基于量子糾纏的盲簽名方案

梁建武，王曉慧，郭迎，程資

?

基于量子糾纏的盲簽名方案

梁建武，王曉慧，郭迎，程資

（中南大學(xué)信息科學(xué)與工程學(xué)院，湖南長沙 410083）

基于量子糾纏交換的原理，提出了一種基于量子糾纏的盲簽名方案。制備后的EPR糾纏粒子通過EPR糾纏交換，變化為全新的糾纏態(tài)。對新量子態(tài)的測量可以作為簽名者和測量者的簽名、測量依據(jù)，實(shí)現(xiàn)了量子通信、盲簽及驗(yàn)證。不同于基于數(shù)學(xué)求解困難性的經(jīng)典盲簽名，本方案保證了消息對簽名者的匿名性和方案的無條件安全性。

量子信息；量子簽名；盲簽名；量子糾纏

1 引言

1983年，Chaum第一次提出了盲簽名的概念。盲簽名指簽名者并不知道所簽文件或消息的具體內(nèi)容，而文件或消息的擁有者可以得到簽名者的簽名[1,2]。由于消息對簽名者來說是未知的，盲簽名技術(shù)在電子選舉、電子現(xiàn)金等要求保護(hù)用戶匿名性的場合得到廣泛應(yīng)用[3]。

在量子計(jì)算機(jī)出現(xiàn)以后，基于數(shù)學(xué)復(fù)雜性的盲簽名將會被輕易攻破。而基于量子物理特性的量子簽名方案具有無條件安全性，隨著量子信息安全技術(shù)在實(shí)驗(yàn)上不斷取得成功，對量子簽名方案的研究引起了人們的濃厚興趣。2001年，Gottesman和Chuang[4]提出了基于量子單向函數(shù)的簽名方案。同年，曾貴華等[5]提出了GHZ三粒子態(tài)相干特性的仲裁量子簽名方案。上述2個(gè)方案簽名和驗(yàn)證的過程都需要借助可信任的第三方才可以實(shí)現(xiàn)。隨后，溫曉軍等[6]利用EPR粒子的糾纏特性和隱形傳態(tài)的特點(diǎn)提出2個(gè)不需要仲裁的量子簽名協(xié)議，以及基于糾纏交換的量子有序多重簽名方案[7]。2009年，溫曉軍等[8]提出了一個(gè)基于量子密碼術(shù)的弱盲簽名。2010年，溫曉軍等[9]一種基于秘密共享的量子強(qiáng)盲簽名協(xié)議。2011年，陳永志等[10]在此基礎(chǔ)上提出了一個(gè)基于可控形態(tài)的代理弱盲簽名方案。本文考慮到盲簽名的廣泛用途，基于量子糾纏交換原理設(shè)計(jì)了一個(gè)簽名方案，可以用于保護(hù)用戶匿名性的系統(tǒng)。

2 基本原理

糾纏光子對的研究取得了一定的成果，并可以在實(shí)驗(yàn)中實(shí)現(xiàn)。已知Bell的4個(gè)態(tài)由式(1)~式(4)給出。

(2)

(3)

表1 邏輯操作及狀態(tài)變化

假設(shè)AB為一對EPR糾纏光子對，CD為另一對EPR糾纏光子對，分別表示如下

(6)

對AB糾纏光子對的第一個(gè)量子比特進(jìn)行上述4種局域操作中的某一種邏輯操作后可能得到、、、中某一態(tài)，之后新得到的態(tài)再與CD糾纏光子對交換測量，那么交換過程的表達(dá)式如下

(8)

(9)

假設(shè)Alice、Bob和Charlie是參與通信的三方，Alice、Bob和Charlie各自擁有處于糾纏態(tài)的光子對，其中，Alice擁有光子A、B，Bob擁有光子C、D，而Charlie擁有光子E、F。Alice在采取某種邏輯操作后，將糾纏光子中的一個(gè)粒子保留，剩下的一個(gè)光子發(fā)送給Bob。Bob和Charlie也重復(fù)同樣的動作，保留一個(gè)粒子，將剩下的一個(gè)粒子發(fā)送給Charlie和Alice。最后使Alice手中持有光子A、F，Bob持有光子B、C，而Charlie持有光子D、E。具體交換過程如圖1所示，交換結(jié)果如圖2所示。

