古典的なビット暗号化を有するQKD
【課題】QKDステーションであるアリスとボブ(10)を有する量子鍵配送(QKD)システムの安全を強化するための方法を示す。
【解決手段】この方法は、真の乱数発生器(TRNG)によって生成され偏光又は位相変調器に送られた鍵ビットを暗号化して、アリスとボブ(10)によって共有される量子ビットとしての弱い光パルスを符号化することを含む。鍵ビット暗号化は、共有パスワードとストリーム暗号を用いて実現される。ボブは、同じ暗号ストリームと共有パスワードを利用することで、アリス(10)によって用いられた元の鍵ビットの少なくとも一つのサブセットを得る。
【解決手段】この方法は、真の乱数発生器(TRNG)によって生成され偏光又は位相変調器に送られた鍵ビットを暗号化して、アリスとボブ(10)によって共有される量子ビットとしての弱い光パルスを符号化することを含む。鍵ビット暗号化は、共有パスワードとストリーム暗号を用いて実現される。ボブは、同じ暗号ストリームと共有パスワードを利用することで、アリス(10)によって用いられた元の鍵ビットの少なくとも一つのサブセットを得る。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、量子暗号化に関し、特に、古典的な暗号化を量子鍵配送プロセスに付加することによって、量子鍵配送(QKD)システムの安全を強化するシステム及び方法に関連しており、さらにそれらシステム及び方法について産業上の利用性を有している。
【背景技術】
【0002】
量子鍵配送は、「量子チャネル」越しに送信された弱い光信号(例えば、平均で0.1フォトン)を用いて、送信者(「アリス」)と受信者(「ボブ」)との間で、鍵を設定することに関係する。鍵配送の安全性は、不確定状態にある量子系はどれでも測定するとその状態を変えるという、量子力学の原則に基づいている。結果として、量子信号を妨害あるいは測定しようとする盗聴者(「イブ」)は、送信信号にエラーを引き起こしてしまうため、その存在が明らかになる。
【0003】
量子暗号の一般的な原則は、ベネットとブラッザールの論文(非特許文献1参照)の中で初めて発表された。具体的なQKDシステムは、ベネットの論文(非特許文献2,3参照)に記載されている。
上述の文献は、それぞれ、いわゆる「一方向」型QKDシステムについて述べている。一方向型QKDシステムとは、アリスが単一光子の偏光又は位相をランダムに符号化して、ボブがそれら光子の偏光又は位相をランダムに測定するものである。非特許文献3に述べられている一方向型システムは、二光束マッハ・ツェンダー干渉計に基づいている。アリス及びボブは、各々が干渉計の位相を制御できるように、干渉システムの各部にアクセス可能となっている。アリスからボブに送られる信号(パルス)は、時間多重分割されて異なる経路をたどる。その結果、干渉計は、熱的ドリフトを補償するために、伝送中は数十ナノ秒内で動的に安定する必要がある。
【0004】
ギシンの特許文献1(以下、‘234特許と称す)では、偏光や熱ゆらぎを自動補正する、いわゆる「双方向」型QKDシステムについて開示されている。このように、‘234特許の双方向型QKDシステムは、一方向型システムに比べて環境の影響を受けにくい。
QKDを実行する一般的なプロセスは、ボーミスターの著作(非特許文献4参照)に記載されている。QKDプロセス中は、アリスは真の乱数発生器(TRNG)を用いて、基底(「基底ビット」)のためのランダム・ビットと鍵(「鍵ビット」)のためのランダム・ビットとを発生させ、それによって、量子ビットを作り出して(例えば、偏光又は位相符号化を用いて)それをボブに送る。
【特許文献1】米国特許第6,438,234号公報
【非特許文献1】Quantum Cryptography:Public key distribution and coin tossing, Proceedings of the International Conference on Computers、Systems and Signal Processing,Bangalore,India,1984,pp.175−179(IEEE、New York,1984)
【非特許文献2】Experimental Quantum Cryptography
【非特許文献3】Quantum Cryptography Using Any Two Non-Orthogonal States, Phys. Rev. Lett. 683121(1992)
【非特許文献4】The Physics of Quantum Information, Springer-Verlag 2001, in Section2.3, pages27-33
【発明の開示】
【発明が解決しようとする課題】
【0005】
QKDは理論的には安全なのであるが、QKDを実際に実行すると、盗聴者が鍵ビットに関する情報を入手するいくつかの方法を許してしまう。例えば、一つの光子における鍵ビットの値を符号化するためには、電磁放射を行う高速な電子機器回路が必要になる。この放射は、盗聴者のいわゆる「サイド・チャンネル攻撃」によって測定可能である。位相変調器は実際に十分に測定可能な電磁放射を行うので、位相符号化されたQKDにとっては、この攻撃は深刻な問題となり得る。第2に、盗聴者は、ファイバ内の伝送をモニタすることによって、鍵についての部分的な情報を得るかもしれない。このことは、多光子パルスが弱いコヒーラント源によって生成される場合に起こる。盗聴者は、伝送にエラーを起こさせることなく、このようなパルスを測定可能である。第3に、盗聴者は、位相変調器の状態についての情報を得るために、タイミングをとった探索パルスを用いて、いわゆる「トロイの木馬攻撃」をアリスに仕掛けることができるかもしれない。
