Quantum Anonymous Secret Sharing with Permutation Invariant Codes

Dit artikel stelt een protocol voor voor kwantume anonieme geheime deling dat afzender-anonimiteit bereikt door permutatie-invariante kwantumfoutcorrigerende codes te combineren met anonieme transmissie-algoritmen, terwijl het ook informatielekage in trapsgewijze schema's kwantificeert met behulp van kwantume voorwaardelijke min-entropie om de beveiliging van tussenliggende aandeel te evalueren.

De kern

Stel je voor dat je een topgeheime recept hebt voor 's werelds beste koekje. Je wilt niet dat één persoon het hele recept in bezit heeft, want als die het kwijtraakt of wordt ontvoerd, is het recept voor altijd verloren. Dus besluit je het recept op te delen in meerdere stukken (aandelen) en die aan verschillende vrienden te geven. Dit is het basisidee van Geheime Deling: je hebt een specifiek aantal vrienden nodig die weer bij elkaar komen om het volledige recept te reconstrueren.

Er is echter een probleem met de oude manier om dit te doen: wanneer je vrienden bijeenkomen om de stukken weer samen te voegen, weet iedereen wie er verschenen is. Als een boef toekijkt, kan hij zien dat "Alice" en "Bob" degenen waren die het geheim hebben gereconstrueerd. Misschien is Alice een klokkenluider, of probeert Bob anoniem te blijven bij een stemming. Ze hebben een manier nodig om het geheim te delen zonder dat iemand weet wie de stukken heeft bijgedragen.

Dit artikel stelt een nieuwe, high-tech manier voor om dit te doen, genaamd Quantum Anonieme Geheime Deling. Hieronder wordt uitgelegd hoe dit werkt, opgesplitst in eenvoudige concepten:

1. De magie van "Permutatie-invariante" codes

Stel je het geheime recept niet voor als een lijst met woorden, maar als een speciale, verwarde knoop van touw. In dit nieuwe systeem heeft de manier waarop de knoop is gebonden een speciale eigenschap: het maakt niet uit welk stuk touw je eerst trekt.

In technische termen gebruiken de auteurs "Permutatie-invariante" (PI) codes. Stel je een zak met 10 knikkers voor, en het geheim is verborgen in het totale gewicht van de knikkers, niet in een specifieke knikker. Als je 3 knikkers uitneemt om te controleren, maakt het niet uit welke 3 je hebt genomen; zolang je er genoeg hebt, kun je het geheim achterhalen. Omdat het systeem niet om de volgorde of identiteit van de stukken geeft, kan de persoon die het geheim decodeert (de "Decoder") niet vertellen welke vrienden verschenen zijn. Ze weten alleen: "Oké, ik heb genoeg stukken om de puzzel op te lossen."

2. Het "Geestbode"-protocol

Om ervoor te zorgen dat niemand weet wie een stuk van het geheim stuurt, gebruiken de auteurs een reeks "Geestbode"-trucs gebaseerd op kwantumfysica (specifiek iets dat GHZ-toestanden wordt genoemd, wat vergelijkbaar is met een groep vrienden die in een cirkel elkaars handen vasthouden).

Stel je voor dat je in een kamer bent met 10 mensen. Je wilt een bericht sturen naar de persoon aan de voorkant van de kamer, maar je wilt niet dat iemand weet dat het jij was.

• De truc: Iedereen in de kamer voert tegelijkertijd een gesynchroniseerde dansbeweging uit (een kwantumoperatie).
• Het resultaat: Het bericht komt aan bij de voorkant, maar omdat iedereen samen heeft gedanst, zijn de "voetafdrukken" van de afzender gewist. De Decoder ontvangt het bericht, maar het lijkt alsof het uit een wolk van mogelijkheden komt in plaats van van één persoon. Zelfs de andere vrienden in de kamer kunnen niet vertellen wie het heeft gestuurd.

3. Het meten van de "lek" met een nieuwe liniaal

De auteurs wilden ook weten: "Als een boef enkele stukken steelt, hoeveel van het geheim leren ze dan eigenlijk?"

