共通秘密暗号鍵の配送システム及び配送方法
【課題】量子鍵配送の安全性を高めるとともに、単位時間スロット内に複数個の光子が混入しても安全性の顕著な低下が生じさせずに鍵配送レートを向上させる。
【解決手段】受信側と送信側間の共通秘密暗号鍵配送システムは、内部もしくは外部自由度に関して最大の量子力学的な相関を有するような初期状態Fに準備された二つの光子a、bから形成される光子対abを発生させる光子対発生手段と、出力された光子aを時間ΔTの間保存する保存手段と、受け取った光子bの状態を操作し、符号化したい鍵情報ビットが1であるのか0であるのかに応じて、光子対abの状態を量子相関の度合いが弱められた異なる状態m1またはm2に変換して光子bを受信側に送り返す符号化手段と、光子aと送り返された光子bを二光子干渉させ、光子対abの状態が状態m1、m2の何れであるかを判別する復号化手段を備える。受信側は、光子対発生手段、保存手段及び復号化手段を有し、光子aを外部に出さない。
【解決手段】受信側と送信側間の共通秘密暗号鍵配送システムは、内部もしくは外部自由度に関して最大の量子力学的な相関を有するような初期状態Fに準備された二つの光子a、bから形成される光子対abを発生させる光子対発生手段と、出力された光子aを時間ΔTの間保存する保存手段と、受け取った光子bの状態を操作し、符号化したい鍵情報ビットが1であるのか0であるのかに応じて、光子対abの状態を量子相関の度合いが弱められた異なる状態m1またはm2に変換して光子bを受信側に送り返す符号化手段と、光子aと送り返された光子bを二光子干渉させ、光子対abの状態が状態m1、m2の何れであるかを判別する復号化手段を備える。受信側は、光子対発生手段、保存手段及び復号化手段を有し、光子aを外部に出さない。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、二地点間での秘密通信に使用するための共通秘密暗号鍵を共有するための鍵配送システム及び配送方法に関する。より詳細には、本発明は、暗号鍵の情報を光子等のキャリア粒子の量子力学的な状態を利用して配送することで、伝送チャネルに対する第三者の介入が不可避的にもたらす量子力学的な状態の変化を検知し鍵配送に用いる伝送チャネルの安全性を保証する量子鍵配送技術に関する。
【背景技術】
【0002】
従来、二者間で秘密共通鍵を配送する方式には大きく分けて2つの方式が知られている。つまり、数学的なアルゴリズムに基づく方式及び物理的な自然法則に基づく方式の二種類である。前者の方式は、数学的な演算処理の複雑性及び解読のために必要とされる計算量の膨大さを安全性の根拠としている。一方、後者の方式は、物理現象の中に現れる人為的には制御できない揺らぎの性質を利用している。
【0003】
特に、光の素粒子である光子が示す量子力学的な揺らぎ(個々のイベント毎の測定結果が示す平均値のまわりでのバラつき)を利用したものが量子鍵配送(非特許文献2参照)である。量子鍵配送では鍵の送信者と受信者の間で伝送前後の光子の量子状態(例えば、偏光の状態)の変化の有無や度合いを、多数個の光子に対して検証することにより、使用した伝送路に対して第三者による盗聴行為がなされたかもしれない確率を、光子の個数に対して指数関数的にゼロに漸近させることができる。これは確率論的な安全性と呼ばれており、配送された鍵の安全性の高さを根拠付けている。一方、上述した数学的なアルゴリズムに基づく鍵配送方式では確率論的な安全性を達成することはできないため、この点が量子鍵配送を行う最大の利点として知られている。
【0004】
ここで、量子鍵配送の基本的な原理を説明するため、代表的な量子鍵配送プロトコルであるBB84プロトコル(非特許文献1参照)について簡単に説明する。なお、この量子鍵配送プロトコルは、二者間で直接暗号文の送受信ができるわけではなく、暗号に必要な鍵データを安全に共有できるためのものである。以下の説明では、送信者をボブ(Bob)、受信者をアリス(Alice)として説明する。
【0005】
送信者であるボブは、手元に二値乱数表を用意し、それにしたがって乱数表のビット列を一連の光子の偏光状態に符号化する。具体的には、ビット値「1」の場合には、H(水平偏光)かR(右回り円偏光)をランダムに選択し、ビット値「0」の場合には、V(垂直偏光)かL(左回り円偏光)をランダムに選択する。そして、ボブは、これらの量子を受信者であるアリスに送る。偏光HとVを直線偏光基底と呼び、偏光RとLを円偏光基底と呼ぶ。
【0006】
アリスは、ボブから送られてきた光子を測定せずに保存しておく。次に、ボブは、検査用に充分な数の光子を何個かサンプルとして指定し、それぞれの検査用光子ごとに偏光状態の読み出しに必要な偏光基底(直線偏光基底または円偏光基底)をアリスに対して公表する。アリスは、ボブから指定された偏光基底を用いて偏光状態の読み出しを行い、読み出し結果をボブに知らせる。このとき、伝送路に第三者の介入がなければアリスが得た偏光状態とボブが送った偏光状態は一致する。
【0007】
一方、もしアリスがボブからの基底公表を待たずに、任意に偏光基底を選択して光子の偏光状態を読み出したとすると、偏光基底がたまたま合っていた場合を除き、光子の偏光状態は破壊されてしまう。例えば、水平偏光の光子|H>を円偏光基底で測定するとそれぞれ1/2の確率で右回りの円偏光の光子|R>、左回りの円偏光の光子|L>が出力される。この場合、出力結果だけからは、初めから円偏光の光子が送られてきたのか、それとも直線偏光の光子が送られてきたのか全く分からなくなってしまう。このため、アリスは、ボブによる測定基底の公表まで偏光状態の読み出しを待つ必要がある。
【0008】
伝送路の途中で第三者が光子に符号化されたビットの情報を盗聴するためには、個々の光子の量子状態を複製して複製分を手元においておきボブによる偏光基底の公表を待てばよい。しかしながら、未知の量子状態を複製することは自然法則から原理的に不可能であり、情報を幾らでも得るためには偏光基底の公表を待たずに何らかの方法で測定を行う必要がある。上記の説明によれば、この測定に伴って光子の偏光状態が当初の偏光状態とは異なったものに変化してしまう場合が少なからず生じる。こうした光子をそれとは知らずにボブになりすましてアリスに送ったとしても、アリスとボブの偏光状態の照合の際に不一致をもたらすことになり、盗聴行為は見破られてしまう。
【先行技術文献】
【非特許文献】
【0009】
【非特許文献1】C.H. Bennett, G. Brassard, “Quantum Cryptography: Public Key Distribution and Coin Tossing”, Proceedings of IEEE International Conference on Computers Systems and Signal Processing, Bangalore India, pp 175-179, December 1984.
【非特許文献2】M.A. Nielsen and I.L. Chuang, “Quantum Computation and Quantum Information” (Cambridge University Press, 2000), Chapter 12.6.
