非直交2状態量子暗号法及び盗聴探知のために量子ビット内及び量子ビット間干渉を有する装置
非直交2状態を用いて安全な量子暗号通信システムを実行するための装置及び方法である。それぞれの量子ビットのビット値を符号化するために、送信ステーションは2つの直交状態のうちの1つの状態で量子系を準備する。そして、量子ビット内及び量子ビット間の干渉を測定することで、盗聴が試みられたかどうかを明らかにする。量子系の間隔において行われた盗聴攻撃を見極めるために、証拠の状態が用いられる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、総じて量子暗号の分野に関し、特に二者間でビット列を交換し、その秘密性を確認するための装置及び方法に関する。
【背景技術】
【0002】
二人の使用者が共有のランダムな秘密情報(以下「鍵」と記載)を所有している場合、確証された安全性をもって下記の暗号法の目的の2つを達成することができる。
1)彼らのメッセージを、盗聴者に理解不能にすること。
2)本物のメッセージを偽造もしくは変更されたメッセージから判別すること。
上記1の目的は、ワンタイムパッド暗号アルゴリズムによって達成可能であり、上記2の目的はWegman−Carter認証によって達成できる。しかし、残念なことに、どちらの暗号理論も鍵素材を破壊し、使用に適さない状態にしてしまう。よって、これらの一方もしくは両方の暗号技術を用いて交換するメッセージを保護したいと望む二者は、新しい鍵素材を交換する方法を考え出す必要がある。第1の可能性として、一方の使用者が鍵を生成して、もう一方の使用者に伝える前に物理的な媒体(ディスク、CD−ROM、ROMなど)に記録する方法がある。この方法の問題は、鍵が生成及び使用され、最後に破棄されるまでの期間、常に保護されるかどうかによって、その安全性が依存する点にあり、また、非実用的で非常に面倒でもある。
【0003】
これらの問題により、多くの場合、安全ではない通信チャネルを通して2つのメンバーが共有の秘密に合意することが可能な純粋な数学的方法が用いられる。残念なことに、鍵合意のための全ての数学的方法は、大数の因数分解の困難性などの確証のない仮定に基づくところが大きい。よって、これらの安全性は限定されており不確かなものと言える。これらが全く安全ではないことは、さらなる数学の発展によって証明されるだろう。
【0004】
量子暗号法(QC)は、確証された絶対的な安全性をもって、送信側と受信側という離れた2つのメンバーの間で安全鍵の交換を可能にする方法である。この方法の詳しい説明は、Nicolas Gisin, Gregoire Ribordy, Wolfgang Tittel及びHugo Zbindenによる「Quantum Cryptography」、Rev.of Mod.Phys.74(2002)に記載されており、その内容は参照することにより本件に組み込まれる。一方のメンバー(送信側)は、量子系を対応する量子状態で準備することによって、光子などの量子系における鍵のそれぞれの2進数(又はビット)の数値を符号化する。鍵のビットを含む量子系は量子ビットと呼ばれる。量子ビットは、光ファイバーなどの量子チャネルを介して、それぞれの量子ビットがどの量子状態で準備されたかを特定するために量子測定を行うもう一方のメンバー(受信側)に伝送される。このときの測定結果は記録され、鍵の生成に用いられる。この方法の安全性は、未知の量子系の量子状態を測定するとその系に変化をきたすという周知の事実に基づく。すなわち、量子チャネルを盗聴するスパイは、送信側と受信側の間で交換される鍵に誤差を起こすことなく、情報を得ることができないのである。また、同様の意味で、スパイは伝送される量子系を複製し、完璧なコピーを受信側に送信することが不可能であるという量子力学における量子複製不可能定理によって、QCの安全性は保証される。
【0005】
QCには、いくつかのプロトコルが存在する。プロトコルとは、量子状態の集合を用いてどのようにビット値が量子系に符号化され、鍵を生成するために送信側と受信側がどのように連携するかを説明するものである。これらのプロトコルの中で最も一般的に用いられ、また最初に考案されたのは、Charles Bennet, Gilles Brassard in Proceedings IEEE Int. Conf. On Computers, Systems and Signal Processing, Bangalore, India(IEEE, New York, 1984)、pp.175−179に開示され、参照することにより本件に組み入れられるBennett−Brassard 84 protocol(BB84)と呼ばれるものだ。送信側は、量子ビットを準備するために、送信したいそれぞれのビットを二準位系に符号化する。それぞれの量子ビットは、σx(“0”の場合は|+χ〉符号化、“1”の場合は|−χ〉符号化)の固有状態、又はσy(同様に|+у〉又は|−у〉)の固有状態として準備される。量子ビットは、2つの互換性のない基底に符号化されると言われている。送信側は、適切な乱数発生器を用いてそれぞれの量子ビットにつき、ビット値(1ランダムビット)及び基底情報(1ランダムビット)を特定するために用いられる情報のランダムビットを2つ生成する。それぞれの量子ビットは、量子チャネルを介して受信側へ送信され、2つのうち1つの基準に基づいて分析される(すなわち、σxかσyか測定される)。
【0006】
受信側は、適切な乱数発生器を用いて、測定基底(基底情報)を特定するための情報のランダムビットを生成する。測定基底は、各量子ビットにランダムに選択される。多数の量子系の交換が行われると、送信側と受信側は基底照合と呼ばれる作業を行う。まず、送信側は、古典的な公共の通信チャネルを通して、それぞれの量子ビットが準備された基底がxであるかyであるか(固有状態σxかσyか)を通知する。受信側が送信側と同様の基底を測定に用いた場合、受信側は自分が測定したビット値は送信側が送信したものであることが分かるので、受信側はどの量子ビットの条件が満たされたかを公表する。そのビットが、いわゆる生鍵(raw key)を構成する。
【0007】
誤った基底が用いられた測定結果は、単に廃棄される。スパイが存在しなかった場合、共有されたビット列はエラーフリーとなる。交換される量子ビット列に関する情報を入手しようとするスパイは、いくつかの攻撃の中から選択することも可能だが、鍵に顕著な摂動を生じさせることなく行うことは不可能であり、これは量子物理学の法則によって保証される。BB84の安全性は、送信側が送信した量子ビットは互換性のない基底に属する量子状態で準備されるという事実に基づく。よって、盗聴者は完全な確信をもって、ある特定の量子ビットの量子状態を特定することは不可能となる。一般的には、BB84は少なくとも2つの互換性のない基底の量子状態が少なくとも2つ用いられるプロトコルの種類に属する。
【0008】
実際には、使用者が用いる装置は不完全であり、盗聴者による量子ビットの相互作用がない場合でも、ビット列には多少のエラーが生じてしまう。そんな場合においても秘密鍵の生成を可能にするため、プロトコルの基底照合の作業は他のステップを付加することにより補完される。この全体的な作業は、鍵純粋化(key distillation)と呼ばれる。送信側と受信側は、通信の秘密性を測定するために、ビット列のサンプルの、量子誤り率(QBER)としても知られる摂動の度合いを確認する。誤り率が大きくなければ、生鍵から、純粋化された鍵(distilled key)としても知られる安全鍵を純粋化する妨げにはならない。盗聴者が入手し得る情報量を任意の低レベルに抑えることが可能な、いわゆるプライバシー増幅アルゴリズムを2つのメンバーが適用する前は、エラーは正しい場合もある。
【0009】
その他にもいくつかの量子暗号プロトコルの提案がされている。1992年にCharles Bennetは、量子ビットは2つの非直交状態のうち1つを用いて準備するだけで十分であることを示し、Phys. Rev. Lett. 68, 3121(1992)においてB92と呼ばれるプロトコルを公表し、その内容は参照することにより本件に組み込まれる。このプロトコルでは、送信側は非直交状態の2つの純粋状態|u1>又は<|u2のうちの1つの状態の量子ビットを繰り返し送信する。受信側は、それがどっちの状態であるか確定的には判別できない。しかし、正定置作用素測定としても知られ、解答が出ない場合もあるがその以外の場合では正しい解答を出す一般化測定(正式には、この測定は2つの射影子(projector)P1=1−|u2><u2|又はP2=1−|u1><u1|の集合である)を行うこともできる。そして量子ビットの測定結果を用いて鍵ビットが生成される。
【0010】
このプロトコルには2つの状態しか必要ないということは、実際に簡単に実行できるということを意味する。しかしながら、重要なのは盗聴者も一般化測定を行えるということである。盗聴者は、解答が得られた場合にはその状態に応じて準備された量子ビットを送信することもできるし、結果が確定的でなければ何も行わないこともできる。量子チャネルの減衰と限られた検出率のせいで、受信側は送信側が送信した量子ビットのほんの僅かしか検出しないことを予期してしまうため、このような攻撃は実際の装置においてとりわけ威力を発揮する。しかし、実際に行われるように、純粋状態|u1>又は<|u2の代わりに混合状態ρ1及びρ2が用いられると、選択された混合状態がヒルベルト空間の2つの互いに素な部分空間(disjoint subspace)に必ず及ぶようにすることで、この攻撃を阻むことが可能となる。これにより受信側は、P1はρ2を、P2はρ1を無効にするが、どちらの演算子も量子状態を無効にしないような2つの演算子P1及びP2を見つけることができる。これによって、盗聴者が混合状態ρ1及びρ2のいずれか一方の代わりに真空状態を送信した場合も、受信側は非ゼロの確率でエラーを示す確定的な測定結果を記録することが保証される。多数の量子ビットを観測する場合においても、非ゼロの確率によって測定可能な誤り率が生じる。
【0011】
過去10年間に、光子を量子ビットとし、光ファイバーを量子チャネルとして用いた量子暗号通信装置のデモンストレーションがいくつか行われた。それらが実用されるには、操作が簡単であり、かつ現在の技術的制限にもかかわらず高速な鍵交換が行えることが重要となる。このような検討材料は、量子暗号通信装置及び量子ビットが準備される量子状態の集合の選択に影響する。電磁界の偏光状態は、量子暗号を行うには最適の候補になり得るが、実用では光ファイバーに量子ビットを伝送させる場合には使用が難解となる。それは実際に、光ファイバーが通常偏光状態の変換を誘発するためである。逆に、タイミング情報に関しては非常に安定しており、簡単な量子暗号装置を操作する際に用いられることもある。
【0012】
Debuisschert et.al.は、Physical Review A 70,042306(2004)において、時間符号化(time coding)プロトコルの類を提案し、その内容は、参照することで本件に組み込まれる。このプロトコルで最も簡単なものは、送信側がそれぞれのビットに単一光子パルスを送信するもので、ビット値の1つ、例えば“0”が遅延のないパルス(undelayed pulse)によって符号化され、“1”が遅延パルス(delayed pulse)によって符号化される。このとき、遅延値はパルス期間よりも小さくされる。受信側は時間基準に関連して光子の到着時間を測定し、事象の集合を3つ特定する。第1集合は、遅延のないパルスからのみ検出されるものを含み、“0”値ビットとして数えられる。第2集合は、遅延パルスからのみ検出されるものを含み、“1”値ビットとして数えられる。最後に、第3集合は、遅延のないパルスと遅延パルスの両方から検出されるものを含み、これらは不確定な結果に相当するため廃棄される。
【0013】
受信側はパルスを干渉計にも送信し、それらの期間を干渉計測により測定することもある。このプロトコルの安全性は、盗聴者は不確定な結果が出ると、受信側に送信する量子状態を必ず推測から判断しなければならず、その場合、非ゼロの確率でエラーを誘発するという事実に基づいている。パルス期間を干渉計測することで、受信側に測定結果を出させるために、盗聴者が元のパルスよりも短いパルスを送信することが防がれる。さらに、何の情報も含まない2つの付加的な遅延パルスを用いることで、盗聴者に補足的な対称制約を与え、量子チャネル減衰が悪用されるのを防ぐことができる。
