Универсальное квантовое хеширование Текст научной статьи по специальности «Математика»

____________УЧЕНЫЕ ЗАПИСКИ КАЗАНСКОГО УНИВЕРСИТЕТА

Том 156, кн. 3 Физико-математические науки

2014

УДК 519.71

УНИВЕРСАЛЬНОЕ КВАНТОВОЕ ХЕШИРОВАНИЕ

Ф.М. Аблаев, М.Ф. Аблаев, А.В. Васильев

Аннотация

Предложен метод квантового хеширования, комбинирующий известные конструкции универсальных хеш-семейств с квантовыми односторонними функциями. Определено понятие квантового хеш-генератора и предложен подход для построения большого числа различных квантовых хеш-функций. Конструкция основана на объединении классических е-универсальных хеш-семейств и заданного семейства функций - квантового хеш-генератора. Предложенная конструкция обладает свойствами устойчивого представления информации классическими кодами с исправлением ошибок, а также возможностью высоконадежного представления информации квантовыми системами. В частности, предложена квантовая хеш-функция, основанная на коде Рида - Соломона, и доказано, что данная конструкция является оптимальной в смысле необходимого числа кубитов.

Ключевые слова: квантовые вычисления, квантовые коммуникации, квантовое хеширование.

Введение

Хеширование имеет ряд важных приложений в различных областях информатики, в частности, криптографические протоколы с открытым ключом основываются на криптографических хеш-функциях. Хеш-функции строятся так, чтобы преобразовывать входные последовательности большой длины (теоретически - любой длины) в короткие хеш-коды (на практике - фиксированной длины).

В последнее десятилетие появилось несколько подходов (в литературе известно по крайней мере два подхода) к построению понятия квантовой функции.

Первый подход предложен в работе [1], в которой определяется семейство «классически-классических» функций, аргументами и значениями которых являются классические последовательности. Такие функции предположительно являются односторонними не только для классических, но и для квантовых алгоритмов. Авторы называют их квантовыми односторонними функциями.

Другой подход к определению квантовой функции сформулирован в работе [2]. Их функции «классически-квантовые», то есть аргументами функции являются классические последовательности, значениями - квантовые состояния. Другая «классически-квантовая» функция определена в работе Бурмана и др. [3]. Данная функция построена на основе двоичных кодов, исправляющих ошибки (в [3] использованы коды Джастесена). В [2, 3] доказано, что предложенные функции являются односторонними в смысле невозможности восстановления исходного слова по его квантовому образу.

Путем использования «классически-квантовых» функций на основе двоичных кодов, исправляющих ошибки, предложены различные сценарии построения квантовых систем цифровой подписи [2, 4, 5].

В настоящей работе мы анализируем определенные в [2, 3] «классически-квантовые» функции и вводим понятие «классически-квантовой» хеш-функции,

7

8

Ф.М. АБЛАЕВ И ДР.

которое является естественным обобщением понятия «классически-квантовой» односторонней функции. Мы предлагаем «классически-квантовые» хеш-функции, исследуем их криптографические свойства, рассматриваем подходы к построению универсального квантового хеширования.

1. Предварительные сведения

Квантовая односторонняя функция была определена в [2]. Классически-кван-товой функцией будем называть функцию вида

ф : {0,1}n ^ (H2)®8, ф : w ^ \фЫ), где

(H2)®s = H2 = пт

обозначает 2s-мерное гильбертово пространство, описывающие состояния s кубит.

Пример 1. Слово w £ {0,1}n при начальном состоянии \ф(е)) = \0) = 1\0) + + 0\1) кубита кодируется в следующее состояние \ф(w)) кубита:

( 2 nw i—> cos ---

V 2n

Здесь двоичное слово w = wo ... wn-1 также рассматривается как число w = wo +

+ wi21 + ■ ■ ■ + wn-i 2n 1.

Очевидно, что разные последовательности w и v могут стать «практически неотличимыми», если вектора ^(w)) и \ф(v)) близки. Последнее будет нарушать требование стойкости к коллизиям.

