離攻擊(PNS)而造成安全隱患,一般用誘騙態(tài)方法[17-19]來抵御。現(xiàn)有QDS實驗多使用主動式誘騙態(tài)方法,通過電光或聲光調制器將脈沖信號主動調制到不同光強上。而現(xiàn)有調制器由于技術缺陷,在施加不同大小的電壓時往往會引入側信道漏洞。針對主動式誘騙態(tài)方案強度調制所引入的側信道漏洞,本文提出了基于線性光學元件的被動式誘騙態(tài)QDS方案,并闡述了方案的基本流程和安全性分析,最后通過具體數值進行仿真,給出了兩種方案下的簽名率對比。盡管所提出方案無法完全避免側信道漏洞,但其仍然大大提高了系統(tǒng)的安全性。

1 方案內容與模型

1.1 QDS原理與工作流程[15]

QDS協(xié)議在最簡單的情況下包含一個簽名發(fā)送方(Alice)和兩個簽名接收方(Bob、Charlie),其工作流程包括分發(fā)階段和消息階段。下面以基于BB84協(xié)議的QDS方案為例進行說明。

分發(fā)階段需要使用經典信道和量子信道,這一階段的工作原理如圖1所示,具體步驟如下:

圖1 分發(fā)階段[15]Fig.1 Distribution stage[15]

1)對于要簽名的信息m=0或1,Alice通過量子信道使用密鑰生成協(xié)議(KGP)分別與Bob和Charlie產生兩份相關密鑰字符串。Bob、Charlie對每個脈沖隨機選擇誘騙態(tài)或信號態(tài)、X基或Z基來制備量子態(tài),Alice隨機選X基或Z基進行測量,記錄測量結果;雙方通過認證的經典信道公布自己使用的基矢,舍棄掉選基不同的數據。X基上的數據用于估計信道參數,Z基上的數據用于生成密鑰。最終,Alice獲得密鑰串和;Bob、Charlie分別得到相應的密鑰串

2)Bob(Charlie)和Alice從其所持有的密鑰串中隨機選取長度為k的部分比特用于估計信道傳輸時的誤碼率;然后,剩余的長度為L的密鑰串用于簽名。

3)Bob和Charlie通過秘密信道隨機選擇一半密鑰進行對換,并把相對應的位置發(fā)送給對方,之后雙方的密鑰串為上標表示原本的持有者,keep表示保留的部分,forward表示被交換的部分。

消息階段只使用經典信道,主要內容為比特信息和簽名的傳輸與驗證。具體步驟如下:

1)在傳輸一比特消息m(m為0或1)時,Alice將簽名信息(m,Sigm)發(fā)送給Bob,其中就是Alice對信息m的簽名。

3)類似地,收到轉發(fā)消息后,Charlie也將其持有的密鑰與簽名Sigm進行對比,如果不匹配率低于閾值Tv,則接收此簽名,否則拒絕接收該信息。Tv的設定取決于信息的轉發(fā)次數,為了防止Alice抵賴攻擊成功,一般要求0＜Ta＜Tv＜0.5。

1.2 方案模型

通過借鑒Curty等[20,21]的被動式誘騙態(tài)量子密鑰分發(fā)方案,提出將這種被動式誘騙態(tài)方案運用到QDS協(xié)議中,從而避免強度調制引入的側信道漏洞,提高QDS系統(tǒng)的安全性。為了處理方便,參考文獻[20],假設使用的發(fā)送端本地探測器為理想探測器,即探測效率為100%,暗計數率為0。即使在探測器非理想時,所提出推導過程依然適用。該被動式誘騙態(tài)光源制備結構示意圖如圖2所示。

圖2 基于線性光學元件的被動式誘騙態(tài)光源制備結構[20]Fig.2 Schematic of the passive decoy-state sources based on linear optical components[20]

圖2中,ρμ1、ρμ2表示兩個平均光子數分別為μ1、μ2的隨機相位的弱相干脈沖,ρout表示a出口的出射光,T表示分束器(BS)的透過率。由參考文獻[20～22]可知,弱相干光源在經過強衰減之后光子數仍服從泊松分布,故可得脈沖ρμ1、ρμ2的光子數態(tài)表達式[20]

