Bằng chứng bảo mật nghiêm ngặt cho tiền lượng tử của Wiesner?

Trong bài báo nổi tiếng "Conjugate Coding" (viết vào khoảng năm 1970), Stephen Wiesner đã đề xuất một kế hoạch cho tiền lượng tử không thể giả mạo vô điều kiện, giả sử rằng ngân hàng phát hành có quyền truy cập vào một bảng số ngẫu nhiên khổng lồ và có thể mang theo tiền giấy quay lại ngân hàng để xác minh. Trong chương trình Wiesner, mỗi tờ tiền giấy bao gồm một "số sê-ri" cổ điển , cùng với tình trạng tiền lượng tử gồm qubit unentangled, mỗi một trong hai $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2}, or | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

Ngân hàng ghi nhớ một mô tả cổ điển về cho mỗi . Và do đó, khi được đưa trở lại ngân hàng để xác minh, ngân hàng có thể đo từng qubit của trong cơ sở chính xác ( hoặc ) và kiểm tra xem nó có đạt được kết quả chính xác không. $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ ${|+\rangle,|-\rangle}$

Mặt khác, do mối quan hệ không chắc chắn (hoặc cách khác là Định lý Không nhân bản), nên "rõ ràng bằng trực giác" rằng, nếu một kẻ giả mạo không biết các căn cứ chính xác cố gắng sao chép , thì xác suất rằng cả hai trạng thái đầu ra của người giả đều vượt qua bài kiểm tra xác minh của ngân hàng có thể nhiều nhất là , đối với một số hằng số . Hơn nữa, điều này phải đúng cho dù người giả sử dụng chiến lược nào, phù hợp với cơ học lượng tử (ví dụ, ngay cả khi người làm giả sử dụng các phép đo vướng víu trên ). $|\psi_s\rangle$ $c^n$ $c<1$ $|\psi_s\rangle$

Tuy nhiên, trong khi viết một bài báo về các chương trình tiền lượng tử khác, đồng tác giả của tôi và tôi nhận ra rằng chúng tôi chưa bao giờ thấy một bằng chứng khắt khe nào về yêu cầu trên ở bất cứ đâu, hoặc một giới hạn rõ ràng trên : không phải trong bài báo gốc của Wiesner hay trong bất kỳ bài viết nào sau này . $c$

Vì vậy, có một bằng chứng như vậy (với trên ràng buộc trên ) được công bố? Nếu không, thì người ta có thể rút ra một bằng chứng như vậy theo cách đơn giản hơn hoặc ít hơn từ (nói) các phiên bản gần đúng của Định lý không nhân bản, hoặc kết quả về tính bảo mật của sơ đồ phân phối khóa lượng tử BB84? $c$

Cập nhật: Trong phần thảo luận với Joe Fitzsimons bên dưới, tôi nên làm rõ rằng tôi đang tìm kiếm nhiều hơn là sự giảm bớt tính bảo mật của BB84. Thay vào đó, tôi đang tìm kiếm một giới hạn trên rõ ràng về xác suất làm giả thành công (ví dụ, trên ) --- và lý tưởng nhất, cũng là một số hiểu biết về chiến lược làm giả tối ưu trông như thế nào. Tức là, chiến lược tối ưu chỉ đơn giản là đo từng qubit của một cách độc lập, nói trên cơ sở $c$ $|\psi_s\rangle$

{\cos (π / 8) | 0 ⟩ + \sin (π / 8) | 1 ⟩, \sin (π / 8) | 0 ⟩ - \cos (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

Hoặc có một chiến lược giả mạo vướng mắc mà làm tốt hơn?

