Criptografía y computación cuánticas

97
1 Computaci ´ on y criptograf´ ıa cu ´ anticas DAVID C EREZO S ´ ANCHEZ http://david.cerezo.name

description

Introducción y estado del arte de la criptografía y computación cuánticas

Transcript of Criptografía y computación cuánticas

Page 1: Criptografía y computación cuánticas

1

Computaci on y criptografıa cu anticas

DAVID CEREZO SANCHEZ

http://david.cerezo.name

Page 2: Criptografía y computación cuánticas

2

Requisitos

Teorıa de la Recursion

Complejidad Computacional

Criptografıa

Algebra lineal

Mecanica cuantica

Page 3: Criptografía y computación cuánticas

3

Los postulados de la Mec anica Cu antica

1. Asociado a cualquier sistema fısico aislado hay un espacio vectorial complejo, infinita-mente dimensional, con producto interno y completo, esto es, un espacio de Hilbert,conocido como el espacio de estados del sistema. El sistema viene completamentedescrito por su vector de estado, que es un vector unitario en el espacio de estados delsistema.

2. La evolucion de un sistema cuantico cerrado es descrita por una transformacion unitaria:el estado |ψ〉 del sistema en un instante de tiempo t1 se relaciona con el estado |ψ′〉 delsistema en un instante de tiempo t2 por el operador unitario U que depende solo de losinstantes t1y t2,

|ψ′〉 = U |ψ〉 . (1)

a) La evolucion temporal de los estados de un sistema cuantico cerrado viene descritapor la ecuacion de Schrodinger,

i~d |ψ〉

dt= H |ψ〉 , (2)

Page 4: Criptografía y computación cuánticas

4

donde ~ es la constante de Planck y H es la Hamiltonian del sistema cerrado. Larelacion entre 1 y 2 sera

|ψ(t2)〉= exp

[−iH (t2− t1)

~

]|ψ(t1)〉= U (t1, t2) |ψ(t1)〉

con U siendo el operador unitario, existiendo una correspondencia entre la descripcionen tiempo discreto con operadores unitarios y la de tiempo continuo usando Hamilto-nians.

3. Las mediciones cuanticas vienen descritas por un conjunto Mm de operadores de me-dida, actuando en el espacio de estados del sistema que miden. Si el estado del sistemaes |ψ〉 antes de la medida entonces la probabilidad de que el resultado m ocurra vienedada por

P(m) = 〈ψ|M†mMm|ψ〉 ,

y el estado del sistema despues de la medicion sera

Mm|ψ〉√〈ψ|M†

mMm|ψ〉.

Page 5: Criptografía y computación cuánticas

5

Los operadores de medida deben satisfacer la ecuacion de completitud ,

∑m

M†mMm = I .

a) El principio de incertidumbre de Heisenberg(1927),

4x4 p≥ 12~

donde 4x es la incertidumbre en la posicion y 4p es la incertidumbre en el momento,y,

4E4 t ≥ 12~

donde 4E es la incertidumbre en la energıa y 4t es la incertidumbre en el tiempo.

4. El espacio de estados de un sistema fısico compuesto es el producto tensorial del espaciode estados de los sistemas fısicos componentes. Con sistemas 1. . .n y el estando elsistema i preparado en el estado |ψi〉, el estado de todo el sistema es |ψ1〉⊗|ψ2〉⊗· · ·⊗|ψn〉 .

Page 6: Criptografía y computación cuánticas

6

a) Principio de superposicion de la mecanica cuantica: si |x〉 e |y〉 son dos estados deun sistema cuantico, cualquier superposicion α |x〉+ β |y〉 deberıa ser un estado delsistema cuantico siempre y cuando cumpla |α|2+ |β|2 = 1.

b) Entanglement : el estado de sistema compuesto que tiene la propiedad de no poderser descrito como el producto de estados de sus sistemas componentes. Por ejemplo,

en el estado con dos qubits |ψ〉 =((|00〉+ |11〉)/

√2)

no existen dos estados qubit

|a〉 y |b〉 tales que |ψ〉= |a〉 |b〉.

Page 7: Criptografía y computación cuánticas

7

Bits vs. Qubits

En un ordenador clasico, los bits toman los valores 0 y 1; en un ordenador cuantico, losqubits toman los valores α |0〉+β |1〉, con α,β ∈ C.

Cuando se realizan mediciones de los valores en un ordenador clasico, obtenemos comoresultado 0 o 1; en un ordenador cuantico, obtenemos |0〉 con probabilidad |α|2 o |1〉 conprobabilidad |β|2.

En el ordenador clasico, las operaciones elementales son

0→ 0 0→ 1

1→ 0 1→ 1

en el ordenador cuantico realizan rotaciones en el plano,

Esfera de Bloch

Page 8: Criptografía y computación cuánticas

8

|ψ〉= α |0〉+β |1〉= cosθ2|0〉+eiϕ sin

θ2|1〉

Vector de Bloch: (cosϕsinθ,sinϕsinθ,cosθ)

En un ordenador clasico con registros de l bits, solo se podrıa almacenar uno de los2l posibles numeros, operando en un solo numero en un instante de tiempo; en un or-denador cuantico con l qubits, se puede almacenar una superposicion de todos los 2l

numeros y operar en los 2l numeros al mismo tiempo.

Page 9: Criptografía y computación cuánticas

9

El experimento Stern-Gerlach

Concebido por Stern en 1921 y ejecutado por Gerlach en 1922, una de lasprimeras evidencias de la existencia de qubits.

Un rayo de atomos de plata desde un horno pasa por un campo magnetico,desviandose y dejando constancia de la posicion de cada atomo. En 1927se repite con atomos de hidrogeno, para evitar los efectos derivados dela complicada estructura de los atomos de plata sobre el resultado de losexperimentos.

Los atomos seran desviados segun una cantidad dependiente del compo-nente z del momento dipolar magnetico del atomo.

Se esperaba que los atomos que salen del dispositivos Stern-Gerlach sigu-iesen una distribucion continua en cuanto a la distribucion de los angu-

Page 10: Criptografía y computación cuánticas

10

los, ya que los atomos que salen del horno tendrıan sus dipolos orienta-dos aleatoriamente en cualquier direccion. Sin embargo, siguen una dis-tribucion segun un conjunto de valores discretos, es decir, el momentomagnetico dipolar de los atomos esta cuantizado.

En el caso del hidrogeno, se usaron aquellos atomos que tuviesen momen-to magnetico dipolar cero, esperandose un unico rayo de atomos saliendodel aparato que no se habrıa desviado. Pero en realidad se vieron dosunicos rayos.

? A partir de aquel momento, el electron tendrıa asociado una nueva can-tidad fısica conocida como spin.

Page 11: Criptografía y computación cuánticas

11

Page 12: Criptografía y computación cuánticas

12

Page 13: Criptografía y computación cuánticas

13

Vıdeo: simulaci on experimentoStern-Gerlach

Page 14: Criptografía y computación cuánticas

14

Vıdeo: experimento Stern-Gerlachesquem atica

Page 15: Criptografía y computación cuánticas

15

Vıdeo: experimento Stern-Gerlach enelectrones

Page 16: Criptografía y computación cuánticas

16

Operaciones y circuitos cu anticos

El modelo de computacion de los circuitos cuanticos es de [Deutsch1989], yfue posteriormente desarrollado por [Yao1993], en el que tambien sedemostraba que el modelo de computacion de los circuitos cuanticos esequivalente al modelo de la maquina de Turing cuantica, introducida en[Ben1980], extendida en [Deutsch1985] y [Yao1993], con la version modernadada en [BV1997].

Algunas de las operaciones sobre qubits que preservan la norma son:

las matrices de Pauli

X ≡[

0 11 0

]; Y ≡

[0 −ii 0

]; Z≡

[1 00 −1

];

donde X es la puerta cuantica NOT, Z solo cambia el signo de |1〉.