Отметим, что в различных статьях (см., например, [4, 5]) также неявно подразумевается наличие дополнительного свойства, обеспечивающего устойчивость к квантовым коллизиям, при этом само понятие квантовой коллизии не определяется. Необходимость введения данного понятия заключается в том, что при квантовом хешировании коллизии в классическом понимании отсутствуют, так как порождаемые квантовой хеш-функцией состояния различны для различных исходных сообщений. Однако сравнение квантовых хеш-кодов подразумевает выполнение вероятностной процедуры измерения квантовых состояний, что может приводить к ошибкам, связанным с коллизиями.

Квантовой коллизией будем называть ситуацию, когда процедура, проверяющая равенство квантовых хеш-кодов, ошибочно выдает совпадение различных исходных сообщений. Такой процедурой может быть хорошо известный SWAP-тест [3] или специфический для квантовой хеш-функции алгоритм. В любом случае процедура проверки связана с понятием различимости квантовых состояний. И поскольку неортогональные состояния не могут быть достоверно различены, потребуем, чтобы они были «почти ортогональны». Для формализации данного понятия введем следующее определение.

Определение 1. Состояния \ф1) и \ф2) называются S-ортогональными, если

\(ф1 \ ф2)\ < S (1)

Таким образом, для квантовой хеш-функции важна S-ортогональность квантовых хеш-кодов различных слов, то есть они должны успешно проходить тесты на неравенство. Рассмотрим подробнее возможные процедуры проверки равенства.

ф : (w, \0))

УНИВЕРСАЛЬНОЕ КВАНТОВОЕ ХЕШИРОВАНИЕ

9

REVERSE -тест. В тех случаях, когда необходимо проверить, является ли квантовое состояние ^(w)) хеш-кодом некоторого классического слова v, можно применить процедуру, которую мы называем REVERSE-тест (идея такого теста для случая, когда v задается квантовым состоянием |v), была описана в [2], однако эта процедура не получила собственного названия). Суть теста заключается в применении инвертированной процедуры создания квантового хеша, то есть его «раскручивание до начального» состояния.

Формально, пусть процедура создания хеш-кода слова w состоит в применении унитарного преобразования U(w) к начальному состоянию |0), то есть |^(w)) = = U(w)|0). Тогда REVERSE-тест заключается в применении U-1(v) к квантовому хешу |-0(w)) и проверке полученного состояния. Если v = w, то результатом преобразования U-1(v)|-0(w)) всегда будет |0), и REVERSE-тест выдаст равенство; в противном случае результирующее состояние будет S-ортогонально к |0), поскольку унитарные преобразования сохраняют скалярное произведение:

(|0), U-1(v)^(w))) = (U-1(v)|^(v)), U-1(v)|^(w))) = (|^(v)), |ФН)) < S. (2)

Таким образом, при v = w REVERSE-тест может ошибаться с вероятностью S. При этом предлагаемый вариант квантового хеширования позволяет применять REVERSE-тест со сколь угодно малой вероятностью ошибки S.

Отметим, что здесь мы не учитываем погрешности реализации операторов U(w) и U-1(w).

SWAP-тест. Для сравнения двух квантовых состояний (в частности, хеш-кодов) часто используется SWAP-тест [3], задаваемый следующей схемой:

|0)

Mw))

^(v))

Данный тест выдает результат |^(w)) = |^(v)), если при измерении первый кубит оказывается в состоянии |0). В работе [3] показано, что SWAP-тест обладает следующим свойством.

Свойство 1. Вероятность получения состояния |0) в результате SWAP-теста равна

2 (i + КфМ | ^(v))|2).

Таким образом, при |^(w)) = |^(v)) данный тест не ошибается, а в случае |-0(w)) = |^(v)) вероятность ошибки зависит от скалярного произведения |^(w)) и |-0(v)) - она минимальна (близка к 1/2), если эти состояния будут ортогональны или «почти ортогональны» [2].

Таким образом, свойство S-ортогональности квантовых состояний является важным качеством для обеспечения устойчивости к квантовым коллизиям, в связи с эти введем понятие S -устойчивости.

