米国特許情報 | 欧州特許情報 | 国際公開(PCT)情報 | Google の米国特許検索
 
     特許分類
A 農業
B 衣類
C 家具
D 医学
E スポ−ツ;娯楽
F 加工処理操作
G 机上付属具
H 装飾
I 車両
J 包装;運搬
L 化学;冶金
M 繊維;紙;印刷
N 固定構造物
O 機械工学
P 武器
Q 照明
R 測定; 光学
S 写真;映画
T 計算機;電気通信
U 核技術
V 電気素子
W 発電
X 楽器;音響


  ホーム -> 計算機;電気通信 -> 日本電気株式会社

発明の名称 量子暗号鍵配送方法および通信システム
発行国 日本国特許庁(JP)
公報種別 公開特許公報(A)
公開番号 特開2001−7798(P2001−7798A)
公開日 平成13年1月12日(2001.1.12)
出願番号 特願平11−304332
出願日 平成11年10月26日(1999.10.26)
代理人 【識別番号】100088328
【弁理士】
【氏名又は名称】金田 暢之 (外2名)
【テーマコード(参考)】
5J104
5K002
【Fターム(参考)】
5J104 AA05 EA31 JA03 NA02 NA21 
5K002 AA02 CA14
発明者 ドミニク メイヤース / 河野 芳江 / 南部 芳弘 / 富田 章久
要約 目的


構成
特許請求の範囲
【請求項1】 送信側は暗号鍵の元となる鍵情報を送信し、受信側は鍵情報を受信する通信システムで行われる量子暗号鍵配送方法であって、鍵情報を載せるキャリアとして、量子相関を有する3個の量子を用いることを特徴とする量子暗号鍵配送方法。
【請求項2】 請求項1に記載の量子暗号鍵配送方法において、鍵情報を載せるキャリアとして、ある2次元正規直交基底B={|0>,|1>}において、【数1】

と表わされるGHZ状態である、量子相関を有する3個の量子を使用することを特徴とする量子暗号鍵配送方法。
【請求項3】 請求項1または請求項2に記載の量子暗号鍵配送方法において、送信側は、ある2次元正規直交基底B={|0>,|1>}においてGHZ状態で表わされる量子相関を有する3量子を鍵情報キャリアとして生成し、3量子のうち、2個の状態は送信側が測定し、残りの1個は受信側に送信して受信側がその状態を測定することとし、各量子の状態の測定には、次の2種類の基底のうちいずれかを使用する、基底Bと次の関係がある2次元正規直交基底Ba={|0>a,|1>a}:【数2】

基底Bと次の関係がある2次元正規直交基底Bb={|0>b,|1>b}:【数3】

という手順を複数回行った後、公開チャンネルにおける送信側・受信側間の情報交換で、測定結果のパリティを照合することを特徴とする量子暗号鍵配送方法。
【請求項4】 請求項1、2、3のいずれかに記載の量子暗号鍵配送方法において、鍵情報を載せるキャリアとして、光子を用いることを特徴とする量子暗号鍵配送方法。
【請求項5】 請求項1、2、3、4のいずれかに記載の量子暗号鍵配送方法において、鍵情報を載せる信号空間として、光子の偏光状態が張る2次元ヒルベルト空間を用い、請求項3に記載の2次元正規直交基底B、Ba、Bbとして、各々、右回り/左回り円偏光状態の組、水平/垂直直線偏光状態の組、水平軸と45°/−45°をなす直線偏光状態の組を用いることを特徴とする量子暗号鍵配送方法。
【請求項6】 請求項1、2、3のいずれかに記載の量子暗号鍵配送方法において、鍵情報を載せるキャリアとして電子を用いることを特徴とする量子暗号鍵配送方法。
【請求項7】 請求項1、2、3、6のいずれかに記載の量子暗号鍵配送方法において、鍵情報を載せる信号空間として、電子のスピン状態が張る2次元ヒルベルト空間を用いることを特徴とする量子暗号鍵配送方法。
【請求項8】 請求項1、2、3のいずれかに記載の量子暗号鍵配送方法において、鍵情報を載せるキャリアとして、原子を用いることを特徴とする量子暗号鍵配送方法。
【請求項9】 請求項1、2、3、8のいずれかに記載の量子暗号鍵配送方法において、鍵情報を載せる信号空間として、原子核スピン状態が張る2次元ヒルベルト空間を用いることを特徴とする量子暗号鍵配送方法。
【請求項10】 送信側は暗号鍵の元となる鍵情報を送信し、受信側は鍵情報を受信する通信システムであって、送信側は、鍵情報を載せるキャリアとして、量子相関を有する3個の量子を生成するソースを有することを特徴とする通信システム。
【請求項11】 請求項10に記載の通信システムにおいて、ソースは、鍵情報を載せるキャリアとして、ある2次元正規直交基底B={|0>,|1>}において、【数4】

