量子密码学：公钥分配和硬币投掷

介绍

传统的密码系统，如ENIGMA，DES，甚至RSA，都是基于猜测和数学的混合。信息理论表明，传统的密钥密码系统不可能是完全安全的，除非仅使用一次的密钥至少与明文一样长。另一方面，计算复杂性理论尚不足以理解为证明公钥密码系统的计算安全性。
在本文中，我们使用完全不同的加密基础，即。量子物理学的不确定性原理。在传统的信息理论和密码学中，人们理所当然地认为数字通信原则上可以被动地监视或复制，即使是那些不了解其含义的人也是如此。然而，当信息以非正交量子状态编码时，例如具有0度，45度，90度和135度极化方向的单光子，可以获得通信信道，其原则上的传输不能被窃听者可靠地读取或复制。不知道用于形成传输的某些关键信息。窃听者甚至无法获得有关此类传输的部分信息，而无需以可能由信道的合法用户检测到的随机和不可控制的方式对其进行更改。
量子编码首先在[W]中描述，还有两个应用：赚钱原则上不可能伪造，并且复用两个或三个消息，使得读取一个毁坏其他消息。最近[BBBW]，量子编码已经与公钥密码技术结合使用，产生了几种不可伪造的地铁代币方案。在这里，我们表明量子编码本身通过允许在最初不共享秘密信息的各方之间安全地分发随机密钥信息来实现公钥密码术的主要优点之一，前提是各方除了量子信道之外还可以访问普通信道。容易被动而不是主动窃听。即使在存在主动窃听的情况下，如果最初共享一些秘密信息，双方仍然可以安全地分发密钥，前提是窃听不是那么活跃以至于完全抑制通信。我们还提出了通过量子消息交换进行抛硬币的协议。除非另有说明，否则即使针对具有卓越技术和无限制计算能力的对手，协议也可证明是安全的，除非违反公认的物理法律。
抵消这些优点的实际缺点是量子传输必然非常弱并且在运输过程中不能被放大。此外，量子密码学不提供数字签名，或诸如经过认证的邮件或在法官面前解决纠纷的能力等应用程序。

II。偏振光子的基本特性

通过将普通光束通过诸如Po-laroid滤光器或方解石晶体的偏振装置发出，可以产生偏振光。光束的偏振轴由光束起源的偏振光的方向决定。生成单个极化光子也是可能的，原则上是通过从偏振光束中挑选它们，并且在实践中通过Aspect etal的实验[AGR]的变化来实现。
尽管极化是一个连续变量，但是不确定性原则禁止对任何单个光子进行测量，以揭示其偏振的多于一位。例如，如果将具有偏振轴α的光束发送到以角度β定向的滤波器，则单个光子以二次和概率的方式表现，以概率cos2（α-β）发射并且以互补概率sin2吸收（ α-β）。仅当两个轴平行（特定透射）或垂直（特定吸收）时，光子才具有确定性。
如果两个轴不垂直，那么传输一些光子，人们可能希望通过一个以第三角度取向的偏振器再次测量传输的光子数来获得关于α的附加信息。但是这无济于事，因为透过β偏振器的透射光子恰好出现了β偏振，失去了以前聚合α的所有记忆。
人们可能希望从单个光子中学习多于一个位的另一种方法是不直接测量它，而是以某种方式将其放大为识别极化光子的克隆，然后对它们进行测量;但这种希望也是徒劳的，因为这种克隆可以证明与量子力学的基础不一致[WZ]。
形式上，量子力学将量子系统的内部状态（例如，光子的极化）表示为线性空间中的单位长度的矢量ψ在复数域（希尔伯特空间）中。两个矢量的内积αφ|ψ被定义为Δjφjψj，其中表示复共轭。希尔伯特空间的维数取决于系统，对于更复杂的系统而言更大（甚至无限）。可以在系统上执行的每个物理测量对应于其希尔伯特空间到或正交子空间的分辨率，每个可能的测量结果一个。因此，可能结果的数量限于希尔伯特空间的维数，最完整的测量是将希尔伯特空间解析为d1维子空间的测量。
让Mk将投影算子表示到测量M的第k个子空间上，以便Hcan上的身份操作符表示为投影之和：I = M1 + M2 + ....当处于状态ψ的系统受到测量M时，其行为通常概率：结果与概率等于|Mkψ| 2，状态向量投影到子空间Mk的长度的平方。在测量之后，系统处于新状态Mkψ/ |Mkψ|，它是旧状态向量投影到子空间Mk的方向上的归一化单位向量。因此，测量具有确定性结果，并且仅在初始状态向量恰好完全位于特征化测量的正交子空间之一的特殊情况下使状态向量保持不变。
单个偏振光子的希尔伯特空间是二维的;因此，光子的状态可以完全描述为例如两个单位矢量r1 =（1,0）和r2 =（0,1）的线性组合，分别代表水平和垂直极化。特别地，通过状态向量（cosα，sinα）描述以水平角度α偏振的光子。当受到垂直与水平偏振测量的影响时，这种光子实际上选择成概率为cos2α水平，垂直概率为2α。两个正交矢量r1和r2thus将二维希尔伯特空间的分辨率例证为2个正交1维子空间;从此以后r1和r2将被称为包含希尔伯特空间的“直线”基础。
两个“对角线”基矢量d1 =（0.707,0.707）代表45度光子，d2 =（0.707，-0.707）代表135度，提供相同希尔伯特空间的另一个基础。光子。如果一个基础的每个向量在另一个基础的所有向量上具有相等长度的投影，则称两个基（例如直线和对角线）为“共轭”[W]：这意味着在特定状态下制备的系统当进行与其他基础相对应的测量时，一个基础将完全随机地行为，并且丢失所有存储的信息。由于其系数的复杂性，二维希尔伯特空间也允许第三个基础与直线和对角基础共轭，包括两个所谓的“电路”

