摘要

量子同態(tài)加密在隱私保護(hù)方面具有明顯的優(yōu)勢(shì)。本文提出了一種改進(jìn)的基于量子同態(tài)加密的多方量子私鑰比較協(xié)議。首先，引入可信密鑰中心，安全輔助加密密鑰的分發(fā)和解密密鑰的更新，同時(shí)防止惡意服務(wù)器發(fā)布虛假結(jié)果的攻擊;在保證所有參與者得到正確的比較結(jié)果的同時(shí)，可以顯著提高協(xié)議的安全性。然后，我們的協(xié)議不同于以前使用半誠實(shí)第三方幫助的協(xié)議。本文介紹的協(xié)議中，第三方幾乎可以不誠實(shí)地對(duì)加密數(shù)據(jù)進(jìn)行同態(tài)求值而不進(jìn)行解密。最后，通過制備單光子，多個(gè)參與者向幾乎不誠實(shí)的第三方并行請(qǐng)求同態(tài)計(jì)算，并且不需要檢測(cè)誘餌光子，從而大大降低了量子資源的消耗。此外，通過IBM Q實(shí)驗(yàn)平臺(tái)驗(yàn)證了協(xié)議的正確性。

背景

量子密碼學(xué)作為保證計(jì)算安全和數(shù)據(jù)安全的重要手段，最早由Wiesner提出，利用量子的特性來保護(hù)信息安全。量子物理中的量子不可克隆定理和海森堡測(cè)不確定原理保證了量子密碼的安全性。與許多經(jīng)典密碼方案相比，它不需要依賴于一些困難的數(shù)學(xué)問題。量子密碼學(xué)的最大優(yōu)勢(shì)在于其無條件的安全性和防竊聽的可探測(cè)性。直到20世紀(jì)80年代，Bennett和Brassard才提出了著名的量子密鑰分發(fā)(QKD)協(xié)議，簡稱BB84協(xié)議。隨后，一些量子密碼協(xié)議被廣泛研究，包括量子秘密共享、量子私有查詢、量子盲計(jì)算、量子同態(tài)加密和量子私有比較。
量子同態(tài)加密(QHE)的優(yōu)點(diǎn)在于它不僅可以保護(hù)用戶的私有數(shù)據(jù)不被泄露，而且可以在遠(yuǎn)程服務(wù)器上對(duì)加密后的數(shù)據(jù)進(jìn)行安全的量子計(jì)算。2012年和2014年，從可行實(shí)驗(yàn)的角度出發(fā)，Rohde等和Fisher等分別利用量子行走和線性光學(xué)實(shí)驗(yàn)提出了量子計(jì)算方案。2013年，Liang給出了QHE和量子完全同態(tài)加密(QFHE)的概念和框架。然后，Liang構(gòu)造了一個(gè)具有完美安全性的交互式兩方QHE方案。然而，2014年Yu等發(fā)現(xiàn)，為了滿足非交互性，任何具有信息理論上安全的QFHE方案必然會(huì)占用指數(shù)級(jí)大小的存儲(chǔ)空間。2015年QFHE研究取得進(jìn)展。Broadbent and Jeffery (BJ15)給出了QHE和QFHE的正式定義，并提出了兩種非clifford柵極數(shù)量有限的QHE方案。此外，在Tham等人提出的方案中，BJ15也被實(shí)驗(yàn)證明是可行的。2016年，Dulek等將有限非clifford柵極電路擴(kuò)展到任意多項(xiàng)式大小的電路。2017年，Alagic等人構(gòu)造了一個(gè)可以驗(yàn)證密文同態(tài)評(píng)價(jià)的分層QHE方案。然后，Mahadev[14]使用經(jīng)典的水平全同態(tài)加密方案實(shí)現(xiàn)了量子電路的評(píng)估。上述方案基于經(jīng)典同態(tài)加密和量子一次性填充，以及利用群論思想和糾錯(cuò)碼、門傳送等量子技術(shù)的QHE方案，但僅限于雙方的研究。近年來，越來越多的研究將QHE方案與其他量子密碼協(xié)議相結(jié)合，在保證數(shù)據(jù)安全的同時(shí)完成量子計(jì)算任務(wù)。