誤り訂正符号のワークショップ発表資料

Classical access structures of ramp secret sharing
based on quantum stabilizer codes
arXiv:1811.05217
Ryutaroh Matsumoto
Slide available from
https://www.slideshare.net/RyutarohMatsumoto
Nagoya University, Japan
Aalborg University, Denmark
Email ryutaroh.matsumoto@nagoya-u.jp
4 September 2019
@ 第8回誤り訂正符号のワークショップ
Matsumoto (Nagoya U. & Aalborg U.) Quantum secret sharing ECCWS 2019 1 / 19

研究の動機
量子超越性とは、ある課題について従来の計算機ができないにも関わ
らず量子計算機ができることである (Wikipedia)
今までに知られていない量子超越性を新たに見つけることは、古典情報処理と
量子情報処理の違いを明らかにするために役に立つだろう

どのような量子超越性を検討するのか
秘密分散法において、古典情報処理では実現できないアクセス構造を量子情
報処理により実現できることを示す。
秘密分散法
そのアクセス構造
について簡単に紹介する。

従来からある批判 😱
1 ビットと 1 量子ビットを同
一視してできる／できない
を議論するのはおかしい 😏
© ㈱竹書房

Shamir-Blakley の方法
目的: 秘密 𝑠 を有資格集合に属する参加者だけが再構成できるようにする
𝐅𝑞 ∋ 𝑠: 秘密
𝑛: 参加者の数
𝐅𝑞 ∋ 𝛼1, …, 𝛼 𝑛: 相異なる非ゼロ要素
1 多項式 𝑓(𝑥) = 𝑠 + 𝑎1 𝑥 + ⋯ + 𝑎 𝑘−1 𝑥 𝑘−1
をランダムに選ぶ
2 𝑓(𝛼𝑖) を 𝑖 番目の参加者に配布する
𝑘 − 1 人以下の参加者は秘密 𝑠 について何もわからない
𝑘 人以上の参加者は 𝑠 を再構成することができる
シェア: 参加者に配布される情報(の断片) (上記の例では 𝑓(𝛼𝑖))

アクセス構造
禁止集合: 秘密について何ら情報を持たない参加者(またはそのシェア)の集合
例: Shamir-Blakley の方法で 𝑘 − 1 人以下の参加者の集合
有資格集合: 秘密を再構成できる参加者の集合
例: Shamir-Blakley の方法で 𝑘 人以上の参加者の集合
アクセス構造: 禁止集合の集合と有資格集合の集合

古典情報処理で実現できないアクセス構造の例
𝑛 ビットからなる秘密
𝑛 人の参加者
各参加者は 1 ビットのシェアを持つ
有資格集合は {1, …, 𝑛} のみ
このとき、禁止集合は空集合だけであり、 ℓ 人の参加者は秘密について ℓ ビット
の情報を持つ(すなわち相互情報量が ℓ ビット)
しかし、各参加者が 1 量子ビットをもつときに、約 0.19𝑛 人の参加者までを禁止
集合にできる。

Review of qubits
1 量子ビット: 1 ビットを格納できる量子情報の単位であり、 2 次元複素線形空
間 𝐂2
のベクトルで表される。その正規直交基底は {|0⟩ = (
1
0
) , |1⟩ = (
0
1
)}
(ket-zero and ket-one) と書かれることが多い
𝑛 量子ビットは 𝑛 重テンソル積空間 (𝐂2
)⊗𝑛
で表される。その次元は 2 𝑛
。
|𝑎⟩ ⊗ |𝑏⟩ は |𝑎𝑏⟩ と省略されることが多い
例: 2 量子ビットの典型的な基底の 2 つは
{|00⟩, |01⟩, |10⟩, |11⟩} と
⎧⎪
⎨
⎪
⎩
|0ℓ⟩ + (−1) 𝑚
|1(1 − ℓ)⟩
√2
=
1
√2
⎛
⎜
⎜
⎝
1 − ℓ
ℓ
ℓ(−1) 𝑚
(1 − ℓ)(−1) 𝑚
⎞
⎟
⎟
⎠
∣ ℓ, 𝑚 = 0, 1
⎫
⎪
⎬
⎪
⎭
(the Bell
basis) である

Gottesman の量子秘密分散 (PRA 2000)
秘密は 2 ビットの古典情報 (ℓ, 𝑚)
参加者は 2 人
参加者 1 は 1st qubit を持ち
参加者 2 は 2nd qubit を持つ
|0ℓ⟩ + (−1) 𝑚
|1(1 − ℓ)⟩
√2
(called a Bell state).
{1, 2} は有資格集合
各々のシェアの量子状態 (行列表示) は 𝐼2×2/2 であり (ℓ, 𝑚) と無関係で
ある。したがって ∅, {1} and {2} は禁止集合
上記のアクセス構造は古典情報処理では不可能 (if each share is 1-bit).
禁止集合と有資格集合以外無いという点で上記のアクセス構造は完全で
あり、なおかつ秘密の大きさがシェアの大きさよりも大きい。この性質も古
典情報処理では実現不可能である。

