基于線性光學元件的被動式誘騙態(tài)量子數(shù)字簽名方案

范宇騰,索磊,張春輝,2,陳家明,2,王琴,2*

(1南京郵電大學通信與信息工程學院量子信息技術(shù)研究所,江蘇 南京 210003;2南京郵電大學通信與信息工程學院寬帶無線與傳感網(wǎng)技術(shù)教育部重點實驗室,江蘇 南京 210003)

0 引言

數(shù)字簽名在現(xiàn)代通信中被廣泛地應(yīng)用于電子郵件和電子商務(wù)等領(lǐng)域,以保證信息的真實性和完整性。它允許一個發(fā)送者和多個接收者之間進行信息交換,并保證信息不被抵賴、竊取和篡改。經(jīng)典數(shù)字簽名方案的安全性源于非對稱密鑰加密技術(shù),本質(zhì)上基于數(shù)學計算復(fù)雜度,例如RSA算法[1]借助大整數(shù)因子分解的難度來保證信息安全,但隨著計算機技術(shù)不斷發(fā)展,傳統(tǒng)加密算法受到了挑戰(zhàn)。自2001年Gottesman和Chuang[2]將量子物理應(yīng)用到數(shù)字簽名后,量子數(shù)字簽名(QDS)進入人們的視野。量子不可克隆定理[3]、測量塌縮理論和海森堡測不準原理[4]保證QDS具有無條件的安全性,這引起了國內(nèi)外研究學者的興趣。2006年,Andersson等[5]提出了使用多端口干涉替代Swap Test的QDS方案,提高了QDS協(xié)議的可操作性;2012年,Clarke等[6]借助相干態(tài)和線性光學元件省去了QDS方案中非破壞態(tài)比較的前提條件,并提出了可行性高的簽名方案;2014年,Collins等[7]提出了不依賴量子存儲器也能實現(xiàn)系統(tǒng)安全通信的QDS方案;2016年,Donaldson等[8]演示了數(shù)公里級別的量子數(shù)字簽名實驗;同年,Amiri等[9]、Yin等[10]提出了不依賴安全量子信道的QDS方案,加快了QDS的普及和實用化進程;2017年,Roberts等[11]用偏振編碼方案實現(xiàn)了BB84協(xié)議與測量設(shè)備無關(guān)(MDI)協(xié)議可切換的QDS實驗演示;2018年,Zhang等[12]利用參量下轉(zhuǎn)化光源實現(xiàn)了200 km安全傳輸?shù)谋粍邮秸T騙態(tài)量子數(shù)字簽名,提高了QDS的安全性和實用性;2019年,An等[13]在相位編碼的高速量子密鑰分配平臺上演示了最遠距離達125 km的QDS實驗,該系統(tǒng)基于Faraday-Sagnac-Michelson干涉儀結(jié)構(gòu)[14],在安全性、重復(fù)頻率和穩(wěn)定性三個關(guān)鍵指標上均表現(xiàn)優(yōu)異;同年,Chen等[15]提出了基于參量下轉(zhuǎn)換光源的QDS協(xié)議;2020年,Ding等[16]提出了一種單誘騙態(tài)QDS方案,免去了真空態(tài)的調(diào)制,降低了實驗難度和隨機數(shù)消耗,實現(xiàn)了280 km的當前最遠傳輸距離。

實際的QDS實驗中,光源容易遭受光子數(shù)分離攻擊(PNS)而造成安全隱患,一般用誘騙態(tài)方法[17-19]來抵御?，F(xiàn)有QDS實驗多使用主動式誘騙態(tài)方法,通過電光或聲光調(diào)制器將脈沖信號主動調(diào)制到不同光強上。而現(xiàn)有調(diào)制器由于技術(shù)缺陷,在施加不同大小的電壓時往往會引入側(cè)信道漏洞。針對主動式誘騙態(tài)方案強度調(diào)制所引入的側(cè)信道漏洞,本文提出了基于線性光學元件的被動式誘騙態(tài)QDS方案,并闡述了方案的基本流程和安全性分析,最后通過具體數(shù)值進行仿真,給出了兩種方案下的簽名率對比。盡管所提出方案無法完全避免側(cè)信道漏洞,但其仍然大大提高了系統(tǒng)的安全性。

