Строгое доказательство безопасности за квантовые деньги Виснера?

В своей знаменитой статье «Сопряженное кодирование» (написано около 1970 года) Стивен Виснер предложил схему для квантовых денег, которую безоговорочно невозможно подделать, предполагая, что банк-эмитент имеет доступ к гигантской таблице случайных чисел и что банкноты могут быть принесены обратно в банк для проверки. В схеме Wiesner, каждая банкнота состоит из классического «серийного номера» , вместе с квантовыми деньгами состоянием , состоящие из unentangled кубитов, каждый из которых либо| ф сек ⟩ $s$$|\psi_s\rangle$$n$

$$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$$

Банк запоминает классическое описание для каждого . И поэтому, когда возвращается в банк для проверки, банк может измерить каждый кубит в правильной основе (либо либо ) и убедитесь, что он получает правильные результаты.s | ψ s ⟩ | ψ s ⟩ { | 0 ⟩ , | 1 ⟩ } | + ⟩ , | - $|\psi_s\rangle$$s$$|\psi_s\rangle$$|\psi_s\rangle$$\{|0\rangle,|1\rangle\}$${|+\rangle,|-\rangle}$

С другой стороны, из-за отношения неопределенности (или, в качестве альтернативы, теоремы об отсутствии клонирования), «интуитивно очевидно», что если фальшивомонетчик, который не знает правильных оснований, попытается скопировать , то вероятность того, что оба выходных состояния фальшивомонетчика пройдут проверочный тест банка, может быть не более для некоторой константы . Кроме того, это должно быть правдой независимо от того, какую стратегию использует фальшивомонетчик, в соответствии с квантовой механикой (например, даже если фальшивомонетчик использует причудливые запутанные измерения на ).$|\psi_s\rangle$ c < 1 | ψ s$c^n$$c<1$$|\psi_s\rangle$

Однако, когда я писал статью о других схемах квантовых денег, я и мой соавтор поняли, что мы нигде не видели строгого доказательства вышеуказанного утверждения или явной верхней границы для : ни в оригинальной статье Виснера, ни в более поздней. ,$c$

Итак, есть такое доказательство (с верхней границей ) были опубликованы? Если нет, то можно ли получить такое доказательство в более или менее прямой форме из (скажем) приблизительных версий теоремы об отсутствии клонирования или результатов о безопасности схемы распределения квантовых ключей BB84?$c$

Обновление: в свете обсуждения с Джо Фицсимонсом ниже, я должен уточнить, что я ищу больше, чем просто снижение безопасности BB84. Скорее, я ищу четкую верхнюю границу вероятности успешной контрафакции (то есть на ) - и в идеале также некоторое понимание того, как выглядит оптимальная стратегия контрафакции. Т.е. оптимальная стратегия просто измеряет каждый кубит независимо, скажем, в базисе| ψ s$c$$|\psi_s\rangle$

$$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$$

Или есть запутанная стратегия подделки, которая делает лучше?

Обновление 2: Прямо сейчас, лучшими из известных мне стратегий контрафакции являются: (а) приведенная выше стратегия и (б) стратегия, которая просто измеряет каждый кубит на основе и " надеется на лучшее ". Интересно, что обе эти стратегии достигают вероятности успеха (5/8) ⁿ . Итак, моя гипотеза о том, что (5/8) ⁿ может быть правильным ответом. В любом случае тот факт, что 5/8 является нижней границей c, исключает любой аргумент безопасности для схемы Виснера, который является «слишком» простым (например, любой аргумент о том, что нет ничего нетривиального, что может сделать фальшивомонетчик, и поэтому правильный ответ с = 1/2).$\{|0\rangle,|1\rangle\}$

Обновление 3: Нет, правильный ответ (3/4) ⁿ ! Смотрите ветку обсуждения ниже ответа Абеля Молины.

Кажется, что это взаимодействие может быть смоделировано следующим образом:

1. Алиса готовит одно из состояний , , , , в соответствии с определенным распределением вероятностей, и отправляет первый кубит Бобу.$|000\rangle$$|101\rangle$$(|0\rangle+|1\rangle)|10\rangle/\sqrt{2}$$(|0\rangle-|1\rangle)|11\rangle/\sqrt{2}$
2. Боб выполняет произвольный квантовый канал, который отправляет свой кубит двум кубитам, которые затем возвращаются Алисе.
3. Алиса выполняет проективное измерение четырех кубитов на своем владении.

Если я не ошибаюсь в этом (и извините, если да), это подпадает под формализм Гутоски и Ватроуса, представленный здесь и здесь , что подразумевает, что:

1. Из теоремы 4.9 во второй из них Бобу лучше действовать независимо, когда Алиса повторяет этот процесс с несколькими кубитами независимым образом, если цель Боба - всегда обманывать Алису.
2. Можно получить значение c из небольшой полуопределенной программы. Вы можете найти более подробную информацию о том, как получить эту программу в разделе 3 здесь . Смотрите комментарии для кода cvx для программы и ее значения.