と表わされるGHZ状態である、量子相関を有する3個の量子を生成することを特徴とする通信システム。
【請求項12】 請求項10または請求項11に記載の通信システムにおいて、3量子のうちの2個の状態を測定する送信側に設けられた第1および第2の測定器と、3量子のうちの1個の状態を測定する受信側に設けられた第3の測定器とを具備し、ソースは、ある2次元正規直交基底B={|0>,|1>}においてGHZ状態で表わされる量子相関を有する3量子を鍵情報キャリアとして生成して、そのうちの2個は前記第1および第2の測定器に送出し、残りの1個は前記第3の測定器に送出し、前記第1、第2、第3の測定器のそれぞれは、各量子の状態の測定には、次の2種類の基底のうちいずれかを使用する、基底Bと次の関係がある2次元正規直交基底Ba={|0>a,|1>a}:【数5】

基底Bと次の関係がある2次元正規直交基底Bb={|0>b,|1>b}:【数6】

という手順を複数回行った後、公開チャンネルにおける送信側・受信側間の情報交換で、測定結果のパリティを照合することを特徴とする通信システム。
【請求項13】 請求項10、11、12のいずれかに記載の通信システムにおいて、鍵情報を載せるキャリアとして、光子を用いることを特徴とする通信システム。
【請求項14】 請求項10、11、12、13のいずれかに記載の通信システムにおいて、ソースは、鍵情報を載せる信号空間として、光子の偏光状態が張る2次元ヒルベルト空間を用い、請求項12に記載の2次元正規直交基底B、Ba、Bbとして、各々、右回り/左回り円偏光状態の組、水平/垂直直線偏光状態の組、水平軸と45°/−45°をなす直線偏光状態の組を用いることを特徴とする通信システム。
【請求項15】 請求項10、11、12のいずれかに記載の通信システムにおいて、鍵情報を載せるキャリアとして、電子を用いることを特徴とする通信システム。
【請求項16】 請求項10、11、12、15のいずれかに記載の通信システムにおいて、鍵情報を載せる信号空間として、電子のスピン状態が張る2次元ヒルベルト空間を用いることを特徴とする通信システム。
【請求項17】 請求項10、11、12のいずれかに記載の通信システムにおいて、鍵情報を載せるキャリアとして、原子を用いることを特徴とする通信システム。
【請求項18】 請求項10、11、12、17のいずれかに記載の通信システムにおいて、鍵情報を載せる信号空間として、原子核スピン状態が張る2次元ヒルベルト空間を用いることを特徴とする通信システム。
発明の詳細な説明
【0001】
【発明の属する技術分野】本発明は、量子暗号技術に関し、特に、暗号鍵を秘匿配送する方式に関する。
【0002】
【従来の技術】現代の暗号は、計算量的に安全な暗号と無条件に安全な暗号とに大別できる。ここで、「計算量的に安全」とは、「原理的には解読可能であるが、現在の計算機の能力では解読に膨大な時間を要するために、現実的には解読困難」という意味である。一方、「無条件に安全」とは、「無限の計算機能力を仮定しても解読不可能」という意味であり、Shannonの情報理論に無条件に安全な暗号の存在が証明されている。
【0003】無条件に安全な暗号の代表的なものがVernan暗号であり、その暗号通信手順は次のとおりである。
【0004】[共通鍵の生成]送信者と受信者で、Nビットの乱数系列(各ビット値は0か1のいずれか)である暗号鍵を共有する。この暗号鍵は1回限りで使い捨てる(One-time-pad法)。
【0005】[暗号化]送信者は、受信者に暗号通信で伝えようとする平文を2進数で表わす。そのビット数をNとする。暗号文(Nビット)は、平文と暗号鍵のビットごとの排他的論理和(ビットごとのパリティ)とする。こうしてできた暗号文を受信者に送付する。
【0006】[復号化]受信者は、受信した暗号文と暗号鍵のビットごとの排他的論理和をとる。それが、2進数で表わされた平文である。乱数系列という全く規則性がないデータを暗号鍵としているため、鍵そのものを入手しない限り暗号文の解読は原理的に不可能で、しかも鍵は1回限りの使い捨てのため、暗号文から情報は全く得られない。
【0007】上記の共通鍵は1回限りで使い捨てるために、情報の伝達毎に送信者/受信者間に共通の1個の鍵を必要とする。通信系を介して鍵を配送する場合、盗聴される危険性が常にあるため、配送時の盗聴の有無を確認できることが必要不可欠となる。
【0008】量子暗号鍵配送方式は、こうした無条件に安全な暗号の実現のために必要な共通鍵を、遠隔地にいる送信者・受信者間で安全に生成する、現在知られている唯一の方法である。この暗号鍵配送方式の無条件安全性は、盗聴者によるいかなる盗聴行為も必ず何らかの痕跡を量子レベルの信号に残す、という量子力学の不確定性原理により保証されている。
【0009】量子暗号鍵配送方式として、現在までに、4状態暗号方式(通称、BB84暗号方式)、2粒子干渉暗号方式、非直交2状態暗号方式、直交2状態暗号方式などが提案されている。ここでは本研究に関連の深いBB84暗号方式の概略を記す。詳細は下記の文献[1]に記載されている。
【0010】[1] C. H. Bennett and G. Brassard, in Proceedings of IEEE International Conference on Computers, Systems and Signal Processing, Bangalore, India (IEEE, New York, 1984), p.175.まず、BB84暗号装置の構成を図2に示す。送信者201は、単一光子ソースと偏光変調器から構成される送信機203を操作することにより、制御された偏光状態をもつ単一光子を生成できる。この偏光情報を載せた単一光子が、情報の最小単位のキャリア(量子ビット)となる。
【0011】送信機203からでた単一光子は、量子チャンネル205を通って受信者202側に到達する。量子チャンネル205としては光ファイバや自由空間中の伝搬モードなどが考えられる。受信者202は、測定基底を制御できる測定器204を操作することにより、送られてきた単一光子の状態を測定する。この測定器204は偏光子と光子検出器から構成でき、また、ポッケルス・セルなどの電気光学偏光回転素子と組み合わせることにより、測定基底を切り替えることができる。送信者サイトに設けられた古典的送受信機209と受信者サイトに設けられた古典的送受信機210とを結ぶ古典的公開チャンネル206は、盗聴の有無をテストするために送受信結果を照合する際に使われる。古典的公開チャンネル206としては、無線や電話等が考えられ、盗聴されても分からないが、改竄は行われないことを仮定している。
【0012】次に、BB84暗号方式の原理について説明する。
【0013】[コーディング規約]単一光子の偏光状態に、「論理0」または「論理1」の1ビット情報を載せる。予め、送信者201と受信者202でコーディング方法を取り決めておく。以下、よく使用される例を挙げる。
【0014】コーディング規約例:図3(a)に示す水平および垂直方向の偏光軸をもつ直線偏光の組{|0>+,|1>+}(以下、プラス(+)基底と呼ぶ)と、図3(b)に示す水平軸からの傾きが45°および−45°方向の偏光軸をもつ直線偏光の組{|0>X,|1>X}(以下、クロス(X)基底と呼ぶ)の二種類の基底を用いる。プラス基底とクロス基底は共役であり、4つの状態間の関係は次のとおり。
【0015】
【数7】

