摘要:最近有研究者提出了一个基于三粒子最大纠缠态GHZ态的量子广播多重盲签名协议, 它能满足一个重要消息需要多人签发, 但出于隐私保护要求每一个签名者都不能获取消息的具体内容这一应用需求, 并有望应用于电子银行系统. 本文给出了一个基于三粒子部分纠缠态的量子广播多重盲签名协议, 与原协议相比, 该协议用三粒子部分纠缠态代替三粒子极大纠缠GHZ态, 并且能不降低协议的安全性. 新协议不再依赖于极大纠缠态, 仅仅需要在通信参与者之间分享部分纠缠态就可以完成该签名方案, 这在一定程度上节约了纠缠资源, 降低了协议的实现条件, 提高了协议的可应用性. 这也充分体现了多体部分纠缠态也可以作为一种量子资源来实现既定的量子通信任务.
关键词: 量子广播多重盲签名协议/
三粒子部分纠缠态/
哈希函数

English Abstract

全文HTML

--> --> -->

经典签名是对手写签名的模拟, 并已经被广泛应用于电子商务、电子政务和电子支付等领域, 它的安全性基于一些数学上的难解问题假设, 如大数分解问题和离散对数问题等. 很不幸的是, 1994年Shor^[1]发现了多项式时间的量子因数分解算法, 该算法能够快速地实现大整数的因数分解. 因此, 以RSA为代表的公钥密码系统在量子计算机面前将没有任何保密性可言, 量子计算机可以在瞬间攻破它. 相比于经典签名, 量子签名是一种基于未知量子态不可克隆定理和海森堡测不准原理等基本物理属性之上的签名协议. 特别是有一些量子签名协议已经在理论上被证明是无条件安全的^[2,3]. 因此, 量子签名受到了越来越多研究者的关注, 成为量子密码的一个重要分支. 量子签名协议有望在量子时代里取代经典签名, 广泛应用于电子商务、电子政务和电子支付等领域. 研究者们也参照经典签名设计出了一些与之对应的量子签名协议.
2001年, Gottesman和Chuang^[4]基于量子单向函数和量子交换测试给出了第一个量子签名协议, 并指出该协议是可以抵御量子攻击的. 从那之后, 量子签名迅速蓬勃发展起来, 各种不同类型的量子签名协议相继被提出. 如2002年, Zeng和Keitel^[5]提出了一个基于GHZ纠缠态的量子仲裁签名协议; 2009年, Li等^[6]给出了一个基于贝尔态的量子仲裁签名协议, 与Zeng和Keitel提出的协议相比, 不仅可以节约纠缠资源还提高了签名的效率; 2010年, Zou和Qiu^[7]给出了一个不需要使用量子纠缠的量子仲裁签名协议. 随着人们对量子签名研究的深入, 针对不同的应用需求, 提出了不同类型的量子签名协议, 如量子代理签名^[8-12]、量子群签名^[13-17]、量子盲签名^[18-21]和量子多重签名^[22,23]等.
一个安全的量子签名协议必须满足不可伪造和不能抵赖两方面的要求. 所谓不可伪造指的是除了合法的签名者以外, 任何人不能伪造签名者的签名, 包括签名协议的参与者(消息发送者或接收者等)和任何的外部攻击者^[24]. 不可抵赖指的是任何参与者都不能拒不承认他们的所有行为, 包括: 1)消息发送者不能拒不承认发送消息的事实; 2)每一个签名者不能拒不承认他们自己的签名; 3)签名接收者不能拒不承认他收到签名的事实, 也不能拒不承认签名的完整性^[25]. 对于量子盲签名而言还需要满足盲性和可追溯性^[25]. 所谓盲性指的是签名者在签名的时候不能获取他所签名消息的具体内容, 而可追溯性是指在签名双方无法达成一致的时候, 签名者可以追溯到消息的发送者^[25].
2014年, Tian等^[26]给出了一个基于量子隐形传态的量子广播多重盲签名协议, 该协议有望应用于网上银行系统. 然而Zhang等^[27]对该协议进行了安全性分析, 发现它存在一些潜在的安全漏洞, 并给出了一个改进协议. 针对Zhang等提出的协议中复合签名的大小随着签名者的个数呈线性增长这一问题, Xiao和Li^[25]基于纠缠交换给出了一个新的量子广播多重盲签名协议, 该协议的复合签名的大小是一个定值, 不会随参与者的个数呈线性增长. 在文献[28]中, Tian等基于三粒子极大纠缠GHZ态给出了一个量子广播多重盲签名协议. 随后Zhang等^[29]指出了该协议潜在的安全风险并给出了一个改进方案. 本文在文献[29]的基础上给出了一个基于三粒子部分纠缠态的量子广播多重盲签名协议, 该协议使用的是三粒子部分纠缠态, 与基于GHZ态的协议相比, 它不再依赖于极大纠缠态, 降低了协议的实现条件, 节省纠缠资源的同时还可以不损失安全性, 这充分体现了在某些情况下, 多体部分纠缠可以作为一种资源实现完美的量子通信任务.