Oude manieren om dit te meten waren als het nemen van een gemiddelde van vele verschillende scenario's. Maar de auteurs betogen dat een boef maar één kans krijgt om het geheim te stelen. Dus introduceerden ze een nieuwe meetlat genaamd Conditionele Min-Entropie.

Stel het je zo voor:

• Oude liniaal: "Gemiddeld leer je 20% van het recept als je 3 stukken steelt."
• Nieuwe liniaal (Min-Entropie): "Als je de slimste dief ter wereld bent en je steelt 3 stukken, wat is het best mogelijke percentage van het recept dat je dan kunt achterhalen?"

Deze nieuwe liniaal is strenger. Hij geeft het worst-case scenario voor veiligheid aan. De auteurs gebruikten deze liniaal om verschillende soorten "knoesten" (codes) te testen om te zien welke het minst informatie lekken aan dieven die niet genoeg stukken hebben om de hele puzzel op te lossen.

4. De hybride aanpak (De "dubbele vergrendeling")

Het artikel stelt ook een "hybride" methode voor. Stel je voor dat het geheim een quantum-koekjesrecept is, maar je voegt er ook een klassieke "vergrendeling" (zoals een wachtwoord) aan toe.

• Je versleutelt het quantum-recept met een willekeurig wachtwoord.
• Je splitst het versleutelde recept en het wachtwoord op in aandelen.
• Zelfs als een dief enkele stukken van het recept krijgt, ziet het recept er zonder de wachtwoordstukken uit als willekeurige ruis.
• Dit maakt het systeem nog veiliger en zet het quantum-geheim effectief om in een klassiek geheim dat moeilijker te kraken is.

Samenvatting van wat ze hebben bereikt

• Anonimiteit: Ze hebben een systeem gecreëerd waarbij vrienden een geheim kunnen herstellen zonder dat iemand (niet eens de persoon die het decodeert) weet wie er heeft deelgenomen.
• Robuustheid: In tegenstelling tot sommige eerdere methoden waarbij iedereen moest verschijnen, werkt dit systeem zelfs als sommige vrienden ontbreken, zolang er maar genoeg stukken aanwezig zijn.
• Betere meting: Ze hebben een nieuwe, strenge manier geboden om exact te meten hoeveel informatie er lekt als een dief enkele stukken steelt.

Kortom, dit artikel bouwt een "spookachtige" kluis waar je een geheim kunt ophalen zonder dat iemand weet wie de deur heeft geopend, en ze hebben ons een betere manier gegeven om te meten hoe veilig die kluis echt is.

Technische samenvatting

1. Probleemstelling

Quantum Secret Sharing (QSS) staat toe dat een geheim wordt verdeeld over meerdere partijen, zodat alleen geautoriseerde deelverzamelingen het kunnen reconstrueren. Echter, bestaande QSS-schema's hebben twee kritieke beperkingen:

• Gebrek aan afzenderanonymiteit: Hoewel het geheim beschermd is tegen niet-geautoriseerde partijen, worden de identiteiten van de deelnemers (aandeelhouders) die bijdragen aan de reconstructie vaak blootgelegd. In toepassingen zoals anoniem stemmen of beveiligde consensus moeten deelnemers anoniem blijven om dwang of bevooroordeeldheid te voorkomen.
• Fragiliteit en rigiditeit: Veel bestaande Quantum Anonymous Secret Sharing (QASS)-schema's vertrouwen op specifieke verstrengelde toestanden (zoals GHZ- of W-toestanden) die vereisen dat alle aandeelhouders deelnemen voor reconstructie. Ze missen robuustheid tegen ontbrekende deelnemers (wisfouten) en kunnen geen drempelgebaseerde toegangsstructuren hanteren waarbij slechts een deelverzameling van aandeelhouders nodig is.
• Gebrek aan kwantitatieve lekmetrieken: Voor "ramp"-QSS-schema's (waarbij tussenvolgende verzamelingen van aandelen gedeeltelijke informatie lekken), bestaat er geen gestandaardiseerde, single-shot metriek om exact te kwantificeren hoeveel informatie een adversary verkijgt door het bezit van een specifiek aantal aandelen.

