輕量級(jí)的仲裁半量子秘密共享

王 晨

(西安工程大學(xué) 計(jì)算機(jī)科學(xué)學(xué)院，陜西 西安 710048)

0 引 言

量子密碼學(xué)的一個(gè)重要分支是量子秘密共享(QSS)[1]。量子秘密共享將秘密分發(fā)給多個(gè)參與者，只有授權(quán)參與者共同合作才可以恢復(fù)初始秘密。1999年，Hillery等人[1]提出的Greenberger-Horne-Zeilinger(GHZ)態(tài)是第一個(gè)基于量子秘密共享方案；1999年，Gottesman等人[2]提出了量子秘密共享方案，秘密信息被劃分為n份，任意k份都可以用于恢復(fù)秘密，并且證明了閾值方案存在的限制是來(lái)自量子不可克隆定理；2000年，Gottesman[3]給出了量子秘密共享理論的一些重要結(jié)果，證明了具有一般訪問(wèn)結(jié)構(gòu)的量子秘密共享方案存在的唯一限制是單調(diào)性和不可克隆定理；2001年，Tittel等人[4]提出了基于糾纏的量子秘密共享實(shí)驗(yàn)方案，利用參量下轉(zhuǎn)換創(chuàng)建兩個(gè)糾纏光子，模擬三量子比特GHZ態(tài)[1]；2003年，Guo等人[5]提出了不使用糾纏態(tài)的量子秘密共享協(xié)議，其理論效率接近100%；2004年，Deng等人[6]提出了基于測(cè)量的量子秘密共享方案，根據(jù)測(cè)量結(jié)果形成的字符串的奇偶性，給出共享秘密信息的顯示表達(dá)式，該方案不僅可以保障協(xié)議的安全性，并且其效率漸近為100%；2005年，Ogawa等人[7]提出了新的量子秘密共享方案，參與者無(wú)法從自己的秘密中獲取任何量子秘密信息，該協(xié)議滿(mǎn)足了機(jī)密性；2014年，Liao等人[8]提出具有添加新代理的簡(jiǎn)便方法，對(duì)撤銷(xiāo)的代理進(jìn)行誠(chéng)實(shí)性檢測(cè)；自此，其他量子秘密共享方案隨后被提出。

盡管在最近幾十年來(lái)出現(xiàn)了各種量子秘密共享協(xié)議，但是由于量子設(shè)備造價(jià)高昂，更可能的應(yīng)用場(chǎng)景是只有少數(shù)的公司和政府機(jī)構(gòu)能夠擁有量子計(jì)算機(jī)。因此，如何降低量子能力是一個(gè)值得研究的領(lǐng)域。為了減輕協(xié)議的量子負(fù)擔(dān)，2007年Boyer等人提出了半量子的想法[9]，在2009年，Boyer等人提出了半量子密鑰分發(fā)協(xié)議，該協(xié)議被證明對(duì)竊聽(tīng)者是完全魯棒的，無(wú)論對(duì)手做什么操作均會(huì)被檢測(cè)到。這里的半量子環(huán)境是指，協(xié)議中部分參與者是量子方，具有無(wú)限量子能力；而另外一些參與方是經(jīng)典方僅需要有限的量子能力，只執(zhí)行以下幾種操作：(1)在Z基上測(cè)量量子比特；(2)在Z基上制備量子比特，{|0〉，|1〉}；(3)無(wú)干擾的反射量子比特；(4)通過(guò)不同的延遲線重新排列量子比特。隨后，半量子密碼協(xié)議得到了一定的發(fā)展。2010年，Li等人[10]提出了兩種使用最大糾纏GHZ態(tài)的半量子秘密共享協(xié)議；2012年，Wang等人[11]通過(guò)使用兩個(gè)粒子糾纏態(tài)進(jìn)而提出了半量子秘密共享協(xié)議，經(jīng)典的參與者只能執(zhí)行制備粒子或者反射粒子的操作；2015年，Xie等人[12]提出了一種新的指定比特的半量子秘密共享協(xié)議，即量子參與者可以與經(jīng)典參與者共享特定的消息；2018年，Li等人[13]提出了有限資源內(nèi)的半量子秘密共享協(xié)議。

