____________УЧЕНЫЕ ЗАПИСКИ КАЗАНСКОГО УНИВЕРСИТЕТА
Том 156, кн. 3 Физико-математические науки
2014
УДК 519.71
УНИВЕРСАЛЬНОЕ КВАНТОВОЕ ХЕШИРОВАНИЕ
Ф.М. Аблаев, М.Ф. Аблаев, А.В. Васильев
Аннотация
Предложен метод квантового хеширования, комбинирующий известные конструкции универсальных хеш-семейств с квантовыми односторонними функциями. Определено понятие квантового хеш-генератора и предложен подход для построения большого числа различных квантовых хеш-функций. Конструкция основана на объединении классических е-универсальных хеш-семейств и заданного семейства функций - квантового хеш-генератора. Предложенная конструкция обладает свойствами устойчивого представления информации классическими кодами с исправлением ошибок, а также возможностью высоконадежного представления информации квантовыми системами. В частности, предложена квантовая хеш-функция, основанная на коде Рида - Соломона, и доказано, что данная конструкция является оптимальной в смысле необходимого числа кубитов.
Ключевые слова: квантовые вычисления, квантовые коммуникации, квантовое хеширование.
Введение
Хеширование имеет ряд важных приложений в различных областях информатики, в частности, криптографические протоколы с открытым ключом основываются на криптографических хеш-функциях. Хеш-функции строятся так, чтобы преобразовывать входные последовательности большой длины (теоретически - любой длины) в короткие хеш-коды (на практике - фиксированной длины).
В последнее десятилетие появилось несколько подходов (в литературе известно по крайней мере два подхода) к построению понятия квантовой функции.
Первый подход предложен в работе [1], в которой определяется семейство «классически-классических» функций, аргументами и значениями которых являются классические последовательности. Такие функции предположительно являются односторонними не только для классических, но и для квантовых алгоритмов. Авторы называют их квантовыми односторонними функциями.
Другой подход к определению квантовой функции сформулирован в работе [2]. Их функции «классически-квантовые», то есть аргументами функции являются классические последовательности, значениями - квантовые состояния. Другая «классически-квантовая» функция определена в работе Бурмана и др. [3]. Данная функция построена на основе двоичных кодов, исправляющих ошибки (в [3] использованы коды Джастесена). В [2, 3] доказано, что предложенные функции являются односторонними в смысле невозможности восстановления исходного слова по его квантовому образу.
Путем использования «классически-квантовых» функций на основе двоичных кодов, исправляющих ошибки, предложены различные сценарии построения квантовых систем цифровой подписи [2, 4, 5].
В настоящей работе мы анализируем определенные в [2, 3] «классически-квантовые» функции и вводим понятие «классически-квантовой» хеш-функции,
7
8
Ф.М. АБЛАЕВ И ДР.
которое является естественным обобщением понятия «классически-квантовой» односторонней функции. Мы предлагаем «классически-квантовые» хеш-функции, исследуем их криптографические свойства, рассматриваем подходы к построению универсального квантового хеширования.
1. Предварительные сведения
Квантовая односторонняя функция была определена в [2]. Классически-кван-товой функцией будем называть функцию вида
ф : {0,1}n ^ (H2)®8, ф : w ^ \фЫ), где
(H2)®s = H2 = пт
обозначает 2s-мерное гильбертово пространство, описывающие состояния s кубит.
Пример 1. Слово w £ {0,1}n при начальном состоянии \ф(е)) = \0) = 1\0) + + 0\1) кубита кодируется в следующее состояние \ф(w)) кубита:
( 2 nw i—> cos ---
V 2n
Здесь двоичное слово w = wo ... wn-1 также рассматривается как число w = wo +
+ wi21 + ■ ■ ■ + wn-i 2n 1.
Очевидно, что разные последовательности w и v могут стать «практически неотличимыми», если вектора ^(w)) и \ф(v)) близки. Последнее будет нарушать требование стойкости к коллизиям.
