量子ビットコミットメントの不可能性

ビットコミットメントは互いを信頼しない2者間のプロトコルです。アリスは秘密ビット0または1にコミットしたいが、まだ明かしたくありません。ボブは彼女が後で変えられないことを確認したいと思います。

任意のビットコミットメントスキームは2つの性質を満たす必要があります:

機械的には想像しやすいです。アリスは自分のビットを紙に書き、箱にロックし、ボブに箱を渡します。ボブは箱を持ちますが鍵を持たないので開けられません(隠蔽性)。アリスはもう箱を持っていないので、中身を入れ替えられません(拘束性)。時が来たら、鍵を送ってボブが開けます。

しかしこのプロトコル版は物理的仮定に依存します:完璧なロック、完璧な箱、改ざんの方法なし。目標は、物理的なロックボックスなしで、情報から同じものを構築することです。

ここに自然な量子プロトコルがあります。アリスはビットbにコミットしたいです。2つのセットの1つからランダム要素を選びます:

• guidePages.quantum-bit-commitment.quantumAttempt.bullet0
• guidePages.quantum-bit-commitment.quantumAttempt.bullet1

対応する量子ビットを準備しボブに送ります。ボブはそれを保管しまだ何もしません。

明かし時、アリスはボブに送った状態を正確に伝えます。ボブは対応する基底で測定し結果を確認します。一致しなければ、アリスは捕まります。

アリスが0にコミットしたなら、|0⟩または|1⟩を等確率で送りました。ボブはどちらかを知りません。彼の視点からは量子ビットは完全にランダム混合です。

アリスが1にコミットしたなら、|+⟩または|−⟩を等確率で送りました。同じ話:ボブの視点からは完全にランダム。

そしてここがオチ:それら2つのランダム混合は同一です。アリスが0にコミットしようが1にコミットしようが、ボブの視点は文字通り同じ密度行列です。隠蔽性は完全に成り立ちます。

アリスはすでに量子ビットをボブに送りました。もう触れません。だからコミットしたものを変えられないですよね?

拘束性は成り立つように見えます。しかし2つの性質のうち1つが間違っています。

アリスは正直な単一量子ビットを準備する必要はありません。代わりに2つの量子ビットWとXをもつれ状態で準備します。Xをボブに送り、Wを自分で保ちます。

ボブの視点からは、Xは以前とまったく同じに見えます。アリスが正直であるか量子もつれを使っているかの違いを判断できません。隠蔽性はまだ成り立ちます。

しかしアリスは実際にはまだ何にもコミットしていません。もつれペアの自分の半分を介してボブの量子ビットに量子ハンドルを保っています。

拘束性は完全に失敗しました。アリスはどちらのビットにもロックされていませんでした。ボブが送られた状態を見られなかったのでプロトコルは安全に見えました。ズルは状態が決して決定されていなかったことです。

これは賢いプロトコルの1つの欠陥ではありません。量子力学の動作の結果で、1996/1997年にDominic MayersとHoi-Kwong Lo & Hoi-Fung Chauによって独立に証明されました。議論は短いです。

量子プロトコルが完全に隠蔽であるためには、アリスが0にコミットしたか1にコミットしたかにかかわらず、ボブの視点が同一でなければなりません。密度行列の言語で:ボブ側でρ_B(0) = ρ_B(1)。

量子情報には定理があります(Hughston-Jozsa-Wootters):同じ密度行列の2つの純化が存在する場合、常にアリスが自分の量子ビットだけでできる、1つをもう1つに入れ替える変換があります。

その変換がアリスのズルです。彼女は常にコミットメントを0から1に(または逆に)ボブに知られずに切り替えられます。プロトコルを隠蔽にする条件は、アリスがズルできることを保証する同じ条件です。

BB84は量子力学が盗聴を検出可能にするから動きました。それが本物の量子優位性です。

ビットコミットメントは量子力学がコミットメントを強制不可能にするから失敗します。それが本物の量子限界です。

面白いこと:両側が同じ物理から来ます。量子もつれはBB84とE91が盗聴者を検出するものです。それはまたアリスがビットコミットメントでズルできるものです。量子力学は魔法ではありません。できることとできないことが特定にあります。