1 方案內(nèi)容與模型

1.1 QDS原理與工作流程[15]

QDS協(xié)議在最簡單的情況下包含一個簽名發(fā)送方(Alice)和兩個簽名接收方(Bob、Charlie),其工作流程包括分發(fā)階段和消息階段。下面以基于BB84協(xié)議的QDS方案為例進行說明。

分發(fā)階段需要使用經(jīng)典信道和量子信道,這一階段的工作原理如圖1所示,具體步驟如下:

圖1 分發(fā)階段[15]Fig.1 Distribution stage[15]

1)對于要簽名的信息m=0或1,Alice通過量子信道使用密鑰生成協(xié)議(KGP)分別與Bob和Charlie產(chǎn)生兩份相關(guān)密鑰字符串。Bob、Charlie對每個脈沖隨機選擇誘騙態(tài)或信號態(tài)、X基或Z基來制備量子態(tài),Alice隨機選X基或Z基進行測量,記錄測量結(jié)果;雙方通過認證的經(jīng)典信道公布自己使用的基矢,舍棄掉選基不同的數(shù)據(jù)。X基上的數(shù)據(jù)用于估計信道參數(shù),Z基上的數(shù)據(jù)用于生成密鑰。最終,Alice獲得密鑰串和;Bob、Charlie分別得到相應(yīng)的密鑰串

2)Bob(Charlie)和Alice從其所持有的密鑰串中隨機選取長度為k的部分比特用于估計信道傳輸時的誤碼率;然后,剩余的長度為L的密鑰串用于簽名。

3)Bob和Charlie通過秘密信道隨機選擇一半密鑰進行對換,并把相對應(yīng)的位置發(fā)送給對方,之后雙方的密鑰串為上標表示原本的持有者,keep表示保留的部分,forward表示被交換的部分。

消息階段只使用經(jīng)典信道,主要內(nèi)容為比特信息和簽名的傳輸與驗證。具體步驟如下:

1)在傳輸一比特消息m(m為0或1)時,Alice將簽名信息(m,Sigm)發(fā)送給Bob,其中就是Alice對信息m的簽名。

3)類似地,收到轉(zhuǎn)發(fā)消息后,Charlie也將其持有的密鑰與簽名Sigm進行對比,如果不匹配率低于閾值Tv,則接收此簽名,否則拒絕接收該信息。Tv的設(shè)定取決于信息的轉(zhuǎn)發(fā)次數(shù),為了防止Alice抵賴攻擊成功,一般要求0＜Ta＜Tv＜0.5。

1.2 方案模型

通過借鑒Curty等[20,21]的被動式誘騙態(tài)量子密鑰分發(fā)方案,提出將這種被動式誘騙態(tài)方案運用到QDS協(xié)議中,從而避免強度調(diào)制引入的側(cè)信道漏洞,提高QDS系統(tǒng)的安全性。為了處理方便,參考文獻[20],假設(shè)使用的發(fā)送端本地探測器為理想探測器,即探測效率為100%,暗計數(shù)率為0。即使在探測器非理想時,所提出推導(dǎo)過程依然適用。該被動式誘騙態(tài)光源制備結(jié)構(gòu)示意圖如圖2所示。

圖2 基于線性光學元件的被動式誘騙態(tài)光源制備結(jié)構(gòu)[20]Fig.2 Schematic of the passive decoy-state sources based on linear optical components[20]

圖2中,ρμ1、ρμ2表示兩個平均光子數(shù)分別為μ1、μ2的隨機相位的弱相干脈沖,ρout表示a出口的出射光,T表示分束器(BS)的透過率。由參考文獻[20～22]可知,弱相干光源在經(jīng)過強衰減之后光子數(shù)仍服從泊松分布,故可得脈沖ρμ1、ρμ2的光子數(shù)態(tài)表達式[20]

2 安全性分析

2.1 參數(shù)估計

對所提出被動式誘騙態(tài)量子數(shù)字簽名方案進行安全性分析,主要包括魯棒性、不可偽造性、不可抵賴性這三方面。如果攻擊者Eve造成的誤碼低于一定數(shù)量,那么它就可能成功偽造簽名,一般用平滑最小熵來界定此事件的概率,以量化Eve的攻擊成功實施的可能性。規(guī)定分別以1-PZ和PZ的概率選擇X基和Z基,簽名所需密鑰統(tǒng)一用Z基成碼。根據(jù)文獻[9]可以得到Eve存在時的平滑最小熵表達式