為了進(jìn)一步減輕協(xié)議參與者的量子負(fù)擔(dān)，可以引入第三方進(jìn)行量子計(jì)算等操作。2015年，Krawec[14]首次提出了仲裁半量子密鑰分發(fā)協(xié)議，兩個(gè)參與者在不可信量子第三方的協(xié)助下分發(fā)密鑰。2018年，Liu等人[15]提出了經(jīng)典方不需要測(cè)量能力的中介半量子密鑰分發(fā)協(xié)議。2019年，Tsai等人[16]提出了輕量級(jí)的量子密鑰分發(fā)協(xié)議，兩個(gè)參與者和第三方都是經(jīng)典用戶(hù)，使用單向傳輸策略，提出的協(xié)議更實(shí)用。2019年，Lin等人[17]提出了新的中介半量子密鑰分發(fā)協(xié)議，該協(xié)議允許兩個(gè)經(jīng)典參與者在不受信任的第三方幫助下共享秘密密鑰。受上述研究啟發(fā)[18-20]，文中提出了輕量級(jí)的仲裁量子秘密共享方案，即量子方(可信或者不可信的第三方)和經(jīng)典方的能力均是有限的，減少了量子開(kāi)銷(xiāo)，使該協(xié)議更加易于實(shí)現(xiàn)。

1 協(xié)議描述

1.1 第三方可信的半量子秘密共享協(xié)議

本節(jié)介紹了中介可信的量子秘密共享協(xié)議，提出的協(xié)議允許參與者Alice(dealer)和n-1個(gè)經(jīng)典代理方Bob1,Bob2,…,Bobn-1在第三方TP的幫助下共享密鑰。TP是誠(chéng)實(shí)的，即TP必須嚴(yán)格遵守協(xié)議的規(guī)則。關(guān)于參與者有限的量子能力的具體描述在表1中給出。假設(shè)參與秘密共享協(xié)議共有n個(gè)參與者，Alice(dealer)需要在可信第三方TP的幫助下共享密鑰K給n-1個(gè)參與者，協(xié)議的具體執(zhí)行內(nèi)容如下：

(1)TP隨機(jī)地制備δ個(gè)BB84粒子{|+〉,|-〉,|0〉,|1〉},并且發(fā)送給Alice(δ是一個(gè)固定參數(shù)，且δ遠(yuǎn)大于n)。

(2)Alice收到TP發(fā)送的粒子序列后，隨機(jī)執(zhí)行以下兩種操作：

表1 有限量子能力的具體描述

①Alice以概率p對(duì)收到的粒子無(wú)干擾地反射給Bob1(CTRL)；

②Alice以概率1-p丟棄收到的粒子，隨機(jī)在Z基上重新制備量子比特({|0〉,|1〉})，并且發(fā)送給Bob1(SIFT)。

(3)Bob1收到來(lái)自Alice發(fā)送的粒子后，隨機(jī)執(zhí)行以下兩種操作：

①反射：Bob1以概率p對(duì)收到的粒子無(wú)干擾地反射給TP(CTRL)。

②測(cè)量重發(fā)：Bob1以概率1-p對(duì)收到的粒子用Z基測(cè)量，并且隨機(jī)在Z基上制備量子比特({|0〉,|1〉})，并且發(fā)送給TP(SIFT)。

(4)TP接收到Bob1發(fā)送的粒子后，通知Alice和Bob1進(jìn)行竊聽(tīng)檢測(cè)。Alice和Bob1在公共信道公布在哪個(gè)粒子位置上執(zhí)行的CTRL操作，對(duì)Alice和Bob1都選擇執(zhí)行CTRL的粒子進(jìn)行測(cè)量，TP測(cè)量結(jié)果應(yīng)和初始態(tài)一致，若錯(cuò)誤率高于閾值，則終止協(xié)議并重新開(kāi)始。

(5)在Bob1和Alice都選擇SIFT操作的位置，這些粒子(以概率(1-p)*(1-q))作為Alice共享給Bob1的密鑰K1的編碼量子比特({|0〉,|1〉,|1〉,…,|0〉}分別代表0,1比特)。

(6)同理，Alice和Bob2，…，Bobn-1在TP的幫助下共享密鑰K2…Kn-1，重復(fù)步驟1～5。最終，K=K1⊕K2⊕…⊕Kn-1作為所有參與者共享密鑰，只有所有的Bob共同合作才能恢復(fù)該密鑰。

