หลักฐานความปลอดภัยที่เข้มงวดสำหรับเงินควอนตัมของ Wiesner?


50

ในบทความที่โด่งดังของเขาเรื่อง "Conjugate Coding" (เขียนรอบปี 1970) Stephen Wiesner เสนอโครงการสำหรับเงินควอนตัมที่เป็นไปไม่ได้ที่จะปลอมแปลงโดยไม่มีเงื่อนไขสมมติว่าธนาคารผู้ออกบัตรสามารถเข้าถึงตารางตัวเลขสุ่มจำนวนมากและธนบัตรนั้น กลับไปที่ธนาคารเพื่อตรวจสอบ ในรูปแบบของ Wiesner แต่ละธนบัตรประกอบด้วยคลาสสิก "หมายเลขซีเรียล" ร่วมกับรัฐเงินควอนตัม| ψ sประกอบด้วยn qubits unentangled แต่ละคนอย่างใดอย่างหนึ่งs|ψsn

|0, |1, |+=(|0+|1)/2, or |=(|0|1)/2.

ธนาคารจดจำคำอธิบายแบบคลาสสิกของทุกs และดังนั้นเมื่อ| ψ sถูกนำกลับไปที่ธนาคารเพื่อตรวจสอบความถูกต้องธนาคารสามารถวัดแต่ละ qubit ของ| ψ sในพื้นฐานที่ถูกต้อง (เช่น{ | 0 , | 1 }หรือ| + , | - ) และตรวจสอบว่าได้ผลลัพธ์ที่ถูกต้อง|ψss|ψs|ψs{|0,|1}|+,|

ในอีกทางหนึ่งเนื่องจากความไม่แน่นอนของความสัมพันธ์ (หรืออีกทางหนึ่งคือทฤษฎีการไม่โคลนนิ่ง) มันเป็น "ชัดเจนอย่างสังหรณ์ใจ" ว่าหากผู้ลอกเลียนแบบที่ไม่ทราบว่าฐานที่ถูกต้องพยายามที่จะคัดลอกแล้วน่าจะเป็นที่ทั้งของปลอมของรัฐเอาท์พุทผ่านการทดสอบการตรวจสอบของธนาคารได้มากที่สุดnสำหรับบางคง< 1 นอกจากนี้ควรจะเป็นจริงโดยไม่คำนึงถึงสิ่งที่กลยุทธ์ของปลอมใช้ให้สอดคล้องกับกลศาสตร์ควอนตั (เช่นแม้ว่าปลอมที่ใช้ในการวัดทอดแฟนซี| ψ s )|ψscnc<1|ψs

อย่างไรก็ตามในขณะที่เขียนบทความเกี่ยวกับแผนการเงินควอนตัมอื่น coauthor ของฉันและฉันรู้ว่าเราไม่เคยเห็นหลักฐานที่เข้มงวดของการเรียกร้องดังกล่าวข้างต้นทุกที่หรือขอบเขตบนชัดเจนใน : ทั้งในกระดาษต้นฉบับของ Wiesner หรือในภายหลัง .c

ดังนั้นมีเช่นหลักฐาน (ที่มีขอบเขตบน ) รับการตีพิมพ์? ถ้าไม่เช่นนั้นเราจะได้รับการพิสูจน์ในลักษณะที่ตรงไปตรงมามากขึ้นหรือน้อยลงจากทฤษฎีบทที่ไม่มีการโคลนนิ่งหรือผลลัพธ์เกี่ยวกับความปลอดภัยของโครงการกระจายคีย์ควอนตัม BB84?c

ปรับปรุง:ในแง่ของการสนทนากับ Joe Fitzsimons ด้านล่างฉันควรชี้แจงว่าฉันกำลังมองหามากกว่าการลดลงจากการรักษาความปลอดภัยของ BB84 แต่ฉันกำลังมองหาขอบเขตบนอย่างชัดเจนเกี่ยวกับความน่าจะเป็นของการปลอมแปลงที่ประสบความสำเร็จ (เช่นใน ) --- และในอุดมคติแล้วยังเข้าใจว่ากลยุทธ์การปลอมแปลงที่ดีที่สุดมีลักษณะอย่างไร นั่นคือกลยุทธ์ที่เหมาะสมที่สุดเพียงแค่วัดแต่ละ qubit ของ| ψ sอย่างอิสระพูดตามพื้นฐานc|ψs

{cos(π/8)|0+sin(π/8)|1,sin(π/8)|0cos(π/8)|1}?

