基于量子中心的測量型量子保密求和協議

王躍, 張可佳, 韓睿

(1 黑龍江大學數學科學學院, 黑龍江 哈爾濱 150080;2 黑龍江大學黑龍江省復雜系統與計算重點實驗室, 黑龍江 哈爾濱 150080;3 黑龍江大學密碼與網絡安全研究院, 黑龍江 哈爾濱 150080)

0 引 言

密碼學作為保護信息安全的理論基礎,受到了研究者的廣泛關注。經典的密碼技術大多是基于大整數分解、離散對數等數學難題來確保安全性。隨著量子計算的發展,上述問題可以由部分量子算法在多項式時間內解決,例如Shor 算法可以在多項式時間完成大整數分解[1],Grover 算法可以加速亂序搜索問題的求解[2]。為了保證密碼協議在量子攻擊下的安全性,研究人員將量子理論直接應用于密碼問題的研究中,并相繼提出了量子密鑰分配[3?5]、量子安全多方計算[6?8]等量子密碼研究方向。

量子保密求和是量子安全多方計算的基礎內容,由Heinrich 在2002 年首次提出[9],其可以概括為:假設有n個參與者P1,P2,··· ,Pn,每個參與者Pi手中都有一個秘密信息xi(i=1,2,··· ,n),所有參與者要在不泄露自己秘密信息xi的情況下計算出n∑i=1xi。研究人員提出了實現量子保密求和協議的不同方案,如:2007 年,Du 等[10]利用一組非正交單光子態,計算了n個參與者的秘密信息在模n+1 情況下的和;2010年,Chen 等[11]利用|+〉、|?〉態與多粒子糾纏態之間的糾纏交換來實現求和;2014 年,Zhang 等[12]在半誠實第三方下通過對具有極化和空模自由度的單光子執行酉操作實現求和;2019 年,Gu 等[13]發現文獻[12]中的協議不能抵抗截斷-重發攻擊,因此對其進行了改進;2015 年,Zhang 等[14]通過六粒子糾纏態共享密鑰來實現三方求和;2016 年,Shi 等[15]提出基于量子傅里葉變換的多方求和與求乘積;2017 年,Liu等[16]通過Bell 態和酉操作實現了求和,Zhang 等[17]提出了通過單粒子共享密鑰實現多方求和。隨后,量子保密求和協議所利用的載體開始向高維度拓展,如d維n粒子糾纏態[18,19]、d維cat 態[20,21]、d維相互無偏基[22?24]。

不難發現,上述協議中所有參與者都具備全部的量子能力,即參與者既能對粒子進行測量也能對粒子執行酉操作。為了提高可實現性,本文假設只有量子中心具有全部的量子能力,非量子中心的參與者只具有部分量子能力,即他們只能執行某種單光子測量而不執行任何操作。在Boyer 等[25]提出的半量子概念中,具有半量子能力的參與方只能對接收的量子態執行以下兩種操作:1)使用計算基測量粒子;2)直接反射粒子。量子中心測量型協議提出一種參與者量子能力受限情況下的協議設計模型。不難發現,現有的半量子協議對于量子能力進行了嚴格的約束,是量子中心測量型協議的一種特殊情況。具體地,本文提出的量子保密求和協議需要參與者對接收的量子態要么執行{|0〉,|1〉}基或{|+〉,|?〉}基測量,要么直接反射粒子而不進行測量,該協議將為量子密碼協議的實際應用提供更多的應用場景。

1 預備知識

首先介紹所提出協議中使用的三粒子GHZ 類態,可表示為

2 三方量子保密求和協議

2.1 協議滿足的條件

假設有3 個參與者P1、P2和P3,每個參與者Pi(i=1,2,3)手中有一個長為N的秘密串

在此協議中,參與者P1、P2和P3應該滿足以下條件:1)P1可以制備GHZ 類態|φ〉,執行Bell 基測量和GHZ 類態聯合測量;2)P2和P3只能執行如下操作:用{|0〉,|1〉}基和{|+〉,|?〉}基測量粒子,或直接返回粒子不進行任何操作。

