説明

量子暗号装置および暗号鍵評価方法

【課題】暗号秘密鍵の信頼度に対する評価を、光強度の絶対値測定に依存せずに行うことを可能にした量子暗号装置を提供する。
【解決手段】秘密鍵の情報を含む光子を受信装置に伝送する量子暗号装置であって、多光子の割合の指標である二次の強度相関計数g(2)(0)がg(2)(0)<1を満たす光源と、光源から出射される光子パルスを秘密鍵の候補である秘密鍵候補を生成するための鍵生成用光子パルスとg(2)(0)を評価するための評価用光子パルスとに分離するスプリッターと、スプリッターで分離された評価用光子パルスのg(2)(0)を測定し、測定したg(2)(0)から測定ノイズを除去してg(2)(0)の統計評価データを求める統計評価部と、複数の秘密鍵候補を受信装置に送信した後、複数の秘密鍵候補に対する安全性評価のために、統計評価部で求められたg(2)(0)の統計評価データを受信装置に通知するデータ分析部と、を有する。

【発明の詳細な説明】
【技術分野】
【0001】
本発明は、光子を用いて暗号秘密鍵を伝送する量子暗号鍵配付を行う量子暗号装置および暗号鍵評価方法に関する。
【背景技術】
【0002】
インターネットの爆発的普及、電子商取引の実用化を迎え、通信の秘密保持・改竄防止や個人の認証など暗号技術の社会的な必要性が高まっている。現在、DES暗号のような共通鍵方式やRSA暗号をはじめとする公開鍵方式が広く用いられている。しかし、これらは「計算量的安全性」にその基盤を置いている。つまり、現行の暗号方式は計算機ハードウェアと暗号解読アルゴリズムのそれぞれの進歩に常に脅かされている。特に銀行間のトランザクションや軍事・外交にかかわる情報などの極めて高い安全性が要求される分野では原理的に安全な暗号方式が実用化されれば、そのインパクトは大きい。
【0003】
情報理論で無条件安全性が証明されている暗号式にワンタイムパッド法がある。ワンタイムパッド法は通信文と同じ長さの暗号鍵を用い、暗号鍵を1回で使い捨てることが特徴である。非特許文献1で、現在、BB84プロトコルとして広く知られている、ワンタイムパッド法に使用する暗号秘密鍵を安全に配送する具体的な量子暗号鍵配付プロトコルがベネット(Bennett)らによりはじめて提案された。これを契機に量子暗号の研究が盛んになっている。量子暗号は物理法則が暗号の安全性を保証するため、計算機の能力に依存しない究極の安全性保証が可能になる。現在、多く検討されている量子暗号装置では1ビットの情報を単一光子の状態にエンコードして伝送する。これは、単一光子の状態は精度よく操作可能であり、かつ光子にエンコードされた情報は環境による擾乱に強いという事情による。
【0004】
理論的にその安全性が証明されている量子暗号装置では、非特許文献1に記載されているように、量子力学的2自由度系の2つの区別可能な状態とそれに相補的な状態(その重ね合わせ状態)を利用して秘密鍵が安全に伝送される。盗聴行為は量子力学的状態に擾乱を与え、正規送受信者のデータ中のエラーから漏洩情報量が推定できるようにプロトコルが設計されている。このような情報通信に用いられる量子状態は、しばしば量子情報と呼ばれる。量子情報を担う量子力学的2自由度系は量子ビットと呼ばれ、数学的にはスピン1/2系と等価である。量子ビットに載せられた量子情報は、1ビットデータ(0か、1か)およびその基底を指定することによってのみ特定される。
【0005】
光子を量子ビット担体として用いる暗号鍵配布では、空間を伝搬する光子の持ち得る2つの偏波状態に情報をエンコードする「偏波コーディング」と呼ばれる量子暗号装置(非特許文献1)の実装や、2連単一光子パルス間の相対位相シフト値に情報をエンコードする「位相コーディング」と呼ばれる量子暗号鍵配付システム(非特許文献2〜4)の実装が知られている。偏波コーディングは空間伝送用量子暗号システムに適した方式として知られており、位相コーディングは既存の光ファイバー通信網用量子暗号システムに適した方式として知られている。
【0006】
図5は、非特許文献2−4に開示された、位相コーディングによる量子暗号鍵配付システムの一構成例を示すブロック図である。
【0007】
図5に示すように、送信装置20は、周期的に光子パルスを発生するパルス光源21と、非対称マッハチェンダー干渉系22と、乱数発生器23とを有する。受信装置40は、非対称マッハチェンダー干渉系42と、乱数発生器43と、光子検出器48、49と、時間記録部41とを有する。非対称マッハチェンダー干渉系22と非対称マッハチェンダー干渉系42は伝送路26で接続されている。非対称マッハチェンダー干渉系22は、内部で2つの光路に分岐されており、2つの光路のうち一方に位相変調器25が設けられている。非対称マッハチェンダー干渉系42は、内部で2つの光路に分岐されており、2つの光路のうち一方に位相変調器45が設けられている。
