Delegated and Distributed Quantum Computation Yfke Dulek Samenvatting: Deze dissertatie verkent de mogelijkheden en onmogelijkheden om quantumberekeningen veilig te delegeren en distribueren. We bouwen concrete protocollen voor verscheidene quantumcryptografische primitieven (quantumberichtauthenticatie, meerpartijenquantumberekening en verifieerbare homomorfische quantumencryptie), maar laten ook zien dat één ander primitief onmogelijk te verwezenlijken blijkt in algemene zin (quantumobfuscatie als virtuele zwarte doos). Voor de primitieven die we wel kunnen verwezenlijken, moeten we vaak aannames doen over de computationele vermogens van de aanvaller en diens quantumcomputer. Zulke computationele aannames zijn nodig, omdat de varianten van de gewenste primitieven informatietheoretisch onmogelijk zijn. Desondanks zijn onze protocollen informatietheoretische uitbreidingen van hun klassieke varianten: de enige computationele aannames zijn ook al nodig om de klassieke primitieven te kunnen realiseren. Het voordeel van deze aanpak is dat alle vorderingen in klassieke en post-quantumcryptografie ook direct van invloed zijn op onze protocollen. Bij alle cryptografische primitieven die in deze dissertatie worden bestudeerd, speelt verificatie een cruciale rol. Of een client nu de uitkomst wil controleren van een berekening die hij heeft uitbesteed aan een onbetrouwbare server, of dat een speler in een meerpartijenprotocol de eerlijkheid van de andere spelers wil monitoren: de eerlijke partij heeft altijd een mechanisme nodig om zich ervan te verzekeren dat de oneerlijke partijen niet af kunnen wijken van het protocol, zonder dat dit opvalt. In Hoofdstuk 3 bekijken we een belangrijke bouwsteen voor verifieerbare quantumberekeningen: de quantumberichtauthenticatiecode. Hoewel die normaal gesproken wordt gebruikt om ervoor te zorgen dat een bericht niet kan worden aangepast nadat het is verstuurd, kan een berichtauthenticatiecode ook worden toegepast om één bepaalde operatie af te dwingen op het bericht: dit staat bekend als (quantum)berekening op geauthenticeerde data, ook wel (Q)CAD. We bestuderen de relatie tussen een eigenschap die (strong) purity testing heet, en het vermogen van een code om de integriteit te waarborgen van de cijfertext, in plaats van alleen van de klare tekst. Verder karakteriseren we de gevallen waarin de encryptiesleutel kan worden hergebruikt. We geven een overzicht van bestaande quantumauthenticatiecodes en bouwen twee nieuwe variaties op de zogenoemde trap code, een authenticatiecode die specifiek geschikt is voor QCAD. Eén van deze nieuwe variaties is strong purity testing, en realiseert cijfertekstauthenticatie met sleutelhergebruik. De andere variatie verschaft slechts inverse-polynomiale veiligheid, maar het versleutelen kan worden gedaan met een quantumgeheugen van constante grootte. De constructies in dit hoofdstuk zijn informatietheoretisch. In Hoofdstuk 4 geven we een protocol voor meerpartijenquantumberekening, waarbij een aantal spelers een gezamenlijke quantumberekening doen, terwijl ze hun invoeren geheim willen houden van de andere spelers. Voorheen waren er slechts protocollen bekend als een strikte minderheid van de spelers oneerlijk was, of als er in totaal slechts twee spelers waren. Wij generaliseren het tweespelerprotocol tot een veilig protocol voor meerpartijenquantumberekeningen voor k spelers (voor elk aantal k), en we bewijzen dat het veilig is tot k-1 samenspannende aanvallers. Om efficiëntie te bereiken, ontwikkelen we een nieuw publiekelijk verificatieprotocol voor de Cliffordauthenticatiecode en een testprotocol voor magischetoestandinvoeren. Ons protocol steunt op klassieke meerpartijenberekening en de bijbehorende computationele aannames. In Hoofdstuk 5 bestuderen we homomorfische quantumencryptie, waarbij een minder sterke client een Cliffordcircuit kan uitbesteden aan een sterkere server. Er bestaat al een simpel protocol, gebaseerd op klassieke homomorfische encryptie; wij laten zien dat het circuits geheimhoudt. Bij theoretische toepassingen van klassieke (vol)homomorfische encryptie is het vaak noodzakelijk dat de client de berekening kan verifiëren tijdens het ontsleutelen. We definiëren een nieuw primitief, "verifieerbare homomorfische quantumencryptie:, gaan nauwkeurig na welk soort compactheid in deze context kan worden verwacht, en geven twee equivalente veiligheidsdefinities: een semantische en een spelgebaseerde. We bouwen een protocol voor verifieerbare homomorfische quantumencryptie dat het mogelijk maakt om, op noninteractieve wijze, Cliffordberekeningen te delegeren en verifiëren. De verificatie is bijna helemaal klassiek; voor berekeningen die met een klassieke toestand beginnen en eindigen, is deze zelfs volledig klassiek. In Hoofdstuk 6 breiden we de resultaten van Hoofdstuk 5 uit naar volhomomorfishe quantumencryptie, door een procedure te ontwerpen waarmee de niet-Cliffordpoort T geëvalueerd kan worden. Met behulp van technieken van onmiddelijke nonlocale quantumberekening, construeren we een "T-poortgadget", een quantumtoestand die de geheime sleutel niet onthult, maar tegelijkertijd wel de server in staat stelt om tijdens de berekening fouten te corrigeren die afhangen van die geheime sleutel. De grootte van dit gadget hangt af van de ruimtecomplexiteit van de ontsleutelfunctie van het onderliggende klassieke homomorfische-encryptieschema. Het resulterende protocol verschaft geheimhouding tegen aanvallen met gekozen klare teksten (CPA). We laten zien hoe dit protocol kan worden uitgebreid om ook verifieerbaarheid, in de zin van het vorige hoofdstuk, te verschaffen. Als een eerste applicatie van het verifieerbare protocol beschrijven we hoe eenmalige quantumprogramma's kunnen worden geconstrueerd van klassieke eenmalige programma’s en volhomomorfische quantumencryptie. In Hoofdstuk 7 laten we zien dat het, onder een variant van de learning-with-errorsaanname, onmogelijk is om klassieke circuits naar quantumtoestanden te obfusceren. Obfuscatie als virtuele zwarte doos is een sterk cryptografisch primitief: het versleutelt een circuit terwijl de volledige invoer-/uitvoerfunctionaliteit wordt behouden. Een opmerkelijk resultaat van Barak et al. zegt dat een algemene obfusceerder die klassieke circuits naar klassieke circuits obfusceert niet kan bestaan. Een veelbelovende denkrichting, die dit onmogelijkheidsresultaat omzeilt, was om klassieke circuits naar quantumtoestanden te obfusceren, omdat die mogelijk beter in staat zijn om informatie over het geobfusceerde circuit te verbergen. Wij laten zien dat deze quantumvariant op obfuscatie als virtuele zwarte doos in het algemeen onmogelijk is voor klassieke circuits. Al doende laten we zien dat, als er klassieke hulpinvoeren aanwezig zijn die afhangen van het circuit, quantumobfuscatie als virtuele zwarte doos zelfs niet mogelijk is voor de kleine klasse van klassieke puntfuncties.