説明

可動鍵装置を伴う量子鍵配送

本発明は、第1のエンティティから第2のエンティティへの鍵配送方法に関し、方法は、第1のエンティティが可動鍵装置と秘密データを共有するように前記可動鍵装置と通信するステップと、前記可動鍵装置を前記第2のエンティティとの量子リンクを有する場所まで移動させるステップと、前記量子リンク上に前記可動鍵装置から前記第2のエンティティまで量子信号を送信するステップであって、量子信号が前記秘密データに基づく該ステップと、前記第1のエンティティおよび前記第2のエンティティが第2のエンティティにより受信された量子信号に基づき鍵合意に着手するステップとを含む。そのような方法により、第1のエンティティと第2のエンティティの間に適切な量子通信リンクがないときでも量子鍵配送の原理が適用されることができるようになる。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、暗号化のために使用されることができる鍵素材の安全な転送のための装置および方法に関し、詳細には量子鍵配送を伴う装置および方法に関する。
【背景技術】
【0002】
様々な媒体、特に通信ネットワークおよび/またはデータネットワークを介した通信を保護するために暗号化が一般に使用される。暗号化は、一般にある種の秘密値を共有する当事者の通信を保護することを望む当事者に基づく。その値は通信を保護するために使用される暗号鍵を得るために使用されることがある。暗号化がより高度になると、それだけ鍵なしで復号することが困難になる。現代のよく管理された暗号化方式を破るには、膨大な従来のコンピューティング資源を必要とすることが一般に信じられている。しかしながら、異なる通信に対して同じ暗号鍵を繰り返し使用することが、扱う材料をより多く潜在的暗号解読者に与え、かつ暗号化に脆弱性を潜在的に導入することはよく知られている。したがって、暗号鍵をしばしば変えることが望ましい。
【0003】
鍵の知識を使えば、盗聴者がすべての通信を復号することができるので、新しい鍵素材を安全に配送することが不可欠であることは明らかである。しかしながら、鍵配送はまた効率的で使いやすくなければならない。
【0004】
既存の鍵を使用して新しい鍵素材を暗号化し、次に通常のデータトラフィックとして配送することにより新しい鍵素材が配送されることがある。次に、新しい鍵素材はその後の通信のために使用されることができ、ある時点で別の新しい鍵を含む。そのような方式は使いやすく、定期的な鍵更新を可能にするが、暗号化がある時点で破られた場合、すなわち、暗号化鍵が効率的に決定される場合、盗聴者は、暗号化鍵が配送されるとき、新しい鍵を運ぶメッセージを傍受し復号することができ、その鍵を使用して将来の通信を傍受することができるので、その時点からそのような方式は失敗するという弱点を有する。
【0005】
量子鍵配送(Quantum key distribution、QKD)は、安全な鍵配送の可能性を提供するよく知られている技術である。QKDは基本的な量子的性質を頼りにし、一般にアリス(Alice)およびボブ(Bob)と呼ばれる2人の当事者が値を交換し、かつ通常イブ(Eve)と呼ばれる盗聴者が値に関してあまりわかっていないことを知ることができるようにする。QKDは、鍵素材が必要に応じてアリスおよびボブにより、安全に得られることができるようにし、このことは鍵配送の別の方法に対して大きな利点を提供する。
【0006】
BennettおよびBrassardが、C.H.BennettおよびG.Brassard、「Quantum cryptography:『Public key distribution and coin tossing』」、IEE Conf.Computers Systems Signal Processing、Bangalore、India、1984年で、BB84プロトコルとして知られるようになったQKDプロトコルについて説明した。このプロトコルは、適切に暗号化された一連の単一光子の伝送(量子交換)を使用し、任意の従来の通信媒体を介したオープンな議論(鍵合意段階)が続いて、アリスおよびボブが乱数の共有されたストリングを得ることができるようにする。量子交換の形で単一光子が使用されるので、イブがこの交換に関するどんな情報でも得ることができる唯一の方法は、アリスにより送信される単一光子を傍受し、かつ自分で情報を測定することである。検出を避けるために、イブはまた、傍受した元の光子を複製しようと企てる光子をボブに送信しなければならない。符号化のランダムな選択、および光子の量子的性質により、イブは正しく暗号化された光子をボブに渡すことを保証することができず、このことが、アリスおよびボブにより彼らの従来の通信の間に突き止められる統計的エラーを生成する。
【0007】
したがって、QKDは盗聴から保護する、新しい鍵素材を配送する安全な手段を提供する。しかしながら、当初説明されたBB84プロトコルは、いわゆる中間者攻撃(man−in−the−middle attack)に対して潜在的に脆弱である。この場合、通常マロリ(Mallory)と呼ばれる攻撃者が、アリスとボブの間のすべてのデータ交換を傍受し停止することができるように自分自身を配置する。次に、マロリはアリスと通信するが、アリスには自分がボブであるように見せかける。マロリはまた、ボブと通信するが、そうする際にアリスであるように見せかける。したがって、アリスおよびボブはそれぞれ、自分たちが互いに話をしていると考えるが、事実は、彼らは両者とも実際にはマロリと話をしている。このシナリオで単純なQKDプロトコルが使用されていれば、アリスは量子鍵、すなわちQKDにより得られる鍵をマロリ(その人がボブであると考えている)と合意する。同様に、ボブは量子鍵をマロリと合意する。自分は量子鍵をボブと合意したと考えているアリスは、この鍵を使ってボブに向けられるメッセージを暗号化する。マロリはこの通信を傍受し、それを復号し、得たいと望むどんな情報でもメッセージから取り出すことができる。次に、検出を逃れるためにマロリは、今回はボブと合意した量子鍵を使用してこのメッセージを再暗号化し、それを前方のボブに送ることができる。したがって、ボブは実際にアリスから送信されたメッセージを受信し、そのメッセージは、彼がアリスと合意したと考える鍵を使って暗号化されている。したがって、ボブは何かが間違っていたということを理解しない。ボブからアリスへの通信は逆方向で同じ原理に従う。
