輕量級的仲裁半量子秘密共享

王 晨

(西安工程大學 計算機科學學院，陜西 西安 710048)

0 引 言

量子密碼學的一個重要分支是量子秘密共享(QSS)[1]。量子秘密共享將秘密分發給多個參與者，只有授權參與者共同合作才可以恢復初始秘密。1999年，Hillery等人[1]提出的Greenberger-Horne-Zeilinger(GHZ)態是第一個基于量子秘密共享方案；1999年，Gottesman等人[2]提出了量子秘密共享方案，秘密信息被劃分為n份，任意k份都可以用于恢復秘密，并且證明了閾值方案存在的限制是來自量子不可克隆定理；2000年，Gottesman[3]給出了量子秘密共享理論的一些重要結果，證明了具有一般訪問結構的量子秘密共享方案存在的唯一限制是單調性和不可克隆定理；2001年，Tittel等人[4]提出了基于糾纏的量子秘密共享實驗方案，利用參量下轉換創建兩個糾纏光子，模擬三量子比特GHZ態[1]；2003年，Guo等人[5]提出了不使用糾纏態的量子秘密共享協議，其理論效率接近100%；2004年，Deng等人[6]提出了基于測量的量子秘密共享方案，根據測量結果形成的字符串的奇偶性，給出共享秘密信息的顯示表達式，該方案不僅可以保障協議的安全性，并且其效率漸近為100%；2005年，Ogawa等人[7]提出了新的量子秘密共享方案，參與者無法從自己的秘密中獲取任何量子秘密信息，該協議滿足了機密性；2014年，Liao等人[8]提出具有添加新代理的簡便方法，對撤銷的代理進行誠實性檢測；自此，其他量子秘密共享方案隨后被提出。

盡管在最近幾十年來出現了各種量子秘密共享協議，但是由于量子設備造價高昂，更可能的應用場景是只有少數的公司和政府機構能夠擁有量子計算機。因此，如何降低量子能力是一個值得研究的領域。為了減輕協議的量子負擔，2007年Boyer等人提出了半量子的想法[9]，在2009年，Boyer等人提出了半量子密鑰分發協議，該協議被證明對竊聽者是完全魯棒的，無論對手做什么操作均會被檢測到。這里的半量子環境是指，協議中部分參與者是量子方，具有無限量子能力；而另外一些參與方是經典方僅需要有限的量子能力，只執行以下幾種操作：(1)在Z基上測量量子比特；(2)在Z基上制備量子比特，{|0〉，|1〉}；(3)無干擾的反射量子比特；(4)通過不同的延遲線重新排列量子比特。隨后，半量子密碼協議得到了一定的發展。2010年，Li等人[10]提出了兩種使用最大糾纏GHZ態的半量子秘密共享協議；2012年，Wang等人[11]通過使用兩個粒子糾纏態進而提出了半量子秘密共享協議，經典的參與者只能執行制備粒子或者反射粒子的操作；2015年，Xie等人[12]提出了一種新的指定比特的半量子秘密共享協議，即量子參與者可以與經典參與者共享特定的消息；2018年，Li等人[13]提出了有限資源內的半量子秘密共享協議。

為了進一步減輕協議參與者的量子負擔，可以引入第三方進行量子計算等操作。2015年，Krawec[14]首次提出了仲裁半量子密鑰分發協議，兩個參與者在不可信量子第三方的協助下分發密鑰。2018年，Liu等人[15]提出了經典方不需要測量能力的中介半量子密鑰分發協議。2019年，Tsai等人[16]提出了輕量級的量子密鑰分發協議，兩個參與者和第三方都是經典用戶，使用單向傳輸策略，提出的協議更實用。2019年，Lin等人[17]提出了新的中介半量子密鑰分發協議，該協議允許兩個經典參與者在不受信任的第三方幫助下共享秘密密鑰。受上述研究啟發[18-20]，文中提出了輕量級的仲裁量子秘密共享方案，即量子方(可信或者不可信的第三方)和經典方的能力均是有限的，減少了量子開銷，使該協議更加易于實現。

