基于秘密认证的可验证量子秘密共享协议

杜宇韬 鲍皖苏 李 坦

(信息工程大学 郑州 450001)

1 引言

众所周知，量子密码协议是基于量子力学原理而设计的一类特殊密码协议，近几十年来始终是密码学领域的研究热点。量子秘密共享(Quantum Secret Sharing, QSS)作为经典秘密共享[1]在量子密码领域的延伸，是量子密码协议的一个重要研究方向，它允许秘密分发者将秘密信息拆分为若干份子秘密，借助量子态为载体分发给多个代理成员；只有代理成员集合中的授权子集可以恢复秘密，而非授权子集得不到任何信息[2]。经典秘密共享在对秘密或密钥(例如核武器的管控与发射、金库管理等)进行分散管理方面拥有不可替代的重要作用。相比之下，QSS协议基于量子力学原理能够更为有效地抵抗窃听者的攻击行为，因此具有极大的研究价值。自从1999年Hillery等人[3]基于GHZ态提出了第1个QSS协议以来，各种类型的QSS协议[2-21]层出不穷，相关研究已取得许多重要的成果。

现有的QSS协议通常假设：在恢复秘密时每个代理成员均诚实执行协议，从而正确恢复秘密信息。然而，现实中可能存在一种欺骗攻击：不诚实者此时可提供假的子秘密，使得其他成员无法恢复出秘密，而他则可通过纠错独自窃取秘密[13]。类似于经典秘密共享，抵抗欺骗攻击最有效的是可验证QSS协议。2002年，Crépeau等人[5]基于量子编码理论提出了第1个可验证QSS协议，可通过验证子秘密信息而防止不诚实者的欺骗行为，但是其协议效率很低。目前，已有的可验证QSS协议主要有两种类型：一是在设计QSS协议时就采用抗欺骗攻击的机制，如2018年Du等人[2]提出的动态QSS协议中通过选用相移操作[14]而阻止不诚实者窃取秘密，然而该方法可扩展性差，不能移植于其它QSS协议；二是在秘密恢复环节增加验证算法，如2011年Yang等人[10]基于后验证机制提出的一个可验证QSS协议，该机制具有较好的扩展性，因此后来的一些可验证QSS方案[11,15]均采用方式。但是，此类协议虽能够察觉欺骗行为却不能阻止攻击者得到秘密；另外采用验证子秘密的方式，其验证算法的执行效率偏低。因此，能否设计出既可有效抵抗欺骗攻击，又具备高效性和可扩展性的验证算法，是研究可验证QSS协议的焦点问题。

本文首先给出基于秘密认证的可验证QSS协议的一般性模型，之后利用Bell态双粒子变换[2]提出一种新验证算法，并结合一个现有的QSS方案给出一个新的对经典信息的可验证QSS协议。新协议采用认证秘密消息的方法，使得代理成员中的欺骗者无法利用验证环节得到任何秘密信息；基于Bell态双粒子变换的测量非局域关联性，使得欺骗者无法篡改或伪造验证信息。在效率方面，新验证算法所需的量子比特数约为 4Hk(l)，与现有的可验证QSS协议的验证算法相比，其量子态消耗量大幅减少，从而提高了协议效率。另外，新验证算法具备很强的可扩展性，可与任意QSS协议相结合，得到不同的可验证QSS协议。

本文的组织结构与安排：第2节为基于秘密认证的可验证QSS协议的一般模型；第3节为基于Bell态双粒子变换的可验证QSS协议；第4节为验证算法安全性分析；第5节为验证算法效率分析；第6节为结束语。

2 基于秘密认证的可验证QSS协议的一般性模型

3 基于Bell态双粒子变换的可验证QSS协议

秘密共享协议通常利用某种公钥算法来实现对秘密信息的完整性认证[22,23]，从而得到可验证秘密共享协议。本文基于Bell态双粒子变换[2]和杂凑函数[24]提出一种新的验证算法，并以2019年宋云[13]提出的QSS方案为例(新验证算法可与任意QSS协议结合)，结合新验证算法给出新的可验证QSS协议。

3.1 QSS方案描述

3.2 验证算法描述

3.3 验证算法的正确性

4 验证算法安全性分析

新验证算法能够确保代理成员中的不诚实者(如Eve)在服从量子力学基本原理的前提下无法成功实施欺骗攻击和伪造攻击，同时也能够抵抗一些典型攻击策略(例如Bell态替换攻击等)。

4.1 抗欺骗攻击性

4.2 抗伪造攻击性

4.3 抗Bell态替换攻击性

综上，攻击者Eve对该验证算法的Bell态替换攻击不可能成功。

5 验证算法效率分析

本文给出的可验证QSS协议基于秘密认证的思想，与现有的基于子秘密认证的可验证QSS协议相比，其验证算法所需要执行的操作次数大幅减少，验证环节消耗的量子态数目也大幅减少。

6 结束语

本文首先给出一个可验证QSS协议的一般性模型，并基于Bell态双粒子变换提出一种新的验证算法，从而给出一个对经典信息的可验证QSS协议。新验证算法能够抵抗欺骗攻击等典型攻击策略，且进一步提升了协议效率。值得一提的是，新验证算法可以与任意QSS协议相结合，其适用性非常广泛。

表1 新协议与现有协议的验证算法效率对比