【0008】
中間者攻撃を克服するためには、通信当事者が認証ステップに着手して、アリスがマロリではなく実際にボブに話をしていることを保証することが通常である。認証は通常ボブおよびアリスだけにしか知られていないID鍵(identity key)などの共有秘密を明らかにするまたは使用することを伴う。ボブと通信することを望むアリスは、ボブと連絡をとろうと試みて、量子鍵を設定する。そうする際、アリスはボブのID鍵に基づき認証を要求する。マロリはこのID鍵を知らないので、うまくボブに見せかけることができない。同様に、アリスと称するだれかと量子鍵を設定する要求を受信するボブは、アリスのID鍵に基づき認証を要求する。認証は、アリスおよびボブがQKDを開始する前に少なくとも1つのID鍵の知識を共有することを実際に必要とするが、この鍵はシステムの初期化時に一度供給されることができる。使用に際して、その後ID鍵は、認証QKDセッション(authenticated QKD session)から得られる量子鍵を使用して更新されることができる。
【0009】
したがって、認証QKDは安全な鍵配送を提供する。しかしながら、説明されたQKDは、量子チャネルの役割を果たす、アリスからボブへの途切れない光路を必要とする。この光路は自由空間でも、光ファイバケーブルなどの光導波路を介してもよい。いずれの場合も、特に単一光子の使用のために距離が制限される。
【先行技術文献】
【特許文献】
【0010】
【特許文献1】英国特許第0801406.0号明細書
【非特許文献】
【0011】
【非特許文献1】C.H.BennettおよびG.Brassard、「Quantum cryptography:『Public key distribution and coin tossing』」、IEE Conf.Computers Systems Signal Processing、Bangalore、India、1984年
【発明の概要】
【発明が解決しようとする課題】
【0012】
この制限を克服する1つの方法が、ノードのチェーンを形成することであり、各ノードは、QKDが適用されることができる光リンクにより次のノードに接続される。ノードの使用が、ネットワークが安全なままであるように各ノードが信頼でき認証されなければならないという点で、信頼と認証の別の問題を持ち込む。
【0013】
ある状況ではQKD基盤が所望のネットワーク経路の全体を横断して存在しないことがある。現在のQKDシステムは数百kmの光ファイバを通して信号をうまく送信することができるが、海を横断する通信は数千kmのファイバを必要とし、海底ノードは提供し維持するのに費用がかかる。衛星を使った自由空間ベースのQKDも提案されたが、大規模通信にはまだ信頼して利用できない。
【0014】
したがって、量子リンクのチェーンによりリンクされる必要がない2つの場所間で鍵素材の安全な配送を提供することが本発明の目的である。
【課題を解決するための手段】
【0015】
本発明によれば、第1のエンティティから第2のエンティティまでの鍵配送方法であって、第1のエンティティが可動鍵装置と秘密データを共有するように前記可動鍵装置と通信するステップと、前記可動鍵装置を前記第2のエンティティとの量子リンクを有する場所まで移動させるステップと、前記可動鍵装置から前記量子リンク上の前記第2のエンティティまで量子信号を送信するステップであって、量子信号が前記秘密データストリングに基づく該ステップと、前記第1のエンティティおよび前記第2のエンティティが第2のエンティティにより受信される量子信号に基づき鍵合意に着手するステップとを含む方法が提供される。
【0016】
したがって、本発明の方法は、可動鍵装置の使用を伴い、量子鍵配送(QKD)の原理が、第1のエンティティと第2のエンティティの間に適切な量子通信リンクが存在しない際でも適用されることができるようにする。第1の場所で第1のエンティティは、秘密データを共有するように可動鍵装置と通信する。この第1の場所では、可動鍵装置には第2のエンティティへの量子リンクがない。第1のエンティティと可動鍵装置の間の通信は、可動鍵装置が第1のエンティティにも知られているデータ、たとえば1つまたは複数の乱数ストリングを含むことを保証する。したがって、通信の終わりには、可動鍵装置は事実上、量子信号伝送の基底として使用されることができ、かつ第1のエンティティに知られる秘密データでロードされる。秘密データは、第1のエンティティから可動鍵装置に送信されることが好ましい。秘密データは可動鍵装置により生成され、第1のエンティティに送信されることができるが、たいていの応用例では、このことは、第1のエンティティが秘密データの生成を制御できなくなるので好ましくない。
【0017】
次に、可動鍵装置は、第2のエンティティへの量子リンクを実際に有する場所まで移動させられる。本明細書で使用される量子リンクは、量子信号の交換に適したリンクを意味する。量子リンクは、たとえば、自由空間経路、または光ファイバケーブルなどの適切な導波路(複数可)の経路を含むことがある。
【0018】
可動鍵装置と第2のエンティティの間の量子リンクが確立されると、次に、可動鍵装置は量子信号を第2のエンティティに送信する。量子信号は、当業者により理解される量子鍵合意プロトコルの基底として使用されることがある任意の信号である。たとえば、量子信号は一連の適切に変調された単一光子を含むことがある。当業者は、使用されることがある種々の変調方式、たとえば位相変調または偏光変調をよく知っている。本発明の方法では、可動鍵装置内部に保持される秘密データは、量子信号に適用される変調を決定するために使用される。たとえば、秘密データは2進数からなる1つまたは複数のランダムストリングを含むことがある。ストリング中の各1対の2進数が、たとえばBB84プロトコルに従って送信される単一光子に対する符号化基底およびデータ値を選択するために使用されることができる。秘密データは変調を決定することを対象に使用されることも、秘密データは量子信号を変調するために使用されるデータを生成するために所定の方法で処理されることもあり、たとえば、秘密データは知られている擬似乱数発生器のシード(seed)として使用されることがある。当業者は知っているように、擬似乱数発生器はシードデータのストリングに対して動作して、より長い出力を生成する。同じ擬似乱数発生器で使用される同じシードが同じ結果を常に生成するという点で、出力は擬似乱数である。したがって、第1のエンティティおよび可動鍵装置が同じシードデータを共有し、かつ同じ擬似乱数発生器を有する場合、第1のエンティティおよび可動鍵装置は同じより長いストリングのデータを生成することができる。このことは、可動鍵装置内部に必要とされる記憶空間の量を低減することができる。