2. Methodologie

De auteurs stellen een nieuw protocol en een nieuwe metriek voor om deze problemen aan te pakken.

A. Protocolontwerp: Anonieme Secret Sharing met PI-codes

De kern van de oplossing bestaat uit het combineren van Permutatie-invariante (PI) Quantum Error-Correcting (QEC)-codes met protocollen voor anonieme transmissie.

1. Permutatie-invariante (PI)-codes:

   • Deze codes hebben een codespace die invariant is onder het herschikken van fysieke qubits.
   • Belangrijk voordeel: Het decodeerproces hangt alleen af van het aantal ontbrekende aandelen (wisfouten), niet van welke specifieke aandelen ontbreken. Dit stelt de decoder in staat het geheim te reconstrueren zonder de identiteiten van de deelnemende aandeelhouders te kennen.
   • Dit maakt drempelgebaseerde herstel mogelijk (elke $k$ van de $n$ aandelen) in plaats van volledige consensus te vereisen ($n$ van de $n$).

2. Sub-protocollen voor anonieme transmissie:

   • Om de identiteit van de afzender te verbergen tijdens de transmissie van aandelen naar de decoder, maken de auteurs gebruik van protocollen van Christandl en Wehner [23]:
     • AE (Anonieme Verstrengeling): Creëert een verstrengeld Bell-paar tussen een afzender en ontvanger anoniem met behulp van een $n$-qubit GHZ-toestand.
     • ANONQ (Anonieme Quantum Transmissie): Gebruikt quantum teleportatie over het anonieme Bell-paar om een qubit te sturen zonder de identiteit van de afzender te onthullen.
     • Botsingsdetectie: Zorgt ervoor dat slechts één aandeelhouder tegelijkertijd transmits om interferentie te voorkomen.
   • Spoorloosheid: Het protocol garandeert dat zelfs als een adversary toegang krijgt tot de randomiteit die door gecorrumpeerde spelers wordt gebruikt, ze niet kunnen bepalen wie de aandelen heeft verzonden.

3. Hybride QASS (HQASS):

   • De auteurs breiden het protocol uit tot een hybride schema waarbij een quantumgeheim wordt "opgetild" naar klassieke beveiliging. Door het toepassen van willekeurige Pauli-operatoren ($X$ en $Z$) op het quantumgeheim en het coderen van de keuze van operatoren als klassieke geheimen, zorgt het schema ervoor dat een adversary eerst het klassieke secret sharing moet doorbreken om iets te leren over het quantumgeheim.

B. Metriek: Conditionele Min-Entropie voor Informatielek

Om informatielekken in ramp-schema's te kwantificeren, introduceren de auteurs Quantum Conditionele Min-Entropie ($H_{min}$).

• Redenering: Traditionele maatstaven zoals Quantum Mutual Information zijn "average-case"-maatstaven (waarvoor veel kopieën van een toestand nodig zijn). In een single-shot scenario (één instantie van een geheim) wordt de beste poging van een adversary tot herstel beter gemodelleerd door de Conditionele Min-Entropie.
• Verband met Knill-Laflamme: De metriek is afgeleid van de tweede Knill-Laflamme-conditie. Het meet de maximale fideliteit tussen de gereconstrueerde toestand en de oorspronkelijke referentietoestand nadat een optimale recovery-kanaal is toegepast.
• Berekening voor Stabilizer-codes: Voor stabilizer-codes leiden de auteurs een gesloten uitdrukking af (Stelling III.1) met behulp van het Cleaning Lemma:
  $$H_{min}(R|E) = \log |G_{M^c}| - k$$
  Waar $|G_{M^c}|$ het aantal logische Pauli-operatoren is die kunnen worden "gereinigd" (trivialiseerd) vanuit het complement van de aandelenverzameling van de adversary, en $k$ het aantal logische qubits is. Dit vermijdt de exponentiële complexiteit van het oplossen van het algemene optimalisatieprobleem.