2.2 協議具體步驟

在協議開始前,P2、P3事先通過文獻[26]中的半量子密鑰分配技術共享密鑰K,其中kj為K中第j個密鑰,j=1,2,··· ,N。

2.2.1 初始階段

P1隨機制備N+2(δ+θ)個(1)式中的GHZ 類態。隨后,P1將這些量子態中的第一個粒子取出形成序列S1,第二個粒子取出形成序列S2,第三個粒子取出形成序列S3,可表示為

式中i=1,2,3。P1將序列S2發送給P2,將序列S3發送給P3。

2.2.2 隨機操作階段

1)P2接收到序列S2后,對粒子執行以下操作中的一種:使用{|0〉,|1〉}基測量,使用{|+〉,|?〉}基測量,直接返回粒子。

P2在序列S2中任意選擇θ 個粒子,使用{|0〉,|1〉}基或{|+〉,|?〉}基測量,并通知P1和P3其所選粒子的位置和測量基,P1和P3使用相同的測量基對這θ 個位置的粒子進行測量。然后,P2在余下粒子中任選δ 個粒子測量或反射給P1,并通知P1和P3自己所選粒子的位置。最后,P2對剩下的N個粒子使用{|0〉,|1〉}基進行測量并記錄結果。

對應的P3接收到序列S3后,執行與P2相同的操作。

2)P1收到P2和P3的粒子后,對手中的粒子S1可能執行以下操作中的一種:I 使用{|0〉,|1〉}基測量;II 使用三粒子GHZ 類態做聯合測量;III 使用Bell 基測量。

由表1 可見,P2和P3對手中粒子進行的操作共有四種情況:1)當P2和P3都對手中的粒子進行測量時,P1對手中的粒子使用{|0〉,|1〉}基進行測量;2)當P2和P3都對粒子進行反射時,P1對收到的粒子執行三粒子GHZ 類態聯合測量;3)當P2對粒子進行測量而P3對粒子進行反射時,P1對自己手中的粒子和反射回來的粒子進行Bell 基測量;4)當P3對粒子進行測量而P2對粒子進行反射時,P1同樣對自己手中的粒子和反射回來的粒子進行Bell 基測量。

表1 參與者執行的相關操作Table 1 Related operation performed by participants

2.2.3 安全檢測階段

對于情況1) 中使用{|0〉,|1〉} 基或{|+〉,|?〉} 基測量的θ 個粒子,P1公布初始制備的|φ〉的形式,每個Pi公布測量結果。若使用{|+〉,|?〉}基測量粒子,則每個參與者的測量結果應符合|φ〉的形式;若使用{|0〉,|1〉}基測量,每個Pi的測量結果的和應該等于0。如果得到的結果不符合上述情況,則說明P1不誠實,協議終止。

對于情況2)中P1進行三粒子GHZ 類態聯合測量的粒子,若測量結果與初始制備的量子態相同,則協議繼續,反之協議終止。

2.2.4 計算求和結果

參與者Pi首先使用{|0〉,|1〉}基測量粒子的量子態,并將測量結果Ri公布給P1,這里

3 協議分析與討論

3.1 正確性

本節將通過實例分析此三方量子保密求和協議的正確性。不失一般性,令P2和P3事先共享密鑰k=1,P1的秘密為X1=1,P2的秘密為X2=0,P3的秘密為X3=1。

P1計算τ ⊕T并公布

最終,每個參與者計算τ ⊕T⊕C2⊕C3得到求和結果

顯然,τ ⊕T⊕C2⊕C3得到的結果與X1⊕X2⊕X3的結果相同,即可得到正確的求和結果。

3.2 參與者攻擊

參與者攻擊可以分為兩種:第一種是單個不誠實參與者攻擊,第二種是多個(兩個及兩個以上)不誠實參與者的聯合攻擊。假設大多數參與者都是誠實的,在三個參與者的情況下只需考慮參與者的單獨攻擊即可。單個不誠實參與者的獨立攻擊又分為以下兩種情況。

