量子暗号鍵配付システム
【課題】現実的な光子光源を用いる量子暗号鍵配付システムにおいて、セキュア秘密鍵の抽出効率や生成可能距離などの量子暗号鍵配付システムの性能を、装置実装上の工夫により改善する。
【解決手段】伝送路を介して接続され、光学遅延路の遅延時間が同じである第1および第2の非対称マッハツェンダー干渉系をそれぞれ備える送信装置および受信装置と、前記送信装置と受信装置とを有する量子暗号鍵配付システムにおいて、前記送信装置は、前記遅延時間の2倍の繰り返し周期で光子パルスを生成して前記第1の非対称マッハツェンダー干渉系に入射するパルス光子源を備え、前記受信装置は、全ての光子到着を記録する到着光子記録機構を有する。
【解決手段】伝送路を介して接続され、光学遅延路の遅延時間が同じである第1および第2の非対称マッハツェンダー干渉系をそれぞれ備える送信装置および受信装置と、前記送信装置と受信装置とを有する量子暗号鍵配付システムにおいて、前記送信装置は、前記遅延時間の2倍の繰り返し周期で光子パルスを生成して前記第1の非対称マッハツェンダー干渉系に入射するパルス光子源を備え、前記受信装置は、全ての光子到着を記録する到着光子記録機構を有する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、光子伝送により暗号秘密鍵を共有する量子暗号鍵配付を行う量子暗号装置に関し、特に、ペア光子パルス列の位相シフトに直交鍵情報を符号化する方式の量子暗号鍵配付システムにおいて、無条件安全な秘密鍵を、より効率よく、かつ、より長距離の正規利用者間で生成することが可能な量子暗号鍵配付システムを提供する。
【背景技術】
【0002】
インターネットの爆発的普及、電子商取引の実用化を迎え、通信の秘密保持・改竄防止や個人の認証など暗号技術の社会的な必要性が高まっている。
【0003】
現在、DES(データ暗号化規格:Data Encryption Standard)暗号のような共通鍵方式やRAS(R. Rivest、A. Shamir、L. Adelman)暗号をはじめとする公開鍵方式が広く用いられている。しかし、これらは「計算量的安全性」にその基盤を置いている。
【0004】
つまり、現行の暗号方式は計算機ハードウェアと暗号解読アルゴリズムの進歩に常に脅かされている。特に、銀行間のトランザクションや、軍事・外交にかかわる情報などの、極めて高い安全性が要求される分野では、原理的に安全な暗号方式が実用になれば、そのインパクトは大きい。
【0005】
情報理論で無条件安全性が証明されている暗号式にワンタイムパッド法がある。ワンタイムパッド法は通信文と同じ長さの暗号鍵を用い、暗号鍵を1回で使い捨てることが特徴である。
【0006】
非特許文献1で、現在BB84プロトコルとして広く知られている、ワンタイムパッド法に使用する暗号秘密鍵を安全に配送する具体的な量子暗号鍵配付プロトコルがベネット(Bennett)らによりはじめて提案された。これを契機に量子暗号の研究が盛んになっている。
【0007】
量子暗号は物理法則が暗号の安全性を保証するため、計算機の能力に依存しない究極の安全性保証が可能になる。現在多く検討されている量子暗号装置では、一ビットの情報を単一光子の状態にエンコードして伝送する。これは、単一光子の状態は精度良く操作可能であり、かつ、光子にエンコードされた情報は環境による擾乱に強いという事情による。
【0008】
理論的にその安全性が証明されている量子暗号装置では、非特許文献1に記載されているように量子力学的2自由度系の2つの区別可能な状態と、それに相補的な状態(その重ね合わせ状態)を利用して秘密鍵が安全に伝送される。
【0009】
盗聴行為は量子力学的状態に擾乱を与え、正規送受信者のデータ中のエラーから漏洩情報量が推定できるようにプロトコルが設計されている。このような情報通信に用いられる量子状態はしばしば量子情報と呼ばれる。量子情報を担う量子力学的2自由度系は量子ビットと呼ばれ、数学的にはスピン1/2系と等価である。
【0010】
量子ビットに載せられた量子情報は、1ビットデータ(0か1か)、および、その基底を指定することによってのみ特定される。光子を量子ビット担体として用いる暗号鍵配布では、空間を伝搬する光子の持ちうる2つの偏波状態に情報をエンコードする、偏波コーディングと呼ばれる量子暗号装置の実装(非特許文献1)や2連単一光子パルス間の相対位相シフト値に情報をエンコードする、位相コーディングと呼ばれる量子暗号鍵配付システムの実装(非特許文献2−4)が知られている。
【0011】
偏波コーディングは空間伝送用量子暗号システムに適した方式として知られ、位相コーディングは既存の光ファイバー通信網用量子暗号システムに適した方式として知られている。本発明の量子暗号鍵配付システムは、主に後者の位相コーディングによる量子暗号鍵配付システムに関する。
【0012】
図2は、非特許文献2−4に示された、位相コーディングを行う量子暗号鍵配付システムの標準的な構成を示すブロック図である。
【0013】
図2に示したシステムは、パルス光子源21、非対称マッハツェンダー干渉系22,27、位相変調器23,28、乱数発生器24,29、伝送路25、光子検出器2C、ゲート信号発生器2D、時間記録装置2E、および、非対称マッハツェンダー干渉系27の出力ポート2F,2Gから構成されている。
【0014】
パルス光子源21、非対称マッハツェンダー干渉系22、位相変調器23、乱数発生器24は量子暗号鍵を送信する送信者が使用する送信装置を構成する。
【0015】
非対称マッハツェンダー干渉系27、位相変調器28、乱数発生器29、光子検出器2C、ゲート信号発生器2D、時間記録装置2Eは、伝送路25を伝送する量子暗号鍵を受信する受信者が使用する受信装置を構成する。
【0016】
図2に示したシステムにおいて、パルス光子源21は周期的に光子パルスを生成し、生成された光子パルスは、非対称マッハツェンダー干渉系22に入射される。非対称マッハツェンダー干渉系22の作用により、光子パルスはペア光子パルス26となって伝送路25上に出射される。
【0017】