【課題を解決するための手段】
【0006】
下記に詳細に説明するように、本発明の第一の見地は量子鍵配送(QKD)を実行する方法である。この方法は、鍵ビットのランダム・セットを生成すること、鍵ビットを暗号化すること、そして暗号化された鍵ビットを用いて暗号化された量子ビットを形成することを含む。
【0007】
本発明の第二の見地は、QKDを実行する方法である。この方法は、第1ステーションにおいて、鍵ビットのランダム・セットを生成すること、ストリーム暗号(例えば、CTRモードのAES-256)によってパッド(パスワード)を生成すること、鍵ビットとパッドを排他的論理和演算して暗号化された鍵ビットを得ること、暗号化された鍵ビットを用いて弱い光パルスを変調して、暗号化された量子ビットを生成することを含む。
【0008】
本発明の第三の見地は、本発明の第二の見地に関連しており、第1QKDステーションに光学的に連結された第2QKDステーションにおいて、下記の行為を行うことをさらに含む。暗号化された量子ビットをランダムな基底を用いて測定すること、測定された暗号化された量子ビットとパッドを排他的論理和演算することで、測定された暗号化された量子ビットから鍵ビットの少なくとも一つのサブセットを復帰させることである。本発明のこれら及び他の見地は下記に述べられる。
【発明を実施するための最良の形態】
【0009】
図1は、送り側ステーション・アリスと受け手側ステーション・ボブを有する一方向型QKDシステム10の概略図である。アリスとボブは、より一般的にはしばしばQKDステーションと言われる。アリスは、TRNG30とそれに接続された暗号化/解読(e/d)モジュール40を有するコントローラ20を含んでいる。アリスは、さらに、光学的放射線源50(例えば、レーザ)と、その下流に配置されてさらに光学的に連結された偏光又は位相変調器PM1を有している。PM1はe/dモジュール40に機能的に連結され、レーザ50はコントローラ20に機能的に連結されている。一実施例では、光学的放射線源50は、光パルスの強度を減じる減衰器を含んでおり、そのために強度は「弱く」、つまり、単一光子レベル以下になっている。一実施例では、光学的放射線源は単一光子源である。
【0010】
ボブは、TRNG130とe/dモジュール140を有するコントローラ120を含んでいる。一実施例では、TRNG130及びe/dモジュール140は互いに連結されており、そのためTRNG130で生成されボブ用の基底ビットとして用いられる乱数は、e/dモジュール140にも記憶され得る。ボブは、単一光子検出器150と、その上流に配置されてさらに光学的に連結された偏光又は位相変調器PM2をさらに含んでいる。PM2はTRNG130に機能的に連結され、検出器150はe/dモジュール140に機能的に連結されている。
【0011】
ボブとアリスは機能的に量子コミュニケーション・リンク(チャンネル)200によって連結され、このリンクは一実施例では光ファイバである。さらに一実施例では、アリスのコントローラ20とボブのコントローラ120は、システム10の動作のタイミングを取ったり同期を取ったりするために、又はボブとアリスの間で情報をオープンにやりとりするために、公共のコミュニケーション・リンク(チャンネル)220を介して機能的に連結されている。例えば、暗号化された基底ビットは、アリスからボブにチャンネル220を介して送られ得る。一実施例では、e/dモジュール40及び/又は140は、下記に述べる本発明の方法を実行するためのコントローラ20,120で実行可能なインストラクションを含む暗号化ソフトウェアが実現されたコンピュータによる読み取り可能な媒体を含む。
【0012】
図1の参照を続けると、QKDシステム10のようなQKDシステムの正常な動作では、量子ビットがコントローラ20によってアリスとボブの間で交換され、レーザ50に弱い(例えば、〜0.1フォトンの)光パルスを発射させる。コントローラ20は次に基底及び鍵ビットをTRNG30を介して(又は別の例では2つのTRNG30を介して)PM1に供給して、弱いパルスをランダムに符号化する。ボブでは、コントローラ120はさらにPM2にランダムに基底を選択させ(TRNG120を介して)、被変調量子ビットを検出器150で測定及び検出させる。
【0013】
しかし、上述したように、このQKDプロセスには安全に関する潜在的な欠点がある。この欠点に取り組むために、本発明はさらに、アリスの位相変調器状態を各量子ビットのために設定するのに用いられる、少なくともTRNG30からの鍵ビットを、e/dモジュール40を用いて(例えば、ソフトウェアレベルで)暗号化する。これによって、「暗号化された量子ビット」がボブに送られる。
【0014】