|0>+と|0>Xが「論理0」を表わし、|1>+と|1>Xが「論理1」を表わすことにする。
【0016】このように、1光子の4つの量子状態{|0>+,|1>+,|0>X,|1>X}を用いるので4状態暗号と呼ばれる。
【0017】[情報を伝送する量子ビットの状態の測定]|0>+と|1>+の状態にある光子を誤りなく識別できる測定器をプラス系測定器と呼ぶことにする。プラス系測定器では|0>Xと|1>Xは全く識別できず、各々に対し、「論理0」あるいは「論理1」を確率1/2でランダムに出す。
【0018】一方、|0>Xと|1>Xの状態にある光子を誤りなく識別できる測定器をクロス系測定器と呼ぶことにする。クロス系測定器では|0>+と|1>+は全く識別できず、各々に対し、「論理0」あるいは「論理1」を確率1/2でランダムに出す。
【0019】光子の状態があらかじめ分かっていない場合、これらの測定器を用いても、光子の状態が4状態={|0>+,|1>+,|0>X,|1>X}のうちのいずれであるかを決定することはできない(不確定性原理)。
【0020】[盗聴の影響]この暗号方式に対する最も素朴な盗聴法の一つは、送信信号を測定し、その測定結果と同じ状態の光子を再送する盗聴法「測定/再送」である(文献[1]参照)。
【0021】図4は、この盗聴法による信号状態への影響と盗聴検出を説明する図であり、例として、送信者が|1>+の信号を送り、それを受信者がプラス系測定器を用いて測定する場合を挙げている。
【0022】送信者が送った偏光状態(|1>+の例)からの出力のうち、上方の分岐は盗聴者がたまたま(確率1/2)送信基底と同じプラス基底を用いて測定した場合の状況を示し、下方の分岐は、盗聴者がたまたま(確率1/2)送信基底と異なるクロス基底を用いて測定した場合の状況を示す。
【0023】上方の分岐の場合、盗聴後、偏光状態は変わらない(|1>+のまま)ため、プラス系測定器を用いた受信者は正しい結果「1」を得る。
【0024】下方の分岐の場合、盗聴後、偏光状態が変わる(|0>Xあるいは|1>X)ため、受信者が盗聴前の状態を正しく測定できるはずのプラス系測定器を用いると、「0」あるいは「1」が各々確率1/2で出る。本来は、「1」と出るべきところなので、「0」と出た場合に盗聴が発覚する。
【0025】上述した[情報を伝送する量子ビットの状態の測定]の項に記述したように、送信基底と測定基底が一致した場合には、送信ビット値と測定ビット値はかならず一致する。図4に示した例では、送受信基底がいずれも+の場合であり、したがって送信途中に何事もなければ、送信信号が|1>+なので受信者の測定結果は必ず「1」となるはずであり、双方のビット値が食い違うことはない。ところが、盗聴があると以下に説明するように、送受信基底が一致しても双方のビット値に食い違いが生じることがある。その食い違いを見つけることにより盗聴を検出することができる。
【0026】盗聴者が測定/再送の盗聴を行う場合、盗聴者は量子チャンネルにアクセスして鍵情報の載った光子の測定を行うが、この時点では信号の基底は送信者以外誰も知らないので、盗聴者も+あるいはXのいずれかの基底をランダムに選んで測定するしかすべがない。
【0027】図4における最初の分岐の上方に示した、盗聴者がたまたま識別可能なプラス系測定器を選択した場合(確率1/2)には、送信された光子の偏光状態を正しく測定することができ、測定後、送信された光子と全く同じ偏光状態の光子を再送信できるために盗聴を悟られずに確実に送信された光子のビット値を知ることができる。
【0028】一方、図4における最初の分岐の下方に示した、盗聴者が識別不可能なクロス系測定器を選択した場合(確率1/2)には、受信結果として|0>Xか|1>Xのいずれかがランダムに出るので、盗聴者は、その結果通りの信号を受信者へ再送する。受信者は、いま、プラス系測定器を用いているので、|0>Xあるいは|1>Xのいずれがきても「0」と「1」がランダムに出る。この場合、受信者が送信者の送信ビット値と同じビット値を得る確率は1/2になる。
【0029】以上をまとめると,盗聴が発覚する確率は1ビットにつき(1/2×1/2)=1/4、盗聴があっても発覚しない確率は1ビットにつき,(1−1/4)=3/4である。テストビットの個数をsとすると、盗聴があってもs個のテストビット中1つもビット値の不一致が起こらない確率Pの値は、P=(3/4)sであり、sの値を大きくとれば、このPの値は0に近づいてゆく。したがって、この盗聴テストをパスすれば、十分に1に近い確率で盗聴されていないと結論できる。
【0030】以下に、BB84暗号方式のプロトコルを説明する。
【0031】<量子ビット送受信プロトコル>[送信]送信者は、ビットごとにランダムに、4つの偏光状態{|0>+,|1>+,|0>X,|1>X}から1つを選んで、受信者に送信する。これをn回繰り返す。送信状態は記録しておく。
【0032】[受信]受信者は、ビットごとにランダムに、2つの測定器{プラス系測定器、クロス系測定器}から1つを選んで測定し、測定基底(+あるいはX)と測定結果(0あるいは1)を順次記録する。光子の偏光状態を識別可能な測定器を選んだ場合には、送信者と受信者のビット値は必ず一致するはずである。識別不可能な測定器を選んだ場合には送信者と受信者のビット値は1/2の確率で食い違う。
