半设备独立量子货币

最后，Andrea Coladangelo提出了分散的、基于区块链的混合经典量子支付系统【46】强化量子闪电方案。三、 半设备独立量子货币在本节中，我们首先演示对一些私钥量子货币方案的简单攻击，包括基于造币厂和造假者合作的Wiesner和Gavinsky量子货币方案。接下来，我们将讨论为什么不可能在Sec制定完全独立于设备的货币计划。III B.然后，我们在第III C节中描述了半设备独立量子货币的方案。接下来，我们将我们的货币方案与Paw lowski和Brunner的相应SDI QKD协议进行比较，我们将其用作基础（参见第III D节）。最后一秒。我们展示了证明的思想，其细节在附录中给出。A、 简单的联合攻击：当造币厂和造假者合作时，我们的目的是证明最初的威斯纳计划和加文斯基的计划都容易受到联合攻击。此外，这种攻击的普遍性足以适用于其他私人量子货币方案，因为它基于一个重要的安全假设：密钥的隐私性。在介绍攻击之前，我们回顾一下最新源如何准备状态：X（b，v）∈{0,1}2kk | b，vihb，v |诚实----→X（b，v）∈{0,1}2kk | b，vihb，v | |ρW（b，v）ihρW（b，v）|（1）式中ρWk∈ {| 0i，| 1i，|+i|-i} ，位字符串b表示（随机）选择基，而v表示结果。在原始货币中，只有系统W包含银行券的状态。现在我们准备在这里展示三种不同类型的攻击。第一种方法扩大了钞票的内存，第二种方法使用额外的纠缠，第三种方法使其成为经典状态。第一种简化方法是直接在纸币状态下简单压印银行密钥。

这是以其量子存储器的扩展尺寸为代价的：X（b，v）∈{0,1}2kk | b，vihb，v |攻击----→X（b，v）∈{0,1}2kk | b，vihb，v | |ρW（b，v）ihρW（b，v）| |bihb | H（2）这张不可信的准备好的钞票有一个额外的“隐藏”寄存器H，可以进行攻击。该寄存器可用于在向量| bihb | H指示的基础上，通过对系统W的重复冯·诺依曼测量，生成无限数量的相同银行票据。考虑到如此强大的攻击，可以想象，在原则上，整个字符串| b，vi也可以以加倍的价格印在货币内存中，但印出| bi就足够了。从诚实客户的角度来看，复制这种“钞票”的操作可能会被忽视。从这个微不足道的例子中，我们了解到，在钞票尺寸无限的情况下，其防伪安全性会受到影响。第二次攻击不需要钞票状态中的额外内存，而是利用对手和不受信任的源设备之间的额外纠缠。而不是从四个最诚实的国家{| 0i，| 1i，|+i|-i} 消息来源在半个单峰上执行四个泡利单位中的一个，并将其作为货币状态发送。之后，对手对整个双量子比特系统进行全局钟测量。

这种基于超密集编码的程序允许他获取密钥的两部分，并准备任意数量的有效钞票。在第三种情况下，造币厂和造假者在不增加纸币记忆的情况下联合攻击，并且在不增加任何额外纠缠的情况下，仅使用经典态（单基对角线）：X（b，v）∈{0,1}2kk | b，vihb，v |攻击----→X（b，v）∈{0,1}2kk | b，vihb，v | |vihv | H.（3）在每次运行中，就在测量为物理量之前，测量装置的类型为{| 0i，| 1i}时的基准值0，{|+i时的基准值1|-i} 。然后它可以安全地输出值| vihv |有一个很好的答案。无法在1量子位中编码的两个比特被拆分为测量类型（稍后显示）及其结果。重要的是要注意，这种攻击在Wiesner方案中不起作用，因为银行在Wiesner方案中自己进行计量，但在某些方案中，这种攻击会起作用，即使用经典验证的货币方案。我们提出的货币方案（见第三节C）基于半设备独立的量子密钥分配协议，该协议作为对这三种攻击的部分对策。在后一种协议中，假设只发送量子比特，因此第一次攻击（通过扩大内存）不适用。另一方面，只有在观察到来自量子态的数据时，SDI QKD协议才被接受，即，所通信的系统不是经典比特，被第二次攻击破坏。这一点，以及各方在SDI QKD中处理的量子态的诚实实现是威斯纳的钱这一事实，促使我们研究在SDI QKD协议验证下的威斯纳方案的安全性（如我们在第三节C中详细描述的）。