Определение 2. Назовем квантовую функцию ф : w ^ |^(w)) S-устойчивой (кратко S-R), если для любой пары сообщений w, w', w = w' выполняется:

КФМ | Ф(w'))| < S, то есть их образы S-ортогональны.

10

Ф.М. АБЛАЕВ И ДР.

Объединением понятия квантовой односторонней функции и определения 2 является следующее определение классически-квантовой хеш-функции.

Определение 3. Назовем функцию

ф : {0,1}n ^ (H2)®8

S-R (n; s)-квантовой хеш-функцией, если она является квантовой односторонней и S-устойчивой функцией.

Положим X = {0,1}n, K = |X| = 2n. Следующая теорема, дающая нижнюю оценку на число требуемых кубит для выбранной степени устойчивости S, верна также для конечных алфавитов Я, отличных от {0,1}.

Теорема 1. Пусть функция ф : X ^ (H2)®s является S -устойчивой. Тогда s > log log |X| - log log (l + ^2/(1 - S)j - 1.

Доказательство. Из определения нормы |||ф)|| = \J(ф | ф) следует, что

11|ф)-|ф')112 = 1ИФ)Н2 + 11|ф')112 - 2(ф|ф').

Следовательно, для произвольной пары w, w' различных слов из X имеем

ll^(w)) - > V2(1 - S)-

Положим Д = ^/2(1 - S).

Рассмотрим множество Ф = {|ф(w)) : w G X} точек в пространстве (H2)®s. Если описать сферы радиуса Д/2 с центрами в точках |ф) G Ф, тогда все такие сферы могут пересекаться только по окружности. Все эти K сфер располагаются в сфере радиуса 1 + Д/2. Объем сферы радиуса r в комплексном пространстве (H2)®s равен cr2 + . Константа c определяется метрикой пространства (H2)®s.

Таким образом, имеем, что число K ограничено сверху числом «малых сфер» в «большой сфере»:

c(1 + Д/2)2°+1

K

с(Д/2)

2s + i

Следовательно,

s > log log K - log log (1 + л/2/(1 - S)) - 1.

□

Следующее свойство непосредственно следуют из определения 3 и свойства 1.

Свойство 2. Если функция ф : w ^ ^(w)) является S -R (n; s) -квантовой хеш-функцией, тогда SWAP-тест различает квантовые хеш-коды двух слов

w = w' с вероятностью ^(1 - S2).

Доказательство. Согласно свойству 1 вероятность ошибки SWAP-теста для различных исходных состояний описывается выражением ^ (1 + |^(w) | ф^'))|2) . Таким образом, поскольку для S-устойчивой функции |^(w) | ф(w'))| < S, SWAP-тест различает квантовые хеш-коды двух слов w = w' с вероятностью ^(1-S2). □

УНИВЕРСАЛЬНОЕ КВАНТОВОЕ ХЕШИРОВАНИЕ

11

Отметим, что вероятность ошибки SWAP-теста можно уменьшить до любого наперед заданного е > 0 с помощью стандартной процедуры повтора, то есть применяя SWAP-тест на k = O(log1/e) независимых копиях сравниваемых состояний. Другими словами, для надежного сравнения в качестве квантового хеша для и £ {0,1}n можно использовать функцию

ф' : и ^ |ф'(и)},

представляемую формулой

|Ф'(и)} = |ф(и)}®к = |ф(и)} &■■■(& |ф(и)}.

В этом случае общее число кубит для хеширования слов увеличивается в k = = O(log(1/e)) раз.

Кроме того, заметим, что S-устойчивость также обеспечивает стойкость к коллизиям второго рода, так как невозможно подобрать два различных сообщения, которые бы SWAP-тест ошибочно принимал за равные с вероятностью, близкой к 1.

В завершение данного раздела представим первые две квантовые хеш-функции, основанные на известных конструкциях квантовых методов отпечатков, предложенных в работах [3] и [6].