【0019】
したがって、可動鍵装置と第2のエンティティの間の交換は、可動鍵装置を送信機とする、QKDでは通常の量子信号交換ステップを表す。
【0020】
しかしながら、通常のQKDと異なり、本発明の方法では、可動鍵装置は第2のエンティティとのその後の鍵合意ステップに関与しない。代わりに、第1のエンティティが第2のエンティティとその後の鍵合意ステップに着手する。第1のエンティティは、可動鍵装置内部に含まれる秘密データを知っているので、可動鍵装置により送信される量子信号に適用される変調について知っている。したがって、第1のエンティティは事実上、可動鍵装置により送信される量子信号について正確に知り、したがって、第2のエンティティとその後のQKD鍵合意ステップに関与することができる。
【0021】
一例として、量子信号の送信および検出、ならびにその後の鍵合意は、BB84プロトコルで説明される量子交換の原理に従って実行されることがある。すなわち、量子信号が一連の単一光子からなり、それぞれが、符号化基底およびデータ値に関してランダムに変調される。可動鍵装置は、記憶された秘密データを使用して、各光子に適用される変調基底およびデータ値を決定する。第1のエンティティは、この秘密データを可動鍵装置と共有するので、第1のエンティティも可動鍵装置により送信される各光子に適用される符号化基底、およびデータ値について知っている。したがって、第1のエンティティにはBB84プロトコルの鍵合意段階に着手するために必要とされる情報がすべてある。BB84プロトコルは例だけのために使用され、別なプロトコルが存在し、本発明に従って動作するように適合されることができることを当業者は当然理解する。たとえば、限定せずに、B92プロトコル、または6状態プロトコルなどのプロトコルが採用されることができる。
【0022】
したがって、本発明により、第2のエンティティとの量子リンクを有しない第1のエンティティが、QKDを使用して、QKDの有利な点すべてを使って第2のエンティティと鍵素材を合意することができるようになる。本明細書で使用されるエンティティという用語は、直接人間の制御下にあるにせよ自動であるにせよ、本明細書で説明される通信をすることができる任意の装置または機器を示す。したがって、第1のエンティティおよび第2のエンティティは、限定せずに、コンピュータワークステーション、サーバ、デスクトップPC、通信局、電話局などを含むことがある。
【0023】
本発明の方法は、実際に完全なQKDを行う、すなわち、第2のエンティティと鍵を実際に合意する可動鍵装置に頼らないことに留意すべきである。事実上、可動鍵装置は遠くに配送されることができる第1のエンティティのQKD機器の一部の役割を果たす。第1のエンティティは、第2のエンティティと鍵合意ステップを実行し、したがって、最終的に鍵を合意するのは第1のエンティティおよび第2のエンティティである。このことは、第1のエンティティが第2のエンティティの認証を行い、その逆も同じであることを意味することが重要である。上述のように、認証は、鍵合意に関与する2つのエンティティが本人であると言う人であることを保証するための、QKDにおける鍵合意ステップの重要な一部である。このことが、中間型攻撃が成功するのを防ぐ。
【0024】
第1のエンティティおよび第2のエンティティが互いに相互に認証するので、どちらも可動鍵装置が彼らに代わって認証を行うことを当てにする必要がない。また、このことは、可動鍵装置は認証に必要とされるどんなID鍵も、または別の情報を記憶する必要がないことを意味する。このことは、可動鍵装置が記憶しなければならないデータを簡略化するだけでなく、可動鍵装置が何らかの形で盗まれた場合の影響を低減する。
【0025】
可動鍵装置と第2のエンティティの間の伝送の量子的性質は、この伝送が盗聴に対して安全であることを意味する。知られているように、よく調節されたQKDシステムでは、量子伝送を盗聴するどんな試みも、検出されることができるエラーを伝送に導入する。したがって、可動鍵装置と第2のエンティティの間の量子信号伝送は安全である。さらに、上述のように、第1のエンティティおよび第2のエンティティは相互に認証するので、伝送はまた中間攻撃に対して安全である。可動鍵装置が、故意に配置されたにせよ、偶然にせよ、第2のエンティティ以外のエンティティ、すなわち、意図された受信者以外のエンティティに量子信号を伝送し終えれば、そのような受信者は第2のエンティティであるように見せかけ、第1のエンティティと鍵を合意しようと試みることができるが、そのような試みは認証段階で失敗する。
【0026】
しかしながら、可動鍵装置は秘密データを一度、しかも一回だけ使用することが重要である。可動鍵装置が同じ秘密データを2度以上使用することになれば、盗聴者が少なくとも1つの伝送を傍受し、第1のエンティティまたは第2のエンティティいずれかに知られない測定を行うことができるという危険性がある。次に、そのような盗聴者が鍵合意ステップを盗聴すれば、最終的に合意される鍵の一部またはすべてを決定することができることがある。したがって、方法は、可動鍵装置が秘密データに基づき量子信号を一度、しかも一回だけ送信することを保証するステップを伴うことが好ましい。このことは、量子信号が送信されたかどうかを監視する可動鍵装置内部の制御により達成されることができる、および/または方法が使用されるとき、秘密データを削除するステップを伴うことがある。
【0027】
