張德喜，李曉宇

(1. 許昌學(xué)院 信息工程學(xué)院，河南 許昌461000； 2. 鄭州大學(xué) 信息工程學(xué)院，河南 鄭州 450001)

量子密碼學(xué)是量子力學(xué)在密碼學(xué)中的應(yīng)用，是當(dāng)今信息安全中最活躍、最引人注意的研究領(lǐng)域.與建立在計(jì)算復(fù)雜性基礎(chǔ)上的經(jīng)典密碼學(xué)不同，量子密碼協(xié)議安全性是基于量子力學(xué)的定律，因此可以實(shí)現(xiàn)無(wú)條件的安全性.歷史上第一個(gè)量子密鑰分配協(xié)議是1984年Bennett等提出的文獻(xiàn)[1]，簡(jiǎn)稱BB84協(xié)議.自那以后，多種量子密碼協(xié)議陸續(xù)被提出來(lái)，例如量子密鑰分配[2-5]，量子秘密共享[6-9]，量子比特承諾[10]等.量子密碼協(xié)議的實(shí)驗(yàn)工作也獲得了長(zhǎng)足的進(jìn)展，在光纖中實(shí)現(xiàn)了量子密鑰分配，其傳輸距離超過(guò)了400 km[11].最近，中國(guó)的墨子號(hào)量子衛(wèi)星成功實(shí)現(xiàn)了超過(guò)1 200 km的衛(wèi)星—地面站之間的糾纏態(tài)分發(fā)[12]，它很快將會(huì)用來(lái)實(shí)現(xiàn)衛(wèi)星—地面站之間量子密鑰分配.

還有一個(gè)很有趣的問(wèn)題：秘密驗(yàn)證.用戶Alice和用戶Bob事先分別擁有了同一個(gè)秘密消息.然而雙方并不知道對(duì)方擁有該秘密消息，甚至可能不知道對(duì)方的存在.現(xiàn)實(shí)中，有些場(chǎng)景下Alice和Bob有可能需要確認(rèn)對(duì)方擁有該秘密消息，以決定下一步的交流與合作.例如，該秘密消息可能是一個(gè)密鑰，雙方可以使用它進(jìn)行加密通信；該秘密消息也可能是一個(gè)身份標(biāo)志，雙方可以通過(guò)驗(yàn)證它來(lái)確認(rèn)對(duì)方的身份；該秘密消息也可能是一份秘密文件，雙方可以依據(jù)文件的指導(dǎo)進(jìn)行下一步的合作等等.驗(yàn)證過(guò)程必須是可靠的，如果有一方不擁有該秘密消息，或者只擁有秘密消息的一部分，驗(yàn)證都不能通過(guò).另一方面，驗(yàn)證過(guò)程也必須是安全的.由于一般情況下Alice和Bob之間不存在可靠的安全信道，雙方只能通過(guò)不安全的公開(kāi)信道交換某些信息來(lái)實(shí)現(xiàn)秘密驗(yàn)證.任意的第三方可以監(jiān)聽(tīng)驗(yàn)證的全過(guò)程，但是卻不能獲取有關(guān)該秘密消息的任何信息.這就是秘密驗(yàn)證問(wèn)題.經(jīng)典密碼學(xué)中，有多種方法可以實(shí)現(xiàn)秘密驗(yàn)證，但是它們都是建立在計(jì)算復(fù)雜性基礎(chǔ)上，無(wú)法實(shí)現(xiàn)無(wú)條件的安全，而且也難以絕對(duì)避免攻擊者多少獲取有關(guān)秘密消息的一些信息.

量子秘密驗(yàn)證協(xié)議可以解決這個(gè)問(wèn)題.本文提出一個(gè)量子秘密驗(yàn)證協(xié)議，它是建立在非正交量子態(tài)的不可區(qū)分性的基礎(chǔ)上，因而可以具有無(wú)條件的安全性.

1 基本思想

在量子信息科學(xué)中，一個(gè)具有兩個(gè)本征態(tài){|0>, |1>}的量子系統(tǒng)叫做一個(gè)量子位.它的狀態(tài)空間為一個(gè)二維的希爾伯特空間，其中任意一個(gè)狀態(tài)可以記作

|φ>=α|>+β|1>.