1.2 中介不可信的半量子秘密共享協(xié)議

本節(jié)介紹了中介不可信的量子秘密共享協(xié)議，提出的協(xié)議中參與秘密共享協(xié)議的成員有Alice(dealer)、Bob和Charlie，三個(gè)參與者在TP的幫助下共享密鑰。TP是不可信的，即必須驗(yàn)證TP的誠(chéng)實(shí)性。關(guān)于參與者有限量子能力的具體描述在表2中給出。

假設(shè)Alice需要在不可信第三方幫助下共享密鑰K給Bob和Charlie，協(xié)議的具體內(nèi)容如下：

表2 有限量子能力的具體描述

(3)Bob和Charlie在收到Alice發(fā)送的量子序列后，隨機(jī)執(zhí)行兩種操作：

①CTRL：以概率p對(duì)收到的粒子無(wú)干擾地反射給TP；

②SIFT：以概率1-p對(duì)收到的粒子用Z基測(cè)量并隨機(jī)制備量子態(tài)發(fā)送給TP。

(4)TP收到來(lái)自Bob和Charlie的所有量子態(tài)并且按順序存儲(chǔ)，按照順序結(jié)合收到的粒子進(jìn)行Bell測(cè)量，并且公布測(cè)量結(jié)果及初始態(tài)，Bob和Charlie計(jì)算選擇SIFT的初始態(tài)且檢測(cè)SIFT比特錯(cuò)誤率。若Z-SIFT錯(cuò)誤率高于預(yù)先設(shè)定的閾值PSIFT，那么中止協(xié)議。

(5)Alice公布插入竊聽(tīng)檢測(cè)粒子的位置，Bob和Charlie公布執(zhí)行Z-SIFT操作的位置，TP對(duì)比Bob和Charlie選擇CTRL的量子態(tài)并且檢測(cè)CTRL比特錯(cuò)誤率。若Z-SIFT錯(cuò)誤率高于預(yù)先設(shè)定的閾值PCTRL，那么中止協(xié)議。

(6)Alice隨機(jī)選擇插入竊聽(tīng)檢測(cè)粒子中的Z-SIFT比特為密鑰K1,K2，通知Bob和Charlie公布剩余誘騙粒子為自身Z-SIFT粒子的測(cè)量結(jié)果。若Z-SIFT錯(cuò)誤率高于預(yù)先設(shè)定的閾值PTEST，那么協(xié)議中止。

(7)Bob和Charlie記錄未公布測(cè)量結(jié)果的Z-SIFT為K1,K2，最終K1⊕K2為共享密鑰，只有Bob和Charlie合作才能恢復(fù)密鑰。

1.3 中介可信的半量子秘密共享驗(yàn)證

本節(jié)中，中介可信的量子秘密共享協(xié)議允許參與者Alice(dealer)和2個(gè)經(jīng)典代理方Bob1,Bob2在TP的幫助下共享密鑰。TP是誠(chéng)實(shí)的，即TP必須嚴(yán)格遵守協(xié)議的規(guī)則。假設(shè)參與秘密共享協(xié)議共有3個(gè)參與者，Alice(dealer)需要在可信第三方(TP)的幫助下共享密鑰K給2個(gè)參與者，協(xié)議的具體執(zhí)行內(nèi)容如下：

(1)TP隨機(jī)地制備20個(gè)BB84粒子{|+〉,|0〉,|-〉,|1〉,|-〉,|+〉,|0〉,|1〉,|1〉,|+〉,|-〉,|0〉,|+〉,|1〉,|-〉,|1〉,|0〉,|+〉,|-〉,|1〉}并且發(fā)送給Alice。

(2)Alice收到TP發(fā)送的粒子序列后，執(zhí)行以下兩種操作：

①Alice對(duì)收到的粒子序列為奇數(shù)的粒子無(wú)干擾地反射給Bob1(CTRL)；

②Alice丟棄收到的其余粒子，隨機(jī)在Z基上重新制備量子比特({|0〉,|1〉})，并且發(fā)送給Bob1(SIFT)。

操作后的粒子序列為{|+〉,|0〉,|-〉,|1〉,|-〉,|0〉,|0〉,|1〉,|1〉,|0〉,|-〉,|0〉,|+〉,|1〉,|-〉,|1〉,|0〉,|1〉,|-〉,|1〉}。