首先介绍本文采用的量子一次一密加密算法(QOTP encryption algorithm). 若量子信息$\left| P \right\rangle = $$\otimes _{j = 1}^l\left| {{P_j}} \right\rangle $, 其中$\left| {{P_j}} \right\rangle = {a_j}\left| 0 \right\rangle + {b_j}\left| 1 \right\rangle $满足${\left| {{a_j}} \right|^2} + $${\left| {{b_j}} \right|^2} $ = 1. 该算法可以用一个酉算子${E_K}$表示为

${E_K}(\left| P \right\rangle ) = \otimes _{j = 1}^l\sigma _x^{{K_{4j}}}\sigma _z^{{K_{4j - 1}}}W\sigma _x^{{K_{4j - 2}}}\sigma _z^{{K_{4j - 3}}}\left| {{P_j}} \right\rangle ,$

其中

$W = \frac{{\rm{i}}}{{\sqrt 3 }}({\sigma _x} - {\sigma _y} + {\sigma _z}). $

这是一个改进了的量子一次一密加密算法, 它是由Kim等首次在文献[30]中提出的. (1)式中的辅助算子$W$是为了破坏泡利算子间的对易或反对易性, 以保证加密后的消息不能被攻击者修改. 更准确的描述为: 对任意的量子消息$\left| P \right\rangle $, 不存在非单位的酉算子$U$和$V$, 使得

$E_K^*V{E_K}\left| P \right\rangle \equiv U\left| P \right\rangle $

成立, 其中$E_K^*$为${E_K}$的共轭转置算子. 假设存在两个酉算子$U$和$V$使得(3)式成立, 则加密消息$\left| P \right\rangle $可以被攻击者修改为$U\left| P \right\rangle $而不被发现. 具体过程如下: 当加密消息${E_K}\left| P \right\rangle $在信道中传输时, 攻击者可以截获它并作用一个酉操作$V$, 此时消息变成了$V{E_K}(\left| P \right\rangle )$, 当接收者采用解密算子$E_K^*$进行解密时, 消息就转换成了$E_K^*V{E_K}(\left| P \right\rangle )$, 由(3)式可知它就变成了$U\left| P \right\rangle $, 这样消息$\left| P \right\rangle $就被攻击者确定地修改成了$U\left| P \right\rangle $.
为了保证签名协议中签名的初始性, 也即签名不能被随意更改, 我们使用了哈希函数. 本文使用的哈希函数是一个单向函数, 定义如下^[31]:

$H(x):{\{ 0,1\} ^*} \to {\{ 0,1\} ^n}.$

本文新设计的协议采用的是一个三粒子部分纠缠态^[32]

$\begin{split}&\left| \psi \right\rangle =\\&\frac{{\sin \theta {{\left| {{\rm{000}}} \right\rangle }_{{\rm{123}}}}\!\!+\! \sin \theta {{\left| {{\rm{011}}} \right\rangle }_{{\rm{123}}}}\!\!+\! \cos \theta {{\left| {{\rm{110}}} \right\rangle }_{{\rm{123}}}} \!\!-\! \cos \theta {{\left| {{\rm{101}}} \right\rangle }_{{\rm{123}}}}}}{{\sqrt {\rm{2}} }}.\end{split}$