III。 量子公钥分配

在传统的公钥加密中，陷门功能用于隐藏来自被动窃听者的两个用户之间的消息的含义，从而在两个用户之间缺少任何初始共享秘密信息。在量子公钥分发中，quan-tum信道不直接用于发送有意义的消息，而是用于在最初不共享秘密信息的两个用户之间传输随机比特的供应，以这样的方式用户通过对被动窃听的普通非量子信道的后续讨论，可以高度概率地判断原始量子传输是否在传输过程中被破坏，就像窃听者一样（这是量子信道的特殊情况）强迫檐口活跃的美德。如果传输没有被干扰，他们同意以众所周知的方式使用这些共享秘密位作为一次性padto隐藏后续有意义通信的含义，或者用于需要共享的其他加密应用程序（例如认证标签）秘密随机信息。如果传输受到干扰，他们将其丢弃并再次尝试，推迟任何有意义的通信，直到他们成功通过量子信道发送足够的随机比特作为一次性填充。
更详细地，一个用户（'Alice'）选择随机比特串和随机序列的极化基（rec-tilinear或对角线）。然后，她向另一个用户（'Bob'）发送一系列光子，每个光子代表为该位位置选择的基础中的一位字符串，水平或45度光子代表二进制零和垂直或135度光子代表二进制1。当鲍勃收到光子时，他决定随机为每个光子并独立于爱丽丝，测量光子的直线偏振或其对角偏振，并将测量结果解释为二进制零或一。如前一节所述，当人们试图测量对角光子的直线偏振时，产生随机答案并丢失所有信息，反之亦然。因此Bob从他检测到的光子中只有一半获得了有意义的数据 - 他猜测了正确的偏振基础。实际上，一些光子会在传输过程中丢失，或者鲍勃不完美有效的探测器无法计算，因此鲍勃的信息会进一步降级。
该协议的后续步骤在普通的公共通信信道上进行，该信道被认为易于被窃听，但不能被注入或改变消息。鲍勃和爱丽丝首先通过公共交换信息确定哪些光子是成功接收的，哪些光子是以正确的基础接收的。如果量子传输没有被扰乱，那么Alice和Bob应该就这些光子编码的比特达成一致，即使这些数据从未在公共信道上被讨论过。换句话说，这些光子中的每一个可能携带一点随机信息（例如，直线光子是垂直的还是水平的），而Alice和Bob知道这些信息，而不是其他任何人。
由于量子传输中直线和对角光子的随机混合，任何窃听都有可能改变传输，从而在Bob和Alice之间产生他们认为应该同意的一些比特之间的分歧。具体地说，可以证明，只有在他执行了测量之后才被告知光子原始基础的窃听者没有对传输中的光子进行测量，可以产生关于由关键位编码的超过1/2的预期信息位。那个pho吨;任何产生bbits预期信息（b≤1/ 2）的测量结果必须引起一个不同意的概率至少为b / 2，如果测得的光子或试图伪造它，后来在其原始基础上重新测量。 （例如，当窃听者在直线基础上测量并重新传输所有被触发的光子时，就会发生这种最佳权衡，从而学习半光子的正确偏振，并在后来重新测量的光子的1/4中产生分歧。原始基础。