Page 17: Criptografía y computación cuánticas

17

la puerta de Hadamard

H =1√2

[1 11 −1

]

la puerta de fase

S≡[

1 00 i

];

la puerta π/8

T ≡[

1 00 exp

(iπ4

) ]Los operadores de rotacion surgen de la exponenciacion de las matrices dePauli:

Rx(θ) ≡ e−iθX/2 = cosθ2

I − i sinθ2

X =[

cosθ2 −i sinθ

2−i sinθ

2 cosθ2

]

Page 18: Criptografía y computación cuánticas

18

Ry(θ) ≡ e−iθY/2 = cosθ2

I − i sinθ2Y =

[cosθ

2 −sinθ2

sinθ2 cosθ

2

]Rz(θ) ≡ e−iθZ/2 = cos

θ2

I − i sinθ2

Z =[

e−iθ/2 00 eiθ/2

]

Theorem 1. (Descomposici on Z-Y para un unico qubit) . Dada unaoperacion unitaria U sobre un unico qubit, esta puede ser descompuesta en

U = eiαRz(β)Ry(γ)Rz(δ) , (α,β,γ,δ ∈ R) .

Corollary 1. Dada una puerta unitaria U sobre un unico qubit, existenoperadores unitarios A,B,C sobre un unico qubit tales que ABC= I y U =eiαAXBXC, donde α es un factor de fase.

Operaciones mas complejas, sobre varios qubits y todas ellas reversibles,son:

Page 19: Criptografía y computación cuánticas

19

Controlled-NOT o CNOT, con un qubit de control y otro objetivo:

CNOT=

1 0 0 00 1 0 00 0 0 10 0 1 0

realizando la operacion |c, t〉 → |c, t⊕c〉, o mas concretamente,|00〉 → |00〉 |10〉 → |11〉|01〉 → |01〉 |11〉 → |10〉 .

Controlled-U , generalizacion del CNOT, donde U es una operacion uni-taria cualquiera, es decir, |c〉 |t〉 → |c〉Uc |t〉.

Page 20: Criptografía y computación cuánticas

20

Puerta de Toffoli[Toffoli1980], generalizacion de Controlled-U .

Usando Hadamard, puerta de fase, controlled-NOT y puertas π/8.

Page 21: Criptografía y computación cuánticas

21

Operacion Cn(U), es una generalizacion de la puerta de Toffoli C2(U),con n+k qubits y U siendo un operador unitario de k qubits:

Cn(U) |x1x2 . . .xn〉 |ψ〉= |x1x2 . . .xn〉Ux1x2...xn |ψ〉 .

Theorem 2. (Universabilidad en puertas cu anticas)[ DiVincenzo1995 ].Cualquier puerta logica de multiples qubits puede ser compuesta con CNOTy

Page 22: Criptografía y computación cuánticas

22

por puertas de un unico qubit, o lo que es lo mismo, que cualquier operacionsobre n qubits puede ser implementada componiendo puertas sobre qubitsunicos y CNOTs.

Ademas, tambien se puede conseguir la universabilidad tambien se puedeconseguir utilizando el conjunto discreto formado por la puerta deHadamard, de fase, CNOT y π/8[BMPRV1999], e intercambiando π/8 por lapuerta de Toffoli.

Tambien hay que tener en cuenta que no todas las operaciones unitariaspueden ser implementadas eficientemente: hay algunas sobre n qubits querequieren de Ω(2n log(1/ε)/ log(n)) puertas para aproximarse dentro deuna distancia εusando cualquier conjunto finito de puertas[Knill1995].Todavıa no se sabe que clase de familias de operaciones unitarias puedenser computadas eficientemente en el modelo de los circuitos cuanticos.

Los errores causados por una secuencia de puertas es de como mucho lasuma de los errores de las puertas individuales[BV1997].

Mas sobre circuitos cuanticos se puede encontrar en [BBCAl1995, Div1998].

Page 23: Criptografía y computación cuánticas

23

Un circuito cuantico sencillo podrıa ser el que intercambia los estados de dosqubits:

|a,b〉 → |a,a⊕b〉→ |a⊕ (a⊕b) ,a⊕b〉= |b,a⊕b〉→ |b,(a⊕b)⊕b〉= |b,a〉

Para conseguir la adiccion modulo N[VBE1996, BCDP1996], necesitaremosun conjunto de circuitos a modo de subrutinas:

La suma de dos qubits almacenada en un tercer qubit tambien es facil de

Page 24: Criptografía y computación cuánticas

24

conseguir:

|a,b,c〉 → |a,b,a⊕b⊕c〉

La suma con CARRY es facil de conseguir tambien:

|c,a,b,d〉= |c,a,a⊕b,d⊕ab⊕ac⊕bc〉

Page 25: Criptografía y computación cuánticas

25

Reverse carry, de derecha a izquierda:

|u,x,y,v〉 → |u,x,x⊕y,v⊕uy⊕xy⊕x〉

Page 26: Criptografía y computación cuánticas

26

Rutina ADDER:|a,(b) ,0〉|a,(b) ,1〉|a,(b) ,0〉|a,(b) ,1〉

→|a,(a+b) ,0〉 ,(r = 0)|a,(a+b) ,1〉 ,(r = 0)|a,(a+b) ,1〉 ,(r = 1)|a,(a+b) ,0〉 ,(r = 1)

Rutina R-ADDER:|u,v,0〉 ,(u≤ v)|u,v,1〉 ,(u≤ v)|u,v,0〉 ,(u > v)|u,v,1〉 ,(u > v)

|u,v−u,0〉|u,v−u,1〉

|u,2n+v−u,1〉|u,2n+v−u,0〉

Finalmente, podemos crear el circuito cuantico para calcular (a+b)modN,bajo las condiciones de que a y b sean menores que N, con N menor que2n+1 y sdenota el estado de un qubit asociado con un (n+2)-esimo bit de

Page 27: Criptografía y computación cuánticas

27

carry en la subrutina ADDER.

Page 28: Criptografía y computación cuánticas

28

Algoritmos cu anticos: Deutsch-Jozsa

Nos permite distinguir entre funciones constantes y funciones balanceadasasintoticamente mas rapido que en un ordenador clasico[DJ1992].

1. Aleatorizar la configuracion de incio aplicando la transformada deHadamard a los n primeros qubits:

|0, . . . ,0〉 |0〉 → 12n/2

2n−1

∑j=0

| j〉 |0〉 .

2. Evaluar la funcion y almacenar el resultado:

12n/2

2n−1

∑j=0

| j〉 |0〉 → 12n/2

2n−1

∑j=0

| j〉 | f ( j)〉 .

Page 29: Criptografía y computación cuánticas

29

3. Aplicar el operador unitario U = σz al ultimo qubit, obteniendo

12n/2

2n−1

∑j=0

| j〉 | f ( j)〉 → 12n/2

2n−1

∑j=0

| j〉(−1) f ( j) | f ( j)〉 .

4. Reevaluese la funcion y anadase el resultado al ultimo qubit:

12n/2

2n−1

∑j=0

| j〉(−1) f ( j) | f ( j)〉 → 12n/2

2n−1

∑j=0

| j〉(−1) f ( j) |0〉 .

5. Aplicar la transformada de Hadamard a los primeros n qubits:

12n/2

2n−1

∑j=0

| j〉(−1) f ( j) |0〉 → 12n

2n−1

∑u=0

|u〉 |0〉2n−1

∑j=0

(−1)u· j (−1) f ( j) .

Page 30: Criptografía y computación cuánticas

30

La medicion del paso 5 distinguira entre f como funcion constante obalanceada:

Si f es constante, la medicion de los n primeros qubits es u = 0 con prob-abilidad 1, ya que la sumatoria sobre j producirıa 0 para u 6= 0 y 2n parau = 0.

Si f es balanceada, la medicion de los n primeros qubits es u 6= 0 conprobabilidad 1, ya que la sumatoria sobre j es 0.

