经济学家的量子技术

Mosca和Stebila（2010）提出了aquantum硬币的概念，这是量子货币的一种形式，其中所有量子货币状态都是彼此的精确副本，因此无法追踪。Tokunaga等人（2003年）提出的方案也实现了不可追踪性，但通过不同的底层机制实现。请注意，从概念上讲，构造一个硬币方案比比尔方案更难：无克隆定理（见第2.6节）指出，如果量子态只有一个副本，就不可能克隆它。为了证明量子硬币的不可伪造性，我们需要这个定理的一个强化版本，在这个定理中，伪造者可以获得状态的多项式多个副本。3.2.2公共量子货币在威斯纳的方案中，量子票据被传输到中央银行进行验证。这类似于信用卡交易，支付终端将信息发送给受信任的第三方进行验证。与私钥加密类似，Aaronson（2009）将此类方案称为“私钥”量子货币，因为验证需要银行的私钥。请注意，私钥必须保密，因为它允许铸造新的货币。钞票/硬币/闪电（第3.2.1-3.2.3节）安全（第3.2.4节）公共（第3.2.2节）不需要甲骨文（第3.2.5节）效率（第3.2.6节）经典可验证（第3.2.7节）经典可铸造（第3.2.7节）噪音容忍（第3.2.8节）未损坏（第3.2.4节）威斯纳（1983）$IT 7 Nagaj等人（2016）Bennett等人（1982）$C 3.3.7.7肖尔（1994）Tokunaga等人（2003）、IT 7.7 Aronson（2009）N3.7 Lutomirski等人（2010）Mosca和Stebila（2010年，第4节）、IT 7.7 Osca和Stebila（2010年，第5节）、IT 7.7 Gavinsky（2012）IT 7.3 Aronson和Christiano（2012年，第5节）$IT 3.3.7 Aronson和Christiano（2012年，第6节）Conden等人。

（2019）Farhi等人（2012）N 3 3 7 3 3 3 3 3 3 3莫利纳等（2012年，第4节）$IT 7 3 3 3 3 7 3阿斯塔夫斯基等（2012年）（CV qticket，第2页）$IT 7 3 3 3 3 3 3乔治奥和凯雷尼迪斯（2015年，第4节）$IT 7 3 3 3 3 3 3 3 3 3 3 3本·大卫和萨塔斯（2016年，第7节）$N 3 37 37米里和阿拉佐拉（2017年）$IT 7 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3吉等（2018年）$C 7 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3詹3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 33詹德里（2019年，第4节）N37詹德里（2019年，第6节）N 3 3 7 Roberts（2019）Radian and Sattath（2019a）$C 7 3 3 7 Radian and Sattath（2019b，第2节）N33337阿莫斯等人（2020年）科拉丹杰洛和萨塔斯（2020年）+  N 3 3 7贝赫拉和萨塔斯（2020）×C 罗伯茨和詹德里（2020年）C 3表2：上表根据九个属性对量子货币方案进行了分类。如果一篇论文介绍了多重主题，我们会包含单独的条目，并提供章节参考。脚注中提供了有关各物业分类系统的其他信息。信息技术：信息理论安全；C：标准假设下的计算安全性；N：没有基于非标准假设的安全性证明或计算安全性。: 不提供完整的公开验证。3：不间断；7：破损；: 在某些情况下会破裂。用户无法追踪，但银行无法追踪。将威斯纳（1983）与经典的可验证性相结合。将Aaronson和Christiano（2012）与经典验证相结合。向银行提供经典验证，但不向其他用户提供。詹德利（2019）讲述了对阿伦森和克里斯蒂亚诺（2012）的袭击。安全性证明是基于后量子不可分辨性模糊的存在，没有基于标准假设的构造。该结构基于抗碰撞的非折叠散列函数。