3.2.1 參與者P1 發起的攻擊

P1作為協議中量子態的制備者, 他所發起的攻擊往往比其他參與者P2(P3) 更具有危險性。P1若嘗試獲得P2(P3) 的秘密信息X2(X3), 他將在第一步初始階段制備從{|0〉,|1〉} 基中選擇粒子|Fi〉, 且F1⊕F2⊕F3= 0,P1對應地將|F2〉(|F3〉)發送給P2(P3)。在第四階段參與者P2(P3)公布C2(C3)時,P1將獲得參與者的X2(X3)。當P1發送偽造粒子|Fi〉后,P2(P3)任選一個粒子使用{|0〉,|1〉}基或{|+〉,|?〉}基測量,P1將以1/2 的概率通過檢測。在這種情況下,若有θ 個粒子用來檢測,那么P1通過檢測的概率為(1/2)θ。顯然當θ 足夠大時,P1通過檢測的概率趨近于0。

3.2.2 參與者P2(P3)發起的攻擊

由此可見,在第三步安全檢測階段,P1將以1/2 的概率得到正確的結果。若用來檢測的粒子有δ 個,那么Pi被檢測到的概率為當δ 的取值足夠大時,概率趨近于1。

（2）堵漏后復漏 受到鉆具拍打、抽吸壓力、激動壓力等壓力的波動以及鉆井液的性能變化等影響或鄰井注采影響，導致進入漏層堵漏劑松動，漏失通道重新開啟。

3.3 外部攻擊

需要指出的是,上述分析針對的攻擊者都是不誠實參與者。與外部攻擊者相比,內部參與者能夠獲得更多的資源,也具有更強的攻擊能力。內部參與者的攻擊分析已經詳述,本節將對協議在外部攻擊下的安全性進行簡要說明。

假設存在外部竊聽者Eve,他想要竊取參與者Pi的秘密信息Xi,那么他需要獲得參與者用來加密信息Xi的Ri。然而為了獲取Ri,Eve 發起的攻擊會改變檢測竊聽粒子狀態,從而被參與者發現并終止。因此,所提出協議可以有效抵抗外部攻擊。

3.4 討 論

基于三粒子GHZ 類態,上文提出了一種三方量子保密求和協議。實際上,這種思想也可以擴展到n個參與者保密求和的情況。本節將對于基于n粒子GHZ 類態的n方量子保密求和進行討論,這里n粒子GHZ 類態的形式為

協議開始前,P2,P3,··· ,Pn事先通過半量子密鑰分配技術共享密鑰K, 其中kj為K中第j個密鑰j=1,2,··· ,N。

1)初始階段

P1制備N+n(δ+θ)個(18)式中的n粒子GHZ 類態,隨后將這些量子態中的第i粒子取出形成序列Si,并將序列Si發送給Pi。

2)隨機操作階段

Pi接收到粒子后對δ+θ 粒子隨機執行測量或反射,對余下的N個粒子執行{|0〉,|1〉}基測量并記錄結果,記為

3)安全檢測階段

對于每一個n粒子GHZ 類態,若任意一個參與者Pi都不測量直接返回的粒子,則P1對粒子進行n粒子GHZ 類態的聯合測量;若存在r個參與者測量粒子,則P1對余下的反射粒子執行n?r粒子GHZ 類態測量。若錯誤率高于預設的閾值,則終止協議;反之,協議繼續。

4)計算求和結果

參與者P2,P3,··· ,Pn計算Qi并公布

最終,每個參與者計算τ ⊕T⊕Q2⊕Q3···⊕Qn,得到求和結果。

4 結 論

基于三粒子GHZ 類態設計了一種三方量子保密求和協議,分析表明此協議可以確保正確性,并且可以抵抗參與者攻擊和外部攻擊;同時,討論了如何將協議拓展到n個參與者中,提出了基于n粒子GHZ類態的n方量子保密求和協議。