1.1. Квантовая функция отпечатков («булева (двоичная) конструкция»). В работе [3] Бурман и др. определили квантовую одностороннюю функцию

fE : и ^ |fE(и)}

на двоичных словах и £ {0,1}n, основанную на двоичных кодах, исправляющих ошибки (конкретно на коде Джастесена) E : {0,1}n ^ {0,1}m. Такую функцию авторы назвали квантовым отпечатком (quantum fingerprint) и и определили следующим образом:

.. m — 1

| fE(и)} = |i} |Ei(и)},

где т = cn, E^u) обозначает i-й бит E(и). Квантовая функция fE представима также в следующем виде:

|fE (и)}

—1

£ |':>

i=0

1

cos

nEj(w)

2

|0} + sin

nEi (и) 2

Свойство 3. Для S « 9/10+ 1/(15c) квантовая функция отпечатков fE является S-R (n; O(logn)) -квантовой хеш-функцией.

Доказательство. В [3] доказано, что функция fE является квантовой односторонней функцией и S-устойчивой к коллизиям при S « 9/10 + 1/(15c). □

1.2. Обобщенная квантовая функция отпечатков («q-я конструкция»). Рассматриваемая ниже конструкция квантовой хеш-функции является (в определенном смысле) обобщением конструкции булева варианта квантовой функции отпечатков на случай q > 2 и может быть названа q -й квантовой функцией отпечатков.

Пусть q = 2n, B = {bi : bi £ {0,..., q — 1}}. Классически-квантовая функция

фъв : {0,1}n ^ (H2)®(log |B| + 1)

12

Ф.М. АБЛАЕВ И ДР.

определяется следующим образом. Для сообщения M £ {0,1}n полагаем

\ФЧ,Б (M)>

1

тш

2n6jM

q

\0> + sin

2n6jM

q

(3)

Теорема 2. Для произвольного S > 0 существует множество B С Zq такое, что \B\ = |"(2/S2) ln(2q)], и функция фqB является S-R (n; O(logn + log1/S)) -квантовой хеш-функцией.

Доказательство. Для доказательства теоремы достаточно доказать, что функция фq,Б является односторонней и S-устойчивой.

Для доказательства S-устойчивости фq}Б понадобятся следующие вспомогательные сведения.

Определение 4. Дискретным преобразованием характеристической функции множества B С Zq называется функция

/б (l)

ьеБ

exp i

2nbl

q

ГГ wm \/б (l)\ ,/m \Re(/B (l))\ T, r r

v J i=o \B\ v J i=o \B\

те [7], A(B) дает некоторую меру «хаотичности» множества B: чем меньше A(B), тем более «случайно» устроено множество B. Мы определили S(B) подобным образом, но оно использует лишь вещественную часть /б (l). Очевидно, S(B) < A(B).

Для построения нашей техники нам понадобится B с наименьшим возможным S(B). В [7] была предложена конструкция, позволяющая для е =

получить множество B, для которого \B\ = (log q)O(1) и A(B) < е. Кроме того, в работе [8] была доказана следующая лемма.

(log q)O(1)

\B\

Лемма 1. Для любого е £ (0,1) существует множество B, для которого 2

- ln(2q) и S(B) < е.

Заметим, что в [8] не применялось обозначение S(B), вместо этого использова-1 v -ч 2nbl

лась запись 7-^7 у, cos--.

\B\

ьеБ

q

Зафиксируем S £ (0,1) и выберем множество B, удовлетворяющее условиям леммы 1 при е = S2 .В этом случае функция фq,Б является S-устойчивой, так как для любых W1 = W2

\^q,B (w1) \ фq,Б (w2)>\ =

1

W\

|Б|

El 2nb»wi 2nbjW2 2nb»wi 2nbjW2

( cos------cos---------+ sin-------sin

\B\

E

cos

2nbj(wi - W2)

< S(B) < S.

Б

1

q

(4)

Таким образом, функция фq,Б хеширует n-битные сообщения в квантовые состояния из O(log n + log1/S) кубит и обеспечивает S-ортогональность квантовых хеш-кодов.

□

УНИВЕРСАЛЬНОЕ КВАНТОВОЕ ХЕШИРОВАНИЕ

13

2. Универсальное квантовое хеширование

Рассмотренные выше конструкции квантовых хеш-функций fE и фув объединяет следующее. Обе конструкции определяют «квантово-параллельно-равно-амплитудно-контролируемое» преобразование одного кубита. Каждое такое преобразование генерируется (задается) функциями из соответствующих специальных семейств.

