量子暗号通信システム
【課題】連続クリック攻撃を発見できる量子暗号通信システムを提供すること。
【解決手段】受信機420は、連続クリック攻撃において盗聴者から送られると想定される連続パルス数をNとしたときに、(N+1)Tより長い時間間隔の2つの時刻で光子がともに検出された事象を計数する。正常動作時であれば、受信機420に到達する1パルス当たりの平均光子数をμ、第1及び第2の光子検出器423、424の検出効率をηとすると、離れた2パルスからともに光子検出する確率はおおよそ(ημ)2である。一方、連続クリック攻撃が行われていると、その確率は、理想的にはゼロ、第1及び第2の光子検出器423、424の暗計数確率がdである場合には(ημ)dとなる。いずれにしても、2パルス光子検出確率は、正常時と連続クリック攻撃時では異なることになる。離れた2パルスでともに光子検出された回数をモニターすれば連続クリック攻撃を発見する。
【解決手段】受信機420は、連続クリック攻撃において盗聴者から送られると想定される連続パルス数をNとしたときに、(N+1)Tより長い時間間隔の2つの時刻で光子がともに検出された事象を計数する。正常動作時であれば、受信機420に到達する1パルス当たりの平均光子数をμ、第1及び第2の光子検出器423、424の検出効率をηとすると、離れた2パルスからともに光子検出する確率はおおよそ(ημ)2である。一方、連続クリック攻撃が行われていると、その確率は、理想的にはゼロ、第1及び第2の光子検出器423、424の暗計数確率がdである場合には(ημ)dとなる。いずれにしても、2パルス光子検出確率は、正常時と連続クリック攻撃時では異なることになる。離れた2パルスでともに光子検出された回数をモニターすれば連続クリック攻撃を発見する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、送信機から受信機へ量子暗号鍵を配送する量子暗号通信システムに関する。
【背景技術】
【0002】
従来、暗号技術としては数式の数学的な計算困難性(例えば、解読のための計算に膨大な時間がかかる)を基礎にした暗号方式が使用されてきたが、最近では、光子1個レベルの光を用いることにより、物理的に安全性が保証された量子暗号通信の研究が進められている。
【0003】
量子暗号は、量子力学の理論を用いた暗号技術であって、盗聴しても内容が無意味なものになってしまい、かつ盗聴されたことが分かる究極の暗号技術として知られている。
【0004】
量子通信の分野では、互いに離れた地点に存在する2者間で暗号通信を行うための秘密鍵を供給するシステムが知られており、そのシステムは、量子鍵配送システムとも呼ばれている。量子鍵配送には、各種方式が存在するが、本明細書では従来技術として、「差動位相シフト量子鍵配送方式」(非特許文献1参照)について説明する。
【0005】
図1(a)は、従来技術の「差動位相シフト量子鍵配送システム」の基本構成を示す。送信機は、0またはπで任意にランダムに位相変調した一定間隔のコヒーレント光パルス列を、パルス当り平均1光子未満(例えば、0.1光子/パルス)で伝送路に送出する。平均光子数1個未満という状態は、通常のレーザ光を大きく減衰させることにより実現される。
【0006】
このような光パルス列を光子検出すると、パルスによって光子が検出されたりされなかったり、という検出結果となる。どのパルスで光子が検出されるかは、測定するまで不確定である。
【0007】
図1(a)に示すように、送信機から送出されたパルス列は、伝送路を介して受信機に到達する。まず、受信機では、光分岐手段を使用して、送信機から受信した光パルス列をエネルギー的に等分になるように2つに分岐し、分岐した各光パルス列を長経路および短経路に送出する。長経路では、光パルス列に一定の遅延時間Tを加える。その後、長経路および短経路を通った光パルス列は、2×2合波カップラにおいて再び合波する。2×2合波カップラは、長経路および短経路にそれぞれ接続されている第1及び第2の入力端子を備え、長経路および短経路を通った光パルス列を受け入れる。また、2×2合波カップラは、第1及び第2の出力端子も備え、それぞれの出力端子には、第1及び第2の光子検出器が接続されている。
【0008】
上記の長経路で一方の光パルスに与えられる一定の遅延時間Tは、送信機から伝送路を介して受信機に入力される光パルス列の一定間隔Tに等しいものと仮定すると、2×2合波カップラでは、前後のパルスが重なり合って合波される。パルスが重なり合う様子は、図1(b)に図示している。
【0009】
受信機に入力された光パルス列は、上述したように、0またはπで位相変調されている。したがって、受信機内の光分岐手段から2×2合波カップラにいたる分岐・合波経路の伝播位相が適切であれば、重なり合うパルスの位相差は0またはπとなる。
【0010】
2×2合波カップラでの合波の結果、両パルスは干渉し、位相差が0ならば第2の光子検出器が光子を検出し、位相差πならば第1の光子検出器が光子を検出することになる。
【0011】
上記の構成を用いて、送信機と受信機は、以下の手順により秘密鍵を得る。
【0012】
まず、受信機は、上記の構成により送信機から送出され、伝送路を経たパルスから光子を検出する。この際、受信機は、検出した時刻と光子検出器を記録する。所定の数の光子が受信された後、受信機は送信機に対して光子が検出された時刻(以下「光子検出時刻」とも言う。)を通知する。ただし、この通知経路は上記伝送路に限るものではない。
【0013】
送信機は、受信機から通知された光子検出時刻と、送信機自身が有する位相変調データとから、受信機が第1及び第2の光子検出器のいずれで光子を検出したかを知ることができる。
【0014】
そこで、第1の光子検出器で光子検出した場合をビット「0」、第2の光子検出で光子検出した場合をビット「1」と予め取り決めておけば、送信機と受信機は、双方で同じビット列を得ることができる。
【0015】
上記手順においては、受信機から送信機へ通知されるのは光子検出時刻のみであるため、ビット情報は受信機の外部には出ることはなく、盗聴されることはない。
【0016】
この「差動位相シフト量子鍵配送方式」に対する代表的な盗聴法として「なりすまし法」と呼ばれる方法が知られている。図2(a)は、なりすまし盗聴の説明図である。図中、光子検出器を便宜上「DET」と標記している。盗聴機(盗聴者)は、伝送路の途中で、送信機によって送出された伝送信号を本来の受信機と同様の機器構成で受信し、その受信結果に基づいてダミー信号を本来の受信機に光送信機を用いて送信する。盗聴機(盗聴者)が送信機からの伝送信号を正しく受信できれば、ダミー信号は元の送信信号と同一であり、受信機に盗聴行為が気付かれないようにして情報を得ることができる。
【0017】
しかしながら、上述の「差動位相シフト量子鍵配送方式」においては、送信機からの送信信号はパルスあたり平均1光子未満(例えば0.1光子/パルス)の光パルス列であるため、このような送信信号を受信しても、平均10パルスに1回しか光子は検出されない。
【0018】
したがって、盗聴機(盗聴者)は、光子を検出することができた時刻に対応する2つのパルスの位相差は分かるが、それ以外の場合の位相差は検出できない。盗聴機(盗聴者)がこのような検出結果に基づいてダミー信号を送ろうとすると、位相差が検出できなかった時刻に対応するパルスについては、当て推量で選んだ位相を割り振って再送するか(なりすまし盗聴1)、何も信号を出さないか(なりすまし盗聴2)のいずれかの方法を採るしかない。
【0019】
前者の場合(なりすまし盗聴1)、当て推量で選んだ位相差を受信機が検出した際、送信機が送った信号と異なる可能性が高い。後者の場合(なりすまし盗聴2)、やはり信号の不一致が生じる。その理由は、この場合の盗聴機(盗聴者)が送るのは光子を検出した時刻に対応する2パルスを含むパルス列であるが、孤立した連続する2つのパルス以外は空のパルスだからである。つまり、孤立した連続する2つのパルスを受信機が受信すると、2×2合波カップラら出力される段階では3つの時刻で光子が検出され得る。
【0020】
この3つの時刻で光子が検出される様子は、図2(b)に図示している。図2(b)では、光分岐手段によって分岐された光パルス列のうち、遅延されない光パルス列(下に記載されている光パルス列)と遅延された光パルス列(上に記載の光パルス列)を時系列的に図示している。
