到目前为止,我们对量子信息的研究主要集中在与经典信息论中考虑的相差不远的资源上。为方便起见,图 12-10 从量子和经典这两个方面总结了许多相关结果。量子计算和量子信息的一大亮点是量子力学也包含了根本上的新型资源,这些资源非常不同于经典信息论中传统意义上的资源类型。或许其中最为人所熟知的就是量子纠缠,也是我们转而讨论的资源。
我们说"最为人所熟知",却并非关于纠缠了解很多!我们甚至离拥有通用量子纠缠理论还有很长一段距离。不过,人们还是在通往通用量子纠缠理论的路上取得了一些比较可喜的进展,包括揭示了纠缠态的一种有趣的结构,以及在有噪声量子信道和纠缠变换类之间建立了非常明显的联系等。我们只是快速浏览已知内容,重点关注两系统("两体"纠缠),比如 Alice 和 Bob,之间的纠缠变换特性。当然我们对发展一个能用于多体系统的通用量子纠缠理论也有极大的兴趣,但是目前还不知道该如何去做这件事情。
图 12-10 一些重要的经典信息关联及这些关联的量子类似版本总结
我们将从下面的简单问题开始研究:已知 Alice 和 Bob 共享一对纠缠纯态 $|\psi\rangle$ ,并且他们可以在各自系统上执行任意操作和测量,但相互之间只能经典通信,那么他们可以将 $|\psi\rangle$ 变换为什么类型的纠缠 $|\varphi\rangle$ 呢?不允许 Alice 和 Bob 之间进行任何的量子通信,这必然限制了他们能得到的纠缠种类。
作为例子,想象 Alice 和 Bob 共享纠缠对,且处于贝尔态 $(|00\rangle+|11\rangle) / \sqrt{2}$ 。Alice 执行由测
量算子 $M_{1}, M_{2}$ 描述的两结果测量,即
$$ M_{1}=\left[\begin{array}{cc} \cos \theta & 0 \tag{12.154}\\ 0 & \sin \theta \end{array}\right] ; M_{2}=\left[\begin{array}{cc} \sin \theta & 0 \\ 0 & \cos \theta \end{array}\right] $$
测量后的状态或者是 $\cos \theta|00\rangle+\sin \theta|11\rangle$ ,或者是 $\cos \theta|11\rangle+\sin \theta|00\rangle$ ,这取决于测量结果是 1 还是2。在后一种情况中,Alice 在测量后执行 NOT 门,便会得到 $\cos \theta|01\rangle+\sin \theta|10\rangle$ 。之后她把测量结果(1或2)发给 Bob,如果测量结果是 1,Bob 什么都不做;如果测量结果是 $2, \mathrm{Bob}$ 执行非门。因此,不管 Alice 得到的测量结果是什么,联合系统的末态都将是 $\cos \theta|00\rangle+\sin \theta|11\rangle$ 。也就是说,Alice 和 Bob 利用在各自系统上的本地操作和经典通信,将初始纠缠资源 $(|00\rangle+|11\rangle) / \sqrt{2}$变换到了 $\cos \theta|00\rangle+\sin \theta|11\rangle$ 。
纠缠变换这一问题的重要性可能并不是很明显。当只允许执行本地操作和经典通信(LOCC)时,我们对这类转换问题有着一定的内在兴趣,但也并不是先验地知道这确实是一个有趣的问题。然而事实证明这类纠缠变换问题的推广展示出了和量子纠错之间很深且料想之外的联系。另外,在解决这类问题中引入的各项技术也非常有趣,并且给纠缠特性的研究提供了不同寻常的思路。特别地,我们将发掘纠缠和优超理论,早于量子力学的一个数学领域,之间的紧密关系。
在跳转到纠缯变换理论的研究之前,我们需要首先熟悉优超理论中的几个相关事实。优超是指对 $d$ 维实向量进行排序以期得到一个向量或多或少地区别于另一个向量。更精确地,假设 $x=\left(x_{1}, x_{2}, \cdots, x_{d}\right), y=\left(y_{1}, y_{2}, \cdots, y_{d}\right)$ 是两个 $d$ 维向量,我们用 $x^{\downarrow}$ 表示对 $x$ 重新进行降序排序,即 $x_{1}^{\downarrow}$ 是 $x$ 中最大的元素。若对任意的 $k=1, \cdots, d-1$ 都有 $\sum_{j=1}^{k} x_{j}^{\downarrow} \leqslant \sum_{j=1}^{k} y_{j}^{\downarrow}$ 成立且当 $k=d$ 时取等号,则称 $x$ 优超于 $y$ ,记为 $x \prec y$ 。下面将很快清楚地给出该定义对于排序的作用。
优超和纠缠变换之间的联系可以很容易给出。假设 $|\psi\rangle,|\varphi\rangle$ 是 Alice-Bob 联合系统上的状态,定义 $\rho_{\psi} \equiv \operatorname{tr}_{B}(|\psi\rangle\langle\psi|), \rho_{\varphi} \equiv \operatorname{tr}_{B}(|\varphi\rangle\langle\varphi|)$ 分别是对应在 Alice 系统上的约化密度矩阵,$\lambda_{\psi}, \lambda_{\varphi}$分别是 $\rho_{\psi}, \rho_{\varphi}$ 的特征值构成的向量。下面将说明 $|\psi\rangle$ 可以通过 LOCC 转化为 $|\varphi\rangle$ 的充要条件是 $\lambda_{\psi} \prec \lambda_{\varphi}$ !为了说明这个充要条件,我们将首先举几个优超理论的简单事实。
习题 12.17 证明 $x \prec y$ 当且仅当对任意实数 $t, \sum_{j=1}^{d} \max \left(x_{j}-t, 0\right) \leqslant \sum_{j=1}^{d} \max \left(y_{j}-t, 0\right)$ 且 $\sum_{j=1}^{d} x_{j}=\sum_{j=1}^{d} y_{j}$ 。 习题 12.18 利用上一题证明能使得 $x \prec y$ 成立的 $x$ 构成的集合是凸的。 下面的命题指出:$x \prec y$ 的充要条件是 $x$ 可以写成 $y$ 的置换的一个凸组合,这赋予优超这个概念一个更为直观的含义。因此,当 $x$ 比 $y$ 更无序,也就是说 $x$ 可以由置换 $y$ 的元素并混合结果向量得到,那么 $x \prec y$ 。 命题12.11 $x \prec y$ 当且仅当 $x=\sum_{j} p_{j} P_{j} y$ ,其中 $p_{j}$ 表示某个概率分布,$P_{j}$ 是置换矩阵。 证明 假设 $x \prec y$ ,不失一般性我们可以令 $x=x^{\downarrow}, y=y^{\downarrow}$ 。下面将利用对维数 $d$ 做归纳来证明 $x=\sum_{j} p_{j} P_{j} y_{0}$ 当 $d=1$ 时,结果显然成立。假设 $x, y$ 是 $d+1$ 维向量并使得 $x \prec y$ ,那么 $x_{1} \leqslant y_{1}$ 。选择 $j$ 使得 $y_{j} \leqslant x_{1} \leqslant y_{j}-1$ ,定义 $t \in[0,1]$ 并使得 $x_{1}=t y_{1}+(1-t) y_{j}$ 。另外定义置换的凸组
合为 $D \equiv t I+(1-t) T$ ,其中 $T$ 为置换矩阵,它可以将第 1 个和第 $j$ 个矩阵元素交换。于是
$$ \begin{equation*} D_{y}=\left(x_{1}, y_{2}, \cdots, y_{j-1},(1-t) y_{1}+t y_{j}, y_{j+1}, \cdots, y_{d+1}\right) \tag{12.155} \end{equation*} $$
定义 $x^{\prime} \equiv\left(x_{2}, \cdots, x_{d+1}\right), y^{\prime} \equiv\left(y_{2}, \cdots, y_{j-1},(1-t) y_{1}+t y_{j}, y_{j+1}, \cdots, y_{d+1}\right)$ 。在习题 12.19 中将证明 $x^{\prime} \prec y^{\prime}$ ,所以由归纳假设,即对概率 $p_{j}^{\prime}$ 和置换矩阵 $P_{j}^{\prime}$ 都有 $x^{\prime}=\sum_{j} p_{j}^{\prime} P_{j}^{\prime} y^{\prime}$ 成立,可以得到 $x=\left(\sum_{j} p_{j}^{\prime} P_{j}^{\prime}\right) D y$ ,其中 $P_{j}^{\prime}$ 通过平凡作用在第一个元素上来作用在 $d+1$ 维上。因为 $D=(t I+(1-t) T)$ ,并且置换矩阵的乘积还是置换矩阵,所以可以得到如下结果。 习题 12.19 验证 $x^{\prime} \prec y^{\prime}$ 。 相反地,假设 $x=\sum_{j} p_{j} P_{j} y$ ,显然 $P_{j} y \prec y$ ,再由习题 12.18 可得 $x=\sum_{j} p_{j} P_{j} y \prec y$ 。
置换矩阵的凸组合生成的矩阵有很多有趣的性质。比如,这些矩阵的元素一定非负,每一行每一列的和是 1 。有这些性质的矩阵被称为双随机矩阵,并且有一个称为伯克霍夫定理的结果指出:双随机矩阵刚好对应置换矩阵的凸组合。我们在这里不会去证明伯克霍夫定理(详见章末的 "背景资料与延伸阅读"),但是会把这个定理列出来,如下:
定理12.12(伯克霍夫定理)一个 $d \times d$ 矩阵是双随机的(即有非负元素并且每行每列的和为 1 )当且仅当 $D$ 可以写成置换矩阵的凸组合,即 $D=\sum_{j} p_{j} P_{j}$ 。
由伯克霍夫定理和命题 12.11 可得 $x \prec y$ 当且仅当 $x=D y$ ,其中 $D$ 是某个双随机矩阵。这个结果可以帮助我们证明一个惊艳且有用的命题 12.11 提到的算子推广。假设 $H$ 和 $K$ 是两个厄米算子,如果 $\lambda(H) \prec \lambda(K)$ ,那么 $H \prec K$ ,其中 $\lambda(H)$ 是指厄米算子 $H$ 特征值构成的向量。于是可以得到如下定理: 定理 12.13 令 $H, K$ 均为厄米算子,那么 $H \prec K$ 的充要条件是存在一个概率分布 $p_{j}$ 和西矩阵 $U_{j}$ 使得下式成立,即
$$ \begin{equation*} H=\sum_{j} p_{j} U_{j} K U_{j}^{\dagger} \tag{12.156} \end{equation*} $$
证明 假设 $H \prec K$ ,那么由命题 12.11 可得 $\lambda(H)=\sum_{j} p_{j} P_{j} \lambda(K)$ 。令 $\Lambda(H)$ 标记对角矩阵,其对角元素对应 $H$ 的特征值。于是向量方程 $\lambda(H)=\sum_{j} p_{j} P_{j} \lambda(K)$ 便可以重写为
$$ \begin{equation*} \Lambda(H)=\sum_{j} p_{j} P_{j} \Lambda(K) P_{j}^{\dagger} \tag{12.157} \end{equation*} $$
但是对西矩阵 $V, W$ ,均有 $H=V \Lambda(H) V^{\dagger}, \Lambda(K)=W K W^{\dagger}$ 成立,这就意味着 $H=\sum_{j} p_{j} U_{j} K U_{j}^{\dagger}$ ,其中 $U_{j} \equiv V P_{j} W$ 是西矩阵,从而完成了正向证明。
相反地,假设 $H=\sum_{j} p_{j} U_{j} K U_{j}^{\dagger}$ 。跟之前类似,这等价于 $\Lambda(H)=\sum_{j} p_{j} V_{j} \Lambda(K) V_{j}^{\dagger}$ ,其中 $V_{j}$ 是西矩阵。将 $V_{j}$ 的元素写成 $V_{j, k l}$ ,则有
$$ \begin{equation*} \lambda(H)_{k}=\sum_{j, l} p_{j} V_{j, k l} \lambda(K)_{l} V_{j, l k}^{\dagger}=\sum_{j, l} p_{j}\left|V_{j, k l}\right|^{2} \lambda(K)_{l} \tag{12.158} \end{equation*} $$
定义矩阵 $D$ 的元素为 $D_{k l} \equiv \sum_{j} p_{j}\left|V_{j, k l}\right|^{2}$ ,那么 $\lambda(H)=D \lambda(K)$ 。由定义可得矩阵 $D$ 的元素非负,并且每行每列的和均为 1 ,这是因为西矩阵 $V_{j}$ 的每行每列都是单位向量,所以 $D$ 是双随机矩阵且 $\lambda(H) \prec \lambda(K)$ 。
到现在为止,我们已经具备了研究两体纯态纠缠的 LOCC 转化过程中所需的所有关于优超理论的事实。研究的第一步就是要将问题从包含双向经典通信的一般协议的研究简化到只包含单向经典通信的协议上。
命题12.14 假设 $|\psi\rangle$ 可以通过 LOCC 转化为 $|\varphi\rangle$ ,那么这一转化可以由一个包含以下两步的协议来实现:Alice 执行一个由测量算子 $M_{j}$ 描述的本地测量,并把测量结果 $j$ 发送给 Bob,Bob 再在自己的系统上执行一个西操作 $U_{j}$ 。
证明 不失一般性,假设这个协议包含:Alice 执行一个测量,并将测量结果发送给 Bob,Bob 再执行一个测量(该测量的选取依赖于 Alice 的测量结果),并将测量结果返回给 Alice;之后 Alice 再根据这个结果执行相应的测量……以此类推执行下去。证明的思路是要说明 Bob 所做的任意测量都可以由 Alice 模拟(可能会有小警告),所以事实上,Bob 的任意行为都可以由 Alice 的相应行为来代替!为了说明这个情况,假设 Bob 执行测量算子为 $M_{j}$ 的测量作用在纯态 $|\psi\rangle$ 上,并且该纯态的施密特分解形式为 $|\psi\rangle=\sum_{l} \sqrt{\lambda_{l}}\left|l_{A}\right\rangle\left|l_{B}\right\rangle$ ,另外定义作用在 Alice 上的算子 $N_{j}$ 在 Alice施密特基下的矩阵分解形式与作用在 Bob 上的算子 $M_{j}$ 的矩阵分解形式一致。也就是说,如果 $M_{j}=\sum_{k l} M_{j, k l}\left|k_{B}\right\rangle\left\langle l_{B}\right|$ ,那么可以定义
$$ \begin{equation*} N_{j} \equiv \sum_{k, l} M_{j, k l}\left|k_{A}\right\rangle\left\langle l_{A}\right| \tag{12.159} \end{equation*} $$
假设 Bob 执行测量算子为 $M_{j}$ 的测量,那么测量后状态为 $\left|\psi_{j}\right\rangle \propto M_{j}|\psi\rangle=\sum_{k l} M_{j, k l} \sqrt{\lambda_{l}}\left|l_{A}\right\rangle\left|k_{B}\right\rangle$ ,其概率为 $\sum_{k l} \lambda_{l}\left|M_{j, k l}\right|^{2}$ 。另一方面,如果 Alice 执行测量 $N_{j}$ ,那么测量后状态为 $\left|\varphi_{j}\right\rangle \propto N_{j}|\psi\rangle=$ $\sum_{k l} M_{j, k l} \sqrt{\lambda_{l}}\left|k_{A}\right\rangle\left|l_{B}\right\rangle$ ,概率同样为 $\sum_{k l} \lambda_{l}\left|M_{j, k l}\right|^{2}$ 。更进一步,注意到在不考虑 Alice 和 Bob 之间通过映射 $\left|k_{A}\right\rangle \rightarrow\left|k_{B}\right\rangle$ 实现的相互作用的情况下,$\left|\psi_{j}\right\rangle$ 和 $\left|\varphi_{j}\right\rangle$ 是同一个状态,因此这两个状态必然有相同的施密特分解形式。由习题 2.80 可知:存在 Alice 系统上的西矩阵 $U_{j}$ 和 Bob 系统上的西矩阵 $V_{j}$ 使得 $\left|\psi_{j}\right\rangle=\left(U_{j} \otimes V_{j}\right)\left|\varphi_{j}\right\rangle$ 。因此,Bob 执行一个由测量算子 $M_{j}$ 描述的测量,等价于 Alice 在 Bob 作用西变换 $V_{j}$ 之后执行一个由测量算子 $U_{j} N_{j}$ 描述的测量。总之,不考虑 Bob 所做酉变换的情况下,Bob 对已知纯态所做的测量可以由 Alice 的对应测量来模拟。
假设 Alice 和 Bob 执行一个多轮协议来实现 $|\psi\rangle$ 到 $|\varphi\rangle$ 的转化。不失一般性,我们可以先假设第一轮协议包含 Alice 执行测量并且将测量结果发送给 Bob。第二轮包含 Bob 执行测量(测量
类型可能由第一轮的测量结果决定)并将测量结果发送给 Alice。然而,Bob 执行的这个测量可以由 Alice 的相应测量及 Bob 的一个酉变换来代替。事实上,在不考虑 Bob 根据 Alice 的测量结果所做的酉变换的情况下,我们可以替换掉 Bob 执行的所有测量及 Bob 到 Alice 的经典通信。最终,由 Alice 执行的所有测量就可以组合成单个测量(见习题 2.57 ),该测量结果决定了 Bob 执行的西变换;这个协议的网络效应恰好是原双向通信协议的效果。
