Une preuve de sécurité rigoureuse pour l'argent quantique de Wiesner

11

Dans son célèbre article " Conjugate Coding " (écrit vers 1970), Stephen Wiesner a proposé un système de monnaie quantique qui est inconditionnellement impossible à contrefaire, en supposant que la banque émettrice a accès à un tableau géant de nombres aléatoires et que les billets de banque peuvent être rapportés. à la banque pour vérification. Dans le schéma de Wiesner, chaque billet de banque se compose d'un « numéro de série » classique , avec un état d'argent quantique composé de enchevêtrées qubits, chacun soit $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2}, or | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

La banque se souvient d'une description classique de pour chaque . Et donc, lorsque est ramené à la banque pour vérification, la banque peut mesurer chaque qubit de dans la bonne base (soit ou ), et vérifiez qu'il obtient les bons résultats. $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ $\{|+\rangle,|-\rangle\}$

D'autre part, en raison de la relation d'incertitude (ou alternativement, le théorème de non-clonage), il est "intuitivement évident" que, si un contrefacteur qui ne connaît pas les bonnes bases essaie de copier , alors le la probabilité que les deux états de sortie du contrefacteur réussissent le test de vérification de la banque peut être au plus , pour une constante . De plus, cela devrait être vrai quelle que soit la stratégie utilisée par le contrefacteur, cohérente avec la mécanique quantique (par exemple, même si le contrefacteur utilise des mesures enchevêtrées de fantaisie sur ). $|\psi_s\rangle$ $c^n$ $c<1$ $|\psi_s\rangle$

Cependant, lors de la rédaction d'un article sur d'autres systèmes de monnaie quantique, mon coauteur et moi avons réalisé que nous n'avions jamais vu une preuve rigoureuse de la revendication ci-dessus nulle part ou une limite supérieure explicite sur : ni dans l'article original de Wiesner ni dans aucun autre. $c$

Ainsi, a une telle preuve (avec une limite supérieure ) été publiée? Sinon, alors peut-on tirer une telle preuve d'une manière plus ou moins simple de (disons) des versions approximatives du théorème de non-clonage, ou des résultats concernant la sécurité du schéma de distribution de clés quantiques BB84? $c$

Je devrais peut-être préciser que je recherche plus qu'une simple réduction de la sécurité du BB84. Je cherche plutôt une limite supérieure explicite sur la probabilité de réussite de la contrefaçon (c.-à-d. Sur ) --- et, idéalement, une certaine compréhension de ce à quoi ressemble la stratégie optimale de contrefaçon. C'est-à-dire, la stratégie optimale mesure-t-elle simplement chaque qubit de indépendamment, disons sur la base $c$ $|\psi_s\rangle$

{\cos (π / 8) | 0 ⟩ + \sin (π / 8) | 1 ⟩, \sin (π / 8) | 0 ⟩ - \cos (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

Ou existe-t-il une stratégie de contrefaçon enchevêtrée qui fait mieux?

À l'heure actuelle, les meilleures stratégies de contrefaçon que je connaisse sont (a) la stratégie ci-dessus, et (b) la stratégie qui mesure simplement chaque qubit dans la base et "espère le meilleur." Fait intéressant, les deux de ces stratégies se révèlent pour atteindre une probabilité de succès de . Donc, ma conjecture du moment est que pourrait être la bonne réponse. Dans tous les cas, le fait que soit une borne inférieure sur c exclut tout argument de sécurité pour le schéma de Wiesner qui est "trop" simple (par exemple, tout argument selon lequel il n'y a rien de non trivial qu'un contrefacteur peut faire, et donc la bonne réponse est $\{|0\rangle,|1\rangle\}$ $(5/8)$ ^$n$ $(5/8)$ ^$n$ $5/8$ $c=1/2$ ).

— DIDIx13
source

5

Non, n'est pas la bonne réponse.

(5 / 8)^{n}

$(5/8)^n$

— Peter Shor

15

Abel Molina, Thomas Vidick et moi avons prouvé que la bonne réponse est dans cet article: $c=3/4$

A. Molina, T. Vidick et J. Watrous. Attaques de contrefaçon optimales et généralisations pour l'argent quantique de Wiesner. Actes de la 7e conférence sur la théorie du calcul, de la communication et de la cryptographie quantiques, volume 7582 des notes de cours en informatique, pages 45–64, 2013. (Voir aussi arXiv: 1202.4010.)

Cela suppose que le contrefacteur utilise ce que nous appelons une "simple attaque de contrefaçon", ce qui signifie une tentative unique de transformer une copie d'un état monétaire en deux. (J'interprète votre question comme portant sur de telles attaques.)

L'attaque de Brodutch, Nagaj, Sattath et Unruh à laquelle @Rob a fait référence (et qui est un résultat fantastique à mon avis) oblige le contrefacteur à interagir à plusieurs reprises avec la banque et suppose que la banque fournira au contrefacteur le même état monétaire après chaque vérification.

L'article décrit le canal optimal, qui n'est pas un canal de rupture d'enchevêtrement (c.-à-d. Mesurer et préparer). C'est un exemple de cloneur, et il ressemble explicitement à ceci: où

Φ (ρ) = {UNE}_{0} ρ {UNE}_{0}^{†} + {UNE}_{1} ρ {UNE}_{1}^{†}

$\Phi(\rho) = A_0 \rho A_0^{\dagger} + A_1 \rho A_1^{\dagger}$

{UNE}_{0} = \frac{1}{\sqrt{12}} (\begin{matrix} 3 & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{matrix}) et {UNE}_{1} = \frac{1}{\sqrt{12}} (\begin{matrix} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3 \end{matrix}) .

$A_0 = \frac{1}{\sqrt{12}} \begin{pmatrix} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{pmatrix} \quad\text{and}\quad A_1 = \frac{1}{\sqrt{12}} \begin{pmatrix} 0 & 1\\ 1 & 0\\ 1 & 0\\ 0 & 3 \end{pmatrix}.$

Pour différents ensembles d'états monétaires et de chiffres de mérite, vous pouvez vous retrouver avec différentes valeurs optimales et cloneurs. Par exemple, si les états monétaires incluent également , le cloneur Bužek-Hillery est optimal et la valeur correcte de tombe à 2/3. $| 0\rangle \pm i |1\rangle$ $c$

— John Watrous
source

7

"Je recherche une limite supérieure explicite sur la probabilité d'une contrefaçon réussie ...".

Dans " Une attaque adaptative contre l'argent quantique de Wiesner ", par Aharon Brodutch, Daniel Nagaj, Or Sattath et Dominique Unruh, révisé pour la dernière fois le 10 mai 2016, les auteurs affirment un taux de réussite de: "~ 100%".

Le papier fait ces affirmations:

$(s,\left|\$_s\right>)$ $\left|\$_s\right>$ probabilité arbitrairement faible d'être attrapé.

...

Dans cet article, nous nous sommes concentrés sur l'argent de Wiesner dans un environnement silencieux. Autrement dit, la banque rejette l'argent si même un seul qubit est mal mesuré. Dans un cadre plus réaliste , nous devons faire face au bruit, et la banque voudrait tolérer une quantité limitée d'erreurs dans l'état quantique [PYJ + 12], disons 10%.

Voir aussi: " Quantum Bitcoin: une monnaie anonyme et distribuée sécurisée par le théorème de non-clonage de la mécanique quantique ", par Jonathan Jogenfors, 5 avril 2016, où il discute du plan de Wiesner et propose l'un des siens.

— Rob
source