【0008】
図5に示した量子暗号鍵配付システムの動作を簡単に説明する。
【0009】
パルス光源21で発生した光子パルスは、位相変調器25がその一方の腕に内包された非対称マッハツェンダー干渉系22に入射される。非対称マッハツェンダー干渉系22の作用により、光子パルスはペア光子パルスとなって伝送路26に出射される。ペア光子パルスの相対位相シフトは、乱数発生器23で生成された2ビット乱数に基づいて位相変調器25で4値ランダム変調される。そして、ペア光子パルスは送信装置20から伝送路26を介して受信装置40に出射される。
【0010】
ペア光子パルスは、位相変調器45がその一方の腕に内包された非対称マッハツェンダー干渉系42に入射される。そして、ペア光子パルスは、乱数発生器43で生成された1ビット乱数に基づいて位相変調器45で2値ランダム変調を受けた後、2つの出力ポートに出射される。2つの出力ポートのうち、一方が光子検出器49に接続され、他方が光子検出器48に接続されている。2つの出力ポートのそれぞれを介して出射された光子パルスは、非対称マッハツェンダー干渉系22および非対称マッハツェンダー干渉系44における光子パルスの通過経路の組合せに対応した3つの時間成分から構成される。このうち、位相変調器25、45における位相変調に依存する干渉成分は時間的に2番目の時間成分のパルスであり、センターパルスと呼ばれている。これ以外の光子パルス成分はサテライトパルスと呼ばれている。
【0011】
図5に示す量子暗号鍵配付システムでは、ゲート信号発生器(不図示)からのゲート信号にしたがって光子検出器49が動作することにより、センターパルス中の到着光子のみが選択的に検出され、その光子到着時間が時間記録部41に記録される。時間記録部41で記録された光子到着時間の情報を含む光子検出記録を基にして、受信装置40の正規利用者は送信装置20の正規利用者と通信を行いながら分析を行うことで、鍵の候補であるシフト鍵を抽出する。シフト鍵中のエラーは、送信装置20および受信装置40の双方の正規利用者間で通信し、エラー訂正処理を行うことで消去される。正規利用者間で通信を行い、シフト鍵中のエラー率を基に秘匿性増強処理を実行して鍵を短縮することにより、盗聴者への情報漏洩の可能性は消去され、セキュアな秘密鍵が得られる。
【0012】
次に、上述の量子暗号鍵配付システムに用いられている受信装置に共通の特徴とその問題点について説明する。
【0013】
単一光子をキャリアとした実装においては、量子暗号鍵配付プロトコルにより共有された暗号秘密鍵の安全性は、理論的に厳密に証明可能である。この場合、鍵の安全性は受信装置への到着光子から抽出されるシフト鍵中に含まれるエラーのみに依存する。しかるに、現実の量子暗号鍵配付システムの実装において用いられる光源は厳密な単一光子光源ではない。例えば、最も簡便な実装では、レーザー光をパルス中の平均光子数が1以下になるよう十分に減衰した微弱レーザー光パルスが用いられる。この光源の光子分布統計はポアソン光子統計であり、0または1つの光子が含まれる(真空または単一光子と記す)パルスが多数であるが、2つ以上の光子が含まれる(以下では、多光子と記す)パルスが有限の確率で発生する。また、オンデマンド型やヘラルディッド型単一光子光源など、より将来的な単一光子光源の実装においては、多光子パルスの生成確率はポアソン光子統計に比べてかなり小さくできるが、それがゼロであることを保証することは容易ではない。
【0014】
このような条件下では、盗聴者による光子抜き取り攻撃の危険性を排除できないため、より慎重な秘匿性増強を行う必要があり、セキュア秘密鍵の抽出効率および生成可能距離が減少することが当業者によく知られている。量子暗号鍵配付においては、盗聴者は物理法則に反しない限り、その盗聴戦略にはいかなる条件も課せられないというルールの下で、鍵の安全性評価を行う。光子抜き取り攻撃により、BB84プロトコルの下では、盗聴者は多光子パルス中の1光子から完全な情報を得て、残りの光子を受信者に届けることが可能である。これにより、多光子パルスについては、到着光子に証拠を残すことなく完全な鍵情報を獲得できるため、エラーなし攻撃の危険性が高まる。これに加えて、盗聴者は回線および受信装置の光学ロスならびに光子検出効率をコントロールしうると考えざるを得ない。
【0015】
