¿Prueba de seguridad rigurosa para el dinero cuántico de Wiesner?

En su célebre artículo "Codificación Conjugada" (escrito alrededor de 1970), Stephen Wiesner propuso un esquema para el dinero cuántico que es incondicionalmente imposible de falsificar, suponiendo que el banco emisor tiene acceso a una tabla gigante de números aleatorios, y que los billetes pueden ser traídos De vuelta al banco para su verificación. En el esquema de Wiesner, cada billete consiste en un "número de serie" clásica , junto con un estado cuántico de dinero que consta de qubits sin entrelazar, cada uno de ellos, ya sea $s$ $|\psi_s\rangle$ $n$

| 0 ⟩, | 1 ⟩, | + ⟩ = (| 0 ⟩ + | 1 ⟩) / \sqrt{2}, or | - ⟩ = (| 0 ⟩ - | 1 ⟩) / \sqrt{2} .

$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$

El banco recuerda una descripción clásica de para cada . Y, por lo tanto, cuando se devuelve al banco para su verificación, el banco puede medir cada qubit de en la base correcta (ya sea o ), y compruebe que obtiene los resultados correctos. $|\psi_s\rangle$ $s$ $|\psi_s\rangle$ $|\psi_s\rangle$ $\{|0\rangle,|1\rangle\}$ ${|+\rangle,|-\rangle}$

Por otro lado, debido a la relación de incertidumbre (o alternativamente, el Teorema de No Clonación), es "intuitivamente obvio" que, si un falsificador que no conoce las bases correctas intenta copiar , entonces el La probabilidad de que ambos estados de salida del falsificador pasen la prueba de verificación del banco puede ser como máximo , para alguna constante . Además, esto debería ser cierto independientemente de la estrategia que utilice el falsificador, de acuerdo con la mecánica cuántica (por ejemplo, incluso si el falsificador utiliza mediciones entrelazadas de fantasía en ). $|\psi_s\rangle$ $c^n$ $c<1$ $|\psi_s\rangle$

Sin embargo, al escribir un artículo sobre otros esquemas de dinero cuántico, mi coautor y yo nos dimos cuenta de que nunca habíamos visto una prueba rigurosa de la afirmación anterior en ningún lado, ni un límite superior explícito en : ni en el documento original de Wiesner ni en ninguno posterior. . $c$

Entonces, ¿ se ha publicado tal prueba (con un límite superior en )? Si no es así, ¿se puede obtener tal prueba de una manera más o menos directa de (digamos) versiones aproximadas del Teorema de no clonación, o resultados sobre la seguridad del esquema de distribución de claves cuánticas BB84? $c$

Actualización: a la luz de la discusión con Joe Fitzsimons a continuación, debo aclarar que estoy buscando algo más que una reducción de la seguridad de BB84. Más bien, estoy buscando un límite superior explícito sobre la probabilidad de falsificación exitosa (es decir, en ) --- e idealmente, también algo de comprensión de cómo se ve la estrategia óptima de falsificación. Es decir, ¿la estrategia óptima simplemente mide cada qubit de independiente, digamos en la base $c$ $|\psi_s\rangle$

{\cos (π / 8) | 0 ⟩ + \sin (π / 8) | 1 ⟩, \sin (π / 8) | 0 ⟩ - \cos (π / 8) | 1 ⟩} ?

$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$

¿O hay una estrategia de falsificación enredada que funciona mejor?

Actualización 2: en este momento, las mejores estrategias de falsificación que conozco son (a) la estrategia anterior y (b) la estrategia que simplemente mide cada qubit en la base y " espera lo mejor ". Curiosamente, ambas estrategias resultan para lograr una probabilidad de éxito de (5/8) ⁿ . Entonces, mi conjetura del momento es que (5/8) ⁿ podría ser la respuesta correcta. En cualquier caso, el hecho de que 5/8 es un límite inferior en c descarta cualquier argumento de seguridad para el esquema de Wiesner que sea "demasiado" simple (por ejemplo, cualquier argumento en el sentido de que no hay nada no trivial que pueda hacer un falsificador, y por lo tanto la respuesta correcta es c = 1/2). $\{|0\rangle,|1\rangle\}$

Actualización 3: No, la respuesta correcta es (3/4) ⁿ ! Vea el hilo de discusión debajo de la respuesta de Abel Molina.

quantum-computing

— Scott Aaronson
fuente

Bienvenido a TP.SE Scott! Que bueno verte aquí.