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、量子鍵配送プロトコルであるBB84プロトコルが成立するためには単位時間スロット毎にビット情報を担う光子が1個以下しか含まれていないことが必須である。仮に、ある単位時間スロットが同じ偏光状態に符号化された2個の光子を含んでいたとすると、盗聴者はそのうちの任意の1個を抜き取って保存しておき、ボブによる基底公表を待って測定することによりアリスとボブに見破られることなく光子の偏光状態に符号化されたビット情報を得ることができてしまう。つまり、初めから複製が一緒に配られているのであれば量子鍵配送はそもそも成り立たない。
【0011】
従来の技術では、単位時間スロット内に1個以上の複数個の光子が混入してしまう確率をゼロにすることは困難であり、単位時間スロット内の平均光子数を1より著しく小さく設定することで複数個の光子混入の確率をかろうじて小さく抑えている。しかしながら、このことは鍵配送レートの低下を余儀なくさせていた。
【0012】
本発明は、このような問題に鑑みてなされたもので、単一光子への操作を前提とする全ての量子鍵配送方式が有している上述の問題点を解決し、量子鍵配送の安全性を高めるとともに、単位時間スロット内に複数個の光子が混入しても安全性の顕著な低下が生じないようにすることで、結果的に鍵配送レートを向上させることを目的とする。
【課題を解決するための手段】
【0013】
上記の課題を解決するために、本発明に係る受信側と送信側間の共通秘密暗号鍵の配送方法は、(a)前記受信側が、量子力学的な相関を有するような初期状態Fに準備された二つの光子aと光子bとから形成される光子対abを発生させるステップと、(b)前記受信側が、光子aを必要な時間ΔTの間保存するステップと、(c)前記受信側が、光子bを送信側に送るステップと、(d)前記送信側が、前記受信側から送られた光子bの状態を操作し、符号化したい鍵情報に応じて前記光子対abの状態を量子相関の度合いが弱められた異なる二種類の量子状態m1と量子状態m2のいずれかの状態に変換して光子bを出力するステップと、(e)前記送信側が、前記ステップ(d)にて出力される光子bを受信側に送り返すステップと、(f)前記受信側が、前記ステップ(b)にて保存された光子aと前記ステップ(e)にて送り返された光子bとを二光子干渉させて、光子対abの状態が前記量子状態m1及び量子状態m2のいずれであるのかを出力するステップと、を含み、前記光子aは、前記受信側の内部に保持されて外部に出ることはなく、前記必要な時間ΔTは、ステップ(a)の光子対abの発生から前記ステップ(f)の二光子干渉までの時間とするように設定され、前記量子状態m1及び量子状態m2は、前記ステップ(d)で前記送信側による光子bへの操作だけでは該二つの状態の間を確率1では変換できず、かつ互いに直交するように設定され、前記ステップ(d)での符号化情報とステップ(f)の出力とによって、第三者による不正アクセスの有無を識別することを特徴する。
【0014】
また、本発明に係る受信側と送信側間の共通秘密暗号鍵の配送システムは、量子力学的な相関を有するような初期状態Fに準備された二つの光子aと光子bとから形成される光子対abを発生させるための光子対発生手段と、前記光子対発生手段から出力される光子aを必要な時間ΔTの間保存するための保存手段と、前記光子対発生手段から出力される光子bを送信側に送るための第1の伝送手段と、前記第1の伝送手段から出力される光子bの状態を操作し、符号化したい鍵情報に応じて、前記光子対abの状態を量子相関の度合いが弱められた異なる二種類の量子状態m1と量子状態m2のいずれかの状態に変換して光子bを出力するための符号化手段と、前記符号化手段から出力される光子bを受信側に送り返すための第2の伝送手段と、前記保存手段から出力される光子aと前記第2の伝送手段から出力される光子bとを入力して二光子干渉させ、光子対abの状態が前記量子状態m1及び量子状態m2のいずれであるのかを出力する復号化手段と、を備え、前記受信側は、光子aがその外部に出ないように保持し、前記必要な時間ΔTは、前記光子対abの発生から、前記光子aと前記光子bとの前記二光子干渉までの時間とするように設定され、前記量子状態m1及び量子状態m2は、前記符号化手段に入力された光子bへの操作だけでは該二つの状態の間を確率1では変換できず、かつ互いに直交するように設定され、前記符号化手段での符号化情報と復号化手段での出力とによって、第三者による不正アクセスの有無を識別することを特徴する。
【発明の効果】
【0015】
本発明は、二つの光子aと光子bの量子状態が非最大エンタングルド状態にあるとき、通信路には光子bのみを往復させて鍵情報を符号化し、光子aとの結合測定によって情報を読み出すことにより、従来の量子鍵配送方法と比較して安全性に優れた暗号鍵の配送が可能になるという効果が得られる。
【図面の簡単な説明】
【0016】
【図1】鍵情報「1」を符号化するための偏光依存光学装置M1の構成を示す図である。
【図2】鍵情報「0」を符号化するための偏光依存光学装置M2の構成を示す図である。
【図3】復号化装置の構成を示す図である。
【図4】本発明の一実施形態に係る装置の構成を示す図である。
【発明を実施するための形態】
【0017】
以下、本発明の実施形態について詳細に説明する。図4を参照しながら本発明に係る共通秘密暗号鍵の配送システムを説明しながら、当該配送システム内の各構成要素について、本発明に関する原理と構成例を図1〜図3を参照して具体的に説明する。なお、以下の説明では、上述のBB84プロトコルと同様に光子の内部状態として偏光状態を想定して説明を行う。
【0018】
図4は、本発明の一実施形態に係る共通秘密暗号鍵の配送システム400を示す。当該配送システム400は、光子対発生装置410、保存媒体420、第1の伝送媒体430、符号化装置440、第2の伝送媒体450、復号化装置460を備える。これらの構成要素410〜460のうち、受信者側(地点A、アリス)は、光子対発生装置410、保存媒体420、復号化装置460を有し、情報送信者側(地点B、ボブ)は、符号化装置440を有するものとして説明を行う。
【0019】
光子対発生装置410は、内部もしくは外部自由度に関して最大の量子力学的な相関(量子もつれあい)を有するような初期状態Fに準備された二つの光子aと光子bとから形成される量子もつれ光子対abを発生させる。
【0020】
ここで、アリスによる光子対abの準備をより詳細に説明する。
【0021】
アリスは、光子対abの初期状態を最大にエンタングルした状態F(Bell状態と呼ばれる)に準備する。エンタングル状態とは、2つ以上の粒子の量子状態が特定の組み合わせで相関を持った量子状態のことを指す。この状態Fは、幾つかの手段(例えば、式1)で実際に発生させることが可能である。
【0022】
【数1】
【0023】
図4に示すように、アリスは光子aを保存媒体420にて保持しておき、第1の伝送媒体430を介して光子bのみをボブに送る。
【0024】
なお、本発明において、光子対発生装置410として偏光状態に関して量子相関をもつ光子対を発生する装置を利用することが可能である。
【0025】
再び、図4の説明に戻る。保存媒体420は、光子対発生装置410から出力される光子aを必要な時間ΔTだけ受信者側(地点A、アリス)に保存するために使用される。この保存時間ΔTを、光子bが地点Bに到達し、再び地点Aまで戻ってくる往復時間に一致するように設定することもできる。なお、保存媒体420としては、光ファイバー等の光遅延媒体を利用することが可能である。
【0026】
第1の伝送媒体430は、光子対発生装置410から出力される光子bを送信者側(地点B、ボブ)に送るために使用される。第1の伝送媒体430は、光ファイバーとすることも可能である。
【0027】
符号化装置440は、第1の伝送媒体430から出力される光子bの状態を操作し、符号化したいビットが「1」であるか「0」であるかに応じて、光子対abの状態を量子相関の度合いが弱められた異なる二種類の状態m1と状態m2のいずれかの状態に変換するために使用される。なお、符号化装置440として偏光に依存した透過損失を有する光媒体を利用することも可能である。
【0028】
ここで、図1及び図2を参照しつつ、ボブによるビットの符号化について詳細に説明する。なお、PBS(Polarization Beam Splitter)は、偏波ビームスプリッタを示している。
【0029】
