Строгое доказательство безопасности за квантовые деньги Виснера?

В своей знаменитой статье «Сопряженное кодирование» (написано около 1970 года) Стивен Виснер предложил схему для квантовых денег, которую безоговорочно невозможно подделать, предполагая, что банк-эмитент имеет доступ к гигантской таблице случайных чисел и что банкноты могут быть принесены обратно в банк для проверки. В схеме Wiesner, каждая банкнота состоит из классического «серийного номера» , вместе с квантовыми деньгами состоянием , состоящие из unentangled кубитов, каждый из которых либо $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2}, or | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

Банк запоминает классическое описание для каждого . И поэтому, когда возвращается в банк для проверки, банк может измерить каждый кубит в правильной основе (либо либо ) и убедитесь, что он получает правильные результаты. $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ ${|+\rangle,|-\rangle}$

С другой стороны, из-за отношения неопределенности (или, в качестве альтернативы, теоремы об отсутствии клонирования), «интуитивно очевидно», что если фальшивомонетчик, который не знает правильных оснований, попытается скопировать , то вероятность того, что оба выходных состояния фальшивомонетчика пройдут проверочный тест банка, может быть не более для некоторой константы . Кроме того, это должно быть правдой независимо от того, какую стратегию использует фальшивомонетчик, в соответствии с квантовой механикой (например, даже если фальшивомонетчик использует причудливые запутанные измерения на ). $|\psi_s\rangle$ $c^n$ $c<1$ $|\psi_s\rangle$

Однако, когда я писал статью о других схемах квантовых денег, я и мой соавтор поняли, что мы нигде не видели строгого доказательства вышеуказанного утверждения или явной верхней границы для : ни в оригинальной статье Виснера, ни в более поздней. , $c$

Итак, есть такое доказательство (с верхней границей ) были опубликованы? Если нет, то можно ли получить такое доказательство в более или менее прямой форме из (скажем) приблизительных версий теоремы об отсутствии клонирования или результатов о безопасности схемы распределения квантовых ключей BB84? $c$

Обновление: в свете обсуждения с Джо Фицсимонсом ниже, я должен уточнить, что я ищу больше, чем просто снижение безопасности BB84. Скорее, я ищу четкую верхнюю границу вероятности успешной контрафакции (то есть на ) - и в идеале также некоторое понимание того, как выглядит оптимальная стратегия контрафакции. Т.е. оптимальная стратегия просто измеряет каждый кубит независимо, скажем, в базисе $c$ $|\psi_s\rangle$

{\cos (π / 8) | 0 ⟩ + \sin (π / 8) | 1 ⟩, \sin (π / 8) | 0 ⟩ - \cos (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

Или есть запутанная стратегия подделки, которая делает лучше?

Обновление 2: Прямо сейчас, лучшими из известных мне стратегий контрафакции являются: (а) приведенная выше стратегия и (б) стратегия, которая просто измеряет каждый кубит на основе и " надеется на лучшее ". Интересно, что обе эти стратегии достигают вероятности успеха (5/8) ⁿ . Итак, моя гипотеза о том, что (5/8) ⁿ может быть правильным ответом. В любом случае тот факт, что 5/8 является нижней границей c, исключает любой аргумент безопасности для схемы Виснера, который является «слишком» простым (например, любой аргумент о том, что нет ничего нетривиального, что может сделать фальшивомонетчик, и поэтому правильный ответ с = 1/2). $\{|0\rangle,|1\rangle\}$

Обновление 3: Нет, правильный ответ (3/4) ⁿ ! Смотрите ветку обсуждения ниже ответа Абеля Молины.

quantum-computing

— Скотт Ааронсон
источник

Добро пожаловать в TP.SE Скотт! Рад видеть тебя здесь.

