表一中的货币方案比较我们展示了不同协议的比较，包括斯蒂芬·维斯纳（Stephen Wiesner）[1]的原始协议和迪米特里·加文斯基（Dimitry Gavinsky）[6]的原始协议，并显示了为了维护安全，银行必须信任量子设备的哪些（参数）。B、 我们离练习有多近？实现presentedone和许多其他货币计划的一个根本障碍是，它依赖于可靠和长期存在的量子存储器的存在。很难预测何时（如果有的话）会有这样的内存可用，但是有朝着这个方向发展的工作。作为最近在开发量子存储器方面取得巨大实验进展的一个例子，我们可以援引Wang等人的论文[51]，提出了一种超过10分钟相干时间的单量子比特量子存储器。此外，Harper和Flammia【52】演示了在真正的量子计算机上首次实现纠错码。这可能表明，纠错码可以在不久的将来用于量子存储器。我们想在此强调，通用容错量子计算[53]和可靠量子中继器[54]（最新发现见[55]及其参考文献）的任务都不同于容错量子存储（QS）。量子计算机的内存不需要长期稳定，因为它只需要在量子算法的网关完成时才需要，而量子系统需要长期稳定。然而，QS的操作远没有普及[56]，而是减少到两个基准的测量（至少在考虑过的DSDI货币计划中）。在这方面，QS似乎具有更简单的功能。QS的易操作性与单量子中继器站的易操作性更具可比性（至少对于第一代量子中继器而言【57】）。

然而，第一代单中继器的节点需要实现来自不同来源的两个光子的纠缠交换操作，这是一项完全不同的任务。在QS状态已准备好且无需发送的情况下，即无需使用光子即可完成QS。与实现量子互联网的任务相比，这应该可以简化这项任务。（还要注意的是，第三代量子中继器的站在perProtocol经典方案Wiesner方案[1]Gavinsky方案[6]SDI[本工作]DI[本工作]中非常接近。）Source Yes Yes No NoAlice的度量值N/A Yes No No NoSystem dimension No No No Yes No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No No。Alice子系统的测量可以在银行分行或部分受信任的终端（例如，在商店）中进行。小型通用量子计算机的性能【57】）。然而，尽管没有任何物理定律可以限制量子比特态的相干时间，但由于量子退相干，实现可靠的QS似乎是一项极其艰巨的任务，这通常发生得非常快。这就是为什么理论中出现的第一个想法（货币计划所需的QS）可能成为实践中实现的最后一个想法（量子计算机和量子互联网之后）。这也可能是因为，与量子计算或量子安全通信相比，货币方案需要广泛实施才能发挥作用。还值得注意的是，最近，量子货币计划的首次实验实施已经完成[36–38]。这表明，使用不久的将来的技术，量子货币在现实生活中的实现是可能实现的。五、

讨论在本文中，我们提出了一种测试原始Wiesner纸币的替代方法——一种半设备独立的量子货币方案。据我们所知，这是首次尝试提供私人资金计划的不可伪造性，其不完全依赖于同时信任造币厂（钞票来源）和验证终端的内部工作。此外，我们还提供了完全设备独立的量子货币的不可能结果。这表明，我们的半设备独立方法是最强大的资金计划的一个很好的候选方案。为了澄清，我们这里所说的最强是指我们最大限度地将所有量子设备的内部工作简化为货币生产和验证的所有阶段。我们已经证明，假钞返回银行进行验证时，假钞不能被伪造者破坏，假钞以一个量子位一个量子位的方式复制钞票，前提是钞票是以一个量子位一个量子位的方式创建的（每个量子位都是独立创建的）。假设伪造者在验证过程中以独立的方式对输出撒谎，则该方案在经典通信进行远距离验证的情况下仍然安全。因此，我们还明确地将货币计划与私钥的概念联系起来，私钥不是经典的，而是来自其他理论（广义概率理论），从而探索了[6，23]中提出的方向。在我们的例子中，所提出的方案似乎继承了底层的安全性，即原始的半设备独立量子密钥分发协议。鉴于SDI QKD againsta前向信令对手的完整安全性证明，正如DIQKD[58]的情况一样（最新突破见[59]），因此我们经过适当修改的方案可能是完全不可伪造的。

有效修改涉及验证程序中的通信。造假者需要在获得输入（xiA，xiF）后，但在学习下一个输入（xi+1A，xi+1F）之前给出答案（aiA，aiF）。在这种情况下，每个可能的历史相关谎言都可以被安全地视为设备攻击的一部分，因此不会影响模型。其余部分将遵循与上述类似的论点，并适当使用鞅的集中度。因此，验证SDI协议是否完全安全非常重要。一个中间步骤是将提出的SDI货币方案的安全性证明扩展到其在[60]中给出的变体，证明其对集体攻击是安全的。有人可能会认为，我们可以直接使用设备相关密钥的方案来对抗量子对手[58]，从而避免在验证过程中以独立方式改变终端输出的不自然假设。对于一家银行的分行来说，用更弱的假设来扩展本文提出的想法是很简单的。然而，它需要进行适当的修改，从而形成新的方案，以便扩展到多家银行分行的情况。因此，这种方法导致了一个与原始计划及其后续计划（如SDI moneyscheme）根本不同的计划。我们将SDI资金计划与SDI QKD协议进行了比较，表明它们在三个方面有所不同。首先，货币计划需要可靠的量子内存，而SDI QKD则不需要。大多数量子货币方案都支持这个问题，也就是说，它不是我们方案的一个特殊属性（不过，请参见a.Kent最近的提案[21]）。