— Joe Fitzsimons

Parece que el esquema de Wiesner corresponde exactamente a BB84, donde publicas una selección en la que Bob ha elegido exactamente las mismas bases de medición que Alice tiene para la preparación (ya que el banco es tanto Alice como Bob). Claramente, el banco podría elegir la base de medición al azar y simular BB84, lo que generaría una seguridad estrictamente más débil (ya que consideraría exactamente las mismas mediciones pero solo en un subconjunto de qubits), por lo que seguramente puede usar una prueba de BB84 para reducir obligado la seguridad del esquema de dinero cuántico. Tal vez me estoy perdiendo algo sin embargo.

— Joe Fitzsimons

Gracias por la bienvenida y la respuesta, Joe! FWIW, comparto su intuición de que una prueba de seguridad para el esquema de Wiesner debería ser "estrictamente más fácil" que una prueba de seguridad para BB84. Sin embargo, con ese argumento (como con todos los demás), sigo volviendo a la misma pregunta: "Entonces, ¿cuál es el límite superior en c?"

— Scott Aaronson

Seguramente está limitado por la probabilidad de determinar la clave en BB84.

— Joe Fitzsimons

Además, aunque estaría bien deducir la seguridad del esquema de Wiesner de la seguridad de BB84 si esa es la única / mejor alternativa, tengo la esperanza de que haya una prueba más directa e informativa. Además, parece plausible que se necesitaría una prueba directa para obtener un límite superior explícito en c, o para obtener un límite "razonable" (más como 0.9 que como 0.99999).

— Scott Aaronson

Respuestas:

Parece que esta interacción se puede modelar de la siguiente manera:

Alice prepara uno de los estados , , , , de acuerdo con una cierta distribución de probabilidad, y envía el primer qubit a Bob. $|000\rangle$ $|101\rangle$ $(|0\rangle+|1\rangle)|10\rangle/\sqrt{2}$ $(|0\rangle-|1\rangle)|11\rangle/\sqrt{2}$
Bob realiza un canal cuántico arbitrario que envía su qubit a dos qubits, que luego se devuelven a Alice.
Alice realiza una medición proyectiva en los cuatro qubits que posee.

Si no estoy equivocado sobre esto (y lo siento si lo estoy), esto cae dentro del formalismo de Gutoski y Watrous presentado aquí y aquí , lo que implica que:

Del teorema 4.9 en el segundo de ellos, es óptimo para Bob actuar de manera independiente cuando Alice repite este proceso con varios qubits de manera independiente, si el objetivo de Bob es siempre engañar a Alice.
Es posible obtener el valor de c de un pequeño programa semidefinido. Puede encontrar más detalles sobre cómo obtener este programa en la Sección 3 aquí . Vea los comentarios para el código cvx para el programa y su valor.

— Abel Molina
fuente

Siguiendo la sugerencia de Abel, parece que el valor óptimo es c = 3/4.

Acabo de obtener el mismo valor de 3/4. Su poder explicativo es pequeño, pero el código de la computadora está en cs.uwaterloo.ca/~amolinap/scriptWeisner.m y cs.uwaterloo.ca/~amolinap/prtrace.m .

— Abel Molina

La estrategia viene dada por un canal cuántico cuya representación de Choi-Jamielkowski es una solución óptima para el programa semidefinido. Consulte cs.uwaterloo.ca/~amolinap/optSolution.txt para obtener un enlace a dicha solución (el qubit menos significativo es el que recibe Bob, y los otros dos son los que envía a Alice). Si mis cálculos son correctos, el canal correspondiente envía | 0> a (| 01> + | 10>) / √2 con probabilidad 1/6, y a (3 | 00> + | 11>) / √10 con probabilidad 5 / 6. | 1> se envía a (| 01> + | 10>) / √2 con probabilidad 1/6, y a (| 00> +3 | 11>) / √10 con probabilidad 5/6

— Abel Molina

Del mismo modo, (| 0> + | 1>) / √2 se envía a (| 11> - | 00>) / √2 con probabilidad 1/6, y a (| 00> +1/2 | 01> +1 / 2 | 10> + | 11>) / √ (5/2) con probabilidad 5/6. Del mismo modo, (| 0> - | 1>) / √2 se envía a (| 11> - | 00>) / √2 con probabilidad 1/6, y a (| 00> -1/2 | 01> -1 / 2 | 10> + | 11>) / √ (5/2) con probabilidad 5/6.