Пусть G = {gi,... ,gD} - семейство функций вида gj : X ^ Fq.

Обобщением рассмотренных выше конструкций является следующее.

Определение 5 (Генератор квантовых хеш-функций). Пусть G = = {gi,...,g_D} - семейство функций вида gj : X ^ Fq, I > 1. Для g £ G пусть фд - классически-квантовая функция фд : X ^ (H2)®1, определяемая по правилу

21 —1

фд : W фд (w)) = ^2 «i(g(w))l*}, (5)

i=0

где коэффициенты Oj(g(w)), i £ {0,..., 2l — 1}, состояния формируются (задаются) функцией gj в процессе считывания w. Пусть, далее, d = log D. Определим классически-квантовую функцию фа : X ^ (H2)®(d+l) по правилу

фа : w ^ |фа(w))

D-1

TD Y, |j)lфд3 (w))

D j=0

(6)

Будем говорить, что семейство G генерирует 5-R (K; d + I) -квантовую хеш-функцию фа, и будем называть G 5-R (K; d + I)-квантовым генератором, если функция фа является 5-R (K; d + I)-квантовой хеш-функцией.

В терминах определения 5 и описанных выше квантовых хеш-функций на основе квантовой функции отпечатков и обобщенной квантовой функции отпечатков имеем, что семейство FE = {E0,... , Em-1}, где Ej : {0,1}n ^ {0,1}, Ефп) - это

i-й бит Е(п), и семейство Hq,B = {hi,... h|в|}, где hj(w) = 6jw (mod q), являются генераторами квантовых хеш-функций fE и ф^в соответственно.

2.1. е-универсальное квантовое хеширование. Выше приведены две конструкции (булева и q-я) генераторов квантовых хеш-функций на основе методов отпечатков. Ниже предлагается подход построения квантовых хеш-функций, основанный на применении композиции классических семейств е-универсальных хеш-функций и некоторого заданного генератора квантовых хеш-функций. Известно, что конструкции классических семейств е-универсальных хеш-функций связаны с кодами, исправляющими ошибки (см., например, [9]). Данный подход открывает возможности построения новых квантовых хеш-функций на основе уже имеющихся. В частности, ниже показывается, что конструкция кодов Рида-Соломона эффективна для построения квантовых хеш-функций.

Терминология и система обозначений в теории кодов, исправляющих ошибки, сформировались более пятидесяти лет назад. Поэтому ниже мы будем следовать принятым стандартам. Параметры k, n будут обозначать длину исходного слова и длину его кода соответственно.

Мы используем определения из работы [9].

• Пусть X, |X| = K, - область определения, а Y, |Y| = M, - область значений, где K > M. Хеш-функция f - это отображение f : X ^ Y, хеширующее длинные исходные слова в короткие слова-образы.

14

Ф.М. АБЛАЕВ И ДР.

• Пусть q - степень простого числа, Fq - поле, £к - множество слов длины к над алфавитом £. В дальнейшем будем полагать X = £к или X = Fq и Y = Fq .

N хеш-семейство - это множество F = {fi,... fN} N хеш-функций fi : X ^ Y.

Дополнительно полагаем, что функции f семейства F эффективно вычислимы - имеется полиномиальный по времени алгоритм вычисления f (w) по w (полиномиальный по времени от длины w).

• е-универсальное хеш-семейство. N хеш-семейство F называется е-универсальным, если для двух различных элементов w,w' £ X существуют не более еп функций f £ F таких, что f (w) = f (w'). В работе [9] используется обозначение е-U (N; K, M) для обозначения е-универсальных хеш-семейств.

Случай е = 1/N известен как универсальное хеширование.

Пусть K = |X|, M = |Y|, F = {fi,..., fn} является семейством функций fi : X ^ Y.

Пусть H = {hi,..., Ht} является семейством функций hj : Y ^ Fq . Для f £ F и h £ H определим суперпозицию g = f о h,

g : X ^ Fq

как

g(w) = (f о h)(w) = h(f (w)).

