范宇腾,索磊,张春辉,2,陈家明,2,王琴,2*

(1南京邮电大学通信与信息工程学院量子信息技术研究所,江苏 南京 210003;2南京邮电大学通信与信息工程学院宽带无线与传感网技术教育部重点实验室,江苏 南京 210003)

0 引言

数字签名在现代通信中被广泛地应用于电子邮件和电子商务等领域,以保证信息的真实性和完整性。它允许一个发送者和多个接收者之间进行信息交换,并保证信息不被抵赖、窃取和篡改。经典数字签名方案的安全性源于非对称密钥加密技术,本质上基于数学计算复杂度,例如RSA算法[1]借助大整数因子分解的难度来保证信息安全,但随着计算机技术不断发展,传统加密算法受到了挑战。自2001年Gottesman和Chuang[2]将量子物理应用到数字签名后,量子数字签名(QDS)进入人们的视野。量子不可克隆定理[3]、测量塌缩理论和海森堡测不准原理[4]保证QDS具有无条件的安全性,这引起了国内外研究学者的兴趣。2006年,Andersson等[5]提出了使用多端口干涉替代Swap Test的QDS方案,提高了QDS协议的可操作性;2012年,Clarke等[6]借助相干态和线性光学元件省去了QDS方案中非破坏态比较的前提条件,并提出了可行性高的签名方案;2014年,Collins等[7]提出了不依赖量子存储器也能实现系统安全通信的QDS方案;2016年,Donaldson等[8]演示了数公里级别的量子数字签名实验;同年,Amiri等[9]、Yin等[10]提出了不依赖安全量子信道的QDS方案,加快了QDS的普及和实用化进程;2017年,Roberts等[11]用偏振编码方案实现了BB84协议与测量设备无关(MDI)协议可切换的QDS实验演示;2018年,Zhang等[12]利用参量下转化光源实现了200 km安全传输的被动式诱骗态量子数字签名,提高了QDS的安全性和实用性;2019年,An等[13]在相位编码的高速量子密钥分配平台上演示了最远距离达125 km的QDS实验,该系统基于Faraday-Sagnac-Michelson干涉仪结构[14],在安全性、重复频率和稳定性三个关键指标上均表现优异;同年,Chen等[15]提出了基于参量下转换光源的QDS协议;2020年,Ding等[16]提出了一种单诱骗态QDS方案,免去了真空态的调制,降低了实验难度和随机数消耗,实现了280 km的当前最远传输距离。

实际的QDS实验中,光源容易遭受光子数分离攻击(PNS)而造成安全隐患,一般用诱骗态方法[17-19]来抵御。现有QDS实验多使用主动式诱骗态方法,通过电光或声光调制器将脉冲信号主动调制到不同光强上。而现有调制器由于技术缺陷,在施加不同大小的电压时往往会引入侧信道漏洞。针对主动式诱骗态方案强度调制所引入的侧信道漏洞,本文提出了基于线性光学元件的被动式诱骗态QDS方案,并阐述了方案的基本流程和安全性分析,最后通过具体数值进行仿真,给出了两种方案下的签名率对比。尽管所提出方案无法完全避免侧信道漏洞,但其仍然大大提高了系统的安全性。

1 方案内容与模型

1.1 QDS原理与工作流程[15]

QDS协议在最简单的情况下包含一个签名发送方(Alice)和两个签名接收方(Bob、Charlie),其工作流程包括分发阶段和消息阶段。下面以基于BB84协议的QDS方案为例进行说明。

分发阶段需要使用经典信道和量子信道,这一阶段的工作原理如图1所示,具体步骤如下:

图1 分发阶段[15]Fig.1 Distribution stage[15]

1)对于要签名的信息m=0或1,Alice通过量子信道使用密钥生成协议(KGP)分别与Bob和Charlie产生两份相关密钥字符串。Bob、Charlie对每个脉冲随机选择诱骗态或信号态、X基或Z基来制备量子态,Alice随机选X基或Z基进行测量,记录测量结果;双方通过认证的经典信道公布自己使用的基矢,舍弃掉选基不同的数据。X基上的数据用于估计信道参数,Z基上的数据用于生成密钥。最终,Alice获得密钥串和;Bob、Charlie分别得到相应的密钥串

