半设备独立量子货币

表一中的货币方案比较我们展示了不同协议的比较，包括斯蒂芬·维斯纳（Stephen Wiesner）[1]的原始协议和迪米特里·加文斯基（Dimitry Gavinsky）[6]的原始协议，并显示了为了维护安全，银行必须信任量子设备的哪些（参数）。B、 我们离练习有多近？实现presentedone和许多其他货币计划的一个根本障碍是，它依赖于可靠和长期存在的量子存储器的存在。很难预测何时（如果有的话）会有这样的内存可用，但是有朝着这个方向发展的工作。作为最近在开发量子存储器方面取得巨大实验进展的一个例子，我们可以援引Wang等人的论文[51]，提出了一种超过10分钟相干时间的单量子比特量子存储器。此外，Harper和Flammia【52】演示了在真正的量子计算机上首次实现纠错码。这可能表明，纠错码可以在不久的将来用于量子存储器。我们想在此强调，通用容错量子计算[53]和可靠量子中继器[54]（最新发现见[55]及其参考文献）的任务都不同于容错量子存储（QS）。量子计算机的内存不需要长期稳定，因为它只需要在量子算法的网关完成时才需要，而量子系统需要长期稳定。然而，QS的操作远没有普及[56]，而是减少到两个基准的测量（至少在考虑过的DSDI货币计划中）。在这方面，QS似乎具有更简单的功能。QS的易操作性与单量子中继器站的易操作性更具可比性（至少对于第一代量子中继器而言【57】）。

然而，第一代单中继器的节点需要实现来自不同来源的两个光子的纠缠交换操作，这是一项完全不同的任务。在QS状态已准备好且无需发送的情况下，即无需使用光子即可完成QS。与实现量子互联网的任务相比，这应该可以简化这项任务。（还要注意的是，第三代量子中继器的站在perProtocol经典方案Wiesner方案[1]Gavinsky方案[6]SDI[本工作]DI[本工作]中非常接近。）Source Yes Yes No NoAlice的度量值N/A Yes No No NoSystem dimension No No No Yes No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No。Alice子系统的测量可以在银行分行或部分受信任的终端（例如，在商店）中进行。小型通用量子计算机的性能【57】）。然而，尽管没有任何物理定律可以限制量子比特态的相干时间，但由于量子退相干，实现可靠的QS似乎是一项极其艰巨的任务，这通常发生得非常快。这就是为什么理论中出现的第一个想法（货币计划所需的QS）可能成为实践中实现的最后一个想法（量子计算机和量子互联网之后）。这也可能是因为，与量子计算或量子安全通信相比，货币方案需要广泛实施才能发挥作用。还值得注意的是，最近，量子货币计划的首次实验实施已经完成[36–38]。这表明，使用不久的将来的技术，量子货币在现实生活中的实现是可能实现的。五、

讨论在本文中，我们提出了一种测试原始Wiesner纸币的替代方法——一种半设备独立的量子货币方案。据我们所知，这是首次尝试提供私人资金计划的不可伪造性，其不完全依赖于同时信任造币厂（钞票来源）和验证终端的内部工作。此外，我们还提供了完全设备独立的量子货币的不可能结果。这表明，我们的半设备独立方法是最强大的资金计划的一个很好的候选方案。为了澄清，我们这里所说的最强是指我们最大限度地将所有量子设备的内部工作简化为货币生产和验证的所有阶段。我们已经证明，假钞返回银行进行验证时，假钞不能被伪造者破坏，假钞以一个量子位一个量子位的方式复制钞票，前提是钞票是以一个量子位一个量子位的方式创建的（每个量子位都是独立创建的）。假设伪造者在验证过程中以独立的方式对输出撒谎，则该方案在经典通信进行远距离验证的情况下仍然安全。因此，我们还明确地将货币计划与私钥的概念联系起来，私钥不是经典的，而是来自其他理论（广义概率理论），从而探索了[6，23]中提出的方向。在我们的例子中，所提出的方案似乎继承了底层的安全性，即原始的半设备独立量子密钥分发协议。鉴于SDI QKD againsta前向信令对手的完整安全性证明，正如DIQKD[58]的情况一样（最新突破见[59]），因此我们经过适当修改的方案可能是完全不可伪造的。