其次，原则上，money方案不需要实验的运行次数，因为产生密钥是不集中的，与SDI-QKD协议的目标相反。然而，所提出的基于量子位的SDI方案导致了具有重要量子存储器的钞票（如第F节中的weexemplify），因为量子位的数量n必须减少电导η的影响。幸运的是，我们的安全证明似乎直接适用于基于SDI QKD协议的SDI方案，该协议在银行端有两个以上的输入，并且（如果需要）系统的尺寸[49，50]。考虑这样的扩展对于更多的实际例子来说非常重要。第三，我们的货币计划需要适度的错误容忍度，粗略地说，仅略高于这一容忍度，这意味着相应SDI计划中可能实现的密钥率的一半。这在原则上是opensan领域，用于增强money方案对噪音的鲁棒性。鉴于纸币最初是以高质量制备的，它可以在不影响防伪安全的情况下大幅下降至SDIprotocol最大可能密钥率的一半左右。考虑到该方案存在一种更具实际实现前景的变体，我们应该考虑它的健壮版本，它可以在实验室中实现，包括所有方面的影响，这可能会为黑客的攻击打开它。SDI QKD的这一方面最近在【60–63】中进行了研究。另一个重要的发展方向是，检查提议的方案是否可以被视为原始Wiesner方案或其其他扩展（如Gavinsky协议）用户的选项。

resultingscheme将提供更高的保护，以抵御恶意的资金提供者，使两种方法中的最佳方法相匹配。在本方案中，钞票（即使是诚实的客户Alice）在使用过程中也不可避免地丢失。这似乎很自然（就像加文斯基（Gavinsky）[6]所做的那样）将我们的方案扩展到交易的情况，我们也将其推迟到未来的工作。最后，以一种推测的方式，我们提出了一个称为量子奥里斯-科珀斯尼库斯-格雷沙姆定律的假设：这是一个古典经济定律的类似物，也被称为格雷沙姆定律。这条法律规定，坏钱（内在价值较低）会赶走好钱（内在价值较高），因为后者通常不会花钱。我们在SDI货币计划不同实现的基础上举例说明了这项法律，对应于导致接受货币的阈值的不同值。这些推测需要进一步的、更正式的探索，以更多类型的货币为基础，并根据[64]的范式对资源的情况进行扩展（直截了当）。致谢这项工作得到了国家科学中心索纳塔Bis 5号（2015/18/E/ST2/00327）的支持。作者要感谢Anubhav Chaturvedi、RyszardP。Kostecki和Marek Winczewski提供了有用的评论。M、 感谢或Sattath在2018年8月2731日于中国上海举行的第八届量子密码国际会议（QCrypt 2018）上就相关结果进行了富有启发性的讨论。附录A：初步定义我们将首先定义两个关键常数M和PQ，它们来自【7】，M：=5+√, PQ：=cosπ. （A1）很容易看出PQ>M/2。现在让我们定义本文其余部分中使用的符号。

通过y，我们表示银行用于创建货币的输入，x代表验证Alice和Frederick的分行向他们提出的问题，~x代表Alice和Frederick输入到设备中的实际价值，我们使用a表示Alice和Frederick的输出。此外，上索引中的i表示作用于第i量子子系统的协议的第i次运行。以逐量子位方式执行的一般攻击（参见假设ASM5和ASM6）可以通过验证协议中使用的数据的概率度量来描述。部分数据由银行生成（输入至验证程序），而输出aa和af由Alice和Frederick根据其选择的条件分布生成。输入和输出的总联合分布readsnOi=1P（yi0，BA，yi0，BF，yi1，BA，yi1，BF，xiA，xiF，～xiA，～xiF）P友邦保险，aiF | yi0，BA，yi0，BF，yi1，BA，yi1，BF，xiA，xiF，~ xiA，~ xiF. （A2）在下文中，我们将根据某些假设对其进行简化。从货币生成协议（money generatingprotocol）的定义中我们知道，如果弗雷德里克想验证与爱丽丝相同的钞票，那么所有分支的y都是相同的，因此我们可以省略每个分支的变量，只写yi和yi。此外，如果银行分行向设备本身输入适当的位，那么我们可以确定xiA=~xiA和xiF=~xiF，获得noi=1P易，易，夏，xiFP友邦保险，aiF |易，易，夏，xiF. （A3）观察3。假设Alice和Frederick在每次运行中都以独立的方式设置设备输入，那么我们的方案仍然是安全的。

任何Alice或Frederick基于输入xiA，xiFdi的独立运行的欺骗策略，与银行提供的xiA，xif不同，都可以纳入不受信任设备的内部工作，我们也可以省略它。由于我们假设Bank生成的y和x是完全随机的，因此根据假设ASM1，我们可以将上述公式改写为u~nOi=1U易，易，夏，xiFP友邦保险，aiF |易，易，夏，xiF, （A4）式中，U在这里和后面定义的所有度量中代表适当变量的均匀分布。现在我们可以定义描述成功伪造的集合，这意味着Alice和Frederick都可以使用同一张钞票。F： =n（yi，yi，xiA，aiA，xiF，aiF）ni=1∈ {0，1}6n：镍∈ [n] ：aiA=yixiAo> θn，镍∈ [n] ：aiF=yixiFo> θno，（A5）S：=（yi，yi，xiA，aiA，xiF，aiF）ni=1∈ {0，1}6n。（A6）我们还定义了序列SSI：=（yi，yi，xiA，aiA，xiF，aiF）。（A7）现在我们可以进行以下观察，这是[7]安全证明的一个简单结果。重要的是要注意，这里我们需要假设ASM1、ASM2、ASM3和ASM4，因为为了清楚起见，在[7]中也有必要这样做，我们通过分别用A和F替换B和E来更改符号。观察4。PAF（a）+PAF（a）≤ M、 （A8）证明。从[7]的公式（12）和公式后面的注释中，我们知道PAF（a）+PAF（a）+PAF（a⊕ （a）≤1 +√. （A9）使用[7]中的等式（13），PAF（a）+PAF（a）- 1.≤ PAF（a⊕ a） ，（A10）我们得到PAF（a）+PAF（a）≤1 +√+ 1.=5 +√. （A11）右侧等于M，这就完成了证明。附录B：主要引理我们将大量使用独立分布的n个随机变量的分布的浓度特性，由于Hoe ffing，形式为P（|(R)X- E’X |≥ η) ≤ 2e类-2nη。