2)Bob(Charlie)和Alice从其所持有的密钥串中随机选取长度为k的部分比特用于估计信道传输时的误码率;然后,剩余的长度为L的密钥串用于签名。

3)Bob和Charlie通过秘密信道随机选择一半密钥进行对换,并把相对应的位置发送给对方,之后双方的密钥串为上标表示原本的持有者,keep表示保留的部分,forward表示被交换的部分。

消息阶段只使用经典信道,主要内容为比特信息和签名的传输与验证。具体步骤如下:

1)在传输一比特消息m(m为0或1)时,Alice将签名信息(m,Sigm)发送给Bob,其中就是Alice对信息m的签名。

3)类似地,收到转发消息后,Charlie也将其持有的密钥与签名Sigm进行对比,如果不匹配率低于阈值Tv,则接收此签名,否则拒绝接收该信息。Tv的设定取决于信息的转发次数,为了防止Alice抵赖攻击成功,一般要求0＜Ta＜Tv＜0.5。

1.2 方案模型

通过借鉴Curty等[20,21]的被动式诱骗态量子密钥分发方案,提出将这种被动式诱骗态方案运用到QDS协议中,从而避免强度调制引入的侧信道漏洞,提高QDS系统的安全性。为了处理方便,参考文献[20],假设使用的发送端本地探测器为理想探测器,即探测效率为100%,暗计数率为0。即使在探测器非理想时,所提出推导过程依然适用。该被动式诱骗态光源制备结构示意图如图2所示。

图2 基于线性光学元件的被动式诱骗态光源制备结构[20]Fig.2 Schematic of the passive decoy-state sources based on linear optical components[20]

图2中,ρμ1、ρμ2表示两个平均光子数分别为μ1、μ2的随机相位的弱相干脉冲,ρout表示a出口的出射光,T表示分束器(BS)的透过率。由参考文献[20～22]可知,弱相干光源在经过强衰减之后光子数仍服从泊松分布,故可得脉冲ρμ1、ρμ2的光子数态表达式[20]

2 安全性分析

2.1 参数估计

对所提出被动式诱骗态量子数字签名方案进行安全性分析,主要包括鲁棒性、不可伪造性、不可抵赖性这三方面。如果攻击者Eve造成的误码低于一定数量,那么它就可能成功伪造签名,一般用平滑最小熵来界定此事件的概率,以量化Eve的攻击成功实施的可能性。规定分别以1-PZ和PZ的概率选择X基和Z基,签名所需密钥统一用Z基成码。根据文献[9]可以得到Eve存在时的平滑最小熵表达式

2.2 鲁棒性分析

2.3 不可伪造性分析

2.4 不可抵赖性分析

抵赖事件指Alice的签名信息被Bob接收,Bob转发给Charlie时被拒绝,将其设为事件H3。此事件需使任一部分与Sigm的不匹配率小于Ta,且任一部分与Sigm的不匹配率超过Tv。分发阶段中Bob和Charlie交换了一半密钥,而Alice不知道具体交换了哪一部分,这是防止抵赖攻击的关键所在。假设Alice能控制其签名与、之间的不匹配率,分别记为eB、eC,分析Bob、Charlie交换密钥之后的情况。交换后,Bob、Charlie各自的两部分密钥串均有eCL/2和eBL/2的误码数。当eC＞Ta时,Bob一定不会接收Alice发送给他的签名消息,所以只考虑eC≤Ta的情况,设Charlie交换给Bob的密钥错误个数小于TaL/2这一事件为。同样地,如果eB＞Ta,Bob很可能拒绝Alice发送给他的签名消息,所以只考虑eB≤Ta的情形,抵赖攻击需要Bob把误码尽可能交换出去,使Charlie与Sigm匹配的误码个数大于TvL/2,设这一事件为。如果抵赖成功,则无需考虑Charlie拒收的原因在于哪一部分密钥,所以Charlie得到的误码个数大于TvL/2这一事件为根据文献[9],抵赖攻击的最佳策略是使,此时抵赖事件概率PH3满足

综上所述,在对鲁棒性、不可伪造性和不可抵赖性三者没有加权的情况下,可以定义此QDS方案的安全性为

除了上述对协议安全性的分析以外,还需要对方案所设计系统的性能进行评估。签名率是评价QDS协议系统性能最重要的指标,此处签名率可表示为

3 仿真结果及分析

将通过Matlab的数值仿真来对比所提出的被动式QDS方案与常见的主动式三强度QDS方案这两者的性能。首先介绍在数值仿真过程的观测量,可表示为

式中:W基表示X基或Z基的其中一个基,即W∈[X,Z];N表示发射端发射的光脉冲总数;PW为发射端发送和接收端接收时选择W基的概率;ω为本地探测器响应情况,为ω情况下Bob端探测器的响应率和误码率,可由线性模型[15]求得,即

