對一類量子同態(tài)簽名方案的合謀攻擊

徐國梁，鄒祥福（五邑大學(xué) 數(shù)學(xué)與計(jì)算科學(xué)學(xué)院，廣東 江門 529020）

對一類量子同態(tài)簽名方案的合謀攻擊

徐國梁，鄒祥福
（五邑大學(xué) 數(shù)學(xué)與計(jì)算科學(xué)學(xué)院，廣東 江門 529020）

對現(xiàn)有量子簽名方案進(jìn)行安全分析有助于評估量子簽名的安全性、發(fā)現(xiàn)潛在漏洞和修復(fù)漏洞，因此，本文構(gòu)造了一類有效的合謀攻擊，并指出了一類量子同態(tài)簽名方案在該合謀攻擊下是不安全的.在此攻擊中，發(fā)送者只需通過合謀巧妙地改變所簽的消息即可實(shí)現(xiàn)抵賴，并從糾纏交換和簽名驗(yàn)證兩個(gè)方面分析了此類合謀攻擊奏效的主要原因.該簽名方案驗(yàn)證糾纏交換后的簽名的狀態(tài)并不能夠驗(yàn)證單個(gè)消息的源，從而使得該簽名方案不安全.

量子簽名；量子同態(tài)簽名；合謀攻擊；糾纏交換

隨著量子密碼學(xué)的發(fā)展，Gottesman和Chuang提出了量子簽名的概念[1].與手寫簽名和電子簽名相比，量子簽名的優(yōu)勢在于其用量子力學(xué)原理來確保簽名的安全性[2]，因此受到眾多研究者的關(guān)注[3-6].最近，為了在量子網(wǎng)絡(luò)中解決消息源認(rèn)證問題，尚濤等人[7]提出了兩個(gè)量子同態(tài)簽名方案，本文分別記為Shang2015a和Shang2015b，其中Shang2015b是Shang2015a的推廣.不失一般性，本文主要考慮Shang2015a，最后再討論其推廣的情形.與經(jīng)典情形不同，他們巧妙地利用糾纏交換[8]（量子糾纏中一種奇妙的性質(zhì)）構(gòu)造同態(tài)操作.據(jù)此，文獻(xiàn)[7]認(rèn)為攻擊者對 Shang2015a和Shang2015b的任何攻擊都會被檢測到.

合謀攻擊是指某協(xié)議的參與者們?yōu)榱烁髯缘睦?，秘密協(xié)商達(dá)成一致意見利用協(xié)議的漏洞實(shí)現(xiàn)某種攻擊.本文通過構(gòu)造合謀攻擊指出文獻(xiàn)[7]中的簽名方案是不安全的.我們構(gòu)造的合謀攻擊可以使消息發(fā)送者對發(fā)送的消息進(jìn)行抵賴，并不被發(fā)現(xiàn).本文首先描述所構(gòu)造合謀攻擊的策略，然后通過分析這類同態(tài)簽名方案的糾纏交換和簽名驗(yàn)證來討論合謀攻擊奏效的深層次原因.

1 合謀攻擊

為方便閱讀，補(bǔ)充以下一些基本知識和符號.

3）文獻(xiàn)[7]中使用的酉算子定義如下：對于任意兩位經(jīng)典比特 Xi∈ {00,01,10,11}，

4）Shang2015a涉及2個(gè)簽名者 A1和 A2，而Shang2015b涉及3個(gè)簽名者 A1、 A2和 A3.此外，他們都涉及一個(gè)聚合器 M1和一個(gè)驗(yàn)證者 M2，都由4個(gè)階段組成：初始化階段、簽名階段、聯(lián)合階段和驗(yàn)證階段.用 Pi表示第i個(gè)粒子， Pi, j表示 Pi和 Pj粒子對.然后， M1分別發(fā)送 P2和 P4給 A1和 A2.P2和 P4的狀態(tài)分別被表示為和.

A1和 A2可以通過如下步驟實(shí)現(xiàn)對Shang2015a的合謀攻擊.

1）完成Shang2015a后， Ai( i = 1,2)為了利益可以選擇消息′替代作為初始消息，并且通過秘密商議讓成立.

2）A1宣布′為初始消息.根據(jù)Shang2015a，M2通過比較和Z是否相等來驗(yàn)證.使用安全密鑰 Yi( i = 1,2)， M2得到根據(jù)此協(xié)議， M2只能認(rèn)可 Ai( i = 1,2)發(fā)的消息是.

2 主要原因

2.1 糾纏交換的分析

Shang2015a利用糾纏交換來構(gòu)造同態(tài)操作.本文主要集中討論糾纏交換，以求獲得這類同態(tài)方案易受合謀攻擊的原因.為便于分析，在表1（由文獻(xiàn)[7]中Table1整理得到）中將粒子糾纏交換后的狀態(tài)分成4組.

把表1中的初始態(tài)看作1A和2A的簽名的聯(lián)合量子狀態(tài)（JQS）.在相同的組中，糾纏交換后的粒子的狀態(tài)除了里面的加減符號外完全一樣，即通過Bell態(tài)測量，同組的4個(gè)JQS產(chǎn)生相同的結(jié)果態(tài).所以，2M 通過測量結(jié)果態(tài)并不能區(qū)分到底哪一個(gè)是初始的JQS.2M 不能利用所有的粒子和安全秘鑰恢復(fù)初始的JQS，原因是根據(jù)糾纏交換，1,2P 將隨機(jī)塌陷成4個(gè)Bell態(tài)之一.下面用一個(gè)例子來證明.

