半设备独立量子货币

因此，xi⊕= 夏⊕ xiFin定义S，u（S）=nOi=1U易，易，夏，xi⊕⊕ 夏P友邦保险，aiF |易，易，夏，xi⊕⊕ 夏π-1=nOi=1U易，易，夏，（xiF⊕ 夏）⊕ 夏P友邦保险，aiF |易，易，夏，（xiF⊕ 夏）⊕ 夏=nOi=1U易，易，夏，xiFP友邦保险，aiF |易，易，夏，xiF= u（S），（B14），其中π-1上述表示等式源自映射π的逆的性质，由于对合性质等于π。像以前一样，Alice获得位xiA，但Frederick获得位xiA和xiF的异或。尽管如此，“原始”盒子由于“接线”而接收XIA和xiF。我们有一个重要的推论，我们现在可以把重点放在异或场景上，因为后者的伪造概率等于前者的伪造概率。推论1。P~u（F）=P~u（F）。（B15）可以关注典型序列S，即x⊕∈ T（η），但由于度量u，在估计伪造概率时，以指数小的不准确度为代价。引理1。P（F）≤ P（F∩ T（η））+（η） ，（B16）带（η） =2 exp(-2ηn）。证据有点滥用符号，我们将指（y，y，xA，aA，x⊕, aF）元组的正确顺序序列（yi，yi，xiA，aiA，xi⊕, aiF）ni=1，其中y=（yi）ni=1，通过类比，其他符号也是如此。我们将首先显示一系列（in）等式：P（F）=XS∈FP公司~u（S）=XS∈F∩T（η）P~u（S）+XS∈F\\T（η）P~u（S）=XxA，x⊕,y、 y型S： S∈F∩T（η）u（xA）u（x⊕)u（y）u（y）P（aA，aF | y，y，xA，x⊕⊕ xA）+XxA，x⊕,y、 y型S： S∈F\\T（η）u（xA）u（x⊕)u（y）u（y）P（aA，aF | y，y，xA，x⊕⊕ xA）≤XxA，x⊕,y、 y型S： S∈F∩T（η）u（xA）u（x⊕)u（y）u（y）P（aA，aF | y，y，xA，x⊕⊕ xA）+XxA，x⊕,y、 y：（x）⊕)∈T（η）u（xA）u（x⊕)u（y）u（y）≤P（F∩ T（η））+(η).（B17）我们使用了x的分布⊕无论特定攻击是什么，都是相同的（一致的）。

这是因为在攻击之前，XA和XF相对于度量u的分布是均匀的，与攻击无关，而x⊕具有xA分布⊕XF根据度量单位u的定义。在上一个不等式中，我们使用了等式（B5）中的典型性论证。由于变量x的随机性⊕,P（F∩ T（η））=Xx⊕∈T（η）P（x⊕)P（F | x⊕). （B18）度量u的优点是，我们可以根据xi的值轻松划分每次运行i的集合⊕.虽然听起来很技术，但这将简化论点。在xi⊕= 0时，对于Alice和Frederick来说，最佳策略实现quantumvalue PQ。但是，对于x⊕= 1他们的处境是爱丽丝猜到了与弗雷德里克在这段时间猜到的相反的一位。因此，正如Paw lowski和Brunner的原始论文所示，它们是有限的。从现在起，我们将⊕:= （xi）⊕)ni=1，并证明其所有典型值的猜测的共同界限。然后，我们可以根据x定义新的条件度量u⊕单位：u：=u|￠x⊕= δ（￠x⊕, x个⊕)nOi=1u（xiA）u（yi）u（yi）Pi（aiF，aiA | xiA，xi⊕⊕ 夏，易，易）。（B19）我们现在将显示，平均而言，伪造的Alice和Frederick有正确猜测的Y，ybit字符串的总位数，从上面以某个值为界。让我们首先定义一组指数d（x⊕):= {i∈ [n] ：xi⊕= 0}，（B20）及其补码\'D（x⊕). 需要注意的是，对于集合D（x）中的运行⊕), Alice和Frederick将被问到同一家银行的比特，如果是\'D（x⊕) 他们将不得不猜测银行的两个不同部分。然后，我们可以考虑定义的四种类型或随机变量Ohmi、 每个取决于x的值⊕.