【0033】<古典的通信プロトコル>[基底の照合と基底不一致ビットの廃棄]送信者と受信者は、古典的公開チャンネルを通して、ビットごとに用いた基底を照合する。なお、この際には、測定結果が0または1であるかは伝えない。送信者と受信者で用いた基底が一致した約半数のビットだけを残し、基底不一致だったビットは捨てる。盗聴がなければ、双方の乱数系列は完全に一致しているはずである。
【0034】[盗聴テスト]送信者と受信者は、得られた乱数系列からランダムにテストビットを抽出し、ビットごとに双方のビット値を照合して一致しているかどうかを確かめる。十分な数のビットに対してこのテストを行い、ビット値がすべて一致していれば、先に述べた理由により1に近い確率で盗聴されていないと結論づけられる。盗聴がないという結論を得たならば、テストビットを廃棄し、残った乱数系列を用いて共通鍵を生成する。1つでも不一致のビットが発見された場合には、盗聴があったと結論されるので、このときの交信は無効とし、量子チャンネルをチェックしたり、他の量子チャンネルを使用する等の措置をとって、最初からやり直す。
【0035】以上の手順により、盗聴がないことを確認しながら、送受信者間で共通の鍵をもつことが可能になる。
【0036】
【発明が解決しようとする課題】しかし、従来のBB84暗号方式の技術では、以下に述べるように、量子暗号鍵配送装置の信頼性を確認する方法がないため、安全な鍵配送を保証することが不可能であった。
【0037】これまでの研究で、量子暗号鍵配送方式の安全性と装置の信頼性に関して、下記のことが知られている。
【0038】[BB84暗号方式以外の代表的な方式の安全性]2非直交状態暗号方式と2直交状態暗号方式に関しては、たとえ完全無欠な装置を用いたとしても、無限の能力をもつ盗聴者による攻撃に対して安全だという証明はまだ得られていない。BB84暗号方式に比べて安全性が劣ると考えられている。
【0039】2粒子干渉暗号方式に関しては、「装置が完全無欠」という仮定が満たされている場合のみ、無限の能力を持つ盗聴者による攻撃に対して安全であることが証明されているが、「装置が完全無欠ではない」場合にはその安全性は保証されておらず、また、この場合、実際に盗聴を検出することが不可能な危険な状況があることが指摘されている。
【0040】「装置が完全無欠」の定義を以下に述べる。量子暗号装置は、一般に、送信機・受信機・量子チャンネルの3部品から構成されている。「装置が完全無欠」とは、量子装置を構成するすべての部品の各々が完全無欠であることを意味する。そして、「完全無欠な送信機」とは、鍵情報に対応する指定した状態を確実に有するただ1つの量子キャリアを生成・送信する装置のことである。もちろん、鍵情報はそのキャリア以外に漏れていてはいけない。例えば、指定した状態を有する2個以上のキャリアを生成・送信するような送信機は、「欠陥がある送信機」である。
【0041】「完全無欠な受信機」とは、受信機の基底がキャリア量子の状態の基底と一致する場合には、キャリアの状態を100%誤りなく測定することが可能な装置のことである。
【0042】「完全無欠な量子チャンネル」とは、量子キャリアの状態を全く変えることなく伝送するチャンネルのことである。
【0043】[BB84暗号方式の安全性]BB84暗号方式に関しては、この方式において使用される4状態が高い対称性をもつという理由で、安全性の数学的証明に関しては従来提案されている方式の中で最も研究が進んでおり、これまでに次のことが証明されている。
【0044】図2に示される送信機203が完全無欠であれば、すなわち、規定の偏光状態をもつ単一光子の生成が毎回確実に行われれば、量子チャンネル205や測定器204が、ある許容範囲内の誤り率をもっていても、BB84暗号方式は無条件に安全である。この命題の詳しい証明は、次の文献に記載されている。
【0045】[2]D. Mayers, Advances in Cryptology: Proceedings of Crypto '96, Lecture Notes in Comp. Sci. Vo1. 1109,(Springer-Verlag, 1996), P.343-357[3]D. Mayers, Los Alamos preprint archive quant-ph/9802025上記においてもまだ、「送信機203が完全無欠である」という厳しい条件が課せられていることに注意されたい。
【0046】現在、さらに進めて、「送信機も含めた量子装置全体にある程度の誤り率があっても、その誤り率が許容範囲内であればBB84暗号方式は無条件に安全である。」という命題を証明する研究が進んでおり、この命題が正しいことが予想されている。
【0047】ただし、古典装置の場合には誤りがあればそれを明らかに認識できるのが常識であるが、量子装置の場合には誤りがあっても簡単に認識できない場合も多いので、その点が量子暗号鍵配送の安全牲を確保する上で難しい問題となっている。認識可能な誤りしか有り得ないというのであれば、装置の信頼性チェックは容易である。しかし、表面上、誤りがないように見える認識不可能な誤りが有り得る場合には、装置の信頼性チェックはそう単純ではない。そして、欠陥のある量子装置(特に、ソースに欠陥がある装置)を使用した場合には、盗聴があっても全く検知できない危険なケースがいくらでもありうることが指摘されている。
