基于量子中心的测量型量子保密求和协议

王跃, 张可佳, 韩睿

(1 黑龙江大学数学科学学院, 黑龙江 哈尔滨 150080;2 黑龙江大学黑龙江省复杂系统与计算重点实验室, 黑龙江 哈尔滨 150080;3 黑龙江大学密码与网络安全研究院, 黑龙江 哈尔滨 150080)

0 引 言

密码学作为保护信息安全的理论基础,受到了研究者的广泛关注。经典的密码技术大多是基于大整数分解、离散对数等数学难题来确保安全性。随着量子计算的发展,上述问题可以由部分量子算法在多项式时间内解决,例如Shor 算法可以在多项式时间完成大整数分解[1],Grover 算法可以加速乱序搜索问题的求解[2]。为了保证密码协议在量子攻击下的安全性,研究人员将量子理论直接应用于密码问题的研究中,并相继提出了量子密钥分配[3−5]、量子安全多方计算[6−8]等量子密码研究方向。

量子保密求和是量子安全多方计算的基础内容,由Heinrich 在2002 年首次提出[9],其可以概括为:假设有n个参与者P1,P2,··· ,Pn,每个参与者Pi手中都有一个秘密信息xi(i=1,2,··· ,n),所有参与者要在不泄露自己秘密信息xi的情况下计算出n∑i=1xi。研究人员提出了实现量子保密求和协议的不同方案,如:2007 年,Du 等[10]利用一组非正交单光子态,计算了n个参与者的秘密信息在模n+1 情况下的和;2010年,Chen 等[11]利用|+〉、|−〉态与多粒子纠缠态之间的纠缠交换来实现求和;2014 年,Zhang 等[12]在半诚实第三方下通过对具有极化和空模自由度的单光子执行酉操作实现求和;2019 年,Gu 等[13]发现文献[12]中的协议不能抵抗截断-重发攻击,因此对其进行了改进;2015 年,Zhang 等[14]通过六粒子纠缠态共享密钥来实现三方求和;2016 年,Shi 等[15]提出基于量子傅里叶变换的多方求和与求乘积;2017 年,Liu等[16]通过Bell 态和酉操作实现了求和,Zhang 等[17]提出了通过单粒子共享密钥实现多方求和。随后,量子保密求和协议所利用的载体开始向高维度拓展,如d维n粒子纠缠态[18,19]、d维cat 态[20,21]、d维相互无偏基[22−24]。

不难发现,上述协议中所有参与者都具备全部的量子能力,即参与者既能对粒子进行测量也能对粒子执行酉操作。为了提高可实现性,本文假设只有量子中心具有全部的量子能力,非量子中心的参与者只具有部分量子能力,即他们只能执行某种单光子测量而不执行任何操作。在Boyer 等[25]提出的半量子概念中,具有半量子能力的参与方只能对接收的量子态执行以下两种操作:1)使用计算基测量粒子;2)直接反射粒子。量子中心测量型协议提出一种参与者量子能力受限情况下的协议设计模型。不难发现,现有的半量子协议对于量子能力进行了严格的约束,是量子中心测量型协议的一种特殊情况。具体地,本文提出的量子保密求和协议需要参与者对接收的量子态要么执行{|0〉,|1〉}基或{|+〉,|−〉}基测量,要么直接反射粒子而不进行测量,该协议将为量子密码协议的实际应用提供更多的应用场景。

1 预备知识

首先介绍所提出协议中使用的三粒子GHZ 类态,可表示为

2 三方量子保密求和协议

2.1 协议满足的条件

假设有3 个参与者P1、P2和P3,每个参与者Pi(i=1,2,3)手中有一个长为N的秘密串

在此协议中,参与者P1、P2和P3应该满足以下条件:1)P1可以制备GHZ 类态|φ〉,执行Bell 基测量和GHZ 类态联合测量;2)P2和P3只能执行如下操作:用{|0〉,|1〉}基和{|+〉,|−〉}基测量粒子,或直接返回粒子不进行任何操作。