Page 31: Criptografía y computación cuánticas

31

Algoritmos cu anticos: Grover

Algoritmo de busqueda exhaustivo para datos no ordenados[Grover1996],mejorado en [BBHT1998]: de los O(2n) de un ordenador clasico a los

O(√

2n)

del algoritmo cuantico.

1. Inicializar n qubits a 0 y el ultimo qubit a |χ〉 ≡ (|0〉− |1〉)/√

2.

2. Aleatorizar los n qubits de entrada tal que

|0, . . . ,0〉 |χ〉 →N−1

∑k=0

ak |k〉 |χ〉= |ψ〉 |χ〉

donde ak = 1/√

N.

3. Repetir los siguientes pasos a y b mveces, donde m≈ π√

N/16t siendot el numero de soluciones esperadas

Page 32: Criptografía y computación cuánticas

32

a) Calcular el valor de f con un mapeado unitario U f y anadirlo al ultimo

qubit para obtener el factor de fase (−1) f (k):

|ψ〉 |χ〉 → |ψ〉U f |χ〉=N−1

∑k=0

ak |k〉(−1) f (k) |χ〉

b) Aplicar el operador de difusion D =−I +2J/N al dominio de n qubits,

N−1

∑k=0

ak(−1) f (k) |k〉 |χ〉 →N−1

∑k=0

a(1)k |k〉 |χ〉 .

4. Medir los qubits del dominio y determinar el estado k, la superposicion seperdera tras la medicion

5. Evaluar f (k). Sı f (k) = 1, terminarıa y en cualquier otro caso volverıa alpaso 1.

Page 33: Criptografía y computación cuánticas

33

Algoritmos cu anticos: Shor

Algoritmo de factorizacion exponencialmente mas rapido que el mejoralgoritmo actualmente conocido para ordenadores clasicos[Shor1997]: de

exp(

c(log(N))1/3(log(log(N)))2/3)

de NFS[LL1993] a una cantidad de

trabajo polinomial en log(N).

1. Elegir n tal que N2≤ S= 2n < 2N2 e y tal que (y,N) = 1.

2. Inicializar dos registros de n-qubits al estado 0: |ψ0〉= |0〉 |0〉.

3. Aleatorizar los primeros n qubits del dominio:

|ψ0〉 → |ψ1〉=S−1

∑k=0

1√S|k〉 |0〉 .

Page 34: Criptografía y computación cuánticas

34

4. Evaluar la funcion f (k)≡ ykmod(N) :

|ψ1〉 → |ψ2〉=S−1

∑k=0

1√S|k〉 | f (k)〉 .

5. Transformar los primeros n qubits utilizando la transformada finita de Fouri-er

|ψ2〉 → |ψ3〉=1S

S−1

∑u=0

|u〉S−1

∑k=0

| f (k)〉exp(2πiuk/S) .

6. Dado que y tiene periodo r , la funcion f es periodica con periodo r : elperiodo no tiene porque dividir S, luego escribimos k = m+ jr , con 0≤m< r y 0≤ j < A, con A igualando

⌈Sr

⌉, el entero mas pequeno mayor o

igual a Sr . Luego,

|ψ3〉=S−1

∑u=0

r−1

∑m=0

buexp(2πium/S) |u〉 | f (m)〉 ,

Page 35: Criptografía y computación cuánticas

35

donde

bu =1S

1−exp(2πiurA/S)1−exp(2πiur/S)

.

7. Medir el primer registro, obteniendo como antes un valor u con probabili-dad 〈π3|Pu |ψ3〉= rb2

u.

8. Interpretar el valor conocido de u enfrentado al valor conocido de S paradeducir el valor putativo de r .

a) Si no se pueden hacer inferencias o r es impar, repetir desde el paso 2.b) Si r = 2s es par e y2 =−1mod(N), volver al paso 2 y repetir.c) Usese el algoritmo de Euclides para calcular (N,ys±1). Si el resultado

es mayor que 1, salir; con cualquier otro valor, volver al paso 2 y repetir.

Page 36: Criptografía y computación cuánticas

36

De la Teorıa de la Recursi on a laComputaci on Cu antica

Church-Turing Thesis(1936): “Cualquier procedimiento algorıtmico puedeser simulado por una maquina de Turing”, usando la Maquina Universal deTuring

Strong Church-Turing Thesis(1960-1970): “Cualquier procedimiento al-gorıtmico puede ser simulado eficientemente por una Maquina de Turing”.

Probabilistic Church-Turing Thesis (1975): “Cualquier procedimiento al-gorıtmico puede ser simulado eficientemente por una Maquina de Turingprobabilıstica”.

Quantum Church-Turing Thesis (1990): “Cualquier procedimiento al-gorıtmico puede ser simulado eficientemente por una Maquina de Turingcuantica”.

Page 37: Criptografía y computación cuánticas

37

Page 38: Criptografía y computación cuánticas

38

Repaso clases de complejidad

Clase P[Edmons65, Cobham1964, Rabin1960], la clase de problemas dedecision resolubles en tiempo polinomial por una maquina de Turing deter-minista.

Clase NP[Cook1971, Karp1972, Levin1973], es la clase de problemas dedecision resolubles en tiempo polinomial por una maquina de Turing inde-terminista, es decir, que responde con “sı” si al menos un camino acepta ycon “no” si todos los caminos rechazan.

Clase CoNP, es el complemento de la clase NP.

Clase #P[Valiant1979], la clase de problemas de funciones de la forma“calcular f (X)”, donde f es el numero de caminos aceptadores de lamaquina NP.

Page 39: Criptografía y computación cuánticas

39

Clase PP[Gill1977], es la clase de problemas de decision resolubles poruna maquina de Turing tal que

? Si la respuesta es sı, al menos 1/2 de los caminos de calculo aceptan.? Si la respuesta es no, menos de 1/2 de los caminos de calculo aceptan.

Clase AWPP[FFK1994], la clase de problemas de decision resolubles poruna maquina NP tal que

? Si la respuesta es no, la diferencia entre el numero de caminos acepta-

dores y que rechazan es de como mucho 2-poly(n) f (X)

? Si la respuesta es sı, la diferencia es de al menos(

1−2-poly(n) f (X)

Clase BPP(Bounded-error Probabilistic Polynomial time)[Gill1977], es laclase de problemas de decision resolubles por una maquina NP tal que

? La respuesta es sı, si al menos 2/3 de los caminos aceptan.? La respuesta es no, si como mucho 1/3 de los caminos acepta.

Page 40: Criptografía y computación cuánticas

40

Clase PSPACE, es la clase de problemas de decision resolublespor una maquina de Turing utilizando espacio polinomico. Rela-ciones: PSPACE=NPSPACE [Savitch1970], PSPACE=AP[ CKS1981] yPSPACE=IP[Shamir90 ].

Clase EXP, es la clase resultante de la union de todos los problemas de

decision resolubles por una maquina de Turing en tiempo 2p(n).

Clase MA, es la clase de problemas de decision resolubles por un pro-tocolo de Arthur-Merlin, en el cual Merlin tiene recursos computacionalesilimitados y manda a Arthur una demostracion de tamano polinomial deque la respuesta al problema es sı, teniendo que ser comprobada en BPP.

Clase SZK(Statistical Zero-Knowledge)[GMW1991, GMR1989], es laclase de problemas de decision a los que una respuesta afirmativa sepuede verificar por un protocolo de demostracion de conocimiento-zeroestadıstico, esto es, un protocolo donde participan un verificador BPP,Arthur, y un demostrador, Merlin, con recursos computacional ilimitados,

Page 41: Criptografía y computación cuánticas

41

y en el que Arthur debe convencerse de la que respuesta es sı intercam-biandose mensajes con Merlin, sin llegar a saber nada mas del problema.