在此之前，在下一节中，我们将介绍其他结果，即设备无关的量子货币，这突出了我们的货币计划的重要性。B、 完全独立于设备的量子货币不可能在本节中，我们将说明不可能创建完全独立于设备的货币方案。我们将在银行至少有两个分行在验证阶段不通信的情况下证明这一点。在与设备无关的方法中，源设备和测量设备都是不可信的，并且对状态维度或额外纠缠没有限制，这与我们将在下一节中介绍的半设备无关方法相反。另一方面，我们允许所有银行分行拥有可用于国家准备和验证阶段的共享区域。我们还假设无信令条件已满，后处理是最简单的，这是大多数设备独立协议的标准方法。观察1（设备独立quantummoney不适用）。不可能创建完全独立于设备的资金方案，其来源不可信，测量设备可能由对手生产。凭直觉很容易看出，通过对前一节中的第一次攻击进行适当修改，任何金钱计划都可能被打破。事实上，如果银行分支机构之间没有通信，恶意造币厂总是可以准备两份钞票副本，以便在不同的分支机构进行验证。分行验证钞票的唯一方法是检查与客户钞票的相关性。无法确保验证会影响或了解其他分行与不同恶意钞票副本的相关性。

为了证明这些直觉，我们将在附录D中提供上述定理的更正式的证明。由于不可能的结果，我们可以问一个人离设备独立的方法有多近。我们在下一节中提供了我们的主要贡献，即半设备独立的量子货币方案，部分回答了这个问题。它需要比以前任何一个都弱的假设。我们证明了它对一类广泛的重要攻击的安全性，并推测它在一般情况下也是安全的。C、 半设备独立的量子货币协议受联合攻击会危及某些私有量子货币方案安全性这一事实的激励，我们将展示此问题的部分解决方案。在本节中，我们提出了一种半设备独立私钥量子货币方案。Paw lowski和Brunner发现了半设备独立量子密钥分布的概念。在该方案中，发送方不必信任源或测量设备。相反，重要的假设是，发送给接收者的状态具有有限的维度，并且与对手分离。见图2。我们的货币方案将基于SDI QKDscheme，假设从发送方发送到接收方的每个状态的维数是一个量子位（d=2）。为了介绍概念和符号，简要回顾半设备独立量子密钥生成协议具有指导意义。钥匙的制作如下。发送方设置n对随机位（yi，yi）ni=1。在每次实验中∈ [n] ：={1，…，n}，按下正确的按钮后，Sender的设备产生一个不受信任的状态ρyi，yi，它被假定为一个量子位，并将其发送给接收器。接收器的设备完全不受信任。它测量状态图。2.

半设备独立量子密钥分配方案[7]（SDI QKD）。以任意方式（可能知道状态的准备），但在（随机）输入xiit时，它必须输出一个等于yixi的位ai。在经典情况下，猜测发送方比特的成功概率只有3/4，而在量子情况下，它是PQ：=cos（π/4）≈ 0.8536.如果猜测概率大于某个值，则可以建立安全密钥。在SDI量子货币计划中，银行分行扮演发送者的角色，而客户Alice是接收者创建单个钞票。为了创建货币，银行的所有k家分行都必须拥有一个公共的秘密随机性，该随机性随后存储在分行的classicalmemories中。该键的位（yi，yi）ni=1的每一部分都预先附加到单独钞票SN的某个序列号上。（注意，例如可以通过测量共享的2n GHZ状态[48]或通过加密的经典通信来获得密钥）。为了生成与数字SN关联的钞票的量子态，一个分支BS（实际上最接近Alice）使用（yi，yi）ni=1与此SN关联作为其不可信设备（源）的输入序列。后一种设备依次生成nqbits（ρyi，yi），它们共同形成钞票的量子态：nOi=1ρyi，yi。（4） 上述状态被发送到Alice的钱包（专用量子存储设备）。最终，银行分支机构和Alice钱包的联合状态采用以下形式：Xy=（yi，yi）∈{0,1}2n | yihy | B ...  |yihy | BknOi=1ρyi，yi！。（5） o银行验证。Alice来到任意分支Bl。Bl生成一个位字符串（xi）ni=1，将这些位输入到不受信任的终端T，并收集输出位字符串（ai）ni=1。

对于由一串元组表示的总数据：SA=（yi，yi，xi，ai）ni=1如果满足以下条件，银行将接受它：XA（SA）：=我∈ [n] ：ai=yixi≥ θn（6）图3。BBK表示在经典存储器中存储的任意数量的银行支路，它们具有相同的随机性y=（yi，yi）ni=1。分支BSI将字符串输入到不受信任的源设备S中，并将生成的nquantum系统ρy=Nni=1ρyiyiyi发送到Alice的内存中。WhenAlice想要验证她访问的某个分支Bl的资金。该分支生成随机二进制字符串x=（xi）ni=1长度n，并将其作为输入馈送给终端M=（Mi）ni=1的不受信任测量设备，该终端生成字符串a=（ai）ni=1。然后，分支机构估计概率分布P（a | xy），并根据是否满足条件Eq（6），接受有效或拒绝的钞票。i、 e.正确猜测的数量高于阈值θn，否则拒绝远距离验证。Alice建立了一个经过身份验证的连接，用于与银行的某个（任意）分行Blof进行经典通信。BL给出她的随机输入（xi）ni=1，她应该将其与钱包内存中的量子态一起用作不受信任终端的输入（她自己的，或者，例如，商店中卖家操作的终端）。然后将设备的经典输出（ai）ni=1（可能由Alice修改为（a0i）ni=1）发送给BL，BL检查数据（yi，yi，xi，a0i）ni=1是否可以接受，如果不相等（6）成立，则予以拒绝。为清晰起见，图3（针对具有多个分支的总体方案）和图4（针对同一分支的创建和验证）说明了半设备独立量子货币的创建和验证的整个过程。

