张维 韩正甫

1) (黔南民族师范学院数学与统计学院, 复杂系统与计算智能重点实验室, 都匀 558000)

2) (中国科学技术大学, 中科院量子信息重点实验室, 合肥 230026)

1 前 言

经典签名是对手写签名的模拟, 并已经被广泛应用于电子商务、电子政务和电子支付等领域, 它的安全性基于一些数学上的难解问题假设, 如大数分解问题和离散对数问题等. 很不幸的是, 1994年Shor[1]发现了多项式时间的量子因数分解算法, 该算法能够快速地实现大整数的因数分解. 因此, 以RSA为代表的公钥密码系统在量子计算机面前将没有任何保密性可言, 量子计算机可以在瞬间攻破它. 相比于经典签名, 量子签名是一种基于未知量子态不可克隆定理和海森堡测不准原理等基本物理属性之上的签名协议. 特别是有一些量子签名协议已经在理论上被证明是无条件安全的[2,3]. 因此,量子签名受到了越来越多研究者的关注, 成为量子密码的一个重要分支. 量子签名协议有望在量子时代里取代经典签名, 广泛应用于电子商务、电子政务和电子支付等领域. 研究者们也参照经典签名设计出了一些与之对应的量子签名协议.

2001年, Gottesman和Chuang[4]基于量子单向函数和量子交换测试给出了第一个量子签名协议, 并指出该协议是可以抵御量子攻击的. 从那之后, 量子签名迅速蓬勃发展起来, 各种不同类型的量子签名协议相继被提出. 如2002年, Zeng和Keitel[5]提出了一个基于GHZ纠缠态的量子仲裁签名协议; 2009年, Li等[6]给出了一个基于贝尔态的量子仲裁签名协议, 与Zeng和Keitel提出的协议相比, 不仅可以节约纠缠资源还提高了签名的效率; 2010年, Zou和Qiu[7]给出了一个不需要使用量子纠缠的量子仲裁签名协议. 随着人们对量子签名研究的深入, 针对不同的应用需求, 提出了不同类型的量子签名协议, 如量子代理签名[8−12]、量子群签名[13−17]、量子盲签名[18−21]和量子多重签名[22,23]等.

一个安全的量子签名协议必须满足不可伪造和不能抵赖两方面的要求. 所谓不可伪造指的是除了合法的签名者以外, 任何人不能伪造签名者的签名, 包括签名协议的参与者(消息发送者或接收者等)和任何的外部攻击者[24]. 不可抵赖指的是任何参与者都不能拒不承认他们的所有行为, 包括：1)消息发送者不能拒不承认发送消息的事实;2)每一个签名者不能拒不承认他们自己的签名;3)签名接收者不能拒不承认他收到签名的事实,也不能拒不承认签名的完整性[25]. 对于量子盲签名而言还需要满足盲性和可追溯性[25]. 所谓盲性指的是签名者在签名的时候不能获取他所签名消息的具体内容, 而可追溯性是指在签名双方无法达成一致的时候, 签名者可以追溯到消息的发送者[25].

2014年, Tian等[26]给出了一个基于量子隐形传态的量子广播多重盲签名协议, 该协议有望应用于网上银行系统. 然而Zhang等[27]对该协议进行了安全性分析, 发现它存在一些潜在的安全漏洞,并给出了一个改进协议. 针对Zhang等提出的协议中复合签名的大小随着签名者的个数呈线性增长这一问题, Xiao和Li[25]基于纠缠交换给出了一个新的量子广播多重盲签名协议, 该协议的复合签名的大小是一个定值, 不会随参与者的个数呈线性增长. 在文献[28]中, Tian等基于三粒子极大纠缠GHZ态给出了一个量子广播多重盲签名协议.随后Zhang等[29]指出了该协议潜在的安全风险并给出了一个改进方案. 本文在文献[29]的基础上给出了一个基于三粒子部分纠缠态的量子广播多重盲签名协议, 该协议使用的是三粒子部分纠缠态,与基于GHZ态的协议相比, 它不再依赖于极大纠缠态, 降低了协议的实现条件, 节省纠缠资源的同时还可以不损失安全性, 这充分体现了在某些情况下, 多体部分纠缠可以作为一种资源实现完美的量子通信任务.