这种函数没有候选构造，因此无法实例化。施工可基于詹德里（2019年，第4节）或詹德里（2019年，第6节）。施工可基于Farhi等人（2012年）、詹德里（2019年，第4节）或詹德里（2019年，第6节）。只有在弱对抗模式下才能进行安全性证明。在“公钥”量子货币方案中，银行同时生成私钥和公钥。私钥是用来造币的。公钥将发送给所有用户。公钥允许用户有效地验证量子货币的真实性。这消除了用户与中央银行通信以执行验证的需要，就像威斯纳方案中所做的那样。相反，验证可以在“本地”进行需要强调的是，任何公钥方案都不能实现信息安全。也就是说，与Wiesner（1983）和其他私钥方案不同，公钥方案不能仅使用不克隆定理来排除伪造的可能性，而是必须基于计算的硬假设来保证其安全性（Aaronson，2009）。自Aaronson（2009）最初引入该概念以来，已经提出了几个公共量子货币方案。如表II所示，这些模式都不是基于标准硬度假设的安全证明，我们在第3.2.4节中讨论了这一点。构建这样一个方案被认为是一个重要的开放性问题。3.2.3量子光在公共量子货币计划中，中央银行可以准备与给定序列号相关的量子态的多个实例。量子照明方案具有公共量子货币的所有属性，但也保证即使中央银行本身无法生成具有相同序列号的多张票据。“量子闪电”的概念在詹德里（2019）首次定义；然而，Farhi等人。

（2012年），它比詹德里（2019年）早，也提供了一个满足定义的建筑。我们在附录A.6中强调了Farhi et al.（2012）的构造，该构造要求使用纽结理论中的概念。詹德里（2019）的详细概述超出了本文的范围。从透明度的角度来看，不可能用同一序列号构建多个账单，这可以用来为流通中的货币数量提供可证明的保证。如果需要验证票据的序列号，并且所有序列号的列表都是公开的，那么任何人都有可能验证流通金额的上限。当然，实物现金的情况并非如此，因为一个无赖的央行可能会产生多张具有相同序列号的票据。这种属性消除了对中央银行的一种信任的需要，而这种信任在最近有高通货膨胀历史的国家可能是有价值的。3.2.4安全性正如我们将在本小节中看到的，“不可伪造性”定义的微小变化可能对量子货币方案的安全性产生重要影响。我们将通过一系列例子来检验不可伪造性的概念来证明这一点，其中对手试图以央行无意的方式进行验证。然后，我们将对公共量子资金的安全性进行全面定义。我们首先将伪造定义为一种行为，通过这种行为，对手可以在不通过银行验证方案的情况下成功地从银行接收资金。这一简单的定义似乎足够宽泛，但它实际上无法捕获某些形式的伪造。例如，考虑一个对手，他从银行获得了一个量子货币状态，并通过了两次验证。显然，这也是伪造的。

或者，一个对手需要n个货币状态才能生成n+1个通过验证的状态，我们也会将其定义为不受欢迎的伪造形式。我们还可以说，如果对手从nmoney states开始，并生成m个严格超过n个通过验证的状态，那么她就会进行伪造。请注意，这些类型的赝品按硬度的降序排列。当然，我们希望所有这些对对手来说都是不可能的，所以我们通常会尝试排除最简单的形式。我们可能还想考虑这样一种情况，即对手成功地进行了尝试，但概率很小，例如。我们也希望避免这种情况。不幸的是，不可能保证成功概率为0，因为暴力攻击的成功概率非零。在密码学中，将其形式化的标准方法是使用“可忽略”函数的概念。如果函数的衰减速度比逆多项式快，则可以忽略不计。形式上，函数f:N→ 如果对于每一个c，R+可以忽略不计∈ N所有x都存在这样的情况≥ Nc，f（x）≤xc。因此，如果一个冒险家的成功概率可以忽略不计，我们认为该方案是安全的。另一个需要说明的问题是，对手是否可以在尝试验证后要求返还资金。如果该方案在这种情况下是安全的，我们说它对自适应攻击是安全的（见附录A.5节）。这种定义并不保证某些计划的安全，这意味着新资金必须在成功验证后铸造和交付。例如，Wiesner的方案可以抵御非自适应攻击（Pastawski等人，2012年；Molina等人，2012年），但需要进行修改才能抵御自适应攻击（Aaronson，2009年；Lutomirski，2010年；Nagaj等人，2016年）。