Определим композицию G семейств F и H следующим образом:

G = F о H = {g = f о h : f £ F,h £ H}.

Теорема 3. Пусть F = {fi,...,fN} является эффективным е -универсальным (N; K,M) хеш-семейством. Пусть l > 1, H = {hi,. . .Ht } является S -R (M; log T + l) -квантовым хеш-генератором, log K > log N + log T + l.

Тогда композиция G = F о H является Д -R (K; s) квантовым хеш-генератором, причем

s = log N + log T + l (7)

и

Д < е + S. (8)

Доказательство. Введем следующую запись для композиции G = F о H:

G = {gij = fi о hj : * £ I,j £ J}

где I = {1,..., N}, J = {1,..., T}.

При этом S-R (M; log T + l) -квантовый хеш-генератор H генерирует S-R (M; log T + l)-квантовую хеш-функцию

фн : v ^-L V |j)[фн,(v)). (9)

Vt 1 3

Для s = log N + log T + l, используя семейство G, определим отображение

фа : X ^ (H2)®s

как

^G(w)) = Ф/N^ |i)0|^H (fi(w))). (10)

УНИВЕРСАЛЬНОЕ КВАНТОВОЕ ХЕШИРОВАНИЕ

15

Докажем Д -устойчивость функции фа ■ Рассмотрим пару w, w' различных элементов X и скалярное произведение (фа^) | фа^')} ■ Используя линейность скалярного произведения, получаем

(фаЫ 1 фа(Л)} = nn E (фн(fi(w))1 фн(fi(w'))}. (11)

iei

Для пары w, w' определим два множества индексов /bad и /good:

/bad = {i G / : fi(w) = fi(w')}, /good = {i G / : fi(w) = fi(w')}.

Тогда получаем

|(фа(ш) 1 фаК)}|< nn XI |(фн(fi(w)) 1 фн(fi(w'))}| +

ieIbad

+ 1 E 1(фн(fi(w)) Iфн(fi(w'))}|. (12)

ie Igood

Хеш-семейство F является e-универсальным, так как

|/bad | < eN.

Квантовая функция фн : Y ^ (H2)logявляется S-устойчивой, поскольку для произвольной пары v, v' различных элементов Y скалярное произведение их образов принимает значение

|(фн(v) 1 фн(v')}| < S. (13)

Наконец, из (12) и двух предыдущих неравенств получаем, что

|(фаЫ |фаЫ)}| < e + ЕЕs < e + S. (14)

Последнее неравенство (14) доказывает Д-устойчивость фа (w) (например, для Д = e + S), что завершает доказательство неравенства (8).

Чтобы завершить доказательство теоремы, нам осталось показать, что функция фа может быть представлена в виде (6). Из (9) и (10) мы получаем, что

|фаЫ} = ^Е |i} 0 ( ^Е |j} 1фь^(fi(w))

Используя запись (5), представим (15) в следующем виде (6):

|фаМ}

1

dNT

Е

iei, jeJ

|ij}E(w)).

(15)

(16)

□

2.2. Конструкции квантового хеширования, основанные на классическом универсальном хешировании. Следующее утверждение является следствием теоремы 3 и является основой для дальнейшего построения квантовых хеш-функций в явном виде. Пусть q является степенью простого числа и Fq является полем, S G (0,1) ■ Пусть Hg,q = {hi,...h|B|}, где hi(w) = biw (mod q), является генератором квантовой хеш-функции (3). Обозначим |X| = K ■

16

Ф.М. АБЛАЕВ И ДР.

Теорема 4. Пусть F = {/i,...,/n } является эффективным е -универсальным (N; K, q) хеш-семейством, где f : X ^ Fq. Тогда для произвольного S > 0 семейство G = F о Hg,q является Д -R (K; s) -квантовым хеш-генератором, где

s < log N + loglog q + 2log1/S + 3 (17)

и

Д < е + S. (18)

Доказательство. Семейство Hg q = {hi,..., hr}, где hi : Fq ^ Fq, T = = r(2/S2)ln(2q)), l = 1, является S-R (q; s)-квантовым хеш-генератором при s = log T +1 < log n + log log q + 2 log 1/S + 3. □

В оставшейся части раздела мы приводим примеры квантовых хеш-функций, основанных на универсальных линейных семействах хеш-функций и кодах, исправляющих ошибки.