(1)

其中，α,β為任意的實(shí)數(shù).{|0>, |1>}構(gòu)成了一個(gè)正交完備測(cè)量基，人們可以以它為基測(cè)量一個(gè)量子位.{|+>, |->}是另一個(gè)正交完備測(cè)量基，其中，

(2)

眾所周知，非正交的量子態(tài)是無(wú)法區(qū)分的，換句話說(shuō)，如果已知一個(gè)量子位處于集合{|0>，|1>，|+>，|->}中某一個(gè)態(tài)，那么，沒(méi)有辦法唯一確定它的狀態(tài)究竟是哪一個(gè).

按照密碼學(xué)研究的習(xí)慣，假定通信的雙方為Alice和Bob，可能的第三方攻擊者為Eve.起初，Alice和Bob都擁有一個(gè)秘密的n位二進(jìn)制字符串P，雙方都是從別的途徑得到P，因此他們彼此并不知道對(duì)方也擁有該秘密消息P.如果在Alice和Bob需要確定對(duì)方確實(shí)擁有P，他們可以借助上述非正交量子態(tài)的不可區(qū)分性來(lái)驗(yàn)證它.首先，約定以下編碼規(guī)則.

編碼規(guī)則：

|0>→0,|1>→0,|+>→0,|->→1.

(3)

然后，Alice和Bob對(duì)于P中每一個(gè)位pi，Alice按照以下規(guī)則生成一個(gè)量子位qi：如果pi的值是0，則qi隨機(jī)處于狀態(tài)|0>或者|1>；如果pi的值是1，則qi隨機(jī)處于狀態(tài)|+>或者|->.同時(shí)，根據(jù)編碼規(guī)則，Alice記錄下一個(gè)二進(jìn)制位ai.如表1所示.

表1 Alice的記錄

然后，Alice將該量子位發(fā)送給Bob.當(dāng)Bob收到之后，他根據(jù)pi的值確定測(cè)量基：如果pi的值是0，測(cè)量基為{|0>, |1>}；如果pi的值是1，測(cè)量基為{|+>, |->}.然后，Bob測(cè)量qi，記錄自己的測(cè)量結(jié)果并且根據(jù)編碼規(guī)則記為一個(gè)二進(jìn)制位bi.結(jié)果如表2所示.

表2 Bob的記錄

容易看到，最后，Bob記錄bi與Alice的記錄ai完全一致，如下表3所示.

表3 記錄關(guān)聯(lián)

進(jìn)一步，對(duì)于P中的所有位重復(fù)以上操作.最后，Alice和Bob分別得到一個(gè)n位的二進(jìn)制字符串a(chǎn)和b，他們可以在經(jīng)典信道上公開(kāi)自己的結(jié)果.顯然，如果沒(méi)有信道傳輸錯(cuò)誤或者攻擊者破壞，雙方的字符串應(yīng)該完全一致.因此，Alice和Bob可以確認(rèn)雙方擁有共同的秘密消息P.第三章里將證明任何不擁有P的第三方都不可能通過(guò)驗(yàn)證，而且上述驗(yàn)證過(guò)程不會(huì)泄漏任何有關(guān)P的信息.因此，可以利用上述結(jié)果來(lái)設(shè)計(jì)一個(gè)密鑰驗(yàn)證協(xié)議.

2 使用非正交態(tài)的量子秘密驗(yàn)證協(xié)議

假定Alice和Bob預(yù)先共享了某個(gè)消息，它可以用一個(gè)n位的二進(jìn)制字符串P來(lái)代表.

P=p1p2…pi…pn,pi∈{0,1}.

(4)

Alice和Bob雙方之間有一條量子信道和一條經(jīng)典信道相連.前者可以用來(lái)交換量子位，后者用來(lái)交換經(jīng)典信息.量子信道和經(jīng)典信道都是不安全的，任何人都可以監(jiān)聽(tīng).

如果Alice和Bob需要驗(yàn)證對(duì)方是否擁有P，他們執(zhí)行下列步驟：

1.Alice 根據(jù)P生成n個(gè)量子位，其中每一個(gè)量子位的狀態(tài)如下：如果pi=0，量子位狀態(tài)隨機(jī)處于|0>或者|+>；如果pi=1，量子位狀態(tài)隨機(jī)處于|1>或者|->.同時(shí)，Alice根據(jù)編碼規(guī)則和自己的選擇記為一個(gè)二進(jìn)制字符.最后，Alice得到一個(gè)n量子位序列Q,其中，

Q=q1a2…qi…qn.