— Джо Фицсимонс

Похоже, что схема Виснера точно соответствует BB84, где вы публикуете «Выбор» на Бобе, выбрав для подготовки те же самые базы измерения, что и у Алисы (поскольку банк - это и Алиса, и Боб). Очевидно, что вместо этого банк мог бы выбрать базу измерения случайным образом и смоделировать BB84, что обеспечило бы строго более слабую защиту (поскольку вы бы учитывали точно такие же измерения, но только на подмножестве кубитов), так что вы, несомненно, можете использовать доказательство BB84 для уменьшения связаны безопасность схемы квантовых денег. Возможно, я что-то упустил, хотя.

— Джо Фицсимонс

Спасибо за прием и ответ, Джо! FWIW, я разделяю вашу интуицию, что доказательство безопасности для схемы Wiesner должно быть «строго проще», чем доказательство безопасности для BB84. Однако с этим аргументом (как и с любым другим) я продолжаю возвращаться к одному и тому же вопросу: «Так тогда, какова верхняя граница для c?»

— Скотт Ааронсон

Наверняка он ограничен сверху вероятностью определения ключа в BB84.

— Джо Фицсимонс

Кроме того, хотя было бы нормально вывести безопасность схемы Виснера из безопасности BB84, если это единственная / лучшая альтернатива, я надеюсь, что должно быть более прямое и информативное доказательство. Кроме того, представляется вероятным, что прямое доказательство понадобится для получения явной верхней границы для c или для получения «разумной» такой границы (больше похоже на 0,9, чем на 0,99999).

— Скотт Ааронсон

Ответы:

Кажется, что это взаимодействие может быть смоделировано следующим образом:

Алиса готовит одно из состояний , , , , в соответствии с определенным распределением вероятностей, и отправляет первый кубит Бобу. $|000\rangle$ $|101\rangle$ $(|0\rangle+|1\rangle)|10\rangle/\sqrt{2}$ $(|0\rangle-|1\rangle)|11\rangle/\sqrt{2}$
Боб выполняет произвольный квантовый канал, который отправляет свой кубит двум кубитам, которые затем возвращаются Алисе.
Алиса выполняет проективное измерение четырех кубитов на своем владении.

Если я не ошибаюсь в этом (и извините, если да), это подпадает под формализм Гутоски и Ватроуса, представленный здесь и здесь , что подразумевает, что:

Из теоремы 4.9 во второй из них Бобу лучше действовать независимо, когда Алиса повторяет этот процесс с несколькими кубитами независимым образом, если цель Боба - всегда обманывать Алису.
Можно получить значение c из небольшой полуопределенной программы. Вы можете найти более подробную информацию о том, как получить эту программу в разделе 3 здесь . Смотрите комментарии для кода cvx для программы и ее значения.

— Абель Молина
источник

Следуя предложению Абеля, получается, что оптимальным значением является c = 3/4.

Я только что получил то же значение 3/4. Его объяснительная сила мала, но компьютерный код находится по адресу cs.uwaterloo.ca/~amolinap/scriptWeisner.m и cs.uwaterloo.ca/~amolinap/prtrace.m .

— Абель Молина

Стратегия задается квантовым каналом, чье представление Чой-Ямельковского является оптимальным решением для полуопределенной программы. См. Cs.uwaterloo.ca/~amolinap/optSolution.txt для ссылки на такое решение (наименее значимый кубит - тот, который получил Боб, а два других - тот, который он посылает Алисе). Если мои расчеты верны, соответствующий канал отправляет | 0> в (| 01> + | 10>) / √2 с вероятностью 1/6 и в (3 | 00> + | 11>) / √10 с вероятностью 5 / 6. | 1> отправляется в (| 01> + | 10>) / √2 с вероятностью 1/6 и в (| 00> +3 | 11>) / √10 с вероятностью 5/6

— Абель Молина

Аналогично, (| 0> + | 1>) / √2 отправляется в (| 11> - | 00>) / √2 с вероятностью 1/6, а также (| 00> +1/2 | 01> +1 / 2 | 10> + | 11>) / √ (5/2) с вероятностью 5/6. Аналогично, (| 0> - | 1>) / √2 отправляется в (| 11> - | 00>) / √2 с вероятностью 1/6, а также (| 00> -1/2 | 01> -1 / 2 | 10> + | 11>) / √ (5/2) с вероятностью 5/6.

