徐国梁，邹祥福（五邑大学 数学与计算科学学院，广东 江门 529020）

对一类量子同态签名方案的合谋攻击

徐国梁，邹祥福
（五邑大学 数学与计算科学学院，广东 江门 529020）

对现有量子签名方案进行安全分析有助于评估量子签名的安全性、发现潜在漏洞和修复漏洞，因此，本文构造了一类有效的合谋攻击，并指出了一类量子同态签名方案在该合谋攻击下是不安全的.在此攻击中，发送者只需通过合谋巧妙地改变所签的消息即可实现抵赖，并从纠缠交换和签名验证两个方面分析了此类合谋攻击奏效的主要原因.该签名方案验证纠缠交换后的签名的状态并不能够验证单个消息的源，从而使得该签名方案不安全.

量子签名；量子同态签名；合谋攻击；纠缠交换

随着量子密码学的发展，Gottesman和Chuang提出了量子签名的概念[1].与手写签名和电子签名相比，量子签名的优势在于其用量子力学原理来确保签名的安全性[2]，因此受到众多研究者的关注[3-6].最近，为了在量子网络中解决消息源认证问题，尚涛等人[7]提出了两个量子同态签名方案，本文分别记为Shang2015a和Shang2015b，其中Shang2015b是Shang2015a的推广.不失一般性，本文主要考虑Shang2015a，最后再讨论其推广的情形.与经典情形不同，他们巧妙地利用纠缠交换[8]（量子纠缠中一种奇妙的性质）构造同态操作.据此，文献[7]认为攻击者对 Shang2015a和Shang2015b的任何攻击都会被检测到.

合谋攻击是指某协议的参与者们为了各自的利益，秘密协商达成一致意见利用协议的漏洞实现某种攻击.本文通过构造合谋攻击指出文献[7]中的签名方案是不安全的.我们构造的合谋攻击可以使消息发送者对发送的消息进行抵赖，并不被发现.本文首先描述所构造合谋攻击的策略，然后通过分析这类同态签名方案的纠缠交换和签名验证来讨论合谋攻击奏效的深层次原因.

1 合谋攻击

为方便阅读，补充以下一些基本知识和符号.

3）文献[7]中使用的酉算子定义如下：对于任意两位经典比特 Xi∈ {00,01,10,11}，

4）Shang2015a涉及2个签名者 A1和 A2，而Shang2015b涉及3个签名者 A1、 A2和 A3.此外，他们都涉及一个聚合器 M1和一个验证者 M2，都由4个阶段组成：初始化阶段、签名阶段、联合阶段和验证阶段.用 Pi表示第i个粒子， Pi, j表示 Pi和 Pj粒子对.然后， M1分别发送 P2和 P4给 A1和 A2.P2和 P4的状态分别被表示为和.

A1和 A2可以通过如下步骤实现对Shang2015a的合谋攻击.

1）完成Shang2015a后， Ai( i = 1,2)为了利益可以选择消息′替代作为初始消息，并且通过秘密商议让成立.

2）A1宣布′为初始消息.根据Shang2015a，M2通过比较和Z是否相等来验证.使用安全密钥 Yi( i = 1,2)， M2得到根据此协议， M2只能认可 Ai( i = 1,2)发的消息是.

2 主要原因

2.1 纠缠交换的分析

Shang2015a利用纠缠交换来构造同态操作.本文主要集中讨论纠缠交换，以求获得这类同态方案易受合谋攻击的原因.为便于分析，在表1（由文献[7]中Table1整理得到）中将粒子纠缠交换后的状态分成4组.

把表1中的初始态看作1A和2A的签名的联合量子状态（JQS）.在相同的组中，纠缠交换后的粒子的状态除了里面的加减符号外完全一样，即通过Bell态测量，同组的4个JQS产生相同的结果态.所以，2M 通过测量结果态并不能区分到底哪一个是初始的JQS.2M 不能利用所有的粒子和安全秘钥恢复初始的JQS，原因是根据纠缠交换，1,2P 将随机塌陷成4个Bell态之一.下面用一个例子来证明.

测量后， P1,3将随机塌陷成4个Bell态之一.如，当 M1测得时，则.在收到4个粒子后， M2可以得到.注意到，当JQS为和时， M1和 M2测量后也可能获得同样的、不可区分的结果态.此外，如果初始的JQS是M2在P1,2上执行一个Bell态测量后，根据纠缠交换，

P1,2的状态将随机塌陷成4个Bell态之一.所以， M2没有能力恢复初始的JQS.