圖1 糾纏光子交換示意

交換之后，Alice用Bell基測量自己手上的光子A、F。根據(jù)量子糾纏交換原理，Alice的測量將產(chǎn)生響應(yīng)的普分解和塌縮，光子B、E將瞬間塌縮成為某一個(gè)Bell態(tài)。過程表示為

接著Bob和Charlie也分別用Bell基測量自己手上的光子。過程表示為

(12)

將Bob和Charlie得到的測量結(jié)果，合并Alice的測量結(jié)果，可以推導(dǎo)出Alice經(jīng)過邏輯操作后的量子態(tài)。

由于Alice、Bob、Charlie間的測量不公開，單方面的測量無法得知Alice最先做的邏輯操作究竟是哪一個(gè)，基于上述的原理，將在下節(jié)方案中對原始消息進(jìn)行盲簽名。

3 量子盲簽名方案

在本方案中，設(shè)消息的所有者為Alice，Bob為簽名驗(yàn)證人，而Charlie則在不知道消息的具體內(nèi)容下進(jìn)行盲簽名。

3.1 初始化階段

1)消息變換：Alice將她的消息轉(zhuǎn)換為二進(jìn)制序列，記為。

3)量子糾纏態(tài)的制備：Alice、Bob和Charlie各自制備對處于態(tài)的糾纏光子對，記為

3.2 簽名階段

表2 編碼及狀態(tài)變化

例如，消息=011011，則經(jīng)過對應(yīng)的局域操作后，Alice的糾纏態(tài)變?yōu)椤?/p>

2)粒子的分發(fā)：Alice、Bob和Charlie按照圖2所示交換粒子，交換后Alice持有粒子A、F，Bob持有粒子B、C， Charlie持有粒子D、E。

3)Alice用Bell基測量手上的光子對,測量結(jié)果記為，然后用加密得到，將發(fā)送給Charlie。同時(shí)Alice用一個(gè)與Bob商量好的雜湊函數(shù)，得到，用加密得到發(fā)送給Bob。

4) 獲得盲簽名：Charlie用Bell基測量手上的光子對，測量結(jié)果記為，然后將從Alice處收到的聯(lián)合用加密得到。

5) 發(fā)送盲簽名：Charlie將發(fā)送給Bob。

3.3 驗(yàn)簽階段

3) Bob根據(jù)表3可以推斷出Alice經(jīng)過局域操作后的，再根據(jù)表2的編碼規(guī)則譯出。Bob用進(jìn)行，得到。比較與，如果，則確認(rèn)有效。

表3 Ra、Rb、Rc及BellAB的對應(yīng)關(guān)系

4 方案分析

4.1 正確性分析

4.2 安全性分析

對簽名的攻擊包括經(jīng)典攻擊策略和量子攻擊策略。

1) 經(jīng)典安全性

如果Charlie為了謀取自己的某種利益?zhèn)卧煜⒓昂灻?，但這樣是困難的。首先，簽名中包含了，是Alice與Bob共享密鑰，Charlie無法知悉的具體內(nèi)容。其次，偽造簽名也是困難的，仍舊以4.1節(jié)分析中的實(shí)例作為分析對象。在經(jīng)過一系列操作測量后，得到測量結(jié)果為，，。假設(shè)此時(shí)Charlie為了謀取自己的某種利益?zhèn)卧鞙y量結(jié)果，。Bob在接收后，根據(jù)、推出，。根據(jù)表2的編碼規(guī)則，Bob可以翻譯出信息為。比較和，有，Bob拒絕簽名。

如果Bob為了謀取自己的某種利益?zhèn)卧煜⒓昂灻?，這樣是困難的。由于Bob知道函數(shù)及表2的編碼規(guī)則，人們可能擔(dān)心Bob的權(quán)限過大，進(jìn)而肆無忌憚地偽造消息及簽名為自己謀利。其實(shí)，在經(jīng)過量子局域操作、通信三方在交換粒子、Alice與Charlie分別測量自己的粒子對后，Bob的粒子對狀態(tài)已經(jīng)確定。Bob一旦與Alice發(fā)生沖突，只要Charlie介入，查看自己的測量記錄，Bob就無法繼續(xù)自己的陰謀。