2019年，Chen等創(chuàng)新性地提出了一種可變數(shù)量評(píng)估者的QHE方案，該方案將QHE與多方量子秘密共享相結(jié)合，實(shí)現(xiàn)了兩個(gè)及兩個(gè)以上誠實(shí)評(píng)估者有序進(jìn)行同態(tài)評(píng)估的方案。這使得QHE方案在應(yīng)用場景上有了更多的可能性。隨后，也出現(xiàn)了基于QHE的密文檢索方案、量子求和方案和使用量子同態(tài)信息認(rèn)證技術(shù)的安全量子網(wǎng)絡(luò)編碼方案，這些方案在保證私有數(shù)據(jù)安全的同時(shí)完成了各種量子計(jì)算任務(wù)。
在多方量子計(jì)算任務(wù)中存在這樣一種場景，即相互不信任的多個(gè)用戶希望進(jìn)行安全的多方計(jì)算，并在不泄露其私有信息的情況下獲得結(jié)果。量子私有比較(QPC)作為安全多方計(jì)算的一個(gè)重要分支，為解決上述問題提供了有效的方法。它允許所有參與者同時(shí)公平地獲得隱私比較結(jié)果，并且在此過程中，每個(gè)參與者的隱私信息都是保密的，不會(huì)被其他參與者、第三方或外部攻擊者竊取。雙方QPC協(xié)議最早由Yang和Wen于2009年研究。隨后，陸續(xù)提出了基于不同量子資源的雙方QPC協(xié)議，如單光子，EPR對(duì)、GHZ態(tài)和W態(tài)、χ型態(tài)、簇態(tài)等。在后續(xù)的研究中，多方量子私有比較(MQPC)協(xié)議是在雙方量子私有比較協(xié)議基礎(chǔ)研究的基礎(chǔ)上取得的成果。在半誠實(shí)第三方(TP)的幫助下，提出了基于不同量子資源的MQPC協(xié)議。其中，半誠實(shí)的TP一方面忠實(shí)地執(zhí)行協(xié)議，另一方面可能試圖利用被動(dòng)攻擊竊取參與者的隱私信息。后續(xù)工作廣泛研究了幾乎不誠實(shí)的TP，其中參與者也可以部分信任TP，但TP會(huì)主動(dòng)執(zhí)行對(duì)協(xié)議的任何攻擊，除非與任意參與者或其他TP勾結(jié)。2015年，Huang等利用幾乎不誠實(shí)的TP，提出了第一個(gè)MQPC協(xié)議，安全高效地比較了多個(gè)用戶的保密信息。之后，他們引入了第二個(gè)幾乎不誠實(shí)的TP，以防止比較結(jié)果被偽造。當(dāng)參與者是陌生人時(shí)，該協(xié)議可以安全地執(zhí)行。然而，GHZ態(tài)的制備和兩輪誘餌光子的探測(cè)在實(shí)驗(yàn)上增加了協(xié)議的技術(shù)難度。如果發(fā)現(xiàn)不正確的計(jì)算結(jié)果，將導(dǎo)致協(xié)議異常退出，從而導(dǎo)致量子資源的高消耗問題。也無法抵御惡意第三方和參與者的串通攻擊。因此，我們將利用同態(tài)性，即可以對(duì)加密后的數(shù)據(jù)進(jìn)行任意量子計(jì)算，并在解密后得到我們想對(duì)原始數(shù)據(jù)執(zhí)行的求值計(jì)算結(jié)果，從而提高了協(xié)議的安全性。同時(shí)，我們可以在不檢測(cè)誘餌光子的情況下只制備單粒子態(tài)來完成私下比較的任務(wù)，這大大降低了資源消耗和實(shí)驗(yàn)實(shí)現(xiàn)的難度。
本文提出了一種基于QHE的MQPC協(xié)議。最初，該協(xié)議可以委托給幾乎不誠實(shí)的TP執(zhí)行，其中TP將忠實(shí)地執(zhí)行同態(tài)計(jì)算，但將采取任何可能的方法竊取參與者的隱私信息。其次，引入可信密鑰中心進(jìn)行密鑰的生成和更新，同時(shí)保證比較結(jié)果的誠實(shí)發(fā)布;最后，在IBM Q體驗(yàn)平臺(tái)上進(jìn)行了仿真，驗(yàn)證了協(xié)議的正確性，得到的統(tǒng)計(jì)結(jié)果表明了協(xié)議的有效性。此外，我們的協(xié)議在安全性方面也具有良好的性能。