2.2 魯棒性分析

2.3 不可偽造性分析

2.4 不可抵賴性分析

抵賴事件指Alice的簽名信息被Bob接收,Bob轉(zhuǎn)發(fā)給Charlie時被拒絕,將其設(shè)為事件H3。此事件需使任一部分與Sigm的不匹配率小于Ta,且任一部分與Sigm的不匹配率超過Tv。分發(fā)階段中Bob和Charlie交換了一半密鑰,而Alice不知道具體交換了哪一部分,這是防止抵賴攻擊的關(guān)鍵所在。假設(shè)Alice能控制其簽名與、之間的不匹配率,分別記為eB、eC,分析Bob、Charlie交換密鑰之后的情況。交換后,Bob、Charlie各自的兩部分密鑰串均有eCL/2和eBL/2的誤碼數(shù)。當eC＞Ta時,Bob一定不會接收Alice發(fā)送給他的簽名消息,所以只考慮eC≤Ta的情況,設(shè)Charlie交換給Bob的密鑰錯誤個數(shù)小于TaL/2這一事件為。同樣地,如果eB＞Ta,Bob很可能拒絕Alice發(fā)送給他的簽名消息,所以只考慮eB≤Ta的情形,抵賴攻擊需要Bob把誤碼盡可能交換出去,使Charlie與Sigm匹配的誤碼個數(shù)大于TvL/2,設(shè)這一事件為。如果抵賴成功,則無需考慮Charlie拒收的原因在于哪一部分密鑰,所以Charlie得到的誤碼個數(shù)大于TvL/2這一事件為根據(jù)文獻[9],抵賴攻擊的最佳策略是使,此時抵賴事件概率PH3滿足

綜上所述,在對魯棒性、不可偽造性和不可抵賴性三者沒有加權(quán)的情況下,可以定義此QDS方案的安全性為

除了上述對協(xié)議安全性的分析以外,還需要對方案所設(shè)計系統(tǒng)的性能進行評估。簽名率是評價QDS協(xié)議系統(tǒng)性能最重要的指標,此處簽名率可表示為

3 仿真結(jié)果及分析

將通過Matlab的數(shù)值仿真來對比所提出的被動式QDS方案與常見的主動式三強度QDS方案這兩者的性能。首先介紹在數(shù)值仿真過程的觀測量,可表示為

式中:W基表示X基或Z基的其中一個基,即W∈[X,Z];N表示發(fā)射端發(fā)射的光脈沖總數(shù);PW為發(fā)射端發(fā)送和接收端接收時選擇W基的概率;ω為本地探測器響應(yīng)情況,為ω情況下Bob端探測器的響應(yīng)率和誤碼率,可由線性模型[15]求得,即

式中Yn、en為n光子的響應(yīng)率、誤碼率,可以分別表征為[15]

式中:Y0=2Pd為發(fā)射真空態(tài)時的響應(yīng)概率,Pd為系統(tǒng)的暗計數(shù)率;η=10-αdηB,α為系統(tǒng)衰減系數(shù)(單位:dB/km),ηB為接收端探測器的探測效率,d為通信系統(tǒng)的傳輸距離。