Bob1收到來(lái)自Alice發(fā)送的粒子后，執(zhí)行以下兩種操作：

①Bob1對(duì)收到的粒子序列為3的倍數(shù)的粒子無(wú)干擾地反射給TP(CTRL)；

②測(cè)量重發(fā)：Bob1對(duì)收到的其余粒子用Z基測(cè)量，并且隨機(jī)在Z基上制備量子比特({|0〉,|1〉})，并且發(fā)送給TP(SIFT)。

操作后的粒子序列為{|1〉,|0〉,|-〉,|1〉,|0〉,|0〉,|0〉,|1〉,|1〉,|0〉,|1〉,|0〉,|1〉,|1〉,|-〉,|1〉,|0〉,|0〉,|0〉,|1〉}。

(3)TP接收到Bob1發(fā)送的粒子后，通知Alice和Bob1進(jìn)行竊聽(tīng)檢測(cè)。Alice和Bob1在公共信道公布在哪個(gè)粒子位置上執(zhí)行的CTRL操作，對(duì)Alice和Bob1都選擇執(zhí)行CTRL的粒子進(jìn)行測(cè)量，TP的測(cè)量結(jié)果應(yīng)和初始態(tài)一致，最終檢測(cè)粒子序列為{|-〉,|1〉,|-〉}。

(4)在Bob1和Alice都選擇SIFT操作的位置，這些粒子作為Alice共享給Bob1的密鑰K1的編碼量子比特，({|0〉,|1〉}分別代表0,1比特)，最終量子比特為{|0〉,|1〉,|1〉,|0〉,|1〉,|1〉,|1〉}。

(5)TP隨機(jī)地制備20個(gè)BB84粒子{|-〉,|0〉,|+〉,|0〉,|1〉,|+〉,|-〉,|1〉,|+〉,|0〉,|1〉,|+〉,|-〉,|0〉,|-〉,|0〉,|0〉,|-〉,|+〉,|0〉}并且發(fā)送給Alice。

(6)Alice收到TP發(fā)送的粒子序列后，執(zhí)行以下兩種操作：

①Alice對(duì)收到的粒子序列為奇數(shù)的粒子無(wú)干擾地反射給Bob2(CTRL)；

②Alice丟棄收到的其余粒子，隨機(jī)在Z基上重新制備量子比特({|0〉,|1〉})，并且發(fā)送給Bob2(SIFT)。

操作后的粒子序列為{|-〉,|0〉,|+〉,|1〉,|1〉,|0〉,|-〉,|1〉,|+〉,|0〉,|1〉,|0〉,|-〉,|1〉,|-〉,|0〉,|0〉,|1〉,|0〉,|0〉}。

Bob2收到來(lái)自Alice發(fā)送的粒子后，執(zhí)行以下兩種操作：

①Bob2對(duì)收到的粒子序列為3的倍數(shù)的粒子無(wú)干擾地反射給TP(CTRL)；

②測(cè)量重發(fā)：Bob2對(duì)收到的其余粒子用Z基測(cè)量，并且隨機(jī)在Z基上制備量子比特({|0〉,|1〉})，并且發(fā)送給TP(SIFT)。

操作后的粒子序列為{|1〉,|0〉,|+〉,|1〉,|1〉,|0〉,|1〉,|1〉,|+〉,|0〉,|1〉,|0〉,|-〉,|1〉,|-〉,|0〉,|0〉,|1〉,|0〉,|0〉}。

(7)TP接收到Bob2發(fā)送的粒子后，通知Alice和Bob2進(jìn)行竊聽(tīng)檢測(cè)。Alice和Bob2在公共信道公布在哪個(gè)粒子位置上執(zhí)行的CTRL操作，對(duì)Alice和Bob2都選擇執(zhí)行CTRL的粒子進(jìn)行測(cè)量，TP的測(cè)量結(jié)果應(yīng)和初始態(tài)一致，最終檢測(cè)粒子序列為{|+〉,|+〉,|-〉}。

(8)在Bob2和Alice都選擇SIFT操作的位置，這些粒子作為Alice共享給Bob2的密鑰K2的編碼量子比特，({|0〉,|1〉}分別代表0,1比特)，最終量子比特為{|0〉,|1〉,|1〉,|0〉,|1〉,|0〉,|0〉}。

