On Best-Possible One-Time Programs

Ursprüngliche Autoren: Aparna Gupte, Jiahui Liu, Luowen Qian, Justin Raizes, Bhaskar Roberts, Mark Zhandry

Veröffentlicht 2026-03-03

📖 6 Min. Lesezeit🧠 Tiefgang

Ursprüngliche Autoren: Aparna Gupte, Jiahui Liu, Luowen Qian, Justin Raizes, Bhaskar Roberts, Mark Zhandry

Originalarbeit lizenziert unter CC BY 4.0 (http://creativecommons.org/licenses/by/4.0/). ✨ Dies ist eine KI-generierte Erklärung des untenstehenden Papers. Sie wurde nicht von den Autoren verfasst oder gebilligt. Für technische Genauigkeit konsultieren Sie das Originalpaper. Vollständigen Haftungsausschluss lesen

Each language version is independently generated for its own context, not a direct translation.

Die Grundidee: Der „Einmal-Code"

Stell dir vor, du hast ein geheimes Rezept für den besten Kuchen der Welt. Du möchtest es jemandem geben, damit er ihn einmal backen kann. Aber du willst verhindern, dass er:

Das Rezept kopiert.
Den Kuchen zehnmal backt.
Das Rezept studiert, um zu verstehen, wie er funktioniert, ohne ihn zu backen.

In der klassischen Welt (mit normalen Computern) ist das unmöglich. Wenn du das Rezept auf Papier gibst, kann der Empfänger es fotokopieren. Deshalb brauchte man bisher spezielle Hardware-Chips, die sich selbst zerstören, sobald man sie benutzt.

Mit Quantencomputern (die nach den Gesetzen der Quantenphysik arbeiten) dachte man kurz, man könnte das besser machen. Quantenphysik verbietet das Kopieren von Informationen (das „No-Cloning-Theorem"). Also dachte man: „Super! Wir geben das Rezept als Quantenzustand. Wenn man es misst, zerstört man es."

Aber: Die Autoren dieser Arbeit zeigen, dass es auch mit Quantencomputern eine Falle gibt. Man kann das Rezept so „sanft" abtasten, dass man es trotzdem mehrmals nutzen kann, ohne es zu zerstören.

Teil 1: Die schlechte Nachricht (Warum es nicht perfekt geht)

Die Forscher fragen sich: Können wir einen universellen „Einmal-Compiler" bauen, der für jedes beliebige Programm die bestmögliche Sicherheit garantiert?

Die Antwort ist: Nein.

Die Metapher:
Stell dir vor, du hast zwei verschiedene Arten von Briefen:

Brief A: Enthält immer denselben Text, egal was du hineinschreibst (z. B. „Hallo").
Brief B: Enthält einen verschlüsselten Text, der sich ändert, je nachdem, was du hineinschreibst.

Ein „perfekter" Einmal-Compiler müsste für Brief A das Rezept so verpacken, dass man es sofort lesen kann (da es immer gleich ist). Für Brief B müsste er es so verpacken, dass man es nicht sofort lesen kann.

Das Problem: Ein Quanten-Computer kann nicht effizient unterscheiden, ob er Brief A oder Brief B vor sich hat, bevor er ihn öffnet. Wenn der Compiler versucht, beide sicher zu machen, gerät er in einen logischen Widerspruch. Er kann nicht gleichzeitig „so offen wie möglich" (für A) und „so verschlossen wie möglich" (für B) sein, ohne dass man merkt, welcher Brief es ist.

Fazit: Es gibt keinen universellen Zaubertrick, der für jedes Programm die absolute maximale Sicherheit bietet. Man muss Kompromisse eingehen.

Teil 2: Die gute Nachricht (Der „Testbare" Weg)

Da der perfekte Weg blockiert ist, fragen die Autoren: Gibt es einen Weg, der fast so gut ist, aber zumindest für eine bestimmte, sinnvolle Klasse von Programmen funktioniert?

Ja! Sie schlagen einen neuen Ansatz vor: „Testbare Einmal-Programme".

Die Metapher:
Stell dir vor, du gibst jemandem einen Quanten-Kuchen (das Programm). Damit er weiß, ob er noch intakt ist oder ob jemand schon hineingegriffen hat, bekommst du einen Spiegel (einen „Reflexions-Orakel").

Wenn der Kuchen noch frisch ist, spiegelt der Spiegel ihn perfekt.
Wenn jemand versucht, den Kuchen zu stehlen oder zu kopieren, verändert sich der Spiegel sofort.