我们在下面陈述了关于上述方法变体的某些评论。备注1（在没有通信的情况下创建钞票）。分支机构可以在没有沟通的情况下创造资金。使用同步时钟，它们可以连续生成新的随机输入。当客户到达时，其钞票的序列号将包含时间，该时间唯一地指示记忆的随机性验证分支应该使用什么。此外，分行之间应就允许的生成时间达成一致，以确保不会从相同的随机性生成两张账单。类似的想法也可以在以前的一些货币计划中实施，例如威斯纳的货币计划。备注2（再定位期间重复使用随机性）。Frederick可以采取一种策略来验证FIG。SDI货币计划中单一纸币的生成和验证程序。n个不可信的源设备独立产生qubit态ρyiyiyi，其总形式为保存在Alice钱包中的钞票，并暴露于她或Frederick（甚至两者）的伪造。钞票的验证由Averation terminal的n个独立（不一定完全相同）的不受信任部分完成，每个部分检查ai是否=yixiA（即，如果利润输出等于我随机选择的两位钞票中的一位）。如果正确猜测的比特数超过βnw，β=2PQ（1/2+η）+M（1/2+η）+2η，则可接受纸币，其中η取决于n（考虑到可能出现的币数变化）。同一张钞票多次出现，等待银行分行发出这样一个随机字符串。例如，他想要集合D（x）的大小⊕) 从尽可能大的证明（见附录B），其大小将提供钞票的验证。

为了防止出现这种情况，验证分支机构在第一次尝试验证后，可以将验证随机性存储在内存中，并将其用于该纸币的所有后续验证。备注3（对分行查询的预先约定）。与其在验证过程中使用所有分支机构的独立随机性，各分支机构可以提前就所有纸币的验证字符串达成一致。可以像在钞票生成过程中那样以类似的方式进行。虽然不需要维护安全性，但这种方法可以降低证明的复杂性，并减少协议中所需的量子比特数。D、 SDI QKD和SDI MoneySchemew的比较我们现在将我们的协议与独立于Paw Lowski和Brunner的半设备的协议进行了明确的比较【7】。有三个主要区别：内存需求：一个概念上的差异是，我们推迟了测量过程，并将SDI协议中来源准备的状态统称为钞票。计量过程由我们确定，并由终端稍后进行验证。特别方便的是，SDI协议不依赖于无信号原理，因此可以在钞票准备好后的任何时间进行测量。换句话说，我们的协议需要量子内存，而SDI不需要运行次数有限：SDI quantum money方案与SDI QKD协议在创建和验证过程中所对应的SDI QKD协议有限，没有隐私放大和信息协调部分，这是一个重大的实际差异。

特别是，在我们的协议中，相应SDI QKD实验的运行次数（即钞票的长度）仅足以估计猜测概率，而猜测概率仅取决于实验中可能的系统误差和大数定律的集中性。这与SDI QKD协议形成对比，SDI QKD协议涉及的运行次数（至少）与需要生成的密钥位数相同。事实上，我们的目标不是创建密钥，因为没有公开和解和隐私放大的阶段。准备和验证Long密钥相当于创建和验证大量钞票。o中间接受阈值：第三个差异与接受阈值有关。SDI QKD协议中字符串（yiyi）ni=1的猜测概率PGUESSO值的可接受范围与最大PQ不同≈ 0.8536，这意味着在这种情况下，密钥率可能最高，而Pkeycrit最低≈ 0.8415，表示密钥率为零。让我们在这里强调一下，pq和Pkeycritis之间的任何值都是可以接受的，因为这会导致非零密钥率（然而，一个aimsat是最高的）。相反，在相应的SDI moneyscheme中，需要此参数的值大于Pmoneycrit：=（PQ+Pkeycrit）/2≈ 0.84755. 另一方面，所有接受阈值θ在（Pmoneycrit，PQ）范围内的货币方案都可以防止伪造，因为钞票的量子比特数足够大，即SDI货币方案的安全性证明。在本节中，我们提供了主要结果的证明：SDI量子货币方案可以防止量子比特伪造。