Quantum Fair Exchange

Abstract

Μελετάμε το κβαντικό ανάλογο του κρυπτογραφικού προβλήματος της δίκαιης ανταλλαγής. Σε μία δίκαιη ανταλλαγή θέλουμε να εξασφαλίσουμε ότι δύο πρόσωπα είτε θα ανταλλάξουν τα μυστικά τους, είτε κανείς από τους δύο δε θα μάθει το μυστικό του άλλου. Πιο συγκεκριμένα τα δύο αυτά πρόσωπα, έστω η Αλίκη και ο Βασίλης (Α και Β), αλληλεπιδρούν μεταξύ τους τρέχοντας ένα πρωτόκολλο δίκαιης ανταλλαγής. Απαιτούμε δύο βασικές ιδιότητες: Ορθότητα: Όταν και οι δύο παίκτες παίζουν τίμια (ακολουθούν το πρωτόκολλο) τότε στο τέλος μαθαίνουν και οι δύο το μυστικό. Πληρότητα: Όταν ένας από τους δύο παίκτες (έστω η Αλίκη) αποκλίνει αυθαίρετα από το πρωτόκολλο (δηλαδή κλέβει με οποιοδήποτε τρόπο), τότε είτε θα πρέπει και οι δύο να μάθουν το μυστικό, είτε να μην το μάθει κανείς. Με άλλα λόγια, ακόμη κι αν κλέβει η Αλίκη, να μη βρεθεί σε μειονεκτική θέση ο Βασίλης. Προτείνουμε δύο διαφορετικές προσεγγίσεις για τη λύση του προβλήματος. Στην πρώτη προσέγγιση, δίνουμε έναν παραπλήσιο ορισμό, αυτόν της ταυτόχρονης ανταλλαγής. Σε ένα τέτοιο πρωτόκολλο, απαιτούμε το εξής: σε κάθε στιγμή του πρωτοκόλλου, η πιθανότητα η Αλίκη να μαντέψει το μυστικό του Βασίλη είναι σχεδόν ίδια με την πιθανότητα ο Βασίλης να μαντέψει το μυστικό της Αλίκης. Σε αυτήν την περίπτωση μπορούμε να εξασφαλίσουμε ασφάλεια από πληροφοριοθεωρητικής σκοπιάς: κατασκευάζουμε κβαντικό πρωτόκολλο τέτοιο ώστε ακόμα και ένας υπολογιστικά παντοδύναμος παίχτης να μην μπορεί να το παραβιάσει. Τονίζουμε ότι με τις κλασσικές μεθόδους είναι αδύνατο να επιτύχουμε απόλυτη ασφάλεια. Στη δεύτερη προσέγγιση χρησιμοποιούμε έναν αρκετά διαφορετικό ορισμό, αυτόν του Coin Ripping. Εδώ, η Αλίκη θέλει να ανταλλάξει χρήματα με κάποιο προϊόν. Χρησιμοποιώντας κάποια πρόσφατα αποτελέσματα όπως ασφαλή κβαντικά νομίσματα δημοσίου κλειδιού και αποδείξεις μηδενικής γνώσης ασφαλείς ενάντια σε κβαντικούς αντιπάλους δημιουργούμε ένα πρωτόκολλο τέτοιο ώστε: Αν η Αλίκη κλέψει τότε το καλύτερο που μπορεί να πετύχει είναι να πάρει το προϊόν και να αποτρέψει τον Βασίλη από το να πληρωθεί, αλλά η ίδια θα το χάσει το χαρτονόμισμά της. Αν ο Βασίλης κλέψει τότε το καλύτερο που μπορεί να πετύχει είναι να αναγκάσει την Αλίκη να χάσει το χαρτονόμισμά της, αλλά ο ίδιος δε θα το αποκτήσει. Με άλλα λόγια, δεν υπάρχει στρατηγική που να τους ευνοήσει αλλά υπάρχει στρατηγική που μπορεί να βλάψει τον αντίπαλο. Σε αυτήν την περίπτωση μπορούμε να εξασφαλίσουμε υπολογιστική ασφάλεια: ένας πολυωνυμικά φραγμένος κβαντικός αντίπαλος έχει αμελητέα πιθανότητα να το παραβιάσει. Τονίζουμε ότι με τις κλασσικές μεθόδους δεν μπορούμε να επιτύχουμε κάτι τέτοιο καθώς δεν υπάρχει σχήμα που να εξασφαλίζει την δημόσια επαλήθευση ενός νομίσματος (είναι απαραίτητη η χρήση κάποια έμπιστης αρχής που θα μπορεί να επαληθεύσει τη γνησιότητα των νομισμάτων).

We study the Quantum analogue of Fair Exchange. In a Fair Exchange we want to guarantee that two parties either will exchange their secrets or neither will learn each other’s secret. More specifically, the two parties, say Alice and Bob (A and B), interact running a Fair-Exchange protocol. We require two properties: 1. Completeness: When both parties are honest, then at the end they successfully exchange their secrets. 2. Soundness: When a party is dishonest then, either both learn the secrets or neither does. In other words, even if Alice is cheating, Bob will never be disadvantaged. We suggest two different approaches to solve the problem. In the first one we give a slightly different definition, that of Simultaneous Exchange. In such a protocol, we require the following: in every moment of the protocol, Alice’s probability of guessing Bob’s secret is almost the same as Bob’s probability of guessing Alice’s secret. In this case we can guarantee information theoretic security: we create a quantum protocol such that even a computationally unbounded adversary cannot break it. Note that classically it is impossible to guarantee perfect security. In the second approach we use a different definition; namely the Coin Ripping. Now Alice wants to exchange money for some product. Using some recent results such as public Key Quantum Money and Quantum secure Zero-Knowledge Proofs we create a protocol such that: 1. If Alice is cheating then the best she can succeed is to take the product and prevent Bob from being paid, but she will surely lose her coin. 2. If Bob is cheating then the best he can succeed is to make Alice lose her coin, but he will not get the coin. In other words, there is no strategy that they can use in their favor, but there is a strategy that can harm the honest one. In this case we can guarantee computational security: a polynomially bound adversary has negligible probability of breaking the protocol. Note that classically we cannot achieve such a protocol since there is no public key Quantum Money scheme.