本発明はさらに、ボブによって受信された暗号化された量子ビットから、対応する鍵ビットのセットを、e/dモジュール140を用いて復帰させることを含んでいる。下記に述べるように、鍵ビットの「対応するセット」は、通常は、暗号化された量子ビットが量子チャンネル200を通過する際の損失によって、鍵ビットの元のセットのサブセットである。
【0015】
アリスの鍵ビットを暗号化する方法は、図2及び3に例示されている。基底のためにTRNG30から、b1,b2,・・・,bi,・・・,bnビットと、量子ビットの一セットを形成するためにk1,k2,・・・,ki,・・・knビットがもたらされていると推定してみる。一実施例では、2つのTRNG30が用いられて、基底及び鍵ビットをそれぞれ別に生成する。
【0016】
本発明の一実施例では、鍵ビットの値kiは、e/dモジュール30によってストリーム暗号(例えば、CTRモードのAES)を用いて暗号化される。これを行うため、ボブとアリスは予め決められたパスワードを共有していなければならない。量子チャンネル200で失われる量子ビットがあるので、ストリーム暗号が必要になる。伝送中の量子ビットの損失は他のタイプの暗号の使用を妨げる。
【0017】
アリスとボブがパスワードPを共有していると推定してみる。一実施例では、パスワードPは、QKDによって生成されたそれらの鍵の断片を用いて作り出される。他の実施例では、パスワードPは、安全なクーリエ又はディフィーヘルマン・プロトコルといった周知の方法の一つを用いて作り出される。一実施例では、アリスとボブは選択されたレートでパスワードPを更新するのに同意している。このパスワードを有することで、アリスとボブはストリーム暗号を用いることでパッドp1,p2,・・・pi,・・・,pnを作り出すことができる。
【0018】
パッドが生成されると、次にアリスはe/dモジュール30内で「排他的OR(XOR)動作」を実行する。
ki XOR pi = ci
アリスは、さらに、一つの量子ビットにおけるciを(kiではなく)符号化するために自らの位相変調器PM1を設定する。このプロセスは、図3のフロー図に例示されている。この結果は、ここで「暗号化された量子ビット」又は「符号化された量子ビット」と呼ばれるものである。
【0019】
ボブがランダムに変調されたPM2と検出器150を用いて暗号化された量子ビットを測定すると、ボブはc*iの値を得る。この値は、量子チャンネル200内での損失によって伝送中に失われる量子ビットが通常あるため、ciのサブセットであることが多い。一実施例では、c*iはe/dモジュール140に記憶される。
図4のフロー図に例示するように、暗号化された量子ビットから対応する鍵ビットk*iを復帰させるため、ボブはこれらのビットをe/dモジュール130でパッドpiを用いて次のような排他的論理和演算を行う必要がある。
【0020】
k*i=c*i XOR pi
鍵ビットのセットk*iは、量子チャンネル200を通過する際の暗号化された量子ビットの損失によって、通常は元の鍵ビットのセットのサブセットである。
この時点で、ボブとアリスは標準QKD手続きを実行する(例えば、ふるいかけ、エラー訂正、プライバシ増幅)。後者の手続き中に送られる全ての情報は、ストリーム暗号より低くない暗号化強度の暗号によって暗号化されるのが好ましい。BB84プロトコルで要求されているように、認証が必要な情報もある。
【0021】
別の場合は、アリスとボブは、ふるいかけ及び/又はエラー訂正を最初に実行し、その後でビットを復号化することができる。この方法は復号化プロセスの簡単な変更を必要とすることになる。
上述のように動作するQKDシステム10に対してサイド・チャンネル又はいかなる光学的な攻撃を仕掛けることで盗聴者が得ることができるいずれの情報も、実際の鍵ビットkiではなく、暗号化された鍵ビットciについての情報を生み出すことができるだけである。
【0022】
本発明の一実施例では、鍵ビットに加えて、基底ビットが暗号化されることで、さらに高いレベルの安全性が提供される。一実施例では、これは、基底ビットを暗号化して、次にそれを標準コミュニケーション・チャンネル220を通して送ることによって行われる。しかし、鍵ビットのみを暗号化することは、先行技術のQKDプロセスを超えた、安全性の大きな増加をもたらす。
【0023】
本発明の実施をすることによって、QKD装置に致命的な間違いがあった場合でも、盗聴者がプレーンテキスト鍵にアクセスすることを防止する。QKDシステムに致命的な間違いが生じた場合に、盗聴者が得ることができる情報の最大量は、古典的な方法で暗号化された鍵である。
本発明は、説明のために一方向型QKDシステム関連づけて説明された。当業者にとっては、本発明が量子暗号化全般に適用可能なこと、特に、双方向型QKDシステム、さらには変調器タイプ・エレメントを用いる弱いパルスの位相又は偏光を符号化するいかなるQKDシステムにも適用できることは明白である。
【0024】
本発明は、さらに、古典的な暗号化システムのために存在する米国の連邦情報処理規格(FIPS)のような情報処理スタンダードを満たすための量子ベースの暗号化システム用の方法を提供する。現在のところ、所定の国のための該当する情報処理スタンダードを満たすことは、そのようなスタンダードが現在のところ存在しないため、量子暗号化システムの商用化を求めている者にとっては不都合である。
