历时21年迎来量子数字签名实用化,科学家提出“一次一哈希”新概念,生成全新的量子数字签名框架
来源:DeepTech深科技 2023-02-28 16:32:17
(资料图片)
2015 年,中国科学技术大学在读博士生(现南京大学物理学院副教授、博导)和同学院的富尧博士,到日本参加第五届国际量子密码会议。 期间,量子密码先驱、沃尔夫奖和基础物理学突破奖的两位得主——查尔斯·班尼特()和吉尔斯·布拉萨德()教授,对等人研究的量子数字签名给予了关心和鼓励。 图 | 从左到右:吉尔斯·布拉萨德()和(来源:尹华磊) 对于量子数字签名的工作,两位学者都非常感兴趣。得知课题组实现了第一个无条件安全的量子数字签名理论 [2],他们便在大会墙报环节给予和富尧博士更加足够的时间来作汇报,并在当晚一起共进晚餐。 图 | 左、中、右分别为:查尔斯·班尼特()、富尧博士、吉尔斯·布拉萨德()教授(来源:) 说:“两位老先生肯定了我们利用量子力学原理实现无条件安全的数字签名的成果。但也尖锐地指出我们工作的劣势:无法实用推广,只能是一个量子游戏。随后,他们勉励我们一定要继续深耕,只有让数字签名和 保密通信一样实用才是一个漂亮的工作。” 几年过后,南京大学物理学院-团队果然带来了更加漂亮的成果。 最近, 和团队摒弃经典的 GC01 签名范式,构造出一种量子数字签名新范式,实现了信息理论安全的数字签名,将量子数字签名的效率提高数亿倍,直接使量子数字签名步入商用化阶段,并让信息的真实性、完整性和不可抵赖性得到更好的保护。 尽管研究中使用的一次一密、非对称加密和全域哈希技术,都是先前已经存在的。但是,一次一密只能用于对称加密;非对称加密则只能用于秘密共享等密码学任务;而在经典认证中,全域哈希只能用于生成信息的摘要,无法直接保护信息的不可抵赖性。 而本次工作发掘了上述三种技术的隐藏潜力,提出了“一次一哈希”的新概念,构造出全新的量子数字签名框架,让目前量子数字签名效率无法满足实用的问题得以解决。 同时,先前的量子数字签名效率过低,需要大量量子态才能生成一个签名。较低量子态的生成速率,也已成为实际应用中的瓶颈。 而本次成果将量子签名效率提升数亿倍,只需要几百个量子比特就能完成一条任意长消息的签名,这能让量子数字签名可以真正用于经典数字签名的场景中。 在案例说明上,课题组展示了“南京大学 120 周年校庆”几个汉字的签名过程,实施了兆比特图像的百公里传输签名。 表示,在未来的量子网络中,哪怕是普通用户也能通过底层硬件设施,享受到高频的共享量子态。甚至网上聊天、电子邮件、移动支付和区块链等各种场景,都可以使用量子数字签名来获得信息理论的无条件安全性。 同时, 该研究也将著名的全域哈希函数推向了新的重要应用,故是构建量子网络的阶段性重要成果之一。近日,相关论文以《具有数字签名和加密的实验量子安全网络》()为题发在 NSR(National Science Review)上(IF 23.2)。 教授是论文第一作者兼通讯作者,富尧博士和南京大学物理学院教授担任共同通讯作者 [1]。 2016 年,从量子密码发展的相关基础理论出发,该团队和国外团队分别利用非正交编码和正交编码方式,首次提出了无需安全信道的量子数字签名方案,为各种量子数字签名协议提供了方向。后续学界所有的量子数字签名协议,基本都按照这两种路径进行设计。 “此外我们率先完成了正交编码和非正交编码量子数字签名的实验实现。最近,我们还提出后匹配的量子数字签名协议,借此提高了资源利用效率。”说。 这些领域内的积累,也让他清晰地认识到量子数字签名领域所存在的顽疾:即签名效率远远无法满足实用化。 另外,在研究量子密钥分发的过程中,课题组也对全域哈希函数有了完整的认识,意识到全域哈希函数是一个尚未开发的“潜力股”。 通过一番摸索,他们找到了解决量子数字签名领域问题的正确途径——用哈希函数进行签名。 在意识到可以通过全域哈希函数提高签名效率之后,研究团队立即查找原始文献并进行调研讨论,通过设计具体的协议来切实保障数字签名所需要的真实性、完整性和不可抵赖性。 由于涉及到数学、计算机、密码学等交叉领域,期间他们耗费了大量的精力,也走过一些弯路。就这样边走边纠错,最后获得了完整的协议和严谨的安全性论证。 在进一步解读此次成果时,表示:“经典密码学,只能提供计算复杂度假设的安全性。量子密码学和量子信息,旨在通过量子力学的物理原理,为各种信息交流活动提供信息理论的无条件安全性。” 其中,最常见的密码技术便是加密,它可用于保护消息传输的机密性。