La technique de coupe et de choix quantique et le calcul à deux parties quantique.

Résumé L'application et l'analyse de la technique Cut-and-Choose dans les protocoles sécurisés contre les adversaires quantiques n'est pas une transposition directe du cas classique, entre autres en raison de la difficulté d'utiliser le rembobinage dans le domaine quantique. Nous introduisons une technique de calcul quantique "Cut-and-Choose" (QC-CC) qui est une généralisation de la technique classique "Cut-and-Choose" afin de construire des protocoles quantiques sécurisés contre des adversaires cachés quantiques. De tels adversaires peuvent dévier arbitrairement, à condition que leur déviation ne soit pas détectée. En tant qu'application du QC-CC, nous donnons un protocole pour effectuer de manière sécurisée un calcul quantique à deux parties avec une entrée/sortie classique. Nous utilisons comme base le calcul quantique délégué sécurisé (Broadbent et al 2009), et en particulier le calcul quantique brouillé de (Kashefi et al 2016) qui est sécurisé contre seulement un faible adversaire spécieux, défini dans (Dupuis et al 2010). Une propriété unique de ces protocoles est la séparation entre les communications classiques et quantiques et l'asymétrie entre le client et le serveur, ce qui nous permet de contourner les problèmes de rembobinage quantique. Cela ouvre la perspective d'utiliser le QC-CC à d'autres protocoles quantiques avec cette séparation. Dans notre preuve de sécurité, nous adaptons et utilisons (à différentes parties) deux techniques de rembobinage quantique, à savoir le rembobinage oblivious q de Watrous (Watrous 2009) et le rembobinage special q de Unruh (Unruh 2012). Notre protocole réalise la même fonctionnalité que dans les travaux précédents (par exemple, Dupuis et al 2012), cependant l'utilisation de la technique QC-CC sur le protocole de (Kashefi et al 2016) conduit aux améliorations clés suivantes : (i) seule une communication quantique unidirectionnelle hors ligne est nécessaire, (ii) seule une partie (serveur) doit avoir des capacités technologiques quantiques impliquées, (iii) seules des primitives cryptographiques supplémentaires minimales sont nécessaires, à savoir un transfert oblivious pour chaque bit d'entrée et des engagements quantiques sûrs.