在签名协议的设计过程中, 利用了三粒子部分纠缠态$\left| \psi \right\rangle $的量子相关性, 这种相关性可以描述如下:
1)对$\left| \psi \right\rangle $的第一个粒子做一个Z -型基测量, 并记录测量结果如下:

${a_1} = \left\{ {\begin{aligned}&{0,\text{当观测到的结果为}\left| {\rm{0}} \right\rangle }\\&{1,\text{当观测到的结果为}\left| {\rm{1}} \right\rangle }\end{aligned};} \right. $

2)对$\left| \psi \right\rangle $的第二个粒子随机地作用一个泡利算子$I$或$Z$, 并记录如下:

${b_1} = \left\{ {\begin{aligned}&{0,\text{当作用的泡利算子为}I}\\&{1,\text{当作用的泡利算子为}Z}\end{aligned};} \right. $

3)之后对二三粒子做一个贝尔基测量, 并记录结果如下:

${c_1} = \left\{ {\begin{aligned}&{00,\text{当观测到的结果为}\left| {{\beta _{{\rm{00}}}}} \right\rangle }\\&{01,\text{当观测到的结果为}\left| {{\beta _{{\rm{01}}}}} \right\rangle }\\&{10,\text{当观测到的结果为}\left| {{\beta _{{\rm{10}}}}} \right\rangle }\\&{11,\text{当观测到的结果为}\left| {{\beta _{{\rm{11}}}}} \right\rangle }\end{aligned}.} \right.$

由(5)式可以得到如下式子成立:

${c_1} = \left( {{b_1} \oplus {a_1}} \right)\left\| {{a_1}} \right., $

其中$a\left\| b \right.$表示的是字符串的联接运算.
协议包含$t + 3$个签名者, 其中一个消息发送者Alice, $t$个签名者${U_1},{U_2}, \cdots ,{U_t}$, 一个签名收集者Charlie和一个签名接收者Bob. 在整个签名过程中, Alice先将准备好的$t$份消息进行盲化, 然后分别发送给$t$个签名者${U_1},{U_2}, \cdots ,{U_t}$, 每一个签名者${U_i}$对收到的消息进行签名, 并把各自的签名都发送给收集者Charlie, Charlie对收到的单个签名逐一验证并生成复合签名, 然后将复合签名发送给接收者Bob, 最后Bob对收到的复合签名进行验证, 从而完成整个签名过程.
整个签名协议包含四个过程, 即初始过程、个体签名过程、单个签名验证和复合签名生成过程以及复合签名验证过程, 如图1所示.
图 1 量子广播多重盲签名协议的图示
Figure1. The graph of quantum broadcasting multiple blind signature scheme.

下面给出协议的具体过程:
1)初始过程:
(1) 量子密钥分配.
Alice分别与Bob, Charlie以及每一个签名者${U_i}$分享4n比特密钥${K_{AB}}$, ${K_{AC}}$和${K_{A{U_i}}}$; Charlie与每一个签名者${U_i}$分享8n比特密钥${K_{C{U_i}}}$; Bob与Charlie分享4n比特密钥${K_{BC}}$. 为了保证协议的无条件安全性, 所有的密钥都采用量子密钥分配协议来分享密钥.
(2) 经典消息都转换成量子消息.
经典消息$m$转换成量子消息$\left| {\varphi (m)} \right\rangle $, 其中

$\left| {\varphi (m)} \right\rangle = \otimes _{j = 1}^n\left| {\varphi (m(j))} \right\rangle .$

根据$\left| {\varphi (m(j))} \right\rangle = \left| 0 \right\rangle (\text{或}\left| 1 \right\rangle )$,$m(j) = 0(\text{或}1)$. 所有的量子消息都按照预备知识中的量子一次一密加密算法加密以后进行传输.
2)个体签名过程:
(1) 消息盲化.
Alice准备$t$份经典消息$m$并分别将它们盲化为