【0021】
図2において、両光パルス列が重なる時刻は3つ示されているが、そのうちの真ん中の時刻(「第2の時刻」と呼ぶ。)t2で光子が検出された場合には、その検出結果は2つのパルスの位相差に従っており、送信機が意図した通りの光子検出器で光子が検出される。
【0022】
ところが、2つの光パルス列が重ねる時刻のうち第2の時刻t2の前後である第1の時刻t1又は第3の時刻t3で光子が検出された場合には、干渉する相手がいないため、第1及び第2の光子検出器のいずれで光子が検出されるかは全く無作為に起こる。
【0023】
したがって、受信機が第1の時刻t1又は第3の時刻t3での光子検出結果から秘密鍵ビットを得ると、そのビットは送信機が意図したものとは異なるものになる。
【0024】
このように、なりすまし盗聴が行われると、送信機と受信機との間でビットの不一致が生じる。これをビット誤りと言う。そこで、送信機および受信機は、通常の手順に従って秘密鍵を得た後、いくつかのテストビットを用いて照合検査する。システムが正常に動作していれば両者のビット情報は一致するが、なりすまし盗聴があれば一致しないビットが発生する。
【0025】
より具体的には、盗聴機が1個の光子を含むダミー信号を送信した場合、受信機が第1または第3の時刻で光子検出する確率は1/2であり、そしてこの光子検出から得られるビットが一致しない確率はさらにその1/2であることから、1/4の割合でビット誤りとなる。ビット誤りがある場合、システムは正常に動作していないと判断され、その秘密鍵は廃棄される。言い方を変えると、テストビットが一致していれば盗聴行為はなかったと判断することができ、その秘密鍵は安全であることが保証される。
【0026】
このように、差動位相シフト量子鍵配送方式においては、なりすまし盗聴を受けたとしても、送信信号が1パルスあたり1光子未満であることにより、盗聴者(盗聴機)は正確なダミー信号を送信できず、不正確なダミー信号により送受信機間でビット誤りが生じ、盗聴の有無を判別することができた。
【先行技術文献】
【非特許文献】
【0027】
【非特許文献1】K. Inoue, E. Waks, Y. Yamamoto, ‘‘Differential-phase-shift quantum key distribution using coherent light,’’ Physical Review A, 2003, vol. 68, paper number 022317
【非特許文献2】T. Tsurumaru, ‘‘Sequential attack with intensity modulation on differential-phase-shift quantum key distribution protocol,’’ Physical Review A, 2007, vol. 75, paper number 062319
【発明の概要】
【発明が解決しようとする課題】
【0028】
上述の説明では、送受信機の性能が理想的であることを前提として、得られた秘密鍵が安全であることを説明した。しかしながら、実際には送受信機の性能の不完全さのために、システム元来のビット誤り率が発生する。
【0029】
この場合、そのビット誤りに紛れて、鍵の一部が盗聴される可能性がある。例えば、システム元来のビット誤り率がeであったと仮定する。これに対して盗聴者(盗聴機)は、伝送信号の一部に対してだけ、上述のなりすまし盗聴2(位相差が検出できなかったパルスについては何も信号を出さない)を行なうとする。盗聴する割合をxとすると、それにより発生するビット誤り率は、x×1/4=x/4である。
【0030】
ここで、x/4<e、すなわち、システム元来のビット誤り率の方が盗聴により発生するビット誤り率より高い場合には、送信機および受信機では、このシステム元来のビット誤りと盗聴によるビット誤りとの区別がつかず、盗聴に気づくことが困難である。すなわち、割合xに該当する分の鍵情報は、送信機および受信機が気付くことなく盗聴者によって盗まれる可能性がある。
【0031】
上記の説明では、盗聴により発生するビット誤り率を1/4としたために、盗聴成功条件がx/4<eすなわちx<4eであった。もし、盗聴によるビット誤り率が1/4より小さい1/mであれば(m>4)、盗聴成功条件はx<meとなる。つまり、盗聴者が、盗聴によって生じるビット誤り率を小さくできれば、システム元来のビット誤りを利用する盗聴量を大きくすることができる。そうするための盗聴法として、「連続クリック攻撃」という方法が知られている(非特許文献2)。この盗聴法は、「差動位相シフト量子鍵配送方式」に対して、もっとも強力な盗聴方法とされている。以下、「連続クリック攻撃」について説明する。
【0032】
上述の「なりすまし攻撃」において、盗聴によるビット誤りが起こるのは、受信機が、第1の時刻または第3の時刻で光子検出する場合であった。これは、言い方を変えると、光子を検出し得る時刻のうちの両端の時刻である。もし、盗聴者の送るダミー信号において、光子が存在し得る連続パルス数が大きければ、当該両端の時刻で光子を検出する確率は相対的に小さくなる。上述の「なりすまし攻撃」では、盗聴者が送るダミー信号のうち光子が存在し得るのは2連続パルスであったため、受信機が光子を検出し得るのは3つの時刻であり、片端の時刻で光子検出する確率は1/4、両端では1/2であったが、例えば、光子が存在し得るのが4連続パルスであれば、受信機は5つの時刻で光子を検出する可能性があり、そのうち片端の時刻で光子検出する確率は1/8、両端では1/4となる。両端の時刻で光子検出する確率が小さくなれば、ビット誤りを起こす確率も小さくなる。そして、その結果、盗聴量も増えることになる。
【0033】
「連続クリック」攻撃は、上述の原理を利用した盗聴法である。図3(a)は、差動位相シフト量子鍵配送システムに対する連続クリック攻撃の説明図である。なりすまし攻撃と同様に、盗聴者は伝送路の途中で、送信機によって送出された伝送信号を受信し、その受信結果に基づいてダミー信号光子を本来の受信機に光送信機を用いて送信する。ただし、なりすまし攻撃のように光子を検出する度にダミー光子を送信するのではなく、連続して光子検出したときのみダミー光子を送信する。送信機から送られる光パルス列は、例えば0.1光子/パルスなので、2回連続して光子検出する確率は(0.1)2、3回連続して光子検出する確率は(0.1)3、であり、1回検出確率よりは小さいが、ゼロではない。
【0034】
盗聴者は、連続光子検出した場合、当該連続パルスの位相差を知ることができる。そこで、図3(a)に示すように、得られた位相差を付与した連続パルスを本来の受信機へ送信する。さらにその際、連続パルスの包絡線が真ん中のパルスをピークとするガウス波形となるようにして送信する。すなわち、連続パルスの両端のパルスにおける光子の存在確率が小さくなるようにして送信する。
【0035】
さらに、盗聴者は、上記連続パルスを、極低損失伝送路を介して、本来の受信機へ送信する。これは、受信機が、受信する光子数の減少から盗聴を検知するのを防ぐためである。上述のように、連続クリック攻撃においては、盗聴者は、連続して光子を検出した場合にのみダミー信号を送信し、単独検出の時には何も送らない。したがって、元と同じ伝送路を介してダミー信号を送信したのでは、受信機が受け取る全光子数が減ることになり、これより盗聴が発覚する。そこで、盗聴者は、極低損失伝送路を用いる。
【0036】
元の伝送路には伝送損失があり、送信機から送出された光子の何割かは、伝送中に消滅して受信機には届かない。消滅する割合は伝送距離が長いほど大きい。例えば、伝播損失0.3dB/kmであるファイバー伝送路の場合、100km伝送路では99.9%の光子が消滅する。
【0037】
盗聴者が極低損失伝送を用いると、ダミー光子は、消滅することなく本来の受信機に到達する。単独検出のため盗聴者でブロックされる光子の割合が、元の伝送路で消滅する光子の割合(上の例で言えば、99.9%)と同じであれば、受信機に到達する光子数は、盗聴がある場合と無い場合で変わりはない。したがって、受信機は、受信光子数からは盗聴行為に気が付かない。
【0038】