（B1）式中，X=（1/n）PiXi。对于长度为n的位字符串x，我们将用| x |表示符号0在x中的出现次数（类似地| x |将表示x中1s的数量）。因此，P|x | n-≥ η≤ 2e类-2ηn，（B2）其中η≥ 由于上述浓度，概率质量函数集中在所谓的η-典型序列上，定义为满足| | x |/n的x值- 1/2| ≤ η. 换句话说，对于setTn，η：=x：|x | n-≤ η, （B3）有，P~U（x）（x∈ Tn，η）≥ 1.- 2e类-2ηn（B4），其中概率取自序列x的均匀分布U（x）：=（xi）ni=1over{0，1}n。特别是，对于从{0，1}n，P（xA）独立随机抽取的两个序列xA和xf⊕ xF车型∈ Tn，η）≥ 1.- 2e类-2ηn，（B5），其中⊕ 我们的意思是对xa和xF的位进行逐位异或操作。事实上，对于xF的任何固定分布⊕ 如果xF是统一的，则XA是统一的。然后我们可以使用典型性参数和p（xA）上的平均值。以小误差为代价，我们只能处理具有η-典型输入xa和xF的S。此类S将被称为η-典型：S≡ （yi，yi，xiA，aiA，xiF，aiF）ni=1被称为η-典型i ffxa⊕ xF车型≡ （夏⊕ xiF）ni=1∈ Tn，η。（B6）η-典型S的集合将表示为T（η）。在下面的内容中，我们将说明两次接受纸币的概率，即P（F），等于在不同场景（异或场景）中两次接受纸币的概率。在后者中，Alice得到xA，而Frederickis得到xA⊕ xF。尽管现实生活中并非如此，但这种情景转换（以及相应的概率度量）将简化我们的考虑。XOR场景通过事件S上的以下映射从原始场景获得：S=（yi，yi，xiA，aiA，xiF，aiF）ni=17→πS：=（yi，yi，xiA，aiA，xiF⊕ xiA，aiF）ni=1。

（B7）我们将转换的事件称为具有xi的事件⊕关于XIFI在S中的位置：S：=（yi，yi，xiA，aiA，xi⊕, aiF）ni=1。（B8）我们以类似于集合F的定义的方式定义所有锻造的集合：F：=n（yi，yi，xiA，aiA，xi⊕, aiF）ni=1∈ {0，1}6n：镍∈ [n] ：aiA=yixiAo> θn，镍∈ [n] ：aiF=yixi⊕⊕肖> θ编号（B9）事件集上定义的新概率度量u定义为u~nOi=1U易，易，夏，xi⊕⊕ 夏P友邦保险，aiF |易，易，夏，xi⊕⊕ 夏. （B10）观察5。映射π：1。是双射和对合的，2。满意度∈ F<=> S∈ F、 3。满意度u（S）=u（S）。证据双射性直接源于（xA，xF）被双射映射到（xA，xA⊕ xF）。firstinput被保留，而第二个可以通过XORing输入进行唯一重构。也很容易看出π是对合，因为（xA，xA⊕ xF）映射回（xA，xF）。现在我们显示属性2。让我们∈ F、 只有当且仅当镍∈ [n] ：aiA=yixiAo> θn和镍∈ [n] ：aiF=yixiFo> θn.（B11）事件序列（yi，yi，xiA，aiA，xi⊕, aiF）ni=1。根据F的定义，我们得到了∈ Fif且仅当镍∈ [n] ：aiA=yixiAo> θn和镍∈ [n] ：aiF=yixi⊕⊕肖> θn.（B12）由于左条件相同，我们只需证明右条件相等。通过定义映射π-1，我们获得镍∈ [n] ：aiF=yixi⊕⊕肖=镍∈ [n] ：aiF=yi（xiA⊕xiF）⊕肖=镍∈ [n] ：aiF=yixiFo, （B13）什么证明了适当的等式，并暗示S∈ F<=> S∈ F、 最后，我们认为属性3也成立。让我们定义任意S。

因此，xi⊕= 夏⊕ xiFin定义S，u（S）=nOi=1U易，易，夏，xi⊕⊕ 夏P友邦保险，aiF |易，易，夏，xi⊕⊕ 夏π-1=nOi=1U易，易，夏，（xiF⊕ 夏）⊕ 夏P友邦保险，aiF |易，易，夏，（xiF⊕ 夏）⊕ 夏=nOi=1U易，易，夏，xiFP友邦保险，aiF |易，易，夏，xiF= u（S），（B14），其中π-1上述表示等式源自映射π的逆的性质，由于对合性质等于π。像以前一样，Alice获得位xiA，但Frederick获得位xiA和xiF的异或。尽管如此，“原始”盒子由于“接线”而接收XIA和xiF。我们有一个重要的推论，我们现在可以把重点放在异或场景上，因为后者的伪造概率等于前者的伪造概率。推论1。P~u（F）=P~u（F）。（B15）可以关注典型序列S，即x⊕∈ T（η），但由于度量u，在估计伪造概率时，以指数小的不准确度为代价。引理1。P（F）≤ P（F∩ T（η））+（η） ，（B16）带（η） =2 exp(-2ηn）。证据有点滥用符号，我们将指（y，y，xA，aA，x⊕, aF）元组的正确顺序序列（yi，yi，xiA，aiA，xi⊕, aiF）ni=1，其中y=（yi）ni=1，通过类比，其他符号也是如此。我们将首先显示一系列（in）等式：P（F）=XS∈FP公司~u（S）=XS∈F∩T（η）P~u（S）+XS∈F\\T（η）P~u（S）=XxA，x⊕,y、 y型S： S∈F∩T（η）u（xA）u（x⊕)u（y）u（y）P（aA，aF | y，y，xA，x⊕⊕ xA）+XxA，x⊕,y、 y型S： S∈F\\T（η）u（xA）u（x⊕)u（y）u（y）P（aA，aF | y，y，xA，x⊕⊕ xA）≤XxA，x⊕,y、 y型S： S∈F∩T（η）u（xA）u（x⊕)u（y）u（y）P（aA，aF | y，y，xA，x⊕⊕ xA）+XxA，x⊕,y、 y：（x）⊕)∈T（η）u（xA）u（x⊕)u（y）u（y）≤P（F∩ T（η））+(η).（B17）我们使用了x的分布⊕无论特定攻击是什么，都是相同的（一致的）。