基礎(chǔ)知識(shí)

QOTP

量子密碼學(xué)的安全性依賴于量子力學(xué)的特性，可以實(shí)現(xiàn)信息理論上的安全。在量子數(shù)據(jù)設(shè)置中，使用量子一次性密匙(QOTP)加密私有信息。對(duì)于量子態(tài)ρ，隨機(jī)選擇a, b∈{0,1}作為pad的密鑰。利用泡利算子對(duì)量子信息態(tài)進(jìn)行加密，得到完全混合態(tài)的密文σ。每次對(duì)量子態(tài)進(jìn)行加密時(shí)，都會(huì)隨機(jī)生成一個(gè)新的泡利密鑰。只有擁有解密密鑰的人才能對(duì)密文進(jìn)行解密，從而獲得有效的信息。因此，攻擊者攔截整個(gè)密文是沒有意義的。信息以完全混合的狀態(tài)隱藏，安全性得到保證。

量子同態(tài)加密

1. 密鑰生成。QHE注冊(cè)機(jī)$(1^{\kappa })\to (pk,sk，{\rho }_{evk})$，其中κ∈N為安全參數(shù)。pk和sk都是經(jīng)典密鑰，分別用于加密和解密量子信息。作為評(píng)估密鑰，ρ_evk可以是一個(gè)量子態(tài)，在對(duì)加密數(shù)據(jù)進(jìn)行量子電路評(píng)估時(shí)將消耗該量子態(tài)。
2. 加密。$QHE.En{c}_{pk}(\rho )\to \sigma$。使用公鑰pk將量子明文ρ加密為密文σ。
3. 評(píng)估。$QHE.Eva{l}_{{\rho }_{evk}}^{QC}(\sigma )\to \sigma \prime$。量子評(píng)估電路QC應(yīng)用于量子密文σ，即在不解密的情況下完成對(duì)加密數(shù)據(jù)的評(píng)估操作。生成了一個(gè)新的量子密文狀態(tài)σ '。
4. 解密。 $QHE.De{c}_{sk}(\sigma \prime )\to \rho \prime$。用私鑰sk對(duì)密文σ′進(jìn)行解密，得到明文狀態(tài)ρ′，這是將量子評(píng)估電路應(yīng)用于初始明文ρ的結(jié)果。

對(duì)于任意量子電路QC和輸入量子明文ρ，若存在可忽略的函數(shù)η，則滿足以下條件

密鑰更新策略

在QHE方案的建立中，具有量子信息的客戶端需要將計(jì)算和處理委托給遠(yuǎn)程服務(wù)器。量子信息將由QOTP根據(jù)經(jīng)典加密密鑰$pk=(\alpha ，\beta )，(\alpha ，\beta \in {0,1}^n)$進(jìn)行加密或解密，該密鑰使用泡利算子改變輸入量子比特，即$X^{\alpha }{Z}^{\beta }$，其中$X^{\alpha }={?}_{t=1}^n{\sigma }_x^{\alpha (t)}$,$Z^{\beta }={?}_{t=1}^n{\sigma }_z^{\beta (t)}$ 。$X^{\alpha }$對(duì)應(yīng)于對(duì)n位字符串α中給定位置的第t個(gè)量子位執(zhí)行${\sigma }_x$, $Z^{\beta }$也類似。那么，解密密鑰$sk=(\gamma ，\delta )，(\gamma ，\delta \in {[0,1]}^n)$在對(duì)通用門集進(jìn)行同態(tài)求值時(shí)需要同步刷新，密鑰更新規(guī)則將在這里進(jìn)行回顧。
該協(xié)議的同態(tài)求值僅針對(duì)Clifford群的兩個(gè)量子位CNOT門,假設(shè)一個(gè)CNOT門作用于兩條量子線路，分別是控制線wi和目標(biāo)線wi+1，鍵更新規(guī)則如下。