為了方便比較,使用了兩組系統(tǒng)參數(shù)進行仿真,其中第一組系統(tǒng)參數(shù)為參考文獻[25]所用參數(shù)值:接收端探測器的探測效率ηB=0.045,系統(tǒng)探測器的暗計數(shù)率Pd=8.5×10-7個/脈沖,光纖信道的傳輸損耗系數(shù)α=0.21 dB/km,系統(tǒng)的本底誤碼ed=0.033。第二組系統(tǒng)參數(shù)中,將第一組參數(shù)使用的InGaAs探測器的探測效率合理替換為當前超導(dǎo)探測器的探測效率,即ηB=0.9[26],其他參數(shù)不變。此外,在以上兩組參數(shù)中,統(tǒng)一設(shè)定發(fā)射端(Bob或Charlie)發(fā)射脈沖數(shù)N=1013,用于參數(shù)估計的長度占比k=1/21,安全概率設(shè)定為α1=2.5×10-11,?=10-10,?PE=10-5。在數(shù)值仿真過程中,通過借鑒文獻[27]提出的坐標下降法與局部搜索算法相結(jié)合的參數(shù)優(yōu)化算法,對兩種QDS方案的調(diào)制參數(shù)分別進行了全局優(yōu)化。在主動式方案中,優(yōu)化對象為三種光源的光強、選擇概率以及選擇Z基的概率;而被動式方案的優(yōu)化參數(shù)為兩束入射光光強與選擇Z基的概率。在同樣的系統(tǒng)參數(shù)下,分別將仿真得到的主動式、被動式QDS方案的誤碼率e與簽名率R進行對比,如圖3、圖4所示。

圖3(a)、(b)中,橫軸表示通信系統(tǒng)的傳輸距離,縱軸表示誤碼率的數(shù)值,其中,點曲線和虛線點曲線分別代表主動式誘騙態(tài)方案中誤碼率的變化趨勢;虛線和實線分別代表被動式誘騙態(tài)方案中誤碼率的變化趨勢。由安全性分析可知,系統(tǒng)是否安全的關(guān)鍵在于的大小關(guān)系,當竊聽者對系統(tǒng)造成的最小誤碼率(emin)大于發(fā)送、接收雙方正常操作可能產(chǎn)生的最大誤碼率()時,就可以保證簽名信息的安全性。其中從圖3(a)可以看出,被動式誘騙態(tài)方案中,隨著傳輸距離的增加,emin逐漸變小,逐漸增大,二者相交于122 km處;在交點之后,由于,簽名的安全性無法保證,因此可判斷被動式誘騙態(tài)方案的最遠安全傳輸距離為122 km。同理,由主動式誘騙態(tài)方案中emin和的交點在148 km處,可判斷其最遠安全傳輸距離為148 km。同樣,根據(jù)圖3(b)可推斷,在ηB=0.9時,主動式、被動式方案的最遠安全距離分別為208 km和183 km。

圖4(a)、(b)中,橫軸代表傳輸距離,而縱軸代表簽名率大小,其中虛線(Active)和點線(Passive)分別代表主動式誘騙態(tài)和被動式誘騙態(tài)方案的簽名率大小。顯然,兩種方案的簽名率均隨傳輸距離的增加而下降,ηB=0.045時,二者的截止傳輸距離分別為148 km和122 km;當ηB=0.9時截止傳輸距離分別為208 km和183 km,與圖3(a)、(b)的結(jié)果相一致。與主動式誘騙態(tài)QDS方案相比,所提出的被動式誘騙態(tài)QDS方案簽名率偏低,但是需要指出,在目前的數(shù)值仿真中并沒有考慮光源調(diào)制誤差。倘若考慮光源調(diào)制引起的誤差,被動式方案不受影響,主動式誘騙態(tài)方案則會降低性能和安全性。

4 結(jié)論

針對現(xiàn)有主動式誘騙態(tài)QDS方案中存在的側(cè)信道漏洞問題,本文提出了基于線性光學元件的被動式誘騙態(tài)QDS方案,原理簡單、安全性較高、操作容易。在此基礎(chǔ)上本文開展了相關(guān)數(shù)值仿真和參數(shù)優(yōu)化工作,并與主動式方案進行了對比分析。結(jié)果顯示,在不考慮光源調(diào)制誤差的情況下,被動式方案的簽名率和簽名距離一定程度上遜于主動式方案。但考慮到在實際應(yīng)用中主動式方案要求發(fā)送方隨機、高速地調(diào)制不同脈沖強度,將不可避免地引入光強調(diào)制誤差,導(dǎo)致系統(tǒng)性能降低。因此,本文對量子數(shù)字簽名的實際應(yīng)用具有重要的參考價值。不過考慮到在實際應(yīng)用時本地探測器并不是探測效率為100%的理想單光子探測器,由于信號光與休閑光之間可能存在多種模式關(guān)聯(lián)的特性,該方面的安全性分析問題值得開展更深層次的分析與研究。