盗聴者はこのアドバンテージを最大限利用し、パルス中の光子数に依存した光学ロスをそれぞれのパルスに与えることにより、正規利用者に関知されることなく、危険な多光子パルス起因成分の受信者への到着割合を増加させることができる。すなわち盗聴者は、単一光子パルス成分の光学ロスを増加させ、多光子パルス成分の光学ロスを減少させる。結果として、正規利用者が単一光子伝送モデルに基づいて秘匿性増強を行う限り、盗聴者はより多くの鍵情報量を獲得し得る。したがって、正規利用者は、鍵の安全性を保証するために、光子抜き取り攻撃のシナリオに基づいて対策を講じるなど、より厳しい基準で秘匿性増強を行う必要が生じる。
【0016】
上述の光子抜き取り戦略のポイントをまとめると以下の通りである。標準的なBB84プロトコルの下では、正規利用者は多光子に対して同一の1ビット直交情報を符号化するため、盗聴者にエラーなし攻撃のアドバンテージを与えてしまっていることと、盗聴者は回線および受信装置の光学ロスならびに光子検出効率を正規利用者に関知されることなくコントロールしうるというアドバンテージを持つということにある。
【0017】
上述した光子抜き取り攻撃に対する対策として、2003年にホワン・ウォン・ヤンにより、おとり光子の方法が発明され(非特許文献5参照)、この方法が実用的量子暗号システムでは広く使われるようになった。この方法では、鍵のデータを送る本当の信号光パルスの他に、おとりとなる強度の異なる光パルスをランダムに混ぜることによって、受信側が鍵として有効に利用可能なデータを抽出する。正規利用者は、量子通信後に信号光パルスとおとり光パルスの検出確率を比較することにより、到着光パルスのうち危険な多光子パルス起因の成分の割合を評価することができる。これらの危険なパルスに関しては、ビットエラーにかかわらず盗聴者は完全な情報を持っていると仮定し、秘匿性増強処理を実行して鍵を短縮することにより、盗聴者への情報漏洩の可能性は消去され、セキュアな秘密鍵が得られる。この方法のポイントは、以下の通りである。
【0018】
オリジナルのBB84プロトコルでは、到着光子に対して、偏波・位相など、鍵情報をエンコードする物理空間における統計的エラーテストを行うことで、対応する空間の量子チャンネルの評価を行う。盗聴行為は量子チャンネルの特性を恒等変換チャンネルからデポラライズチャンネルに変える。したがって、量子チャンネルの特性評価を行うことによって、盗聴行為の存在を検知し、理論的に盗聴者への情報漏洩の上限値を抑えることが可能になる。
【0019】
一方、光子抜き取り攻撃は光子数空間の量子チャンネルの特性を変える。これを検知するためには、いくつかの異なる光子統計をもつプローブ光を量子チャンネルに入射させ、その出力光の特性を統計的に評価することが必要になる。おとり光パルスはこのような光子数空間の量子チャンネルの特性を評価するために用いる。盗聴者への漏洩情報量上限の評価精度は、測定装置の精度と共に、入射光パルスの光子統計の決定精度に依存し、言い換えれば、その強度の制御精度にも依存する。一般の光源では、その強度は揺らぎを持ち、さらにその値の決定精度はパワーメータなどの外部テスト装置の精度に依存することになる。
【先行技術文献】
【非特許文献】
【0020】
【非特許文献1】ベネット(Bennett)、ブラッサ-ド(Brassard)著 IEEEコンピュータ、システム、信号処理国際会議(IEEE Int. Conf. on Computers, Systems, and Signal Processing, Bangalore, India, p. 175 (1984))
【非特許文献2】ツビンデン(Zbinden)ほか著「Experimental Quantum Cryptography」、「INTRODUCTION TO QUANTUM COMPUTATION AND INORMATION(ロー(Lo)ら編著)」(World Scientific、1998年出版)、120−126ページ
【非特許文献3】エカート(Ekert)ほか著「Quantum Cryptography」、 「The Physics of Quantum Information(ボウメスター(Bouwmeester)ら編著)」(Springer、2000年出版)、15ページ
【非特許文献4】ジサン(Gisin)ほか著「Quantum Cryptography」 レビュー・オブ・モダン・フィジックス(Rev. Mod. Phys.)、74号(2002年出版)、145−195ページ
【非特許文献5】ヤン Phys. Rev. Lett. 91, 057901 (2003).