Was bedeutet das?
Die Autoren zeigen, dass man Programme so verpacken kann, dass sie einen solchen „Selbsttest" enthalten. Wenn jemand versucht, das Programm mehr als einmal zu nutzen, wird der Test fehlschlagen.

Das ist der Schlüssel: Anstatt zu versuchen, alles zu verstecken, machen wir das Programm so, dass es sich selbst überwacht. Wenn es manipuliert wird, weiß man es sofort.

Teil 3: Die Lösung (Der „Einmal-Check")

Um diese „testbaren" Programme sicher zu machen, nutzen die Autoren ein Konzept namens „Single Effective Query" (SEQ).

Die Metapher:
Stell dir einen Automaten vor, der nur eine echte Antwort geben darf.

Wenn du ihn zum ersten Mal bedienst, gibt er dir den Kuchen.
Wenn du ihn ein zweites Mal bedienst, passiert etwas Magisches: Der Automat „resettet" sich selbst, aber nur, wenn du ihn genau so bedienst, wie er es erwartet. Wenn du versuchst, ihn zu täuschen oder zu manipulieren, spuckt er nichts aus oder gibt eine Fehlermeldung.

Die Autoren beweisen, dass man für alle diese „testbaren" Programme eine Sicherheit erreichen kann, die so stark ist wie nur möglich. Es ist, als würde man sagen: „Ich kann dir nicht garantieren, dass niemand jemals etwas über dein Programm lernt. Aber ich kann garantieren, dass er nichts lernt, solange er das Programm nicht kaputt macht oder den Selbsttest auslöst."

Teil 4: Der Ausweg für die Zukunft (Der „Zustands-Obfuskator")

Die Forscher gehen noch einen Schritt weiter. Sie fragen: Wie bauen wir das in der echten Welt (ohne spezielle Hardware oder magische Orakel)?

Sie schlagen eine neue Art von „Verschleierung" vor, die sie „Stateful Quantum iO" nennen.

Die Metapher:
Normalerweise ist ein Programm wie ein statisches Buch. Aber ein Quanten-Programm ist wie ein lebendiges Tier, das sich verändert, je öfter man es anfässt.

Ein normales Programm vergisst nichts.
Ein Quanten-Programm kann sich „müde" machen oder sein Verhalten ändern, nachdem es benutzt wurde.

Die neue Idee ist, das Programm so zu verschlüsseln, dass man nicht nur sieht, was es jetzt tut, sondern auch, wie es sich in der Zukunft verhalten wird, wenn man es wiederholt benutzt. Wenn zwei Programme sich über viele Versuche hinweg gleich verhalten, sind sie verschleiert. Wenn sie sich unterscheiden, sind sie sichtbar.

Dieser Ansatz ist vielversprechend, weil er die Lücke zwischen der theoretischen Unmöglichkeit und der praktischen Sicherheit schließt.

Zusammenfassung für den Alltag

Das Problem: Man wollte ein Programm, das man nur einmal benutzen kann und danach für immer verschwindet. Mit Quantencomputern dachte man, das sei leicht, aber es gibt eine Lücke: Man kann Programme „sanft" abtasten, um sie zu kopieren.
Die Erkenntnis: Es gibt keinen universellen „perfekten" Schutz für alle Programme.
Die Lösung: Man kann Programme so bauen, dass sie einen Selbsttest haben. Wenn jemand versucht, sie zu kopieren oder mehrmals zu nutzen, fällt der Test auf.
Die Zukunft: Mit einer neuen Art von „lebendiger" Verschlüsselung (die das Verhalten des Programms über die Zeit berücksichtigt) könnte man diese sicheren Einmal-Programme bald in der echten Welt bauen.

Kurz gesagt: Wir können nicht verhindern, dass jemand neugierig ist. Aber wir können Programme so bauen, dass Neugier sofort einen Alarm auslöst und das Programm unbrauchbar macht. Das ist der „bestmögliche" Schutz, den wir bekommen können.

Each language version is independently generated for its own context, not a direct translation.

1. Problemstellung

Einweg-Programme (One-Time Programs, OTPs) sind kryptographische Primitive, die es einem Benutzer erlauben, ein Programm genau einmal auf einem Eingabewert seiner Wahl auszuführen, ohne dabei weitere Informationen über das Programm zu erfahren. Das ideale Ziel ist es, die Implementierung des Programms so zu verbergen, dass die einzige gewonnene Information das Ergebnis der einmaligen Ausführung ist.