秘密データは、可動鍵装置から別の手段により決定されることができないことも重要である。したがって、可動鍵装置は、動作するとき、どんな種類の迷放射(stray emission)からも守られ、同様に秘密データを決定するための探索(probing)から守られることを保証することが好ましい。可動鍵装置は安全で改ざんの恐れのないハウジングを含むことが好ましい。暗号構成要素が改ざんの恐れのないことは知られており、通常そのような改ざん防止は、任意の手段により開けられる、または任意の方法で破られた場合、装置が装置の中に記憶されたすべてのデータを回復できないほど削除するように装置を構成することを伴う。
【0028】
第1のエンティティと可動鍵装置の間の通信が安全である、すなわち、盗聴に対して耐えられることも重要である。このことは、一部の応用例では問題とならないことがあり、たとえば、可動鍵装置および第1のエンティティの物理的または地理上の配置が、第1の遠隔ノードと第1の量子ノードの間のリンクが安全である、たとえば安全な環境の中にあることを意味する場合、そのようなリンク上のオープンな通信が許容できる。このことが、たとえば、可動鍵装置が第1のエンティティと同じ環境に容易に配置されることができる小さな持ち運びできる装置である場合であることがある。
【0029】
しかしながら、場合によっては、第1のエンティティと可動鍵装置の間の通信を盗聴から保護するように暗号化することが好ましい。この通信に適用される暗号化は、特定の応用例に必要とされる安全性を提供する任意の種類の暗号化とすることができ、当業者は、使用されることができる様々な暗号化技法をよく知っている。しかしながら、都合のよいことに、第1のエンティティと可動鍵装置の間の通信は、第1のエンティティと可動鍵装置の間の量子鍵配送により得られる量子鍵を使ってその通信を暗号化することにより保護される。このことが、通信過程全体についてQKDの安全性を保つ。
【0030】
第1のエンティティと可動鍵装置の間に適切な量子リンクがある場合、量子鍵を得るために標準的QKD技法が適用されることがあり、たとえば、第1のエンティティと可動鍵装置の間に標準的認証BB84プロトコル、または任意の別の適切なQKDプロトコルが使用されることがある。したがって、方法は、第1のエンティティと可動鍵装置の間の量子鍵を量子鍵配送により得る初期ステップを伴うことがある。
【0031】
したがって、方法は第1のエンティティと可動鍵装置の間でQKDにより第1の量子鍵を確立する。この第1の量子鍵が確立されると、その鍵は、第1のエンティティが秘密データを可動鍵装置に送信する、またはその逆ができるよう、第1のエンティティと可動鍵装置の間の通信を暗号化するために使用されることができる(しかしながら、一般に第1のエンティティは可動鍵装置に頼るよりはむしろ秘密データを生成するまたは選択することを好む)。あるいは、第1の量子鍵は、十分にかなり長いことを前提に、秘密データとして使用されることができる。この場合、第1の量子鍵はそれ自体が鍵として使用されないが、それにもかかわらず、可動鍵装置により第2のエンティティに送信される量子信号を決定するための鍵として後で使用される。
【0032】
第1のエンティティおよび可動鍵装置が実際にQKDを使用して、第1の量子鍵を合意する場合、可動鍵装置はQKD送信機またはQKD受信機を有する。可動鍵装置は、第2のエンティティに送信するとき、秘密データに基づき信号を生成するように動作する量子信号送信機を備えていなければならず、かつこの送信機はまた第1のエンティティとのQKDのために使用されるように適合されることが理解される。その場合、可動鍵装置の量子送信機は、量子送信機自体の乱数発生器を有し、その乱数発生器の出力は、第1のエンティティとQKDを行う際に送信される量子信号を変調する基底として使用される。あるいは、可動鍵装置は、第1のエンティティから送信される信号を受信するためのQKD受信機、および第2のエンティティに量子信号を送信するための別個の量子信号送信機を有することがある。
【0033】
好都合なことには、可動鍵装置と第1のエンティティの間に、それらの間でQKDを行うための直接量子リンクがあることがあるのに対して、ある種の構成では、1つまたは複数の量子ノードを介した一連の量子リンクしかないことがある。上述のように、一連の量子ノードを横断するQKDのための様々な知られている方法がある。しかしながら、そのような状況で、第1のエンティティと可動鍵装置の間で量子鍵を確立するステップは、その内容が参照により本明細書に組み込まれる同時係属中の特許出願英国特許第0801406.0号明細書の方法を使用することが好ましい。この特許出願は、第1の量子ノードと第2の量子ノードの間の量子交換ステップと、その後の鍵合意ステップとを含む量子鍵配送方法について説明し、量子交換ステップでは、第1の量子ノードおよび第2の量子ノードがそれらの間の量子リンクを介して量子信号を交換し、第1の量子ノードは、第1の遠隔ノードが第1のノードにより送信および/または検出される量子信号に関する情報を有するように第1の遠隔ノードと通信し、第1の遠隔ノードはその後の鍵合意ステップで第1の量子ノードの代理をする。
【0034】
この方法を理解するために、可動鍵装置が量子ノードを介して第1のエンティティにリンクされる、すなわち、可動鍵装置と量子ノードの間の直接量子リンク、ならびに量子ノードと第1のエンティティの間の別個の量子リンクがあると仮定する。量子ノードは可動鍵装置と量子信号を交換する。量子ノードはまた、第1のエンティティが量子ノードにより送信または受信される量子信号の詳細を知るように、前記量子交換の前または後に、第1のエンティティと通信する。次に、第1のエンティティは、直接可動鍵装置と鍵合意を行う。前のステップでは、量子ノードと第1のエンティティの間の通信を安全にするために、従来のQKDがそのリンクを介して行われたことがある。
【0035】
したがって、英国特許第0801406.0号明細書で説明される方法は、第1のエンティティが遠隔装置、すなわち量子ノードと通信を確立し、その結果、第1のエンティティが、別の遠隔装置、すなわち可動鍵装置から送信または受信される量子信号の知識を有するという点で本発明の方法と似ている。本発明の方法では、遠隔装置は可動鍵装置であり、別の遠隔装置は第2のエンティティである。したがって、可動鍵装置は英国特許第0801406.0号明細書で説明される方法のノードと同じ方法で動作すると理解されることができるが、本発明の方法では、可動鍵装置は量子リンクのチェーン内の中断を克服するために物理的に移動させられる。