Вопрос о клонировании состояний BB84 освещался в статье «Фазово-ковариантное квантовое клонирование» Дагмара Брюса, Мирко Чинкетти, Дж. Мауро д'Ариано и Кьяры Маккиавелло [ Phys Rev. A, 62, 012302 (2000), Eq. 36]. Они дают оптимальный клонер для этих состояний (который также является оптимальным клонером для любых состояний с , . Они не оптимизируют, используя тот же показатель точности, о котором вы спрашиваете, но я подозреваю, что их клонер оптимален для вашего вопроса. Их клонер дает вероятность успеха для подделки$\alpha |0\rangle + \beta |1\rangle$$\alpha$$\beta\in \mathbb{R}\:$

$$\left(\frac{1}{2}+ \frac{1}{\sqrt{8}}\right)^{2n} \approx .72855^n$$ $n$BB84 утверждает, что немного лучше, чем .$(\frac{5}{8})^n$

ОБНОВЛЕНИЕ: оптимальный клонер Брюса и др. Определяется как где$\sum_{i=1}^2 A_i \rho A_i^\dagger$

$$A_1 = \left( \begin{array}{cc} \frac{1}{2}+\frac{1}{\sqrt{8}} & 0\\ 0 & \frac{1}{\sqrt{8}}\\ 0 & \frac{1}{\sqrt{8}}\\ \frac{1}{2}-\frac{1}{\sqrt{8}} & 0 \end{array} \right) \ \ \ \ A_2 = \left(\begin{array}{cc} 0& \frac{1}{2}-\frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}}&0\\ \frac{1}{\sqrt{8}}&0\\ 0&\frac{1}{2}+\frac{1}{\sqrt{8}} \end{array} \right) .$$

Оптимальный клонер, найденный решением полуопределенной программы Абеля, имеет вид где:$\sum_{i=1}^2 A_i \rho A_i^\dagger$

$$A_1 = \frac{1}{\sqrt{12}}\left( \begin{array}{cc} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{12}}\left(\begin{array}{cc} 0& 1 \\ 1&0\\ 1&0\\ 0&3 \end{array} \right) .$$

Они явно происходят из одного и того же семейства преобразований, но были оптимизированы для удовлетворения различных целевых функций. Это семейство ковариантных преобразований, по-видимому, дается

$$A_1 = \frac{1}{\sqrt{2x^2+4y^2}}\left( \begin{array}{cc} x+y & 0\\ 0 & y\\ 0 & y\\ x-y & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{2x^2+4y^2}}\left(\begin{array}{cc} 0& x-y \\ y&0\\ y&0\\ 0&x+y \end{array} \right) .$$

Я не знаю ни одного опубликованного доказательства безопасности. Я бы подумал, что самый простой способ и самая сильная граница - это приблизительное отсутствие клонирования, но я думаю, вам понадобится версия, специализированная для состояний BB84. Даже сокращение от BB84 не очевидно, так как условия безопасности для BB84 отличаются.

Я думаю, что вы можете получить доказательство прямо как следствие доказательства безопасности неклонируемого шифрования ( quant-ph / 0210062 ). Это не будет жестко ограничено вероятностью обмана, но, по крайней мере, это обеспечит безопасность.

В неклонируемом шифровании A отправляет B классическое сообщение, используя квантовые состояния. (А и В совместно используют секретный ключ.) Условие безопасности двоякое: а) Когда Ева перехватывает начальную передачу, она не получает информации о сообщении. б) Какую бы стратегию ни выбрала Ева, либо она будет поймана Бобом с очень высокой вероятностью, либо ее остаточное состояние когда ключ равен k, почти не содержит информации о сообщении. б говорит , что если Ева вряд ли будет пойман, она не сохраняет никакой информации о сообщении , даже если она позже узнает ключ , используемый A и B . Это интерпретируется как результат отсутствия клонирования: Ева могла украсть зашифрованный текст, но она не может скопировать его, не испортив полученное сообщение Боба.$\rho_k$

Это может быть использовано для создания схемы с квантовыми деньгами: Банк А использует неклонируемое шифрование для шифрования случайной строки «сообщение». Существует неклонируемая схема шифрования, которая в основном BB84, так что это может дать схему Вейснера. Ева перехватывает деньги, взаимодействует с ними и отправляет модифицированный оригинал в Банк B. Она также пытается сделать копию, которая отправляется в Банк С. Банки В и С принимают, если предоставленное им состояние проходит тест на прослушивание без клонирования при шифровании. и если они декодируют правильную случайную строку «сообщения». Свойство b неклонируемого шифрования говорит о том, что с большой вероятностью либо копия B не проходит тест на прослушивание, либо копия C почти не содержит информации о сообщении. Это сильнее, чем нужно, но достаточно, чтобы доказать безопасность.

Для лучшей асимптотической атаки я бы предположил, благодаря квантовой де Финетти, что лучшая коллективная атака такая же, как лучшая индивидуальная атака.