表1 纠缠交换后的粒子的状态[7]

表2 相同组之间的转换

一般地，无论有多少用户，因为 M2只验证状态处于4个Bell态之一的 P2,2n（n表示用户的数量，n≥ 2），所以它只能获得4种可能的结果.然而，可能的JQS的数量是4n.所以，可以知道一个验证结果对应到 4n-1个不可区分的 JQS.

综上，因为每一个可能的结果可以对应到 4n-1个不可区分的JQS且在这类方案中伪造的JQS也不能被检测到，所以这类方案不能避免发送者的抵赖.

2.2 这类方案的验证问题

为找出此类方案的扩展情形（如Shang2015b）在验证方面的问题，对它的联合阶段和验证阶段分别进行分析.

2.2.1 联合阶段的分析

在Shang2015b中，一方面，即使聚合器 M1拥有所有的粒子和联合信息，也没办法确定 Xi′?的来源和完整性，因为它对 Yi一无所知.另一方面， A2和 A3的联合签名也没有机会被验证，原因如下：1） M1没有权利也没有能力验证签名，因为它对 Yi(1 ≤ i≤ 3)一无所知；2）在被 M2验证之前， A2和 A3的联合签名会用于生成 M1的签名.因此，聚合器 M1的操作对于确认初始消息的来源和完整性毫无帮助.

2.2.2 验证阶段的分析

3 结论

本文通过构造合谋攻击指出了文献[7]中的同态签名方案是不安全的，并从纠缠交换和签名验证两个方面详细分析了文献[7]方案不安全的原因.由于双源型的签名方案不安全，所以该签名方案也就不能推广到更多源的情形了.

[1]GOTTESMAN D,CHUANG I.Quantum digital signatures[EB/OL].(2001-11-15)[2016-02-11].http://arxiv.org/pdf/quant-ph/0105032v2.pdf.

[2]GISIN N,RIBORDY G,TITTEL W,et al.Quantum cryptography[J].Rev Mod Phys,2002,74(1):145-195.

[3]LI Qin,LI Chengqing,LONG Dongyang,et al.Efficient arbitrated quantum signature and its proof of security [J].Quantum Inf Process,2013,12(7):2427-2439.

[4]ZOU Xiangfu,QIU Daowen.Security analysis and improvements of arbitrated quantum signature schemes[J].Phys Rev A,2010,82(4):23504-23516.

[5]ZOU Xiangfu,QIU Daowen,MATEUS P.Security analyses and improvement of arbitrated quantum signature with an untrusted arbitrator[J].Int J Theor Phys,2013,52(9):3295-3305.

[6]ZOU Xiangfu,QIU Daowen.Arbitrated quantum signature schemes:Attacks and security[C]//Frontiers in Algorithmics and Algorithmic Aspects in Information and Management,Berlin:Springer,2013:48-59.

[7]SHANG Tao,ZHAO Xiaojie,WANG Chao,et al.Quantum homomorphic signature[J].Quantum Inf Process, 2015,14(1):393-410.

[8]LU Hong,GUO Guangcan.Teleportation of a two-particle entangled state via entanglement swapping[J].Phys Lett A,2000,276(5):209-212.

[责任编辑：韦 韬]

Colluding Attacks on a Class of Quantum Homomorphic Signature Schemes

XU Guo-liang,ZOU Xiang-fu
(School of Mathematics and Computational Science,Wuyi University,Jiangmen 529020,China)

A cryptanalysis of existing signature schemes can help to evaluate their security level,find potential loopholes and fix security flaws.This paper constructs a class of effective colluding attacks and shows that a class of quantum homomorphic signature schemes under the attacks is not secure.In such colluding attacks,the signers can disavow their signatures by colluding to change their messages.Moreover,the paper also analyzes the main reasons why the colluding attacks are effective from two aspects:the entanglement swapping and the signature verification.The signature state in the schemes after being verified and exchanged cannot verify the individual sources of the messages and thereby make the signature schemes insecure.

quantum signatures;quantum homomorphic signatures;colluding attacks;entanglement swapping

TN918

A

1006-7302（2016）03-0001-05

2016-03-23

广东省自然科学基金资助项目（S2012040007324）；五邑大学研究生教育改革基金资助项目（YJS-JGXM-14-02）

徐国梁（1991—），男，河南三门峡人，在读硕士生，研究方向为量子密码学；邹祥福，教授，博士，硕士生导师，通信作者，研究方向为量子密码学.