หรือมีกลยุทธ์การปลอมแปลงที่ยุ่งเหยิงที่ทำได้ดีกว่า

{|0,|1} ข้อ จำกัด ด้านกฎความปลอดภัยสำหรับโครงการของ Wiesner ที่ "เกินไป" ง่าย (ตัวอย่างเช่นการโต้แย้งใด ๆ กับผลกระทบที่ไม่มีสิ่งใดที่ไม่เป็นความจริงที่ผู้ลอกเลียนแบบสามารถทำได้ดังนั้นคำตอบที่ถูกต้องคือ c = 1/2)

อัปเดต 3:ไม่คำตอบที่ถูกต้องคือ (3/4) n ! ดูหัวข้อสนทนาด้านล่างคำตอบของ Abel Molina


3
ยินดีต้อนรับสู่สกอตต์ TP.SE! ดีใจที่ได้พบคุณที่นี่
Joe Fitzsimons

1
ดูเหมือนว่ารูปแบบของ Wiesner สอดคล้องกับ BB84 ตรงที่คุณโพสต์ตัวเลือกใน Bob โดยเลือกฐานการวัดแบบเดียวกับที่ Alice เตรียมไว้ให้ (เนื่องจากธนาคารเป็นทั้ง Alice และ Bob) เห็นได้ชัดว่าธนาคารสามารถเลือกวิธีการวัดแบบสุ่มแทนและจำลอง BB84 ซึ่งจะให้ความปลอดภัยที่เข้มงวดน้อยกว่า (เนื่องจากคุณจะพิจารณาการวัดเดียวกัน แต่ในเซตย่อยของ qubits) ดังนั้นคุณสามารถใช้หลักฐานของ BB84 เพื่อลด ผูกพันความปลอดภัยของโครงการเงินควอนตัม บางทีฉันอาจจะคิดถึงบางสิ่งบางอย่าง
Joe Fitzsimons

ขอบคุณสำหรับการต้อนรับและคำตอบโจ! FWIW ฉันแบ่งปันปรีชาของคุณว่าหลักฐานความปลอดภัยสำหรับโครงการของ Wiesner ควรเป็น "ง่ายกว่าอย่างเคร่งครัด" กว่าหลักฐานความปลอดภัย BB84 อย่างไรก็ตามด้วยการโต้แย้งนั้น (เช่นเดียวกับคนอื่น ๆ ) ฉันกลับมาที่คำถามเดียวกัน: "งั้นสิ่งที่ถูกผูกไว้บน c?"
Scott Aaronson

แน่นอนว่ามันถูกล้อมรอบด้วยความน่าจะเป็นในการพิจารณาคีย์ใน BB84
Joe Fitzsimons

นอกจากนี้ในขณะที่มันก็โอเคที่จะสรุปความปลอดภัยของโครงการ Wiesner จากการรักษาความปลอดภัยของ BB84 หากเป็นทางเลือกเดียว / ดีที่สุดฉันถือความหวังว่าควรจะมีหลักฐานที่ตรงและให้ข้อมูลมากขึ้น นอกจากนี้ดูเหมือนว่ามีความเป็นไปได้ที่จะต้องมีการพิสูจน์โดยตรงสำหรับขอบเขตบนอย่างชัดเจนใน c หรือเพื่อให้ได้ขอบเขตที่ "สมเหตุสมผล" (เช่น 0.9 มากกว่า 0.99999)
Scott Aaronson

คำตอบ:


33

ดูเหมือนว่าการโต้ตอบนี้สามารถสร้างแบบจำลองด้วยวิธีต่อไปนี้:

  1. |000|101(|0+|1)|10/2(|0|1)|11/2
  2. บ๊อบดำเนินการช่องควอนตัมตามอำเภอใจที่ส่ง qubit ของเขาไปที่สอง qubits ซึ่งจะถูกส่งกลับไปยังอลิซ
  3. อลิซทำการวัดแบบ projective บนสี่ qubit บนความครอบครองของเธอ

