Transcript Document

量子情報処理の壁と
その乗り越え方
－最近の量子情報処理の発展と共に－
村尾美緒
東京大学大学院理学系研究科物理学専攻
東京大学ナノ量子情報エレクトロニクス研究機構
人工量子系と量子情報処理
通常の物理学（物性物理）： 自然を記述するハミルトニア
ンが与えられた場合の系の状態を調べる
自然量子系
人工量子系
テクノロジーの進化によって、集合アンサンブルではなく
て、量子ひとつずつを人工的に制御・測定することがで
きるようになった。ハミルトニアンを人工的に操作でき
る！ １量子状態制御
相互作用制御
１量子測定
個々の量子を情報処理に用いてみよう！
2
量子情報を使えば何でも解けるのか？
残念ながら、量子情報処理をすれば、いつでも通常の
古典情報処理より必ずしも良くなるわけではない。
量子情報処理には、苦労するだけの価値があるのか？
量子情報処理の壁とその乗り越え方
3
OUTLINE
1.
量子情報処理についてのoverview






2.
量子情報における量子力学
量子ビットとHolevo boundの壁
エンタングルメントと光速の壁
エンタングルメントとGottesman-Knillの壁
測定ベース量子計算
量子計算量とQMAの壁
秘匿量子計算（時間があれば）



目的
方法
証明のアウトライン
4
量子情報処理とは…

量子情報（量子ビット）を用いることで従来の古典情報
（古典ビット）を用いたものでは不可能であったり難しかっ
たりする情報処理を行なうことを目指す。



量子計算：より高速な計算
量子通信：より効率的・高付加価値な通信
量子暗号：より安全性の高い通信
注意：量子効果自体は通常の古典情報処理でも使われている。

研究の舞台


ハードウェア：ナノテクノロジー、エレクトロニクス、量子光学、
原子分子…
ソフトウェア：アルゴリズム、暗号・通信プロトコル、誤り訂正…
量子力学の基盤的な理解とその情報処理への応用
量子情報を理解するための量子力学(1)
1. 量子ビット＝spin ½系
（2次元ヒルベルト空間） |0>
   0   1 または　    
|1>
2. 測定過程：期待値やオブザーバブルではなく、
測定演算子による状態変化や確率分布を扱う。
測定は、系の情報と取り出すだけではなく、系の
情報をとりださない情報処理に使うこともある。
Mi Mi†
†
M
:


with
p
(
i
)

TrM
 i
i Mi 
†
TrMi Mi 
6
量子情報を理解するための量子力学(2)
3. 密度行列：失われた情報を取り扱うために、密
度行列による定式化を使う。状態の記述は、
我々が系について何を知っているかに依存する。
†
Mi Mi
†
  i 
or

'

M

M

i
i
†
TrMi Mi 
i
A  AB B
A A
B
A  trB AB
4. エンタングルメント：多量子ビットの系では、テン
ソル積空間を考えるため、エンタングルメントが
生じる。    も 1        も 許さ れる 状態

2

7
古典ビットと量子ビット
古典状態は実数で表される
量子状態は複素ベクトルで表される
ビット “0” or “1”
C
とりうる状態
上向きか下向きの組み
合わせのみ
測定結果
０と１の２つの値のみ。
Q
z |0>
“ 0”
“ 1”
Bit
  0   1
Quantum
Classical
or
量子ビット |0>,|1>
と重ね合わせも可能
x
|1>
とりうる状態
量子ビットの個数が増え
ると自由度が激しく増大。
y
|0>
|1>
Qubit
測定結果
０と１の２つの値のみ。
Holevo boundの壁
量子ビットに情報をたくさんつめこんでも、適当な測定ではうまくとりだせない!
ソフトウェア的研究の重要性
HOLEVO BOUNDの壁
「Holevo boundの壁」：1量子ビットから1古典ビッ
ト分しか読み出すことができない。

たとえば、量子計算は超並列計算とも言われるが、最終的
には、量子状態の測定に関する不確定性のために、並列
計算したすべての結果をそれぞれ独立に取り出せるわけ
ではない。量子アルゴリズムには工夫が必要。
量子情報処理で、何ができるのか？
 量子情報処理を優位にする本質は、何か？
 量子情報処理ならではのソフトウェア（量子プロト
コル・量子アルゴリズム）を探求する必要。

Q
量子計算(1)