【0036】
したがって、英国特許第0801406.0号明細書の方法は、第2のエンティティから前方の通信に適用されることができることは明らかである。すなわち、第1のエンティティが、可動鍵装置により送信される量子信号に基づき第2のエンティティと鍵を合意すると、第2のエンティティは、第2のエンティティと第3のエンティティの間の量子交換の詳細に関して第1のエンティティと安全に通信することができる。次に、第1のエンティティおよび第3のエンティティは、鍵合意ステップに着手して、新しい別個の鍵を合意することができる。方法は別のノード群まで反復して繰り返されることができる。必要であれば、これらの別のノード群の少なくとも1つが別の可動鍵装置となることができる。
【0037】
可動鍵装置と第1のエンティティの間の通信が暗号化されるとき、可動鍵装置が秘密データに加えて、少なくとも1つの鍵を、すなわち、通信を復号するために使用される暗号鍵、または第1のエンティティとのQKDのための認証ステップで使用するID鍵のいずれかを記憶する必要があることが明らかである。しかしながら、可動鍵装置が、第1のエンティティと認証するために1つのID鍵だけを保持する必要がある。このID鍵は、標準的QKDで知られているように、新しい量子鍵が第1のエンティティと確立されるたびに、自動的に更新されることができ、したがって、ID鍵保持は大きな負担ではない。
【0038】
したがって、本発明は第1のエンティティと第2のエンティティの間のエンドツーエンド暗号化通信を可能にする手段を提供し、暗号化はQKDから得られるが、第1のエンティティと第2のエンティティの間に中断のない量子リンクのチェーンがない場合に適用される。
【0039】
可動鍵装置は、事実上、鍵記憶装置の役割を果たす、場所から場所へと容易に移動されることができる比較的小型の持ち運びできる装置である場合があるが、量子信号の送信および検出での固有のエラー、ならびに、同様に鍵合意過程で実行される様々なエラー訂正ステップおよびプライバシ増幅ステップのために、第1のエンティティおよび第2のエンティティにより最終的に合意される実際の鍵は、秘密データを単に見ることにより前もって知られることができないことを当業者は理解する。鍵合意ステップで到達した鍵は、暗号鍵として使用される前に別の処理を受けることがあることも当業者は知っていよう。たとえば、鍵合意ステップで得られた鍵は、より長い鍵を得るために擬似乱数発生器のシードとして使用されることがある。
【0040】
したがって、そのような小型の可動鍵装置は、必要とされるときに、共有暗号鍵の更新を可能にするために第1のエンティティから第2のエンティティまで郵便物、または急使という別の形を介して送られることができる。装置は改ざんの恐れがなく、かつ量子信号を一度だけ送信するという前提で、第1のエンティティは、当事者間で合意された鍵を決定しようと試みる唯一の方法が、量子信号が第2のエンティティに転送されるときに量子信号を測定しようと試みること、または量子伝送を傍受し第2のエンティティに見せかけようと試みることであることを確信することができる。いずれの方法も、鍵合意段階中に検出可能である。
【0041】
本発明を、量子伝送を使用しないメモリ装置上で鍵を送信する方法と対比する価値がある。そのようなメモリ装置は、鍵自体として、または鍵合意ステップで使用されるために、安全な環境で第1のエンティティにより秘密データでロードされ、第1のエンティティから第2のエンティティまで、送信されることができる。メモリ装置は、本発明の可動鍵装置と同様に、改ざんの恐れがないことが理想である。しかしながら、秘密データの量子伝送がなければ、どんな盗聴者も、メモリ装置上に記憶されるデータを正しく記録していることを保証することができ、装置がデータを一度だけ送信するように構成されている場合でさえ、複製を作り、複製を前方に送信することができる。第2のエンティティは、データが既に一度読み出されたことを知らずに、データを使用する。次に、盗聴者は鍵を決定し、その後のどんな伝送も復号することができる。
【0042】
この問題を避けるために、メモリ装置は、第2のエンティティ自体が第2のエンティティであることを証明することができる場合、第2のエンティティにだけデータを送信するように構成されることができる。すなわち、メモリ装置は認証を必要とする。しかしながらこのことは、メモリ装置が第2のエンティティのID鍵を含むことを必要とする。代案は、今回は第2のエンティティに知られている鍵をこの場合も使用する必要がある、メモリ装置と第2のエンティティの間のデータの伝送のために暗号化を使用することである。いずれの場合も、新しい鍵素材を提供する情報が、古い鍵により効果的に保護され、したがって、暗号化された素材を従来の通信リンクを介して単に送信してもよい。しかしながら、このことは、任意の1つの鍵が破られた場合、将来の鍵素材が、既存の鍵を使って傍受され、読み取られることができるので、将来のメッセージがすべて曝露されることを意味する。
【0043】
したがって、本発明の方法は、鍵素材の転送について大きな利点を提供する。
【0044】
ある種の実施形態では、可動鍵装置は乗り物の一部の中に組み込まれることがある可能性がある。乗り物は、陸、海、空、または宇宙の乗り物であれ、どんな動く乗り物でもよく、本明細書の目的については、乗り物という用語の意味において人工衛星が含まれるものとする。したがって、本発明は、第2のエンティティと接続されるように移動されることができる乗り物の中に本発明による可動鍵装置を配置することがある。第2のエンティティ自体さらに移動するために乗り物上に配置されることができる。したがって、本発明は鍵配送の一部を提供するために、スケジュールされた乗り物の移動を使用することができる。たとえば、可動鍵装置が、定期的にスケジュールされた飛行を行う航空機の中に組み込まれた場合、本発明は長距離QKDの自動的手段を提供する。たとえば、ロンドンの銀行がニューヨークの姉妹銀行と新しい鍵を合意することを望むと仮定する。ロンドンの銀行は、ニューヨーク行きの航空機とのリンクを有するロンドン空港に配置される通信ハブ量子ノードと安全な通信を確立することがある。銀行と空港通信ハブの間の通信は、銀行とハブの間の直接量子リンクを介して、または1つまたは複数の量子ノードを介してQKDにより守られることができる。