ถ้าฉันไม่ผิดเกี่ยวกับเรื่องนี้ (และขอโทษถ้าฉัน) สิ่งนี้อยู่ในพิธีการจาก Gutoski และ Watrous นำเสนอที่นี่และที่นี่ซึ่งหมายความว่า:

  1. จากทฤษฎีบทที่ 4.9 ในบทที่สองมันเป็นสิ่งที่ดีที่สุดที่บ็อบจะทำอย่างอิสระเมื่ออลิซทำซ้ำกระบวนการนี้ด้วยหลาย qubits อย่างเป็นอิสระหากวัตถุประสงค์ของบ๊อบคือการหลอกอลิซเสมอ
  2. เป็นไปได้ที่จะได้รับค่าของ c จากโปรแกรม semidefinite ขนาดเล็ก คุณสามารถค้นหารายละเอียดเพิ่มเติมของวิธีการขอรับโปรแกรมนี้ในมาตรา 3 ที่นี่ ดูความคิดเห็นสำหรับรหัส cvx สำหรับโปรแกรมและค่าของมัน

10
ตามคำแนะนำของอาเบลปรากฏว่าค่าที่ดีที่สุดคือ c = 3/4

3
ฉันเพิ่งได้ค่าเท่ากับ 3/4 ชี้แจงประเด็นที่มีขนาดเล็ก แต่รหัสคอมพิวเตอร์อยู่ที่cs.uwaterloo.ca/~amolinap/scriptWeisner.mและcs.uwaterloo.ca/~amolinap/prtrace.m
Abel Molina

4
กลยุทธ์ดังกล่าวมอบให้โดยช่องควอนตัมที่มีตัวแทน Choi-Jamielkowski เป็นทางออกที่ดีที่สุดสำหรับโปรแกรม semidefinite ดูcs.uwaterloo.ca/~amolinap/optSolution.txtสำหรับลิงก์ไปยังโซลูชันดังกล่าว (ควิบิตที่สำคัญน้อยที่สุดคืออันที่ได้รับจาก Bob และอีกสองอันคือสิ่งที่เขาส่งไปยังอลิซ) หากการคำนวณของฉันถูกต้องช่องทางที่เกี่ยวข้องจะส่ง | 0> ถึง (| 01> + | 10>) / √2ที่มีความน่าจะเป็น 1/6 และถึง (3 | 00> + | 11>) / √10ที่มีความน่าจะเป็น 5 / 6 | 1> ถูกส่งไปยัง (| 01> + | 10>) / √2ที่มีความน่าจะเป็น 1/6 และไปที่ (| 00> +3 | 11>) / √10ที่มีความน่าจะเป็น 5/6
Abel Molina

4
ในทำนองเดียวกัน (| 0> + | 1>) / √2ถูกส่งไปที่ (| 11> - | 00>) / √2ด้วยความน่าจะเป็น 1/6 และไปที่ (| 00> +1/2 | 01> +1 / 2 | 10> + | 11>) / √ (5/2) ที่มีความน่าจะเป็น 5/6 ในทำนองเดียวกัน (| 0> - | 1>) / √2ถูกส่งไปที่ (| 11> - | 00>) / √2ด้วยความน่าจะเป็น 1/6 และไปที่ (| 00> -1/2 | 01> -1 / 2 | 10> + | 11>) / √ (5/2) ที่มีความน่าจะเป็น 5/6
Abel Molina

3
เนื่องจากคำตอบของ @ AbelMolina ได้รับการดัดแปลงด้วยกระดาษ arXiv, arxiv.org/abs/1202.4010ฉันจึงเพิ่มลิงค์สำหรับผู้อ่านในอนาคต
Frédéric Grosshans

19

α|0+β|1αβR

(12+18)2n.72855n
n(58)n

i=12AiρAi

A1=(12+18001801812180)    A2=(01218180180012+18).

i=12AiρAi

A1=112(30010110)    A2=112(01101003).

สิ่งเหล่านี้มาอย่างชัดเจนจากการเปลี่ยนแปลงในตระกูลเดียวกัน แต่ได้รับการปรับให้เหมาะสมกับฟังก์ชั่นวัตถุประสงค์ที่แตกต่างกัน ตระกูลของการแปรปรวนร่วม covariant นี้ดูเหมือนจะได้รับจาก

A1=12x2+4y2(x+y00y0yxy0)    A2=12x2+4y2(0xyy0y00x+y).

