Сліпі квантові обчислення - загальний вибір змінної структури

Фон

Нещодавно я натрапила на дослідницьку статтю « Експериментальна демонстрація сліпих квантових обчислень . У цій статті дослідження вчені стверджували, що - завдяки правильному вибору родової структури - інженер даних може приховати інформацію про те, як обчислювалися дані.

Питання

Якби вчений використовував протокол BQC (Blind Quantum Computation) для обчислення приватних вимірювань, які типи змінних вони мали б використовувати для формулювання загальної структури для сліпого квантового стану?

Думки

Я хотів би зрозуміти, які типи змінних можуть входити в загальну структуру, щоб допомогти зберегти обчислення даних прихованими від сервера. Якщо ви вибираєте певні відомі загальні змінні, я не розумію, чому вибір інших відомих загальних змінних не дозволить приховати обчислення даних.

Схоже, ви питаєте про цю частину статті:

Тому квантове обчислення приховано до тих пір, поки ці вимірювання успішно приховані. Щоб досягти цього, протокол BQC використовує спеціальні ресурси, які називаються сліпими кластерними станами, які повинні бути обережно вибирані, щоб бути родовою структурою, яка нічого не розкриває про основні обчислення (див. Малюнок 1).

- "Експериментальна демонстрація сліпих квантових обчислень" (2011)

Остання частина, про те, як вони хочуть " загальну структуру, яка нічого не розкриває про основні обчислення ", може змусити читача замислитися над тим, як структура комп'ютера могла б просочити інформацію про його обчислення.

Як простий приклад структури протікає інформації про цитографічну схему, припустимо, що Боб задає питання Саллі, на яке ми припускаємо, що Саллі відповість yesабо no. Саллі безпосередньо зашифровує її відповідь, використовуючи спільний одноразовий килимок (OTP) , в результаті чого виходить шифротекст rk4. Незважаючи на те, що схема ОТР взагалі має ідеальну таємницю, зрозуміло, що Саллі відповіла yes.

У цьому випадку комп'ютер був структурований для витоку інформації про довжину повідомлення, що дається для цього повідомлення, що було особливо катастрофічним у цьому надуманому прикладі. Взагалі структура може просочувати інформацію про обчислення. Уникнення таких витоків було б необхідним для серверів сліпих обчислень, як той, про який планує обговорити документ.

Взагалі, атаки, які діють так, називаються атаками бічних каналів .

У випадку з цією статтею (заперечуючи, що я її швидко продемонстрував), схоже, вони в основному говорять про створення загальної обчислювальної структури, яка не просочує інформацію за своїми структурними ознаками. Наприклад, якщо структура поводилася інакше будь-яким чином на основі секретного аспекту повідомлення, то вона може витікати секретну інформацію на сервер, коли сервер спостерігає за своєю власною обчислювальною поведінкою.

Здається, у статті намагаються вказати, що обчислювальну одиницю потрібно розробити, щоб уникнути подібних витоків інформації.

Пізніше в статті вони обговорюють речі про сліпуче :

У криптографії , сліпучого є метод , за допомогою якого агент може надати послугу (тобто, обчислити функцію для) клієнта в закодованої формі , не знаючи , або реальний вхід або реальний вихід. Методи осліплення також мають додатки для запобігання атакам бічних каналів на пристрої шифрування.

- "Осліплення (криптографія)" , Вікіпедія

І, дійсно, осліплює те, у чому полягає ця робота: з'ясування способу роботи сервера для клієнтів, без того, щоб клієнти розкривали свої секрети на сервері.

Один із способів включення сліпих обчислень - клієнт використовувати гомоморфне шифрування у своєму запиті на роботу, перш ніж надсилати його на сервер:

Гомоморфне шифрування - це форма шифрування, яка дозволяє проводити обчислення на шифротекстах , генеруючи зашифрований результат, який при розшифровці відповідає результатам операцій так, ніби вони були виконані на простому тексті . Мета гомоморфного шифрування - дозволити обчислення зашифрованих даних.

- "Гомоморфне шифрування" , Вікіпедія

Один з авторів статті та оригінальних теоретичних робіт, на яких ґрунтується ця експериментальна реалізація, можливо, я можу спробувати відповісти. Протокол BQC, використаний у цій роботі, базується на моделі обчислень, де вимірювання проводяться на спеціально обраному заплутаному стані (це відоме як квантове обчислення на основі вимірювання або MBQC, і було введено в 2003 році Рауссендорфом і Брігелем ( PRA , arXiv У MBQC стан ресурсу називається графіком, тому що схема для побудови стану графа може бути пов'язана з графіком: для кожної вершини підготуйте кубіт у$|+\rangle$, а потім виконати ворота CZ між кожною парою кубітів, для яких відповідні вершини ділять ребро у графі. Виявляється, ви можете здійснити довільне квантове обчислення, спочатку підготувавши відповідний стан графа, а потім вимірюючи кожен кубіт по черзі з базами вимірювань, визначеними на основі цільового обчислення та на попередніх результатах вимірювань.

Протокол BQC - це ефективно реалізувати MBQC таким чином, що приховує бази вимірювання від Боба. Причина, яку ми згадуємо про необхідність загальної структури, полягає в тому, що протокол не приховує графік. Тепер виявляється, що ви можете фактично вибрати загальний графік, який може реалізувати будь-які квантові обчислення, які можуть бути виражені як квантова схема певної глибини та ширини, якщо бази вимірювань обрані належним чином. Використання такого графіка забезпечує текти лише глибини та ширини ланцюга, а не деталей обчислення. Крім того, обчислення завжди можна прокладати випадковим чином, щоб забезпечити протікання лише верхньої межі по глибині та ширині. Це мінімально можливий витік, оскільки в кінцевому підсумку Боб знає, скільки пам'яті має його пристрій (~ ширина ланцюга) і скільки часу він працює (~ глибина ланцюга),

Для отримання додаткової інформації ви можете ознайомитись з наступним оглядовим документом та посиланнями, що містяться в ньому: Приватні квантові обчислення: вступ до сліпих квантових обчислень та пов'язаних з ними протоколів , JF Fitzsimons, npj Quantum Information 2017.