Wiesnerの量子マネーに対する厳格なセキュリティ証明

11

Stephen Wiesnerは、有名な論文「Conjugate Coding」（1970年頃に執筆）で、発行銀行が乱数の巨大なテーブルにアクセスでき、紙幣を持ち帰ることができると仮定して、偽造が無条件に不可能な量子マネーのスキームを提案しました確認のために銀行に。ウィーズナーの方式では、各紙幣は、古典的な「シリアル番号」で構成されともに量子お金状態で、からなる非交絡キュビット、それぞれどれか $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2}, or | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

銀行は、の古典的な説明を覚えていますすべてのため。したがって、とき、銀行がそれぞれの量子ビットを測定することができ、検証のための銀行へのバックを持っています正しい基準で（いずれかの又は）、それが正しい結果を取得することを確認してください。 $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ $\{|+\rangle,|-\rangle\}$

一方、不確実性の関係（または、ノークローニングの定理）のため、正しい塩基を知らない偽造者がコピーしようとすると「直感的に明らか」です、こと次いで確率両方偽造の出力状態のは、銀行の検証テストが最大であることができる渡す、いくつかの定数を。さらに、これは、（偽造の用途の空想が上で測定をもつれた場合でも例えば、量子力学と一致し、関係なく、どのような戦略偽造の用途の真でなければなりません）。 $|\psi_s\rangle$ $c^n$ $c<1$ $|\psi_s\rangle$

しかし、他の量子マネースキームについての論文を書いている間、私の共著者と私は、上記の主張の厳密な証拠がどこにも見られなかったこと、または明示的な上限がWiesnerの元の論文でも後の論文でも見られなかったことに気付きました。 $c$

だから、持っている（上に拘束して、このようなAの証拠を）に公開されていますか？そうでない場合、（たとえば）近似クローンの定理のバージョンから、またはBB84量子鍵配布スキームのセキュリティに関する結果から、多かれ少なかれ簡単な方法でそのような証明を導き出すことができますか？ $c$

BB84のセキュリティからの単なる削減以上のものを探していることを明確にする必要があります。むしろ、偽造の成功確率（つまり）の明示的な上限を探しています。理想的には、最適な偽造戦略がどのように見えるかについての理解も必要です。すなわち、最適な戦略は、単にそれぞれの量子ビットを測定し独立して、ベースで言います $c$ $|\psi_s\rangle$

{\cos (π / 8) | 0 ⟩ + \sin (π / 8) | 1 ⟩, \sin (π / 8) | 0 ⟩ - \cos (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

それとも、もっとうまくいく絡み合った偽造戦略がありますか？

現在、私が知っている最良の偽造戦略は、（a）上記の戦略、および（b）根拠と「最高のための希望を。」興味深いことに、両方のこれらの戦略のはの成功確率を達成することが判明する。だから、今の私の推測は、ということである正しい答えであるかもしれません。いずれにせよ、が低いという事実 $\{|0\rangle,|1\rangle\}$ $(5/8)$ ^$n$ $(5/8)$ ^$n$ $5/8$ ウィーズナーのスキームのための任意のセキュリティ引数からCルールにバインドの「あまりにも」（例えば、その存在の偽造を行うことができます自明でない何が効果に任意の引数ので、右の答えは簡単なことを）。 $c=1/2$

— DIDIx13
ソース

5

(5 / 8)^{n}

$(5/8)^n$

15

$c=3/4$

A.モリナ、T。ヴィディック、J。ワトラウス。Wiesnerの量子マネーに対する最適な偽造攻撃と一般化。量子計算、通信、および暗号化の理論に関する第7回会議の議事録、コンピューターサイエンスの講義ノートのボリューム7582、ページ45〜64、2013年（arXiv：1202.4010も参照）。

これは、偽造者が「単純な偽造攻撃」と呼ばれるものを使用することを前提としています。つまり、お金の状態の1つのコピーを2つに変換するワンショットの試みを意味します。（私はあなたの質問をそのような攻撃に関するものと解釈します。）

@Robが言及したBrodutch、Nagaj、Sattath、およびUnruhの攻撃（そして私の意見では素晴らしい結果です）は、偽造者が銀行と繰り返し対話することを必要とし、銀行が偽造者に同じ金銭的状態を提供すると仮定します各検証。

Φ (ρ) = A_{0} ρ A_{0}^{†} + A_{1} ρ A_{1}^{†}

$\Phi(\rho) = A_0 \rho A_0^{\dagger} + A_1 \rho A_1^{\dagger}$

A_{0} = \frac{1}{\sqrt{12}} (\begin{matrix} 3 & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{matrix}) and A_{1} = \frac{1}{\sqrt{12}} (\begin{matrix} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3 \end{matrix}) .

$A_0 = \frac{1}{\sqrt{12}} \begin{pmatrix} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{pmatrix} \quad\text{and}\quad A_1 = \frac{1}{\sqrt{12}} \begin{pmatrix} 0 & 1\\ 1 & 0\\ 1 & 0\\ 0 & 3 \end{pmatrix}.$

$| 0\rangle \pm i |1\rangle$ $c$

— ジョン・ワトラウス
ソース

7

「偽造の成功の確率に関する明示的な上限を探しています...」。

「ではウィーズナーの量子お金の適応攻撃」、者Aharon Brodutch、ダニエルNagaj、またはSattath、とドミニクウンルーで、最後の2016年5月10日に改訂され、著者はの成功率主張：「〜100％」。

論文はこれらの主張をします：

$(s,\left|\$_s\right>)$ $\left|\$_s\right>$ 捕まる可能性がarbitrarily意的に小さい。

...

このホワイトペーパーでは、ノイズのない環境でのWiesnerのお金に注目しました。つまり、1つのキュービットでも誤って測定された場合、銀行はそのお金を拒否します。で、より現実的な設定、我々はノイズに対処する必要があり、銀行は、エラーの限られた量を許容したい量子状態[+ 12 PYJ]で、10％を言います。

参照：「量子ビットコイン：量子力学の非クローン定理によって保護された匿名の分散通貨」、ジョナサンジョゲンフォース、2016年4月5日

— ロブ
ソース