【0045】
少なくとも1つの可動鍵装置が航空機の中に組み込まれる。可動鍵装置と空港ハブの間の量子リンクを形成する機器が各空港ゲートに配置されることができ、たとえば、自由空間光学機器が、航空機の適切な部分と、空港基盤、または航空機の中にプラグインされることができる光ファイバリンクとの間でやりとりする光信号を伝送するように構成される。可動鍵装置と通信ハブの間にはまた古典的通信手段もある。銀行は、可動鍵装置に量子信号を送信するために使用される空港ハブに乱数の安全なストリングを送信する。次に、銀行は可動鍵装置と鍵合意ステップに着手し、暗号鍵を合意する。次に、銀行は、前記暗号鍵を使用して暗号化された安全なデータストリングを可動鍵装置に送信する。可動鍵装置はまた、異なる組織から異なる安全なデータストリングを受信し、そのデータを可動鍵装置のメモリの異なる部分、または別個のメモリユニットに記憶する、および/または複数の可動鍵装置が存在することがある。
【0046】
その後、航空機は最終的にロンドンを出発し、ニューヨークに向け飛び立ち、空港に着陸する。航空機がゲートで所定の位置につくと、量子リンクが可動鍵装置とニューヨークの空港の通信ハブの間に形成される。ある時点で、ロンドンの銀行からのデータを有する可動鍵装置はこの通信ハブと通信し、次に、ロンドンの銀行からメモリ内に保持された秘密データに基づき量子信号を送信する。ニューヨークの空港の通信ハブは、量子信号を検出しようと試み、最後には1組の測定されたデータに至る。次に、ニューヨークの空港の通信ハブは古典的チャネル上でロンドンの銀行と通信する。銀行およびニューヨークの空港の通信ハブは、(たとえば、初期登録過程で確立され、次に、鍵が使用されるたびに更新される)共有ID鍵に基づき互いに認証し、次に、鍵合意ステップに着手する。妨害がないと仮定して、銀行およびニューヨークの空港の通信ハブは量子鍵を合意する。次に、銀行は通信ハブにニューヨークの銀行との量子リンクを確立するよう指令し、量子信号の基底として使用される一連の乱数をハブに送り、乱数ストリングは量子鍵により暗号化される。ニューヨークの銀行は量子信号を測定しようと試み、次に、直接ロンドンの銀行と認証ステップおよび鍵合意ステップに着手する。ロンドンの銀行は、送信される量子信号について知っているので、妨害がないと仮定して、認証および鍵合意は成功する。したがって、ロンドンの銀行およびニューヨークの銀行は、直接であれ、別の方法であれ、ロンドンとニューヨークの間に機能する量子リンクがなくても、将来の通信のエンドツーエンド暗号化のために使用されることができ、かつQKD技法を使用して確立された新しい暗号鍵を確立する。
【0047】
ここで、本発明が以下の図面だけを参照して例により説明される。
【図面の簡単な説明】
【0048】
【図1】単一光リンクを介して構成される標準的なQKD送信機(アリス)およびQKD受信機(ボブ)の概略を示す図である。
【図2a】同時係属中の特許出願英国特許第0801406.0号明細書で説明される分散QKD送信機を示す図である。
【図2b】同時係属中の特許出願英国特許第0801406.0号明細書で説明される分散QKD送信機を示す図である。
【図3】本発明の可動鍵装置を例示する図である。
【発明を実施するための形態】
【0049】
図1を参照すると、標準的QKDシステムの基本構成が示される。一般にアリスと呼ばれる量子送信機102が、一般にボブと呼ばれる量子受信機104に光学的にリンクされる。光リンクは、自由空間または適切な導波路を通ることがあるが、例示のために、本明細書では光ファイバリンクとして説明される。一般のアリスユニットが、乱数発生器106、量子送信機108、制御論理回路110、および古典的トランシーバ112を含む。量子送信機108は、一連の単一光子を生成し、各光子は乱数発生器により生成される値を使用してランダムに符号化される。QKDのために使用されることができる、いくつかの異なる知られている符号化プロトコル、およびいくつかの適切な送信機があることを当業者は容易に理解しているので、これらの様態はそれ以上説明されない。この説明のために、BB84型プロトコルが仮定され、この場合、2つの符号化基底のうちの1つが光子ごとにランダムに選択され、光子は選択された符号化基底で1または0のデータ値でランダムに符号化される。適用された符号化基底に関するデータ、および各光子に対するデータ値がアリス制御論理回路110に渡される。
【0050】
一連の符号化された単一光子が、光ファイバを介してボブユニット104まで送られる。一般のボブユニットが、光子を測定する符号化基底をランダムに選択し、次に、選択された基底で光子に対するデータ値を決定する量子受信機116を含む。適用された符号化基底、および検出された各光子に対して測定された値を示す量子受信機116出力が、ボブ制御論理回路118に渡される。
【0051】
次に、アリス制御論理回路110およびボブ制御論理回路118は、知られているように、それぞれ古典的トランシーバ112および120を介して互いに通信して、共通の共有鍵を確立する。本明細書で使用されるように論理回路という用語は、鍵合意プロトコルを実行するための任意の適切な装置構成を意味することに留意されたい。制御論理回路は適切に設計されたASICでも、適切にプログラムされたFPGAでもよい。制御論理回路はまた、適切にプログラムされたマイクロプロセッサとすることができる。
【0052】
共通の共有鍵を確立する際、アリス制御論理回路110およびボブ制御論理回路118は、中間者攻撃の可能性を排除するために互いに相互に認証する。そのような認証はよく知られている手順であり、たとえば、2つの当事者が交換するメッセージにデジタル署名を適用することを伴うことがある。デジタル署名はリンクに対してID鍵と呼ばれる暗号鍵を用いて生成され、確認される。このことは、ID鍵が両方の当事者だけに知られる秘密値である場合の対称暗号技法に基づくことがある。