【0048】例えば、完全無欠な単一光子ソース(各試行において必ず1光子しか出さないソース)ではなく、2つ以上の光子を出してしまう欠陥のある単一光子ソースを使用した場合を例に挙げる。この時、盗聴者は複数個ある光子の一部をビームスプリッタで盗めば、盗聴を全く検知されることなくほとんどすべての情報を得ることが可能なので、盗聴に対して極めて危険である。このことを以下に説明する。
【0049】図5は上記の危険を説明するための図である。
【0050】欠陥のある単一光子ソース203が、各送信実行の際にhν1とhν2(ただし、hはプランク定数、ν1とν2は振動数、hν1≠hν2)のエネルギーをもつ2つの光子508、509を発生してしまう例である。
【0051】2つの光子は同時に偏光変調器で偏光状態が制御されるために同じ偏光状態をもつ。2つの光子508、509は量子チャンネル205を通過するが、盗聴者507はエネルギーhν1の光子508だけを選択的に盗み、それ以外のエネルギーの光子はそのまま通過するビームスプリッタ510を用いて光子508を盗めばよい。受信者202にはエネルギーhν2の光子509だけが届くが、その状態は全く乱されていないので、受信者202の測定器204でその状態を測定した結果には盗聴の痕跡は全くみられない。盗聴者507は、送受信者間の古典的公開チャンネル206を通した古典通信を盗聴して使用基底を確認するまで盗んだ光子508の偏光状態を保持し、基底が明らかになった時点で測定器511として識別可能な基底の測定器を使用して状態を測定する。この状況においては、盗聴者は全く盗聴に気づかれずにすべての情報を得ることができる。送受信者間のビットの食い違いは全くないので、送信者201と受信者202には、装置は誤りなく機能して盗聴も全くないかのように見える。ところが実は、暗号鍵の情報を盗聴者に100%盗聴されているのである。
【0052】現時点では、一般に量子装置は古典的装置のようには信頼できないと考えられている。技術レベルが低いために欠陥装置を製造してしまう可能性も高いので、上述のような危険を避けるためには、当然、装置の信頼性チェックは必須である。しかし、十分高度な技術を保有する時代が将来訪れたとしても、なお、装置の信頼性チェックは不可欠である。そのことは、例えば、「高い技術を保有する悪意をもったメーカーが、意図的に装置本体やチェック装置を巧妙に工夫し、一見正しく動作するように見えるが実は盗聴に対して危険な装置を作り、願客に安全だと信用させておいて自ら顧客の暗号鍵の盗聴を行う。」という極端ではあるが十分に有り得る状況を考えてみるとよく分かる。
【0053】量子装置の信頼性をチェックする方法として、2つのアプローチが考えられる。1つは現存する個々の技術の信頼の上に成り立つチェック法であり、もう1つは実際に装置上でチェック・プロトコル(暗号プロトコルと同程度の単純なのものが適切)を実行すれば、それが装置のテストとなり得るようなチェック法である。
【0054】第1のアプローチについでは、装置の信頼性は「仮定」として示される。例えば、単光子ソースのチェック法として、ソースのそばに光子検出器を置いて光子数をチェックするという状況を考えてみる。光子検出器の単一光子検出率は現在70〜80%が上限であり、光子数を確実にカウントできる検出法・技術はいまだ確定していない。このように、「チェック装置も信用できない」という前提条件のもとでは、こうした類の信頼性検査結果はあくまで「仮定」の域を出ない。また、専門家ではない一般の使用者は、チェック装置を製造した専門技術者が悪意を持っていたり、あるいは、不注意であったりする可能性があるにもかかわらず、その専門的意見を信じるしかすべがない。したがって、こうしたアプローチは、量子暗号鍵配送が物理的に可能だということを示す科学的な目的のためには十分かもしれないが、一般の使用者が安全に暗号通信を達成するという実用目的に対しては受け入れ難い。装置が信頼できるという「仮定」が間違いであったらならば、安全性は全く保証されないからである。
【0055】第2のアプローチは、一般の使用者でも簡単にできる何らかのチェック・プロトコルを装置上で実行すれば、それが装置全体の信頼性テストとなっていて装置の信頼性を確認できる、というテスト方法をとることである。このアプローチは、専門技術者の意見や個々の装置に閑する「仮定」を必要とせず、第1のアプローチより受け入れやすく、実用上はるかに安全である。
【0056】以上のポイントから明らかなように、安全な暗号鍵配送の保証を得るためには、送信機・量子チャンネル・測定器(必要とあれば、信頼性チェック装置)から構成される量子装置全体の信頼性を評価することは必須である。
【0057】しかし、起こりうる様々な場合を想定した総合的な状況において、上述の2番目のアプローチにあたる量子暗号装置一式の信頼性をチェックする方法はこれまでになかった。
【0058】
【課題を解決するための手段】本発明では、量子暗号鍵配送において、鍵情報を載せるキャリアとして、量子相関を有する3個の量子を用いる技術、あるいは、その量子相関を有する3個の量子の状態が、ある2次元正規直交基底B={|0>,|1>}において【0059】
【数8】