有效修改涉及验证程序中的通信。造假者需要在获得输入（xiA，xiF）后，但在学习下一个输入（xi+1A，xi+1F）之前给出答案（aiA，aiF）。在这种情况下，每个可能的历史相关谎言都可以被安全地视为设备攻击的一部分，因此不会影响模型。其余部分将遵循与上述类似的论点，并适当使用鞅的集中度。因此，验证SDI协议是否完全安全非常重要。一个中间步骤是将提出的SDI货币方案的安全性证明扩展到其在[60]中给出的变体，证明其对集体攻击是安全的。有人可能会认为，我们可以直接使用设备相关密钥的方案来对抗量子对手[58]，从而避免在验证过程中以独立方式改变终端输出的不自然假设。对于一家银行的分行来说，用更弱的假设来扩展本文提出的想法是很简单的。然而，它需要进行适当的修改，从而形成新的方案，以便扩展到多家银行分行的情况。因此，这种方法导致了一个与原始计划及其后续计划（如SDI moneyscheme）根本不同的计划。我们将SDI资金计划与SDI QKD协议进行了比较，表明它们在三个方面有所不同。首先，货币计划需要可靠的量子内存，而SDI QKD则不需要。大多数量子货币方案都支持这个问题，也就是说，它不是我们方案的一个特殊属性（不过，请参见a.Kent最近的提案[21]）。

其次，原则上，money方案不需要实验的运行次数，因为产生密钥是不集中的，与SDI-QKD协议的目标相反。然而，所提出的基于量子位的SDI方案导致了具有重要量子存储器的钞票（如第F节中的weexemplify），因为量子位的数量n必须减少电导η的影响。幸运的是，我们的安全证明似乎直接适用于基于SDI QKD协议的SDI方案，该协议在银行端有两个以上的输入，并且（如果需要）系统的尺寸[49，50]。考虑这样的扩展对于更多的实际例子来说非常重要。第三，我们的货币计划需要适度的错误容忍度，粗略地说，仅略高于这一容忍度，这意味着相应SDI计划中可能实现的密钥率的一半。这在原则上是opensan领域，用于增强money方案对噪音的鲁棒性。鉴于纸币最初是以高质量制备的，它可以在不影响防伪安全的情况下大幅下降至SDIprotocol最大可能密钥率的一半左右。考虑到该方案存在一种更具实际实现前景的变体，我们应该考虑它的健壮版本，它可以在实验室中实现，包括所有方面的影响，这可能会为黑客的攻击打开它。SDI QKD的这一方面最近在【60–63】中进行了研究。另一个重要的发展方向是，检查提议的方案是否可以被视为原始Wiesner方案或其其他扩展（如Gavinsky协议）用户的选项。

resultingscheme将提供更高的保护，以抵御恶意的资金提供者，使两种方法中的最佳方法相匹配。在本方案中，钞票（即使是诚实的客户Alice）在使用过程中也不可避免地丢失。这似乎很自然（就像加文斯基（Gavinsky）[6]所做的那样）将我们的方案扩展到交易的情况，我们也将其推迟到未来的工作。最后，以一种推测的方式，我们提出了一个称为量子奥里斯-科珀斯尼库斯-格雷沙姆定律的假设：这是一个古典经济定律的类似物，也被称为格雷沙姆定律。这条法律规定，坏钱（内在价值较低）会赶走好钱（内在价值较高），因为后者通常不会花钱。我们在SDI货币计划不同实现的基础上举例说明了这项法律，对应于导致接受货币的阈值的不同值。这些推测需要进一步的、更正式的探索，以更多类型的货币为基础，并根据[64]的范式对资源的情况进行扩展（直截了当）。致谢这项工作得到了国家科学中心索纳塔Bis 5号（2015/18/E/ST2/00327）的支持。作者要感谢Anubhav Chaturvedi、RyszardP。Kostecki和Marek Winczewski提供了有用的评论。M、 感谢或Sattath在2018年8月2731日于中国上海举行的第八届量子密码国际会议（QCrypt 2018）上就相关结果进行了富有启发性的讨论。附录A：初步定义我们将首先定义两个关键常数M和PQ，它们来自【7】，M：=5+√, PQ：=cosπ. （A1）很容易看出PQ>M/2。现在让我们定义本文其余部分中使用的符号。