因此，爱丽丝和鲍勃可以通​​过公开比较他们认为应该达成一致的一些比特来测试窃听，当然这会牺牲这些比特的安全性。此比较中使用的位位置应该是正确接收位的随机子集（比如三分之一），因此对多个光子的窃听不太可能逃脱检测。如果所有的比较都一致，那么Alice和Bob可以得出结论，量子传输没有重要的檐口丢失，而那些以相同基础发送和接收的剩余比特也同意，并且可以安全地用作一个-timepad用于通过公共频道进行后续安全通信。当该一次性填充用完时，重复该协议以在量子信道上发送新的随机信息体。
以下示例说明了上述协议。
如果爱丽丝和鲍勃事先就一个小秘密密钥达成一致意见，那么这个方案中的公共（非量子）频道对主动窃听的免疫需求可以放宽，他们用它来创建Wegman-Carter认证标签[WC]。公共频道上的消息。更详细的是，Wegman-Carter多消息认证方案使用一个小的随机密钥为一个任意大的消息产生一个依赖于消息的“标签”（相当于一个校验和），这样一种窃听者无知密钥只有很小的概率才能生成任何其他有效的消息标记对。因此，标签提供了消息是合法的证据，并且不是由不知道密钥的人生成或改变的。 （关键位在Wegman-Carter方案中逐渐使用，并且在不损害系统可证明的安全性的情况下不能重复使用;但是，在本申请中，这些关键位可以被成功传输的新随机位替换。通过量子信道。窃听者仍然可以通过抑制公共信道中的消息来阻止通信，当然，他可以通过抑制或过度扰乱通过量子信道发送的光子来阻止通信。然而，在任何一种情况下，爱丽丝和鲍勃都很有可能断定他们的秘密通信被压制，并且不会愚弄他们认为他们的通信是安全的，而实际上他们不是。

IV。 量子币投掷

Blum [Bl]首先讨论了“通过电话翻转钱币”。问题在于，两个不信任的政党，在没有第三方帮助的情况下远距离通信，以这样的方式达成胜利者和失败者的方式，即每一方都有50％的获胜机会。任何一方偏向结果的任何企图都应被对方检测为作弊。此问题的先前协议基于计算复杂性理论中未经证实的假设，这使得它们易于在算法设计方面取得突破。
相比之下，我们在这里提出了一种涉及分类和量子信息的方案，这种方案对传统的作弊行为是安全的，即使是具有无限制计算能力的对手也是如此。具有讽刺意味的是，它可以被一种更微妙的量子现象所破坏，即所谓的爱因斯坦 - 波多尔斯基 - 罗森效应。这种威胁仅仅是理论上的，因为它需要完美的存储和检测光子的效率，虽然原则上并非不可能，但远远超出了当前技术的能力。另一方面，诚实遵循的协议可以用现有技术重新定义。

1.Alice随机选择一个基础（比如直线）和一系列随机比特（一千个就足够了）。然后，她使用与以前相同的编码方案，在相同的基础上将她的位编码为光子序列。她将由此产生的聚光光子列车发送给鲍勃。
2.Bob为每个光子独立和随机选择一系列阅读基础。他相应地读取了光子，将结果记录在两个表中，一个是直线接收的光子，另一个是光学接收的光子。由于其探测器和传输通道中的损耗，一些光子可能根本不会被接收，导致他的桌子上出现漏洞。此时，Bob猜测Alice使用了哪个基础，并将其通知给Alice。如果他猜对了，他就赢了，否则输了。
3.Alice通过告诉他实际使用的基础向Bob报告他是否赢了。她通过在经典频道上向Bob发送她在步骤1中使用的整个原始比特序列来证明此信息。
4.Bob通过将Alice的序列与他的两个表格进行比较来验证没有发生作弊行为。应该与对应于Alice的基础的表格完全一致，并且与其他表格没有相关性。在我们的例子中，鲍勃可以确信爱丽丝的原始基础确实是所谓的直线。