和一個(gè)n位的二進(jìn)制字符串a(chǎn),其中,

a=a1a2…ai…an.

2.Alice將Q發(fā)送給Bob.

3.收到Q之后，Bob按照下列規(guī)則測(cè)量Q中的每一個(gè)量子位qi：如果pi=0，則Bob以{|0>, |1>}為基測(cè)量qi；如果pi=1，則Bob以{|+>, |->}為基測(cè)量qi.同時(shí)，Bob根據(jù)編碼規(guī)則和自己的測(cè)量結(jié)果記為一個(gè)二進(jìn)制字符.最后Bob也得到一個(gè)n位的二進(jìn)制字符串b，其中

b=b1b2…bi…bn.

4.Alice和Bob公開(kāi)各自的字符串a(chǎn)和b并對(duì)比這兩個(gè)字符串.如果a=b，驗(yàn)證通過(guò)，Alice和Bob確認(rèn)雙方擁有共同的秘密消息；否則驗(yàn)證失敗，Alice和Bob不擁有共同的秘密消息.

3 協(xié)議的安全性

本文提出的量子秘密驗(yàn)證協(xié)議是安全的，任何不擁有完整秘密消息的人都不可能通過(guò)驗(yàn)證，驗(yàn)證過(guò)程中也沒(méi)有任何有關(guān)秘密消息的信息泄漏.證明如下.

首先，參與驗(yàn)證的雙方都必須擁有秘密消息P.在協(xié)議步驟3，為測(cè)量qi，Bob必須根據(jù)P來(lái)選擇對(duì)應(yīng)的測(cè)量基，如果Bob不擁有P，他就無(wú)法100%保證選中正確的測(cè)量基，從而無(wú)法得到正確的測(cè)量結(jié)果和二進(jìn)制字符串.那么Bob有沒(méi)有辦法通過(guò)其他更復(fù)雜的方法獲得qi的狀態(tài)呢？那是不可能的.因?yàn)閝i的可能狀態(tài)集合為{|0>, |1>, |+>, |->}.顯然這四個(gè)狀態(tài)之間不是彼此正交的.根據(jù)量子力學(xué)，非正交的量子態(tài)是無(wú)法100%的彼此區(qū)分的，也就是說(shuō)，無(wú)論采用什么方法，Bob都無(wú)法100%地確定qi究竟是處于哪一個(gè)狀態(tài)，而且也無(wú)法確定qi的狀態(tài)屬于集合{|0>, |1>}還是屬于{|+>, |->}.因此Bob恰好猜中正確的測(cè)量基，從而得到正確的測(cè)量結(jié)果和正確的二進(jìn)制字符bi的概率最多為

(5)

所以，Bob恰好得到正確的字符串b的概率不超過(guò),

(6)

如果n=100，則，

(7)

顯然，這是一個(gè)小得難以想象的概率，因此事實(shí)上Bob是根本不可能通過(guò)驗(yàn)證的.

反過(guò)來(lái)，如果Alice在不擁有秘密消息P的情況下試圖欺騙Bob從而通過(guò)驗(yàn)證，她必須生成一個(gè)n量子位序列Q，然后發(fā)送給Bob.但是，在協(xié)議步驟1，由于Alice手中沒(méi)有P，她就無(wú)法根據(jù)每一個(gè)位pi的值來(lái)生成正確的量子位qi以保證Bob一定能夠根據(jù)pi的規(guī)定選中正確的測(cè)量基.Alice生成的量子位qi只能隨機(jī)地處于{|0>, |1>, |+>, |->}之一.那么，Bob根據(jù)pi的值選擇的測(cè)量基恰好是正確的概率也只有1/2.同樣地推理可知，Alice和Bob得到相同的字符串的亦為公式(6)和(7).

顯然，Alice也不可能通過(guò)驗(yàn)證.

