[論文レビュー] Single-Round Proofs of Quantumness from Knowledge Assumptions
本稿では、標準的な知識仮定(特に指数の知識仮定および格子点の知識仮定)に基づく、初めてのシングルラウンド量子性証明を提示する。これにより、中間回路測定を必要とせず、近い将来の量子デバイスの認証が効率的に行える。著者らは、DDHおよびLWEに基づくマルチラウンドプロトコルをシングルラウンド版に変換し、完全性1および健全性3/4を達成した。量子回路のサイズは、既存のマルチラウンドプロトコルと同等の小ささである。
A proof of quantumness is an efficiently verifiable interactive test that an efficient quantum computer can pass, but all efficient classical computers cannot (under some cryptographic assumption). Such protocols play a crucial role in the certification of quantum devices. Existing single-round protocols (like asking the quantum computer to factor a large number) require large quantum circuits, whereas multi-round ones use smaller circuits but require experimentally challenging mid-circuit measurements. As such, current proofs of quantumness are out of reach for near-term devices. In this work, we construct efficient single-round proofs of quantumness based on existing knowledge assumptions. While knowledge assumptions have not been previously considered in this context, we show that they provide a natural basis for separating classical and quantum computation. Specifically, we show that multi-round protocols based on Decisional Diffie-Hellman (DDH) or Learning With Errors (LWE) can be "compiled" into single-round protocols using a knowledge-of-exponent assumption or knowledge-of-lattice-point assumption, respectively. We also prove an adaptive hardcore-bit statement for a family of claw-free functions based on DDH, which might be of independent interest. Previous approaches to constructing single-round protocols relied on the random oracle model and thus incurred the overhead associated with instantiating the oracle with a cryptographic hash function. In contrast, our protocols have the same resource requirements as their multi-round counterparts without necessitating mid-circuit measurements, making them, arguably, the most efficient single-round proofs of quantumness to date. Our work also helps in understanding the interplay between black-box/white-box reductions and cryptographic assumptions in the design of proofs of quantumness.
研究の動機と目的
- 近い将来の量子デバイスで実装可能な、効率的なシングルラウンド量子性証明を設計すること。
- インタラクティブな量子性証明において中間回路測定を排除すること。これは実験的に困難な要因である。
- Lk-𝜖および指数の知識といった知識仮定が、古典的計算と量子計算を分離する基盤として機能できることを示すこと。
- ハッシュ関数のインスタンス化に伴う追加の暗号的オーバーヘッドを伴う、ランダムオракルモデルに依存する既存のシングルラウンドプロトコルの代替として、より効率的な選択肢を提供すること。
提案手法
- 著者らは、LWE問題およびLk-𝜖仮定を用いて、GLWEおよびFLWEをコアコンponentsとして用いる、e2NTCF(抽出可能な両側非インタラクティブクラウフリー族)を構築する。
- 彼らは、LK-1/4仮定の下でGLWE族が抽出可能性を満たすことを証明し、これにより任意の成功した古典的攻撃者は事前に画像の知識を持つ必要があることを保証する。
- プロトコルは、FLWEおよびGLWEの単射不変族性を活用し、近い格子点から一意に事前画像を回復できることを保証する。
- 特定の格子構造を持つ鍵を生成するためのトラップドア生成メカニズム(GENTRAP)を用い、知識仮定を適用可能にする。
- 検証者がチャレンジを発行し、証明者が1つの量子状態を応答することで、プロトコルがシングルラウンドの量子性証明に変換される。この応答は古典的に検証可能である。
- 健全性は、高い確率で成功する任意の古典的戦略が、知識仮定に反する必要があることにより確立される。これは、知識仮定が難しいと仮定されている。
実験結果
リサーチクエスチョン
- RQ1ランダムオラクルモデルに依存しないシングルラウンド量子性証明を構築可能か。これにより、ハッシュ関数のインスタンス化に伴うオーバーヘッドを回避できるか。
- RQ2Lk-𝜖や指数の知識といった知識仮定を用いて、効率的でシングルラウンドの量子性証明を構築可能か。
- RQ3マルチラウンドプロトコルと同等の量子回路サイズを維持しつつ、インタラクションを1ラウンドに削減可能か。
- RQ4知識仮定と従来の仮定(DDHやLWE)を比較した場合、量子性証明プロトコルにおけるセキュリティおよび効率性の観点で、どちらが優れているか。
主な発見
- 本稿では、LWEの難易度およびLk-1/4仮定に基づき、完全性1および健全性3/4のシングルラウンド量子性証明を構築した。
- プロトコルは、既存のマルチラウンドプロトコルと同等の小さな量子回路のみを必要とし、NISQデバイスに適している。
- 中間回路測定は実験的に困難であるため、代わりに知識仮定を用いることで、測定を要するインタラクティブチャレンジを回避した。
- 著者らは、LK-1/4仮定の下でGLWE族が抽出可能性を満たすことを証明し、安全な量子性証明を可能にした。
- DDHに基づくクラウフリー関数のための新しい適応的ハードコアビットに関する記述を証明した。これは暗号学的に独立した価値を持つ可能性がある。
- 知識仮定が、インタラクティブ証明システムにおいて古典的計算と量子計算を区別する自然で効率的な基盤を提供することを示した。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。