${M_i} = m \oplus K_{AB}^{(n)} \oplus K_{A{U_i}}^{(n)}, $

其中$K_{AB}^{(n)}$和$K_{A{U_i}}^{(n)}$分别表示密钥${K_{AB}}$和${K_{A{U_i}}}$的前n比特. 然后将${E_{{K_{A{U_i}}}}}(\left| {\varphi ({M_i})} \right\rangle )$发送给每一个签名者${U_i}$. 在此之后生成

$T = m \oplus \left( { \oplus _{i = 1}^t{M_i}} \right), $

并将${E_{{K_{AC}}}}(\left| {\varphi (T)} \right\rangle )$发给Charlie.
(2) 纠缠分发.
Charlie生成n个三粒子部分纠缠态

$\left| \psi \right\rangle = \otimes _{j = 1}^n\left| {\psi (j)} \right\rangle , $

其中

$\left| {\psi (j)} \right\rangle = \sin \theta {\left| 0 \right\rangle _1}{\left| {{\beta _{00}}} \right\rangle _{{\rm{23}}}}{\rm{ - }}\cos \theta {\left| 1 \right\rangle _1}{\left| {{\beta _{11}}} \right\rangle _{{\rm{23}}}}.$

然后将它们的第一个粒子发送给Alice, 第二粒子发送给签名者${U_i}$, 保留第三粒子. 此处仅以一个签名者${U_i}$为例来描述个体签名过程, 且所有粒子都是通过安全的量子信道来分发的, 以保证在整个签名过程中都能保持原有的量子纠缠.
(3) Alice的测量.
Alice对她收到的粒子做Z-型基测量, 并生成随机字符串${a_1}$,

${a_1} = \left\{ {\begin{aligned}&{0,\text{当观测态为}\left| {\rm{0}} \right\rangle }\\&{{\rm{1}},\text{当观测态为}\left| {\rm{1}} \right\rangle }\end{aligned},} \right.$

然后将${E_{KC}}(\left| {\psi ({a_1})} \right\rangle )$发送给Charlie.
(4) 个体签名.
${U_i}$解密${E_{{K_{A{U_i}}}}}(\left| {\varphi ({M_i})} \right\rangle )$并测量得到盲化消息${M'_i}$(若传输过程中不出现错误, 则${M'_i} = {M_i}$), 然后对从Charlie处收到的量子态序列依次随机地选择作用一个泡利算子$I$或$Z$, 生成一个随机串$S_i^{(1)}$

$S_i^{(1)}(j) = \left\{ {\begin{aligned}&{0,\text{当}{U_i}\text{选择作用}I\text{算子}}\\&{1,\text{当}{U_i}\text{选择作用}Z\text{算子}}\end{aligned} ,} \right.$

并将作用后的量子态序列依次发送给Charlie. 同时, ${U_i}$利用已有的密钥生成一个随机串${R_i}$,满足

${R_i} = {K_{A{U_i}}} \oplus K_{C{U_i}}^{(4n)}.$

除此之外, 他还利用哈希函数生成另一个随机串$S_i^{(2)}$

$S_i^{(2)} = H({R_i}\left\| {S_i^{(1)}\left\| {{{M'}_i}} \right.} \right.),$

于是${U_i}$生成他的个体签名

${S_i} = S_i^{(1)}\left\| {S_i^{(2)}} \right..$

3)个体签名验证和复合签名生成过程.
(1) Charlie生成2n比特串${c_1}$.
Charlie将${U_i}$发送过来的量子态与手中的粒子结合, 然后做一个二粒子贝尔基测量, 依据测量结果可以生成随机串

${c_1} = \left\{ {\begin{aligned}&{{\rm{00}},\text{当观测的量子态为}\left| {{\beta _{{\rm{00}}}}} \right\rangle }\\&{{\rm{01,}}\text{当观测的量子态为}\left| {{\beta _{{\rm{01}}}}} \right\rangle }\\&{{\rm{10,}}\text{当观测的量子态为}\left| {{\beta _{{\rm{10}}}}} \right\rangle }\\&{{\rm{11,}}\text{当观测的量子态为}\left| {{\beta _{{\rm{11}}}}} \right\rangle }\end{aligned}.} \right.$

