Quantum Anonymous Secret Sharing with Permutation Invariant Codes

✨

这是对下方论文的AI生成解释。它不是由作者撰写或认可的。如需技术准确性，请参阅原始论文。阅读完整免责声明

Each language version is independently generated for its own context, not a direct translation.

想象一下，你拥有制作世界上最美妙饼干的绝密配方。你不想让一个人独自掌握整个配方，因为如果这个人弄丢了它或被绑架，配方将永远消失。因此，你决定将配方分成若干份（称为“份额”），分发给不同的朋友。这就是秘密共享的基本理念：你需要特定数量的朋友重新聚首，才能复原完整的配方。

然而，旧有的做法存在一个问题：当你的朋友们聚在一起拼凑这些份额时，每个人都知道谁出席了。如果有坏人在监视，他们就能看到是“爱丽丝”和“鲍勃”复原了这个秘密。也许爱丽丝是一名吹哨人，或者鲍勃正试图在投票中保持匿名。他们需要一种分享秘密的方法，让任何人都无法知道是谁贡献了份额。

本文提出了一种名为量子匿名秘密共享的全新高科技方法。其工作原理分解为以下简单概念：

1. “置换不变”编码的魔力

将秘密配方想象成不是由单词组成的列表，而是一个特殊的、纠缠在一起的绳结。在这个新系统中，绳结的打结方式具有一个特殊属性：无论你先拉动哪一段绳子，结果都无关紧要。

从技术术语来说，作者使用了“置换不变”（Permutation-Invariant, PI）编码。想象你有一袋 10 颗弹珠，秘密隐藏在这些弹珠的总重量中，而不是任何特定的一颗弹珠里。如果你取出 3 颗弹珠进行检查，哪3 颗并不重要；只要数量足够，你就能推算出秘密。由于系统不关心份额的顺序或身份，负责解码秘密的人（“解码器”）无法分辨哪些朋友出席了。他们只知道：“好的，我有足够的份额来解开这个谜题。”

2. “幽灵信使”协议

为了确保没人知道是谁发送了秘密的份额，作者利用了一套基于量子物理的“幽灵信使”技巧（具体涉及 GHZ 态，这就像一群朋友手拉手围成一个圈）。

想象你在一个有 10 个人的房间里。你想给站在房间前面的人发送一条消息，但你不想让任何人知道是你发的。

技巧：房间里的每个人同时执行一个同步的舞蹈动作（一种量子操作）。
结果：消息到达了前方，但由于大家是共同起舞的，发送者的“足迹”被抹去了。解码器收到了消息，但这消息看起来像是来自一片可能性的云团，而非单个人发出的。即使是房间里的其他朋友也无法分辨是谁发送的。

3. 用新标尺测量“泄露”

作者还想知道：“如果坏人偷走了一些份额，他们实际上能了解到多少秘密？”

过去衡量这一点的做法，类似于对多种不同场景取平均值。但作者认为，坏人只有一次偷窃秘密的机会。因此，他们引入了一种名为条件最小熵（Conditional Min-Entropy）的新标尺。

可以这样理解：

旧标尺：“平均而言，如果你偷走 3 份份额，你会了解到 20% 的配方。”
新标尺（最小熵）：“如果你是世界上最聪明的窃贼，并且你偷走了 3 份份额，你能推算出的配方最佳可能百分比是多少？”

这个新标尺更为严格。它揭示了安全性的最坏情况。作者利用这把标尺测试了不同类型的“绳结”（编码），以观察哪些编码向那些没有足够份额解开整个谜题的窃贼泄露的信息最少。

4. 混合方法（“双重锁”）

本文还提出了一种“混合”方法。想象秘密是一个量子饼干配方，但你同时也为其添加了一个经典的“锁”（比如密码）。

你使用随机密码对量子配方进行混淆。
你将混淆后的配方和密码分别拆分成份额。
即使窃贼获得了一些配方份额，如果没有密码份额，配方看起来就像随机噪声。
这使得系统更加安全，实际上将量子秘密转化为了一种更难破解的经典秘密。

