梁建武，王晓慧，郭迎，程资



基于量子纠缠的盲签名方案

梁建武，王晓慧，郭迎，程资

（中南大学信息科学与工程学院，湖南长沙 410083）

基于量子纠缠交换的原理，提出了一种基于量子纠缠的盲签名方案。制备后的EPR纠缠粒子通过EPR纠缠交换，变化为全新的纠缠态。对新量子态的测量可以作为签名者和测量者的签名、测量依据，实现了量子通信、盲签及验证。不同于基于数学求解困难性的经典盲签名，本方案保证了消息对签名者的匿名性和方案的无条件安全性。

量子信息；量子签名；盲签名；量子纠缠

1 引言

1983年，Chaum第一次提出了盲签名的概念。盲签名指签名者并不知道所签文件或消息的具体内容，而文件或消息的拥有者可以得到签名者的签名[1,2]。由于消息对签名者来说是未知的，盲签名技术在电子选举、电子现金等要求保护用户匿名性的场合得到广泛应用[3]。

在量子计算机出现以后，基于数学复杂性的盲签名将会被轻易攻破。而基于量子物理特性的量子签名方案具有无条件安全性，随着量子信息安全技术在实验上不断取得成功，对量子签名方案的研究引起了人们的浓厚兴趣。2001年，Gottesman和Chuang[4]提出了基于量子单向函数的签名方案。同年，曾贵华等[5]提出了GHZ三粒子态相干特性的仲裁量子签名方案。上述2个方案签名和验证的过程都需要借助可信任的第三方才可以实现。随后，温晓军等[6]利用EPR粒子的纠缠特性和隐形传态的特点提出2个不需要仲裁的量子签名协议，以及基于纠缠交换的量子有序多重签名方案[7]。2009年，温晓军等[8]提出了一个基于量子密码术的弱盲签名。2010年，温晓军等[9]一种基于秘密共享的量子强盲签名协议。2011年，陈永志等[10]在此基础上提出了一个基于可控形态的代理弱盲签名方案。本文考虑到盲签名的广泛用途，基于量子纠缠交换原理设计了一个签名方案，可以用于保护用户匿名性的系统。

2 基本原理

纠缠光子对的研究取得了一定的成果，并可以在实验中实现。已知Bell的4个态由式(1)~式(4)给出。

(2)

(3)

表1 逻辑操作及状态变化

假设AB为一对EPR纠缠光子对，CD为另一对EPR纠缠光子对，分别表示如下

(6)

对AB纠缠光子对的第一个量子比特进行上述4种局域操作中的某一种逻辑操作后可能得到、、、中某一态，之后新得到的态再与CD纠缠光子对交换测量，那么交换过程的表达式如下

(8)

(9)

假设Alice、Bob和Charlie是参与通信的三方，Alice、Bob和Charlie各自拥有处于纠缠态的光子对，其中，Alice拥有光子A、B，Bob拥有光子C、D，而Charlie拥有光子E、F。Alice在采取某种逻辑操作后，将纠缠光子中的一个粒子保留，剩下的一个光子发送给Bob。Bob和Charlie也重复同样的动作，保留一个粒子，将剩下的一个粒子发送给Charlie和Alice。最后使Alice手中持有光子A、F，Bob持有光子B、C，而Charlie持有光子D、E。具体交换过程如图1所示，交换结果如图2所示。

图1 纠缠光子交换示意

交换之后，Alice用Bell基测量自己手上的光子A、F。根据量子纠缠交换原理，Alice的测量将产生响应的普分解和塌缩，光子B、E将瞬间塌缩成为某一个Bell态。过程表示为

接着Bob和Charlie也分别用Bell基测量自己手上的光子。过程表示为

(12)

将Bob和Charlie得到的测量结果，合并Alice的测量结果，可以推导出Alice经过逻辑操作后的量子态。

由于Alice、Bob、Charlie间的测量不公开，单方面的测量无法得知Alice最先做的逻辑操作究竟是哪一个，基于上述的原理，将在下节方案中对原始消息进行盲签名。

3 量子盲签名方案

在本方案中，设消息的所有者为Alice，Bob为签名验证人，而Charlie则在不知道消息的具体内容下进行盲签名。

3.1 初始化阶段

1)消息变换：Alice将她的消息转换为二进制序列，记为。

3)量子纠缠态的制备：Alice、Bob和Charlie各自制备对处于态的纠缠光子对，记为

3.2 签名阶段

表2 编码及状态变化

例如，消息=011011，则经过对应的局域操作后，Alice的纠缠态变为。

2)粒子的分发：Alice、Bob和Charlie按照图2所示交换粒子，交换后Alice持有粒子A、F，Bob持有粒子B、C， Charlie持有粒子D、E。

3)Alice用Bell基测量手上的光子对,测量结果记为，然后用加密得到，将发送给Charlie。同时Alice用一个与Bob商量好的杂凑函数，得到，用加密得到发送给Bob。

