Calcul bi-partite quantique sécurisé : Impossibilité et constructions.

Résumé Le calcul sécurisé à deux parties considère le problème de deux parties calculant une fonction conjointe de leurs entrées privées sans rien révéler au-delà de la sortie du calcul. Dans ce travail, nous faisons les premiers pas vers la compréhension de la situation dans laquelle les deux parties veulent évaluer une fonction quantique conjointe tout en utilisant uniquement un canal classique entre elles. Notre premier résultat indique qu'il est en général impossible de réaliser une fonctionnalité quantique à deux parties contre des adversaires malveillants avec une simulation en boîte noire, en se basant uniquement sur des canaux classiques. Le résultat négatif découle de la réduction de l'existence d'un simulateur de boîte noire à un extracteur de preuve classique de connaissance quantique, ce qui conduit à son tour à la violation du non-clonage quantique. Ensuite, nous introduisons la notion d'évaluation de fonction quantique oblivious (OQFE). Une OQFE est une primitive cryptographique quantique à deux parties avec une partie entièrement classique (Alice) dont l'entrée est (une description classique d'une) unité quantique, $U$, et une partie quantique (Bob) dont l'entrée est un état quantique, $\psi$. En particulier, Alice reçoit une sortie classique correspondant à la mesure de $U(\psi)$ tandis que Bob ne reçoit aucune sortie. Dans OQFE, Bob reste inconscient de l'entrée d'Alice, tandis qu'Alice n'apprend rien de plus sur $\psi$ que ce qui peut être appris de la sortie. Nous présentons deux constructions, une sécurisée contre les parties semi-honnêtes et l'autre contre les parties malveillantes. En raison du résultat no-go mentionné ci-dessus, nous considérons ce qui est sans doute la meilleure notion possible pouvant être obtenue dans notre modèle concernant les adversaires malveillants : la sécurité de simulation unilatérale. Notre protocole repose sur l'hypothèse d'OWFs à trappe homomorphique injective, qui à son tour repose sur le problème LWE. Par conséquent, nous présentons une première construction, simple et modulaire, du calcul bilatéral quantique unilatéral et du transfert oblivious quantique sur des réseaux classiques.