Shorの因数分解アルゴリズム、Groverの探索ア
ルゴリズムが古典より優位な量子アルゴリズムと
して知られている。
量子回路(quantum circuit)
0

量子計算の手順
0
0
0
１．量子系を初期化する。
0
２．量子系にユニタリ変換をする。
３．量子系を測定する。
1
U
2
3
10
量子計算(２)

UCNOT
1
0

0

0
0
0
0
1
0
0 
1

0 
基本量子ゲートの組み合わせによって、どんな大きなハ
ミルトニアンも人工的に作ることができ、任意のユニタリ変
換を操作できる。また、一つ一つの量子ビットに対して測
Ｕ
Ｖ
定を行うことができる。
基本ゲートの例：１量子ビットユニタリ＋CNOT演算

0
1
0
0
Ｗ
干渉効果をうまく使うことによって、Holevoの壁を回避し
て重ね合わせ状態における並列計算のパワーを使う。
 Shorの因数分解アルゴリズム：量子状態の重ね合わせ
を用いて因数分解アルゴリズムで必要となる「周期発見
(period finding)」のプロセスを多項式時間で実行。
 Groverの検索アルゴリズム
でも、古典計算機より早くなる本質はよくわかっていない。
11
エンタングルメント (ノイズのない系)

エンタングルメントの定義：


複数の部分系を持つ結合量子系を考える。
結合系の状態が分離不可能な状態にあるとき、エンタングル
メントがあるという。
entangled  A  B


A
B
Ａ
Ｂ
たとえばBell状態：
entangled
1
Bell 
0  0  1 1

2
エンタングルしている状態では、片方の系を測定すると、それ
に応じて他方の系の状態がどこにあろうとも瞬時に変化する。
(非局所的量子相関）
Spooky action at a distance!
© The Nobel Foundation
エンタングルメント(ノイズのある場合)

定義: By R.F.Werner: Phys. Rev. A 40, 4277 (1989)
以下のように書くことのできない状態（分離不可能な状態）
ent  ci i  i ',　where ci  1, 0  ci  1
i

ノイズのある量子状態の場合、密度行列を見て状態がエンタングルし
ているかどうかを判断するのは計算量的(NP-Hard)に難しい問題。


j
単純な量子系の場合には、Peres-Horodecki criterionという方法がある
エンタングルメント量の測度には色々なものがあり、多体エンタングルメ
ントなど一般の場合には、目的に応じて使い分ける必要がある。
例：多体エンタングルメントとLOCC状態識別：M. Hayashi, D. Markham,
M. Murao, M. Owari and S. Virmani, Phys. Rev. Lett. (2006).
「エンタングルメント理論」はまだ発展途中である。
さまざまな少数量子ビットエンタングル
状態
Telecloning状態
Bell状態
1
00  11 

2
1
0000  1111 

3
1

0101  0110  1001  1010

2 3
GHZ状態
1
000  111 

2
W状態
1
001  010  100

3

Cluster状態
I  I  I  H  


1
00 0  01 1  10 2  11 3
2
一般的には
これらの状態は、既に実験的に作成可能。

エンタングルメントと量子通信・量子暗
号

エンタングルメントは非局所的量子相関

エンタングルしている片方の系を操作することで、全体の系の
状態を変えることができる。

しかし、もちろん、光速を超えた情報通信はできない。
光速の壁とHolevoの壁は存在するが・・・・

できること




エンタングルメントを利用して、１量子ビットを送ることで2ビット
（古典）情報を送ることができる。（Superdence coding）
盗聴なしで乱数の共有ができる。(QKD: 量子鍵分配)
量子情報を送ることができる。（量子テレポーテーション）
エンタングルメントを利用した量子度量衡学（リソグラフィー他）
量子通信

量子鍵配布(QKD)プロトコル：非直交の量子状態を用
いることで、２者間での乱数の共有が可能となる。盗聴
者は乱数を盗めない。



スイス
認証が成立していれば、絶対安全性が保障されている。
既に市販品あり (一説によると500万円程度？）。
今年の10月のスイス国会選挙において、通信につかわれた。
米MagiQ Technologies
16
エンタングルメントと量子計算

エンタングルメントがあれば量子計算がいつも速くなる？
 必ずしも、そうでないことが証明されている。
 量子計算：１量子ビットのユニタリ変換とＣＮＯＴ演算がで
Ｖ
きれば、どのようなユニタリ変換も実現できる。 Ｕ
Ｗ

