Kvant raqamli imzo

A Kvant raqamli imzo (QDS) yoki klassikning kvant mexanik ekvivalentiga ishora qiladi elektron raqamli imzo yoki umuman olganda, qog'oz hujjatdagi qo'lda yozilgan imzo. Qo'lda yozilgan imzo singari, elektron raqamli imzo boshqa tomon yoki ishtirokchi tomonlardan birining qalbaki hujjatlaridan himoya qilish uchun ishlatiladi, masalan, raqamli shartnoma.

Jamiyatda elektron tijorat muhim ahamiyat kasb etganligi sababli, almashinadigan ma'lumotlarning kelib chiqishini tasdiqlash zarurati paydo bo'ldi. Zamonaviy raqamli imzolar matematik masalani hal qilish qiyinligi, masalan, ko'p sonli omillarni topish (masalan, RSA algoritmi ). Afsuski, ushbu muammolarni hal qilish vazifasi kvantli kompyuter mavjud bo'lganda amalga oshadi (qarang) Shor algoritmi ). Ushbu yangi muammoga duch kelish uchun, hattoki kvant kompyuterlariga egalik qiluvchi va kuchli kvant aldash strategiyalaridan foydalangan holda, buzilishlardan himoya qilish uchun yangi kvant raqamli imzo sxemalari ishlab chiqilmoqda.

Klassik ochiq kalit usuli

The ochiq kalit usuli kriptografiya jo'natuvchiga xabarni imzolashga imkon beradi (ko'pincha faqat kriptografik xash har qanday qabul qiluvchi tegishli ochiq kalit yordamida xabarning haqiqiyligini tekshirishi mumkin bo'lgan tarzda belgi kaliti bilan. Bunga ruxsat berish uchun ochiq kalit barcha potentsial oluvchilar uchun keng taqdim etiladi. Xabarni faqat qonuniy muallifi haqiqiy tarzda imzolashi mumkinligiga ishonch hosil qilish uchun ochiq kalit tasodifiy, shaxsiy imzo kalitidan yaratiladi. bir tomonlama funktsiya. Bu shunday kiritiladiki, natijada kiritilgan natijani hisoblash juda oson, lekin natijada berilgan kirishni hisoblash juda qiyin. Klassik misol - ikkita juda katta sonlarni ko'paytirish: ko'paytma oson, ammo mahsulotni sonini bilmasdan faktoring qilish odatda mumkin emas deb hisoblanadi.

{ displaystyle x mapsto f (x)}

oson

{ displaystyle f (x) mapsto x}

juda qiyin

Klassik raqamli imzolar singari kvant raqamli imzolar ham assimetrik kalitlardan foydalanadi. Shunday qilib, xabarga imzo chekmoqchi bo'lgan kishi bir yoki bir nechta juft belgi va tegishli ochiq kalitlarni yaratadi. Umuman olganda kvant raqamli imzo sxemalarini ikki guruhga bo'lishimiz mumkin:

Xususiy shaxsdan ochiq kvant-bit kalitini yaratadigan sxema klassik bitli satr: ${ displaystyle k mapsto | f_ {k} rangle}$
Xususiy shaxsdan ochiq kvant-bit kalitini yaratadigan sxema kvant bitli satr: ${ displaystyle | k rangle mapsto | f_ {k} rangle}$

Ikkala holatda ham f - klassik bir tomonlama funktsiyaga o'xshash xususiyatlarga ega bo'lgan bir tomonlama kvant funktsiyasi, ya'ni natijani hisoblash oson, ammo klassik sxemadan farqli o'laroq, funktsiya imkonsiz hatto kuchli kvant aldash strategiyasidan foydalangan taqdirda ham teskari yo'naltirish.

Yuqoridagi birinchi usul uchun eng mashhur sxema Gottesman va Chuang tomonidan taqdim etilgan ^[1]

Yaxshi va foydalanishga yaroqli imzo sxemasiga qo'yiladigan talablar

Klassik raqamli imzo sxemasiga qo'yiladigan talablarning aksariyati kvant raqamli imzo sxemasiga ham tegishli.

Batafsil

Sxema buzilishlardan xavfsizlikni ta'minlashi kerak
1. Xabar imzolanganidan keyin jo'natuvchi (qarang ozgina majburiyat )
2. Qabul qilgich
3. Uchinchi tomon
Imzolangan xabarni yaratish oson bo'lishi kerak
Xabarni haqiqiyligini tekshirishda (qabul qilingan, yaroqsiz) har bir qabul qiluvchi bir xil javob olishi kerak.

