Calcolo quantistico cieco: selezione di variabili di struttura generica

sfondo

Di recente mi sono imbattuto in un articolo di ricerca intitolato Dimostrazione sperimentale del calcolo quantistico cieco . All'interno di questo articolo di ricerca, gli scienziati hanno affermato che - attraverso la scelta appropriata di una struttura generica - un ingegnere di dati può nascondere le informazioni su come sono stati calcolati i dati.

Domanda

Se uno scienziato dovesse usare un protocollo BQC (Blind Quantum Computation) per calcolare misurazioni private, quali tipi di variabili dovrebbero usare per formulare una struttura generica per lo stato quantistico cieco?

Pensieri

Vorrei capire quali tipi di variabili potrebbero andare nella struttura generica al fine di aiutare a mantenere nascosti i calcoli dei dati dal server. Se si selezionano determinate variabili generiche conosciute, non capisco perché la selezione di altre variabili generiche note impedirebbe di nascondere i calcoli dei dati.

Sembra che tu stia chiedendo di questa parte del documento:

Pertanto, un calcolo quantistico è nascosto fintanto che queste misurazioni sono nascoste con successo. Per raggiungere questo obiettivo, il protocollo BQC sfrutta risorse speciali chiamate stati di cluster ciechi che devono essere scelti con cura per essere una struttura generica che non rivela nulla sul calcolo sottostante (vedi Figura 1).

- "Dimostrazione sperimentale di Blind Quantum Computing" (2011)

L'ultima parte, su come vogliono una " struttura generica che non rivela nulla sul calcolo sottostante " potrebbe far meravigliare il lettore su come la struttura di un computer potrebbe perdere informazioni sui suoi calcoli.

Come semplice esempio di una struttura che perde informazioni su uno schema cypto, supponiamo che Bob faccia una domanda a Sally alla quale presumiamo che Sally risponderà yeso no. Sally crittografa direttamente la sua risposta utilizzando il proprio pad one-time (OTP) condiviso , ottenendo il testo cifrato rk4. Nonostante lo schema OTP abbia un perfetto segreto in generale, è chiaro che Sally ha risposto yes.

In questo caso, il computer era strutturato in modo da perdere informazioni sulla lunghezza di un messaggio dato quel messaggio, che era particolarmente disastroso in questo esempio inventato. In generale, la struttura può perdere informazioni sul calcolo. Evitare tali perdite sarebbe necessario per un server di calcolo cieco come quello che il documento intende discutere.

In generale, gli attacchi che operano in questo modo sono chiamati attacchi del canale laterale .

Nel caso di questo articolo (negando di averlo appena sfogliato rapidamente), sembra che stiano fondamentalmente parlando della creazione di una struttura computazionale generica che non perde informazioni attraverso i suoi tratti strutturali. Ad esempio, se la struttura si è comportata diversamente in qualche modo in base a un aspetto segreto del messaggio, è possibile che vengano divulgate informazioni segrete al server quando il server osserva il proprio comportamento computazionale.

Il documento sembra tentare di sottolineare che l'unità computazionale deve essere progettata per evitare tali perdite di informazioni.

Più avanti nel documento, discutono cose sull'accecamento :

Nella crittografia , l' accecamento è una tecnica mediante la quale un agente può fornire un servizio (ovvero calcolare una funzione per) un client in una forma codificata senza conoscere né l'input reale né l'output reale. Le tecniche di accecamento hanno anche applicazioni per prevenire attacchi del canale laterale su dispositivi di crittografia.

- "Blinding (crittografia)" , Wikipedia

E, davvero, accecare è ciò che tratta questo documento: capire un modo per far funzionare un server per i clienti senza che i client rivelino i loro segreti al server.

Un modo per abilitare il calcolo alla cieca è che il client utilizzi la crittografia omomorfa sulla sua richiesta di lavoro prima di inviarlo al server:

La crittografia omomorfa è una forma di crittografia che consente il calcolo sui cifrati , generando un risultato crittografato che, una volta decrittografato, corrisponde al risultato delle operazioni come se fossero state eseguite sul testo in chiaro . Lo scopo della crittografia omomorfa è consentire il calcolo su dati crittografati.

- "Crittografia omomorfa" , Wikipedia

Come uno degli autori dell'articolo e dei documenti teorici originali su cui si basa quella realizzazione sperimentale, forse posso tentare di rispondere. Il protocollo BQC utilizzato in quel documento si basa su un modello di calcoli in cui le misurazioni vengono effettuate su uno stato impigliato appositamente scelto (questo è noto come calcolo quantistico basato su misurazioni o MBQC, ed è stato introdotto nel 2003 da Raussendorf e Briegel ( PRA , arXiv In MBQC lo stato della risorsa è chiamato stato del grafico, poiché un circuito per costruire lo stato del grafico può essere associato a un grafico: per ogni vertice preparare un qubit in$|+\rangle$e quindi eseguire un gate CZ tra ogni coppia di qubit per cui i vertici corrispondenti condividono un bordo nel grafico. Si scopre che è possibile implementare un calcolo quantistico arbitrario preparando prima uno stato del grafico adatto, quindi misurando ogni qubit a sua volta, con le basi di misurazione determinate in base al calcolo del target e ai risultati di misurazione precedenti.

Ciò che il protocollo BQC fa è implementare efficacemente un MBQC in un modo che nasconde le basi di misurazione di Bob. Il motivo per cui menzioniamo la necessità di una struttura generica è perché il protocollo non nasconde il grafico. Ora, si scopre che puoi effettivamente scegliere un grafico generico che può implementare qualsiasi calcolo quantico che può essere espresso come un circuito quantico di una data profondità e ampiezza se le basi di misurazione sono scelte in modo appropriato. L'utilizzo di tale grafico garantisce la fuoriuscita solo della profondità e dell'ampiezza del circuito e non dei dettagli del calcolo. Inoltre, il calcolo può sempre essere riempito casualmente per garantire che trapelino solo un limite superiore di profondità e larghezza. Questa è la minima perdita possibile, poiché alla fine Bob sa quanta memoria ha il suo dispositivo (~ ampiezza del circuito) e quanto tempo ha funzionato (~ profondità del circuito),

Per ulteriori informazioni, ti consigliamo di dare un'occhiata al seguente documento di revisione e ai riferimenti in esso contenuti: Calcolo quantistico privato: un'introduzione al calcolo quantistico cieco e ai relativi protocolli , JF Fitzsimons, npj Quantum Information 2017.