非対称マッハツェンダー干渉系22の一方の腕には位相変調器23が内包されており、位相変調器23は、乱数発生器24で発生した2ビット乱数に基づいてペア光子パルス26の相対位相シフトを4値ランダム変調する。
【0018】
ペア光子パルス26は、第二の非対称マッハツェンダー干渉系27に入射される。非対称マッハツェンダー干渉系27の一方の腕には、位相変調器28が内包されている。位相変調器28は、乱数発生器29で発生した1ビット乱数に基づいてペア光子パルスに対して2値ランダム変調を行う。このペア光子パルスは、2つの出力ポート2F、2Gに出射される。
【0019】
出射された光子パルスは、非対称マッハツェンダー干渉系22および非対称マッハツェンダー干渉系27における光子パルスの通過経路の組合せに対応した3つの時間成分から構成される。このうち、位相変調器23および位相変調器28における位相変調に依存する干渉成分は時間的に2番目のパルスであり、センターパルス2Aと呼ばれる。これ以外の光子パルス成分はサテライトパルス2Bと呼ばれる。
【0020】
図2に示した量子暗号鍵配付システムでは、ゲート信号発生器2Dにより駆動された光子検出器2Cにより、センターパルス2A中の到着光子のみが選択的に検出され、その光子到着時間が時間記録装置2Eにより記録される。光子検出記録を基に正規利用者は通信を行いながら分析を行い、鍵の候補であるシフト鍵が抽出される。
【0021】
シフト鍵中のエラーは正規利用者間で通信を行い、エラー訂正処理により消去される。正規利用者間で通信を行い、シフト鍵中のエラー率を基に秘匿性増強処理を実行して鍵を短縮することにより、盗聴者への情報漏洩の可能性は消去され、セキュアな秘密鍵が得られる。
【先行技術文献】
【非特許文献】
【0022】
【非特許文献1】ベネット(Bennett)、ブラッサ-ド(Brassard)著 IEEEコンピュータ、システム、信号処理国際会議(IEEE Int. Conf. on Computers, Systems, and Signal Processing, Bangalore, India, p. 175 (1984))
【非特許文献2】ツビンデン(Zbinden)ほか著「Experimental Quantum Cryptography」、「INTRODUCTION TO QUANTUM COMPUTATION AND INORMATION(ロー(Lo)ら編著)」(World Scientific、1998年出版)、120ページ
【非特許文献3】エカート(Ekert)ほか著「Quantum Cryptography」、 「The Physics of Quantum Information(ボウメスター(Bouwmeester)ら編著)」(Springer、2000年出版)、15ページ
【非特許文献4】ジサン(Gisin)ほか著「Quantum Cryptography」 レビュー・オブ・モダン・フジックス(Rev. Mod. Phys.)、74号(2002年出版)、145−195ページ
【発明の概要】
【発明が解決しようとする課題】
【0023】
以下、本発明に関わる量子暗号鍵配付システムに用いられている受信装置に共通の特徴とその問題点について説明する。
【0024】
単一光子をキャリアとした実装においては、量子暗号鍵配付プロトコルにより共有された暗号秘密鍵の安全性は、理論的に厳密に証明可能である。この場合、鍵の安全性は到着光子から抽出されるシフト鍵中に含まれるエラーのみに依存する。
【0025】
しかるに、現実の量子暗号鍵配付システムの実装において用いられる光源は厳密な単一光子光源ではない。例えば、最も簡便な実装では、レーザー光をパルス中の平均光子数が1以下になるように十分に減衰した光パルスが用いられる。この光源の光子分布統計はポアソン光子統計であり、0または1つの光子が含まれる(真空ならびに単一光子と記す)パルスが多数であるが、2つ以上の光子が含まれる(以下多光子と記す)パルスが有限の確率で発生する。
【0026】
また、オンデマンド型やヘラルディッド型単一光子光源など、より将来的な単一光子光源の実装においては、多光子パルスの生成確率はポアソン光子統計に比べてかなり小さくできるが、それがゼロであることを保証することは容易ではない。
【0027】
このような条件下では、盗聴者による光子抜き取り攻撃の危険性を排除できないため、より慎重な秘匿性増強を行う必要があり、セキュア秘密鍵の抽出効率および生成可能距離が減少することが当業者によく知られている。
【0028】
量子暗号鍵配付においては、盗聴者は物理法則に反しない限り、その盗聴戦略にはいかなる条件も課せられないというルールの下で、鍵の安全性評価を行う。光子抜き取り攻撃により、BB84プロトコルの下では、盗聴者は多光子パルス中の1光子から完全な情報を得、残りの光子を受信者に届けることが可能である。これにより、多光子パルスについては、到着光子に証拠を残すことなく、完全な鍵情報を獲得できる。このように、盗聴が発生してもこのことを検知することができず、エラーなしとしてしまうエラーなし攻撃の危険性が高まる。
【0029】
上記のようなエラーなし攻撃の可能性を考えると、暗号秘密鍵の安全性を厳密に証明することができず、あらゆる攻撃の可能性が考えられ、たとえば、盗聴者は回線並びに受信装置の光学ロスおよび光子検出効率をコントロールしうると考えざるを得ない。盗聴者はこのアドバンテージを最大限利用し、パルス中の光子数に依存した光学ロスをそれぞれのパルスに与えることにより、正規利用者に関知されることなく、危険多光子パルス成分の受信者への到着割合を増加させることができる。すなわち、盗聴者は単一光子パルス成分の光学ロスを増加させ、多光子パルス成分の光学ロスを減少させる。
【0030】
結果として、正規利用者が単一光子伝送モデルに基づき秘匿性増強を行う限り、盗聴者はより多くの鍵情報量を獲得しうる。従って、正規利用者は鍵の安全性を保証するため、光子抜き取り攻撃のシナリオに基づいて対策を講じるなど、より厳しい基準で秘匿性増強を行う必要が生じる。
【0031】
以上に示した光子抜き取り戦略のポイントをまとめると以下の通りである。