Herausforderung: Klassische OTPs erfordern Hardware-Annahmen (z. B. Hardware-Token). Selbst unter Verwendung von Quanteninformation bleiben deterministische Funktionen unmöglich zu schützen, da Angreifer durch „sanfte Messungen" (gentle measurements) das Programm mehrfach auswerten können, ohne den Zustand vollständig zu zerstören (Broadbent, Gutoski, Stebila 2013).
Aktueller Stand: Jüngste Arbeiten haben positive Ergebnisse für randomisierte Funktionen mit hoch-entropischen Ausgaben erzielt, jedoch ohne Hardware-Annahmen.
Die zentrale Frage: Was ist die stärkste erreichbare Sicherheitsvorstellung für Quanten-OTPs? Gibt es einen generischen „best-möglichen" Compiler, der für jede Funktionalität die bestmögliche Sicherheit garantiert, ähnlich wie „best-mögliche Obfuskation" (Best-Possible Obfuscation) im klassischen Kontext?

2. Methodik und Technische Ansätze

Die Autoren untersuchen die Grenzen der OTP-Sicherheit durch eine Kombination aus Unmöglichkeitsbeweisen, neuen Sicherheitsdefinitionen und Konstruktionen in Orakel-Modellen.

A. Unmöglichkeit generischer „Best-Possible" Compiler

Die Autoren definieren einen „best-möglichen" OTP-Compiler analog zu Goldwasser und Rothblum (2007): Ein Compiler ist best-möglich, wenn er für jede Funktionalität $f$ ein Programm ausgibt, das so sicher ist wie jedes andere Programm, das $f$ implementiert (d. h., es gibt keinen Simulator, der mehr Informationen gewinnt als der Compiler).

Beweisstrategie: Sie identifizieren zwei Klassen von Funktionen, die computationally ununterscheidbar sind, aber für die ein best-möglicher Compiler fundamental unterschiedlich handeln müsste.
- Klasse D (Lossy): Nutzt einen „verlustbehafteten" (lossy) Verschlüsselungsschlüssel. Die Ausgabe ist statistisch unabhängig von der Eingabe (konstante Verteilung).
- Klasse E (Injective): Nutzt einen injektiven Verschlüsselungsschlüssel. Die Ausgabe hängt von der Eingabe ab und erzeugt Verschränkung zwischen Eingabe und Ausgabe.
Der Widerspruch: Ein best-möglicher Compiler müsste für Klasse D ein konstantes Programm ausgeben (da dies die stärkste Sicherheit bietet), für Klasse E jedoch ein injektives Programm. Da D und E jedoch ununterscheidbar sind, kann ein effizienter Compiler nicht zwischen beiden unterscheiden, führt aber zu einem Widerspruch, wenn man die Ausgabe auf einer Superposition testet (Kollaps der Superposition bei injektiven Funktionen vs. kein Kollaps bei konstanten).

B. Testbare Einweg-Programme (Testable OTPs)

Da generische best-mögliche Compiler unmöglich sind, führen die Autoren eine eingeschränkte Klasse ein: Testbare OTPs.

Definition: Ein OTP ist testbar, wenn seine Ausgabe ein reiner Quantenzustand $|\tilde{P}\rangle$ ist, der durch ein Reflexions-Orakel $R = I - 2|\tilde{P}\rangle\langle\tilde{P}|$ (oder eine äquivalente Reflexion) definiert ist.
Bedeutung: Dies schließt gemischte Zustände aus, die nur im Durchschnitt korrekt sind (was im Unmöglichkeitsbeweis ausgenutzt wurde). Testbarkeit stellt sicher, dass der Zustand des Programms wohldefiniert und überprüfbar ist.

C. Single Effective Query (SEQ) Sicherheit

Die Autoren generalisieren das Konzept der „Single Effective Query" (SEQ) Sicherheit (von Gupte et al. 2025) auf alle Quanten-Funktionalitäten (Kanäle).

Konzept: Ein SEQ-Orakel erlaubt eine einzige effektive Auswertung eines Kanals $\Phi$ . Wenn die Ausgabe „bedeutend" gestört wird (z. B. durch Messung), kann der Zustand nicht mehr in den Ausgangszustand zurückgeführt werden, und weitere Auswertungen werden blockiert oder sind effektiv unmöglich.
Formalisierung: Das Orakel verwendet eine selbstadjungierte Implementierung (self-adjoint implementation), die den Kanal $U_\Phi$ und dessen Inverse kontrolliert, wobei ein Flag-Register den Status der Auswertung speichert.

