基于量子中心的測量型量子保密求和協(xié)議

王躍, 張可佳, 韓睿

(1 黑龍江大學數(shù)學科學學院, 黑龍江 哈爾濱 150080;2 黑龍江大學黑龍江省復雜系統(tǒng)與計算重點實驗室, 黑龍江 哈爾濱 150080;3 黑龍江大學密碼與網(wǎng)絡安全研究院, 黑龍江 哈爾濱 150080)

0 引 言

密碼學作為保護信息安全的理論基礎,受到了研究者的廣泛關(guān)注。經(jīng)典的密碼技術(shù)大多是基于大整數(shù)分解、離散對數(shù)等數(shù)學難題來確保安全性。隨著量子計算的發(fā)展,上述問題可以由部分量子算法在多項式時間內(nèi)解決,例如Shor 算法可以在多項式時間完成大整數(shù)分解[1],Grover 算法可以加速亂序搜索問題的求解[2]。為了保證密碼協(xié)議在量子攻擊下的安全性,研究人員將量子理論直接應用于密碼問題的研究中,并相繼提出了量子密鑰分配[3?5]、量子安全多方計算[6?8]等量子密碼研究方向。

量子保密求和是量子安全多方計算的基礎內(nèi)容,由Heinrich 在2002 年首次提出[9],其可以概括為:假設有n個參與者P1,P2,··· ,Pn,每個參與者Pi手中都有一個秘密信息xi(i=1,2,··· ,n),所有參與者要在不泄露自己秘密信息xi的情況下計算出n∑i=1xi。研究人員提出了實現(xiàn)量子保密求和協(xié)議的不同方案,如:2007 年,Du 等[10]利用一組非正交單光子態(tài),計算了n個參與者的秘密信息在模n+1 情況下的和;2010年,Chen 等[11]利用|+〉、|?〉態(tài)與多粒子糾纏態(tài)之間的糾纏交換來實現(xiàn)求和;2014 年,Zhang 等[12]在半誠實第三方下通過對具有極化和空模自由度的單光子執(zhí)行酉操作實現(xiàn)求和;2019 年,Gu 等[13]發(fā)現(xiàn)文獻[12]中的協(xié)議不能抵抗截斷-重發(fā)攻擊,因此對其進行了改進;2015 年,Zhang 等[14]通過六粒子糾纏態(tài)共享密鑰來實現(xiàn)三方求和;2016 年,Shi 等[15]提出基于量子傅里葉變換的多方求和與求乘積;2017 年,Liu等[16]通過Bell 態(tài)和酉操作實現(xiàn)了求和,Zhang 等[17]提出了通過單粒子共享密鑰實現(xiàn)多方求和。隨后,量子保密求和協(xié)議所利用的載體開始向高維度拓展,如d維n粒子糾纏態(tài)[18,19]、d維cat 態(tài)[20,21]、d維相互無偏基[22?24]。

不難發(fā)現(xiàn),上述協(xié)議中所有參與者都具備全部的量子能力,即參與者既能對粒子進行測量也能對粒子執(zhí)行酉操作。為了提高可實現(xiàn)性,本文假設只有量子中心具有全部的量子能力,非量子中心的參與者只具有部分量子能力,即他們只能執(zhí)行某種單光子測量而不執(zhí)行任何操作。在Boyer 等[25]提出的半量子概念中,具有半量子能力的參與方只能對接收的量子態(tài)執(zhí)行以下兩種操作:1)使用計算基測量粒子;2)直接反射粒子。量子中心測量型協(xié)議提出一種參與者量子能力受限情況下的協(xié)議設計模型。不難發(fā)現(xiàn),現(xiàn)有的半量子協(xié)議對于量子能力進行了嚴格的約束,是量子中心測量型協(xié)議的一種特殊情況。具體地,本文提出的量子保密求和協(xié)議需要參與者對接收的量子態(tài)要么執(zhí)行{|0〉,|1〉}基或{|+〉,|?〉}基測量,要么直接反射粒子而不進行測量,該協(xié)議將為量子密碼協(xié)議的實際應用提供更多的應用場景。

1 預備知識

首先介紹所提出協(xié)議中使用的三粒子GHZ 類態(tài),可表示為

2 三方量子保密求和協(xié)議

2.1 協(xié)議滿足的條件

假設有3 個參與者P1、P2和P3,每個參與者Pi(i=1,2,3)手中有一個長為N的秘密串

在此協(xié)議中,參與者P1、P2和P3應該滿足以下條件:1)P1可以制備GHZ 類態(tài)|φ〉,執(zhí)行Bell 基測量和GHZ 類態(tài)聯(lián)合測量;2)P2和P3只能執(zhí)行如下操作:用{|0〉,|1〉}基和{|+〉,|?〉}基測量粒子,或直接返回粒子不進行任何操作。

