A Modular Approach to Succinct Arguments for QMA

本文提出了首个针对 QMA 的简洁且可经典验证的论证系统，该系统通过引入一个结合了不经意状态准备与基于折叠哈希函数的广义通信压缩编译器的模块化框架，避免了对容错学习问题（LWE）假设的依赖。

要点

核心理念：“魔法盒子”问题

想象你拥有一个超级聪明、速度极快的量子计算机（我们称之为证明者 Prover）。而你只有一台普通的、运行缓慢的笔记本电脑（验证者 Verifier）。证明者声称：“我解出了这个极其困难的数学难题！”

问题在于，证明者的答案非常复杂，如果你尝试亲自去验证，可能需要花上一百万年。你需要一种方法，在不亲自进行繁重计算的情况下也能信任证明者。这被称为简洁论证（Succinct Argument）。它就像一张“魔法收据”，既能证明工作已正确完成，体积又极小，且只需一秒钟即可读完。

对于常规计算机（经典计算），我们很早就有了这些“魔法收据”。但对于量子计算机（处理 QMA 问题）来说，这一直是个难题。直到现在，制作这些收据的唯一方法是使用一种名为 LWE（带误差的学习问题） 的重型锁具。你可以把 LWE 想象成一个巨大且复杂的钢制保险库。它虽然有效，但非常笨重，而且我们只知道一种构建它的方式。

这篇论文说： “我们找到了一种使用更轻量、更灵活的工具来构建这些‘魔法收据’的新方法。我们不再需要那个巨大的钢制保险库了。”

---

两步构建法

作者通过一种“模块化方法”构建了他们的新系统。想象他们正在盖房子，他们并没有浇筑一个巨大的整体混凝土板，而是将其分为两个独立且可重复使用的步骤。

第一步：“轮次高效型”蓝图

首先，他们设计了一个协议，让证明者和验证者进行多次往返对话，但对话的次数被控制在较低且可预测的范围内（就像游戏中的固定回合数）。

• 旧方法： 以前的方法要求证明者进行大量的重体力劳动来证明其掌握了答案，通常依赖于那个沉重的“LWE 保险库”。
• 新方法： 作者使用了一种名为**不经意状态准备（Oblivious State Preparation, OSP）**的工具。
  • 类比： 想象验证者希望证明者准备一个特定的量子态（一个“爪态/claw state”），但不想让证明者知道这个状态究竟是哪一个。这就像是要求一位厨师烹饪一道秘密食谱，却不告诉他具体的食材是什么。OSP 允许验证者安全地发送这种“秘密指令”。
  • 这一步创建了一个工作的证明系统，但交换的消息仍然非常庞大（就像为了证明你读过一页书，却要寄送整座图书馆的书籍）。

第二步：“压缩机器”

这是本论文最大的创新。他们构建了一个“广义通信压缩编译器”。

• 问题： 在第一步中，消息太大了。如果证明者必须发送一份 100 页的文件来证明一个观点，验证者仍然需要阅读这 100 页。
• 解决方案： 他们创造了一台机器，可以将这些庞大的消息压缩成微小的、固定大小的数据包，且不会丢失证明的有效性。
• 类比： 想象你有一份 100 页的合同。你想证明你签署了它，但你不能把整张纸发过去。于是你使用一种特殊的“量子复印机”（基于塌缩哈希函数/Collapsing Hash Functions），将整份合同压缩成一个微小的指纹，并证明除非你真的拥有整份合同，否则无法伪造这个指纹。
• 魔法技巧： 这种压缩依赖于**量子刚性（Quantum Rigidity）**的概念。
  • 类比： 想象一只水母。如果你戳它一个地方，整个水母都会以可预测的方式摆动。如果证明者试图作弊，这些“摆动”（量子态）将无法符合规则。验证者可以通过检查这些“摆动”来确保证明者是诚实的，即使此时的消息已经变得非常微小。

为什么这很重要（“无结构化”的优势）

这篇论文强调了我们看待安全性方式的一个重大转变：

1. 旧现实： 为了验证量子证明，我们必须使用“LWE 保险库”。它是唯一能匹配那把锁的钥匙。
2. 新现实： 本论文表明，我们可以使用 OSP 和 塌缩哈希函数 来代替。
   • 隐喻： 如果说 LWE 是一个巨大的、定制的钢制保险库，那么新工具就像是高科技的密码锁和指纹扫描仪。它们是“无结构的”，这意味着它们更灵活，不依赖于某一个特定的、僵化的数学假设。