4) 获得盲签名：Charlie用Bell基测量手上的光子对，测量结果记为，然后将从Alice处收到的联合用加密得到。

5) 发送盲签名：Charlie将发送给Bob。

3.3 验签阶段

3) Bob根据表3可以推断出Alice经过局域操作后的，再根据表2的编码规则译出。Bob用进行，得到。比较与，如果，则确认有效。

表3 Ra、Rb、Rc及BellAB的对应关系

4 方案分析

4.1 正确性分析

4.2 安全性分析

对签名的攻击包括经典攻击策略和量子攻击策略。

1) 经典安全性

如果Charlie为了谋取自己的某种利益伪造消息及签名，但这样是困难的。首先，签名中包含了，是Alice与Bob共享密钥，Charlie无法知悉的具体内容。其次，伪造签名也是困难的，仍旧以4.1节分析中的实例作为分析对象。在经过一系列操作测量后，得到测量结果为，，。假设此时Charlie为了谋取自己的某种利益伪造测量结果，。Bob在接收后，根据、推出，。根据表2的编码规则，Bob可以翻译出信息为。比较和，有，Bob拒绝签名。

如果Bob为了谋取自己的某种利益伪造消息及签名，这样是困难的。由于Bob知道函数及表2的编码规则，人们可能担心Bob的权限过大，进而肆无忌惮地伪造消息及签名为自己谋利。其实，在经过量子局域操作、通信三方在交换粒子、Alice与Charlie分别测量自己的粒子对后，Bob的粒子对状态已经确定。Bob一旦与Alice发生冲突，只要Charlie介入，查看自己的测量记录，Bob就无法继续自己的阴谋。

杂凑函数使信息间接提供给Bob和Charlie，增加了保密性。Charlie的签名对象是根据函数压缩后的信息，Charlie根本不知道Alice的真实消息内容。

对手Eve同样无法进行截获重发攻击。假设Eve截获了Alice发给Charlie的信息，但在本方案中Eve由于没有密钥，无法获取消息内容。同样，假设Eve截获了Charlie发给Bob的信息，但在本方案中Eve由于没有密钥，无法伪造签名。而且，签名的发送、接收以及纠缠光子对的测量都是Alice、Bob和Charlie根据协议同步进行的。

2) 量子安全性

本方案采用的是BB84进行密钥分配协议。由QKD协议的无条件安全性保证，若对手Eve采用中间人攻击，冒充Alice、Bob或者Charlie篡改消息或签名是不可能的。

若对手Eve进行截获重发攻击，由量子不可克隆性保证了量子信息是不可被复制的。Eve对Alice光子的检测克隆势必破坏粒子对的纠缠特性，对签名信息产生扰动。Charlie将拒绝签名，同时，Bob也将注意到窃听者的存在。

一般情况下，可以用以下途径在实现签名前，检测量子信道是否由攻击者存在。在本方案中，以Alice和Bob的量子通信信道为例。Alice制备完EPR纠缠粒子对，将光子A留在自己手上，将光子B发送给遥远的Bob。Alice和Bob各自采用随机的测量基测量各自手中的光子。然后Alice和Bob各自公布采用的测量基，并选取测量基相同的位公布测量结果。考虑量子信道为理想无噪声信道，如果没有对手Eve的存在，那么在本方案中，测量结果应该正好相反。在现实情况中，信道总不可能是理想无噪声的，可以设置阈值门限判别是否有对手Eve的存在。假设Alice依次发送了个光子给Bob，各自采用随机的测量基测量各自手中的光子，公布测量基相同位上的测量结果。假设A、B光子测量结果中有不是正好相反的光子对，统计没有相关性的光子对数为。当大于可以容忍的常数时，则认为这条量子信道上存在对手干扰，Alice和Bob将放弃本次通信。同理，Alice和Charlie、Bob和Charlie都可以在开始签名前运用这个方法来检测信道的安全性。