と表わされるGHZ状態と呼ばれる状態である技術、あるいは、送信者が、ある2次元正規直交基底B={|0>,|1>}においてGHZ状態で表わされる量子相関を有する3量子を鍵情報キャリアとして生成し、3量子のうち2個の状態は送信者自身が測定し、残りの1個を受信者に送信して受信者がその状態を測定、ただし、各量子の状態の測定には、次の2種類の基底のうちいずれかを使用する、基底Bと次の関係がある2次元正規直交基底Ba={|0>a,|1>a}:【0060】
【数9】

基底Bと次の関係がある2次元正規直交基底Bb={|0>b,|1>b}:【0061】
【数10】

という手順を複数回行った後、公開チャンネルにおける送信者・受信者間の情報交換で、測定器果のパリティを照合することを特徴とする、安全に量子暗号鍵配送を実行できる技術、あるいは、量子暗号鍵配送装置の信頼性をチェックする技術、あるいは、鍵情報を載せるキャリアとして、光子あるいは電子あるいは原子を用いる上記記載の技術、あるいは、鍵情報を載せる信号空間として、光子の偏光状態あるいは電子のスピン状態あるいは原子核スピン状態の張る2次元ヒルベルト空間を用いる上記記載の技術を提供する。
【0062】上記のように構成される本発明においては、量子暗号鍵配送の安全牲が確認不可能という問題を解決することができる。すなわち、本発明技術により量子暗号鍵配送装置の信頼性および暗号鍵配送時の盗聴の有無の両方が確認できるという理由により、暗号鍵配送の安全性の保証が可能になる。
【0063】
【発明の実施の形態】量子暗号鍵配送方式の無条件な安全性の基礎は不確定性原理である。すなわち、あらかじめ分かっていない量子系の状態について情報を得ようと系に相互作用を及ぼすと必ず系の状態が乱れる、ということを盗聴の検知に利用している。古典系では安全性は保証されない。このことを、BB84暗号方式の場合にあてはめてみると、単一光子という量子を情報キャリアに用いれば安全性は保証されるが、前に述べた2光子以上を出してしまう欠陥のあるソースの危険な例は、光子の一部を盗まれても検知できない古典系(複数個の光子)を情報キャリアとして使ったことに対応しているので、安全性は保証されない、ということになる。したがって、安全牲の確証を得るためには、「情報キャリアが確かにひとつの量子であり、そして、情報キャリアの張る信号空間にのみ情報が載っており、それ以外には決して情報が漏れていないこと」を確認することが必要となる。
【0064】量子のみが達成可能で古典系では不可能なこと、かつ、結果を見ればキャリアが確かに量子だと主張できるように定式化や数値化が可能なこととして、量子力学的波動の非局所性が挙げられる。量子相関をもつ2個以上の量子のみが達成可能な相関関係を示せば、その系は確かに量子系であり、情報はその量子だけに載っていることの確証が得られる。本発明は、この原理を利用して量子暗号鍵配送装置の信頼性および暗号鍵配送時の盗聴の有無をテストする。
【0065】2個以上の量子が量子相関をもつ系として、Bell状態にある2量子が一般に最もよく知られている。ただし、Bell状態とは、ある2次元正規直交基底B={|0>,|1>}において、【0066】
【数11】