【0025】
情報処理スタンダードは見たところは政府による装置の調達のためであるが、実際の効果は、私企業も装置を購入する際にそのようなスタンダードを当てにしている。このことは特に例えば米国において当てはまる。なぜなら、特定の政府機関(例えば、国立標準技術研究所(「NIST」))は、各国及び国際的な規格委員会、ユーザ、産業グループ、コンソーシアム及び研究・商業団体と協同してスタンダードを発展させているからである。このように、当該政府機関に装置を売る意図がない場合であっても、自分たちの装置において特別な情報処理スタンダードを満足させることは、会社にとって商売上の有利な点になる。本発明に従って量子暗号化をローカルな情報処理スタンダードに合致する古典的な暗号化システムに重ねることで、システム全体を古典的な暗号化情報処理スタンダードに一致させることができる。
【0026】
以上、本特許出願は、2003年11月13日に出願された、米国仮特許出願第60/519,489号から、優先権を主張するものである。
【図面の簡単な説明】
【0027】
【図1】図1は、本発明の方法を実行するための、TRNGと暗号化/解読(e/d)モジュールを有するコントローラを各々が有する送り側ステーション・アリスと受け手側ステーション・ボブを備えた一方向型QKDシステムの概略図である。
【図2】図2は、各量子ビットを生成する際に、アリスの位相変調器の状態を設定するために用いられる鍵ビットの暗号化を示す概略図である。
【図3】図3は、アリスがストリーム暗号によってどのようにして乱数発生器によって生成された鍵ビットを暗号化するかを示すフロー図である。
【図4】図4は、ボブがどのようにしてアリスと同じストリーム暗号を共有のパスワードに組み合わせて用いて、暗号化された量子ビットから鍵ビットを復帰させるかを示すフロー図である。
【技術分野】
【0001】
本発明は、量子暗号化に関し、特に、古典的な暗号化を量子鍵配送プロセスに付加することによって、量子鍵配送(QKD)システムの安全を強化するシステム及び方法に関連しており、さらにそれらシステム及び方法について産業上の利用性を有している。
【背景技術】
【0002】
量子鍵配送は、「量子チャネル」越しに送信された弱い光信号(例えば、平均で0.1フォトン)を用いて、送信者(「アリス」)と受信者(「ボブ」)との間で、鍵を設定することに関係する。鍵配送の安全性は、不確定状態にある量子系はどれでも測定するとその状態を変えるという、量子力学の原則に基づいている。結果として、量子信号を妨害あるいは測定しようとする盗聴者(「イブ」)は、送信信号にエラーを引き起こしてしまうため、その存在が明らかになる。
【0003】
量子暗号の一般的な原則は、ベネットとブラッザールの論文(非特許文献1参照)の中で初めて発表された。具体的なQKDシステムは、ベネットの論文(非特許文献2,3参照)に記載されている。
上述の文献は、それぞれ、いわゆる「一方向」型QKDシステムについて述べている。一方向型QKDシステムとは、アリスが単一光子の偏光又は位相をランダムに符号化して、ボブがそれら光子の偏光又は位相をランダムに測定するものである。非特許文献3に述べられている一方向型システムは、二光束マッハ・ツェンダー干渉計に基づいている。アリス及びボブは、各々が干渉計の位相を制御できるように、干渉システムの各部にアクセス可能となっている。アリスからボブに送られる信号(パルス)は、時間多重分割されて異なる経路をたどる。その結果、干渉計は、熱的ドリフトを補償するために、伝送中は数十ナノ秒内で動的に安定する必要がある。
【0004】
ギシンの特許文献1(以下、‘234特許と称す)では、偏光や熱ゆらぎを自動補正する、いわゆる「双方向」型QKDシステムについて開示されている。このように、‘234特許の双方向型QKDシステムは、一方向型システムに比べて環境の影響を受けにくい。
QKDを実行する一般的なプロセスは、ボーミスターの著作(非特許文献4参照)に記載されている。QKDプロセス中は、アリスは真の乱数発生器(TRNG)を用いて、基底(「基底ビット」)のためのランダム・ビットと鍵(「鍵ビット」)のためのランダム・ビットとを発生させ、それによって、量子ビットを作り出して(例えば、偏光又は位相符号化を用いて)それをボブに送る。
【特許文献1】米国特許第6,438,234号公報
【非特許文献1】Quantum Cryptography:Public key distribution and coin tossing, Proceedings of the International Conference on Computers、Systems and Signal Processing,Bangalore,India,1984,pp.175−179(IEEE、New York,1984)
【非特許文献2】Experimental Quantum Cryptography
【非特許文献3】Quantum Cryptography Using Any Two Non-Orthogonal States, Phys. Rev. Lett. 683121(1992)
【非特許文献4】The Physics of Quantum Information, Springer-Verlag 2001, in Section2.3, pages27-33