CNOT演算はエンタングルメントを作りだすことができるが、
CNOT演算とパウリ・H・S ゲートのみからなる演算（クリッ
フォード演算）は古典計算機でシミュレート可能である。
パウリゲート：x,y,z軸に関する180度回転
H/Sゲート：ｙ/z軸に関する90度回転
Gottesmann-Knill 定理の壁

エンタングルメントを使って量子計算ができるか？

クラスター状態を用いた測定ベース量子計算
z |0>
x
|1>
|0>
y
測定ベースの量子計算（測定を情報処理に使
う）

エンタングルメント資源と1量子ビットのユニタリ変換および測定の
みを用いて、ゲート演算をせずに普遍的な量子計算を行なうことが
できる。
R. Raussendorf and H. J. Briegel, Phys. Rev. Lett. 86, 5188 (2001).

Cluster状態
0 
作り方
1
0  1

2
1. 量子ビットを格子点上に置いて|0>状態におく。
（x方向を向いた状態）
2. 最近接の量子ビット間に制御sz演算を行なう。 z |0>
Optical Lattice系で実現されている
ここで普遍性をかせいでいる!

x
|1>
|0>
量子計算の行い方
|1>
 個々の量子ビットに対してz軸まわりの任意の回転、
Hadamardゲート、z軸への射影測定を行い、測定結果に応じ
た補正を繰り返すことによって行なう。
y
量子計算機は何ができるのか？
量子計算機があれば、
量子系の計算やシミュレーションが
効率よくできるかもしれない
Feynman, 1982
現段階での理解：
 量子多体系の動力学のシミュレーションには向
いているようだ。
 ハミルトニアンの基底状態のエネルギーを求める
ような問題には、向いていなさそうだ。
ＱＭＡの壁
19
QUANTUM MERLIN-ARTHUR (QMA)
J. Watrous, 2000
NP問題の量子計算機版と言われている問題。
証
拠
“Yes” の答えが１メッセージ量子対話型証明で検証可
能であるような判定問題のクラス。次の要請がある。
1. もし答えが“Yes”なら、量子計算機を用いて多項式時間
で検証者(verifier)が少なくとも2/3の確率でacceptするよ
うな量子状態が存在する。
Marlin
2. もし答えが“No”なら、検証者(verifier)は少なくとも2/3の
確率ですべての量子状態に対してrejectをする。
Arthur
証拠となる量子状態がない場合には、量子
計算機を使っても多項式時間で “Yes” か
“No”かを見つけることができない。
検証者
20
対話型証明
L. Babai (1985); 量子版：J. Watrous (1999)
証明者は、秘密のパスワードによって、自分が権
限を持つ者であることを検証者に示したい。
 パスワードを直接打ち込むのは危険。検証者は
証明者に質問してその答えを計算して吟味する
ことで、証明者が本当にパスワードを持っている
Arthur
かどうかを知ることができる。

Question
証明者
A: witness
Q
検証者
21
QMA完全であることが知られている問題
2-local hamiltonian問題
 ２量子ビット間の相互作用を持つn量子ビット系
のハミルトニアンが与えられた時に、基底状態の
エネルギーがある値より小さいかどうかの判定問
題。
J. Kempe, A. Kitaev, and O. Regev,
SIAM Journal of Computing 35 (5:
1070-1097, 2006
R. Oliveira and B. M. Terhal, quantph/0504050
5-local Hamiltonian, A. Kitaev, A. Shen, and M. N. Vyalyi. (2002)
22
第一部のまとめ
量子情報分野のキーワード・overview
 量子情報処理の最近の発展

Gottesman-Knillの壁
 測定ベース量子計算
 量子計算量：ＱＭＡクラスの問題

以上に加えて実験的な発展を付け加えると…
QKDはもはやfuture technologyではない。
 量子計算機は最大でO(10)程度。
 超伝導を使った光子検出器・超伝導cavityなど発展
 量子情報メモリーが未だ実現されていない！

23
秘匿量子計算
24
古典暗号VS量子計算VS量子暗号

古典暗号

非対称鍵暗号
現在広く用いられている公開鍵暗号(RSA暗号）は、大きな数の因
数分解にかかる時間が指数関数的となる点を利用する。
Q
Attack!