研究の目的
Gottesman の方法を一例として含む、量子スタビライザー符号から秘密
分散法を構成する一般的な方法
上記の方法を代数的符号理論と関連付ける
Gilbert-Varshamov 的な議論であるパラメータを持つ秘密分散法の存在
を示す
古典情報処理では実現できないが量子情報処理では可能となるアクセス
構造が無限個存在することを示す

多元量子スタビライザー符号の紹介
( ⃗𝑎| ⃗𝑏) = (𝑎1, …, 𝑎 𝑛|𝑏1, …, 𝑏 𝑛), ( ⃗𝑐| ⃗𝑑) = (𝑐1, …, 𝑐 𝑛|𝑑1, …, 𝑑 𝑛) ∈ 𝐅2𝑛
𝑞 , に対してシ
ンプレクティック内積を
⟨( ⃗𝑎| ⃗𝑏), ( ⃗𝑐| ⃗𝑑)⟩ 𝑠 = ⟨ ⃗𝑎, ⃗𝑑⟩ 𝐸 − ⟨ ⃗𝑏, ⃗𝑐⟩ 𝐸,
とする。ただし ⟨, ⟩ 𝐸 ユークリッド内積
シンプレクティック内積に関する自己直交線形空間 𝐶 ⊂ 𝐶⟂𝑠
⊂ 𝐅2𝑛
𝑞 ,
dim 𝐶 = 𝑛 − 𝑘 は [[𝑛, 𝑘]] 𝑞 量子スタビライザー符号を与える。これは 𝑘 qudits
∈ (𝐂 𝑞
)⊗𝑘
をに 𝑛 qudits ∈ (𝐂 𝑞
)⊗𝑛
符号化する

常識的な符号化方法
[[𝑛, 𝑘]] 𝑞 量子スタビライザー符号は (𝐂 𝑞
)⊗𝑛
の 𝑞 𝑘
次元部分空間 𝑄 である。
𝑄 は (𝑘 log2
𝑞) ビットの古典情報を (𝐂 𝑞
)⊗𝑛
の 𝑛 量子ビットに符号化できる。
{| ⃗𝑣⟩ ∣ ⃗𝑣 ∈ 𝐅 𝑘
𝑞 } を 𝑄 の正規直交基底とする。
秘密 ⃗𝑣 ∈ 𝐅 𝑘
𝑞 は量子符号語 | ⃗𝑣⟩ ∈ 𝑄 に符号化され、各参加者は量子符号語の
1量子シンボルをシェアとして配布される。
アクセス構造は正規直交基底 {| ⃗𝑣⟩ ∣ ⃗𝑣 ∈ 𝐅 𝑘
𝑞 } ⊂ 𝑄 ⊂ (𝐂 𝑞
)⊗𝑛
の選択に依存して
変わる。正規直交基底の選択を代数的符号理論で記述する。

符号化方法の記述
任意に与えられた 𝐶 ⊂ 𝐶⟂𝑠
⊂ 𝐅2𝑛
𝑞 について
𝐶 ⊂ 𝐶max = 𝐶⟂𝑠
max ⊂ 𝐶⟂𝑠
.
を満たす自己直交空間 𝐶max = 𝐶⟂𝑠
max が常に存在する。
𝐶max = 𝐶⟂𝑠
max から 𝑄 の正規直交基底 {| ⃗𝑣⟩ ∣ ⃗𝑣 ∈ 𝐅 𝑘
𝑞 } を定めることができる(量
子スタビライザー符号に関する既知の結果)

量子秘密分散の代数的符号理論による表現
max ⊂ 𝐶⟂𝑠
⊂ 𝐅2𝑛
𝑞 with dim 𝐶 = 𝑛 − 𝑘,
(𝑘 log2
𝑞) ビットの秘密が符号化される
𝑛 人の参加者おのおのが 𝐶 と秘密により定義される量子符号語の 1 量子
シンボル (𝑞-dimensional complex vector) をシェアとして受け取る
禁止集合と有資格集合の必要十分条件を 𝐶 を用いて記述できる (eprint
参照)
𝐅2𝑛
𝑞 のシンプレクティック重みを用いて十分条件について発表する

シンプレクティック重みを用いた十分条件
( ⃗𝑎| ⃗𝑏) = (𝑎1, …, 𝑎 𝑛|𝑏1, …, 𝑏 𝑛), のシンプレクティック重みは
swt( ⃗𝑎| ⃗𝑏) = |{𝑖 ∣ (𝑎𝑖, 𝑏𝑖) ≠ (0, 0)}|.
𝑉1 ⊃ 𝑉2 についてシンプレクティックコセット距離を
𝑑 𝑠(𝑉1, 𝑉2) = min{swt( ⃗𝑎| ⃗𝑏) ∣ ( ⃗𝑎| ⃗𝑏) ∈ 𝑉1 ⧵ 𝑉2}.
max ⊂ 𝐶⟂𝑠
⊂ 𝐅2𝑛
𝑞 が秘密分散法とその符号化を定義する
禁止集合と有資格集合の十分条件
𝑑 𝑠(𝐶max, 𝐶) − 1 人以下の参加者は禁止集合
𝑛 − 𝑑 𝑠(𝐶⟂𝑠
, 𝐶max) + 1 人以上の参加者は有資格集合
距離 𝑑 𝑠(𝐶max, 𝐶) と 𝑑 𝑠(𝐶⟂𝑠
, 𝐶max) に対して Gilbert-Varshamov 的な議論を
適用すると…

