量子信息密码学综述.ppt_第1页
量子信息密码学综述.ppt_第2页
量子信息密码学综述.ppt_第3页
量子信息密码学综述.ppt_第4页
量子信息密码学综述.ppt_第5页
已阅读5页,还剩78页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

3 17 2020 中国密码学会年会 上海交通大学 韩正甫中国科学技术大学 光学与光学工程系中国科学院量子信息重点实验室 量子信息密码学 一 信息的量子化 1 信息的经典处理过程 声音图像视频文字 模拟量 0 1 香浓信息论 数字化 经典物理量编码信息 经典物理量 强度 频率 相位 等 1 信息的经典处理过程 声音图像视频文字 模拟化 香浓信息论 经典物理量编码信息 满足经典物理要求的处理方法 实数 2 信息的量子化处理过程 声音图像视频文字 模拟量 0 1 量子信息论 数字化 量子态编码信息 量子态 偏振 相位等 01 量子化 2 信息的量子化处理过程 声音图像视频文字 模拟化 0 1 量子信息论 数字化 量子态编码信息 01 量子态 满足量子力学规律的处理方法 3 比特 bit0 1Byte10011010 00110110 16位1011011001101111 任何一个n位存储器 某时刻可存储2n个数据之一 4 量子态与量子比特 Qbit 量子态 1 光子的偏振 2 电子的自旋 3 原子的能级 QByte 任何一个n位存储器 某时刻可存储2n个数据 既具有粒子性又具有波动性设想一微观粒子进入某空间 其波函数必布满该空间 满足边界条件 粒子性要求其必在某处出现 只能任选一位置 A B C 测量 在任一位置发现该粒子的概率为波函数在该处的模平方 且波函数即刻塌缩到该处 量子力学怎么理解世界 量子力学的态 波函数 概率波 量子态的叠加与干涉 量子计算 量子密钥分配 分束器 粒子干涉与直觉的差异 B EPR粒子对 A 非局域性 对A 或B 的任意测量必然会影响B 或A 的量子态 不管A和B分离多远 量子纠缠态 A B可构成 量子通道 非局域性 纠缠 量子不可克隆定理 量子克隆机 A B A B No 量子密码安全性的基础 量子信息提取的关键障碍 不存在某物理过程可精确地复制任意量子态 5 量子态的特殊性质 量子态 又称 波函数 用来描述物质世界的 波粒二相性 本身是不可以被直接测量 其平方才代表粒子被发现的概率 二 量子信息密码学的相关进展 Bob Alice 1 基于纠缠态的量子密钥分配 测量1 测量0 或 或 测量0 测量1 Bob Alice 1 基于纠缠态的量子密钥分配 纠缠提纯 测量0 纠缠提纯 测量1 环境干扰 环境干扰 纠缠的单配性 量子密钥分配安全性的基础 Bob Alice 正反关联可变 但测量塌缩的随机性不变 测量0 测量0 翻转 测量1 或 测量1 或 单边量子操作 纠缠不能实现超距和超光速通信 测量0 测量0 测量1 或 测量1 或 测量塌缩过程不可控 纠缠不能单独用来发送信息 只能用来分配密钥 Bob Alice 2 量子通信 量子隐形传态 纠缠源 A B Alice Bob C 2 量子通信 量子隐形传态 纠缠源 A B Alice Bob C 纠缠源 A B Alice Bob C Bell态测量 2 量子通信 量子隐形传态 纠缠源 A B Alice Bob C 经典信道测量结果 2 量子通信 量子隐形传态 纠缠源 A B Alice Bob C 么正变换 2 量子通信 量子隐形传态 GillesBrassard 图片引自文献 W Tittel G Ribordy andN Gisin Quantumcryptography PhysicsWorld March1998 CharlesH Bennett 3 单光子量子密钥分配 BB84协议 中科院量子信息重点实验室 本质上利用了纠缠的单配性质 若A和B建立最大纠缠则A和E不存在任何纠缠 三方共享资源有限 安全假设 态制备和测量是二维希尔伯特空间 误码归结为比特 相位误码 BB84协议安全性的 物理证明 W Shor J Preskill Phys Rev Lett 85 pp 441 444 2000 RenatoRenner 单光子量子密钥分配安全性 信息论证明 中科院量子信息重点实验室 ForprovingthesecurityofaQKDschemeagainstarbitraryattacks