Position-based Quantum Cryptography and Catalytic Computation Florian Speelman Samenvatting: In dit proefschrift worden resultaten gepresenteerd in twee verschillende onderzoeksrichtingen. Het eerste gedeelte heeft betrekking op positionele quantum cryptografie, een onderwerp binnen de quantum cryptografie. In het tweede gedeelte introduceren we een nieuw rekenmodel, katalytische berekeningen, en bestuderen dit model binnen de computationele complexiteitstheorie. Deel I: Positionele Quantum cryptografie ---------------------------------------- Door quantummechanica te combineren met de speciale relativiteitstheorie kunnen nieuwe cryptografische taken worden bedacht die de beperkingen van relativiteitstheorie op een constructieve manier gebruiken. Positionele cryptografie is een type cryptografie waarbij de locatie gebruikt wordt als bewijs van de identiteit van een gebruiker, in plaats van (of samen met) een geheime sleutel. Een mogelijke toepassing is bijvoorbeeld een protocol voor het sturen van berichten die maar op één locatie gelezen kunnen worden. Nadat de eerste voorstellen voor positionele cryptografie, gebaseerd op klassieke informatie, onveilig bleken te zijn, leken nieuwe protocollen gebaseerd op quantum informatie op het eerste gezicht veelbelovend. Recente resultaten lieten echter zien dat ook die protocollen onveilig zijn tegen aanvallers die exponentieel grote quantum toestanden kunnen manipuleren. Om deze reden richten wij ons op de vraag: Is het mogelijk om een schema te maken wat met realistische aannames veilig is? Als een aanval op een cryptografisch protocol altijd extreem veel verstrengelde deeltjes nodig zou hebben, bijvoorbeeld meer dan het aantal deeltjes in het universum, dan zou dat protocol uiteraard veilig zijn tegen alle realistische aanvallen. Onze resultaten zullen allemaal dit onderscheid maken: protocollen die aangevallen kunnen worden met behulp van kleine verstrengelde toestanden zijn onveilig, terwijl we protocollen waarbij de aanvallers grote toestanden nodig hebben veilig noemen. Hoofdstuk 3. Het eerste hoofdstuk over dit onderwerp analyseert positie-verificatie schema’s die een enkele qubit combineren met klassieke informatie. We introduceren een nieuw hulpmiddel om deze schema’s te bestuderen, het garden-hose model. In dit simpele combinatorische model delen twee partijen, Alice and Bob, ‘buizen’ met elkaar, en willen ze een functie berekenen door deze buizen met ‘tuinslangen’ aan elkaar vast te maken. Door garden-hose complexiteit te bestuderen, karakteriseren we een klasse van teleportatie-aanvallen op de schema’s, en laten we een verrassende relatie zien tussen de veiligheid van deze schema’s en open problemen in computationele complexiteitstheorie. We bewijzen diverse kleinere resultaten over het nieuwe model, en introduceren daarnaast twee varianten: het gerandomiseerde garden-hose model, waarbij de spelers een willekeurige reeks van bits delen, en het quantum garden-hose model, waarbij Alice en Bob toegang hebben tot een (vooraf gedeelde) quantum toestand. Hoofdstuk 4. We vervolgen onze studie naar het gebruik van quantum informatie in positie verificatie, maar nu richten we onze aandacht op een andere klasse van protocollen: degene die beschreven kunnen worden door quantum circuits met lage T-gate complexiteit. We combineren technieken die eerder gebruikt zijn voor het delegeren van quantum berekeningen met het garden-hose model, en construeren zo nieuwe aanvallen op deze schema’s. Als aanvullende toepassing presenteren we een efficiënte aanval op het Interleaved Product protocol voor positie verificatie, geïntroduceerd door Chakraborty en Leverrier. Hoofdstuk 5. Ons laatste hoofdstuk over dit onderwerp beschouwt vragen die direct geïnspireerd zijn door praktische overwegingen. Positioneringsprotocollen zullen hoogstwaarschijnlijk fotonen gebruiken als dragers voor quantum informatie, mogelijk in glasvezelkabels. Dit komt niet overeen met de aannames die gedaan worden bij huidige protocollen op de volgende twee manieren: a significant aantal fotonen raakt verloren in overdracht, en de lichtsnelheid in glasvezel is lager dan de lichtsnelheid in vacuüm. Aanpassingen van protocollen om deze problemen op te lossen, geeft nieuwe aanvalsmogelijkheden en maakt de protocollen potentieel onveilig. We ontwikkelen een nieuw protocol voor positie verificatie dat deze aanvallen voorkomt, en we gebruiken semidefiniete programmering om te bewijzen dat dit protocol veilig is tegen aanvallers die geen verstrengelde toestand delen. Deel II: Katalytische berekeningen ---------------------------------- In het tweede gedeelte van dit proefschrift bestuderen we berekeningen met katalytisch geheugen. Dit zijn berekeningen die een kleine hoeveelheid lege geheugenruimte hebben en daarnaast uitgerust zijn met aanvullend hulpgeheugen, met het voorbehoud dat het aanvullende geheugen geïnitialiseerd is in een arbitraire, mogelijk niet-comprimeerbare, toestand en aan het eind van de berekening teruggezet moet zijn naar deze toestand. De term ‘katalytisch’ komt uit de scheikunde, waar het verwijst naar een reactant die een chemische reactie versnelt zonder verbruikt te worden – net als het extra geheugen wat bij de berekening beschikbaar is. Hoofdstuk 6. In dit hoofdstuk laten we zien dat het extra geheugen een verrassende hoeveelheid mogelijkheden aan het rekenmodel toevoegt. Om dit resultaat te verkrijgen bestuderen we een algebraïsch rekenmodel, Transparante Programma’s. Met behulp van deze transparante programma’s kunnen we een constructie van Ben-Or en Cleve aanpassen en zo laten zien dat het mogelijke is om TC1 circuits te simuleren met slechts een logaritmische hoeveelheid leeg geheugen. Daarnaast laten we enkele complexiteits-theoretische beperkingen zien van de kracht van katalytische berekeningen, door te bewijzen dat elke katalytische berekening die slechts een logaritmische hoeveelheid leeg geheugen gebruikt, gesimuleerd kan worden door een normale Turing machine in polynomiale tijd. Hoofdstuk 7. We vervolgen de studie van katalytische berekeningen met het vertalen van twee klassieke resultaten uit de computationele complexiteitstheorie naar dit nieuwe model. Ten eerste breiden we het model uit met een non-deterministische variant. De Immerman–Szelepcsényi stelling is een belangrijk complexiteitstheoretisch resultaat dat laat zien dat de klasse van problemen die non-deterministische Turing machines kunnen oplossen met logaritmisch groot geheugen gesloten is onder complement. We laten zien dat non-deterministische katalytische berekeningen ook gesloten zijn onder complement, onder standaard derandomisatie-aannames. Tot slot presenteren we hiërarchie-stelling – we laten zien dat het toevoegen van meer geheugen de katalytische berekening strikt meer problemen laat oplossen.