¿Prueba de seguridad rigurosa para el dinero cuántico de Wiesner?

En su célebre artículo "Codificación Conjugada" (escrito alrededor de 1970), Stephen Wiesner propuso un esquema para el dinero cuántico que es incondicionalmente imposible de falsificar, suponiendo que el banco emisor tiene acceso a una tabla gigante de números aleatorios, y que los billetes pueden ser traídos De vuelta al banco para su verificación. En el esquema de Wiesner, cada billete consiste en un "número de serie" clásica , junto con un estado cuántico de dinero que consta de qubits sin entrelazar, cada uno de ellos, ya sea| ψ s ⟩ $s$$|\psi_s\rangle$$n$

$$|0\rangle,\ |1\rangle,\ |+\rangle=(|0\rangle+|1\rangle)/\sqrt{2},\ \text{or}\ |-\rangle=(|0\rangle-|1\rangle)/\sqrt{2}.$$

El banco recuerda una descripción clásica de para cada . Y, por lo tanto, cuando se devuelve al banco para su verificación, el banco puede medir cada qubit de en la base correcta (ya sea o ), y compruebe que obtiene los resultados correctos.s | ψ s ⟩ | ψ s ⟩ { | 0 ⟩ , | 1 ⟩ } | + ⟩ , | - $|\psi_s\rangle$$s$$|\psi_s\rangle$$|\psi_s\rangle$$\{|0\rangle,|1\rangle\}$${|+\rangle,|-\rangle}$

Por otro lado, debido a la relación de incertidumbre (o alternativamente, el Teorema de No Clonación), es "intuitivamente obvio" que, si un falsificador que no conoce las bases correctas intenta copiar , entonces el La probabilidad de que ambos estados de salida del falsificador pasen la prueba de verificación del banco puede ser como máximo , para alguna constante . Además, esto debería ser cierto independientemente de la estrategia que utilice el falsificador, de acuerdo con la mecánica cuántica (por ejemplo, incluso si el falsificador utiliza mediciones entrelazadas de fantasía en ).$|\psi_s\rangle$ c < 1 | ψ s$c^n$$c<1$$|\psi_s\rangle$

Sin embargo, al escribir un artículo sobre otros esquemas de dinero cuántico, mi coautor y yo nos dimos cuenta de que nunca habíamos visto una prueba rigurosa de la afirmación anterior en ningún lado, ni un límite superior explícito en : ni en el documento original de Wiesner ni en ninguno posterior. .$c$

Entonces, ¿ se ha publicado tal prueba (con un límite superior en )? Si no es así, ¿se puede obtener tal prueba de una manera más o menos directa de (digamos) versiones aproximadas del Teorema de no clonación, o resultados sobre la seguridad del esquema de distribución de claves cuánticas BB84?$c$

Actualización: a la luz de la discusión con Joe Fitzsimons a continuación, debo aclarar que estoy buscando algo más que una reducción de la seguridad de BB84. Más bien, estoy buscando un límite superior explícito sobre la probabilidad de falsificación exitosa (es decir, en ) --- e idealmente, también algo de comprensión de cómo se ve la estrategia óptima de falsificación. Es decir, ¿la estrategia óptima simplemente mide cada qubit de independiente, digamos en la base| ψ s$c$$|\psi_s\rangle$

$$\{ \cos(\pi/8)|0\rangle+\sin(\pi/8)|1\rangle, \sin(\pi/8)|0\rangle-\cos(\pi/8)|1\rangle \}?$$

¿O hay una estrategia de falsificación enredada que funciona mejor?

Actualización 2: en este momento, las mejores estrategias de falsificación que conozco son (a) la estrategia anterior y (b) la estrategia que simplemente mide cada qubit en la base y " espera lo mejor ". Curiosamente, ambas estrategias resultan para lograr una probabilidad de éxito de (5/8) ⁿ . Entonces, mi conjetura del momento es que (5/8) ⁿ podría ser la respuesta correcta. En cualquier caso, el hecho de que 5/8 es un límite inferior en c descarta cualquier argumento de seguridad para el esquema de Wiesner que sea "demasiado" simple (por ejemplo, cualquier argumento en el sentido de que no hay nada no trivial que pueda hacer un falsificador, y por lo tanto la respuesta correcta es c = 1/2).$\{|0\rangle,|1\rangle\}$

Actualización 3: No, la respuesta correcta es (3/4) ⁿ ! Vea el hilo de discusión debajo de la respuesta de Abel Molina.

Parece que esta interacción se puede modelar de la siguiente manera:

1. Alice prepara uno de los estados , , , , de acuerdo con una cierta distribución de probabilidad, y envía el primer qubit a Bob.| 101 ⟩ ( | 0 ⟩ + | 1 ⟩ ) | 10 ⟩ / $|000\rangle$$|101\rangle$ (|0⟩-|1⟩)| 11⟩/$(|0\rangle+|1\rangle)|10\rangle/\sqrt{2}$$(|0\rangle-|1\rangle)|11\rangle/\sqrt{2}$
2. Bob realiza un canal cuántico arbitrario que envía su qubit a dos qubits, que luego se devuelven a Alice.
3. Alice realiza una medición proyectiva en los cuatro qubits que posee.