通过一个具体的例子说明协议，我们有光速，违反了既定的物理定律。
Alice可以在步骤1或步骤3尝试作弊。让我们首先假设她诚实地跟随step1并发现自己在step2结束时失败了，因为Bob做出了正确的猜测，这里是直线的。为了假装她已经赢了，她需要说服鲍勃她的光子是对角极化的，她只能通过生成一系列与鲍勃对角线表完全一致的位来做到这一点。这是她无法可靠地做到的，因为这种表格是光子在移动双手后的概率行为的结果。假设她仍然继续前进并向鲍勃发送一个新的“原始”序列，与她在步骤1中使用的序列不同，希望通过运气与鲍勃的对角线表达完全一致。这种作弊行为要求爱丽丝不仅要幸运，而且要大胆，因为在绝大多数情况下，赌博会失败并被视为作弊。相比之下，在传统的抛硬币计划中，类似的尝试从失败的颌骨中抓住幸运的胜利，尽管不太可能成功，但没有任何被发现的危险。
很容易看出，如果Alice试图通过发送直线和对角光子的混合物或者直线或对角地聚合的光子，试图在步骤1中作弊。在这种情况下，她将无法在步骤3中同意Bob的任何一个表，因为两个表都将记录不受她控制的概率行为的结果。
为了说明爱丽丝如何使用量子机制，有必要描述爱因斯坦 - 波多尔斯基 - 罗森（EPR）效应[Bo，AGR]，这通常被称为悖论，因为它与两个单独的共同意义相矛盾。随机事件发生在彼此相距的距离上，一些物理影响必须从早期事件传播到后一事件，或者从一些常见的随机事件传播到两个事件。
当某些类型的原子或分子随着两个光子的发射而衰减时，EPR效应发生，并且由两个光子始终被发现具有相反的极化的事实组成，无论用于观察它们的基础如何，只要在同样的基础。例如，如果两个光子都是早期重新测量的，那么总会发现一个光子是水平的而另一个是垂直的，虽然它是水平的，但是从一个衰变到下一个衰变都会随之变化。如果对角线测量两个光子，则一个将始终为135度，另一个为45度。 Amoment的反射将表明，这种行为无法通过假设de-cay在相反极化（α和α+ 90）光子的α上产生分布来解释，因为在这种情况下，如果这样一对光子是在中间基础上测量的（比如α+ 45），两者都会表现出概率，因此有时会出现相同的极化。
对于EPR效应来说，最简单但反常发声的ver-bal解释可能就是说两个光子是在未定义的极化初始状态下产生的;当测量其中一个时，测量设备迫使它选择一个极化（在设备提供的两个特征方向之间随​​机选择和相应地选择），同时同时强制另一个未测量的光子，无论多远离开，选择相反的极化。这种令人难以置信的解释得到了形式量子力学的支持，它通过取两个二维希尔伯特空间的张量积来表示一对光子作为四维希尔伯特空间中的向量的状态。由衰变产生的EPR状态由向量0.7071（r1r2-r2r1）描述，并且EPR效应通过这样的事实来解释：该向量具有与两个光子的二维希尔伯特空间中的反相关投影，无论是什么基数用于表示张量积（例如，相同的状态向量可恶地等于0.7071（d1d2-d2d1），并且到0.7071（c1c2-c2c1））。
为了作弊，Alice在步骤1中产生了许多EPR光子对而不是单个随机光子。在每种情况下，她都会向Bob发送一对成员，并将自己存储在另一个成员中，可能在每个反射镜子之间。当Bob做出他的猜测（例如直线）时，她然后以相反（对角线）为基础测量她存储的所有光子，从而获得与他的对角线表完全相关但与他的直线表不相符的结果。然后她宣布这些结果，假装它们是她应该在步骤1中在光子中编码的随机位，从而迫使鲍勃无法逃脱的胜利，即使他的测量延迟到他的猜测之后。这种作弊要求Alice能够在相当长的时间内存储双光子，然后以高检测效率测量它们，因此原则上是可能的，而不是在实践中。爱丽丝在存储或测量过程中丢失的任何光子都会在她假装的比特序列中产生漏洞，而她必须通过猜测来填补这些漏洞，如果Bob不同意他的表格，这些猜测将有可能被Bob检测到。