【0053】
QKDを使用して、新しい共通の共有鍵値を確立し、互いに相互に認証し、アリス制御論理回路110およびボブ制御論理回路118は、一つには秘密のID鍵を更新するためにその値を使用し、一つにはこれらの制御論回路間のその後の通信を保護するための暗号鍵としてその値を使用する。
【0054】
図1に関連して説明されるQKDはよく知られている技法だが、この技法はアリスとボブの間の直接光リンクを介してのみ動作するという制限がある。さらに、そのリンクの距離が、光ファイバが潜在的に光子の符号化を破壊する偏光モード分散などの、単一光子を使用する問題に固有の損失により制限される。
【0055】
本発明により、アリスとボブの間の直接量子リンクがなくても、アリスとボブの間にQKDが適用されることができるようになる。図2は本発明の原理を例示する。最初、図2aに示されるように、量子リンクおよび古典的通信リンクがアリス102と可動鍵装置104の間に確立される。上述のように、量子リンクは自由空間でも、ファイバなどの適切な導波路を介してもよい。古典的リンクはまた光学的であり、たとえば異なる波長で量子リンクと同じ媒体を介して運ばれることができる、または古典的リンクは無線または直接の電気的接続とすることができる。可動鍵装置はそれ自体の内部にボブユニット、および同様に安全なメモリも含む。可動鍵装置の構造は以下でより詳細に説明される。
【0056】
可動鍵装置202が図2aに示されるようにアリス102に接続されるとき、鍵装置のローディングが開始することができる。まず、アリスおよび可動鍵装置が図1に関連して説明されるQKDを使用して第1の量子鍵を合意する。
【0057】
次に、アリス102が、一連の乱数を可動鍵装置202に送信し、乱数は第1の量子鍵により符号化される。次に、可動鍵装置がアリスにより送信された乱数を安全なメモリ内に記憶する。乱数は、記憶前に復号されることも、必要なときに第1の量子鍵を使用して復号されるように符号化された形式で記憶されることもある。
【0058】
第1の量子鍵を合意する際、アリスは、中間攻撃者ではなく可動鍵装置とデータ伝送していることを保証するために、可動鍵装置を認証する必要があることが当業者には明らかである。したがって、可動鍵装置はアリスに知られるID鍵を有する。第1の量子鍵の認証の一部として、可動鍵装置のID鍵が更新される。可動鍵装置は単なる中継装置であるので、可動鍵装置がアリスを実際に認証する必要はなく、最終的に可動鍵装置は、データがアリスに見せかけるだれかではなくアリスに由来することを心配するボブとなる。しかしながら、ある種の例では、相互認証を行うことが望まれることがある。このことが、たとえば、可動鍵装置がアリス以外のだれかによって置き換えられるのを防ぐことがある。
【0059】
ある種の状況では、たとえば、アリスが可動鍵装置と通信していることを操作者がはっきりと見ることができるように、可動鍵装置がアリス装置と物理的に同じ場所に配置されるならば、認証することが全く必要ないことがある。しかしながら、そのような構成では、アリスと可動鍵装置の間の通信のためのどんな暗号化の必要も本当に除かれることがあり、アリスは平文で可動鍵装置に乱数を単に伝えることができる。また、前述の説明は量子鍵を確立するためのQKDの使用について説明したのに対して、アリスから可動鍵装置への乱数の配送を暗号化するために別の暗号化技法が使用されることができる。
【0060】
次に、可動鍵装置202は、図2bに示されるように、別の場所に移動させられ、そこには、ボブ104との量子チャネルリンクおよび古典的チャネルがある。可動鍵装置をボブの光受信機と正確に位置合わせさせることにより自由空間を介して量子チャネルリンクが確立されることがある。可動鍵装置は、ホルダにきれいに位置合わせして合うように形作られることができる。あるいは、ファイバまたは別の導波路インタフェース装置が、量子チャネルのための導波路リンクを提供するために、可動鍵装置に取り付けられることができる、または別の方法で接続されることができる。
【0061】
該当するQKDプロトコルのための任意の標準的タイプの初期化手順/較正手順であることがある較正手順が行われると、量子送信機を含む可動鍵装置は、記憶された乱数を使用して、量子信号を生成する。たとえば、この場合もBB84型プロトコルに従って、符号化されるデータ値1または0だけでなく、各光子に適用される符号化基底、たとえばプラス偏光(rectilinear polarisation)またはクロス偏光(diagonal polarisation)を決定するために乱数が使用されることがある。量子信号は量子チャネルを介してボブに送られる。鍵装置が量子信号を送信すると、鍵装置はメモリから乱数シーケンスを削除し、次に、新しい乱数をロードする準備ができる。
【0062】
ボブ104は、ちょうど図1を参照して説明されるように、受信した光子を検出し、符号化基底をランダムに選択して、光子データ値を測定しようと試みる。信号が検出されると、次に、ボブはQKDで知られているエラー訂正ステップ、プライバシ増幅ステップ、および認証ステップを開始する。しかしながら、これらのステップは、可動鍵装置とではなく、古典的リンク204を介してアリス102と実行される。したがって、エンドツーエンドユーザであるアリスおよびボブは互いに認証し、したがって、アリスはボブへの量子伝送で乱数が使用されたことを確信することができ、ボブは使用された数値がアリスに由来することを確信することができる。したがって、彼らは暗号鍵を、または少なくとも暗号鍵の基底として使用されることができる素材を合意することができ、暗号鍵は古典的チャネル204を介して彼らの間のデータトラフィックのエンドツーエンド暗号化のために使用されることができる。
【0063】