Page 42: Criptografía y computación cuánticas

42

Nuevas clases cu anticas de complejidad

Clase BQP (Bounded-error Quantum Polynomial time)[BV1997, Yao1993],es la clase de problemas de decision resolubles en tiempo polinomicopor una maquina de Turing cuantica, con como mucho 1/3 de probabil-idad de error. Algunos problemas de esta clase son la factorizacion deenteros y el problema del logaritmo discreto[Shor1997], el sımbolo de Leg-endre oculto[DHI2002], la ecuacion de Pell y los problemas de idealesprincipales[Hallgren2002].

Relaciones de BQP con otras clases de complejidad:

? P⊆ BQP? BPP⊆ BQP[BV1997]? BQP⊆ PSPACE

P⊆ BPP⊆ BQP⊆ PSPACE

Page 43: Criptografía y computación cuánticas

43

? BQP⊆ P#P[BV1997]? BQPBQP= BQP[BV1997]? BQP⊆ PP[ADH97]qu? BQP⊆ AWPP[FR1998]? BQP/qpoly⊆ EXP/poly[Aaronson2003]

Existen oraculos relativos a los cuales:

? BPP 6= BQP[BV1997]? BQP* MA [Watrous2000]? BQP* ModpkP[GV2002]? NP* BQPy NP∩CoNP*BQP[BBBV1997]? SZK * BQP[Aaronson2002]

Page 44: Criptografía y computación cuánticas

44

Page 45: Criptografía y computación cuánticas

45

Realizaci on fısica de ordenadorescuanticos

Sobre las dificultades [DivS1995]. Requisitos:

Representacion fidedigna de la informacion cuantica: aunque es teorica-mente posible almacenar una cantidad infinita de informacion, cuando hayausencia de ruido, en realidad solo se puede aspirar a un conjunto finito deestados para almacenar informacion porque el ruido reduce el numero deestados distinguibles. Habra que tener en cuenta el tiempo de vida mınimode una superposicion arbitraria de estados.

Posibilidad de ejecutar alguna familia universal de transformaciones uni-tarias: operaciones sobre qubits individuales y puertas CNOT. Las imper-fecciones en la aplicacion de alguna transformacion unitaria nos lleva ala decoherencia. Habra que considerar el tiempo maximo requerido para

Page 46: Criptografía y computación cuánticas

46

realizar una operacion elemental y fidelidad alcanzable mınima, siendo lafidelidad de dos estados ρ,σ,

F (ρ,σ)≡ tr√

ρ1/2σρ1/2

Posibilidad de preparar un estado inicial confiable: el aumento de tem-peratura y el resto de operaciones mientras se prepara el estado inicial,puede llevar a la decoherencia. Parametros a tener en cuenta son la fi-delidad mınima con la que el estado inicial puede ser preparado dado unestado ρin y la entropıa de ρin.

Posibilidad de medir el resultado de salida: se realizara uniendo uno ovarios qubits a un sistema clasico que cambiara su estado tras un deter-minado periodo de tiempo. Las imprecisiones en los aparatos de medida,el ruido termico... produciran decoherencia. El principal parametro a teneren cuenta sera el ratio senal/ruido (SNR).:

Page 47: Criptografía y computación cuánticas

47

Ordenador cu antico de fotones opticos

Siguiendo la descripcion de [CY1995], el foton es una partıcula sin cargaque interactua debilmente con toda la materia y se obtendran atenuando lasalida de un LASER[IY1994, KSCEP1994]. El estado |ψ〉= c0 |0〉+c1 |1〉del foton evoluciona en el tiempo para convertirse en

|ψ(t)〉= c0 |0〉+c1e−iωt |1〉 ,

usando diferentes mecanismos: trozos de material transparente con unındice de refraccion n para el cambio de fase; piezas de vidrio parcialmenteplateadas que reflecten una fraccion R de la luz incidente y transmitan1−R, como beamsplitter, que se suele fabricar usando prismas con unacapa metalica entre ella; y, por ultimo, un medio no-lineal de Kerr en losque el ındice de refraccion es preoporcional a la intensidad total de luz Ique pasa por este,

n(I) = n+n2I .

Page 48: Criptografía y computación cuánticas

48

Los Hamiltonians para los diferentes componentes del sistema seran:

? Cambio de fase con mecanismo P: H = (n0−n)Z donde P =exp(−iHL/c0) .

? Beamsplitter : Hbs = iθ(ab†−a†b

), llevando a cabo la operacion uni-

taria B = exp[θ(a†b−ab†

)].

? Medio de Kerr no lineal: Hpm=−χa†ab†b, siendo la transformacion uni-

taria K = eiχLa†ab†b.

Combinando el medio de Kerr con el beamsplitter se puede obtener puer-tas CNOT y las operaciones sobre un unico qubit se realizaran mediantecambios de fase y beamsplitters. Un ejemplo de realizacion practica es[KMSW1999].

Limitaciones:

? la representacion de qubits mediante un unico foton es simple y atrac-tiva, pero los medios de Kerr disponibles actualmente son demasiadodebiles[WY1990].

Page 49: Criptografía y computación cuánticas

49

Electrodin amica cu antica de cavidadesopticas

Tanto la representacion de los qubits como la preparacion de los esta-dos iniciales es igual que en un ordenador cuantica fotonico, pero en lastransformaciones unitarias se buscara reemplazar los deficientes mediosde Kerr, buscando conseguir transferir el estado de un foton a otro usandolas cavidades de Fabry-Perot, cuyo Hamiltonian es

H =~ω0

2Z+~ωa†a+g

(a†σ−+aσ+

)donde ω es la frecuencia del campo, ω0 la frecuencia del atomo y g laconstante de acoplamiento entre atomo y campo.

Limitaciones: el acoplamiento de dos fotones es mediado por un atomo,haciendo deseable incrementar el acoplamiento atomo-campo, pero en-

Page 50: Criptografía y computación cuánticas

50

tonces el acoplamiento del foton dentro y fuera de la cavidad se dificulta ylimita la cascabilidad.

Experimentos practicos en [THLMK1995, TPhD1997].

Page 51: Criptografía y computación cuánticas

51

Trampas de iones

Propuesto en [CZ1995], la representacion de qubits se realiza mediante elspin del nucleo del atomo y modos de vibracion de bajo nivel de atomos

Page 52: Criptografía y computación cuánticas

52

atrapados. Dibujo basado en [WMILKM1998].

La evolucion unitaria del sistema se consigue con pulsos LASER que ma-nipulan externamente el estado atomico, segun la interaccion de Jaynes-Cummings. Los qubits interactuan mediante estados compartidos defonones. Hamiltonian:

HI =

iη~ Ω√

N2

(S+a†eiϕ−S−ae−iϕ) ω = ω0+ωz

iη~ Ω√

N2

(S+aeiϕ−S−a†e−iϕ) ω = ω0−ωz

Para preparar el estado inicial se enfriaran los atomos hasta que su en-ergıa cinetica sea mucho menor que la contribucion energetica del spin.

Experimentos en [WMILKM1998, MMKIW1995].

Limitaciones:

Page 53: Criptografía y computación cuánticas

53

? El tiempo de vida del fonon es demasiado corto.? Dificultades en la prepacion de los iones en su estado inicial[MMKIW1995,

J1998].

Page 54: Criptografía y computación cuánticas

54

Resonancia magn etica nuclear

Page 55: Criptografía y computación cuánticas

55

La representacion de los qubits usara el spin de nucleos atomicos[DiVincenzo1995].

La evolucion unitaria del sistema se consigue con pulsos de cam-pos magneticos aplicados a spins en fuertes campos magneticos. Losacoplamientos entre spins se realizan con uniones quımicas entre los ato-mos vecinos. Hamiltonian:

H = ∑k

ωkZk +∑j,k

HJj,k +HRF +∑

j,k

HDj,k +Henv

donde HDes el acoplamiento del dipolo magnetico, HJ es el J-acoplamiento, HRF son los efectos los campos magneticos de radiofre-cuencia externos y Henvdescribe interacciones con el entorno que puedenllevar a la decoherencia.

