Суворий доказ безпеки для квантових грошей Віснера?

У своєму знаменитому документі "Кон'югат кодування" (написаний близько 1970 р.) Стівен Віснер запропонував схему для квантових грошей, яку беззастережно неможливо підробити, припускаючи, що банк-емітент має доступ до гігантської таблиці випадкових чисел і що банкноти можуть бути принесені повернутися в банк для перевірки. У схемі Wiesner, кожна банкнота складається з класичних «серійний номер» , разом з квантовим грошей стану , що складається з unentangled кубітів, кожний з яких або $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2}, or | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

Банк пам'ятає класичний опис для кожного . І тому, коли повертається до банку для перевірки, банк може виміряти кожен кубіт у правильній основі (або або ), і перевірте, чи отримує правильний результат. $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ ${|+\rangle,|-\rangle}$

З іншого боку, через співвідношення невизначеності (або, альтернативно, теорему про не клонування) "інтуїтивно очевидно", що якщо підробник, який не знає правильних підстав, намагається скопіювати , то ймовірність того, що обидва вихідні стани підробника пройдуть перевірочний тест банку, може бути не більше , для деякої постійної . Крім того, це має бути справедливим незалежно від того, яку стратегію використовує підробник, що відповідає квантовій механіці (наприклад, навіть якщо підробник використовує химерні заплутані вимірювання на ). $|\psi_s\rangle$ $c^n$ $c<1$ $|\psi_s\rangle$

Однак, пишучи доповідь про інші квантові схеми грошей, ми з співавтором зрозуміли, що ми ніде не бачили суворого доказу вищезазначеної претензії, або явної верхньої межі : ні в оригінальному папері Віснера, ні в будь-якому пізнішому документі . $c$

Отже, чи був опублікований такий доказ (із верхньою межею на )? Якщо ні, то чи можна отримати такий доказ більш-менш прямим способом з (скажімо,) приблизних версій теореми про не клонування або результатів щодо безпеки схеми розподілу квантових ключів BB84? $c$

Оновлення: У світлі дискусії з Джо Фіцсімонсом нижче, я повинен уточнити, що я шукаю більше, ніж просто зниження рівня безпеки BB84. Швидше я шукаю чітку верхню межу щодо ймовірності успішного підробки (тобто, на ) --- і в ідеалі, а також деяке розуміння того, як виглядає оптимальна стратегія підробки. Тобто, чи оптимальна стратегія просто вимірює кожен кубіт незалежно, скажімо в основі $c$ $|\psi_s\rangle$

{\cos (π / 8) | 0 ⟩ + \sin (π / 8) | 1 ⟩, \sin (π / 8) | 0 ⟩ - \cos (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

Або є заплутана стратегія підробки, яка робить краще?

Оновлення 2: Зараз найкращими стратегіями підробки, які я знаю, є: (а) стратегія, наведена вище, і (б) стратегія, яка просто вимірює кожен кубіт на основі та " сподівання на краще ». Цікаво, що обидві ці стратегії виявляються для досягнення ймовірності успіху (5/8) ⁿ . Отже, моя думка на даний момент полягає в тому, що (5/8) ⁿ може бути правильною відповіддю. У будь-якому випадку, той факт, що 5/8 є нижньою межею c, виключає будь-який аргумент безпеки для схеми Візнера, який "занадто" простий (наприклад, будь-який аргумент, що немає нічого нетривіального, що може зробити підробник, і, отже, правильна відповідь - c = 1/2). $\{|0\rangle,|1\rangle\}$

Оновлення 3: Ні, правильна відповідь - (3/4) ⁿ ! Дивіться нитку обговорення нижче відповіді Абеля Моліна.

quantum-computing

— Скотт Ааронсон
джерело

Ласкаво просимо до TP.SE Scott! Рада бачити вас тут.

