量子信息密码学综述

量子信息密码学1整理课件一、信息的量子化2整理课件1、信息的经典处理过程声音图像视频文字模拟量〔0、1〕香浓信息论1000111数字化经典物理量编码信息经典物理量---强度、频率、相位〞等3整理课件1、信息的经典处理过程声音图像视频文字模拟化香浓信息论1000111经典物理量编码信息满足经典物理要求的处理方法—实数！4整理课件2、信息的量子化处理过程声音图像视频文字模拟量

0

1量子信息论数字化量子态编码信息0101010量子态—偏振、相位等01量子化5整理课件2、信息的量子化处理过程声音图像视频文字模拟化

0

1量子信息论数字化量子态编码信息010101001量子态满足量子力学规律的处理方法！6整理课件3、比特bit0，1Byte10011010;00110110……16位

1011011001101111;…….

任何一个n位存储器，某时刻可存储2n个数据之一7整理课件4、量子态与量子比特Qbit〔量子态〕-----〔1〕光子的偏振〔2〕电子的自旋〔3〕原子的能级……01QByte：,任何一个n位存储器，某时刻可存储2n个数据！8整理课件----既具有粒子性又具有波动性设想一微观粒子进入某空间，其波函数必布满该空间〔满足边界条件〕；粒子性要求其必在某处出现，只能任选一位置〔A/B/C)测量，在任一位置发现该粒子的概率为波函数在该处的模平方，且波函数即刻塌缩到该处！量子力学怎么理解世界？

CA

BA,B,C,…为探测器量子力学的态〔波函数〕----概率波9整理课件量子态的叠加与干预单光子探测器D1D2单光子分束器上下量子计算、量子密钥分配分束器10整理课件粒子干预与直觉的差异11整理课件BEPR粒子对A非局域性：对A〔或B〕的任意测量必然会影响B〔或A〕的量子态，不管A和B别离多远。量子纠缠态A－B可构成“量子通道〞。非局域性----纠缠12整理课件量子不可克隆定理量子克隆机ABAB?No!量子密码平安性的根底量子信息提取的关键障碍不存在某物理过程可精确地复制任意量子态13整理课件5、量子态的特殊性质量子态：又称“波函数〞，用来描述物质世界的“波粒二相性〞，本身是不可以被直接测量，其平方才代表粒子被发现的概率！！（1）、量子态的叠加（干涉）性（3）、量子态的非定域性（4）、量子态的不可克隆性（2）、量子态的测量塌缩14整理课件

二、量子信息密码学的相关进展15整理课件Bob纠缠光子对Alice1、基于纠缠态的量子密钥分配测量1测量0或或测量0测量116整理课件Bob纠缠光子对Alice1、基于纠缠态的量子密钥分配纠缠提纯测量0纠缠提纯测量1环境干扰环境干扰17整理课件纠缠的单配性----量子密钥分配平安性的根底BobAlice若Alice与Bob具有完美纠缠，其中任何一个都不可能与第三者分享纠缠！！？Charlie最大纠缠零纠缠零纠缠18整理课件BobAlice正反关联可变，但测量塌缩的随机性不变！测量0测量0翻转测量1或测量1或单边量子操作19整理课件纠缠不能实现超距和超光速通信！！测量0测量0测量1或测量1或测量塌缩过程不可控---纠缠不能单独用来