盗聴者から送られたダミー信号は、極低損失伝送路を介して、正規の受信機に到達する。受信機は、受信信号を光分岐手段から2×2合波カップラにいたる分岐・合波回路に通した後、光子検出する。ここで、ダミー信号において光子が存在し得る連続パルス数をNとすると、分岐・合波回路から出力される段階では(N+1)個の時刻で光子が検出され得る。これらの時刻で光子が検出される様子は、図3(b)に図示している(図の例ではN=6)。
【0039】
図3(b)に示されているように、(N+1)個の時刻のうち、1番目の時刻または(N+1)番目の時刻で光子が検出される場合、干渉する相手がいないため、第1及び第2の光子検出器のいずれで光子が検出されるかは、全く無作為に起こる。したがって、受信機が1番目の時刻または(N+1)番目の時刻での光子検出結果から秘密鍵ビットを得ると、そのビットは送信機が意図したものとは異なるものになる。
【0040】
上記盗聴により、送受信機でビットが不一致となる確率、ビット誤り率は、1番目の時刻または(N+1)番目の時刻で光子が検出される確率によって決まる。この確率は、盗聴者が送るダミー信号の連続光子パルス数Nが3以上であることと、その包絡線が中心パルスをピークとするガウス波形状であることにより、前述のなりすまし盗聴における確率よりも小さい。したがって、連続クリック攻撃によって生じるビット誤り率は、なりすまし盗聴によって生じるビット誤り率よりも小さい。その結果、前者による盗聴量が後者によるものより大きくなる。
【0041】
以上の原理により、連続クリック攻撃が差動位相シフト量子鍵配送システムに対する最も強力な盗聴法とされている。
【0042】
本発明は、このような問題に鑑みてなされたもので、その目的は、連続クリック攻撃を発見できる量子暗号通信システムを提供することにある。
【課題を解決するための手段】
【0043】
このような目的を達成するために、本発明の第1の態様は、送信機から受信機へ量子暗号鍵を配送する量子暗号通信システムにおいて、前記送信機は、一定の時間間隔Tの連続パルスからなる光パルス列を送出する光源と、前記光パルス列を0またはπで位相変調する位相変調器と、位相変調された前記光パルス列を、パルス当りの平均光子数を1光子未満に減衰して送出する減衰器とを備えることを特徴とする。さらに、前記受信機が、前記送信機から送出された前記光パルス列を受信して第1の光パルス列と第2の光パルス列に分岐する光分岐手段と、前記第1の光パルス列を前記第2の光パルス列に対して前記一定の時間間隔Tと等しい時間だけ遅延させる遅延手段と、前記遅延手段で遅延させられた前記第1の光パルス列と前記第2の光パルス列を合波して合波後の光パルスを生成する2×2光カップラと、前記遅延させられた前記第1の光パルス列と前記第2の光パルス列の相対位相差が0である場合に光子を検出する第1の光子検出器と、前記遅延させられた前記第1の光パルス列と前記第2の光パルス列の相対位相差がπである場合に光子を検出する第2の光子検出器と、前記第1または第2の光子検出器で光子が検出された光子検出時刻および検出した光子検出器を記録する記録手段と、前記記録手段により記録された前記光子検出時刻を照合して、n・Tだけ離れた2つの時刻(nは予め定めた自然数)でともに光子を検出した回数を計数する計数手段と、前記計数手段により計数した前記回数が所定の値と異なっていた場合に盗聴ありと判断する盗聴検知手段とを備えることを特徴とする。
【0044】
また、本発明の第2の態様は、第1の態様において、前記予め定めた自然数nが、前記量子暗号通信システムに対する連続クリック攻撃において盗聴者から送られると想定される連続パルス数をNとしたときに、n>N+1を満たす一定値であることを特徴とする。
【0045】
また、本発明の第3の態様は、前記予め定めた自然数nが、前記量子暗号通信システムに対する連続クリック攻撃において盗聴者から送られると想定される連続パルス数をN、nminをnmin>N+1を満たす自然数、nmaxを盗聴者がN回連続で光子検出した後に、次のN回連続の光子検出が始まるまでに要するパルス数の平均値としたときに、nmin<n<nmaxを満たし、前記計数手段により計数する前記回数は、nmin<n<nmaxであるnについての積算値であることを特徴とする。
【発明の効果】
【0046】
本発明によれば、量子暗号通信システムの受信機において、n・Tだけ離れた2つの時刻(nは予め定めた自然数)でともに光子を検出した回数を計数することにより、連続クリック攻撃を発見することができる。
【図面の簡単な説明】
【0047】
【図1】(a)は、従来の差動位相シフト量子鍵配送システムの基本構成を示す図であり、(b)は、受信機の2×2合波カップラにおいてパルスが重なり合う様子を示す図である。
【図2】(a)は、従来のなりすまし盗聴の説明図であり、(b)は、孤立した連続する2つのパルスを受信した受信機の2×2合波カップラにおいてパルスが重なり合う様子を示す図である。
【図3】(a)は、従来の差動位相シフト量子鍵配送システムに対する連続クリック攻撃の説明図であり、(b)は、受信機の2×2合波カップラにおいてパルスが重なり合う様子を示す図である。
【図4】本発明の第1の実施形態に係る量子暗号通信システムの構成図である。
【図5】連続クリック攻撃において盗聴者が送出するダミー信号を説明するための図である。
【図6】第1の実施形態に係る量子暗号通信システムによる盗聴検知を説明するための図である。
【図7】第2の実施形態に係る量子暗号通信システムによる盗聴検知を説明するための図である。
【発明を実施するための形態】
【0048】
以下、図面を参照して本発明の実施形態を詳細に説明する。
【0049】
(第1の実施形態)
図4は、本発明の第1の実施形態に係る量子暗号通信システムの構成図である。図4において、送信機410は、光源411と、位相変調器412と、減衰器413とを備える。光源411は、一定間隔Tの光パルス列を発生する。位相変調器412は、各パルスを0もしくはπでランダムに位相変調を施す。そして、減衰器413を用いて1パルス当たり平均光子数を1未満に減衰して、伝送路に送出する。減衰器413は、例えば、NDフィルタ等、レーザ光などの光源411から入射される光を大きく減衰させるための手段であればいずれのものを用いてもよい。この送信機410の構成は、従来技術の差動位相シフト量子鍵配送システムと同様である。
【0050】
光検出装置としての受信機420は、光分岐手段421と、2×2光カップラ422と、第1及び第2の光子検出器423、424と、メモリー425(「記録手段」に対応)と、CPU426で構成されている。受信機420へ入力された光は、光分岐手段421により2分岐され、一方に長経路(「遅延手段」に対応)により遅延時間Tが与えられた後、2×2光カップラ422により再び合波される。遅延時間Tは入力されたパルス列のパルス間隔に等しいものとする。2×2光カップラ422の第1及び第2の出力端子にはそれぞれ、第1及び第2の光子検出器423、424が接続されている。
【0051】
以上の構成により、送信機410が、0またはπでランダムに位相変調した一定間隔(パルス間隔)Tの光パルス列を、パルス当り平均1個光子未満(例えば、0.1光子/パルス)として送出する。光パルスのコヒーレンス時間はパルス間隔Tより充分長いものとする。受信機420は、光伝送路を経て送信機410より伝送されてきたパルス列を、光分岐手段421に入力する。分岐された光パルス列は、2×2光カップラ422で合波され、第1及び第2の光子検出器423、424にてそれぞれ検出される。
【0052】
このように受信機420を構成すると、2×2光カップラ422では、前後のパルスが重なり合い干渉を起こす。干渉の結果、パルス間の位相差が0なら第2の光子検出器424が、πなら第1の光子検出器423が、光子を検出する。但し、送信光はパルス当り平均1個光子未満なので、光子が検出されるのは稀である。
【0053】
