Rygorystyczny dowód bezpieczeństwa dla kwantowych pieniędzy Wiesnera?

W swoim słynnym artykule „Conjugate Coding” (napisanym około 1970 r.) Stephen Wiesner zaproponował schemat pieniądza kwantowego, który jest bezwarunkowo niemożliwy do sfałszowania, zakładając, że bank emitujący ma dostęp do ogromnej tabeli liczb losowych i że banknoty można przynieść z powrotem do banku w celu weryfikacji. W schemacie Wiesner, każdy banknot składa się z klasycznych „numer seryjny” wraz z kwantowego stanu pieniędzy składający się z unentangled qubitach, każda albo $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2}, or | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

Bank pamięta klasyczny opis dla każdego . A zatem, kiedy doprowadza się z powrotem do banku w celu weryfikacji, bank może mierzyć każdą qubit z w odpowiedniej podstawie (albo lub ) i sprawdzić, czy robi poprawnych wyników. $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ ${|+\rangle,|-\rangle}$

Z drugiej strony, ze względu na relację niepewności (lub alternatywnie, twierdzenie o braku klonowania), „intuicyjnie oczywiste” jest, że jeśli fałszerz, który nie zna prawidłowych podstaw, próbuje skopiować , a prawdopodobieństwo tego, że zarówno stanów wyjściowych fałszerza za przechodzi testu sprawdzającego banku może być co najwyżej , dla pewnej stałej . Ponadto, powinno to być prawdą niezależnie od tego, jaką strategię fałszerz korzysta, zgodnie z mechaniką kwantową (np nawet jeśli fałszerz używa fantazyjne pomiarów splątane na ). $|\psi_s\rangle$ $c^n$ $c<1$ $|\psi_s\rangle$

Jednak pisząc artykuł o innych programach pieniądza kwantowego, mój współautor i ja zdaliśmy sobie sprawę, że nigdzie nie widzieliśmy ścisłego dowodu powyższego roszczenia ani wyraźnej górnej granicy : ani w oryginalnej pracy Wiesnera, ani w żadnej późniejszej . $c$

Czy opublikowano taki dowód (z górną granicą )? Jeśli nie, to czy można wyciągnąć taki dowód w mniej lub bardziej prosty sposób z (powiedzmy) przybliżonych wersji Twierdzenia o braku klonowania, lub wyniki dotyczące bezpieczeństwa schematu kwantowego podziału klucza BB84? $c$

Aktualizacja: W świetle poniższej dyskusji z Joe Fitzsimonem powinienem wyjaśnić, że szukam czegoś więcej niż tylko ograniczenia bezpieczeństwa BB84. Zamiast tego szukam wyraźnej górnej granicy prawdopodobieństwa udanego podrabiania (tj. Na ) --- i idealnie, także trochę zrozumienia, jak wygląda optymalna strategia fałszowania. To znaczy, czy optymalna strategia po prostu mierzy każdy kubit niezależnie, na przykład w oparciu $c$ $|\psi_s\rangle$

{\cos (π / 8) | 0 ⟩ + \sin (π / 8) | 1 ⟩, \sin (π / 8) | 0 ⟩ - \cos (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

Czy może istnieje zaplątana strategia fałszowania, która działa lepiej?

Aktualizacja 2: Obecnie najlepsze znane mi strategie fałszowania to (a) powyższa strategia oraz (b) strategia, która po prostu mierzy każdy kubit w Podstawa i „nadzieje na najlepsze.” Co ciekawe, obie te strategie okazują się osiągnąć prawdopodobieństwo sukcesu (5/8) ⁿ . Tak więc, moim przypuszczeniem jest, że (5/8) ⁿ może być właściwą odpowiedzią. W każdym razie fakt, że 5/8 jest niższy $\{|0\rangle,|1\rangle\}$ związany na c wyklucza jakikolwiek argument bezpieczeństwa dla schematu Wiesnera, który jest „zbyt” prosty (na przykład jakikolwiek argument prowadzący do tego, że fałszerz nie może nic nie robić, a zatem prawidłowa odpowiedź to c = 1/2).