定理 12.15 两体纯态 $|\psi\rangle$ 能通过 LOCC 转化到另一个纯态 $|\varphi\rangle$ 当且仅当 $\lambda_{\psi} \prec \lambda_{\varphi}$ 。
证明 假设 $|\psi\rangle$ 可以通过 LOCC 转化到 $|\varphi\rangle$ 。由命题 12.14 ,我们可以先假定这个转化过程是:Alice先执行测量算子为 $M_{j}$ 的测量,并将测量结果发送给 Bob,Bob 再执行一个西变换 $U_{j}$ 。从 Alice的角度来看,在不考虑测量结果的情况下,她开始于状态 $\rho_{\psi}$ 终止于状态 $\rho_{\varphi}$ ,从而可得
$$ \begin{equation*} M_{j} \rho_{\psi} M_{j}^{\dagger}=p_{j} \rho_{\varphi} \tag{12.160} \end{equation*} $$
其中 $p_{j}$ 是结果 $j$ 的概率。极式分解 $M_{j} \sqrt{\rho_{\psi}}$ 是指存在西矩阵 $V_{j}$ 使得
$$ \begin{equation*} M_{j} \sqrt{\rho_{\psi}}=\sqrt{M_{j} \rho_{\psi} M_{j}^{\dagger}} V_{j}=\sqrt{p_{j} \rho_{\varphi}} V_{j} \tag{12.161} \end{equation*} $$
在等式两边乘以各自的伴随算子,可得
$$ \begin{equation*} \sqrt{\rho_{\psi}} M_{j}^{\dagger} M_{j} \sqrt{\rho_{\psi}}=p_{j} V_{j}^{\dagger} \rho_{\varphi} V_{j} \tag{12.162} \end{equation*} $$
对 $j$ 求和并利用完备性关系,即 $\sum_{j} M_{j}^{\dagger} M_{j}=I$ ,可得
$$ \begin{equation*} \rho_{\psi}=\sum_{j} p_{j} V_{j}^{\dagger} \rho_{\psi} V_{j}, \tag{12.163} \end{equation*} $$
由定理 12.13 可知 $\lambda_{\psi} \prec \lambda_{\varphi}$ 。 另一个方向的证明基本上是把前面的证明倒推一遍。假设 $\lambda_{\psi} \prec \lambda_{\varphi}$ ,即有 $\rho_{\psi} \prec \rho_{\varphi}$ ,并且由定理 12.13 存在概率 $p_{j}$ 和酉算子 $U_{j}$ 使得 $\rho_{\psi}=\sum_{j} p_{j} U_{j} \rho_{\varphi} U_{j}^{\dagger}$ 。现在可以假设 $\rho_{\psi}$ 可逆(这个假设可以很容易丢掉;见习题 12.20 ),定义 Alice 系统上的算子 $M_{j}$ 为
$$ \begin{equation*} M_{j} \sqrt{\rho_{\psi}} \equiv \sqrt{p_{j} \rho_{\psi}} U_{j}^{\dagger} \tag{12.164} \end{equation*} $$
为了说明这些算子可以定义一个测量,我们需要检查完备性关系。由 $M_{j}=\sqrt{p_{j} \rho_{\varphi}} U_{j}^{\dagger} \rho_{\psi}^{-1 / 2}$ 可得
$$ \begin{equation*} \sum_{j} M_{j}^{\dagger} M_{j}=\rho_{\psi}^{-1 / 2}\left(\sum_{j} p_{j} U_{j} \rho_{\psi} U_{j}^{\dagger}\right) \rho_{\psi}^{-1 / 2}=\rho_{\psi}^{-1 / 2} \rho_{\psi} \rho_{\psi}^{-1 / 2}=I \tag{12.165} \end{equation*} $$
即完备性关系。假设 Alice 执行由算子 $M_{j}$ 描述的测量,结果 $j$ 对应的状态为 $|\psi\rangle \propto M_{j}|\psi\rangle$ 。令 $\rho_{j}$ 为 Alice 系统上对应状态 $\left|\psi_{j}\right\rangle$ 的约化密度矩阵,那么用式(12.164)代换后为
$$ \begin{equation*} \rho_{j} \propto M_{j} \rho_{\psi} M_{j}^{\dagger}=p_{j} \rho_{\psi} \tag{12.166} \end{equation*} $$
因此 $\rho_{j}=\rho_{\varphi}$ 。由习题 2.81 可知 Bob 利用合适的西变换 $V_{j}$ 便可以将 $\left|\psi_{j}\right\rangle$ 转化为 $|\varphi\rangle_{\circ}$ 。
习题12.20 证明上述关于 $\rho_{\psi}$ 可逆的假设可以从定理 12.15 的反向证明部分去除掉。 习题12.21(纠缠催化)假设Alice 和 Bob 共享一对四能级系统状态 $|\psi\rangle=\sqrt{0.4}|00\rangle+\sqrt{0.4}|11\rangle+$ $\sqrt{0.1}|22\rangle+\sqrt{0.1}|33\rangle$ ,证明通过 LOCC 不可能把该状态转化为状态 $|\varphi\rangle=\sqrt{0.5}|00\rangle+\sqrt{0.25}|11\rangle+$ $\sqrt{0.25}|22\rangle$ 。然而,设想一下,一个友好的银行愿意向他们提供催化剂贷款,即 $|c\rangle=\sqrt{0.6}|00\rangle+$ $\sqrt{0.4}|11\rangle$ ,证明对于 Alice 和 Bob 而言,通过 LOCC 将状态 $|\psi\rangle|c\rangle$ 转化为状态 $|\varphi\rangle|c\rangle$ ,并在转化完成后将催化剂 $|c\rangle$ 归还给银行,这个过程是可能的。 习题12.22(无通信的纠缠转化)假设 Alice 和 Bob 试图仅仅通过本地操作——无经典通信 ——将纯态 $|\psi\rangle$ 转化为纯态 $|\varphi\rangle$ 。证明这个过程是可能的当且仅当 $\lambda_{\psi} \cong \lambda_{\varphi} \otimes x$ ,其中 $x$ 是元素和为 1 的某个非负实向量,"§"是指左右两边的向量包含相同的非零元。
假设能提供给 Alice 和 Bob 的不再只是状态 $|\psi\rangle$ 的单个拷贝,而是很大数量的拷贝。那么他们利用这些拷贝能完成什么类型的纠缠变换呢?我们将重点关注两种特别形式的纠缠变换,被称为纠缠蒸馏和纠缠稀释。纠缠蒸馏是指,Alice 和 Bob 利用本地操作和经典通信(LOCC)试图将已知纯态 $|\psi\rangle$ 的大量备份转化为尽可能多的贝尔态 $(|00\rangle+|11\rangle) / \sqrt{2}$ 的备份,并不要求这个过程准确无误地成功,只要高保真度即可。纠缠稀释是相反的过程,即利用 LOCC 将大量贝尔态 $(|00\rangle+|11\rangle) / \sqrt{2}$ 的备份转化为 $|\psi\rangle$ 的备份,同样只做高保真度限制,其中大量贝尔态备份是初始可用的。
是什么推动了纠缠蒸馏和稀释的研究呢?假设我们严肃地认为纠缠是一种物理资源,并且应该如此量化纠缠,就像我们量化其他物理资源,如能量或熵一样。假定我们决定选取贝尔态 $(|00\rangle+|11\rangle) / \sqrt{2}$ 作为纠缠的标准单元——基准,而不是像标准的千克或米一样。就像赋予一个实物以质量,我们可以赋予量子态纠缠度量。比如说,假设需要 15 个特定品牌的巧克力饼干来达到标准质量;那么我们说每个巧克力饼干的质量为 $1 / 15$ 千克。严格来讲,如果巧克力饼干的质量为 $1 / 14.8$ 千克那么将有点麻烦,这是因为没有整数个巧克力饼干构成标准质量,而且怎样定义非整数数量的巧克力饼干也并不显然。幸运的是,我们知道 148 个巧克力饼干刚好是 10 千克,所以巧克力饼干的质量为 $10 / 148$ 千克。但如果实际质量不是 $1 / 14.8$ 千克,而是更为难解的数字呢?比如 $1 / 14.7982$ 千克等。当然,我们可以简单地寻找更多的 $m$ 个巧克力饼干来得到更大的 $n$ 千克,并且当 $m$ 和 $n$ 很大时,可以声明一个巧克力饼干的质量是极限比率 $n / m$ 。
类似地,定义纯态 $|\psi\rangle$ 纠缯度的一个可能方法就是,在给定大数 $n$ 个贝尔态 $(|00\rangle+|11\rangle) / \sqrt{2}$的情况下,要求通过本地操作和经典通信来(高保真度地)生成尽可能多的 $|\psi\rangle$ 的备份。如果能生成 $|\psi\rangle$ 的备份数量为 $m$ ,那么定义极限比率 $n / m$ 为量子态 $|\psi\rangle$ 的生成纠缠。另外,我们可以考虑相反的过程,利用 LOCC 从 $|\psi\rangle$ 的 $m$ 个备份到 $(|00\rangle+|11\rangle) / \sqrt{2}$ 的 $n$ 个备份,并且定义极限比率 $n / m$ 为量子态 $|\psi\rangle$ 的纠缠蒸馏。很明显这两个定义给出的是相同数量的纠缠;我们将看到对纯态 $|\psi\rangle$ 而言,生成纠缠和纠缠蒸馏事实上就是相同的!
下面来看一个纠缠稀释的简单协议,以及另一个纠缠蒸馏的协议。假设纠缠态 $|\psi\rangle$ 有如下施密特分解形式,即
$$ \begin{equation*} |\psi\rangle=\sum_{x} \sqrt{p(x)}\left|x_{A}\right\rangle\left|x_{B}\right\rangle . \tag{12.167} \end{equation*} $$
我们把施密特系数的平方 $p(x)$ 写成了概率分布的形式,既是因为该系数满足概率分布的一般规则(非负且和为 1 ),也是因为概率论的思想在理解纠缠蒸馏和稀释中很有用。 $m$ 次张量积 $|\psi\rangle^{\otimes m}$可以写成
$$ \begin{equation*} |\psi\rangle^{\otimes m}=\sum_{x_{1}, x_{2}, \cdots, x_{m}} \sqrt{p\left(x_{1}\right) p\left(x_{2}\right) \cdots p\left(x_{m}\right)}\left|x_{1 A} x_{2 A} \cdots x_{m A}\right\rangle\left|x_{1 B} x_{2 B} \cdots x_{m B}\right\rangle \tag{12.168} \end{equation*} $$
假设在忽略所有如 12.2.1 节中定义的非 $\epsilon$ 典型序列 $x_{1}, \cdots, x_{m}$ 之后,我们定义一个新的量子态 $\left|\varphi_{m}\right\rangle$ ,即
$$ \begin{equation*} \left|\varphi_{m}\right\rangle \equiv \sum_{x \text { 为 } \epsilon \frac{\mathrm{C}}{\text { 型 }}} \sqrt{p\left(x_{1}\right) p\left(x_{2}\right) \cdots p\left(x_{m}\right)}\left|x_{1 A} x_{2 A} \cdots x_{m A}\right\rangle\left|x_{1 B} x_{2 B} \cdots x_{m B}\right\rangle \tag{12.169} \end{equation*} $$
该状态 $\left|\varphi_{m}\right\rangle$ 并不是一个归一化的量子态;为了归一化,我们需要定义 $\left|\varphi_{m}^{\prime}\right\rangle \equiv\left|\varphi_{m}\right\rangle / \sqrt{\left\langle\varphi_{m} \mid \varphi_{m}\right\rangle}$ 。由典型序列定理的第一部分可知,当 $m \rightarrow 1$ 时,保真度 $F\left(|\psi\rangle^{\otimes m},\left|\varphi_{m}^{\prime}\right\rangle\right) \rightarrow 1$ 。更进一步,由典型序列定理的第二部分可知在式(12.169)中,项数至多为 $2^{m(H(p(x))+\epsilon)}=2^{m\left(S\left(\rho_{\psi}\right)+\epsilon\right)}$ ,其中 $\rho_{\psi}$偏迹掉状态 $|\psi\rangle$ 中的 Bob 部分得到的结果。
接下来假设 Alice 和 Bob 共同拥有 $n=m\left(S\left(\rho_{\psi}\right)+\epsilon\right)$ 个贝尔态。Alice 本地准备 $\left|\varphi_{m}^{\prime}\right\rangle$ 的"两部分",然后利用与 Bob 共享的贝尔态将 $\left|\varphi_{m}^{\prime}\right\rangle$ 中本应属于 Bob 的那一半隐形传态给 Bob。用这种方式,Alice 和 Bob 可以稀释他们的 $n$ 个贝尔态来得到 $\left|\varphi_{m}^{\prime}\right\rangle$ ,这是 $|\psi\rangle^{\otimes m}$ 的一个很好的近似。这个纠缠稀释过程中的 $n=m\left(S\left(\rho_{\psi}\right)+\epsilon\right)$ ,所以比率 $n / m$ 趋近于 $S\left(\rho_{\psi}\right)+\epsilon_{\circ}$ 我们可以选取 $\epsilon$ 任意小,于是可以得到 $|\psi\rangle$ 的生成纠缠不会超过 $S\left(\rho_{\psi}\right)$ ,因为我们刚刚证明了(大约)$S\left(\rho_{\psi}\right)$ 个贝尔态可以转化为 $|\psi\rangle$ 的一个备份。
将 $|\psi\rangle$ 的备份转化为贝尔态的纠缠蒸馏协议也是走相同的路线。假设 Alice 和 Bob 共同拥有 $|\psi\rangle$ 的 $m$ 个备份,在 $\rho_{\psi}$ 的 $\epsilon$ 典型空间上执行一个测量之后,Alice 可以高保真度地将状态 $|\psi\rangle^{\otimes m}$ 转化为状态 $\left|\varphi_{m}^{\prime}\right\rangle$ 。由典型序列的定义可知,出现在 $\left|\varphi_{m}\right\rangle$ 中的最大施密特系数至多为 $2^{-m\left(S\left(\rho_{\psi}\right)-\epsilon\right)}$ 。该未归一化状态 $\left|\varphi_{m}^{\prime}\right\rangle$ 的施密特系数至多是 $1 / \sqrt{(1-\delta)}$ ,因为典型序列定理表明一个序列是 $\epsilon$ 典型序列的概率的一个下界是 $1-\delta$ ,并且对足够大的 $m$ 该值可以任意趋近于 1 。因此,状态 $\rho_{\varphi_{m}^{\prime}}$
的最大特征值最多是 $2^{-m\left(S\left(\rho_{\psi}\right)-\epsilon\right)} /(1-\delta)$ 。假设我们选择任意 $n$ 使得
$$ \begin{equation*} \frac{2^{-m\left(S\left(\rho_{\psi}\right)-\epsilon\right)}}{1-\delta} \leqslant 2^{-n} \tag{12.170} \end{equation*} $$
由状态 $\rho_{\varphi_{m}^{\prime}}$ 的特征值构成的向量优超于向量 $\left(2^{-n}, 2^{-n}, \cdots, 2^{-n}\right)$ ,因此由定理 12.15 可得状态 $\left|\varphi_{m}^{\prime}\right\rangle$ 可以通过 LOCC 转化为 $n$ 个贝尔态。检查一下式(12.170)我们可以看到 $n \approx m S\left(\rho_{\psi}\right)$ ,因此纠缠蒸馏至少是 $S\left(\rho_{\psi}\right)$ 。
我们已经给出了将 $|\psi\rangle$ 蒸馏到 $S\left(\rho_{\psi}\right)$ 个贝尔态及将 $S\left(\rho_{\psi}\right)$ 个贝尔态稀释为 $|\psi\rangle$ 的一个备份。事实上,不难看出我们描述的过程是纠缯稀释和蒸馏的最优方法!例如,假设存在一个更有效的纠缠稀释协议,可以将 $|\psi\rangle$ 稀释为 $S > S\left(\rho_{\psi}\right)$ 个贝尔态。那么协议将从 $S\left(\rho_{\psi}\right)$ 个贝尔态开始, Alice 和 Bob 可以利用已描述协议生成 $|\psi\rangle$ 的一个备份,然后利用假想方案生成 $S$ 个贝尔态。因此,由 LOCC 可知,Alice 和 Bob 将 $S\left(\rho_{\psi}\right)$ 个贝尔态转变成了 $S > S\left(\rho_{\psi}\right)$ 个贝尔态!不难说服自己(见习题 12.24 ),利用 LOCC 来增加现有贝尔态的数量是不可能的,所以这个假想的纠缠稀释协议不可能存在。类似地,我们可以说明上述纠缠蒸馏协议也是最优的。因此,$|\psi\rangle$ 的生成纠缠和纠缠蒸馏相同且都是 $S\left(\rho_{\psi}\right)$ !
