Wiesner의 양자 돈에 대한 엄격한 보안 증명?

그의 유명한 논문 "Conjugate Coding"(1970 년경에 쓰여진)에서 Stephen Wiesner는 발행 은행이 거대한 임의의 숫자 테이블에 액세스 할 수 있고 지폐를 가져올 수 있다고 가정 할 때 무조건 위조가 불가능한 양자 돈 계획을 제안했습니다. 확인을 위해 은행으로 돌아갑니다. WIESNER의 방식에서는 각각의 지폐는 고전 "일련 번호"로 구성 양자 돈 상태와 함께 이루어진 unentangled 큐빗, 각각 어느 $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2}, or | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

은행은 모든 위해가 . 따라서 확인을 위해 은행에 다시 데려, 은행이 각각의 큐 비트를 측정 할 수 있습니다 적절한 베이시스 (어느 또는 )하고 정확한 결과를 얻을 수 있음을 확인한다. $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ ${|+\rangle,|-\rangle}$

한편, 불확실성 관계의 (또는 대안 없음 - 복제 정리가), 그것이 위조 경우 그 "직관적으로 명백한"때문에 하지 않는 올바른 기초를 알고 복사하려고 후 확률 모두 위조자의 출력 상태가 은행의 인증 시험이 많아야 전달 될 수 일부 전율, . 더욱이, 이는 양자 역학에 따라 위조자가 어떤 전략을 사용하는지에 관계없이 적용되어야한다 (예를 들어, 위조자가 on에 화려한 얽힌 측정을 사용 ). $|\psi_s\rangle$ $c^n$ $c<1$ $|\psi_s\rangle$

그러나 다른 양자 돈 계획에 관한 논문을 쓰는 동안 저의 공동 저자와 저는 위의 주장에 대한 엄격한 증거 또는 의 명시적인 상한을 본 적이 없다는 것을 깨달았습니다 . . $c$

그래서, 이 (에 상한과 같은 증거 ) 발표 된? 그렇지 않다면, 그와 같은 증명을 무 복지 정리의 대략적인 버전이나 BB84 양자 키 분배 체계의 보안에 대한 결과에서보다 간단하거나 간단하게 도출 할 수 있습니까? $c$

업데이트 : 아래의 Joe Fitzsimons와의 논의를 고려할 때 BB84의 보안을 단순히 축소하는 것 이상을 찾고 있음을 분명히해야합니다. 오히려, 나는 위조가 성공할 확률에 대한 명백한 상한을 찾고있다 (즉, ). 이상적으로는 최적의 위조 전략이 어떤 것인지 이해해야한다. 즉, 최적의 전략은 단순히 각 큐빗을 측정합니까 독립적는 베이시스라고 $c$ $|\psi_s\rangle$

{\cos (π / 8) | 0 ⟩ + \sin (π / 8) | 1 ⟩, \sin (π / 8) | 0 ⟩ - \cos (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

아니면 더 나은 얽힌 위조 전략이 있습니까?

$\{|0\rangle,|1\rangle\}$ c에 제한은 "너무"간단한 Wiesner의 체계에 대한 모든 보안 주장을 배제합니다 (예를 들어, 위조자가 할 수있는 사소한 것이 없기 때문에 정답은 c = 1 / 2 임).

업데이트 3 : 아니요, 정답은 (3/4) ^n입니다 ! Abel Molina의 답변 아래 토론 스레드를 참조하십시오.

quantum-computing

— 스콧 애런 슨
소스

TP.SE Scott에 오신 것을 환영합니다! 반갑습니다.

— Joe Fitzsimons

Wiesner의 계획은 BB84와 정확히 일치하는 것으로 보입니다 .BB84는 Alice가 준비를 위해 (예 : 은행이 Alice와 Bob이기 때문에) Alice와 정확히 동일한 측정 기준을 선택한 Bob에게 선택을 게시합니다. 분명히 은행은 대신 측정 기준을 무작위로 선택하고 BB84를 시뮬레이트 할 수 있습니다 .BB84는 보안이 엄격하게 약합니다 (정확하게 동일한 측정을 고려하지만 큐 비트의 하위 집합에서만 고려하기 때문에) BB84의 증거를 사용하여 낮추십시오. 양자 돈 제도의 안전을 결박했습니다. 어쩌면 나는 뭔가를 놓치고 있습니다.