发送信息！只能用来分配密钥！BobAlice20整理课件2、量子通信----量子隐形传态纠缠源ABAliceBobC21整理课件2、量子通信-----量子隐形传态纠缠源ABAliceBobC22整理课件纠缠源ABAliceBobCBell态测量2、量子通信----量子隐形传态23整理课件纠缠源ABAliceBobC经典信道测量结果2、量子通信----量子隐形传态24整理课件纠缠源ABAliceBobC么正变换2、量子通信----量子隐形传态25整理课件GillesBrassard图片引自文献：W.Tittel,G.Ribordy,andN.Gisin,"Quantumcryptography,"PhysicsWorld,March1998CharlesH.Bennett3、单光子量子密钥分配--BB84协议26整理课件中科院量子信息重点实验室本质上利用了纠缠的单配性质：若A和B建立最大纠缠则A和E不存在任何纠缠！三方共享资源有限安全假设：态制备和测量是二维希尔伯特空间，误码归结为比特、相位误码…BB84协议平安性的--物理证明W.Shor,J.Preskill，Phys.Rev.Lett,85,pp.441-444.(2000)27整理课件RenatoRenner单光子量子密钥分配平安性--信息论证明中科院量子信息重点实验室ForprovingthesecurityofaQKDschemeagainstarbitraryattacks,itsufficestoconsiderattacksthathaveacertainproductstructure.量子密钥分配协议的安全性等价于collective攻击下的安全性RennerRenner.PHDthesis(2005)28整理课件BB84协议平安性的信息论证明Alice和Bob之间的不确定度最终的安全密钥率公式为不同测量基下有相同的误码率29整理课件热点1-参考系无关量子密钥分配30整理课件参考系校准的平安性风险Alice与Bob双方的参考系没有对齐BB84协议不能够正常成码产生很大的误码需要不时地校准对齐双方的参考系消耗大量时间和资源，并且Eve可能从该过程获得信息。能否去掉参考系校准？31整理课件ATTVOAVOAVOAVOALongarmShortarm实验系统梁文烨等，ScientificReportsVol.4,3617(2014)参考系无关量子密钥分配的实验32整理课件xayb?ALICEBOB??目标：利用概率表P(a,b|x,y)来分析系统平安性。平安性假设：Alice和Bob为的任意未知的量子测量装置，不能主动泄漏信息；输入的x和y为完美私密随机数。A.Acín,N.Brunner,N.Gisin,et.al.,Phys.Rev.Lett.98,230501(2007).热点2、测量仪器无关量子密钥分配33整理课件测量装置无关量子密钥分配H.-K.Lo,M.Curty,andB.Qi,Phys.Rev.Lett.108,130503(2012).Bellstatesmeasurement〔BSM〕34整理课件参考系与测量设备双无关量子密钥分配实验王超等，Phys.Rev.Lett.115,160502(2015)35整理课件热点3：无需检测误码率的QKD协议之前所有的QKD协议都是通过误码率来计算窃听者对密钥的信息量，进而生成密钥。Sasaki等人提出了一个完全不同的协议〔Round-RobinDifferentialPhase-Shift，RRDPS〕。Sasaki,etal.,Nature,509,pp475-478(2014)

36整理课件RRDPS协议的被动实现方案L=5,with4SSPDs(复用探测器)Sasaki,etal,Naturephotonics,(2021)37整理课件王双，银振强等，Naturephotonics,已接收待发RRDPS协议的主动实现方案L=65,两个单光子探测器38整理课件2、量子秘密共享AliceBobCharlieGHZ态M.Hillery,V.Bužek,andA.Berthiaume,Phys.Rev.A59,1829(1999).三光子纠缠态39整理课件基于非纠缠的经典消息秘密共享2003年，Guo等人基于量子不可克隆定理，利用对量子密钥分发协议中的量子比特采用直接编码的方式实现了秘密共享，打破了基于纠缠态秘密共享方案效率不超过50%的上限。(1)Alice生成两个长度为n的随机比特串L和A。L确定制备的基信息；A的值为发送直积态对应经典比特的异或。(2)Alice将制备的量子态发送给Bob和Charlie。(3)Alice公布L(4)Bob和Charlie根据公布的L的值来选择基矢进行测量态制备A01L0|00>,|11>|01>,|10>1|++>,|-->|+->,|-+>G.-P.GuoandG.-C.Guo,PhysicsLettersA310,247(2003).40整理课件经典消息的秘密共享2021年，Sarvepalli等人基于CSS码理论提出QSS方案，并实现接入网功能。2021年，Tseng等人使用量子搜索算法构建QSS方案，该方案中用户不需要存储粒子，仅有经典比特信息就可以恢复秘密消息。2021年，Shi等人基于“中国剩余定理〞优化QSS系统结构，通过对非最大纠缠态的分析提出一种新型QSS方案。Phys.Rev.A80,022321(2021)Int.J.Theor.Phys.51,3101–3108(2021)Int.J.Theor.Phys.52,539–548(2021)41整理课件2021年，Wang等人提出高维QSS协议，将量子态信息编码在单光子的偏振和空间模式上。2021年，Qin等人提出前摄QSS协议，参与者存储的消息可以及时更新，以防止窃取，而秘密消息却不发生变化。Int.J.Theor.Phys.52,1043–1051(2021)H.QinandY.Dai,"Proactivequantumsecretsharing"QuantumInfProcess1(2021).经典消息的秘密共享：42整理课件量子消息的秘密共享2021年，Sarvepalli等人基于图态构建量子消息QSS，并实现接入网功能。2021年，Sun等人提出可扩展的QSS协议。Phys.Rev.A86,042303(2021)QuantumInf.Process.12,2877–2888(2021)43整理课件在承诺阶段，承诺者Alice向接收者Bob发送某种证据来说明她已经承诺了一个比特值；在揭示阶段，Alice告诉Bob她的承诺值是b，Bob结合之前的证据来验证Alice在承诺阶段确实承诺的是b。如果协议的平安性是由量子力学原理保证的，那么就说这个协议是量子比特承诺协议(quantumbitcommitment,QBC)。