— Абель Молина

Поскольку ответ @ AbelMolina был преобразован в статью arXiv arxiv.org/abs/1202.4010 , я добавляю ссылку для будущих читателей.

— Фредерик Гросханс

Вопрос о клонировании состояний BB84 освещался в статье «Фазово-ковариантное квантовое клонирование» Дагмара Брюса, Мирко Чинкетти, Дж. Мауро д'Ариано и Кьяры Маккиавелло [ Phys Rev. A, 62, 012302 (2000), Eq. 36]. Они дают оптимальный клонер для этих состояний (который также является оптимальным клонером для любых состояний с , . Они не оптимизируют, используя тот же показатель точности, о котором вы спрашиваете, но я подозреваю, что их клонер оптимален для вашего вопроса. Их клонер дает вероятность успеха для подделки $\alpha |0\rangle + \beta |1\rangle$ $\alpha$ $\beta\in \mathbb{R}\:$

{(\frac{1}{2} + \frac{1}{\sqrt{8}})}^{2 n} \approx {.72855}^{n}

$\left(\frac{1}{2}+ \frac{1}{\sqrt{8}}\right)^{2n} \approx .72855^n$

n

$n$ BB84 утверждает, что немного лучше, чем .

(\frac{5}{8})^{n}

$(\frac{5}{8})^n$

ОБНОВЛЕНИЕ: оптимальный клонер Брюса и др. Определяется как где $\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = (\begin{array}{cc} \frac{1}{2} + \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{\sqrt{8}} \\ 0 & \frac{1}{\sqrt{8}} \\ \frac{1}{2} - \frac{1}{\sqrt{8}} & 0 \end{array}) A_{2} = (\begin{array}{cc} 0 & \frac{1}{2} - \frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}} & 0 \\ \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{2} + \frac{1}{\sqrt{8}} \end{array}) .

$A_1 = \left( \begin{array}{cc} \frac{1}{2}+\frac{1}{\sqrt{8}} & 0\\ 0 & \frac{1}{\sqrt{8}}\\ 0 & \frac{1}{\sqrt{8}}\\ \frac{1}{2}-\frac{1}{\sqrt{8}} & 0 \end{array} \right) \ \ \ \ A_2 = \left(\begin{array}{cc} 0& \frac{1}{2}-\frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}}&0\\ \frac{1}{\sqrt{8}}&0\\ 0&\frac{1}{2}+\frac{1}{\sqrt{8}} \end{array} \right) .$

Оптимальный клонер, найденный решением полуопределенной программы Абеля, имеет вид где: $\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 3 & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{array}) A_{2} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3 \end{array}) .

$A_1 = \frac{1}{\sqrt{12}}\left( \begin{array}{cc} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{12}}\left(\begin{array}{cc} 0& 1 \\ 1&0\\ 1&0\\ 0&3 \end{array} \right) .$

Они явно происходят из одного и того же семейства преобразований, но были оптимизированы для удовлетворения различных целевых функций. Это семейство ковариантных преобразований, по-видимому, дается

A_{1} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} x + y & 0 \\ 0 & y \\ 0 & y \\ x - y & 0 \end{array}) A_{2} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} 0 & x - y \\ y & 0 \\ y & 0 \\ 0 & x + y \end{array}) .

$A_1 = \frac{1}{\sqrt{2x^2+4y^2}}\left( \begin{array}{cc} x+y & 0\\ 0 & y\\ 0 & y\\ x-y & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{2x^2+4y^2}}\left(\begin{array}{cc} 0& x-y \\ y&0\\ y&0\\ 0&x+y \end{array} \right) .$

— Питер Шор
источник

Спасибо, Питер! Было бы здорово показать оптимальность или даже почти оптимальность своего клонера. Для этого, я думаю, первым шагом было бы показать, что оптимальная атака индивидуальная, а не коллективная.