通过y，我们表示银行用于创建货币的输入，x代表验证Alice和Frederick的分行向他们提出的问题，~x代表Alice和Frederick输入到设备中的实际价值，我们使用a表示Alice和Frederick的输出。此外，上索引中的i表示作用于第i量子子系统的协议的第i次运行。以逐量子位方式执行的一般攻击（参见假设ASM5和ASM6）可以通过验证协议中使用的数据的概率度量来描述。部分数据由银行生成（输入至验证程序），而输出aa和af由Alice和Frederick根据其选择的条件分布生成。输入和输出的总联合分布readsnOi=1P（yi0，BA，yi0，BF，yi1，BA，yi1，BF，xiA，xiF，～xiA，～xiF）P友邦保险，aiF | yi0，BA，yi0，BF，yi1，BA，yi1，BF，xiA，xiF，~ xiA，~ xiF. （A2）在下文中，我们将根据某些假设对其进行简化。从货币生成协议（money generatingprotocol）的定义中我们知道，如果弗雷德里克想验证与爱丽丝相同的钞票，那么所有分支的y都是相同的，因此我们可以省略每个分支的变量，只写yi和yi。此外，如果银行分行向设备本身输入适当的位，那么我们可以确定xiA=~xiA和xiF=~xiF，获得noi=1P易，易，夏，xiFP友邦保险，aiF |易，易，夏，xiF. （A3）观察3。假设Alice和Frederick在每次运行中都以独立的方式设置设备输入，那么我们的方案仍然是安全的。

任何Alice或Frederick基于输入xiA，xiFdi的独立运行的欺骗策略，与银行提供的xiA，xif不同，都可以纳入不受信任设备的内部工作，我们也可以省略它。由于我们假设Bank生成的y和x是完全随机的，因此根据假设ASM1，我们可以将上述公式改写为u~nOi=1U易，易，夏，xiFP友邦保险，aiF |易，易，夏，xiF, （A4）式中，U在这里和后面定义的所有度量中代表适当变量的均匀分布。现在我们可以定义描述成功伪造的集合，这意味着Alice和Frederick都可以使用同一张钞票。F： =n（yi，yi，xiA，aiA，xiF，aiF）ni=1∈ {0，1}6n：镍∈ [n] ：aiA=yixiAo> θn，镍∈ [n] ：aiF=yixiFo> θno，（A5）S：=（yi，yi，xiA，aiA，xiF，aiF）ni=1∈ {0，1}6n。（A6）我们还定义了序列SSI：=（yi，yi，xiA，aiA，xiF，aiF）。（A7）现在我们可以进行以下观察，这是[7]安全证明的一个简单结果。重要的是要注意，这里我们需要假设ASM1、ASM2、ASM3和ASM4，因为为了清楚起见，在[7]中也有必要这样做，我们通过分别用A和F替换B和E来更改符号。观察4。PAF（a）+PAF（a）≤ M、 （A8）证明。从[7]的公式（12）和公式后面的注释中，我们知道PAF（a）+PAF（a）+PAF（a⊕ （a）≤1 +√. （A9）使用[7]中的等式（13），PAF（a）+PAF（a）- 1.≤ PAF（a⊕ a） ，（A10）我们得到PAF（a）+PAF（a）≤1 +√+ 1.=5 +√. （A11）右侧等于M，这就完成了证明。附录B：主要引理我们将大量使用独立分布的n个随机变量的分布的浓度特性，由于Hoe ffing，形式为P（|(R)X- E’X |≥ η) ≤ 2e类-2nη。