【非特許文献6】ゴッテスマン ほか著 Quantum Inf. Comput. 4, 325-360 (2004).
【発明の概要】
【発明が解決しようとする課題】
【0021】
光強度測定は絶対値の測定である。この種の測定は、光検出器のような光電変換デバイスを用いて実行されるが、光強度と出力電気信号の間の線形性と共に、その比例係数である検出効率の校正が必要になる。テストデバイスの検出効率は、経時変化などのため頻繁に再校正をする必要がある。また、検出効率がわかったとしても、光結合時のロスなどの外部要因を含めた実効検出効率を把握することは難しく、光強度を低めに評価する危険がしばしばある。このとき、実際の運用光強度は高めになってしまうので、盗聴者への漏洩情報量上限を低めに評価してしまう危険がある。このように、光強度の絶対値の評価を必要とする現状のシステムに対して、安全性に関する信頼度が疑問視される場合があり、光強度の絶対値測定に依存しない量子暗号鍵配付システムの開発が望まれていた。
【0022】
本発明は上述したような技術が有する問題点を解決するためになされたものであり、暗号秘密鍵の信頼度に対する評価を、光強度の絶対値測定に依存せずに行うことを可能にした量子暗号装置および暗号鍵評価方法を提供することを目的とする。
【課題を解決するための手段】
【0023】
上記目的を達成するための本発明の量子暗号装置は、秘密鍵の情報を含む光子を受信装置に伝送する量子暗号装置であって、
多光子の割合の指標である二次の強度相関計数g(2)(0)について、g(2)(0)<1を満たす光源と、
前記光源から出射される光子パルスを、前記秘密鍵の候補である秘密鍵候補を生成するための鍵生成用光子パルスと前記g(2)(0)を評価するための評価用光子パルスとに分離するスプリッターと、
前記スプリッターで分離された前記評価用光子パルスのg(2)(0)を測定し、測定したg(2)(0)から測定ノイズを除去して前記g(2)(0)の統計評価データを求める統計評価部と、
複数の前記秘密鍵候補を前記受信装置に送信した後、該複数の秘密鍵候補に対する安全性評価のために、前記統計評価部で求められた前記g(2)(0)の統計評価データを該受信装置に通知するデータ分析部と、
を有する構成である。
【0024】
また、本発明の暗号鍵評価方法は、秘密鍵の情報を含む光子を受信装置に伝送する送信装置による暗号鍵評価方法であって、
多光子の割合の指標である二次の強度相関計数g(2)(0)について、g(2)(0)<1を満たす光源から出射される光子パルスを、前記秘密鍵の候補である秘密鍵候補を生成するための鍵生成用光子パルスと前記g(2)(0)を評価するための評価用光子パルスとに分離し、
分離された前記評価用光子パルスに対して前記g(2)(0)を測定し、測定したg(2)(0)から測定ノイズを除去して前記g(2)(0)の統計評価データを求め、
複数の前記秘密鍵候補を前記受信装置に送信した後、該複数の秘密鍵候補に対する安全性評価のために、前記g(2)(0)の統計評価データを該受信装置に通知するものである。
【発明の効果】
【0025】
本発明によれば、光強度の絶対値測定に依存しなくても、現実的な光子光源を用いて暗号秘密鍵の信頼度に対する評価を可能とし、暗号秘密鍵のセキュリティ上の信頼性を高めることができる。
【図面の簡単な説明】
【0026】
【図1】本実施形態の量子暗号鍵配付システムの一構成例を示すブロック図である。
【図2】図1に示したg(2)(0)統計評価部の一構成例を示すブロック図である。
【図3】本実施形態の送信装置による、g(2)(0)の統計的測定からその結果を受信装置に通知するまでの手順を示すフロー図である。
【図4】図1に示したg(2)(0)統計評価部で計測されたヒストグラムの一例である。
【図5】関連する量子暗号鍵配付システムの一構成例を示すブロック図である。
【発明を実施するための形態】
【0027】
本実施形態の量子暗号鍵配付システムの構成を説明する。図1は本実施形態の量子暗号鍵配付システムの一構成例を示すブロック図である。
【0028】