3、量子比特承诺44整理课件一个平安的QBC协议要满足以下要求:(1)正确性(2)绑定性:Alice成功揭示b的最大概率满足实际中经常用到的另一个等价判据是两者的算数平均值(3)保密性:Bob对b的猜测概率满足其中，和随平安参数n的增大呈指数减小。安全性

Mayers-Lo-Chau(MLC)不可能定理指出：仅基于量子力学原理，同时满足上述条件的无条件安全的QBC协议不存在！Dominic

Mayers，Phys.

Rev.

Lett.，

78,

3414

〔1997〕Hoi-Kwong

Lo

and

H.

F.

Chau，Phys.

Rev.

Lett.

78,

3410〔1997〕45整理课件1.欺骗敏感型QBC协议2000年，美国的Aharonov等人提出了第一个的协议。随后几年，国外又提出了多个的协议；2021年，法国的Chailloux和Kerenidis证明：对于任何公平的QBC协议，有。2021年，北京邮电大学的温巧燕小组提出了基于量子态预选择和后选择的欺骗敏感型QBC协议。2021年，中山大学的何广平指出满足一定共性的欺骗敏感型QBC都存在一个问题：在揭示阶段之前，接收者Bob总是可以以大于0.5的概率获得关于承诺值的非平凡的信息量。几类重要的QBC协议D.Aharonovetal.,Proceedingsofthethirty-secondannualACMsymposiumonTheoryofcomputing(2000).A.ChaillouxandI.Kerenidis,52ndAnnualSymposiumonFoundationsOfComputerScience(2021).Y.B.Lietal,QuantumInformationProcessing13,141(2021).G.P.He,Scientificreports5(2021).46整理课件2.基于一定物理假设的QBC协议假设量子存储器的容量是有限的模型(bounded-storagemodel)；假设量子存储器的容量不仅有限而且是有噪的模型(noisy-storagemodel)。3.基于正交态编码QKD的QBC协议2021年，中山大学的何广平基于正交态编码QKD构造了一个可以躲避MLC不可能定理的QBC协议。2021年，他利用另一个正交态编码的QKD协议对该QBC协议进行了简化。I.B.Damgardetal.,IeeeSympFound,449(2005).I.B.Damgardetal.,AdvancesInCryptologyProceedings(2007).S.Wehneretal.,PhysicalReviewLetters100(2021).N.H.Y.Ngetal.,NatCommun3(2021).R.Konigetal.,IeeeInformTheory58,1962(2021).G.P.He,JPhysa-MathTheor44(2021).G.P.He,QuantumInformationProcessing13,2195(2021).几类重要的QBC协议47整理课件结合〔狭义〕相对论，可以构造无条件平安的比特承诺协议，包括相对论经典比特承诺协议和相对论量子比特承诺协议。不可超光速原理是这类协议能够到达无条件平安的一个根本原因。此类协议需要使用代理人模型，要明确各方的位置和每步发生的时间。此类协议有一个缺陷：在有限通信资源的限制下，承诺阶段和揭示阶段之间的时间间隔〔保持时间〕不是任意长的，一般来说与代理人之间的直线距离有关。在这方面最早并持续进行研究的是剑桥大学的Kent。1999年至今，他分别提出了K99、K05、K11、K12协议。其中K11和K12协议已被证明是无条件平安的，且K12协议已被两个实验证实。K12在地球上的最大保持时间是相对论比特承诺协议48整理课件2021年，Lunghi等人对2021年的一个相对论经典比特承诺协议进行了修改，同时在日内瓦大学和伯尔尼大学之间做了一个直线距离为131km的实验。在两回合下保持时间是437；在六回合下保持持续时间是2ms；六回合下，在地球上的最大保持时间是212ms。相对论比特承诺协议2021年，瑞士和新加坡等国联合小组做的K12实验。实验在日内瓦大学和新加坡国立大学之间进行，两者的直线距离9354km，保持时间15.6ms。2021年，中国科学技术大学潘建伟小组做的K12实验。代理人之间的直线距离约20km，保持时间30。49整理课件在实际QKD系统中，为了消除实际系统中所有的漏洞，设备无关〔device-independent,DI〕的概念被提出，后来DI的思想又被扩展到了其他互不信任量子密码协议中，例如QBC协议：2021年，Silman等人提出了第一个欺骗敏感型DI-QBC协议，这个协议利用的是三粒子GHZ纠缠态的性质。2021年，Adlam和Kent基于EPR纠缠态的性质提出了DI-RQBC协议，并证明了它的无条件平安性。设备无关类比特承诺协议J.Silman,A.Chailloux,N.Aharon,I.Kerenidis,S.Pironio,andS.Massar,PhysicalReviewLetters106(2021).E.AdlamandA.Kent,PhysicalReviewA92(2021).50整理课件4、量子掷币掷币协议是使空间上不在一起、互不信任的双方Alice和Bob能够共同决定一个共享的随机比特值c的密码协议。如果协议的平安性是由量子力学原理保证的，就说这个协议是量子掷币协议(quantumcointossing，QCT)。协议的分类：根据参与方对于掷币的结果是否有偏好，QCT可以分为两类：(1)强量子掷币协议：无偏好(2)弱量子掷币协议：有偏好这里只讨论强量子掷币协议--简称QCT。协议流程图51整理课件一个平安的QCT协议要满足以下条件：(1)正确性:双方都老实时，有(2)Alice的最大成功欺骗概率:(3)Bob的最大成功欺骗概率:其中，和随平安参数n的增大呈指数减小。