【0032】
標準的なBB84プロトコルの下では、正規利用者は多光子に対して同一の1ビット直交情報を符号化するため、盗聴者にエラーなし攻撃のアドバンテージを与えてしまっていること、および、盗聴者は回線並びに受信装置の光学ロスおよび光子検出効率を正規利用者に関知されることなくコントロールしうるというアドバンテージを持つということにある。
【0033】
盗聴者によりコントロールされうる受信装置の光学ロスおよび光子検出効率はアクセシブルロスと呼ばれ、セキュア秘密鍵の生成確率および生成可能距離はアクセシブルロスに依存する。アクセシブルロスが小さいほどセキュア秘密鍵の抽出効率は大きく、生成可能距離は長くなる。従って、アクセシブルロスを低減することが量子暗号鍵配付システムの性能向上に直結する。
【0034】
アクセシブルロスは、受信装置の光学系の物理的な光学ロスを小さくすることや、光子検出器の物理的な検出効率を高めることにより低減することが可能であることはもちろんのことであるが、盗聴者によってアクセス不可能なロスを増やすことによっても可能である。このようなアクセス不可能なロスの代表例として、シフト鍵の抽出効率をあげることができる。
【0035】
シフト鍵の抽出効率は、標準のBB84プロトコルでは1/2であり、このことは図2に示された標準的実装のシステムの動作中に確認することが可能である。
【0036】
このためには、時間記録装置2Eに残された光子検出記録からシフト鍵として抽出された残りのデータを分析し、それぞれのデータ数を分析し、それぞれの割合が1/2になっていることを確認すればよい。
【0037】
これによって、正規利用者はシフト鍵の抽出効率が改変されていないことを確認しながら、鍵配付プロトコルを実行することが可能である。また、その抽出効率が正確に1/2になっていない場合は、鍵の一部を犠牲にすることによりセキュア秘密鍵を保証することが可能である。
【0038】
図2に示された位相コーディング方式の標準的量子暗号鍵配付システムでは、秘密鍵生成に利用可能なセンターパルス成分中の光子だけではなく、サテライトパルス成分中に含まれる光子があるが、これらは光子検出器のゲート動作や時間記録の段階で無条件に除去されていた。
【0039】
このため、全体の光子到着に対するサテライトパルス中に含まれる光子到着からなるミーニングフル鍵の比率を確認する方法を持たず、センターパルス成分の抽出効率1/2はアクセシブルロスとして扱わざるを得なかった。これにより、セキュア秘密鍵の抽出効率および生成可能距離などの性能において、3dBに相当するディスアドバンテージを甘受せざるをえなかった。
【0040】
本発明は上記の問題点に鑑みてなされたものであり、その目的は、現実的な光子光源を用いる量子暗号鍵配付システムにおいて、セキュア秘密鍵の抽出効率や生成可能距離などの量子暗号鍵配付システムの性能を、装置実装上の工夫により改善することにある。
【課題を解決するための手段】
【0041】
本発明の量子暗号鍵配付システムは、伝送路を介して接続され、光学遅延路の遅延時間が同じである第1および第2の非対称マッハツェンダー干渉系をそれぞれ備える送信装置および受信装置と、前記送信装置と受信装置とを有する量子暗号鍵配付システムにおいて、
前記送信装置は、前記遅延時間の2倍の繰り返し周期で光子パルスを生成して前記第1の非対称マッハツェンダー干渉系に入射するパルス光子源を備え、
前記受信装置は、全ての光子到着を記録する到着光子記録機構を有することを特徴とする。
【0042】
本発明の量子暗号鍵配付方法は、伝送路を介して接続され、光学遅延路の遅延時間が同じである第1および第2の非対称マッハツェンダー干渉系をそれぞれ備える送信装置および受信装置と、前記送信装置と受信装置とを有する量子暗号鍵配付システムで行われる量子暗号鍵配付方法において、
前記送信装置では、パルス光子源が前記遅延時間の2倍の繰り返し周期で光子パルスを生成して前記第1の非対称マッハツェンダー干渉系に入射し、
前記受信装置では、到着光子記録機構が全ての光子到着を記録することを特徴とする。
【0043】
上記課題を解決するため、従来の量子暗号鍵配付システムでは無条件に棄却していたサテライトパルス中の光子到着も含め、全ての光子到着を時間記録装置により記録する。
【0044】
これにより、正規利用者はシフト鍵抽出効率と同様にサテライトパルス中のミーニングフル鍵抽出効率が改変されていないことを確認しながら、鍵配付プロトコルを実行する事が可能になる。
【0045】
しかしながら、盗聴者はセンターパルスとサテライトパルスの光子到着時間が異なることを利用し、サテライトパルスに光子を挿入し、アクセシブルロスを小さく見せる攻撃を行う余地がある。
【0046】
これによって、正規利用者はセキュアな秘密鍵を得るために犠牲とすべき鍵長を過小評価し、秘密鍵中に盗聴者に漏洩した鍵情報が残される可能性がある。
【0047】
本発明では、さらに、構成要素の非対称マッハツェンダー干渉系中の光学遅延路の遅延時間の2倍の繰り返し周期でパルス光子光源を駆動することにより、この攻撃を防ぐことができる。
【発明の効果】
【0048】
本発明によると、現実的な光子光源を用いる量子暗号鍵配付システムにおいて、セキュア秘密鍵の抽出効率および生成可能距離などの性能を改善できる。
【図面の簡単な説明】
【0049】
【図1】本発明の実施形態の動作を示す図である。
【図2】本発明が行われる量子暗号鍵配付システムの構成を示す図である。
【発明を実施するための形態】
【0050】
次に、本発明による実施形態について図面を参照して説明する。
【0051】
本発明による実施形態のシステム構成は、図2に示したシステムと基本的に同じ構成である。本実施形態においては、パルス光子源21における駆動周期および時間記録装置2Eにおける光子の記録状態を変えたものである。このため、本発明の実施形態について、その動作を示す図1とともに、図2を参照して説明する。
【0052】
図2に示されるシステムにおいて、パルス光子源21は、非対称マッハツェンダー干渉系22、27にビルドインされた光学遅延路の遅延時間ΔTの2倍周期2ΔTの繰り返し周期で周期的に光子パルスを生成する。
