Squeezed-state semi-device-independent quantum randomness generation

本文推导了在利用受信任的双比特纯态源和不受信任的双比特检测器进行半设备无关量子随机性生成时，经认证的渐近香农速率的闭式表达式，证明了将确定性极值点纳入正算符值测度（POVM）优化过程可以得出正确的下界，并将这一结果应用于分析挤压效应对挤压相干双相键移键控（BPSK）源的影响。

要点

以下是该论文的通俗易懂版解释，使用了日常类比。

大局观：制造真正的随机数

想象你正在经营一家赌场。你需要一台能生成真正随机数（比如掷骰子）的机器，以确保游戏的公平性。在量子世界中，我们使用光粒子（光子）来制造这些数字，因为与加了砝码的骰子不同，量子粒子在本质上是不可预测的。

然而，有一个问题：你信任这台机器吗？

• 完全信任： 你亲手制造了这台机器，检查了每一个螺丝，完全了解它的工作原理。（速度非常快，但如果你出了错，生成的数字就不是随机的）。
• 完全不信任： 你从陌生人那里买了一个“黑匣子”。你完全不知道里面有什么。（非常安全，但由于机器运行极其缓慢，在现实生活中根本没法用）。

这篇论文关注的是**“半设备无关”（Semi-Device-Independent）的中间地带。这就像是你信任放入蛋糕中的原料*（光源），但不信任烘焙蛋糕的*烤箱（探测器）。烤箱可能坏了，或者可能被黑客秘密操纵。我们的目标是证明，只要你了解原料，即使面对一个可疑的烤箱，做出来的蛋糕（随机数）依然是安全的。

问题所在：“完美的”数学公式错了

作者研究了一种使用挤压态光（squeezed light）（一种特殊的、通过“挤压”使某种特性变得更可预测、另一种特性变得更不确定的光状态）的特定量子随机数生成器。

他们发现，多年来科学家们在计算这类机器的安全性时，存在一个重大的错误。

• 旧方法： 科学家们使用了一个公式，该公式假设“烤箱”（探测器）只能做两件事：测量光，或者忽略光。他们忽略了第三种阴险的可能性：烤箱可以完全不看光，直接瞎猜答案。
• 错误之处： 由于忽略了这种“偷懒猜测”的选项，旧的数学模型认为机器比实际情况更安全。这就像是在计算破解银行金库有多难时，却忘记了小偷可以直接从没锁后门溜进去。
• 结果： 旧公式说你可以获得 0.25 比特 的随机性。而新的、正确的公式说你只能获得 0.06 比特。这是一个巨大的差异——就像你以为钱包里装满了钱，实际上只剩几枚硬币。

解决方案：一个新的“安全证书”

作者推导出了一个新的闭式公式（closed-form formula）（一个简洁、整齐的方程），该公式考虑了黑客可能采取的所有手段，包括“偷懒猜测”。

你可以把这个公式看作是一个通用的安全证书。

1. 输入： 你告诉公式两件事：
   • 两种光状态之间的相似程度（“重叠度”）。
   • 探测器出错的频率（“错误率”）。
2. 输出： 它会吐出你能提取到的保证随机量，无论探测器是如何被操纵的。

这是一个“无条件上界”，意味着它是在你所能声称拥有的随机性中，绝对可能的最高值。如果你的机器表现优于这个公式的预测，说明你在撒谎；如果与之一致，说明你是安全的。

挤压的权衡：“走钢丝”

论文随后将这个新公式应用于挤压态光。想象你在挤压一个气球。

• 挤压得越多，气球在一个方向上就会变得非常薄（使得两种光状态差异极大，容易区分）。
• 代价是： 虽然这让它们更容易被区分开，但也让黑客的“偷懒猜测”策略变得更加有效。

作者发现了一个权衡关系：

• 如果你过度挤压光以使状态变得鲜明，你实际上会损失认证的随机性，因为黑客可以更容易地利用这种设置进行攻击。
• 如果你挤压得太少，状态又太相似，机器就无法区分它们。

他们找到了一个“甜点位”（或者说是一个范围的边缘），在那里你可以获得最多的随机性。有趣的是，实现状态区分的“完美”挤压程度（这通常是物理学中的目标）反而是生成随机性的最差位置。

“黑客”模型

论文还明确了“黑客”（对手）的具体身份。

• 场景： 黑客控制着探测器，并且拥有一本秘密笔记本（经典侧信息），记录了探测器的行为。
• 极限： 论文证明，如果允许黑客持有“量子纯化”（一种神奇的量子笔记本，可以标记每一个结果），他们可以偷走所有的随机性，使保证的随机率降为零。
• 假设： 本文假设黑客的笔记本是经典的（仅仅是一张数字列表），而不是量子的。这是一个特定的、符合现实的假设，它使得数学计算得以成立。

总结

1. 我们修正了一个数学错误： 之前的计算忽略了一种“偷懒”的攻击策略，使得量子随机数生成器看起来比实际更安全。
2. 我们有了新规则： 一个新公式给出了真实的、最大可能的随机量，考虑了所有探测器可能进行的欺骗手段。
3. 挤压很微妙： 在这种特定的设置下，通过挤压光使其变得更鲜明反而会损害你的随机性保证。你必须仔细平衡两者。
4. 结论： 这是首次对这种特定类型的“挤压态”生成器进行如此高水平的安全分析，为构建此类设备提供了一个可靠的“安全证书”。