(2) Charlie获取${a'_1}$和$T'$.
Charlie分别解密${E_{AC}}(\left| {\varphi ({a_1})} \right\rangle )$和${E_{AC}}(\left| {\varphi (T)} \right\rangle )$然后做Z-型基测量得到${a'_1}$和$T'$.
(3) Charlie获取${S'_i}$和${M''_i}$.
Charlie要求${U_i}$将${E_{{K_{C{U_i}}}}}(\left| {\psi ({S_i})} \right\rangle )$和$E_{K_{C{U_i}}}(| \psi$$ ({M'}_i) \rangle )$发送过来, 然后通过解密和测量得到${S'_i}$和${M''_i}$.
(4) 个体签名验证.
首先Charlie依据获得的${a'_1},{c_1}$和${S'_i}$检验

$\begin{array}{l}{c_1}(2j - 1){c_1}(2j) = \left( {S_i^{'(1)}(j) \oplus {{a'}_1}(j)} \right)\left\| {{{a'}_1}(j)} \right.,\\j = 1,2,3, \cdots ,n\end{array}$

是否都成立. 如果(21)式中的等式都成立, 则Charlie接受签名. 否则, 拒绝签名并终止协议.
(5) 复合签名的生成.
若${S'_1},{S'_2}, \cdots ,{S'_t}$都已经生成并通过了验证, 则Charlie生成复合签名

$S = \oplus _{i = 1}^tS_i^{'(1)}.$

与此同时, Charlie生成

$T'' = \oplus _{i = 1}^t{M''_i},$

于是可以得到消息

$m' = T'' \oplus T'.$

然后Charlie将${E_{BC}}(\left| {\varphi (S)} \right\rangle )$和${E_{BC}}(\left| {\varphi (m')} \right\rangle )$发送给Bob.
4)复合签名验证过程.
(1) 比对消息.
Bob通过解密并测量$\left| {\varphi (m)} \right\rangle $和$\left| {\varphi (m')} \right\rangle $分别得到$m'$和$m''$. 若$m' = m''$, 则公布验证参数${V_1} = 1$, 并继续后面的验证步骤; 否则, 公布${V_1} = {\rm{0}}$并结束协议.
(2) 验证复合签名.
在Bob公布验证参数${V_1} = 1$时, Alice在公告板上公布每一个${M_i}$, Charlie公布每一个${S'_i}$. 与此同时, 每一个签名者${U_i}$都公布各自的随机串${R_i}$. Bob在获取这些信息后, 通过解密${E_{BC}}(\left| {\varphi (S)} \right\rangle )$并测量$\left| {\varphi (S)} \right\rangle $得到$S'$, 然后验证

$S' = \oplus _{i = 1}^tS_i^{'(1)},$

$S_i^{'(2)} = H({R_i}\left\| {S_i^{'(1)}\left\| {{M_i}} \right.} \right.),$

$i = 1,2, \cdots \cdots ,t$

如果以上的等式都成立, 则Bob接受$S'$为消息$m'$的多重签名, 否则, Bob拒绝签名并终止协议.
相比于文献[29]中提出的协议, 本文提出的协议的优势为: 用三粒子部分纠缠态取代了三粒子极大纠缠GHZ态, 一定程度上节省了纠缠资源, 降低了协议实现的条件, 提高了协议的可应用性.