【発明の開示】
【発明が解決しようとする課題】
【0005】
QKDは理論的には安全なのであるが、QKDを実際に実行すると、盗聴者が鍵ビットに関する情報を入手するいくつかの方法を許してしまう。例えば、一つの光子における鍵ビットの値を符号化するためには、電磁放射を行う高速な電子機器回路が必要になる。この放射は、盗聴者のいわゆる「サイド・チャンネル攻撃」によって測定可能である。位相変調器は実際に十分に測定可能な電磁放射を行うので、位相符号化されたQKDにとっては、この攻撃は深刻な問題となり得る。第2に、盗聴者は、ファイバ内の伝送をモニタすることによって、鍵についての部分的な情報を得るかもしれない。このことは、多光子パルスが弱いコヒーラント源によって生成される場合に起こる。盗聴者は、伝送にエラーを起こさせることなく、このようなパルスを測定可能である。第3に、盗聴者は、位相変調器の状態についての情報を得るために、タイミングをとった探索パルスを用いて、いわゆる「トロイの木馬攻撃」をアリスに仕掛けることができるかもしれない。
【課題を解決するための手段】
【0006】
下記に詳細に説明するように、本発明の第一の見地は量子鍵配送(QKD)を実行する方法である。この方法は、鍵ビットのランダム・セットを生成すること、鍵ビットを暗号化すること、そして暗号化された鍵ビットを用いて暗号化された量子ビットを形成することを含む。
【0007】
本発明の第二の見地は、QKDを実行する方法である。この方法は、第1ステーションにおいて、鍵ビットのランダム・セットを生成すること、ストリーム暗号(例えば、CTRモードのAES-256)によってパッド(パスワード)を生成すること、鍵ビットとパッドを排他的論理和演算して暗号化された鍵ビットを得ること、暗号化された鍵ビットを用いて弱い光パルスを変調して、暗号化された量子ビットを生成することを含む。
【0008】
本発明の第三の見地は、本発明の第二の見地に関連しており、第1QKDステーションに光学的に連結された第2QKDステーションにおいて、下記の行為を行うことをさらに含む。暗号化された量子ビットをランダムな基底を用いて測定すること、測定された暗号化された量子ビットとパッドを排他的論理和演算することで、測定された暗号化された量子ビットから鍵ビットの少なくとも一つのサブセットを復帰させることである。本発明のこれら及び他の見地は下記に述べられる。
【発明を実施するための最良の形態】
【0009】
図1は、送り側ステーション・アリスと受け手側ステーション・ボブを有する一方向型QKDシステム10の概略図である。アリスとボブは、より一般的にはしばしばQKDステーションと言われる。アリスは、TRNG30とそれに接続された暗号化/解読(e/d)モジュール40を有するコントローラ20を含んでいる。アリスは、さらに、光学的放射線源50(例えば、レーザ)と、その下流に配置されてさらに光学的に連結された偏光又は位相変調器PM1を有している。PM1はe/dモジュール40に機能的に連結され、レーザ50はコントローラ20に機能的に連結されている。一実施例では、光学的放射線源50は、光パルスの強度を減じる減衰器を含んでおり、そのために強度は「弱く」、つまり、単一光子レベル以下になっている。一実施例では、光学的放射線源は単一光子源である。
【0010】
ボブは、TRNG130とe/dモジュール140を有するコントローラ120を含んでいる。一実施例では、TRNG130及びe/dモジュール140は互いに連結されており、そのためTRNG130で生成されボブ用の基底ビットとして用いられる乱数は、e/dモジュール140にも記憶され得る。ボブは、単一光子検出器150と、その上流に配置されてさらに光学的に連結された偏光又は位相変調器PM2をさらに含んでいる。PM2はTRNG130に機能的に連結され、検出器150はe/dモジュール140に機能的に連結されている。
【0011】
ボブとアリスは機能的に量子コミュニケーション・リンク(チャンネル)200によって連結され、このリンクは一実施例では光ファイバである。さらに一実施例では、アリスのコントローラ20とボブのコントローラ120は、システム10の動作のタイミングを取ったり同期を取ったりするために、又はボブとアリスの間で情報をオープンにやりとりするために、公共のコミュニケーション・リンク(チャンネル)220を介して機能的に連結されている。例えば、暗号化された基底ビットは、アリスからボブにチャンネル220を介して送られ得る。一実施例では、e/dモジュール40及び/又は140は、下記に述べる本発明の方法を実行するためのコントローラ20,120で実行可能なインストラクションを含む暗号化ソフトウェアが実現されたコンピュータによる読み取り可能な媒体を含む。
【0012】
図1の参照を続けると、QKDシステム10のようなQKDシステムの正常な動作では、量子ビットがコントローラ20によってアリスとボブの間で交換され、レーザ50に弱い(例えば、〜0.1フォトンの)光パルスを発射させる。コントローラ20は次に基底及び鍵ビットをTRNG30を介して(又は別の例では2つのTRNG30を介して)PM1に供給して、弱いパルスをランダムに符号化する。ボブでは、コントローラ120はさらにPM2にランダムに基底を選択させ(TRNG120を介して)、被変調量子ビットを検出器150で測定及び検出させる。