La preparacion del estado inicial consiste en polarizar los spins colocando-los en un fuerte campo magnetico, luego utilizar las tecnicas de “estadopuro efectivo”. Opera a temperatura ambiente[CFH1997, GC1997].

Page 56: Criptografía y computación cuánticas

56

Experimentos [CGK1998, VYSC1999, CVZLL1998, CMPAl1998, STHAl1999,LVZAl1999, JM1998, JMH1998].

Limitaciones:

? La preparacion de “estados puros efectivos” reducen la senal exponen-cialmente en proporcion al numero de qubits, a no ser que la polar-izacion inicial sea lo suficientemente grande.

? Multiples crıticas a esta implementacion [W1997, SC1999, BCJLPS1999,Vid1999, KHSL1999, LP1999].

Page 57: Criptografía y computación cuánticas

57

Vıdeo: simulaci on 2-qubit NMR QC

Page 58: Criptografía y computación cuánticas

58

Vıdeo: simulaci on 2-qubit ideal QC

Page 59: Criptografía y computación cuánticas

59

Decoherencia y comparaci on entremetodos

La decoherencia, o ruido cuantico, se define como la destruccion de la superposicion deestados cuanticos por la interaccion del entorno en el sistema cuantico aislado, vg:aumento de temperatura... En la siguiente tabla se recogen estimaciones del tiempo dedecoherencia y numero de operaciones.

Implementacion τQ τop nop = λ−1 = τQτop

Spin del nucleo 10−2−10−8 10−3−10−6 105−1014

Spin del electron 10−3 10−7 104

Trampa de iones 10−1 10−14 1013

Electron - Au 10−8 10−14 106

Electron - GaAs 10−10 10−13 103

Quantum dots 10−6 10−9 103

Cavidad optica 10−5 10−14 109

Cavidad de Microondas 100 10−4 104

Electron-Nuclear en Si 101 10−4−10−5 105−106

Page 60: Criptografía y computación cuánticas

60

Fundamentos teorıa de la informaci oncuantica

Resultados fundamentales:

Teorema No-Cloning [Dieks1982, WZ1982]: ningun dispositivo cuanti-co puede tener como salida |ψ〉 |ψ〉, dado el estado |ψ〉, para un |ψ〉cualquiera.

Cota de Holevo [Gordon64, Holevo1973, FC1994, YO1993, SWW1996]:El maximo de informacion clasica accesible cuando se intenta distinguirentre estados cuanticos px enviados con probabilidades de distribucion px

es

H (X : Y)≤ χ≡ S

(∑x

pxpx

)−∑

x

pxS(px) .

Page 61: Criptografía y computación cuánticas

61

Teorema de Schumacher de la codificaci on de canales cu anticos sinruido [Schumacher1995]: S(p) puede ser interpretado como el numero dequbits necesitados para representar fielmente una fuente de informacioncuantica descrita por p.

Teorema de Holevo-Schumacher-Westmoreland [Holevo1979, HJSW1996,Holevo1998, SW1997]: la capacidad de un canal de comunicacion cuanti-co ε con ruido para la transmision de informacion clasica viene dada por

C(ε) = maxpx,|ψx〉

S

(∑x

pxε(|ψx〉〈ψx|)

)−∑

x

pxS(ε(|ψx〉〈ψx|)) (3)

Page 62: Criptografía y computación cuánticas

62

Teorıa de la informaci on cl asicas ycuanticas

En teorıa de la informacion clasica, la entropıa viene dada por la formula deShannon[SW1949]

H (X) =−∑x

p(x) logp(x) ,

y en teorıa de la informacion cuantica, se utiliza la entropıa de von Neumann,

S(p) =−tr(ρ logρ) .

La cantidad de informacion distinguible, es decir, la informacion accesible, eninformacion clasica es N = |X|, y en informacion cuantica se usa la cota deHolevo[Gordon64, Holevo1973, FC1994, YO1993, SWW1996],H (X : Y)≤ S(∑x pxpx)−∑x pxS(px).

La codificacion de canales sin ruido en informacion clasica viene dada por el

Page 63: Criptografía y computación cuánticas

63

teorema de Shannon[SW1949, Sha1948],

nbits= H (X) ,

y en informacion cuantica utilizamos el teorema de Schumacher[Schumacher1995],

nqubits= S

(∑x

pxpx

).

La capacidad de un canal clasico con ruido viene dado por un teorema deShannon,

C(N) = maxp(x)

H (X : Y) ,

y en informacion cuantica, por el teoremaHolevo-Schumacher-Westmoreland3,

C(ε) = maxpx,|ψx〉

S

(∑x

pxε(|ψx〉〈ψx|)

)−∑

x

pxS(ε(|ψx〉〈ψx|)) .

Page 64: Criptografía y computación cuánticas

64

Algunas relaciones interesantes en teorıa de la informacion clasica, con susequivalentes en informacion cuantica, son:

Inecuacion de Fano,

H (pe)+ pelog(|X|−1)≥ H (X|Y) ,

y la inecuacion de Fano cuantica,

H (F (ρ,ε))+(1−F (ρ,ε)) log(d2−1

)≥ S(ρ,ε) .

Informacion mutua clasica,

H (X : Y) = H (Y)−H (Y|X) ,

y la informacion coherente cuantica,

I (ρ,ε) = S(ε(ρ))−S(ρ,ε) .

Page 65: Criptografía y computación cuánticas

65

Inecuacion en el proceso de datos clasico,

X →Y → Z

H (X)≥ H (X : Y)≥ H (X : Z) ,

y la inecuacion en el proceso de datos cuanticos[SN1996],

ρ→ ε1(ρ)→ (ε2 ε1)(ρ)

S(ρ)≥ I (ρ,ε1)≥ I (ρ,ε2 ε1) .

Page 66: Criptografía y computación cuánticas

66

Criptografıa cu antica: historia

Las primeras ideas datan de 1960[Wiesner1960, Wiesner1983]: uso como dineroelectronico seguro.

Amplificacion de la privacidad[BBR1988].

Protocolos de reconcialiacion de la informacion[BS1994].

Primera implementacion experimental[BBBSS1992].

Protocolos mas conocidos: de cuatro estados[BB1984], de dos estados [Bennet1992] ybasado en EPR[Ekert1991].

Demostraciones de los protocolos: completa del BB84[Mayers1998], usando EPR ycomputacion cuantica perfecta[LC1999].

Posteriores implementaciones: introduccion[HADLMS1995], implementacion del lago deGinebra[MZG1996], implementaciones de IBM[BE1998, WR2000].

Page 67: Criptografía y computación cuánticas

67

Distribuci on de claves cu antica QKD

Puntos sobre los que se apoya QKD:

Reconciliaci on de la informaci on [BS1994]: correcion de errores sobreun canal publico cuantico, reconcialiando los errores entre X e Y, paraobtener una cadena de bits compartida entre W, divulgando la menor can-tidad de informacion posible a Eve.

Amplificaci on de la informaci on [BBR1988]: distila la informacion W,cuya correlacion con la informacion obtenida por Eve esta por debajo de unlımite fijado por Alice y Bob. Dada una funcion g de las funciones de hashuniversales, escogida uniforme y aleatoriamente, que asigna las cadenasde n-bits de A con las cadenas de m-bits de Bob, tal que para cualquiera1,a2∈ A la probabilidad de que g(a1) = g(a2) es de como mucho 1/ |B|.La entropıa de la colision de la variable aleatoria X con distribucion deprobabilidad p(x) es

Page 68: Criptografía y computación cuánticas

68

Theorem 3. Sea X la variable aleatoria en el alfabeto χ con la distribu-cion p(x), la entropıa de la colision Hc(X) y G la variable aleatoria correspon-diente a la opcion aleatoria de un miembro de la clase universal de funcionesde hash desde χ a 0,1m, entonces

H (G(X) |G)≥ Hc(G(X) |G)≥m−2m−Hc(X).