図1に示すように、符号化したい鍵情報ビットが「1」である場合、ボブは偏光依存光学装置M1に光子bを入力する。偏光依存光学装置M1は、垂直偏光成分|V>についてはそのまま透過させ、水平偏光成分|H>については透過係数t(<1)で透過させ反射係数r(=1−t)で反射させる装置である。光子bが反射された場合はM1の反射ポートCから出力されNGとして処理され、ボブはそれをアリスに知らせる。一方、反射ポートCでの光子bの検出が無かった場合には、そのことを通知した上で光子bをアリスに返送する。
【0030】
偏光依存光学装置M1を通過した時点で光子対abの状態は式2のように表される。
【0031】
【数2】
【0032】
ここで、光子bが反射ポートCで検出されなかった場合には光子対abの量子状態は、
【0033】
【数3】
【0034】
に射影される。状態m1が生成される確率は(1+t)/2となる。状態m1は第1項と第2項の確率振幅が異なり、非最大エンタングルド状態となっている。ボブは、透過係数tを関係式cos2(θ+π/4)=t/(1+t)にしたがって設定する。ここで角度θは、光子対のエンタングルメント(量子もつれあい)の度合いを示すパラメータであり、0<θ<π/4の値をとりうるものとする。
【0035】
一方、図2に示すように、符号化したい鍵情報ビットが「0」である場合、ボブは偏光依存光学装置M2に光子bを入力する。偏光依存光学装置M2は、水平偏光成分|H>については位相シフトπを施した上でそのまま透過させ、垂直偏光成分|V>については透過係数t(<1)で透過させ反射係数r(=1−t)で反射させる装置である。
【0036】
偏光依存光学装置M2を通過した時点で光子対abの状態は式4のように表される。
【0037】
【数4】
【0038】
ここで、光子bが反射ポートCで検出されなかった場合には光子対abの量子状態は、測定に伴う波束の収縮によって、
【0039】
【数5】
【0040】
に射影される。状態m2が生成される確率は(1+t)/2となる。状態m2は第1項と第2項の確率振幅が異なり、非最大エンタングルド状態となっている。ボブは、透過係数tを関係式cos2(θ+π/4)=t/(1+t)にしたがって設定する。光子bが反射された場合はM2の反射ポートCから出力されNGとして処理され、ボブはそれをアリスに知らせる。一方で反射ポートCでの光子bの検出が無かった場合には、そのことを通知した上で光子bをアリスに返送する。
【0041】
図1及び図2を参照して説明したように、ボブによるビットの符号化は確率的にしか成功しないが、ビットの内容が暗号鍵として使用する乱数である場合には符号化の失敗に伴う欠損があっても残ったビットが乱数であることに変わりはないので問題は生じない。
【0042】
初期状態Fと状態m1、m2とではエンタングルメントの度合いが異なるため、光子bに対する操作だけでは確率1で初期状態Fから状態m1、m2に変換することは原理的に不可能であり、上述のように量子状態の収縮を含む射影測定を伴う過程によって確率的に変換するより他に方法がない。また同様のことは、エンタングルメントの度合いが同じであるにも係わらず、状態m1と状態m2との間の状態の変換についてもあてはまる。これらのことは一見すると符号化を行うボブにとっての制約のように見えるが、後述するように、盗聴者にとって重大な制約となり結果としてアリスとボブによる盗聴の検知を可能にしている。
【0043】
再び、図4の説明に戻る。第2の伝送媒体450は、符号化装置440から出力される光子bを受信者側(地点A、アリス)に送り返すために使用される。第2の伝送媒体450は、光ファイバーとすることも可能である。
【0044】
復号化装置460は、保存媒体420から取り出した光子aと、第2の伝送媒体450から出力された光子bとを入力し、光子対abの状態が二種類の状態m1とm2のどちらの状態にあるのかに対応して「1」または「0」を出力する。つまり、地点Bでの符号化ビットの値と引き続く地点Aでの復号化ビットとの一致/不一致を確認することで、第1の伝送媒体430と第2の伝送媒体450に対する第三者の介入がないことを保証する。
【0045】
なお、復号化装置460として非対称な分岐比を有する光ビームスプリッタと光子検出器とを組み合わせて利用することも可能である。
【0046】
ここで、図3を参照しながら、アリスによるビットの復号化について詳細に説明する。
【0047】
なお、状態m1と状態m2とは直交しており、アリスは光子対abに対して適切な測定基底を選択すればこれらの二つの量子状態を弁別できる。これは単一の光子に対する直線偏光基底(水平か垂直かを弁別)が果たす役割に相当する。
【0048】
図3は、復号化装置の具体的な構成例を示す。復号化装置は、二つの二光子干渉計を組み合わせたものになっている。光子bは偏光状態を反転させる偏光制御素子XBを通過した後、分岐比50:50の半透過鏡HM1に入力される。偏光制御素子XBを通過することによって光子対abの量子状態m1とm2はそれぞれm1´(式6)とm2´(式7)に変換される。
【0049】
【数6】
【0050】
【数7】
【0051】
反射に対応した波動関数の確率振幅成分は第1の非対称分岐ビームスプリッタ(ABS1)に入力される。また、半透過鏡HM1を透過した確率振幅成分は、偏光状態に依存した位相差を与える偏光制御素子ZB(垂直偏光成分|V>に対して位相シフトπを与える)を通過した後、第2の非対称分岐ビームスプリッタ(ABS2)に入力される。
【0052】
一方で光子aは、分岐比50:50の半透過鏡HM2に入力される。透過に対応する波動関数の確率振幅成分は第1の非対称分岐ビームスプリッタ(ABS1)に入力され、反射に対応する確率振幅成分は第2の非対称分岐ビームスプリッタ(ABS2)に入力される。
【0053】
光子bが、HM1により反射され且つ光子aがHM2を透過する場合は1/4の確率で生じ、ABS1において、二光子干渉すなわち光子対abの量子状態m1´もしくはm2´の右辺の第1項と第2項との間での干渉が起こる。ここで第1の非対称分岐ビームスプリッタ(ABS1)の透過係数をTとする(反射係数は1−T)。ABS1の二つの出力ポートRC、RDのそれぞれに更に水平偏光成分|H>と垂直偏光成分|V>とを分離する偏波ビームスプリッタ(PBS)を挿入し、それぞれの出力ポートを図3に示すようにRCH、RCV、RDH、RDVとする。
【0054】
ここで、第1の非対称分岐ビームスプリッタ(ABS1)の透過係数Tを
【0055】
【数8】
【0056】
となるように選ぶと、二光子干渉の結果、状態m1を復号化装置に入力した場合には、RCVとRDHで同時に光子が検出される確率P(RCV,RDH;m1)はゼロとなる。一方で状態m2が入力された場合にはRCVとRDHで同時に光子が検出される確率P(RCV,RDH;m2)は、式9のようになる。
【0057】
【数9】
【0058】
よって、RCVとRDHとで同時に二つの光子が検出された場合には、復号化装置に入力された状態がm2であったことが判明する。
【0059】
同様に、光子bがHM1を透過し且つ光子aがHM2によって反射される場合は1/4の確率で生じ、第2の非対称分岐ビームスプリッタ(ABS2)において、二光子干渉、すなわち光子対abの量子状態m1´もしくはm2´の右辺の第1項と第2項との間での干渉が起こる。ここで第2の非対称ビームスプリッタ(ABS2)の透過係数をTとする(反射係数は1−T)。ABS2の二つの出力ポートLC、LDのそれぞれに更に水平変更成分|H>と垂直偏光成分|V>とを分離する偏波ビームスプリッタ(PBS)を挿入し、それぞれの出力ポートを図3に示すようにLCH、LCV、LDH、LDVとする。ここで第2の非対称分岐ビームスプリッタ(ABS2)の透過係数Tを
【0060】
【数10】
【0061】
となるように選ぶと、二光子干渉の結果、状態m2を復号化装置に入力した場合には、LCHとLDVで同時に光子が検出される確率P(LCH,LDV;m2)はゼロとなる。一方で状態m1が入力された場合にはLCHとLDVで同時に光子が検出される確率P(LCH,LDV;m1)は、式11のようになる。
【0062】
【数11】
【0063】
よって、LCHとLDVとで同時に二つの光子が検出された場合には、復号化装置に入力された状態がm1であったことが判明する。
【0064】
このように復号化装置に入力された状態がm1であるのか、m2であるのかを有限の確率で断定することができる。よって、ボブが鍵情報の符号化に成功した光子対のうち、平均して全体の(1/4)×(1+t)/(1+√t)2程度の光子対については、アリスは鍵情報の読み出しに成功する。例としてt=0.0715を選ぶと、この確率は1/6程度となる。