2.2 协议具体步骤

在协议开始前,P2、P3事先通过文献[26]中的半量子密钥分配技术共享密钥K,其中kj为K中第j个密钥,j=1,2,··· ,N。

2.2.1 初始阶段

P1随机制备N+2(δ+θ)个(1)式中的GHZ 类态。随后,P1将这些量子态中的第一个粒子取出形成序列S1,第二个粒子取出形成序列S2,第三个粒子取出形成序列S3,可表示为

式中i=1,2,3。P1将序列S2发送给P2,将序列S3发送给P3。

2.2.2 随机操作阶段

1)P2接收到序列S2后,对粒子执行以下操作中的一种:使用{|0〉,|1〉}基测量,使用{|+〉,|−〉}基测量,直接返回粒子。

P2在序列S2中任意选择θ 个粒子,使用{|0〉,|1〉}基或{|+〉,|−〉}基测量,并通知P1和P3其所选粒子的位置和测量基,P1和P3使用相同的测量基对这θ 个位置的粒子进行测量。然后,P2在余下粒子中任选δ 个粒子测量或反射给P1,并通知P1和P3自己所选粒子的位置。最后,P2对剩下的N个粒子使用{|0〉,|1〉}基进行测量并记录结果。

对应的P3接收到序列S3后,执行与P2相同的操作。

2)P1收到P2和P3的粒子后,对手中的粒子S1可能执行以下操作中的一种:I 使用{|0〉,|1〉}基测量;II 使用三粒子GHZ 类态做联合测量;III 使用Bell 基测量。

由表1 可见,P2和P3对手中粒子进行的操作共有四种情况:1)当P2和P3都对手中的粒子进行测量时,P1对手中的粒子使用{|0〉,|1〉}基进行测量;2)当P2和P3都对粒子进行反射时,P1对收到的粒子执行三粒子GHZ 类态联合测量;3)当P2对粒子进行测量而P3对粒子进行反射时,P1对自己手中的粒子和反射回来的粒子进行Bell 基测量;4)当P3对粒子进行测量而P2对粒子进行反射时,P1同样对自己手中的粒子和反射回来的粒子进行Bell 基测量。

表1 参与者执行的相关操作Table 1 Related operation performed by participants

2.2.3 安全检测阶段

对于情况1) 中使用{|0〉,|1〉} 基或{|+〉,|−〉} 基测量的θ 个粒子,P1公布初始制备的|φ〉的形式,每个Pi公布测量结果。若使用{|+〉,|−〉}基测量粒子,则每个参与者的测量结果应符合|φ〉的形式;若使用{|0〉,|1〉}基测量,每个Pi的测量结果的和应该等于0。如果得到的结果不符合上述情况,则说明P1不诚实,协议终止。

对于情况2)中P1进行三粒子GHZ 类态联合测量的粒子,若测量结果与初始制备的量子态相同,则协议继续,反之协议终止。

2.2.4 计算求和结果

参与者Pi首先使用{|0〉,|1〉}基测量粒子的量子态,并将测量结果Ri公布给P1,这里

3 协议分析与讨论

3.1 正确性

本节将通过实例分析此三方量子保密求和协议的正确性。不失一般性,令P2和P3事先共享密钥k=1,P1的秘密为X1=1,P2的秘密为X2=0,P3的秘密为X3=1。

P1计算τ ⊕T并公布

最终,每个参与者计算τ ⊕T⊕C2⊕C3得到求和结果

显然,τ ⊕T⊕C2⊕C3得到的结果与X1⊕X2⊕X3的结果相同,即可得到正确的求和结果。

3.2 参与者攻击

参与者攻击可以分为两种:第一种是单个不诚实参与者攻击,第二种是多个(两个及两个以上)不诚实参与者的联合攻击。假设大多数参与者都是诚实的,在三个参与者的情况下只需考虑参与者的单独攻击即可。单个不诚实参与者的独立攻击又分为以下两种情况。