习题 12.23 证明上述给出的纠缠蒸馏过程是最优的。 习题12.24 回顾两体纯态的施密特数是指施密特系数中非零元的个数。证明纯态的施密特数在 LOCC 下不增,并用这个结果证明 Alice 和 Bob 共享的贝尔态个数在 LOCC下也不增。
我们已经了解到怎样将两体系统的贝尔态转化为另一个纠缠态,比如 $|\psi\rangle$ 的备份;反过来,这促使我们以最优的方式将 $|\psi\rangle$ 转化成的贝尔态数量,即 $S\left(\rho_{\psi}\right)$ ,定义为量子态的纠缠量。从这个定义中我们能学到什么呢?下面我们将看到进一步推广纠缠蒸馏的概念将得到一些关于量子纠错的新观点。然而,在写书的当下,平心而论关于纠缠的研究还处于起步阶段,而且目前还不完全清楚我们在量子计算和量子信息理解中的什么进步可以被认为是定量给出纠缠度量的结果。我们已经对两体纯态系统有了一个合理的解释,但是对于包含三体或更多体系统,甚至是两体系统的混合态的理解还非常欠缺。更好地理解纠缠并将这种理解与量子算法,量子纠错及量子通信联系起来,这将是量子计算和量子信息中的一项重大突破性成果!
我们定义了纯态的纠缠蒸馏,但是并没有给出该定义不能推广到混合态的原因。更确切地,假设 $\rho$ 是 Alice 和 Bob 对应的两体系统上的一个一般状态,并且他们拥有大数 $m$ 个备份,接下来他们试图利用 LOCC 高保真度地将这些备份转化为最大可能数量 $n$ 个贝尔态。状态 $\rho$ 的纠缠蒸馏 $D(\rho)$ 是指最优蒸馏协议对应比率 $n / m$ 的极限值;对于纯态 $|\psi\rangle$ 来讲,我们已经指出 $D(|\psi\rangle)=S\left(\rho_{\psi}\right)$ ,但是还不知道如何衡量混合态的纠缠蒸馏 $D(\rho)$ 。
到目前为止已经有大量的纠缠蒸馏技术被提出并得以发展,而且对于特定类别的状态 $\rho$ 存在纠缠蒸馏 $D(\rho)$ 的下界。在这里我们并不会复述这些技术(详见章末的"背景资料与延伸阅读")。我们将要描述的是纠缠蒸馏和量子纠错之间令人疾迷的联系。
想象一下,Alice 试图通过一个有噪声量子信道 $\mathcal{E}$ 发送量子信息给 Bob。虽然单量子比特信道的基本思想同样适用于非单比特信道,但我们还是假设该信道是单量子比特信道,比如去极化信道。通过该信道发送量子信息的一个方法如下。Alice 准备大数 $m$ 个贝尔态并将每个贝尔态的一半通过该信道发送给 Bob。假设利用信道 $\mathcal{E}$ 发送之后产生了状态 $\rho$ ,那么 Alice 和 Bob 最后会共享 $\rho$ 的 $m$ 个备份。现在 Alice 和 Bob 执行纠缠蒸馏协议,并生成 $m D(\rho)$ 个贝尔态。Alice 再准备一个有 $m D(\rho)$ 个量子比特的状态并利用 $m D(\rho)$ 个贝尔态将其隐形传态给 Bob。
因此,纠缠蒸馏协议可以用来作为两方,比如 Alice 和 Bob,量子通信中的一种纠错方式,能让 Alice 实现可靠发送 $m D(\rho)$ 量子比特的信息给 Bob,其中 $D(\rho)$ 是 $\rho$ 的纠缠蒸馏,$\rho$ 是贝尔态的一半经由有噪声信道 $\mathcal{E}$ 发送之后产生的状态。
真正值得指出的是:这种利用纠缠蒸馏实现通信的方法甚至会在传统量子纠错技术失效时起作用。比如,对于去极化信道,其中 $p=3 / 4$ ,在 12.4 .3 节中我们已经看到该信道不能传送任何量子信息。然而,纠缠蒸馏协议已被证明作用在这个信道上可以产生非零的传送比率 $D(\rho)$ !可能的原因是纠缠蒸馏协议允许经典信息在 Alice 和 Bob 之间来回传输,但是传统的量子纠错并不允许任何经典通信。
这个例子可以解释在第 1 章中所做的声明,如图 12-11 所示,存在量子信息容量为零的信道,当一个这样的信道将 Alice 连接到 Bob,另一个将 Bob 连接到 Alice,那么将可用来实现量子信息的净流量。实现这个目标的方式很简单,并且是基于纠缠蒸馏的。现在,为了让纠缠蒸馏成为可能,我们需要 Alice 和 Bob 能够经典通信,所以我们会预留一半信道的前向使用及所有信道的后向使用来用于蒸馏协议中的经典信息传输;由 HSW 定理可知,这些信道都有非零的经典信息传送比率。信道剩余的一半前向使用是用来从 Alice 传输贝尔态的一半给 Bob,因为纠缠蒸馏是从结果态中提取贝尔态,并用这些贝尔态进行隐形传态来实现量子信息的净传输,这提供了量子信息显著特性的另一个生动示范!
图 12-11 在经典情况下,如果我们有两个噪声很大的零容量信道,那么将信道结合也只能传送零容量。并不奇怪的是,如果我们将其中一个信道转变方向,那么我们依然只能传送零容量。在量子情况下,转变其中一个零容量信道就可以允许我们实际发送信息!
介绍量子信息方面最值得注意的应用是对本章的一个合适的结尾。正如我们在第 5 章所学到的,量子计算机可以被用来破坏现在最好的公钥加密系统。幸运的是,量子力学为你关上了一扇门,那么一定会给你打开一扇窗:一类被称为量子密码学(quantum cryptography)或量子密钥分发(quantum key distribution)的程序充分发挥了量子力学的能力,提供了私密信息的安全分发。在本章,我们将描述这一程序,并讨论其安全性。在 12.6 .1 节中,我们从经典密码学技术中基本的想法,私钥加密(private key cryptography)开始解释。私钥加密这个概念比起公钥加密在密码学中提出早得多(在第 5 章中也有提到),私钥加密的原则也被用于量子密码系统中。另外两个可以用于量子系统中的比较重要的经典技术,隐私放大和信息协调,在 12.6 . 2 节中介绍。接下来在 12.6.3 节中介绍三个不同的量子密钥分发协议。这些协议有多么安全?这个问题引发了我们给出信息协调(一种我们在 12.4.1 节就见到的测量)在信息论意义下的量子通信信道传送私密信息的能力下界。这提出了一个观点,量子信息也许能够提高量子密钥分发协议的效率。12.6.5 节描述量子纠错的理论如何为量子密码学的安全提供保证。
直到 1970 年公钥密码学的发明之前,所有的密码学都是与公钥密码学不同的私钥密码学。在私钥密码系统中,如果 Alice 希望将信息传送给 Bob,那么 Alice 必然需要一个用于加密编码她的信息的编码密钥,并且 Bob 必须有一个对应的用来解密已加密信息的解码器。举一个例子,现在仍然十分高效的私钥密码系统 Vernam 密码(Vernam cipher),有的时候也被称为一次性密码本(one time pad)。在一开始,Alice 和 Bob 都有一个独一无二的 $n$ 比特密钥。Alice 通过把 $n$ 比特密钥信息和 $n$ 比特要传送的信息相加来加密,然后 Bob 可以将加密后的信息减去对应的密钥得到未加密的信息,如图 12-12 所示。
图 12-12 Vernam 密码。Alice 通过对原始信息加上随机的密钥(对于本例,就是字母表上的加法)来加密,而 Bob 通过减去对应的密钥来进行解密得到原始信息
这个系统的特点是只要保证加密的密钥绝对保密,那么系统的安全性就可以得到保证。也就
是说,只要这个由 Alice 和 Bob 使用的协议成功,那么这次信息将以极高概率安全传递(监视者 Eve 可以随时攻击交流信道,但是 Alice 和 Bob 可以查明攻击并宣告这次协议失败)。而且无论 Eve 采取什么窃听策略,Alice 和 Bob 都可以保证 Eve 得到的原始文本的信息足够小。与之不同的是,公钥密码学(附录 E)依赖于一个未被证明的数学假设,解决具体问题比如分解问题是很困难的(利用经典的计算机),尽管这个假设被广泛使用并且很方便。
私钥密码系统最主要的困难是密钥安全地分发。尤其 Vernam 密码的安全性需要密钥的比特数至少要大于等于要加密的信息,并且密钥并不能重复利用。因此庞大的密钥需要使得这个密码系统被广泛使用变得不现实。更糟的是,密钥需要被提前制造,并且在其使用前保持私密,在使用后马上销毁;否则,这些传统信息可以在不影响原始密钥使用的前提下被复制,进而危及整个协议的安全性。尽管有这些弊端,私钥密码系统诸如 Vernam 密码仍然有人因其安全性保证而使用。密钥则通过私下见面,信任的传递者或私人的安全交流链接来分发。
习题12.25 考虑一个有 $n$ 个用户的系统,他们需要两两私密地传送信息。利用公钥密码需要多少个密钥?利用私钥密码又需要多少个密钥?
私钥加密的第一步就是分发密钥。如果 Alice 和 Bob 分发到有缺陷的密钥该怎么办?举例来说,有缺陷的密钥指的是 Alice 和 Bob 共享相关联的随机经典信息串 $X$ 和 $Y$ ,而且监视者 Eve对于 $X, ~ Y$ 的信息了解也存在一个上界。对于这类有缺陷的密钥,我们如何得到一个足够好的密钥来实施安全的密码协议?我们接下来将要演示如何通过两个步骤,以信息协调(information reconciliation)及随后的隐私放大(privacy amplification),来逐步增加两个密钥的相关性,并且同时减少监听者 Eve 所得到的有关密钥的信息从而达到我们希望的安全级别。这些经典步骤将用在下一节的量子密钥分发协议中。
信息协调就是在公共信道上的纠错,协调 $X, ~ Y$ 之间的错误得到一个两人共享的 Eve 尽可能少了解的密钥 $W$ 。在这步之后,假设 Eve 得到随机变量 $Z, Z$ 与 $W$ 部分关联。接下来的隐私放大 Alice 和 Bob 从一个小集合 $S$ 中提取出 $W$ ,并且保证与 $Z$ 的关联低于我们的期望咸值。因为后一步是一个新概念,因此我们先介绍隐私放大。
隐私放大能够成功的证明细节超出了本书的范畴,我们仅描述最基本的方法并列出主要的定理。实现隐私放大的方式之一是利用通用散列函数(universal hash function) $\mathcal{G}$ ,这个散列函数是一个从 $n$ 比特的字符串 $\mathcal{A}$ 到 $m$ 比特的字符串 $\mathcal{B}$ 的映射,并且对于任意不同的 $a_{1}, a_{2} \in \mathcal{A}, g$ 是从 $\mathcal{G}$ 中均匀随机挑选的,能够保证 $g\left(a_{1}\right)=g\left(a_{2}\right)$ 的概率至多为 $1 /|\mathcal{B}|$ 。
概率分布为 $p(x)$ 的随机变量 $X$ 的碰撞摘(collision entropy)定义为
$$ \begin{equation*} H_{c}(X)=-\log \left[\sum_{x} p(x)^{2}\right] \tag{12.171} \end{equation*} $$
(这个定义有时也叫二阶雷尼嫡。)利用对数的一些性质,不难发现香农嫡是其上限:$H(x) \geqslant$ $H_{c}(x)$ 。 $H_{c}$ 在下述关于通用散列函数的定理中很重要:
定理12.16 $X$ 是字母表 $\chi$ 上概率分布为 $p(x)$ 的随机变量,并且碰撞嫡为 $H_{c}(x)$ ,令 $G$ 为随机变量,为等概率地随机选取从 $\chi$ 映射到 ${0,1}^{m}$ 的散列函数。那么我们有
$$ \begin{equation*} H(G(X) \mid G) \geqslant H_{c}(G(x) \mid G) \geqslant m-2^{m-H_{c}(X)} \tag{12.172} \end{equation*} $$
定理 12.16 可以通过以下方式应用到隐私放大中。Alice 和 Bob 公开选择一个 $g \in \mathcal{G}$ 并将其作用到 $W$ 上,得到一个新的字符串 $S$ ,并将其作为私钥。如果 Eve 在已知 $Z=z$(关于协议的特定情况 )的情况下,对 $W$ 的不确定性的限制与碰撞熵有关,即 $H_{c}(W \mid Z=z) > d$ ,根据定理 12.16 我们可以得到
$$ \begin{equation*} H_{c}(S \mid G, Z=z) \geqslant m-2^{m-d} \tag{12.173} \end{equation*} $$
换言之,$m$ 可以选择得足够小,使得 $H_{c}(S \mid G, Z=z)$ 几乎等于 $m$ 。这使得 Eve 对密钥 $S$ 的不确定性最大化,使其成为一个安全的密码。
信息协调进一步减少了 Alice 和 Bob 可以获得的比特数,但所减少的比特数可以如下限定。通过对其比特 $X$ 计算的一系列奇偶校验后,Alice 可以得到一个经典包含了校验的信息 $u$ ,当发送给 Bob 的时候,Bob 可以利用里面的校验信息来纠正他所含有的字符串 $Y$ ,之后两个人可以得到相同的字符串 $W$ 。显而易见的是,这个过程需要发送 $k > H(W \mid Y)$ 比特的信息,因此能够增加碰撞熵到 $H_{c}(W \mid Z=z, U=u)$ 。平均而言(在可能的协调信息 $u$ )这一增长被 $H_{c}(W \mid Z=$ $z, U=u) \geqslant H_{c}(W \mid Z)-H(U)$ 限制,其中 $H(U)$ 是 $U$ 的香农嫡,但是这个界太弱了,因为这意味着泄露的信息 $U=u$ 导致 $H_{c}$ 的减少量不超过 $m H(U)$ 的概率最多仅有 $1 / m$ 。下面的定理给出了一个更强的下界:
定理 12.17 令 $X$ 和 $U$ 分别是字母表 $\mathcal{X}$ 和 $\mathcal{U}$ 的随机变量,$X$ 的概率分布为 $p(x), U$ 为与 $X$ 概率为 $p(x, u)$ 的联合分布。另外,令 $s > 0$ 是一个任意参数。那么当下列条件满足时,
$$ \begin{equation*} H_{c}(X \mid U=u) \geqslant H_{c}(X)-2 \log |\mathcal{U}|-2 s \tag{12.174} \end{equation*} $$
$U$ 取值为 $u$ 的概率至少为 $1-2^{-s}$ 。 在这里 $s$ 被称为安全系数(security parameter)。将此定理用于协调的协议中可以得到结论, Alice 和 Bob 可以选择 $s$ 使得 Eve 的碰撞熵以大于 $1-2^{-s}$ 的概率限定为 $H_{c}(W \mid Z=z, U=u) \geqslant$ $d-2(k+s)$ 。通过这个步骤和隐私放大,他们提取 $m$ 比特的密钥 $S$ ,并且 Eve 所得到的信息少于 $2^{m-d+2(k+s)}$ 比特。
如前所述,信息协调只不过是纠错,结果发现隐私放大也与纠错密切相关,这两个任务都可以通过使用经典编码来实现。这一视角提供了一个简单的概念图,因为我们有一个完善的量子纠错码理论,所以这个视角在 12.6 .5 节中有助于证明量子密钥分配的安全性。记住这一点,它对于观察以下内容很有用。
解码一个随机选择的 CSS 编码(见 10.4.2节)可认为是执行信息协调和隐私放大。虽然 CSS编码通常用于量子信息的编码,但就我们目前的目的而言,我们可以只考虑它们的经典性质。考虑两个线性编码 $C_{1}, C_{2}$ ,满足 $t$ 比特纠错的 $n$ 比特编码到 $m$ 比特(可以记为 $[\mathrm{n}, \mathrm{m}]$ )的 CSS 编码: $C_{2} \subset C_{1}$ ,并且 $C_{1}, C_{2}^{\perp}$ 都可以纠正 $t$ 比特错误。Alice 可以随机选择一个 $n$ 比特的字符串 $X$ 编码成 $Y$ 传送给 Bob。
我们先假定,在 Alice 和 Bob 之间的通信信道中,所有噪声源(包括窃听)引起的每个代码块的预期错误数小于 $t$ ,实际上,这可以通过随机测试信道来确定。此外,假设 Eve 对代码 $C_{1}$ 和 $C_{2}$ 一无所知;这可以通过 Alice 随机选择代码来保证。最后,假设 Alice 和 Bob 他们自己的数据 $X$ 和 $Y$ 和 Eve 的数据 $Z$ 之间的互信息有一个上限。
Bob 得到的信息为 $Y=X+\epsilon$ ,其中 $\epsilon$ 是一些小错误。由于已知存在的错误数小于 $t$ ,如果 Alice 和 Bob 都将他们的状态更正为 $C_{1}$ 中最近的码字,则他们的结果 $X^{\prime}, Y^{\prime} \in C_{1}$ 是相同的, $W=X^{\prime}=Y^{\prime}$ 。这一步只不过是信息协调。当然,Eve 与 $W$ 的互信息可能仍然很大。为了减少这些互信息,Alice 和 Bob 确认 $W$ 属于 $C_{1}$ 中 $C_{2}$ 的 $2^{m}$ 个陪集中的哪一个,也就是计算 $C_{1}$ 中 $W+C_{2}$ 的陪集。结果就是他们的 $m$ 比特密钥串 $S$ 。由于 Eve 对 $C_{2}$ 缺乏了解,并且 $C_{2}$ 具有纠错特性,该程序可以将 Eve 与 $S$ 之间的互信息降低到可接受的水平,从而实现隐私放大。
量子密钥分发(QKD,quantum key distribution)是一种可以证明安全的协议,通过它可以在公共信道上在双方之间创建私钥比特。然后可以使用密钥比特来实现经典的私钥密码系统,从而使双方能够安全通信。对 QKD 协议的唯一要求是,在错误率低于某个阈值的情况下,量子比特可以通过公共信道进行通信。由此产生的密钥的安全性是由量子信息的性质来保证的,因此,它只取决于物理学的基本定律是否正确!