Отметим, что в различных статьях (см., например, [4, 5]) также неявно подразумевается наличие дополнительного свойства, обеспечивающего устойчивость к квантовым коллизиям, при этом само понятие квантовой коллизии не определяется. Необходимость введения данного понятия заключается в том, что при квантовом хешировании коллизии в классическом понимании отсутствуют, так как порождаемые квантовой хеш-функцией состояния различны для различных исходных сообщений. Однако сравнение квантовых хеш-кодов подразумевает выполнение вероятностной процедуры измерения квантовых состояний, что может приводить к ошибкам, связанным с коллизиями.
Квантовой коллизией будем называть ситуацию, когда процедура, проверяющая равенство квантовых хеш-кодов, ошибочно выдает совпадение различных исходных сообщений. Такой процедурой может быть хорошо известный SWAP-тест [3] или специфический для квантовой хеш-функции алгоритм. В любом случае процедура проверки связана с понятием различимости квантовых состояний. И поскольку неортогональные состояния не могут быть достоверно различены, потребуем, чтобы они были «почти ортогональны». Для формализации данного понятия введем следующее определение.
Определение 1. Состояния \ф1) и \ф2) называются S-ортогональными, если
\(ф1 \ ф2)\ < S (1)
Таким образом, для квантовой хеш-функции важна S-ортогональность квантовых хеш-кодов различных слов, то есть они должны успешно проходить тесты на неравенство. Рассмотрим подробнее возможные процедуры проверки равенства.
ф : (w, \0))
УНИВЕРСАЛЬНОЕ КВАНТОВОЕ ХЕШИРОВАНИЕ
9
REVERSE -тест. В тех случаях, когда необходимо проверить, является ли квантовое состояние ^(w)) хеш-кодом некоторого классического слова v, можно применить процедуру, которую мы называем REVERSE-тест (идея такого теста для случая, когда v задается квантовым состоянием |v), была описана в [2], однако эта процедура не получила собственного названия). Суть теста заключается в применении инвертированной процедуры создания квантового хеша, то есть его «раскручивание до начального» состояния.
Формально, пусть процедура создания хеш-кода слова w состоит в применении унитарного преобразования U(w) к начальному состоянию |0), то есть |^(w)) = = U(w)|0). Тогда REVERSE-тест заключается в применении U-1(v) к квантовому хешу |-0(w)) и проверке полученного состояния. Если v = w, то результатом преобразования U-1(v)|-0(w)) всегда будет |0), и REVERSE-тест выдаст равенство; в противном случае результирующее состояние будет S-ортогонально к |0), поскольку унитарные преобразования сохраняют скалярное произведение:
(|0), U-1(v)^(w))) = (U-1(v)|^(v)), U-1(v)|^(w))) = (|^(v)), |ФН)) < S. (2)
Таким образом, при v = w REVERSE-тест может ошибаться с вероятностью S. При этом предлагаемый вариант квантового хеширования позволяет применять REVERSE-тест со сколь угодно малой вероятностью ошибки S.
Отметим, что здесь мы не учитываем погрешности реализации операторов U(w) и U-1(w).
SWAP-тест. Для сравнения двух квантовых состояний (в частности, хеш-кодов) часто используется SWAP-тест [3], задаваемый следующей схемой:
|0)
Mw))
^(v))
Данный тест выдает результат |^(w)) = |^(v)), если при измерении первый кубит оказывается в состоянии |0). В работе [3] показано, что SWAP-тест обладает следующим свойством.
Свойство 1. Вероятность получения состояния |0) в результате SWAP-теста равна
2 (i + КфМ | ^(v))|2).
Таким образом, при |^(w)) = |^(v)) данный тест не ошибается, а в случае |-0(w)) = |^(v)) вероятность ошибки зависит от скалярного произведения |^(w)) и |-0(v)) - она минимальна (близка к 1/2), если эти состояния будут ортогональны или «почти ортогональны» [2].
Таким образом, свойство S-ортогональности квантовых состояний является важным качеством для обеспечения устойчивости к квантовым коллизиям, в связи с эти введем понятие S -устойчивости.
Определение 2. Назовем квантовую функцию ф : w ^ |^(w)) S-устойчивой (кратко S-R), если для любой пары сообщений w, w', w = w' выполняется:
КФМ | Ф(w'))| < S, то есть их образы S-ортогональны.