測量后， P1,3將隨機(jī)塌陷成4個(gè)Bell態(tài)之一.如，當(dāng) M1測得時(shí)，則.在收到4個(gè)粒子后， M2可以得到.注意到，當(dāng)JQS為和時(shí)， M1和 M2測量后也可能獲得同樣的、不可區(qū)分的結(jié)果態(tài).此外，如果初始的JQS是M2在P1,2上執(zhí)行一個(gè)Bell態(tài)測量后，根據(jù)糾纏交換，

P1,2的狀態(tài)將隨機(jī)塌陷成4個(gè)Bell態(tài)之一.所以， M2沒有能力恢復(fù)初始的JQS.

表1 糾纏交換后的粒子的狀態(tài)[7]

表2 相同組之間的轉(zhuǎn)換

一般地，無論有多少用戶，因?yàn)?M2只驗(yàn)證狀態(tài)處于4個(gè)Bell態(tài)之一的 P2,2n（n表示用戶的數(shù)量，n≥ 2），所以它只能獲得4種可能的結(jié)果.然而，可能的JQS的數(shù)量是4n.所以，可以知道一個(gè)驗(yàn)證結(jié)果對應(yīng)到 4n-1個(gè)不可區(qū)分的 JQS.

綜上，因?yàn)槊恳粋€(gè)可能的結(jié)果可以對應(yīng)到 4n-1個(gè)不可區(qū)分的JQS且在這類方案中偽造的JQS也不能被檢測到，所以這類方案不能避免發(fā)送者的抵賴.

2.2 這類方案的驗(yàn)證問題

為找出此類方案的擴(kuò)展情形（如Shang2015b）在驗(yàn)證方面的問題，對它的聯(lián)合階段和驗(yàn)證階段分別進(jìn)行分析.

2.2.1 聯(lián)合階段的分析

在Shang2015b中，一方面，即使聚合器 M1擁有所有的粒子和聯(lián)合信息，也沒辦法確定 Xi′?的來源和完整性，因?yàn)樗鼘?Yi一無所知.另一方面， A2和 A3的聯(lián)合簽名也沒有機(jī)會被驗(yàn)證，原因如下：1） M1沒有權(quán)利也沒有能力驗(yàn)證簽名，因?yàn)樗鼘?Yi(1 ≤ i≤ 3)一無所知；2）在被 M2驗(yàn)證之前， A2和 A3的聯(lián)合簽名會用于生成 M1的簽名.因此，聚合器 M1的操作對于確認(rèn)初始消息的來源和完整性毫無幫助.

2.2.2 驗(yàn)證階段的分析

3 結(jié)論

本文通過構(gòu)造合謀攻擊指出了文獻(xiàn)[7]中的同態(tài)簽名方案是不安全的，并從糾纏交換和簽名驗(yàn)證兩個(gè)方面詳細(xì)分析了文獻(xiàn)[7]方案不安全的原因.由于雙源型的簽名方案不安全，所以該簽名方案也就不能推廣到更多源的情形了.

[1]GOTTESMAN D,CHUANG I.Quantum digital signatures[EB/OL].(2001-11-15)[2016-02-11].http://arxiv.org/pdf/quant-ph/0105032v2.pdf.

[2]GISIN N,RIBORDY G,TITTEL W,et al.Quantum cryptography[J].Rev Mod Phys,2002,74(1):145-195.

[3]LI Qin,LI Chengqing,LONG Dongyang,et al.Efficient arbitrated quantum signature and its proof of security [J].Quantum Inf Process,2013,12(7):2427-2439.

[4]ZOU Xiangfu,QIU Daowen.Security analysis and improvements of arbitrated quantum signature schemes[J].Phys Rev A,2010,82(4):23504-23516.

[5]ZOU Xiangfu,QIU Daowen,MATEUS P.Security analyses and improvement of arbitrated quantum signature with an untrusted arbitrator[J].Int J Theor Phys,2013,52(9):3295-3305.

[6]ZOU Xiangfu,QIU Daowen.Arbitrated quantum signature schemes:Attacks and security[C]//Frontiers in Algorithmics and Algorithmic Aspects in Information and Management,Berlin:Springer,2013:48-59.

[7]SHANG Tao,ZHAO Xiaojie,WANG Chao,et al.Quantum homomorphic signature[J].Quantum Inf Process, 2015,14(1):393-410.

[8]LU Hong,GUO Guangcan.Teleportation of a two-particle entangled state via entanglement swapping[J].Phys Lett A,2000,276(5):209-212.

[責(zé)任編輯：韋 韜]

Colluding Attacks on a Class of Quantum Homomorphic Signature Schemes

XU Guo-liang,ZOU Xiang-fu
(School of Mathematics and Computational Science,Wuyi University,Jiangmen 529020,China)

A cryptanalysis of existing signature schemes can help to evaluate their security level,find potential loopholes and fix security flaws.This paper constructs a class of effective colluding attacks and shows that a class of quantum homomorphic signature schemes under the attacks is not secure.In such colluding attacks,the signers can disavow their signatures by colluding to change their messages.Moreover,the paper also analyzes the main reasons why the colluding attacks are effective from two aspects:the entanglement swapping and the signature verification.The signature state in the schemes after being verified and exchanged cannot verify the individual sources of the messages and thereby make the signature schemes insecure.

quantum signatures;quantum homomorphic signatures;colluding attacks;entanglement swapping

TN918

A

1006-7302（2016）03-0001-05

2016-03-23

廣東省自然科學(xué)基金資助項(xiàng)目（S2012040007324）；五邑大學(xué)研究生教育改革基金資助項(xiàng)目（YJS-JGXM-14-02）

徐國梁（1991—），男，河南三門峽人，在讀碩士生，研究方向?yàn)榱孔用艽a學(xué)；鄒祥福，教授，博士，碩士生導(dǎo)師，通信作者，研究方向?yàn)榱孔用艽a學(xué).