QKD 背后的基本思想是以下基本结论:Eve 不能从 Alice 发送给 Bob 的量子比特中获得任何信息,而不会干扰它们的状态。首先,根据不可克隆定理(专题 12.1),Eve 不能克隆 Alice 的量子比特。第二,我们有以下命题: 命题12.18(信息增益意味着干扰)在任何试图区分两个非正交量子态的尝试中,信息增益只可能以对信号产生干扰为代价。
证明 令 $|\psi\rangle,|\varphi\rangle$ 是 Eve 想要获得信息的两个非正交量子态。根据 8.2 节的结果,我们可以在不失一般性的情况下假设,她用来获取信息的过程是统一地将状态 $(|\psi\rangle,|\varphi\rangle)$ 与准备好存储 $|u\rangle$ 的辅助比特相互作用。假设这个过程不干扰状态,在这两种情况下,我们得到
$$ \begin{align*} |\psi\rangle|u\rangle & \rightarrow|\psi\rangle|v\rangle \tag{12.175}\\ |\varphi\rangle|u\rangle & \rightarrow|\varphi\rangle\left|v^{\prime}\right\rangle \tag{12.176} \end{align*} $$
Eve 想要 $|v\rangle$ 与 $\left|v^{\prime}\right\rangle$ 不同,那样他可以得到需要区分态的信息。但是因为内积在西变作用下是不变的,因此我们有
$$ \begin{align*} \left\langle v \mid v^{\prime}\right\rangle\langle\psi \mid \varphi\rangle & =\langle u \mid u\rangle\langle\psi \mid \varphi\rangle \tag{12.177}\\ \left\langle v \mid v^{\prime}\right\rangle & =\langle u \mid u\rangle=1 \tag{12.178} \end{align*} $$
这蕴含着 $|v\rangle$ 与 $\left|v^{\prime}\right\rangle$ 必须相同。因此区分状态 $|\psi\rangle,|\varphi\rangle$ 不可避免地要干扰到其中最少一个状态。
我们在 Alice 和 Bob 之间传输非正交量子比特态时利用了这一思想。通过检查其传输状态中的干扰情况,可以确定其通信信道中发生的任何噪声或窃听的上限。这些"校验"量子比特随机分布在数据量子比特之间(随后从中提取关键比特),因此上限也适用于数据量子比特。Alice 和 Bob 然后执行信息协调和隐私放大,以提取共享的密钥字符串。因此,最大可容忍错误率的阈值由最佳信息协调和隐私放大协议的有效性决定。下面介绍三种以这种方式工作的 QKD 协议。
Alice 开始有两个字符串 $a, b$ ,每一个字符串有 $(4+\delta) n$ 随机的经典比特,之后她将字符串编码成一个 $(4+\delta) n$ 量子比特的块。
$$ \begin{equation*} |\psi\rangle=\bigotimes_{k=1}^{(4+\delta) n}\left|\psi_{a_{k} b_{k}}\right\rangle \tag{12.179} \end{equation*} $$
其中 $a_{k}$ 是字符串 $a$ 的第 $k$ 比特( $b$ 同理),并且每一个状态都是下面四个状态之一:
此过程的效果是在由 $b$ 确定的基 $X$ 或 $Z$ 中对 $a$ 进行编码。请注意,这四种状态并非都是相互正交的,因此没有测量可以确定地区分它们(全部)。然后 Alice 通过他们的公共量子通信信道发送 $|\psi\rangle$ 给 Bob。
Bob 接收到 $\mathcal{E}(|\psi\rangle\langle\psi|)$ ,其中 $\mathcal{E}$ 描述了由于信道和 Eve 动作的组合而产生的量子操作。然后他公布了这一事实。在这一点上,Alice,Bob 和 Eve 都有各自的量子态,由单独的密度矩阵描述。还要注意的是,在这一点上,由于 Alice 没有透露 $b$ ,Eve 不知道她应该在什么基测量来窃听通信;充其量,她只能猜测一个,如果她的猜测是错误的,那么她会扰乱 Bob 接收到的状态。此外,噪声 $\mathcal{E}$ 可能是由于环境(一个糟糕的频道)及 Eve 的窃听造成的,但这并不能帮助 Eve 完全控制频道,因此她对 $\mathcal{E}$ 负有全部责任。
当然,Bob 也发现 $\mathcal{E}(|\psi\rangle\langle\psi|)$ 在这时信息量很少,因为他对 $b$ 一无所知。然而,他可以继续进行协议并以 $X$ 或 $Z$ 为基测量每个量子比特,由他自己创建的随机 $(4+\delta) n$ 比特串 $b^{\prime}$ 决定。令 Bob 的测量结果是 $a^{\prime}$ 。在此之后,Alice 通过在公共信道的讨论公布 $b$ ,Bob 和 Alice 放弃 $\left\{a^{\prime}, a\right\}$中除了 $b^{\prime}$ 和 $b$ 的对应相等比特的所有比特。它们的剩余比特满足 $a^{\prime}=a$ ,因为对于这些比特,Bob是在 Alice 准备的相同基础上测量的。请注意,$b$ 对 $a$ 或 Bob 的测量结果产生的比特 $a^{\prime}$ 没有任何揭示,但重要的是,在 Bob 宣布接收到 Alice 的量子比特之前,Alice 不能发布 $b$ 。为了简化下面的解释,让 Alice 和 Bob 只保留其结果的 $2 n$ 比特;可以选择足够大的 $\delta$ ,这样就可以以指数高的概率完成这项工作。
现在,Alice 和 Bob 进行了一些测试,以确定他们在交流过程中有多少噪声或窃听。Alice(从之前保留的 $2 n$ 比特)随机选择 $n$ 比特,并公布选择。然后 Bob 和 Alice 发布并比较这些校验比特的值。如果超过 $t$ 比特不一致,那么它们将中止并从头重新尝试该协议。当选择 $t$ 时,如果测试通过,则他们可以应用信息协调和隐私放大算法,从剩余的 $n$ 比特中获得 $m$ 可接受的秘密共享密钥比特。
图 12-13 总结了该协议(之后被其发明者称为 BB84)(见章末的"背景资料与延伸阅读"),并在专题 12.7 中描述了实验实现。此协议的相关版本(如使用较少的校验比特)也以相同的名称命名。
1.Alice 选择 $(4+\delta) n$ 随机数据比特。 2.Alice 选择一个随机的 $(4+\delta) n$ 比特字符串 $b$ 。如果 $b$ 的对应比特为 0 她将每个数据比特编码为 ${|0\rangle,|1\rangle}$ ,否则编码为 ${|+\rangle,|-\rangle}$ 。
3.Alice 将结果状态发送给 Bob。 4.Bob 接收 $(4+\delta) n$ 个量子比特,宣布这个事实,并在 $X$ 或 $Z$ 基上随机测量每个量子比特。
5.Alice 宣布 $b$ 。 6.Alice 和 Bob 丢弃 Alice 准备好的与 Bob 测量不同的基。有很大概率,至少还有 $2 n$ 比特(如果没有,中止协议)。他们保留 $2 n$ 比特信息。
7.Alice 选择 $n$ 比特中的一个子集,作为对 Eve 干扰的检查,并告诉 Bob她选择了哪个比特。
8.Alice 和 Bob 宣布并比较 $n$ 个校验比特的值。如果超过一个可接受的数字不一致,它们将中止协议。
9.Alice 和 Bob 对剩余的 $n$ 比特执行信息协调和隐私放大,以获得 $m$ 个共享密钥比特。
图 12-13 四状态量子密钥分发协议 BB84 习题 12.26 令 $a_{k}^{\prime}$ 是 Bob 关于量子比特 $\left|\psi_{a_{k} b_{k}}\right\rangle$ 测量的结果,假设信道无噪声无监听。证明当 $b_{k}^{\prime} \neq b_{k}$ 时,$a_{k}^{\prime}$ 完全随机且与 $a_{k}$ 无关。但是当 $b_{k}^{\prime}=b_{k}$ 时,有 $a_{k}^{\prime}=a_{k}$ 。 习题12.27(随机抽样测试)对 $2 n$ 个校验比特中 $n$ 个的随机测试可以让 Alice 和 Bob 以极高概
率对未测试比特中的错误数设置一个上限。具体地说,对于任何 $\delta > 0$ ,在校验比特上获得小于 $\delta n$的误差和在剩余 $n$ 比特上获得大于 $(\delta+\epsilon) n$ 的误差的概率随着 $n$ 增大渐近地小于 $\exp \left[-O\left(\epsilon^{2} n\right)\right]$ 。下面我们证明这一断言。
1.不失一般性,你可以假设这里有 $\mu n$ 错误在 $2 n$ 比特中,其中 $0 \leqslant \mu \leqslant 2$ 。现在如果有 $\delta n$ 个错误发生在校验比特上,且 $(\delta+\epsilon) n$ 个错误发生在剩余比特上,那么 $\delta=(\mu-\epsilon) / 2$ 。因此,断言中的两个条件陈述意味着
$$ \begin{align*} \text{ < $\delta n $ 错误在校验比特上 } &\Longrightarrow \text{ < $\delta n$错误在校验比特上 } \tag{12.184} \\ \text{ > $(\delta+\epsilon) n$ 错误在剩余比特上 } &\Longrightarrow \text{ > $(\mu-\delta) n $错误在剩余比特上 } \tag{12.185} \end{align*} $$
事实上,上面断言的右侧蕴含着下面断言的右侧。利用这些,证明我们想要约束的概率 $p$满足
$$ \begin{equation*} p < \binom{2 n}{n}^{-1}\binom{\mu n}{\delta n}\binom{(2-\mu) n}{(1-\delta) n} \delta n \tag{12.186} \end{equation*} $$
2.证明对于 $n$ 大的情况,可以限定
$$ \begin{equation*} \frac{1}{a n+1} 2^{a n H(b / a)} \leqslant\binom{ a n}{b n} \leqslant 2^{a n H(b / a)} \tag{12.187} \end{equation*} $$
其中 $H(\cdot)$ 是式(11.8)中的二元熵函数。利用这个得到 $p$ 的上界。 3.利用界 $H(x) < 1-2(x-1 / 2)^{2}$ 得到最终的结果,$p < \exp \left[-O\left(\epsilon^{2} n\right)\right]$ 。你可以用一个常数替代 $\mu$ 来表示最坏情况。
4.将结果与专题 3.4 中提到的 Chernoff 界进行比较。你能够想出一个不同的方法得到 $p$ 的上界吗?