一个安全的签名协议必须满足不可伪造和不可抵赖两个基本条件, 由于协议是一个盲签名协议, 还必须满足盲性和可追溯性. 下面就不可伪造、不可抵赖、盲性和可追溯性来一一说明.
2

-->

3.1.不可伪造

3 -->

3.1.1.Alice不能伪造签名

由于签名者${U_i}$是通过对其所收到的部分纠缠粒子随机地作用一个泡利算子$I$或$Z$来生成$S_i^{(1)}$, $S_i^{({\rm{2}})}$包含${U_i}$的密钥${K_{A{U_i}}}$和${K_{C{U_i}}}$以及$S_i^{(1)}$, 这些都是Alice所没有的信息. 因此, Alice如果想要伪造${U_i}$的签名${S_i}$, 他除了去猜测${U_i}$的密钥${K_{A{U_i}}}$和${K_{C{U_i}}}$以及$S_i^{(1)}$以外, 只能在${S_i}$的传输过程中下功夫. 但是Alice能猜出${U_i}$的密钥${K_{A{U_i}}}$和${K_{C{U_i}}}$以及$S_i^{(1)}$的概率是微乎其微的, 因此, 只有在签名的传输过程中想办法伪造${U_i}$的签名. 但很不幸的是, 协议中所有的经典消息都已经转换成了量子消息并使用文献[30]中提出的改进了的量子一次一密算法. 因此, Alice无法成功伪造${U_i}$的个体签名. 由此可见, Alice无法伪造复合签名.
3 -->

3.1.2.Charlie无法伪造签名

Charlie作为签名收集者, 他可以获取所有的个体签名并生成复合签名, 被认为是最有可能伪造签名的, 下面将说明Charlie也是不能伪造签名的. 因为Charlie拥有所有的个体签名${S_i}$, 因此, 他可以随意地更改每一个个体签名. 譬如Charlie将签名的前段$S_i^{(1)}$和$S_j^{{\rm{(1)}}}$分别改为$S_i^{'(1)}$和$S_j^{'(1)}$, 但保持$S_i^{(1)} \oplus S_j^{(1)} = S_i^{'(1)} \oplus S_J^{'(1)}$, 由(25)式可知复合签名是保持不变的. 看似整个过程天衣无缝, 但是修改后的签名仍然是不能通过验证的. 因为在验证过程中Bob不但要检验复合签名, 还要对每一个个体签名进行检验. 由于Charlie无法提前获知生成$S_i^{({\rm{2}})}$和$S_j^{{\rm{(2)}}}$所需的签名者的密钥, 因此无法根据修改后的$S_i^{'(1)}$和$S_j^{'(1)}$去确定它们所对应的$S_i^{'({\rm{2}})}$和$S_j^{'({\rm{2}})}$, 使它们满足(26)式, 因此无法确保修改后的签名能通过验证. 由此可见Charlie也无法伪造签名.
3 -->

3.1.3.Bob无法伪造签名

Bob作为签名接收者, 一个被认为是最好伪造签名的办法就是当他验证完签名$S$后, 再将$S$修改为$S'$并宣称$S'$就是他收到的签名. 但在验证阶段, 所有的信息都公布在公告板上, 任何人都可以对签名进行验证. 因此, Bob的不诚实行为很容易就被发现了. 由此可见, Bob也不能伪造签名.
3 -->

3.1.4.外部攻击者不能伪造签名

在这一小节主要讨论几种常见的外部攻击手段, 如纠缠辅助粒子攻击, 截获-重发攻击和中间人攻击. 纠缠辅助粒子攻击是一种常见的攻击方案, 所谓纠缠辅助粒子攻击就是攻击者用一个辅助粒子与信道中所发送的量子态相结合, 然后通过CNOT门使得它们之间建立纠缠, 然后通过解纠缠并测量辅助粒子来获取消息^[24]. 由于本协议在分发纠缠粒子的时候采用的是安全的量子信道, 外部攻击者无法将辅助粒子与信道中传输的粒子进行纠缠, 该方案是行不通的. 因此, 外部攻击者无法使用该方案来伪造签名. 对于截获-重发攻击, 由于协议中所有的消息都是先转换成量子消息, 然后经过改进后的量子一次一密加密算法加密后进行传输, 攻击者即使截获了消息也无法伪造签名. 对于中间人攻击, 由于在参与者之间事先利用量子密钥分配协议分享了安全的密钥, 由量子密钥的无条件安全性可知, 攻击者是无法获取到参与者的密钥的, 因此, 攻击者无法实行中间人攻击. 综上所述, 外部攻击者是不能伪造签名的.
2 -->