【0053】
位相変調器23、乱数発生器24は、パルス光子源21が生成した光子パルスに時間同期して、ペア光子パルス26の相対位相シフトに変調を与える。光子検出器2Cは、ΔT周期でゲート信号発生器2Dからゲート信号が印可されており、ΔT周期でアクティベートされ、全ての光子到着信号が時間記録装置2Eにより記録される。
【0054】
これにより、センターパルス中の光子のみならず、サテライトパルス中の光子も含めた全ての光子の到着時間が記録する機構が付加される。サテライトパルス中の光子到着ポートは、位相変調器23および位相変調器28における位相変調に依存しない。従って、ノーマルな状況において、正規利用者による基底公開に基づき、センターパルス中からミーニングフル鍵の抽出は可能である。
【0055】
上記説明では、ゲートモード動作する光子検出器を前提としたが、非ゲートモード動作の光子検出器に置きかえることが可能であることはもちろんのことである。
【0056】
以下、本実施形態の動作について説明する。図1は、本実施形態の動作を示す図である。
【0057】
図2に示したシステムにおいて、パルス光子源21は、非対称マッハツェンダー干渉系22、27にビルドインされた光学遅延路の遅延時間ΔTの2倍周期2ΔTの繰り返し周期で周期的に光子パルスを生成する。
【0058】
非対称マッハツェンダー干渉系22の作用により、伝送路25上に時間間隔ΔTで、ペア光子パルス26が準備される。位相変調器23は時間同期して、ペア光子パルス26の相対位相シフトに変調を与える。
【0059】
伝送路25を伝送し、非対称マッハツェンダー干渉系27に入射直前のペア光子パルス26の状況が図1左側部分に示されている。
【0060】
パルス光子源21が周期2ΔTの繰り返し周期で周期的に光子パルスを生成するため、隣り合うペア光子パルスの間隔はΔTである。すなわち、伝送路25上には周期ΔTで光子パルス列が伝送される状況になる。
【0061】
これらのパルス列は、2つのペアでひとつの見分けのつかない光子を構成し、隣り合うペア光子パルスとは位相相関がなく、見分けがつく状況である。図1には、3つの隣り合うペア光子パルスに場合分けして、非対称マッハツェンダー干渉系27へ入射した後の干渉状況が示されている。
【0062】
図2の右側部分には、非対称マッハツェンダー干渉系27の短尺伝送路S、長尺導波路Lを伝送した後のペア光子パルスが、光子検出器2Cの出力側カップラで結合される直前の状況が示されている。
【0063】
長尺導波路Lを伝送したペア光子パルスは、伝送路Sを伝送したものに比べて、ΔT時間遅延している。破線で示した時間領域内のパルスは、光子検出器2Cの出力側カップラ上で干渉する光子パルス、すなわちセンターパルス成分を示している。そのほかのパルスは、サテライトパルス成分である。
【0064】
サテライト成分に着目すると、これらの成分は入射ペア光子パルス列の前方パルスあるいは後方パルスから生じていることがわかる。このとき、盗聴者がサテライトパルス成分に光子を挿入するためには、前後の入射ペア光子パルス列を構成する前方パルスあるいは後方パルスに光子を挿入する以外に方法はない。
【0065】
しかしながら、このようにして挿入した光子は、前後の入射ペア光子パルス列によって生じる出射パルスの干渉成分に影響を与えるため、光子挿入攻撃を関知することができる。
【0066】
従って、正規利用者は従来棄却していたサテライトパルス成分を含む全ての光子到着を記録し、センターパルス成分の割合とそのビットエラーレートを評価することにより、センターパルス成分の抽出効率が改変されていないことを確認しながら、鍵配付プロトコルを実行することが可能である。
【0067】
また、その抽出効率が正確に1/2になっていない場合は、鍵の一部を犠牲にすることによりセキュア秘密鍵を保証することが可能である。これにより、鍵のセキュリティ評価上、センターパルス成分の抽出効率は盗聴者によってアクセス不可能なロスとして評価可能になり、その結果インセキュアなアクセシブルロスを低減することができ、セキュア秘密鍵の抽出効率や生成可能距離などの量子暗号鍵配付システムの性能向上が可能になる。
【0068】
以上説明した構成を備え、動作を行う本実施形態の特徴は、次の通りである。
【0069】
本発明の量子暗号鍵配付システムによれば、現実的な光子光源を用いる量子暗号鍵配付システムにおいて、セキュア秘密鍵の抽出効率や生成可能距離などの量子暗号鍵配付システムの性能を、装置実装上の工夫により改善することができる。
【符号の説明】
【0070】
21 パルス光子源
22 非対称マッハツェンダー干渉系
23 位相変調器
24 乱数発生器
25 伝送路
26 ペア光子パルス
27 非対称マッハツェンダー干渉系
28 位相変調器
29 乱数発生器
2A センターパルス
2B サテライトパルス
2C 光子検出器
2D ゲート信号発生器
2E 時間記録装置
2F 出力ポート
2G 出力ポート
【技術分野】
【0001】
本発明は、光子伝送により暗号秘密鍵を共有する量子暗号鍵配付を行う量子暗号装置に関し、特に、ペア光子パルス列の位相シフトに直交鍵情報を符号化する方式の量子暗号鍵配付システムにおいて、無条件安全な秘密鍵を、より効率よく、かつ、より長距離の正規利用者間で生成することが可能な量子暗号鍵配付システムを提供する。
【背景技術】
【0002】
インターネットの爆発的普及、電子商取引の実用化を迎え、通信の秘密保持・改竄防止や個人の認証など暗号技術の社会的な必要性が高まっている。
【0003】
現在、DES(データ暗号化規格:Data Encryption Standard)暗号のような共通鍵方式やRAS(R. Rivest、A. Shamir、L. Adelman)暗号をはじめとする公開鍵方式が広く用いられている。しかし、これらは「計算量的安全性」にその基盤を置いている。
【0004】
つまり、現行の暗号方式は計算機ハードウェアと暗号解読アルゴリズムの進歩に常に脅かされている。特に、銀行間のトランザクションや、軍事・外交にかかわる情報などの、極めて高い安全性が要求される分野では、原理的に安全な暗号方式が実用になれば、そのインパクトは大きい。