2.3. Квантовое хеширование и коды, исправляющие ошибки. Пусть q является степенью простого числа и Fq является полем. (n,k,d,)-код, исправляющий ошибки, называется линейным с Я = Fq, и C = {C(w) : w G Sk} -подпространство пространства F)(. Мы будем обозначать такой линейный код как [n,k,d]q -код.

Теорема 5. Пусть C является [n, k, d]q -кодом. Тогда для произвольного S G G (0,1) существует Д -R (qk; s) -квантовый хеш-генератор G, где Д = (1-d/n)+S и s < log n + log log q + 2 log 1/S + 4 .

Доказательство. В [10] было доказано следующее свойство. Имея [n, k, d]q-код C, мы можем в явном виде построить (1 — d/n)-U (n; qk; q) хеш-семейство Fc .

По теореме 4 композиция G = Fc о Hg,q является Д-R (qk; s) квантовым хеш-генератором, где Д = (1 — d/n) + S и s < log n + log log q + 2 log 1/S + 4. □

2.4. Квантовые хеш-функции на основе конструкции кода Рида — Соломона. В качестве примера приведем конструкцию квантовой хеш-функции, используя код Рида-Соломона.

Пусть q является степенью простого числа. Расширенный код Рида - Соломона -это линейный код

Crs : (Fq)k ^ (Fq)n (19)

с параметрами [n,k,n — (k — 1)]q, где k < n = q, который задается следующим образом. Каждому слову w G (Fq )k, w = wowi ...wk-i, ставится в соответствие полином

k-i

Pw (x) = ^2 wix\ (20)

i=0

Для кодирования слова w вычисляем Pw (x) во всех q элементах a G Fq:

Crs(w) = (Pw(0)Pw(1)... Pw(q — 1)). (21)

Используя коды Рида -Соломона, мы получаем следующее утверждение.

Теорема 6. Пусть q является степенью простого числа, 1 < k < q. Тогда для произвольного S G (0, 1) существует Д -R (qk; s) -квантовый хеш-генератор k1

Grs , где Д <------+ S и s < log (q log q) + 2 log 1/S + 4 .

q

УНИВЕРСАЛЬНОЕ КВАНТОВОЕ ХЕШИРОВАНИЕ

17

Доказательство. Код Рида-Соломона CRg является [q,k,q-(k — 1)]q-кодом, где k < q. Тогда согласно теореме 5 семейство Grs является Д-R (qk; s) -квантовым хеш-генератором с требуемыми параметрами. □

В частности, выбрав q G [ck, c'k] для постоянной c < c', получаем, что S < 1/c+ + S для S G (0, 1), и в соответствии с теоремой 1

log (q log q) — log log (l + ^2/(1 - S)) — log c'/2 < s < log (q log q) + 2log1/S + 4. (22)

Таким образом, коды Рида-Соломона имеют достаточно хорошие параметры устойчивости S, и нам нужно построить квантовую хеш-функцию фр,g для s кубитов.

2.5. Эффективные конструкции семейства Grs и функции фа^S.

Определим (k — 1)/q-U (q; ; q) -хеш-семейство Frg = {fa : a G Fq} на основе

кода Crs следующим образом. Для a G Fq определим fa : (Fq)k ^ Fq как

k-1

fa (wo ...Wk-i) = £ Wia\ (23)

i=0

Пусть Hs,q = {hi,..., hT}, где hj : Fq ^ Fq и T = [(2/S2) ln 2q] . Для s = log q + + log T +1 композиция Grs = Frs о Hg,q определяет функцию

Фам : (Fq)k ^ (H2)®s

для слова w G (Fq)k следующим образом:

^Grs (w)) =

1

—

|a) 0

aGFq

-G V j}® (Coe2nhfW))|0) +S,n2,hj (f°(W))|1)

VT ' V q q

(24)

Работа выполнена за счет средств субсидии, выделенной в рамках государственной поддержки Казанского (Приволжского) федерального университета в целях повышения его конкурентоспособности среди ведущих мировых научнообразовательных центров, а также гранта РФФИ № 14-07-00878-а.