通俗地讲,加密可以防止信息在传输过程中被其他人所获知。 另外一种重要的密码技术——数字签名,可以确保消息传输的真实性、完整性和不可抵赖性。数字签名类似于传统的“签字”或者“骑缝章”,可以防止签名者抵赖相关信息,也可以防止接收者篡改被签名的消息。 在经典密码学的保护下,这两种技术已被广泛用于互联网。然而,经典密码学只能提供计算复杂度假设的安全性。 相比之下,在将来只需一个量子计算机的算力,就足以轻松攻破所有看似复杂的加密算法。同时,量子密码学还能提供信息理论的无条件安全,抵抗量子计算机的攻击。 在量子密码学中,由量子密钥分发和一次一密实现的量子保密通信,一直是研究的热点之一,此前学界已经取得不少实质性突破。 然而,量子数字签名的研究进展起步较晚。直到 2001 年,美国科学家才首次提出了 GC01 范式。 目前,所有的量子数字签名都基于 GC01 范式,即通过量子单向函数产生签名。其技术特点决定:一次只能针对一个二进制的比特进行签名。因此,在实际应用中该范式的签名效率极低,远远无法满足实际需求。 要想提升签名效率,就得转变范式。传统数字签名所需的量子单向函数,需要上万个有效比特来对一个比特的消息进行签名。 而该课题组使用的全域哈希函数,可以直接将函数作用到整个消息上,从而生成哈希值来作为签名。具体来说,只需将几百个比特用于生成函数,就可以对几乎任意长消息进行签名。 那么,相比于传统的数字签名框架,该团队提出的商用化量子数字签名框架对于硬件有着哪些要求?以及为何可以将签名速率提升数亿倍? 对此,他表示:“包括我们这次提出的量子数字签名方案在内的大部分量子通信协议,在实际场景中都选择光信号作为量子态的载体,因此都需要激光器、光纤、光子探测器等光学硬件设施。” 除此之外,传统的量子数字签名通过量子单向函数产生签名,在经典信息处理部分通常直接采用计算机。而该团队提出的商用化量子数字签名框架,是通过生成全域哈希函数来产生签名。 对于后续研究,表示:“其实目前我们已经有了一些新研究,有一篇理论工作已经完成,预印本论文已经挂在了 arXiv上 [3]。” 本次NSR论文提出的协议,需要用户共享完美的量子密钥。实际上,由于实际环境的一些不完美情况,比如信道损耗、探测器效率和暗记数等,导致无论是通过光系统还是通过其它系统完成的量子态共享,都不可避免地引入一些错误和隐私泄露,导致最终的共享密钥存在一定缺憾。 要想得到完美密钥,必须经过“纠错”和“隐私放大”这两个处理过程。纠错可以保证密钥是完全相同的,隐私放大可以保证外来用户无法得知密钥的全部信息。 在进行隐私放大的时候,需要对所有数据进行整体处理。当数据量很大时,就会消耗大量的计算资源,并会带来巨大的延迟。 有时候,隐私放大的处理速度甚至会成为限制签名效率的瓶颈。一旦出现这种情况,量子通信协议的效率会受到严重影响。 “而我们这篇后续工作就解决了这一问题 [3]。我们发现全域哈希函数独特的性质,让其不仅可以隐藏输入消息的信息,也可以隐藏密钥的信息。 基于此,我们利用一次一哈希的新范式,提出了一种无需完美密钥的量子数字签名方案。”说。 这意味着,即使全域哈希函数的密钥泄露了一部分隐私,也可以通过全域哈希函数进行消除。 在这篇arXiv论文里,他们完整地证明了这种不完美的密钥。并且,课题组还准确给出了使用这种密钥结合一次一哈希的失败概率上限。 相比传统的量子数字签名,该团队在 arXiv 论文中提出的协议,在签名效率上具备数亿到数十亿数量级的优势,可以节约将近 99% 的后处理时间和计算资源。 至此,他们完成了第一个无需完美密钥的量子通信协议,并发现了一种新的量子资源。表示:“我们相信这篇 arXiv 论文,可以在未来启发更多关于量子密码学和量子信息的研究。” 1.Yin, H. L., Fu, Y., Li, C. L., Weng, C. X., Li, B. H., Gu, J., ... & Chen, Z. B. Experimental quantum secure network with digital signatures and encryption.National Science Review.2.arXiv:1507.03333,PRA 2016 由 DeepTech 携手《麻省理工科技评论》重磅推出的《科技之巅:全球突破性技术创新与未来趋势(20 周年珍藏版)》已开售!点击下方海报可购买图书!! 关键词:
数字签名
不可抵赖