Wiesnerのクォンタムマネーに対する厳格なセキュリティ証明？

Stephen Wiesnerは、有名な論文「Conjugate Coding」（1970年頃に執筆）で、発行銀行が乱数の巨大なテーブルにアクセスでき、紙幣を持ち込めると仮定して、偽造が無条件に不可能な量子マネーのスキームを提案しました。確認のため銀行に戻ります。ウィーズナーの方式では、各紙幣は、古典的な「シリアル番号」で構成されて量子お金の状態と一緒に、から成る非交絡量子ビット、それぞれのいずれかを $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2}, or | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

銀行は、すべて古典的な記述を記憶しています。したがって、が検証のために銀行に戻されると、銀行は各キュービットを正しい基準で測定できます（または）、正しい結果が得られることを確認します。 $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ ${|+\rangle,|-\rangle}$

一方、理由は不確定性関係の（あるいは、無クローニング定理）、それの「直感的に明らかに」という、もし偽造しない正しい塩基試行をコピーするために知っている、その後、偽造者の出力状態の両方が銀行の検証テストに合格する確率は、定数に対して最大でになります。さらに、これは、量子力学と一致して、偽造者が使用する戦略に関係なく当てはまるはずです（たとえば、偽造者が派手な絡み合い測定を使用している場合でも）。 $|\psi_s\rangle$ $c^n$ $c<1$ $|\psi_s\rangle$

しかし、他の量子マネースキームに関する論文を書いている間、私の共著者と私は、上記の主張の厳密な証拠はどこにも見られなかったこと、または明示的な上限はWiesnerの元の論文でも後の論文でも見られなかったことに気付きました。 $c$

だから、持っている（上に拘束して、このようなAの証拠を）に公開されていますか？そうでない場合は、（たとえば）近似クローンの定理の近似バージョンから、またはBB84量子キー配布スキームのセキュリティに関する結果から、そのような証明を多少なりとも簡単に導出できますか？ $c$

更新：以下のJoe Fitzsimonsとの議論を踏まえて、私はBB84のセキュリティからの単なる削減以上のものを探していることを明確にする必要があります。むしろ、私は成功した偽造の確率（つまり）の明示的な上限を探してい -そして理想的には、最適な偽造戦略がどのように見えるかについての理解も必要です。すなわち、最適戦略は、基本的に言うと、各キュビットを単純に測定します $c$ $|\psi_s\rangle$

{\cos (π / 8) | 0 ⟩ + \sin (π / 8) | 1 ⟩, \sin (π / 8) | 0 ⟩ - \cos (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

それとも、より優れた絡み合った偽造戦略がありますか？

更新2：現在、私が知っている最良の偽造戦略は、（a）上記の戦略、および（b）ベースで各キュービットを単純に測定する戦略と「最高のものを願っています。」興味深いことに、これらの戦略はどちらも（5/8）^nの成功確率を達成します。したがって、現時点での私の推測では、（5/8）ⁿが正しい答えかもしれません。いずれにせよ、5/8がcの下限であるという事実は、「あまりにも」単純なWiesnerスキームのセキュリティ引数を除外します（たとえば、偽造者ができることは些細なことではないという効果に対する引数正解はc = 1/2）です。 $\{|0\rangle,|1\rangle\}$

更新3：いいえ、正しい答えは（3/4）ⁿです！Abel Molinaの回答の下のディスカッションスレッドを参照してください。

quantum-computing

— スコットアーロンソン
ソース

TP.SEスコットへようこそ！ここでお会いできてうれしいです。

— ジョーフィッツシモンズ

Wiesnerのスキームは、BB84に正確に対応しており、Bliceがアリスが準備のために持っているのとまったく同じ測定基準を選択したことを示しています（銀行はAliceとBobの両方であるため）。明らかに、銀行は代わりに測定基準をランダムに選択し、BB84をシミュレートすることができます。これにより、厳密に弱いセキュリティが得られます（まったく同じ測定値をキュービットのサブセットのみで検討するため）、BB84の証明を使用して、量子マネー方式のセキュリティを制限しました。おそらく私は何かを見逃しています。

— ジョーフィッツシモンズ

ようこそ、答えてくれてありがとう、ジョー！FWIW、Wiesnerのスキームのセキュリティ証明は、BB84のセキュリティ証明よりも「厳密に簡単」にすべきだという直感を共有します。ただし、その引数（他のすべての引数と同様）を使用して、同じ質問に戻り続けます。「では、cの上限は何ですか？」