10
Ф.М. АБЛАЕВ И ДР.
Объединением понятия квантовой односторонней функции и определения 2 является следующее определение классически-квантовой хеш-функции.
Определение 3. Назовем функцию
ф : {0,1}n ^ (H2)®8
S-R (n; s)-квантовой хеш-функцией, если она является квантовой односторонней и S-устойчивой функцией.
Положим X = {0,1}n, K = |X| = 2n. Следующая теорема, дающая нижнюю оценку на число требуемых кубит для выбранной степени устойчивости S, верна также для конечных алфавитов Я, отличных от {0,1}.
Теорема 1. Пусть функция ф : X ^ (H2)®s является S -устойчивой. Тогда s > log log |X| - log log (l + ^2/(1 - S)j - 1.
Доказательство. Из определения нормы |||ф)|| = \J(ф | ф) следует, что
11|ф)-|ф')112 = 1ИФ)Н2 + 11|ф')112 - 2(ф|ф').
Следовательно, для произвольной пары w, w' различных слов из X имеем
ll^(w)) - > V2(1 - S)-
Положим Д = ^/2(1 - S).
Рассмотрим множество Ф = {|ф(w)) : w G X} точек в пространстве (H2)®s. Если описать сферы радиуса Д/2 с центрами в точках |ф) G Ф, тогда все такие сферы могут пересекаться только по окружности. Все эти K сфер располагаются в сфере радиуса 1 + Д/2. Объем сферы радиуса r в комплексном пространстве (H2)®s равен cr2 + . Константа c определяется метрикой пространства (H2)®s.
Таким образом, имеем, что число K ограничено сверху числом «малых сфер» в «большой сфере»:
c(1 + Д/2)2°+1
K
с(Д/2)
2s + i
Следовательно,
s > log log K - log log (1 + л/2/(1 - S)) - 1.
□
Следующее свойство непосредственно следуют из определения 3 и свойства 1.
Свойство 2. Если функция ф : w ^ ^(w)) является S -R (n; s) -квантовой хеш-функцией, тогда SWAP-тест различает квантовые хеш-коды двух слов
w = w' с вероятностью ^(1 - S2).
Доказательство. Согласно свойству 1 вероятность ошибки SWAP-теста для различных исходных состояний описывается выражением ^ (1 + |^(w) | ф^'))|2) . Таким образом, поскольку для S-устойчивой функции |^(w) | ф(w'))| < S, SWAP-тест различает квантовые хеш-коды двух слов w = w' с вероятностью ^(1-S2). □
УНИВЕРСАЛЬНОЕ КВАНТОВОЕ ХЕШИРОВАНИЕ
11
Отметим, что вероятность ошибки SWAP-теста можно уменьшить до любого наперед заданного е > 0 с помощью стандартной процедуры повтора, то есть применяя SWAP-тест на k = O(log1/e) независимых копиях сравниваемых состояний. Другими словами, для надежного сравнения в качестве квантового хеша для и £ {0,1}n можно использовать функцию
ф' : и ^ |ф'(и)},
представляемую формулой
|Ф'(и)} = |ф(и)}®к = |ф(и)} &■■■(& |ф(и)}.
В этом случае общее число кубит для хеширования слов увеличивается в k = = O(log(1/e)) раз.
Кроме того, заметим, что S-устойчивость также обеспечивает стойкость к коллизиям второго рода, так как невозможно подобрать два различных сообщения, которые бы SWAP-тест ошибочно принимал за равные с вероятностью, близкой к 1.
В завершение данного раздела представим первые две квантовые хеш-функции, основанные на известных конструкциях квантовых методов отпечатков, предложенных в работах [3] и [6].