— Joe Fitzsimons

환영과 답변 감사합니다, 조! FWIW, 나는 Wiesner의 체계에 대한 보안 증명이 BB84에 대한 보안 증명보다 "엄격히 쉬워야"한다는 당신의 직감을 공유합니다. 그러나 (다른 모든 것들과 마찬가지로) 그 주장으로 나는 계속 같은 질문으로 돌아갑니다. "그래서 c의 상한은 무엇입니까?"

— Scott Aaronson

확실히 BB84에서 키를 결정할 확률에 의해 상한이됩니다.

— Joe Fitzsimons

또한 이것이 유일한 최선의 대안이라면 BB84의 보안에서 Wiesner의 보안 체계를 유추하는 것이 좋을 것이지만, 나는 더 직접적이고 유익한 증거가 있어야한다는 희망을 가지고 있습니다. 더욱이, c에 대한 명시적인 상한을 얻거나 이와 같은 "합리적인"범위 (0.99999보다 0.9)를 얻기 위해서는 직접적인 증거가 필요할 것 같다.

— Scott Aaronson

답변:

이 상호 작용은 다음과 같은 방식으로 모델링 될 수 있습니다.

$|000\rangle$ $|101\rangle$ $(|0\rangle+|1\rangle)|10\rangle/\sqrt{2}$ $(|0\rangle-|1\rangle)|11\rangle/\sqrt{2}$
Bob은 임의의 양자 채널을 수행하여 자신의 큐 비트를 두 큐 비트로 보낸 다음 Alice에게 반환합니다.
앨리스는 자신이 소유 한 4 큐 비트에 대해 투영 측정을 수행합니다.

내가 이것에 대해 틀리지 않으면 (그리고 내가 미안하다면), 이것은 여기 와 여기에 제시 된 Gutoski와 Watrous의 형식주의에 속합니다 .

Bob의 목적이 Alice를 항상 속이는 경우 Alice가 두 번째 정리 4.9에서 Alice가 여러 큐빗으로이 프로세스를 독립적으로 여러 번 반복 할 때 Bob이 독립적으로 행동하는 것이 가장 좋습니다.
작은 반정의 프로그램에서 c의 값을 얻을 수 있습니다. 이 프로그램을 얻는 방법에 대한 자세한 내용은 여기 섹션 3을 참조하십시오 . 프로그램의 cvx 코드에 대한 주석과 그 값을 참조하십시오.

— 아벨 몰리나
소스

Abel의 제안에 따르면 최적의 값은 c = 3/4 인 것으로 보입니다.

나는 3/4의 동일한 값을 얻었습니다. 설명력은 작지만 컴퓨터 코드는 cs.uwaterloo.ca/~amolinap/scriptWeisner.m 및 cs.uwaterloo.ca/~amolinap/prtrace.m에 있습니다.

— Abel Molina

— Abel Molina

마찬가지로 (| 0> + | 1>) / √2는 확률 1/6으로 (| 11>-| 00>) / √2로, (| 00> 1/2 | 01> +1로 전송됩니다. / 2 | 10> + | 11>) / √ (5/2), 확률 5/6. 마찬가지로 (| 0>-| 1>) / √2는 확률 1/6으로 (| 11>-| 00>) / √2로, (| 00> -1/2 | 01> -1로 전송됩니다. / 2 | 10> + | 11>) / √ (5/2), 확률 5/6.

— Abel Molina

@AbelMolina의 답변이 arXiv 용지 arxiv.org/abs/1202.4010 으로 변환 되었으므로 향후 독자를위한 링크를 추가합니다.

— Frédéric Grosshans

$\alpha |0\rangle + \beta |1\rangle$ $\alpha$ $\beta\in \mathbb{R}\:$

{(\frac{1}{2} + \frac{1}{\sqrt{8}})}^{2 n} \approx {.72855}^{n}

$\left(\frac{1}{2}+ \frac{1}{\sqrt{8}}\right)^{2n} \approx .72855^n$

n

$n$

(\frac{5}{8})^{n}

$(\frac{5}{8})^n$

$\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = (\begin{array}{cc} \frac{1}{2} + \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{\sqrt{8}} \\ 0 & \frac{1}{\sqrt{8}} \\ \frac{1}{2} - \frac{1}{\sqrt{8}} & 0 \end{array}) A_{2} = (\begin{array}{cc} 0 & \frac{1}{2} - \frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}} & 0 \\ \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{2} + \frac{1}{\sqrt{8}} \end{array}) .