上記構成及び動作特性を利用して、以下の手順により、送信機410と受信機420は共通のビットを得る。(1)送信機410と受信機420は必要な長さのパルス列を送受信する。この際、受信機420は光子を検出した時刻および検出した光子検出器をメモリー425に記録する。(2)受信機420のCPU426は、記録した光子検出時刻を調べ、特定時間だけ離れた2つの時刻でともに光子が検出された回数を計数する。そして、その回数が所定の値と同一であれば、次のプロセスに進む。所定の値と異なっていた場合には、CPU426は盗聴有りと判断して、ビット生成作業を中止する。(3)受信機420は、光子検出時刻を送信機に通知する。(4)送信機410は、自身の位相変調データと光子検出時刻から、受信機420においてどちらの光子検出器が光子を検出したかを知る。(5)送信機410と受信機420は、光子検出事象について、第1の光子検出器423によるものであればビット「0」を、第2の光子検出器424によるものであればビット「1」を付与する。この場合、光子を検出する光子検出器は確定しているので、送信機410と受信機420は同じビット値を得ることになる。これを秘密鍵ビットとする。
【0054】
以上の構成・手順によるシステムでは、以下の原理により、連続クリック攻撃を発見する。
【0055】
連続クリック攻撃では、盗聴者は、伝送路の途中で伝送信号光を検出し、連続して検出結果が得られた場合にのみ、光子検出結果に基づき、正規の受信機が同じ検出結果となるようにダミー信号を送出する。連続検出されない場合には、何も送らない。
【0056】
前述のように、本実施形態では、送信機410が送出しているのは、送信レベルがパルス当り平均1個光子未満、例えば0.1個光子/パルスであるパルス列である。そのため、盗聴者が連続して信号検出するのは稀である。したがって、盗聴者から送出されるダミー信号は、ほとんどが空パルスで、ごく稀に光子を含んだ数パルスが連続して送られることになる(図5参照)。
【0057】
これに対し受信機420は、連続クリック攻撃において盗聴者から送られると想定される連続パルス数をNとしたときに(図5の例では、N=6)、(N+1)Tより長い時間間隔の2つの時刻で、光子がともに検出された事象を計数する。例えば、N=6であれば、図6に示すように、8パルス分離れた2つの時刻で共に光子が検出された事象を数え上げる。ここで、連続パルス数Nに関しては、次のような値を想定する。Nの値は、伝送路の損失などを含む送信側から受信側への伝送効率に応じて変化する値である。送信側から送出される各光パルスには、所定の平均光子数(例えば0.1光子/パルス)を平均とするポアソン分布に従った数の光子が確率的に含まれている。したがって、盗聴者が連続してN回、光子を検出できる確率もこの平均光子数により決まる。連続クリック攻撃では、盗聴者は、N回連続して光子検出できたときに、1光子、極低損失伝送路を通じて、受信側に信号を送出する攻撃である。ただし、盗聴者は、盗聴が行なわれていない状況下で、受信側で受信すべき光子検出数に変化がないように盗聴行為を行なわなければならないという制約がある。光子検出数に変化があると、そこから盗聴が発覚するからである。そこで、盗聴者は、上記の制約が満たされる最大のNを採用すると想定する。
【0058】
盗聴されていない正常動作時であれば、受信機420に到達する1パルス当たりの平均光子数をμ、第1及び第2の光子検出器423、424の検出効率をηとすると、離れた2パルスからともに光子検出する確率はおおよそ(ημ)2である。一方、連続クリック攻撃が行われていると、その確率は、理想的にはゼロ、第1及び第2の光子検出器423、424の暗計数確率(光子が無い時に誤ってカウントする確率)がdである場合には(ημ)dとなる。いずれにしても、2パルス光子検出確率は、正常時と連続クリック攻撃時では異なることになる。
【0059】
そこで、離れた2パルスでともに光子検出された回数をモニターすることにより、連続クリック攻撃を発見する。
【0060】
なお、一定時間だけ離れた2つの時刻でともに光子が検出された回数を計数する計数処理、及びその回数が所定の範囲内でない場合に盗聴有りと判断する盗聴検知処理は、図4に示したように、CPU426を計数手段427及び盗聴検知手段428として機能させることで実現できる。
【0061】
(第2の実施形態)
第1の実施形態に係るシステムにより、原理的には連続クリック攻撃が検知できるが、伝送損失が大きい又は光子検出器の検出効率が悪い場合には、検知が困難となることがある。このような場合には、ημが小さな値となり、(ημ)2はさらに小さくなる。連続クリック攻撃を検知するためには、(ημ)2がゼロ又は(ημ)dと有意に違っていなければならないが、(ημ)2が非常に小さくほぼゼロであると、正常時と盗聴時との区別がつかず、盗聴が検知できない。本発明の第2の実施形態はこの課題を解決する。
【0062】
第2の実施形態の装置構成は、CPU426内の処理を除いて第1の実施形態と同一である。第1の実施形態では、離れた2パルスでともに光子検出が起こる回数をメモリー425に記録した光子検出時刻からCPU426で計数した。この場合の2パルスの時間間隔は、図6に示したように、特定の時間間隔、例えば、連続パルス間隔をTとするとn1・Tという時間間隔(n1はn1>N+1を満たす自然数)であった。これに対し本実施形態では、パルス間隔が特定の一定値ではなく、ある時間幅内にある2パルス光子検出の回数をモニターする。すなわち、次式を満たすn2について、n2・Tという時間間隔の2パルスでの光子検出回数の積算値をモニターする(図7参照)。
nmin<n2<nmax
ここで、nmin、n2、nmaxは自然数であり、nmin>N+1である。nmaxは、次のように定義する。前述のように、送信側から送出される各光パルスには、所定の平均光子数(例えば0.1光子/パルス)を平均とするポアソン分布に従った数の光子が確率的に含まれている。したがって、盗聴者がN回連続で光子検出した後に、次のN回連続の光子検出が始まるまでに要するパルス数mも確率的になる。そこで、このmの平均値をnmaxとする。
【0063】
このようにすると、正常時には、光子検出確率は一様であるため、2パルス光子検出積算値は特定時間間隔の2パルス光子検出回数の(nmax−nmin+1)倍となる。一方、盗聴時の2パルス光子検出積算値は、nminはnmin>N+1を満たし、nmaxは連続クリック攻撃で想定されるダミー信号の隣接する光子パルス間隔数の平均値より小さい値としているため、第1の実施形態と同様にゼロ又は(ημ)dである。すなわち、正常時と盗聴時の差が大きくなる。そのため、伝送損失が大きい又は光子検出器の検出効率が悪い場合でも、盗聴を検知することができる。
【技術分野】
【0001】
本発明は、送信機から受信機へ量子暗号鍵を配送する量子暗号通信システムに関する。
【背景技術】
【0002】
従来、暗号技術としては数式の数学的な計算困難性(例えば、解読のための計算に膨大な時間がかかる)を基礎にした暗号方式が使用されてきたが、最近では、光子1個レベルの光を用いることにより、物理的に安全性が保証された量子暗号通信の研究が進められている。
【0003】
量子暗号は、量子力学の理論を用いた暗号技術であって、盗聴しても内容が無意味なものになってしまい、かつ盗聴されたことが分かる究極の暗号技術として知られている。
【0004】
量子通信の分野では、互いに離れた地点に存在する2者間で暗号通信を行うための秘密鍵を供給するシステムが知られており、そのシステムは、量子鍵配送システムとも呼ばれている。量子鍵配送には、各種方式が存在するが、本明細書では従来技術として、「差動位相シフト量子鍵配送方式」(非特許文献1参照)について説明する。
【0005】
図1(a)は、従来技術の「差動位相シフト量子鍵配送システム」の基本構成を示す。送信機は、0またはπで任意にランダムに位相変調した一定間隔のコヒーレント光パルス列を、パルス当り平均1光子未満(例えば、0.1光子/パルス)で伝送路に送出する。平均光子数1個未満という状態は、通常のレーザ光を大きく減衰させることにより実現される。
【0006】
このような光パルス列を光子検出すると、パルスによって光子が検出されたりされなかったり、という検出結果となる。どのパルスで光子が検出されるかは、測定するまで不確定である。
【0007】
