張德喜，李曉宇

(1. 許昌學(xué)院 信息工程學(xué)院，河南 許昌461000； 2. 鄭州大學(xué) 信息工程學(xué)院，河南 鄭州 450001)

量子密碼學(xué)是量子力學(xué)在密碼學(xué)中的應(yīng)用，是當(dāng)今信息安全中最活躍、最引人注意的研究領(lǐng)域.與建立在計算復(fù)雜性基礎(chǔ)上的經(jīng)典密碼學(xué)不同，量子密碼協(xié)議安全性是基于量子力學(xué)的定律，因此可以實現(xiàn)無條件的安全性.歷史上第一個量子密鑰分配協(xié)議是1984年Bennett等提出的文獻(xiàn)[1]，簡稱BB84協(xié)議.自那以后，多種量子密碼協(xié)議陸續(xù)被提出來，例如量子密鑰分配[2-5]，量子秘密共享[6-9]，量子比特承諾[10]等.量子密碼協(xié)議的實驗工作也獲得了長足的進(jìn)展，在光纖中實現(xiàn)了量子密鑰分配，其傳輸距離超過了400 km[11].最近，中國的墨子號量子衛(wèi)星成功實現(xiàn)了超過1 200 km的衛(wèi)星—地面站之間的糾纏態(tài)分發(fā)[12]，它很快將會用來實現(xiàn)衛(wèi)星—地面站之間量子密鑰分配.

還有一個很有趣的問題：秘密驗證.用戶Alice和用戶Bob事先分別擁有了同一個秘密消息.然而雙方并不知道對方擁有該秘密消息，甚至可能不知道對方的存在.現(xiàn)實中，有些場景下Alice和Bob有可能需要確認(rèn)對方擁有該秘密消息，以決定下一步的交流與合作.例如，該秘密消息可能是一個密鑰，雙方可以使用它進(jìn)行加密通信；該秘密消息也可能是一個身份標(biāo)志，雙方可以通過驗證它來確認(rèn)對方的身份；該秘密消息也可能是一份秘密文件，雙方可以依據(jù)文件的指導(dǎo)進(jìn)行下一步的合作等等.驗證過程必須是可靠的，如果有一方不擁有該秘密消息，或者只擁有秘密消息的一部分，驗證都不能通過.另一方面，驗證過程也必須是安全的.由于一般情況下Alice和Bob之間不存在可靠的安全信道，雙方只能通過不安全的公開信道交換某些信息來實現(xiàn)秘密驗證.任意的第三方可以監(jiān)聽驗證的全過程，但是卻不能獲取有關(guān)該秘密消息的任何信息.這就是秘密驗證問題.經(jīng)典密碼學(xué)中，有多種方法可以實現(xiàn)秘密驗證，但是它們都是建立在計算復(fù)雜性基礎(chǔ)上，無法實現(xiàn)無條件的安全，而且也難以絕對避免攻擊者多少獲取有關(guān)秘密消息的一些信息.

量子秘密驗證協(xié)議可以解決這個問題.本文提出一個量子秘密驗證協(xié)議，它是建立在非正交量子態(tài)的不可區(qū)分性的基礎(chǔ)上，因而可以具有無條件的安全性.

1 基本思想

在量子信息科學(xué)中，一個具有兩個本征態(tài){|0>, |1>}的量子系統(tǒng)叫做一個量子位.它的狀態(tài)空間為一個二維的希爾伯特空間，其中任意一個狀態(tài)可以記作

|φ>=α|>+β|1>.

(1)

其中，α,β為任意的實數(shù).{|0>, |1>}構(gòu)成了一個正交完備測量基，人們可以以它為基測量一個量子位.{|+>, |->}是另一個正交完備測量基，其中，

(2)

眾所周知，非正交的量子態(tài)是無法區(qū)分的，換句話說，如果已知一個量子位處于集合{|0>，|1>，|+>，|->}中某一個態(tài)，那么，沒有辦法唯一確定它的狀態(tài)究竟是哪一個.

按照密碼學(xué)研究的習(xí)慣，假定通信的雙方為Alice和Bob，可能的第三方攻擊者為Eve.起初，Alice和Bob都擁有一個秘密的n位二進(jìn)制字符串P，雙方都是從別的途徑得到P，因此他們彼此并不知道對方也擁有該秘密消息P.如果在Alice和Bob需要確定對方確實擁有P，他們可以借助上述非正交量子態(tài)的不可區(qū)分性來驗證它.首先，約定以下編碼規(guī)則.

編碼規(guī)則：

|0>→0,|1>→0,|+>→0,|->→1.

(3)

然后，Alice和Bob對于P中每一個位pi，Alice按照以下規(guī)則生成一個量子位qi：如果pi的值是0，則qi隨機處于狀態(tài)|0>或者|1>；如果pi的值是1，則qi隨機處于狀態(tài)|+>或者|->.同時，根據(jù)編碼規(guī)則，Alice記錄下一個二進(jìn)制位ai.如表1所示.