【0014】
最初の量子暗号法の提案では、鍵を符号化するための量子ビットとして単一光子の使用が提示されていたが、その生成は困難であり、良質な単一光子源はいまだ存在しない。その代わりに、理想的な量子ビットの近似として弱コヒーレント状態を送信側と受信側の間で交換する手法が、簡潔さを考慮した結果、多くの実施において用いられた。コヒーレント状態とはコヒーレントに重ね合わせられた光子状態から構成されることを言い、すなわち、コヒーレント状態の内部の異なる光子状態の素子の間では、固定位相関係(fixed phase relationship)が成り立っていると言える。このような状態の説明には、その振幅及びグローバル位相(global phase)を知っているだけで十分である。コヒーレント状態は、振幅が小さいと弱くなるといわれており、弱コヒーレント状態はレーザー光を減衰することで生成することができる。
【0015】
実用において、単一光子の代わりに弱コヒーレント状態が用いられるということは、光子数分岐(PNS)攻撃と呼ばれる非常に強力な攻撃を盗聴者から受ける可能性もあることを意味する。まず、盗聴者はそれぞれの弱パルスに含まれる光子数を測定するために量子非破壊測定を行う。そして、ちょうど1つの光子がパルスに含まれる場合、それをブロックする。2つの光子がパルスに含まれる場合、一方の光子を受信側に送信しつつ、もう一方を盗んで量子メモリに保存する。最後に、プロトコルの基底照合の後、盗聴者は保存してあった光子の量子状態を測定する。この段階で、送信側によって送信された量子状態の完全な情報を得るためにはどの測定を行えばよいかは、盗聴者には知られてしまう。盗聴はパルスの一部がブロックされると受信側による検出率が低下することで発見されてしまうため、光子の1つを抜き取った多光子パルスを受信側に送信するために完全な無損失チャネル(量子暗号において、盗聴者は物理的な制限は受けるが、技術的な制限は受けない)を用いることで発見を防ぐ。受信側は、量子チャネル減衰及び限られた検出性能のせいで、光子の一部しか検出しないことを想定しているため、光子数分岐盗聴は実社会においてとりわけ威力を持つ。そのため、これらの攻撃に耐性のある量子暗号通信装置及びプロトコルを考案することは重要となる。
【0016】
盗聴者による光子数分岐攻撃が行われる可能性を低下させるいくつかの方法が提案された。Physical Review Letters 91,057901(2003)のHwang W.Y.、Physical Review Letters 94,230503(2005)のWang X.B.及びPhysical Review Letters 94,230504(2005)のLo H.K.et al.は、おとりの量子状態を用いることを提案しており、その内容は参照することにより本件に組み入れられる。また、H.Takesue et al.による「105kmのファイバーを用いた差動位相シフト量子鍵配送実験(Differential phase shift quantum key distribution experiment over 105km fiber)」において、光子数分岐攻撃に抵抗力のある新規のプロトコルも提案されており、その内容は参照により本件に組み込まれる。Takasue et al.は、ビット値を符号化するために、無限ストリーム(infinite stream)において時間Tだけ隔てられ、Tよりも小さいとされる期間tを有する2つの隣接する弱コヒーレント状態の間の2つ(0、π)の位相差を利用したプロトコルを発表した。このストリームにおいては、2つの弱コヒーレント状態は位相コヒーレントであるという。受信側は差動位相を特定するために干渉的な測定を行い、ビット値を定める。
【0017】
このプロトコルの安全性は、それぞれの差動位相値と一致する2つの量子状態は非直交であるという事実に基づく。ビット値を測定しようとする盗聴者は、不確定な結果を得ることがあり、その場合にはどの状態を送信するか推測によって判断しなければならない。すると、非ゼロの確率でエラーを誘発する。逆に、不確定な結果を得たら受信側に何も送信しないことを選ぶと、隣接する弱コヒーレント状態にかかる干渉を抑制してしまい、非ゼロの確率でエラーを誘発する。このプロトコルにおいて、ビット値は隣接する量子状態の間の位相差に符号化されているため、個々の弱コヒーレント状態に対して光子数分岐攻撃を行うことは明らかに無意味である。光子数分岐攻撃を成功させるには、隣接する2つの弱コヒーレント状態における光子数を測定する必要があるが、そうすると近隣のその他の量子状態との位相コヒーレンスが破壊されるため、非ゼロの確率でエラーを誘発する。
【発明の開示】
【発明が解決しようとする課題】
【0018】
本発明における装置及び方法は、生鍵とも呼ばれるビット列を送信側と受信側の間で交換し、生鍵に関して盗聴者が入手し得た情報の最大量を推定するために提供される。後に生鍵は、適切な鍵純粋化の過程を経て安全鍵として純粋化される。
【課題を解決するための手段】
【0019】
本件の方法はいくつかのステップから構成される。方法における第1ステップでは、量子情報源によって生成され、かつストリームにおいて隣接する2つの量子ビットは固定位相関係にあり、それぞれの量子ビットが非直交状態ではない2つの状態のうち1つの状態で準備された量子ビットのストリームが、送信側を介して送信される。第2ステップでは、正定値作用素測定と呼ばれる1つ目の測定が受信側を介して量子ビットの一部に行われ、それらがどの状態で送信側によって準備されたかを特定しようとする。第3ステップでは、2つめの測定が受信側を介して量子ビットのペアに行われ、2つの間の位相関係のコヒーレンス度が推定される。第4ステップでは、生鍵の生成に役立てられるように、どの量子ビットが正定値作用素測定で確定的な結果が得られたかが受信側を介して通知される。第5ステップでは、古典チャネルを介した通信及び送信側と受信側間の連携によって、ストリームの量子ビットの間のコヒーレンス度が測定され、生鍵について盗聴者が入手し得た情報の量が推定される。
【0020】
この量子暗号通信装置及び方法の第1の利点は、それが簡単に行えることである。その簡潔性は、量子ビットがたった2つの非直交状態で準備されるだけでよいことに由来する。それに加え、本件の装置及び方法は、量子ビット値の時間符号化を用いることを可能とする。ビット値の1つは、それぞれの間の時間よりも短いとされる2つの時間ビンのうち2つ目の時間ビンを空に保ちつつ、1つ目の時間ビンに非空(non−empty)の弱コヒーレント状態からなる量子ビットを準備することによって符号化される。その他のビット値は、空の時間ビンと非空の時間ビンが入れ替えられた量子ビットに符号化される。また、送信側によって送信される2つの量子ビットは固定位相関係(すなわち、位相コヒーレント)でなくてはならない。その場合、2つの状態を判別するための最適な正定値作用素測定の1つに、光子計数検出器を用いて光子の到着時間を測定する方法がある。この測定法は非常に簡単に行うことができる。また、これらの量子状態は量子チャネルにおける環境変動に非常にロバストであり、例えば偏光変動などによってエラーが誘発しない。そして、簡単に行えるので、既存の技術でも高速鍵交換が可能となる。盗聴は、受信側が2つの量子状態の2つの時間ビンの間の位相コヒーレンスを干渉計測することにより監視される。
【0021】
本件の量子暗号通信装置及び方法の第2の利点は、光子数分岐攻撃に対してロバストな点である。これは、盗聴者によって量子ビットが取り除かれると顕著な摂動が生じることに基づく。もし量子ビットの1つが取り除かれ、受信側がその量子ビットと他のビットとの間のコヒーレンスを測定した場合、測定結果は非ゼロの確率で量子ビットが取り除かれたことを示す。
【0022】
本件のその他の課題及び利点は、添付の図面を参照として、一例としての本件の具体案が開示された以下の説明から明らかになる。
【発明を実施するための最良の形態】
【0023】
図1及び2を参照すると、本件の方法10及び装置12は、送信ステーション14と受信ステーション16の間で、生鍵(例えば、101100101001111001001010…01010100などのデータ列)を伝送するための図3で示される量子系(すなわち量子ビット)20のストリーム22に符号化された信号列を交換し、送信ステーション及び受信ステーションが生鍵について盗聴者24が入手し得た情報の最大量を測定するために提供される。後に生鍵は、周知である適切な鍵純粋化過程を経て純粋化され、安全鍵(10011000…1100などの生鍵のデータ列よりも少ない桁数を有する純粋化されたデータ列)が生成される。
【0024】
送信ステーション14と受信ステーション16は量子チャネル26及び古典チャネル30によって接続される。信号値は、ある特定の量子状態(データ状態とも呼ばれる)で量子系を準備することによって符号化される。送信ステーション14と受信ステーション16の間で交換される量子系は、どんなアルファベットの記号が用いられようと、量子ビットと呼ばれる。
【0025】
また、用いられる量子系は直交状態ではない。これは、量子物理学の法則によると、ある量子ビットを100%の確率で特定するには、その量子ビットがどの量子状態で準備されたかを考慮することが不可欠であることを意味する。よって、p<1の確率で確定的な結果を、1−pの確率で不確定な結果を得られる一般化測定を行うのが最良の方法となる。そのため、受信ステーション16は、送信ステーション14から送信された量子状態及び信号のほんの一部しか特定することができない。この原理は盗聴者24にとっても同様であり、不確定な結果が出た場合、盗聴者24は量子状態を推測して送信するか、何も送信しないかのどちらかを選択しなければならない。
【0026】
盗聴者24が量子状態を推測して送信した場合、ストリーム22の量子ビット20を測定することにより、生成される信号列20において非ゼロの確率でエラーを誘発する。後に、このエラーを検出するためのいわゆる鍵純粋化位相(key distillation phase)を行う際、送信ステーション14と受信ステーション16は連携して動作する。盗聴者24が、不確定な結果が出た際にその代わりを何も送信しなかった場合、状況はより難解となる。なぜなら、それが盗聴者によるものか、損失性の量子チャネル26の量子吸収によるものか判別することは不可能なためである。このため、送信ステーション14及び受信ステーション16がこの類の攻撃に気付くような手段を付加する必要がある。その手段としては、まず2つの量子ビット20の間でコヒーレント位相関係が成り立ち、ストリーム22において十分近隣に位置するように送信ステーション14が設定される。送信ステーションは時折、適切な測定(例えば干渉測定など)を行って、ランダムに選択された2つの量子系の間でコヒーレント位相関が成り立っているかを確認する。量子ビット20の除去、又は位相関係の破壊は、非ゼロの確率で検知可能な摂動を生誘発する。
【0027】
残念なことに、盗聴者24にはさらに別の可能性も残されている。盗聴者は、2つの量子ビット間の間隔にわたって、信号値を符号化するために用いられる量子的性質に、コヒーレンス測定を行うことができる。この攻撃を用いると、完全な情報が得られるうえに、量子ビット間のコヒーレンス関係を破壊することがないためアラームを誘発することもない。このため、送信ステーション14及び受信ステーション16がこのような攻撃に気付くことができる手段を付加する必要がある。その手段として、まず送信ステーションはデータ状態で準備されたいくつかの量子ビットの間に、上記データ状態とは非直交で、かつ重ね合わせでない状態で準備された、証拠の状態(witness state)としても知られる量子系を付加する。このような証拠の状態で準備された量子系は、下位の量子ビット(qubits below)とも呼ばれる。データ状態で準備された量子ビット20に実行されるとそのデータ状態を特定することができる測定が、証拠の状態に行われたどうかを判別することが可能な測定が少なくとも1つ存在する。受信ステーション16は、この測定をいくつかの量子ビット20にランダムに行う。それらの量子ビット20の一部は証拠の状態で準備されるため、量子ビットの間隔における攻撃を特定することが可能となる
【0028】
以上をまとめると、本件における方法10及び装置12は以下の3つの原理に基づく:
第1に、非直交状態で準備され、近隣の状態とコヒーレント位相関係にある量子ビット20を用いること。