itsufficestoconsiderattacksthathaveacertainproductstructure 量子密钥分配协议的安全性等价于collective攻击下的安全性 RennerRenner PHDthesis 2005 BB84协议安全性的信息论证明 Alice和Bob之间的不确定度 最终的安全密钥率公式为 不同测量基下有相同的误码率 热点1 参考系无关量子密钥分配 参考系校准的安全性风险 Alice与Bob双方的参考系没有对齐 BB84协议不能够正常成码产生很大的误码 需要不时地校准对齐双方的参考系 耗费大量时间和资源 并且Eve可能从该过程获得信息 能否去掉参考系校准 Longarm Shortarm 实验系统 梁文烨等 ScientificReportsVol 4 3617 2014 参考系无关量子密钥分配的实验 ALICE BOB 目标 利用概率表P a b x y 来分析系统安全性 安全性假设 Alice和Bob为的任意未知的量子测量装置 不能主动泄漏信息 输入的x和y为完美私密随机数 A Ac n N Brunner N Gisin et al Phys Rev Lett 98 230501 2007 热点2 测量仪器无关量子密钥分配 测量装置无关量子密钥分配 H K Lo M Curty andB Qi Phys Rev Lett 108 130503 2012 Bellstatesmeasurement BSM 参考系与测量设备双无关量子密钥分配实验 王超等 Phys Rev Lett 115 160502 2015 热点3 无需检测误码率的QKD协议 之前所有的QKD协议都是通过误码率来计算窃听者对密钥的信息量 进而生成密钥 Sasaki等人提出了一个完全不同的协议 Round RobinDifferentialPhase Shift RRDPS Sasaki etal Nature 509 pp475 478 2014 RRDPS协议的被动实现方案 L 5 with4SSPDs 复用探测器 Sasaki etal Naturephotonics 2015 王双 银振强等 Naturephotonics 已接收待发 RRDPS协议的主动实现方案 L 65 两个单光子探测器 2 量子秘密共享 M Hillery V Bu ek andA Berthiaume Phys Rev A59 1829 1999 三光子纠缠态 基于非纠缠的经典消息秘密共享 2003年 Guo等人基于量子不可克隆定理 利用对量子密钥分发协议中的量子比特采用直接编码的方式实现了秘密共享 打破了基于纠缠态秘密共享方案效率不超过50 的上限 1 Alice生成两个长度为n的随机比特串L和A L确定制备的基信息 A的值为发送直积态对应经典比特的异或 2 Alice将制备的量子态发送给Bob和Charlie 3 Alice公布L 4 Bob和Charlie根据公布的L的值来选择基矢进行测量 G P GuoandG C Guo PhysicsLettersA310 247 2003 经典消息的秘密共享 2009年 Sarvepalli等人基于CSS码理论提出QSS方案 并实现接入网功能 2012年 Tseng等人使用量子搜索算法构建QSS方案 该方案中用户不需要存储粒子 仅有经典比特信息就可以恢复秘密消息 2013年 Shi等人基于 中国剩余定理 优化QSS系统结构 通过对非最大纠缠态的分析提出一种新型QSS方案 Phys Rev A80 022321 2009 Int J Theor Phys 51 3101 3108 2012 Int J Theor Phys 52 539 548 2013 2013年 Wang等人提出高维QSS协议 将量子态信息编码在单光子的偏振和空间模式上 2015年 Qin等人提出前摄QSS协议 参与者存储的消息可以及时更新 以防止窃取 而秘密消息却不发生变化 Int J Theor Phys 52 1043 1051 2013 H QinandY Dai Proactivequantumsecretsharing QuantumInfProcess1 2015 经典消息的秘密共享 量子消息的秘密共享 2012年 Sarvepalli等人基于图态构建量子消息QSS 并实现接入网功能 2013年 Sun等人提出可扩展的QSS协议 Phys Rev A86 042303 2012 QuantumInf Process 12 