可動鍵装置の構造が図3でより詳細に示されている。量子受信機301が、入力量子チャネル305が確立されたときに入力量子チャネル305上の入力量子信号を受信するように配置される。入力量子リンクを確立するために、導波光学機器(guiding optics)/インタフェース光学機器(図示せず)が提供される。制御論理回路302が量子受信機301から量子信号を受信する。制御論理回路302は、較正および同期の目的のために量子交換の前に量子信号を送信する当事者と通信し、次に、その後データのシフティング、エラー検出、およびプライバシ増幅に着手する。通信は古典的チャネル307を介して行われる。制御論理回路はまた、必要ならば、認証ステップも実行する。
【0064】
したがって、制御論理回路302は、検出された量子信号に応答して外部のアリスと量子鍵を合意することができる。この鍵は暗号ユニット303にロードされる。暗号法303は、量子鍵を使用して暗号化された乱数ストリングの通信を受信し、メモリ308内に記憶するためにその通信を復号する。したがって、この実施形態では、乱数は平文で記憶されるが、必要であれば、暗号化されたデータが記憶されることができる。上記の構成要素はどれも改ざんの恐れのないハウジング309内に配置されるので、データは平文で記憶されることができる。ハウジングがいずれかの時点でいずれかの手段により開かれた場合、制御論理回路302、暗号法303、およびメモリ308内に記憶されたすべてのデータが回復できないように削除される。ハウジング309はまた、放出(emission)を防ぐために、また探索を防ぐために構成要素のシールディングを提供する。
【0065】
可動鍵装置が後で出力量子チャネル306に接続されたとき、メモリ308内に記憶されたデータが量子送信機304に転送され、出力チャネル306上に適切な量子信号を送信するために使用される。メモリからデータを転送することで、メモリからそのデータを回復できないほどに削除することになる。したがって、データは一度、しかも一回だけ使用されることができる。
【0066】
上記で説明される可動鍵装置は比較的小型なことがあり、したがって容易に持ち運びできることがある。可動鍵装置はコンピュータ装置の中に、すなわち、メモリスティックまたは同様のもののように直接差し込まれるように構成されることがある。その場合、装置にデータをロードする人が、装置の中への情報の直接転送を信頼することができるので、量子受信機および暗号法は省かれることがある。重要なことは、一度、しかも一回だけ発生する装置の外への情報の量子転送だけである。

【特許請求の範囲】
【請求項1】
第1のエンティティから第2のエンティティへの鍵配送方法であって、第1のエンティティが可動鍵装置と秘密データを共有するために前記可動鍵装置と通信するステップと、前記可動鍵装置を前記第2のエンティティとの量子リンクを有する場所まで移動させるステップと、前記量子リンク上に前記可動鍵装置から前記第2のエンティティまで量子信号を送信するステップであって、量子信号が前記秘密データに基づく該ステップと、前記第1のエンティティおよび前記第2のエンティティが第2のエンティティにより受信された量子信号に基づき鍵合意に着手するステップとを含む、方法。
【請求項2】
前記秘密データが乱数の少なくとも1つのストリングを含む、請求項1に記載の方法。
【請求項3】
秘密データが第1のエンティティから可動鍵装置に送信される、請求項1または2に記載の方法。
【請求項4】
第2のエンティティとの量子リンクが、自由空間経路、および適切な導波路(複数可)を通る経路のうちの1つまたは複数を含む、請求項1から3のいずれか一項に記載の方法。
【請求項5】
量子信号が一連の適切に変調された信号光子を含む、請求項1から4のいずれか一項に記載の方法。
【請求項6】
鍵合意に着手するステップが第1のエンティティおよび第2のエンティティが認証を行うステップを含む、請求項1から5のいずれか一項に記載の方法。
【請求項7】
可動鍵装置が一度、しかも一回だけ秘密データに基づき量子信号を送信する、請求項1から6のいずれか一項に記載の方法。
【請求項8】
秘密データが使用されたときに秘密データを削除するステップを含む、請求項7に記載の方法。
【請求項9】
可動鍵装置が安全で改ざんの恐れのないハウジングを含む、請求項1から8のいずれか一項に記載の方法。
【請求項10】
第1のエンティティと可動鍵装置の間の通信が暗号化される、請求項1から9のいずれか一項に記載の方法。
【請求項11】
第1のエンティティと可動鍵装置の間の通信が、第1のエンティティと可動鍵装置の間の量子鍵配送により得られる量子鍵を使って第1のエンティティと可動鍵装置の間の通信を暗号化することにより保護される、請求項10に記載の方法。
【請求項12】
可動鍵装置が少なくとも1つの量子ノードを介して第1のエンティティにリンクされる、請求項10または11に記載の方法。
【請求項13】
第1のエンティティおよび第2のエンティティが鍵合意に着手した後、第1のエンティティおよび第2のエンティティが、第2のエンティティと第3のエンティティの間の量子交換の詳細に関して安全に通信するステップをさらに含む、請求項1から12のいずれか一項に記載の方法。
【請求項14】
第1のエンティティおよび第3のエンティティが新しい鍵を合意するために鍵合意ステップに着手するステップをさらに含む、請求項13に記載の方法。
【請求項15】
可動鍵装置が持ち運びできる装置である、請求項1から14のいずれか一項に記載の方法。
【請求項16】
可動鍵装置が郵便または急使により移動される、請求項15に記載の方法。
【請求項17】
可動鍵装置が乗り物内部に組み込まれる、請求項1から14のいずれか一項に記載の方法。
【請求項18】
可動鍵装置が航空機内部に組み込まれる、請求項17に記載の方法。

【図1】
image rotate

【図2a】
image rotate

【図2b】
image rotate

【図3】
image rotate


【公表番号】特表2011−521581(P2011−521581A)
【公表日】平成23年7月21日(2011.7.21)
【国際特許分類】
【出願番号】特願2011−510039(P2011−510039)
【出願日】平成21年5月15日(2009.5.15)
【国際出願番号】PCT/GB2009/001226
【国際公開番号】WO2009/141587
【国際公開日】平成21年11月26日(2009.11.26)
【出願人】(501352882)キネテイツク・リミテツド (93)
【Fターム(参考)】