第2に、コヒーレント位相関係がまだ成り立っているかどうかを、数ペアの量子ビットで確認を行うこと。
第3に、量子系の間隔にわたって行われる攻撃を見破る介助をするための、証拠の状態と呼ばれる状態で準備された量子ビットを用いること。
本発明における、信号値の時間符号化と時間ビンにおける電磁界のパルス弱コヒーレント状態とを用いた方法10及び装置12の具体案は、以下に記載される。
【0029】
図2を参照として、量子チャネル26と古典チャネル30によって接続された送信ステーション14及び受信ステーション16を含んで構成される装置12の具体案の一例が示される。上記量子チャネル26は、例えば専用光ファイバーや、波長分割多重光通信システムのチャネルであってもよい。上記古典チャネル30は、例えばインターネットや、明るい光パルス(bright optical pulses)を伝送する第2光ファイバーであってもよい。
【0030】
受信ステーション14は、処理装置36によって制御された量子情報源34を備える。処理装置36は、メモリ、出力/入力ポート、中央処理管理入力装置を備え、所望の出力を生成するためにそれらに基づいて作動するコンピューター、又は装置のその他の部品と通信可能なデータ伝送及び通信機構であってもよい。量子情報源34は、伝送線40によって処理装置36に接続される。この伝送線40は、例えば電気信号を伝送するワイヤー又はケーブルなどを備えたものであってもよい。処理装置36には、さらに乱数発生器42が接続される。
【0031】
次に図4を参照すると、量子情報源34には、光路46によって振幅変調器48に接続された光源44が備わってなる。光源44は、例えばモードロックされたレーザーや連続波レーザーなどから形成されてもよい。量子情報源34には、量子ビット20の全体的な振幅を調整するために、光路52によって振幅変調器48に接続された可変光減衰器50が備わってもよい。光路46及び52は、例えば光ファイバーや自由空間光路(free space optics paths)を構成してもよい。量子情報源34の出力は、放射光が量子チャネルに入射されるように、量子チャネル26に接続される。
【0032】
図3を参照として、量子情報源34は量子ビット20のストリーム22を生成する。それぞれの量子ビット20は、期間tを有する時間ビン60と62において、減衰されたレーザーパルスなどの電磁界のパルス弱コヒーレント状態56の1つのペア54から構成される。ある特定の量子ビット20において、時間ビン60の中間と62の中間は、tよりも大きいとされる時間T1だけ隔たれる。量子ビット20の2つ目のパルス弱コヒーレント状態72の中間は、次の量子ビット20の1つ目のパルス弱コヒーレント状態の中間から、tよりも大きいとされる時間T2だけ隔たれる。原理上は、T1とT2は同等である必要はないが、以下においては便宜上T1=T2=Tであると仮定する。“0”ビット値が付された量子ビット74は、第1時間ビン60においてプロトコルの安全を保証するように選択されたμの平均光子数を有する非空の弱コヒーレント状態71と、第2時間ビン62においてプロトコルの安全を保証するように選択されたμの平均光子数を有する空の弱コヒーレント状態72とから構成される。図3には、量子ビット74における第1時間ビン60と第2時間ビン62しか示されていないが、ストリーム22のそれぞれの量子ビットは第1時間ビン及び第2時間ビンを有する。
【0033】
次に図5を参照すると、2つの時間ビン60と62における直角座標空間(quadrature space)が示されており、量子ビット20の2つの数値にそれぞれ対応する量子状態は重なり合っており、このため非直交である。
【0034】
形式的な表記法では、量子ビットqは|q>=|β;α>と記される。数式の第2の「ケット(ket)」におけるそれぞれの配置はモードを表す。上記で示された状態は時間符号化に相当する。この場合、それぞれのモードは重複しない時間ビンとなる。α及びβの記号は、それぞれの時間ビンにおけるコヒーレント状態の振幅を示す。この表記法から、第1時間ビンにおける平均光子数は|α|2によって、また第2時間ビンにおける平均光子数は|β|2によって計算することが可能となる。よって、非空の弱コヒーレント状態における平均光子数μが|α|2と同等であれば、0の量子ビット値は|0>=|0;α>、1の量子ビット値は|1>=|α;1>と表記される。
【0035】
量子情報源34は、証拠の状態80としても知られる配列|d>=|δ2; δ1>も生成することもできる。証拠状態80は、第1時間ビン、第2時間ビンにおいて、それぞれ|δ1|2、|δ2|2の平均光子数を有する非空の弱コヒーレント状態82、84から構成される。おとりの配列80はビット値の符合とはならないが、特定の盗聴攻撃を防ぐために用いられる。
【0036】
量子情報源34の重要な性質は、ある特定の量子ビット20の2つの時間ビン60又は62においても、またその近隣にある量子ビットの時間ビン62又は86においても、隣接する2つの弱コヒーレント状態は必ず固定位相関係にあるという点である。これと同様に、ストリーム22において隣接する弱コヒーレント状態は位相コヒーレントであるといえる。矢印88及び89は、隣接する弱コヒーレント状態、例えば66と72、又は71と72の間の固定位相関係を示す。これは、2つの弱コヒーレント状態は、重ね合わされるとコヒーレントに干渉することを示している。このような位相コヒーレンスを示すストリーム22のパルス弱コヒーレント状態は、振幅変調器を用いて連続波レーザービームからパルスを取り出すことによって生成できる。モードロックされたレーザーによって生成されたパルスもこのような性質を有する。
【0037】
送信ステーション14における処理装置36は、乱数発生器42が提供する乱数を用いて、ストリーム22のそれぞれの量子ビット20に“0”量子ビット、“1”量子ビット又は証拠の状態80のどれを量子チャネル26で送信するかを選択する。そして、処理装置36は、それぞれの量子ビット20に対してどれが選択されたかを記録する。それぞれが選択される可能性の確率は同等である必要はなく、それぞれの量子ビットは鍵交換率を最大限にするように選択される。
【0038】
次に図2を参照すると、受信ステーション16は光学サブシステム90と処理装置92を備えてなる。処理装置92は、例えばメモリ、出力/入力ポート、中央処理管理入力装置を備え、所望の出力を生成するためにそれらに基づいて作動するコンピューター、又は装置のその他の部品と通信可能なデータ伝送及び通信機構であってもよい。光学サブシステム90は、伝送線94によって処理装置92に接続される。この伝送線94は、例えば電気信号を伝送するワイヤー又はケーブルなどを備えたものであってもよい。
【0039】
次に図6を参照として、光学サブシステム90は、少なくとも1つの入力ポート98と少なくとも2つの出力ポート100、102を備えたスイッチング装置96を有する。スイッチング装置96は、適切な反射率及び伝達率を有するカプラ、又は処理装置92によってランダムにトリガーされる光学スイッチであってもよい。スイッチング装置96の入力ポート98は量子チャネル26に接続される。第1出力ポート100は、時間に基づいて測定を行うために用いられるビット値測定装置106の検出装置104に接続される。第2出力ポート102は、ライン監視装置114における不均衡な干渉計112の入力ポート110に接続される。スイッチング装置96は、受信した量子ビット20を光路116又は118を用いてビット値測定装置106又はライン監視装置114のいずれかに送信するために用いられる。光路116及び118は、例えば光ファイバー又は自由空間光路を含んでなってもよい。干渉計112は、例えばT時間の遅延を誘発する不均衡マッハツェンダー干渉計であってもよく、単一量子ビット(71と72)又は隣接する2つの量子ビット(66と72)のいずれかにおける隣接する弱コヒーレント状態を重ね合わせるために用いられる。
【0040】
重ね合わせ状態71、72が、単一量子ビット74における2つの時間ビン60,62から得られたものならば、それは量子ビット内(intra−qubit)コヒーレンスを検証するための内部重ね合わせ(internal superposition)であるといえ、またそれが、例えば66、72などの隣接する量子ビットから得られたものならば、量子ビット間(inter−qubit)コヒーレンスを検証するための相互重ね合わせ(cross−superposition)であるといえる。干渉計112の出力ポート124、126には2つの検出装置120、122が接続される。この干渉計112の不均衡は、2つの隣接するパルスにおいて非空の弱コヒーレント状態が存在する場合、検出装置120又は122の一方(例えば検出装置122)に接続された出力ポート124又は126のどちらかに相殺的干渉が生じるように調整される。これが、(内部重ね合わせによる)証拠の状態80の場合のケースであり、(相互重ね合わせによる)“1”量子ビットの後に“0”量子ビットが続く場合のケースである。検出装置104、120,122は、量子情報源34によって生成された量子状態における2つの時間ビン、例えば60と62を判別することが可能な、例えばTよりも小さい時間分解能を有する光子計数検出器からなる。この光子計数検出器104、120、122は、例えばガイガーモードで作動されるアバランシェフォトダイオード、又は受信した信号をアップコンバートするために非線形過程を利用した装置を備えてもよい。検出装置104,120,122は、伝送線124によって処理装置92に接続される。この伝送線124は、電気信号を伝送するワイヤー又はケーブルで構成されたものでもよい。
【0041】
ビット値測定装置106は、ある光子が第1時間ビン60又は第2時間ビン62のどちらに到着したかを特定することが可能な検出装置104を備えてなる。これは本質的には、非直交状態を識別するために正定置作用素測定が行われることを意味する。量子ビット20毎の平均光子数が低いため、ビット値測定装置106は時間ビン60又は62のいずれかにおける検出を記録し損じることがある。このような場合には、測定は不確定なものとなる。検出装置104によって検出が示されると、その結果は処理装置92によって記録される。
【0042】
ライン監視装置114によって、2つの異なる量子ビット74又は76(量子ビット内コヒーレンス)、又は証拠の状態80内(量子ビット間コヒーレンス)において隣接する時間ビン60又は62の隣接する弱コヒーレント状態66と72の間の位相コヒーレンス度の監視が可能となる。2つの弱コヒーレント状態は干渉計112によって重ね合わせられ、干渉は記録される。
【0043】
次に図7の左側の列を参照すると、量子ビット値nとn+1の部分列が“11”又は“00”であった場合、干渉の時間窓(time window)においてカウントが記録される確率は、検出装置122及び120の両方において非ゼロであることが示されている。非空の弱コヒーレント状態は空の弱コヒーレント状態に重ね合わせられるため、干渉は生じず、光子は干渉計112の出力ポート124又は126のどちらかを確率的に選択する。部分列が“10”であった場合、2つの寄与は空であるため、検出装置122及び120では干渉の時間窓にカウントは記録されない。最後に、部分列が“01”であった場合、破壊的な干渉が生じるため、検出装置122ではカウントは記録されないが、一方で検出装置120では非ゼロの確率でカウントは記録される。
【0044】
次に図7の真中の列を参照すると、“01”の部分列において、盗聴者によって量子ビットの1つが取り除かれると、干渉が破壊されることが示されている。すると、検出装置122では非ゼロの確率で干渉の時間窓にカウントが記録される。これらのカウントは、下記においては警告カウント(warning counts)と称される。これは、例えば不確定な結果が出た際に盗聴者24がある量子ビット20を取り除いた場合、顕著な摂動が誘発されるということである。このような不干渉事象の発生を避けるために、盗聴者24が全ての量子ビット20をブロックした場合、通信が妨害され、送信ステーション14及び受信ステーション16に明らかに発見される。
【0045】
図7の右側の列を参照すると、1つの量子ビット値を摩り替えると、カウントが生じないはずの干渉時間窓にカウントが誘発されることが示されている。未知の量子ビット値をランダムに推測する盗聴者24は、50%の確率で間違った数値を選択する。この場合、盗聴者が警告カウントを誘発する確率は非ゼロとなる。また、盗聴者24によるこのような介入は、ビット値測定装置106によって検出される配列においても非ゼロの確率でエラーを誘発する。