量子暗号鍵配付システムは、送信装置10および受信装置30からなる2つの量子暗号装置を有する。図1に示すように、送信装置10は、光子源11と、ビームスプリッター19と、乱数発生器13と、g(2)(0)統計評価部17と、データ分析部14とを有する。受信装置30は、デコーダ32と、光子検出器39と、乱数発生器33と、データ分析部34とを有する。
【0029】
送信装置10のエンコーダ12と受信装置30のエンコーダ32は、光子パルスを伝送するための量子チャンネル16で接続されている。データ分析部14とデータ分析部34は、解析結果を通信するための信号線として、送信装置10および受信装置30のそれぞれが通信相手を認証済みの古典チャンネル(以下では、単に古典チャンネルと称する)36で接続されている。
【0030】
光子源11は、多光子の割合の指標である二次の強度相関計数g(2)(0)がg(2)(0)<1を満たすサブポアソン光源(非理想的単一光子光源)である。出射する光子パルスのほとんどが多光子である光源の場合はg(2)(0)>1となり、理想的単一光子を出射する光源の場合はg(2)(0)=0となる。本実施形態では、微弱レーザー光による光子パルスの代わりに、サブポアソン光源による光子パルスを用いる。
【0031】
g(2)(0)統計評価部17は、ビームスプリッター19によって分離された光子パルスに対して、鍵生成運用中にオンサイトでg(2)(0)を測定する。g(2)(0)統計評価部17は、測定したg(2)(0)から測定ノイズを除去したg(2)(0)の統計的測定値であるg(2)(0)統計評価データを求める。g(2)(0)統計評価部17の構成については後で詳細に説明する。
【0032】
乱数発生器13は、エンコーダ12が光子を符号化して秘密鍵候補である生鍵乱数データを生成するための、時間タグ付き2ビット乱数データをエンコーダ12に供給する。乱数発生器33は、秘密鍵候補を復号するための、時間タグ付き1ビット乱数データをデコーダ32に供給する。
【0033】
データ分析部14は、記憶部141および制御部142を有する。制御部142には、プログラムにしたがって所定の処理を実行するCPU(Central Processing Unit)(不図示)と、プログラムを格納するためのメモリ(不図示)とが設けられている。データ分析部34は、記憶部341および制御部342を有する。制御部342には、プログラムにしたがって所定の処理を実行するCPU(不図示)と、プログラムを格納するためのメモリ(不図示)とが設けられている。
【0034】
制御部142および制御部342は、送信装置10と受信装置30とが複数の生鍵乱数データを共有した後、ランダムサンプリングした一部の生鍵乱数データについて、自装置に保存したデータと相手装置に保存されていたデータとを比較することにより、秘密鍵候補の伝送中のエラー統計評価データを得る。また、制御部142は、g(2)(0)統計評価部17が求めたg(2)(0)統計評価データを受信装置30の制御部342に通知する。制御部142および制御部342は、エラー統計評価データおよびg(2)(0)統計評価データを用いて、複数の生鍵乱数データに対する安全性評価を行い、複数の生鍵乱数データからセキュアな秘密鍵を抽出する。
【0035】
本実施形態では、光子検出器39の機能として、光強度の絶対値の測定は必須ではない。検出効率が不明の光子検出器39であっても問題なく、受信装置30に用いることが可能である。
【0036】
図2は図1に示したg(2)(0)統計評価部の一構成例を示す図である。図2に示す構成例は、標準的なハンブリー・ブラウンとトゥイスの強度干渉系を適用して、g(2)(0)を測定する場合の一例を示すものである。
【0037】
図2に示すように、g(2)(0)統計評価部17は、光カップラー53と、光子検出器55、56と、ゲート信号発生器57と、時間分析部58とを有する。光カップラー53の入力ポートには、ビームスプリッター19で反射された光子パルスが入力される。図2には、光子パルスの例として、光子パルス51、52を示す。
【0038】
光カップラー53の2つの出力ポートのうち、一方の出力ポートの伝送路が光子検出器55に接続され、他方の出力ポートの伝送路が光子検出器56に接続されている。光検出器55、56の出力ポートは時間分析部58に接続されている。ここでは、ビームスプリッター19から光子パルスが周期T1でg(2)(0)統計評価部17にサンプリングされているものとする。