— Джо Фіцсімонс

Схоже, схема Візнера точно відповідає BB84, де ви вибираєте на Боба, вибравши абсолютно ті самі основи вимірювання, що і Аліса для підготовки (оскільки банк є і Алісою, і Боб). Очевидно, що банк може замість цього обрати основу вимірювання випадковим чином і моделювати BB84, що дасть суворо слабку безпеку (оскільки ви б розглядали точно такі ж вимірювання, але лише на підмножині кубітів), тож ви можете неодмінно використовувати доказ BB84, щоб знизити обмежував безпеку квантової схеми грошей. Можливо, хоч чогось мені не вистачає.

— Джо Фіцсімонс

Дякую за привітання та відповідь, Джо! FWIW, я поділяю вашу інтуїцію, що доказ безпеки для схеми Візнера повинен бути "суворо простішим", ніж доказ безпеки BB84. Однак з цим аргументом (як і з кожним іншим) я продовжую повертатися до того ж питання: "тож яка верхня межа c?"

— Скотт Ааронсон

Безумовно, вона верхньо обмежена ймовірністю визначення ключа в BB84.

— Джо Фіцсімонс

Крім того, хоча було б добре вивести безпеку схеми Візнера з безпеки BB84, якщо це єдина / найкраща альтернатива, я сподіваюся, що має бути більш пряме та інформативне підтвердження. Крім того, здається правдоподібним, що для отримання явної верхньої межі c, або для отримання "розумної" такої межі потрібен прямий доказ (більше як 0,9, ніж 0,99999).

— Скотт Ааронсон

Відповіді:

Схоже, цю взаємодію можна моделювати таким чином:

Аліса готує один із штатів , , , , згідно певного розподілу ймовірностей, і надсилає перший кубіт Бобу. $|000\rangle$ $|101\rangle$ $(|0\rangle+|1\rangle)|10\rangle/\sqrt{2}$ $(|0\rangle-|1\rangle)|11\rangle/\sqrt{2}$
Боб виконує довільний квантовий канал, який надсилає свій кубіт двом кубітам, які потім повертаються до Аліси.
Аліса виконує проективне вимірювання на чотирьох кубітах, що є у неї.

Якщо я не помиляюся з цього приводу (і вибачте, якщо є), це підпадає під формалізм, представлений тут і тут Гутоськи та Вотрос , з чого випливає:

З теореми 4.9 у другій із них, Боб оптимально діяти самостійно, коли Аліса повторює цей процес з декількома кубітами незалежно, якщо мета Боба - завжди обдурити Алісу.
Отримати значення c можна з невеликої напіввизначеної програми. Більш детальну інформацію про те, як отримати цю програму, ви можете знайти в Розділі 3 тут . Дивіться коментарі до коду cvx для програми та його значення.

— Абель Моліна
джерело

За пропозицією Абеля виявляється, що оптимальне значення дорівнює c = 3/4.

Я щойно отримав те саме значення 3/4. Його пояснювальна потужність невелика, але комп'ютерний код знаходиться на cs.uwaterloo.ca/~amolinap/scriptWeisner.m та cs.uwaterloo.ca/~amolinap/prtrace.m .

— Абель Моліна

Стратегія задається квантовим каналом, представлення Чой-Ямієлковського є оптимальним рішенням напіввизначеної програми. Дивіться cs.uwaterloo.ca/~amolinap/optSolution.txt за посиланням на таке рішення (найменш значущий кубіт - той, який отримав Боб, а два інших - ті, які він надсилає Алісі). Якщо мої розрахунки правильні, відповідний канал надсилає | 0> до (| 01> + | 10>) / √2 з вірогідністю 1/6, а до (3 | 00> + | 11>) / √10 з ймовірністю 5 / 6. | 1> надсилається до (| 01> + | 10>) / √2 з вірогідністю 1/6, а до (| 00> +3 | 11>) / √10 з ймовірністю 5/6

— Abel Molina

Аналогічно, (| 0> + | 1>) / √2 надсилається до (| 11> - | 00>) / √2 з вірогідністю 1/6, і до (| 00> +1/2 | 01> +1 / 2 | 10> + | 11>) / √ (5/2) з ймовірністю 5/6. Аналогічно, (| 0> - | 1>) / √2 надсилається до (| 11> - | 00>) / √2 з вірогідністю 1/6, і до (| 00> -1/2 | 01> -1 / 2 | 10> + | 11>) / √ (5/2) з ймовірністю 5/6.