^[1]^[2]

Klassik va kvantli bir tomonlama funktsiyalar o'rtasidagi farqlar

Bir tomonlama funktsiyaning tabiati

Yuqorida aytib o'tilganidek, klassik bir tomonlama funktsiya klassik bajarib bo'lmaydigan matematik vazifaga asoslanadi, kvantli bir tomonlama funktsiya esa noaniqlik printsipidan foydalanadi, bu hatto kvant kompyuterda ham teskari hisoblashni amalga oshira olmaydi. kirish holati, uni ko'paytirish uchun kirish satri haqida etarli ma'lumotga ega emas chiqish holati. Birinchi sxemalar guruhi holatida bu Xollevoning teoremasi bilan ko'rsatilgan, ya'ni aytilgan n-kubit kvant holatidan n dan ko'prog'ini chiqarib bo'lmaydi. klassik ma'lumotlar.^[3]Sxema ma'lum uzunlikdagi bitli mag'lubiyat uchun kamroq kubitlardan foydalanilishini ta'minlashning bir imkoniyati deyarli ortogonal holatlardan foydalanishdir.

{ displaystyle | langle f_ {k} | f_ {k} ' rangle | < delta qquad { text {for}} k neq k' land 0 leq delta leq 1}

Bu bizga ikkitadan ortiq davlatlar bilan asos yaratishga imkon beradi.^[1]Shunday qilib ma'lumotlarini tavsiflash uchun ${ displaystyle 2 ^ {n}}$ bit, biz n kubitdan kamroq foydalanishimiz mumkin, masalan, 3 kubit asosda

${ displaystyle | 0 rangle}$
${ displaystyle | 1 rangle}$
${ displaystyle { frac {1} { sqrt {2}}} (| 0 rangle + | 1 rangle)}$

Qachon n klassik bitni tasvirlash uchun faqat m kubit kerak bo'ladi ${ displaystyle 3 ^ {m} = 2 ^ {n}}$ ushlab turadi.

Holevo teoremasi va m n dan kichikroq bo'lishi mumkinligi sababli, biz n bitli xabardan faqat m bit olishimiz mumkin. Umuman olganda, agar kimdir ochiq kalitning T nusxasini olsa, u shaxsiy kalitning ko'pi bilan Tm bitini chiqarib olishi mumkin ${ displaystyle delta}$ katta ${ displaystyle n-Tm}$ juda katta bo'lib, bu noo'rin odamning belgi kalitini taxmin qilishiga imkon bermaydi.

Izoh: Agar sizda ozgina miqdordagi bir xil holat bo'lsa, siz ortogonal bo'lmagan holatlarni ajrata olmaysiz. Kvantning bir tomonlama funktsiyalari shu tarzda ishlaydi.
Shunga qaramay ${ displaystyle | f_ {k} rangle}$ Klassik ochiq kalitdan farqli o'laroq, shaxsiy kalit haqida ma'lumot tarqaladi, bu esa shaxsiy kalit haqida hech narsa yoki hamma narsani olishga majbur qiladi.

Ochiq kalitni nusxalash

Klassik holatda biz klassik belgi kalitidan klassik ochiq kalitni yaratamiz, shuning uchun har bir potentsial qabul qiluvchiga ochiq kalitning nusxasini taqdim etish oson. Ochiq kalitni erkin tarqatish mumkin, bu kvant holatida yanada qiyinlashadi, chunki kvant holatini nusxalash klonlash teoremasi bilan taqiqlanadi, chunki holat o'zi noma'lum.^[4]Shunday qilib, ochiq kalitlarni faqat o'zi yaratmoqchi bo'lgan kvant holatini biladigan, shu bilan belgi kalitini biladigan odam yaratishi va tarqatishi mumkin (Bu jo'natuvchi yoki umuman ishonchli tashkilot bo'lishi mumkin). klassik ochiq kalit umumiy kvant kalitlari sonining yuqori chegarasi mavjud T imzo tugmachasini taxmin qilishga imkon bermasdan va shu bilan sxema xavfsizligiga xavf tug'dirmasdan yaratilishi mumkin ( ${ displaystyle n-Tm}$ katta bo'lishi kerak)

Ochiq kalit har bir qabul qiluvchi uchun bir xil bo'lishi kerak (almashtirish testi)