図1(a)に示すように、送信機から送出されたパルス列は、伝送路を介して受信機に到達する。まず、受信機では、光分岐手段を使用して、送信機から受信した光パルス列をエネルギー的に等分になるように2つに分岐し、分岐した各光パルス列を長経路および短経路に送出する。長経路では、光パルス列に一定の遅延時間Tを加える。その後、長経路および短経路を通った光パルス列は、2×2合波カップラにおいて再び合波する。2×2合波カップラは、長経路および短経路にそれぞれ接続されている第1及び第2の入力端子を備え、長経路および短経路を通った光パルス列を受け入れる。また、2×2合波カップラは、第1及び第2の出力端子も備え、それぞれの出力端子には、第1及び第2の光子検出器が接続されている。
【0008】
上記の長経路で一方の光パルスに与えられる一定の遅延時間Tは、送信機から伝送路を介して受信機に入力される光パルス列の一定間隔Tに等しいものと仮定すると、2×2合波カップラでは、前後のパルスが重なり合って合波される。パルスが重なり合う様子は、図1(b)に図示している。
【0009】
受信機に入力された光パルス列は、上述したように、0またはπで位相変調されている。したがって、受信機内の光分岐手段から2×2合波カップラにいたる分岐・合波経路の伝播位相が適切であれば、重なり合うパルスの位相差は0またはπとなる。
【0010】
2×2合波カップラでの合波の結果、両パルスは干渉し、位相差が0ならば第2の光子検出器が光子を検出し、位相差πならば第1の光子検出器が光子を検出することになる。
【0011】
上記の構成を用いて、送信機と受信機は、以下の手順により秘密鍵を得る。
【0012】
まず、受信機は、上記の構成により送信機から送出され、伝送路を経たパルスから光子を検出する。この際、受信機は、検出した時刻と光子検出器を記録する。所定の数の光子が受信された後、受信機は送信機に対して光子が検出された時刻(以下「光子検出時刻」とも言う。)を通知する。ただし、この通知経路は上記伝送路に限るものではない。
【0013】
送信機は、受信機から通知された光子検出時刻と、送信機自身が有する位相変調データとから、受信機が第1及び第2の光子検出器のいずれで光子を検出したかを知ることができる。
【0014】
そこで、第1の光子検出器で光子検出した場合をビット「0」、第2の光子検出で光子検出した場合をビット「1」と予め取り決めておけば、送信機と受信機は、双方で同じビット列を得ることができる。
【0015】
上記手順においては、受信機から送信機へ通知されるのは光子検出時刻のみであるため、ビット情報は受信機の外部には出ることはなく、盗聴されることはない。
【0016】
この「差動位相シフト量子鍵配送方式」に対する代表的な盗聴法として「なりすまし法」と呼ばれる方法が知られている。図2(a)は、なりすまし盗聴の説明図である。図中、光子検出器を便宜上「DET」と標記している。盗聴機(盗聴者)は、伝送路の途中で、送信機によって送出された伝送信号を本来の受信機と同様の機器構成で受信し、その受信結果に基づいてダミー信号を本来の受信機に光送信機を用いて送信する。盗聴機(盗聴者)が送信機からの伝送信号を正しく受信できれば、ダミー信号は元の送信信号と同一であり、受信機に盗聴行為が気付かれないようにして情報を得ることができる。
【0017】
しかしながら、上述の「差動位相シフト量子鍵配送方式」においては、送信機からの送信信号はパルスあたり平均1光子未満(例えば0.1光子/パルス)の光パルス列であるため、このような送信信号を受信しても、平均10パルスに1回しか光子は検出されない。
【0018】
したがって、盗聴機(盗聴者)は、光子を検出することができた時刻に対応する2つのパルスの位相差は分かるが、それ以外の場合の位相差は検出できない。盗聴機(盗聴者)がこのような検出結果に基づいてダミー信号を送ろうとすると、位相差が検出できなかった時刻に対応するパルスについては、当て推量で選んだ位相を割り振って再送するか(なりすまし盗聴1)、何も信号を出さないか(なりすまし盗聴2)のいずれかの方法を採るしかない。
【0019】
前者の場合(なりすまし盗聴1)、当て推量で選んだ位相差を受信機が検出した際、送信機が送った信号と異なる可能性が高い。後者の場合(なりすまし盗聴2)、やはり信号の不一致が生じる。その理由は、この場合の盗聴機(盗聴者)が送るのは光子を検出した時刻に対応する2パルスを含むパルス列であるが、孤立した連続する2つのパルス以外は空のパルスだからである。つまり、孤立した連続する2つのパルスを受信機が受信すると、2×2合波カップラら出力される段階では3つの時刻で光子が検出され得る。
【0020】
この3つの時刻で光子が検出される様子は、図2(b)に図示している。図2(b)では、光分岐手段によって分岐された光パルス列のうち、遅延されない光パルス列(下に記載されている光パルス列)と遅延された光パルス列(上に記載の光パルス列)を時系列的に図示している。
【0021】
図2において、両光パルス列が重なる時刻は3つ示されているが、そのうちの真ん中の時刻(「第2の時刻」と呼ぶ。)t2で光子が検出された場合には、その検出結果は2つのパルスの位相差に従っており、送信機が意図した通りの光子検出器で光子が検出される。
【0022】
ところが、2つの光パルス列が重ねる時刻のうち第2の時刻t2の前後である第1の時刻t1又は第3の時刻t3で光子が検出された場合には、干渉する相手がいないため、第1及び第2の光子検出器のいずれで光子が検出されるかは全く無作為に起こる。
【0023】
したがって、受信機が第1の時刻t1又は第3の時刻t3での光子検出結果から秘密鍵ビットを得ると、そのビットは送信機が意図したものとは異なるものになる。
【0024】
このように、なりすまし盗聴が行われると、送信機と受信機との間でビットの不一致が生じる。これをビット誤りと言う。そこで、送信機および受信機は、通常の手順に従って秘密鍵を得た後、いくつかのテストビットを用いて照合検査する。システムが正常に動作していれば両者のビット情報は一致するが、なりすまし盗聴があれば一致しないビットが発生する。
【0025】
より具体的には、盗聴機が1個の光子を含むダミー信号を送信した場合、受信機が第1または第3の時刻で光子検出する確率は1/2であり、そしてこの光子検出から得られるビットが一致しない確率はさらにその1/2であることから、1/4の割合でビット誤りとなる。ビット誤りがある場合、システムは正常に動作していないと判断され、その秘密鍵は廃棄される。言い方を変えると、テストビットが一致していれば盗聴行為はなかったと判断することができ、その秘密鍵は安全であることが保証される。
【0026】
このように、差動位相シフト量子鍵配送方式においては、なりすまし盗聴を受けたとしても、送信信号が1パルスあたり1光子未満であることにより、盗聴者(盗聴機)は正確なダミー信号を送信できず、不正確なダミー信号により送受信機間でビット誤りが生じ、盗聴の有無を判別することができた。
【先行技術文献】
【非特許文献】
【0027】
【非特許文献1】K. Inoue, E. Waks, Y. Yamamoto, ‘‘Differential-phase-shift quantum key distribution using coherent light,’’ Physical Review A, 2003, vol. 68, paper number 022317
【非特許文献2】T. Tsurumaru, ‘‘Sequential attack with intensity modulation on differential-phase-shift quantum key distribution protocol,’’ Physical Review A, 2007, vol. 75, paper number 062319
【発明の概要】
【発明が解決しようとする課題】
【0028】
上述の説明では、送受信機の性能が理想的であることを前提として、得られた秘密鍵が安全であることを説明した。しかしながら、実際には送受信機の性能の不完全さのために、システム元来のビット誤り率が発生する。
【0029】
この場合、そのビット誤りに紛れて、鍵の一部が盗聴される可能性がある。例えば、システム元来のビット誤り率がeであったと仮定する。これに対して盗聴者(盗聴機)は、伝送信号の一部に対してだけ、上述のなりすまし盗聴2(位相差が検出できなかったパルスについては何も信号を出さない)を行なうとする。盗聴する割合をxとすると、それにより発生するビット誤り率は、x×1/4=x/4である。