雜湊函數(shù)使信息間接提供給Bob和Charlie，增加了保密性。Charlie的簽名對象是根據(jù)函數(shù)壓縮后的信息，Charlie根本不知道Alice的真實(shí)消息內(nèi)容。

對手Eve同樣無法進(jìn)行截獲重發(fā)攻擊。假設(shè)Eve截獲了Alice發(fā)給Charlie的信息，但在本方案中Eve由于沒有密鑰，無法獲取消息內(nèi)容。同樣，假設(shè)Eve截獲了Charlie發(fā)給Bob的信息，但在本方案中Eve由于沒有密鑰，無法偽造簽名。而且，簽名的發(fā)送、接收以及糾纏光子對的測量都是Alice、Bob和Charlie根據(jù)協(xié)議同步進(jìn)行的。

2) 量子安全性

本方案采用的是BB84進(jìn)行密鑰分配協(xié)議。由QKD協(xié)議的無條件安全性保證，若對手Eve采用中間人攻擊，冒充Alice、Bob或者Charlie篡改消息或簽名是不可能的。

若對手Eve進(jìn)行截獲重發(fā)攻擊，由量子不可克隆性保證了量子信息是不可被復(fù)制的。Eve對Alice光子的檢測克隆勢必破壞粒子對的糾纏特性，對簽名信息產(chǎn)生擾動。Charlie將拒絕簽名，同時(shí)，Bob也將注意到竊聽者的存在。

一般情況下，可以用以下途徑在實(shí)現(xiàn)簽名前，檢測量子信道是否由攻擊者存在。在本方案中，以Alice和Bob的量子通信信道為例。Alice制備完EPR糾纏粒子對，將光子A留在自己手上，將光子B發(fā)送給遙遠(yuǎn)的Bob。Alice和Bob各自采用隨機(jī)的測量基測量各自手中的光子。然后Alice和Bob各自公布采用的測量基，并選取測量基相同的位公布測量結(jié)果?？紤]量子信道為理想無噪聲信道，如果沒有對手Eve的存在，那么在本方案中，測量結(jié)果應(yīng)該正好相反。在現(xiàn)實(shí)情況中，信道總不可能是理想無噪聲的，可以設(shè)置閾值門限判別是否有對手Eve的存在。假設(shè)Alice依次發(fā)送了個(gè)光子給Bob，各自采用隨機(jī)的測量基測量各自手中的光子，公布測量基相同位上的測量結(jié)果。假設(shè)A、B光子測量結(jié)果中有不是正好相反的光子對，統(tǒng)計(jì)沒有相關(guān)性的光子對數(shù)為。當(dāng)大于可以容忍的常數(shù)時(shí)，則認(rèn)為這條量子信道上存在對手干擾，Alice和Bob將放棄本次通信。同理，Alice和Charlie、Bob和Charlie都可以在開始簽名前運(yùn)用這個(gè)方法來檢測信道的安全性。

5 結(jié)束語

本文提出了基于糾纏光子對交換的量子盲簽名協(xié)議。該方案不同于溫曉軍提出的弱盲簽及強(qiáng)盲簽，在消息擁有者調(diào)制信息階段就盲化信息，而是簽名者直接對信息盲簽。溫曉軍提出的量子盲簽名基于EPR糾纏對、GHZ三光子的隨機(jī)測量實(shí)現(xiàn)信息的盲化。前者基于EPR糾纏對的盲簽名在驗(yàn)證階段，由于取密鑰奇數(shù)位參與驗(yàn)證，有50%的信息是不確定的，浪費(fèi)了帶寬；后者基于GHZ三光子的盲簽名在制備、存儲和測量等技術(shù)上較本法案更難于實(shí)現(xiàn)，驗(yàn)簽階段簽名更容易判斷。早在1998年，潘建偉等就用實(shí)驗(yàn)驗(yàn)證了量子糾纏交換。因此，在當(dāng)前技術(shù)下，實(shí)現(xiàn)本文介紹的量子簽名方案是完全可行的。

此外，本方案還非常便于在原來的基礎(chǔ)上擴(kuò)展，信息的簽名者可以根據(jù)實(shí)際需要增加，實(shí)現(xiàn)多重有序簽名。參與簽名方只要制備好EPR糾纏對，參與粒子的糾纏交換，測量自己手上的新糾纏態(tài)即可完成自己的簽名。

[1] CHUAM D. Blind signature for untraceable payment[C]//Advances in Cryptology-Cypto’82. Berlin, c1983:199-203.

