半设备独立量子货币

也就是说，在这种情况下，整数和伪造者（以及伪造者可能创建的验证终端）以独立攻击（准备、复制和测试）每个量子位的方式进行合作。在下面列出的一些其他必要假设下，我们表明两位合作客户Alice和Frederick无法在两家银行的分行获得被视为有效的钞票。正如我们所展示的，许多银行分行的情况源自后一种情况下的证券。在选择最佳分支对的生日攻击情况下，工会负责处理。实际上，让我们假设分支数等于k=多边形（n），其中n是钞票的长度，这是一个合理的约束条件，可以满足。如果任何一对成功伪造的概率都是指数小的（n）~ O（e-n） ，k个分支发生此事件的最高概率不高于k：=k（n） ，仍然很小-n） ）。在证明之前，我们将首先明确说明我们的方案或多或少的隐含假设。

请注意，前两项通常是必要的（不仅在SDI货币计划中）。ASM1银行的分行可以使用专用的完全随机数生成器生成Y和x。ASM2银行的分行在验证过程中使用诚实的经典后处理单元。ASM3源（即mint）输出时产生的状态维度是有界的，并且没有其他信息从源泄漏给Alice或Frederick。ASM4来源产生的国家与不诚实的各方（爱丽丝和弗雷德里克）没有任何纠葛。ASM5源设备以独立的方式创建状态，这也意味着每个源只能访问其输入（而不是其他源的输入）。ASM6测量装置是独立的，每个测量装置只测量其子系统，Alice和Frederick在每次运行中的输出独立于另一次运行的输入和输出。在所提出的SDI货币方案的特定情况下，在ASM3中，我们规定源的每个独立部分（如ASM5中所规定）的输出以d=2为边界，即源通过独立产生n个量子位（但不一定在同一条路上）来工作。备注4（假设可能减弱）。似乎可以忽略ASM6的假设，但这会使证明复杂化。我们是否可以忽略假设ASM5的问题是一个悬而未决的问题，与SDI QKDscheme和随机存取码的制定有关[49，50]。另一方面，所有其他假设都是证明我们方案安全性所必需的，因为拒绝其中任何一个都会导致成功的攻击。让我们简要描述一下方案安全性证明的想法。

这是两个事实的结果：（i）SDI密钥生成协议固有的一夫一妻制；（ii）每家银行的分行在验证过程中独立于其他分行进行查询。当银行通过不受信任的终端验证钞票时，即Alice（和/或Frederick）来银行接受钞票时，这将适用。然后将通信情况简化为后者，前提是对设备输出撒谎的策略（由不诚实的一方选择）是单独的，对于协议的每次运行都是独立的（见附录a）。正如我们在第五节中所讨论的，鉴于SDI QKD协议被证明是针对一般的所谓前向信令攻击的安全协议，这一有点不切实际的假设原则上可以放弃。1、攻击单个quby定义的情况，很像威斯纳计划中的情况，为了让纸币被接受，其所有者必须正确猜测银行的比特数。要知道两个不诚实的人，Alice和Frederick，不能同时通过我们钞票的验证，集中精力攻击钞票的一个量子位是很有启发性的。假设Alicean和Frederick在银行的两个分支机构的两个实验中，试图“分割”其使用，以最大化猜测Pguessi的概率。他们的联合攻击可以描述为条件概率分布（abox）：P（aF，aA | xA，xF，y，y），其中yand是Alice和Frederick试图猜测的银行的密钥，xA和xb是银行生成的盒子的随机输入。为了描述简单，我们将假设AliceAndFrederick来到银行，而设置设备输入的银行（稍后我们将讨论如何部分放松这一假设）。

联合攻击旨在生成两个比特aA（Alice）和aF（Frederick），从而猜测yB=（y，y）的x位和yBby Frederick的x位的概率都是最大的。Alice和Frederick的猜测概率分别为：PAguess=Xy，y，xAP（aA=yxA | y，y，xA），（7）和PfGuess=Xy，y，xFP（aF=yxF | y，y，xF）。（8） 让我们首先观察到，在xA=xF的情况下，它们都可以达到猜测PQ=cos（π/8）的最大可能概率≈ 0.8536 [7]. 事实上，Alice可以首先进入一个分支，诚实地进行猜测概率PAguess=PQ，而Frederick可以模仿heranswer，达到相同的猜测概率。但是，当xA6=xF=xA时⊕不诚实的一方需要猜测相反的位：y（爱丽丝）和y（弗雷德里克），反之亦然（概率为一半）。然而，正是普罗旺斯（provenin）[7]认为PAFguess（y）+PAFguess（y）≤5 +√=:M、 （9）因此，即使Alice和Frederick充分合作，猜测两位的概率之和也是有界的。因为xA=xf，概率为一半，所以平均xA的值⊕ xFwe得出结论，正确猜测位的平均数有一个上界（2PQ+M）：=B。（10）在下面的内容中，我们将证明，由于攻击的独立性，上界乘以运行次数n适用（平均值的函数η）。通过最大可能函数放大的相应界限读取nβ，β=2PQ（1/2+η）+M（1/2+η）+2η。然后我们将选择阈值θ大于β/2。这将确保两个不诚实的当事方无法获得两家银行分行接受的同一张钞票，因为他们的猜测总和将大于2β/2=β，从而达到预期的矛盾。2.