对于非理想QCT协议，定义它的的偏置(bias)为如果就说协议是公平(fair)的。如果一个协议的偏置就说明这个协议是完全不平安的。安全性

根据

Mayers-Lo-Chau(MLC)不可能定理：仅基于量子力学原理，同时满足上述条件的理想QCT协议不存在！52整理课件与QBC类似，基于量子力学原理，QCT的偏置可以严格的小于0.5，这是对经典掷币协议的一个优势。2000年，Aharonov等人提出了第一个这样的协议。随后几年，出现了几个偏置为0.25的协议；2003年，Kitaev证明任何公平QCT协议的偏置都满足2021年，Chailloux和Kerenidis基于弱QCT协议构造了一个强QCT协议，它的偏置可以无限地接近这个下界；2005年，Zeilinger研究组基于三维量子态做了第一个QCT实验；2021年，Massar研究组研究了在实际系统中QCT与经典掷币协议的优势比较问题，并做了实验进行验证。理论和实验进展D.Aharonovetal.,Proceedingsofthethirty-secondannualACMsymposiumonTheoryofcomputing(2000).A.Kitaev,Lecturedeliveredatthe2003AnnualQuantumIn-formationProcessing(QIP)Workshop(2003).A.NayakandP.Shor,PhysicalReviewA67(2003).A.Ambainis,JComputSystSci68,398(2004).R.Colbeck,PhysicsLettersA362,390(2007).A.ChaillouxandI.Kerenidis,50thAnnualIeeeSymposiumonFoundationsOfComputerScience(2021).A.T.Nguyenetal.,NewJournalOfPhysics10(2021).G.Molina-Terrizaetal.,PhysicalReviewLetters94(2005).53整理课件早期的QCT协议和实验在有损环境中都是不平安的。为了解决这个问题，2021年，Berlin等人提出了一个基于单光子源的偏置与损耗无关的QCT协议。2021年，Pappa等人对该协议进行了修改以使之适用于弱相干态光源。理论和实验进展2021年，加拿大的Tittel研究组利用纠缠源做了第一个loss-tolerantQCT实验，具有量子优势的距离是10m，此时协议的偏置为0.4。2021年，法国巴黎电信的研究组与他国研究组合作做了基于弱相干态光源的semi-loss-tolerantQCT实验，具有量子优势的距离是15km，此时协议的偏置在0.4左右。54整理课件2021年，北京邮电大学的温巧燕小组基于纠缠对和有损的量子存储器提出了一个可以容忍一定损耗的QCT协议。在完全没有损耗的情况下，协议的偏置是0.3536。2021年，该小组利用量子非破坏测量对这个协议进行了改进，并且用单光子源代替了纠缠源。2021年，宁波公安海警学院的张盛和张悦欣提出了一种嵌套结构来解决实际系统中的噪声问题。2021年，Makarov等人针对上述QCT实验中弱相干态光源平均光子数的涨落提出了一种攻击，指出检测光源平均光子数波动的重要性。理论和实验进展55整理课件5、量子公钥2005年杨理提出了第一个量子明文的公钥加密算法。2021年杨理等给出了诱导陷门单向量子变换的定义，建立了经典单向函数与量子单向变换之间的联系，用量子语言统一表述了RSA等7类常见的公钥加密算法，初步建立了量子公钥密码体制的理论框架。