Rigorosa prova di sicurezza per i soldi quantistici di Wiesner?

Nel suo famoso documento "Coniugazione con codice" (scritto intorno al 1970), Stephen Wiesner ha proposto uno schema di moneta quantistica che è incondizionatamente impossibile da contraffare, supponendo che la banca emittente abbia accesso a una gigantesca tabella di numeri casuali e che le banconote possano essere portate torna in banca per la verifica. Nello schema di Wiesner, ciascuna banconota è costituito da un "numero seriale" classica , insieme ad uno stato quantico denaro costituito da qubit disimpigliata, ognuno sia $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2}, or | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

La banca ricorda una descrizione classica di per ogni . E quindi, quando è portato di nuovo alla banca per la verifica, la banca può misurare ogni qubit di in base corretta (sia o ), e controllare che ottiene i risultati corretti. $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ ${|+\rangle,|-\rangle}$

D'altra parte, a causa della relazione di incertezza (o in alternativa, il Teorema della non clonazione), è "intuitivamente ovvio" che, se un contraffattore che non conosce le basi corrette prova a copiare , allora la probabilità che sia stato delle uscite del contraffattore passaggio prova di verifica della banca può essere al massimo , per qualche costante . Inoltre, questo dovrebbe essere vero indipendentemente da quale strategia usi contraffattore, coerente con la meccanica quantistica (ad esempio, anche se l'uso contraffattore fantasia impigliata misure su ). $|\psi_s\rangle$ $c^n$ $c<1$ $|\psi_s\rangle$

Tuttavia, mentre scrivevo un articolo su altri schemi di denaro quantico, il mio coautore e io ci siamo resi conto che non avevamo mai visto una prova rigorosa della rivendicazione di cui sopra da nessuna parte, o un limite superiore esplicito su : né nell'articolo originale di Wiesner né in uno successivo . $c$

Quindi, è stata pubblicata una tale prova (con un limite superiore in )? In caso contrario, allora si può ricavare una tale prova in modo più o meno diretto da (diciamo) versioni approssimative del teorema di non clonazione, o dai risultati sulla sicurezza dello schema di distribuzione della chiave quantistica BB84? $c$

Aggiornamento: Alla luce della discussione con Joe Fitzsimons qui sotto, dovrei chiarire che sto cercando qualcosa di più di una semplice riduzione della sicurezza di BB84. Piuttosto, sto cercando un limite esplicito alla probabilità di contraffazione di successo (ovvero, su ) --- e idealmente, anche una certa comprensione di come sia la strategia di contraffazione ottimale. Vale a dire, la strategia ottimale misura semplicemente ogni qubit di indipendente, voce in base $c$ $|\psi_s\rangle$

{\cos (π / 8) | 0 ⟩ + \sin (π / 8) | 1 ⟩, \sin (π / 8) | 0 ⟩ - \cos (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

Oppure esiste una strategia di contraffazione intrappolata che fa meglio?

Aggiornamento 2: in questo momento, le migliori strategie di contraffazione che conosco sono (a) la strategia sopra e (b) la strategia che misura semplicemente ogni qubit nel base e "speranze per il meglio." È interessante notare che entrambe queste strategie risultano avere una probabilità di successo di (5/8) ⁿ . Quindi, la mia congettura del momento è che (5/8) ⁿ potrebbe essere la risposta giusta. In ogni caso, il fatto che 5/8 sia inferiore $\{|0\rangle,|1\rangle\}$ vincolato a c esclude qualsiasi argomento di sicurezza per lo schema di Wiesner che sia "troppo" semplice (ad esempio, qualsiasi argomento per l'effetto che non c'è nulla di non banale che un contraffattore può fare, e quindi la risposta giusta è c = 1/2).

Aggiornamento 3: No, la risposta giusta è (3/4) ⁿ ! Vedi il thread di discussione sotto la risposta di Abel Molina.

quantum-computing

— Scott Aaronson
fonte

Benvenuti in TP.SE Scott! Bello vederti qui.

— Joe Fitzsimons,

Sembra che lo schema di Wiesner corrisponda esattamente a BB84 in cui pubblichi select su Bob avendo scelto esattamente le stesse basi di misurazione che Alice ha per la preparazione (dal momento che la banca è sia Alice che Bob). Chiaramente la banca potrebbe invece scegliere casualmente la base di misurazione e simulare BB84, che produrrebbe una sicurezza strettamente più debole (dal momento che considereresti esattamente le stesse misurazioni ma solo su un sottoinsieme di qubit), quindi puoi sicuramente usare una prova di BB84 per abbassare limitava la sicurezza del sistema di moneta quantistica. Forse mi manca qualcosa però.