5 结束语

本文提出了基于纠缠光子对交换的量子盲签名协议。该方案不同于温晓军提出的弱盲签及强盲签，在消息拥有者调制信息阶段就盲化信息，而是签名者直接对信息盲签。温晓军提出的量子盲签名基于EPR纠缠对、GHZ三光子的随机测量实现信息的盲化。前者基于EPR纠缠对的盲签名在验证阶段，由于取密钥奇数位参与验证，有50%的信息是不确定的，浪费了带宽；后者基于GHZ三光子的盲签名在制备、存储和测量等技术上较本法案更难于实现，验签阶段签名更容易判断。早在1998年，潘建伟等就用实验验证了量子纠缠交换。因此，在当前技术下，实现本文介绍的量子签名方案是完全可行的。

此外，本方案还非常便于在原来的基础上扩展，信息的签名者可以根据实际需要增加，实现多重有序签名。参与签名方只要制备好EPR纠缠对，参与粒子的纠缠交换，测量自己手上的新纠缠态即可完成自己的签名。

[1] CHUAM D. Blind signature for untraceable payment[C]//Advances in Cryptology-Cypto’82. Berlin, c1983:199-203.

[2] 杨义先, 孙伟, 钮心忻. 现代密码新理论[M]. 北京: 科学出版社, 2002: 134-135. YANG Y X, SUN W, NIU X X. The new theory of modern cryptography[M]. Beijing: Science Press, 2002:134-145.

[3] 温晓军, 陈永志. 量子签名及应用[M]. 北京: 航空工业出版社, 2012:121. WEN X J, CHEN Y Z. Quantum signature and application[M]. Beijing: Aviation Industry Press, 2012:121.

[4] GOTTESMAN D, CHUANG I. Quantum digital signatures[EB/OL]. http://arxiv.org/abs/quant-ph/ 0105032.

[5] 曾贵华, 马文平, 王新梅, 等. 基于量子密码的签名方案[J].电子学报. 2001, 29(8): 1098-1100. ZENG G H, MA W P, WANG X M, et al. Signature scheme based on quantum cryptography[J]. Acta Electronica Sinaca, 2001, 29(8): 1098-1100.

[6] WEN X J, LIU Y, ZHANG P Y. Information signature protocols using Einstein-Podolsky-Rosen pairs[J]. Journal of Dalian University of Technology, 2007, 47(3): 424-428.

[7] 温晓军, 刘云. 一种可实现的量子有序多重数字签名方案[J]. 电子学报, 2007, 35(6):1079-1083. WEN X J, LIU Y. A realizable quantum sequential muti-signature scheme[J]. Acta Electronica Sinica, 2007, 35 (6): 1079-1083.

[8] WEN X J, NIU X M, JI L P, et al. A weak blind signature scheme based on quantum cryptography[J]. Optics Communications, 2009, 282: 666-669.

[9] 温晓军,田原,牛夏牧. 一种基于秘密共享的量子强盲签名协议[J]. 电子学报, 2010, 38(3): 720-724. WEN X J, TIAN Y, NIU Z M. A strong blind quantum signature protocol based on secret saring[J]. Acta Electronica Sinica, 2010, 2010, 38(3): 720-724.

[10] 陈永志, 刘云, 温晓军. 一个量子代理弱盲签名方案[J]. 量子电子学报, 2011, 28(3): 341-349.CHEN Y Z, LIU Y, WEN X J. A quantum proxy weak blind signature scheme[J]. Chinese Journal of Quantum Electronics, 2011, 28(3): 341-349.

Blind signature scheme based on entangled quantum

LIANG Jian-wu, WANG Xiao-hui, GUO Ying, CHENG Zi

(Institute of Information Science and Engineering, Central South University, Changsha 410083,China)

Based on the principle of quantum entanglement swapping, a blind signature scheme based on quantum entanglement was proposed. Through being entangled and exchanged, particles prepared before could transform into entangled state. The measurements of new entangled particles complete signature and verification and realize the quantum communication, blind signature and verification. Different from the classical blind signatures which based on the mathematics difficulty, the scheme could guarantee not only the anonymity but also the unconditionally security.

quantum information, quantum signature, blind signature, entangled quantum

TN918.1

A

10.11959/j.issn.1000-436x.2016028

2015-02-03；

2015-08-25

国家自然科学基金资助项目（No.11379153）

The National Natural Science Foundation of China (No.11379153)

梁建武（1964-），男，湖南长沙人，中南大学副教授，主要研究方向为量子通信和无线通信。

王晓慧（1990-），女，上海人，中南大学硕士生，主要研究方向为量子安全保密通信和无线通信。

郭迎（1975-），男，山东临沂人，中南大学教授，主要研究方向为量子安全保密通信和无线通信。

程资（1990-），女，河北晋州人，中南大学硕士生，主要研究方向为量子安全保密通信和无线通信。