表1 Alice的記錄

然后，Alice將該量子位發(fā)送給Bob.當(dāng)Bob收到之后，他根據(jù)pi的值確定測量基：如果pi的值是0，測量基為{|0>, |1>}；如果pi的值是1，測量基為{|+>, |->}.然后，Bob測量qi，記錄自己的測量結(jié)果并且根據(jù)編碼規(guī)則記為一個二進(jìn)制位bi.結(jié)果如表2所示.

表2 Bob的記錄

容易看到，最后，Bob記錄bi與Alice的記錄ai完全一致，如下表3所示.

表3 記錄關(guān)聯(lián)

進(jìn)一步，對于P中的所有位重復(fù)以上操作.最后，Alice和Bob分別得到一個n位的二進(jìn)制字符串a(chǎn)和b，他們可以在經(jīng)典信道上公開自己的結(jié)果.顯然，如果沒有信道傳輸錯誤或者攻擊者破壞，雙方的字符串應(yīng)該完全一致.因此，Alice和Bob可以確認(rèn)雙方擁有共同的秘密消息P.第三章里將證明任何不擁有P的第三方都不可能通過驗證，而且上述驗證過程不會泄漏任何有關(guān)P的信息.因此，可以利用上述結(jié)果來設(shè)計一個密鑰驗證協(xié)議.

2 使用非正交態(tài)的量子秘密驗證協(xié)議

假定Alice和Bob預(yù)先共享了某個消息，它可以用一個n位的二進(jìn)制字符串P來代表.

P=p1p2…pi…pn,pi∈{0,1}.

(4)

Alice和Bob雙方之間有一條量子信道和一條經(jīng)典信道相連.前者可以用來交換量子位，后者用來交換經(jīng)典信息.量子信道和經(jīng)典信道都是不安全的，任何人都可以監(jiān)聽.

如果Alice和Bob需要驗證對方是否擁有P，他們執(zhí)行下列步驟：

1.Alice 根據(jù)P生成n個量子位，其中每一個量子位的狀態(tài)如下：如果pi=0，量子位狀態(tài)隨機處于|0>或者|+>；如果pi=1，量子位狀態(tài)隨機處于|1>或者|->.同時，Alice根據(jù)編碼規(guī)則和自己的選擇記為一個二進(jìn)制字符.最后，Alice得到一個n量子位序列Q,其中，

Q=q1a2…qi…qn.

和一個n位的二進(jìn)制字符串a(chǎn),其中,

a=a1a2…ai…an.

2.Alice將Q發(fā)送給Bob.

3.收到Q之后，Bob按照下列規(guī)則測量Q中的每一個量子位qi：如果pi=0，則Bob以{|0>, |1>}為基測量qi；如果pi=1，則Bob以{|+>, |->}為基測量qi.同時，Bob根據(jù)編碼規(guī)則和自己的測量結(jié)果記為一個二進(jìn)制字符.最后Bob也得到一個n位的二進(jìn)制字符串b，其中

b=b1b2…bi…bn.

4.Alice和Bob公開各自的字符串a(chǎn)和b并對比這兩個字符串.如果a=b，驗證通過，Alice和Bob確認(rèn)雙方擁有共同的秘密消息；否則驗證失敗，Alice和Bob不擁有共同的秘密消息.

3 協(xié)議的安全性

本文提出的量子秘密驗證協(xié)議是安全的，任何不擁有完整秘密消息的人都不可能通過驗證，驗證過程中也沒有任何有關(guān)秘密消息的信息泄漏.證明如下.

首先，參與驗證的雙方都必須擁有秘密消息P.在協(xié)議步驟3，為測量qi，Bob必須根據(jù)P來選擇對應(yīng)的測量基，如果Bob不擁有P，他就無法100%保證選中正確的測量基，從而無法得到正確的測量結(jié)果和二進(jìn)制字符串.那么Bob有沒有辦法通過其他更復(fù)雜的方法獲得qi的狀態(tài)呢？那是不可能的.因為qi的可能狀態(tài)集合為{|0>, |1>, |+>, |->}.顯然這四個狀態(tài)之間不是彼此正交的.根據(jù)量子力學(xué)，非正交的量子態(tài)是無法100%的彼此區(qū)分的，也就是說，無論采用什么方法，Bob都無法100%地確定qi究竟是處于哪一個狀態(tài)，而且也無法確定qi的狀態(tài)屬于集合{|0>, |1>}還是屬于{|+>, |->}.因此Bob恰好猜中正確的測量基，從而得到正確的測量結(jié)果和正確的二進(jìn)制字符bi的概率最多為

(5)

所以，Bob恰好得到正確的字符串b的概率不超過,

(6)

如果n=100，則，

(7)

顯然，這是一個小得難以想象的概率，因此事實上Bob是根本不可能通過驗證的.