Cập nhật 2: Ngay bây giờ, các chiến lược giả mạo tốt nhất mà tôi biết là (a) chiến lược ở trên và (b) chiến lược chỉ đơn giản là đo từng qubit trong cơ sở và " hy vọng điều tốt nhất. " Điều thú vị là cả hai chiến lược này đều đạt được xác suất thành công là (5/8) ⁿ . Vì vậy, phỏng đoán của tôi về thời điểm này là (5/8) ⁿ có thể là câu trả lời đúng. Trong mọi trường hợp, thực tế là 5/8 là một giới hạn thấp hơn trong các quy tắc c đưa ra bất kỳ đối số bảo mật nào cho sơ đồ của Wiesner "quá" đơn giản (ví dụ, bất kỳ đối số nào đối với hiệu ứng mà không có gì giả mạo có thể làm được, và do đó câu trả lời đúng là c = 1/2). $\{|0\rangle,|1\rangle\}$

Cập nhật 3: Không, câu trả lời đúng là (3/4) ⁿ ! Xem chủ đề thảo luận bên dưới câu trả lời của Abel Molina.

quantum-computing

— Scott Aaronson
nguồn

Chào mừng đến với TP.SE Scott! Thật tốt khi gặp bạn ở đây.

— Joe Fitzsimons

Có vẻ như sơ đồ của Wiesner tương ứng chính xác với BB84 nơi bạn đăng bài chọn trên Bob đã chọn chính xác các cơ sở đo lường giống như Alice đã chuẩn bị (vì ngân hàng là cả Alice và Bob). Rõ ràng, ngân hàng thay vào đó có thể chọn cơ sở đo lường một cách ngẫu nhiên và mô phỏng BB84, điều này sẽ mang lại sự bảo mật yếu hơn (vì bạn sẽ xem xét chính xác các phép đo tương tự nhưng chỉ trên một tập hợp các qubit), vì vậy bạn chắc chắn có thể sử dụng bằng chứng BB84 để hạ thấp ràng buộc sự an toàn của chương trình tiền lượng tử. Có lẽ tôi đang thiếu một cái gì đó mặc dù.

— Joe Fitzsimons

Cảm ơn đã chào đón và câu trả lời, Joe! FWIW, tôi chia sẻ trực giác của bạn rằng bằng chứng bảo mật cho chương trình của Wiesner phải "dễ dàng hơn" so với bằng chứng bảo mật cho BB84. Tuy nhiên, với lập luận đó (như với mọi người khác), tôi tiếp tục quay lại cùng một câu hỏi: "vậy thì giới hạn trên của c là gì?"

— Scott Aaronson

Chắc chắn nó bị giới hạn trên bởi xác suất xác định khóa trong BB84.

— Joe Fitzsimons

Ngoài ra, mặc dù có thể suy luận về tính bảo mật của chương trình của Icner từ bảo mật của BB84 nếu đó là sự thay thế duy nhất / tốt nhất, tôi vẫn hy vọng rằng cần phải có một bằng chứng trực tiếp và nhiều thông tin hơn. Hơn nữa, có vẻ hợp lý rằng sẽ cần một bằng chứng trực tiếp để có được giới hạn trên rõ ràng trên c hoặc để có được một ràng buộc "hợp lý" như vậy (giống như 0.9 hơn so với 0.99999).

— Scott Aaronson

Câu trả lời:

Có vẻ như sự tương tác này có thể được mô hình hóa theo cách sau:

Alice chuẩn bị một trong các trạng thái , , , , theo một phân phối xác suất nhất định và gửi qubit đầu tiên cho Bob. $|000\rangle$ $|101\rangle$ $(|0\rangle+|1\rangle)|10\rangle/\sqrt{2}$ $(|0\rangle-|1\rangle)|11\rangle/\sqrt{2}$
Bob thực hiện một kênh lượng tử tùy ý gửi qubit của mình đến hai qubit, sau đó được trả lại cho Alice.
Alice thực hiện một phép đo phóng xạ trên bốn qubit trên sở hữu của mình.