2877 2888 2013 在承诺阶段 承诺者Alice向接收者Bob发送某种证据来表明她已经承诺了一个比特值 在揭示阶段 Alice告诉Bob她的承诺值是b Bob结合之前的证据来验证Alice在承诺阶段的确承诺的是b 如果协议的安全性是由量子力学原理保证的 那么就说这个协议是量子比特承诺协议 quantumbitcommitment QBC 3 量子比特承诺 一个安全的QBC协议要满足以下要求 1 正确性 2 绑定性 Alice成功揭示b的最大概率满足实际中经常用到的另一个等价判据是两者的算数平均值 3 保密性 Bob对b的猜测概率满足其中 和随安全参数n的增大呈指数减小 安全性 Mayers Lo Chau MLC 不可能定理指出 仅基于量子力学原理 同时满足上述条件的无条件安全的QBC协议不存在 DominicMayers Phys Rev Lett 78 3414 1997 Hoi KwongLoandH F Chau Phys Rev Lett 78 3410 1997 1 欺骗敏感型QBC协议2000年 美国的Aharonov等人提出了第一个的协议 随后几年 国外又提出了多个的协议 2011年 法国的Chailloux和Kerenidis证明 对于任何公平的QBC协议 有 2013年 北京邮电大学的温巧燕小组提出了基于量子态预选择和后选择的欺骗敏感型QBC协议 2015年 中山大学的何广平指出满足一定共性的欺骗敏感型QBC都存在一个问题 在揭示阶段之前 接收者Bob总是可以以大于0 5的概率获得关于承诺值的非平凡的信息量 几类重要的QBC协议 D Aharonovetal Proceedingsofthethirty secondannualACMsymposiumonTheoryofcomputing 2000 A ChaillouxandI Kerenidis 52ndAnnualSymposiumonFoundationsOfComputerScience 2011 Y B Lietal QuantumInformationProcessing13 141 2014 G P He Scientificreports5 2015 2 基于一定物理假设的QBC协议假设量子存储器的容量是有限的模型 bounded storagemodel 假设量子存储器的容量不仅有限而且是有噪的模型 noisy storagemodel 3 基于正交态编码QKD的QBC协议2011年 中山大学的何广平基于正交态编码QKD构造了一个可以规避MLC不可能定理的QBC协议 2014年 他利用另一个正交态编码的QKD协议对该QBC协议进行了简化 I B Damgardetal IeeeSympFound 449 2005 I B Damgardetal AdvancesInCryptologyProceedings 2007 S Wehneretal PhysicalReviewLetters100 2008 N H Y Ngetal NatCommun3 2012 R Konigetal IeeeInformTheory58 1962 2012 G P He JPhysa MathTheor44 2011 G P He QuantumInformationProcessing13 2195 2014 几类重要的QBC协议 结合 狭义 相对论 可以构造无条件安全的比特承诺协议 包括相对论经典比特承诺协议和相对论量子比特承诺协议 不可超光速原理是这类协议能够达到无条件安全的一个根本原因 此类协议需要使用代理人模型 要明确各方的位置和每步发生的时间 此类协议有一个缺陷 在有限通信资源的限制下 承诺阶段和揭示阶段之间的时间间隔 保持时间 不是任意长的 一般来说与代理人之间的直线距离有关 在这方面最早并持续进行研究的是剑桥大学的Kent 1999年至今 他分别提出了K99 K05 K11 K12协议 其中K11和K12协议已被证明是无条件安全的 且K12协议已被两个实验证实 K12在地球上的最大保持时间是 相对论比特承诺协议 2015年 Lunghi等人对2011年的一个相对论经典比特承诺协议进行了修改 同时在日内瓦大学和伯尔尼大学之间做了一个直线距离为131km的实验 在两回合下保持时间是437 在六回合下保持持续时间是2ms 六回合下 在地球上的最大保持时间是212ms 相对论比特承诺协议 2013年 瑞士和新加坡等国联合小组做的K12实验 