と表わされる2量子の状態である。このBell状態を用いても、ある程度の信頼性チェックが可能であるが、この場合、相関結果の出現確率が整数ではないため、「試行が各回独立」という仮定が満たされている必要があること、そして、盗聴者による意図的な攻撃がある場合には、この仮定が成立しない場合があることが、次の文献に証明されている。
【0067】[4] D.Mayers and A.Yao, in Proceeding of 39th Annual Symposium on Foundations of computer Science, p.503 (1998)本発明においては、このBell状態にある2量子ではなく、Greenberger, Horne-Zeilinger状態(略して GHZ状態)にある量子相関を有する3量子を用いる。ただし、GHZ状態とは、ある2次元正規直交基底B{|0>,|1>}において、【0068】
【数12】

と表わされる3量子の状態である。このGHZ状態を用いれば、全く仮定なしに、装置が信頼できるかどうかを評価することができる。もちろん、表面に現われない欠陥を見落とすこともない。以下、信号空間として光子の偏光状態を用いる場合の実施形態の例について述べるが、下記の基底間の関係を満たす3つの基底の各状態を保有でさる量子系であれば光子に限るものではない。
【0069】3つの2次元正規直交基底として、右回り/左回り円偏光状態の組(円偏光基底)、水平/垂直直線偏光状態の組(プラス基底)、水平軸と45°/−45°をなす直線偏光状態の組(クロス基底)を用い、それぞれ、B0={|0>0,|1>0},B+={|0>+,|1>+},X={|0>X,|1>X}と表わす。これらの基底間には次の関係がある。
【0070】
【数13】

基底B0において、次のGHZ状態【0071】
【数14】

で表わされる量子相関をもつ3量子を考える。M+、MXの各々をプラス系測定器、クロス系測定器を表わす記号とする。表1に、第1、第2、第3の量子の測定に用いる測定器の組み合わせ(M1,M2,M3)に対する各々の測定結果(x,y,z)の出現確率を示す。この表は、B0基底で表わされる上記GHZ状態の式を、各量子の測定基底で展開すれば容易に確かめられる。上記のGHZ状態にある3量子ならば、必ず表1にある出現確率を示す。
【0072】
【表1】

本発明にあたっては、「逆に、3粒子の生成/3粒子の状態測定を多数回繰り返し行って、その結果が下記の表2と同一になれば、生成される3粒子は上記GHZ状態にある3量子である。」ことを数学的に証明し、これを利用した。
【0073】より正確に述べると、「毎回、全く同じ状態にある3個以上の粒子を生成し、全く同じ選び方で、その中から3粒子を選び、その3粒子の各々の状態を測定する、という手順を十分に多い回数繰り返し行って、その結果が表2となれば、その測定される3粒子は測定前は確かに上記GHZ状態にある3量子である。」ことを証明した。
【0074】
【表2】

Bell状態の場合とは違い、表2の測定結果の出現確率がすべて0か1だけの整数である点がGHZ状態を使用するメリットである。この数学的証明結果は、「上述の試行を多数回行い、第1、第2、第3の粒子に使用する測定器の組み合わせが(M+,M+,M+)の場合には3つの測定値のパリティが必ず1となり、(M+,MXX)あるいは(MX,M+,MX)あるいは(MX,MX,M+)の場合にはパリティが必ず0となるならば、その3粒子は測定の直前まで完全なGHZ状態にある3量子であり、かつ、その測定も誤りなく行われている。」ことを保証する。GHZ状態以外の系、ましてや、量子相関をもたない古典系では、表2の結果を出すことは不可能である。
【0075】また、表2と完全には一致しない結果が出た場合には、装置全体の誤り率は本来出ないはずのパリティが現われた確率から評価することができる。
【0076】もう1つのGHZ状態【0077】
【数15】