Xabarning haqiqiyligini sinab ko'rishda har bir qabul qiluvchining bir xil natijalarga erishishiga ishonch hosil qilish uchun tarqatilgan umumiy kalitlar bir xil bo'lishi kerak, bu klassik holatda to'g'ridan-to'g'ri, chunki ikkita klassik bit satrlarini osongina taqqoslash va ularning mos kelishini ko'rish mumkin. , kvant holatida bu ancha murakkab. Sinash uchun, agar ikkita umumiy kvant holat bir xil bo'lsa, quyidagilarni taqqoslash kerak

{ displaystyle | f_ {k} ' rangle = | f_ {k} rangle}

Kubitlar uchun almashtirish testi

Bu quyidagi kvant sxemasi yordamida amalga oshiriladi, ulardan birini ishlatadi Fredkin darvozasi F, bitta Hadamard darvozasi H va antililla qubit a.Birinchidan, ancilla qubit nosimmetrik holatga o'rnatiladi ${ displaystyle | a rangle = { frac {1} { sqrt {2}}} (| 0 rangle + | 1 rangle)}$ .

Ancilla qubitidan keyin maqsadlar ustidan nazorat sifatida foydalaniladi ${ displaystyle | f_ {k} rangle }$ va ${ displaystyle | f_ {k} ' rangle}$ Fredkin darvozasida.

Bundan tashqari, Ancilla kubitiga Hadamard darvozasi qo'llaniladi va nihoyat birinchi kubit o'lchanadi, agar ikkala holat bir xil bo'lsa, natija ${ displaystyle | 0 rangle}$ Agar ikkala holat ham deyarli ortogonal bo'lsa, natija ham bo'lishi mumkin ${ displaystyle | 0 rangle }$ yoki ${ displaystyle | 1 rangle}$ .^[1]

Swap testini hisoblash batafsilroq:

Umumiy holat

{ displaystyle | psi _ {0} rangle = | a rangle | f_ {k} rangle | f_ {k} ' rangle}

{ displaystyle | psi _ {0} rangle = { frac {1} { sqrt {2}}} { bigg (} | 0 rangle + | 1 rangle { bigg)} | f_ {k } rangle | f_ {k} ' rangle}

{ displaystyle | psi _ {0} rangle = { frac {1} { sqrt {2}}} { bigg (} | 0 rangle | f_ {k} rangle | f_ {k} ' rangle + | 1 rangle | f_ {k} rangle | f_ {k} ' rangle { bigg)}}

Keyin Fredkin darvoza qo'llaniladi

${ displaystyle Rightarrow { frac {1} { sqrt {2}}} { bigg (} | 0 rangle | f_ {k} rangle | f_ {k} ' rangle + | 1 rangle mathbf {| f_ {k} ' rangle | f_ {k} rangle} { bigg)}}$

Keyin Hadamard eshik birinchi kubitda qo'llaniladi

${ displaystyle Rightarrow { frac {1} {2}} { bigg [} { bigg (} | 0 rangle + | 1 rangle { bigg)} | f_ {k} rangle | f_ {k } ' rangle + { bigg (} | 0 rangle - | 1 rangle { bigg)} | f_ {k}' rangle | f_ {k} rangle { bigg]}}$

Keyin tartiblash uchun ${ displaystyle | 0 rangle { text {and}} | 1 rangle}$

${ displaystyle Rightarrow | psi rangle = { frac {1} {2}} { bigg [} | 0 rangle { bigg (} | f_ {k} rangle | f_ {k} ' rangle + | f_ {k} ' rangle | f_ {k} rangle { bigg)} + | 1 rangle { bigg (} | f_ {k} rangle | f_ {k}' rangle - | f_ { k} ' rangle | f_ {k} rangle { bigg)} { bigg]}}$

Endi shtatlar bo'lsa, buni ko'rish oson ${ displaystyle | f_ {k} rangle = | f_ {k} ' rangle }$ keyin ${ displaystyle | psi rangle = | 0 rangle | f_ {k} rangle | f_ {k} rangle}$ , bu har doim o'lchanganida 0 beradi.

Soddalashtirilgan Gottesman-Chuang sxemasidan foydalangan holda imzolashni tasdiqlash jarayonining misoli

Imzolash jarayoni

Gottesman-Chuang sxemasidan foydalangan holda b = 0 xabar-biti uchun imzo jarayonining misoli

Shaxs A (Elis) B shaxsga (Bob) xabar yuborishni xohlasin. Xash algoritmlari ko'rib chiqilmaydi, shuning uchun Elis o'z xabarining har bir bitiga imzo qo'yishi kerak. Xabar biti b ${ displaystyle in {0,1 }}$ .