2 安全性分析

2.1 參數估計

對所提出被動式誘騙態(tài)量子數字簽名方案進行安全性分析,主要包括魯棒性、不可偽造性、不可抵賴性這三方面。如果攻擊者Eve造成的誤碼低于一定數量,那么它就可能成功偽造簽名,一般用平滑最小熵來界定此事件的概率,以量化Eve的攻擊成功實施的可能性。規(guī)定分別以1-PZ和PZ的概率選擇X基和Z基,簽名所需密鑰統(tǒng)一用Z基成碼。根據文獻[9]可以得到Eve存在時的平滑最小熵表達式

2.2 魯棒性分析

2.3 不可偽造性分析

2.4 不可抵賴性分析

抵賴事件指Alice的簽名信息被Bob接收,Bob轉發(fā)給Charlie時被拒絕,將其設為事件H3。此事件需使任一部分與Sigm的不匹配率小于Ta,且任一部分與Sigm的不匹配率超過Tv。分發(fā)階段中Bob和Charlie交換了一半密鑰,而Alice不知道具體交換了哪一部分,這是防止抵賴攻擊的關鍵所在。假設Alice能控制其簽名與、之間的不匹配率,分別記為eB、eC,分析Bob、Charlie交換密鑰之后的情況。交換后,Bob、Charlie各自的兩部分密鑰串均有eCL/2和eBL/2的誤碼數。當eC＞Ta時,Bob一定不會接收Alice發(fā)送給他的簽名消息,所以只考慮eC≤Ta的情況,設Charlie交換給Bob的密鑰錯誤個數小于TaL/2這一事件為。同樣地,如果eB＞Ta,Bob很可能拒絕Alice發(fā)送給他的簽名消息,所以只考慮eB≤Ta的情形,抵賴攻擊需要Bob把誤碼盡可能交換出去,使Charlie與Sigm匹配的誤碼個數大于TvL/2,設這一事件為。如果抵賴成功,則無需考慮Charlie拒收的原因在于哪一部分密鑰,所以Charlie得到的誤碼個數大于TvL/2這一事件為根據文獻[9],抵賴攻擊的最佳策略是使,此時抵賴事件概率PH3滿足

綜上所述,在對魯棒性、不可偽造性和不可抵賴性三者沒有加權的情況下,可以定義此QDS方案的安全性為

除了上述對協(xié)議安全性的分析以外,還需要對方案所設計系統(tǒng)的性能進行評估。簽名率是評價QDS協(xié)議系統(tǒng)性能最重要的指標,此處簽名率可表示為

3 仿真結果及分析

將通過Matlab的數值仿真來對比所提出的被動式QDS方案與常見的主動式三強度QDS方案這兩者的性能。首先介紹在數值仿真過程的觀測量,可表示為

式中:W基表示X基或Z基的其中一個基,即W∈[X,Z];N表示發(fā)射端發(fā)射的光脈沖總數;PW為發(fā)射端發(fā)送和接收端接收時選擇W基的概率;ω為本地探測器響應情況,為ω情況下Bob端探測器的響應率和誤碼率,可由線性模型[15]求得,即

式中Yn、en為n光子的響應率、誤碼率,可以分別表征為[15]

式中:Y0=2Pd為發(fā)射真空態(tài)時的響應概率,Pd為系統(tǒng)的暗計數率;η=10-αdηB,α為系統(tǒng)衰減系數(單位:dB/km),ηB為接收端探測器的探測效率,d為通信系統(tǒng)的傳輸距離。