BB84 协议可以使用其他状态和基础,并得出类似的结论。事实上,存在一个特别简单的协议,其中只使用两个状态。为了简单起见,一次只考虑一个比特的情况就足够了;正如在 BB84中所做的那样,很容易归纳为块测试。
假设 Alice 准备了一个随机的经典比特 $a$ ,并根据结果发送 Bob
$$ |\psi\rangle= \begin{cases}|0\rangle & \text { 若 } a=0 \tag{12.188}\\ \frac{|0\rangle+|1\rangle}{\sqrt{2}} & \text { 若 } a=1\end{cases} $$
根据他生成的随机经典比特 $a^{\prime}$ ,Bob 随后测量从 Alice 接收到的量子比特,要么是 $Z$ 基 $|0\rangle,|1\rangle$ (如果 $a^{\prime}=0$ ),要么是 $X$ 基 $| \pm\rangle=(0 \pm 1) / \sqrt{2}$(如果 $a^{\prime}=1$ )。从他的测量中,他得到结果 $b$ ,即 0 或 1 ,对应于 $X$ 和 $Z$ 的 -1 和 +1 特征值。然后 Bob 公开宣布 $b$(但保持 $a^{\prime}$ 秘密),Alice 和
Bob 进行公开讨论,只保留 $b=1$ 的对 $\left\{a, a^{\prime}\right\}$ 。注意,当 $a=a^{\prime}$ ,那么 $b=0$ 。只有当 $a^{\prime}=1-a$时,Bob 才会以 $1 / 2$ 的概率得到 $b=1$ 。最后的密钥是 Alice 的 $a$ ,Bob 的 $1-a^{\prime}$ 。
这个被称为 B92 的协议(见章末的"背景资料与延伸阅读")强调了非正交状态之间完全区分的不可能性是如何在量子密码学的核心。正如在 BB84 中一样,由于任何窃听者都不可能在不中断 Alice 和 Bob 最终保留的比特之间的相关性的情况下区分 Alice 的状态,因此该协议允许 Alice 和 Bob 创建共享密钥比特,同时在通信期间对噪声和窃听设置上限。然后,它们可以应用信息协调和隐私放大,从产生的相关随机比特串中提取秘密比特。
量子密钥分配是特别有趣和惊人的,因为它很容易被实验实现。以下是一个系统的示意图,该系统使用商用光纤组件在 10 公里距离内传输关键比特,该系统已在 IBM 建立。
Bob
Bob 最初使用波长为 $1.3 \mu \mathrm{~m}$ 的二极管激光发射光来产生强相干态 $|\alpha\rangle$ ,并将其传输给 Alice,Alice 将其衰减以(大约)生成单个光子。她将光子转化为 BB84 协议的四种状态之一,其中 $|0\rangle$ 代表横轴,$|1\rangle$ 代表坚轴。然后她将光子返回给 Bob,Bob 使用极化分析仪随机测量光子。在这种结构中,光子穿过同一条路径两次,通过使用这种特殊的结构,仪器可以自动补偿光纤链路上的缺陷(如缓慢波动的路径长度和偏振比特移)。Alice 和 Bob 随后选择他们使用相同基的子集,协调他们的信息,执行隐私放大,通过公共通道与波长为 $1.55 \mu \mathrm{~m}$的光子(通过相同的光纤)通信。密铜比特可以以每秒几百比特的速率交换。最后,光源和探测器的改进应能使速率提高几个数量级。量子密钥分布在超过 40 公里的距离,也在安装的通信光纤(在日内瓦湖下)上实验成功。
习题12.28 证明当 $b=1$ 时,$a, a^{\prime}$ 完全彼此相关。 习题12.29 给出一个使用 6 种状态的协议,即 $X, Y, Z$ 的特征状态,并讨论为什么它也是安全的。与 BB84 和 B92 相比,讨论该协议对噪声和窃听的敏感性。
在 BB84 和 B92 协议中生成的密钥比特似乎是由 Alice 发起的。然而事实证明,密钥可以被看作是从一个基本的涉及纠缠性质的随机过程中产生的。下面的协议说明了这一点。
假设 Alice 和 Bob 在共享一组 $n$ 对纠缠的量子比特:
$$ \begin{equation*} \frac{|00\rangle+|11\rangle}{\sqrt{2}} \tag{12.189} \end{equation*} $$
这些状态称为 EPR 对。获得这些状态可能以许多不同的方式;例如,Alice 可以准备 EPR 对,然后将每个 EPR 对的一半发送给 Bob,反之亦然。或者,第三方可以准备好这一对,并将两半分别送给 Alice 和 Bob。或者他们可以在很久以前见面,然后制备 EPR 对保存到使用。Alice 和 Bob然后选择 EPR 对的一个随机子集,并测试它们是否违反了贝尔不等式(式(2.225),见 2.6 节),或者其他适当的保真度测试。通过测试证明,它们继续保持足够纯净的纠缠量子态,可以对剩余的 EPR 对的保真度(因此也能给任何噪声或窃听)施加一个下限。当 Alice 和 Bob 在共同确定的随机基中测量这些值时,他们获得相关的经典比特串,从中可以获得密钥比特,如 B92 和 BB84协议中所述。使用基于霍列沃界的参数,EPR 对的保真度可给 Eve 关于密钥比特的可达信息提供上限。
在这个 EPR 协议中,密钥比特来自哪里?因为它是对称的——Alice 和 Bob 对他们的量子比特执行相同的任务,甚至可能同时进行——所以不能说 Alice 或 Bob 生成了密钥。相反,密钥完全随机。事实上,这同样适用于 BB84 协议,因为它可以简化为 EPR 协议的通用版本的实例。假设 Alice 准备了一个随机的经典比特 $b$ ,然后根据它去测量 EPR 对在 $|0\rangle,|1\rangle$ 或 $| \pm\rangle=(|0\rangle \pm|1\rangle) / \sqrt{2}$两组基下的结果得到 $a$ 。让 Bob 做相同的事情,测量(他随机选择的)$b^{\prime}$ 基并得到 $a^{\prime}$ 。现在,他们通过一个公共的经典通道来沟通 $b$ 和 $b^{\prime}$ ,并且只保留那些 $b=b^{\prime}$ 的 $\left\{a, ~ a^{\prime}\right\}$ 作为密钥。请注意,在 Alice 或 Bob 对其 EPR 对的一半执行测量之前,此密钥是不确定的。可以从 B92 协议得到类似的结论。因此,量子密码学有时被认为不是密钥交换或传输,而是密钥生成,因为从根本上讲, Alice 和 Bob 都不能在协议完成后预先确定密钥。
到目前为止,我们已经描述了 QKD 的基本协议,并认为它是安全的,但是我们没有提供定量界限。它有多安全?结果表明,在本章讨论的量子信息的基本定量测量与量子密码学原则上可获得的安全性之间存在着有趣的基本联系,我们将在下文中进行描述。
量子相干信息 $I(\rho, \mathcal{E})$ 给出了量子信道发送私有信息能力的下限。在最一般的情况下,Alice准备状态 $\rho_{k}^{A}$ ,其中 $k=0,1, \cdots$ 表示她可能发送的不同状态,每个状态都有一些概率 $p_{k}$ 。Bob 接收状态 $\rho_{k}^{B}=\mathcal{E}\left(\rho_{k}^{A}\right)$ ,这可能与 $\rho_{k}^{A}$ 不同,因为信道噪声或窃听者 Eve 造成影响。无论 Bob 做任何测量结果与 Alice 的值 $k$ 的互信息 $H_{\text {bob:alice }}$ 可以由霍列沃界限制,见式(12.6),
$$ \begin{equation*} H_{\text {bob:alice }} < \chi^{B}=S\left(\rho^{B}\right)-\sum_{k} p_{k} S\left(\rho_{k}^{B}\right) \tag{12.190} \end{equation*} $$
其中 $\rho^{B}=\sum_{k} p_{k} \rho_{k}^{B}$ 。类似地,Eve 能得到的互信息也可以被霍列沃界限制,
$$ \begin{equation*} H_{\text {eve:alice }} < \chi^{E}=S\left(\rho^{E}\right)-\sum_{k} p_{k} S\left(\rho_{k}^{E}\right) \tag{12.191} \end{equation*} $$
由于 Bob 和 Alice 原则上可以利用 Bob 比 Eve(至少高于某个阈值)多的任何信息,使用隐私放大等技术提取共享密钥,因此定义以下数量:
$$ \begin{equation*} \mathcal{P}=\sup \left[H_{\text {bob:alice }}-H_{\text {eve:alice }}\right] \tag{12.192} \end{equation*} $$
为信道隐私的保真度是有意义的,在这里,上确界取遍 Alice 和 Bob 信道内能使用的所有策略。这是 Bob 相对于 Eve 获得的关于 Alice 量子信号的最大经典信息。根据 HSW 定理,Alice 和 Bob可以采用 $H_{\mathrm{bob}: \text { alice }}=\chi^{B}$ 的策略,而对于 Eve 可能采用的任何策略,$H_{\text {eve:alice }} \leqslant \chi^{E}$ 。因此,对于合适的策略我们有 $\mathcal{P} \geqslant \chi^{B}-\chi^{E}$ 。
通过习题 12.11,假设 Alice 的所有信号状态 $\rho_{k}^{A}=\left|\psi_{k}^{A}\right\rangle\left\langle\psi_{k}^{A}\right|$ 都是纯态,并且与 Eve 没有纠缠,Eve 的初始状态是 $\left|0^{\mathrm{E}}\right\rangle$(也可以假定为纯状态,不失一般性),我们可以知道隐私的保真度 $\mathcal{P}$ 存在下界。一般来说,Alice 与 Bob 的沟通信道将包括与除 Eve 外的某些环境的作用,但为了给 Eve 尽可能大的优势,我们可以将其都视为 Eve 作用的,这样 Eve 和 Bob 在传输后接收到的最终联合状态是
$$ \begin{equation*} \left|\psi^{\mathrm{EB}}\right\rangle=U\left|\psi_{k}^{\mathrm{A}}\right\rangle\left|0^{\mathrm{E}}\right\rangle \tag{12.193} \end{equation*} $$
因为这是一个纯态,约化密度矩阵 $\rho_{k}^{\mathrm{E}}$ 和 $\rho_{k}^{\mathrm{B}}$ 将会有相等的非零特征值,因此熵也是一样的,即 $S\left(\rho_{k}^{\mathrm{E}}\right)=S\left(\rho_{k}^{\mathrm{B}}\right)$ ,因此我们有以下结论:
$$ \begin{align*} \mathcal{P} & \geqslant \chi^{\mathrm{B}}-\chi^{\mathrm{E}} \tag{12.194}\\ & =S\left(\rho^{\mathrm{B}}\right)-\sum_{k} p_{k} S\left(\rho_{k}^{\mathrm{B}}\right)-S\left(\rho^{\mathrm{E}}\right)+\sum_{k} p_{k} S\left(\rho_{k}^{\mathrm{E}}\right) \tag{12.195}\\ & =S\left(\rho^{\mathrm{B}}\right)-S\left(\rho^{\mathrm{E}}\right) \tag{12.196}\\ & =I(\rho, \mathcal{E}) \tag{12.197} \end{align*} $$
也就是说,根据式(12.118)的定义,量子相干信息 $I(\rho, \mathcal{E})$ 给出了通道 $\mathcal{E}$ 的保证隐私的下限。请注意,此结果并不特定于任何协议(可能有其自身的安全缺陷)。此外,协议必须执行本计算中未考虑的测试,以实际确定信道 $\mathcal{E}$ 的属性,然后才能应用此界限。因此,虽然我们已经到达的信息论界限相当优雅,但在量化 QKD 的安全性之前,我们还有一条路要走!
量子密钥分发有多安全?由于在窃听者获取信息时通信状态干扰的必然性,我们有充分的理由相信 QKD 的安全性。然而,我们需要得出结论,即协议确实是安全的,这是一个可量化 (quantifiable)的安全定义,它明确限制了 Eve 对最终密钥的了解,给出了 Alice 和 Bob 的一些度
量。以下标准是可接受的:
对于 Alice 和 Bob 选择的任何安全参数 $s > 0$ 和 $\ell > 0$ 及任何窃听策略,如果方案中止或成功概率至少为 $1-O\left(2^{-s}\right)$ ,并且保证 Eve 与最终密钥的互信息小于 $2^{-\ell}$ ,则 QKD 协议被定义为安全协议。最终生成的密钥也必须本质上是完全随机的。
在最后一节中,我们将给出一个 BB84 的安全性证明的基本思路。这一证明将为本章提供一个恰当的结论,因为它优雅地运用了许多量子信息的概念来提供一个足够简单和透明的论点,从而使之无法被验证。有趣的是,这一证明的起源来自于这样的观察:在信息协调和隐私放大形成之后,最终获得的密钥率与在噪声通信信道上 CSS 代码(10.4.2 节)可实现的量子比特传输率一致!