【0013】
しかし、上述したように、このQKDプロセスには安全に関する潜在的な欠点がある。この欠点に取り組むために、本発明はさらに、アリスの位相変調器状態を各量子ビットのために設定するのに用いられる、少なくともTRNG30からの鍵ビットを、e/dモジュール40を用いて(例えば、ソフトウェアレベルで)暗号化する。これによって、「暗号化された量子ビット」がボブに送られる。
【0014】
本発明はさらに、ボブによって受信された暗号化された量子ビットから、対応する鍵ビットのセットを、e/dモジュール140を用いて復帰させることを含んでいる。下記に述べるように、鍵ビットの「対応するセット」は、通常は、暗号化された量子ビットが量子チャンネル200を通過する際の損失によって、鍵ビットの元のセットのサブセットである。
【0015】
アリスの鍵ビットを暗号化する方法は、図2及び3に例示されている。基底のためにTRNG30から、b1,b2,・・・,bi,・・・,bnビットと、量子ビットの一セットを形成するためにk1,k2,・・・,ki,・・・knビットがもたらされていると推定してみる。一実施例では、2つのTRNG30が用いられて、基底及び鍵ビットをそれぞれ別に生成する。
【0016】
本発明の一実施例では、鍵ビットの値kiは、e/dモジュール30によってストリーム暗号(例えば、CTRモードのAES)を用いて暗号化される。これを行うため、ボブとアリスは予め決められたパスワードを共有していなければならない。量子チャンネル200で失われる量子ビットがあるので、ストリーム暗号が必要になる。伝送中の量子ビットの損失は他のタイプの暗号の使用を妨げる。
【0017】
アリスとボブがパスワードPを共有していると推定してみる。一実施例では、パスワードPは、QKDによって生成されたそれらの鍵の断片を用いて作り出される。他の実施例では、パスワードPは、安全なクーリエ又はディフィーヘルマン・プロトコルといった周知の方法の一つを用いて作り出される。一実施例では、アリスとボブは選択されたレートでパスワードPを更新するのに同意している。このパスワードを有することで、アリスとボブはストリーム暗号を用いることでパッドp1,p2,・・・pi,・・・,pnを作り出すことができる。
【0018】
パッドが生成されると、次にアリスはe/dモジュール30内で「排他的OR(XOR)動作」を実行する。
ki XOR pi = ci
アリスは、さらに、一つの量子ビットにおけるciを(kiではなく)符号化するために自らの位相変調器PM1を設定する。このプロセスは、図3のフロー図に例示されている。この結果は、ここで「暗号化された量子ビット」又は「符号化された量子ビット」と呼ばれるものである。
【0019】
ボブがランダムに変調されたPM2と検出器150を用いて暗号化された量子ビットを測定すると、ボブはc*iの値を得る。この値は、量子チャンネル200内での損失によって伝送中に失われる量子ビットが通常あるため、ciのサブセットであることが多い。一実施例では、c*iはe/dモジュール140に記憶される。
図4のフロー図に例示するように、暗号化された量子ビットから対応する鍵ビットk*iを復帰させるため、ボブはこれらのビットをe/dモジュール130でパッドpiを用いて次のような排他的論理和演算を行う必要がある。
【0020】
k*i=c*i XOR pi
鍵ビットのセットk*iは、量子チャンネル200を通過する際の暗号化された量子ビットの損失によって、通常は元の鍵ビットのセットのサブセットである。
この時点で、ボブとアリスは標準QKD手続きを実行する(例えば、ふるいかけ、エラー訂正、プライバシ増幅)。後者の手続き中に送られる全ての情報は、ストリーム暗号より低くない暗号化強度の暗号によって暗号化されるのが好ましい。BB84プロトコルで要求されているように、認証が必要な情報もある。
【0021】
別の場合は、アリスとボブは、ふるいかけ及び/又はエラー訂正を最初に実行し、その後でビットを復号化することができる。この方法は復号化プロセスの簡単な変更を必要とすることになる。
上述のように動作するQKDシステム10に対してサイド・チャンネル又はいかなる光学的な攻撃を仕掛けることで盗聴者が得ることができるいずれの情報も、実際の鍵ビットkiではなく、暗号化された鍵ビットciについての情報を生み出すことができるだけである。
【0022】
本発明の一実施例では、鍵ビットに加えて、基底ビットが暗号化されることで、さらに高いレベルの安全性が提供される。一実施例では、これは、基底ビットを暗号化して、次にそれを標準コミュニケーション・チャンネル220を通して送ることによって行われる。しかし、鍵ビットのみを暗号化することは、先行技術のQKDプロセスを超えた、安全性の大きな増加をもたらす。
【0023】
本発明の実施をすることによって、QKD装置に致命的な間違いがあった場合でも、盗聴者がプレーンテキスト鍵にアクセスすることを防止する。QKDシステムに致命的な間違いが生じた場合に、盗聴者が得ることができる情報の最大量は、古典的な方法で暗号化された鍵である。