其次，如果一個(gè)攻擊者Eve監(jiān)聽(tīng)了整個(gè)驗(yàn)證過(guò)程，試圖竊取秘密消息P，她注定不會(huì)成功.Eve可以截獲Alice發(fā)送給Bob的量子位序列Q，試圖從中獲取有關(guān)P的信息.對(duì)于Q中的每一個(gè)量子位qi，它可能處于{|0>, |1>, |+>, |->}中的某一個(gè)狀態(tài).這四個(gè)狀態(tài)彼此是不正交的，根據(jù)量子力學(xué)，Eve沒(méi)有任何辦法唯一確定qi的狀態(tài)，也沒(méi)有辦法確定qi的狀態(tài)屬于集合{|0>, |1>}還是屬于{|+>, |->}.因此，Eve據(jù)此推斷出pi的值的概率不超過(guò)1/2，實(shí)際上這和隨機(jī)猜測(cè)pi值并無(wú)區(qū)別.那么，Eve得到秘密消息P的概率最大是公式(6)和公式(7).

所以，Eve不可能獲得秘密消息P.

綜上所述，本文的秘密驗(yàn)證協(xié)議是安全的.而且它是建立在量子力學(xué)的定律基礎(chǔ)上的，所以具有無(wú)條件的安全性.

4 結(jié)語(yǔ)

本文的量子秘密驗(yàn)證協(xié)議不需要使用糾纏態(tài)，也不需要任何復(fù)雜的量子操作，雙方只需要通過(guò)一個(gè)公開(kāi)的量子信道交換單個(gè)量子位和對(duì)單量子位進(jìn)行測(cè)量.使用今天的量子通信和量子測(cè)量技術(shù)可以輕而易舉地實(shí)現(xiàn)這些操作.所以，本協(xié)議是技術(shù)上可行的，可以在實(shí)驗(yàn)室中順利完成，也可以很容易在實(shí)踐中得到應(yīng)用.另一方面，由于相關(guān)的技術(shù)都很成熟，抗干擾性很好，所以本協(xié)議有著很好的魯棒性.

本文提出了一個(gè)利用非正交量子態(tài)的不可區(qū)分性基礎(chǔ)上的量子秘密驗(yàn)證協(xié)議.共享秘密消息的雙方可以通過(guò)傳輸和測(cè)量量子系統(tǒng)來(lái)驗(yàn)證消息的一致性和完整性.量子物理的定律保證了該協(xié)議的無(wú)條件安全性.該協(xié)議在實(shí)踐中容易實(shí)現(xiàn)，魯棒性較好.

參考文獻(xiàn)：

[1] Bennet C H, Brassard G. Quantum cryptography: Public-key distribution and tossing[C].In: Proceedings of IEEE International conference on Computers, Systems and Signal Processing, Bangalore, India, IEEE Press, 1984: 175.

[2] Ekert A K. Quantum cryptography based on Bell's theorem[J]. Physical Review Letters, 1991, 67: 661-663.

[3] Qi B, Zhao Y, Ma X F, et al. Quantum key distribution with dual detectors[J]. Physical Review A, 2007, 75(5): 052 304．

[4] Aguilar E A, Ramanathan R, Kofler K, et al. Completely Device Independent Quantum Key Distribution[J]. Physical Review A, 2016, 94(2): 022 305.

[5] Hatakeyama Y, Mizutani A, Kato G, et al. Differential-phase-shift quantum key distribution protocol with small number of random delays[J]. Physical Review A, 2017, 95(4): 042 301.

[6] Hillery M, Buzek V, Berthiaume A. Quantum secret sharing[J]. Physical Review A, 1999, 71(4): 044 301.

[7] Tavakoli A, Herbauts I, Zukowski M, et al. Secret Sharing with a Single d-level Quantum System[J]. Physical Review A, 2015, 93(3): 030 302.

[8] Lu H, Zhang Z, Chen L K, et al. Secret Sharing of a Quantum State[J]. Physical Review Letters, 2016, 117: 030 501.

[9] Lunghi T, Kaniewski J, Bussieres F, et al. Practical relativistic bit commitment[J]. Physical Review Letters, 2015, 115: 030 502.

[10] Verbanis E, Martin A, Houlmann R, et al. 24-Hour Relativistic Bit Commitment[J]. Physical Review Letters, 2016, 117: 140 506.

[11] Yin H L, Chen T Y, Yu Z W, et al. Measurement-Device-Independent Quantum Key Distribution Over a 404 km Optical Fiber[J]. Physical Review Letters, 2016, 117:190 501.

[12] Yin J, Cao Y, Li Y H, et al. Satellite-based entanglement distribution over 1200 kilometers[J]. Science, 2017, 356: 1 140.