Este teorema nos indica que si Alice y Bob eligen publicamente g∈G y laaplican a W, obteniendo S, podrıan maximizar la incertidumbre de Eve sobreS, cuyo conocimiento sobre Sesta en Z = z, y que es estimado por Alice yBob en terminos de la entropıa de la colision, limitandola inferiormente unnumero d, Hc(S|W,Z = z) > d, y por el teorema anterior,

Hc(S|G,Z = z)≥m−2m−d,

es decir, elegir m tal que Hc(S|G,Z = z)'m.

Page 69: Criptografía y computación cuánticas

69

Corollary 2. Por argumentos estadısticos de informacion clasica parala reconciliacion de informacion, seguido de la amplificacion de la informacion,podremos conseguir m bits secretos entre Alice y Bob, para los cuales lainformacion total de Eve es menor que

2m−d+2(k+s)bits,

donde s es un parametro de seguridad a escoger y k el numero de bits en-viados durante el proceso de reconciliacion como codigos de correcion deerrores.

Eve no puede distinguir entre estados dos estados cuanticos no-ortogonales transmitidos de Alice a Bob sin perturbar la senal. Por lo tanto,Alice y Bob introduciran qubits de prueba en posiciones aleatorias de latransmision para establecer una cota superior en el ruido o espionaje en elcanal. Luego llevan a cabo un proceso de reconciliacion de la informaciony de amplificacion de la privacidad para destilar una clave secreta compar-tida entre ambos, con el conocimiento de Eve sobre esta perfectamente

Page 70: Criptografía y computación cuánticas

70

acotado, y con posibilidad de detectar cuando se esta intentando romperla seguridad de la comunicacion.

El unico requerimiento sera que el protocolo QKD se ejecute sobre uncanal publico con una tasa de error por debajo de un lımite fijado.

Descripci on del protocolo BB84 [BB1984]:

1. Alicia crea (4+δ)n bits aleatorios.

2. Por cada bit, crea un qubit en la base Z o en la base X, segun una cadenade bits aleatoria b.

3. Alicia envıa los qubits a Bob.

4. Alicia elige aleatoriamente una vk ∈ C1, un codigo clasico, para llevar acabo reconciliacion de la informacion.

Page 71: Criptografía y computación cuánticas

71

5. Bob recibe los qubits y los mide en las bases X y Z aleatoriamente.

6. Alicia anuncia b.

7. Alicia y Bob descartan aquellos bits que Bob midio en una base diferentea b, quedando con alta probabilidad 2n bits, abortandose si no ocurre ası.Alicia escoge n bits y los anuncia, entre los 2n bits.

8. Alicia y Bob comparan publicamente sus bits de chequeo: si mas de t bitsestan en desacuerdo, el protocolo aborta. Alicia quedara con un cadena xde n bits y Bob con x+ ε.

9. Alicia anuncia x−vk. Bob resta esto de su resultado, corrigiendolo con C1

para obtener vk.

10. Alicia y Bob calculan el co-conjunto de vk +C2 en C1 para obtener la clavek.

Page 72: Criptografía y computación cuánticas

72

Referencias

[NCBook] Nielsen, Michael and Chuang, Isaac L. “QuantumComputation and Quantum Information“

[FeynmanBook] Richard P. Feynman, “Feynman lectures on com-putation”

[GruskaBook] Gruska, J. “Quantum Computing”

[WCBook] C. Williams and S. Clearwater, “Explorations inQuantum Computing”

[GramssBook] T. Gramss, “Non-Standard Computation”

[RPIntro] E. Rieffel and W. Polak, “An introductionto Quantum Computing for Non-Physicists”http://xxx.lanl.gov/abs/quant-ph/9809016

Page 73: Criptografía y computación cuánticas

73

[Savitch1970] W. Savitch. Relationships between nondetermin-istic and deterministic tape complexities. Jour-nal of Computer and System Sciences 4(2):177-192, 1970.

[CKS1981] A. K. Chandra, D.C. Kozen, and L.J. Stockmey-er. Alternation. Journal of the ACM 28:114-133,1981.

[Shamir90] A. Shamir. IP=PSPACE. Proceedings of theIEEE FOCS’90, pp. 11-15, 1990.

[Edmons65] J. Edmons. Paths, trees and flowers, CanadianJournal of Mathematics 17(3):449-467, 1965.

[Cobham1964] A. Cobham. The intrinsic computational difficultyof functions. Proceedings of the 1964 Congress

Page 74: Criptografía y computación cuánticas

74

on Logic, Mathematics and the Methodology ofScience, pp. 24-30, 1964.

[Rabin1960] M. O. Rabin. Degree of difficulty of computing afunction and a partial ordering of recursive sets,Technical Report No. 2, Hebrew University, 1960.

[Cook1971] S. A. Cook. The complexity of theorem-provingprocedures. Proceedings of the ACM STOC’71,pp. 151-158, 1971.

[Karp1972] R. M. Karp. Reducibility among combinatorialproblems. Complexity of Computer Computa-tions (J. W. Thatcher and R. E. Miller, eds.),Plenum Press, 1972.

[Levin1973] L. A. Levin. Universal search problems (in Rus-sian), Problemy Pederachi Informatsii 9(3):265-266, 1973.

Page 75: Criptografía y computación cuánticas

75

[Gill1977] J. Gill. Computational Complexity of Turingmachins. SIAM Journal of Computing 6(4):675-695, 1977.

[BV1997] E. Bernstein and U. Vazirani. Quantum com-plexity theory, SIAM Journal of Computing,26(5):1411-1473, 1997.

[Yao1993] A.C.-C. Yao. Quantum circuit complexity. Pro-ceedings of IEEE FOCS’93, pp.352-361, 1993.

[Shor1997] P. Shor. Polynomial time algorithms for primefactorization and discrete logarithms on a quan-tum computer. SIAM Journal on Computing26(5):1484-1509, 1997. quant-ph/9508027

Page 76: Criptografía y computación cuánticas

76

[DHI2002] W. van Dam, S. Hallgren, L. Ip. Quantum al-gorithms for hidden coset problems, submitted,2002.

[Hallgren2002] S. Hallgren. Polynomial-time quantum algorithmsfor Pell’s equation and the principal ideal prob-lem. Proceedings of ACM STOC’2002, 2002.

[ADH97] L. Adleman, J. DeMarrais, and M. Huang. Quan-tum computability. SIAM Journal of Computing26:1524-1540, 1997.

[FR1998] L. Fortnow and J.D. Rogers. Complexity lim-itations on quantum computation. Proceed-ings of IEEE Complexity’98, pp. 202-209, 1998.cs.CC/9811023

Page 77: Criptografía y computación cuánticas

77

[Watrous2000] J. Watrous. Succint quantum proofs for prop-erties of finite groups. Proceedings of IEEEFOCS’2000 cs.CC/0009002

[GV2002] M. de Graaf and P. Valiant. Comparing EQPandModpkP using polynomial degree lower bounds, 2002.quant-ph/0211179

[BBBV1997] C.H.Bennet, E. Bernstein, G. Brassard, andU. Varizani. Strengths and weakness of quan-tum computing. SIAM Journal on Computing,26(5):1510-1523, 1997. quant-ph/9701001

[Aaronson2002] S. Aaronson. Quantum lower bounds for the colli-sion problem. Proceedings of ACM STOC’2002,pp. 635-642, 2002. quant-ph/0111102

[Aaronson2003] S. Aaronson. BQP/qpolyis contained inEXP/poly. Complexity’2003, Denmark, July

Page 78: Criptografía y computación cuánticas

78

8, 2003. http://www.cs.berkeley.edu/ aaron-son/qpoly.ppt

[Valiant1979] L. G. Valiant. The complexity of computingthe permanent. Theoretical Computer Science,8:189-201, 1979.

[FFK1994] S. Fenner, L. Fortnow, and S. Kurtz. Gap-definable counting classes. Journal of Computerand System Sciences 48(1):116-148, 1994.