3. Belangrijkste Bijdragen

1. Eerste afzender-anonieme QSS met drempeltoegang: Het artikel presenteert het eerste QSS-protocol dat afzenderanonymiteit bereikt terwijl het drempelgebaseerde toegangsstructuren ondersteunt (herstel met $k < n$ aandelen). Vorige werken vereisten dat alle aandeelhouders deelnamen, wat hun bruikbaarheid beperkte.
2. Robuustheid tegen wisfouten: Door gebruik te maken van PI-codes, tolereert het schema ontbrekende aandeelhouders zonder de anonimiteit van de overige deelnemers te compromitteren.
3. Nieuwe lekmetriek: De formalisering van Conditionele Min-Entropie als een geldige, single-shot maatstaf voor informatielekken in ramp-QSS-schema's, gerechtvaardigd door de relatie met foutcorrectiecondities.
4. Hybride beveiligingsconstructie: Een methode om quantum- en klassiek secret sharing te combineren om de beveiliging te versterken, waarbij de beveiliging van het quantumgeheim wordt begrensd door de beveiliging van het klassieke geheim.

4. Resultaten

De auteurs evalueerden verschillende PI-codes (4, 7, 9, 11 en 13 qubits) met behulp van de voorgestelde $H_{min}$-metriek.

• 4-qubit codes:

  • Drie verschillende 4-qubit PI-codes (Aydin et al., Hagiwara & Nakayama, en Leung et al.) werden getest.
  • Vinding: Alle drie de codes vertoonden identieke $H_{min}$-waarden.
  • Lekgedrag:
    • Met 1 aandeel: Maximale lekking ($H_{min} = 1$, Fideliteit = 0,25).
    • Met 2 aandelen: Halve informatie gelekt ($H_{min} = 0$, Fideliteit = 0,5).
    • Met 3+ aandelen: Volledig herstel ($H_{min} = -1$, Fideliteit = 1,0).
  • Het Hybride QASS (HQASS)-schema met deze codes toonde een drempel van $k=3$ zonder tussentijds lekken, wat effectief fungeerde als een perfect schema voor het hybride geval.

• Grotere codes (7, 9, 11, 13 qubits):

  • De studie vergeleek verschillende PI-codes (bijv. verschoven GNU-codes, codes van Kubischta/Teixeira).
  • Observatie: De hoeveelheid informatie die per aandeel wordt verkregen, is niet constant. Sommige codes vertonen "plateaus" waar het toevoegen van een aandeel geen nieuwe informatie oplevert, terwijl andere geleidelijk lekken tonen.
  • Variabiliteit: Verschillende PI-codes met dezelfde afstand ($d=3$) vertonen verschillende lekprofielen voor tussenvolgende aandelenverzamelingen, wat suggereert dat codekeuze cruciaal is voor het optimaliseren van beveiliging in ramp-schema's.

5. Betekenis en Toekomstige Richtingen

• Praktische toepassing: Dit werk maakt veilige, anonieme samenwerking mogelijk in scenario's waar deelnemers verborgen moeten blijven (bijv. anoniem stemmen, gedistribueerde consensus in vijandige omgevingen), terwijl het flexibele deelname (drempels) toelaat.
• Theoretische vooruitgang: Het overbrugt de kloof tussen Quantum Error Correction (QEC) en Cryptografie door QEC-eigenschappen (permutatie-invariantie) te gebruiken om cryptografische anonimiteitsproblemen op te lossen.
• Toekomstig werk:
  • Het vervangen van GHZ-toestand-afhankelijke anonieme protocollen door meer ruisbestendige alternatieven (bijv. met behulp van W-toestanden).
  • Het onderzoeken van PI-codes die specifiek zijn ontworpen om lekken in tussenvolgende verzamelingen te minimaliseren (gladdere ramping).
  • Het formaliseren van de connectie tussen ramp-QSS en benaderend QSS.
  • Het ontwikkelen van snellere algoritmen om $H_{min}$ te berekenen voor grotere codes, aangezien de huidige semi-definiete programmeringsbenadering exponentieel schaalt.

Samenvattend biedt het artikel een robuust raamwerk voor anonieme quantum secret sharing dat zowel fouttolerant is (het hanteren van ontbrekende aandelen) als kwantitatief analyseerbaar (via conditionele min-entropie), wat een aanzienlijke doorbraak betekent voor de staat van quantumcryptografische protocollen.