接下来是证明的主要思路。如果 Eve一次只能攻击一个量子比特,那么完全确定 BB84,B92和 EPR 协议的安全是相对简单的。证明的困难在于处理监听者可能采取的集体攻击,在集体攻击中,Eve 可能操纵并存储大量的传送量子比特。为了解决这个问题,我们需要一个更为广泛和有力的论据。假设我们知道 Eve 不会在每个块中引人超过 $t$ 量子比特的错误。然后 Alice 可以用一个修正 $t$ 个错误的量子码来编码她的量子比特,这样 Eve 所有的干扰都可以通过 Bob 解码来消除。要使这一点可行,必须确定两件事:第一,如何确定 $t$ 的上界?通过以适当的方式对通道进行采样可以做到这一点,这让我们得到了一个安全的甚至可以抵御集体攻击的协议!不幸的是,该协议通常需要一台容错量子计算机来对量子比特进行可靠的编码和解码。因此,第二个挑战是选择一个量子码,这样就可以不用量子计算或存储来执行完整的编码,解码和测量序列——只需单量子比特的制备和测量。使用 CSS 编码(在一些简化之后)只利用 BB84 协议就达到了目的。下面,我们从一个明显安全的基于 EPR 对的 QKD 协议开始,然后将解决方案应用于这两个挑战,以系统地将初始协议简化为 BB84 协议。
假设 Alice 有 $n$ 对纠缠的量子比特,每一对的状态均为
$$ \begin{equation*} \left|\beta_{00}\right\rangle=\frac{|00\rangle+|11\rangle}{\sqrt{2}} \tag{12.198} \end{equation*} $$
我们将这个状态定义为 $\left|\beta_{00}\right\rangle^{\otimes n}$ 。然后 Alice 将每对纠缠的比特的其中一个传输给 Bob;由于信道上的噪声和窃听,产生的状态可能是不纯的,可以由密度矩阵 $\rho$ 描述。然后 Alice 和 Bob 执行本地测量以获取密钥,如前所述。下面的引理可以用来证明关于 $\left|\beta_{00}\right\rangle^{\otimes n}$ 的密度矩阵 $\rho$ 的保真度上界与 Eve 和密钥的互信息有关。
引理12.19(高保真意味着低摘)如果 $\left.F\left(\rho, \mid \beta_{00}\right)^{\otimes n}\right)^{2} > 1-2^{-s}$ ,那么 $S(\rho) < (2 n+s+$ $1 / \ln 2) 2^{-s}+O\left(2^{-2 s}\right)$ 。
如果 $F\left(\rho,\left|\beta_{00}\right\rangle^{\otimes n}\right)^{2}={ }^{\otimes n}\left\langle\beta_{00}\right| \rho\left|\beta_{00}\right\rangle^{\otimes n} > 1-2^{-s}$ ,那么 $\rho$ 的最大的特征值一定大于等于 $1-$ $2^{-s}$ 。因此密度矩阵 $\rho$ 的摘的界是对角元素为 $1-2^{-s}, 2^{-s} /\left(2^{2 n}-1\right), 2^{-s} /\left(2^{2 n}-1\right), \cdots, 2^{-s} /\left(2^{2 n}-\right.$ 1)的对角密度矩阵 $\rho_{\max }$ 的摘。这个矩阵有一个最大的元素 $1-2^{-s}$ ,剩下的概率由剩下的 $2^{2 n}-1$个元素均分。因此
$$ \begin{equation*} S\left(\rho_{\max }\right)=-\left(1-2^{-s}\right) \log \left(1-2^{-s}\right)-2^{-s} \log \frac{2^{-s}}{2^{2 n}-1} \tag{12.199} \end{equation*} $$
得证。
根据霍列沃界(12.6),$S(\rho)$ 是 Eve 通过 Alice 和 Bob 对 $\rho$ 的测量结果可以得到信息的上界。这意味着,如果 QKD 协议可以为 Alice 和 Bob 提供至少 $1-2^{-s}$(概率很高)的 EPR 对保真度,那么它是安全的。
习题 12.30 简化式(12.199)得到引理中的结果。 习题12.31 为什么 $S(\rho)$ 的界能够限定 Eve 能从 Alice 和 Bob 测量结果得到的信息。请证明这个结论假设信道中发生的所有噪声都是 Eve 造成的。
协议如何对 Alice 和 Bob 的 EPR 对的保真度设置下限?关键思想是一个我们在 BB84 协议的描述中遇到过(习题 12.27 )的基于随机抽样的经典论点。然而,在考虑量子测量结果时,基于经典概率的论点可能不适用。贝尔不等式( 2.6 节)生动地证明了这一点。另一方面,如果考虑只涉及一个基础的测量观测值,量子实验就允许经典的概率解释。幸运的是,Alice 和 Bob 只需要在一个基础上进行测量,就可以保证 EPR 对的保真度。
根据式(10.14),通过噪声量子通道传输的量子比特可以描述为发生了以下四件事之一:无 $(I)$ ,比特翻转 $(X)$ ,相位翻转 $(Z)$ 或结合比特和相位翻转 $(Y)$ 。回想一下,贝尔态是以下四种:
$$ \begin{equation*} \left|\beta_{00}\right\rangle=\frac{|00\rangle+|11\rangle}{\sqrt{2}},\left|\beta_{10}\right\rangle=\frac{|00\rangle-|11\rangle}{\sqrt{2}},\left|\beta_{01}\right\rangle=\frac{|01\rangle+|10\rangle}{\sqrt{2}},\left|\beta_{11}\right\rangle=\frac{|01\rangle-|10\rangle}{\sqrt{2}} \tag{12.200} \end{equation*} $$
假设每一对量子比特的第二个比特是 Alice 发送给 Bob 的。如果一个位翻转错误发生了,那么 $\left|\beta_{00}\right\rangle$ 将要转为 $\left|\beta_{01}\right\rangle$ 。类似地,一个相翻转会得到新状态 $\left|\beta_{10}\right\rangle$ 。如果同时发生两个错误,那么得到的新状态为 $\left|\beta_{11}\right\rangle$(不考虑一些无关的全局相位偏转)。一个用来判断是否有位翻转发生的投影测量算符为 $\Pi_{\mathrm{bf}}=\left|\beta_{01}\right\rangle\left\langle\beta_{01}\right|+\left|\beta_{11}\right\rangle\left\langle\beta_{11}\right|$ 和 $I-\Pi_{\mathrm{bf}}$ ,类似地,用来判断相翻转的投影算符为 $\Pi_{\mathrm{pf}}=\left|\beta_{10}\right\rangle\left\langle\beta_{10}\right|+\left|\beta_{11}\right\rangle\left\langle\beta_{11}\right|$ 和 $I-\Pi_{\mathrm{pf}}$ 。由于这两种测量都是与贝尔基对易的,所以它们的结果服从经典的概率论。事实上,任何以贝尔基对易的度量也将满足相同的经典论点。
更准确地说,Alice 和 Bob 可以通过随机抽取 EPR 对的一个子集来确保它们的保真度。假设 Alice 将 $2 n$ 个 EPR 对的一半发送给 Bob。随后,他们随机选择其中的 $n$ 个,并通过共同测量 $\Pi_{\mathrm{bf}}$或 $\Pi_{\mathrm{pf}}$(同样,随机选择)来检查这些量子比特。根据 BB84 中随机抽样测试中使用的相同经典参数(习题 12.27 ),如果检测到 $\delta n$ 比特或相位翻转错误,那么剩余的 $n$ 个 EPR 对将有很高可能具有相同数量的错误,如果它们也将在贝尔基下进行测量。
贝尔态是非局部的,通常在贝尔基上的测量需要非局部操作,这可能很困难。然而幸运的是,在本方案中不需要它们,因为 $\Pi_{\mathrm{bf}}=(I \otimes I-Z \otimes Z) / 2$ 和 $\Pi_{\mathrm{pf}}=(I \otimes I-X \otimes X) / 2$ 。因此,Alice 和 Bob 可以通过在本地测量泡利算符(诸如 $X$ 或 $Z$ )从而完成所需的检查。
习题12.32 注意到 Alice 和 Bob 实施的本地测量,例如 $I \otimes X, ~ X \otimes I$ 与贝尔基不对易。证明尽管如此,Alice 和 Bob 从他们的测量中得出的统计数据与他们实际测量 $\Pi_{\mathrm{bf}}$ 和 $\Pi_{\mathrm{pf}}$ 时得到的数据相同。
因此正如前面所讨论,贝尔基中的随机抽样为 Alice 和 Bob 提供了一个状态为 $\left|\beta_{00}\right\rangle^{\otimes n}$ 的已知保真度的 EPR 对 $\rho$ ,这限制了 Eve 在 $\rho$ 上进行的任何测量能够得到的互信息。因为 $\rho$ 在密钥生成过程中十分有用,Alice 和 Bob 必须减少 Eve 能够得到的信息在一个十分小的范围内。这项任务可以通过将经典的隐私放大应用到他们的测量结果中来实现。同样,Alice 和 Bob 可以首先执行纠缠蒸馏,如 12.5.2 节所述,以获得非常接近于 $\left|\beta_{00}\right\rangle^{\otimes m}$ 的 $\rho^{\prime}$ ,其中 $m < n$ ,然后测量最终状态。这种"量子隐私放大"将对我们有用。
粗略的论证如下。纠缠蒸馏可以通过进行量子误差校正来实现。由于 $\rho$ 几乎可以确定有 $\delta n$ 误差,将这些量子比特编码在 $\delta n$ 校正量子误差校正码中,可以完美地校正多达 $\delta n$ 个误差。如 10.5.5 节和 10.5.8节所述,如果使用了 $[n, m]$ 的稳定码,则可以通过由代码检查矩阵行确定的泡利算符的测量来执行编码,综合测量和错误恢复。Alice 和 Bob 只需对其各自量子对的 $n$ 个量子比特执行相同的测量和恢复操作,产生一个误差校正状态,该状态相对于 $\left|\beta_{00}\right\rangle^{\otimes m}$ 具有保真度,保真概率为 1 减去发生大于 $\delta n$ 误差的概率。两人通过构造,综合测量在贝尔基上的结果是一致的,因为 Alice 和 Bob 进行同样的操作。
将随机采样和纠缠蒸馏片段放在一起,我们得到了图 12-14 所示的改进的 Lo-Chau 协议。关于这个协议的一些注释如下有序给出。在步骤 3 和 7 中执行的随机阿达玛转换在 Eve 的策略中在检测 $X$ 和 $Z$ 基编码的信息之间创建了一个对称性(从而导致 $X$ 和 $Z$ 错误)。它们还允许随机选择校验量子比特上的 $\Pi_{\mathrm{bf}}$ 或 $\Pi_{\mathrm{pf}}$ 测量值。步骤 9 中使用的特定程序对于任何稳定器代码都是合理的,如习题 12.34 所示。对于 CSS 码的式(10.74)的 Gilbert-Varshamov 界表明,对于较大的块长度,存在良好的量子码,因此可以选择足够大的 $n$ ,对于一个可以检错 $\delta n$ 的 $[n, m]$ 量子码,可以满足安全性准则。 习题12.33 假设 $\left\{M_{1}, M_{2}, \cdots, M_{n}\right\}$ 是我们作用在状态 $\rho$ 上的一系列测量,得到对应的结果为 $X_{i}$ 。判断如果 $\left[M_{i}, M_{j}\right]=0$(也就是它们彼此对易),是否有 $X_{i}$ 服从经典概率论。
习题12.34(通过校验的纠缠蒸馏)在 10.5.8 节中,我们可以通过在任意 $n$ 比特状态测量量子
比特稳定子编码的生成函数 $g_{1}, \cdots, g_{n-m}$ 来构造 $[n, m]$ 量子稳定子编码的码,然后应用泡利操作将结果变成生成函数的特征值为 +1 的特征状态。利用这一思路,证明如果我们从 $n$ 个处于 $\left|\beta_{00}\right\rangle^{\otimes n}$ 状态的 EPR 对开始,对两个 $n$ 量子比特进行相同的测量,然后进行泡利操作以纠正两个对应的状态之间测量结果的差异,那么我们得到一个编码的 $\left|\beta_{00}\right\rangle^{\otimes m}$ 状态。并证明如果这个稳定子可以纠正 $\delta n$ 的错误,那么如果 $\delta n$ 的错误发生在其中某一半的 $n$ 比特上,我们仍然能够得到编码的 $\left|\beta_{00}\right\rangle^{\otimes m}$ 。
1.Alice 创建 $2 n$ 个 EPR 对,状态为 $\left|\beta_{00}\right\rangle^{\otimes 2 n}$ 。 2.Alice 随机选择 $2 n$ 对 EPR 中的 $n$ 对作为检查,以检查 Eve 的干扰。确保 Eve 还没有对这些 EPR 对做任何事。
3.Alice 选择一个随机 $2 n$ 比特字符串 $b$ ,并对每对 $b$ 为 1 的第二个量子比特执行阿达玛转换。
4.Alice 把每对的第二个量子比特送给 Bob。 5.Bob 收到量子比特,并公布这一事实。 6.Alice 宣布 $n$ 个量子比特的 $b$ 提供为密钥校验比特。 7. Bob 在 $b$ 为 1 的量子比特上执行阿达玛转换。 8.Alice 和 Bob 分别在 $|0\rangle,|1\rangle$ 的基础上测量 $n$ 个校验量子位比特并公开分享结果。如果有超过 $t$ 的比特不一致,他们就会中止协议。
9.Alice 和 Bob 根据预先确定的 $[n, m]$ 量子码的校验矩阵测量剩余的 $n$个量子比特,校正最多 $t$ 个错误。他们共享结果,计算总体的错误,然后纠正它们的状态,得到 $m$ 个近乎完美的 EPR 对。
10.Alice 和 Bob 在 $|0\rangle,|1\rangle$ 基础上测量 $m$ 个 EPR 对,以获得共享密钥。 图 12-14 一个利用完美的量子计算机,纠错和 EPR 对随机测试的安全的 QKD 协议
改进 Lo-Chau 协议利用量子误差校正来执行纠缠蒸馏,其本质建立在 EPR 协议之上。纠缠是一种脆弱的资源,量子纠错通常需要强大的量子计算机,而这一点很难实现。然而幸运的是,该协议可以通过一系列步骤进行系统简化,每个步骤都可以证明不会损害方案的安全性。让我们从消除分发 EPR 对的需要开始。
请注意,Alice 在修改后的 Lo-Chau 协议结束时所进行的测量可以从一开始就进行,而对其他人所持有的任何一个状态都没有变化。Alice 在步骤 8 中对 EPR 对的一半检查进行的测量将这些对折叠成 $n$ 个单量子比特,因此 Alice 可以简单地发送单量子比特,而不是发送纠缠态。以下是我们需要修改的步骤 $1^{\prime}$ :Alice 创造 $n$ 个随机的校验比特和 $n$ 对状态为 $\left|\beta_{00}\right\rangle^{\otimes n}$ 的 EPR 对。他可以根据校验比特编码为 $n$ 个状态为 $|0\rangle$ 或 $|1\rangle$ 的量子比特。 $2^{\prime}$ :Alice 随机选择 $n$ 个位置(从 $2 n$ 中选择),并将校验比特放在这些位置,其余位置则放每对 EPR 的一个。 $8^{\prime}: \operatorname{Bob}$ 在 $|0\rangle,|1\rangle$ 基上测量 $n$ 位校验比特,并且将测量结果与 Alice 共享。如果超过 $t$ 个不同,他们中止此协议。
同样,Alice 在步骤 9 和步骤 10 中的测量可以将 EPR 对坍缩成随机量子码中码的随机量子编码。这可以通过以下方式实现。我们将在本节剩余部分使用的一种特别方便的代码选择是 $C_{1}$在 $C_{2}$ 上的 $[n, m] \operatorname{CSS}$ 代码, $\operatorname{CSS}\left(C_{1}, C_{2}\right)$ ,它将 $m$ 个量子比特编码为 $n$ 个量子比特,并可以纠正最多 $t$ 个错误。回忆 10.4.2 节,对于该代码,$H_{1}$ 和 $H_{2}^{\perp}$ 是对应经典代码 $C_{1}$ 和 $C_{2}^{\perp}$ 的奇偶校验矩阵,其中每个码字状态为
$$ \begin{equation*} \frac{1}{\sqrt{\left|C_{2}\right|}} \sum_{w \in C_{2}}\left|v_{k}+w\right\rangle \tag{12.201} \end{equation*} $$
其中 $v_{k}$ 是 $C_{2}$ 在 $C_{1}$ 的 $2^{m}$ 个陪集的一个代表(记号 $v_{k}$ 用来表示一个由密钥 $k$ 索引的向量 $v$ )。再回忆存在一类与此编码等价的编码 $\mathrm{CSS}_{z, x}\left(C_{1}, C_{2}\right)$ ,码字状态为
$$ \begin{equation*} \left|\xi_{v_{k}, z, x}\right\rangle=\frac{1}{\sqrt{\left|C_{2}\right|}} \sum_{w \in C_{2}}(-1)^{z \cdot w}\left|v_{k}+w+x\right\rangle \tag{12.202} \end{equation*} $$
这些状态组成了一个 $2^{n}$ 维的希尔伯特空间的正交基(见习题12.35),之后我们可以将 Alice 的 EPR 对写作
$$ \begin{equation*} \left|\beta_{00}\right\rangle^{\otimes n}=\sum_{j=0}^{2^{n}}|j\rangle|j\rangle=\sum_{v_{k}, z, x}\left|\xi_{v_{k}, z, x}\right\rangle\left|\xi_{v_{k}, z, x}\right\rangle \tag{12.203} \end{equation*} $$
注意,在这个表达式中,我们将标签分为两组,第一组表示 Alice 保留的量子比特,第二组表示发送给 Bob 的量子比特。当 Alice 在步骤 9 中测量其量子比特上与 $H_{1}$ 和 $H_{2}^{\perp}$ 相对应的稳定生成子时,她得到 $x$ 和 $z$ 的随机值,同样,步骤 10 中的最终测量也给了她随机选择的 $v_{k}$ 。剩下的 $n$个量子比特因此留在状态 $\left|\xi_{v_{k}, z, x}\right\rangle$ ,这是 $\operatorname{CSS}_{z, x}\left(C_{1}, C_{2}\right)$ 中 $v_{k}$ 的码。这只是一个 $2^{m}$ 量子比特的编码后的 $|k\rangle$ 。因此如上所述,Alice 的测量产生随机编码的随机量子比特。