通过量子比特攻击将论点扩展到量子比特的一般情况我们想将这种推理扩展到n次重复实验的情况（n将是相对较小的，与QKD协议的通常前导的长度一样短）。我们在此假设攻击是“id”，即根据度量值u，不一定等于但独立分布的随机变量~nOi=1U易，易，夏，xiFP友邦保险，aiF |易，易，夏，xiF,（11） 其中U（yi，yi，xiA，xiF）表示其参数上的一致分布。然后，我们观察到，银行的两个分支机构可以给xAto Alice和x，而不是给Frederick提供xAto Alice和x⊕:= xA公司⊕xFtoFrederick。这是因为Alice和Frederick正在合作，所以他们可以根据这些数据计算XF的值，以备需要。因此，我们可以将场景更改为给定各方的场景（xA，x⊕),如果概率度量值相应更改为以下值：u~nOi=1U易，易，夏，xi⊕⊕ 夏×P友邦保险，aiF |易，易，夏，xi⊕⊕ 夏.（12） 测量u作用于XA和x⊕与u作用于XA和xF的方式相同，因此在某种意义上，它是在撤消XOR操作。这种情况的改变并不会改变伪造成功的概率，也就是说，如果爱丽丝和弗雷德里克都被认为持有有效钞票，那么这一事件就有可能发生在弗雷德里克身上。要了解这一点，我们首先注意到，导致成功伪造的一组事件（表示为F）读取：F：=（yi，yi，xiA，aiA，xiF，aiF）ni=1∈ {0，1}6n：镍∈ [n] ：aiA=yixiAo> θn，镍∈ [n] ：aiF=yixiFo> θno.（13）我们还将通过以下方式确定战略：=（yi，yi，xiA，aiA，xiF，aiF）ni=1。

（14） 然后我们证明（见推论1）p（F）：=XS∈FP公司~u（F）=XS∈FP公司~uP（S）=：P（F），（15），其中S=（yi，yi，xiA，aiA，xi⊕, aiF）ni=1和f：=（易，易，夏，友邦保险，xi⊕, aiF）ni=1∈ {0，1}6n：镍∈ [n] ：aiA=yixiAo> θn，镍∈ [n] ：aiF=yixi⊕⊕xAio公司> θ号（16），因为x⊕是由完全随机的位创建的，在创建货币的过程中对手不知道这些位，我们有p（F）=Xx⊕∈{0,1}np（x⊕)P（F | x⊕). （17） 我们可以将考虑范围缩小到典型的x⊕, i、 例如，符号0和1的数量约为1/2倍。更正式地说，典型序列集定义为asTη：=x：|x | n-≤ η, （18） 其中| x |是位串x中符号为0的位置数。长度为n（给定的n足够大）的所有序列都具有典型的高概率（即概率为1-（η） 用于（η） =2 exp(-2ηn））。因此，我们有P（F）≤Xx号⊕∈T（η）p（x⊕)P（F | x⊕) + (η). （19） 然后我们可以看到一个典型的x⊕, 并证明任何此类x⊕接受的可能性很低。我们将通过设置一个合适的θ来保证它，以便在条件度量上具有很高的概率u：=u（x⊕)/p（x⊕) 由于（yi，yi）ni=1的猜测比特数太少，将拒绝来自攻击的字符串。更详细地说，我们首先注意到⊕, 对于测量u，平均超过n次运行，没有比等式（10）中给出的B的nB更多的猜测输入。仍然需要考虑这样一个事实，即观察到的猜测输入数不必等于其平均值。但是x⊕是典型的，因此运行次数至少为n/2- ηn，所以我们可以使用独立方式执行攻击。

由于霍夫丁不等式，我们得出，观察到的猜测输入数的概率上限为：nβ≡n（2PQ+ η+ M+ η+ 2η=n“2 cosπ+5 +√!+ η+ 2η#（20），其中η考虑最大可能的波动。在明确控制这些波动之前，我们先确定四个随机变量，描述Alice和Frederick asXx在验证程序运行时的猜测⊕i、 A：=（δ友邦保险，亿夏: xiA=xiF0：xiA6=xiF，（21）Xx⊕i、 F：=（δaiF，伊霞: xiA=xiF0：xiA6=xiF，（22）Yx⊕i、 A：=（δ友邦保险，亿夏: xiA6=xiF0：xiA=xiF，（23）Yx⊕i、 F：=（δaiF，伊霞⊕1.: xiA6=xiF0：xiA=xiF。（24）现在我们可以回到描述与4个随机变量的平均值的偏差：\'XAx⊕,(R)XFx⊕,\'\'YAx⊕和“YFx”⊕这是我的总数∈ [n] 对于上述变量。\'XAx的值⊕（(R)XFx⊕) 是Alice（Frederick）从满足xiA6=xiF的位置i正确猜测的（yi，yi）位数。类似地，“YAx”⊕（(R)YFx⊕) 描述xiA=xiF的isuch的正确猜测数。引理2和推论2给出了详细信息（关于随机变量、其总和和期望值的明确定义，请参见附录B）。最后一个论点来自一个简单的观察。也就是说，若两个人正确猜测的位置的总分数小于β，则他们各自正确猜测的最小分数不大于β/2。将接受阈值θ设置得足够大，以使最少的UESS数低于θ，我们可以确保对于每个典型的x⊕钞票至少在一家分行被拒的概率很高。