【0005】
情報理論で無条件安全性が証明されている暗号式にワンタイムパッド法がある。ワンタイムパッド法は通信文と同じ長さの暗号鍵を用い、暗号鍵を1回で使い捨てることが特徴である。
【0006】
非特許文献1で、現在BB84プロトコルとして広く知られている、ワンタイムパッド法に使用する暗号秘密鍵を安全に配送する具体的な量子暗号鍵配付プロトコルがベネット(Bennett)らによりはじめて提案された。これを契機に量子暗号の研究が盛んになっている。
【0007】
量子暗号は物理法則が暗号の安全性を保証するため、計算機の能力に依存しない究極の安全性保証が可能になる。現在多く検討されている量子暗号装置では、一ビットの情報を単一光子の状態にエンコードして伝送する。これは、単一光子の状態は精度良く操作可能であり、かつ、光子にエンコードされた情報は環境による擾乱に強いという事情による。
【0008】
理論的にその安全性が証明されている量子暗号装置では、非特許文献1に記載されているように量子力学的2自由度系の2つの区別可能な状態と、それに相補的な状態(その重ね合わせ状態)を利用して秘密鍵が安全に伝送される。
【0009】
盗聴行為は量子力学的状態に擾乱を与え、正規送受信者のデータ中のエラーから漏洩情報量が推定できるようにプロトコルが設計されている。このような情報通信に用いられる量子状態はしばしば量子情報と呼ばれる。量子情報を担う量子力学的2自由度系は量子ビットと呼ばれ、数学的にはスピン1/2系と等価である。
【0010】
量子ビットに載せられた量子情報は、1ビットデータ(0か1か)、および、その基底を指定することによってのみ特定される。光子を量子ビット担体として用いる暗号鍵配布では、空間を伝搬する光子の持ちうる2つの偏波状態に情報をエンコードする、偏波コーディングと呼ばれる量子暗号装置の実装(非特許文献1)や2連単一光子パルス間の相対位相シフト値に情報をエンコードする、位相コーディングと呼ばれる量子暗号鍵配付システムの実装(非特許文献2−4)が知られている。
【0011】
偏波コーディングは空間伝送用量子暗号システムに適した方式として知られ、位相コーディングは既存の光ファイバー通信網用量子暗号システムに適した方式として知られている。本発明の量子暗号鍵配付システムは、主に後者の位相コーディングによる量子暗号鍵配付システムに関する。
【0012】
図2は、非特許文献2−4に示された、位相コーディングを行う量子暗号鍵配付システムの標準的な構成を示すブロック図である。
【0013】
図2に示したシステムは、パルス光子源21、非対称マッハツェンダー干渉系22,27、位相変調器23,28、乱数発生器24,29、伝送路25、光子検出器2C、ゲート信号発生器2D、時間記録装置2E、および、非対称マッハツェンダー干渉系27の出力ポート2F,2Gから構成されている。
【0014】
パルス光子源21、非対称マッハツェンダー干渉系22、位相変調器23、乱数発生器24は量子暗号鍵を送信する送信者が使用する送信装置を構成する。
【0015】
非対称マッハツェンダー干渉系27、位相変調器28、乱数発生器29、光子検出器2C、ゲート信号発生器2D、時間記録装置2Eは、伝送路25を伝送する量子暗号鍵を受信する受信者が使用する受信装置を構成する。
【0016】
図2に示したシステムにおいて、パルス光子源21は周期的に光子パルスを生成し、生成された光子パルスは、非対称マッハツェンダー干渉系22に入射される。非対称マッハツェンダー干渉系22の作用により、光子パルスはペア光子パルス26となって伝送路25上に出射される。
【0017】
非対称マッハツェンダー干渉系22の一方の腕には位相変調器23が内包されており、位相変調器23は、乱数発生器24で発生した2ビット乱数に基づいてペア光子パルス26の相対位相シフトを4値ランダム変調する。
【0018】
ペア光子パルス26は、第二の非対称マッハツェンダー干渉系27に入射される。非対称マッハツェンダー干渉系27の一方の腕には、位相変調器28が内包されている。位相変調器28は、乱数発生器29で発生した1ビット乱数に基づいてペア光子パルスに対して2値ランダム変調を行う。このペア光子パルスは、2つの出力ポート2F、2Gに出射される。
【0019】
出射された光子パルスは、非対称マッハツェンダー干渉系22および非対称マッハツェンダー干渉系27における光子パルスの通過経路の組合せに対応した3つの時間成分から構成される。このうち、位相変調器23および位相変調器28における位相変調に依存する干渉成分は時間的に2番目のパルスであり、センターパルス2Aと呼ばれる。これ以外の光子パルス成分はサテライトパルス2Bと呼ばれる。
【0020】
図2に示した量子暗号鍵配付システムでは、ゲート信号発生器2Dにより駆動された光子検出器2Cにより、センターパルス2A中の到着光子のみが選択的に検出され、その光子到着時間が時間記録装置2Eにより記録される。光子検出記録を基に正規利用者は通信を行いながら分析を行い、鍵の候補であるシフト鍵が抽出される。
【0021】
シフト鍵中のエラーは正規利用者間で通信を行い、エラー訂正処理により消去される。正規利用者間で通信を行い、シフト鍵中のエラー率を基に秘匿性増強処理を実行して鍵を短縮することにより、盗聴者への情報漏洩の可能性は消去され、セキュアな秘密鍵が得られる。
【先行技術文献】
【非特許文献】
【0022】
【非特許文献1】ベネット(Bennett)、ブラッサ-ド(Brassard)著 IEEEコンピュータ、システム、信号処理国際会議(IEEE Int. Conf. on Computers, Systems, and Signal Processing, Bangalore, India, p. 175 (1984))
【非特許文献2】ツビンデン(Zbinden)ほか著「Experimental Quantum Cryptography」、「INTRODUCTION TO QUANTUM COMPUTATION AND INORMATION(ロー(Lo)ら編著)」(World Scientific、1998年出版)、120ページ