1.1. Квантовая функция отпечатков («булева (двоичная) конструкция»). В работе [3] Бурман и др. определили квантовую одностороннюю функцию
fE : и ^ |fE(и)}
на двоичных словах и £ {0,1}n, основанную на двоичных кодах, исправляющих ошибки (конкретно на коде Джастесена) E : {0,1}n ^ {0,1}m. Такую функцию авторы назвали квантовым отпечатком (quantum fingerprint) и и определили следующим образом:
.. m — 1
| fE(и)} = |i} |Ei(и)},
где т = cn, E^u) обозначает i-й бит E(и). Квантовая функция fE представима также в следующем виде:
|fE (и)}
—1
£ |':>
i=0
1
cos
nEj(w)
2
|0} + sin
nEi (и) 2
Свойство 3. Для S « 9/10+ 1/(15c) квантовая функция отпечатков fE является S-R (n; O(logn)) -квантовой хеш-функцией.
Доказательство. В [3] доказано, что функция fE является квантовой односторонней функцией и S-устойчивой к коллизиям при S « 9/10 + 1/(15c). □
1.2. Обобщенная квантовая функция отпечатков («q-я конструкция»). Рассматриваемая ниже конструкция квантовой хеш-функции является (в определенном смысле) обобщением конструкции булева варианта квантовой функции отпечатков на случай q > 2 и может быть названа q -й квантовой функцией отпечатков.
Пусть q = 2n, B = {bi : bi £ {0,..., q — 1}}. Классически-квантовая функция
фъв : {0,1}n ^ (H2)®(log |B| + 1)
12
Ф.М. АБЛАЕВ И ДР.
определяется следующим образом. Для сообщения M £ {0,1}n полагаем
\ФЧ,Б (M)>
1
тш
2n6jM
q
\0> + sin
2n6jM
q
(3)
Теорема 2. Для произвольного S > 0 существует множество B С Zq такое, что \B\ = |"(2/S2) ln(2q)], и функция фqB является S-R (n; O(logn + log1/S)) -квантовой хеш-функцией.
Доказательство. Для доказательства теоремы достаточно доказать, что функция фq,Б является односторонней и S-устойчивой.
Для доказательства S-устойчивости фq}Б понадобятся следующие вспомогательные сведения.
Определение 4. Дискретным преобразованием характеристической функции множества B С Zq называется функция
/б (l)
ьеБ
exp i
2nbl
q
ГГ wm \/б (l)\ ,/m \Re(/B (l))\ T, r r
v J i=o \B\ v J i=o \B\
те [7], A(B) дает некоторую меру «хаотичности» множества B: чем меньше A(B), тем более «случайно» устроено множество B. Мы определили S(B) подобным образом, но оно использует лишь вещественную часть /б (l). Очевидно, S(B) < A(B).
Для построения нашей техники нам понадобится B с наименьшим возможным S(B). В [7] была предложена конструкция, позволяющая для е =
получить множество B, для которого \B\ = (log q)O(1) и A(B) < е. Кроме того, в работе [8] была доказана следующая лемма.
(log q)O(1)
\B\
Лемма 1. Для любого е £ (0,1) существует множество B, для которого 2
- ln(2q) и S(B) < е.
Заметим, что в [8] не применялось обозначение S(B), вместо этого использова-1 v -ч 2nbl
лась запись 7-^7 у, cos--.
\B\
ьеБ
q
Зафиксируем S £ (0,1) и выберем множество B, удовлетворяющее условиям леммы 1 при е = S2 .В этом случае функция фq,Б является S-устойчивой, так как для любых W1 = W2
\^q,B (w1) \ фq,Б (w2)>\ =
1
W\
|Б|
El 2nb»wi 2nbjW2 2nb»wi 2nbjW2
( cos------cos---------+ sin-------sin
\B\
E
cos
2nbj(wi - W2)
< S(B) < S.
Б
1
q
(4)
Таким образом, функция фq,Б хеширует n-битные сообщения в квантовые состояния из O(log n + log1/S) кубит и обеспечивает S-ортогональность квантовых хеш-кодов.
□
УНИВЕРСАЛЬНОЕ КВАНТОВОЕ ХЕШИРОВАНИЕ
13
2. Универсальное квантовое хеширование
Рассмотренные выше конструкции квантовых хеш-функций fE и фув объединяет следующее. Обе конструкции определяют «квантово-параллельно-равно-амплитудно-контролируемое» преобразование одного кубита. Каждое такое преобразование генерируется (задается) функциями из соответствующих специальных семейств.