值得注意的是，这些变量分别描述了Alicean和Frederick在第i次运行中猜测适当位的概率，并且与F.Xx的定义有着密切的联系⊕i、 A：=（δ友邦保险，亿夏: 我∈ D（x⊕)0：我∈\'\'D（x⊕), Xx号⊕i、 F：=（δaiF，伊霞: 我∈ D（x⊕)0：我∈\'\'D（x⊕), （B21）Yx⊕i、 A：=（δ友邦保险，亿夏: 我∈\'\'D（x⊕)0：我∈ D（x⊕), Yx公司⊕i、 F：=（δaiF，伊霞⊕1.: 我∈\'\'D（x⊕)0：我∈ D（x⊕), （B22）样本空间定义为Ohm九⊕:= {S0i：xi⊕（S0i）=xi⊕}, （B23）xi⊕（S0i）表示使用标签xi获取变量⊕从序列S0i开始。我们还将定义sumsXx⊕i： =Xx⊕i、 A+Xx⊕i、 F，Yx⊕i： =Yx⊕i、 A+Yx⊕i、 F，（B24）和由xind Yi构建的随机变量，即它们的和：(R)XAx⊕:=xi∈[n] Xx号⊕i、 A，(R)XFx⊕:=xi∈[n] Xx号⊕i、 年月日⊕:=xi∈[n] Xx号⊕i、 （B25）(R)YAx⊕:=xi∈[n] Yx公司⊕i、 A，’YFx⊕:=xi∈[n] Yx公司⊕i、 F，’Yx⊕:=xi∈[n] Yx公司⊕i、 （B26）根据等式（B19），我们知道度量u是度量ui的乘积：=u（xiA）u（yi）u（yi）Pi（aiF，aiA | xiA，xi⊕⊕ xiA，yi，yi）（B27）什么意味着“XAx”⊕,(R)XFx⊕,\'\'Xx⊕,\'\'YAx⊕,(R)YFx⊕,(R)Yx⊕由泊松分布描述。测量值ureadE'Xx上的相应平均值⊕=xi∈[n] X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}π（aiA，aiF |^xiA，^xiA⊕ xi⊕, ^yi，^yi）Xx⊕i（S0i），（B28）E'Yx⊕=xi∈[n] X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（友邦保险，aiF|^xiA，^xiA）⊕ xi⊕, ^yi，^yi）Yx⊕i（S0i）。

（B29）尽管上述平均值是在整个范围内确定的，但它们仅取决于各自的子集：E'Xx⊕=xi∈D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（aiA，aiF |^xiA，^xiA，^yi，^yi）hδ友邦保险，^伊霞+ δaiF，^伊霞i、 （B30）E'Yx⊕=xi∈\'\'D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（友邦保险，aiF|^xiA，^xiA）⊕ 1，^yi，^yi）×hδ友邦保险，^伊霞+ δaiF，^yi1⊕夏i、 （B31）我们现在将证明，如果攻击是在假设对手是量子的情况下进行的，并且他们以一个量子比特一个量子比特的方式进行攻击，则上述平均值是有界的（参见假设ASM3–ASM6）。引理2。E'Xx⊕+ E'Yx⊕≤ 2PQ | D（x⊕)| + M\'\'D（x⊕). （B32）证明。我们将分别证明LHS的第一项受RHS的第一项约束，然后证明第二项分别相互约束。在单次实验中，对于一个人（比如Alice）来说，最好的量子策略是PQ上界，而另一方被要求猜测与Alice被问到的相同的位，因此可以复制她的答案。我们有Xx个⊕=xi∈D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（aiA，aiF |^xiA，^xiA，^yi，^yi）hδ友邦保险，^伊霞+ δaiF，^伊霞i=Xi∈D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（aiA，aiF |^xiA，^xiA，^yi，^yi）δ友邦保险，^伊霞+xi∈D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（aiA，aiF |^xiA，^xiA，^yi，^yi）δaiF，^伊霞=xi∈D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA）∈{0,1}Pi（aiA |^xiA，^xiA，^yi，^yi）δ友邦保险，^伊霞+xi∈D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiF）∈{0,1}Pi（aiF |^xiA，^xiA，^yi，^yi）δaiF，^伊霞=xi∈D（x⊕)EXAi，x⊕+ EXFi，x⊕.（B33）现在，对于每个i∈ D、 有：EXAi，x⊕=（PA（y | xA=0）+PA（y | xA=1））≤ PQ，（B34），此处我们使用了[7]的公式（7）（注意符号的变化：我们的x、yi、aa分别对应于y、ai、b）。类似地，对于i∈ D、 EXFi，x⊕=（PF（y | xF=0）+PF（y | xF=1））≤ PQ。