【0030】
ここで、x/4<e、すなわち、システム元来のビット誤り率の方が盗聴により発生するビット誤り率より高い場合には、送信機および受信機では、このシステム元来のビット誤りと盗聴によるビット誤りとの区別がつかず、盗聴に気づくことが困難である。すなわち、割合xに該当する分の鍵情報は、送信機および受信機が気付くことなく盗聴者によって盗まれる可能性がある。
【0031】
上記の説明では、盗聴により発生するビット誤り率を1/4としたために、盗聴成功条件がx/4<eすなわちx<4eであった。もし、盗聴によるビット誤り率が1/4より小さい1/mであれば(m>4)、盗聴成功条件はx<meとなる。つまり、盗聴者が、盗聴によって生じるビット誤り率を小さくできれば、システム元来のビット誤りを利用する盗聴量を大きくすることができる。そうするための盗聴法として、「連続クリック攻撃」という方法が知られている(非特許文献2)。この盗聴法は、「差動位相シフト量子鍵配送方式」に対して、もっとも強力な盗聴方法とされている。以下、「連続クリック攻撃」について説明する。
【0032】
上述の「なりすまし攻撃」において、盗聴によるビット誤りが起こるのは、受信機が、第1の時刻または第3の時刻で光子検出する場合であった。これは、言い方を変えると、光子を検出し得る時刻のうちの両端の時刻である。もし、盗聴者の送るダミー信号において、光子が存在し得る連続パルス数が大きければ、当該両端の時刻で光子を検出する確率は相対的に小さくなる。上述の「なりすまし攻撃」では、盗聴者が送るダミー信号のうち光子が存在し得るのは2連続パルスであったため、受信機が光子を検出し得るのは3つの時刻であり、片端の時刻で光子検出する確率は1/4、両端では1/2であったが、例えば、光子が存在し得るのが4連続パルスであれば、受信機は5つの時刻で光子を検出する可能性があり、そのうち片端の時刻で光子検出する確率は1/8、両端では1/4となる。両端の時刻で光子検出する確率が小さくなれば、ビット誤りを起こす確率も小さくなる。そして、その結果、盗聴量も増えることになる。
【0033】
「連続クリック」攻撃は、上述の原理を利用した盗聴法である。図3(a)は、差動位相シフト量子鍵配送システムに対する連続クリック攻撃の説明図である。なりすまし攻撃と同様に、盗聴者は伝送路の途中で、送信機によって送出された伝送信号を受信し、その受信結果に基づいてダミー信号光子を本来の受信機に光送信機を用いて送信する。ただし、なりすまし攻撃のように光子を検出する度にダミー光子を送信するのではなく、連続して光子検出したときのみダミー光子を送信する。送信機から送られる光パルス列は、例えば0.1光子/パルスなので、2回連続して光子検出する確率は(0.1)2、3回連続して光子検出する確率は(0.1)3、であり、1回検出確率よりは小さいが、ゼロではない。
【0034】
盗聴者は、連続光子検出した場合、当該連続パルスの位相差を知ることができる。そこで、図3(a)に示すように、得られた位相差を付与した連続パルスを本来の受信機へ送信する。さらにその際、連続パルスの包絡線が真ん中のパルスをピークとするガウス波形となるようにして送信する。すなわち、連続パルスの両端のパルスにおける光子の存在確率が小さくなるようにして送信する。
【0035】
さらに、盗聴者は、上記連続パルスを、極低損失伝送路を介して、本来の受信機へ送信する。これは、受信機が、受信する光子数の減少から盗聴を検知するのを防ぐためである。上述のように、連続クリック攻撃においては、盗聴者は、連続して光子を検出した場合にのみダミー信号を送信し、単独検出の時には何も送らない。したがって、元と同じ伝送路を介してダミー信号を送信したのでは、受信機が受け取る全光子数が減ることになり、これより盗聴が発覚する。そこで、盗聴者は、極低損失伝送路を用いる。
【0036】
元の伝送路には伝送損失があり、送信機から送出された光子の何割かは、伝送中に消滅して受信機には届かない。消滅する割合は伝送距離が長いほど大きい。例えば、伝播損失0.3dB/kmであるファイバー伝送路の場合、100km伝送路では99.9%の光子が消滅する。
【0037】
盗聴者が極低損失伝送を用いると、ダミー光子は、消滅することなく本来の受信機に到達する。単独検出のため盗聴者でブロックされる光子の割合が、元の伝送路で消滅する光子の割合(上の例で言えば、99.9%)と同じであれば、受信機に到達する光子数は、盗聴がある場合と無い場合で変わりはない。したがって、受信機は、受信光子数からは盗聴行為に気が付かない。
【0038】
盗聴者から送られたダミー信号は、極低損失伝送路を介して、正規の受信機に到達する。受信機は、受信信号を光分岐手段から2×2合波カップラにいたる分岐・合波回路に通した後、光子検出する。ここで、ダミー信号において光子が存在し得る連続パルス数をNとすると、分岐・合波回路から出力される段階では(N+1)個の時刻で光子が検出され得る。これらの時刻で光子が検出される様子は、図3(b)に図示している(図の例ではN=6)。
【0039】
図3(b)に示されているように、(N+1)個の時刻のうち、1番目の時刻または(N+1)番目の時刻で光子が検出される場合、干渉する相手がいないため、第1及び第2の光子検出器のいずれで光子が検出されるかは、全く無作為に起こる。したがって、受信機が1番目の時刻または(N+1)番目の時刻での光子検出結果から秘密鍵ビットを得ると、そのビットは送信機が意図したものとは異なるものになる。
【0040】
上記盗聴により、送受信機でビットが不一致となる確率、ビット誤り率は、1番目の時刻または(N+1)番目の時刻で光子が検出される確率によって決まる。この確率は、盗聴者が送るダミー信号の連続光子パルス数Nが3以上であることと、その包絡線が中心パルスをピークとするガウス波形状であることにより、前述のなりすまし盗聴における確率よりも小さい。したがって、連続クリック攻撃によって生じるビット誤り率は、なりすまし盗聴によって生じるビット誤り率よりも小さい。その結果、前者による盗聴量が後者によるものより大きくなる。
【0041】
以上の原理により、連続クリック攻撃が差動位相シフト量子鍵配送システムに対する最も強力な盗聴法とされている。
【0042】
本発明は、このような問題に鑑みてなされたもので、その目的は、連続クリック攻撃を発見できる量子暗号通信システムを提供することにある。
【課題を解決するための手段】
【0043】
このような目的を達成するために、本発明の第1の態様は、送信機から受信機へ量子暗号鍵を配送する量子暗号通信システムにおいて、前記送信機は、一定の時間間隔Tの連続パルスからなる光パルス列を送出する光源と、前記光パルス列を0またはπで位相変調する位相変調器と、位相変調された前記光パルス列を、パルス当りの平均光子数を1光子未満に減衰して送出する減衰器とを備えることを特徴とする。さらに、前記受信機が、前記送信機から送出された前記光パルス列を受信して第1の光パルス列と第2の光パルス列に分岐する光分岐手段と、前記第1の光パルス列を前記第2の光パルス列に対して前記一定の時間間隔Tと等しい時間だけ遅延させる遅延手段と、前記遅延手段で遅延させられた前記第1の光パルス列と前記第2の光パルス列を合波して合波後の光パルスを生成する2×2光カップラと、前記遅延させられた前記第1の光パルス列と前記第2の光パルス列の相対位相差が0である場合に光子を検出する第1の光子検出器と、前記遅延させられた前記第1の光パルス列と前記第2の光パルス列の相対位相差がπである場合に光子を検出する第2の光子検出器と、前記第1または第2の光子検出器で光子が検出された光子検出時刻および検出した光子検出器を記録する記録手段と、前記記録手段により記録された前記光子検出時刻を照合して、n・Tだけ離れた2つの時刻(nは予め定めた自然数)でともに光子を検出した回数を計数する計数手段と、前記計数手段により計数した前記回数が所定の値と異なっていた場合に盗聴ありと判断する盗聴検知手段とを備えることを特徴とする。
【0044】
また、本発明の第2の態様は、第1の態様において、前記予め定めた自然数nが、前記量子暗号通信システムに対する連続クリック攻撃において盗聴者から送られると想定される連続パルス数をNとしたときに、n>N+1を満たす一定値であることを特徴とする。