【0046】
最後に、攻撃された量子ビットにおける1つの弱コヒーレント状態が近隣の量子ビットにおける隣接する弱コヒーレント状態に重ね合わせられると、量子非破壊測定は、例えば74などの単一量子ビットに属する、例えば71及び72などの2つの弱コヒーレント状態と、隣接する弱コヒーレント状態との間の位相コヒーレンスを破壊し、非ゼロの確率で警告カウントを誘発する。また同様に、例えば2つの異なる量子ビット76と74に属する66と72などの2つの弱コヒーレント状態に量子非破壊測定が行われると、これらの弱コヒーレント状態の両方と、それぞれの量子ビットにおける第2の弱コヒーレント状態との間の位相コヒーレンスは破壊される。このため、このような攻撃が証拠の状態に行われた際にも警告カウントが誘発される。量子非破壊測定による攻撃が2つの弱コヒーレント状態以上に行われた場合、位相コヒーレンスは同様に破壊され、警告カウントが誘発される。そして、検出装置120及び122による検出は、処理装置92によって記録される。
【0047】
多数の量子ビット20が交換されると、受信ステーション16はビット値測定装置106によってどの量子ビット値で確定的な結果が得られたかを古典チャネル30を通して公表する。送信ステーション14はその結果を照合し、どれが証拠の状態80で、どれがそうではないかを通知する。証拠の状態80と一致するものは、信号値を符号化しないため考慮されない。その他の量子ビット値は生鍵に加えられる。また、受信ステーション16は、どの量子ビットでライン監視装置114の検出装置120及び122による検出が記録されたかも、古典チャネル30を通して送信ステーション14に公表する。送信ステーション14は、その検出が想定されていたものかどうか、送信した量子ビット20のリストをチェックする。警告カウントの生起確率により、送信ステーション14と受信ステーション16は行われた盗聴の強度を推測することができるため、鍵について盗聴者24が入手し得た情報の量を推定することが可能となる。この推定値から、生鍵から安全な最終鍵(final key)を生成するための、例えばエラー補正やプライバシー増幅などを含む鍵純粋化過程のステップを十分にパラメータ化することができる。
【0048】
本件の装置12の別の具体案では、装置12の送信ステーション14は独立して備えられるが、受信ステーション16と相互に作動するために用いられる。
【0049】
再び図1を参照として、本件の鍵交換の方法10は以下のステップから構成される。
第1ステップ130において、送信ステーション14は量子情報源34を用いて量子ビット20を生成し、量子チャネル26を介して受信ステーション16に送信する。
第2ステップ132において、量子ビット20はスイッチング装置96(図6参照)を通過し、ビット値測定装置106又はライン監視装置114のどちらかに送信され、それぞれの関連する測定が各量子ビットのストリームにそれぞれ行われる。
第1の代案的なサブステップ134aにおいて、スイッチング装置96からビット値測定装置106に送信された量子ビット20については、それぞれの光子の到着時間が観測される。
第2の代案的なサブステップ134bにおいて、スイッチング装置96からライン監視装置114に送信された量子ビットの量子ビット内位相コヒーレンス又は量子ビット20に隣接する量子ビット間の量子ビット間位相コヒーレンスは、干渉的に測定される。サブステップ134aとサブステップ134bは、互いを除外する。
第4ステップ136において、上記サブステップにおけるそれぞれの測定で得られた結果は受信ステーション16の処理装置92によって記録される。
第5ステップ138において、方法10では、十分な数の量子ビット20のストリーム22が交換されるまで、上記のステップ130,132,134a、134bと136が繰り返して行われる。
第6ステップ140において、十分な数の量子ビット20が交換されると、ステップ134bの測定結果から量子ビット内及び量子ビット間の位相コヒーレンス度を推定することによって、交換中に行われた盗聴の度合いを測定するために、関連する情報を受信ステーション16と送信ステーション14との間で交換する。また、送信ステーション14と受信ステーション16は連携して、ステップ134aで行われたどの測定で生鍵のビットが得られたのかを明らかにする。
【0050】
生鍵だけでなく、その生鍵について盗聴者が入手し得た情報の推定値によって、鍵交換の方法10の生成物は構成される。
【0051】
本件の利点は、量子暗号通信装置12及び方法10が簡単に行える点である。この簡潔性は、量子ビット20がたった2つの非直交状態で準備されるだけでよいことに基づく。
【0052】
本件の更に別の利点は、装置12及び方法10は、量子ビット20の数値の時間符号化を用いることができる点である。非空の弱コヒーレント状態71からなる量子ビット、例えば74を2つの時間ビンのうちの1つ目の時間ビン60において準備しつつ、2つ目の時間ビン62を空に保ち、それぞれの時間ビンを量子ビット間の時間よりも短く設定することで、量子ビット値の1つを符号化することができる。その他の量子ビット値は、空の時間ビンと非空の時間ビンが入れ替えられた量子ビット、例えば76に符号化される。この場合、2つの量子状態を識別するのに最適な正定置作用素測定では、光子計数検出器による光子の到着時間の測定が必要とされるが、この測定は非常に簡単に行うことができる。
【0053】
本件のもう1つの利点は、用いられる量子状態は量子チャネル26における環境的変動に非常にロバストである点である。例えば偏光変動によってエラーは誘発されない。
【0054】
本件のもう1つの利点は、本発明が簡単に行えるため、既存の技術を用いても高速鍵交換が可能な点である。
【0055】
本件の量子暗号通信装置12及び方法10の更に別の利点は、ある量子ビット、例えば74における2つの時間ビン、例えば60と62と、ある量子ビットのペア76と74の間の2つの時間ビン、例えば86と62の間の位相コヒーレンスの干渉測定を行うことによって盗聴が監視されるため、盗聴に対してロバストである点である。とりわけ、本件の装置12及び方法10は光子数分岐攻撃に対してロバストである。この性質は、盗聴者24によって量子ビット20が取り除かれると顕著な摂動が生じることに基づく。量子ビット20のうち1つが取り除かれ、受信ステーション16がこの量子ビットと別の量子ビットのコヒーレンスを測定しようとした場合、量子ビットが除去されたことは非セロの確率で測定結果に示される。
【0056】
本件において説明された具体案には、様々な変更及び改良が加えられてもよい。本件では例として限定された具体案が開示及び説明されているが、多岐に渡る改良、変更、代替が可能である。場合によっては、本発明におけるある機能が、対応するその他の機能を用いることなく使用されることも可能である。よって、本件の上述の説明は広く解釈され、ほんの一例として挙げられたに過ぎず、本発明の精神及び範囲は添付の請求項によってのみ限定されることを考慮されたい。
【図面の簡単な説明】
【0057】
【図1】鍵配布のハイレベル・フローチャート(high−level flowchart)である。
【図2】本発明による装置の概念図である。
【図3】送信ステーションによって生成された量子ビットのストリームを示したグラフである。
【図4】送信ステーションにおける量子情報源の具体案を示した概念図である。
【図5】直角座標において、送信ステーションによって生成された非直交2状態を示した図である。
【図6】受信ステーションにおける光学サブシステムの概念図である。
【図7】受信ステーションの光学サブシステムの、干渉計の出力ポートのうち1つにおける量子系と、その量子系の1つの数値が盗聴者によって除去又は交換された際の影響を示したグラフである。
【符号の説明】
【0058】
10 方法
12 装置
14 送信ステーション
16 受信ステーション
20 量子系(量子ビット)
22 ストリーム
24 盗聴者
26 量子チャネル
30 古典チャネル
34 量子情報源
36 処理装置
40 伝送線
42 乱数発生器
44 光源
46 光路
48 振幅変調器
50 可変光減衰器
52 光路
54 パルス弱コヒーレント状態56のペア
56 パルス弱コヒーレント状態
60 時間ビン
62 時間ビン
71 非空の弱コヒーレント状態
72 空の弱コヒーレント状態
74 量子ビット
76 量子ビット
80 証拠の状態/おとりの配列
82 非空の弱コヒーレント状態
84 非空の弱コヒーレント状態
86 時間ビン
88 矢印
89 矢印
90 光学サブシステム
92 処理装置
94 伝送線
96 スイッチング装置
98 入力ポート
100 出力ポート
102 出力ポート
104 検出装置
106 ビット値測定装置
110 入力ポート
112 干渉計
116 光路
118 光路
120 検出装置
122 検出装置
124 出力ポート/伝送線
126 出力ポート/伝送線
130 第1ステップ
132 第2ステップ
134a 第1の代案のサブステップ
134b 第2の代案のサブステップ
136 第4ステップ
138 第5ステップ
140 第6ステップ
【技術分野】
【0001】
本発明は、総じて量子暗号の分野に関し、特に二者間でビット列を交換し、その秘密性を確認するための装置及び方法に関する。
【背景技術】
【0002】
二人の使用者が共有のランダムな秘密情報(以下「鍵」と記載)を所有している場合、確証された安全性をもって下記の暗号法の目的の2つを達成することができる。
1)彼らのメッセージを、盗聴者に理解不能にすること。
2)本物のメッセージを偽造もしくは変更されたメッセージから判別すること。
上記1の目的は、ワンタイムパッド暗号アルゴリズムによって達成可能であり、上記2の目的はWegman−Carter認証によって達成できる。しかし、残念なことに、どちらの暗号理論も鍵素材を破壊し、使用に適さない状態にしてしまう。よって、これらの一方もしくは両方の暗号技術を用いて交換するメッセージを保護したいと望む二者は、新しい鍵素材を交換する方法を考え出す必要がある。第1の可能性として、一方の使用者が鍵を生成して、もう一方の使用者に伝える前に物理的な媒体(ディスク、CD−ROM、ROMなど)に記録する方法がある。この方法の問題は、鍵が生成及び使用され、最後に破棄されるまでの期間、常に保護されるかどうかによって、その安全性が依存する点にあり、また、非実用的で非常に面倒でもある。
【0003】
これらの問題により、多くの場合、安全ではない通信チャネルを通して2つのメンバーが共有の秘密に合意することが可能な純粋な数学的方法が用いられる。残念なことに、鍵合意のための全ての数学的方法は、大数の因数分解の困難性などの確証のない仮定に基づくところが大きい。よって、これらの安全性は限定されており不確かなものと言える。これらが全く安全ではないことは、さらなる数学の発展によって証明されるだろう。
【0004】
量子暗号法(QC)は、確証された絶対的な安全性をもって、送信側と受信側という離れた2つのメンバーの間で安全鍵の交換を可能にする方法である。この方法の詳しい説明は、Nicolas Gisin, Gregoire Ribordy, Wolfgang Tittel及びHugo Zbindenによる「Quantum Cryptography」、Rev.of Mod.Phys.74(2002)に記載されており、その内容は参照することにより本件に組み込まれる。一方のメンバー(送信側)は、量子系を対応する量子状態で準備することによって、光子などの量子系における鍵のそれぞれの2進数(又はビット)の数値を符号化する。鍵のビットを含む量子系は量子ビットと呼ばれる。量子ビットは、光ファイバーなどの量子チャネルを介して、それぞれの量子ビットがどの量子状態で準備されたかを特定するために量子測定を行うもう一方のメンバー(受信側)に伝送される。このときの測定結果は記録され、鍵の生成に用いられる。この方法の安全性は、未知の量子系の量子状態を測定するとその系に変化をきたすという周知の事実に基づく。すなわち、量子チャネルを盗聴するスパイは、送信側と受信側の間で交換される鍵に誤差を起こすことなく、情報を得ることができないのである。また、同様の意味で、スパイは伝送される量子系を複製し、完璧なコピーを受信側に送信することが不可能であるという量子力学における量子複製不可能定理によって、QCの安全性は保証される。