Nếu tôi không sai về điều này (và xin lỗi nếu tôi), điều này nằm trong chủ nghĩa hình thức từ Gutoski và Watrous trình bày ở đây và đây , ngụ ý rằng:

Từ Định lý 4.9 trong phần hai, điều tối ưu là Bob phải hành động độc lập khi Alice lặp lại quá trình này với một số qubit theo cách độc lập, nếu mục tiêu của Bob là luôn đánh lừa Alice.
Có thể lấy giá trị của c từ một chương trình semidefinite nhỏ. Bạn có thể tìm thêm chi tiết về cách có được chương trình này trong Phần 3 tại đây . Xem các bình luận cho mã cvx cho chương trình và giá trị của nó.

— Abel Molina
nguồn

Theo đề xuất của Abel, có vẻ như giá trị tối ưu là c = 3/4.

Tôi đã chỉ đạt được cùng một giá trị 3/4. Khả năng giải thích của nó là nhỏ, nhưng mã máy tính có tại cs.uwaterloo.ca/~amolinap/script WEisner.m và cs.uwaterloo.ca/~amolinap/prtrace.m .

— Abel Molina

Chiến lược này được đưa ra bởi một kênh lượng tử có đại diện Choi-Jamielkowski là một giải pháp tối ưu cho chương trình semidefinite. Xem cs.uwaterloo.ca/~amolinap/optSolution.txt để biết liên kết đến một giải pháp như vậy (qubit ít quan trọng nhất là cái mà Bob nhận được, và hai cái còn lại là cái mà anh ta gửi cho Alice). Nếu tính toán của tôi là chính xác, kênh tương ứng sẽ gửi | 0> đến (| 01> + | 10>) / 2 với xác suất 1/6 và đến (3 | 00> + | 11>) / 10 với xác suất 5 / 6. | 1> được gửi đến (| 01> + | 10>) / 2 với xác suất 1/6 và đến (| 00> +3 | 11>) / 10 với xác suất 5/6

— Abel Molina

Tương tự, (| 0> + | 1>) / 2 được gửi đến (| 11> - | 00>) / 2 với xác suất 1/6 và đến (| 00> +1/2 | 01> +1 / 2 | 10> + | 11>) / (5/2) với xác suất 5/6. Tương tự, (| 0> - | 1>) / 2 được gửi đến (| 11> - | 00>) / 2 với xác suất 1/6 và đến (| 00> -1/2 | 01> -1 / 2 | 10> + | 11>) / (5/2) với xác suất 5/6.

— Abel Molina

Vì câu trả lời của @ AbelMolina đã được chuyển đổi thành một bài báo arXiv, arxiv.org/abs/1202.4010 , tôi thêm liên kết cho các độc giả tương lai.

— Frédéric Grosshans

Câu hỏi về nhân bản các trạng thái BB84 đã được đề cập trong bài báo "Nhân bản lượng tử pha covariant" của Dagmar Bruß, Mirko Cinchetti, G. Mauro D'Ariano và Chiara Macchiavello [ Phys Rev. A, 62, 012302 (2000), Eq. 36]. Chúng cung cấp một bản sao tối ưu cho các trạng thái này (cũng là một bản sao tối ưu cho mọi trạng thái với , :). Họ không tối ưu hóa bằng cách sử dụng cùng một thước đo độ trung thực mà bạn đang hỏi, nhưng tôi nghi ngờ rằng nhân bản của họ là tối ưu cho câu hỏi của bạn. Người nhân bản của họ cho xác suất thành công để làm giả $\alpha |0\rangle + \beta |1\rangle$ $\alpha$ $\beta\in \mathbb{R}\:$

{(\frac{1}{2} + \frac{1}{\sqrt{8}})}^{2 n} \approx {.72855}^{n}

$\left(\frac{1}{2}+ \frac{1}{\sqrt{8}}\right)^{2n} \approx .72855^n$

n

$n$ BB84 tuyên bố, khá hơn một chút so với .