【0065】
ここで、本発明における盗聴の検出について説明する。
【0066】
上述したように、鍵の情報は光子bに符号化されているのではなく、光子aと光子bの非最大にエンタングルした状態m1もしくはm2に符号化されているため、盗聴者は伝送路上を戻る光子bだけにアクセスしても鍵の情報を充分にとることはできない。そこで盗聴者はアリスになりすまして光子a´と光子b´とを用意し、アリスと同様に振舞うことで戻ってきた粒子b´と手元にある粒子a´の結合測定を行ってボブが符号化した鍵情報を得るようにすることは可能である。
【0067】
次に、盗聴が露見しないためには得られた鍵情報をアリスに再送しなくてはならない。そのためにはアリスから送られてきた粒子bに対して操作を施すことにより、光子対abの量子状態F(最大にエンタングルした状態)を得られた鍵情報にしたがってm1かm2(非最大にエンタングルした状態)に変換しなくてはならない。しかしながら、状態Fとm1、m2とではエンタングルメント(量子もつれあい)の度合いが異なるため、光子bに対する操作のみで確率1で状態Fからこれらの状態に変換することは原理的に不可能である。光子bに対する操作を最適化して、目的とする状態(m1もしくはm2)に変換される確率ができるだけ高くなるようにしても、その確率は(1+√t)/(2(1+t))にとどまる。
【0068】
また、盗聴者がボブ同様に符号化装置(偏光依存光学装置M1もしくはM2)を用いて状態Fを目的であるm1やm2に意図的に変換しようとしても、その成功確率は前述したように(1+t)/2であり、確率(1−t)/2で再送が不可能になってしまうため、この方法は採用することができない。
【0069】
よって、アリスとボブが充分に多くの光子対をサンプルして符号化した鍵情報と復号化した鍵情報のビット値の照合を行った場合、盗聴者の再送行為は必然的にビット値の不符合をもたらす結果になる。一方でサンプルした多くの光子対について不符合がなければ残りの光子対についても盗聴者の不介在とビット値の一致が保証されるため、これらを暗号鍵として利用することができる。サンプルした光子対の全てについて盗聴者が検証を免れる確率はサンプル数に対して指数関数的にゼロに漸近する。
【0070】
上記で説明したように、本発明では、鍵のビット情報を伝送路を伝わる単一の光子に担わせるのではなく、受信者(地点A、アリス)の手元に保存され外部には出ることのない光子aと、まずアリスからボブ(地点B)へと送られボブによるビット情報の符号化を経た上でアリスへと返送される光子bとの間の量子力学的なもつれ合いの状態(非最大エンタングルド状態)に担わせることによって、光子aと光子bの両方が揃っていない限りビット情報の復号ができないようになっている。
【0071】
このため、第三者が伝送路上の粒子bに不正にアクセスして量子状態を測定したとしても入手可能なビット情報には限りがある上、従来の量子鍵配送方式と同様に測定に伴う量子状態の破壊によって盗聴は見破られてしまう。さらに光子bに単独にアクセスしただけでは原理的に鍵情報の復号化ができないために、たとえ単位時間スロット内に光子bが複数個含まれていたとしてもビット情報の確定は不可能である。この点は、本発明が従来技術に比して安全性を向上させるものである。
【符号の説明】
【0072】
410 光子対発生装置
420 保存媒体
430 第1の伝送媒体
440 符号化装置
450 第2の伝送媒体
460 復号化装置
【技術分野】
【0001】
本発明は、二地点間での秘密通信に使用するための共通秘密暗号鍵を共有するための鍵配送システム及び配送方法に関する。より詳細には、本発明は、暗号鍵の情報を光子等のキャリア粒子の量子力学的な状態を利用して配送することで、伝送チャネルに対する第三者の介入が不可避的にもたらす量子力学的な状態の変化を検知し鍵配送に用いる伝送チャネルの安全性を保証する量子鍵配送技術に関する。
【背景技術】
【0002】
従来、二者間で秘密共通鍵を配送する方式には大きく分けて2つの方式が知られている。つまり、数学的なアルゴリズムに基づく方式及び物理的な自然法則に基づく方式の二種類である。前者の方式は、数学的な演算処理の複雑性及び解読のために必要とされる計算量の膨大さを安全性の根拠としている。一方、後者の方式は、物理現象の中に現れる人為的には制御できない揺らぎの性質を利用している。
【0003】
特に、光の素粒子である光子が示す量子力学的な揺らぎ(個々のイベント毎の測定結果が示す平均値のまわりでのバラつき)を利用したものが量子鍵配送(非特許文献2参照)である。量子鍵配送では鍵の送信者と受信者の間で伝送前後の光子の量子状態(例えば、偏光の状態)の変化の有無や度合いを、多数個の光子に対して検証することにより、使用した伝送路に対して第三者による盗聴行為がなされたかもしれない確率を、光子の個数に対して指数関数的にゼロに漸近させることができる。これは確率論的な安全性と呼ばれており、配送された鍵の安全性の高さを根拠付けている。一方、上述した数学的なアルゴリズムに基づく鍵配送方式では確率論的な安全性を達成することはできないため、この点が量子鍵配送を行う最大の利点として知られている。
【0004】
ここで、量子鍵配送の基本的な原理を説明するため、代表的な量子鍵配送プロトコルであるBB84プロトコル(非特許文献1参照)について簡単に説明する。なお、この量子鍵配送プロトコルは、二者間で直接暗号文の送受信ができるわけではなく、暗号に必要な鍵データを安全に共有できるためのものである。以下の説明では、送信者をボブ(Bob)、受信者をアリス(Alice)として説明する。
【0005】
送信者であるボブは、手元に二値乱数表を用意し、それにしたがって乱数表のビット列を一連の光子の偏光状態に符号化する。具体的には、ビット値「1」の場合には、H(水平偏光)かR(右回り円偏光)をランダムに選択し、ビット値「0」の場合には、V(垂直偏光)かL(左回り円偏光)をランダムに選択する。そして、ボブは、これらの量子を受信者であるアリスに送る。偏光HとVを直線偏光基底と呼び、偏光RとLを円偏光基底と呼ぶ。
【0006】
アリスは、ボブから送られてきた光子を測定せずに保存しておく。次に、ボブは、検査用に充分な数の光子を何個かサンプルとして指定し、それぞれの検査用光子ごとに偏光状態の読み出しに必要な偏光基底(直線偏光基底または円偏光基底)をアリスに対して公表する。アリスは、ボブから指定された偏光基底を用いて偏光状態の読み出しを行い、読み出し結果をボブに知らせる。このとき、伝送路に第三者の介入がなければアリスが得た偏光状態とボブが送った偏光状態は一致する。
【0007】
一方、もしアリスがボブからの基底公表を待たずに、任意に偏光基底を選択して光子の偏光状態を読み出したとすると、偏光基底がたまたま合っていた場合を除き、光子の偏光状態は破壊されてしまう。例えば、水平偏光の光子|H>を円偏光基底で測定するとそれぞれ1/2の確率で右回りの円偏光の光子|R>、左回りの円偏光の光子|L>が出力される。この場合、出力結果だけからは、初めから円偏光の光子が送られてきたのか、それとも直線偏光の光子が送られてきたのか全く分からなくなってしまう。このため、アリスは、ボブによる測定基底の公表まで偏光状態の読み出しを待つ必要がある。
【0008】
伝送路の途中で第三者が光子に符号化されたビットの情報を盗聴するためには、個々の光子の量子状態を複製して複製分を手元においておきボブによる偏光基底の公表を待てばよい。しかしながら、未知の量子状態を複製することは自然法則から原理的に不可能であり、情報を幾らでも得るためには偏光基底の公表を待たずに何らかの方法で測定を行う必要がある。上記の説明によれば、この測定に伴って光子の偏光状態が当初の偏光状態とは異なったものに変化してしまう場合が少なからず生じる。こうした光子をそれとは知らずにボブになりすましてアリスに送ったとしても、アリスとボブの偏光状態の照合の際に不一致をもたらすことになり、盗聴行為は見破られてしまう。
【先行技術文献】
【非特許文献】
【0009】
【非特許文献1】C.H. Bennett, G. Brassard, “Quantum Cryptography: Public Key Distribution and Coin Tossing”, Proceedings of IEEE International Conference on Computers Systems and Signal Processing, Bangalore India, pp 175-179, December 1984.
