Rygorystyczny dowód bezpieczeństwa dla pieniędzy kwantowych Wiesnera

11

W swoim słynnym artykule „ Conjugate Coding ” (napisanym około 1970 r.) Stephen Wiesner zaproponował schemat pieniądza kwantowego, który jest bezwarunkowo niemożliwy do sfałszowania, zakładając, że bank emitujący ma dostęp do ogromnej tabeli liczb losowych i że banknoty można przywieźć do banku w celu weryfikacji. W schemacie Wiesner, każdy banknot składa się z klasycznej „numer seryjny” wraz ze stanu kwantowego pieniędzy składający się z unentangled qubitach, każdy jeden albo $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2)}, lub | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2)} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

Bank pamięta klasyczny opis dla każdego . I dlatego, gdy jest do banku w celu weryfikacji, bank może zmierzyć każdy na właściwej podstawie (albo lub ) i sprawdź, czy uzyska prawidłowe wyniki. $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ $\{|+\rangle,|-\rangle\}$

Z drugiej strony, ze względu na relację niepewności (lub alternatywnie, twierdzenie o braku klonowania), „intuicyjnie oczywiste” jest, że jeśli fałszerz, który nie zna prawidłowych podstaw, spróbuje skopiować $|\psi_s\rangle$ , wówczas prawdopodobieństwo, że oba stany wyjściowe fałszerza przejdą test weryfikacji banku, może wynosić co najwyżej $c^n$ , dla niektórych stałych $c<1$ . Co więcej, powinno to być prawdą bez względu na to, jaką strategię stosuje fałszerz, zgodnie z mechaniką kwantową (np. Nawet jeśli fałszerz używa fantazyjnych pomiarów splątanych na $|\psi_s\rangle$ ).

Jednak pisząc artykuł o innych programach pieniądza kwantowego, mój współautor i ja zdaliśmy sobie sprawę, że nigdy nie widzieliśmy dokładnego dowodu powyższego roszczenia ani wyraźnej górnej granicy : ani w oryginalnej pracy Wiesnera, ani w żadnej późniejszej. $c$

Czy opublikowano taki dowód (z górną granicą )? Jeśli nie, to czy można wyciągnąć taki dowód w mniej lub bardziej bezpośredni sposób z (powiedzmy) przybliżonych wersji twierdzenia o braku klonowania lub wyników dotyczących bezpieczeństwa schematu kwantowego podziału klucza BB84? $c$

Może powinienem wyjaśnić, że szukam czegoś więcej niż tylko ograniczenia bezpieczeństwa BB84. Zamiast tego szukam wyraźnej górnej granicy prawdopodobieństwa udanego podrabiania (tj. Na ) --- i idealnie, także trochę zrozumienia, jak wygląda optymalna strategia fałszowania. To znaczy, czy optymalna strategia po prostu mierzy każdy niezależnie, powiedzmy na podstawie $c$ $|\psi_s\rangle$

{sałata (π / 8) | 0 ⟩ + grzech (π / 8) | 1 ⟩, grzech (π / 8) | 0 ⟩ - sałata (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

Czy może istnieje zaplątana strategia fałszowania, która działa lepiej?

W tej chwili najlepsze znane mi strategie fałszowania to (a) powyższa strategia oraz (b) strategia, która po prostu mierzy każdy kubit w podstawie i „ma nadzieję na Najlepsza." Co ciekawe, obie te strategie okazują się osiągać prawdopodobieństwo sukcesu . Tak więc, moim przypuszczeniem jest, że może być właściwą odpowiedzią. W każdym razie fakt, że jest dolną granicą c, wyklucza jakikolwiek argument bezpieczeństwa dla schematu Wiesnera, który jest „zbyt” prosty (na przykład każdy argument prowadzący do tego, że fałszerz nie może zrobić nic nietypowego, a zatem prawidłowa odpowiedź to $\{|0\rangle,|1\rangle\}$ $(5/8)$ ^$n$ $(5/8)$ ^$n$ $5/8$ $c=1/2$ ).

algorithm mathematics cryptography cryptocurrency quantum-money DIDIx13
źródło

5

Nie, nie jest właściwą odpowiedzią.

(5 / 8)^{n}

$(5/8)^n$

Peter Shor

15

Abel Molina, Thomas Vidick i ja udowodniliśmy, że poprawna odpowiedź to w tym artykule: $c=3/4$

A. Molina, T. Vidick i J. Watrous. Optymalne ataki fałszowania i generalizacja pieniędzy kwantowych Wiesnera. Materiały z 7. Konferencji Teorii Obliczeń Kwantowych, Komunikacji i Kryptografii, tom 7582 Notatek z wykładów z informatyki, strony 45–64, 2013. (Zobacz także arXiv: 1202.4010.)