2.2 協(xié)議具體步驟

在協(xié)議開始前,P2、P3事先通過文獻[26]中的半量子密鑰分配技術(shù)共享密鑰K,其中kj為K中第j個密鑰,j=1,2,··· ,N。

2.2.1 初始階段

P1隨機制備N+2(δ+θ)個(1)式中的GHZ 類態(tài)。隨后,P1將這些量子態(tài)中的第一個粒子取出形成序列S1,第二個粒子取出形成序列S2,第三個粒子取出形成序列S3,可表示為

式中i=1,2,3。P1將序列S2發(fā)送給P2,將序列S3發(fā)送給P3。

2.2.2 隨機操作階段

1)P2接收到序列S2后,對粒子執(zhí)行以下操作中的一種:使用{|0〉,|1〉}基測量,使用{|+〉,|?〉}基測量,直接返回粒子。

P2在序列S2中任意選擇θ 個粒子,使用{|0〉,|1〉}基或{|+〉,|?〉}基測量,并通知P1和P3其所選粒子的位置和測量基,P1和P3使用相同的測量基對這θ 個位置的粒子進行測量。然后,P2在余下粒子中任選δ 個粒子測量或反射給P1,并通知P1和P3自己所選粒子的位置。最后,P2對剩下的N個粒子使用{|0〉,|1〉}基進行測量并記錄結(jié)果。

對應的P3接收到序列S3后,執(zhí)行與P2相同的操作。

2)P1收到P2和P3的粒子后,對手中的粒子S1可能執(zhí)行以下操作中的一種:I 使用{|0〉,|1〉}基測量;II 使用三粒子GHZ 類態(tài)做聯(lián)合測量;III 使用Bell 基測量。

由表1 可見,P2和P3對手中粒子進行的操作共有四種情況:1)當P2和P3都對手中的粒子進行測量時,P1對手中的粒子使用{|0〉,|1〉}基進行測量;2)當P2和P3都對粒子進行反射時,P1對收到的粒子執(zhí)行三粒子GHZ 類態(tài)聯(lián)合測量;3)當P2對粒子進行測量而P3對粒子進行反射時,P1對自己手中的粒子和反射回來的粒子進行Bell 基測量;4)當P3對粒子進行測量而P2對粒子進行反射時,P1同樣對自己手中的粒子和反射回來的粒子進行Bell 基測量。

表1 參與者執(zhí)行的相關(guān)操作Table 1 Related operation performed by participants

2.2.3 安全檢測階段

對于情況1) 中使用{|0〉,|1〉} 基或{|+〉,|?〉} 基測量的θ 個粒子,P1公布初始制備的|φ〉的形式,每個Pi公布測量結(jié)果。若使用{|+〉,|?〉}基測量粒子,則每個參與者的測量結(jié)果應符合|φ〉的形式;若使用{|0〉,|1〉}基測量,每個Pi的測量結(jié)果的和應該等于0。如果得到的結(jié)果不符合上述情況,則說明P1不誠實,協(xié)議終止。

對于情況2)中P1進行三粒子GHZ 類態(tài)聯(lián)合測量的粒子,若測量結(jié)果與初始制備的量子態(tài)相同,則協(xié)議繼續(xù),反之協(xié)議終止。

2.2.4 計算求和結(jié)果

參與者Pi首先使用{|0〉,|1〉}基測量粒子的量子態(tài),并將測量結(jié)果Ri公布給P1,這里

3 協(xié)議分析與討論

3.1 正確性

本節(jié)將通過實例分析此三方量子保密求和協(xié)議的正確性。不失一般性,令P2和P3事先共享密鑰k=1,P1的秘密為X1=1,P2的秘密為X2=0,P3的秘密為X3=1。

P1計算τ ⊕T并公布

最終,每個參與者計算τ ⊕T⊕C2⊕C3得到求和結(jié)果

顯然,τ ⊕T⊕C2⊕C3得到的結(jié)果與X1⊕X2⊕X3的結(jié)果相同,即可得到正確的求和結(jié)果。

3.2 參與者攻擊

參與者攻擊可以分為兩種:第一種是單個不誠實參與者攻擊,第二種是多個(兩個及兩個以上)不誠實參與者的聯(lián)合攻擊。假設大多數(shù)參與者都是誠實的,在三個參與者的情況下只需考慮參與者的單獨攻擊即可。單個不誠實參與者的獨立攻擊又分為以下兩種情況。