Gavinsky（2012）提出了替代私钥方案，该方案也实现了无条件安全性，甚至可以抵御自适应攻击。现在，我们已经研究了对手可能进行的不同类型的攻击，我们将为公共量子资金构建一个完整的安全定义。像许多加密方案一样，不可伪造性由挑战者和对手之间的安全博弈来定义。挑战者生成公钥和私钥，并将公钥发送给对手。对手要求获得n个国家的货币。然后银行应用造币算法生成|$i|$尼昂把这些钱送给对手。对手准备m（可能纠缠）量子态并将其发送给挑战者。挑战者使用验证算法验证m状态。我们说，如果成功验证的数量严格大于n，那么对手就赢了。此外，如果赢得这场比赛的概率可以忽略不计，那么该方案对于所有在多项式时间内运行的对手来说都是安全的。请注意，所有公钥方案，包括那些早于现代文献（Bennett等人，1982年）的公钥方案，都依赖于复杂性理论的安全概念（Aaronsonand Christiano，2012年），必须对对手可用的资源做出明确的假设。例如，在上述安全定义中，我们假设对手在多项式时间内运作。这与某些私有密钥方案不同，比如Wiesner（1983），它们实现了信息理论上的安全性，并且对对手无条件安全。Farhi等人（2012年）提出了一个利用复杂性理论安全概念构建公钥量子货币的显著尝试，该尝试使用指数大叠加和结理论来生成量子票据状态。

该方案的安全性取决于产生有效量子比尔态的计算困难性，以及复制未知量子态的不可能性。不幸的是，如果不首先实现纽结理论的进步，就不可能充分分析该方案的安全性。有关该方案的完整说明，请参见附录A.6节。3.2.5 oracle确定公共资金计划，如Mosca和Stebila（2010年，第4节），依赖于oracle的使用。正如第2.5节所讨论的，oracle是一个黑匣子函数，我们假设在本节中，用户普遍可以使用它。甲骨文的主要优点是用户无法“查看”它的内部。相反，访问它的唯一途径是通过函数的输入输出行为。如果不是这样，潜在的伪造者可以通过分析实现oracle的电路而不是其输入输出行为来获取信息。因此，用甲骨文构建公共资金计划要比没有甲骨文构建方案简单得多。在这里，我们的意思是“安全参数”中可以忽略不计在大多数情况下，它意味着量子货币状态的量子比特数，这是一个可以由中央银行选择的参数：随着安全参数的增加，伪造变得越来越困难。有两种方法可以解释基于神谕的量子货币构造。首先，甲骨文的建设可能是迈向全面公共量子货币计划的中间步骤。例如，Aaronson和Christiano（2012）从一个基于甲骨文的方案（第5节）开始，然后展示如何移动甲骨文（第6节）。或者，甲骨文可以被解释为一种技术，比如中央银行向外部用户提供的应用程序编程接口（API）。

