(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211187002.7 (22)申请日 2022.09.28 (71)申请人 南京大学 地址 210093 江苏省南京市 鼓楼区汉口路 22号 (72)发明人 尹华磊　李炳宏　陈增兵　 (74)专利代理 机构 南京华讯知识产权代理事务 所(普通合伙) 32413 专利代理师 仝东凤 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) (54)发明名称 一种不需要隐私放大的量子数字签名方法 及其系统 (57)摘要 本发明公开了一种不需要隐私放大的量子 数字签名方法及其系统， 本发明对发送、 测量量 子态后形成的经典比特串进行纠错， 纠错后的比 特串构成共享的密钥， 作为全域哈希函数的输 入； 再利用一次一全域哈希进行数字签名， 可 以 在较低的计算资源消耗和延迟下提供一种一次 完成对多比特消息的签名的量子数字签名方法， 提高签名效率， 弥补了因为隐私放大步骤引入大 量计算资源耗费和高延迟的缺 点。 权利要求书3页 说明书8页 附图2页 CN 115296806 A 2022.11.04 CN 115296806 A 1.一种不需要隐私放大的量子数字签名方法， 其特 征在于， 包括以下步骤： （1） 发送方从预先选定的量子态集合中随机选取量子态制备出两个量子态序列， 并将 两个量子态序列中的一个量子态序列发送给接收方， 另一个量子态序列发送给验证方； （2） 接收方和验证方测量各自接收到的量子态序列， 丢弃量子态序列测量结果中无响 应的比特并公开有响应的比特位置； 发送方和接收方根据接收方公开的响应比特的位置保 留量子态序列中响应部 分， 丢弃无响应部 分， 得到第一响应序列； 发送方和验证方根据验证 方公开的响应比特 的位置保留量子态序列中响应部分， 丢弃无响应部分， 得到第二响应序 列； （3） 发送方和接收方、 发送方和验证方均通过预先设定好的编码方式对各自的响应序 列进行编码， 得到发送方和接收方之间、 发送方和验证方之间共享的密钥串； 之后， 发送方 和接收方、 发送方和验证方对各自共享的密钥串 执行纠错协 议， 使发送方和接收方之 间、 发 送方和验证方之间共享的密钥串完全相同； 根据步骤 （1） 、 步骤 （2） 及纠错的实验参数， 估计 纠错后每比特密钥泄 露的信息 ； （4） 发送方将自 己两组共享密钥串中的每组共享密钥串随机地打乱顺序， 并按照预先 设定的新顺序将 每组共享密钥串重组， 同时将新顺序公布； 之后， 接收方和验证方将各自的 共享密钥串打乱顺序按照公布的新 顺序进行重组得到各自的最终密钥串； （5） 发送方将两组重组之后的共享密钥串 进行异或运 算， 得到最终密钥串； （6） 对每条需要签名的消息， 发送方根据需要签名的消息长度m估计出一次签名所需要 的密钥长度， 记为 n， n为满足 的最小整数， 其中 ； 是每比特密钥泄露的信息； 是数字 签名要求的最大失败概率； m为消息长度； 发送方、 接 收方和验证方各自从自己的最终密钥 串中选取密钥， 完成签名和验证操作。 2.根据权利要求1所述的一种不需要隐私放大的量子数字签名方法， 其特征在于： 所述 发送方、 接 收方和验证方各自从自己的最终密钥串中选取密钥， 完成签名 和验证操作的具 体过程为： 1） 发送方、 接收方和验证方各自从自己的最终密钥串中选取前3n位的密钥， 然后将选 取的密钥按长度为 n位均分， 构成第一至第三组密钥串； 2） 发送方的随机数发生器获取n位随机数， 所述n位随机数用于生成GF(2)中的n阶不可 约多项式， 发送 方使用自己的第一组密钥作为输入随机数与不可约多项式一起生成基于线 性反馈移位寄存器的哈希函数； 再将需要签名的消息 输入哈希函数， 得到哈希值， 即摘要； 3） 发送方使用自己的第二组密钥对摘要进行无条件安全加密， 