【非特許文献3】エカート(Ekert)ほか著「Quantum Cryptography」、 「The Physics of Quantum Information(ボウメスター(Bouwmeester)ら編著)」(Springer、2000年出版)、15ページ
【非特許文献4】ジサン(Gisin)ほか著「Quantum Cryptography」 レビュー・オブ・モダン・フジックス(Rev. Mod. Phys.)、74号(2002年出版)、145−195ページ
【発明の概要】
【発明が解決しようとする課題】
【0023】
以下、本発明に関わる量子暗号鍵配付システムに用いられている受信装置に共通の特徴とその問題点について説明する。
【0024】
単一光子をキャリアとした実装においては、量子暗号鍵配付プロトコルにより共有された暗号秘密鍵の安全性は、理論的に厳密に証明可能である。この場合、鍵の安全性は到着光子から抽出されるシフト鍵中に含まれるエラーのみに依存する。
【0025】
しかるに、現実の量子暗号鍵配付システムの実装において用いられる光源は厳密な単一光子光源ではない。例えば、最も簡便な実装では、レーザー光をパルス中の平均光子数が1以下になるように十分に減衰した光パルスが用いられる。この光源の光子分布統計はポアソン光子統計であり、0または1つの光子が含まれる(真空ならびに単一光子と記す)パルスが多数であるが、2つ以上の光子が含まれる(以下多光子と記す)パルスが有限の確率で発生する。
【0026】
また、オンデマンド型やヘラルディッド型単一光子光源など、より将来的な単一光子光源の実装においては、多光子パルスの生成確率はポアソン光子統計に比べてかなり小さくできるが、それがゼロであることを保証することは容易ではない。
【0027】
このような条件下では、盗聴者による光子抜き取り攻撃の危険性を排除できないため、より慎重な秘匿性増強を行う必要があり、セキュア秘密鍵の抽出効率および生成可能距離が減少することが当業者によく知られている。
【0028】
量子暗号鍵配付においては、盗聴者は物理法則に反しない限り、その盗聴戦略にはいかなる条件も課せられないというルールの下で、鍵の安全性評価を行う。光子抜き取り攻撃により、BB84プロトコルの下では、盗聴者は多光子パルス中の1光子から完全な情報を得、残りの光子を受信者に届けることが可能である。これにより、多光子パルスについては、到着光子に証拠を残すことなく、完全な鍵情報を獲得できる。このように、盗聴が発生してもこのことを検知することができず、エラーなしとしてしまうエラーなし攻撃の危険性が高まる。
【0029】
上記のようなエラーなし攻撃の可能性を考えると、暗号秘密鍵の安全性を厳密に証明することができず、あらゆる攻撃の可能性が考えられ、たとえば、盗聴者は回線並びに受信装置の光学ロスおよび光子検出効率をコントロールしうると考えざるを得ない。盗聴者はこのアドバンテージを最大限利用し、パルス中の光子数に依存した光学ロスをそれぞれのパルスに与えることにより、正規利用者に関知されることなく、危険多光子パルス成分の受信者への到着割合を増加させることができる。すなわち、盗聴者は単一光子パルス成分の光学ロスを増加させ、多光子パルス成分の光学ロスを減少させる。
【0030】
結果として、正規利用者が単一光子伝送モデルに基づき秘匿性増強を行う限り、盗聴者はより多くの鍵情報量を獲得しうる。従って、正規利用者は鍵の安全性を保証するため、光子抜き取り攻撃のシナリオに基づいて対策を講じるなど、より厳しい基準で秘匿性増強を行う必要が生じる。
【0031】
以上に示した光子抜き取り戦略のポイントをまとめると以下の通りである。
【0032】
標準的なBB84プロトコルの下では、正規利用者は多光子に対して同一の1ビット直交情報を符号化するため、盗聴者にエラーなし攻撃のアドバンテージを与えてしまっていること、および、盗聴者は回線並びに受信装置の光学ロスおよび光子検出効率を正規利用者に関知されることなくコントロールしうるというアドバンテージを持つということにある。
【0033】
盗聴者によりコントロールされうる受信装置の光学ロスおよび光子検出効率はアクセシブルロスと呼ばれ、セキュア秘密鍵の生成確率および生成可能距離はアクセシブルロスに依存する。アクセシブルロスが小さいほどセキュア秘密鍵の抽出効率は大きく、生成可能距離は長くなる。従って、アクセシブルロスを低減することが量子暗号鍵配付システムの性能向上に直結する。
【0034】
アクセシブルロスは、受信装置の光学系の物理的な光学ロスを小さくすることや、光子検出器の物理的な検出効率を高めることにより低減することが可能であることはもちろんのことであるが、盗聴者によってアクセス不可能なロスを増やすことによっても可能である。このようなアクセス不可能なロスの代表例として、シフト鍵の抽出効率をあげることができる。
【0035】
シフト鍵の抽出効率は、標準のBB84プロトコルでは1/2であり、このことは図2に示された標準的実装のシステムの動作中に確認することが可能である。
【0036】
このためには、時間記録装置2Eに残された光子検出記録からシフト鍵として抽出された残りのデータを分析し、それぞれのデータ数を分析し、それぞれの割合が1/2になっていることを確認すればよい。
【0037】
これによって、正規利用者はシフト鍵の抽出効率が改変されていないことを確認しながら、鍵配付プロトコルを実行することが可能である。また、その抽出効率が正確に1/2になっていない場合は、鍵の一部を犠牲にすることによりセキュア秘密鍵を保証することが可能である。
【0038】
図2に示された位相コーディング方式の標準的量子暗号鍵配付システムでは、秘密鍵生成に利用可能なセンターパルス成分中の光子だけではなく、サテライトパルス成分中に含まれる光子があるが、これらは光子検出器のゲート動作や時間記録の段階で無条件に除去されていた。
【0039】