成果总结

匿名性：他们创建了一个系统，朋友们可以复原秘密，而没有任何人（甚至包括解码者）知道是谁参与了。
鲁棒性：与某些要求所有人都必须出席的旧方法不同，只要份额数量足够，即使有些朋友缺席，该系统也能运作。
更优的衡量：他们提供了一种新的、严格的方法，用于精确衡量如果窃贼偷走少量份额，会有多少信息泄露。

简而言之，这篇论文构建了一个“幽灵般”的保险库，你可以在其中取回秘密，而无人知晓是谁打开了门；同时，他们提供了一种更好的方法来衡量该保险库究竟有多安全。

Each language version is independently generated for its own context, not a direct translation.

以下是 Varin Sikand 和 Andrew Nemec 所著论文《基于置换不变码的量子匿名秘密共享》的详细技术总结。

1. 问题陈述

量子秘密共享（QSS）允许将秘密分发给多个参与方，使得只有授权的子集才能重构该秘密。然而，现有的 QSS 方案存在两个关键局限性：

缺乏发送者匿名性：虽然秘密本身受到保护，免受未授权方的侵害，但参与重构的参与者（股东）的身份往往会被暴露。在匿名投票或安全共识等应用中，参与者必须保持匿名，以防止胁迫或偏见。
脆弱性与僵化性：许多现有的量子匿名秘密共享（QASS）方案依赖于特定的纠缠态（如 GHZ 态或 W 态），要求所有股东参与才能进行重构。它们缺乏对缺失参与者（擦除）的鲁棒性，也无法处理仅需部分股东参与的阈值访问结构。
缺乏定量泄露指标：对于“斜坡”QSS 方案（其中中间份额集合会泄露部分信息），目前尚无标准化的单次测量指标来精确量化敌手持有特定数量份额时获得了多少信息。

2. 方法论

作者提出了一种新协议和一个新指标来解决这些问题。

A. 协议设计：基于置换不变（PI）码的匿名秘密共享

该解决方案的核心是将置换不变（PI）量子纠错（QEC）码与匿名传输协议相结合。

置换不变（PI）码：
- 这些码的码空间在物理量子比特重新排序下保持不变。
- 关键优势：解码过程仅取决于缺失份额的数量（擦除），而不取决于哪些特定份额缺失。这使得解码器能够在不知道参与股东身份的情况下重构秘密。
- 这实现了基于阈值的恢复（任意 $k$ 个份额，共 $n$ 个），而非要求全员共识（ $n$ 个份额，共 $n$ 个）。
匿名传输子协议：
- 为了在将份额传输给解码器时隐藏发送者身份，作者利用了 Christandl 和 Wehner [23] 提出的协议：
  - AE（匿名纠缠）：利用 $n$ 量子比特 GHZ 态，在发送者和接收者之间匿名地创建纠缠贝尔对。
  - ANONQ（匿名量子传输）：利用匿名贝尔对进行量子隐形传态，以在不暴露发送者身份的情况下发送量子比特。
  - 碰撞检测：确保同一时间只有一位股东进行传输，以防止干扰。
- 无痕迹性：该协议确保即使敌手获取了被污染玩家使用的随机性，也无法确定是谁发送了份额。
混合 QASS (HQASS)：
- 作者将协议扩展为混合方案，其中量子秘密被“提升”至经典安全性。通过对量子秘密应用随机泡利算符（ $X$ 和 $Z$ ），并将算符的选择编码为经典秘密，该方案确保敌手必须先破解经典秘密共享，才能获取关于量子秘密的任何信息。