（B35）对i上的上述不等式求和∈ D我们获得E'Xx⊕≤ 2PQ | D（x⊕)|.更详细的是关于（B32）的第二项。我们以类似的方式开始：E'Yx⊕=xi∈\'\'D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（友邦保险，aiF|^xiA，^xiA）⊕ 1，^yi，^yi）×hδ友邦保险，^伊霞+ δaiF，^yi1⊕夏i=Xi∈\'\'D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（友邦保险，aiF|^xiA，^xiA）⊕ 1，^yi，^yi）·δ友邦保险，^伊霞+xi∈\'\'D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（友邦保险，aiF|^xiA，^xiA）⊕ 1，^yi，^yi）·δaiF，^yi1⊕夏=xi∈\'\'D（x⊕)EYAi，x⊕+ EYFi，x⊕.（B36）对于每个i∈\'\'D（x⊕),EYAi，x⊕+ EYFi，x⊕=PA（yi | xiA=0）+PF（yi | xiA=0）+PA（yi | xiA=1）+PF（yi | xiA=1）≤PAF（易夏=0）+PAF（易夏=0）+PAF（易夏=1）+PAF（易夏=1）=（PAF（易夏=0）+PAF（易夏=1）+PAF（易夏=0）+PAF（易夏=1）=PAF（彝语）+PAF（彝语）≤ M、 （B37）在上一次之前的不平等中，我们使用了这样一个事实，即Alice和Frederic可以合作。这只会增加猜测的平均概率。在上一个不等式中，我们将[7]的结果重新表述为观察结果4。i总结∈\'\'D（x⊕), 我们获得XI∈\'\'D（x⊕)EYAi，x⊕+ EYFi，x⊕≤ M\'\'D（x⊕), （B38）正如所声称的。我们在上面已经表明，平均猜测位数有一个上限。我们现在将讨论上述过程中涉及的随机变量的浓度特性。这里我们假设x⊕是固定的，并导致定义良好的集合D（x⊕) 和D（x⊕). 为了简洁起见，我们有时会省略x⊕从D的符号中，我们还将确定战略S的子序列和具体实现，S：=（S0i）{i:xi⊕=0}，S：=（S0i）{i：xi⊕=1}.

（B39）根据上述技术引理的精神，我们将考虑四个随机变量，每个随机变量报告各自集合中各不诚实方的猜测输入数的理论平均值与观察到的猜测输入数之间的距离（D（x⊕) 或“D（x⊕)),c=（1：E'XAx⊕-(R)XAx⊕≤ η| D（x⊕)|0：否则，c=（1：E'YAx⊕-\'\'YAx⊕≤ η| D（x⊕)|0：否则，c=（1：E'XFx⊕-(R)XFx⊕≤ η| D（x⊕)|0：否则，c=（1：E'YFx⊕-(R)YFx⊕≤ η| D（x⊕)|0：其他。（B40）由于式（B1）中给出的总测量值u的浓度特性，即测量值ui的乘积（见式（B27）），基于此，X的联合分布。。。，X以上定义的随机变量，我们可以将0的有界概率如下所示：p（c=0）≤2e类-2η| D（x⊕)|=:（η） ，p（c=0）≤ 2e类-2η| D（x⊕)|=:（η） ，（B41）p（c=0）≤2e类-2η| D（x⊕)|=:（η） ，p（c=0）≤ 2e类-2η| D（x⊕)|=:（η） ，（B42），其中上述措施的概率超过了措施u。现在，由于有并界，我们得到：推论2。对于任何x⊕, 有isP~uE'XAx⊕-(R)XAx⊕≤ η| D（x⊕)| ∧E'YAx⊕-\'\'YAx⊕≤ η\'\'D（x⊕)∧E'XFx⊕-(R)XFx⊕≤ η| D（x⊕)| ∧E'YFx⊕-(R)YFx⊕≤ η\'\'D（x⊕)≥1.-xii（η）。（B43）以上相当技术性的结果在总猜测数的上限中总结如下。也就是说，对于固定的x⊕, 以及定义度量值u=ux的攻击⊕, 定义为S（x）函数的猜测总数的随机变量⊕) 从u中采样很有可能从上方有界，因为它接近有界的平均值之和。事实上，让我们定义猜测总数的随机变量'Zx⊕:=(R)XAx⊕+(R)XFx⊕+\'\'YAx⊕+(R)YFx⊕. （B44）我们还定义了另外两个有用的变量“ZAx⊕:=(R)XAx⊕+\'\'YAx⊕,(R)ZFx⊕:=(R)XFx⊕+(R)YFx⊕. （B45）引理3。对于任何固定x⊕∈ T（η），P~u（(R)Zx⊕> （B）≤Xi=1i（η），（B46），其中b：=2PQ+ ηn+M+ ηn+2ηn.（B47）证明。