— Скотт Ааронсон

Если подход Абеля Молины работает, он должен продемонстрировать это. Если нет, вы должны быть в состоянии использовать методы в оптимальных документах для клонеров, чтобы получить верхнюю границу, но я не сразу знаю, что это будет.

— Питер Шор

При добавлении состояний и к исходным четырем, создается впечатление, что оптимально падает до . Оптимальный канал для Боба снова задается семейством каналов Питера с .

(| 0 ⟩ + i | 1 ⟩) / \sqrt{2}

$(|0\rangle + i |1\rangle)/\sqrt{2}$

(| 0 ⟩ - i | 1 ⟩) / \sqrt{2}

$(|0\rangle - i |1\rangle)/\sqrt{2}$

c = 2 / 3

$c = 2/3$

x = y = 1

$x = y = 1$

@John: это преобразование - оригинальный квантовый клонер Бужека и Хиллери. Я думаю, что происходит то, что существует однопараметрическое семейство ковариантных квантовых клонеров для реальных кубитных состояний амплитуды. Если вам требуется ковариация для всех состояний, а не только для реальных амплитуд, вы получите только единицу. (Ковариант здесь означает: если вы примените одно и то же реальное вращение к пространствам состояний ввода и вывода, вы получите одно и то же преобразование. Конечно, это по-прежнему верно, если вы сначала применяете вращение к пространству ввода, поэтому вы должны также требуют, чтобы перекрытие было максимальным без вращения.)

x = y = 1

$x=y=1$

— Питер Шор

Я не знаю ни одного опубликованного доказательства безопасности. Я бы подумал, что самый простой способ и самая сильная граница - это приблизительное отсутствие клонирования, но я думаю, вам понадобится версия, специализированная для состояний BB84. Даже сокращение от BB84 не очевидно, так как условия безопасности для BB84 отличаются.

Я думаю, что вы можете получить доказательство прямо как следствие доказательства безопасности неклонируемого шифрования ( quant-ph / 0210062 ). Это не будет жестко ограничено вероятностью обмана, но, по крайней мере, это обеспечит безопасность.

В неклонируемом шифровании A отправляет B классическое сообщение, используя квантовые состояния. (А и В совместно используют секретный ключ.) Условие безопасности двоякое: а) Когда Ева перехватывает начальную передачу, она не получает информации о сообщении. б) Какую бы стратегию ни выбрала Ева, либо она будет поймана Бобом с очень высокой вероятностью, либо ее остаточное состояние когда ключ равен k, почти не содержит информации о сообщении. б говорит , что если Ева вряд ли будет пойман, она не сохраняет никакой информации о сообщении , даже если она позже узнает ключ , используемый A и B . Это интерпретируется как результат отсутствия клонирования: Ева могла украсть зашифрованный текст, но она не может скопировать его, не испортив полученное сообщение Боба. $\rho_k$

Это может быть использовано для создания схемы с квантовыми деньгами: Банк А использует неклонируемое шифрование для шифрования случайной строки «сообщение». Существует неклонируемая схема шифрования, которая в основном BB84, так что это может дать схему Вейснера. Ева перехватывает деньги, взаимодействует с ними и отправляет модифицированный оригинал в Банк B. Она также пытается сделать копию, которая отправляется в Банк С. Банки В и С принимают, если предоставленное им состояние проходит тест на прослушивание без клонирования при шифровании. и если они декодируют правильную случайную строку «сообщения». Свойство b неклонируемого шифрования говорит о том, что с большой вероятностью либо копия B не проходит тест на прослушивание, либо копия C почти не содержит информации о сообщении. Это сильнее, чем нужно, но достаточно, чтобы доказать безопасность.

Для лучшей асимптотической атаки я бы предположил, благодаря квантовой де Финетти, что лучшая коллективная атака такая же, как лучшая индивидуальная атака.

Большое спасибо, Даниэль! Я продолжу искать аргумент, который дает явную границу для c, но пока что это чрезвычайно полезно. Я пошел дальше и отметил ваш ответ как «принятый».

— Скотт Ааронсон