我们都知道，基于量子力学原理研究密钥生成和使用的学科称为量子密码学。其内容包括了量子密钥分发、量子秘密共享、量子指纹识别、量子比特承诺、量子货币、秘密通信扩展量子密钥、量子安全计算、量子数字签名、量子隐性传态等。虽然各种技术发展的状态不同，但是共同目标都是为了实现抵抗量子计算带来的威胁。在之前的文章中，博主对量子密钥分发进行了大量的讨论。本文我们对量子数字签名进行简单的讨论。

1.什么是量子数字签名

      首先我们快速总结下什么是数字签名。我们都知道信息安全的主要目标是要实现信息传输的机密性、完整性、真实性和不可否认性。数据的加解密主要是解决传输的机密性。那么完整性、真实性和不可否认性具需要用其他手段来解决，这就是数字签名的作用。数字签名的官方概念为：附加到数据单元或对数据单元进行密码转换的数据，可让数据单元的接收方证明数据单元来源和完整性，以防止伪造。经典数字签名的典型流程如下：

       经典的数字签名主要是利用Rivest-Shamir-Adleman（RSA）协议，它的安全性是基于复杂的大数质因数分解问题，然而这个问题容易受到量子计算机的攻击。经典数字签名和经典加密一样，面临着密钥被量子计算破解的风险，并且传统的量子数字签名也在理论和工程实践中存在各种各样的安全风险，因此基于量子力学基础的数字签名概念被提了出来。含有RSA加密的经典数字签名过程如下：

      与经典数字签名相比，QDS的安全性依赖于量子力学，因此QDS可以抵抗量子攻击。量子数字签名方案的灵感来自于Lamport的一次性签名，有兴趣的同学可以先了解下这个方案。Gottesman和Chuang在2001年提出了量子数字签名（Quantum Digital Signatures，QDS）协议的概念，可以简称为GC-QDS协议。其核心思想是利用非正交态不能被完美区分的事实来实现量子单向函数，其中无法反转是基于量子力学的定律保证而不是基于计算的假设。但是这个签名协议在实验过程中有很大的技术挑战，包括非破坏量子态的比较，长时间的量子存储和安全的量子信道。因此，当前量子数字签名的研究主要集中在如何实用化。

     早期QDS的研究者们提出的协议有很强的不切实际的假设，且需要用到量子纠缠的资源。随着 QKD研究的不断深入，制备测量类的QKD协议渐渐成熟与可实用化，使得弱化QDS 的假设条件成为可能。目前实用化的QDS 协议大多是融合了QKD 协议中量子阶段的过程，QDS 与 QKD 逐渐趋同而异用。相同点是量子阶段基本类似，使用同一平台的硬件系统与协议的量子过程部分；不同点是QKD基本在双方或三方之间进行，而QDS至少需要三方，有些QDS协议需要多次实施量子阶段的操作，另外，两者的后处理与应用方面大有不同，也即软件上有很大区别。

2.量子数字签名的基本过程

      量子数字签名有三个比较明显的特征：不可抵赖性、不可伪造性和可转移性。本文以三方来介绍QDS的过程。整个签名的参与方包含发送方Alice，接收方Bob和Charlie，一条消息的签名方只能有一个。对于信道的要求为Alice和Bob，Alice和Charlie之间存在认证的经典信道，量子信道无需认证，可以是不安全的。Bob和Charlie之间需要有一条安全的经典信道用来加密经典信息，比如存在一条QKD链路。

     QDS协议的过程可以分为两个阶段，分发阶段和消息阶段。分发阶段用于生成签名所需要的密钥，包括量子信息和经典信息的传输。消息阶段是签名和发送消息的过程，包括在接收方的验证与认证，这一阶段全都是经典通信对经典信息的处理。

     首先为分发阶段：

1. 对于可能签名的消息m=0或1，Alice使用密钥生成协议（Key Generation Protocol，KGP）分别独立的与Bob和Charlie产生密钥串。
2. Bob和Charlie通过私密信道进行密钥对称操作，即各自随机选取一半密钥保留，另一半与对方交换。

      上述分发阶段中，KGP过程为QKD的量子部分，即产生筛后密钥即可，不需要对筛后密钥进行纠错和保密放大等后处理过程。Bob和Charlie进行的密钥交换过程不能为Alice所知，因此Alice不知道交换的密钥位置，以此来抵御Alice的抵赖。此外，Bob和Charlie 随机选取自己的一半密钥进行交换，这就使得 Bob 和 Charlie 不知道对方保留的那一半的密钥，这就防止了签名的伪造。

     分发阶段完成密钥分配后，进行消息阶段：

1. Alice采用与Bob和Charlie的密钥对消息进行签名，并将签名发送给Bob；
2. Bob用自己的密钥与签名中对应的部分进行比对，如果小于预设的阈值，那么就接受签名，并将签名转发给Charlie；
3. Charlie用自己的密钥与签名中对应的部分进行比对，如果小于预设的阈值，那么就接受签名，否则就拒绝；

       这里只是进行一个量子数字签名的最简单模型理解，实际的过程和操作还是很复杂的，有兴趣的同学可以进一步通过本文的参考文献深入了解。

3.量子数字签名的典型应用

       目前国内在专利检索结果来看，量子数字签名已经有了一些应用场景。近期比较值得关注的是中国人民大学的尹华磊课题组演示首个“量子电子商务”。基于一次性全域哈希量子数字签名理论提出了首个量子电子商务方案，在国际上首次实现了五用户的量子电子商务应用场景演示，为完整的电子商务交易流程提供了无条件的安全性保证。在此次研究中，研究团队将量子数字签名作为一个底层技术，通过含噪声量子态的隐私特性、一次性全域哈希函数的单向性和秘密共享的非对称特性而构建了一个无条件安全的量子电子商务协议。该量子电子商务协议可以容忍量子密钥的部分隐私泄露，因此在后处理阶段不需要进行复杂的隐私提纯操作，在大规模网络和大数据传输的情景下可以节省可观的计算资源、网络带宽和数据处理时间。

4.写在最后

      本文对量子数字签名进行了简单的讨论，客观来讲，量子数字签名目前处于工程化向实用化转变的阶段，作者对这个技术的理解也不是很深入，本文只是进行一个很初步的介绍，后期针对目前具有实用意义的方案可以做进一步讨论。

      本文如有谬误之处，还望不吝指出。

5.主要参考文献

[1]张春辉，新型量子密码的方案设计与实验验证[D]

[2]尹华磊，实用化量子通信若干理论与实验研究[D]

[3]陈家明，量子数字签名理论研究[D]

[4]张昊，实用化量子数字签名理论与实验研究[D]

[5]尹华磊，量子电子商务—量子数字签名实用化之路[J]

 ———————分割线———————

      下面是博主的CSDN主页，里面还有其他的量子相关文章，欢迎大家围观并关注博主~我会持续更新量子领域各类博文。

关于量子的一切-CSDN博客https://quantum.blog.csdn.net/