实验在日内瓦大学和新加坡国立大学之间进行 两者的直线距离9354km 保持时间15 6ms 2014年 中国科学技术大学潘建伟小组做的K12实验 代理人之间的直线距离约20km 保持时间30 在实际QKD系统中 为了消除实际系统中所有的漏洞 设备无关 device independent DI 的概念被提出 后来DI的思想又被扩展到了其他互不信任量子密码协议中 例如QBC协议 2011年 Silman等人提出了第一个欺骗敏感型DI QBC协议 这个协议利用的是三粒子GHZ纠缠态的性质 2015年 Adlam和Kent基于EPR纠缠态的性质提出了DI RQBC协议 并证明了它的无条件安全性 设备无关类比特承诺协议 J Silman A Chailloux N Aharon I Kerenidis S Pironio andS Massar PhysicalReviewLetters106 2011 E AdlamandA Kent PhysicalReviewA92 2015 4 量子掷币 掷币协议是使空间上不在一起 互不信任的双方Alice和Bob能够共同决定一个共享的随机比特值c的密码协议 如果协议的安全性是由量子力学原理保证的 就说这个协议是量子掷币协议 quantumcointossing QCT 协议的分类 根据参与方对于掷币的结果是否有偏好 QCT可以分为两类 1 强量子掷币协议 无偏好 2 弱量子掷币协议 有偏好这里只讨论强量子掷币协议 简称QCT 协议流程图 一个安全的QCT协议要满足以下条件 1 正确性 双方都诚实时 有 2 Alice的最大成功欺骗概率 3 Bob的最大成功欺骗概率 其中 和随安全参数n的增大呈指数减小 对于非理想QCT协议 定义它的的偏置 bias 为如果就说协议是公平 fair 的 如果一个协议的偏置就说明这个协议是完全不安全的 安全性 根据Mayers Lo Chau MLC 不可能定理 仅基于量子力学原理 同时满足上述条件的理想QCT协议不存在 与QBC类似 基于量子力学原理 QCT的偏置可以严格的小于0 5 这是对经典掷币协议的一个优势 2000年 Aharonov等人提出了第一个这样的协议 随后几年 出现了几个偏置为0 25的协议 2003年 Kitaev证明任何公平QCT协议的偏置都满足2009年 Chailloux和Kerenidis基于弱QCT协议构造了一个强QCT协议 它的偏置可以无限地接近这个下界 2005年 Zeilinger研究组基于三维量子态做了第一个QCT实验 2008年 Massar研究组研究了在实际系统中QCT与经典掷币协议的优势比较问题 并做了实验进行验证 理论和实验进展 D Aharonovetal Proceedingsofthethirty secondannualACMsymposiumonTheoryofcomputing 2000 A Kitaev Lecturedeliveredatthe2003AnnualQuantumIn formationProcessing QIP Workshop 2003 A NayakandP Shor PhysicalReviewA67 2003 A Ambainis JComputSystSci68 398 2004 R Colbeck PhysicsLettersA362 390 2007 A ChaillouxandI Kerenidis 50thAnnualIeeeSymposiumonFoundationsOfComputerScience 2009 A T Nguyenetal NewJournalOfPhysics10 2008 G Molina Terrizaetal PhysicalReviewLetters94 2005 早期的QCT协议和实验在有损环境中都是不安全的 为了解决这个问题 2009年 Berlin等人提出了一个基于单光子源的偏置与损耗无关的QCT协议 2011年 Pappa等人对该协议进行了修改以使之适用于弱相干态光源 理论和实验进展 2011年 加拿大的Tittel研究组利用纠缠源做了第一个loss tolerantQCT实验 具有量子优势的距离是10m 此时协议的偏置为0 4 2014年 法国巴黎电信的研究组与他国研究组合作做了基于弱相干态光源的semi loss tolerantQCT实验 具有量子优势的距离是15km 此时协议的偏置在0 4左右 2012年 