Zakłada się, że fałszerz używa czegoś, co nazywamy „prostym atakiem fałszowania”, co oznacza jednorazową próbę przekształcenia jednej kopii stanu pieniężnego w dwie. (Tłumaczę, że twoje pytanie dotyczy takich ataków).

Atak Brodutch, Nagaj, Sattath i Unruh, o którym wspominał @Rob (i moim zdaniem jest to fantastyczny wynik), wymaga od fałszerza wielokrotnych interakcji z bankiem i zakłada, że bank zapewni fałszerzowi ten sam stan pieniężny po każda weryfikacja.

W pracy opisano kanał optymalny, który nie jest kanałem zrywającym splątanie (tj. Mierzy i przygotowuje). Jest to przykład klonera i wyraźnie wygląda następująco: gdzie

Φ (ρ) = {ZA}_{0} ρ {ZA}_{0}^{†} + {ZA}_{1} ρ {ZA}_{1}^{†}

$\Phi(\rho) = A_0 \rho A_0^{\dagger} + A_1 \rho A_1^{\dagger}$

{ZA}_{0} = \frac{1}{\sqrt{12}} (\begin{matrix} 3) & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{matrix}) i {ZA}_{1} = \frac{1}{\sqrt{12}} (\begin{matrix} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3) \end{matrix}) .

$A_0 = \frac{1}{\sqrt{12}} \begin{pmatrix} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{pmatrix} \quad\text{and}\quad A_1 = \frac{1}{\sqrt{12}} \begin{pmatrix} 0 & 1\\ 1 & 0\\ 1 & 0\\ 0 & 3 \end{pmatrix}.$

W przypadku różnych zestawów stanów pieniężnych i wartości, możesz otrzymać różne optymalne wartości i klonerów. Na przykład, jeśli stany pieniężne obejmują także , wówczas kloner Bužek-Hillery jest optymalny, a prawidłowa wartość spada do 2/3. $| 0\rangle \pm i |1\rangle$ $c$

John Watrous
źródło

7

„Szukam wyraźnej górnej granicy prawdopodobieństwa udanego podrabiania ...”.

W „ Adaptacyjnym ataku na kwantowe pieniądze Wiesnera ” autorstwa Aharona Brodutcha, Daniela Nagaja, Or Sattatha i Dominique Unruh, ostatnio zmienionym 10 maja 2016 r., Autorzy twierdzą, że wskaźnik sukcesu wynosi „~ 100%”.

Artykuł przedstawia te twierdzenia:

Wyniki główne. Pokazujemy, że w ścisłym wariancie testowym schematu Wiesnera (tzn. Jeśli właścicielowi zwracane są tylko prawidłowe pieniądze), biorąc pod uwagę jeden prawidłowy stan pieniędzy kwantowych , fałszerz może wydajnie twórz tyle kopii jak sobie życzy (stąd schemat jest niepewny ). Może polegać na kwantowym efekcie Zeno w celu ochrony - jeśli tylko nieznacznie zakłóci kwantowy stan pieniędzy, rachunek prawdopodobnie powróci do pierwotnego stanu po teście. Co ciekawe, pozwala fałszerzowi rozróżnić cztery różne stany kubitowe z arbitralnie małym prawdopodobieństwem złapania. $(s,\left|\$_s\right>)$ $\left|\$_s\right>$

...

W tym artykule skupiliśmy się na pieniądzach Wiesnera w cichym otoczeniu. Oznacza to, że bank odrzuca pieniądze, jeśli nawet pojedynczy kubit jest mierzony nieprawidłowo. W bardziej realistycznym otoczeniu mamy do czynienia z hałasem, a bank chciałby tolerować ograniczoną liczbę błędów w stanie kwantowym [PYJ + 12], powiedzmy 10%.

Zobacz także: „ Kwantowy bitcoin: anonimowa i rozproszona waluta zabezpieczona przez twierdzenie o braku klonowania mechaniki kwantowej ”, Jonathan Jogenfors, 5 kwietnia 2016 r., Gdzie omawia schemat Wiesnera i proponuje jeden ze swoich.

Obrabować
źródło

Rygorystyczny dowód bezpieczeństwa dla pieniędzy kwantowych Wiesnera

Odpowiedzi: