Wiesner量子货币的严格安全证明？

斯蒂芬·维斯纳（Stephen Wiesner）在其著名的论文“共轭编码”（1970年左右）中提出了一种量子货币方案，该方案无条件地不可伪造，前提是发卡银行可以使用巨大的随机数表，并且可以携带钞票回到银行进行验证。在Wiesner的方案中，每张钞票由一个经典的“序列号”以及一个由量子比特组成的量子货币状态组成，每个量子比特 $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2}, or | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

该银行还记得的经典描述每一个。因此，当将带回银行进行验证时，银行可以以正确的基础测量每个量子位（或），并检查其是否获得正确的结果。 $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ ${|+\rangle,|-\rangle}$

另一方面，由于不确定性关系（或者说，无克隆定理），如果不知道正确碱基的伪造者试图复制，那么“直观上就很明显”。对于某些常数，造假者的两个输出状态均通过银行的验证测试的概率最多为。此外，无论伪造者采用哪种策略，都应采用与量子力学一致的策略（例如，即使伪造者在上使用奇特的纠缠测量），也应如此。 $|\psi_s\rangle$ $c^n$ $c<1$ $|\psi_s\rangle$

但是，在撰写有关其他量子货币方案的论文时，我和我的合著者意识到我们从未在任何地方看到上述要求的严格证据，或者在没有明确的上限：无论是在Wiesner的原始论文还是以后的任何论文中，。 $c$

所以，有这样的证明（与上限）已经公布？如果不是，那么可以从（例如）无克隆定理的近似版本中以某种或多或少的直接方式得出这样的证明，或者是关于BB84量子密钥分配方案的安全性的结果吗？ $c$

更新：根据下面与Joe Fitzsimons的讨论，我应该澄清，我正在寻找的不仅仅是降低BB84安全性的方法。而是，我正在寻找成功伪造的可能性的明确上限（即），并且理想情况下，还应该对最佳伪造策略的模样有所了解。即，最优策略是否简单地独立地测量每个量子位 $c$ $|\psi_s\rangle$

{\cos (π / 8) | 0 ⟩ + \sin (π / 8) | 1 ⟩, \sin (π / 8) | 0 ⟩ - \cos (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

还是有一个纠结的伪造策略做得更好？

更新2：现在，我知道最好的伪造策略是（a）以上策略，和（b）简单地以基础测量每个qubit的策略，希望最好。” 有趣的是，这两种策略最终都实现了（5/8）ⁿ的成功概率。因此，我目前的猜测是（5/8）ⁿ可能是正确的答案。无论如何，5/8是c 的下界这一事实排除了Wiesner方案“太简单”的任何安全性论证（例如，任何论证伪造者都可以做到的事情都是不平凡的，因此正确的答案是c = 1/2）。 $\{|0\rangle,|1\rangle\}$

更新3：不，正确的答案是（3/4）ⁿ！请参阅下面的讨论线程Abel Molina的答案。

quantum-computing

— 斯科特·亚伦森
source

欢迎来到TP.SE Scott！很高兴在这里见到你。

— Joe Fitzsimons

似乎Wiesner的方案与BB84完全对应，您在Bob84上发布选择，并选择了与Alice准备相同的度量基础（因为银行既是Alice又是Bob）。显然，银行可以取而代之的是随机选择测量基础，并模拟BB84，这会产生严格较弱的安全性（因为您会考虑完全相同的测量，但仅在一部分qubit上），因此，您可以肯定地使用BB84的证明来降低限制了量子货币计划的安全性。也许我虽然想念一些东西。

— Joe Fitzsimons

感谢您的欢迎和答复，乔！FWIW，我分享您的直觉，即Wiesner方案的安全证明应该比BB84的安全证明“严格容易”。但是，有了这种论点（就像其他论点一样），我不断回到同一个问题：“那么，c的上限是多少？”

— Scott Aaronson

当然，它是确定BB84中的密钥的可能性的上限。

— Joe Fitzsimons

而且，虽然可以用BB84的安全性从BB84的安全性中推断出Wiesner方案的安全性，但我还是希望，应该有一个更直接，更有益的证据。此外，似乎很可能需要直接证明才能获得c上的明确上限，或者获得“合理”的这种上限（比0.9更像0.99999，更像0.9）。

— Scott Aaronson

Answers:

似乎可以通过以下方式对这种交互进行建模：

爱丽丝准备以下状态之一：，，，，根据一定的概率分布，并将第一个量子比特发送给Bob。 $|000\rangle$ $|101\rangle$ $(|0\rangle+|1\rangle)|10\rangle/\sqrt{2}$ $(|0\rangle-|1\rangle)|11\rangle/\sqrt{2}$
鲍勃执行任意量子通道，将其量子位发送到两个量子位，然后将其返回给爱丽丝。
爱丽丝对自己拥有的四个量子位执行投影测量。