為了方便比較,使用了兩組系統(tǒng)參數進行仿真,其中第一組系統(tǒng)參數為參考文獻[25]所用參數值:接收端探測器的探測效率ηB=0.045,系統(tǒng)探測器的暗計數率Pd=8.5×10-7個/脈沖,光纖信道的傳輸損耗系數α=0.21 dB/km,系統(tǒng)的本底誤碼ed=0.033。第二組系統(tǒng)參數中,將第一組參數使用的InGaAs探測器的探測效率合理替換為當前超導探測器的探測效率,即ηB=0.9[26],其他參數不變。此外,在以上兩組參數中,統(tǒng)一設定發(fā)射端(Bob或Charlie)發(fā)射脈沖數N=1013,用于參數估計的長度占比k=1/21,安全概率設定為α1=2.5×10-11,?=10-10,?PE=10-5。在數值仿真過程中,通過借鑒文獻[27]提出的坐標下降法與局部搜索算法相結合的參數優(yōu)化算法,對兩種QDS方案的調制參數分別進行了全局優(yōu)化。在主動式方案中,優(yōu)化對象為三種光源的光強、選擇概率以及選擇Z基的概率;而被動式方案的優(yōu)化參數為兩束入射光光強與選擇Z基的概率。在同樣的系統(tǒng)參數下,分別將仿真得到的主動式、被動式QDS方案的誤碼率e與簽名率R進行對比,如圖3、圖4所示。

圖3(a)、(b)中,橫軸表示通信系統(tǒng)的傳輸距離,縱軸表示誤碼率的數值,其中,點曲線和虛線點曲線分別代表主動式誘騙態(tài)方案中誤碼率的變化趨勢;虛線和實線分別代表被動式誘騙態(tài)方案中誤碼率的變化趨勢。由安全性分析可知,系統(tǒng)是否安全的關鍵在于的大小關系,當竊聽者對系統(tǒng)造成的最小誤碼率(emin)大于發(fā)送、接收雙方正常操作可能產生的最大誤碼率()時,就可以保證簽名信息的安全性。其中從圖3(a)可以看出,被動式誘騙態(tài)方案中,隨著傳輸距離的增加,emin逐漸變小,逐漸增大,二者相交于122 km處;在交點之后,由于,簽名的安全性無法保證,因此可判斷被動式誘騙態(tài)方案的最遠安全傳輸距離為122 km。同理,由主動式誘騙態(tài)方案中emin和的交點在148 km處,可判斷其最遠安全傳輸距離為148 km。同樣,根據圖3(b)可推斷,在ηB=0.9時,主動式、被動式方案的最遠安全距離分別為208 km和183 km。

圖4(a)、(b)中,橫軸代表傳輸距離,而縱軸代表簽名率大小,其中虛線(Active)和點線(Passive)分別代表主動式誘騙態(tài)和被動式誘騙態(tài)方案的簽名率大小。顯然,兩種方案的簽名率均隨傳輸距離的增加而下降,ηB=0.045時,二者的截止傳輸距離分別為148 km和122 km;當ηB=0.9時截止傳輸距離分別為208 km和183 km,與圖3(a)、(b)的結果相一致。與主動式誘騙態(tài)QDS方案相比,所提出的被動式誘騙態(tài)QDS方案簽名率偏低,但是需要指出,在目前的數值仿真中并沒有考慮光源調制誤差。倘若考慮光源調制引起的誤差,被動式方案不受影響,主動式誘騙態(tài)方案則會降低性能和安全性。

4 結論

針對現(xiàn)有主動式誘騙態(tài)QDS方案中存在的側信道漏洞問題,本文提出了基于線性光學元件的被動式誘騙態(tài)QDS方案,原理簡單、安全性較高、操作容易。在此基礎上本文開展了相關數值仿真和參數優(yōu)化工作,并與主動式方案進行了對比分析。結果顯示,在不考慮光源調制誤差的情況下,被動式方案的簽名率和簽名距離一定程度上遜于主動式方案。但考慮到在實際應用中主動式方案要求發(fā)送方隨機、高速地調制不同脈沖強度,將不可避免地引入光強調制誤差,導致系統(tǒng)性能降低。因此,本文對量子數字簽名的實際應用具有重要的參考價值。不過考慮到在實際應用時本地探測器并不是探測效率為100%的理想單光子探測器,由于信號光與休閑光之間可能存在多種模式關聯(lián)的特性,該方面的安全性分析問題值得開展更深層次的分析與研究。