这是因为在攻击之前，XA和XF相对于度量u的分布是均匀的，与攻击无关，而x⊕具有xA分布⊕XF根据度量单位u的定义。在上一个不等式中，我们使用了等式（B5）中的典型性论证。由于变量x的随机性⊕,P（F∩ T（η））=Xx⊕∈T（η）P（x⊕)P（F | x⊕). （B18）度量u的优点是，我们可以根据xi的值轻松划分每次运行i的集合⊕.虽然听起来很技术，但这将简化论点。在xi⊕= 0时，对于Alice和Frederick来说，最佳策略实现quantumvalue PQ。但是，对于x⊕= 1他们的处境是爱丽丝猜到了与弗雷德里克在这段时间猜到的相反的一位。因此，正如Paw lowski和Brunner的原始论文所示，它们是有限的。从现在起，我们将⊕:= （xi）⊕)ni=1，并证明其所有典型值的猜测的共同界限。然后，我们可以根据x定义新的条件度量u⊕单位：u：=u|￠x⊕= δ（￠x⊕, x个⊕)nOi=1u（xiA）u（yi）u（yi）Pi（aiF，aiA | xiA，xi⊕⊕ 夏，易，易）。（B19）我们现在将显示，平均而言，伪造的Alice和Frederick有正确猜测的Y，ybit字符串的总位数，从上面以某个值为界。让我们首先定义一组指数d（x⊕):= {i∈ [n] ：xi⊕= 0}，（B20）及其补码\'D（x⊕). 需要注意的是，对于集合D（x）中的运行⊕), Alice和Frederick将被问到同一家银行的比特，如果是\'D（x⊕) 他们将不得不猜测银行的两个不同部分。然后，我们可以考虑定义的四种类型或随机变量Ohmi、 每个取决于x的值⊕.

值得注意的是，这些变量分别描述了Alicean和Frederick在第i次运行中猜测适当位的概率，并且与F.Xx的定义有着密切的联系⊕i、 A：=（δ友邦保险，亿夏: 我∈ D（x⊕)0：我∈\'\'D（x⊕), Xx号⊕i、 F：=（δaiF，伊霞: 我∈ D（x⊕)0：我∈\'\'D（x⊕), （B21）Yx⊕i、 A：=（δ友邦保险，亿夏: 我∈\'\'D（x⊕)0：我∈ D（x⊕), Yx公司⊕i、 F：=（δaiF，伊霞⊕1.: 我∈\'\'D（x⊕)0：我∈ D（x⊕), （B22）样本空间定义为Ohm九⊕:= {S0i：xi⊕（S0i）=xi⊕}, （B23）xi⊕（S0i）表示使用标签xi获取变量⊕从序列S0i开始。我们还将定义sumsXx⊕i： =Xx⊕i、 A+Xx⊕i、 F，Yx⊕i： =Yx⊕i、 A+Yx⊕i、 F，（B24）和由xind Yi构建的随机变量，即它们的和：(R)XAx⊕:=xi∈[n] Xx号⊕i、 A，(R)XFx⊕:=xi∈[n] Xx号⊕i、 年月日⊕:=xi∈[n] Xx号⊕i、 （B25）(R)YAx⊕:=xi∈[n] Yx公司⊕i、 A，’YFx⊕:=xi∈[n] Yx公司⊕i、 F，’Yx⊕:=xi∈[n] Yx公司⊕i、 （B26）根据等式（B19），我们知道度量u是度量ui的乘积：=u（xiA）u（yi）u（yi）Pi（aiF，aiA | xiA，xi⊕⊕ xiA，yi，yi）（B27）什么意味着“XAx”⊕,(R)XFx⊕,\'\'Xx⊕,\'\'YAx⊕,(R)YFx⊕,(R)Yx⊕由泊松分布描述。测量值ureadE'Xx上的相应平均值⊕=xi∈[n] X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}π（aiA，aiF |^xiA，^xiA⊕ xi⊕, ^yi，^yi）Xx⊕i（S0i），（B28）E'Yx⊕=xi∈[n] X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（友邦保险，aiF|^xiA，^xiA）⊕ xi⊕, ^yi，^yi）Yx⊕i（S0i）。

（B29）尽管上述平均值是在整个范围内确定的，但它们仅取决于各自的子集：E'Xx⊕=xi∈D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（aiA，aiF |^xiA，^xiA，^yi，^yi）hδ友邦保险，^伊霞+ δaiF，^伊霞i、 （B30）E'Yx⊕=xi∈\'\'D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（友邦保险，aiF|^xiA，^xiA）⊕ 1，^yi，^yi）×hδ友邦保险，^伊霞+ δaiF，^yi1⊕夏i、 （B31）我们现在将证明，如果攻击是在假设对手是量子的情况下进行的，并且他们以一个量子比特一个量子比特的方式进行攻击，则上述平均值是有界的（参见假设ASM3–ASM6）。引理2。E'Xx⊕+ E'Yx⊕≤ 2PQ | D（x⊕)| + M\'\'D（x⊕). （B32）证明。我们将分别证明LHS的第一项受RHS的第一项约束，然后证明第二项分别相互约束。在单次实验中，对于一个人（比如Alice）来说，最好的量子策略是PQ上界，而另一方被要求猜测与Alice被问到的相同的位，因此可以复制她的答案。我们有Xx个⊕=xi∈D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（aiA，aiF |^xiA，^xiA，^yi，^yi）hδ友邦保险，^伊霞+ δaiF，^伊霞i=Xi∈D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（aiA，aiF |^xiA，^xiA，^yi，^yi）δ友邦保险，^伊霞+xi∈D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（aiA，aiF |^xiA，^xiA，^yi，^yi）δaiF，^伊霞=xi∈D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA）∈{0,1}Pi（aiA |^xiA，^xiA，^yi，^yi）δ友邦保险，^伊霞+xi∈D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiF）∈{0,1}Pi（aiF |^xiA，^xiA，^yi，^yi）δaiF，^伊霞=xi∈D（x⊕)EXAi，x⊕+ EXFi，x⊕.（B33）现在，对于每个i∈ D、 有：EXAi，x⊕=（PA（y | xA=0）+PA（y | xA=1））≤ PQ，（B34），此处我们使用了[7]的公式（7）（注意符号的变化：我们的x、yi、aa分别对应于y、ai、b）。类似地，对于i∈ D、 EXFi，x⊕=（PF（y | xF=0）+PF（y | xF=1））≤ PQ。