[2] 楊義先, 孫偉, 鈕心忻. 現(xiàn)代密碼新理論[M]. 北京: 科學(xué)出版社, 2002: 134-135. YANG Y X, SUN W, NIU X X. The new theory of modern cryptography[M]. Beijing: Science Press, 2002:134-145.

[3] 溫曉軍, 陳永志. 量子簽名及應(yīng)用[M]. 北京: 航空工業(yè)出版社, 2012:121. WEN X J, CHEN Y Z. Quantum signature and application[M]. Beijing: Aviation Industry Press, 2012:121.

[4] GOTTESMAN D, CHUANG I. Quantum digital signatures[EB/OL]. http://arxiv.org/abs/quant-ph/ 0105032.

[5] 曾貴華, 馬文平, 王新梅, 等. 基于量子密碼的簽名方案[J].電子學(xué)報(bào). 2001, 29(8): 1098-1100. ZENG G H, MA W P, WANG X M, et al. Signature scheme based on quantum cryptography[J]. Acta Electronica Sinaca, 2001, 29(8): 1098-1100.

[6] WEN X J, LIU Y, ZHANG P Y. Information signature protocols using Einstein-Podolsky-Rosen pairs[J]. Journal of Dalian University of Technology, 2007, 47(3): 424-428.

[7] 溫曉軍, 劉云. 一種可實(shí)現(xiàn)的量子有序多重?cái)?shù)字簽名方案[J]. 電子學(xué)報(bào), 2007, 35(6):1079-1083. WEN X J, LIU Y. A realizable quantum sequential muti-signature scheme[J]. Acta Electronica Sinica, 2007, 35 (6): 1079-1083.

[8] WEN X J, NIU X M, JI L P, et al. A weak blind signature scheme based on quantum cryptography[J]. Optics Communications, 2009, 282: 666-669.

[9] 溫曉軍,田原,牛夏牧. 一種基于秘密共享的量子強(qiáng)盲簽名協(xié)議[J]. 電子學(xué)報(bào), 2010, 38(3): 720-724. WEN X J, TIAN Y, NIU Z M. A strong blind quantum signature protocol based on secret saring[J]. Acta Electronica Sinica, 2010, 2010, 38(3): 720-724.

[10] 陳永志, 劉云, 溫曉軍. 一個(gè)量子代理弱盲簽名方案[J]. 量子電子學(xué)報(bào), 2011, 28(3): 341-349.CHEN Y Z, LIU Y, WEN X J. A quantum proxy weak blind signature scheme[J]. Chinese Journal of Quantum Electronics, 2011, 28(3): 341-349.

Blind signature scheme based on entangled quantum

LIANG Jian-wu, WANG Xiao-hui, GUO Ying, CHENG Zi

(Institute of Information Science and Engineering, Central South University, Changsha 410083,China)

Based on the principle of quantum entanglement swapping, a blind signature scheme based on quantum entanglement was proposed. Through being entangled and exchanged, particles prepared before could transform into entangled state. The measurements of new entangled particles complete signature and verification and realize the quantum communication, blind signature and verification. Different from the classical blind signatures which based on the mathematics difficulty, the scheme could guarantee not only the anonymity but also the unconditionally security.

quantum information, quantum signature, blind signature, entangled quantum

TN918.1

A

10.11959/j.issn.1000-436x.2016028

2015-02-03；

2015-08-25

國家自然科學(xué)基金資助項(xiàng)目（No.11379153）

The National Natural Science Foundation of China (No.11379153)

梁建武（1964-），男，湖南長沙人，中南大學(xué)副教授，主要研究方向?yàn)榱孔油ㄐ藕蜔o線通信。

王曉慧（1990-），女，上海人，中南大學(xué)碩士生，主要研究方向?yàn)榱孔影踩Ｃ芡ㄐ藕蜔o線通信。

郭迎（1975-），男，山東臨沂人，中南大學(xué)教授，主要研究方向?yàn)榱孔影踩Ｃ芡ㄐ藕蜔o線通信。

程資（1990-），女，河北晉州人，中南大學(xué)碩士生，主要研究方向?yàn)榱孔影踩Ｃ芡ㄐ藕蜔o線通信。