D. Stateful Quantum Indistinguishability Obfuscation (Stateful iO)

Um OTPs im „Plain Model" (ohne Orakel) zu konstruieren, führen sie Stateful Quantum iO ein.

Unterschied zu klassischem iO: Bei Quantenprogrammen kann sich der interne Zustand durch Auswertungen ändern (z. B. durch nicht-schonende Messungen). Zwei Programme sind nur dann äquivalent, wenn sie über eine Sequenz von Abfragen hinweg die gleiche Ausgabeverteilung liefern, nicht nur bei einer einzelnen Abfrage.
Ziel: Dies umgeht die Unmöglichkeit von idealer Obfuskation, da es keine Selbstreferenz-Attacken zulässt, die auf der Einmaligkeit basieren.

3. Wichtige Ergebnisse

Unmöglichkeit generischer best-möglicher OTPs:
- Es existiert kein generischer best-möglicher OTP-Compiler, selbst für klassische randomisierte Funktionen.
- Dies gilt unter der Annahme, dass verlustbehaftete Verschlüsselungsschemata (Lossy Encryption) existieren (z. B. basierend auf LWE oder schwachen pseudorandomen Gruppenaktionen).
- Der Beweis zeigt, dass die Anforderung, dass der Compiler für alle Implementierungen (inkl. gemischter Zustände) best-möglich sein muss, zu einem Widerspruch führt.
Erreichbarkeit best-möglicher Sicherheit für testbare OTPs:
- Für die Klasse der testbaren OTPs ist best-mögliche Sicherheit erreichbar.
- Satz: Jeder SEQ-sichere OTP-Compiler ist auch best-möglich unter allen testbaren Compilern.
- Dies bedeutet, dass SEQ-Sicherheit die „Obergrenze" (Ceiling) für die Sicherheit darstellt, die man für testbare Programme im Plain-Modell erwarten kann.
Konstruktionen im Orakel-Modell:
- Die Autoren konstruieren SEQ-sichere OTPs für alle Quanten-Funktionalitäten im klassischen Orakel-Modell.
- Dies ist das erste positive Ergebnis für beliebige Quantenkanäle ohne Hardware-Annahmen.
Stateful Quantum iO als Lösung für das Plain-Modell:
- Die Autoren zeigen, dass Stateful Quantum iO ausreicht, um best-mögliche testbare OTPs im Plain-Modell zu konstruieren.
- Sie beweisen, dass Stateful Quantum iO im klassischen Orakel-Modell existiert (unter Verwendung von Quanten-Authentifizierungsschemata und idealer Unitäts-Obfuskation).
- Dies identifiziert Stateful Quantum iO als den vielversprechendsten Weg, um best-mögliche testbare OTPs im Plain-Modell zu realisieren.

4. Signifikanz und Implikationen

Fundamentale Grenzen: Das Paper klärt die theoretischen Grenzen von Einweg-Programmen. Es zeigt, dass das naive Ideal eines „best-möglichen" Compilers für alle Programme (inkl. gemischter Zustände) unmöglich ist.
Neue Sicherheitsparadigmen: Die Einführung von testbaren OTPs und SEQ-Sicherheit bietet einen praktikablen und starken Sicherheitsrahmen. SEQ-Sicherheit fungiert als das Quanten-Äquivalent zur „Virtual Black-Box" (VBB) Sicherheit im Mehrfach-Zugriffs-Kontext, aber angepasst an die Einmaligkeit.
Verbindung zu iO: Die Arbeit stellt eine tiefe Verbindung zwischen Einweg-Programmen und Indistinguishability Obfuscation (iO) her. Während generische best-mögliche OTPs unmöglich sind, sind sie äquivalent zu Stateful Quantum iO. Dies lenkt die Forschung auf die Konstruktion von Stateful iO als Schlüsseltechnologie.
Anwendbarkeit: Die Ergebnisse sind relevant für Software-Schutz, digitale Signaturen (One-Time Signatures) und allgemeine kryptographische Protokolle, bei denen die Einmaligkeit einer Berechnung kritisch ist.

Zusammenfassend liefert das Paper eine umfassende Analyse der Möglichkeiten und Grenzen von Quanten-Einweg-Programmen. Es widerlegt die Existenz eines universellen best-möglichen Compilers, definiert jedoch eine natürliche Teilmenge (testbare OTPs), für die best-mögliche Sicherheit erreichbar ist, und identifiziert Stateful Quantum iO als den notwendigen Baustein für eine Konstruktion im Plain-Modell.