(\frac{5}{8})^{n}

$(\frac{5}{8})^n$

CẬP NHẬT: Cloner tối ưu của Bruß và cộng sự được cung cấp bởi trong đó $\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = (\begin{array}{cc} \frac{1}{2} + \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{\sqrt{8}} \\ 0 & \frac{1}{\sqrt{8}} \\ \frac{1}{2} - \frac{1}{\sqrt{8}} & 0 \end{array}) A_{2} = (\begin{array}{cc} 0 & \frac{1}{2} - \frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}} & 0 \\ \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{2} + \frac{1}{\sqrt{8}} \end{array}) .

$A_1 = \left( \begin{array}{cc} \frac{1}{2}+\frac{1}{\sqrt{8}} & 0\\ 0 & \frac{1}{\sqrt{8}}\\ 0 & \frac{1}{\sqrt{8}}\\ \frac{1}{2}-\frac{1}{\sqrt{8}} & 0 \end{array} \right) \ \ \ \ A_2 = \left(\begin{array}{cc} 0& \frac{1}{2}-\frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}}&0\\ \frac{1}{\sqrt{8}}&0\\ 0&\frac{1}{2}+\frac{1}{\sqrt{8}} \end{array} \right) .$

Công cụ sao chép tối ưu được tìm thấy bởi giải pháp cho chương trình semindefinite của Abel là trong đó: $\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 3 & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{array}) A_{2} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3 \end{array}) .

$A_1 = \frac{1}{\sqrt{12}}\left( \begin{array}{cc} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{12}}\left(\begin{array}{cc} 0& 1 \\ 1&0\\ 1&0\\ 0&3 \end{array} \right) .$

Chúng rõ ràng đến từ cùng một họ biến đổi, nhưng đã được tối ưu hóa để đáp ứng các chức năng khách quan khác nhau. Họ biến đổi covariant này dường như được đưa ra bởi

A_{1} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} x + y & 0 \\ 0 & y \\ 0 & y \\ x - y & 0 \end{array}) A_{2} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} 0 & x - y \\ y & 0 \\ y & 0 \\ 0 & x + y \end{array}) .

$A_1 = \frac{1}{\sqrt{2x^2+4y^2}}\left( \begin{array}{cc} x+y & 0\\ 0 & y\\ 0 & y\\ x-y & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{2x^2+4y^2}}\left(\begin{array}{cc} 0& x-y \\ y&0\\ y&0\\ 0&x+y \end{array} \right) .$

— Peter Shor
nguồn

Cảm ơn, Peter! Nó sẽ là tuyệt vời để thể hiện sự lạc quan hoặc thậm chí gần tối ưu của nhân bản của họ. Vì thế, tôi đoán bước đầu tiên sẽ chỉ ra rằng cuộc tấn công tối ưu là của từng cá nhân chứ không phải tập thể.

— Scott Aaronson

Nếu phương pháp của Abel Molina hoạt động, nó sẽ chứng minh điều này. Nếu không, bạn sẽ có thể sử dụng các kỹ thuật trong các giấy tờ cloner tối ưu để có giới hạn trên, nhưng tôi không biết ngay nó sẽ là gì.

— Peter Shor

Bằng cách thêm các trạng thái và vào bốn trạng thái ban đầu, có vẻ như tối ưu rơi xuống . Một kênh tối ưu cho Bob một lần nữa được đưa ra bởi gia đình kênh của Peter, với .

(| 0 ⟩ + i | 1 ⟩) / \sqrt{2}

$(|0\rangle + i |1\rangle)/\sqrt{2}$

(| 0 ⟩ - i | 1 ⟩) / \sqrt{2}

$(|0\rangle - i |1\rangle)/\sqrt{2}$

c = 2 / 3

$c = 2/3$

x = y = 1

$x = y = 1$

@ John: sự biến đổi này là bản sao lượng tử gốc của Bužek và Hillery. Tôi nghĩ những gì đang xảy ra là có một nhóm các bản sao lượng tử covariant một tham số cho các trạng thái qubit biên độ thực. Nếu bạn yêu cầu hiệp phương sai cho tất cả các trạng thái, không chỉ các trạng thái có biên độ thực, bạn chỉ nhận được một. (Covariant ở đây có nghĩa là: nếu bạn áp dụng cùng một phép quay thực cho các không gian trạng thái đầu vào và đầu ra, bạn sẽ có cùng một phép biến đổi. Tất nhiên, điều này vẫn đúng nếu bạn áp dụng một phép quay cho không gian đầu vào, vì vậy bạn cũng phải yêu cầu sự trùng lặp được tối đa hóa mà không có vòng quay.)