（B1）式中，X=（1/n）PiXi。对于长度为n的位字符串x，我们将用| x |表示符号0在x中的出现次数（类似地| x |将表示x中1s的数量）。因此，P|x | n-≥ η≤ 2e类-2ηn，（B2）其中η≥ 由于上述浓度，概率质量函数集中在所谓的η-典型序列上，定义为满足| | x |/n的x值- 1/2| ≤ η. 换句话说，对于setTn，η：=x：|x | n-≤ η, （B3）有，P~U（x）（x∈ Tn，η）≥ 1.- 2e类-2ηn（B4），其中概率取自序列x的均匀分布U（x）：=（xi）ni=1over{0，1}n。特别是，对于从{0，1}n，P（xA）独立随机抽取的两个序列xA和xf⊕ xF车型∈ Tn，η）≥ 1.- 2e类-2ηn，（B5），其中⊕ 我们的意思是对xa和xF的位进行逐位异或操作。事实上，对于xF的任何固定分布⊕ 如果xF是统一的，则XA是统一的。然后我们可以使用典型性参数和p（xA）上的平均值。以小误差为代价，我们只能处理具有η-典型输入xa和xF的S。此类S将被称为η-典型：S≡ （yi，yi，xiA，aiA，xiF，aiF）ni=1被称为η-典型i ffxa⊕ xF车型≡ （夏⊕ xiF）ni=1∈ Tn，η。（B6）η-典型S的集合将表示为T（η）。在下面的内容中，我们将说明两次接受纸币的概率，即P（F），等于在不同场景（异或场景）中两次接受纸币的概率。在后者中，Alice得到xA，而Frederickis得到xA⊕ xF。尽管现实生活中并非如此，但这种情景转换（以及相应的概率度量）将简化我们的考虑。XOR场景通过事件S上的以下映射从原始场景获得：S=（yi，yi，xiA，aiA，xiF，aiF）ni=17→πS：=（yi，yi，xiA，aiA，xiF⊕ xiA，aiF）ni=1。

（B7）我们将转换的事件称为具有xi的事件⊕关于XIFI在S中的位置：S：=（yi，yi，xiA，aiA，xi⊕, aiF）ni=1。（B8）我们以类似于集合F的定义的方式定义所有锻造的集合：F：=n（yi，yi，xiA，aiA，xi⊕, aiF）ni=1∈ {0，1}6n：镍∈ [n] ：aiA=yixiAo> θn，镍∈ [n] ：aiF=yixi⊕⊕肖> θ编号（B9）事件集上定义的新概率度量u定义为u~nOi=1U易，易，夏，xi⊕⊕ 夏P友邦保险，aiF |易，易，夏，xi⊕⊕ 夏. （B10）观察5。映射π：1。是双射和对合的，2。满意度∈ F<=> S∈ F、 3。满意度u（S）=u（S）。证据双射性直接源于（xA，xF）被双射映射到（xA，xA⊕ xF）。firstinput被保留，而第二个可以通过XORing输入进行唯一重构。也很容易看出π是对合，因为（xA，xA⊕ xF）映射回（xA，xF）。现在我们显示属性2。让我们∈ F、 只有当且仅当镍∈ [n] ：aiA=yixiAo> θn和镍∈ [n] ：aiF=yixiFo> θn.（B11）事件序列（yi，yi，xiA，aiA，xi⊕, aiF）ni=1。根据F的定义，我们得到了∈ Fif且仅当镍∈ [n] ：aiA=yixiAo> θn和镍∈ [n] ：aiF=yixi⊕⊕肖> θn.（B12）由于左条件相同，我们只需证明右条件相等。通过定义映射π-1，我们获得镍∈ [n] ：aiF=yixi⊕⊕肖=镍∈ [n] ：aiF=yi（xiA⊕xiF）⊕肖=镍∈ [n] ：aiF=yixiFo, （B13）什么证明了适当的等式，并暗示S∈ F<=> S∈ F、 最后，我们认为属性3也成立。让我们定义任意S。