Aktualizacja 3: Nie, poprawna odpowiedź to (3/4) ⁿ ! Zobacz wątek do dyskusji poniżej odpowiedzi Abla Moliny.

quantum-computing

— Scott Aaronson
źródło

Witamy w TP.SE Scott! Dobrze cię tu widzieć.

— Joe Fitzsimons

Wygląda na to, że schemat Wiesnera odpowiada dokładnie BB84, w którym wpisujesz selekcję u Boba, który wybrał dokładnie te same podstawy pomiaru, co Alice przygotowuje (ponieważ bank to zarówno Alice, jak i Bob). Najwyraźniej bank mógł zamiast tego wybrać losowo podstawę pomiaru i przeprowadzić symulację BB84, co dałoby znacznie słabsze bezpieczeństwo (ponieważ rozważymy dokładnie takie same pomiary, ale tylko w podzbiorze kubitów), więc z pewnością można użyć dowodu BB84, aby obniżyć związał bezpieczeństwo programu pieniądza kwantowego. Być może coś mi brakuje.

— Joe Fitzsimons

Dzięki za powitanie i odpowiedź, Joe! FWIW, podzielam twoją intuicję, że dowód bezpieczeństwa dla schematu Wiesnera powinien być „ściśle łatwiejszy” niż dowód bezpieczeństwa dla BB84. Jednak z tym argumentem (jak z każdym innym) wracam do tego samego pytania: „więc w takim razie jaka jest górna granica c?”.

— Scott Aaronson

Na pewno jest górna granica prawdopodobieństwa ustalenia klucza w BB84.

— Joe Fitzsimons

Ponadto, choć byłoby dobrze wydedukować bezpieczeństwo schematu Wiesnera z bezpieczeństwa BB84, jeśli jest to jedyna / najlepsza alternatywa, mam nadzieję, że powinien istnieć bardziej bezpośredni i informacyjny dowód. Ponadto wydaje się prawdopodobne, że potrzebny byłby bezpośredni dowód, aby uzyskać wyraźną górną granicę na c lub uzyskać „rozsądną” taką granicę (bardziej jak 0,9 niż jak 0,99999).

— Scott Aaronson

Odpowiedzi:

Wygląda na to, że tę interakcję można modelować w następujący sposób:

Alice przygotowuje jeden ze stanów , , $|000\rangle$ $|101\rangle$ , $(|0\rangle+|1\rangle)|10\rangle/\sqrt{2}$ , zgodnie z pewnym rozkładem prawdopodobieństwa, i wysyła pierwszy kubit do Boba. $(|0\rangle-|1\rangle)|11\rangle/\sqrt{2}$
Bob wykonuje dowolny kanał kwantowy, który wysyła swój kubit do dwóch kubitów, które następnie są zwracane Alice.
Alice wykonuje pomiar rzutowy na czterech kubitach znajdujących się w jej posiadaniu.

Jeśli się nie mylę (i przepraszam, jeśli tak), mieści się to w formalizmie Gutoskiego i Watrousa przedstawionym tu i tutaj , co oznacza, że:

Z twierdzenia 4.9 w drugim z nich optymalne jest, aby Bob działał niezależnie, gdy Alice powtarza ten proces z kilkoma kubitami w niezależny sposób, jeśli celem Boba jest zawsze oszukiwanie Alice.
Możliwe jest uzyskanie wartości c z małego programu półfinałowego. Więcej informacji na temat uzyskania tego programu można znaleźć w części 3 tutaj . Zobacz komentarze do kodu cvx dla programu i jego wartości.

— Abel Molina
źródło

Zgodnie z sugestią Abla wydaje się, że optymalna wartość to c = 3/4.