【0039】
ゲート信号発生器57は、光子検出器55、56を動作させるためのゲート信号を、周期T2(=(1/2)T1)で光子検出器55、56に送信する。時間分析部58は、光子検出器55、56が光子パルスを検出したときの信号である光子検出信号を光子検出器55、56から受信すると、その時刻を光子到着時間として記録する。
【0040】
時間分析部58は、光子検出器55、56で同時に光子が検出されたことを事象とする頻度と光子到着時間とを記録し、また、光子検出の合間において光子検出器55、56によるノイズを記録し、g(2)(0)について、光子検出器55、56によるノイズ分を除去した後の統計的測定値を算出する。その算出方法についての詳細は後述する。
【0041】
なお、本実施形態のg(2)(0)統計評価部では、ゲート信号が入力されると動作するゲートモード動作タイプの光子検出器を用いる場合で説明しているが、ゲート信号の入力がなくても動作する非ゲートモード動作タイプの光子検出器を用いてもよい。この場合、光子検出器の測定ノイズを予め測定しておけばよい。
【0042】
次に、本実施形態の量子暗号鍵配付システムの動作を、図1を参照して説明する。図3は、送信装置10による、g(2)(0)の統計的測定からその結果を受信装置30に通知するまでの手順を示すフロー図である。
【0043】
図1において、光子源11により生成された光子パルスの一部はビームスプリッター19によって分離され(ステップ101)、g(2)(0)統計評価部17に入射される。g(2)(0)統計評価部17に入射された光子パルスは、g(2)(0)統計評価部17により、鍵生成運用中にオンサイトでg(2)(0)統計評価データが求められ(ステップ102)、その結果はデータ分析部14の記憶部141に保存される。ビームスプリッター19によって分離された残りの光子パルスは乱数発生器13により生成された時間タグ付き2ビット乱数データに基づき、エンコーダ12により4値変調された後、量子チャンネル16に送られる。変調に用いた時間タグ付き2ビット乱数データはデータ分析部14の記憶部141に保存される。
【0044】
なお、エンコーダ12に入射された光子パルスは秘密鍵候補を生成するための鍵生成用光子パルスに相当し、g(2)(0)統計評価部17に入射された光子パルスは、g(2)(0)を評価するための評価用光子パルスに相当する。
【0045】
量子チャンネル16を介して受信装置30に伝送した光子パルスは、乱数発生器33により生成された1ビット乱数データに基づいてデコーダ32によりデコードされ、光子検出器39で検出される。また、乱数発生器33は、使用した1ビット乱数データの情報をデータ分析部34の記憶部341に保存する。データ分析部34は、到着光子に関して得られた、時間タグ付きの1ビット乱数データを記憶部341に保存する。
【0046】
ここで、g(2)(0)統計評価部17がg(2)(0)統計評価データを求める方法の一例を、図2を参照して説明する。なお、ビームスプリッター19から光子パルスをg(2)(0)統計評価部17に入射する繰り返し周期を100nsとすると、ゲート信号発信器57は20MHz(繰り返し周期の周波数の2倍に相当)でゲート信号を光子検出器55、56に送信する。
【0047】
100nsの周期で入射する光子パルス51、52が光カップラー53の入力ポートに入射する。図2では、2つの光子パルス51、52が100nsの時間を空けて入射される状態を示している。光カップラー53に到達した光子パルスは光カップラー53で分離される。分離された2つの光子パルスのうち、一方の光子パルスは光子検出器55に導かれ、他方の光子パルスは光子検出器56に導かれる。これらの光子検出器55、56に周波数20MHzでゲート信号発生器57からゲート信号が入力される。これにより、光子検出器55、56は、光子到着に同期して動作する。これらの光子検出器には光強度の絶対値測定は必要とされない。光子検出信号は時間分析部58に導かれ、2つの光子検出器55、56における光子到着時間が記録される。
【0048】