x = y = 1

$x=y=1$

— Peter Shor

Tôi không biết về một bằng chứng bảo mật được công bố. Tôi nghĩ rằng cách đơn giản nhất và ràng buộc mạnh nhất sẽ đến từ việc không nhân bản gần đúng, nhưng tôi đoán bạn cần một phiên bản dành riêng cho các trạng thái BB84. Ngay cả việc giảm từ BB84 cũng không rõ ràng, vì điều kiện bảo mật cho BB84 là khác nhau.

Tôi nghĩ rằng bạn có thể nhận được một bằng chứng đơn giản là hệ quả của bằng chứng bảo mật về mã hóa không thể mã hóa ( quant-ph / 0210062 ). Điều này sẽ không bị giới hạn trên về khả năng gian lận, nhưng ít nhất nó mang lại sự an toàn.

Trong mã hóa không thể nhận dạng, A gửi cho B một thông điệp cổ điển sử dụng các trạng thái lượng tử. (A và B chia sẻ một khóa bí mật.) Điều kiện bảo mật là hai lần: a) Khi Eve chặn đường truyền ban đầu, cô ấy không nhận được thông tin nào về tin nhắn. b) Dù chiến lược mà Eve áp dụng, cô ấy sẽ bị Bob bắt gặp với xác suất rất cao hoặc trạng thái còn lại của cô ấy khi khóa là k gần như không có thông tin về tin nhắn. b nói rằng nếu Eve là khó có thể bị bắt, cô giữ lại không có thông tin về tin nhắn ngay cả khi sau đó, cô học được chìa khóa được sử dụng bởi A và B . Điều này được hiểu là kết quả không nhân bản: Eve có thể đánh cắp bản mã, nhưng cô không thể sao chép nó mà không làm hỏng tin nhắn nhận được của Bob. $\rho_k$

Điều này có thể được sử dụng để tạo ra một sơ đồ tiền lượng tử: Ngân hàng A sử dụng mã hóa không thể mã hóa để mã hóa một chuỗi "thông điệp" ngẫu nhiên. Có một lược đồ mã hóa không thể nhận dạng, về cơ bản là BB84, vì vậy điều này có thể mang lại cho lược đồ của Weisner. Eve chặn tiền, tương tác với nó và gửi bản gốc đã sửa đổi cho Ngân hàng B. Cô cũng cố gắng tạo một bản sao, gửi tới Ngân hàng C. Ngân hàng B và C chấp nhận nếu nhà nước cung cấp cho họ vượt qua bài kiểm tra nghe lén mã hóa không thể xóa được và nếu họ giải mã chuỗi "thông điệp" ngẫu nhiên chính xác. Thuộc tính mã hóa không thể nhận dạng b nói rằng, với xác suất cao, bản sao của B thất bại trong bài kiểm tra nghe lén hoặc bản sao của C chứa hầu như không có thông tin nào về tin nhắn. Điều này mạnh hơn mức cần thiết, nhưng đủ để chứng minh tính bảo mật.

Đối với cuộc tấn công tiệm cận tốt nhất, tôi sẽ tưởng tượng, do quantum de Finetti, rằng cuộc tấn công tập thể tốt nhất cũng giống như cuộc tấn công cá nhân tốt nhất.

Cảm ơn rất nhiều, Daniel! Tôi sẽ tiếp tục tìm kiếm một đối số đưa ra ràng buộc rõ ràng về c, nhưng trong khi đó, điều này cực kỳ hữu ích. Tôi đã đi trước và đánh dấu câu trả lời của bạn là "được chấp nhận."

— Scott Aaronson