Understanding One-Shot Signatures | Cardano Explorer (cexplorer.io)
2020年,IOG团队发布了《One-shot Signatures and Applications to Hybrid Quantum/Classical Authentication》一书。 这项工作没有引起人们的注意。 只有卡尔达诺社区才知道它。 以太坊团队最近发现了这项工作,并对此感到兴奋。 爱丁堡大学、IOG 和以太坊团队计划举办一次合作研讨会。 一次性签名带来了先进的加密技术,可以更好地保护区块链的运行。 此外,它还允许创建诸如无区块链的加密货币之类的东西。 在本文中,我们将解释一次性签名的基本原理。
混合系统
一次性签名方案是一种混合系统,结合了量子力学原理和经典通信方法。
经典通信方法包括用于传输数据的传统互联网技术(协议)和经典密码方案,例如公钥密码术。
因此,虽然系统允许局部量子操作(稍后详细介绍),但实际的信息传输是使用这些经典方法完成的。 这种方法允许以与现有技术兼容的方式实施量子原理。
该系统利用了量子不可克隆原理,这是量子力学的一个基本假设,指出不可能创建任意未知量子态的相同副本。
这一原则确保密钥一旦使用,就无法被克隆或重复使用。 这是一次性签名提供的安全性的一个关键方面。 任何密钥只能用于签署一条消息。 然后钥匙就会自毁。 这在经典密码学中是无法实现的。
在经典密码学中,密钥(私钥)的所有者可以根据需要签署任意数量的消息。 无法阻止多个消息被签名(可以通过某种定义消息顺序的计数器和时间戳系统来实现可能的缓解措施)或阻止多人之间共享密钥。
一次性签名系统是一种数学系统,它结合了量子力学原理,以提供增强的安全功能。 但它也是一个将这些量子原理与经典通信方法相结合的混合系统。
了解量子不可克隆原理
我无意详细解释量子力学。 幸运的是,你只需要了解量子不可克隆原理。 一次性签名系统使用了这一原理,但通过经典方法实现。
我们用一个简单的例子来解释一下量子不可克隆原理。
想象一下,你有一个神奇的盒子,每次打开它都可以创造出一种独特的糖果。 每一种糖果都有一种你以前从未尝过的特殊味道。
现在,假设您真的很喜欢其中一种糖果,并且想制作一份与它一模一样的副本。
在量子力学的世界中,这就像试图克隆量子态。 但这里有一个问题:“不可克隆原则”表明你无法制作该糖果的精确复制品。 无论你如何努力,你都无法再次创造出完全相同的味道。
在一次性签名的情况下,这一原则用于确保一旦使用密钥(将其视为特殊糖果),就不能被复制或再次使用。 这使得系统非常安全,因为没有其他人可以重新创建您的特殊糖果(或密钥)。
在下图中,神奇盒子中的每把钥匙都是唯一的(不可克隆)。
在糖果类比中,“魔盒”可以被认为是一个量子系统,而独特糖果的创造可以被视为局部量子操作。
正如您稍后将看到的,局部量子操作是参与者之间交互过程的一部分。
在真实的量子系统中,局部量子操作可能类似于准备量子态或对系统的一部分进行测量。 这些操作是“本地”的,因为它们是在量子系统的各个部分上执行的,独立于其他部分。
例如,假设您有两个神奇的盒子(量子系统的两个部分)。 您可以打开一个盒子来创建糖果(执行本地量子操作),而完全不会影响另一个盒子。 这就是我们在局部量子操作中所说的“局部”的意思。
在量子密码学的背景下,这些局部量子操作用于操纵量子信息,例如一次性签名中使用的密钥。
使用一次性签名系统
我将向您展示一个最能展示一次性签名系统威力的示例,因为它可以实现 Alice 和 Bob 之间的交互,而这是通过经典密码学无法实现的。
考虑签名委托的任务。 爱丽丝希望允许鲍勃代表她签署一条消息。 卡罗尔拥有验证消息的公钥。
爱丽丝可以把她的密钥给鲍勃,但是这个s 将允许 Bob 签署任意数量的消息。
在下图中,您可以看到使用经典密码学的情况会是什么样子。 爱丽丝会与机器人分享密钥。 鲍勃可以签署该消息。 卡罗尔将使用验证(公钥)密钥来验证消息的真实性。
相反,爱丽丝希望向鲍勃提供足够的信息,以确保鲍勃随后可以签署单个任意消息,而爱丽丝无需采取任何进一步的操作。 至关重要的是,我们希望只有在 Alice 将这些信息交给 Bob 之后才能决定该消息。
当然,如上所示,这个任务在纯粹的经典世界中是不可能的,因为鲍勃可以重复使用他从爱丽丝那里学到的任何信息。 在传统的公钥加密中,单个私钥可用于签署多个消息。
人们可能希望爱丽丝可以向鲍勃提供量子签名令牌,该令牌在签署消息后会自毁。 通过量子不可克隆(即一般未知的量子态无法复制),Bob 无法复制令牌,因此只能签署一条消息。
在图中,您可以看到爱丽丝创建了一个发送给鲍勃的量子令牌。 Bob 只能使用令牌签署一条消息。 该令牌随后会自毁。 Bob 无法签署另一条消息。
请注意,Alice 必须能够以特定方式将加密秘密传递给 Bob。 鲍勃一定无法克隆加密秘密。 他只能使用一次,即执行消息的一次性签名。 量子签名令牌用于传递加密秘密。