从推论2中，省略模，我们得到一系列不等式1-Xi=1i（η）≤P~uE'XAx⊕-(R)XAx⊕≤ η| D（x⊕)| ∧E'YAx⊕-\'\'YAx⊕≤ η\'\'D（x⊕)∧E'XFx⊕-(R)XFx⊕≤ η| D（x⊕)| ∧E'YFx⊕-(R)YFx⊕≤ η\'\'D（x⊕)≤P~uE'XAx⊕≤(R)XAx⊕+ η| D（x⊕)| ∧ E'YAx⊕≤\'\'YAx⊕+ η\'\'D（x⊕)∧ E'XFx⊕≤(R)XFx⊕+ η| D（x⊕)| ∧E'YFx⊕≤(R)YFx⊕+ η\'\'D（x⊕)≤P~u(R)XAx⊕+\'\'YAx⊕+(R)XFx⊕+(R)YFx⊕≤ E'XAx⊕+ E'YAx⊕+ E'XFx⊕+ E'YFx⊕+ 2ηn≤P~u(R)XAx⊕+\'\'YAx⊕+(R)XFx⊕+(R)YFx⊕≤ 2PQ | D（x⊕)| + 米| D（x⊕)| + 2ηn=P~u\'\'Zx⊕≤ 2PQ | D（x⊕)| + 米| D（x⊕)| + 2ηn≤P~u（(R)Zx⊕≤ B） 。（B48）在第二个不等式中，我们使用了引理2。在下一篇文章中，我们使用了“Zx”的定义⊕, 然后我们使用了x的典型性⊕, 这意味着集D（x）的幂的上界⊕) 和D（x⊕). 这意味着P~u（(R)Zx⊕> （B）≤Xi=1i（η），（B49），正如我们所声称的。现在让我们回顾一下方程式（B9）F的定义：=n（yi，yi，xiA，aiA，xi⊕, aiF）ni=1∈ {0，1}6n：镍∈ [n] ：aiA=yixiAo> θn，镍∈ [n] ：aiF=yixi⊕⊕肖> θno.（B50）为了清晰起见，在下面的内容中，我们将使用符号Fθ明确显示对θ的依赖性。观察6。让接受阈值为θ>B/2。ThenP（Fθ∩ T（η））≤ （η） ：=最大值⊕∈T（η）（η，x⊕), （B51）其中（η，x⊕) =Pi=1i（η）。证据让我们来看看⊕. 然后是fθ| x⊕≡nS（x⊕) :\'\'ZAx⊕≥ θ ∧(R)ZFx⊕≥ θonS（x⊕) :\'\'ZAx⊕+(R)ZFx⊕≥ 2θo=S（x⊕) :\'\'Zx⊕≥ B.（B52）上述事实是暗示序列的结果，其中最后一个从2θ>B开始。我们现在调用EEQ。