2 量子广播多重盲签名协议

首先介绍本文采用的量子一次一密加密算法(QOTP encryption algorithm). 若量子信息, 其 中满 足= 1. 该算法可以用一个酉算子表示为

这是一个改进了的量子一次一密加密算法, 它是由Kim等首次在文献[30]中提出的. (1)式中的辅助算子是为了破坏泡利算子间的对易或反对易性, 以保证加密后的消息不能被攻击者修改. 更准确的描述为： 对任意的量子消息, 不存在非单位的酉算子和, 使得

为了保证签名协议中签名的初始性, 也即签名不能被随意更改, 我们使用了哈希函数. 本文使用的哈希函数是一个单向函数, 定义如下[31]：

本文新设计的协议采用的是一个三粒子部分纠缠态[32]

3)之后对二三粒子做一个贝尔基测量, 并记录结果如下：

由(5)式可以得到如下式子成立：

整个签名协议包含四个过程, 即初始过程、个体签名过程、单个签名验证和复合签名生成过程以及复合签名验证过程, 如图1所示.

图1 量子广播多重盲签名协议的图示Fig. 1. The graph of quantum broadcasting multiple blind signature scheme.

下面给出协议的具体过程：

1)初始过程：

(1) 量子密钥分配.

Alice分别与Bob, Charlie以及每一个签名者分享4n比特密钥,和; Charlie与每一个签名者分享8n比特密钥; Bob与Charlie分享4n比特密钥. 为了保证协议的无条件安全性, 所有的密钥都采用量子密钥分配协议来分享密钥.

(2) 经典消息都转换成量子消息.

2)个体签名过程：

(1) 消息盲化.

(2) 纠缠分发.

Charlie生成n个三粒子部分纠缠态

然后将它们的第一个粒子发送给Alice, 第二粒子发送给签名者, 保留第三粒子. 此处仅以一个签名者为例来描述个体签名过程, 且所有粒子都是通过安全的量子信道来分发的, 以保证在整个签名过程中都能保持原有的量子纠缠.

(3) Alice的测量.

Alice对她收到的粒子做Z−型基测量, 并生成随机字符串,

(4) 个体签名.

并将作用后的量子态序列依次发送给Charlie. 同时,利用已有的密钥生成一个随机串,满足

3)个体签名验证和复合签名生成过程.

(4) 个体签名验证.

是否都成立. 如果(21)式中的等式都成立, 则Charlie接受签名. 否则, 拒绝签名并终止协议.

(5) 复合签名的生成.

与此同时, Charlie生成

于是可以得到消息

4)复合签名验证过程.

(1) 比对消息.

(2) 验证复合签名.

相比于文献[29]中提出的协议, 本文提出的协议的优势为： 用三粒子部分纠缠态取代了三粒子极大纠缠GHZ态, 一定程度上节省了纠缠资源, 降低了协议实现的条件, 提高了协议的可应用性.

3 安全性分析

一个安全的签名协议必须满足不可伪造和不可抵赖两个基本条件, 由于协议是一个盲签名协议, 还必须满足盲性和可追溯性. 下面就不可伪造、不可抵赖、盲性和可追溯性来一一说明.

3.1 不可伪造

3.1.1 Alice不能伪造签名

3.1.2 Charlie无法伪造签名

Charlie作为签名收集者, 他可以获取所有的个体签名并生成复合签名, 被认为是最有可能伪造签名的, 下面将说明Charlie也是不能伪造签名的.因为Charlie拥有所有的个体签名, 因此, 他可以随意地更改每一个个体签名. 譬如Charlie将签名的前段和分别改为和, 但保持是保持不变的. 看似整个过程天衣无缝, 但是修改后的签名仍然是不能通过验证的. 因为在验证过程中Bob不但要检验复合签名, 还要对每一个个体签名进行检验. 由于Charlie无法提前获知生成所需的签名者的密钥, 因此无法根据修改后的和去确定它们所对应的和, 使它们满足(26)式, 因此无法确保修改后的签名能通过验证. 由此可见Charlie也无法伪造签名.

3.1.3 Bob无法伪造签名

Bob作为签名接收者, 一个被认为是最好伪造签名的办法就是当他验证完签名后, 再将修改为并宣称就是他收到的签名. 但在验证阶段,所有的信息都公布在公告板上, 任何人都可以对签名进行验证. 因此, Bob的不诚实行为很容易就被发现了. 由此可见, Bob也不能伪造签名.