2つの光子検出器55、56の光子検出時間差ΔTに対して、半周期(この例では50ns)毎に対応する事象頻度P(ΔT)をプロットしたヒストグラムが得られる。図4はヒストグラムの一例である。図4に示すグラフの横軸は時間であり、縦軸は事象頻度を示す。光子検出器55、56で同時に光子パルスを検出したことが事象に相当する。事象頻度の記録は、図4では1時間の場合の結果を示しているが、この時間に限られず、実際には、送信装置10から受信装置30への複数の秘密鍵候補の伝送開始時刻から伝送終了時刻までの時間となる。
【0049】
図4に示すように、ヒストグラムは50ns毎に増減を繰り返すデータとなる。図4に示すグラフでは、増成分のヒストグラムに比べて、減成分のヒストグラムは極端に小さく、グラフの底に近い値で示されている。減成分のデータは、光子検出器55、56が実際に光子パルスを検出したのではなく、光子検出器55、56がノイズによって誤検出したものだからである。この誤検出の原因となるノイズが測定ノイズに相当する。
【0050】
増減するデータのうち、増成分に対応するデータ(周期=100ns)を分析することによりg(2)(0)を評価でき、減成分に対応するデータ(周期=100ns)を分析することにより検出器ノイズを評価できる。よって、これらの評価値の差分をとることにより、g(2)(0)の真値を評価できる。時間分析部58は、増成分に対応する事象頻度から減成分に対応する事象頻度を引いた値に基づいてg(2)(0)統計評価データを求める。
【0051】
本実施形態の量子暗号鍵配付システムの動作の説明に戻る。データ分析部14の制御部142とデータ分析部34の制御部342は、古典チャンネル36を用いて、記憶部141と記憶部341のそれぞれに保存された時間タグ付き乱数データに対して、時間タグで対応づけて一部を抜き出して互いに公開し、各装置の記憶部から生鍵乱数データを抽出する。そして、制御部142と制御部342は、このようにしてランダムサンプリングした一部の生鍵乱数データと他の生鍵乱数データとを区別できるように記憶部141および記憶部341のそれぞれに保存する。
【0052】
制御部142と制御部342は、ランダムサンプリングした一部の生鍵乱数データについて、自装置に保存したデータと相手装置に保存されていたデータとを比較することにより、秘密鍵候補の伝送中のエラー統計評価データを得る。さらに、本実施形態では、送信装置10の制御部142は、記憶部141に保存されたg(2)(0)統計評価データを受信装置30の制御部342に通知する(ステップ103)。
【0053】
光子源11から量子チャンネル16の入り口までのロスηの測定は光強度の絶対値測定に依存せずに行うことができ、g(2)(0)<0.01が満たされるほどg(2)(0)が小さい場合には、量子チャンネル入り口における多光子パルスの確率pmultiを、pmulti <(1/2)g(2)(0) η2に抑えることができる。
【0054】
不完全デバイスを用いた量子暗号鍵配付の安全基準(非特許文献6)によれば、量子チャンネル入り口における多光子パルスの確率pmultiの上限値の評価式pmulti <(1/2)g(2)(0) η2、およびエラー統計評価データから、セキュアな秘密鍵を得るために必要な鍵短縮率を求めることができる。これに基づいて、制御部142と制御部342は、秘匿性増強プロトコルを実行することにより、残った生鍵乱数データからセキュアな秘密鍵を抽出することができる。
【0055】
本実施形態の量子暗号装置によれば、現実的な光子光源を用いた量子暗号鍵配付システムにおいて、g(2)(0)統計評価データを用いて暗号秘密鍵の安全性評価を行っているため、光強度の絶対値測定が求められる光子検出器を用いる必要がない。したがって、暗号秘密鍵の信頼度に対する評価を、光強度の絶対値測定に依存せずに行うことができ、暗号秘密鍵のセキュリティ上の信頼性を高めることができる。
【0056】
g(2)(0)統計評価部17に含まれる光子検出器の機能として、光強度の絶対値測定は必要とされないが、光子検出器にノイズがある場合、1つの光子検出器だけでg(2)(0)を測定すると、g(2)(0)が過大に評価されてしまう。本実施形態では、g(2)(0)統計評価部17は、光子検出器55、56のノイズ成分をg(2)(0)測定値から分離し、そのノイズ成分をg(2)(0)測定値から除去しているため、g(2)(0)を過大に評価することを防げる。