如果我对此没有错（如果是，我很抱歉），那么这属于此处和此处介绍的Gutoski和Watrous的形式主义之内，这意味着：

从第二定理4.9中可以看出，如果Bob的目的始终是愚弄Alice，那么当Alice以几个独立的方式用几个量子位重复此过程时，最好让Bob独立行动。
可以从一个小的半定程序中获得c的值。您可以在此处的第3节中找到有关如何获取此程序的更多详细信息。有关程序及其值的cvx代码，请参见注释。

— 亚伯·莫利纳
source

根据Abel的建议，似乎最佳值为c = 3/4。

我确实获得了3/4的相同值。它的解释力很小，但是计算机代码位于cs.uwaterloo.ca/~amolinap/scriptWeisner.m和cs.uwaterloo.ca/~amolinap/prtrace.m。

— 亚伯·莫利纳

该策略由量子信道给出，其Choi-Jamielkowski表示形式是半定程序的最佳解决方案。有关此类解决方案的链接，请参见cs.uwaterloo.ca/~amolinap/optSolution.txt（最低有效qubit是Bob收到的qubit，另外两个qubit是他发送给Alice的qubit）。如果我的计算正确，则对应的通道以1/6的概率将| 0>发送给（| 01> + | 10>）/√2，并以5的概率将| 0>发送给（3 | 00> + | 11>）/√10 / 6。| 1>被发送到（| 01> + | 10>）/√2的概率1/6，并且，以（| 00> 3 | 11>）/√10的概率5/6

— 阿贝尔Molina的

类似地，（| 0> + | 1>）/√2以概率1/6发送到（| 11>-| 00>）/√2，并发送到（| 00> +1/2 | 01> +1 / 2 | 10> + | 11>）/√（5/2），概率为5/6。同样，（| 0>-|| 1>）/√2被以（1/6）的概率发送到（| 11>-| 00>）/√2，并被发送到（| 00> -1/2/01> -1 / 2 | 10> + | 11>）/√（5/2），概率为5/6。

— 亚伯·莫利纳

由于@AbelMolina的答案也已经转换为arXiv文件arxiv.org/abs/1202.4010，因此我添加了链接供将来的读者使用。

— 弗雷德里克·格罗斯汉斯

克隆BB84状态的问题被覆盖在纸 “相位协变量子克隆”由达格玛Bruß，米尔科Cinchetti，G.莫罗D'阿里亚诺，和Chiara的Macchiavello [ 物理学修订版A， 62， 012302（2000），方程。36]。它们为这些状态提供了一个最佳克隆器（对于任何状态与，也是一个最佳克隆器）。他们没有使用与您所要求的相同的保真度进行优化，但是我怀疑他们的克隆器最适合您的问题。其克隆器给出成功概率为假冒 $\alpha |0\rangle + \beta |1\rangle$ $\alpha$ $\beta\in \mathbb{R}\:$

{(\frac{1}{2} + \frac{1}{\sqrt{8}})}^{2 n} \approx {.72855}^{n}

$\left(\frac{1}{2}+ \frac{1}{\sqrt{8}}\right)^{2n} \approx .72855^n$

n

$n$ BB84指出，比。

(\frac{5}{8})^{n}

$(\frac{5}{8})^n$

更新：Bruß等人的最佳克隆器由给出 $\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = (\begin{array}{cc} \frac{1}{2} + \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{\sqrt{8}} \\ 0 & \frac{1}{\sqrt{8}} \\ \frac{1}{2} - \frac{1}{\sqrt{8}} & 0 \end{array}) A_{2} = (\begin{array}{cc} 0 & \frac{1}{2} - \frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}} & 0 \\ \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{2} + \frac{1}{\sqrt{8}} \end{array}) .

$A_1 = \left( \begin{array}{cc} \frac{1}{2}+\frac{1}{\sqrt{8}} & 0\\ 0 & \frac{1}{\sqrt{8}}\\ 0 & \frac{1}{\sqrt{8}}\\ \frac{1}{2}-\frac{1}{\sqrt{8}} & 0 \end{array} \right) \ \ \ \ A_2 = \left(\begin{array}{cc} 0& \frac{1}{2}-\frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}}&0\\ \frac{1}{\sqrt{8}}&0\\ 0&\frac{1}{2}+\frac{1}{\sqrt{8}} \end{array} \right) .$

通过Abel准定程序的解决方案找到的最佳克隆器为，其中： $\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 3 & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{array}) A_{2} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3 \end{array}) .