Gilbert-Varshamov-type existential conditions
max ⊂ 𝐶⟂𝑠
⊂ 𝐅2𝑛
𝑞 が秘密分散法を定義する
正整数 𝑛, 𝑘, 𝛿𝑡, 𝛿𝑟 が
𝑞 𝑛+𝑘
− 𝑞 𝑛
𝑞2𝑛 − 1
𝛿 𝑟−1
∑
𝑖=1
(
𝑛
𝑖
)(𝑞2
− 1)𝑖
+
𝑞 𝑛
− 𝑞 𝑘
𝑞2𝑛 − 1
𝛿 𝑡−1
∑
𝑖=1
(
𝑛
𝑖
)(𝑞2
− 1)𝑖
< 1,
を満たすとき dim 𝐶 = 𝑛 − 𝑘, 𝑑 𝑠(𝐶⟂𝑠
, 𝐶max) ≥ 𝛿𝑟, 𝑑 𝑠(𝐶max, 𝐶) ≥ 𝛿𝑡 となる
max ⊂ 𝐶⟂𝑠
⊂ 𝐅2𝑛
𝑞 が存在する
Asymptotic form: 𝑅, 𝜖𝑡, 𝜖 𝑟 を 1 以下の非負実数、
ℎ 𝑞(𝑥) = −𝑥 log 𝑞
𝑥 − (1 − 𝑥) log 𝑞
(1 − 𝑥) とする。もし
ℎ 𝑞(𝜖 𝑟) + 𝜖 𝑟 log 𝑞
(𝑞2
− 1) < 1 − 𝑅 (not containing 𝜖𝑡) and
ℎ 𝑞(𝜖𝑡) + 𝜖𝑡 log 𝑞
(𝑞2
− 1) < 1, (not containning 𝑅 nor 𝜖 𝑟)
ならば十分大きい 𝑛 について dim 𝐶 = 𝑛 − ⌊𝑛𝑅⌋, 𝑑 𝑠(𝐶⟂𝑠
, 𝐶max) ≥ ⌊𝑛𝜖𝑡⌋ and
𝑑 𝑠(𝐶max, 𝐶) ≥ ⌊𝑛𝜖𝑡⌋ を満たす 𝐶 ⊂ 𝐶max ⊂ 𝐶⟂𝑠
⊂ 𝐅2𝑛
𝑞 が存在する

GV 限界の論理的帰結
max ⊂ 𝐶⟂𝑠
⊂ 𝐅2𝑛
𝑞 が量子秘密分散法を定義し
𝑑 𝑠(𝐶max, 𝐶) − 1 人以下の参加者は禁止集合、
𝑑 𝑠(𝐶max, 𝐶) ≥ ⌊𝑛𝜖𝑡⌋,
十分条件 ℎ 𝑞(𝜖𝑡) + 𝜖𝑡 log 𝑞
(𝑞2
− 1) < 1 は 𝑅 を含まない
ℎ2(0.19) + 0.19 log2
3 ≃ 1.
⇒ 秘密の大きさ (すなわち 𝑅) と無関係に参加者の 19% が禁止集合である秘
密分散法を構成できる (ただし 𝑞 = 2)
↕
一方、秘密の大きさがシェアの合計の大きさであるときに古典情報処理では秘
密の再構成が不可能になるか禁止集合が空集合だけになってしまう

まとめ
古典情報である秘密を分散する量子秘密分散法を代数的符号理論に関
連づけた
提案する秘密分散法のアクセス構造を線形符号で記述した
Gilbert-Varshamov 的な存在定理
古典情報処理で実現不可能なアクセス構造の提示
https://www.slideshare.net/RyutarohMatsumoto にスライドあり

Gottesman’s example as a stabilizer code
We will see how one can express Gottesman’s secret sharing scheme by
a quantum stabilizer. Let 𝑝 = 2, 𝑛 = 2 and 𝐶 be the zero-dimensional
linear space consisting of only the zero vector. Then 𝐶⟂𝑠
= 𝐅4
2 . We
choose 𝐶max as the space spanned by (1, 1|0, 0) and (0, 0|1, 1).

誤り訂正符号のワークショップ発表資料

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 誤り訂正符号のワークショップ発表資料

Similar to 誤り訂正符号のワークショップ発表資料 (20)

誤り訂正符号のワークショップ発表資料