— Abel Molina

Como la respuesta de @ AbelMolina se convirtió también en un artículo de arXiv, arxiv.org/abs/1202.4010 , agrego el enlace para futuros lectores.

— Frédéric Grosshans

La cuestión de la clonación de los estados BB84 fue tratada en el documento "Clonación cuántica covariante de fase" de Dagmar Bruß, Mirko Cinchetti, G. Mauro D'Ariano y Chiara Macchiavello [ Phys Rev. A, 62, 012302 (2000), Eq. 36] Dan un clonador óptimo para estos estados (que también es un clonador óptimo para cualquier estado with , :) . No se optimizan utilizando la misma medida de fidelidad que está preguntando, pero sospecho que su clonador es óptimo para su pregunta. Su clonador da probabilidad de éxito para falsificación $\alpha |0\rangle + \beta |1\rangle$ $\alpha$ $\beta\in \mathbb{R}\:$

{(\frac{1}{2} + \frac{1}{\sqrt{8}})}^{2 n} \approx {.72855}^{n}

$\left(\frac{1}{2}+ \frac{1}{\sqrt{8}}\right)^{2n} \approx .72855^n$

n

$n$ BB84 afirma, bastante mejor que .

(\frac{5}{8})^{n}

$(\frac{5}{8})^n$

ACTUALIZACIÓN: el clonador óptimo de Bruß et al. Está dado por donde $\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = (\begin{array}{cc} \frac{1}{2} + \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{\sqrt{8}} \\ 0 & \frac{1}{\sqrt{8}} \\ \frac{1}{2} - \frac{1}{\sqrt{8}} & 0 \end{array}) A_{2} = (\begin{array}{cc} 0 & \frac{1}{2} - \frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}} & 0 \\ \frac{1}{\sqrt{8}} & 0 \\ 0 & \frac{1}{2} + \frac{1}{\sqrt{8}} \end{array}) .

$A_1 = \left( \begin{array}{cc} \frac{1}{2}+\frac{1}{\sqrt{8}} & 0\\ 0 & \frac{1}{\sqrt{8}}\\ 0 & \frac{1}{\sqrt{8}}\\ \frac{1}{2}-\frac{1}{\sqrt{8}} & 0 \end{array} \right) \ \ \ \ A_2 = \left(\begin{array}{cc} 0& \frac{1}{2}-\frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}}&0\\ \frac{1}{\sqrt{8}}&0\\ 0&\frac{1}{2}+\frac{1}{\sqrt{8}} \end{array} \right) .$

El clonador óptimo encontrado por la solución al programa semindefinito de Abel es donde: $\sum_{i=1}^2 A_i \rho A_i^\dagger$

A_{1} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 3 & 0 \\ 0 & 1 \\ 0 & 1 \\ 1 & 0 \end{array}) A_{2} = \frac{1}{\sqrt{12}} (\begin{array}{cc} 0 & 1 \\ 1 & 0 \\ 1 & 0 \\ 0 & 3 \end{array}) .

$A_1 = \frac{1}{\sqrt{12}}\left( \begin{array}{cc} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{12}}\left(\begin{array}{cc} 0& 1 \\ 1&0\\ 1&0\\ 0&3 \end{array} \right) .$

Estos claramente provienen de la misma familia de transformaciones, pero han sido optimizados para satisfacer diferentes funciones objetivas. Esta familia de transformaciones covariantes parece estar dada por

A_{1} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} x + y & 0 \\ 0 & y \\ 0 & y \\ x - y & 0 \end{array}) A_{2} = \frac{1}{\sqrt{2 x^{2} + 4 y^{2}}} (\begin{array}{cc} 0 & x - y \\ y & 0 \\ y & 0 \\ 0 & x + y \end{array}) .