— スコットアーロンソン

確かに、BB84のキーを決定する確率によって上限があります。

— ジョーフィッツシモンズ

また、BB84のセキュリティからWiesnerのスキームのセキュリティを推測するのが唯一の方法である場合はそれで問題ありませんが、より直接的で有益な証拠があることを望みます。さらに、cの明示的な上限を取得するため、または「合理的な」そのような上限（0.99999よりも0.9に近い）を取得するには、直接証明が必要であると考えられます。

— スコットアーロンソン

回答:

この相互作用は、次の方法でモデル化できるようです。

アリスは、状態、、、いずれかを準備します、特定の確率分布に従って、最初のキュービットをボブに送信します。 $|000\rangle$ $|101\rangle$ $(|0\rangle+|1\rangle)|10\rangle/\sqrt{2}$ $(|0\rangle-|1\rangle)|11\rangle/\sqrt{2}$
ボブは、量子ビットを2つの量子ビットに送信する任意の量子チャネルを実行し、それがアリスに返されます。
アリスは、所有している4量子ビットの射影測定を実行します。

私がこれについて間違っていない場合（そして私がそうである場合は申し訳ありません）、これはこことここで提示されたGutoskiとWatrousの形式主義の範囲内にあります：

それらの2番目の定理4.9から、Bobの目的が常にAliceをだますことである場合、Aliceが複数のキュービットでこのプロセスを独立した方法で繰り返す場合、Bobが独立して行動することが最適です。
小さな半正定値プログラムからcの値を取得することができます。このプログラムの入手方法の詳細については、セクション3をご覧ください。プログラムのcvxコードのコメントとその値を参照してください。

— アベル・モリーナ
ソース

Abelの提案に従って、最適値はc = 3/4であるように見えます。

同じ値の3/4を取得しました。説明力は小さいですが、コンピューターコードはcs.uwaterloo.ca/~amolinap/scriptWeisner.mおよびcs.uwaterloo.ca/~amolinap/prtrace.mにあります。

— アベル・モリーナ

戦略は、Choi-Jamielkowski表現が半正定値計画に対する最適な解である量子チャネルによって与えられます。このようなソリューションへのリンクについては、cs.uwaterloo.ca /〜amolinap / optSolution.txtを参照してください（最下位キュービットはボブが受信したもので、他の2つはアリスに送信したものです）。計算が正しい場合、対応するチャネルは、確率1/6で| 0>を（| 01> + | 10>）/√2に送信し、確率5で（3 | 00> + | 11>）/√10に送信します。 / 6。| 1>は確率1/6で（| 01> + | 10>）/√2に送信され、確率5/6で（| 00> +3 | 11>）/√10に送信されます

— Abel Molina

同様に、（| 0> + | 1>）/√2は確率1/6で（| 11>-| 00>）/√2に送信され、（| 00> +1/2 | 01> +1に送信されます/ 2 | 10> + | 11>）/√（5/2）確率5/6。同様に、（| 0>-| 1>）/√2は（| 11>-| 00>）/√2に確率1/6で送信され、（| 00> -1/2 | 01> -1に送信されます/ 2 | 10> + | 11>）/√（5/2）確率5/6。

— アベル・モリーナ

@AbelMolinaの回答もarXivの論文arxiv.org/abs/1202.4010に変換されたため、将来の読者のためにリンクを追加します。

— フレデリックグロシャン

BB84の状態をクローニングの質問がで覆われていた紙ダグマーBruß、ミルコCinchetti、G.マウロD'アリアーノ、およびキアーラMacchiavello [による「相共変量子クローニング」PHYS牧師A、 62、 012302（2000）、式。36]。これらは、これらの状態に最適なクローンを提供します（これは、任意の状態も最適なクローンです $\alpha |0\rangle + \beta |1\rangle$ $\alpha$ $\beta\in \mathbb{R}\:$

{(\frac{1}{2} + \frac{1}{\sqrt{8}})}^{2 n} \approx {.72855}^{n}

$\left(\frac{1}{2}+ \frac{1}{\sqrt{8}}\right)^{2n} \approx .72855^n$

n

$n$

(\frac{5}{8})^{n}

$(\frac{5}{8})^n$

$\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = (\begin{array}{cc} \frac{1}{2} + \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{\sqrt{8}} \\ 0 & \frac{1}{\sqrt{8}} \\ \frac{1}{2} - \frac{1}{\sqrt{8}} & 0 \end{array}) A_{2} = (\begin{array}{cc} 0 & \frac{1}{2} - \frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}} & 0 \\ \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{2} + \frac{1}{\sqrt{8}} \end{array}) .