ขอบคุณปีเตอร์! มันจะเป็นการดีที่จะแสดงให้เห็นถึงการมองโลกในแง่ดีหรือแม้กระทั่งการมองโลกในแง่ดี ด้วยเหตุนี้ฉันเดาว่าขั้นตอนแรกจะแสดงให้เห็นว่าการโจมตีที่ดีที่สุดนั้นเป็นรายบุคคลมากกว่าแบบกลุ่ม
Scott Aaronson

หากวิธีการของ Abel Molina ใช้ได้ผลก็ควรแสดงให้เห็นถึงสิ่งนี้ ถ้าไม่คุณควรจะสามารถใช้เทคนิคต่าง ๆ ในเอกสาร cloner ที่ดีที่สุดเพื่อให้ได้ขอบเขตสูงสุด แต่ฉันไม่รู้ทันทีว่ามันจะเป็นอะไร
Peter Shor

(|0+i|1)/2(|0i|1)/2c=2/3x=y=1

x=y=1

16

ฉันไม่รู้หลักฐานความปลอดภัยที่เผยแพร่ ฉันคิดว่าวิธีที่ง่ายที่สุดและขอบเขตที่แข็งแกร่งที่สุดนั้นมาจากการไม่มีการโคลนนิ่งโดยประมาณ แต่ฉันคิดว่าคุณจะต้องมีเวอร์ชันเฉพาะสำหรับรัฐ BB84 แม้แต่การลดลงของ BB84 ก็ไม่ชัดเจนเนื่องจากสภาพความปลอดภัยสำหรับ BB84 นั้นแตกต่างกัน

ฉันคิดว่าคุณจะได้รับการพิสูจน์อย่างตรงไปตรงมาอันเป็นผลมาจากการพิสูจน์ความปลอดภัยของการเข้ารหัสที่ไม่สามารถแก้ไขได้ ( quant-ph / 0210062 ) สิ่งนี้จะไม่ได้รับขอบเขตบนที่แน่นหนาเกี่ยวกับความน่าจะเป็นโกง แต่อย่างน้อยก็ให้ความปลอดภัย

ρk

สิ่งนี้สามารถใช้เพื่อสร้างรูปแบบเงินควอนตัม: ธนาคาร A ใช้การเข้ารหัสที่ไม่สามารถทำการเข้ารหัสเพื่อเข้ารหัสสตริงแบบสุ่มที่เป็น "ข้อความ" มีรูปแบบการเข้ารหัสที่ไม่สามารถยกเลิกได้ซึ่งโดยพื้นฐานแล้วคือ BB84 ดังนั้นนี่อาจเป็นรูปแบบของ Weisner อีฟสกัดเงินโต้ตอบกับมันและส่งต้นฉบับที่แก้ไขแล้วไปที่ธนาคารบีเธอยังพยายามทำสำเนาซึ่งไปที่ธนาคารซีแบงก์สบีและซียอมรับว่าหากรัฐที่ให้แก่พวกเขาผ่านการทดสอบการเข้ารหัสลับที่ไม่สามารถถอดรหัสได้ และหากพวกเขาถอดรหัสสตริง "ข้อความ" สุ่มที่ถูกต้อง คุณสมบัติการเข้ารหัสที่ไม่สามารถลบได้ b บอกว่าด้วยความน่าจะเป็นสูงการคัดลอกของ B จะล้มเหลวในการทดสอบการดักฟังหรือสำเนาของ C ไม่มีข้อมูลเกี่ยวกับข้อความ สิ่งนี้แข็งแกร่งกว่าความต้องการ แต่เพียงพอที่จะพิสูจน์ความปลอดภัย

สำหรับการโจมตีทางซีมโทติคที่ดีที่สุดฉันจะจินตนาการเพราะควอนตัมเดอฟิเนตติการโจมตีแบบกลุ่มที่ดีที่สุดนั้นเหมือนกับการโจมตีแต่ละครั้งที่ดีที่สุด


ขอบคุณมาก Daniel! ฉันจะหาข้อโต้แย้งที่ให้ขอบเขตชัดเจนกับ c ต่อไป แต่ในระหว่างนี้มันมีประโยชน์มาก ฉันไปข้างหน้าและทำเครื่องหมายคำตอบของคุณว่า "ยอมรับ"
Scott Aaronson
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.