Пусть G = {gi,... ,gD} - семейство функций вида gj : X ^ Fq.
Обобщением рассмотренных выше конструкций является следующее.
Определение 5 (Генератор квантовых хеш-функций). Пусть G = = {gi,...,g_D} - семейство функций вида gj : X ^ Fq, I > 1. Для g £ G пусть фд - классически-квантовая функция фд : X ^ (H2)®1, определяемая по правилу
21 —1
фд : W фд (w)) = ^2 «i(g(w))l*}, (5)
i=0
где коэффициенты Oj(g(w)), i £ {0,..., 2l — 1}, состояния формируются (задаются) функцией gj в процессе считывания w. Пусть, далее, d = log D. Определим классически-квантовую функцию фа : X ^ (H2)®(d+l) по правилу
фа : w ^ |фа(w))
D-1
TD Y, |j)lфд3 (w))
D j=0
(6)
Будем говорить, что семейство G генерирует 5-R (K; d + I) -квантовую хеш-функцию фа, и будем называть G 5-R (K; d + I)-квантовым генератором, если функция фа является 5-R (K; d + I)-квантовой хеш-функцией.
В терминах определения 5 и описанных выше квантовых хеш-функций на основе квантовой функции отпечатков и обобщенной квантовой функции отпечатков имеем, что семейство FE = {E0,... , Em-1}, где Ej : {0,1}n ^ {0,1}, Ефп) - это
i-й бит Е(п), и семейство Hq,B = {hi,... h|в|}, где hj(w) = 6jw (mod q), являются генераторами квантовых хеш-функций fE и ф^в соответственно.
2.1. е-универсальное квантовое хеширование. Выше приведены две конструкции (булева и q-я) генераторов квантовых хеш-функций на основе методов отпечатков. Ниже предлагается подход построения квантовых хеш-функций, основанный на применении композиции классических семейств е-универсальных хеш-функций и некоторого заданного генератора квантовых хеш-функций. Известно, что конструкции классических семейств е-универсальных хеш-функций связаны с кодами, исправляющими ошибки (см., например, [9]). Данный подход открывает возможности построения новых квантовых хеш-функций на основе уже имеющихся. В частности, ниже показывается, что конструкция кодов Рида-Соломона эффективна для построения квантовых хеш-функций.
Терминология и система обозначений в теории кодов, исправляющих ошибки, сформировались более пятидесяти лет назад. Поэтому ниже мы будем следовать принятым стандартам. Параметры k, n будут обозначать длину исходного слова и длину его кода соответственно.
Мы используем определения из работы [9].
• Пусть X, |X| = K, - область определения, а Y, |Y| = M, - область значений, где K > M. Хеш-функция f - это отображение f : X ^ Y, хеширующее длинные исходные слова в короткие слова-образы.
14
Ф.М. АБЛАЕВ И ДР.
• Пусть q - степень простого числа, Fq - поле, £к - множество слов длины к над алфавитом £. В дальнейшем будем полагать X = £к или X = Fq и Y = Fq .
N хеш-семейство - это множество F = {fi,... fN} N хеш-функций fi : X ^ Y.
Дополнительно полагаем, что функции f семейства F эффективно вычислимы - имеется полиномиальный по времени алгоритм вычисления f (w) по w (полиномиальный по времени от длины w).
• е-универсальное хеш-семейство. N хеш-семейство F называется е-универсальным, если для двух различных элементов w,w' £ X существуют не более еп функций f £ F таких, что f (w) = f (w'). В работе [9] используется обозначение е-U (N; K, M) для обозначения е-универсальных хеш-семейств.
Случай е = 1/N известен как универсальное хеширование.
Пусть K = |X|, M = |Y|, F = {fi,..., fn} является семейством функций fi : X ^ Y.
Пусть H = {hi,..., Ht} является семейством функций hj : Y ^ Fq . Для f £ F и h £ H определим суперпозицию g = f о h,
g : X ^ Fq
как
g(w) = (f о h)(w) = h(f (w)).