本発明は、説明のために一方向型QKDシステム関連づけて説明された。当業者にとっては、本発明が量子暗号化全般に適用可能なこと、特に、双方向型QKDシステム、さらには変調器タイプ・エレメントを用いる弱いパルスの位相又は偏光を符号化するいかなるQKDシステムにも適用できることは明白である。
【0024】
本発明は、さらに、古典的な暗号化システムのために存在する米国の連邦情報処理規格(FIPS)のような情報処理スタンダードを満たすための量子ベースの暗号化システム用の方法を提供する。現在のところ、所定の国のための該当する情報処理スタンダードを満たすことは、そのようなスタンダードが現在のところ存在しないため、量子暗号化システムの商用化を求めている者にとっては不都合である。
【0025】
情報処理スタンダードは見たところは政府による装置の調達のためであるが、実際の効果は、私企業も装置を購入する際にそのようなスタンダードを当てにしている。このことは特に例えば米国において当てはまる。なぜなら、特定の政府機関(例えば、国立標準技術研究所(「NIST」))は、各国及び国際的な規格委員会、ユーザ、産業グループ、コンソーシアム及び研究・商業団体と協同してスタンダードを発展させているからである。このように、当該政府機関に装置を売る意図がない場合であっても、自分たちの装置において特別な情報処理スタンダードを満足させることは、会社にとって商売上の有利な点になる。本発明に従って量子暗号化をローカルな情報処理スタンダードに合致する古典的な暗号化システムに重ねることで、システム全体を古典的な暗号化情報処理スタンダードに一致させることができる。
【0026】
以上、本特許出願は、2003年11月13日に出願された、米国仮特許出願第60/519,489号から、優先権を主張するものである。
【図面の簡単な説明】
【0027】
【図1】図1は、本発明の方法を実行するための、TRNGと暗号化/解読(e/d)モジュールを有するコントローラを各々が有する送り側ステーション・アリスと受け手側ステーション・ボブを備えた一方向型QKDシステムの概略図である。
【図2】図2は、各量子ビットを生成する際に、アリスの位相変調器の状態を設定するために用いられる鍵ビットの暗号化を示す概略図である。
【図3】図3は、アリスがストリーム暗号によってどのようにして乱数発生器によって生成された鍵ビットを暗号化するかを示すフロー図である。
【図4】図4は、ボブがどのようにしてアリスと同じストリーム暗号を共有のパスワードに組み合わせて用いて、暗号化された量子ビットから鍵ビットを復帰させるかを示すフロー図である。
【特許請求の範囲】
【請求項1】
量子鍵配送を実行する方法(QKD)であって、
a)鍵ビットk1,k2,・・・,ki・・・knのランダム・セットを生成すること、
b)前記鍵ビットを暗号化すること、
c)前記暗号化された鍵ビットを用いて暗号化された量子ビットを形成すること、
を備えた方法。
【請求項2】
ストリーム暗号を用いて前記鍵ビットを暗号化することを含む、請求項1に記載の方法。
【請求項3】
前記ストリーム暗号用のパスワードは、QKD鍵の断片から形成される、請求項2に記載の方法。
【請求項4】
前記暗号化された量子ビットを前記ストリーム暗号によって解読することを含む、請求項2に記載の方法。
【請求項5】
量子鍵配送(QKD)を実行する方法であって、
第1QKDステーションにおいて、
a)鍵ビットのランダム・セットを生成すること、
b)ストリーム暗号によってパッドを生成すること、
c)前記鍵ビットと前記パッドを排他的論理和演算して暗号化された鍵ビットを得ること、
d)前記暗号化された鍵ビットを用いて弱い光パルスを変調して、暗号化された量子ビットを生成すること、
を備えた方法。
【請求項6】
前記第1QKDステーションに光学的に連結された第2QKDステーションにおいて、さらに、
a)前記暗号化された量子ビットを、ランダムな基底を用いて測定すること、
b)前記測定された暗号化された量子ビットと前記パッドを排他的論理和演算をすることで、前記測定された暗号化された量子ビットから前記鍵ビットの少なくとも一つのサブセットを復帰させることを含む、請求項5に記載の方法。
【請求項7】
前記第1QKDステーションで生成された前記鍵ビットと前記第2QKDステーションで復帰された前記鍵ビットに基づいて、前記第1及び第2QKDステーション間にふるいにかけられた鍵を確立することをさらに含む、請求項6に記載の方法。
【請求項8】
a)第1QKDステーションと、b)前記第1QKDステーションに光学的に連結された第2QKDステーションとを備え、
a)前記第1QKDステーションは、
a.放射の弱い光パルスを発射するようになっている光学的放射線源と、
b.第1鍵ビットとして用いられる乱数を発生するようになっている第1乱数発生器と、
c.前記第1乱数発生器に連結され、前記鍵ビットを暗号化しそれによって暗号化された鍵ビットを形成する第1e/dモジュールと、
d.前記弱い光パルスを受信するように配置され、暗号化された量子ビットを形成するように前記暗号化された鍵ビットに基づいて前記弱い光パルスの前記偏光又は位相を変調するようになっている、偏光又は位相変調器とを有しており、
b)前記第2QKDステーションは、
a.受信する第2偏光又は位相変調器と、
b.前記暗号化された量子ビットをランダムに変調することと、
c.前記変調された暗号化された量子ビットを検出するための検出器と、