— Joe Fitzsimons,

Grazie per l'accoglienza e la risposta, Joe! FWIW, condivido la tua intuizione che una prova di sicurezza per il regime di Wiesner dovrebbe essere "strettamente più semplice" di una prova di sicurezza per BB84. Tuttavia, con quell'argomento (come con ogni altro), continuo a tornare alla stessa domanda: "allora qual è il limite superiore di c?"

— Scott Aaronson,

Sicuramente è delimitato dalla probabilità di determinare la chiave in BB84.

— Joe Fitzsimons,

Inoltre, mentre sarebbe OK dedurre la sicurezza del sistema di Wiesner dalla sicurezza di BB84 se questa è l'unica / migliore alternativa, spero che ci sia una prova più diretta e informativa. Inoltre, sembra plausibile che sarebbe necessaria una prova diretta per ottenere un limite superiore esplicito su c, o per ottenere un limite "ragionevole" (più simile a 0,9 rispetto a 0,9999).

— Scott Aaronson,

Risposte:

Sembra che questa interazione possa essere modellata nel modo seguente:

Alice prepara uno degli stati , , , , secondo una certa distribuzione di probabilità, e invia il primo qubit a Bob. $|000\rangle$ $|101\rangle$ $(|0\rangle+|1\rangle)|10\rangle/\sqrt{2}$ $(|0\rangle-|1\rangle)|11\rangle/\sqrt{2}$
Bob esegue un canale quantico arbitrario che invia il suo qubit a due qubit, che vengono poi restituiti ad Alice.
Alice esegue una misurazione proiettiva sui quattro qubit in suo possesso.

Se non sbaglio su questo (e scusate se lo sono), questo rientra nel formalismo di Gutoski e Watrous presentato qui e qui , il che implica che:

Dal Teorema 4.9 nel secondo, è ottimale che Bob agisca in modo indipendente quando Alice ripete questo processo con diversi qubit in modo indipendente, se l'obiettivo di Bob è quello di ingannare sempre Alice.
È possibile ottenere il valore di c da un piccolo programma semidefinito. Puoi trovare maggiori dettagli su come ottenere questo programma nella Sezione 3 qui . Vedi i commenti per il codice cvx per il programma e il suo valore.

— Abel Molina
fonte

Seguendo il suggerimento di Abele, sembra che il valore ottimale sia c = 3/4.

Ho appena ottenuto lo stesso valore di 3/4. Il suo potere esplicativo è piccolo, ma il codice del computer è su cs.uwaterloo.ca/~amolinap/scriptWeisner.m e cs.uwaterloo.ca/~amolinap/prtrace.m .

— Abel Molina,

La strategia è data da un canale quantico la cui rappresentazione di Choi-Jamielkowski è una soluzione ottimale per il programma semidefinito. Vedi cs.uwaterloo.ca/~amolinap/optSolution.txt per un link a tale soluzione (il qubit meno significativo è quello ricevuto da Bob, e gli altri due sono quelli che invia ad Alice). Se i miei calcoli sono corretti, il canale corrispondente invia | 0> a (| 01> + | 10>) / √2 con probabilità 1/6 e a (3 | 00> + | 11>) / √10 con probabilità 5 / 6. | 1> viene inviato a (| 01> + | 10>) / √2 con probabilità 1/6 e a (| 00> +3 | 11>) / √10 con probabilità 5/6

— Abel Molina

Allo stesso modo, (| 0> + | 1>) / √2 viene inviato a (| 11> - | 00>) / √2 con probabilità 1/6 e a (| 00> +1/2 | 01> +1 / 2 | 10> + | 11>) / √ (5/2) con probabilità 5/6. Allo stesso modo, (| 0> - | 1>) / √2 viene inviato a (| 11> - | 00>) / √2 con probabilità 1/6 e a (| 00> -1/2 | 01> -1 / 2 | 10> + | 11>) / √ (5/2) con probabilità 5/6.

— Abel Molina,

Poiché la risposta di @ AbelMolina è stata convertita anche in un documento arXiv, arxiv.org/abs/1202.4010 , aggiungo il link per i futuri lettori.

— Frédéric Grosshans,

$\alpha |0\rangle + \beta |1\rangle$ $\alpha$ $\beta\in \mathbb{R}\:$

{(\frac{1}{2} + \frac{1}{\sqrt{8}})}^{2 n} \approx {.72855}^{n}

$\left(\frac{1}{2}+ \frac{1}{\sqrt{8}}\right)^{2n} \approx .72855^n$

n

$n$

(\frac{5}{8})^{n}

$(\frac{5}{8})^n$

$\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = (\begin{array}{cc} \frac{1}{2} + \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{\sqrt{8}} \\ 0 & \frac{1}{\sqrt{8}} \\ \frac{1}{2} - \frac{1}{\sqrt{8}} & 0 \end{array}) A_{2} = (\begin{array}{cc} 0 & \frac{1}{2} - \frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}} & 0 \\ \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{2} + \frac{1}{\sqrt{8}} \end{array}) .