【0045】
また、本発明の第3の態様は、前記予め定めた自然数nが、前記量子暗号通信システムに対する連続クリック攻撃において盗聴者から送られると想定される連続パルス数をN、nminをnmin>N+1を満たす自然数、nmaxを盗聴者がN回連続で光子検出した後に、次のN回連続の光子検出が始まるまでに要するパルス数の平均値としたときに、nmin<n<nmaxを満たし、前記計数手段により計数する前記回数は、nmin<n<nmaxであるnについての積算値であることを特徴とする。
【発明の効果】
【0046】
本発明によれば、量子暗号通信システムの受信機において、n・Tだけ離れた2つの時刻(nは予め定めた自然数)でともに光子を検出した回数を計数することにより、連続クリック攻撃を発見することができる。
【図面の簡単な説明】
【0047】
【図1】(a)は、従来の差動位相シフト量子鍵配送システムの基本構成を示す図であり、(b)は、受信機の2×2合波カップラにおいてパルスが重なり合う様子を示す図である。
【図2】(a)は、従来のなりすまし盗聴の説明図であり、(b)は、孤立した連続する2つのパルスを受信した受信機の2×2合波カップラにおいてパルスが重なり合う様子を示す図である。
【図3】(a)は、従来の差動位相シフト量子鍵配送システムに対する連続クリック攻撃の説明図であり、(b)は、受信機の2×2合波カップラにおいてパルスが重なり合う様子を示す図である。
【図4】本発明の第1の実施形態に係る量子暗号通信システムの構成図である。
【図5】連続クリック攻撃において盗聴者が送出するダミー信号を説明するための図である。
【図6】第1の実施形態に係る量子暗号通信システムによる盗聴検知を説明するための図である。
【図7】第2の実施形態に係る量子暗号通信システムによる盗聴検知を説明するための図である。
【発明を実施するための形態】
【0048】
以下、図面を参照して本発明の実施形態を詳細に説明する。
【0049】
(第1の実施形態)
図4は、本発明の第1の実施形態に係る量子暗号通信システムの構成図である。図4において、送信機410は、光源411と、位相変調器412と、減衰器413とを備える。光源411は、一定間隔Tの光パルス列を発生する。位相変調器412は、各パルスを0もしくはπでランダムに位相変調を施す。そして、減衰器413を用いて1パルス当たり平均光子数を1未満に減衰して、伝送路に送出する。減衰器413は、例えば、NDフィルタ等、レーザ光などの光源411から入射される光を大きく減衰させるための手段であればいずれのものを用いてもよい。この送信機410の構成は、従来技術の差動位相シフト量子鍵配送システムと同様である。
【0050】
光検出装置としての受信機420は、光分岐手段421と、2×2光カップラ422と、第1及び第2の光子検出器423、424と、メモリー425(「記録手段」に対応)と、CPU426で構成されている。受信機420へ入力された光は、光分岐手段421により2分岐され、一方に長経路(「遅延手段」に対応)により遅延時間Tが与えられた後、2×2光カップラ422により再び合波される。遅延時間Tは入力されたパルス列のパルス間隔に等しいものとする。2×2光カップラ422の第1及び第2の出力端子にはそれぞれ、第1及び第2の光子検出器423、424が接続されている。
【0051】
以上の構成により、送信機410が、0またはπでランダムに位相変調した一定間隔(パルス間隔)Tの光パルス列を、パルス当り平均1個光子未満(例えば、0.1光子/パルス)として送出する。光パルスのコヒーレンス時間はパルス間隔Tより充分長いものとする。受信機420は、光伝送路を経て送信機410より伝送されてきたパルス列を、光分岐手段421に入力する。分岐された光パルス列は、2×2光カップラ422で合波され、第1及び第2の光子検出器423、424にてそれぞれ検出される。
【0052】
このように受信機420を構成すると、2×2光カップラ422では、前後のパルスが重なり合い干渉を起こす。干渉の結果、パルス間の位相差が0なら第2の光子検出器424が、πなら第1の光子検出器423が、光子を検出する。但し、送信光はパルス当り平均1個光子未満なので、光子が検出されるのは稀である。
【0053】
上記構成及び動作特性を利用して、以下の手順により、送信機410と受信機420は共通のビットを得る。(1)送信機410と受信機420は必要な長さのパルス列を送受信する。この際、受信機420は光子を検出した時刻および検出した光子検出器をメモリー425に記録する。(2)受信機420のCPU426は、記録した光子検出時刻を調べ、特定時間だけ離れた2つの時刻でともに光子が検出された回数を計数する。そして、その回数が所定の値と同一であれば、次のプロセスに進む。所定の値と異なっていた場合には、CPU426は盗聴有りと判断して、ビット生成作業を中止する。(3)受信機420は、光子検出時刻を送信機に通知する。(4)送信機410は、自身の位相変調データと光子検出時刻から、受信機420においてどちらの光子検出器が光子を検出したかを知る。(5)送信機410と受信機420は、光子検出事象について、第1の光子検出器423によるものであればビット「0」を、第2の光子検出器424によるものであればビット「1」を付与する。この場合、光子を検出する光子検出器は確定しているので、送信機410と受信機420は同じビット値を得ることになる。これを秘密鍵ビットとする。
【0054】
以上の構成・手順によるシステムでは、以下の原理により、連続クリック攻撃を発見する。
【0055】
連続クリック攻撃では、盗聴者は、伝送路の途中で伝送信号光を検出し、連続して検出結果が得られた場合にのみ、光子検出結果に基づき、正規の受信機が同じ検出結果となるようにダミー信号を送出する。連続検出されない場合には、何も送らない。
【0056】
前述のように、本実施形態では、送信機410が送出しているのは、送信レベルがパルス当り平均1個光子未満、例えば0.1個光子/パルスであるパルス列である。そのため、盗聴者が連続して信号検出するのは稀である。したがって、盗聴者から送出されるダミー信号は、ほとんどが空パルスで、ごく稀に光子を含んだ数パルスが連続して送られることになる(図5参照)。
【0057】
これに対し受信機420は、連続クリック攻撃において盗聴者から送られると想定される連続パルス数をNとしたときに(図5の例では、N=6)、(N+1)Tより長い時間間隔の2つの時刻で、光子がともに検出された事象を計数する。例えば、N=6であれば、図6に示すように、8パルス分離れた2つの時刻で共に光子が検出された事象を数え上げる。ここで、連続パルス数Nに関しては、次のような値を想定する。Nの値は、伝送路の損失などを含む送信側から受信側への伝送効率に応じて変化する値である。送信側から送出される各光パルスには、所定の平均光子数(例えば0.1光子/パルス)を平均とするポアソン分布に従った数の光子が確率的に含まれている。したがって、盗聴者が連続してN回、光子を検出できる確率もこの平均光子数により決まる。連続クリック攻撃では、盗聴者は、N回連続して光子検出できたときに、1光子、極低損失伝送路を通じて、受信側に信号を送出する攻撃である。ただし、盗聴者は、盗聴が行なわれていない状況下で、受信側で受信すべき光子検出数に変化がないように盗聴行為を行なわなければならないという制約がある。光子検出数に変化があると、そこから盗聴が発覚するからである。そこで、盗聴者は、上記の制約が満たされる最大のNを採用すると想定する。
【0058】
盗聴されていない正常動作時であれば、受信機420に到達する1パルス当たりの平均光子数をμ、第1及び第2の光子検出器423、424の検出効率をηとすると、離れた2パルスからともに光子検出する確率はおおよそ(ημ)2である。一方、連続クリック攻撃が行われていると、その確率は、理想的にはゼロ、第1及び第2の光子検出器423、424の暗計数確率(光子が無い時に誤ってカウントする確率)がdである場合には(ημ)dとなる。いずれにしても、2パルス光子検出確率は、正常時と連続クリック攻撃時では異なることになる。
【0059】
そこで、離れた2パルスでともに光子検出された回数をモニターすることにより、連続クリック攻撃を発見する。
【0060】