$A_1 = \frac{1}{\sqrt{12}}\left( \begin{array}{cc} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{12}}\left(\begin{array}{cc} 0& 1 \\ 1&0\\ 1&0\\ 0&3 \end{array} \right) .$

这些显然来自相同的转换族，但已进行了优化以满足不同的目标功能。这个协变变换族似乎由

A_{1} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} x + y & 0 \\ 0 & y \\ 0 & y \\ x - y & 0 \end{array}) A_{2} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} 0 & x - y \\ y & 0 \\ y & 0 \\ 0 & x + y \end{array}) .

$A_1 = \frac{1}{\sqrt{2x^2+4y^2}}\left( \begin{array}{cc} x+y & 0\\ 0 & y\\ 0 & y\\ x-y & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{2x^2+4y^2}}\left(\begin{array}{cc} 0& x-y \\ y&0\\ y&0\\ 0&x+y \end{array} \right) .$

— 彼得·索尔
source

谢谢，彼得！最好能显示出其克隆程序的最优性甚至接近最优性。为此，我想第一步应该表明最佳攻击是个人攻击而非集体攻击。

— Scott Aaronson

如果亚伯·莫利纳（Abel Molina）的方法行得通，则应证明这一点。如果不是这样，您应该能够使用最佳克隆文件中的技术来获得一个上限，但是我不立即知道这将是什么。

— Peter Shor

通过将状态和到原始四个状态，似乎最佳下降到。Peter的通道家族再次给出Bob的最佳通道，。

(| 0 ⟩ + i | 1 ⟩) / \sqrt{2}

$(|0\rangle + i |1\rangle)/\sqrt{2}$

(| 0 ⟩ - i | 1 ⟩) / \sqrt{2}

$(|0\rangle - i |1\rangle)/\sqrt{2}$

c = 2 / 3

$c = 2/3$

x = y = 1

$x = y = 1$

@约翰：这种转变是Bužek和Hillery的原始量子克隆。我认为这是针对实振幅量子位态的一个单参数协变量子克隆族。如果您需要所有状态的协方差，而不仅仅是实振幅状态，则仅获得。（此处的协变量表示：如果将相同的实数旋转应用于输入和输出状态空间，则将获得相同的变换。当然，如果先对输入空间应用旋转，则仍然如此，因此还必须要求重叠部分在没有旋转的情况下最大化。）

x = y = 1

$x=y=1$

— Peter Shor，

我不知道已发布的安全性证明。我认为最简单的方法和最强的界限来自近似的不克隆，但是我想您需要专门针对BB84状态的版本。由于BB84的安全性条件不同，因此即使从BB84还原也不太明显。

我确实认为，由于不可克隆加密的安全性证明（quant-ph / 0210062），您可以直接获得证明。这不会对作弊概率有严格的上限，但至少可以提供安全性。

在不可克隆的加密中，A使用量子态向B发送经典消息。（A和B共享一个秘密密钥。）安全性条件有两个：a）当Eve截获初始传输时，她没有获得任何有关消息的信息。b）无论夏娃采取什么策略，要么她很可能被鲍勃抓住，要么当密钥为k时她的剩余状态几乎没有关于消息的信息。b表示，如果不太可能抓到Eve，即使她后来了解到A和B所使用的密钥，她也不会保留有关该消息的信息。这被解释为无克隆结果：夏娃可以窃取密文，但她不能在不弄乱鲍勃收到的消息的情况下进行复制。 $\rho_k$

这可以用于创建量子货币方案：银行A使用不可克隆的加密来对随机字符串“消息”进行加密。有一个不可克隆的加密方案，基本上是BB84，因此可以提供Weisner的方案。夏娃拦截了这笔钱，与之互动，然后将修改后的原件发送给银行B。她还尝试制作一份副本，然后交给银行C。银行B和C接受是否提供给他们的状态通过了不可克隆的加密窃听测试，以及它们是否解码了正确的随机“消息”字符串。不可克隆的加密属性b表示，很有可能B的副本未通过窃听测试，或者C的副本几乎不包含有关消息的信息。这比需要的要强，但是足以证明安全性。

对于最佳的渐进式攻击，我想，由于量子de Finetti的原因，最佳的集体攻击与最佳的个人攻击相同。

非常感谢，丹尼尔！我将继续寻找一个在c上给出明确界限的参数，但是与此同时，这非常有帮助。我继续将您的答案标记为“接受”。

— Scott Aaronson