このため、全体の光子到着に対するサテライトパルス中に含まれる光子到着からなるミーニングフル鍵の比率を確認する方法を持たず、センターパルス成分の抽出効率1/2はアクセシブルロスとして扱わざるを得なかった。これにより、セキュア秘密鍵の抽出効率および生成可能距離などの性能において、3dBに相当するディスアドバンテージを甘受せざるをえなかった。
【0040】
本発明は上記の問題点に鑑みてなされたものであり、その目的は、現実的な光子光源を用いる量子暗号鍵配付システムにおいて、セキュア秘密鍵の抽出効率や生成可能距離などの量子暗号鍵配付システムの性能を、装置実装上の工夫により改善することにある。
【課題を解決するための手段】
【0041】
本発明の量子暗号鍵配付システムは、伝送路を介して接続され、光学遅延路の遅延時間が同じである第1および第2の非対称マッハツェンダー干渉系をそれぞれ備える送信装置および受信装置と、前記送信装置と受信装置とを有する量子暗号鍵配付システムにおいて、
前記送信装置は、前記遅延時間の2倍の繰り返し周期で光子パルスを生成して前記第1の非対称マッハツェンダー干渉系に入射するパルス光子源を備え、
前記受信装置は、全ての光子到着を記録する到着光子記録機構を有することを特徴とする。
【0042】
本発明の量子暗号鍵配付方法は、伝送路を介して接続され、光学遅延路の遅延時間が同じである第1および第2の非対称マッハツェンダー干渉系をそれぞれ備える送信装置および受信装置と、前記送信装置と受信装置とを有する量子暗号鍵配付システムで行われる量子暗号鍵配付方法において、
前記送信装置では、パルス光子源が前記遅延時間の2倍の繰り返し周期で光子パルスを生成して前記第1の非対称マッハツェンダー干渉系に入射し、
前記受信装置では、到着光子記録機構が全ての光子到着を記録することを特徴とする。
【0043】
上記課題を解決するため、従来の量子暗号鍵配付システムでは無条件に棄却していたサテライトパルス中の光子到着も含め、全ての光子到着を時間記録装置により記録する。
【0044】
これにより、正規利用者はシフト鍵抽出効率と同様にサテライトパルス中のミーニングフル鍵抽出効率が改変されていないことを確認しながら、鍵配付プロトコルを実行する事が可能になる。
【0045】
しかしながら、盗聴者はセンターパルスとサテライトパルスの光子到着時間が異なることを利用し、サテライトパルスに光子を挿入し、アクセシブルロスを小さく見せる攻撃を行う余地がある。
【0046】
これによって、正規利用者はセキュアな秘密鍵を得るために犠牲とすべき鍵長を過小評価し、秘密鍵中に盗聴者に漏洩した鍵情報が残される可能性がある。
【0047】
本発明では、さらに、構成要素の非対称マッハツェンダー干渉系中の光学遅延路の遅延時間の2倍の繰り返し周期でパルス光子光源を駆動することにより、この攻撃を防ぐことができる。
【発明の効果】
【0048】
本発明によると、現実的な光子光源を用いる量子暗号鍵配付システムにおいて、セキュア秘密鍵の抽出効率および生成可能距離などの性能を改善できる。
【図面の簡単な説明】
【0049】
【図1】本発明の実施形態の動作を示す図である。
【図2】本発明が行われる量子暗号鍵配付システムの構成を示す図である。
【発明を実施するための形態】
【0050】
次に、本発明による実施形態について図面を参照して説明する。
【0051】
本発明による実施形態のシステム構成は、図2に示したシステムと基本的に同じ構成である。本実施形態においては、パルス光子源21における駆動周期および時間記録装置2Eにおける光子の記録状態を変えたものである。このため、本発明の実施形態について、その動作を示す図1とともに、図2を参照して説明する。
【0052】
図2に示されるシステムにおいて、パルス光子源21は、非対称マッハツェンダー干渉系22、27にビルドインされた光学遅延路の遅延時間ΔTの2倍周期2ΔTの繰り返し周期で周期的に光子パルスを生成する。
【0053】
位相変調器23、乱数発生器24は、パルス光子源21が生成した光子パルスに時間同期して、ペア光子パルス26の相対位相シフトに変調を与える。光子検出器2Cは、ΔT周期でゲート信号発生器2Dからゲート信号が印可されており、ΔT周期でアクティベートされ、全ての光子到着信号が時間記録装置2Eにより記録される。
【0054】
これにより、センターパルス中の光子のみならず、サテライトパルス中の光子も含めた全ての光子の到着時間が記録する機構が付加される。サテライトパルス中の光子到着ポートは、位相変調器23および位相変調器28における位相変調に依存しない。従って、ノーマルな状況において、正規利用者による基底公開に基づき、センターパルス中からミーニングフル鍵の抽出は可能である。
【0055】
上記説明では、ゲートモード動作する光子検出器を前提としたが、非ゲートモード動作の光子検出器に置きかえることが可能であることはもちろんのことである。
【0056】
以下、本実施形態の動作について説明する。図1は、本実施形態の動作を示す図である。
【0057】
図2に示したシステムにおいて、パルス光子源21は、非対称マッハツェンダー干渉系22、27にビルドインされた光学遅延路の遅延時間ΔTの2倍周期2ΔTの繰り返し周期で周期的に光子パルスを生成する。
【0058】
非対称マッハツェンダー干渉系22の作用により、伝送路25上に時間間隔ΔTで、ペア光子パルス26が準備される。位相変調器23は時間同期して、ペア光子パルス26の相対位相シフトに変調を与える。
【0059】
伝送路25を伝送し、非対称マッハツェンダー干渉系27に入射直前のペア光子パルス26の状況が図1左側部分に示されている。
【0060】
パルス光子源21が周期2ΔTの繰り返し周期で周期的に光子パルスを生成するため、隣り合うペア光子パルスの間隔はΔTである。すなわち、伝送路25上には周期ΔTで光子パルス列が伝送される状況になる。
【0061】
これらのパルス列は、2つのペアでひとつの見分けのつかない光子を構成し、隣り合うペア光子パルスとは位相相関がなく、見分けがつく状況である。図1には、3つの隣り合うペア光子パルスに場合分けして、非対称マッハツェンダー干渉系27へ入射した後の干渉状況が示されている。
【0062】