$A_1 = \frac{1}{\sqrt{2x^2+4y^2}}\left( \begin{array}{cc} x+y & 0\\ 0 & y\\ 0 & y\\ x-y & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{2x^2+4y^2}}\left(\begin{array}{cc} 0& x-y \\ y&0\\ y&0\\ 0&x+y \end{array} \right) .$

— Peter Shor
fuente

Gracias Peter! Sería genial mostrar la optimización o incluso la casi óptima de su clonador. Para eso, supongo que el primer paso sería mostrar que el ataque óptimo es individual en lugar de colectivo.

— Scott Aaronson

Si el enfoque de Abel Molina funciona, debería demostrarlo. De lo contrario, debería poder utilizar las técnicas en los papeles clonadores óptimos para obtener un límite superior, pero no sé de inmediato qué sería.

— Peter Shor

Al agregar los estados y a los cuatro originales, parece que el el óptimo cae a . La familia de canales de Peter da nuevamente un canal óptimo para Bob, con .

(| 0 ⟩ + i | 1 ⟩) / \sqrt{2}

$(|0\rangle + i |1\rangle)/\sqrt{2}$

(| 0 ⟩ - i | 1 ⟩) / \sqrt{2}

$(|0\rangle - i |1\rangle)/\sqrt{2}$

c = 2 / 3

$c = 2/3$

x = y = 1

$x = y = 1$

@John: esta transformación es el clonador cuántico original de Bužek e Hillery. Creo que lo que está sucediendo es que hay una familia de un parámetro de clonadores cuánticos covariantes para estados qubit de amplitud real. Si necesita covarianza para todos los estados, no solo los de amplitud real, obtendrá solo . (Covariante aquí significa: si aplica la misma rotación real a los espacios de estado de entrada y salida, obtendrá la misma transformación. Por supuesto, esto sigue siendo cierto si aplica primero una rotación al espacio de entrada, por lo que también debe requieren que la superposición se maximice sin rotación.)

x = y = 1

$x=y=1$

— Peter Shor

No sé de una prueba de seguridad publicada. Creo que la forma más simple y el límite más fuerte vendría de la no clonación aproximada, pero supongo que necesitaría una versión especializada para los estados BB84. Incluso una reducción de BB84 no es obvia, ya que la condición de seguridad para BB84 es diferente.

Creo que puede obtener una prueba directa como consecuencia de la prueba de seguridad del cifrado no clonable ( quant-ph / 0210062 ). Esto no tendrá un límite superior ajustado en la probabilidad de trampa, pero al menos da seguridad.

En un cifrado no clonable, A envía a B un mensaje clásico utilizando estados cuánticos. (A y B comparten una clave secreta). La condición de seguridad es doble: a) Cuando Eve intercepta la transmisión inicial, no recibe información sobre el mensaje. b) Cualquiera sea la estrategia que adopte Eve, Bob la con una probabilidad muy alta o su estado residual cuando la clave es k casi no tiene información sobre el mensaje. b dice que si Eva es poco probable que sea atrapado, ella retiene ninguna información sobre el mensaje , incluso si más tarde se entera de la clave utilizada por A y B . Esto se interpreta como un resultado de no clonación: Eve podría robar el texto cifrado, pero no puede copiarlo sin estropear el mensaje recibido de Bob. $\rho_k$

Esto se puede usar para crear un esquema de dinero cuántico: el Banco A usa encriptación no clonable para encriptar una cadena aleatoria del "mensaje". Hay un esquema de cifrado que no se puede clonar que es básicamente BB84, por lo que esto podría dar el esquema de Weisner. Eve intercepta el dinero, interactúa con él y envía el original modificado al Banco B. También trata de hacer una copia, que va al Banco C. Los bancos B y C aceptan si el estado que se les proporciona pasa la prueba de escuchas de cifrado que no se puede clonar. , y si decodifican la cadena de "mensaje" aleatoria correcta. La propiedad de cifrado no clonable b dice que, con alta probabilidad, la copia de B falla la prueba de escucha o la copia de C casi no contiene información sobre el mensaje. Esto es más fuerte de lo necesario, pero suficiente para demostrar la seguridad.

Para el mejor ataque asintótico, me imagino, debido al quantum de Finetti, que el mejor ataque colectivo es el mismo que el mejor ataque individual.

Muchas gracias Daniel! Continuaré buscando un argumento que proporcione un límite explícito en c, pero mientras tanto, esto es extremadamente útil. Seguí adelante y marqué su respuesta como "aceptada".

— Scott Aaronson