【非特許文献2】M.A. Nielsen and I.L. Chuang, “Quantum Computation and Quantum Information” (Cambridge University Press, 2000), Chapter 12.6.
【発明の概要】
【発明が解決しようとする課題】
【0010】
しかしながら、量子鍵配送プロトコルであるBB84プロトコルが成立するためには単位時間スロット毎にビット情報を担う光子が1個以下しか含まれていないことが必須である。仮に、ある単位時間スロットが同じ偏光状態に符号化された2個の光子を含んでいたとすると、盗聴者はそのうちの任意の1個を抜き取って保存しておき、ボブによる基底公表を待って測定することによりアリスとボブに見破られることなく光子の偏光状態に符号化されたビット情報を得ることができてしまう。つまり、初めから複製が一緒に配られているのであれば量子鍵配送はそもそも成り立たない。
【0011】
従来の技術では、単位時間スロット内に1個以上の複数個の光子が混入してしまう確率をゼロにすることは困難であり、単位時間スロット内の平均光子数を1より著しく小さく設定することで複数個の光子混入の確率をかろうじて小さく抑えている。しかしながら、このことは鍵配送レートの低下を余儀なくさせていた。
【0012】
本発明は、このような問題に鑑みてなされたもので、単一光子への操作を前提とする全ての量子鍵配送方式が有している上述の問題点を解決し、量子鍵配送の安全性を高めるとともに、単位時間スロット内に複数個の光子が混入しても安全性の顕著な低下が生じないようにすることで、結果的に鍵配送レートを向上させることを目的とする。
【課題を解決するための手段】
【0013】
上記の課題を解決するために、本発明に係る受信側と送信側間の共通秘密暗号鍵の配送方法は、(a)前記受信側が、量子力学的な相関を有するような初期状態Fに準備された二つの光子aと光子bとから形成される光子対abを発生させるステップと、(b)前記受信側が、光子aを必要な時間ΔTの間保存するステップと、(c)前記受信側が、光子bを送信側に送るステップと、(d)前記送信側が、前記受信側から送られた光子bの状態を操作し、符号化したい鍵情報に応じて前記光子対abの状態を量子相関の度合いが弱められた異なる二種類の量子状態m1と量子状態m2のいずれかの状態に変換して光子bを出力するステップと、(e)前記送信側が、前記ステップ(d)にて出力される光子bを受信側に送り返すステップと、(f)前記受信側が、前記ステップ(b)にて保存された光子aと前記ステップ(e)にて送り返された光子bとを二光子干渉させて、光子対abの状態が前記量子状態m1及び量子状態m2のいずれであるのかを出力するステップと、を含み、前記光子aは、前記受信側の内部に保持されて外部に出ることはなく、前記必要な時間ΔTは、ステップ(a)の光子対abの発生から前記ステップ(f)の二光子干渉までの時間とするように設定され、前記量子状態m1及び量子状態m2は、前記ステップ(d)で前記送信側による光子bへの操作だけでは該二つの状態の間を確率1では変換できず、かつ互いに直交するように設定され、前記ステップ(d)での符号化情報とステップ(f)の出力とによって、第三者による不正アクセスの有無を識別することを特徴する。
【0014】
また、本発明に係る受信側と送信側間の共通秘密暗号鍵の配送システムは、量子力学的な相関を有するような初期状態Fに準備された二つの光子aと光子bとから形成される光子対abを発生させるための光子対発生手段と、前記光子対発生手段から出力される光子aを必要な時間ΔTの間保存するための保存手段と、前記光子対発生手段から出力される光子bを送信側に送るための第1の伝送手段と、前記第1の伝送手段から出力される光子bの状態を操作し、符号化したい鍵情報に応じて、前記光子対abの状態を量子相関の度合いが弱められた異なる二種類の量子状態m1と量子状態m2のいずれかの状態に変換して光子bを出力するための符号化手段と、前記符号化手段から出力される光子bを受信側に送り返すための第2の伝送手段と、前記保存手段から出力される光子aと前記第2の伝送手段から出力される光子bとを入力して二光子干渉させ、光子対abの状態が前記量子状態m1及び量子状態m2のいずれであるのかを出力する復号化手段と、を備え、前記受信側は、光子aがその外部に出ないように保持し、前記必要な時間ΔTは、前記光子対abの発生から、前記光子aと前記光子bとの前記二光子干渉までの時間とするように設定され、前記量子状態m1及び量子状態m2は、前記符号化手段に入力された光子bへの操作だけでは該二つの状態の間を確率1では変換できず、かつ互いに直交するように設定され、前記符号化手段での符号化情報と復号化手段での出力とによって、第三者による不正アクセスの有無を識別することを特徴する。
【発明の効果】
【0015】
本発明は、二つの光子aと光子bの量子状態が非最大エンタングルド状態にあるとき、通信路には光子bのみを往復させて鍵情報を符号化し、光子aとの結合測定によって情報を読み出すことにより、従来の量子鍵配送方法と比較して安全性に優れた暗号鍵の配送が可能になるという効果が得られる。
【図面の簡単な説明】
【0016】
【図1】鍵情報「1」を符号化するための偏光依存光学装置M1の構成を示す図である。
【図2】鍵情報「0」を符号化するための偏光依存光学装置M2の構成を示す図である。
【図3】復号化装置の構成を示す図である。
【図4】本発明の一実施形態に係る装置の構成を示す図である。
【発明を実施するための形態】
【0017】
以下、本発明の実施形態について詳細に説明する。図4を参照しながら本発明に係る共通秘密暗号鍵の配送システムを説明しながら、当該配送システム内の各構成要素について、本発明に関する原理と構成例を図1〜図3を参照して具体的に説明する。なお、以下の説明では、上述のBB84プロトコルと同様に光子の内部状態として偏光状態を想定して説明を行う。
【0018】
図4は、本発明の一実施形態に係る共通秘密暗号鍵の配送システム400を示す。当該配送システム400は、光子対発生装置410、保存媒体420、第1の伝送媒体430、符号化装置440、第2の伝送媒体450、復号化装置460を備える。これらの構成要素410〜460のうち、受信者側(地点A、アリス)は、光子対発生装置410、保存媒体420、復号化装置460を有し、情報送信者側(地点B、ボブ)は、符号化装置440を有するものとして説明を行う。
【0019】
光子対発生装置410は、内部もしくは外部自由度に関して最大の量子力学的な相関(量子もつれあい)を有するような初期状態Fに準備された二つの光子aと光子bとから形成される量子もつれ光子対abを発生させる。
【0020】
ここで、アリスによる光子対abの準備をより詳細に説明する。
【0021】
アリスは、光子対abの初期状態を最大にエンタングルした状態F(Bell状態と呼ばれる)に準備する。エンタングル状態とは、2つ以上の粒子の量子状態が特定の組み合わせで相関を持った量子状態のことを指す。この状態Fは、幾つかの手段(例えば、式1)で実際に発生させることが可能である。
【0022】
【数1】
【0023】
図4に示すように、アリスは光子aを保存媒体420にて保持しておき、第1の伝送媒体430を介して光子bのみをボブに送る。
【0024】
なお、本発明において、光子対発生装置410として偏光状態に関して量子相関をもつ光子対を発生する装置を利用することが可能である。
【0025】
再び、図4の説明に戻る。保存媒体420は、光子対発生装置410から出力される光子aを必要な時間ΔTだけ受信者側(地点A、アリス)に保存するために使用される。この保存時間ΔTを、光子bが地点Bに到達し、再び地点Aまで戻ってくる往復時間に一致するように設定することもできる。なお、保存媒体420としては、光ファイバー等の光遅延媒体を利用することが可能である。
【0026】
第1の伝送媒体430は、光子対発生装置410から出力される光子bを送信者側(地点B、ボブ)に送るために使用される。第1の伝送媒体430は、光ファイバーとすることも可能である。
【0027】