d.前記検出器に連結され、前記変調された暗号化された量子ビットから前記第1鍵ビットに対応する第2鍵ビットを復帰させるようになっている第2e/dモジュールとを有している、
QKDシステム。
【請求項9】
a)鍵ビットと基底ビットとを利用して弱い光パルスを符号化することで、量子ビットを形成する量子鍵配送(QKD)システムと、
b)前記鍵ビットと前記基底ビットの少なくとも一方を符号化することで暗号化された量子ビットを形成する古典的な暗号化システムと、
を備えた量子暗号化システム。
【請求項1】
量子鍵配送を実行する方法(QKD)であって、
a)鍵ビットk1,k2,・・・,ki・・・knのランダム・セットを生成すること、
b)前記鍵ビットを暗号化すること、
c)前記暗号化された鍵ビットを用いて暗号化された量子ビットを形成すること、
を備えた方法。
【請求項2】
ストリーム暗号を用いて前記鍵ビットを暗号化することを含む、請求項1に記載の方法。
【請求項3】
前記ストリーム暗号用のパスワードは、QKD鍵の断片から形成される、請求項2に記載の方法。
【請求項4】
前記暗号化された量子ビットを前記ストリーム暗号によって解読することを含む、請求項2に記載の方法。
【請求項5】
量子鍵配送(QKD)を実行する方法であって、
第1QKDステーションにおいて、
a)鍵ビットのランダム・セットを生成すること、
b)ストリーム暗号によってパッドを生成すること、
c)前記鍵ビットと前記パッドを排他的論理和演算して暗号化された鍵ビットを得ること、
d)前記暗号化された鍵ビットを用いて弱い光パルスを変調して、暗号化された量子ビットを生成すること、
を備えた方法。
【請求項6】
前記第1QKDステーションに光学的に連結された第2QKDステーションにおいて、さらに、
a)前記暗号化された量子ビットを、ランダムな基底を用いて測定すること、
b)前記測定された暗号化された量子ビットと前記パッドを排他的論理和演算をすることで、前記測定された暗号化された量子ビットから前記鍵ビットの少なくとも一つのサブセットを復帰させることを含む、請求項5に記載の方法。
【請求項7】
前記第1QKDステーションで生成された前記鍵ビットと前記第2QKDステーションで復帰された前記鍵ビットに基づいて、前記第1及び第2QKDステーション間にふるいにかけられた鍵を確立することをさらに含む、請求項6に記載の方法。
【請求項8】
a)第1QKDステーションと、b)前記第1QKDステーションに光学的に連結された第2QKDステーションとを備え、
a)前記第1QKDステーションは、
a.放射の弱い光パルスを発射するようになっている光学的放射線源と、
b.第1鍵ビットとして用いられる乱数を発生するようになっている第1乱数発生器と、
c.前記第1乱数発生器に連結され、前記鍵ビットを暗号化しそれによって暗号化された鍵ビットを形成する第1e/dモジュールと、
d.前記弱い光パルスを受信するように配置され、暗号化された量子ビットを形成するように前記暗号化された鍵ビットに基づいて前記弱い光パルスの前記偏光又は位相を変調するようになっている、偏光又は位相変調器とを有しており、
b)前記第2QKDステーションは、
a.受信する第2偏光又は位相変調器と、
b.前記暗号化された量子ビットをランダムに変調することと、
c.前記変調された暗号化された量子ビットを検出するための検出器と、
d.前記検出器に連結され、前記変調された暗号化された量子ビットから前記第1鍵ビットに対応する第2鍵ビットを復帰させるようになっている第2e/dモジュールとを有している、
QKDシステム。
【請求項9】
a)鍵ビットと基底ビットとを利用して弱い光パルスを符号化することで、量子ビットを形成する量子鍵配送(QKD)システムと、
b)前記鍵ビットと前記基底ビットの少なくとも一方を符号化することで暗号化された量子ビットを形成する古典的な暗号化システムと、
を備えた量子暗号化システム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公表番号】特表2007−511956(P2007−511956A)
【公表日】平成19年5月10日(2007.5.10)
【国際特許分類】
【出願番号】特願2006−539446(P2006−539446)
【出願日】平成16年2月13日(2004.2.13)
【国際出願番号】PCT/US2004/004450
【国際公開番号】WO2005/057927
【国際公開日】平成17年6月23日(2005.6.23)
【出願人】(505188939)マジック テクノロジーズ,インコーポレーテッド (27)
【氏名又は名称原語表記】MAGIQ TECHNOLOGIES,INC.
【Fターム(参考)】
【公表日】平成19年5月10日(2007.5.10)
【国際特許分類】
【出願日】平成16年2月13日(2004.2.13)
【国際出願番号】PCT/US2004/004450
【国際公開番号】WO2005/057927
【国際公開日】平成17年6月23日(2005.6.23)
【出願人】(505188939)マジック テクノロジーズ,インコーポレーテッド (27)
【氏名又は名称原語表記】MAGIQ TECHNOLOGIES,INC.
【Fターム(参考)】
[ Back to top ]