最终结果

通过结合这两个步骤，作者创建了第一个不依赖于 LWE 硬度、且具备经典可验证性的 QMA 简洁论证。

• 简洁（Succinct）： 证明非常小（仅几 KB）。
• 经典可验证（Classically-Verifiable）： 你不需要量子计算机来检查证明；你的普通笔记本电脑就可以完成。
• 模块化（Modular）： 他们并没有发明新的物理定律；他们只是将现有的工具（OSP 和哈希函数）以一种巧妙的方式组合在一起。

一句话总结

作者通过将“秘密指令”工具与“消息压缩器”巧妙地拼接在一起，构建了一种更轻量化的“魔法收据”系统，用于验证量子计算，从而证明了我们并不需要依赖沉重的、特定的“LWE 保险库”来实现量子验证。

技术摘要

技术摘要：一种用于 QMA 的模块化简洁论证方法

1. 问题陈述

简洁论证系统（Succinct argument systems）允许验证者以显著低于执行计算本身所需的时间复杂度来检查计算主张的有效性。在经典设定下，Kilian (STOC '92) 证明了任何针对 NP 的概率可检验证明（PCP）都可以仅使用碰撞抵抗哈希函数（无结构假设）编译成简洁论证系统。

在量子设定下，目标是构建针对 QMA（量子 Merlin-Arthur）的简洁且可由经典验证的论证，QMA 捕捉了需要量子证明的陈述。虽然近期的研究已经确立了此类系统的可行性，但它们高度依赖于学习误差问题（LWE）这一结构化硬度假设。这与经典设定形成对比，在经典设定中，无结构假设即可满足需求。此外，目前尚不知道直接的量子版 Kilian 编译器，因为量子 PCP 的存在仍是一个开放问题，其基本属性（如不可克隆性）表明它们可能并不存在。

本研究解决的核心问题是：我们能否在不依赖 LWE 特定硬度的前提下，为 QMA 构建简洁且可由经典验证的论证，从而使量子验证的密码学基础更加多样化？

2. 方法论

作者提出了一个模块化的两步框架，以在较弱的假设下实现简洁性。

第一步：轮数高效的经典验证

第一步涉及设计一个针对 QMA 的可由经典验证的论证系统，该系统在轮数复杂度（poly($\lambda$) 轮）方面是高效的，但在通信大小方面不一定具有简洁性。

• 方法： 作者改编了“编译非局部博弈”（Compiled non-local games）范式（具体为 KLVY 编译器）。他们利用了一个具有常数完备性-可靠性间隙（基于 [MNZ24] 中简化协议的版本）的双证明者非局部博弈。
• 关键修改： 与以往需要基于 LWE 的量子全同态加密（QFHE）或特定 TCF 属性的实例化不同，该协议依赖于隐式状态准备（Oblivious State Preparation, OSP）。OSP 允许经典客户端将量子计算（具体为非局部博弈中的“Alice”操作）委托给量子服务器，而无需泄露输入。
• 结果： 这产生了一个 poly($\lambda$) 轮的协议，其中每轮的通信量可能很大（取决于见证大小），但轮数与见证大小无关。