符号化装置440は、第1の伝送媒体430から出力される光子bの状態を操作し、符号化したいビットが「1」であるか「0」であるかに応じて、光子対abの状態を量子相関の度合いが弱められた異なる二種類の状態m1と状態m2のいずれかの状態に変換するために使用される。なお、符号化装置440として偏光に依存した透過損失を有する光媒体を利用することも可能である。
【0028】
ここで、図1及び図2を参照しつつ、ボブによるビットの符号化について詳細に説明する。なお、PBS(Polarization Beam Splitter)は、偏波ビームスプリッタを示している。
【0029】
図1に示すように、符号化したい鍵情報ビットが「1」である場合、ボブは偏光依存光学装置M1に光子bを入力する。偏光依存光学装置M1は、垂直偏光成分|V>についてはそのまま透過させ、水平偏光成分|H>については透過係数t(<1)で透過させ反射係数r(=1−t)で反射させる装置である。光子bが反射された場合はM1の反射ポートCから出力されNGとして処理され、ボブはそれをアリスに知らせる。一方、反射ポートCでの光子bの検出が無かった場合には、そのことを通知した上で光子bをアリスに返送する。
【0030】
偏光依存光学装置M1を通過した時点で光子対abの状態は式2のように表される。
【0031】
【数2】
【0032】
ここで、光子bが反射ポートCで検出されなかった場合には光子対abの量子状態は、
【0033】
【数3】
【0034】
に射影される。状態m1が生成される確率は(1+t)/2となる。状態m1は第1項と第2項の確率振幅が異なり、非最大エンタングルド状態となっている。ボブは、透過係数tを関係式cos2(θ+π/4)=t/(1+t)にしたがって設定する。ここで角度θは、光子対のエンタングルメント(量子もつれあい)の度合いを示すパラメータであり、0<θ<π/4の値をとりうるものとする。
【0035】
一方、図2に示すように、符号化したい鍵情報ビットが「0」である場合、ボブは偏光依存光学装置M2に光子bを入力する。偏光依存光学装置M2は、水平偏光成分|H>については位相シフトπを施した上でそのまま透過させ、垂直偏光成分|V>については透過係数t(<1)で透過させ反射係数r(=1−t)で反射させる装置である。
【0036】
偏光依存光学装置M2を通過した時点で光子対abの状態は式4のように表される。
【0037】
【数4】
【0038】
ここで、光子bが反射ポートCで検出されなかった場合には光子対abの量子状態は、測定に伴う波束の収縮によって、
【0039】
【数5】
【0040】
に射影される。状態m2が生成される確率は(1+t)/2となる。状態m2は第1項と第2項の確率振幅が異なり、非最大エンタングルド状態となっている。ボブは、透過係数tを関係式cos2(θ+π/4)=t/(1+t)にしたがって設定する。光子bが反射された場合はM2の反射ポートCから出力されNGとして処理され、ボブはそれをアリスに知らせる。一方で反射ポートCでの光子bの検出が無かった場合には、そのことを通知した上で光子bをアリスに返送する。
【0041】
図1及び図2を参照して説明したように、ボブによるビットの符号化は確率的にしか成功しないが、ビットの内容が暗号鍵として使用する乱数である場合には符号化の失敗に伴う欠損があっても残ったビットが乱数であることに変わりはないので問題は生じない。
【0042】
初期状態Fと状態m1、m2とではエンタングルメントの度合いが異なるため、光子bに対する操作だけでは確率1で初期状態Fから状態m1、m2に変換することは原理的に不可能であり、上述のように量子状態の収縮を含む射影測定を伴う過程によって確率的に変換するより他に方法がない。また同様のことは、エンタングルメントの度合いが同じであるにも係わらず、状態m1と状態m2との間の状態の変換についてもあてはまる。これらのことは一見すると符号化を行うボブにとっての制約のように見えるが、後述するように、盗聴者にとって重大な制約となり結果としてアリスとボブによる盗聴の検知を可能にしている。
【0043】
再び、図4の説明に戻る。第2の伝送媒体450は、符号化装置440から出力される光子bを受信者側(地点A、アリス)に送り返すために使用される。第2の伝送媒体450は、光ファイバーとすることも可能である。
【0044】
復号化装置460は、保存媒体420から取り出した光子aと、第2の伝送媒体450から出力された光子bとを入力し、光子対abの状態が二種類の状態m1とm2のどちらの状態にあるのかに対応して「1」または「0」を出力する。つまり、地点Bでの符号化ビットの値と引き続く地点Aでの復号化ビットとの一致/不一致を確認することで、第1の伝送媒体430と第2の伝送媒体450に対する第三者の介入がないことを保証する。
【0045】
なお、復号化装置460として非対称な分岐比を有する光ビームスプリッタと光子検出器とを組み合わせて利用することも可能である。
【0046】
ここで、図3を参照しながら、アリスによるビットの復号化について詳細に説明する。
【0047】
なお、状態m1と状態m2とは直交しており、アリスは光子対abに対して適切な測定基底を選択すればこれらの二つの量子状態を弁別できる。これは単一の光子に対する直線偏光基底(水平か垂直かを弁別)が果たす役割に相当する。
【0048】
図3は、復号化装置の具体的な構成例を示す。復号化装置は、二つの二光子干渉計を組み合わせたものになっている。光子bは偏光状態を反転させる偏光制御素子XBを通過した後、分岐比50:50の半透過鏡HM1に入力される。偏光制御素子XBを通過することによって光子対abの量子状態m1とm2はそれぞれm1´(式6)とm2´(式7)に変換される。
【0049】
【数6】
【0050】
【数7】
【0051】
反射に対応した波動関数の確率振幅成分は第1の非対称分岐ビームスプリッタ(ABS1)に入力される。また、半透過鏡HM1を透過した確率振幅成分は、偏光状態に依存した位相差を与える偏光制御素子ZB(垂直偏光成分|V>に対して位相シフトπを与える)を通過した後、第2の非対称分岐ビームスプリッタ(ABS2)に入力される。
【0052】
一方で光子aは、分岐比50:50の半透過鏡HM2に入力される。透過に対応する波動関数の確率振幅成分は第1の非対称分岐ビームスプリッタ(ABS1)に入力され、反射に対応する確率振幅成分は第2の非対称分岐ビームスプリッタ(ABS2)に入力される。
【0053】
光子bが、HM1により反射され且つ光子aがHM2を透過する場合は1/4の確率で生じ、ABS1において、二光子干渉すなわち光子対abの量子状態m1´もしくはm2´の右辺の第1項と第2項との間での干渉が起こる。ここで第1の非対称分岐ビームスプリッタ(ABS1)の透過係数をTとする(反射係数は1−T)。ABS1の二つの出力ポートRC、RDのそれぞれに更に水平偏光成分|H>と垂直偏光成分|V>とを分離する偏波ビームスプリッタ(PBS)を挿入し、それぞれの出力ポートを図3に示すようにRCH、RCV、RDH、RDVとする。
【0054】
ここで、第1の非対称分岐ビームスプリッタ(ABS1)の透過係数Tを
【0055】
【数8】
【0056】
となるように選ぶと、二光子干渉の結果、状態m1を復号化装置に入力した場合には、RCVとRDHで同時に光子が検出される確率P(RCV,RDH;m1)はゼロとなる。一方で状態m2が入力された場合にはRCVとRDHで同時に光子が検出される確率P(RCV,RDH;m2)は、式9のようになる。
【0057】
【数9】
【0058】
よって、RCVとRDHとで同時に二つの光子が検出された場合には、復号化装置に入力された状態がm2であったことが判明する。
【0059】
同様に、光子bがHM1を透過し且つ光子aがHM2によって反射される場合は1/4の確率で生じ、第2の非対称分岐ビームスプリッタ(ABS2)において、二光子干渉、すなわち光子対abの量子状態m1´もしくはm2´の右辺の第1項と第2項との間での干渉が起こる。ここで第2の非対称ビームスプリッタ(ABS2)の透過係数をTとする(反射係数は1−T)。ABS2の二つの出力ポートLC、LDのそれぞれに更に水平変更成分|H>と垂直偏光成分|V>とを分離する偏波ビームスプリッタ(PBS)を挿入し、それぞれの出力ポートを図3に示すようにLCH、LCV、LDH、LDVとする。ここで第2の非対称分岐ビームスプリッタ(ABS2)の透過係数Tを