（B35）对i上的上述不等式求和∈ D我们获得E'Xx⊕≤ 2PQ | D（x⊕)|.更详细的是关于（B32）的第二项。我们以类似的方式开始：E'Yx⊕=xi∈\'\'D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（友邦保险，aiF|^xiA，^xiA）⊕ 1，^yi，^yi）×hδ友邦保险，^伊霞+ δaiF，^yi1⊕夏i=Xi∈\'\'D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（友邦保险，aiF|^xiA，^xiA）⊕ 1，^yi，^yi）·δ友邦保险，^伊霞+xi∈\'\'D（x⊕)X（夏，易，易）=（夏，易，易）∈{0,1}X（aiA，aiF）∈{0,1}Pi（友邦保险，aiF|^xiA，^xiA）⊕ 1，^yi，^yi）·δaiF，^yi1⊕夏=xi∈\'\'D（x⊕)EYAi，x⊕+ EYFi，x⊕.（B36）对于每个i∈\'\'D（x⊕),EYAi，x⊕+ EYFi，x⊕=PA（yi | xiA=0）+PF（yi | xiA=0）+PA（yi | xiA=1）+PF（yi | xiA=1）≤PAF（易夏=0）+PAF（易夏=0）+PAF（易夏=1）+PAF（易夏=1）=（PAF（易夏=0）+PAF（易夏=1）+PAF（易夏=0）+PAF（易夏=1）=PAF（彝语）+PAF（彝语）≤ M、 （B37）在上一次之前的不平等中，我们使用了这样一个事实，即Alice和Frederic可以合作。这只会增加猜测的平均概率。在上一个不等式中，我们将[7]的结果重新表述为观察结果4。i总结∈\'\'D（x⊕), 我们获得XI∈\'\'D（x⊕)EYAi，x⊕+ EYFi，x⊕≤ M\'\'D（x⊕), （B38）正如所声称的。我们在上面已经表明，平均猜测位数有一个上限。我们现在将讨论上述过程中涉及的随机变量的浓度特性。这里我们假设x⊕是固定的，并导致定义良好的集合D（x⊕) 和D（x⊕). 为了简洁起见，我们有时会省略x⊕从D的符号中，我们还将确定战略S的子序列和具体实现，S：=（S0i）{i:xi⊕=0}，S：=（S0i）{i：xi⊕=1}.

（B39）根据上述技术引理的精神，我们将考虑四个随机变量，每个随机变量报告各自集合中各不诚实方的猜测输入数的理论平均值与观察到的猜测输入数之间的距离（D（x⊕) 或“D（x⊕)),c=（1：E'XAx⊕-(R)XAx⊕≤ η| D（x⊕)|0：否则，c=（1：E'YAx⊕-\'\'YAx⊕≤ η| D（x⊕)|0：否则，c=（1：E'XFx⊕-(R)XFx⊕≤ η| D（x⊕)|0：否则，c=（1：E'YFx⊕-(R)YFx⊕≤ η| D（x⊕)|0：其他。（B40）由于式（B1）中给出的总测量值u的浓度特性，即测量值ui的乘积（见式（B27）），基于此，X的联合分布。。。，X以上定义的随机变量，我们可以将0的有界概率如下所示：p（c=0）≤2e类-2η| D（x⊕)|=:（η） ，p（c=0）≤ 2e类-2η| D（x⊕)|=:（η） ，（B41）p（c=0）≤2e类-2η| D（x⊕)|=:（η） ，p（c=0）≤ 2e类-2η| D（x⊕)|=:（η） ，（B42），其中上述措施的概率超过了措施u。现在，由于有并界，我们得到：推论2。对于任何x⊕, 有isP~uE'XAx⊕-(R)XAx⊕≤ η| D（x⊕)| ∧E'YAx⊕-\'\'YAx⊕≤ η\'\'D（x⊕)∧E'XFx⊕-(R)XFx⊕≤ η| D（x⊕)| ∧E'YFx⊕-(R)YFx⊕≤ η\'\'D（x⊕)≥1.-xii（η）。（B43）以上相当技术性的结果在总猜测数的上限中总结如下。也就是说，对于固定的x⊕, 以及定义度量值u=ux的攻击⊕, 定义为S（x）函数的猜测总数的随机变量⊕) 从u中采样很有可能从上方有界，因为它接近有界的平均值之和。事实上，让我们定义猜测总数的随机变量'Zx⊕:=(R)XAx⊕+(R)XFx⊕+\'\'YAx⊕+(R)YFx⊕. （B44）我们还定义了另外两个有用的变量“ZAx⊕:=(R)XAx⊕+\'\'YAx⊕,(R)ZFx⊕:=(R)XFx⊕+(R)YFx⊕. （B45）引理3。对于任何固定x⊕∈ T（η），P~u（(R)Zx⊕> （B）≤Xi=1i（η），（B46），其中b：=2PQ+ ηn+M+ ηn+2ηn.（B47）证明。