基于QHE的MQPC協(xié)議

在本節(jié)中，我們將提出一種基于QHE的改進(jìn)的MQPC協(xié)議，它允許參與者完成加密信息位的比較。TP是一個(gè)計(jì)算能力很強(qiáng)但幾乎不誠實(shí)的服務(wù)器，它負(fù)責(zé)對(duì)加密數(shù)據(jù)進(jìn)行比較，而一個(gè)可信的密鑰中心(表示為Charlie)負(fù)責(zé)分發(fā)和更新密鑰，對(duì)評(píng)估的數(shù)據(jù)進(jìn)行解密，并誠實(shí)地宣布比較結(jié)果。假設(shè)有n個(gè)參與者，用Pi(i = 1,2，…)表示。， n)，他們想要比較他們的m位私有信息Mi j (i = 1,2，…)， n, j = 1,2，…， m)是平等的，但不愿意透露隱私信息的內(nèi)容。因此，我們引入了一個(gè)QHE方案，允許服務(wù)器對(duì)加密數(shù)據(jù)執(zhí)行計(jì)算。解密后，得到的計(jì)算結(jié)果是對(duì)原始數(shù)據(jù)的期望，可以誠實(shí)地向所有參與者公布。此外，還可以通過獨(dú)立于測(cè)量設(shè)備的量子密鑰分發(fā)(MDI-QKD)來實(shí)現(xiàn)密鑰的安全分發(fā)。接下來，我們將分步驟描述提出的MQPC協(xié)議，并詳細(xì)給出圖1中協(xié)議的量子電路。

步驟1:密鑰生成階段。法定溝通方是Pi和Charlie。它們分別通過使用可信的準(zhǔn)備源隨機(jī)地準(zhǔn)備集合{|0?，|1?，|+?，|??}中的一個(gè)量子態(tài)。然后他們將準(zhǔn)備好的量子態(tài)發(fā)送給TP。一個(gè)貝爾態(tài)測(cè)量由TP對(duì)每一對(duì)量子態(tài)$|{\psi }_{pi}?|{\psi }_{ci}?$進(jìn)行，并且測(cè)量結(jié)果被返回。Pi和Charlie在經(jīng)典認(rèn)證通道上發(fā)布與準(zhǔn)備好的量子態(tài)相對(duì)應(yīng)的基信息。根據(jù)TP的測(cè)量結(jié)果$|{\Phi }^{\pm }{?}_{pici}，|{\Psi }^{\pm }{?}_{pici}$，保留相同制備基的量子位，此時(shí)獲得的密鑰是篩選后的密鑰。然后公布經(jīng)過篩選的部分密鑰，并通過糾錯(cuò)和隱私放大等后處理檢查錯(cuò)誤率。如果誤碼率低于閾值，則說明沒有竊聽者，通道安全。他們也同意編碼規(guī)則是|0?，|+?→“0”和|1?，|??→“1”，因此Pi和Charlie得到相同的安全密鑰，表示為ek_i = (ai, bi)，其中ai, bi∈{0,1}。

步驟2：加密階段。在步驟1中隨機(jī)生成的密鑰ek_i被用作量子一次性加密密鑰。每個(gè)參與者對(duì)要比較的私有信息的第一個(gè)比特進(jìn)行加密，并將其發(fā)送給TP。TP接收到的加密狀態(tài)如下:

步驟3： 同態(tài)評(píng)估階段。基于QHE方案的同態(tài)特性，在接收到加密狀態(tài)后，TP完成對(duì)任意兩個(gè)參與者$P_k(k=1,2，\dots n)$和$P_l(l=1,2，\dots ，n)$，其中k≠l，所擁有的加密狀態(tài)的評(píng)估。使用Pk的粒子作為控制位，使用Pl的粒子作為目標(biāo)位來執(zhí)行CNOT操作，并將評(píng)估結(jié)果發(fā)送給Charlie。

當(dāng)參與者的數(shù)量n≥3時(shí)，將需要引入一個(gè)輔助粒子|0?，并且TP根據(jù)發(fā)送加密狀態(tài)的順序執(zhí)行一系列操作。首先，將第一個(gè)參與者的加密狀態(tài)作為控制位，將第二個(gè)參與者的加密狀態(tài)作為應(yīng)用CNOT門的目標(biāo)位。這個(gè)目標(biāo)位然后作為控制位工作，并且輔助粒子|0?作為目標(biāo)位工作以應(yīng)用CNOT門。然后，再次將第一個(gè)參與者的加密狀態(tài)作為控制位，將第三個(gè)要比較的參與者的加密狀態(tài)作為目標(biāo)位，重復(fù)上述操作。直到除第一個(gè)參與者之外的所有參與者的加密狀態(tài)被用作目標(biāo)位和控制位，以執(zhí)行相應(yīng)的CNOT操作。比較結(jié)束，結(jié)果發(fā)送給Charlie。