3.1.4 外部攻击者不能伪造签名

在这一小节主要讨论几种常见的外部攻击手段, 如纠缠辅助粒子攻击, 截获−重发攻击和中间人攻击. 纠缠辅助粒子攻击是一种常见的攻击方案,所谓纠缠辅助粒子攻击就是攻击者用一个辅助粒子与信道中所发送的量子态相结合, 然后通过CNOT门使得它们之间建立纠缠, 然后通过解纠缠并测量辅助粒子来获取消息[24]. 由于本协议在分发纠缠粒子的时候采用的是安全的量子信道, 外部攻击者无法将辅助粒子与信道中传输的粒子进行纠缠, 该方案是行不通的. 因此, 外部攻击者无法使用该方案来伪造签名. 对于截获−重发攻击, 由于协议中所有的消息都是先转换成量子消息, 然后经过改进后的量子一次一密加密算法加密后进行传输, 攻击者即使截获了消息也无法伪造签名. 对于中间人攻击, 由于在参与者之间事先利用量子密钥分配协议分享了安全的密钥, 由量子密钥的无条件安全性可知, 攻击者是无法获取到参与者的密钥的, 因此, 攻击者无法实行中间人攻击. 综上所述,外部攻击者是不能伪造签名的.

3.2 不可抵赖

3.2.2 接收者Bob不能抵赖

Bob的抵赖包含两个层面： 1)Bob拒不承认他收到签名这一事实; 2)Bob拒绝签名的完整性. 首先来说明Bob不能拒不承认他收到了签名. 因为在验证签名的时候, Bob需要比对消息, 如果消息一致, 则公布, 否则, 公布. 当他公布验证参数时, 则表明他已经收到了消息. 在协议中Charlie是将消息和签名依次发送给Bob的. 如果Bob坚持声称没有收到签名, 则Charlie可以再发送一次或是直接公布签名. 这样Bob就不能不承认他已经收到签名. 接下来说明Bob不能拒绝签名的完整性. 所谓拒绝签名的完整性指的是Bob已经验证了成立, 但为了自身的利益,谎称来拒绝签名. 由于该签名协议签发的都是经典消息, 且Alice, Charlie和Bob都可以得到该消息. 当Bob谎称来拒绝签名时, 可以要求Alice, Charlie和Bob同时公布消息, 由于只有Bob在撒谎, 因此, Alice和Charlie所公布的消息一定是一致的, 此时可以根据少数服从多数的原则来判定Bob是在撒谎. 由此可见, Bob也是不能拒绝签名的完整性的. 综上所述, 在协议中Bob是不可抵赖的.

3.3 盲性

本协议中, 消息在发送之前都通过了盲化处理, 将每一份消息转换成了到Bob的密钥, 于是签名者也无法获知消息. 因此, 该签名协议是一个盲签名协议, 具有盲性.

3.4 可追溯性

虽然签名者不能获取消息的内容, 但是一旦发生纠纷, 签名者可以追溯到消息的发送者. 本协议中消息在盲化处理的时候都转化成了协议中只有Alice同时拥有这两个密钥, 因此,很容易就可以确认消息来自于Alice.

4 结 论

本文在前人已有的工作基础上, 给出了一个基于三粒子部分纠缠态的量子广播多重盲签名协议.与文献[29]中基于GHZ态的协议相比, 该协议在安全性上并没有受到任何损失, 这是一件有意义的事情. 众所周知量子纠缠是一种重要的资源, 在量子计算和量子通信中发挥着不可替代的作用, 但是纠缠资源非常脆弱, 很容易受环境的影响而发生退相干现象. 在现有的技术条件下, 要在整个通信过程中长时间地保持极大纠缠是一件有难度的事情,而本文的协议不再依赖极大纠缠态而使用部分纠缠态, 这不仅节约了纠缠资源, 降低了协议实现的条件, 一定程度上提高了协议的可应用性. 这也充分体现了在某些情况下, 多粒子部分纠缠也可以作为一种资源来完美地完成一些既定的通信任务. 但是本协议安全性是基于使用的哈希函数, 仍是基于计算安全的. 如何设计一个具有理论上无条件安全的基于部分纠缠的量子广播多重盲签名协议是值得考虑的.