从推论2中，省略模，我们得到一系列不等式1-Xi=1i（η）≤P~uE'XAx⊕-(R)XAx⊕≤ η| D（x⊕)| ∧E'YAx⊕-\'\'YAx⊕≤ η\'\'D（x⊕)∧E'XFx⊕-(R)XFx⊕≤ η| D（x⊕)| ∧E'YFx⊕-(R)YFx⊕≤ η\'\'D（x⊕)≤P~uE'XAx⊕≤(R)XAx⊕+ η| D（x⊕)| ∧ E'YAx⊕≤\'\'YAx⊕+ η\'\'D（x⊕)∧ E'XFx⊕≤(R)XFx⊕+ η| D（x⊕)| ∧E'YFx⊕≤(R)YFx⊕+ η\'\'D（x⊕)≤P~u(R)XAx⊕+\'\'YAx⊕+(R)XFx⊕+(R)YFx⊕≤ E'XAx⊕+ E'YAx⊕+ E'XFx⊕+ E'YFx⊕+ 2ηn≤P~u(R)XAx⊕+\'\'YAx⊕+(R)XFx⊕+(R)YFx⊕≤ 2PQ | D（x⊕)| + 米| D（x⊕)| + 2ηn=P~u\'\'Zx⊕≤ 2PQ | D（x⊕)| + 米| D（x⊕)| + 2ηn≤P~u（(R)Zx⊕≤ B） 。（B48）在第二个不等式中，我们使用了引理2。在下一篇文章中，我们使用了“Zx”的定义⊕, 然后我们使用了x的典型性⊕, 这意味着集D（x）的幂的上界⊕) 和D（x⊕). 这意味着P~u（(R)Zx⊕> （B）≤Xi=1i（η），（B49），正如我们所声称的。现在让我们回顾一下方程式（B9）F的定义：=n（yi，yi，xiA，aiA，xi⊕, aiF）ni=1∈ {0，1}6n：镍∈ [n] ：aiA=yixiAo> θn，镍∈ [n] ：aiF=yixi⊕⊕肖> θno.（B50）为了清晰起见，在下面的内容中，我们将使用符号Fθ明确显示对θ的依赖性。观察6。让接受阈值为θ>B/2。ThenP（Fθ∩ T（η））≤ （η） ：=最大值⊕∈T（η）（η，x⊕), （B51）其中（η，x⊕) =Pi=1i（η）。证据让我们来看看⊕. 然后是fθ| x⊕≡nS（x⊕) :\'\'ZAx⊕≥ θ ∧(R)ZFx⊕≥ θonS（x⊕) :\'\'ZAx⊕+(R)ZFx⊕≥ 2θo=S（x⊕) :\'\'Zx⊕≥ B.（B52）上述事实是暗示序列的结果，其中最后一个从2θ>B开始。我们现在调用EEQ。

（B18）并立即注意a界：Pu（Fθ∩ T（η））=Xx⊕∈T（η）P（x⊕)Pu（Fθ| x⊕)=Xx号⊕∈T（η）P（x⊕)XS（x⊕)∈FAF，θP（S（x⊕))=Xx号⊕∈T（η）P（x⊕)X{S（X⊕):\'\'ZAx⊕（S（x⊕))≥θ∧(R)ZFx⊕（S（x⊕))≥θ} P（S（x⊕))≤Xx号⊕∈T（η）P（x⊕)X{S（X⊕):\'\'Zx⊕（S（x⊕))≥B} P（S（x⊕))≤Xx号⊕∈T（η）P（x⊕)（η，x⊕)≤ maxx公司⊕∈T（η）Xi=1i（η，x⊕) =:(η).（B53）在上一个不等式之前，我们使用了引理3（η） =Pi=1maxx⊕∈T（η）i（η）。附录C：主要定理1的证明最后，在给出所有必要的定义和引理之后，我们准备用证明陈述定理1的完整版本。设βη=PQ+ η+M+ η+ η=cosπ+5 +√!+ η+ η=8 cosπ+ 5 +√+8个cosπ+ 5 +√3 + 8η=9 + 2√2 +√+17 + 2√2 +√η≈0.8475+2.6950η，（C1）对于一些小η，选择的方式是βη≤ PQ。定理1（半设备独立量子货币的安全性）。假设接受阈值θ大于βηn。然后，在假设A1-A7（见第三节E）下，其中k表示银行分支的数量，成功伪造的概率P（Fθ）在纸币的量子位数量上是指数小的，并且以P（Fθ）为界≤ 10ke-2η(-η） n.（C2）证明。利用推论1、引理1和观测值6，我们得到了P（F）P上的以下界~u（F）等式（B15）=P~u（F）等式（B16）≤ P~u（F∩ T（η））+（η） 等式（B51）≤ maxx公司⊕∈T（η）（η，x⊕) + (η)≤ 5.η=10e-2η(-η） n.（C3）由于有许多银行分行，合作的Alice和Frederick可以使用生日攻击来选择公共集D最大的两个分行。对于k个分行，我们应用联合约束获得另一个因子，从而最终证明。附录D：与设备无关的量子货币无法通过的证明在本节中，我们将提供观察结果1的更正式证明。证据我们将遵循设备独立场景中使用的标准验证技术。

由于所有quantumdevices都不受信任，银行分行验证资金的唯一方法是使用量子黑匣子输入和输出的经典统计数据。在不丧失一般性的情况下，我们可以假设四部分情形，其中两个银行分支B、B、Alice A和Frederick F共享一些非局部盒子。我们将设备的输入表示为I，输出表示为O，适当的下标表示参与方。一般情况可以通过formD=P（OB、OB、OA、of | IB、IB、IA、IF）的概率分布来建模。（D1）在验证阶段，Alice试图通过B分行的验证，而Frederick则尝试通过B分行的验证。由于银行的分行无法通信，因此只能访问部分输出。因此，唯一的方法是检查分支带的分布D=P（OB，OA | IB，IA，IB，IF）（D2）的相关性D=分支B的P（OB，OF | IB，IF，IB，IA）（D3）。我们假设Alice和Frederic可以在验证阶段自由交谈。为了安全起见，金钱计划必须禁止Alice和Frederick通过验证。此外，所有分支机构通过验证的条件必须相同。由于Alice必须有一个诚实的量化实现（见附录E）和分布H，那么Frederick也可以使用相同的分布D=H通过验证。为了获得这样的结果，控制源和测量设备的对手可以简单地将分布D作为H来准备连接的设备H、 这种状态和度量的准备将始终破坏任何独立于设备的货币计划，如果没有银行分行之间的通信，银行将无法以任何方式检测到。附录E：诚实实现在本附录中，我们将介绍基于半设备独立量子密钥分发的诚实实现【7】。