Si no estoy equivocado sobre esto (y lo siento si lo estoy), esto cae dentro del formalismo de Gutoski y Watrous presentado aquí y aquí , lo que implica que:

1. Del teorema 4.9 en el segundo de ellos, es óptimo para Bob actuar de manera independiente cuando Alice repite este proceso con varios qubits de manera independiente, si el objetivo de Bob es siempre engañar a Alice.
2. Es posible obtener el valor de c de un pequeño programa semidefinido. Puede encontrar más detalles sobre cómo obtener este programa en la Sección 3 aquí . Vea los comentarios para el código cvx para el programa y su valor.

La cuestión de la clonación de los estados BB84 fue tratada en el documento "Clonación cuántica covariante de fase" de Dagmar Bruß, Mirko Cinchetti, G. Mauro D'Ariano y Chiara Macchiavello [ Phys Rev. A, 62, 012302 (2000), Eq. 36] Dan un clonador óptimo para estos estados (que también es un clonador óptimo para cualquier estado with , :) . No se optimizan utilizando la misma medida de fidelidad que está preguntando, pero sospecho que su clonador es óptimo para su pregunta. Su clonador da probabilidad de éxito para falsificación$\alpha |0\rangle + \beta |1\rangle$$\alpha$$\beta\in \mathbb{R}\:$

$$\left(\frac{1}{2}+ \frac{1}{\sqrt{8}}\right)^{2n} \approx .72855^n$$ $n$BB84 afirma, bastante mejor que .$(\frac{5}{8})^n$

ACTUALIZACIÓN: el clonador óptimo de Bruß et al. Está dado por donde$\sum_{i=1}^2 A_i \rho A_i^\dagger$

$$A_1 = \left( \begin{array}{cc} \frac{1}{2}+\frac{1}{\sqrt{8}} & 0\\ 0 & \frac{1}{\sqrt{8}}\\ 0 & \frac{1}{\sqrt{8}}\\ \frac{1}{2}-\frac{1}{\sqrt{8}} & 0 \end{array} \right) \ \ \ \ A_2 = \left(\begin{array}{cc} 0& \frac{1}{2}-\frac{1}{\sqrt{8}} \\ \frac{1}{\sqrt{8}}&0\\ \frac{1}{\sqrt{8}}&0\\ 0&\frac{1}{2}+\frac{1}{\sqrt{8}} \end{array} \right) .$$

El clonador óptimo encontrado por la solución al programa semindefinito de Abel es donde:$\sum_{i=1}^2 A_i \rho A_i^\dagger$

$$A_1 = \frac{1}{\sqrt{12}}\left( \begin{array}{cc} 3 & 0\\ 0 & 1\\ 0 & 1\\ 1 & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{12}}\left(\begin{array}{cc} 0& 1 \\ 1&0\\ 1&0\\ 0&3 \end{array} \right) .$$

Estos claramente provienen de la misma familia de transformaciones, pero han sido optimizados para satisfacer diferentes funciones objetivas. Esta familia de transformaciones covariantes parece estar dada por

$$A_1 = \frac{1}{\sqrt{2x^2+4y^2}}\left( \begin{array}{cc} x+y & 0\\ 0 & y\\ 0 & y\\ x-y & 0 \end{array} \right) \ \ \ \ A_2 = \frac{1}{\sqrt{2x^2+4y^2}}\left(\begin{array}{cc} 0& x-y \\ y&0\\ y&0\\ 0&x+y \end{array} \right) .$$

No sé de una prueba de seguridad publicada. Creo que la forma más simple y el límite más fuerte vendría de la no clonación aproximada, pero supongo que necesitaría una versión especializada para los estados BB84. Incluso una reducción de BB84 no es obvia, ya que la condición de seguridad para BB84 es diferente.

Creo que puede obtener una prueba directa como consecuencia de la prueba de seguridad del cifrado no clonable ( quant-ph / 0210062 ). Esto no tendrá un límite superior ajustado en la probabilidad de trampa, pero al menos da seguridad.

En un cifrado no clonable, A envía a B un mensaje clásico utilizando estados cuánticos. (A y B comparten una clave secreta). La condición de seguridad es doble: a) Cuando Eve intercepta la transmisión inicial, no recibe información sobre el mensaje. b) Cualquiera sea la estrategia que adopte Eve, Bob la con una probabilidad muy alta o su estado residual cuando la clave es k casi no tiene información sobre el mensaje. b dice que si Eva es poco probable que sea atrapado, ella retiene ninguna información sobre el mensaje , incluso si más tarde se entera de la clave utilizada por A y B . Esto se interpreta como un resultado de no clonación: Eve podría robar el texto cifrado, pero no puede copiarlo sin estropear el mensaje recibido de Bob.$\rho_k$

Esto se puede usar para crear un esquema de dinero cuántico: el Banco A usa encriptación no clonable para encriptar una cadena aleatoria del "mensaje". Hay un esquema de cifrado que no se puede clonar que es básicamente BB84, por lo que esto podría dar el esquema de Weisner. Eve intercepta el dinero, interactúa con él y envía el original modificado al Banco B. También trata de hacer una copia, que va al Banco C. Los bancos B y C aceptan si el estado que se les proporciona pasa la prueba de escuchas de cifrado que no se puede clonar. , y si decodifican la cadena de "mensaje" aleatoria correcta. La propiedad de cifrado no clonable b dice que, con alta probabilidad, la copia de B falla la prueba de escucha o la copia de C casi no contiene información sobre el mensaje. Esto es más fuerte de lo necesario, pero suficiente para demostrar la seguridad.

Para el mejor ataque asintótico, me imagino, debido al quantum de Finetti, que el mejor ataque colectivo es el mismo que el mejor ataque individual.