量子計算（Shorの因数分解アルゴリズム）


Eve
量子状態の重ね合わせを用いて因数分解アルゴリズムで必要とな
る「周期発見(period finding)」のプロセスを多項式時間で実行。
量子暗号（ＱＫＤ）

量子状態を用いることで、２者間での乱数の共有が可能となる。盗
聴者は乱数を盗めない。認証が成立していれば、絶対安全性が保
障されている。
Bob
Alice
25
Eve
研究の動機
Q
1
量子計算機が存在している世の中を考える。


RSA暗号などの公開鍵暗号は安全ではない。
QKD（量子鍵分配）は安全であるが、Aliceが話している相手Bobが「なりす
まし」をしているEveではないことの認証が必要。しかし、現在の認証には公
開鍵暗号が使われている。（河内らの量子公開鍵暗号は認証にはつか
えない）
量子計算機は暗号系にとってやはり脅威となりうる
しかし、量子計算機も万能ではない。2次元のLocal Hamiltonian問題などの
ハミルトニアンの基底状態のエネルギーは、量子計算機を用いても効率よく
見積もることができないことが知られている。(ただし答え合わせは可能)
QMA（Quantum Merlin-Arthur)問題：NP問題の量子計算機版
量子計算機にできることと、できないことをうまく組み合
わせた計算量的量子認証プロトコルはできないか？
26
研究の動機
２
“QuantumSoft”
量子計算機が存在している世の中を考える。
Qwindows

量子ソフトウェア会社の立場から

量子プログラム（量子ゲート列）は知的財産であり、勝手にコピーされて
は困る。コピー不可・正規ユーザのみ実行できるようにしたい。
末端ユーザーの立場から
 プログラムの中身を知る必要なく、実行できればよい。ただし、怪しいプ
ログラムを実行したくないので、認証されたソフトウェア会社によるプログ
Q
ラムであることを確認したい。

二者間で非対称なプロトコル
量子認証プロトコルを目指して、新しいタイプの計算量
に基づく秘匿量子計算を提案した。
27
我々の提案する秘匿量子計算
 正規ユーザのみがプログラムを実行できる。
 ユーザはプログラムの中身を読むことができない。
 プログラムは認証局を通じて公開されている。

Qwindows
Q

プログラマ： 量子計算のユニタリ変換を決定し、正規ユー
ザ用の量子鍵(quantum key)を生成
量子の不確定性
Q

ユーザー：任意の入力を選んで、認証されたプログラムを実
行できる。
既に提案されているクライアント・サーバタイプの秘匿量子計算(blind
quantum computation)とは異なることに注意。
P. Arrighi and L. Salvail, Int. J. of Quantum Information 4,
883 (2006).
28
（量子）計算量的秘匿量子計算



認証されて公開された量子プログラムは、実行可能であるが
読み出し不可能であるように暗号化されていないといけない。
この量子プログラムの解読には、量子計算機を使っても指数
時間かかるならば、量子計算機があっても安全。
正規ユーザのための量子鍵は量子力学の不確定性によって
コピー不可能
入力量子ビット数はn>>1
古典情報
Qwindows
認証局
暗号化された量子プログラム U
量子情報
|>
Q
入力
Q
U|>
正規ユーザーのための量子鍵
ソフトウェア会社（プログラマ）
出力
ユーザ
29
基本原理

プログラム可能な量子プロセッサ* を利用して量子鍵|i>に応じてユニタリ
変換 Ui を演算するような、より広いヒルベルト空間にかかる演算子Gを導
入。
*M. A. Nielsen and I. L. Chuang, Phys. Rev. Lett. 79, 321 (1997).
G i  in  i Ui in
量子情報

ランダム行列LとRを用いて量子鍵の暗号化を行う。
 L  I  G  R  I   R†  I  i
古典情報

Q
 in   L  I  G  R  I  i  in
 G i  in  L i Ui in
量子鍵は未知状態となる
G’のゲート列を難読化する。難読化とは、G’のゲート列の分解
G   L  I  G  R  I 
が簡単に見つからないようにG’のゲート列を表すことである。
Qwindows
難読化されたゲート列は、認証局を通じて公開される。
この過程に計算量的な難しさを押し込めている。
30
ゲート構成の例
U1 ・・・ U2
k
x  x1x2 x3
x1  g ( R), x2  g (G), x3  g (L)
・・・
G
・・・
S
・・・
M2
M1
・・・
L
・・・
・・・
R
・・・
・・・
G
・・・
Shuffling
algorithm
・・・
n )
H input
・・・
H m
key
・・・
H
( m- p ) )
dummy
難読化
x  g (G)
G  (R  I )G(L  I )
L, R, M1, M2 は、ランダムユニタリ演算
g(U): ユニタリ演算Uを表すゲート列全体の集合
nが大きいとき, Uの行列表現を求めることは計算量的に困難となる.
31
安全性