$A_1 = \left( \begin{array}{cc} \frac{1}{2}+\frac{1}{\sqrt{8}} & 0\\ 0 & \frac{1}{\sqrt{8}}\\ 0 & \frac{1}{\sqrt{8}}\\ \frac{1}{2}-\frac{1}{\sqrt{8}} & 0 \end{array} \right) \ \ \ \ A_2 = \left(\begin{array}{cc} 0& \frac{1}{2}-\frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}}&0\\ \frac{1}{\sqrt{8}}&0\\ 0&\frac{1}{2}+\frac{1}{\sqrt{8}} \end{array} \right) .$

$\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 3 & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{array}) A_{2} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3 \end{array}) .

$A_1 = \frac{1}{\sqrt{12}}\left( \begin{array}{cc} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{12}}\left(\begin{array}{cc} 0& 1 \\ 1&0\\ 1&0\\ 0&3 \end{array} \right) .$

이들은 분명히 동일한 변형 군에서 나왔지만 다른 목적 함수를 충족하도록 최적화되었습니다. 이 공변량 변환 계열은 다음과 같이 나타납니다.

A_{1} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} x + y & 0 \\ 0 & y \\ 0 & y \\ x - y & 0 \end{array}) A_{2} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} 0 & x - y \\ y & 0 \\ y & 0 \\ 0 & x + y \end{array}) .

$A_1 = \frac{1}{\sqrt{2x^2+4y^2}}\left( \begin{array}{cc} x+y & 0\\ 0 & y\\ 0 & y\\ x-y & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{2x^2+4y^2}}\left(\begin{array}{cc} 0& x-y \\ y&0\\ y&0\\ 0&x+y \end{array} \right) .$

— 피터 쇼어
소스

고마워, 피터! 클론의 최적 성 또는 거의 최적 성을 보여주는 것이 좋습니다. 이를 위해 첫 번째 단계는 최적의 공격이 집단적인 것이 아니라 개인이라는 것을 보여줄 것입니다.

— Scott Aaronson

Abel Molina의 접근 방식이 효과가 있다면이를 증명해야합니다. 그렇지 않은 경우 최적의 클론 종이에있는 기술을 사용하여 상한을 얻을 수는 있지만 그것이 무엇인지 즉시 알 수는 없습니다.

— 피터 쇼어

(| 0 ⟩ + i | 1 ⟩) / \sqrt{2}

$(|0\rangle + i |1\rangle)/\sqrt{2}$

(| 0 ⟩ - i | 1 ⟩) / \sqrt{2}

$(|0\rangle - i |1\rangle)/\sqrt{2}$

c = 2 / 3

$c = 2/3$

x = y = 1

$x = y = 1$

x = y = 1

$x=y=1$

게시 된 보안 증명을 모르겠습니다. 나는 가장 간단한 방법과 가장 강한 한계는 대략적인 복제가 아니라고 생각하지만 BB84 주에 특화된 버전이 필요하다고 생각합니다. BB84의 보안 조건이 다르기 때문에 BB84의 감소조차 명확하지 않습니다.

복제 할 수없는 암호화에 대한 보안 증명 ( quant-ph / 0210062 ) 의 결과로 간단하게 증거를 얻을 수 있다고 생각합니다 . 이것은 부정 행위 확률에 대한 엄격한 상한을 얻지 못하지만 최소한 보안을 제공합니다.

$\rho_k$

이것은 양자 돈 체계를 만드는 데 사용될 수 있습니다. 뱅크 A는 복제 불가능한 암호화를 사용하여 임의의 문자열 "메시지"를 암호화합니다. 기본적으로 BB84 인 복제 불가능한 암호화 체계가 있으므로 Weisner의 체계를 제공 할 수 있습니다. Eve는 돈을 가로 채고 상호 작용하며 수정 된 원본을 은행 B로 보냅니다. 또한 사본 C를 보내려고 시도합니다. 은행 B와 C는 제공된 상태가 복제 할 수없는 암호화 도청 테스트를 통과하면 수락합니다. 및 올바른 임의의 "메시지"문자열을 디코딩하는 경우. 복제 불가능한 암호화 속성 b는 가능성이 높으면 B의 복사본이 도청 테스트에 실패하거나 C의 복사본에 메시지에 대한 정보가 거의 없다고 말합니다. 이것은 필요 이상으로 강력하지만 보안을 증명하기에 충분합니다.

최고의 점근선 공격의 경우 Quantum de Finetti로 인해 최선의 집단 공격은 개별 공격과 동일하다고 생각합니다.

고마워 다니엘! 나는 c에 명시 적 인 바운드를주는 인수를 계속 찾고 있지만 그 동안 이것은 매우 도움이됩니다. 나는 당신의 대답을 "허용"으로 표시했습니다.

— Scott Aaronson