[GMW1991] O. Goldreich, S. Micali, and A. Wigderson. Proofsthat wield nothing but their validity or all lan-guages in NP have zero-knowledge proof sys-tems, Journal of the ACM 38(1):691-729, 1991.

[GMR1989] S. Goldwasser, S. Micali, and C. Rackoff. Theknowledge complexity of interactive proof sys-

Page 79: Criptografía y computación cuánticas

79

tems, SIAM Journal of Computing 18(1):186-208, 1989.

[DiVincenzo1995] David DiVincenzo. Two-bit gates are universalfor quantum computation, Physical Review A, vol151, 1015-1022 (1995).

[VBE1996] Vlatko Vedral, Adriano Barenco, Artur Ekert.Quantum networks for elementary arithmetic op-erations. Physical Review A. vol 54, 147. (1996).

[BCDP1996] David Beckman, Amalavoyal N. Chari, SrikrishnaDevabhaktuni, John Preskill. Efficient networksfor quantum factoring. Physical Review A. vol. 54,no. 2, 1034-1063, Aug 1996.

[Dieks1982] D. Dieks. Communication by EPR devices. Phys-ical Letters A, 92(6):271-272, 1982.

Page 80: Criptografía y computación cuánticas

80

[WZ1982] W.K. Wootters, W. H. Zurek. A single quantumcannot be cloned. Nature, 299:802-803, 1982.

[Gordon64] J.P. Gordon. Noise at optical frequencies; infor-mation theory. En P.A. Miles, editor, QuantumElectronics and Coherent Light , Proceedings ofthe International School of Physics “Enrico Fer-mi” XXXI, Academic Press, New York, 1964.

[Holevo1973] A.S. Holevo. Statistical problems in quan-tum physics. En Gisiro Maruyama y Jurii V.Prokhorov, editores, Proceedings of the SecondJapan-USSR Symposium on Probability Theory ,paginas 104-119, Springer-Verlag, Berlin, 1973.Lecture Notes in Mathematics, vol. 330.

[FC1994] C.A. Fuchs y C.M. Caves. Ensemble-dependentbounds for accesible information in quantum me-

Page 81: Criptografía y computación cuánticas

81

chanics. Physical Review Letters, 73(23):3047-3050, 1994.

[YO1993] H.P. Yuen y M. Ozawa. Ultimate information car-rying limit of quantum systems. Physical ReviewLetters, 70:363-366, 1993.

[SWW1996] B.W. Schumacher, M. Westmoreland, W.K.Wootters. Limitation on the amount of accessi-ble information in a quantum channel. PhysicalReview Letters, 76:3453, 1996.

[Schumacher1995] B. Schumacher. Quantum coding. Physical Re-view A, 51:2738:2747, 1995.

[Holevo1979] A.S. Holevo. Capacity of a quantum communica-tions channel. Problems of Information Transmis-sion, 5(4):247-253, 1979.

Page 82: Criptografía y computación cuánticas

82

[HJSW1996] P. Hausladen, R. Jozsa, B. Schumacher, M.Wetsmoreland, W.K. Wootters. Classical infor-mation capacity of a quantum channel. PhysicalReview A, 54:1869, 1996.

[Holevo1998] A.S. Holevo. The capacity of the quantum chan-nel with general signal states. IEEE Transactionson Information Theory, 44(1):269-273, 1998.

[SW1997] B. Schumacher and M.D. Westmoreland. Send-ing classical information via noisy quantum chan-nels. Physical Review A, 56(1):131-138, 1997.

[Wiesner1960] S. Wiesner. Unpublished manuscript, 1969.

[Wiesner1983] S. Wiesner. Conjugate coding. SIGACT News,15:77, 1983.

Page 83: Criptografía y computación cuánticas

83

[BBBSS1992] C.H. Bennet, F. Bessette, G. Brassard, L. Salvail,J. Smolin. Experimental quantum cryptography.Journal of Cryptology , 5:3-28, 1992.

[BBR1988] C.H. Bennet, G. Brassard, J.M. Robert. Privacyamplification by public discussion. SIAM Journalof Computing, 17:210-229, 1988.

[BS1994] G. Brassard, L. Salvail. Secret-key reconcilia-tion by public discussion. Lecture notes in com-puter science: Advances in Cryptology - EU-ROCRYPT’93, Volume 765, 410-423, Springer-Verlag, New York, 1994.

[BB1984] C.H.Bennet, G. Brassard. Quantum cryptogra-phy: public key distribution and coin tossing.Proceedings of IEEE International Conferenceon Computers, Systems and Signal Processing,

Page 84: Criptografía y computación cuánticas

84

175-179, IEEE, New York, 1984. Bangalore, In-dia, Dec 1984.

[Bennet1992] C.H. Bennet. Quantum cryptography using anytwo nonorthogonal states. Physical Review Let-ters, 68(21):3121-3124, 1992.

[Ekert1991] A.K. Ekert. Quantum cryptography basedon Bell’s theorem. Physical Review Letters,67(6):661-663, 1991.

[HADLMS1995] R.J. Hughes, D.M. Alde, P. Dyer, G.G. Luther,G.L. Morgan, M. Schauer. Quantum cryptog-raphy. Contemporary Physics, 36(3):149-163,1995. quant-ph/9504002

[MZG1996] A. Muller, H. Zbinden, N. Gisin. Quantum cryp-tography over 23 km. installed under-lake tele-

Page 85: Criptografía y computación cuánticas

85

com fibre. Europhysics Letters, 33:334-339,1996.

[BE1998] D.S. Bethune, W.P. Risk. An autocompensatingquantum key distribution system using polariza-tion splitting of light. IQEC’98 Digest of Post-deadline Papers, paginas QPD12-2, Optical So-ciety of America, Washington, DC, 1998.

[WR2000] D.S. Bethune, W.P. Risk. An autocompensatingfiber-optic quantum cryptography system basedon polarization splitting of light. Journal QuantumElectronics, 36(3):100, 2000.

[Mayers1998] D. Mayers. Unconditional security in quantumcryptography. quant-ph/9802025, 1998.

[LC1999] H. Lo, H.F. Chau. Unconditional security ofquantum key distribution over arbitrary long dis-

Page 86: Criptografía y computación cuánticas

86

tances. Science, 283:2050-2056, 1999. quant-ph/9803006.

[BBCAl1995] A. Barenco, C.H. Bennet, R. Cleve, D. P. DiVin-cenzo, N. Margolus, P. Shor, T. Sleator, J. Smolin,H. Weinfurter. Elementary gates for quantumcomputation. Physical Review A, 52:3457-3467,1995. quant-ph/9503016

[Div1998] D.P. Divincenzo. Quantum gates and circuits.Proceedings of the Royal Society of London A,454:261-276, 1998.

[BMPRV1999] P.O. Boykin, T. Mor, M. Pulver, V. Roychowdhury,F. Vatan. On universal and fault-tolerant quantumcomputing, 1999. quant-ph/9906054

[Knill1995] E. Knill. Approximating quantum circuits,1995.quant-ph/9508006

Page 87: Criptografía y computación cuánticas

87

[Deutsch1989] D. Deutsch. Quantum computational networks.Proceedings of the Royal Society London A,425:73, 1989.

[Yao1993] A. C. Yao. Quantum circuit complexity. Pro-ceedings of the 34th Annual IEEE Symposiumon Foundations of Computer Science, 352-361,1993.

[Ben1980] P. Benioff. The computer as a physical system:a microscopic quantum mechanical Hamiltonianmodel of computer as represented by Turing ma-chines. Journal of Statistical Physics, 22(5):563-591, 1980.

[Deutsch1985] D. Deutsch. Quantum theory, the Church-Turingprinciple and the universal quantum computer.

Page 88: Criptografía y computación cuánticas

88

Proceedings of the Royal Society of London A,400:97, 1985.