G  (L  I )G(R  I )
秘匿量子演算の安全性は、難読化されたゲート列g(G’)からユニ
タリ変換Ui を抽出することの計算量的な難しさによる。
正規ユーザ用の量子鍵の情報 | i と、認証局を通じて公開さ
れたゲート列情報 x’g(G’) からUi を引き出すことが、量子計
算機をもってしても多項式時間ではできない、ということを、量子
証拠なしには多項式時間で解けないQMA完全問題であるnonidentity check 問題に還元して証明する。
秘匿量子計算でゲート列抽出ができるようなアルゴリズムがある
ならば、 non-identity check 問題が多項式時間で解けてしまう
ことを示す。その対偶をとれば、安全性が証明できる。
32
x  g (G)
G  (R  I )G(L  I )
プロトコル
定義 : x’g(G’) はランダム難読化を行ったあとのゲート表現.
3. 量子鍵の請求.
Qwindows
Authenticator
公共通信路
x’
認証されていない
量子通信路
ユーザ
5. プログラム
実行.
0. Ui からゲート列x’ を生成
1. x’を認証局に持って行く
2. 認証局が量子プロ
グラムのゲート列情報
x’を公開
プログラマ
Q
| i  R i
G '(| i   | in )  L | i  Ui | in 
ユーザーはR とLを知らないの
で、 x’ からUi を読み出すことは
できないがUiを実行できる。
4. 正規ユーザのための量
子鍵を送信.
x’g(G’)を作成したプログラマ
のみが正規ユーザのための量
子鍵を発行できる。
33
証明した定理
G  (L  I )G(R  I )
シャッフリングによって難読化したゲート列x’g(G’)に対して、
 もし、x’ からR を抽出する多項式時間の量子アルゴリズム
Aが存在するならば、 変形modified non-identity問題が
量子証拠状態なしに多項式時間で解けてしまう。 → 対偶
により、A はQMA困難である。

もし、x’ と量子鍵 | i  から量子鍵を消費することなくUi を
実行する別のユニタリ変換Vi を抽出する多項式時間の量
子アルゴリズムA1 が存在するならば、変形modified nonidentity問題が量子証拠状態なしに多項式時間で解けて
しまう。 → 対偶により、A はQMA困難である。
34
第二部のまとめ




新しいタイプの秘匿量子計算を提案.
この秘匿量子計算の安全性は、量子鍵の情報と難読
化されたゲート列の情報から暗号化された量子計算を
解読する量子計算量的な難しさ(QMA困難）によって
いる。
この秘匿量子計算は非対称プロトコルであり、量子認
証プロトコルへと発展する可能性がある。
今回の証明は存在証明であり、実際に難読化を行うた
めのアルゴリズムはまだ知られていない。量子暗号とし
て成立させるには、アルゴリズムの解析が必須である。
35
付録
36
エンタングルメントと
量子プロトコル
情報だけをどうやって送るか？

古典的な状況
状態を測定して、測定した情報（ビット）を送る。
そちらのゾウの色はピン
クですか、黄色ですか？
パリのゾウの色と同じ
色のコインを作りたい。
ピンクです!
ゾウを送る必要はない！
量子情報をどうやって送るか？

量子状態は、観測すると状態が変化する。未治量子状
態を観測によって知ることはできない。

古典の場合のような方法が使えない。
そこでエンタングルメントを用いてテレポーテーションする。

Alice
Bob
エンタングルメント
本体は送らずに、量子ゾウ
の量子情報だけを通信

量子コイン

量子ゾウ
エンタングルメントを用いた量子プロトコル

量子テレポーテーション


量子情報通信のもっとも基本的なプロトコル
エンタングルメントと測定過程をうまく用いることで、物理的な
粒子（光や原子）を送らずに、量子情報のみを伝達する。
Bell 
Yi,j