【0005】
QCには、いくつかのプロトコルが存在する。プロトコルとは、量子状態の集合を用いてどのようにビット値が量子系に符号化され、鍵を生成するために送信側と受信側がどのように連携するかを説明するものである。これらのプロトコルの中で最も一般的に用いられ、また最初に考案されたのは、Charles Bennet, Gilles Brassard in Proceedings IEEE Int. Conf. On Computers, Systems and Signal Processing, Bangalore, India(IEEE, New York, 1984)、pp.175−179に開示され、参照することにより本件に組み入れられるBennett−Brassard 84 protocol(BB84)と呼ばれるものだ。送信側は、量子ビットを準備するために、送信したいそれぞれのビットを二準位系に符号化する。それぞれの量子ビットは、σx(“0”の場合は|+χ〉符号化、“1”の場合は|−χ〉符号化)の固有状態、又はσy(同様に|+у〉又は|−у〉)の固有状態として準備される。量子ビットは、2つの互換性のない基底に符号化されると言われている。送信側は、適切な乱数発生器を用いてそれぞれの量子ビットにつき、ビット値(1ランダムビット)及び基底情報(1ランダムビット)を特定するために用いられる情報のランダムビットを2つ生成する。それぞれの量子ビットは、量子チャネルを介して受信側へ送信され、2つのうち1つの基準に基づいて分析される(すなわち、σxかσyか測定される)。
【0006】
受信側は、適切な乱数発生器を用いて、測定基底(基底情報)を特定するための情報のランダムビットを生成する。測定基底は、各量子ビットにランダムに選択される。多数の量子系の交換が行われると、送信側と受信側は基底照合と呼ばれる作業を行う。まず、送信側は、古典的な公共の通信チャネルを通して、それぞれの量子ビットが準備された基底がxであるかyであるか(固有状態σxかσyか)を通知する。受信側が送信側と同様の基底を測定に用いた場合、受信側は自分が測定したビット値は送信側が送信したものであることが分かるので、受信側はどの量子ビットの条件が満たされたかを公表する。そのビットが、いわゆる生鍵(raw key)を構成する。
【0007】
誤った基底が用いられた測定結果は、単に廃棄される。スパイが存在しなかった場合、共有されたビット列はエラーフリーとなる。交換される量子ビット列に関する情報を入手しようとするスパイは、いくつかの攻撃の中から選択することも可能だが、鍵に顕著な摂動を生じさせることなく行うことは不可能であり、これは量子物理学の法則によって保証される。BB84の安全性は、送信側が送信した量子ビットは互換性のない基底に属する量子状態で準備されるという事実に基づく。よって、盗聴者は完全な確信をもって、ある特定の量子ビットの量子状態を特定することは不可能となる。一般的には、BB84は少なくとも2つの互換性のない基底の量子状態が少なくとも2つ用いられるプロトコルの種類に属する。
【0008】
実際には、使用者が用いる装置は不完全であり、盗聴者による量子ビットの相互作用がない場合でも、ビット列には多少のエラーが生じてしまう。そんな場合においても秘密鍵の生成を可能にするため、プロトコルの基底照合の作業は他のステップを付加することにより補完される。この全体的な作業は、鍵純粋化(key distillation)と呼ばれる。送信側と受信側は、通信の秘密性を測定するために、ビット列のサンプルの、量子誤り率(QBER)としても知られる摂動の度合いを確認する。誤り率が大きくなければ、生鍵から、純粋化された鍵(distilled key)としても知られる安全鍵を純粋化する妨げにはならない。盗聴者が入手し得る情報量を任意の低レベルに抑えることが可能な、いわゆるプライバシー増幅アルゴリズムを2つのメンバーが適用する前は、エラーは正しい場合もある。
【0009】
その他にもいくつかの量子暗号プロトコルの提案がされている。1992年にCharles Bennetは、量子ビットは2つの非直交状態のうち1つを用いて準備するだけで十分であることを示し、Phys. Rev. Lett. 68, 3121(1992)においてB92と呼ばれるプロトコルを公表し、その内容は参照することにより本件に組み込まれる。このプロトコルでは、送信側は非直交状態の2つの純粋状態|u1>又は<|u2のうちの1つの状態の量子ビットを繰り返し送信する。受信側は、それがどっちの状態であるか確定的には判別できない。しかし、正定置作用素測定としても知られ、解答が出ない場合もあるがその以外の場合では正しい解答を出す一般化測定(正式には、この測定は2つの射影子(projector)P1=1−|u2><u2|又はP2=1−|u1><u1|の集合である)を行うこともできる。そして量子ビットの測定結果を用いて鍵ビットが生成される。
【0010】
このプロトコルには2つの状態しか必要ないということは、実際に簡単に実行できるということを意味する。しかしながら、重要なのは盗聴者も一般化測定を行えるということである。盗聴者は、解答が得られた場合にはその状態に応じて準備された量子ビットを送信することもできるし、結果が確定的でなければ何も行わないこともできる。量子チャネルの減衰と限られた検出率のせいで、受信側は送信側が送信した量子ビットのほんの僅かしか検出しないことを予期してしまうため、このような攻撃は実際の装置においてとりわけ威力を発揮する。しかし、実際に行われるように、純粋状態|u1>又は<|u2の代わりに混合状態ρ1及びρ2が用いられると、選択された混合状態がヒルベルト空間の2つの互いに素な部分空間(disjoint subspace)に必ず及ぶようにすることで、この攻撃を阻むことが可能となる。これにより受信側は、P1はρ2を、P2はρ1を無効にするが、どちらの演算子も量子状態を無効にしないような2つの演算子P1及びP2を見つけることができる。これによって、盗聴者が混合状態ρ1及びρ2のいずれか一方の代わりに真空状態を送信した場合も、受信側は非ゼロの確率でエラーを示す確定的な測定結果を記録することが保証される。多数の量子ビットを観測する場合においても、非ゼロの確率によって測定可能な誤り率が生じる。
【0011】
過去10年間に、光子を量子ビットとし、光ファイバーを量子チャネルとして用いた量子暗号通信装置のデモンストレーションがいくつか行われた。それらが実用されるには、操作が簡単であり、かつ現在の技術的制限にもかかわらず高速な鍵交換が行えることが重要となる。このような検討材料は、量子暗号通信装置及び量子ビットが準備される量子状態の集合の選択に影響する。電磁界の偏光状態は、量子暗号を行うには最適の候補になり得るが、実用では光ファイバーに量子ビットを伝送させる場合には使用が難解となる。それは実際に、光ファイバーが通常偏光状態の変換を誘発するためである。逆に、タイミング情報に関しては非常に安定しており、簡単な量子暗号装置を操作する際に用いられることもある。
【0012】
Debuisschert et.al.は、Physical Review A 70,042306(2004)において、時間符号化(time coding)プロトコルの類を提案し、その内容は、参照することで本件に組み込まれる。このプロトコルで最も簡単なものは、送信側がそれぞれのビットに単一光子パルスを送信するもので、ビット値の1つ、例えば“0”が遅延のないパルス(undelayed pulse)によって符号化され、“1”が遅延パルス(delayed pulse)によって符号化される。このとき、遅延値はパルス期間よりも小さくされる。受信側は時間基準に関連して光子の到着時間を測定し、事象の集合を3つ特定する。第1集合は、遅延のないパルスからのみ検出されるものを含み、“0”値ビットとして数えられる。第2集合は、遅延パルスからのみ検出されるものを含み、“1”値ビットとして数えられる。最後に、第3集合は、遅延のないパルスと遅延パルスの両方から検出されるものを含み、これらは不確定な結果に相当するため廃棄される。
【0013】
受信側はパルスを干渉計にも送信し、それらの期間を干渉計測により測定することもある。このプロトコルの安全性は、盗聴者は不確定な結果が出ると、受信側に送信する量子状態を必ず推測から判断しなければならず、その場合、非ゼロの確率でエラーを誘発するという事実に基づいている。パルス期間を干渉計測することで、受信側に測定結果を出させるために、盗聴者が元のパルスよりも短いパルスを送信することが防がれる。さらに、何の情報も含まない2つの付加的な遅延パルスを用いることで、盗聴者に補足的な対称制約を与え、量子チャネル減衰が悪用されるのを防ぐことができる。
【0014】
最初の量子暗号法の提案では、鍵を符号化するための量子ビットとして単一光子の使用が提示されていたが、その生成は困難であり、良質な単一光子源はいまだ存在しない。その代わりに、理想的な量子ビットの近似として弱コヒーレント状態を送信側と受信側の間で交換する手法が、簡潔さを考慮した結果、多くの実施において用いられた。コヒーレント状態とはコヒーレントに重ね合わせられた光子状態から構成されることを言い、すなわち、コヒーレント状態の内部の異なる光子状態の素子の間では、固定位相関係(fixed phase relationship)が成り立っていると言える。このような状態の説明には、その振幅及びグローバル位相(global phase)を知っているだけで十分である。コヒーレント状態は、振幅が小さいと弱くなるといわれており、弱コヒーレント状態はレーザー光を減衰することで生成することができる。
【0015】
実用において、単一光子の代わりに弱コヒーレント状態が用いられるということは、光子数分岐(PNS)攻撃と呼ばれる非常に強力な攻撃を盗聴者から受ける可能性もあることを意味する。まず、盗聴者はそれぞれの弱パルスに含まれる光子数を測定するために量子非破壊測定を行う。そして、ちょうど1つの光子がパルスに含まれる場合、それをブロックする。2つの光子がパルスに含まれる場合、一方の光子を受信側に送信しつつ、もう一方を盗んで量子メモリに保存する。最後に、プロトコルの基底照合の後、盗聴者は保存してあった光子の量子状態を測定する。この段階で、送信側によって送信された量子状態の完全な情報を得るためにはどの測定を行えばよいかは、盗聴者には知られてしまう。盗聴はパルスの一部がブロックされると受信側による検出率が低下することで発見されてしまうため、光子の1つを抜き取った多光子パルスを受信側に送信するために完全な無損失チャネル(量子暗号において、盗聴者は物理的な制限は受けるが、技術的な制限は受けない)を用いることで発見を防ぐ。受信側は、量子チャネル減衰及び限られた検出性能のせいで、光子の一部しか検出しないことを想定しているため、光子数分岐盗聴は実社会においてとりわけ威力を持つ。そのため、これらの攻撃に耐性のある量子暗号通信装置及びプロトコルを考案することは重要となる。
【0016】
盗聴者による光子数分岐攻撃が行われる可能性を低下させるいくつかの方法が提案された。Physical Review Letters 91,057901(2003)のHwang W.Y.、Physical Review Letters 94,230503(2005)のWang X.B.及びPhysical Review Letters 94,230504(2005)のLo H.K.et al.は、おとりの量子状態を用いることを提案しており、その内容は参照することにより本件に組み入れられる。また、H.Takesue et al.による「105kmのファイバーを用いた差動位相シフト量子鍵配送実験(Differential phase shift quantum key distribution experiment over 105km fiber)」において、光子数分岐攻撃に抵抗力のある新規のプロトコルも提案されており、その内容は参照により本件に組み込まれる。Takasue et al.は、ビット値を符号化するために、無限ストリーム(infinite stream)において時間Tだけ隔てられ、Tよりも小さいとされる期間tを有する2つの隣接する弱コヒーレント状態の間の2つ(0、π)の位相差を利用したプロトコルを発表した。このストリームにおいては、2つの弱コヒーレント状態は位相コヒーレントであるという。受信側は差動位相を特定するために干渉的な測定を行い、ビット値を定める。
【0017】