Właśnie uzyskałem tę samą wartość 3/4. Jego moc wyjaśniająca jest niewielka, ale kod komputerowy znajduje się pod adresem cs.uwaterloo.ca/~amolinap/scriptWeisner.m i cs.uwaterloo.ca/~amolinap/prtrace.m .

— Abel Molina

Strategia jest podawana przez kanał kwantowy, którego reprezentacja Choi-Jamielkowskiego jest optymalnym rozwiązaniem dla programu półfinałowego. Zobacz cs.uwaterloo.ca/~amolinap/optSolution.txt o link do takiego rozwiązania (najmniej znaczący qubit jest jeden odebrany przez Boba, a pozostałe dwa są tymi, on wysyła do Alicji). Jeśli moje obliczenia są prawidłowe, odpowiedni kanał wysyła | 0> do (| 01> + | 10>) / √2 z prawdopodobieństwem 1/6 i do (3 | 00> + | 11>) / √10 z prawdopodobieństwem 5 / 6. | 1> jest wysyłane do (| 01> + | 10>) / √2 z prawdopodobieństwem 1/6 i do (| 00> +3 | 11>) / √10 z prawdopodobieństwem 5/6

— Abel Molina

Podobnie, (| 0> + | 1>) / √2 jest wysyłane do (| 11> - | 00>) / √2 z prawdopodobieństwem 1/6 i do (| 00> +1/2 | 01> +1 / 2 | 10> + | 11>) / √ (5/2) z prawdopodobieństwem 5/6. Podobnie, (| 0> - | 1>) / √2 jest wysyłane do (| 11> - | 00>) / √2 z prawdopodobieństwem 1/6 i do (| 00> -1/2 | 01> -1 / 2 | 10> + | 11>) / √ (5/2) z prawdopodobieństwem 5/6.

— Abel Molina

Ponieważ odpowiedź @ AbelMolina została również przekonwertowana na artykuł arXiv, arxiv.org/abs/1202.4010 , dodaję link do przyszłych czytelników.

— Frédéric Grosshans,

$\alpha |0\rangle + \beta |1\rangle$ $\alpha$ $\beta\in \mathbb{R}\:$

{(\frac{1}{2} + \frac{1}{\sqrt{8}})}^{2 n} \approx {.72855}^{n}

$\left(\frac{1}{2}+ \frac{1}{\sqrt{8}}\right)^{2n} \approx .72855^n$

n

$n$

(\frac{5}{8})^{n}

$(\frac{5}{8})^n$

$\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = (\begin{array}{cc} \frac{1}{2} + \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{\sqrt{8}} \\ 0 & \frac{1}{\sqrt{8}} \\ \frac{1}{2} - \frac{1}{\sqrt{8}} & 0 \end{array}) A_{2} = (\begin{array}{cc} 0 & \frac{1}{2} - \frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}} & 0 \\ \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{2} + \frac{1}{\sqrt{8}} \end{array}) .

$A_1 = \left( \begin{array}{cc} \frac{1}{2}+\frac{1}{\sqrt{8}} & 0\\ 0 & \frac{1}{\sqrt{8}}\\ 0 & \frac{1}{\sqrt{8}}\\ \frac{1}{2}-\frac{1}{\sqrt{8}} & 0 \end{array} \right) \ \ \ \ A_2 = \left(\begin{array}{cc} 0& \frac{1}{2}-\frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}}&0\\ \frac{1}{\sqrt{8}}&0\\ 0&\frac{1}{2}+\frac{1}{\sqrt{8}} \end{array} \right) .$

$\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 3 & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{array}) A_{2} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3 \end{array}) .

$A_1 = \frac{1}{\sqrt{12}}\left( \begin{array}{cc} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{12}}\left(\begin{array}{cc} 0& 1 \\ 1&0\\ 1&0\\ 0&3 \end{array} \right) .$

Wyraźnie pochodzą one z tej samej rodziny transformacji, ale zostały zoptymalizowane pod kątem spełnienia różnych funkcji celu. Wydaje się, że ta rodzina transformacji kowariantnych została podana przez

A_{1} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} x + y & 0 \\ 0 & y \\ 0 & y \\ x - y & 0 \end{array}) A_{2} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} 0 & x - y \\ y & 0 \\ y & 0 \\ 0 & x + y \end{array}) .