図2の右側部分には、非対称マッハツェンダー干渉系27の短尺伝送路S、長尺導波路Lを伝送した後のペア光子パルスが、光子検出器2Cの出力側カップラで結合される直前の状況が示されている。
【0063】
長尺導波路Lを伝送したペア光子パルスは、伝送路Sを伝送したものに比べて、ΔT時間遅延している。破線で示した時間領域内のパルスは、光子検出器2Cの出力側カップラ上で干渉する光子パルス、すなわちセンターパルス成分を示している。そのほかのパルスは、サテライトパルス成分である。
【0064】
サテライト成分に着目すると、これらの成分は入射ペア光子パルス列の前方パルスあるいは後方パルスから生じていることがわかる。このとき、盗聴者がサテライトパルス成分に光子を挿入するためには、前後の入射ペア光子パルス列を構成する前方パルスあるいは後方パルスに光子を挿入する以外に方法はない。
【0065】
しかしながら、このようにして挿入した光子は、前後の入射ペア光子パルス列によって生じる出射パルスの干渉成分に影響を与えるため、光子挿入攻撃を関知することができる。
【0066】
従って、正規利用者は従来棄却していたサテライトパルス成分を含む全ての光子到着を記録し、センターパルス成分の割合とそのビットエラーレートを評価することにより、センターパルス成分の抽出効率が改変されていないことを確認しながら、鍵配付プロトコルを実行することが可能である。
【0067】
また、その抽出効率が正確に1/2になっていない場合は、鍵の一部を犠牲にすることによりセキュア秘密鍵を保証することが可能である。これにより、鍵のセキュリティ評価上、センターパルス成分の抽出効率は盗聴者によってアクセス不可能なロスとして評価可能になり、その結果インセキュアなアクセシブルロスを低減することができ、セキュア秘密鍵の抽出効率や生成可能距離などの量子暗号鍵配付システムの性能向上が可能になる。
【0068】
以上説明した構成を備え、動作を行う本実施形態の特徴は、次の通りである。
【0069】
本発明の量子暗号鍵配付システムによれば、現実的な光子光源を用いる量子暗号鍵配付システムにおいて、セキュア秘密鍵の抽出効率や生成可能距離などの量子暗号鍵配付システムの性能を、装置実装上の工夫により改善することができる。
【符号の説明】
【0070】
21 パルス光子源
22 非対称マッハツェンダー干渉系
23 位相変調器
24 乱数発生器
25 伝送路
26 ペア光子パルス
27 非対称マッハツェンダー干渉系
28 位相変調器
29 乱数発生器
2A センターパルス
2B サテライトパルス
2C 光子検出器
2D ゲート信号発生器
2E 時間記録装置
2F 出力ポート
2G 出力ポート
【特許請求の範囲】
【請求項1】
伝送路を介して接続され、光学遅延路の遅延時間が同じである第1および第2の非対称マッハツェンダー干渉系をそれぞれ備える送信装置および受信装置と、前記送信装置と受信装置とを有する量子暗号鍵配付システムにおいて、
前記送信装置は、前記遅延時間の2倍の繰り返し周期で光子パルスを生成して前記第1の非対称マッハツェンダー干渉系に入射するパルス光子源を備え、
前記受信装置は、全ての光子到着を記録する到着光子記録機構を有することを特徴とする量子暗号鍵配付システム。
【請求項2】
伝送路を介して接続され、光学遅延路の遅延時間が同じである第1および第2の非対称マッハツェンダー干渉系をそれぞれ備える送信装置および受信装置と、前記送信装置と受信装置とを有する量子暗号鍵配付システムで行われる量子暗号鍵配付方法において、
前記送信装置では、パルス光子源が前記遅延時間の2倍の繰り返し周期で光子パルスを生成して前記第1の非対称マッハツェンダー干渉系に入射し、
前記受信装置では、到着光子記録機構が全ての光子到着を記録することを特徴とする量子暗号鍵配付方法。
【請求項1】
伝送路を介して接続され、光学遅延路の遅延時間が同じである第1および第2の非対称マッハツェンダー干渉系をそれぞれ備える送信装置および受信装置と、前記送信装置と受信装置とを有する量子暗号鍵配付システムにおいて、
前記送信装置は、前記遅延時間の2倍の繰り返し周期で光子パルスを生成して前記第1の非対称マッハツェンダー干渉系に入射するパルス光子源を備え、
前記受信装置は、全ての光子到着を記録する到着光子記録機構を有することを特徴とする量子暗号鍵配付システム。
【請求項2】
伝送路を介して接続され、光学遅延路の遅延時間が同じである第1および第2の非対称マッハツェンダー干渉系をそれぞれ備える送信装置および受信装置と、前記送信装置と受信装置とを有する量子暗号鍵配付システムで行われる量子暗号鍵配付方法において、
前記送信装置では、パルス光子源が前記遅延時間の2倍の繰り返し周期で光子パルスを生成して前記第1の非対称マッハツェンダー干渉系に入射し、
前記受信装置では、到着光子記録機構が全ての光子到着を記録することを特徴とする量子暗号鍵配付方法。
【図1】
【図2】
【図2】
【公開番号】特開2011−77995(P2011−77995A)
【公開日】平成23年4月14日(2011.4.14)
【国際特許分類】
【出願番号】特願2009−229539(P2009−229539)
【出願日】平成21年10月1日(2009.10.1)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成21年度、独立行政法人情報通信研究機構「量子暗号の実用化のための研究開発(課題イ量子暗号ネットワーク技術の研究開発)」は産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成23年4月14日(2011.4.14)
【国際特許分類】
【出願日】平成21年10月1日(2009.10.1)
【国等の委託研究の成果に係る記載事項】(出願人による申告)平成21年度、独立行政法人情報通信研究機構「量子暗号の実用化のための研究開発(課題イ量子暗号ネットワーク技術の研究開発)」は産業技術力強化法第19条の適用を受ける特許出願
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]