このプロトコルの安全性は、それぞれの差動位相値と一致する2つの量子状態は非直交であるという事実に基づく。ビット値を測定しようとする盗聴者は、不確定な結果を得ることがあり、その場合にはどの状態を送信するか推測によって判断しなければならない。すると、非ゼロの確率でエラーを誘発する。逆に、不確定な結果を得たら受信側に何も送信しないことを選ぶと、隣接する弱コヒーレント状態にかかる干渉を抑制してしまい、非ゼロの確率でエラーを誘発する。このプロトコルにおいて、ビット値は隣接する量子状態の間の位相差に符号化されているため、個々の弱コヒーレント状態に対して光子数分岐攻撃を行うことは明らかに無意味である。光子数分岐攻撃を成功させるには、隣接する2つの弱コヒーレント状態における光子数を測定する必要があるが、そうすると近隣のその他の量子状態との位相コヒーレンスが破壊されるため、非ゼロの確率でエラーを誘発する。
【発明の開示】
【発明が解決しようとする課題】
【0018】
本発明における装置及び方法は、生鍵とも呼ばれるビット列を送信側と受信側の間で交換し、生鍵に関して盗聴者が入手し得た情報の最大量を推定するために提供される。後に生鍵は、適切な鍵純粋化の過程を経て安全鍵として純粋化される。
【課題を解決するための手段】
【0019】
本件の方法はいくつかのステップから構成される。方法における第1ステップでは、量子情報源によって生成され、かつストリームにおいて隣接する2つの量子ビットは固定位相関係にあり、それぞれの量子ビットが非直交状態ではない2つの状態のうち1つの状態で準備された量子ビットのストリームが、送信側を介して送信される。第2ステップでは、正定値作用素測定と呼ばれる1つ目の測定が受信側を介して量子ビットの一部に行われ、それらがどの状態で送信側によって準備されたかを特定しようとする。第3ステップでは、2つめの測定が受信側を介して量子ビットのペアに行われ、2つの間の位相関係のコヒーレンス度が推定される。第4ステップでは、生鍵の生成に役立てられるように、どの量子ビットが正定値作用素測定で確定的な結果が得られたかが受信側を介して通知される。第5ステップでは、古典チャネルを介した通信及び送信側と受信側間の連携によって、ストリームの量子ビットの間のコヒーレンス度が測定され、生鍵について盗聴者が入手し得た情報の量が推定される。
【0020】
この量子暗号通信装置及び方法の第1の利点は、それが簡単に行えることである。その簡潔性は、量子ビットがたった2つの非直交状態で準備されるだけでよいことに由来する。それに加え、本件の装置及び方法は、量子ビット値の時間符号化を用いることを可能とする。ビット値の1つは、それぞれの間の時間よりも短いとされる2つの時間ビンのうち2つ目の時間ビンを空に保ちつつ、1つ目の時間ビンに非空(non−empty)の弱コヒーレント状態からなる量子ビットを準備することによって符号化される。その他のビット値は、空の時間ビンと非空の時間ビンが入れ替えられた量子ビットに符号化される。また、送信側によって送信される2つの量子ビットは固定位相関係(すなわち、位相コヒーレント)でなくてはならない。その場合、2つの状態を判別するための最適な正定値作用素測定の1つに、光子計数検出器を用いて光子の到着時間を測定する方法がある。この測定法は非常に簡単に行うことができる。また、これらの量子状態は量子チャネルにおける環境変動に非常にロバストであり、例えば偏光変動などによってエラーが誘発しない。そして、簡単に行えるので、既存の技術でも高速鍵交換が可能となる。盗聴は、受信側が2つの量子状態の2つの時間ビンの間の位相コヒーレンスを干渉計測することにより監視される。
【0021】
本件の量子暗号通信装置及び方法の第2の利点は、光子数分岐攻撃に対してロバストな点である。これは、盗聴者によって量子ビットが取り除かれると顕著な摂動が生じることに基づく。もし量子ビットの1つが取り除かれ、受信側がその量子ビットと他のビットとの間のコヒーレンスを測定した場合、測定結果は非ゼロの確率で量子ビットが取り除かれたことを示す。
【0022】
本件のその他の課題及び利点は、添付の図面を参照として、一例としての本件の具体案が開示された以下の説明から明らかになる。
【発明を実施するための最良の形態】
【0023】
図1及び2を参照すると、本件の方法10及び装置12は、送信ステーション14と受信ステーション16の間で、生鍵(例えば、101100101001111001001010…01010100などのデータ列)を伝送するための図3で示される量子系(すなわち量子ビット)20のストリーム22に符号化された信号列を交換し、送信ステーション及び受信ステーションが生鍵について盗聴者24が入手し得た情報の最大量を測定するために提供される。後に生鍵は、周知である適切な鍵純粋化過程を経て純粋化され、安全鍵(10011000…1100などの生鍵のデータ列よりも少ない桁数を有する純粋化されたデータ列)が生成される。
【0024】
送信ステーション14と受信ステーション16は量子チャネル26及び古典チャネル30によって接続される。信号値は、ある特定の量子状態(データ状態とも呼ばれる)で量子系を準備することによって符号化される。送信ステーション14と受信ステーション16の間で交換される量子系は、どんなアルファベットの記号が用いられようと、量子ビットと呼ばれる。
【0025】
また、用いられる量子系は直交状態ではない。これは、量子物理学の法則によると、ある量子ビットを100%の確率で特定するには、その量子ビットがどの量子状態で準備されたかを考慮することが不可欠であることを意味する。よって、p<1の確率で確定的な結果を、1−pの確率で不確定な結果を得られる一般化測定を行うのが最良の方法となる。そのため、受信ステーション16は、送信ステーション14から送信された量子状態及び信号のほんの一部しか特定することができない。この原理は盗聴者24にとっても同様であり、不確定な結果が出た場合、盗聴者24は量子状態を推測して送信するか、何も送信しないかのどちらかを選択しなければならない。
【0026】
盗聴者24が量子状態を推測して送信した場合、ストリーム22の量子ビット20を測定することにより、生成される信号列20において非ゼロの確率でエラーを誘発する。後に、このエラーを検出するためのいわゆる鍵純粋化位相(key distillation phase)を行う際、送信ステーション14と受信ステーション16は連携して動作する。盗聴者24が、不確定な結果が出た際にその代わりを何も送信しなかった場合、状況はより難解となる。なぜなら、それが盗聴者によるものか、損失性の量子チャネル26の量子吸収によるものか判別することは不可能なためである。このため、送信ステーション14及び受信ステーション16がこの類の攻撃に気付くような手段を付加する必要がある。その手段としては、まず2つの量子ビット20の間でコヒーレント位相関係が成り立ち、ストリーム22において十分近隣に位置するように送信ステーション14が設定される。送信ステーションは時折、適切な測定(例えば干渉測定など)を行って、ランダムに選択された2つの量子系の間でコヒーレント位相関が成り立っているかを確認する。量子ビット20の除去、又は位相関係の破壊は、非ゼロの確率で検知可能な摂動を生誘発する。
【0027】
残念なことに、盗聴者24にはさらに別の可能性も残されている。盗聴者は、2つの量子ビット間の間隔にわたって、信号値を符号化するために用いられる量子的性質に、コヒーレンス測定を行うことができる。この攻撃を用いると、完全な情報が得られるうえに、量子ビット間のコヒーレンス関係を破壊することがないためアラームを誘発することもない。このため、送信ステーション14及び受信ステーション16がこのような攻撃に気付くことができる手段を付加する必要がある。その手段として、まず送信ステーションはデータ状態で準備されたいくつかの量子ビットの間に、上記データ状態とは非直交で、かつ重ね合わせでない状態で準備された、証拠の状態(witness state)としても知られる量子系を付加する。このような証拠の状態で準備された量子系は、下位の量子ビット(qubits below)とも呼ばれる。データ状態で準備された量子ビット20に実行されるとそのデータ状態を特定することができる測定が、証拠の状態に行われたどうかを判別することが可能な測定が少なくとも1つ存在する。受信ステーション16は、この測定をいくつかの量子ビット20にランダムに行う。それらの量子ビット20の一部は証拠の状態で準備されるため、量子ビットの間隔における攻撃を特定することが可能となる
【0028】
以上をまとめると、本件における方法10及び装置12は以下の3つの原理に基づく:
第1に、非直交状態で準備され、近隣の状態とコヒーレント位相関係にある量子ビット20を用いること。
第2に、コヒーレント位相関係がまだ成り立っているかどうかを、数ペアの量子ビットで確認を行うこと。
第3に、量子系の間隔にわたって行われる攻撃を見破る介助をするための、証拠の状態と呼ばれる状態で準備された量子ビットを用いること。
本発明における、信号値の時間符号化と時間ビンにおける電磁界のパルス弱コヒーレント状態とを用いた方法10及び装置12の具体案は、以下に記載される。
【0029】
図2を参照として、量子チャネル26と古典チャネル30によって接続された送信ステーション14及び受信ステーション16を含んで構成される装置12の具体案の一例が示される。上記量子チャネル26は、例えば専用光ファイバーや、波長分割多重光通信システムのチャネルであってもよい。上記古典チャネル30は、例えばインターネットや、明るい光パルス(bright optical pulses)を伝送する第2光ファイバーであってもよい。
【0030】
受信ステーション14は、処理装置36によって制御された量子情報源34を備える。処理装置36は、メモリ、出力/入力ポート、中央処理管理入力装置を備え、所望の出力を生成するためにそれらに基づいて作動するコンピューター、又は装置のその他の部品と通信可能なデータ伝送及び通信機構であってもよい。量子情報源34は、伝送線40によって処理装置36に接続される。この伝送線40は、例えば電気信号を伝送するワイヤー又はケーブルなどを備えたものであってもよい。処理装置36には、さらに乱数発生器42が接続される。
【0031】
次に図4を参照すると、量子情報源34には、光路46によって振幅変調器48に接続された光源44が備わってなる。光源44は、例えばモードロックされたレーザーや連続波レーザーなどから形成されてもよい。量子情報源34には、量子ビット20の全体的な振幅を調整するために、光路52によって振幅変調器48に接続された可変光減衰器50が備わってもよい。光路46及び52は、例えば光ファイバーや自由空間光路(free space optics paths)を構成してもよい。量子情報源34の出力は、放射光が量子チャネルに入射されるように、量子チャネル26に接続される。
【0032】
図3を参照として、量子情報源34は量子ビット20のストリーム22を生成する。それぞれの量子ビット20は、期間tを有する時間ビン60と62において、減衰されたレーザーパルスなどの電磁界のパルス弱コヒーレント状態56の1つのペア54から構成される。ある特定の量子ビット20において、時間ビン60の中間と62の中間は、tよりも大きいとされる時間T1だけ隔たれる。量子ビット20の2つ目のパルス弱コヒーレント状態72の中間は、次の量子ビット20の1つ目のパルス弱コヒーレント状態の中間から、tよりも大きいとされる時間T2だけ隔たれる。原理上は、T1とT2は同等である必要はないが、以下においては便宜上T1=T2=Tであると仮定する。“0”ビット値が付された量子ビット74は、第1時間ビン60においてプロトコルの安全を保証するように選択されたμの平均光子数を有する非空の弱コヒーレント状態71と、第2時間ビン62においてプロトコルの安全を保証するように選択されたμの平均光子数を有する空の弱コヒーレント状態72とから構成される。図3には、量子ビット74における第1時間ビン60と第2時間ビン62しか示されていないが、ストリーム22のそれぞれの量子ビットは第1時間ビン及び第2時間ビンを有する。
【0033】
次に図5を参照すると、2つの時間ビン60と62における直角座標空間(quadrature space)が示されており、量子ビット20の2つの数値にそれぞれ対応する量子状態は重なり合っており、このため非直交である。
【0034】