【0060】
【数10】
【0061】
となるように選ぶと、二光子干渉の結果、状態m2を復号化装置に入力した場合には、LCHとLDVで同時に光子が検出される確率P(LCH,LDV;m2)はゼロとなる。一方で状態m1が入力された場合にはLCHとLDVで同時に光子が検出される確率P(LCH,LDV;m1)は、式11のようになる。
【0062】
【数11】
【0063】
よって、LCHとLDVとで同時に二つの光子が検出された場合には、復号化装置に入力された状態がm1であったことが判明する。
【0064】
このように復号化装置に入力された状態がm1であるのか、m2であるのかを有限の確率で断定することができる。よって、ボブが鍵情報の符号化に成功した光子対のうち、平均して全体の(1/4)×(1+t)/(1+√t)2程度の光子対については、アリスは鍵情報の読み出しに成功する。例としてt=0.0715を選ぶと、この確率は1/6程度となる。
【0065】
ここで、本発明における盗聴の検出について説明する。
【0066】
上述したように、鍵の情報は光子bに符号化されているのではなく、光子aと光子bの非最大にエンタングルした状態m1もしくはm2に符号化されているため、盗聴者は伝送路上を戻る光子bだけにアクセスしても鍵の情報を充分にとることはできない。そこで盗聴者はアリスになりすまして光子a´と光子b´とを用意し、アリスと同様に振舞うことで戻ってきた粒子b´と手元にある粒子a´の結合測定を行ってボブが符号化した鍵情報を得るようにすることは可能である。
【0067】
次に、盗聴が露見しないためには得られた鍵情報をアリスに再送しなくてはならない。そのためにはアリスから送られてきた粒子bに対して操作を施すことにより、光子対abの量子状態F(最大にエンタングルした状態)を得られた鍵情報にしたがってm1かm2(非最大にエンタングルした状態)に変換しなくてはならない。しかしながら、状態Fとm1、m2とではエンタングルメント(量子もつれあい)の度合いが異なるため、光子bに対する操作のみで確率1で状態Fからこれらの状態に変換することは原理的に不可能である。光子bに対する操作を最適化して、目的とする状態(m1もしくはm2)に変換される確率ができるだけ高くなるようにしても、その確率は(1+√t)/(2(1+t))にとどまる。
【0068】
また、盗聴者がボブ同様に符号化装置(偏光依存光学装置M1もしくはM2)を用いて状態Fを目的であるm1やm2に意図的に変換しようとしても、その成功確率は前述したように(1+t)/2であり、確率(1−t)/2で再送が不可能になってしまうため、この方法は採用することができない。
【0069】
よって、アリスとボブが充分に多くの光子対をサンプルして符号化した鍵情報と復号化した鍵情報のビット値の照合を行った場合、盗聴者の再送行為は必然的にビット値の不符合をもたらす結果になる。一方でサンプルした多くの光子対について不符合がなければ残りの光子対についても盗聴者の不介在とビット値の一致が保証されるため、これらを暗号鍵として利用することができる。サンプルした光子対の全てについて盗聴者が検証を免れる確率はサンプル数に対して指数関数的にゼロに漸近する。
【0070】
上記で説明したように、本発明では、鍵のビット情報を伝送路を伝わる単一の光子に担わせるのではなく、受信者(地点A、アリス)の手元に保存され外部には出ることのない光子aと、まずアリスからボブ(地点B)へと送られボブによるビット情報の符号化を経た上でアリスへと返送される光子bとの間の量子力学的なもつれ合いの状態(非最大エンタングルド状態)に担わせることによって、光子aと光子bの両方が揃っていない限りビット情報の復号ができないようになっている。
【0071】
このため、第三者が伝送路上の粒子bに不正にアクセスして量子状態を測定したとしても入手可能なビット情報には限りがある上、従来の量子鍵配送方式と同様に測定に伴う量子状態の破壊によって盗聴は見破られてしまう。さらに光子bに単独にアクセスしただけでは原理的に鍵情報の復号化ができないために、たとえ単位時間スロット内に光子bが複数個含まれていたとしてもビット情報の確定は不可能である。この点は、本発明が従来技術に比して安全性を向上させるものである。
【符号の説明】
【0072】
410 光子対発生装置
420 保存媒体
430 第1の伝送媒体
440 符号化装置
450 第2の伝送媒体
460 復号化装置
【特許請求の範囲】
【請求項1】
受信側と送信側間の共通秘密暗号鍵の配送方法であって、
(a)前記受信側が、量子力学的な相関を有するような初期状態Fに準備された二つの光子aと光子bとから形成される光子対abを発生させるステップと、
(b)前記受信側が、光子aを必要な時間ΔTの間保存するステップと、
(c)前記受信側が、光子bを送信側に送るステップと、
(d)前記送信側が、前記受信側から送られた光子bの状態を操作し、符号化したい鍵情報に応じて前記光子対abの状態を量子相関の度合いが弱められた異なる二種類の量子状態m1と量子状態m2のいずれかの状態に変換して光子bを出力するステップと、
(e)前記送信側が、前記ステップ(d)にて出力される光子bを受信側に送り返すステップと、
(f)前記受信側が、前記ステップ(b)にて保存された光子aと前記ステップ(e)にて送り返された光子bとを二光子干渉させて、光子対abの状態が前記量子状態m1及び量子状態m2のいずれであるのかを出力するステップと
を含み、
前記光子aは、前記受信側の内部に保持されて外部に出ることはなく、
前記必要な時間ΔTは、ステップ(a)の光子対abの発生から前記ステップ(f)の二光子干渉までの時間とするように設定され、
前記量子状態m1及び量子状態m2は、前記ステップ(d)で前記送信側による光子bへの操作だけでは該二つの状態の間を確率1では変換できず、かつ互いに直交するように設定され、
前記ステップ(d)での符号化情報とステップ(f)の出力とによって、第三者による不正アクセスの有無を識別する
ことを特徴する共通秘密暗号鍵の配送方法。
【請求項2】
前記ステップ(a)において、
前記光子対abの初期状態を、|H>が水平偏光成分であり、|V>が垂直偏光成分を示す式
【数1】
を用いて最大にエンタングルした状態Fにすることを特徴とする請求項1に記載の共通秘密暗号鍵の配送方法。
【請求項3】
前記ステップ(d)において、符号化したい鍵情報をビット情報1とした場合、
垂直偏光成分|V>についてはそのまま透過させ、水平偏光成分|H>については透過係数t(<1)で透過させ反射係数r(=1−t)で反射させる第1の偏光依存光学手段に光子bを入力し、該第1の偏光依存光学手段にて反射が検出されない場合には、前記光子対abの状態を量子状態m1に変換して光子bを出力し、
該量子状態m1が、
【数2】
であることを特徴とする請求項1に記載の共通秘密暗号鍵の配送方法。
【請求項4】
前記ステップ(d)において、符号化したい鍵情報をビット情報0とした場合、
水平偏光成分|H>については位相シフトπを施した上でそのまま透過させ、垂直偏光成分|V>については透過係数t(<1)で透過させ反射係数r(=1−t)で反射させる第2の偏光依存光学手段に光子bを入力し、該第2の偏光依存光学手段にて反射が検出されない場合には、前記光子対abの状態を量子状態m2に変換して光子bを出力し、
該量子状態m2が、
【数3】
であることを特徴とする請求項1に記載の共通秘密暗号鍵の配送方法。
【請求項5】
前記ステップ(f)において、
前記受信側が、光子bを、偏光状態を反転させる偏光制御手段を通過させることによって、光子対abの前記量子状態m1及び量子状態m2をそれぞれ量子状態m1´とm2´に変換し、
該m1´は、
【数4】
であり、該m2´は、
【数5】
であり、
該m1´の第1項と第2項の間で干渉を生じさせ、該m2´の第1項と第2項の間で干渉を生じさせることを特徴とする請求項3及び4のいずれかに記載の共通秘密暗号鍵の配送方法。
【請求項6】
受信側と送信側間の共通秘密暗号鍵の配送システムであって、
量子力学的な相関を有するような初期状態Fに準備された二つの光子aと光子bとから形成される光子対abを発生させるための光子対発生手段と、