3.2.1 参与者P1 发起的攻击

P1作为协议中量子态的制备者, 他所发起的攻击往往比其他参与者P2(P3) 更具有危险性。P1若尝试获得P2(P3) 的秘密信息X2(X3), 他将在第一步初始阶段制备从{|0〉,|1〉} 基中选择粒子|Fi〉, 且F1⊕F2⊕F3= 0,P1对应地将|F2〉(|F3〉)发送给P2(P3)。在第四阶段参与者P2(P3)公布C2(C3)时,P1将获得参与者的X2(X3)。当P1发送伪造粒子|Fi〉后,P2(P3)任选一个粒子使用{|0〉,|1〉}基或{|+〉,|−〉}基测量,P1将以1/2 的概率通过检测。在这种情况下,若有θ 个粒子用来检测,那么P1通过检测的概率为(1/2)θ。显然当θ 足够大时,P1通过检测的概率趋近于0。

3.2.2 参与者P2(P3)发起的攻击

由此可见,在第三步安全检测阶段,P1将以1/2 的概率得到正确的结果。若用来检测的粒子有δ 个,那么Pi被检测到的概率为当δ 的取值足够大时,概率趋近于1。

（2）堵漏后复漏 受到钻具拍打、抽吸压力、激动压力等压力的波动以及钻井液的性能变化等影响或邻井注采影响，导致进入漏层堵漏剂松动，漏失通道重新开启。

3.3 外部攻击

需要指出的是,上述分析针对的攻击者都是不诚实参与者。与外部攻击者相比,内部参与者能够获得更多的资源,也具有更强的攻击能力。内部参与者的攻击分析已经详述,本节将对协议在外部攻击下的安全性进行简要说明。

假设存在外部窃听者Eve,他想要窃取参与者Pi的秘密信息Xi,那么他需要获得参与者用来加密信息Xi的Ri。然而为了获取Ri,Eve 发起的攻击会改变检测窃听粒子状态,从而被参与者发现并终止。因此,所提出协议可以有效抵抗外部攻击。

3.4 讨 论

基于三粒子GHZ 类态,上文提出了一种三方量子保密求和协议。实际上,这种思想也可以扩展到n个参与者保密求和的情况。本节将对于基于n粒子GHZ 类态的n方量子保密求和进行讨论,这里n粒子GHZ 类态的形式为

协议开始前,P2,P3,··· ,Pn事先通过半量子密钥分配技术共享密钥K, 其中kj为K中第j个密钥j=1,2,··· ,N。

1)初始阶段

P1制备N+n(δ+θ)个(18)式中的n粒子GHZ 类态,随后将这些量子态中的第i粒子取出形成序列Si,并将序列Si发送给Pi。

2)随机操作阶段

Pi接收到粒子后对δ+θ 粒子随机执行测量或反射,对余下的N个粒子执行{|0〉,|1〉}基测量并记录结果,记为

3)安全检测阶段

对于每一个n粒子GHZ 类态,若任意一个参与者Pi都不测量直接返回的粒子,则P1对粒子进行n粒子GHZ 类态的联合测量;若存在r个参与者测量粒子,则P1对余下的反射粒子执行n−r粒子GHZ 类态测量。若错误率高于预设的阈值,则终止协议;反之,协议继续。

4)计算求和结果

参与者P2,P3,··· ,Pn计算Qi并公布

最终,每个参与者计算τ ⊕T⊕Q2⊕Q3···⊕Qn,得到求和结果。

4 结 论

基于三粒子GHZ 类态设计了一种三方量子保密求和协议,分析表明此协议可以确保正确性,并且可以抵抗参与者攻击和外部攻击;同时,讨论了如何将协议拓展到n个参与者中,提出了基于n粒子GHZ类态的n方量子保密求和协议。