技术摘要

技术摘要：挤压态半设备无关量子随机数生成

问题陈述
本文研究了在半设备无关（semi-DI）框架下认证量子随机数的生成。在此设定中，用户拥有一个受信任的二元纯态源，但拥有一个不受信任的二元检测器。假设对手持有经典侧信息（隐藏变量 $\lambda$），该变量决定了检测器的行为。虽然全设备无关协议提供了更强的安全性，但由于需要无漏洞的贝尔不等式违背，其速率较低。相反，全受信任硬件虽然速度快，但缺乏针对不受信任组件的安全性。半设备无关协议通过依赖明确的物理假设（如维度限制或受信任的状态重叠）来弥补这一差距。

文献中识别出的一个特定空白是关于二元量子比特正算符值测量（POVM）的处理。以往关于该模型中认证香农速率的闭式解将优化限制在严格的投影测量上。作者认为这种限制是不充分的，因为二元量子比特 POVM 的凸集包含了两个秩亏损的极点：确定性 POVM $M_0 = 0$ 和 $M_0 = I$。忽略这些确定性分量会导致高估认证的随机性，特别是在参数空间的速率正值内部区域。

方法论
作者将渐近 i.i.d. 香农随机性的认证公式化为一个在作用于源态二维子空间的经典-$\lambda$ 二元 POVM 凸集上的线性规划（LP）问题。

1. 模型定义： 源准备状态 $|\psi_0\rangle$ 和 $|\psi_1\rangle$，具有受信任的 Gram 重叠 $\delta = \langle \psi_0 | \psi_1 \rangle$。检测器被建模为由索引为 $\lambda$ 的对抗持有变量所驱动的 POVM 混合 $\{M_{b|\lambda}\}$。观测到的对称误差概率为 $q$。
2. 扩展优化： 与以往工作不同，该优化包含了全集极点：秩一投影算符 $\Pi_\theta$ 以及确定性端点 $M_0=0$ 和 $M_0=I$。目标是最小化条件熵 $H_{cert}(\delta, q)$，同时满足匹配观测误差率的边缘约束。
3. 闭式解推导： 作者通过构建原问题解（一个显式的对抗策略）和对偶见证（一个界定熵的仿射函数），推导出了认证速率的闭式表达式 $H_{ext}^{Sh}(\delta, q)$。
4. 挤压态的应用： 该推导出的公式被应用于挤压相干二元相位移动键控（BPSK）源。重叠 $\delta$ 和误差概率 $q$ 被表示为位移振幅 $N$、挤压参数 $r$ 和检测效率 $\eta$ 的函数。

主要贡献

• 修正仅投影近似： 本文证明了将优化限制在投影测量会显著高估认证速率。例如，在 $\delta=0.5$ 且 $q=0.15$ 时，仅投影的公式得出 0.25 bits，而包含确定性分量的正确速率仅为 0.06 bits（修正了四倍）。
• 闭式速率表达式： 作者提供了一个关于认证渐近香农速率 $H_{ext}^{Sh}(\delta, q)$ 的无条件上界，该表达式在数值验证的对偶可行性区域内是紧致的。该表达式仅取决于受信任的重叠 $\delta$ 和观测误差 $q$。
• 对抗模型澄清： 本工作明确了侧信息是经典的。文中明确指出，如果允许对手持有检测器纯化寄存器（量子侧信息）来标记结果，则认证速率将降至零。
• 挤压权衡分析： 本文分析了挤压相干 BPSK 源，表明虽然挤压提高了状态可区分性（降低了 $\delta$），但它同时也可能降低认证的随机性。这产生了一种权衡，即旨在最大化可区分性的速率最小化挤压，往往是进行随机数生成的最差选择。

结果

• 理论界限： 推导出的闭式表达式被证明在整个可行区域内都是认证速率的上界。在对偶可行性区域 $R_{cert}$ 内，它成为精确的等式，该区域包含了文中讨论的所有工作点。
• 挤压态性能：
  • 对于固定的平均光子数 $\bar{n}$，认证速率并不在最大化状态可区分性的挤压水平 $r^*$ 处达到最大。相反，$r^*$ 会使认证速率最小化。
  • 当系统远离 $r^*$ 并向可行挤压范围的端点（即无挤压 $r=0$ 或位移振幅 $N \to 0$ 时的最大挤压）移动时，认证速率会增加。
  • 在有损机制下（$\eta=0.7$），挤压带来的收益减小，且根据约束条件的不同，无挤压基准往往能提供相当或更好的认证速率。
• 可行性区域： 本文基于 $\delta$ 定义了误差概率 $q$ 的强可行性区间。在速率正值的内部之外，认证速率降至零（平台期），这对应于对抗者可以使用零熵确定性策略来模拟观测统计量的分解情况。

意义与主张
作者声称，这项工作提供了首个在源通过 Gram 重叠受信任、检测器通过经典侧信息不受信任的信任模型下的半设备无关挤压态 QRNG 速率公式。其主要意义在于严谨地纳入了确定性 POVM 分量，这修正了以往对安全性的高估。本文将该结果定位为对使用挤压态的实际 QRNG 进行必要的完善，强调了优化状态可区分性并不等同于优化随机数生成。作者明确指出，该闭式表达式仅在数值验证的对偶可行性区域内作为认证速率保证，而在其他地方则是一个有效（但可能较松）的上界。