Summary

F.M. Ablayev, M.F. Ablayev, A.V. Vasilev. Universal Quantum Hashing.

In the paper we propose a method of quantum hashing which mostly combines the existing constructions of universal hash families with quantum one-way functions. Next, we define the concept of a quantum hash generator and present an approach for building a large number of various quantum hash functions. The construction is based on the integration of a classical e -universal hash family and a given family of functions - quantum hash generator. The proposed construction combines the properties of robust representation of information by classical error-correcting codes together with the possibility of highly reliable representation of information by quantum systems. In particular, we present a quantum hash function based on the Reed-Solomon code and prove that this construction is optimal in the sense of the number of qubits needed.

Keywords: quantum computations, quantum communications, quantum hashing.

18

Ф.М. АБЛАЕВ И ДР.

Литература

1. Kashefi E., Kerenidis I. Statistical Zero Knowledge and quantum one-way functions // Theor. Comput. Sci. - 2007. - V. 378, No 1. - P. 101-116. - doi: 10.1016/j.tcs.2007.03.013.

2. Gottesman D., Chuang I. Quantum Digital Signatures: arXiv:quant-ph/0105032. - 2001. -URL: http://arxiv.org/abs/quant-ph/0105032.

3. Buhrman H., Cleve R., Watrous J., de Wolf R. Quantum Fingerprinting // Phys. Rev. Lett. - 2001. - V. 87, No 16. - P. 167902-1-167902-4. - doi: 10.1103/PhysRevLett.87. 167902.

4. Lu X., Feng D. Quantum digital signature based on quantum one-way functions // The 7th Int. Conf. on Advanced Communication Technology (ICACT’2005). - 2005. - V. 1. -P. 514-517.

5. Zhou J., Zhou Y., Niu X., Xian Y. Quantum proxy signature scheme with public verifiability // Science China Physics, Mechanics and Astronomy. - 2011. - V. 54, No 10. -P. 1828-1832. - doi: 10.1007/s11433-011-4457-z.

6. Ablayev F., Vasiliev A. Algorithms for Quantum Branching Programs Based on Fingerprinting // Electr. Proc. in Theor. Comput. Sci. - 2009. - V. 9. - P. 1-11.

7. Razborov A.A., Szemeredi E., Wigderson A. Constructing Small Sets that are Uniform in Arithmetic Progressions // Combinatorics, Probability & Computing. - 1993. - V. 2. -P. 513-518.

8. Ablayev F., Vasiliev A. On the Computation of Boolean Functions by Quantum Branching Programs via Fingerprinting // Electronic Colloquium on Computational Complexity (ECCC). - 2008. - V. 15. - Art. 059. - URL: http://www.eccc.uni-trier.de/report/ 2008/059/, свободный.

9. Stinson D.R. On the Connections between Universal Hashing, Combinatorial Designs and Error-Correcting Codes // Proc. Congressus Numerantium 114. - 1996. - P. 7-27.

10. Bierbrauer J., Johansson T., Kabatianskii G., Smeets B. On Families of Hash Functions via Geometric Codes and Concatenation // Advances in Cryptology - CRYPTO’93 / By ed. D.R. Stinson. - Berlin; Heidelberg: Springer, 1994. - P. 331-342.

Поступила в редакцию

05.08.14

Аблаев Фарид Мансурович - доктор физико-математических наук, заведующий кафедрой теоретической кибернетики, Казанский (Приволжский) федеральный университет, г. Казань, Россия.

E-mail: [email protected]

Аблаев Марат Фаридович - младший научный сотрудник лаборатории квантовой информатики, Казанский (Приволжский) федеральный университет, г. Казань, Россия.

E-mail: [email protected]

Васильев Александр Валерьевич - кандидат физико-математических наук, доцент кафедры системного анализа и информационных технологий, Казанский (Приволжский) федеральный университет, г. Казань, Россия.

E-mail: Alexander. [email protected]