【0057】
また、g(2)(0)統計評価部17による、g(2)(0)の評価を送信装置10内でローカルに行えるので、盗聴者につけいる隙を与えることなく、測定したg(2)(0)からノイズによる寄与分を除去することが可能である。
【符号の説明】
【0058】
10 送信装置
30 受信装置
11 光子源
12、32 エンコーダ
13、33 乱数発生器
14、34 データ分析部
17 g(2)(0)統計評価部
39、55、56 光子検出器
53 光カップラー
54 光遅延路
58 時間分析部

【特許請求の範囲】
【請求項1】
秘密鍵の情報を含む光子を受信装置に伝送する量子暗号装置であって、
多光子の割合の指標である二次の強度相関計数g(2)(0)について、g(2)(0)<1を満たす光源と、
前記光源から出射される光子パルスを、前記秘密鍵の候補である秘密鍵候補を生成するための鍵生成用光子パルスと前記g(2)(0)を評価するための評価用光子パルスとに分離するスプリッターと、
前記スプリッターで分離された前記評価用光子パルスのg(2)(0)を測定し、測定したg(2)(0)から測定ノイズを除去して前記g(2)(0)の統計評価データを求める統計評価部と、
複数の前記秘密鍵候補を前記受信装置に送信した後、該複数の秘密鍵候補に対する安全性評価のために、前記統計評価部で求められた前記g(2)(0)の統計評価データを該受信装置に通知するデータ分析部と、
を有する量子暗号装置。
【請求項2】
請求項1記載の量子暗号装置において、
前記統計評価部は、
所定の周期で前記スプリッターから入射される前記評価用光子パルスを2つの光子パルスに分離する光カップラーと、
前記光カップラーで分離された2つの光子パルスのうち、一方の光子パルスを第1の伝送路を介して検出する第1の光子検出器と、
前記光カップラーで分離された2つの光子パルスのうち、他方の光子パルスを第2の伝送路を介して検出する第2の光子検出器と、
所定の時間内に、前記第1および前記第2の光子検出器が光子パルスを同時に検出する頻度である第1の頻度と前記第1および前記第2の光子検出器がノイズによって誤検出する頻度である第2の頻度とを記録し、前記第1の頻度と前記第2の頻度との差を算出し、該差の値に基づいて前記g(2)(0)の統計的評価データを求める時間分析部と、
を有する量子暗号装置。
【請求項3】
秘密鍵の情報を含む光子を受信装置に伝送する送信装置による暗号鍵評価方法であって、
多光子の割合の指標である二次の強度相関計数g(2)(0)について、g(2)(0)<1を満たす光源から出射される光子パルスを、前記秘密鍵の候補である秘密鍵候補を生成するための鍵生成用光子パルスと前記g(2)(0)を評価するための評価用光子パルスとに分離し、
分離された前記評価用光子パルスに対して前記g(2)(0)を測定し、測定したg(2)(0)から測定ノイズを除去して前記g(2)(0)の統計評価データを求め、
複数の前記秘密鍵候補を前記受信装置に送信した後、該複数の秘密鍵候補に対する安全性評価のために、前記g(2)(0)の統計評価データを該受信装置に通知する、暗号鍵評価方法。

【図1】
image rotate

【図2】
image rotate

【図3】
image rotate

【図4】
image rotate

【図5】
image rotate


【公開番号】特開2012−44310(P2012−44310A)
【公開日】平成24年3月1日(2012.3.1)
【国際特許分類】
【出願番号】特願2010−181770(P2010−181770)
【出願日】平成22年8月16日(2010.8.16)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成22年度、独立行政法人情報通信研究機構「量子暗号の実用化のための研究開発(課題イ 量子暗号ネットワーク技術の研究開発)」、産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】