步驟4： 揭秘階段。在任意兩方的設(shè)置中，Charlie更新加密密鑰以獲得解密密鑰，其形式為$d{k}_i=(a_k^{\prime },b_k^{\prime },a_l^{\prime },b_l^{\prime })$。密鑰變換為$e{k}_k=(a_k,b_k)，e{k}_l=(a_l,b_l)\stackrel{update}{\to }d{k}_i=(a_k^{\prime },b_k^{\prime },a_l^{\prime },b_l^{\prime })=(a_k,b_k\oplus b_l,a_k\oplus a_l,b_l)$，利用dk_i對(duì)求出的量子態(tài)進(jìn)行解密。粒子被測(cè)量的結(jié)果為|0?時(shí)，秘密信息被聲明為相同。否則，保密信息是不同的。
當(dāng)參與者的數(shù)目n≥3時(shí)，除了一直處于控制位置的第一個(gè)參與者所擁有的粒子外，所有粒子，包括輔助粒子，都在基|0?，|1?中測(cè)量。將n個(gè)測(cè)量結(jié)果ci(i = 0,1，…)相加的結(jié)果。， n?1)記為Rj(j = 1,2，…)如果Rj = 0，則Charlie宣布多個(gè)參與者持有的秘鑰位不同，協(xié)議結(jié)束。否則，協(xié)議將繼續(xù)比較多個(gè)參與者的下一位私有數(shù)據(jù)，直到比較第m位。如果${\sum }_{j=1}^{m}Rj=0$，則通告這些參與者的私有數(shù)據(jù)是相同的。整個(gè)過程如上圖所示。
正如上述協(xié)議所介紹的，通過實(shí)現(xiàn)我們的比較協(xié)議，可以對(duì)陌生環(huán)境中任意數(shù)量的參與者之間的隱私數(shù)據(jù)進(jìn)行安全比較。參與者制備了沒有誘餌光子檢測(cè)的單光子，減少了量子資源的消耗，使協(xié)議更容易在實(shí)驗(yàn)條件下實(shí)現(xiàn)。同時(shí)，量子同態(tài)加密的優(yōu)勢(shì)和可信密鑰中心的作用使TP無法訪問任何隱私數(shù)據(jù)，保證了隱私數(shù)據(jù)的完美安全性和比對(duì)結(jié)果的真實(shí)發(fā)布?？梢钥闯?#xff0c;幾乎不誠實(shí)但計(jì)算能力較強(qiáng)的第三方服務(wù)器適合于QHE方案的設(shè)置，該方案可以在不解密的情況下完成加密數(shù)據(jù)的量子同態(tài)計(jì)算，實(shí)現(xiàn)多參與者的隱私比較任務(wù)。它不僅有效地探索了QHE方案的多方應(yīng)用場景，而且解決了多個(gè)互不信任參與者之間的安全委托計(jì)算問題。

精確度分析

在本節(jié)中，我們將分析并驗(yàn)證上述協(xié)議的正確性。在IBM Q實(shí)驗(yàn)平臺(tái)上對(duì)該協(xié)議進(jìn)行了仿真，結(jié)果證明了該協(xié)議的有效性和可行性。在不失一般性的前提下，我們以n = 2和n = 3的參與者人數(shù)為例來證明下面的正確性。首先，當(dāng)n = 2時(shí)，即有兩個(gè)參與者P1和P2來比較量子隱私。基于QHE的MQPC協(xié)議中的步驟3到步驟4可以表示為:

通過上述協(xié)議，解密后得到的結(jié)果為$|{?}_1\oplus {?}_2?$。如果輔助粒子的測(cè)量結(jié)果為|1?，則宣布秘密信息不同，協(xié)議將終止。否則，直到兩個(gè)參與者的m位被比較并且所有測(cè)量結(jié)果都是|0?，兩個(gè)參與者的秘密信息是相同的?？梢钥闯?#xff0c;在我們的協(xié)議中，n = 2是一個(gè)特例。只有通過測(cè)量輔助粒子，才能得到兩個(gè)參與者擁有的隱私數(shù)據(jù)的比較結(jié)果。