なお、一定時間だけ離れた2つの時刻でともに光子が検出された回数を計数する計数処理、及びその回数が所定の範囲内でない場合に盗聴有りと判断する盗聴検知処理は、図4に示したように、CPU426を計数手段427及び盗聴検知手段428として機能させることで実現できる。
【0061】
(第2の実施形態)
第1の実施形態に係るシステムにより、原理的には連続クリック攻撃が検知できるが、伝送損失が大きい又は光子検出器の検出効率が悪い場合には、検知が困難となることがある。このような場合には、ημが小さな値となり、(ημ)2はさらに小さくなる。連続クリック攻撃を検知するためには、(ημ)2がゼロ又は(ημ)dと有意に違っていなければならないが、(ημ)2が非常に小さくほぼゼロであると、正常時と盗聴時との区別がつかず、盗聴が検知できない。本発明の第2の実施形態はこの課題を解決する。
【0062】
第2の実施形態の装置構成は、CPU426内の処理を除いて第1の実施形態と同一である。第1の実施形態では、離れた2パルスでともに光子検出が起こる回数をメモリー425に記録した光子検出時刻からCPU426で計数した。この場合の2パルスの時間間隔は、図6に示したように、特定の時間間隔、例えば、連続パルス間隔をTとするとn1・Tという時間間隔(n1はn1>N+1を満たす自然数)であった。これに対し本実施形態では、パルス間隔が特定の一定値ではなく、ある時間幅内にある2パルス光子検出の回数をモニターする。すなわち、次式を満たすn2について、n2・Tという時間間隔の2パルスでの光子検出回数の積算値をモニターする(図7参照)。
nmin<n2<nmax
ここで、nmin、n2、nmaxは自然数であり、nmin>N+1である。nmaxは、次のように定義する。前述のように、送信側から送出される各光パルスには、所定の平均光子数(例えば0.1光子/パルス)を平均とするポアソン分布に従った数の光子が確率的に含まれている。したがって、盗聴者がN回連続で光子検出した後に、次のN回連続の光子検出が始まるまでに要するパルス数mも確率的になる。そこで、このmの平均値をnmaxとする。
【0063】
このようにすると、正常時には、光子検出確率は一様であるため、2パルス光子検出積算値は特定時間間隔の2パルス光子検出回数の(nmax−nmin+1)倍となる。一方、盗聴時の2パルス光子検出積算値は、nminはnmin>N+1を満たし、nmaxは連続クリック攻撃で想定されるダミー信号の隣接する光子パルス間隔数の平均値より小さい値としているため、第1の実施形態と同様にゼロ又は(ημ)dである。すなわち、正常時と盗聴時の差が大きくなる。そのため、伝送損失が大きい又は光子検出器の検出効率が悪い場合でも、盗聴を検知することができる。
【特許請求の範囲】
【請求項1】
送信機から受信機へ量子暗号鍵を配送する量子暗号通信システムにおいて、
前記送信機は、
一定の時間間隔Tの連続パルスからなる光パルス列を送出する光源と、
前記光パルス列を0またはπで位相変調する位相変調器と、
位相変調された前記光パルス列を、パルス当りの平均光子数を1光子未満に減衰して送出する減衰器と
を備え、
前記受信機は、
前記送信機から送出された前記光パルス列を受信して第1の光パルス列と第2の光パルス列に分岐する光分岐手段と、
前記第1の光パルス列を前記第2の光パルス列に対して前記一定の時間間隔Tと等しい時間だけ遅延させる遅延手段と、
前記遅延手段で遅延させられた前記第1の光パルス列と前記第2の光パルス列を合波して合波後の光パルスを生成する2×2光カップラと、
前記遅延させられた前記第1の光パルス列と前記第2の光パルス列の相対位相差が0である場合に光子を検出する第1の光子検出器と、
前記遅延させられた前記第1の光パルス列と前記第2の光パルス列の相対位相差がπである場合に光子を検出する第2の光子検出器と、
前記第1または第2の光子検出器で光子が検出された光子検出時刻および検出した光子検出器を記録する記録手段と、
前記記録手段により記録された前記光子検出時刻を照合して、n・Tだけ離れた2つの時刻(nは予め定めた自然数)でともに光子を検出した回数を計数する計数手段と、
前記計数手段により計数した前記回数が所定の値と異なっていた場合に盗聴ありと判断する盗聴検知手段と
を備えることを特徴とする量子暗号通信システム。
【請求項2】
前記予め定めた自然数nは、前記量子暗号通信システムに対する連続クリック攻撃において盗聴者から送られると想定される連続パルス数をNとしたときに、n>N+1を満たす一定値であることを特徴とする請求項1に記載の量子暗号通信システム。
【請求項3】
前記予め定めた自然数nは、前記量子暗号通信システムに対する連続クリック攻撃において盗聴者から送られると想定される連続パルス数をN、nminをnmin>N+1を満たす自然数、nmaxを盗聴者がN回連続で光子検出した後に、次のN回連続の光子検出が始まるまでに要するパルス数の平均値としたときに、nmin<n<nmaxを満たし、
前記計数手段により計数する前記回数は、nmin<n<nmaxであるnについての積算値であることを特徴とする請求項1に記載の量子暗号通信システム。
【請求項1】
送信機から受信機へ量子暗号鍵を配送する量子暗号通信システムにおいて、
前記送信機は、
一定の時間間隔Tの連続パルスからなる光パルス列を送出する光源と、
前記光パルス列を0またはπで位相変調する位相変調器と、
位相変調された前記光パルス列を、パルス当りの平均光子数を1光子未満に減衰して送出する減衰器と
を備え、
前記受信機は、
前記送信機から送出された前記光パルス列を受信して第1の光パルス列と第2の光パルス列に分岐する光分岐手段と、
前記第1の光パルス列を前記第2の光パルス列に対して前記一定の時間間隔Tと等しい時間だけ遅延させる遅延手段と、
前記遅延手段で遅延させられた前記第1の光パルス列と前記第2の光パルス列を合波して合波後の光パルスを生成する2×2光カップラと、
前記遅延させられた前記第1の光パルス列と前記第2の光パルス列の相対位相差が0である場合に光子を検出する第1の光子検出器と、
前記遅延させられた前記第1の光パルス列と前記第2の光パルス列の相対位相差がπである場合に光子を検出する第2の光子検出器と、
前記第1または第2の光子検出器で光子が検出された光子検出時刻および検出した光子検出器を記録する記録手段と、
前記記録手段により記録された前記光子検出時刻を照合して、n・Tだけ離れた2つの時刻(nは予め定めた自然数)でともに光子を検出した回数を計数する計数手段と、
前記計数手段により計数した前記回数が所定の値と異なっていた場合に盗聴ありと判断する盗聴検知手段と
を備えることを特徴とする量子暗号通信システム。
【請求項2】
前記予め定めた自然数nは、前記量子暗号通信システムに対する連続クリック攻撃において盗聴者から送られると想定される連続パルス数をNとしたときに、n>N+1を満たす一定値であることを特徴とする請求項1に記載の量子暗号通信システム。
【請求項3】
前記予め定めた自然数nは、前記量子暗号通信システムに対する連続クリック攻撃において盗聴者から送られると想定される連続パルス数をN、nminをnmin>N+1を満たす自然数、nmaxを盗聴者がN回連続で光子検出した後に、次のN回連続の光子検出が始まるまでに要するパルス数の平均値としたときに、nmin<n<nmaxを満たし、
前記計数手段により計数する前記回数は、nmin<n<nmaxであるnについての積算値であることを特徴とする請求項1に記載の量子暗号通信システム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公開番号】特開2011−228942(P2011−228942A)
【公開日】平成23年11月10日(2011.11.10)
【国際特許分類】
【出願番号】特願2010−97054(P2010−97054)
【出願日】平成22年4月20日(2010.4.20)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
【公開日】平成23年11月10日(2011.11.10)
【国際特許分類】
【出願日】平成22年4月20日(2010.4.20)
【出願人】(000004226)日本電信電話株式会社 (13,992)
【Fターム(参考)】
[ Back to top ]