Elis tanlaydi M shaxsiy kalitlarning juftliklari ${ displaystyle {k_ {0} ^ {i}, k_ {1} ^ {i} } quad 1 leq i leq M}$

Hammasi ${ displaystyle k_ {0}}$ agar b = 0 bo'lsa, xabar bitiga imzo chekish uchun kalitlardan foydalaniladi.
Hammasi ${ displaystyle k_ {1}}$ b = 1 bo'lsa, tugmachalar xabar bitiga imzo chekish uchun ishlatiladi.

Xaritalar qaysi funktsiya ${ displaystyle k mapsto | f_ {k} rangle}$ Barcha tomonlarga ma'lum bo'lgan Elis endi tegishli ochiq kalitlarni hisoblab chiqadi ${ displaystyle {| f_ {k_ {0}} ^ {i} rangle, | f_ {k_ {1}} ^ {i} rangle }}$ va ularning barchasini oluvchilarga beradi. U kerakli miqdordagi nusxani yaratishi mumkin, ammo xavfsizlikka xavf solmaslik uchun ehtiyot bo'lishi kerak ${ displaystyle chap (n gg Tm { text {ushlab turishi kerak}} o'ng)}$ .

Uning xavfsizlik darajasi u yaratishi mumkin bo'lgan bir xil ochiq kalitlarning sonini cheklaydi

Agar

xabar biti b = 0, u barcha shaxsiy kalitlarini yuboradi ${ displaystyle k_ {0}}$ xabar-bit bilan birga b Bobga
xabar biti b = 1, u barcha shaxsiy kalitlarini yuboradi ${ displaystyle k_ {1}}$ xabar-bit bilan birga b Bobga

Esingizda bo'lsin: ushbu misolda Elis bittasini tanlaydi b va imzolaydi. U buni har bir xabar uchun qilishi kerak

Tasdiqlash jarayoni

Gottesman-Chuang sxemasidan foydalangan holda tasdiqlash misoli. Faqat bitta chegara hisobga olinadi

Bob endi egalik qiladi

Xabar biti b
Tegishli shaxsiy kalitlar ${ displaystyle k_ {0} { text {or}} k_ {1}}$
Barcha ochiq kalitlar ${ displaystyle {| f_ {k_ {0}} rangle, | f_ {k_ {1}} rangle }}$

Endi Bob hisoblab chiqadi ${ displaystyle | f_ {k_ {b}} rangle}$ olingan barcha shaxsiy kalitlar uchun (ham ${ displaystyle k_ {0} { text {or}} k_ {1}}$ ).

U buni amalga oshirgandan so'ng, u svop-testdan foydalanib, hisoblangan holatlarni qabul qilingan ochiq kalitlar bilan taqqoslaydi va svop-testda noto'g'ri javob berish ehtimoli bor, chunki u buni hamma uchun bajarishi kerak. M kalitlarni va qancha noto'g'ri tugmachalarni olganligini hisoblaydi r. Bu aniq M xavfsizlik parametrlarining bir turi. Kattaroq uchun biroz noto'g'ri tasdiqlash ehtimoldan yiroq M.

Agar u faqat bir nechta noto'g'ri tugmachalarni olgan bo'lsa, unda bit, ehtimol, to'g'ri bo'lishi mumkin, chunki uning hisoblangan kalitlari va ochiq kalitlari bir xil ko'rinadi.
Agar u ko'plab noto'g'ri kalitlarga ega bo'lsa, unda kimdir xabarni katta ehtimol bilan soxtalashtirgan.

Xabarni boshqacha tasdiqlashdan saqlaning

Ayniqsa, kichkintoylar uchun paydo bo'lgan bitta muammo M turli xil qabul qiluvchilar o'lchaydigan noto'g'ri kalitlarning soni ehtimollik bilan farq qiladi. Shunday qilib, faqat bitta eshikni aniqlash etarli emas, chunki bu noto'g'ri tugmachalar soni bo'lganida, xabar boshqacha tekshirilishiga olib keladi r belgilangan chegaraga juda yaqin.