$A_1 = \frac{1}{\sqrt{2x^2+4y^2}}\left( \begin{array}{cc} x+y & 0\\ 0 & y\\ 0 & y\\ x-y & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{2x^2+4y^2}}\left(\begin{array}{cc} 0& x-y \\ y&0\\ y&0\\ 0&x+y \end{array} \right) .$

— Peter Shor
źródło

Dzięki, Peter! Byłoby wspaniale wykazać optymalność, a nawet prawie optymalność ich klonera. W tym celu wydaje mi się, że pierwszym krokiem byłoby wykazanie, że optymalny atak jest indywidualny, a nie zbiorowy.

— Scott Aaronson

Jeśli podejście Abla Moliny działa, powinno to wykazać. Jeśli nie, powinieneś być w stanie zastosować techniki w optymalnych papierach do klonowania, aby uzyskać górną granicę, ale nie wiem od razu, co by to było.

— Peter Shor,

(| 0 ⟩ + i | 1 ⟩) / \sqrt{2}

$(|0\rangle + i |1\rangle)/\sqrt{2}$

(| 0 ⟩ - i | 1 ⟩) / \sqrt{2}

$(|0\rangle - i |1\rangle)/\sqrt{2}$

c = 2 / 3

$c = 2/3$

x = y = 1

$x = y = 1$

x = y = 1

$x=y=1$

Nie znam opublikowanego dowodu bezpieczeństwa. Sądzę, że najprostszy sposób i najsilniejsze ograniczenie wynikałoby z przybliżonego braku klonowania, ale myślę, że potrzebujesz wersji specjalnej dla stanów BB84. Nawet redukcja z BB84 nie jest oczywista, ponieważ warunek bezpieczeństwa dla BB84 jest inny.

Sądzę, że można uzyskać dowód bezpośrednio w wyniku dowodu bezpieczeństwa szyfrowania niemożliwego do sklonowania ( quant-ph / 0210062 ). Nie będzie to miało ścisłej górnej granicy prawdopodobieństwa oszustwa, ale przynajmniej zapewni bezpieczeństwo.

$\rho_k$

Można to wykorzystać do stworzenia schematu pieniądza kwantowego: Bank A wykorzystuje niesklonowane szyfrowanie do szyfrowania losowego ciągu „wiadomości”. Istnieje niesklonowalny schemat szyfrowania, który jest w zasadzie BB84, więc może to dać schemat Weisnera. Ewa przechwytuje pieniądze, wchodzi w interakcję z nimi i wysyła zmodyfikowany oryginał do Banku B. Próbuje również wykonać kopię, która trafia do Banku C. Banki B i C akceptują, jeśli podany im stan przejdzie test podsłuchiwania szyfrowania nie podlegającego klonowaniu , a jeśli dekodują poprawny losowy ciąg „wiadomości”. Nieklonowalna właściwość szyfrowania b mówi, że z dużym prawdopodobieństwem albo kopia B nie przejdzie testu podsłuchu, albo kopia C nie zawiera prawie żadnych informacji o wiadomości. Jest to silniejsze niż to konieczne, ale wystarczające do udowodnienia bezpieczeństwa.

Dla najlepszego ataku asymptotycznego wyobrażam sobie, dzięki kwantowi de Finetti, że najlepszy atak zbiorowy jest taki sam, jak najlepszy atak indywidualny.

Wielkie dzięki, Daniel! Będę nadal szukał argumentu, który wyraźnie wskazuje na c, ale w międzyczasie jest to niezwykle pomocne. Poszedłem naprzód i oznaczyłem twoją odpowiedź jako „zaakceptowaną”.

— Scott Aaronson,