反過來，如果Alice在不擁有秘密消息P的情況下試圖欺騙Bob從而通過驗證，她必須生成一個n量子位序列Q，然后發(fā)送給Bob.但是，在協(xié)議步驟1，由于Alice手中沒有P，她就無法根據(jù)每一個位pi的值來生成正確的量子位qi以保證Bob一定能夠根據(jù)pi的規(guī)定選中正確的測量基.Alice生成的量子位qi只能隨機地處于{|0>, |1>, |+>, |->}之一.那么，Bob根據(jù)pi的值選擇的測量基恰好是正確的概率也只有1/2.同樣地推理可知，Alice和Bob得到相同的字符串的亦為公式(6)和(7).

顯然，Alice也不可能通過驗證.

其次，如果一個攻擊者Eve監(jiān)聽了整個驗證過程，試圖竊取秘密消息P，她注定不會成功.Eve可以截獲Alice發(fā)送給Bob的量子位序列Q，試圖從中獲取有關(guān)P的信息.對于Q中的每一個量子位qi，它可能處于{|0>, |1>, |+>, |->}中的某一個狀態(tài).這四個狀態(tài)彼此是不正交的，根據(jù)量子力學(xué)，Eve沒有任何辦法唯一確定qi的狀態(tài)，也沒有辦法確定qi的狀態(tài)屬于集合{|0>, |1>}還是屬于{|+>, |->}.因此，Eve據(jù)此推斷出pi的值的概率不超過1/2，實際上這和隨機猜測pi值并無區(qū)別.那么，Eve得到秘密消息P的概率最大是公式(6)和公式(7).

所以，Eve不可能獲得秘密消息P.

綜上所述，本文的秘密驗證協(xié)議是安全的.而且它是建立在量子力學(xué)的定律基礎(chǔ)上的，所以具有無條件的安全性.

4 結(jié)語

本文的量子秘密驗證協(xié)議不需要使用糾纏態(tài)，也不需要任何復(fù)雜的量子操作，雙方只需要通過一個公開的量子信道交換單個量子位和對單量子位進(jìn)行測量.使用今天的量子通信和量子測量技術(shù)可以輕而易舉地實現(xiàn)這些操作.所以，本協(xié)議是技術(shù)上可行的，可以在實驗室中順利完成，也可以很容易在實踐中得到應(yīng)用.另一方面，由于相關(guān)的技術(shù)都很成熟，抗干擾性很好，所以本協(xié)議有著很好的魯棒性.

本文提出了一個利用非正交量子態(tài)的不可區(qū)分性基礎(chǔ)上的量子秘密驗證協(xié)議.共享秘密消息的雙方可以通過傳輸和測量量子系統(tǒng)來驗證消息的一致性和完整性.量子物理的定律保證了該協(xié)議的無條件安全性.該協(xié)議在實踐中容易實現(xiàn)，魯棒性較好.

參考文獻(xiàn)：

[1] Bennet C H, Brassard G. Quantum cryptography: Public-key distribution and tossing[C].In: Proceedings of IEEE International conference on Computers, Systems and Signal Processing, Bangalore, India, IEEE Press, 1984: 175.

[2] Ekert A K. Quantum cryptography based on Bell's theorem[J]. Physical Review Letters, 1991, 67: 661-663.

[3] Qi B, Zhao Y, Ma X F, et al. Quantum key distribution with dual detectors[J]. Physical Review A, 2007, 75(5): 052 304．

[4] Aguilar E A, Ramanathan R, Kofler K, et al. Completely Device Independent Quantum Key Distribution[J]. Physical Review A, 2016, 94(2): 022 305.

[5] Hatakeyama Y, Mizutani A, Kato G, et al. Differential-phase-shift quantum key distribution protocol with small number of random delays[J]. Physical Review A, 2017, 95(4): 042 301.

[6] Hillery M, Buzek V, Berthiaume A. Quantum secret sharing[J]. Physical Review A, 1999, 71(4): 044 301.

[7] Tavakoli A, Herbauts I, Zukowski M, et al. Secret Sharing with a Single d-level Quantum System[J]. Physical Review A, 2015, 93(3): 030 302.

[8] Lu H, Zhang Z, Chen L K, et al. Secret Sharing of a Quantum State[J]. Physical Review Letters, 2016, 117: 030 501.

[9] Lunghi T, Kaniewski J, Bussieres F, et al. Practical relativistic bit commitment[J]. Physical Review Letters, 2015, 115: 030 502.

[10] Verbanis E, Martin A, Houlmann R, et al. 24-Hour Relativistic Bit Commitment[J]. Physical Review Letters, 2016, 117: 140 506.

[11] Yin H L, Chen T Y, Yu Z W, et al. Measurement-Device-Independent Quantum Key Distribution Over a 404 km Optical Fiber[J]. Physical Review Letters, 2016, 117:190 501.

[12] Yin J, Cao Y, Li Y H, et al. Satellite-based entanglement distribution over 1200 kilometers[J]. Science, 2017, 356: 1 140.