（B18）并立即注意a界：Pu（Fθ∩ T（η））=Xx⊕∈T（η）P（x⊕)Pu（Fθ| x⊕)=Xx号⊕∈T（η）P（x⊕)XS（x⊕)∈FAF，θP（S（x⊕))=Xx号⊕∈T（η）P（x⊕)X{S（X⊕):\'\'ZAx⊕（S（x⊕))≥θ∧(R)ZFx⊕（S（x⊕))≥θ} P（S（x⊕))≤Xx号⊕∈T（η）P（x⊕)X{S（X⊕):\'\'Zx⊕（S（x⊕))≥B} P（S（x⊕))≤Xx号⊕∈T（η）P（x⊕)（η，x⊕)≤ maxx公司⊕∈T（η）Xi=1i（η，x⊕) =:(η).（B53）在上一个不等式之前，我们使用了引理3（η） =Pi=1maxx⊕∈T（η）i（η）。附录C：主要定理1的证明最后，在给出所有必要的定义和引理之后，我们准备用证明陈述定理1的完整版本。设βη=PQ+ η+M+ η+ η=cosπ+5 +√!+ η+ η=8 cosπ+ 5 +√+8个cosπ+ 5 +√3 + 8η=9 + 2√2 +√+17 + 2√2 +√η≈0.8475+2.6950η，（C1）对于一些小η，选择的方式是βη≤ PQ。定理1（半设备独立量子货币的安全性）。假设接受阈值θ大于βηn。然后，在假设A1-A7（见第三节E）下，其中k表示银行分支的数量，成功伪造的概率P（Fθ）在纸币的量子位数量上是指数小的，并且以P（Fθ）为界≤ 10ke-2η(-η） n.（C2）证明。利用推论1、引理1和观测值6，我们得到了P（F）P上的以下界~u（F）等式（B15）=P~u（F）等式（B16）≤ P~u（F∩ T（η））+（η） 等式（B51）≤ maxx公司⊕∈T（η）（η，x⊕) + (η)≤ 5.η=10e-2η(-η） n.（C3）由于有许多银行分行，合作的Alice和Frederick可以使用生日攻击来选择公共集D最大的两个分行。对于k个分行，我们应用联合约束获得另一个因子，从而最终证明。附录D：与设备无关的量子货币无法通过的证明在本节中，我们将提供观察结果1的更正式证明。证据我们将遵循设备独立场景中使用的标准验证技术。

由于所有quantumdevices都不受信任，银行分行验证资金的唯一方法是使用量子黑匣子输入和输出的经典统计数据。在不丧失一般性的情况下，我们可以假设四部分情形，其中两个银行分支B、B、Alice A和Frederick F共享一些非局部盒子。我们将设备的输入表示为I，输出表示为O，适当的下标表示参与方。一般情况可以通过formD=P（OB、OB、OA、of | IB、IB、IA、IF）的概率分布来建模。（D1）在验证阶段，Alice试图通过B分行的验证，而Frederick则尝试通过B分行的验证。由于银行的分行无法通信，因此只能访问部分输出。因此，唯一的方法是检查分支带的分布D=P（OB，OA | IB，IA，IB，IF）（D2）的相关性D=分支B的P（OB，OF | IB，IF，IB，IA）（D3）。我们假设Alice和Frederic可以在验证阶段自由交谈。为了安全起见，金钱计划必须禁止Alice和Frederick通过验证。此外，所有分支机构通过验证的条件必须相同。由于Alice必须有一个诚实的量化实现（见附录E）和分布H，那么Frederick也可以使用相同的分布D=H通过验证。为了获得这样的结果，控制源和测量设备的对手可以简单地将分布D作为H来准备连接的设备H、 这种状态和度量的准备将始终破坏任何独立于设备的货币计划，如果没有银行分行之间的通信，银行将无法以任何方式检测到。附录E：诚实实现在本附录中，我们将介绍基于半设备独立量子密钥分发的诚实实现【7】。

对于所有运行i，诚实源按以下方式准备所有状态ρiyi，yiρ：=| 0ih0 |，ρ：=|-ih公司-|, ρ： =|+ih+|，ρ：=| 1ih1 |（E1），其中|±i：=（| 0i±| 1i）/√2、让我们根据分支机构的问题XI，选择适当的测量值Mxi，M：=σz+σx√, M： =σz- σx√, （E2）其中σx和σzare Pauli矩阵σx：=“0 11 0#”，σz：=“1 00-1#. （E3）结果表明，如[7]所示，使用这些状态和测量，最佳猜测概率等于pq=cos（π/8）。备注5（与Wiesne\'sr货币计划相关）。在诚实地执行我们的方案时，我们使用了与原始Wiesner方案相同的资产。另一方面，测量设置必须有所不同，因为从[7]中我们知道，威斯纳不能用于半设备独立的方法。附录F：所需的量子位数该附录建立了量子位数与伪造概率上界之间的关系。从式（C1）中我们知道βη≤ pq我们可以计算η的最大允许值等于ηmax：=-1 + 2√2.-√34 + 4√2 + 2√≈ 0.0022. （F1）当我们将该值放入公式（C2）中时，对于单个银行没有任何额外分行的平凡情况，我们得到thatP（F）≤ 10e-2η最大值(-ηmax）n。