Суворий доказ безпеки для квантових грошей Віснера

11

У своєму знаменитому документі " Кон'югат кодування " (написаний близько 1970 р.) Стівен Віснер запропонував схему для квантових грошей, яку безумовно неможливо підробити, припускаючи, що банк-емітент має доступ до гігантської таблиці випадкових чисел і що банкноти можна повернути назад до банку для перевірки. У схемі Wiesner, кожна банкнота складається з класичного «серійного номера» , разом з квантовими грошима станом , що складаються з unentangled кубітів, кожний з яких або $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2}, or | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

Банк пам'ятає класичний опис для кожного . І тому, коли повернеться до банку для перевірки, банк може виміряти кожен кубіт у правильній основі (або або ), і перевірте, чи отримують правильні результати. $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ $\{|+\rangle,|-\rangle\}$

З іншого боку, через співвідношення невизначеності (або, альтернативно, теорему про не клонування) "інтуїтивно очевидно", що якщо підробник, який не знає правильних підстав, намагається скопіювати , то ймовірність того, що обидва вихідні стани підробника пройдуть тест перевірки банку, може бути не більше , для деякої постійної . Крім того, це має бути правдою незалежно від того, яку стратегію використовує підробник, що відповідає квантовій механіці (наприклад, навіть якщо підробник використовує химерні заплутані вимірювання на ). $|\psi_s\rangle$ $c^n$ $c<1$ $|\psi_s\rangle$

Однак, пишучи доповідь про інші схеми квантових грошей, ми з співавтором зрозуміли, що ми ніколи не бачили суворого доказу вищезазначеної претензії ні явної верхньої межі : ні в оригінальному папері Віснера, ні в будь-якому пізнішому. $c$

Отже, чи був опублікований такий доказ (із верхньою межею на )? Якщо ні, то чи можна отримати такий доказ більш-менш прямим способом з (скажімо,) приблизних версій теореми про не клонування або результатів щодо безпеки схеми розподілу квантових ключів BB84? $c$

Я, можливо, варто уточнити, що я шукаю більше, ніж просто зниження рівня безпеки BB84. Швидше я шукаю чітку верхню межу щодо ймовірності успішного підробки (тобто, на ) --- а в ідеалі - також деяке розуміння того, як виглядає оптимальна стратегія підробки. Тобто, чи оптимальна стратегія просто вимірює кожен кубіт незалежно, скажімо, на основі $c$ $|\psi_s\rangle$

{\cos (π / 8) | 0 ⟩ + гріх (π / 8) | 1 ⟩, гріх (π / 8) | 0 ⟩ - \cos (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

Або є заплутана стратегія підробки, яка робить краще?

На даний момент найкращими стратегіями підробки, які я знаю, є: (а) стратегія, наведена вище, і (б) стратегія, яка просто вимірює кожен кубіт на базі і "сподівається на найкращий ». Цікаво, що обидві ці стратегії виявляються для досягнення ймовірності успіху . Отже, моя думка на даний момент полягає в тому, що може бути правильною відповіддю. У будь-якому випадку, той факт, що є нижньою межею на c, виключає будь-який аргумент безпеки для схеми Візнера, який "занадто" простий (наприклад, будь-який аргумент, що немає нічого нетривіального, що може зробити підробник, і тому правильна відповідь - $\{|0\rangle,|1\rangle\}$ $(5/8)$ ^$n$ $(5/8)$ ^$n$ $5/8$ $c=1/2$ ).

— DIDIx13
джерело

5

(5 / 8)^{n}

$(5/8)^n$

15

$c=3/4$

А. Моліна, Т. Відік та Дж. Вотрус. Оптимальні напади підробки та узагальнення для квантових грошей Віснера. Матеріали 7-ї конференції з теорії квантових обчислень, зв'язку та криптографії, том 7582 конспектів лекцій з інформатики, стор. 45–64, 2013. (Див. Також arXiv: 1202.4010.)

Це передбачає, що фальсифікатор використовує те, що ми називаємо "простою підробкою підробкою", що означає одноразову спробу перетворити одну копію грошового стану на дві. (Я тлумачу ваше запитання щодо таких атак.)

Атака Бродчуха, Нагая, Саттата та Унруха, про яку згадував @Rob (і, на мою думку, це фантастичний результат), вимагає від підробника багаторазово взаємодіяти з банком і припускає, що банк надасть контрафактіру той же стан грошей після кожна перевірка.

Φ (ρ) = А_{0} ρ А_{0}^{†} + А_{1} ρ А_{1}^{†}

$\Phi(\rho) = A_0 \rho A_0^{\dagger} + A_1 \rho A_1^{\dagger}$

А_{0} = \frac{1}{\sqrt{12}} (\begin{matrix} 3 & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{matrix}) і А_{1} = \frac{1}{\sqrt{12}} (\begin{matrix} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3 \end{matrix}) .

$A_0 = \frac{1}{\sqrt{12}} \begin{pmatrix} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{pmatrix} \quad\text{and}\quad A_1 = \frac{1}{\sqrt{12}} \begin{pmatrix} 0 & 1\\ 1 & 0\\ 1 & 0\\ 0 & 3 \end{pmatrix}.$

$| 0\rangle \pm i |1\rangle$ $c$

— Джон Вотрус
джерело

7

"Я шукаю явну верхню межу щодо ймовірності успішного підробки ...".

У « Адаптаційній атаці на квантові гроші Віснера» Ахарона Бродчука, Даніеля Нагая, Ор Саттата та Домініка Унру в останній раз переглянуто 10 травня 2016 року, автори стверджують, що рівень успіху: «~ 100%».

У роботі висуваються такі твердження:

$(s,\left|\$_s\right>)$ $\left|\$_s\right>$ довільно мала ймовірність попадання.

...

У цій роботі ми зосередилися на грошах Віснера в безшумному середовищі. Тобто банк відхиляє гроші, якщо навіть один кубіт вимірюється неправильно. У більш реалістичних умовах ми маємо мати справу з шумом, і банк хотів би допустити обмежену кількість помилок у квантовому стані [PYJ + 12], скажімо, 10%.

Також дивіться: " Квантовий біткойн: анонімна та розподілена валюта, захищена теоремою неклонування квантової механіки ", Джонатан Йогенфорс, 5 квітня 2016 року, де він обговорює схему Візнера та пропонує одну зі своїх.

— Роб
джерело