[Toffoli1980] T. Toffoli. Reversible computing, Automata, Lan-guages and Programming, Seventh Colloquium,Lecture Notes in Computer Science vol. 84, eds.J.W. de Bakker y J. van Leeuwen, Springer, NewYork, 632-644, 1980.

[DJ1992] David Deutsch, Richard Jozsa. Rapid solution ofproblems by quantum computation, Proceedingsof the Royal Society of London A, vol 439, 553-558, 1992.

[Grover1996] Lov Grover. A fast quantum-mechanical algo-rithm for database search. Proceedings of the28th Annual ACM Symposium on Theory ofComputing, ACM, New York, 1996.

Page 89: Criptografía y computación cuánticas

89

[BBHT1998] Michel Boyer, Gilles Brassard, Peter Hoyer,Alain Tapp. Tight bounds on quantum searching.Forstchritte Der Physik , Special issue on quan-tum computing and quantum cryptography, vol.4, 820-831, 1998. quant-ph/9605034

[LL1993] A.K. Lenstra, H.W. Lenstra Jr., eds., The develop-ment of the Number Field Sieve, Lecture Notes inMathematics, vol 1554, Springer, Berlin and NewYork, 1993.

[DivS1995] D. P. DiVincenzo. Quantum Computation. Sci-ence, 270:255, 1995. quant-ph/9503016

[CY1995] I.L. Chuang, Y. Yamamoto. Simple quantum com-puter. Physical Review A, 52:3489-3496, 1995.quant-ph/9505011

Page 90: Criptografía y computación cuánticas

90

[IY1994] A. Imagoglu, Y. Yamamoto. Turnstile device forheralded single photons: Coulomb blockade ofelectron and hole tunneling in quantum confinedp-i-n heterojunctions. Physical Review Letters,72(2):220-13, 1994.

[KSCEP1994] P.G. Kwiat, A. M. Steinberg, R.Y. Chiao, P.H.Eberhard, M.D. Petroff. Absolute efficiency andtime-response measurement of single-photondetectors. Applied Optics. 33(10):1844-1853,1994.

[WY1990] K. Watanabe, Y. Yamamoto. Limits on tradeoffsbetween third-order optical nonlinearity, absorp-tion loss and pulse duration in self-induced trans-parency and real excitation. Physical Review A,42(3):1699-702, 1990.

Page 91: Criptografía y computación cuánticas

91

[KMSW1999] P.G. Kwiat, J.R. Mitchell, P.D.D. Schwindt, A.G.White. Grover’s search algorithm: an optical ap-proach, 1999. quant-ph/9905086

[THLMK1995] Q.A. Turchette, C.J. Hood, W. Lange, H.Mabuchi, H. J. Kimble. Measurement of condi-tional phase shifts for quantum logic. PhysicalReview Letters, 75:4710, 1995.

[TPhD1997] Q.A. Turchette. Quantum optics with singleatoms ans single photons. Ph.D. thesis, Califor-nia Institute of Technology, Pasadena, California,1997.

[CZ1995] J.I. Cirac, P. Zoller. Quantum computations withcold trapped ions. Physical Review Letters,74:4091, 1995.

Page 92: Criptografía y computación cuánticas

92

[WMILKM1998] D.J. Wineland, C. Monroe, W.M. Itano, D.Leibfried, B.E. King, D.M. Meekhof. Experimen-tal issues in coherent quantum-state manipula-tion of trapped atomic ions. J. Res. Natl. Inst.Stand. Tech., 103:259, 1998.

[MMKIW1995] C. Monroe, D.M. Meekhof, B.E. King, W.M. Itano,D.J. Wineland. Demonstration of a fundamen-tal quantum logic gate. Physical Review Letters,75:4714, 1995.

[J1998] D. James. The theory of heating of the quan-tum ground state of trapped ions, 1998. quant-ph/9804048

[OK1996] M. B. Plenio, P.L. Knight. Realistic lower boundsfor the factorization time of large numbers on a

Page 93: Criptografía y computación cuánticas

93

quantum computer. Physical Review A, 53:2986-2990, 1996.

[W1997] W. Warren. The usefulness of NMR quantumcomputing. Science, 277(5332):1688, 1997.

[SC1999] R. Schack, C.M. Caves. Classical model for bulk-ensemble NMR quantum computation. PhysicalReview A, 60(6):4354-4362, 1999.

[BCJLPS1999] S.L. Braunstein, C.M. Caves, R. Jozsa, N. Lin-den, S. Popescu, R. Schack. Separability of verynoisy mixed states and implications for NMRquantum computing. Physical Review Letters,83(5):1054-1057, 1999.

[Vid1999] G. Vidal. Entanglement of pure states for a singlecopy. Physical Review Letters, 83(5):1046-1049,1999.

Page 94: Criptografía y computación cuánticas

94

[KHSL1999] K. Zyczkowski, P. Horodecki, A. Sanpera, M.Lewenstein. Volume of the set of separablestates. Physical Review A, 58(2):883-892, 1999.

[LP1999] N. Linden, S. Popescu. Good dynamics versusbad kinematics. Is entaglement needed for quna-tum computation?, 1999. quant-ph/9906008

[CFH1997] D.G. Cory, A.F. Fahmy, T.F. Havel. Ensemblequantum computing by NMR sprectroscopy. Pro-ceedings of the National Academy of SciencesUSA, 94:1634-1639, 1997.

[GC1997] N. Gershenfeld, I.L. Chuang. Bulk spin reso-nance quantum computation. Science, 275:350,1997.

Page 95: Criptografía y computación cuánticas

95

[CGK1998] I. L. Chuang, N. Gershenfeld, M. Kubinec. Exper-imental implementarion of fast quantum search-ing. Physical Review Letters, 18(15):3408-3411,1998.

[VYSC1999] L. M. K. Vandersypen, C.S. Yannoni, M.H. Sher-wood, I.L. Chuang. Realization of effective purestates for bulk quantum computation. PhysicalReview Letters, 83:3085-3088, 1999.

[CVZLL1998] I.L. Chuang, L.M.K. Vandersypen, X.L. Zhou,D.W. Leung, S. Lloyd. Experimental realizationof a quantum algorithm. Nature, 393(6681):143-146, 1998.

[CMPAl1998] D.G. Cory, W. Mass, M. Price, E. Knill, R.Laflamme, W.H. Zurek, T.F. Havel, S.S. Somaroo.

Page 96: Criptografía y computación cuánticas

96

Experimental quantum error correction, 1998.quant-ph/9802018

[STHAl1999] S. Somaroo, C.H. Tseng, T.F. Havel, R.Laflamme, D.G. Cory. Quantum simulations ona quantum computer. Physical Review Letters,82:5381-5384, 1999.

[LVZAl1999] D.W. Leung, L.M.K. Vandersypen, X. Zhou, M.Sherwood, C. Yannoni, M. Kubinec, I.L. Chuang.Experimental realization of a two-bit phasedamping quantum code. Physical Review A,60:1924, 1999.

[JM1998] J.A. Jones, M. Mosca. Implementation of a quan-tum algorithm to solve Deutsch’s problem on anuclear magnetic resonance quantum computer,1998. quant-ph/9802018

Page 97: Criptografía y computación cuánticas

97

[JMH1998] J.A. Jones, M. Mosca, R.H. Hansen. Implemen-tation of a quantum search algorithm on a nucle-ar magnetic resonance quantum computer. Na-ture, 393(6683):344, 1998. quant-ph/9805069

[SW1949] C.W. Shannon, W. Weaver. The mathematicaltheory of communication. University of IllinoisPress, Urbana, 1949.

[Sha1948] C.E. Shannon. A mathematical theory of commu-nication. Bell System Technical Journal , 27:379-423, 623-656, 1948.

[SN1996] B.W. Schumacher, M.A. Nielsen. Quantum data

processing and error correction. Physical Review

A, 54(4):2629, 1996. quant-ph/9604022