第二步：广义通信压缩

第二步将轮数高效协议的通信压缩为简洁格式（poly($\lambda$) 总比特）。

• 技术： 作者引入了一个广义通信压缩编译器。该编译器可以将任何 $T$ 轮交互协议转换为总通信量被限制在 $T \cdot \text{poly}(\lambda)$ 以内的协议，无论原始消息的大小如何。
• 机制：
  1. 承诺式安全函数采样（Committed Secure Function Sampling, SFS）： 编译器将验证者的消息替换为“承诺式 SFS”协议。验证者对其随机种子进行承诺，证明者对其消息进行承诺。随后通过安全函数求值进行交互，证明者在承诺的输入上计算验证者的下一个消息函数。
  2. 量子刚性（Quantum Rigidity）： 压缩的核心依赖于量子刚性技术（扩展自 [Zhang23]）。验证者向证明者发送一个“爪态”（Claw state，即两个原像的叠加态）。证明者在该叠加态上计算一个函数，并通过“刚性”检查（计算基和 Hadamard 基测试）来确保诚实行为。
  3. 经典验证： 为了恢复经典可验证性，作者使用基于 OSP 的经典协议取代了爪态的量子传输。他们证明了 OSP 蕴含了针对爪态的可验证状态准备（VSP），从而使验证者保持完全经典。
• 假设： 这一步依赖于塌缩哈希函数（Collapsing Hash Functions）（碰撞抵抗的量子类比）和 OSP。

3. 核心贡献

1. 新的 QMA 密码学基础： 本文提出了第一个不依赖于 LWE 硬度的、针对 QMA 的简洁且可由经典验证的论证系统。它转而依赖于：

   • 隐式状态准备 (OSP)： 可由普通的陷门无碰撞函数（TCF）构建，而 TCF 有基于 LWE、密码学群作用以及格同构问题的实例化。
   • 塌缩哈希函数： 一种标准的“无结构”假设，在量子随机预言机模型（QROM）及各种计算设置下均成立。

2. 广义通信压缩编译器： 作者开发了一个通用的编译器，可以将任何量子交互协议（在经典验证者与量子证明者之间）的通信复杂度降低到关于安全参数的固定多项式。该编译器扩展了 Zhang [Zhang23] 的工作，以处理承诺输入，其本身也具有独立的学术价值。

3. 基于 OSP 的轮数高效协议： 他们构建了一个仅使用 OSP 的、针对 QMA 的 poly($\lambda$)-轮可由经典验证的协议，避免了先前常数轮协议所需的自适应硬核比特属性或基于 LWE 的 QFHE。

4. 简洁量子采样： 作为副产品，这些技术被扩展到为量子采样问题提供简洁的经典验证，建立了此前从任何假设中都无法得出的结果。

4. 结果

• 定理 1（主要结果）： 假设 OSP 和塌缩哈希函数成立，则存在一个针对 QMA 的可由经典验证的论证系统，其具有：

  • 通信大小：$\text{poly}(\lambda)$。
  • 验证者复杂度：$|x| \cdot \text{poly}(\lambda)$，其中 $|x|$ 是实例大小。
  • 可靠性：忽略不计（通过顺序重复实现）。

• 定理 2（采样）： 假设 LWE 成立，则存在一个针对量子采样的简洁经典论证，其可靠性为反多项式级。（注：虽然这一特定结果假设了 LWE，但它展示了压缩技术的通用性）。

• 技术引理：

  • 证明了 OSP 蕴含了针对 BB84 态以及随后针对爪态的可验证状态准备（VSP）（定理 14）。
  • 证明了当广义 KLVY 编译器使用基于 OSP 的盲委托实例化时，会产生一个具有常数可靠性间隙的轮数高效协议（定理 54）。

5. 意义与主张

本文声称显著拓宽了简洁量子论证的密码学图景。通过将 QMA 的简洁性与 LWE 解耦，这项工作使量子验证可用的密码学硬度来源更加多样化。

• 模块化： 该方法将轮数效率（由 OSP 和非局部博弈处理）与通信简洁性（由压缩编译器和塌缩函数处理）分离开来。这种模块化允许在不重新设计整个系统的条件下，对其中任一组件进行潜在的改进。
• 无结构假设： 在压缩步骤中对塌缩哈希函数（一种无结构假设）的依赖，使量子设定更接近经典设定——在经典设定中，已知可以仅从无结构假设中获得针对 NP 的简洁论证。
• 独立性： 广义通信压缩编译器被呈现为一个具有独立价值的工具，能够压缩任何量子交互协议，而不仅仅是针对 QMA 的协议。

作者保持了谦逊的语气，承认虽然他们使假设更加多样化，但该构造仍然依赖于 OSP（目前其有基于 LWE 的实例化，但也存在其他实例化）和塌缩函数。他们并非声称消除了所有结构化假设，而是成功证明了，只要 OSP 和塌缩函数可用，LWE 对于构建简洁 QMA 论证而言并非严格必要。