(9)Alice和Bob1，Bob2在TP的幫助下共享密鑰K1,K2，最終，K=K1⊕K2作為所有參與者共享密鑰，最終共享密鑰為{|0〉,|0〉,|0〉,|0〉,|0〉,|1〉,|1〉}，只有Bob1和Bob2共同合作才能恢復(fù)該密鑰。

2 安全分析

2.1 特洛伊木馬攻擊

常見(jiàn)的木馬攻擊有兩種：延遲光子木馬攻擊和隱形光子竊聽(tīng)。特洛伊木馬攻擊是一種常見(jiàn)的攻擊，外部攻擊者可能會(huì)將特洛伊木馬光子插入TP發(fā)送的量子比特中，嘗試通過(guò)特洛伊木馬光子獲得信息[21]。兩個(gè)協(xié)議中，參與者可以引入光波過(guò)濾器來(lái)檢測(cè)是否存在多光子信號(hào)，因而參與者收到的都是濾波器過(guò)濾后的具有合法波長(zhǎng)的粒子，這樣可以抵抗來(lái)自Eve的隱形光子竊聽(tīng)。

2.2 聯(lián)合攻擊

中介可信的半量子秘密共享協(xié)議中將證明一個(gè)或多個(gè)不誠(chéng)實(shí)的參與者無(wú)法獲得最終密鑰[22-23]。在此，考慮最極端的情況，有一部分參與者是不誠(chéng)實(shí)的，在這種情況下，不誠(chéng)實(shí)方具有最大的權(quán)力。首先，若沒(méi)有Bob1的幫助下，Bob2…Bobn-1相互串通想獲得最終的密鑰。若是想知道Bob1的密鑰，只有檢測(cè)發(fā)送給Bob1的粒子，若是在Alice發(fā)送給Bob1的過(guò)程中，他們不知道具體的位置，協(xié)議繼續(xù)進(jìn)行則成為攔截攻擊，TP會(huì)檢測(cè)出；其次，若是在Bob1發(fā)送給TP的過(guò)程中竊聽(tīng)，則沒(méi)有意義。并且Bob2…Bobn-1可相互獨(dú)立，但是，這些信息仍然無(wú)法獲取。因此，協(xié)議可以抵抗內(nèi)部攻擊。

中介不可信的半量子秘密共享協(xié)議中，因?yàn)榈谌?、Alice、Bob和Charlie是互相檢驗(yàn)誠(chéng)實(shí)性，若一方不誠(chéng)實(shí)，協(xié)議無(wú)法繼續(xù)進(jìn)行，因此可發(fā)現(xiàn)潛在的聯(lián)合攻擊。

2.3 外部攻擊

3 結(jié)束語(yǔ)

和現(xiàn)有的協(xié)議相比較[24-25]：對(duì)于半量子環(huán)境，在測(cè)量重發(fā)和丟棄重發(fā)環(huán)境中設(shè)計(jì)該協(xié)議，協(xié)議中，參與方都是“經(jīng)典的”，經(jīng)典參與者具有相同的量子能力，包括用Z基測(cè)量量子比特，以Z基制備量子比特，和無(wú)干擾反射量子比特。在量子資源方面，現(xiàn)有的半量子秘密共享協(xié)議中，量子方需要無(wú)限的量子能力，來(lái)保持協(xié)議的正常進(jìn)行，在該方案中，對(duì)于第三方TP的量子能力要求也是有限的，參與者只需生成Z基的單個(gè)光子。降低了量子TP的量子能力，不需要完全的量子能力，這些使該協(xié)議更加實(shí)用和輕便。文中在的第三方TP的幫助下，提出了一種輕量級(jí)仲裁量子秘密共享方案，允許經(jīng)典參與者在具有有限量子能力TP的幫助下共享密鑰，因?yàn)閐ealer只需要生成Z基量子位的能力，經(jīng)典參與者和TP的量子能力都是有限的，該協(xié)議節(jié)約了量子資源，提高了協(xié)議的實(shí)用性。盡管在半量子領(lǐng)域中共享密鑰的無(wú)條件安全性仍然很困難[26-29]，但是所提出的協(xié)議可免受各種眾所周知的攻擊。在這里，不增加TP量子能力的情況下，如何將參與者的能力降低也是一個(gè)有挑戰(zhàn)的問(wèn)題，需要進(jìn)一步研究。