特别是，对于任何θ>β/2，该概率至少为1- 8经验值(-η（n/2- η） ，其中对于每个典型的x⊕错误8 exp(-η（n/2- η） ）上限4个随机变量中至少一个'XAx'的事件概率⊕,(R)XFx⊕,\'\'YAx⊕,(R)YFx⊕与各自的平均水平相差甚远。考虑到等式（19）和（15），我们最终得到了p（F）≤ 5.（η） ，（25）带（η） ：=2 exp(-η（n/2- η)).四、 QUANTUMORESME-COPERNICUS-GRESHAM定律著名的经济定律之一是：o坏钱驱逐好钱。通俗地说，这条法律规定，如果某种货币的生产成本较低，那么它最终将抵消生产成本较高的货币的成本，这种成本不是从表面价值而是从内在价值的角度来理解的。虽然它被命名为afterSir Gresham，但它已经被其他人观察到，甚至更为敏感。被引用最多的两位作者是Nicole Oresme【26】和Nicolaus Copernicus【27】，因此上述定律也被称为哥白尼定律或OresmeCopernicus-Gresham定律。然而，在古希腊剧作家亚里士多德·芬尼斯（Aristophanes）于公元前405年左右创作的喜剧《TheFrogs》中，首次发现了类似的说法【25】。有关该法律的概述，请参见示例[24]。从经济学的角度来看，金钱的概念是一种社会协议和用于生产硬币或钞票的特定材料/程序的属性。因此，似乎没有必要考虑格雷沙姆定律本身的量子变体，因为人们可以将OCG定律应用于新的采矿方法——从量子态。这就是经典加密货币的情况。相反，在OCG定律的量子模拟公式中，我们想在quantumdomain中相互比较量子货币。

这是因为人们可以选择一种“更便宜”的方式来赚钱——从“更便宜”的量子态到在特定的发展时刻以任何方式“更便宜”获得量子技术。因此，我们想以以下方式介绍和讨论量子格雷欣定律的一个版本：o坏的量子货币驱逐出好的量子货币。决定是否保持给定的量子电流可能是一个复杂的过程，取决于各种相互依赖的参数，其重要性因特定个人或社会偏好的变化而不同。因此，如果量子货币在方案之间流动的行为恰好是通过实验实现的，那么现在预测这些方案之间的量子货币流动行为还为时过早，因此也太难了。示例1。对于所提出的SDI量子货币方案，要通过量子比特一个量子比特的方式实现不可伪造性，钞票的来源（如果它能够产生大量钞票）就足以以θ>β/2的速率产生SDI密钥。但不要求θ≈ PQ，即来源能够以最大可能的比率PQ生产相当于SDIkey发电试验低运行次数的资金。假设某个提供商能够生产出通过验收阈值θ=β/2+2δ的SDI货币，其中有些δ>0。接下来，假设其他提供商PII能够生成具有较低接受阈值β/2+δ的可靠SDImoney。正如我们在定理1中证明的那样，两个发行人的钞票都是有效的，在某些假设下是不能伪造的。然而，供应商PIcan Beat的钞票贡献了更大的量子商品价值，定义为生产钞票的来源的SDI关键利率。从纸币持有者的角度来看，这个密钥率意味着纸币量子态最小熵的非零率，从而意味着私人随机性的非零率。

保持PItype货币并更频繁地使用PIItype的另一个原因是，第一个PIItype可以更可靠地抵抗噪音。事实上，即使正确猜测的观察分数减少δ，也不会使纸币失效。然后我们进行以下观察：观察2。如果量子Oresme-CopernicusGresham定律适用，那么接受阈值θ较低的SDI货币将淘汰θ较高的SDI货币。（我们在这里注意到，我们隐含地假设了PINAND PIIAR实现的硬件参数是可比较的。否则，根据PII类型的收据实现钞票可能会简单到非常昂贵，例如，将钞票放在aquantum钱包中所花费的能量）。上述示例非常有限，因为它涉及相同货币方案（即货币）的不同实现方式。然而，如果OCG法的量化版本被证明是正确的，那么个人将倾向于保持最安全、最便宜的生产和存储商品价值最高的货币（就其用于量子信息处理的意义而言），并将更频繁地使用其他货币。再进一步，我们可以在理论中考虑货币（对于这种一般方法，请参见[23]），并有一个“托雷斯哥白尼-格雷沙姆定律”，这是一个依赖于理论的版本，描述了在理论T中有效的货币流动。一个有趣的特例是“多理论CG定律”，它可以控制不同子理论之间的货币流动。后者的一个自然例子是经典的量子奥里斯-哥白尼-格雷欣定律，它表达了日常货币和量子货币在同一基础上的行为。A.