Alice

1
 00  11 
2
テレポーテーション：
エンタングルメントを通じて量子情報を送信
? i,j Bob

エンタングルメントなしでは、量子情報を高い精度でテレポーテーションによって
送ることができないことが証明されている。
Theory: C.H. Bennett et al, Phys. Rev. Lett. 70, 1895 (1993)
Experiment: Zeilinger and de Martini groups (1997), Kimble’s group (1998),
Wineland and Blatt groups (2004)
数式からみたテレポーテーション
 A 
Alice
初期状態
1 0

2
1
 2
2

AB

  1 B  0
3
A
  0 B  1 B

A
  1 B  0
1 1

2
1
 3
2
B


0


A
B


AB
1. Bell測定による量子情報の入力
(測定後の状態は iのいずれか)
2. iの値を古典的通信路で送信
Bell
Measurement


0. 初期状態: 
?
?
最終状態
A
Bob
1
2

  0 B  1 B 
A
3. パウリ演算si を作用させて補正する。
s 0  1, s1 , s 2  s X , s 3  s Z s X

?
i
4. 最終状態: 
A

B
量子情報がAからBに「移った」と考えることができる。
テレクローニング

テレポーテーションは量子情報をそのまま伝える。量子
情報をプロセスしつつその結果を送ることができるか？

エンタングルメント（テレクローンニング状態）を資源とし
て用いて、量子最適クローニング演算とその結果の送信
を同時に行なうことができる。（遠隔情報処理）
テレクローニング状態
1
0000  1111 

3
1

0101  0110  1001  1010

2 3
Ａ
Ｂ


Ｃ
Theory: M. Murao et al, Phys. Rev. A 59, 158-161 (1999)
Experiment: Furusawa’s group, Phys. Rev. Lett. 96 060504 (2006)
量子最適クローニング
未知量子状態
クローン禁止原理
完全クローン
未知状態の量子ビットから完全なクローンを作ることはできないが、もとの状態に
近い最適クローンを作ることはできる。
最適クローン
１つのオリジナルから2つの最適クローンを作る場合には
オリジナルと複製の量子ビットのほかに補助量子ビットが１つ必要
これはユニタリ演算なので、
量子コンピューターを用いれ
ば、この量子情報処理を行
なうことができる。
テレクローニング
遠隔最適量子クローン演算
量子演算のユニタリー
変換を多粒子エンタン
グルメントに「保存」する
ことが可能となった最初
の提案
[1]

A

ABCD
[2] Aの量子ビットをベル基底 i において測定
[3] 古典的情報（
測定結果）
をＢ,C,Dに送信
[4] Aの測定結果に基づくＢＣDの局所的演算（
復元演算）
[5]
i
AA
 
BCD

A
 0   1 
最適クローニングのゲート演算
自体はクリッフォード演算ではな
い。補助入力ビットの部分の演
算をうまくエンタングルメントに組
み込むことによって遠隔量子演
算が可能となった。
  BCD    0   1
数式でみるテレクローニング

1→２テレクローニング状態


ψ
A

AXBC
テレクローン状態は量子コンピュー
ターを使わずに生成することが可能。
1
1
1
0000 
01 10  01 10 
1111
3
2 3
3
テレクローニングの際の状態変化
=α 0 +β1 →
ψ′XBC = α ψ0 + β ψ1
最適量子クローン状態
ただし、最適クローン基底：
量子コンピューターなしに量子計算と
同等のことができる！
ψ0 = 2 / 3( 000 + 1/ 2 101 + 1/ 2 110 )
ψ1 = 2 / 3( 111 + 1/ 2 001 + 1/ 2 010 )

X・B・C それぞれの量子ビットに注目すると
Fidelity: 正しいコピー
に対する忠実度
γ = trBC ψ′ψ′→ ψ γ ψ = 2 3 for X (補助量子ビット
)
ρ = trXC ψ′ψ′→ ψ ρ ψ = 5 6 for B (クローン１
)
ρ = trXB ψ′ψ′→ ψ ρ ψ = 5 6 for C (クローン２
)
逆テレクローニング
M. Murao et al, Phys. Rev. Lett. (2001)
テレクローニングとは逆のプロセ
ス（遠隔量子情報集約）を束縛さ
れたエンタングル状態を用いて
実行する提案。
送信者達が協力した時のみ量
子情報が集約される。
  ABC    0   1
ABCで共有する
最適クローン状態
 