生成签名； 同时， 使用自 己的第三组密钥对不可约多项式中除最高项以外每一项系数组成的字符串进行无条件安 全加密； 4） 发送方将需要签名的消息、 签名和加密后的不可约多项式中除最高项以外每一项系 数组成的字符串作为一个整体发送给接收方， 接收方接收后将自己持有的三组密钥以及从 发送方接收到的需要签名的消息、 签名和加密后的不可约多项式中除最高项以外每一项系 数组成的字符串发送给验证方， 验证方接 收后将自己持有的三组密钥发送给接 收方， 接收权　利　要　求　书 1/3 页 2 CN 115296806 A 2方和验证方根据各自持有的密钥分别推算出发送方的三组密钥； 5） 接收方和验证方分别用各自推算出的发送方的第 二组密钥对签名进行解密操作， 得 到第一反向摘要和 第二反向摘要； 接收方和验证方分别用各自推算出的发送 方的第三组密 钥解密出不可约多项式中除最高项以外每一项系数组成的字符串， 再利用字符串的每一位 对应不可约多项式中除最高项以外每一项的系 数， 生成一个最高项系 数为1的不可约多项 式， 生成的不可约多项式与各自推算出 的发送方的第一组密钥生成哈希函数， 再将接 收到 的需要签名的消息输入生成的哈希函数生成接 收方的第一正向哈希值和验证方 的第二正 向哈希值； 如果第一正向 哈希值等于第一反向摘要的哈希值， 则接收方接受签名， 否则不接 受； 如果第二正向哈希值等于第二反向摘要的哈希值， 则验证方接受签名， 否则不接受； 如 果接收方和验证方同时接受则完成数字签名。 3.根据权利要求1所述的一种不需要隐私放大的量子数字签名方法， 其特征在于： 所述 发送方、 接 收方和验证方各自从自己的最终密钥串中选取密钥， 完成签名 和验证操作的具 体过程为： S1： 发送方、 接收方和验证方各自从 自己的最终密钥串中选取前2n位的密钥， 然后将选 取的密钥按长度为 n位均分， 构成第一密钥串和第二组密钥串； S2： 发送方的随机数发生器获取n位随机数， 所述n位随机数用于生成GF(64)中的n/8阶 不可约多 项式； S3： 发送方利用不可约多 项式直接生成哈希函数， 哈希函数为 ， 其中 是需要签名的消息转化为64进制后每位对 应多项式的系数得到的； 是上一步生成的n/8阶不可约多项式； 整个运算在 GF(64)中 进行； S4： 将需要签名的消息输入哈希函数， 得到 哈希值， 即摘要； 发送方使用自己的第一组 密钥对摘要进 行无条件安全加密， 生成签名； 同时， 使用自己的第二组密钥对不可约多项式 中除最高项以外每一项系数组成的字符串 进行无条件安全加密； S5： 发送方将需要签名的消息、 签名和加密后的不可约多项式中除最高项以外每一项 系数组成的字符串作为一个整体发送给接收方， 接收方接收后 将自己持有的两组密钥以及 从发送方接收到的需要签名的消息、 签名和加密后的不可约多项式中除最高项以外每一项 系数组成的字符串发送给验证方， 验证方接 收后将自己持有的两组密钥发送给接 收方， 接 收方和验证方根据各自持有的密钥分别推算出发送方的两组密钥； S6： 接收方和验证方分别用各自推算出的发送方的第一组密钥对签名进行解密操作， 得到第一反向摘要和 第二反向摘要； 接收方和验证方分别用各自推算出的发送方的第二组 密钥解密出不可约多项式中除最高项以外每一项系数组成的字符串， 再利用字符串的每一 位对应不可约多项式中除最高项以外每一项的系 数， 生成一个最高项系 数为1的不可约多 项式， 不可约多项式直接生成哈希函数， 再将接 收到的需要签名的消息输入生成的哈希函 数生成接收方的第一正向 哈希值和验证方的第二正向 哈希值； 如果第一正向 哈希值等于第 一反向摘要的哈希 值， 则接收方接受签名， 否则不接受； 如果第二正向 哈希值等于第二反向 摘要的哈希值， 则验证方接受签名， 否则不接受； 如果接收方和验证方同时接受则完成数字 签名。权　利　要　求　书 2/3 页 3 CN 115296806 A 3