近期,我校物理学院、固体微结构物理国家重点实验室、人工微结构科学与技术协同创新中心陈增兵-尹华磊课题组联合矩阵时光数字科技有限公司在量子安全技术方面取得重要突破,首次基于非对称量子密码在超过100公里距离下成功实现不可否认地传输兆比特图像。该课题组创造性地提出"一次一哈希",结合秘密共享的密钥非对称特性和"一次一密"的加密原理构造了可商用化的量子数字签名框架。以签名一份兆比特的文件为例,该框架将签名速率提升数亿倍。该实用化量子数字签名协议只需消耗数百比特的非对称量子密钥即可实现对几乎任意长的文件进行信息论安全的数字签名,从而确保文件传输的真实性、完整性和不可否认性。与此同时,该量子数字签名框架兼容各种量子秘密共享和量子密钥分发协议。基于此,该团队在实验上演示了全球首个全功能量子安全网络,实现了信息安全的全要素——机密性、真实性、完整性和不可抵赖性——保护,为数字经济、数字货币等提供了技术完备的量子安全底座。

密码学可以保护信息安全的四个基本要素:机密性、真实性、完整性和不可抵赖性。加密和数字签名是现代密码学的两大支柱,其中加密保证了消息传输的机密性;数字签名确保了消息传输的真实性、完整性和不可抵赖性。因此,加密和数字签名是当前互联网的安全基石,支撑着每年数以万亿美元的数字经济保持安全而有效的运行。其中,数字签名广泛地应用于电子商务、支付、电子邮件和网页浏览等同普通大众息息相关的生活中。以电子商务为例,每年的双十一都是中国电子商务行业的年度盛事,上亿级的用户通过淘宝、京东、拼多多等商城进行消费。只有保证每一笔交易中的订单信息、支付记录的真实性、完整性和不可抵赖性,用户和商家才能放心进行电子商务活动。如何确保源源不断产生的订单的安全性呢?支付宝的支付流程采用了基于公钥加密体系的数字签名算法来保证安全,如图1所示。使用支付宝进行交易时总共包括三个参与方:用户、商户和支付宝,其中商户和支付宝各自生成一对公私钥,商户端公私钥用于对支付订单进行签名、验签,支付宝公私钥用于对支付信息进行签名和验签。随着量子计算时代的来临,以公钥密码为基础的加密和数字签名在量子计算攻击下是不安全的,存在着巨大的安全隐患。

图1 支付宝交易流程

早在1949年,香农利用信息论证明了"一次一密"的加密算法可以实现信息论安全性(完美保密性)。所谓"一次一密"加密算法需要满足两个特点:密钥必须大于等于消息的长度且是真随机数,且每一个密钥只能使用一次便被丢弃。为了实现"一次一密",人们需要源源不断地产生真随机数并在两个通信用户间安全地共享。基于量子力学的基本原理,量子密钥分发确保两个通信用户间共享完全隐私的随机密钥。结合量子密钥分发和"一次一密"加密的量子保密通信可以保证传输消息的机密性且信息论安全。自1984年首个量子密钥分发(BB84)协议提出之后,经过近40年的发展,量子密钥分发系统在高安全、高码率、小型化和网络化等方面快速发展,已经走向产品化和标准化。量子保密通信已经在国内外的多个机构和部门发挥着重要的作用,例如以京沪量子干线和墨子号量子卫星为基础的天地一体化量子保密通信网络实现了中国科学院和奥地利科学院之间的保密洲际视频通话。

然而,当前的量子保密通信使用对称加密,只能满足机密性需求,无法满足不可否认性所需要的非对称加密需求。为此,发展基于量子力学原理的量子数字签名是必然的选择。早在2001年,美国加州大学伯克利分校的D. Gottesman和美国麻省理工学院的I. L. Chuang第一次探讨了量子数字签名的可能性,简称GC01签名协议。他们从L. B. Lamport(图灵奖获得者)的一次性经典数字签名方案的框架出发,通过构造量子单向函数来完成数字签名,为之后的量子数字签名协议提供了研究范式。然而,GC01签名协议一方面需要远超当前实验条件的苛刻技术,包括制备和传输复杂的高维单光子指纹态、超高维交换操作和长寿命量子存储;另一方面要求同安全性本质相矛盾的量子信道安全假设(注:量子信道不安全是量子密码研究的前提条件)。2012年,英国赫瑞瓦特大学研究人员利用相干态编码和光学多端干涉[Nat. Commun. 3, 1174 (2012)],移除了高维单光子指纹态和超高维交换操作的技术要求。2014年,欧洲多国学者合作在移除高维单光子指纹态和超高维交换操作基础上回避了长寿命量子存储的技术要求[Phys. Rev. Lett. 112, 040502 (2014); Phys. Rev. Lett. 113, 040502 (2014)]。2016年,中国的尹华磊等人[Phys. Rev. A 93, 032316 (2016)]和英国的R. Amiri等人[Phys. Rev. A 93, 032325 (2016)]从量子密码发展的相关基础理论出发分别利用非正交编码和正交编码方式首次提出了信息论安全的量子数字签名方案。随后,多国学者在量子数字签名理论和实验方面进行了大量的研究。然而,所有的量子数字签名都遵守GC01的研究范式,即通过量子单向函数产生签名,每次只能对单比特消息签名。对于长消息情况,就需要在消息中插入特定的序列之后,逐个比特进行签名。因此,在实际场景中目前的量子数字签名方案的效率极低,远远无法满足实用化需求。