$A_1 = \left( \begin{array}{cc} \frac{1}{2}+\frac{1}{\sqrt{8}} & 0\\ 0 & \frac{1}{\sqrt{8}}\\ 0 & \frac{1}{\sqrt{8}}\\ \frac{1}{2}-\frac{1}{\sqrt{8}} & 0 \end{array} \right) \ \ \ \ A_2 = \left(\begin{array}{cc} 0& \frac{1}{2}-\frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}}&0\\ \frac{1}{\sqrt{8}}&0\\ 0&\frac{1}{2}+\frac{1}{\sqrt{8}} \end{array} \right) .$

$\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 3 & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{array}) A_{2} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3 \end{array}) .

$A_1 = \frac{1}{\sqrt{12}}\left( \begin{array}{cc} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{12}}\left(\begin{array}{cc} 0& 1 \\ 1&0\\ 1&0\\ 0&3 \end{array} \right) .$

Questi provengono chiaramente dalla stessa famiglia di trasformazioni, ma sono stati ottimizzati per soddisfare diverse funzioni oggettive. Questa famiglia di trasformazioni covarianti sembra essere data da

A_{1} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} x + y & 0 \\ 0 & y \\ 0 & y \\ x - y & 0 \end{array}) A_{2} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} 0 & x - y \\ y & 0 \\ y & 0 \\ 0 & x + y \end{array}) .

$A_1 = \frac{1}{\sqrt{2x^2+4y^2}}\left( \begin{array}{cc} x+y & 0\\ 0 & y\\ 0 & y\\ x-y & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{2x^2+4y^2}}\left(\begin{array}{cc} 0& x-y \\ y&0\\ y&0\\ 0&x+y \end{array} \right) .$

— Peter Shor
fonte

Grazie Peter! Sarebbe bello mostrare l'ottimalità o addirittura l'ottimalità del loro clonatore. Per questo, immagino che il primo passo sarebbe mostrare che l'attacco ottimale è individuale piuttosto che collettivo.

— Scott Aaronson,

Se l'approccio di Abel Molina funziona, dovrebbe dimostrarlo. In caso contrario, dovresti essere in grado di utilizzare le tecniche nei documenti di clonazione ottimali per ottenere un limite superiore, ma non so immediatamente quale sarebbe.

— Peter Shor,

(| 0 ⟩ + i | 1 ⟩) / \sqrt{2}

$(|0\rangle + i |1\rangle)/\sqrt{2}$

(| 0 ⟩ - i | 1 ⟩) / \sqrt{2}

$(|0\rangle - i |1\rangle)/\sqrt{2}$

c = 2 / 3

$c = 2/3$

x = y = 1

$x = y = 1$

x = y = 1

$x=y=1$

Non conosco una prova di sicurezza pubblicata. Penserei che il modo più semplice e il limite più forte verrebbero dalla non clonazione approssimativa, ma immagino che avresti bisogno di una versione specializzata per gli stati BB84. Anche una riduzione da BB84 non è ovvia, poiché le condizioni di sicurezza per BB84 sono diverse.

Penso che tu possa ottenere una prova in modo diretto come conseguenza della prova di sicurezza della crittografia non clonabile ( quant-ph / 0210062 ). Questo non avrà un limite superiore stretto alla probabilità di barare, ma almeno fornisce sicurezza.

$\rho_k$

Questo può essere usato per creare uno schema di denaro quantico: la banca A usa la crittografia non clonabile per crittografare una stringa casuale il "messaggio". Esiste uno schema di crittografia inconcepibile che è sostanzialmente BB84, quindi questo potrebbe dare lo schema di Weisner. Eva intercetta il denaro, interagisce con esso e invia l'originale modificato alla Banca B. Prova anche a fare una copia, che va alla Banca C. Le banche B e C accettano se lo stato fornito supera il test di intercettazione della crittografia non clonabile e se decodificano la stringa "messaggio" casuale corretta. La proprietà di crittografia non clonabile b dice che, con alta probabilità, la copia di B fallisce il test di intercettazione o la copia di C non contiene quasi informazioni sul messaggio. Questo è più forte del necessario, ma sufficiente per dimostrare la sicurezza.

Per il miglior attacco asintotico, immaginerei, a causa del quantum de Finetti, che il miglior attacco collettivo sia lo stesso del miglior attacco individuale.

Grazie mille, Daniel! Continuerò a cercare un argomento che dia un limite esplicito a c, ma nel frattempo questo è estremamente utile. Sono andato avanti e ho contrassegnato la tua risposta come "accettata".

— Scott Aaronson,