3.2.1 參與者P1 發(fā)起的攻擊

P1作為協(xié)議中量子態(tài)的制備者, 他所發(fā)起的攻擊往往比其他參與者P2(P3) 更具有危險性。P1若嘗試獲得P2(P3) 的秘密信息X2(X3), 他將在第一步初始階段制備從{|0〉,|1〉} 基中選擇粒子|Fi〉, 且F1⊕F2⊕F3= 0,P1對應地將|F2〉(|F3〉)發(fā)送給P2(P3)。在第四階段參與者P2(P3)公布C2(C3)時,P1將獲得參與者的X2(X3)。當P1發(fā)送偽造粒子|Fi〉后,P2(P3)任選一個粒子使用{|0〉,|1〉}基或{|+〉,|?〉}基測量,P1將以1/2 的概率通過檢測。在這種情況下,若有θ 個粒子用來檢測,那么P1通過檢測的概率為(1/2)θ。顯然當θ 足夠大時,P1通過檢測的概率趨近于0。

3.2.2 參與者P2(P3)發(fā)起的攻擊

由此可見,在第三步安全檢測階段,P1將以1/2 的概率得到正確的結(jié)果。若用來檢測的粒子有δ 個,那么Pi被檢測到的概率為當δ 的取值足夠大時,概率趨近于1。

（2）堵漏后復漏 受到鉆具拍打、抽吸壓力、激動壓力等壓力的波動以及鉆井液的性能變化等影響或鄰井注采影響，導致進入漏層堵漏劑松動，漏失通道重新開啟。

3.3 外部攻擊

需要指出的是,上述分析針對的攻擊者都是不誠實參與者。與外部攻擊者相比,內(nèi)部參與者能夠獲得更多的資源,也具有更強的攻擊能力。內(nèi)部參與者的攻擊分析已經(jīng)詳述,本節(jié)將對協(xié)議在外部攻擊下的安全性進行簡要說明。

假設存在外部竊聽者Eve,他想要竊取參與者Pi的秘密信息Xi,那么他需要獲得參與者用來加密信息Xi的Ri。然而為了獲取Ri,Eve 發(fā)起的攻擊會改變檢測竊聽粒子狀態(tài),從而被參與者發(fā)現(xiàn)并終止。因此,所提出協(xié)議可以有效抵抗外部攻擊。

3.4 討 論

基于三粒子GHZ 類態(tài),上文提出了一種三方量子保密求和協(xié)議。實際上,這種思想也可以擴展到n個參與者保密求和的情況。本節(jié)將對于基于n粒子GHZ 類態(tài)的n方量子保密求和進行討論,這里n粒子GHZ 類態(tài)的形式為

協(xié)議開始前,P2,P3,··· ,Pn事先通過半量子密鑰分配技術(shù)共享密鑰K, 其中kj為K中第j個密鑰j=1,2,··· ,N。

1)初始階段

P1制備N+n(δ+θ)個(18)式中的n粒子GHZ 類態(tài),隨后將這些量子態(tài)中的第i粒子取出形成序列Si,并將序列Si發(fā)送給Pi。

2)隨機操作階段

Pi接收到粒子后對δ+θ 粒子隨機執(zhí)行測量或反射,對余下的N個粒子執(zhí)行{|0〉,|1〉}基測量并記錄結(jié)果,記為

3)安全檢測階段

對于每一個n粒子GHZ 類態(tài),若任意一個參與者Pi都不測量直接返回的粒子,則P1對粒子進行n粒子GHZ 類態(tài)的聯(lián)合測量;若存在r個參與者測量粒子,則P1對余下的反射粒子執(zhí)行n?r粒子GHZ 類態(tài)測量。若錯誤率高于預設的閾值,則終止協(xié)議;反之,協(xié)議繼續(xù)。

4)計算求和結(jié)果

參與者P2,P3,··· ,Pn計算Qi并公布

最終,每個參與者計算τ ⊕T⊕Q2⊕Q3···⊕Qn,得到求和結(jié)果。

4 結(jié) 論

基于三粒子GHZ 類態(tài)設計了一種三方量子保密求和協(xié)議,分析表明此協(xié)議可以確保正確性,并且可以抵抗參與者攻擊和外部攻擊;同時,討論了如何將協(xié)議拓展到n個參與者中,提出了基于n粒子GHZ類態(tài)的n方量子保密求和協(xié)議。