图2 "南京大学120周年庆"量子数字签名流程图

在《国家科学评论》论文中,南京大学-矩阵时光联合团队摒弃了GC01签名的范式,构造了一种量子数字签名新范式。该工作利用全域哈希函数(Universal hash)将任意长消息映射到仅包含数百比特的摘要,该映射存在可证明的碰撞概率理论上限,具有强抗碰撞性,而该特性是一个理想的哈希函数的基本要求。作者巧妙地构造了签名发送方、接收方和验证方之间的非对称量子密钥关系和信息交换顺序,将"一次一哈希"、秘密共享的密钥非对称特性和"一次一密"的加密原理的密码学特性有机地结合起来,实现了信息理论安全的数字签名。如图2所示,全域哈希函数由签名发送方的量子密钥(称为量子私钥)和量子随机数决定,签名则由消息通过哈希函数作用后输出摘要再经一次一密加密后生成。该方式保证了签名字符串不会泄露量子私钥和全域哈希函数的任何信息。三方的量子密钥满足完美的秘密共享关系以确保接收方和签名方的非对称特性,接收方只有向验证方宣称自己收到签名并将消息、签名和自己的量子密钥(称为量子公钥)一起转发给验证方后,借助验证方的量子密钥才可以获得签名方完整的量子私钥和全域哈希函数信息。全域哈希函数的强抗碰撞性使接收方无法提前对被签名的消息进行篡改。同时,接收方和验证方通过交换各自的量子密钥来实现对称化而获得签名方量子私钥和全域哈希函数,进而完成哈希验证,因此签名方无法让接收方和验证方之间产生分歧、无法执行抵赖攻击。"一次一哈希"和"一次一密",保证每次签名的量子私钥和全域哈希函数都和上一轮以及下一轮无关,保护了在实际场景中任意多轮签名的安全性。文章通过理论计算得出,在每次签名消耗384比特非对称密钥的情况下,可以对长度不超过=16E(E=G2)比特的消息进行签名,失败概率不超过。

图3 超过100公里的兆比特图像不可否认传输

如图3所示,南京大学-矩阵时光联合团队基于诱骗态BB84量子密钥分发构造了一个量子通信网络,在Alice-Bob和Alice-Charlie分别为101公里和126公里的链路上产生量子密钥。签名方Alice通过异或操作形成三方秘密共享的非对称量子密钥关系,从而对130,250 bytes的图像进行量子数字签名演示。实验结果表明,相对之前的量子数字签名方案,该工作在签名速率上拥有8-9个数量级的优势,具有显著的实用化优越性。此外,南京大学-矩阵时光联合团队在量子数字签名实验的基础上搭建了一个全功能量子安全网络,并在网络中演示了其他三个密码学任务:加密、秘密共享和会议密钥协商。该工作在理论上实现了量子数字签名的范式突破,数亿倍地提升了签名效率;在实验上演示了全球首个全功能量子安全网络,实现了对数据的信息安全的全要素——机密性、真实性、完整性和不可抵赖性——的全功能保护。对信息实现全安全要素保护的量子密码学技术的集合构成"量子安全工具箱",将在数字经济时代成为牢不可破且技术完备的安全底座。因此,这一工作的发表意味着南京大学-矩阵时光联合团队成为世界率先掌握量子安全工具箱全部技术能力的研究团队。基于量子安全工具箱技术,当前国内外建立的城域、城际和星地量子保密通信网络可立即升级为同时实现对数据机密性、真实性、完整性和不可否认性进行全功能保护的量子安全网络。

相关研究成果以"Experimental quantum secure network with digital signatures and encryption"为题在线发表在《国家科学评论》(DOI: 10.1093/nsr/nwac228, 2022)上。论文第一作者为南京大学尹华磊副教授,通信作者为南京大学尹华磊副教授、富尧博士和南京大学陈增兵教授。该研究工作得到江苏省自然科学基金、中央高校基本科研业务费、南京江北新区重点研发计划等的支持。

论文连接:https://academic.oup.com/nsr/advance-article/doi/10.1093/nsr/nwac228/6769862