Buning oldini olish uchun bir nechta chegaralarni belgilash mumkin, chunki xatolar soni M ga mutanosib ravishda ko'payadi, eshiklar quyidagicha aniqlanadi

Qabul qilish

{ displaystyle T_ {a} = c_ {1} M}

Rad etish

{ displaystyle T_ {r} = c_ {2} M}

Agar noto'g'ri tugmachalar soni bo'lsa r quyida ${ displaystyle T_ {a}}$ , keyin bit katta ehtimollik bilan amal qiladi
Agar noto'g'ri tugmachalar soni bo'lsa r yuqorida ${ displaystyle T_ {r}}$ , keyin bit katta ehtimollik bilan soxtalashtirilgan
Agar noto'g'ri tugmachalar soni bo'lsa r har ikkala chegara oralig'ida bo'lsa, u holda qabul qiluvchiga ishonch hosil bo'lmaydi, agar bitni tasdiqlashda boshqa qabul qiluvchining natijasi shu bo'lsa. Bundan tashqari, u xabarni to'g'ri tasdiqlaganiga ishonch hosil qila olmaydi.

^[1]

Agar biz shovqinsiz mukammal kanallarni qabul qilsak, shuning uchun uzatish tufayli bitni o'zgartirib bo'lmaydigan bo'lsa, u holda chegara ${ displaystyle T_ {a}}$ nolga o'rnatilishi mumkin, chunki taqqoslash holatlari bir xil bo'lganda, almashtirish testi har doim o'tadi

Xabarni tasdiqlash

Xabarlarni autentifikatsiya qilish kodlari (MAC) asosan ma'lumotlarning kelib chiqishini tasdiqlashga qaratilgan, ammo ular ishonchli uchinchi tomon ishtirok etganda ma'lum realistik stsenariylarda rad etilmasligi mumkin. Printsipial jihatdan, xuddi shu g'oyani kvant MAClari doirasida ishlatish mumkin. Biroq, kvant MAC-larining keng klassi klassik analoglariga nisbatan hech qanday ustunlik bermaydi. ^[5]

Shuningdek qarang

Lamport imzosi - 1970-yillarda ixtiro qilingan va hatto kvant hisoblash hujumlariga qarshi xavfsiz deb hisoblangan amaliy raqamli imzo usuli.
Kvant kriptografiyasi
Kvant barmoq izlari

Adabiyotlar

^ ^a ^b ^v ^d ^e Daniel Gottesman, Isaak L. Chuang. Kvant raqamli imzolar, arXiv: quant-ph / 0105032 v2, (2001 yil 15-noyabr)
^ Sin Lü, Deng-Guo Fen. Kvantli bir tomonlama funktsiyalarga asoslangan kvant raqamli imzo, arxiv: quant-ph / 04030462 v2, (2004 yil 24-iyun)
^ Maykl A. Nilsen, Isaak L. Chuang. Kvant hisoblashi va kvant haqida ma'lumot 1-chi Ed., Kembrij universiteti matbuoti, s.531-536
^ Maykl A. Nilsen, Isaak L. Chuang. Kvant hisoblashi va kvant haqida ma'lumot 1-chi Ed., Kembrij universiteti matbuoti, s.532
^ Nikolopulos, Georgios M.; Fislin, Mark (2020). "Ma'lumotlarning nazariy jihatdan xavfsizligini kvantli va klassik manbalar yordamida tasdiqlash". Kriptografiya. 4 (4): 31. doi:10.3390 / kriptografiya 4040031.

[Chuang-1] v ^d ^e Daniel Gottesman, Isaak L. Chuang. Kvant raqamli imzolar, arXiv: quant-ph / 0105032 v2, (2001 yil 15-noyabr)

[Feng-2] Sin Lü, Deng-Guo Fen. Kvantli bir tomonlama funktsiyalarga asoslangan kvant raqamli imzo, arxiv: quant-ph / 04030462 v2, (2004 yil 24-iyun)

[Holevo-3] Maykl A. Nilsen, Isaak L. Chuang. Kvant hisoblashi va kvant haqida ma'lumot 1-chi Ed., Kembrij universiteti matbuoti, s.531-536

[Cloning-4] Maykl A. Nilsen, Isaak L. Chuang. Kvant hisoblashi va kvant haqida ma'lumot 1-chi Ed., Kembrij universiteti matbuoti, s.532

[5] Nikolopulos, Georgios M.; Fislin, Mark (2020). "Ma'lumotlarning nazariy jihatdan xavfsizligini kvantli va klassik manbalar yordamida tasdiqlash". Kriptografiya. 4 (4): 31. doi:10.3390 / kriptografiya 4040031.

[1]

[2]

[3]

[4]

[5]