形式的な表記法では、量子ビットqは|q>=|β;α>と記される。数式の第2の「ケット(ket)」におけるそれぞれの配置はモードを表す。上記で示された状態は時間符号化に相当する。この場合、それぞれのモードは重複しない時間ビンとなる。α及びβの記号は、それぞれの時間ビンにおけるコヒーレント状態の振幅を示す。この表記法から、第1時間ビンにおける平均光子数は|α|2によって、また第2時間ビンにおける平均光子数は|β|2によって計算することが可能となる。よって、非空の弱コヒーレント状態における平均光子数μが|α|2と同等であれば、0の量子ビット値は|0>=|0;α>、1の量子ビット値は|1>=|α;1>と表記される。
【0035】
量子情報源34は、証拠の状態80としても知られる配列|d>=|δ2; δ1>も生成することもできる。証拠状態80は、第1時間ビン、第2時間ビンにおいて、それぞれ|δ1|2、|δ2|2の平均光子数を有する非空の弱コヒーレント状態82、84から構成される。おとりの配列80はビット値の符合とはならないが、特定の盗聴攻撃を防ぐために用いられる。
【0036】
量子情報源34の重要な性質は、ある特定の量子ビット20の2つの時間ビン60又は62においても、またその近隣にある量子ビットの時間ビン62又は86においても、隣接する2つの弱コヒーレント状態は必ず固定位相関係にあるという点である。これと同様に、ストリーム22において隣接する弱コヒーレント状態は位相コヒーレントであるといえる。矢印88及び89は、隣接する弱コヒーレント状態、例えば66と72、又は71と72の間の固定位相関係を示す。これは、2つの弱コヒーレント状態は、重ね合わされるとコヒーレントに干渉することを示している。このような位相コヒーレンスを示すストリーム22のパルス弱コヒーレント状態は、振幅変調器を用いて連続波レーザービームからパルスを取り出すことによって生成できる。モードロックされたレーザーによって生成されたパルスもこのような性質を有する。
【0037】
送信ステーション14における処理装置36は、乱数発生器42が提供する乱数を用いて、ストリーム22のそれぞれの量子ビット20に“0”量子ビット、“1”量子ビット又は証拠の状態80のどれを量子チャネル26で送信するかを選択する。そして、処理装置36は、それぞれの量子ビット20に対してどれが選択されたかを記録する。それぞれが選択される可能性の確率は同等である必要はなく、それぞれの量子ビットは鍵交換率を最大限にするように選択される。
【0038】
次に図2を参照すると、受信ステーション16は光学サブシステム90と処理装置92を備えてなる。処理装置92は、例えばメモリ、出力/入力ポート、中央処理管理入力装置を備え、所望の出力を生成するためにそれらに基づいて作動するコンピューター、又は装置のその他の部品と通信可能なデータ伝送及び通信機構であってもよい。光学サブシステム90は、伝送線94によって処理装置92に接続される。この伝送線94は、例えば電気信号を伝送するワイヤー又はケーブルなどを備えたものであってもよい。
【0039】
次に図6を参照として、光学サブシステム90は、少なくとも1つの入力ポート98と少なくとも2つの出力ポート100、102を備えたスイッチング装置96を有する。スイッチング装置96は、適切な反射率及び伝達率を有するカプラ、又は処理装置92によってランダムにトリガーされる光学スイッチであってもよい。スイッチング装置96の入力ポート98は量子チャネル26に接続される。第1出力ポート100は、時間に基づいて測定を行うために用いられるビット値測定装置106の検出装置104に接続される。第2出力ポート102は、ライン監視装置114における不均衡な干渉計112の入力ポート110に接続される。スイッチング装置96は、受信した量子ビット20を光路116又は118を用いてビット値測定装置106又はライン監視装置114のいずれかに送信するために用いられる。光路116及び118は、例えば光ファイバー又は自由空間光路を含んでなってもよい。干渉計112は、例えばT時間の遅延を誘発する不均衡マッハツェンダー干渉計であってもよく、単一量子ビット(71と72)又は隣接する2つの量子ビット(66と72)のいずれかにおける隣接する弱コヒーレント状態を重ね合わせるために用いられる。
【0040】
重ね合わせ状態71、72が、単一量子ビット74における2つの時間ビン60,62から得られたものならば、それは量子ビット内(intra−qubit)コヒーレンスを検証するための内部重ね合わせ(internal superposition)であるといえ、またそれが、例えば66、72などの隣接する量子ビットから得られたものならば、量子ビット間(inter−qubit)コヒーレンスを検証するための相互重ね合わせ(cross−superposition)であるといえる。干渉計112の出力ポート124、126には2つの検出装置120、122が接続される。この干渉計112の不均衡は、2つの隣接するパルスにおいて非空の弱コヒーレント状態が存在する場合、検出装置120又は122の一方(例えば検出装置122)に接続された出力ポート124又は126のどちらかに相殺的干渉が生じるように調整される。これが、(内部重ね合わせによる)証拠の状態80の場合のケースであり、(相互重ね合わせによる)“1”量子ビットの後に“0”量子ビットが続く場合のケースである。検出装置104、120,122は、量子情報源34によって生成された量子状態における2つの時間ビン、例えば60と62を判別することが可能な、例えばTよりも小さい時間分解能を有する光子計数検出器からなる。この光子計数検出器104、120、122は、例えばガイガーモードで作動されるアバランシェフォトダイオード、又は受信した信号をアップコンバートするために非線形過程を利用した装置を備えてもよい。検出装置104,120,122は、伝送線124によって処理装置92に接続される。この伝送線124は、電気信号を伝送するワイヤー又はケーブルで構成されたものでもよい。
【0041】
ビット値測定装置106は、ある光子が第1時間ビン60又は第2時間ビン62のどちらに到着したかを特定することが可能な検出装置104を備えてなる。これは本質的には、非直交状態を識別するために正定置作用素測定が行われることを意味する。量子ビット20毎の平均光子数が低いため、ビット値測定装置106は時間ビン60又は62のいずれかにおける検出を記録し損じることがある。このような場合には、測定は不確定なものとなる。検出装置104によって検出が示されると、その結果は処理装置92によって記録される。
【0042】
ライン監視装置114によって、2つの異なる量子ビット74又は76(量子ビット内コヒーレンス)、又は証拠の状態80内(量子ビット間コヒーレンス)において隣接する時間ビン60又は62の隣接する弱コヒーレント状態66と72の間の位相コヒーレンス度の監視が可能となる。2つの弱コヒーレント状態は干渉計112によって重ね合わせられ、干渉は記録される。
【0043】
次に図7の左側の列を参照すると、量子ビット値nとn+1の部分列が“11”又は“00”であった場合、干渉の時間窓(time window)においてカウントが記録される確率は、検出装置122及び120の両方において非ゼロであることが示されている。非空の弱コヒーレント状態は空の弱コヒーレント状態に重ね合わせられるため、干渉は生じず、光子は干渉計112の出力ポート124又は126のどちらかを確率的に選択する。部分列が“10”であった場合、2つの寄与は空であるため、検出装置122及び120では干渉の時間窓にカウントは記録されない。最後に、部分列が“01”であった場合、破壊的な干渉が生じるため、検出装置122ではカウントは記録されないが、一方で検出装置120では非ゼロの確率でカウントは記録される。
【0044】
次に図7の真中の列を参照すると、“01”の部分列において、盗聴者によって量子ビットの1つが取り除かれると、干渉が破壊されることが示されている。すると、検出装置122では非ゼロの確率で干渉の時間窓にカウントが記録される。これらのカウントは、下記においては警告カウント(warning counts)と称される。これは、例えば不確定な結果が出た際に盗聴者24がある量子ビット20を取り除いた場合、顕著な摂動が誘発されるということである。このような不干渉事象の発生を避けるために、盗聴者24が全ての量子ビット20をブロックした場合、通信が妨害され、送信ステーション14及び受信ステーション16に明らかに発見される。
【0045】
図7の右側の列を参照すると、1つの量子ビット値を摩り替えると、カウントが生じないはずの干渉時間窓にカウントが誘発されることが示されている。未知の量子ビット値をランダムに推測する盗聴者24は、50%の確率で間違った数値を選択する。この場合、盗聴者が警告カウントを誘発する確率は非ゼロとなる。また、盗聴者24によるこのような介入は、ビット値測定装置106によって検出される配列においても非ゼロの確率でエラーを誘発する。
【0046】
最後に、攻撃された量子ビットにおける1つの弱コヒーレント状態が近隣の量子ビットにおける隣接する弱コヒーレント状態に重ね合わせられると、量子非破壊測定は、例えば74などの単一量子ビットに属する、例えば71及び72などの2つの弱コヒーレント状態と、隣接する弱コヒーレント状態との間の位相コヒーレンスを破壊し、非ゼロの確率で警告カウントを誘発する。また同様に、例えば2つの異なる量子ビット76と74に属する66と72などの2つの弱コヒーレント状態に量子非破壊測定が行われると、これらの弱コヒーレント状態の両方と、それぞれの量子ビットにおける第2の弱コヒーレント状態との間の位相コヒーレンスは破壊される。このため、このような攻撃が証拠の状態に行われた際にも警告カウントが誘発される。量子非破壊測定による攻撃が2つの弱コヒーレント状態以上に行われた場合、位相コヒーレンスは同様に破壊され、警告カウントが誘発される。そして、検出装置120及び122による検出は、処理装置92によって記録される。
【0047】
多数の量子ビット20が交換されると、受信ステーション16はビット値測定装置106によってどの量子ビット値で確定的な結果が得られたかを古典チャネル30を通して公表する。送信ステーション14はその結果を照合し、どれが証拠の状態80で、どれがそうではないかを通知する。証拠の状態80と一致するものは、信号値を符号化しないため考慮されない。その他の量子ビット値は生鍵に加えられる。また、受信ステーション16は、どの量子ビットでライン監視装置114の検出装置120及び122による検出が記録されたかも、古典チャネル30を通して送信ステーション14に公表する。送信ステーション14は、その検出が想定されていたものかどうか、送信した量子ビット20のリストをチェックする。警告カウントの生起確率により、送信ステーション14と受信ステーション16は行われた盗聴の強度を推測することができるため、鍵について盗聴者24が入手し得た情報の量を推定することが可能となる。この推定値から、生鍵から安全な最終鍵(final key)を生成するための、例えばエラー補正やプライバシー増幅などを含む鍵純粋化過程のステップを十分にパラメータ化することができる。
【0048】
本件の装置12の別の具体案では、装置12の送信ステーション14は独立して備えられるが、受信ステーション16と相互に作動するために用いられる。
【0049】
再び図1を参照として、本件の鍵交換の方法10は以下のステップから構成される。
第1ステップ130において、送信ステーション14は量子情報源34を用いて量子ビット20を生成し、量子チャネル26を介して受信ステーション16に送信する。
第2ステップ132において、量子ビット20はスイッチング装置96(図6参照)を通過し、ビット値測定装置106又はライン監視装置114のどちらかに送信され、それぞれの関連する測定が各量子ビットのストリームにそれぞれ行われる。
第1の代案的なサブステップ134aにおいて、スイッチング装置96からビット値測定装置106に送信された量子ビット20については、それぞれの光子の到着時間が観測される。
第2の代案的なサブステップ134bにおいて、スイッチング装置96からライン監視装置114に送信された量子ビットの量子ビット内位相コヒーレンス又は量子ビット20に隣接する量子ビット間の量子ビット間位相コヒーレンスは、干渉的に測定される。サブステップ134aとサブステップ134bは、互いを除外する。
第4ステップ136において、上記サブステップにおけるそれぞれの測定で得られた結果は受信ステーション16の処理装置92によって記録される。