Определим композицию G семейств F и H следующим образом:
G = F о H = {g = f о h : f £ F,h £ H}.
Теорема 3. Пусть F = {fi,...,fN} является эффективным е -универсальным (N; K,M) хеш-семейством. Пусть l > 1, H = {hi,. . .Ht } является S -R (M; log T + l) -квантовым хеш-генератором, log K > log N + log T + l.
Тогда композиция G = F о H является Д -R (K; s) квантовым хеш-генератором, причем
s = log N + log T + l (7)
и
Д < е + S. (8)
Доказательство. Введем следующую запись для композиции G = F о H:
G = {gij = fi о hj : * £ I,j £ J}
где I = {1,..., N}, J = {1,..., T}.
При этом S-R (M; log T + l) -квантовый хеш-генератор H генерирует S-R (M; log T + l)-квантовую хеш-функцию
фн : v ^-L V |j)[фн,(v)). (9)
Vt 1 3
Для s = log N + log T + l, используя семейство G, определим отображение
фа : X ^ (H2)®s
как
^G(w)) = Ф/N^ |i)0|^H (fi(w))). (10)
УНИВЕРСАЛЬНОЕ КВАНТОВОЕ ХЕШИРОВАНИЕ
15
Докажем Д -устойчивость функции фа ■ Рассмотрим пару w, w' различных элементов X и скалярное произведение (фа^) | фа^')} ■ Используя линейность скалярного произведения, получаем
(фаЫ 1 фа(Л)} = nn E (фн(fi(w))1 фн(fi(w'))}. (11)
iei
Для пары w, w' определим два множества индексов /bad и /good:
/bad = {i G / : fi(w) = fi(w')}, /good = {i G / : fi(w) = fi(w')}.
Тогда получаем
|(фа(ш) 1 фаК)}|< nn XI |(фн(fi(w)) 1 фн(fi(w'))}| +
ieIbad
+ 1 E 1(фн(fi(w)) Iфн(fi(w'))}|. (12)
ie Igood
Хеш-семейство F является e-универсальным, так как
|/bad | < eN.
Квантовая функция фн : Y ^ (H2)logявляется S-устойчивой, поскольку для произвольной пары v, v' различных элементов Y скалярное произведение их образов принимает значение
|(фн(v) 1 фн(v')}| < S. (13)
Наконец, из (12) и двух предыдущих неравенств получаем, что
|(фаЫ |фаЫ)}| < e + ЕЕs < e + S. (14)
Последнее неравенство (14) доказывает Д-устойчивость фа (w) (например, для Д = e + S), что завершает доказательство неравенства (8).
Чтобы завершить доказательство теоремы, нам осталось показать, что функция фа может быть представлена в виде (6). Из (9) и (10) мы получаем, что
|фаЫ} = ^Е |i} 0 ( ^Е |j} 1фь^(fi(w))
Используя запись (5), представим (15) в следующем виде (6):
|фаМ}
1
dNT
Е
iei, jeJ
|ij}E(w)).
(15)
(16)
□
2.2. Конструкции квантового хеширования, основанные на классическом универсальном хешировании. Следующее утверждение является следствием теоремы 3 и является основой для дальнейшего построения квантовых хеш-функций в явном виде. Пусть q является степенью простого числа и Fq является полем, S G (0,1) ■ Пусть Hg,q = {hi,...h|B|}, где hi(w) = biw (mod q), является генератором квантовой хеш-функции (3). Обозначим |X| = K ■
16
Ф.М. АБЛАЕВ И ДР.
Теорема 4. Пусть F = {/i,...,/n } является эффективным е -универсальным (N; K, q) хеш-семейством, где f : X ^ Fq. Тогда для произвольного S > 0 семейство G = F о Hg,q является Д -R (K; s) -квантовым хеш-генератором, где
s < log N + loglog q + 2log1/S + 3 (17)
и
Д < е + S. (18)
Доказательство. Семейство Hg q = {hi,..., hr}, где hi : Fq ^ Fq, T = = r(2/S2)ln(2q)), l = 1, является S-R (q; s)-квантовым хеш-генератором при s = log T +1 < log n + log log q + 2 log 1/S + 3. □
В оставшейся части раздела мы приводим примеры квантовых хеш-функций, основанных на универсальных линейных семействах хеш-функций и кодах, исправляющих ошибки.