北京邮电大学的温巧燕小组基于纠缠对和有损的量子存储器提出了一个可以容忍一定损耗的QCT协议 在完全没有损耗的情况下 协议的偏置是0 3536 2014年 该小组利用量子非破坏测量对这个协议进行了改进 并且用单光子源代替了纠缠源 2015年 宁波公安海警学院的张盛和张悦欣提出了一种嵌套结构来解决实际系统中的噪声问题 2015年 Makarov等人针对上述QCT实验中弱相干态光源平均光子数的涨落提出了一种攻击 指出检测光源平均光子数波动的重要性 理论和实验进展 5 量子公钥 2005年杨理提出了第一个量子明文的公钥加密算法 2010年杨理等给出了诱导陷门单向量子变换的定义 建立了经典单向函数与量子单向变换之间的联系 用量子语言统一表述了RSA等7类常见的公钥加密算法 初步建立了量子公钥密码体制的理论框架 2012年H Fujita研究了基于量子纠错码的量子明文的公钥加密算法 并对 1 的算法所存在的问题进行详细的分析 1 L Yang 2005 Apublic keycryptosystemforquantummessagetransmission ProceedingsoftheSPIE5631 1 pp 233 236andseealsoe printarXiv quant ph 0310076 2003 2 YangL LiangM LiB HuL FengDG Quantumpublic keycryptosystemsbasedoninducedtrapdoorone waytransformations OL arXiv 1012 5249 3 FujitaH QuantumMcEliecepublic keycryptosystem J QuantumInformation Computation 2012 12 3 4 181 202 Shor量子算法 1994年 Bell实验室的P Shor做出了量子计算领域的里程碑工作 获1998年世界数学家大会RolfNevanlinna奖 6 量子算法 Shor算法证明 采用量子计算机并行计算 分解大数N的时间随logN的多项式增长 即可解问题 例如N 200位 如果用3500个qubit的量子计算机只要1秒时间即可以分解成功 经典计算机 量子计算机 采用并行处理 只需次 Grover算法 一个个查询 直到找到所要的号码 平均讲 要查次 1997年 Bell实验室的Grover研究员以 量子力学帮助在稻草堆中找到一根针 为题 提出了加速搜索的量子算法 Grover算法 6 量子算法 6 量子算法 没有新的基础性量子算法被提出来现有算法的应用范围已经被扩大应用方法有所推进GROVER算法仍然只是幂指数加速SHOR算法的应用范围有所扩展应用边界更加清晰 三 经典与量子密码的思考 1 量子比特与经典比特的关系 归一化 且可以是复数 令 量子态编码退化到实整数编码 量子信息论简化为经典信息论 经典信息是量子信息的一个子集 2 量子侧信道 侧信道 编码维度以外的维度 量子密码比经典密码多出来一个维度 量子信信是经典密码理论框架上的一个侧信道 量子计算机对公钥的威胁还难理解吗 3 Nogo定理的理解 Alice Bob 承诺 纠缠就是量子比特承诺的侧信道 4 抗量子计算密码 实数域密码如何抗复数域的攻击 密码是否应该推广到复数域 复数域安全的密码才是真正抗量子计算的密码 四 量子计算机 目前在研究的量子计算机可以分为两类 一类是通用的线路型量子计算机 另一类是专用的模拟型量子计算机 D wave公司的机器属于后者 1 D wave公司的量子模拟机 模拟型量子计算机 依靠哈密顿量的绝热演化实现基态 通用型量子计算机 依靠逻辑门操作的线路序列实现算法 D wave公司的量子模拟机 硬件 这是D Wave公司销售给Google公司的量子模拟机 其中核心是这块由128个超导量子比特构成的芯片 这128个量子比特如图所示的排布 可以构成这样一个哈密顿量 D wave公司的量子模拟机 数学表示 这是每个量子比特的自能项 这是量子比特之间的相互作用项 从数学上来讲 这个哈密顿量的基态 等价于这128个单元的联通图的数学问题 D wave公司的量子模拟机 数学表示 而一些我们所感兴趣的优化问题正可以归结为上述数学问题 例如机器学习中有一类问题 图像识别问题 可以认为是包含两项 一

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论