D
 0   1
Dでのオリジナル
（集約された）状態
量子暗号鍵の安全な分配手段として使える可能性
数式でみる逆テレクローニング
ロック可能な束縛エンタングル状態を資源として用いる。
where 0,1  1  00  11 , 2,3  1  01  10 
      
3
i
i
i
i
2
i 0
2
     0   1     0   1
where
 0  2 / 3 000  12 101  12 110 
 1  2 / 3 111  12 001  12 010 
束縛エンタングル状態のみでは量子
情報を送ることができないが、送信者
が協力して「出所が同じ状態」を送信
することによって、「自由」なエンタング
ル状態が生じ、遠隔地に量子情報を
集約することが可能となる。
このような状態を作ることができれば、量子コンピューターなしに逆クローニングが可能。
遠隔量子情報スイッチプロトコル

非対称なエンタングルメント用いることによって、量子情
報の条件付通信を行なう
Charlie
Bob
  0   1

Alice
状況:
1. アリスが許可を与えるならば、チャーリーからボブに量子情報を古典限界を
超えて送ることができる.
2. チャーリーはアリスに量子情報そのものを渡したくない。
3. アリスはボブに許可を与えたかどうかを、チャーリーに知られたくない。
アリスとボブとチャーリーの間で不公平に共有されたエンタン
グルメントを用いた量子プロトコル。
3者間の非対称なエンタングルメント共有

GHZ状態やW状態は対称
なエンタングル状態
1
000  111  1 001  010  100

2
3



次のような非対称なエンタ
ングル状態を考える。
補助量子ビットとの間の
非対称エンタングルメント抽出

CAB

CAB
1
 00  11 CA   B
2
1
LOCC( AB )
 0 C  0 AB  1 C 1 AB 

  A
 00  11 CB
2
 0 C 0
AB
 1 C 1
AB
LOCC( AB )



ancilla C 何もしない
LOCC
A
B
Ｃ
C
Ａ
Ｂ
A
C
B
A
B
LOCC によるエンタングルメント抽出
非対称なエンタングルメント共有の条件

1
 0 C  0 AB  1 C 1 AB 
  A
00  11 CB

2
LOCC( AB )
ABC
必要十分条件:
0
AB
 1 a0 b0  2 a1 b1 ,
1
AB
 1 a0 b1  2 a1 b0
Aが行う測定は、
MA   0 e0t e0t  1 e1t e1t
ただし
a0  ei ( / 2 ) cos  a0  ei / 2 sin  a1
a1  ei / 2 sin  a0  ei ( / 2 ) cos  a1
ただし
e0t  1 tei   a0  iei 1 tei   a1 / 1 t 2
e1t


 ie 1 te  a  1 te  a  /
i
i
i
0
1
1 t 2
BはAの測定結果に応じた1量子ビットユニタリ変換を行う

AB
LOCC( AB )
   0   1 

 
A
  0   1 B
混合状態の遠隔量子情報スイッチプロトコル

４量子ビットCluster状態のうち一つの量子ビットをなくし
てしまった状態も、不公平エンタングルメントを持つ状態
I  I  I  H   21  00
0  01 1  10 2  11 3


BC間のエンタングルメント確立
テレポーテーション
第二段階
測定
第一段階
Charlie
Alice
1
1
      
2
2
where
1
 
0 D  0 AB  1 D 1
2

 0  ( 00  11 )/ 2, 1
i i 
+
測定結果の通信

Charlie
CB
  0   1
許可
AB

Bob
 ( 01  10 )/ 2

Q
Bob
  0   1
遠隔量子情報スイッチプロトコル 続き
BC間のエンタングルメント破壊
テレポーテーション
第一段階
Charlie
Alice
測定
i i or i i

+
Charlie
測定結果の通信
 


第二段階

CB
1
1
      
2
2
where
1
 
0 D  0 AB  1 D 1
2

  0   1
不許可
AB

Bob
 0  ( 00  11 )/ 2, 1  ( 01  10 )/ 2
Q
Bob
  
Aliceの許可無しには、CharlieとBobはエンタングルできない。
無理にCharlieとBobとでテレポーテーションを行った場合、Bobの受け取る状態の
信頼度は 2/3以下となり、古典限界を超えることができない。
Eveの関与を防ぐために


