量子计算 11 NSA的随机数阴谋

随机数生成是计算机领域，尤其是密码学领域，最重要的问题之一，因为如果随机数的生成可以预测的话，那你的加密就很容易会被破解！

在学习了前面课程之后，我们可能会想，我们用基 { ∣ 0 ⟩ , ∣ 1 ⟩ } \{|0\rangle, |1\rangle\} {∣0⟩,∣1⟩}策量纯态$|+⟩$就能轻易获得随机的结果；但是！密码学家的基本原则就是谁都不能相信！他们的目标是，就算是用你最大敌人的设备，依然能保持安全性！而这种事情并不是没发生过。

在斯诺登解密中我们知道了这样一个事件，美国国家标准与技术研究院(NIST, the National Institute of Standards and Technology)，提供的一个基于基于椭圆曲线的伪随机数生成标准，其实存在美国国安局(NSA, National Security Agency)所插入的后门，因此基于此标准的任何加密算法，都可能会被NSA预测并破解！

因此，如何采用可验证的随机数生成算法就变成了至关重要的热点，而我们在上回书 量子计算 10 中所介绍的CHSH，其实就可以在最少的假设条件下验证随机性。

1 Einstein-Certified Randomness (CHSH游戏验证)

同样假设张三李四分别关在俩箱子里面，假设(也是唯一需要的假设)：这俩箱子通过法拉第笼和光速都难以在足够时间内传播的距离上，即两个箱子间不会有通讯，然后分别提供challenge bit $x,y$，张三李四返回bit $a,b$；若通过了某种测试，就可以确定$a,b$具有一定随机性，这其实和CHSH游戏的设定一样。

为什么可以证明$a,b$是随机的呢？假设$a=(x,r),b=(y,r)$是确定的函数，则胜利概率不可能超过75%，因为这样的确定函数其实就是一种局部隐变量理论，而超过75%的胜利概率排除这种情况。

因此可以获得结论，如果$x,y$是随机，且张三李四间没有通讯的情况下，$a,b$一定存在某些随机性。

一般做法是生成一系列$a,b$然后通过随机性提取器(randomness extractor)生成我们需要的随机数。

一些相关研究，Pironio et al. 证明输入的$x,y$可以大部分是0，仅在一些时候是随机的，只要张三李四无法预测输入，为了通过CHSH就必须生成随机的数据；Vazirani and Vidick证明，我们输入$n$的随机entropy，可以输出$e^{\sqrt{n}}$的随机entropy；而到底需要多少随机性才能开始这个过程，Aaronson, Renan Gross给出了第一个显式的上界大概几万个随机bit，不过还需要进一步研究因为经验上应该十几个就行了。这种随机生成算法NIST也提供了，但是有木有后门呢？唔，物理上能证明的话应该是没有吧。

2 Leashing quantum systems (类CHSH验证)

如何验证量子计算机真的按照我们的预期进行工作了呢？不像是质数分解这种可以很好验证的问题，其它很多问题是不能很好验证的，而Reichardt, Unger, and Vazirani (2012)证明，通过一些列类CHSH的测试，我们可以验证量子计算机在做我们要求的一系列的酉变换操作；Urmila Mahadev (2018)证明，我们可以用一个经典的验证机器来验证或控制一个量子计算机来做我们希望的任何操作。

3 预告: 量子计算要来了!

我们在前11回书中学习了量子计算的基础，包括三个命题及其在量子领域的不同之处，量子比特的表达方式、量子比特的操作和测量，学习了量子比特的纠缠和密度矩阵，No-cloning theorem，No-communication theorem，量子通讯，量子力学的现实解读，还有本节的CHSH随机性确定和量子系统的验证。学了这么多之后，总算要正式讨论量子计算机了，敬请期待哦！