对于所有运行i，诚实源按以下方式准备所有状态ρiyi，yiρ：=| 0ih0 |，ρ：=|-ih公司-|, ρ： =|+ih+|，ρ：=| 1ih1 |（E1），其中|±i：=（| 0i±| 1i）/√2、让我们根据分支机构的问题XI，选择适当的测量值Mxi，M：=σz+σx√, M： =σz- σx√, （E2）其中σx和σzare Pauli矩阵σx：=“0 11 0#”，σz：=“1 00-1#. （E3）结果表明，如[7]所示，使用这些状态和测量，最佳猜测概率等于pq=cos（π/8）。备注5（与Wiesne\'sr货币计划相关）。在诚实地执行我们的方案时，我们使用了与原始Wiesner方案相同的资产。另一方面，测量设置必须有所不同，因为从[7]中我们知道，威斯纳不能用于半设备独立的方法。附录F：所需的量子位数该附录建立了量子位数与伪造概率上界之间的关系。从式（C1）中我们知道βη≤ pq我们可以计算η的最大允许值等于ηmax：=-1 + 2√2.-√34 + 4√2 + 2√≈ 0.0022. （F1）当我们将该值放入公式（C2）中时，对于单个银行没有任何额外分行的平凡情况，我们得到thatP（F）≤ 10e-2η最大值(-ηmax）n。

（F2）当量子比特数n小于463018时，很容易通过数值计算得出该界变得微不足道。此外，当我们要求伪造的概率小于某些安全参数，并且我们想假设更现实的场景时，所需的量子比特数会显著增加。虽然人们不能期望量子存储器中很快会有如此大量的量子比特，但让我们强调一下，定理1的证明中使用的边界并不严格，还有一些改进的空间。更重要的是，我们预计使用更复杂的随机存取码，即具有更多输入和输出的随机存取码，可以显著减少所需的量子位数量，正如第五节[1]S.Wiesner，《共轭编码》，SIGACT News 15，78（1983）所述。[2] J.L.Park，《量子力学中的跃迁概念》，《物理学基础》第1期，第23期（1970年）。[3] W.K.Wootters和W.H.˙Zurek，《无法克隆单个量子》，《自然》299802（1982）。[4] D.Dieks，《EPR设备的通信》，《物理快报》A 92271（1982）。[5] A.Molina、T.Vidick和J.Watrus，《wiesner量子货币的最佳伪造攻击和推广》，《量子计算、通信和密码学理论》，由K.Iwama、Y.Kawano和M.Murao（Springer Berlin Heidelberg，Berlin，Heidelberg，2013）编辑，第45-64页。[6] D.Gavinsky，《量子货币与经典验证》，2012年IEEE第27届计算复杂性会议（IEEE，2012），第42-52页。[7] M.Paw lowski和N.Brunner，《单向量子密钥分发的半设备独立安全》，PhysicalReview A 84，010302（2011）。[8] J.F.Clauser、M.A.Horne、A.Shimony和R.A.Holt提出了测试局部隐藏变量理论的实验，《物理评论快报》23880（1969）。[9] C.H.Bennett、G.Brassard、S.Breidbart和S。

Wiesner，《量子密码学或不可伪造的地铁令牌》，《密码学进展》，D.Chaum、R.L.Rivest和A.T.Sherman编辑（Springer US，Boston，MA，1983），第267-275页。[10] Y.Tokunaga、T.Okamoto和N.Imoto，《匿名量子现金》（Anonymousquantum cash）（2003），ERATO量子信息科学会议。[11] S.Aaronson，《量子拷贝保护和量子货币》，2009年第24届IEEE计算复杂性年会（IEEE，2009），第229–242页。[12] M.Mosca和D.Stebila，《量子货币》，载于《纠错码、有限几何和密码学》，当代数学，第523卷，由A.A.Bruen和D.L.Wehlau（美国数学学会，2010）编辑，第35-47页。[13] A.Lutomirski、S.Aaronson、E.Farhi、D.Gosset、J.A.Kelner、A.Hassidim和P.W.Shor，《打破和创造量子货币：迈向新的量子密码协议》，载于《计算机科学创新ICS 2010》，清华大学，中国北京，2010年1月5日至7日。会议记录（2010）第20-31页。[14] F.Pastawski、N.Y.Yao、L.Jiang、M.D.Lukin和J。一、 Cirac，《不可伪造的抗噪声量子令牌》，美国国家科学院学报10916079（2012）。[15] S.Aaronson和P.Christiano，《来自隐藏子空间的量子货币》，第四十四届ACM计算理论年度研讨会论文集，STOC\'12（ACM，纽约州纽约市，美国，2012年），第41-60页。[16] E.Farhi、D.Gosset、A.Hassidim、A.Lutomirski和P。Shor，《knots的量子货币》，在第三届理论计算机科学创新会议上发表，ITCS’12（ACM，纽约，纽约，美国，2012），第276-289页。[17] J.Jogenfors，《量子比特币：由量子力学的不可克隆定理保护的匿名分布式货币》（2016），arXiv:1604.01383。[18] M.Zhandry，《量子闪电从未两次击中samestate》（2017），arXiv:1711.02276。[19] K。

池田，《qbitcoin：点对点量子现金系统》（2017），arXiv:1708.04955。[20] X.Sun、Q.Wang、P.Kulicki和X.Zhao，《Quantumenhanced logic-based blockchain i：Quantum Honestsucces byzantine agreement and qulogicoin》（2018），arXiv:1805.06768。【21】A.Kent，《S-money：相对论经济的虚拟代币》（2018），arXiv:1806.05884。[22]D.M.凯恩，《模块化形式的量子货币》（2018），arXiv:1809.05925。【23】J.H.Selby和J.Sikora，《如何在广义概率理论中实现不可伪造性》，Quantum 2103（2018）。【24】A.C.Sparavigna，《关于格雷沙姆货币流通定律的一些注释》，国际科学杂志3,80（2014）。【25】拉奈的阿里斯托芬（Aristophanes，Ranae）（公元前405年）。【26】N.Oresme，Tractatus de origine，natura，jure et de mutationibus monetarum（1373）。【27】M.Kopernik，Monetae cudendae比率（1526）。【28】L.Wolowski，银行问题。。。（Guillaumin etcie，1864年）。【29】T.W.Balch，《俄勒斯密定律》、哥白尼和格雷欣；1908年4月23日，在美国哲学学会面前宣读的一篇论文（安第斯出版社，2017年）。【30】S.Aaronson，《量子态的复杂性与转换：从量子货币到黑洞》，计算复杂性电子讨论会（ECCC）23109（2016）。【31】S.Aaronson，《量子态阴影层析成像》，第50届ACM SIGACT年度计算理论研讨会论文集，2018年STOC（ACM，纽约，美国，2018年），第325-338页。【32】A.Lutomirski，《对Wiesner量子货币的在线攻击》（2010），arXiv:1010.0256。【33】D.Nagaj、O.Sattath、A.Brodutch和D.Unruh，《对Wiesner量子货币的适应性攻击》，《量子信息与计算》第161048页（2016）。【34】M.Georgiou和I.Kerenidis，《量子货币的新构造》，第十届量子计算、通信和密码学理论会议（TQC 2015），莱布尼茨国际信息学报（LIPIcs），第卷。