接下來，當(dāng)n = 3時(shí)，有三個(gè)參與者來比較量子隱私。步驟2到步驟4的過程可以表示為下式。

因此，一旦執(zhí)行多方協(xié)議，計(jì)算和解密后的量子態(tài)將變?yōu)閨φ1?|φ1⊕φ2?|φ1⊕φ3?|φ2⊕φ3?。除了僅作為控制位的粒子外，其他粒子的測(cè)量結(jié)果之和將得到三個(gè)參與者持有的比特隱私數(shù)據(jù)的比較結(jié)果，即R1 = c1 + c2 + c0 = (φ1⊕φ2) + (φ1⊕φ3) + (φ2⊕φ3)。由這個(gè)方程，我們的協(xié)議不僅可以得到三方持有的原始隱私數(shù)據(jù)的比較結(jié)果，也可以得到任意兩方的比較結(jié)果。由此驗(yàn)證了我們協(xié)議中n = 2和n = 3的正確性。
最后，利用IBM Q實(shí)驗(yàn)平臺(tái)對(duì)我們的協(xié)議進(jìn)行了仿真，泡利密鑰的參數(shù)設(shè)置如下。(1)設(shè)n = 2, a1 = 1, b1 = 1, a2 = 1, b2 = 1，則對(duì)應(yīng)的解密密鑰為a ’ 1 = 1, b ’ 1 = 0, a ’ 2 = 0, b ’ 2 = 1, a0 = a1⊕a2 = 0。(2)設(shè)n = 3, a1 = 1, b1 = 1, a2 = 1, b2 = 0, a3 = 0, b3 = 1，則對(duì)應(yīng)的解密密鑰為a ’ 1 = 1, b ’ 1 = 0, a ’ 2 = 0, b ’ 2 = 0, a ’ 3 = 1, b ’ 3 = 1, a0 = a2⊕a3 = 1。

為了運(yùn)行實(shí)驗(yàn)，我們?cè)趦煞N情況下使用代碼實(shí)現(xiàn)相應(yīng)的電路，并且要比較的量子態(tài)都是|0?，如上圖所示。在模擬過程中，我們加載IBM帳戶，并選擇最不繁忙的后端ibmq_vigo和ibmqx2分別執(zhí)行上述兩個(gè)電路。情形(1)的測(cè)量結(jié)果為0，即q0與q1相等，即0⊕0 = 0。在式(2)中，q1、q2、q3的測(cè)量結(jié)果為000，即q0 = q1、q1 = q2、q2 = q3、q0 = q1 = q2 = q3。因此，所提出協(xié)議的仿真電路能夠得到正確的比較結(jié)果。模擬的鏡頭數(shù)設(shè)置為2048。電路測(cè)量后的概率統(tǒng)計(jì)結(jié)果如下圖所示。

與模擬電路的計(jì)算結(jié)果相比，在真實(shí)量子器件上的實(shí)驗(yàn)實(shí)現(xiàn)會(huì)有一定的誤差。在第一種情況下獲得正確測(cè)量結(jié)果的概率為98%，在第二種情況下獲得正確測(cè)量結(jié)果的概率為60.9%。可以發(fā)現(xiàn)，在統(tǒng)計(jì)結(jié)果中，得到正確結(jié)果的概率是最高的。產(chǎn)生誤差的主要原因是真實(shí)的量子器件會(huì)受到噪聲的影響，量子門不能完美地工作，從而導(dǎo)致門誤差。這些錯(cuò)誤可以通過量子糾錯(cuò)碼來解決，但這不是本文的重點(diǎn)。綜上所述，雖然仿真運(yùn)行中會(huì)出現(xiàn)一些錯(cuò)誤，但可以驗(yàn)證基于QHE的兩方和三方QPC協(xié)議的正確性和有效性。