$A_1 = \left( \begin{array}{cc} \frac{1}{2}+\frac{1}{\sqrt{8}} & 0\\ 0 & \frac{1}{\sqrt{8}}\\ 0 & \frac{1}{\sqrt{8}}\\ \frac{1}{2}-\frac{1}{\sqrt{8}} & 0 \end{array} \right) \ \ \ \ A_2 = \left(\begin{array}{cc} 0& \frac{1}{2}-\frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}}&0\\ \frac{1}{\sqrt{8}}&0\\ 0&\frac{1}{2}+\frac{1}{\sqrt{8}} \end{array} \right) .$

$\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 3 & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{array}) A_{2} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3 \end{array}) .

$A_1 = \frac{1}{\sqrt{12}}\left( \begin{array}{cc} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{12}}\left(\begin{array}{cc} 0& 1 \\ 1&0\\ 1&0\\ 0&3 \end{array} \right) .$

これらは明らかに同じ変換ファミリーに由来しますが、異なる目的関数を満たすように最適化されています。共変変換のこのファミリーは、

A_{1} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} x + y & 0 \\ 0 & y \\ 0 & y \\ x - y & 0 \end{array}) A_{2} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} 0 & x - y \\ y & 0 \\ y & 0 \\ 0 & x + y \end{array}) .

$A_1 = \frac{1}{\sqrt{2x^2+4y^2}}\left( \begin{array}{cc} x+y & 0\\ 0 & y\\ 0 & y\\ x-y & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{2x^2+4y^2}}\left(\begin{array}{cc} 0& x-y \\ y&0\\ y&0\\ 0&x+y \end{array} \right) .$

— ピーター・ショー
ソース

ありがとう、ピーター！クローンの最適性、またはほぼ最適性さえ示すことは素晴らしいことです。そのためには、最初のステップは、最適な攻撃が集合的ではなく個別的であることを示すことだと思います。

— スコットアーロンソン

Abel Molinaのアプローチが機能する場合、これを実証する必要があります。そうでない場合は、最適なクローンペーパーの手法を使用して上限を設定できるはずですが、それがどうなるかはすぐにはわかりません。

— ピーターショー

(| 0 ⟩ + i | 1 ⟩) / \sqrt{2}

$(|0\rangle + i |1\rangle)/\sqrt{2}$

(| 0 ⟩ - i | 1 ⟩) / \sqrt{2}

$(|0\rangle - i |1\rangle)/\sqrt{2}$

c = 2 / 3

$c = 2/3$

x = y = 1

$x = y = 1$

x = y = 1

$x=y=1$

公開されたセキュリティ証明を知りません。最も簡単な方法と最強の限界は、おおよそのクローンなしから来ると思いますが、BB84州に特化したバージョンが必要だと思います。BB84のセキュリティ条件は異なるため、BB84からの削減であっても明らかではありません。

クローンできない暗号化のセキュリティ証明（quant-ph / 0210062）の結果として、証明を簡単に取得できると思います。これは、不正行為の確率の厳密な上限を取得しませんが、少なくともセキュリティを提供します。

$\rho_k$

これは、クォンタムマネースキームを作成するために使用できます。バンクAは、クローン化できない暗号化を使用して、「メッセージ」というランダムな文字列を暗号化します。基本的にBB84であるクローン不可能な暗号化スキームがあるため、これはワイズナーのスキームを与える可能性があります。Eveはお金を傍受し、それと対話し、変更されたオリジナルを銀行Bに送信します。また、銀行Cに送られるコピーを作成しようとします。、およびそれらが正しいランダムな「メッセージ」文字列をデコードする場合。クローン不可能な暗号化プロパティbは、Bのコピーが盗聴テストに失敗するか、Cのコピーにメッセージに関する情報がほとんど含まれていない可能性が高いことを示しています。これは必要以上に強力ですが、セキュリティを証明するには十分です。

最高の漸近攻撃については、量子デ・フィネッティにより、最高の集団攻撃は最高の個人攻撃と同じだと思います。

どうもありがとう、ダニエル！私はcの明示的な限界を与える議論を探し続けますが、それまでの間、これは非常に役立ちます。私は先に進み、あなたの答えを「受け入れられた」とマークしました。

— スコットアーロンソン