1 協議描述

1.1 第三方可信的半量子秘密共享協議

本節介紹了中介可信的量子秘密共享協議，提出的協議允許參與者Alice(dealer)和n-1個經典代理方Bob1,Bob2,…,Bobn-1在第三方TP的幫助下共享密鑰。TP是誠實的，即TP必須嚴格遵守協議的規則。關于參與者有限的量子能力的具體描述在表1中給出。假設參與秘密共享協議共有n個參與者，Alice(dealer)需要在可信第三方TP的幫助下共享密鑰K給n-1個參與者，協議的具體執行內容如下：

(1)TP隨機地制備δ個BB84粒子{|+〉,|-〉,|0〉,|1〉},并且發送給Alice(δ是一個固定參數，且δ遠大于n)。

(2)Alice收到TP發送的粒子序列后，隨機執行以下兩種操作：

表1 有限量子能力的具體描述

①Alice以概率p對收到的粒子無干擾地反射給Bob1(CTRL)；

②Alice以概率1-p丟棄收到的粒子，隨機在Z基上重新制備量子比特({|0〉,|1〉})，并且發送給Bob1(SIFT)。

(3)Bob1收到來自Alice發送的粒子后，隨機執行以下兩種操作：

①反射：Bob1以概率p對收到的粒子無干擾地反射給TP(CTRL)。

②測量重發：Bob1以概率1-p對收到的粒子用Z基測量，并且隨機在Z基上制備量子比特({|0〉,|1〉})，并且發送給TP(SIFT)。

(4)TP接收到Bob1發送的粒子后，通知Alice和Bob1進行竊聽檢測。Alice和Bob1在公共信道公布在哪個粒子位置上執行的CTRL操作，對Alice和Bob1都選擇執行CTRL的粒子進行測量，TP測量結果應和初始態一致，若錯誤率高于閾值，則終止協議并重新開始。

(5)在Bob1和Alice都選擇SIFT操作的位置，這些粒子(以概率(1-p)*(1-q))作為Alice共享給Bob1的密鑰K1的編碼量子比特({|0〉,|1〉,|1〉,…,|0〉}分別代表0,1比特)。

(6)同理，Alice和Bob2，…，Bobn-1在TP的幫助下共享密鑰K2…Kn-1，重復步驟1～5。最終，K=K1⊕K2⊕…⊕Kn-1作為所有參與者共享密鑰，只有所有的Bob共同合作才能恢復該密鑰。

1.2 中介不可信的半量子秘密共享協議

本節介紹了中介不可信的量子秘密共享協議，提出的協議中參與秘密共享協議的成員有Alice(dealer)、Bob和Charlie，三個參與者在TP的幫助下共享密鑰。TP是不可信的，即必須驗證TP的誠實性。關于參與者有限量子能力的具體描述在表2中給出。

假設Alice需要在不可信第三方幫助下共享密鑰K給Bob和Charlie，協議的具體內容如下：

表2 有限量子能力的具體描述

(3)Bob和Charlie在收到Alice發送的量子序列后，隨機執行兩種操作：

①CTRL：以概率p對收到的粒子無干擾地反射給TP；

②SIFT：以概率1-p對收到的粒子用Z基測量并隨機制備量子態發送給TP。

(4)TP收到來自Bob和Charlie的所有量子態并且按順序存儲，按照順序結合收到的粒子進行Bell測量，并且公布測量結果及初始態，Bob和Charlie計算選擇SIFT的初始態且檢測SIFT比特錯誤率。若Z-SIFT錯誤率高于預先設定的閾值PSIFT，那么中止協議。

(5)Alice公布插入竊聽檢測粒子的位置，Bob和Charlie公布執行Z-SIFT操作的位置，TP對比Bob和Charlie選擇CTRL的量子態并且檢測CTRL比特錯誤率。若Z-SIFT錯誤率高于預先設定的閾值PCTRL，那么中止協議。

(6)Alice隨機選擇插入竊聽檢測粒子中的Z-SIFT比特為密鑰K1,K2，通知Bob和Charlie公布剩余誘騙粒子為自身Z-SIFT粒子的測量結果。若Z-SIFT錯誤率高于預先設定的閾值PTEST，那么協議中止。