2.3. Квантовое хеширование и коды, исправляющие ошибки. Пусть q является степенью простого числа и Fq является полем. (n,k,d,)-код, исправляющий ошибки, называется линейным с Я = Fq, и C = {C(w) : w G Sk} -подпространство пространства F)(. Мы будем обозначать такой линейный код как [n,k,d]q -код.
Теорема 5. Пусть C является [n, k, d]q -кодом. Тогда для произвольного S G G (0,1) существует Д -R (qk; s) -квантовый хеш-генератор G, где Д = (1-d/n)+S и s < log n + log log q + 2 log 1/S + 4 .
Доказательство. В [10] было доказано следующее свойство. Имея [n, k, d]q-код C, мы можем в явном виде построить (1 — d/n)-U (n; qk; q) хеш-семейство Fc .
По теореме 4 композиция G = Fc о Hg,q является Д-R (qk; s) квантовым хеш-генератором, где Д = (1 — d/n) + S и s < log n + log log q + 2 log 1/S + 4. □
2.4. Квантовые хеш-функции на основе конструкции кода Рида — Соломона. В качестве примера приведем конструкцию квантовой хеш-функции, используя код Рида-Соломона.
Пусть q является степенью простого числа. Расширенный код Рида - Соломона -это линейный код
Crs : (Fq)k ^ (Fq)n (19)
с параметрами [n,k,n — (k — 1)]q, где k < n = q, который задается следующим образом. Каждому слову w G (Fq )k, w = wowi ...wk-i, ставится в соответствие полином
k-i
Pw (x) = ^2 wix\ (20)
i=0
Для кодирования слова w вычисляем Pw (x) во всех q элементах a G Fq:
Crs(w) = (Pw(0)Pw(1)... Pw(q — 1)). (21)
Используя коды Рида -Соломона, мы получаем следующее утверждение.
Теорема 6. Пусть q является степенью простого числа, 1 < k < q. Тогда для произвольного S G (0, 1) существует Д -R (qk; s) -квантовый хеш-генератор k1
Grs , где Д <------+ S и s < log (q log q) + 2 log 1/S + 4 .
q
УНИВЕРСАЛЬНОЕ КВАНТОВОЕ ХЕШИРОВАНИЕ
17
Доказательство. Код Рида-Соломона CRg является [q,k,q-(k — 1)]q-кодом, где k < q. Тогда согласно теореме 5 семейство Grs является Д-R (qk; s) -квантовым хеш-генератором с требуемыми параметрами. □
В частности, выбрав q G [ck, c'k] для постоянной c < c', получаем, что S < 1/c+ + S для S G (0, 1), и в соответствии с теоремой 1
log (q log q) — log log (l + ^2/(1 - S)) — log c'/2 < s < log (q log q) + 2log1/S + 4. (22)
Таким образом, коды Рида-Соломона имеют достаточно хорошие параметры устойчивости S, и нам нужно построить квантовую хеш-функцию фр,g для s кубитов.
2.5. Эффективные конструкции семейства Grs и функции фа^S.
Определим (k — 1)/q-U (q; ; q) -хеш-семейство Frg = {fa : a G Fq} на основе
кода Crs следующим образом. Для a G Fq определим fa : (Fq)k ^ Fq как
k-1
fa (wo ...Wk-i) = £ Wia\ (23)
i=0
Пусть Hs,q = {hi,..., hT}, где hj : Fq ^ Fq и T = [(2/S2) ln 2q] . Для s = log q + + log T +1 композиция Grs = Frs о Hg,q определяет функцию
Фам : (Fq)k ^ (H2)®s
для слова w G (Fq)k следующим образом:
^Grs (w)) =
1
—
|a) 0
aGFq
-G V j}® (Coe2nhfW))|0) +S,n2,hj (f°(W))|1)
VT ' V q q
(24)
Работа выполнена за счет средств субсидии, выделенной в рамках государственной поддержки Казанского (Приволжского) федерального университета в целях повышения его конкурентоспособности среди ведущих мировых научнообразовательных центров, а также гранта РФФИ № 14-07-00878-а.