因此,Alice 可以不发送 EPR 对的一半比特给 Bob,而等价地随机选择 $x, z, k$ ,然后用 $\mathrm{CSS}_{z, x}$ $\left(C_{1}, C_{2}\right)$ 编码 $|k\rangle$ ,发送给 Bob $n$ 量子比特。我们改进以下步骤: $1^{\prime \prime}$ :Alice 创建 $n$ 个随机校验比特,一个随机 $m$ 位密钥 $k$ 和两个随机 $n$ 位字符串 $x$ 和 $z$ 。她用 $\operatorname{CSS}_{z, x}\left(C_{1}, C_{2}\right)$ 编码 $|k\rangle$ 。还根据校验位将 $n$ 个量子比特编码为 $|0\rangle$ 或 $|1\rangle_{\circ} 2^{\prime \prime}$ :Alice 随机选择 $n$ 个位置( $2 n$ 个位置中的),把校验量子比特放在这些位置,把编码的量子比特放在其余位置。 $6^{\prime}$ :Alice 宣布 $b, x, z$ ,其中有 $n$ 个量子比特提供校验比特。 $9^{\prime}: ~ B o b$ 从 $\operatorname{CSS}_{z, x}\left(C_{1}, C_{2}\right)$ 解码剩余的 $n$ 个量子比特。 $10^{\prime}$ :Bob 测量他的量子比特以获得共享密钥 $k$ 。
所得到的方案称为 CSS 代码协议,如图 12-15 所示。 习题12.35 证明式(12.202)内定义的状态 $\left|\xi_{v_{k}, z, x}\right\rangle$ 组成了一个 $2^{n}$ 维希尔伯特空间的正交基,也就是
$$ \begin{equation*} \sum_{v_{k}, z, x}\left|\xi_{v_{k}, z, x}\right\rangle\left\langle\xi_{v_{k}, z, x}\right|=I \tag{12.204} \end{equation*} $$
提示:对于一个 $\left[n, k_{1}\right]$ 的码 $C_{1}$ ,一个 $\left[n, k_{2}\right]$ 的码 $C_{2}$ ,并且 $m=k_{1}-k_{2}$ ,注意到有 $2^{m}$ 个不同的值 $v_{k}, 2^{n-k_{1}}$ 个不同的 $x$ ,和 $2^{k_{2}}$ 个不同的 $z$ 。
> $1^{\prime \prime}$ Alice 创建 $n$ 个随机校验比特,一个随机 $m$ 位密钥 $k$ 和两个随机 $n$ 位字符串 $x$ 和 $z$ 。她用 $\mathrm{CSS}_{z, x}\left(C_{1}, C_{2}\right)$ 编码 $|k\rangle$ 。还根据校验位将 $n$ 个量子比特编码为 $|0\rangle$ 或 $|1\rangle$ 。 > $2^{\prime \prime}$ Alice 随机选择 $n$ 个位置( $2 n$ 个位置中的),把校验量子比特放在这些位置,把编码的量子比特放在其余位置。
> 3 Alice 选择一个随机 $2 n$ 比特字符串 $b$ ,并对每对 $b$ 为 1 的第二个量子比特执行阿达玛转换。
> 4 Alice 把每对的第二个量子比特送给 Bob。 > 5 Bob 收到量子比特,并公布这一事实。 > $6^{\prime}$ Alice 宣布 $b, x, z$ ,其中有 $n$ 个量子比特提供校验比特。 > 7 Bob 在 $b$ 为 1 的量子比特上执行阿达玛转换。 > $8^{\prime} \mathrm{Bob}$ 在 $|0\rangle,|1\rangle$ 基上测量 $n$ 位校验比特,并且将测量结果与 Alice 共享。如果超过 $t$ 个不同,他们中止此协议。 > $9^{\prime}$ Bob 从 $\operatorname{CSS}_{z, x}\left(C_{1}, C_{2}\right)$ 解码剩余的 $n$ 个量子比特。 > $10^{\prime} \mathrm{Bob}$ 测量他的量子比特以获得共享密钥 $k$ 。
图 12-15 利用 CSS 编码改进后的 Lo-Chau 协议,一个安全的 QKD 协议 习题 12.36 验证式(12.203)。 习题12.37 有另一种方式理解为什么 Alice 在步骤9和步骤 10 的测量可以将 EPR 对坍缩到编码在随机位置上的随机码。假设 Alice 有一个 EPR 对 $|00\rangle+|11\rangle / \sqrt{2}$ 。证明如果她测量的第一个量子比特是在 $X$ 基上,那么另一个量子比特根据测量结果坍缩到 $X$ 的特征向量上。同样地,证明如果她测量的第一个量子比特是在 $Z$ 基上,那么另一个量子比特根据测量结果坍缩到 $Z$ 的特征向量上。利用这个结论和 10.5 .8 节的结果得到结论,根据 Alice 的测量在 EPR 对上 $H_{1}, H_{2}^{\perp}, \bar{Z}$ 结果,她可以得到一个随机的 $\operatorname{CSS}_{z, x}\left(C_{1}, C_{2}\right)$ 编码的密钥。
因为改进的 QKD 协议没有明显地使用 EPR 对,CSS 编码改进的 QKD 协议对 Lo-Chau 协议可以进行适当减少变得安全而更简单。然而它仍然不令人满意,因为它仍需要完美的量子计算来执行编码和解码(而不仅仅是单个量子比特的准备和测量),Bob 需要在等待来自 Alice 的通信时将量子比特临时存储在量子内存中。然而,使用 CSS 代码可以消除这两个需求,主要是因为它们将相位翻转校正与位翻转校正分离。
首先请注意,Bob 在解码后立即在 $Z$ 基础上测量他的量子比特;因此,Alice 作为 $Z$ 发送的相位校正信息是不必要的。由于 $C_{1}$ 和 $C_{2}$ 是经典代码,因此他可以立即测量以获得 $v_{k}+w+x+\epsilon$ (其中,由于信道和 Eve,$\epsilon$ 表示一些可能的错误),然后经典地解码:减去 Alice 公布的 $x$ 值,然后将结果更正为 $C_{1}$ 中的一个码字,该码字肯定是 $v_{k}+w$ ,如果此时没有超过代码的距离,则最后密钥 $k$ 是 $v_{k}+w+C_{2}$ 在 $C_{1}$ 中的陪集的陪集(此符号与陪集的解释见附录 B )。如下所示: $9^{\prime \prime}: \mathrm{Bob}$ 测量剩下的量子比特,得到 $v_{k}+w+x+\epsilon$ ,并且减去 $x$ ,利用 $C_{1}$ 纠正为 $v_{k}+w$ 。 $10^{\prime \prime}$ :Bob 计算 $v_{k}+w+C_{2}$ 在 $C_{1}$ 中的陪集的陪集得到密钥 $k$ 。
其次,因为 Alice 不需要公布 $z$ ,她实际上发布的状态是一个混合态,平均取遍 $z$ 的所有取值,
$$ \begin{align*} \rho_{v_{k}, x} & =\frac{1}{2^{n}} \sum_{z}\left|\xi_{v_{k}, z, x}\right\rangle\left\langle\xi_{v_{k}, z, x}\right| \tag{12.205}\\ & =\frac{1}{2^{n}\left|C_{2}\right|} \sum_{z} \sum_{w_{1}, w_{2} \in C_{2}}(-1)^{z \cdot\left(w_{1}+w_{2}\right)}\left|v_{k}+w_{1}+x\right\rangle\left\langle v_{k}+w_{2}+x\right| \tag{12.206}\\ & =\frac{1}{\left|C_{2}\right|} \sum_{w \in C_{2}}\left|v_{k}+w+x\right\rangle\left\langle v_{k}+w+x\right| \tag{12.207} \end{align*} $$
这个状态很容易制造,Alice 只需要经典地随机选择 $w \in C_{2}$ ,然后利用她随机生成的 $x, k$ 制造 $\left|v_{k}+w+x\right\rangle$ 。因此我们有: $1^{\prime \prime \prime}$ :Alice 创造 $n$ 个随机的校验比特,一个随机的 $n$ 比特字符串 $x$ ,一个随机的 $v_{k} \in C_{1} / C_{2}$和一个随机的 $w \in C_{2}$ 。她根据校验比特将 $n$ 个量子比特编码为 $|0\rangle$ 或 $|1\rangle$ 并根据 $v_{k}+w+x$ 将 $n$个量子比特编码为 $|0\rangle$ 或 $|1\rangle$ 。 $1^{\prime \prime \prime}$ 和 $9^{\prime \prime}$ 还可以进一步简化,只需要轻微改动 $6^{\prime}$ 。目前,Alice 发送 $\left|v_{k}+w+x\right\rangle$ ,Bob 接收并测量得到 $\left|v_{k}+w+x+\epsilon\right\rangle$ ,然后 Alice 发送 $x$ ,Bob 减去 $x$ 得到 $v_{k}+w+\epsilon$ 。但是如果 Alice 选择 $v_{k} \in C_{1}$(与 $C_{1} / C_{2}$ 相反),那么 $w$ 是不必要的。此外,$v_{k}+x$ 是一个完全随机的 $n$ 位字符串,如果 Alice 随机选择 $x$ 并发送 $|x\rangle$ ,Bob 接收并测量以获得 $x+\epsilon$ ,则相当于 Alice 发送 $x-v_{k}$ ,Bob减去 $x-v_{k}$ 以获得 $v_{k}+\epsilon_{\circ}$ 现在,随机校验比特和编码比特之间没有区别!我们做以下改变: $1^{\prime \prime \prime \prime}$ :Alice 选择一个随机 $v_{k} \in C_{1}$ ,根据 $2 n$ 随机位在 $|0\rangle$ 或 1$\rangle$ 状态下创建 $2 n$ 个量子比特。 $2^{\prime \prime \prime}$ :Alice 随机选择 $n$ 个位置(从 $2 n$ 中),将其指定为校验比特,其余的为 $x \circ 6^{\prime \prime}$ :Alice 宣布 $b, x-v_{k}$ ,其中 $n$ 个量子比特将提供校验比特。 $9^{\prime \prime \prime}: \mathrm{Bob}$ 测量剩余的量子比特以得到 $x+\epsilon$ ,并从结果中减去 $x-v_{k}$ ,用代码 $C_{1}$ 校正以获得 $v_{k} \circ 10^{\prime \prime}$ :Alice 和 Bob 计算 $C_{1}$ 中 $v_{k}+C_{2}$ 的陪集,得到密钥 $k$ 。
接下来,注意到 Alice 不需要进行阿达玛操作(尽管在实践中,单量子比特操作并不难用光子完成)。她可以直接根据 $b$ 的取值编码到 $|0\rangle,|1\rangle(Z)$ 或 $|+\rangle,|-\rangle(X)$ : $1^{\prime \prime \prime \prime \prime}$ :Alice 创造 $(4+\delta) n$ 个随机比特,对于这些比特,她在创造时根据随机字符串 $b$ 决定基于 $|0\rangle,|1\rangle$ 或 $|+\rangle,|-\rangle$ 。
我们几乎完成了:编码和解码现在可以经典地进行。剩下的问题是取消对量子内存的需要。为了解决这个问题,假设 Bob 在收到 Alice 的量子比特后立即进行测量,随机选择以 $X$ 或 $Z$ 为基进行测量。当 Alice 随后宣布 $b$ 时,他们只保留那些测量基恰好相同的比特。这使得 Bob 可以完全不需要量子存储设备。请注意,它们很可能会丢弃一半的比特,因此为了获得与以前相同的
密钥位数,它们应该从原始随机位数的两倍以上的一点(例如 $\delta$ )开始。当然,Alice 现在在到丢弃的步骤之前,必须推迟选择哪些比特是校验比特。这为我们提供了最终的协议,如图 12-16 所示。该方案与 BB84 完全相同,仅存在细微的外观差异。注意经典代码 $C_{1}$ 的使用如何执行信息协调,$v_{k}+C_{2}$ 在 $C_{1}$ 中陪集的计算如何执行隐私放大(参见 12.6.2 节)。
总之,我们已经系统地证明了 BB84 量子密钥分发协议的安全性,从一个要求完美的量子计算和量子存储器的明显安全方案开始,系统地将其减少到 BB84。由于只做了一些修改,使 Eve的量子态(以所有公布的经典信息为条件)保持不变,我们得出结论:BB84 是安全的。当然,还有一些值得注意的事。这个证明仅用于理想状况:所有需要传送的状态都能制备得与预想一致。在实践中,量子比特源是不完美的;举例而言,这种源通常是用经过激光衰减后产生的单光子来代表量子比特(如 7.4.1 节所述)。此外,该证明对 Alice 和 Bob 在解码过程中必须付出的努力没有任何限制;对于实际的密钥分发,$C_{1}$ 必须有效地可解码。这个证明也没有提供一个可以容忍窃听的上限;它使用 $\operatorname{CSS}$ 编码,这不是最佳的。据估计,使用类似于 BB84 的协议,比特和相位误差率高达 $11 \%$ 是可以接受的,但借助量子计算机进行编码和解码,更高的误差率可能是可以接受的。量子密码学的终极能力是一个有趣的开放性问题,我们期望有关计算和通信物理极限的这些基本问题在未来继续引起研究者的兴趣和挑战。
1.Alice 创建 $(4+\delta) n$ 个随机比特。 2.Alice 根据一个随机的字符串 $b$ 创造以 $X$ 或 $Z$ 为基的每一个量子比特。 3.Alice 把生成的量子比特发给 Bob。 4.Alice 随机选择 $v_{k} \in C_{1}$ 。 5.Bob 收到量子比特,并公布这一事实,然后随机在 $X$ 或 $Z$ 基上测量。 6.Alice 宣布 $b$ 。 7.Alice 和 Bob 丢弃两人基不同的比特,最少还有 $2 n$ 比特剩余,如果没有,就中止协议。Alice 随机选择 $2 n$ 比特继续使用,随机选择其中 $n$ 个作为校验比特,并宣布选择。
8.Bob 与 Alice 公开比较他们的校验位。如果超过 $t$ 个不同,他们中止此协议。Alice 还剩 $n$ 位字符串 $x$ ,而 Bob 此时还有 $x+\epsilon$ 。
9.Alice 公布 $x-v_{k}$ ,Bob 将自己的结果减去这个数值,用 $C_{1}$ 矫正得到 $v_{k}$ 。 10.Alice 和 Bob 计算 $C_{1}$ 中 $v_{k}+C_{2}$ 的陪集,得到密钥 $k$ 。 图 12-16 最终的 QKD 协议是通过对 CSS 编码协议进行系统化简而给出的,它与 BB84 协议完全相同(只在外观上有细微的差异)。为了清楚起见,我们去掉了/符号
习题12.38 证明如果你能够区分两个非正交的状态,那么就有可能破坏 BB84 的安全性,实际上,所有我们已经描述过的 QKD 协议都可以被破坏。
问题 12.1 我们将要用另一个方式证明霍列沃界。定义霍列沃 $\chi$ 为
$$ \begin{equation*} \chi \equiv S(\rho)-\sum_{x} p_{x} S\left(\rho_{x}\right) \tag{12.208} \end{equation*} $$
1.假设量子系统包含两个部分,$A$ 和 $B$ 。证明
$$ \begin{equation*} \chi_{A} \leqslant \chi_{A B} \tag{12.209} \end{equation*} $$
(提示:引人一个与 $A B$ 相关的附加系统,并应用强次可加性。) 2.令 $\mathcal{E}$ 是一个量子算符,利用先前结论证明
$$ \begin{equation*} \chi^{\prime} \equiv S(\mathcal{E}(\rho))-\sum_{x} p_{x} S\left(\mathcal{E}\left(\rho_{x}\right)\right) \leqslant \chi \equiv S(\rho)-\sum_{x} p_{x} S\left(p_{x}\right) \tag{12.210} \end{equation*} $$
也就是说,霍列沃 $\chi$ 随着量子操作减少,这是一个非常重要且有用的结论。 3.令 $E_{y}$ 是一组 POVM 的元素。利用有正交基 $|y\rangle$ 的"仪器"系统 $M$ 来增强量子系统。定义一个量子操作
$$ \begin{equation*} \mathcal{E}(\rho \otimes|0\rangle\langle 0|) \equiv \sum_{y} \sqrt{E_{y}} \rho \sqrt{E_{y}} \otimes|y\rangle\langle y| \tag{12.211} \end{equation*} $$
其中 $|0\rangle$ 是 $M$ 的一些标准的纯态。证明在执行完 $\mathcal{E}$ 后,$\chi_{M}=H(X: Y)$ ,利用这个结论和前面结果证明下面式子
$$ \begin{equation*} H(X: Y) \leqslant S(\rho)-\sum_{x} p_{x} S\left(\rho_{x}\right) \tag{12.212} \end{equation*} $$
霍列沃界即得证。 问题12.2 这个问题的结果是前一个问题的延伸。通过证明克隆两个非正交纯态的程序必须增加 $\chi$ 来证明量子的不可克隆定理。 问题12.3 对于给定的量子源和压缩率 $R > S(\rho)$ ,设计一个实现压缩率 $R$ 压缩方案的量子电路。问题12.4(线性禁止克隆)假设我们有一个有两个插槽的量子机器,插槽为 $A$ 和 $B$ 。插槽 $A$是初态为未知的量子状态的数据插槽。这是要复制的状态。插槽 $B$ 是目标槽,初态为一些标准的量子态 $\sigma$ 。我们假设任何复制过程在初始状态下都是线性的,
$$ \begin{equation*} \rho \otimes \sigma \rightarrow \mathcal{E}(\rho \otimes \sigma)=\rho \otimes \rho \tag{12.213} \end{equation*} $$
其中 $\mathcal{E}$ 是一些线性函数,证明如果 $\rho_{1} \neq \rho_{2}$ 为密度算符且满足
$$ \begin{align*} & \mathcal{E}\left(\rho_{1} \otimes \sigma\right)=\rho_{1} \otimes \rho_{1} \tag{12.214}\\ & \mathcal{E}\left(\rho_{2} \otimes \sigma\right)=\rho_{2} \otimes \rho_{2} \tag{12.215} \end{align*} $$
那么所有 $\rho_{1}$ 和 $\rho_{2}$ 的叠加态不能够被这个程序正确复制。
问题12.5(量子信道的经典容量——研究)乘积态容量(12.71)是有噪声量子信道对经典信息的真实容量,也就是信道的允许存在纠缠的输人时的容量吗?