— Абель Моліна

Оскільки відповідь @ AbelMolina була перетворена на архівний документ, arxiv.org/abs/1202.4010 , я додаю посилання для майбутніх читачів.

— Фредерік Гроссханс

Питання про клонування держав BB84 висвітлювалося у статті "Фазове коваріантне квантове клонування" Дагмаром Брусом, Мірко Чинчетті, Г. Мауро Д'Аріано та К'ярою Маккіавелло [ Phys Rev. A, 62, 012302 (2000), урівн. 36]. Вони дають оптимальний клонер для цих станів (що також є оптимальним клонером для будь-яких станів з , :). Вони не оптимізують, використовуючи ту саму міру вірності, про яку ви запитуєте, але я підозрюю, що їх клонер є оптимальним для вашого питання. Їх клонер дає ймовірність успіху для підробки $\alpha |0\rangle + \beta |1\rangle$ $\alpha$ $\beta\in \mathbb{R}\:$

{(\frac{1}{2} + \frac{1}{\sqrt{8}})}^{2 n} \approx {.72855}^{n}

$\left(\frac{1}{2}+ \frac{1}{\sqrt{8}}\right)^{2n} \approx .72855^n$

n

$n$ BB84 констатує, трохи краще, ніж .

(\frac{5}{8})^{n}

$(\frac{5}{8})^n$

ОНОВЛЕННЯ: Оптимальний клонер Бруса та ін. Задається де $\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = (\begin{array}{cc} \frac{1}{2} + \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{\sqrt{8}} \\ 0 & \frac{1}{\sqrt{8}} \\ \frac{1}{2} - \frac{1}{\sqrt{8}} & 0 \end{array}) A_{2} = (\begin{array}{cc} 0 & \frac{1}{2} - \frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}} & 0 \\ \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{2} + \frac{1}{\sqrt{8}} \end{array}) .

$A_1 = \left( \begin{array}{cc} \frac{1}{2}+\frac{1}{\sqrt{8}} & 0\\ 0 & \frac{1}{\sqrt{8}}\\ 0 & \frac{1}{\sqrt{8}}\\ \frac{1}{2}-\frac{1}{\sqrt{8}} & 0 \end{array} \right) \ \ \ \ A_2 = \left(\begin{array}{cc} 0& \frac{1}{2}-\frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}}&0\\ \frac{1}{\sqrt{8}}&0\\ 0&\frac{1}{2}+\frac{1}{\sqrt{8}} \end{array} \right) .$

Оптимальний клонер, знайдений рішенням семидефінованої програми Абеля, є де: $\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 3 & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{array}) A_{2} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3 \end{array}) .

$A_1 = \frac{1}{\sqrt{12}}\left( \begin{array}{cc} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{12}}\left(\begin{array}{cc} 0& 1 \\ 1&0\\ 1&0\\ 0&3 \end{array} \right) .$

Вони, очевидно, походять з одного сімейства перетворень, але були оптимізовані для задоволення різних об'єктивних функцій. Це сімейство коваріантних перетворень, як видається, задане

A_{1} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} x + y & 0 \\ 0 & y \\ 0 & y \\ x - y & 0 \end{array}) A_{2} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} 0 & x - y \\ y & 0 \\ y & 0 \\ 0 & x + y \end{array}) .

$A_1 = \frac{1}{\sqrt{2x^2+4y^2}}\left( \begin{array}{cc} x+y & 0\\ 0 & y\\ 0 & y\\ x-y & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{2x^2+4y^2}}\left(\begin{array}{cc} 0& x-y \\ y&0\\ y&0\\ 0&x+y \end{array} \right) .$

— Петро Шор
джерело

Спасибі, Петре! Було б чудово показати оптимальність або навіть майже оптимальність їх клонера. З цього приводу я думаю, що першим кроком було б показати, що оптимальна атака є індивідуальною, а не колективною.