(7)Bob和Charlie記錄未公布測量結果的Z-SIFT為K1,K2，最終K1⊕K2為共享密鑰，只有Bob和Charlie合作才能恢復密鑰。

1.3 中介可信的半量子秘密共享驗證

本節中，中介可信的量子秘密共享協議允許參與者Alice(dealer)和2個經典代理方Bob1,Bob2在TP的幫助下共享密鑰。TP是誠實的，即TP必須嚴格遵守協議的規則。假設參與秘密共享協議共有3個參與者，Alice(dealer)需要在可信第三方(TP)的幫助下共享密鑰K給2個參與者，協議的具體執行內容如下：

(1)TP隨機地制備20個BB84粒子{|+〉,|0〉,|-〉,|1〉,|-〉,|+〉,|0〉,|1〉,|1〉,|+〉,|-〉,|0〉,|+〉,|1〉,|-〉,|1〉,|0〉,|+〉,|-〉,|1〉}并且發送給Alice。

(2)Alice收到TP發送的粒子序列后，執行以下兩種操作：

①Alice對收到的粒子序列為奇數的粒子無干擾地反射給Bob1(CTRL)；

②Alice丟棄收到的其余粒子，隨機在Z基上重新制備量子比特({|0〉,|1〉})，并且發送給Bob1(SIFT)。

操作后的粒子序列為{|+〉,|0〉,|-〉,|1〉,|-〉,|0〉,|0〉,|1〉,|1〉,|0〉,|-〉,|0〉,|+〉,|1〉,|-〉,|1〉,|0〉,|1〉,|-〉,|1〉}。

Bob1收到來自Alice發送的粒子后，執行以下兩種操作：

①Bob1對收到的粒子序列為3的倍數的粒子無干擾地反射給TP(CTRL)；

②測量重發：Bob1對收到的其余粒子用Z基測量，并且隨機在Z基上制備量子比特({|0〉,|1〉})，并且發送給TP(SIFT)。

操作后的粒子序列為{|1〉,|0〉,|-〉,|1〉,|0〉,|0〉,|0〉,|1〉,|1〉,|0〉,|1〉,|0〉,|1〉,|1〉,|-〉,|1〉,|0〉,|0〉,|0〉,|1〉}。

(3)TP接收到Bob1發送的粒子后，通知Alice和Bob1進行竊聽檢測。Alice和Bob1在公共信道公布在哪個粒子位置上執行的CTRL操作，對Alice和Bob1都選擇執行CTRL的粒子進行測量，TP的測量結果應和初始態一致，最終檢測粒子序列為{|-〉,|1〉,|-〉}。

(4)在Bob1和Alice都選擇SIFT操作的位置，這些粒子作為Alice共享給Bob1的密鑰K1的編碼量子比特，({|0〉,|1〉}分別代表0,1比特)，最終量子比特為{|0〉,|1〉,|1〉,|0〉,|1〉,|1〉,|1〉}。

(5)TP隨機地制備20個BB84粒子{|-〉,|0〉,|+〉,|0〉,|1〉,|+〉,|-〉,|1〉,|+〉,|0〉,|1〉,|+〉,|-〉,|0〉,|-〉,|0〉,|0〉,|-〉,|+〉,|0〉}并且發送給Alice。

(6)Alice收到TP發送的粒子序列后，執行以下兩種操作：

①Alice對收到的粒子序列為奇數的粒子無干擾地反射給Bob2(CTRL)；

②Alice丟棄收到的其余粒子，隨機在Z基上重新制備量子比特({|0〉,|1〉})，并且發送給Bob2(SIFT)。

操作后的粒子序列為{|-〉,|0〉,|+〉,|1〉,|1〉,|0〉,|-〉,|1〉,|+〉,|0〉,|1〉,|0〉,|-〉,|1〉,|-〉,|0〉,|0〉,|1〉,|0〉,|0〉}。

Bob2收到來自Alice發送的粒子后，執行以下兩種操作：

①Bob2對收到的粒子序列為3的倍數的粒子無干擾地反射給TP(CTRL)；

②測量重發：Bob2對收到的其余粒子用Z基測量，并且隨機在Z基上制備量子比特({|0〉,|1〉})，并且發送給TP(SIFT)。

操作后的粒子序列為{|1〉,|0〉,|+〉,|1〉,|1〉,|0〉,|1〉,|1〉,|+〉,|0〉,|1〉,|0〉,|-〉,|1〉,|-〉,|0〉,|0〉,|1〉,|0〉,|0〉}。