问题12.6(达到容纳能力的方法——研究)找到一种有效的代码构造,该代码能够接近经典信息的噪声量子通道的乘积态容纳能力(12.71)。
问题12.7(量子通道容量——研究)找到一种评估给定量子通道 $\mathcal{E}$ 传输量子信息能力的方法。
无克隆:没有量子设备能够在给定一个随机的 $|\psi\rangle$ 的情况下制备出 $|\psi\rangle|\psi\rangle$ 。 霍列沃界:当试图区分量子态 $\rho_{x}$ 与概率分布 $p_{x}$ 时,最大可获取的经典信息是
$$ H(X: Y) \leqslant \chi \equiv S\left(\sum_{x} p_{x} \rho_{x}\right)-\sum_{x} p_{x} S\left(\rho_{x}\right) $$
Schumacher 量子无噪声信道编码定理:$S(\rho)$ 可以解释为忠实地表示由 $\rho$ 描述的量子源所需的量子比特数。
Holevo-Schumacher-Westmoreland 定理:噪声量子信道 $\mathcal{E}$ 经典信息的容量由下式给出:
$$ \begin{equation*} C(\mathcal{E})=\max _{\left\{p_{x},\left|\psi_{x}\right\rangle\right\}} S\left(\sum_{x} p_{x} \mathcal{E}\left(\left|\psi_{x}\right\rangle\left\langle\psi_{x}\right|\right)\right)-\sum_{x} p_{x} S\left(\mathcal{E}\left(\left|\psi_{x}\right\rangle\left\langle\psi_{x}\right|\right)\right) \tag{12.216} \end{equation*} $$
纠缠变换的优化条件:Alice 可以利用本地操作和经典交流将 $|\psi\rangle$ 转化为 $|\varphi\rangle$ ,当且仅当 $\lambda_{\psi} \prec$ $\lambda_{\varphi}$ ,其中 $\lambda_{\psi}$ 是 $|\psi\rangle$ 约化密度矩阵特征值对应的特征向量( $\lambda_{\varphi}$ 同理)。
纯态纠缠蒸馏和稀释:当 $n \rightarrow \infty$ ,Alice 和 Bob 可以通过局部运算和经典通信在联合态 $|\psi\rangle$和 $n S(\rho)$ 贝尔对的 $n$ 个副本之间进行转换,其中 $\rho$ 是约化密度矩阵。
量子密码学:通过使用非正交量子态与 BB84 等协议进行通信,可以证明密钥分配是安全的。由于信息增益意味着干扰,对信道的窃听将导致可检测的错误率增加。
Cover 和 Thomas ${ }^{[C T 91]}$ 写的书是对古典信息论的极好介绍。寻找更高级但仍然可读的信息论处理方法的读者应参考 Csisz'ar 和 K"orner 的著作 ${ }^{[C K 81]}$ 。值得一读的还有香农的原始论文,它是 20 世纪最具影响力的科学之一。香农和 Weaver ${ }^{[S W 49]}$ 在一本书中重印了这些内容。Bennett 和 Shor ${ }^{[\text {BS98]}}$ 以及 Bennett 和 Divincenzo ${ }^{[\mathrm{BDD00]}}$ 撰写了有关量子信息论的优秀评论文章。
不可克隆定理是由 Dieks ${ }^{[D i e 82]}$ 及 Wootters 和 Zurek ${ }^{[W Z 82]}$ 提出的。大量的工作已经完成,扩展了这些结果。到目前为止,大多数论文都考虑到克隆的各种方案,这些方案在某些特定的方面很有趣——它们优化了克隆忠诚度的某些度量,或者是人们希望克隆拥有的其他属性。我们不打算在这里对这项工作进行全面回顾,但请注意,其中许多论文可以在 arxiv.org 上的 quant-ph 中找到。一些特别感兴趣的论文包括:Barnum,Caves,Fuchs,Jozsa 和 Schumacher $\left.{ }^{\left[B C F^{+}\right.} 96\right]$ 将不可克隆定
理的应用范围扩展到混态和非单一克隆设备;Mor ${ }^{[M o r 98]}$ 关于复合系统状态的克隆;Westmoreland和 Schumacher ${ }^{[W S 98]}$ 关于克隆与超光速通信之间可能的等效性;以及 Enk ${ }^{[v a n 98 b]}$ 的反驳。
1964年,戈登(Gordon)${ }^{[G o r 64]}$ 推测了霍列沃界,1973年,霍列沃 ${ }^{[H o l 73]}$ 证实了这一点。我们给出的概念上简单的证明是基于难以证明的强次可加性不等式,但是霍列沃使用了一种更直接的方法,该方法已被 Fuchs 和 Caves 简化 ${ }^{[\mathrm{FC} 94]}$ 。通过强次可加性的方法归因于 Yuen 和 Ozawa ${ }^{[\mathrm{YO933}]}$ ;另见 Schumacher,Westmoreland 和 Wootters ${ }^{[5 W W 96]}$ 。
经典的无噪声信道编码定理源于香农 ${ }^{[S h a 48, ~ S W 49]}$ 。量子无噪声信道编码定理是 Schumacher ${ }^{[S c h 95]}$提出的,并在一篇综合介绍量子信息论的许多基本概念的开创性论文中进行了描述,这些基本概念包括源,保真度测量及量子态作为信息论中可以处理的资源的概念。这最后一次观察,虽然简单但深刻,是 Schumacher 在现在普遍存在的术语"qubit"的论文中的介绍所推动的,归因于 Schumacher 和 Wootters 之间的对话。Jozsa 和 Schumacher ${ }^{[\text {[S94]}}$ 的一篇论文简化了 Schumacher 的原始方法;这篇论文早于[Sch95]发表,但后来才见刊。这些论文是基于习题 12.8 中讨论的合奏平均保真度度量,而不是我们在这里给出的基于纠缠保真度的证明,这是基于 Nielsen ${ }^{[\mathrm{Nie9} 98]}$ 的方法。 Schumacher 以及 Schumacher 和 Jozsa 的原作中有一个小漏洞被 Barnum,Fuchs,Jozsa 和 Schu- macher 的论文证明 ${ }^{[B F J S 96]}$ 。M.Horodecki ${ }^{[H o r 97]}$ 随后为同样的结果提供了一个更有力的证明,这也为混合态系综的量子数据压缩理论指明了方向。专题 12.4 中描述的压缩方案,即 Cover 的枚举编码方法的量子模拟 ${ }^{[C T 91]}$ ,最初归因于 Schumacher ${ }^{[\text {[Sch95]}}$ ,其量子电路由 Cleve 和 Divincenzo ${ }^{[C D 96]}$明确给出。Braunstein,Fuchs,Gottesman 和 Lo 对此进行了概括,以提供赫夫曼编码(BFGL98)的量子模拟,以及提供算术编码的 Chuang 和 Modha ${ }^{[\mathrm{CM00]}}$ 。
Holevo-Schumacher-Westmoreland(HSW)定理有一段有趣的历史。1979年,霍列沃 ${ }^{[H 0179]}$ 首先讨论了它所解决的问题,他在这个问题上取得了一些部分进展。在未注意的情况下,Hausladen, Jozsa,Schumacher,Westmoreland 和 Wootters $\left.{ }^{[\mathrm{HJS}}{ }^{+} 96\right]$ 在 1996 年解决了这个问题的一个特殊案例。霍列沃 ${ }^{[H 0198]}$ 和 Schumacher 及 Westmoreland ${ }^{[S W 97]}$ 独立地证明了 HSW 定理,给出了噪声量子信道对经典信息的乘积态容量。Fuchs ${ }^{[F u c 97]}$ 描述了一些有趣的产品状态容量的例子,其中状态集合最大化容量表达式(12.71)包含非正交成员。King 和 Ruskai ${ }^{[K R 99]}$ 在显示乘积态容量与不受乘积态限制的容量相同的问题上取得了一些有希望的进展,但总体问题仍然是开放的。
摘交换由 Lindblad ${ }^{[\text {Lin91]}] ~}$ 定义,由 Schumacher ${ }^{[S c h 966]}$ 重新发现,Schumacher 证明了量子费诺不等式。在噪声量子信道容量的背景下,Lloyd ${ }^{[L l o 97]}$ 和 Schumacher 和 Nielsen ${ }^{[\mathrm{SN} 96]}$ 引入了相干信息;[SN96]证明了量子数据处理不等式。包含习题 12.15 中提到的不等式形式可以在 Nielsen博士论文[Nie98]中找到。目前尚未解决的确定量子通道容量的问题(问题 12.7 )有着有趣的历史。关于这个问题的最初工作来自几个不同的角度,可以从 Barnum,Nielsen 和 Schumacher 的论文[BNS98],Bennett,DiVincenzo,Smolin 和 Wootters 的论文[BDSW96],Lloyd 的论文[Llo97], Schumacher 的论文[Sch96b],Schumacher 和 Nielsen 的论文[SN96]中看到。通过 Barnum,Knill和 Nielsen ${ }^{[B K N 98]}$ 以及 Barnum,Smolin 和 Terhal ${ }^{[B S T 98]}$ 的著作,人们已经理解了其中几个观点的等效性。Bennett,Divincenzo 和 Smolin ${ }^{[B D S 97]}$ 为某些特定通道(尤其是量子擦除通道)建立了容量,Shor 和 Smolin ${ }^{[5 S 96]}$ 获得了去极化通道容量的下限,并对退化量子码进行了有趣的使用, Divincenzo,Shor 和 Smolin ${ }^{[\text {DSS98]}}$ 对其进行了改进。Zurek ${ }^{[\text {ZUur89],Milburn }}{ }^{[\text {Mil96 }]}$ 和 Lloyd ${ }^{[\text {LLo96]}}$ 分
析了量子麦克斯韦妖的例子,尽管只是没有在纠错的背景下。这里的分析基于 Nielsen,Caves, Schumacher 和 Barnum 的工作 ${ }^{[\mathrm{NCSB} 98]}$ 。Vedral ${ }^{[\mathrm{Ved99]}}$ 也在研究这一观点,以获得对纠缠蒸馏过程的限制。量子单子界限是由 Knill 和 Laflamme ${ }^{[K L 97]}$ 给出。证明是由 Preskill ${ }^{[\text {Pre98b]}}$ 给出。
关于纠缠的研究已经发展成为一个主要的研究领域,关于这一主题的论文太多了,甚至在这里都无法一一解释。再次,请参见 quant-ph 存档,网站为 arxiv.org。基于优化(定理12.15)的纠缠变换的条件是由 Nielsen ${ }^{[\text {Nie99a]}}$ 提出的。定理 12.13 是由 Uhlmann 提出的 ${ }^{[U h 171, ~ U h 172, ~ U h 173]}$ 。命题 12.14是由 Lo 和 Popescu ${ }^{[L P 97]}$ 提出。Jonathan 和 Plenio 发现了纠缠催化 ${ }^{[\text {[P99]}}$ 。Marshall 和 Olkin ${ }^{[\mathrm{MO}}{ }^{19]}$ 是对优化的全面介绍,包括伯克霍夫定理的证明。纠缠稀释和蒸馏的限制是由 Bennett,Bernstein, Popescu 和 Schumacher ${ }^{[B B P S 96]}$ 。混合态纠缠蒸馏协议由 Bennett,Brassard,Popescu,Schumacher, Smolin 和 Wootters ${ }^{\left[B B P^{+} 96\right]}$ 提出,与 Bennett,Divincenzo,Smolin 和 Wootters ${ }^{[B D S W 96]}$ 在开创性的论文中提出的量子误差校正的联系刺激了许多后续的研究。Gottesman 和 Nielsen(未出版)注意到图 12-11 中所示的示例。我们只提到了几篇关于特殊利益纠结的论文,这些论文可能成为学术的切人点;不幸的是,许多重要论文都被省略了。Horodecki家族成员(Michal,Pawel 和 Ryszard)发表的一系列论文深人研究了齿间隙的性质,特别是[HHH96,HHH98,HHH99a,HHH99b,HHH99c] Vedral 和 Plenio ${ }^{[\mathrm{VP98]}}$ 和 Vidal ${ }^{[V \mathrm{Vid98]}}$ 的论文也引起了极大的兴趣。
关于量子密码学的一个优秀的(早期)概述,请参阅 Bennett,Brassard 和 Ekert 在 Scientific American 中的文章[BBE92]。量子密码思想最早是在 20 世纪 60 年代末由 Wiesner 提出的。不幸的是,Wiesner 的思想没有被接受出版,直到 20 世纪 80 年代初才被人们知道。Wiesner 提出,如果量子态可以长期储存,那么它们可以被用作一种防伪货币 ${ }^{[W i e, ~ W i e 83]}$ 。Bennett 进一步制定了几项协议,其中一项导致了第一次实验性实施,由 Bennett,Bessette,Brassard,Salvail 和 Smolin ${ }^{\left[\mathrm{BBB}^{+} 92\right]}$完成,这项协议原则上具有历史意义,尽管它传输的信息不到一米,窃听是由一个响亮的嗡嗡声加速的,当电源发出一个"一"时,发出嗡嗡声!隐私放大的概念首先由 Bennett,Brassard和 Robert ${ }^{[B B R 88]}$ 介绍。有关信息协调协议,请参见[BBB $\left.{ }^{+} 92\right]$ 和[BS94]。定理12.16在 Bennett Brassard,CrèPeau 和 Maurer ${ }^{[B B C M 95]}$ 中阐述并证明,这是一种非常易读的隐私放大的一般处理方法。请注意,信息协调期间披露的信息对隐私放大阈值有重要影响,如 Cachin 和 Maurer ${ }^{[\mathrm{CM} 97]}$证明的定理 12.17 所界定的那样。隐私放大在使用远程相关随机源(如卫星感应到的星光)的经典密钥生成中有应用 ${ }^{[M a u 93]}$ 。名为 BB84 的四态协议以作者 Bennett 和 Brassard ${ }^{[B B 84]}$ 命名,同样,两态 B92 协议以 Bennett ${ }^{[B e n 92]}$ 命名。EPR 协议由 Ekert ${ }^{[E k e 91]}$ 设计。习题 12.27 中的随机抽样证明是由 Ambanis 提供的。量子密码学的局限性和安全性已经在许多出版物中得到了深人讨论。样本见 Barnett 和 Phoenix 的作品[BP93],Brassard 的作品[Bra93],Ekert,Huttner,Palma 和 Peres 的作品[EHPP94]以及[Phy92]。Schumacher 和 Westmoreland ${ }^{[5 W 98]}$ 认识到连贯信息和隐私之间的联系。关于量子密码系统的实验实现,已经发表了许多论文。有关详细介绍,请参阅 Hughes,Alde, Dyer,Luther,Morgan 和 Schauer $\left.{ }^{[H A D}{ }^{+} 95\right]$ ;日内瓦湖下量子密码学的演示由 Muller,Zbinden 和 Gisin ${ }^{[M Z G 96]}$ 完成。专题 12.7 中描述的实验是由 Bethune 和 Risk ${ }^{[B R 98, ~ B R 00]}$ 在 IBM 进行的,我们感谢他们的仪器原理图。现在有大量科学家给出了各种量子密钥分发协议在不同情况下安全性的大量证明。特别值得注意的是,Mayers ${ }^{[M a y 98]}$ 给出了一个完整的(和广泛的,但有些复杂的)关于 QKD 和 BB84 安全性的证明。Biham,Boyer,Brassard,van de Graaf 和 Mor 也考虑过对 BB84 的
攻击。Lo 和 Chau ${ }^{[L C 99]}$ 给出了一个更简单的证明,它使用了 EPR 态并要求完美的量子计算;也就是我们在 12.6 .5 节中开始使用的协议。 $\mathrm{Lo}^{[L 099]}$ 将其简化为在传输密钥内容之前,从确定错误率的测试开始。更简单(也更漂亮!)的在 12.6 .5 节中给出的证明是由 Shor 和 Preskill ${ }^{[S P 000]}$ 提供的,他们也给出了 12.6.5 节中提到的 $11 \%$ 的估计值。我们对这一证明的叙述也从与 Gottesman 的对话中受益匪浅。