B. 指标：用于信息泄露的条件最小熵

为了量化斜坡方案中的信息泄露，作者引入了量子条件最小熵（ $H_{min}$ ）。

原理：传统的度量（如量子互信息）是“平均情况”度量（需要状态的多个副本）。在单次场景（单个秘密实例）中，敌手的最佳恢复尝试更适合用条件最小熵来建模。
与 Knill-Laflamme 条件的联系：该指标源自第二个 Knill-Laflamme 条件。它衡量在应用最佳恢复通道后，恢复态与原始参考态之间的最大保真度。
稳定子码的计算：对于稳定子码，作者利用清洗引理推导出了闭式表达式（定理 III.1）：
$H_{min}(R|E) = \log |G_{M^c}| - k$
其中 $|G_{M^c}|$ 是可从敌手份额集的补集中被“清洗”（平凡化）的逻辑泡利算符的数量， $k$ 是逻辑量子比特的数量。这避免了求解一般优化问题的指数级复杂度。

3. 主要贡献

首个具有阈值访问的发送者匿名 QSS：本文提出了首个在支持阈值访问结构（使用 $k < n$ 个份额进行恢复）的同时实现发送者匿名性的 QSS 协议。先前的工作需要所有股东参与，限制了其实用性。
对擦除的鲁棒性：通过利用 PI 码，该方案在容忍缺失股东的同时，不会损害剩余参与者的匿名性。
新的泄露指标：将条件最小熵形式化为斜坡 QSS 方案中有效的、单次测量的信息泄露指标，并通过其与纠错条件的关系加以论证。
混合安全构造：一种结合量子和经典秘密共享以增强安全性的方法，确保量子秘密的安全性受限于经典秘密的安全性。

4. 结果

作者利用提出的 $H_{min}$ 指标评估了几种 PI 码（4、7、9、11 和 13 量子比特）。

4 量子比特码：
- 测试了三种不同的 4 量子比特 PI 码（Aydin 等人、Hagiwara & Nakayama、以及 Leung 等人）。
- 发现：所有三种码表现出相同的 $H_{min}$ 值。
- 泄露行为：
  - 持有 1 个份额：最大泄露（ $H_{min} = 1$ ，保真度 = 0.25）。
  - 持有 2 个份额：泄露一半信息（ $H_{min} = 0$ ，保真度 = 0.5）。
  - 持有 3 个及以上份额：完全恢复（ $H_{min} = -1$ ，保真度 = 1.0）。
- 使用这些码的混合 QASS (HQASS) 方案显示出 $k=3$ 的阈值，且无中间泄露，在混合情况下实际上充当了完美方案。
更大规模的码（7、9、11、13 量子比特）：
- 该研究比较了各种 PI 码（例如移位的 GNU 码、Kubischta/Teixeira 的码）。
- 观察：每个份额获得的信息量并非恒定。某些码表现出“平台期”，即增加一个份额不会带来新信息，而其他码则显示出渐进式泄露。
- 变异性：具有相同距离（ $d=3$ ）的不同 PI 码在中间份额集合上表现出不同的泄露特征，表明在斜坡方案中，码的选择对于优化安全性至关重要。

5. 意义与未来方向

实际应用：这项工作使得在参与者必须保持隐藏的场景（如匿名投票、敌对环境中的分布式共识）中实现安全、匿名的协作成为可能，同时允许灵活的参与（阈值）。
理论进展：它通过使用量子纠错（QEC）特性（置换不变性）来解决密码学匿名问题，弥合了量子纠错与密码学之间的鸿沟。
未来工作：
- 用更具抗噪性的替代方案（例如使用 W 态）取代依赖 GHZ 态的匿名协议。
- 研究专门设计用于最小化中间集合泄露的 PI 码（更平滑的斜坡）。
- 形式化斜坡 QSS 与近似 QSS 之间的联系。
- 开发更快的算法来计算更大规模码的 $H_{min}$ ，因为当前的半定规划方法呈指数级扩展。

总之，该论文为匿名量子秘密共享提供了一个稳健的框架，该框架既具有容错性（处理缺失份额），又具有可定量分析性（通过条件最小熵），显著推进了量子密码协议的状态。