前記光子対発生手段から出力される光子aを必要な時間ΔTの間保存するための保存手段と、
前記光子対発生手段から出力される光子bを送信側に送るための第1の伝送手段と、
前記第1の伝送手段から出力される光子bの状態を操作し、符号化したい鍵情報に応じて、前記光子対abの状態を量子相関の度合いが弱められた異なる二種類の量子状態m1と量子状態m2のいずれかの状態に変換して光子bを出力するための符号化手段と、
前記符号化手段から出力される光子bを受信側に送り返すための第2の伝送手段と、
前記保存手段から出力される光子aと前記第2の伝送手段から出力される光子bとを入力して二光子干渉させ、光子対abの状態が前記量子状態m1及び量子状態m2のいずれであるのかを出力する復号化手段と
を備え、
前記受信側は、光子aがその外部に出ないように保持し、
前記必要な時間ΔTは、前記光子対abの発生から、前記光子aと前記光子bとの前記二光子干渉までの時間とするように設定され、
前記量子状態m1及び量子状態m2は、前記符号化手段に入力された光子bへの操作だけでは該二つの状態の間を確率1では変換できず、かつ互いに直交するように設定され、
前記符号化手段での符号化情報と復号化手段での出力とによって、第三者による不正アクセスの有無を識別する
ことを特徴する共通秘密暗号鍵の配送システム。
【請求項7】
前記光子対発生手段は、偏光状態に関して量子相関をもつ光子対abを発生させ、
前記保存手段は、光遅延媒体としての光ファイバーであり、
前記第1の伝送手段及び前記第2の伝送手段は、光ファイバーであり、
前記符号化手段は、偏光に依存した透過損失を有する光媒体であり、
前記復号化手段は、非対称な分岐比を有する光ビームスプリッタと光子検出器との組み合わせである
ことを特徴とする請求項6記載の共通秘密暗号鍵の配送システム。
【請求項1】
受信側と送信側間の共通秘密暗号鍵の配送方法であって、
(a)前記受信側が、量子力学的な相関を有するような初期状態Fに準備された二つの光子aと光子bとから形成される光子対abを発生させるステップと、
(b)前記受信側が、光子aを必要な時間ΔTの間保存するステップと、
(c)前記受信側が、光子bを送信側に送るステップと、
(d)前記送信側が、前記受信側から送られた光子bの状態を操作し、符号化したい鍵情報に応じて前記光子対abの状態を量子相関の度合いが弱められた異なる二種類の量子状態m1と量子状態m2のいずれかの状態に変換して光子bを出力するステップと、
(e)前記送信側が、前記ステップ(d)にて出力される光子bを受信側に送り返すステップと、
(f)前記受信側が、前記ステップ(b)にて保存された光子aと前記ステップ(e)にて送り返された光子bとを二光子干渉させて、光子対abの状態が前記量子状態m1及び量子状態m2のいずれであるのかを出力するステップと
を含み、
前記光子aは、前記受信側の内部に保持されて外部に出ることはなく、
前記必要な時間ΔTは、ステップ(a)の光子対abの発生から前記ステップ(f)の二光子干渉までの時間とするように設定され、
前記量子状態m1及び量子状態m2は、前記ステップ(d)で前記送信側による光子bへの操作だけでは該二つの状態の間を確率1では変換できず、かつ互いに直交するように設定され、
前記ステップ(d)での符号化情報とステップ(f)の出力とによって、第三者による不正アクセスの有無を識別する
ことを特徴する共通秘密暗号鍵の配送方法。
【請求項2】
前記ステップ(a)において、
前記光子対abの初期状態を、|H>が水平偏光成分であり、|V>が垂直偏光成分を示す式
【数1】
を用いて最大にエンタングルした状態Fにすることを特徴とする請求項1に記載の共通秘密暗号鍵の配送方法。
【請求項3】
前記ステップ(d)において、符号化したい鍵情報をビット情報1とした場合、
垂直偏光成分|V>についてはそのまま透過させ、水平偏光成分|H>については透過係数t(<1)で透過させ反射係数r(=1−t)で反射させる第1の偏光依存光学手段に光子bを入力し、該第1の偏光依存光学手段にて反射が検出されない場合には、前記光子対abの状態を量子状態m1に変換して光子bを出力し、
該量子状態m1が、
【数2】
であることを特徴とする請求項1に記載の共通秘密暗号鍵の配送方法。
【請求項4】
前記ステップ(d)において、符号化したい鍵情報をビット情報0とした場合、
水平偏光成分|H>については位相シフトπを施した上でそのまま透過させ、垂直偏光成分|V>については透過係数t(<1)で透過させ反射係数r(=1−t)で反射させる第2の偏光依存光学手段に光子bを入力し、該第2の偏光依存光学手段にて反射が検出されない場合には、前記光子対abの状態を量子状態m2に変換して光子bを出力し、
該量子状態m2が、
【数3】
であることを特徴とする請求項1に記載の共通秘密暗号鍵の配送方法。
【請求項5】
前記ステップ(f)において、
前記受信側が、光子bを、偏光状態を反転させる偏光制御手段を通過させることによって、光子対abの前記量子状態m1及び量子状態m2をそれぞれ量子状態m1´とm2´に変換し、
該m1´は、
【数4】
であり、該m2´は、
【数5】
であり、
該m1´の第1項と第2項の間で干渉を生じさせ、該m2´の第1項と第2項の間で干渉を生じさせることを特徴とする請求項3及び4のいずれかに記載の共通秘密暗号鍵の配送方法。
【請求項6】
受信側と送信側間の共通秘密暗号鍵の配送システムであって、
量子力学的な相関を有するような初期状態Fに準備された二つの光子aと光子bとから形成される光子対abを発生させるための光子対発生手段と、
前記光子対発生手段から出力される光子aを必要な時間ΔTの間保存するための保存手段と、
前記光子対発生手段から出力される光子bを送信側に送るための第1の伝送手段と、
前記第1の伝送手段から出力される光子bの状態を操作し、符号化したい鍵情報に応じて、前記光子対abの状態を量子相関の度合いが弱められた異なる二種類の量子状態m1と量子状態m2のいずれかの状態に変換して光子bを出力するための符号化手段と、
前記符号化手段から出力される光子bを受信側に送り返すための第2の伝送手段と、
前記保存手段から出力される光子aと前記第2の伝送手段から出力される光子bとを入力して二光子干渉させ、光子対abの状態が前記量子状態m1及び量子状態m2のいずれであるのかを出力する復号化手段と
を備え、
前記受信側は、光子aがその外部に出ないように保持し、
前記必要な時間ΔTは、前記光子対abの発生から、前記光子aと前記光子bとの前記二光子干渉までの時間とするように設定され、
前記量子状態m1及び量子状態m2は、前記符号化手段に入力された光子bへの操作だけでは該二つの状態の間を確率1では変換できず、かつ互いに直交するように設定され、
前記符号化手段での符号化情報と復号化手段での出力とによって、第三者による不正アクセスの有無を識別する
ことを特徴する共通秘密暗号鍵の配送システム。
【請求項7】
前記光子対発生手段は、偏光状態に関して量子相関をもつ光子対abを発生させ、
前記保存手段は、光遅延媒体としての光ファイバーであり、
前記第1の伝送手段及び前記第2の伝送手段は、光ファイバーであり、
前記符号化手段は、偏光に依存した透過損失を有する光媒体であり、
前記復号化手段は、非対称な分岐比を有する光ビームスプリッタと光子検出器との組み合わせである
ことを特徴とする請求項6記載の共通秘密暗号鍵の配送システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2010−166527(P2010−166527A)
【公開日】平成22年7月29日(2010.7.29)
【国際特許分類】
【出願番号】特願2009−9284(P2009−9284)
【出願日】平成21年1月19日(2009.1.19)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成22年7月29日(2010.7.29)
【国際特許分類】
【出願日】平成21年1月19日(2009.1.19)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]