3.2.不可抵赖

3 -->

3.2.1.每个签名者${U_i}$不能抵赖

由单个签名的形成过程可以知道每一个个体签名${S_i}$都含有签名者${U_i}$的密钥${K_{A{U_i}}}$和${K_{C{U_i}}}$, 在整个签名协议中只有${U_i}$能同时拥有这两个密钥. 并且在签名验证阶段被公布在公告板上. 如果${U_i}$拒不承认他的签名, 这时候每一个人都可以通过验证(17)式来戳穿他的不诚实行为.
3 -->

3.2.2.接收者Bob不能抵赖

Bob的抵赖包含两个层面: 1)Bob拒不承认他收到签名这一事实; 2)Bob拒绝签名的完整性. 首先来说明Bob不能拒不承认他收到了签名. 因为在验证签名的时候, Bob需要比对消息, 如果消息一致, 则公布$V = 1$, 否则, 公布$V = {\rm{0}}$. 当他公布验证参数$V$时, 则表明他已经收到了消息. 在协议中Charlie是将消息和签名依次发送给Bob的. 如果Bob坚持声称没有收到签名, 则Charlie可以再发送一次或是直接公布签名. 这样Bob就不能不承认他已经收到签名. 接下来说明Bob不能拒绝签名的完整性. 所谓拒绝签名的完整性指的是Bob已经验证了$m = m'$成立, 但为了自身的利益, 谎称$m \ne m'$来拒绝签名. 由于该签名协议签发的都是经典消息, 且Alice, Charlie和Bob都可以得到该消息. 当Bob谎称$m \ne m'$来拒绝签名时, 可以要求Alice, Charlie和Bob同时公布消息$m$, 由于只有Bob在撒谎, 因此, Alice和Charlie所公布的消息一定是一致的, 此时可以根据少数服从多数的原则来判定Bob是在撒谎. 由此可见, Bob也是不能拒绝签名的完整性的. 综上所述, 在协议中Bob是不可抵赖的.
2 -->

3.3.盲性

本协议中, 消息在发送之前都通过了盲化处理, 将每一份消息$m$转换成了$ {M_i} = m \oplus K_{AB}^{(n)} \oplus$$ K_{A{U_i}}^{(n)}$再发送给签名者${U_i}$. 由于签名者${U_i}$无法获取到Bob的密钥${K_{AB}}$, 于是签名者${U_i}$也无法获知消息$m$. 因此, 该签名协议是一个盲签名协议, 具有盲性.
2 -->

3.4.可追溯性

虽然签名者不能获取消息的内容, 但是一旦发生纠纷, 签名者可以追溯到消息的发送者. 本协议中消息在盲化处理的时候都转化成了${M_i} = m \oplus$$ K_{AB}^{(n)} \oplus K_{A{U_i}}^{(n)}$, 其中含有密钥${K_{AB}}$和${K_{A{U_i}}}$, 在整个协议中只有Alice同时拥有这两个密钥, 因此, ${U_i}$很容易就可以确认消息来自于Alice.

本文在前人已有的工作基础上, 给出了一个基于三粒子部分纠缠态的量子广播多重盲签名协议. 与文献[29]中基于GHZ态的协议相比, 该协议在安全性上并没有受到任何损失, 这是一件有意义的事情. 众所周知量子纠缠是一种重要的资源, 在量子计算和量子通信中发挥着不可替代的作用, 但是纠缠资源非常脆弱, 很容易受环境的影响而发生退相干现象. 在现有的技术条件下, 要在整个通信过程中长时间地保持极大纠缠是一件有难度的事情, 而本文的协议不再依赖极大纠缠态而使用部分纠缠态, 这不仅节约了纠缠资源, 降低了协议实现的条件, 一定程度上提高了协议的可应用性. 这也充分体现了在某些情况下, 多粒子部分纠缠也可以作为一种资源来完美地完成一些既定的通信任务. 但是本协议安全性是基于使用的哈希函数, 仍是基于计算安全的. 如何设计一个具有理论上无条件安全的基于部分纠缠的量子广播多重盲签名协议是值得考虑的.