Alice 可以创建一个秘密密钥(由量子态表示)并将其传递给 Bob。 然后 Bob 可以使用该密钥代表 Alice 签署一条消息。
然而,需要注意的是,Alice 和 Bob 都无法知道密钥的确切值。
这是由于量子不可克隆原理,该原理指出不可能创建任意未知量子态的精确副本。
因此,虽然 Alice 和 Bob 可以使用密钥来签名和验证消息,但他们无法查看或克隆密钥。
一旦鲍勃使用密钥签署消息,该密钥就会自毁并且无法再次使用。 这确保了系统的安全,因为它可以防止任何潜在的密钥滥用。
这就是一次性签名系统带来的创新的本质。
稍后当我们解释局部量子操作时,我们将回到这个场景。
爱丽丝和鲍勃之间的互动
对于一次性签名,同一个公钥可能与多个私钥相关联,每个私钥都可以用于签名一次。
然而,如何生成和使用公钥和私钥的具体细节将取决于一次性签名系统的特定实现。
对于具体用例,确保参与者生成新加密秘密(例如量子代币)的能力受到限制可能很重要。 其效果可能类似于一遍又一遍地重复使用相同的私钥。
一般来说,在密码系统中,会建立适当的机制来确保签名的完整性和真实性。 这些机制可以包括使用时间戳、序列号或其他形式的记录保存来跟踪密钥的使用情况。
正如简介中所解释的,一次性签名方案是一种使用量子力学原理的混合系统,但完全通过经典密码方案实现(并使用互联网协议允许参与者之间进行通信)。
经典密码方案是指传统的信息加密和解密方法,例如对称密钥算法(使用相同的密钥进行加密和解密)和非对称密钥算法(使用不同的密钥进行加密和解密)。
经典密码学用于执行局部量子操作。
Alice和Bob之间的交互完全使用经典方法来实现。 然而,相互作用过程的关键部分是量子态的创建(模拟)。
局部量子操作是指在本地(即在量子系统的各个部分上)执行的量子操作,作为一次性签名方案的一部分。
在典型场景中,一方在其量子系统的一部分上执行本地量子操作。 然后使用经典通信将该操作的结果传达给另一方。 基于此信息,第二方可以执行其本地量子操作。
在一次性签名系统中,各方操纵和交换量子信息。 作为签名方案的一部分,它们执行局部量子操作,并以经典方式传达结果。
这是一个简化的分步过程:
发送者在量子系统的其部分执行本地量子操作。 此操作可能涉及制备量子态或进行测量。
然后,发送方使用经典通信将该操作的结果传达给接收方。
接收到此信息后,接收器就可以执行自己的本地量子操作。 该操作可以以从发送者接收到的信息为条件。
接收方的操作可能涉及验证发送方的消息、解码信息或执行与协议相关的某些其他任务。
不可克隆的密钥
量子密码学中不可克隆密钥的概念与量子力学中的不可克隆定理密切相关。
这意味着一旦使用量子态(可以代表密钥),它就无法被克隆或复制。 这提供了基本的安全性,因为它可以防止任何潜在的窃听者复制量子态并从而访问密钥。
现在让我们回到文章开头的场景,当时 Alice 想将代表她签署消息的权利委托给 Bob。 我们将解释如何创建量子签名令牌。
Alice 可以创建一个秘密密钥(由量子态表示)并将其传递给 Bob。 然后 Bob 可以使用该密钥代表 Alice 签署一条消息。
回想一下,两个参与者都不知道密钥的值。
一旦鲍勃使用密钥签署消息,量子状态就不再有效以供进一步使用。 因此,无法进行复印。
在量子术语中,据说在进行测量时量子态会“崩溃”。 使用密钥签署消息的行为可以被认为是一种测量,导致量子态崩溃。 崩溃之后,量子态(即密钥)无法再次使用。
现在让我们一步一步地看一下这个场景。 我们将展示密钥如何创建以及随后如何自毁。
Alice 执行本地量子操作(量子状态 X),在此期间创建私钥 X。 Alice 在量子签名令牌(保护密钥 X 的值的盒子)中将密钥 X 发送给 Bob。
Bob 执行本地量子操作(量子状态 Y),在此期间对消息进行签名。 此操作的输入是包含私钥 X 的量子签名令牌。操作的输出是由私钥 X 签名的消息。消息签名初始化量子状态的崩溃。
当鲍勃用私钥X签署消息时,量子态X崩溃,即私钥X也自毁。
此时,在该场景中,无法克隆私钥 X 或再次使用它。 没有人知道它的价值,也永远不会知道。 结果是一条签名消息。
我希望您现在了解不可克隆密钥的概念。
结论
一次性签名有许多应用,包括一次性签名令牌(我们的示例)、量子货币、去中心化无区块链加密货币、具有不可克隆密钥的签名方案、非交互式可证明最小熵等等。 一次性签名系统是新型量子加密协议的强大新构建模块。
IOG 团队创建了一次性签名来提高卡尔达诺的安全性。 该系统可以确保任何密钥只能用于签署单个区块然后自毁,从而帮助防止 PoS 网络中的远程攻击。 Cardano可以通过一次性签名替代KES机制来提供更强的安全保障。 对手无法使用旧的密钥来重写区块链的完整历史记录,因为这些密钥在签署区块后将不存在。 这有效地防止了远程攻击,增强了PoS网络的安全性。 我们下次会更详细地讨论这个问题。