安全性分析

外部攻擊

在提出的MQPC協(xié)議中，一方面利用MDI-QKD來解決第三方測(cè)量設(shè)備不完善造成的安全漏洞，從而保證密鑰的安全性。另一方面，我們的協(xié)議的主要優(yōu)點(diǎn)是將QHE的性質(zhì)轉(zhuǎn)向賬戶化，使隱私信息的完美安全性得到了很好的保證，可以防止原有隱私信息的泄露。接下來，我們將分析協(xié)議的不同階段，以證明我們的協(xié)議可以抵御外部攻擊。在密鑰生成階段，安全性的保證依賴于MDI-QKD協(xié)議，該協(xié)議被嚴(yán)格證明是安全的，不受竊聽者Eve的任何攻擊。當(dāng)Eve截獲TP發(fā)送的Bell測(cè)量結(jié)果時(shí)，假設(shè)測(cè)量結(jié)果為$|{\Phi }^{+}{?}_{pici}$，并且根據(jù)$|{\Phi }^{+}{?}_{pici}$=1/√2( |00?+|11? ) = 1/√2(|++?+|???),Eve只能得到pi和Charlie制備的量子態(tài)是相同的，但不能確定量子態(tài)的制備基是在X基還是Z基。而在后期處理之后，密鑰的隨機(jī)性使得Eve能夠獲得的信息量幾乎為零。同時(shí)，隨著時(shí)間的推移，密鑰的規(guī)則是不可追溯的，因此夏娃無法推斷密鑰的內(nèi)容。
對(duì)于其他階段的外部攻擊，與以往的多方QPC協(xié)議不同，我們的協(xié)議利用了QHE方案中的同態(tài)評(píng)估。協(xié)議中所有想要比較隱私信息的參與者只能自己訪問原始隱私數(shù)據(jù)。他們無權(quán)訪問其他參與者的數(shù)據(jù)。即使幾乎不誠實(shí)的TP或在傳輸過程中存在竊聽者，他們也無法通過攔截加密數(shù)據(jù)和評(píng)估數(shù)據(jù)來竊取隱私數(shù)據(jù)的內(nèi)容。我們的協(xié)議可以保證隱私數(shù)據(jù)的完美安全。
證明： 在該協(xié)議中，在將隱私數(shù)據(jù)傳輸?shù)絋P之前，每個(gè)參與者將使用QOTP對(duì)其進(jìn)行加密。QOTP是一種非對(duì)稱量子加密技術(shù)，每次使用不同的隨機(jī)密鑰。它使加密的數(shù)據(jù)處于完全混合的狀態(tài)$I_{2n}/2^n$。設(shè)ρM為純輸入，${\sigma }_M$為使用QOTP對(duì)${\rho }_M$進(jìn)行加密，即泡利算子$X^{\alpha }{Z}^{\beta }(\alpha ，\beta \in {[0,1]}^n)$，其中$X^{\alpha }={?}_{t=1}^n{\sigma }_x^{\alpha (t)}$,$Z^{\beta }={?}_{t=1}^n{\sigma }_z^{\beta (t)}$。因此，可得式:

換句話說，TP在不知道每個(gè)參與者的具體私有信息的情況下，只能接收到加密的量子態(tài)$I_{2n}/2^n$。即使有一個(gè)Eve，在傳輸過程中截取加密的數(shù)據(jù)并獲得一些參與者的完整量子態(tài)$X^{a_i}{Z}^{b_i}|{?}_i?$，他也無法在不知道密鑰的情況下知道具體的隱私數(shù)據(jù)。
同樣，TP對(duì)加密后的數(shù)據(jù)進(jìn)行同態(tài)求值后，即在σ_M上應(yīng)用一個(gè)Clifford門，用G_M表示。根據(jù)密鑰更新規(guī)則，解密的泡利算子為$X^{\gamma }{Z}^{\delta }(\gamma ，\delta \in {[0,1]}^n)$，密文記錄為$\sigma M^{\prime }$。對(duì)于任意$\rho M\prime =G_M{\rho }_M{G}_M^{?}$，求值數(shù)據(jù)為

由上式可得，即使TP和竊聽者捕獲了完整的加密狀態(tài)和求值狀態(tài)，沒有解密也是無意義的。換句話說，我們的MQPC協(xié)議具有防止外部攻擊的能力，同時(shí)確保原始私有信息的完美安全性。