44，S.Beigi andR编辑。Koenig（Schloss Dagstuhl–Leibniz Zentrum fuer Informatik，Dagstuhl，Germany，2015）第92-110页。[35]R.Amiri和J.M.Arrazola，《近乎最佳容错的量子货币》，物理评论A 95062334（2017）。【36】K.Bartkiewicz、A.ˇCernoch、G.Chimczak、K.Lemr、A.Miranowicz和F.Nori，《量子光学货币的实验量子伪造》，npj quantum Information 3，7（2017）。【37】M.Bozzio、A.Orieux、L.T.Vidarte、I.Zaquine、I.Kerenidis和E.Diamanti，《实用不可伪造量子货币的实验研究》，npj quantum Information 4，5（2018）。【38】J.-Y.Guan、J.M.Arrazola、R.Amiri、W.Zhang、H.Li、L.You、Z.Wang、Q.Zhang和J.-W.Pan，《量子货币的实验制备和验证》，《物理评论》A 97032338（2018）。【39】K.Jirkov、K.Bartkiewicz、A.ernoch和K.Lemr，《实验性攻击基于量子检索游戏的量子货币方案》（2018），arXiv:1811.10718。【40】M.Bozzio、E.Diamanti和F.Grosshans，《具有相干态的半器件独立量子货币》（2018），arXiv:1812.09256。[41]我们更倾向于称之为“部分设备独立”，因为“半设备独立”的名称在量子信息领域已经有了很好的地位，当提到类似于Paw lowski和Brunner的方案时[7]。【42】E.Farhi、D.Gosset、A.Hassidim、A.Lutomirski、D.Nagaj和P.Shor，《哈密顿基态的量子态恢复和单拷贝层析成像》，物理评论快报105，190503（2010）。【43】A.Lutomirski，《组件混合器和伪造量子货币的硬度结果》（2011），arXiv:1107.0321。【44】S.Aaronson、E.Farhi、D.Gosset、A.Hassidim、J.Kelner和A.Lutomirski，《量子货币》，ACM通信55，84（2012）。[45]M.C.Pena、J.-C.Faug\'ere和L。

Perret，《量子货币方案的代数密码分析——无噪音案例》，公开密钥密码术–PKC 2015，byJ编辑。Katz（施普林格-柏林-海德堡，柏林，海德堡，2015）第194-213页。【46】A.Coladangelo，《智能合约与量子密码学》（2019），arXiv:1902.05214。【47】C.H.Bennett和S.J.Wiesner，《爱因斯坦波多尔斯基·罗森状态下通过一个和两个粒子算符的通信》，物理评论快报692881（1992）。[48]D.M.Greenberger、M.A.Horne和A.Zeilinger，《超越贝尔定理》，载于《贝尔定理、量子理论和宇宙概念》（荷兰斯普林格出版社，1989年）第69-72页。【49】A.Nayak，《量子自动机和随机存取码的最优下界》，第40届计算机科学基础年度研讨会论文集，FOCS’99（IEEE计算机学会，华盛顿特区，美国，1999年），第369页。【50】S.Wehner、M.Christandl和A.C.Doherty，Lowerbound关于给定测量数据的量子系统维度，Physical Review A 78062112（2008）。[51]Y.Wang，M.Um，J.Zhang，S.An，M.Lyu，J.-N.Zhang，L.Duan，D.Yum和K.Kim，《超过10分钟相干时间的单量子比特量子存储器》，NaturePhotonics 11，646（2017）。【52】R.Harper和S.Flammia，《ibm qexperience中的容错》（2018），arXiv:1806.02359。【53】J.Preskill，《NISQ时代及以后的量子计算》，量子2，79（2018）。【54】H.-J.Briegel、W.D¨、J.I.Cirac和P.Zoller，《量子中继器：量子通信中不完美局域操作的作用》，《物理评论快报》815932（1998）。【55】M.Lucamarini、Z.L.Yuan、J.F.Dynes和A.J.Shields，《克服无量子中继器量子密钥分布的速率-距离限制》，自然557400（2018）。【56】R.Raussendorf和H.J.Briegel，《单向量子计算机》，《物理评论快报》865188（2001）。【57】S.Muralidharan，L.Li，J.Kim，N.L–utkenhaus，M。

D、 Lukin和L.Jiang，《远距离量子通信的最佳架构》，科学报告620463（2016）。【58】S.Pironio、A.Ac'n、n.Brunner、n.Gisin、S.Massar和V.Scarani，《防止集体攻击的设备独立量子密钥分发》，新物理杂志11，045021（2009）。【59】R.Arnon Friedman、F.Dupuis、O.Fawzi、R.Renner和T。Vidick，《通过熵累积实现的实用设备独立量子密码术》，自然通信9，459（2018）。[60]王勇、鲍文硕、李海伟、周春华和李勇，实用的半设备独立量子密钥分发协议的集体攻击安全性，ChinesePhysics B 2308030（2014）。【61】P.Xu，W.-S.Bao，H.-W.Li，Y.Wang，和H.-Z.Bao，《半设备独立quantumkey分发协议的安全性证明》，中国物理通讯3402032（2017）。【62】周春春，徐平，鲍文胜，王勇，张勇，蒋明山，李海伟，半设备独立量子密钥分配的有限密钥界，光学快报2516971（2017）。【63】A.Chaturvedi、M.Ray、R.Veynar和M.Paw lowski，《半设备独立QKD协议的安全性》，量子信息处理17，131（2018）。[64]C.Sparacari、L.Delrio、C.M.Scandolo、P.Faist和J。Oppenheim，《一般量子资源理论第一定律》（2018），arXiv:1806.04937。