(7)TP接收到Bob2發送的粒子后，通知Alice和Bob2進行竊聽檢測。Alice和Bob2在公共信道公布在哪個粒子位置上執行的CTRL操作，對Alice和Bob2都選擇執行CTRL的粒子進行測量，TP的測量結果應和初始態一致，最終檢測粒子序列為{|+〉,|+〉,|-〉}。

(8)在Bob2和Alice都選擇SIFT操作的位置，這些粒子作為Alice共享給Bob2的密鑰K2的編碼量子比特，({|0〉,|1〉}分別代表0,1比特)，最終量子比特為{|0〉,|1〉,|1〉,|0〉,|1〉,|0〉,|0〉}。

(9)Alice和Bob1，Bob2在TP的幫助下共享密鑰K1,K2，最終，K=K1⊕K2作為所有參與者共享密鑰，最終共享密鑰為{|0〉,|0〉,|0〉,|0〉,|0〉,|1〉,|1〉}，只有Bob1和Bob2共同合作才能恢復該密鑰。

2 安全分析

2.1 特洛伊木馬攻擊

常見的木馬攻擊有兩種：延遲光子木馬攻擊和隱形光子竊聽。特洛伊木馬攻擊是一種常見的攻擊，外部攻擊者可能會將特洛伊木馬光子插入TP發送的量子比特中，嘗試通過特洛伊木馬光子獲得信息[21]。兩個協議中，參與者可以引入光波過濾器來檢測是否存在多光子信號，因而參與者收到的都是濾波器過濾后的具有合法波長的粒子，這樣可以抵抗來自Eve的隱形光子竊聽。

2.2 聯合攻擊

中介可信的半量子秘密共享協議中將證明一個或多個不誠實的參與者無法獲得最終密鑰[22-23]。在此，考慮最極端的情況，有一部分參與者是不誠實的，在這種情況下，不誠實方具有最大的權力。首先，若沒有Bob1的幫助下，Bob2…Bobn-1相互串通想獲得最終的密鑰。若是想知道Bob1的密鑰，只有檢測發送給Bob1的粒子，若是在Alice發送給Bob1的過程中，他們不知道具體的位置，協議繼續進行則成為攔截攻擊，TP會檢測出；其次，若是在Bob1發送給TP的過程中竊聽，則沒有意義。并且Bob2…Bobn-1可相互獨立，但是，這些信息仍然無法獲取。因此，協議可以抵抗內部攻擊。

中介不可信的半量子秘密共享協議中，因為第三方、Alice、Bob和Charlie是互相檢驗誠實性，若一方不誠實，協議無法繼續進行，因此可發現潛在的聯合攻擊。

2.3 外部攻擊

3 結束語

和現有的協議相比較[24-25]：對于半量子環境，在測量重發和丟棄重發環境中設計該協議，協議中，參與方都是“經典的”，經典參與者具有相同的量子能力，包括用Z基測量量子比特，以Z基制備量子比特，和無干擾反射量子比特。在量子資源方面，現有的半量子秘密共享協議中，量子方需要無限的量子能力，來保持協議的正常進行，在該方案中，對于第三方TP的量子能力要求也是有限的，參與者只需生成Z基的單個光子。降低了量子TP的量子能力，不需要完全的量子能力，這些使該協議更加實用和輕便。文中在的第三方TP的幫助下，提出了一種輕量級仲裁量子秘密共享方案，允許經典參與者在具有有限量子能力TP的幫助下共享密鑰，因為dealer只需要生成Z基量子位的能力，經典參與者和TP的量子能力都是有限的，該協議節約了量子資源，提高了協議的實用性。盡管在半量子領域中共享密鑰的無條件安全性仍然很困難[26-29]，但是所提出的協議可免受各種眾所周知的攻擊。在這里，不增加TP量子能力的情況下，如何將參與者的能力降低也是一個有挑戰的問題，需要進一步研究。