Summary
F.M. Ablayev, M.F. Ablayev, A.V. Vasilev. Universal Quantum Hashing.
In the paper we propose a method of quantum hashing which mostly combines the existing constructions of universal hash families with quantum one-way functions. Next, we define the concept of a quantum hash generator and present an approach for building a large number of various quantum hash functions. The construction is based on the integration of a classical e -universal hash family and a given family of functions - quantum hash generator. The proposed construction combines the properties of robust representation of information by classical error-correcting codes together with the possibility of highly reliable representation of information by quantum systems. In particular, we present a quantum hash function based on the Reed-Solomon code and prove that this construction is optimal in the sense of the number of qubits needed.
Keywords: quantum computations, quantum communications, quantum hashing.
18
Ф.М. АБЛАЕВ И ДР.
Литература
1. Kashefi E., Kerenidis I. Statistical Zero Knowledge and quantum one-way functions // Theor. Comput. Sci. - 2007. - V. 378, No 1. - P. 101-116. - doi: 10.1016/j.tcs.2007.03.013.
2. Gottesman D., Chuang I. Quantum Digital Signatures: arXiv:quant-ph/0105032. - 2001. -URL: http://arxiv.org/abs/quant-ph/0105032.
3. Buhrman H., Cleve R., Watrous J., de Wolf R. Quantum Fingerprinting // Phys. Rev. Lett. - 2001. - V. 87, No 16. - P. 167902-1-167902-4. - doi: 10.1103/PhysRevLett.87. 167902.
4. Lu X., Feng D. Quantum digital signature based on quantum one-way functions // The 7th Int. Conf. on Advanced Communication Technology (ICACT’2005). - 2005. - V. 1. -P. 514-517.
5. Zhou J., Zhou Y., Niu X., Xian Y. Quantum proxy signature scheme with public verifiability // Science China Physics, Mechanics and Astronomy. - 2011. - V. 54, No 10. -P. 1828-1832. - doi: 10.1007/s11433-011-4457-z.
6. Ablayev F., Vasiliev A. Algorithms for Quantum Branching Programs Based on Fingerprinting // Electr. Proc. in Theor. Comput. Sci. - 2009. - V. 9. - P. 1-11.
7. Razborov A.A., Szemeredi E., Wigderson A. Constructing Small Sets that are Uniform in Arithmetic Progressions // Combinatorics, Probability & Computing. - 1993. - V. 2. -P. 513-518.
8. Ablayev F., Vasiliev A. On the Computation of Boolean Functions by Quantum Branching Programs via Fingerprinting // Electronic Colloquium on Computational Complexity (ECCC). - 2008. - V. 15. - Art. 059. - URL: http://www.eccc.uni-trier.de/report/ 2008/059/, свободный.
9. Stinson D.R. On the Connections between Universal Hashing, Combinatorial Designs and Error-Correcting Codes // Proc. Congressus Numerantium 114. - 1996. - P. 7-27.
10. Bierbrauer J., Johansson T., Kabatianskii G., Smeets B. On Families of Hash Functions via Geometric Codes and Concatenation // Advances in Cryptology - CRYPTO’93 / By ed. D.R. Stinson. - Berlin; Heidelberg: Springer, 1994. - P. 331-342.
Поступила в редакцию
05.08.14
Аблаев Фарид Мансурович - доктор физико-математических наук, заведующий кафедрой теоретической кибернетики, Казанский (Приволжский) федеральный университет, г. Казань, Россия.
E-mail: fablayev@gmail.com
Аблаев Марат Фаридович - младший научный сотрудник лаборатории квантовой информатики, Казанский (Приволжский) федеральный университет, г. Казань, Россия.
E-mail: mablayev@gmail.com
Васильев Александр Валерьевич - кандидат физико-математических наук, доцент кафедры системного анализа и информационных технологий, Казанский (Приволжский) федеральный университет, г. Казань, Россия.
E-mail: Alexander. Vasiliev@kpfu.ru