量子鍵プロトコルでは、量子鍵を持つAliceのみが許可の決定を
行うことができる必要がある。
EveがAliceの量子鍵にエンタングルすることで、EveがAliceより
先に許可/拒否の決定をしてしまう可能性がある。

Charlie, Alice, Bobが共有している状態が本当にであるかを
チェックする必要がある。
1.
をN個用意する。
ランダムにN1個を選び { i i } で測定し、残った一つは許可/
拒否に応じた測定を行う。
測定結果と、選んだ量子ビットをアナウンス
CharlieとBobが { i i } で測定し、Aliceの結果との整合性チェッ
クをする。
整合性が確かめられたら、Charlieはテレポーテーションを行う。
2.
3.
4.
5.
秘匿量子計算の証明
54
NON-IDENTITY CHECK

与えられたゲート列が恒等演算にほぼ近いか、
そうではないかを判断する判定問題(Nonidentity check)は、QMA完全の問題である。
D. Janzing, P. Wocjan, and T. Beth, Int. J. Quantum Inf. 3, 463 (2005), quant-ph/0305050.
For given x  g (U ), decide whether U is close to the
trivial transformation in the following sense.
Decide which of the two following cases is true given the promise that
either U  ei I   for all   0,2 
or there exists   0,2  such that U  e I  
i
where  -  1/poly( x )
＝
？
55
シャッフリングによる難読化


シャッフリングの定義 S:
S : g(G ')  g(G ') の写像
 多項式ステップによる
ランダムシャッフリング: log[p(n)]個の固定したゲート
数のゲート列表現の中でランダムにとってくる。
G '  U1 Ui Ui log[ p( n)]1 U p( n)
random shuffling

U1 Vi Vi log[ p( n)]1 U p( n)
log[ p ( n )] gates


このi を多項式回ランダムに選ぶことにより, (p(n)log[p(n)]+1)! タイプの組み合わせが得られる.
g(G’) の集合からバラバラなゲート列をとってくること
ができる。∵) |g(G’)|<2Cp(n)< (p(n)-log[p(n)]+1)!
56
変形NON-IDENTITY CHECK問題
U をControlled-U （CUと書く）で置き換える。この
置き換えは多項式時間で実行可能。
L
U
…
U
…
…
n )
H input
…
…
U
R
H key
…

CU  (L  I )CU (R  I )
与えら れたゲート 列x  g (U )に対し て、 対応する ゲート 列y  g (CU ) が
g (LR  I ) ま たは g (L  I  CU  I  R  I )である かを判定せよ 。
この二つを見分ける！
これは量子計算機を用いても多
項式時間ではできないはず.
57
PROOF FOR THE ALGORITHM A
G  (L  I )G(R  I )
Consider that the algorithm
A : x  g (G' ) y  g (R) .
Permutation of basis
 Apply A to a random shuffled gate sequence
x  g (L  I  CU  R  I ), L  SU (2), R  SU (2)
L, R  SU (2)  x  g(L  I  CU  R  I ) such that Pr[A(x)  g( X i R)]  1

For U ≠ I, the algorithm A returns y  g ( X i R) where
i=0,1. We can check the matrix representation
i
X
R  SU (2) . Therefore, the statement is true:
of
 For U = I, note that x  g (L  I  CU  R  I )  g (LR  I )  g (LR  I )
where LR=L’R’ . By the random shuffling, we cannot
extract R. Therefore, the statement is false.
By comparing the actions of A on U, we can perform the
non-identity check in polynomial time.

58
PROOF FOR THE ALGORITHM A1
Consider that the algorithm A1
A1 :  x  g (G' ), i

  y  g(V ), 

y
i
  iy

such that Vy  iy  in   iy ' Ui in
This allows performing
the unitary operation
without consuming the
authorization quantum
key.
The action of A1 is simulated by a unitary operation:
ancilla



Sx i  0  i   py y   iy  y, x, i
orthonotmal
y
Applying A1 to the following two cases:  i
x1  g(L  I  CU  R  I ) , x2  g (LH  I  CU  HR  I )


x1, x2  g (LR  I )  Sx  R H 0  0   R ' 0  0
For U = I,
For U ≠ I, the following actions of A1 are required:
†
†
1




Sx1 R† i  0  R† i  i , Sx2 R† H i  0  R† H i  i
However since Sx  R† H 0  0    R† 0  0  R† 1  1  / 2
59
Distinguishable
1