施工 1 (方案)。设n为安全参数,并设成为一个有效的函数族.对称密钥加密方案由以下有效算法定义:
- 1
:输出密钥;
- 2
:加密消息,选择随机字符串和输出;
- 三。
:解密密文,输出;
证明。 修复对手反对然后让n个表示安全参数。分开比较方便进入质询前算法和挑战算法.
我们将使用单消息变体,,描述如下G名称0.英寸附录A.2,我们证明了这一点是当且仅当否对手可以获胜偏差不容忽视。我们首先展示了我们在哪里更换(f)用随机函数G名称以下为1,无法与,因此获胜概率相差不可忽略。然后我们证明没有对手能赢得G名称通过显示G的任何对手名称1可用于制作具有相同偏置的量子随机接入码。 - 游戏 0:
这就是游戏,为了方便起见,我们对其进行了简要介绍(另请参见图1). 在挑战前阶段,访问预言和,并输出消息同时保持私有状态挑战阶段。在质询阶段,随机位取样,并且在输入时运行和挑战密文在这里,哪里和x个随机均匀采样。在挑战阶段,只有访问权限并且必须输出一位.如果,所以我们打电话给比赛的结果。 - 游戏 1:
这是和G一样的游戏名称0,除非我们替换具有一致随机函数.
首先,我们向任何对手展示了这一点,结果是什么时候播放G名称0与以下情况的结果相差不大播放G名称1.我们通过构建一个量子预言机来实现这一点这就区分了 和一个真正的随机函数,具有明显的优势这一点必须忽略不计,因为(f)是一个.与众不同获取对函数的quantum oracle访问克,即,对于随机k个,或随机函数,并通过模拟继续玩如下: 还有待证明没有对手可以赢得G名称概率不可忽略。为此,我们设计了一个来自任何对手的量子随机接入码,并使用引理1中给出的偏差下限。
直觉。我们首先给出一些直觉。在加密查询中,对手或、查询消息或消息的叠加,然后回来对于随机的第页他可以很容易地从中获得样本因此,本质上,加密查询只是典型地对F类.
在解密查询中,该查询仅适用于敌方发送密文或密文叠加,然后回来他可以从中学习因此,解密查询允许要查询F类,叠加。在挑战阶段的后期,获取加密必须决定是否.自不再具有访问解密oracle的权限,该oracle允许他查询F类因此,似乎只有两种可能的方法可以学习:
最多能有一个幸运儿许多查询并碰巧对挑战组进行了采样;
或者,对手能够以某种方式使用他在接触时学到的知识,因此F类,学习,意味着-大小量子存储器发送到,这可能取决于对F类,但不能依赖于,允许学习.
第一种可能性不太可能成倍增长,因为可能性。我们很快就会看到,第二种可能性意味着一个非常强大的量子随机接入码。它基本上允许与…互动F类,包含值,并生成一个状态,该状态必须是多项式大小,以便可以使用该状态进行恢复对于任何的可能值,概率很高。我们现在将这种直觉形式化。为了阐明符号,我们将使用黑体表示共享的随机性位字符串。
量子随机存取码的构造。让成为具有获胜概率的对手第页.让是查询次数的上限回想一下,随机存取码由一个编码过程组成,该过程需要(在本例中)位,并输出状态尺寸(在本例中),以便给出解码过程和索引输出具有一定的成功概率。我们将量子随机接入码定义如下(另请参见图2). - 编码。
让是要编码的字符串。让由第一个给出共享随机性的位,并让成为下一个位。定义一个函数如下所示。对于,我们会稍微滥用符号第页表示1到之间的对应整数值.定义.运行,使用回答加密和解密查询代替F类.让和是的输出(请参见图1). 输出. - 解码。
让是要解码的位的索引(如此给定如上所述,目标是恢复). 解码将利用这些值由共享随机性给出。收到查询时,运行带输入和.打开的我-th加密oracle调用,使用随机性,因此如果oracle的输入是,返回的状态为(请注意作为以下内容的一部分提供). 返回钻头输出依据.
代码的平均偏差。我们声称,正确解码的平均概率超过了所有选择和,正是第页,成功概率。要看到这一点,首先要注意从我的角度来看,这正是G名称1:功能是一致随机函数,查询的响应方式与G中相同名称1.此外,请注意,如果,然后,所以正确的猜测将为0,如果,然后对于均匀随机字符串,所以正确的猜测将为1。
因此,代码的平均偏差为。我们还观察到最多有个维度,自必须是-量子比特态(仅为运行时间),以及ℓ,执行的查询数必须是,自仅为运行时间。由于此代码编码位进入维度状态,由引理1(证明于附录A.1),偏差为,所以. □