內(nèi)部攻擊

參與者攻擊被認(rèn)為是一種通用的攻擊方法，它會(huì)給一些加密協(xié)議帶來一些嚴(yán)重的安全漏洞。在我們的協(xié)議中，參與者和TP之間不存在勾結(jié)，因此需要考慮以下兩種情況。第一種情況是假設(shè)一個(gè)不誠實(shí)的參與者P_e(1≤e≤n)想要從一個(gè)誠實(shí)的參與者P_h(1≤h≤n)那里竊取隱私數(shù)據(jù)，其中e = h。但Ph通過MDI-QKD協(xié)議獲得了一個(gè)安全的加密密鑰，并在沒有其他參與方參與或協(xié)助的情況下對(duì)隱私數(shù)據(jù)進(jìn)行了加密。不誠實(shí)的參與者Pe在第2步或第3步將加密數(shù)據(jù)或評(píng)估數(shù)據(jù)從Ph傳輸?shù)絋P的過程中，試圖發(fā)起攔截和重傳攻擊，將被視為外部攻擊者。在前一節(jié)中，已經(jīng)證明了我們的協(xié)議是安全的，可以抵御外部攻擊。第二種情況是，存在n?1個(gè)不誠實(shí)的參與者共同竊取左邊參與者的隱私數(shù)據(jù)，因?yàn)樵谶@種極端情況下，不誠實(shí)的參與者擁有最大的權(quán)力。在不失一般性的前提下，假設(shè)不誠實(shí)的參與者P1, P2，…， Ph?1,Ph+1，…， Pn串通獲取誠實(shí)參與者Ph(1≤h≤n)的隱私數(shù)據(jù)。即使他們串通獲取$X_h^a{Z}_h^b|{\Phi }_h?$和ρ_M '，如果沒有正確的解密，他們也無權(quán)訪問Ph '的隱私數(shù)據(jù)。同時(shí)，該協(xié)議所基于的QHE方案具有信息理論上的安全性，保證了隱私數(shù)據(jù)的完美安全性。因此，它可以抵抗參與者的攻擊和合謀攻擊，大大提高了MQPC協(xié)議的安全性。

第三方攻擊

TP攻擊是威脅協(xié)議安全性的另一種內(nèi)部攻擊。通過5.1節(jié)的分析可以發(fā)現(xiàn)，在我們的工作中，在QOTP之后，TP只能得到量子完全混合態(tài)$I_{2n}/2^n$。根據(jù)QHE方案的性質(zhì)，可以在不需要解密的情況下進(jìn)行期望的計(jì)算。在TP對(duì)加密后的數(shù)據(jù)進(jìn)行評(píng)估計(jì)算后，得到的結(jié)果仍然是密文，因此TP無法獲知每個(gè)參與者所擁有的具體私有信息。因此，TP在我們的協(xié)議中幾乎是不誠實(shí)的。一方面，TP負(fù)責(zé)根據(jù)需要執(zhí)行同態(tài)計(jì)算，而不會(huì)與任何參與者發(fā)起串通攻擊。另一方面，它可以采取一切可能的攻擊手段來竊取參與者的隱私數(shù)據(jù)，但在協(xié)議的整個(gè)過程中無法獲得ρ _M。同時(shí)，加密密鑰是參與者和可信密鑰中心通過MDI-QKD協(xié)議獲取的安全密鑰。如果TP公布的測(cè)量結(jié)果是假的，在錯(cuò)誤檢測(cè)過程中，適當(dāng)確定序列的長度，就會(huì)有一定的概率發(fā)現(xiàn)它。而TP無法通過測(cè)量結(jié)果判斷參與者和Charlie制備的量子態(tài)是X基還是Z基。QOTP方法使每對(duì)密鑰只在加密階段使用一次。即使隨著時(shí)間的推移，密鑰的規(guī)則也無法追蹤，因此TP無法推斷密鑰的內(nèi)容。因此，我們的協(xié)議可以抵抗TP的攻擊。

安全分析的密鑰中心

可信密鑰中心Charlie的職責(zé)是與MDI-QKD協(xié)議中的每個(gè)參與者完成安全密鑰分發(fā)，并更新密鑰以解密比較結(jié)果。正確的比較結(jié)果將在我們的MQPC協(xié)議中由Charlie可信地宣布，這樣可以防止不誠實(shí)的服務(wù)器宣布虛假的比較結(jié)果。綜上所述，通過以上分析，基于QHE的MQPC協(xié)議在安全性方面具有良好的性能。

版權(quán)聲明：本文的技術(shù)內(nèi)容與方案來自于論文[Improved multiparty quantum private comparison based on quantum homomorphic encryption]。 本文僅在新方法的廣泛傳播與學(xué)習(xí)領(lǐng)域使用。