2021年H.Fujita研究了基于量子纠错码的量子明文的公钥加密算法，并对[1]的算法所存在的问题进行详细的分析。[1]L.Yang(2005),Apublic-keycryptosystemforquantummessagetransmission,ProceedingsoftheSPIE5631(1),pp.233-236andseealsoe-printarXiv:quant-ph/0310076(2003).[2]YangL,LiangM,LiB,HuL,FengDG.Quantumpublic-keycryptosystemsbasedoninducedtrapdoorone-waytransformations[OL].arXiv:1012.5249.[3]FujitaH.QuantumMcEliecepublic-keycryptosystem[J].QuantumInformation&Computation,2021,12(3-4):181-202.56整理课件Shor量子算法1994年，Bell实验室的P.Shor做出了量子计算领域的里程碑工作，获1998年世界数学家大会RolfNevanlinna奖。6、量子算法Shor算法证明：采用量子计算机并行计算，分解大数N的时间随logN的多项式增长〔即可解问题〕。例如N=200位，如果用3500个qubit的量子计算机只要1秒时间即可以分解成功。57整理课件经典计算机量子计算机采用并行处理，只需次，（Grover算法）。一个个查询，直到找到所要的号码。平均讲，要查次。1997年，Bell实验室的Grover研究员以“量子力学帮助在稻草堆中找到一根针〞为题，提出了加速搜索的量子算法。Grover算法6、量子算法58整理课件6、量子算法没有新的根底性量子算法被提出来现有算法的应用范围已经被扩大应用方法有所推进GROVER算法仍然只是幂指数加速SHOR算法的应用范围有所扩展应用边界更加清晰59整理课件三、经典与量子密码的思考60整理课件1、量子比特与经典比特的关系归一化，且可以是复数！令:量子态编码退化到实整数编码！61整理课件实数x,y复数z=x+iy经典0，1量子量子信息论简化为经典信息论！经典信息是量子信息的一个子集？62整理课件〔2〕量子侧信道？侧信道----编码维度以外的维度？量子密码比经典密码多出来一个维度！量子信信是经典密码理论框架上的一个侧信道？量子计算机对公钥的威胁还难理解吗？63整理课件〔3〕Nogo定理的理解AliceBob承诺纠缠就是量子比特承诺的侧信道！！64整理课件〔4〕抗量子计算密码？实数域密码如何抗复数域的攻击？密码是否应该推广到复数域？复数域平安的密码才是真正抗量子计算的密码？65整理课件四、量子计算机66整理课件目前在研究的量子计算机可以分为两类，一类是通用的线路型量子计算机，另一类是专用的模拟型量子计算机。D-wave公司的机器属于后者。〔1〕D-wave公司的量子模拟机模拟型量子计算机依靠哈密顿量的绝热演化实现基态通用型量子计算机依靠逻辑门操作的线路序列实现算法67整理课件D-wave公司的量子模拟机：硬件这是D-Wave公司销售给Google公司的量子模拟机。其中核心是这块由128个超导量子比特构成的芯片。68整理课件这128个量子比特如下图的排布，可以构成这样一个哈密顿量。D-wave公司的量子模拟机：数学表示这是每个量子比特的自能项这是量子比特之间的相互作用项69整理课件从数学上来讲，这个哈密顿量的基态，等价于这12