を使用する場合には、上記(および表1、表2中)のパリティの0と1が逆になる。
【0078】この理論を利用した装置の信頼性チェック方法と暗号鍵配送法を以下に説明する。
【0079】図1は、本発明が提案するGHZソースを用いた量子暗号鍵配送装置の実施例を説明するための図である。送信者1は、GHZ状態にある光子3個組を生成するソース(GHZソースと呼ぶ)3と2つの測定器7、8を操作する。受信者2は、量子チャンネル5を通ってきた光子を測定器4で測定する。また、送信者1および受信者2は、送信者サイトに設けられた古典的送受信機9と受信者サイトに設けられた古典的送受信機10の間を結ぶ古典的公開チャンネル6により古典通信を行う。なお、GHZ状態の生成法としては、3つの単一光子ソース・偏光変調器と制御NOT量子ゲートを用いる方法など、いくつかの方法が現在研究されている。
【0080】<装置信頼性テスト法>[送信手順]送信者1は、GHZソース3で基底B0においてGHZ状態にある光子3個組を生成し、第1・第2の光子の各々を測定器7、8で測定する。測定基底は、各々、ランダムにB+かBXのいずれかを選び、測定基底と結果を記録する。第3の光子は、量子チャンネル5を通して受信者2に送信する。
【0081】[受信手順]受信者2は、送信された第3の光子を測定器4で測定する。測定基底は、ランダムにB+かBXのいずれかを選び、測定基底と結果を記録する。
【0082】上記の[送信手順]と[受信手順]を多数回線り返す。
【0083】[結果の照合]古典的公開チャンネル6を通して、各試行において使用した3つの基底を送受信者間で照合する。表2にある4種類の測定器の組み合わせを用いた約半数の試行に関し、3光子の測定結果のパリティを照合する。このとき、これら以外の測定器の組み合わせを用いた試行の結果は不要なので棄却する。十分に多い数の試行に対し、表2と全く同じ、あるいは、ほぼ同じ結果を得た場合には、その装置は信頼できると判断する。誤り率が大きな場合には、その装置は信頼できない、あるいは、盗聴や妨害があると判断する。このテストにより装置が信頼できると分かったら、以下の手順で暗号鍵配送を行う。
【0084】<暗号鍵配送手順>[送信手順]送信者1は、GHZソース3で基底B0においてGHZ状態にある光子3個組を生成し、第1の光子および第2の光子の各々を測定器7、8で測定する。測定基底は、各々、ランダムにB+かBXのいずれかを選び、測定基底と結果を記録する。第3の光子は、量子チャンネル5を通して受信者2に送信する。
【0085】[受信手順]受信者2は、送信された第3の光子を測定器4で測定する。測定基底は、ランダムにB+かBXのいずれかを選び、測定基底と結果を記録する。
【0086】[基底の照合と不要ビットの廃棄]古典的公開チャンネル6を通して、各試行において使用した3つの基底を送受信者間で照合する。なお、この際には、測定結果は伝えない。表2にある4種類の測定器の組み合わせを用いた約半数のビットだけを残し、それ以外のビットは捨てる。盗聴がなければ、残ったビットの各ビット3つの測定結果のパリティは表2と同じになっているはずである。
【0087】[盗聴テスト]送信者1と受信者2は、残ったビットからランダムにテストビットを抽出し、古典的公開チャンネル6を通して、ビットごとに双方の測定結果を照合してそのパリティが表2のとおりかどうかを確かめる。十分な数のビットに対してこのテストを行い、パリティがすべて正しければ、1に近い確率で盗聴されていないと結論づけられる。盗聴がないという結論を得たならば、テストビットを廃棄する。残ったビットにおいて、測定器の組み合わせが、(M+,M+,M+)のビットに対しては、送信者は(x,y)のパリティの値、受信者は(1−z)の値、測定器の組み合わせが、(M+,MX,MX)、あるいは、(MX,M+,MX)、あるいは、(MX,MX,M+)のビットに対しては、送信者は、(x,y)のパリティの値、受信者はzの値、をビット値として採用する。こうして得られた乱数系列から共通鍵を生成する。不一致のビット数が許容範囲を超えて発見された場合には、盗聴により多くの情報が盗まれている可能性があると結論されるので、このときの交信は無効とする。量子チャンネル5をチェックしたり、他の量子チャンネルを使用する等の措置をとって、最初からやり直す。
【0088】以上の手順により、盗聴がないことを確認しながら、送受信者間で共通の鍵をもつことが可能になる。
【0089】上記のプロトコルにおいて、送信者が送信者側の2個の光子を各々測定した後は、確実に単一光子を使用した場合のBB84と同等になっている。
【0090】以上述べたように、確かにGHZ状態にある3光子だけが上記の量子暗号鍵配送装置の信頼性テストにパスし、GHZ状態の生成・送信・検出という一連のプロセスの途中に盗聴や装置の欠陥によりGHZ状態が乱される要因がある場合には信頼性テストにパスしないという理由から、量子暗号鍵配送の安全性が確認不可能という問題を解決できる。
【0091】
【発明の効果】本発明は、量子暗号鍵配送方式において、量子暗号鍵配送装置の信頼性および盗聴の有無がチェックすることにより、量子暗号鍵配送の安全性を確認することができ、安全にデータの送受信を行うことが可能となる。




 

 


     NEWS
会社検索順位 特許の出願数の順位が発表

URL変更
平成6年
平成7年
平成8年
平成9年
平成10年
平成11年
平成12年
平成13年


 
   お問い合わせ info@patentjp.com patentjp.com   Copyright 2007-2013