— Скотт Ааронсон

Якщо підхід Абеля Моліна працює, це повинно продемонструвати це. Якщо ні, то ви повинні мати можливість використовувати методи в оптимальних роботах для клонування, щоб отримати верхню межу, але я не одразу знаю, що це було б.

— Пітер Шор

Додавши стани і до початкових чотирьох, здається, що оптимальне падіння до . Оптимальний канал для Боба знову надається сімейством каналів Петра, з .

(| 0 ⟩ + i | 1 ⟩) / \sqrt{2}

$(|0\rangle + i |1\rangle)/\sqrt{2}$

(| 0 ⟩ - i | 1 ⟩) / \sqrt{2}

$(|0\rangle - i |1\rangle)/\sqrt{2}$

c = 2 / 3

$c = 2/3$

x = y = 1

$x = y = 1$

@John: ця трансформація є оригінальним квантовим клонером Бужека та Хіллері. Я думаю, що відбувається, що існує однопараметричне сімейство коваріантних квантових клонерів для кубітних станів реальної амплітуди. Якщо вам потрібна коваріація для всіх станів, а не лише реальної амплітуди, ви отримуєте лише . (Коваріант тут означає: якщо ви застосуєте однакові реальні обертання до вхідних та вихідних просторів стану, ви отримаєте однакове перетворення. Звичайно, це все-таки справедливо, якщо ви застосуєте поворот до вхідного простору спочатку, тому вам доведеться також вимагають, щоб перекриття було максимальним без обертання.)

x = y = 1

$x=y=1$

— Пітер Шор,

Я не знаю опублікованих доказів безпеки. Я думаю, що найпростіший спосіб і найсильніший зв'язок виходитимуть із приблизного не клонування, але, мабуть, вам знадобиться версія, спеціалізована для держав BB84. Навіть зниження від BB84 не очевидно, оскільки умови безпеки для BB84 різні.

Я думаю, ви можете отримати доказ прямо, як наслідок доказів безпеки незахищеного шифрування ( quant-ph / 0210062 ). Це не отримає чітку верхню межу ймовірності обману, але, принаймні, це забезпечує безпеку.

При незашифрованому шифруванні A посилає B класичне повідомлення, використовуючи квантові стани. (A і B діляться секретним ключем.) Умова безпеки є дворазовою: а) Коли Єва перехоплює початкову передачу, вона не отримує ніякої інформації про повідомлення. б) Яку б стратегію Єва не приймала, або Боб її з дуже високою ймовірністю, або її залишковий стан коли ключ k, майже не має інформації про повідомлення. б говорить , що якщо Єва навряд чи буде спійманий, вона не зберігає ніякої інформації про повідомленні , навіть якщо вона пізніше дізнається ключ , який використовується A і B . Це трактується як результат не клонування: Єва могла вкрасти шифротекст, але вона не може його скопіювати, не зіпсувавши отримане повідомлення Боба. $\rho_k$

Це можна використовувати для створення квантової схеми грошей: Банк A використовує незашифроване шифрування для шифрування випадкової рядка "повідомлення". Існує схема нешифрованого шифрування, яка в основному є BB84, тому це може дати схему Вайснера. Єва перехоплює гроші, взаємодіє з ними та надсилає модифікований оригінал банку B. Вона також намагається зробити копію, яка надходить до банку C. Банки B і C приймають, якщо надана їм держава проходить тест підслуховування нерозбірливого шифрування. , і якщо вони дешифрують правильний рядок "повідомлення". Властивість нерозбірливого шифрування b говорить про те, що з великою часткою ймовірності копія B не відповідає тесту підслуховування, або копія C не містить майже ніякої інформації про повідомлення. Це сильніше, ніж потрібно, але достатньо для доказу безпеки.

Щодо кращої асимптотичної атаки, я вважав би, завдяки кванту де Фінетті, що найкраща колективна атака - це те саме, що найкраща індивідуальна атака.

Дякую, Даніеле! Я продовжую шукати аргумент, який дає чітке обмеження на c, але тим часом це надзвичайно корисно. Я пішов вперед і позначив вашу відповідь "прийнятою".

— Скотт Ааронсон