当然，使用甲骨文需要与央行进行量子通信，这将使使用公共量子货币的主要优势无效。3.2.5.1复杂性理论无克隆理论我们现在将简要概述神谕如何促成公共量子货币计划的构建。我们将通过讨论文中证明的两个有用定理来解决这个问题，这两个定理为构造某些公钥量子货币方案提供了基础。第一个是神谕的存在声明，神谕是阴谋论的基础。定理1（Aaronson（2009））。存在一个量子甲骨文U，与之相关的是可公开验证的量子货币。第二个定理被Aaronson（2009）称为“复杂性理论无克隆定理”，它解释了甲骨文U的属性，并提供了关于不可伪造性的严格保证。在这个定理中，造假者被赋予用于验证的量子预言符Uψ和k量子票据|ψik、 每一个都由一个n量子位纯态|ψi组成。然后，造假者试图使用k个量子比尔态来生成k+δ有效量子比尔态。Aaronson（2009）证明这需要Ohmδ√nlklogk-L对Uψ的质疑。即使对于δ=1，随着量子比特数n的增加，这个问题也很快变得棘手。定理2（复杂性理论不可克隆（Aaronson，2009），Aaronson和Christiano（2012）定理B.1中的证明）。设|ψi为n量子位纯态随机抽样（根据哈尔测度）。假设我们得到初始状态，ψK, 为了一些k≥ 1，以及一个预言，Uψ，使得Uψ|ψi=-|ψi和Uψ|φi=|φi表示与|ψi正交的所有|φi。

然后对于所有的l>k，准备lregistersρ。。。，ρlsuch:lXi=1hψ|ρi |ψi≥ k+δ（40）我们需要：Ohmδ√nlklogk- L（41）对Uψ的疑问。复杂性理论中的不可克隆定理包含两个要素：（1）原始不可克隆定理；（2）非结构化搜索问题中可实现的量子加速的二次上界（Grover，1996；Bennett等人，1997）。它表明，一个造假者如果能随机获得k张有效的钞票，就需要执行∝√成功伪造一张钞票。使用格罗弗算法来识别有效的票据状态，这并没有实质性的改善。因此，如果纸币有大量的量子位元n，那么成功伪造的概率将是有利的。复杂性理论的不可克隆定理也被用于后来的公钥量子货币方案，包括Aaronson和Christiano（2012）以及量子币构造Mosca和Stebila（2010）（见第3.2.1节）。这些方案在验证算法中使用了Aaronson（2009）的oracle。3.2.6效率要求所有用于创建和验证货币单位的协议都可以在量子计算机上以多项式时间执行。例如，一个具有1000个量子位的模式，以及一个具有指数级扩展的验证过程运行时间，可能需要数百万年来验证单个状态，因此，不会被认为是有效的。然而，作为高效、实用的方案，效率低下的方案可能被证明是有用的。例如，Mosca和Stebila（2010）是一种无效的方案，但为Ji等人（2018）提供了一个构建块，这是一种有效的方案，但其缺点是将不可伪造性级别降低到计算安全性。3.2.7经典验证和可铸造性假设我们有一个量子货币单位，并希望验证其有效性。例如，这可能是Bennett等人设想的量子地铁令牌。

（1982），在转门处进行验证后，允许进入地铁。或者，它可以是一种量子货币，用于在电子商务交易中进行支付。在前一种情况下，我们可以物理地存放代币；然而，在后一种情况下，我们是在远距离进行交易，需要使用通信渠道进行支付。威斯纳（1983）依靠量子通信信道来验证量子货币状态；然而，正如加文斯基（2012）在一篇介绍“经典可验证性”概念的论文中所证明的，这并不是严格必要的。经典的可验证性意味着不需要量子通信通道来验证量子货币的形式。相反，通过银行和付款人之间的交互协议进行验证。使用经典通道进行验证至少有两个优点。首先，此类方案不需要在商户和央行之间创建量子通信渠道来执行验证。相反，可以使用现有的经典通信渠道，如经典互联网。其次，攻击者将无法通过截获通信和对量子位进行转换来修改法案的基本量子态，就像他们用威斯纳的钱所做的那样。某些量子货币方案，如Farhi et al.（2012）和Radian and Sattath（2019a），包括通过使用银行和接收者之间纯粹的经典交互来铸造量子货币的程序。此类方案必然依赖于计算假设（Radian和Sattath，2020）。采用一种允许经典可铸造性的方案的好处是，不需要量子通信来铸造和分发货币。