式中Yn、en为n光子的响应率、误码率,可以分别表征为[15]

式中:Y0=2Pd为发射真空态时的响应概率,Pd为系统的暗计数率;η=10-αdηB,α为系统衰减系数(单位:dB/km),ηB为接收端探测器的探测效率,d为通信系统的传输距离。

为了方便比较,使用了两组系统参数进行仿真,其中第一组系统参数为参考文献[25]所用参数值:接收端探测器的探测效率ηB=0.045,系统探测器的暗计数率Pd=8.5×10-7个/脉冲,光纤信道的传输损耗系数α=0.21 dB/km,系统的本底误码ed=0.033。第二组系统参数中,将第一组参数使用的InGaAs探测器的探测效率合理替换为当前超导探测器的探测效率,即ηB=0.9[26],其他参数不变。此外,在以上两组参数中,统一设定发射端(Bob或Charlie)发射脉冲数N=1013,用于参数估计的长度占比k=1/21,安全概率设定为α1=2.5×10-11,ϵ=10-10,ϵPE=10-5。在数值仿真过程中,通过借鉴文献[27]提出的坐标下降法与局部搜索算法相结合的参数优化算法,对两种QDS方案的调制参数分别进行了全局优化。在主动式方案中,优化对象为三种光源的光强、选择概率以及选择Z基的概率;而被动式方案的优化参数为两束入射光光强与选择Z基的概率。在同样的系统参数下,分别将仿真得到的主动式、被动式QDS方案的误码率e与签名率R进行对比,如图3、图4所示。

图3(a)、(b)中,横轴表示通信系统的传输距离,纵轴表示误码率的数值,其中,点曲线和虚线点曲线分别代表主动式诱骗态方案中误码率的变化趋势;虚线和实线分别代表被动式诱骗态方案中误码率的变化趋势。由安全性分析可知,系统是否安全的关键在于的大小关系,当窃听者对系统造成的最小误码率(emin)大于发送、接收双方正常操作可能产生的最大误码率()时,就可以保证签名信息的安全性。其中从图3(a)可以看出,被动式诱骗态方案中,随着传输距离的增加,emin逐渐变小,逐渐增大,二者相交于122 km处;在交点之后,由于,签名的安全性无法保证,因此可判断被动式诱骗态方案的最远安全传输距离为122 km。同理,由主动式诱骗态方案中emin和的交点在148 km处,可判断其最远安全传输距离为148 km。同样,根据图3(b)可推断,在ηB=0.9时,主动式、被动式方案的最远安全距离分别为208 km和183 km。

图4(a)、(b)中,横轴代表传输距离,而纵轴代表签名率大小,其中虚线(Active)和点线(Passive)分别代表主动式诱骗态和被动式诱骗态方案的签名率大小。显然,两种方案的签名率均随传输距离的增加而下降,ηB=0.045时,二者的截止传输距离分别为148 km和122 km;当ηB=0.9时截止传输距离分别为208 km和183 km,与图3(a)、(b)的结果相一致。与主动式诱骗态QDS方案相比,所提出的被动式诱骗态QDS方案签名率偏低,但是需要指出,在目前的数值仿真中并没有考虑光源调制误差。倘若考虑光源调制引起的误差,被动式方案不受影响,主动式诱骗态方案则会降低性能和安全性。

4 结论

针对现有主动式诱骗态QDS方案中存在的侧信道漏洞问题,本文提出了基于线性光学元件的被动式诱骗态QDS方案,原理简单、安全性较高、操作容易。在此基础上本文开展了相关数值仿真和参数优化工作,并与主动式方案进行了对比分析。结果显示,在不考虑光源调制误差的情况下,被动式方案的签名率和签名距离一定程度上逊于主动式方案。但考虑到在实际应用中主动式方案要求发送方随机、高速地调制不同脉冲强度,将不可避免地引入光强调制误差,导致系统性能降低。因此,本文对量子数字签名的实际应用具有重要的参考价值。不过考虑到在实际应用时本地探测器并不是探测效率为100%的理想单光子探测器,由于信号光与休闲光之间可能存在多种模式关联的特性,该方面的安全性分析问题值得开展更深层次的分析与研究。