第5ステップ138において、方法10では、十分な数の量子ビット20のストリーム22が交換されるまで、上記のステップ130,132,134a、134bと136が繰り返して行われる。
第6ステップ140において、十分な数の量子ビット20が交換されると、ステップ134bの測定結果から量子ビット内及び量子ビット間の位相コヒーレンス度を推定することによって、交換中に行われた盗聴の度合いを測定するために、関連する情報を受信ステーション16と送信ステーション14との間で交換する。また、送信ステーション14と受信ステーション16は連携して、ステップ134aで行われたどの測定で生鍵のビットが得られたのかを明らかにする。
【0050】
生鍵だけでなく、その生鍵について盗聴者が入手し得た情報の推定値によって、鍵交換の方法10の生成物は構成される。
【0051】
本件の利点は、量子暗号通信装置12及び方法10が簡単に行える点である。この簡潔性は、量子ビット20がたった2つの非直交状態で準備されるだけでよいことに基づく。
【0052】
本件の更に別の利点は、装置12及び方法10は、量子ビット20の数値の時間符号化を用いることができる点である。非空の弱コヒーレント状態71からなる量子ビット、例えば74を2つの時間ビンのうちの1つ目の時間ビン60において準備しつつ、2つ目の時間ビン62を空に保ち、それぞれの時間ビンを量子ビット間の時間よりも短く設定することで、量子ビット値の1つを符号化することができる。その他の量子ビット値は、空の時間ビンと非空の時間ビンが入れ替えられた量子ビット、例えば76に符号化される。この場合、2つの量子状態を識別するのに最適な正定置作用素測定では、光子計数検出器による光子の到着時間の測定が必要とされるが、この測定は非常に簡単に行うことができる。
【0053】
本件のもう1つの利点は、用いられる量子状態は量子チャネル26における環境的変動に非常にロバストである点である。例えば偏光変動によってエラーは誘発されない。
【0054】
本件のもう1つの利点は、本発明が簡単に行えるため、既存の技術を用いても高速鍵交換が可能な点である。
【0055】
本件の量子暗号通信装置12及び方法10の更に別の利点は、ある量子ビット、例えば74における2つの時間ビン、例えば60と62と、ある量子ビットのペア76と74の間の2つの時間ビン、例えば86と62の間の位相コヒーレンスの干渉測定を行うことによって盗聴が監視されるため、盗聴に対してロバストである点である。とりわけ、本件の装置12及び方法10は光子数分岐攻撃に対してロバストである。この性質は、盗聴者24によって量子ビット20が取り除かれると顕著な摂動が生じることに基づく。量子ビット20のうち1つが取り除かれ、受信ステーション16がこの量子ビットと別の量子ビットのコヒーレンスを測定しようとした場合、量子ビットが除去されたことは非セロの確率で測定結果に示される。
【0056】
本件において説明された具体案には、様々な変更及び改良が加えられてもよい。本件では例として限定された具体案が開示及び説明されているが、多岐に渡る改良、変更、代替が可能である。場合によっては、本発明におけるある機能が、対応するその他の機能を用いることなく使用されることも可能である。よって、本件の上述の説明は広く解釈され、ほんの一例として挙げられたに過ぎず、本発明の精神及び範囲は添付の請求項によってのみ限定されることを考慮されたい。
【図面の簡単な説明】
【0057】
【図1】鍵配布のハイレベル・フローチャート(high−level flowchart)である。
【図2】本発明による装置の概念図である。
【図3】送信ステーションによって生成された量子ビットのストリームを示したグラフである。
【図4】送信ステーションにおける量子情報源の具体案を示した概念図である。
【図5】直角座標において、送信ステーションによって生成された非直交2状態を示した図である。
【図6】受信ステーションにおける光学サブシステムの概念図である。
【図7】受信ステーションの光学サブシステムの、干渉計の出力ポートのうち1つにおける量子系と、その量子系の1つの数値が盗聴者によって除去又は交換された際の影響を示したグラフである。
【符号の説明】
【0058】
10 方法
12 装置
14 送信ステーション
16 受信ステーション
20 量子系(量子ビット)
22 ストリーム
24 盗聴者
26 量子チャネル
30 古典チャネル
34 量子情報源
36 処理装置
40 伝送線
42 乱数発生器
44 光源
46 光路
48 振幅変調器
50 可変光減衰器
52 光路
54 パルス弱コヒーレント状態56のペア
56 パルス弱コヒーレント状態
60 時間ビン
62 時間ビン
71 非空の弱コヒーレント状態
72 空の弱コヒーレント状態
74 量子ビット
76 量子ビット
80 証拠の状態/おとりの配列
82 非空の弱コヒーレント状態
84 非空の弱コヒーレント状態
86 時間ビン
88 矢印
89 矢印
90 光学サブシステム
92 処理装置
94 伝送線
96 スイッチング装置
98 入力ポート
100 出力ポート
102 出力ポート
104 検出装置
106 ビット値測定装置
110 入力ポート
112 干渉計
116 光路
118 光路
120 検出装置
122 検出装置
124 出力ポート/伝送線
126 出力ポート/伝送線
130 第1ステップ
132 第2ステップ
134a 第1の代案のサブステップ
134b 第2の代案のサブステップ
136 第4ステップ
138 第5ステップ
140 第6ステップ
【特許請求の範囲】
【請求項1】
量子チャネルと古典チャネルで接続された送信ステーションと受信ステーションの間において信号列を配信し、上記2つのチャネルにアクセスした盗聴者が入手し得た情報の量を測定するための装置であり、
a)上記受信ステーションの関連する部品と連携して、上記送信ステーションにおける各部品を指令及び制御可能とする制御手段と、量子系のストリームを発生するための量子情報源とを備える送信ステーションであって、
上記量子系は、ストリームにおいて近隣に位置する量子系との間でコヒーレント位相関係を有し、
上記量子系の一部は、信号値と関連する少なくとも2つの非直交量子状態からなる第1集合に属する量子状態で準備され、
上記第1集合の量子状態の一部と非直交状態で、かつ重ね合わせ状態にない、少なくとも1つの量子状態からなる第2集合に属する状態の量子系を生成するように設定され、
上記第2集合の量子状態は、上記第1集合に属する量子状態で準備された量子系に行われると、その量子系がどの状態で準備されたかが少なくともある場合には特定できるように適合された測定によって摂動が生じる状態から選択される送信ステーションと、
b)上記送信ステーションから受信ステーションまで量子系を伝送するよう設定された量子チャネルと、
c)上記量子チャネル及び古典チャネルによって上記送信ステーションに接続された受信ステーションであって、
受信ステーションの操作を制御し、受信ステーションにおける各部品を送信ステーションの関連する部品と連携して指令及び制御可能にするように上記送信ステーションとの操作及び通信を調整するための制御手段と、
少なくとも2つの測定サブシステムのうち1つに量子系を伝送するためのスイッチング装置と、
適切な光路によって上記スイッチング装置に接続され、ある量子系が送信ステーションにおいてどの量子状態で準備されたかを特定することが可能な第1測定を上記量子系のいくつかに行うための第1測定サブシステムと、
適切な光路によって上記スイッチング装置に接続され、受信ステーションによって受信された2つの量子系の位相関係のコヒーレンス度に関する情報を得ることが可能な第2測定を、少なくとも2つの量子系からなるグループに行うための測定サブシステムと、
適切な光路によって上記スイッチング装置に接続され、上記第2集合に属する状態で準備された量子系に行われると、送信ステーションと受信ステーションの間で測定を受けたかどうかを少なくともある場合には特定でき、また上記第1集合に属する状態で準備された量子系に行われると、その量子系がどの状態で準備されたかを少なくともある場合には特定できる第3測定を行うための測定サブシステムと、
上記送信ステーションとのデータ通信を可能にし、ある特定の量子系が第1集合のどの量子状態で準備され、どの信号が送信ステーションから送信されたかを特定するための、上記第1測定で確定的な結果が得られた少なくとも一部の量子系のストリームにおける位置と、上記第2測定及び第3測定の結果のうち少なくとも一部とを送信ステーションに通知し、更に量子チャネルに及ぼされた盗聴の度合いを測定するために送信ステーションと受信ステーションとが連携するように設定された通信手段と、を備えた
受信ステーションと、
から構成されることを特徴とする装置。
【請求項2】
上記各測定サブシステムは、上記第1、第2及び第3測定の1つ又はそれ以上を実行可能に設定された多くとも2つの統合測定サブシステムに備わることを特徴とする請求項1に記載の装置。
【請求項3】
上記送信ステーションの量子情報源は、
電磁場において少なくとも2つの弱コヒーレント状態を含むグループをそれぞれ期間tの時間ビンで準備し、
上記各弱コヒーレント状態の中間は、最近傍の中間から上記期間tよりも大きいとされる時間T1だけ隔たれ、ある1つのグループにおける最後の弱コヒーレント状態の中間は次のグループにおける最初の弱コヒーレント状態の中間から、上記時間tよりも大きいとされる時間T2だけ隔たれており、1つのグループの任意の2つの弱コヒーレント状態は位相コヒーレントであり、ある1つのグループの弱コヒーレント状態はその隣接するグループの弱コヒーレント状態の少なくともいくつかと位相コヒーレントであり、
配列における各信号が伝送されるように、時間ビンの1つにおいては非ゼロ振幅の弱コヒーレント状態と、その他の時間ビンにおいてはゼロ振幅の弱コヒーレント状態とからなる1つの量子系を生成し、
信号に関連するいくつかの量子系の間に、少なくとも2つの時間ビンにおいて非ゼロ振幅を有する弱コヒーレント状態を少なくとも2つ備えた量子系を付加し、
上記量子系を適切な量子チャネルを介して受信ステーションへ送信することを特徴とする請求項1に記載の装置。
【請求項4】
上記送信ステーションの上記量子情報源は、適切な光路によって振幅変調器に接続されたモードロックされたレーザーを備えてなることを特徴とする請求項3に記載の装置。
【請求項5】
上記送信ステーションの上記量子情報源は、適切な光路によって振幅変調器に接続された連続波レーザーを備えてなることを特徴とする請求項3に記載の装置。
【請求項6】
上記情報源は光可変減衰器を備えてなることを特徴とする請求項3に記載の装置。
【請求項7】
上記受信ステーションにおけるスイッチング装置は、選択された反射率及び伝達比を有する光ファイバーカプラーを備えてなることを特徴とする請求項3に記載の装置。
【請求項8】
上記受信ステーションにおけるスイッチング装置は、選択された反射率及び伝達率を有するビームスプリッタを備えてなることを特徴とする請求項3に記載の装置。
【請求項9】
上記受信ステーションにおけるスイッチング装置は、光学時計を備えてなることを特徴とする請求項3に記載の装置。
【請求項10】
上記受信ステーションにおけるスイッチング装置は、能動素子及び受動素子からなる装置のグループから選択されることを特徴とする請求項3に記載の装置。
【請求項11】
上記受信ステーションは、適切な光路によってスイッチング装置に接続されると共に、制御手段に電気的接続された検出装置を備え、該検出装置はT1及びT2より小さい分解能を有する光子の到着時間を特定することにより、ある量子系がどの量子状態で送信ステーションによって準備されたのかが、少なくともある場合においては特定できることを特徴とする請求項3に記載の装置。
【請求項12】
上記検出装置は、ガイガーモードで動作されるアバランシェフォトダイオードを備えてなることを特徴とする請求項11に記載の装置。
【請求項13】
上記検出装置は、適切な光路によって第2検出装置に接続された光周波数アップコンバージョン装置を備えてなることを特徴とする請求項11に記載の装置。
【請求項14】
上記受信ステーションは、適切な光路によって上記スイッチング装置に接続されると共に、異なる時間ビンにおける少なくとも2つの弱コヒーレント状態を光学的に重ね合わせ、それらが位相コヒーレントであった場合には破壊的に干渉し、その重ね合わせ状態を少なくとも1つの検出装置に伝送して、T1及びT2よりも小さい分解能を有する光子の到着時間を特定させることが可能な光学装置を備えることを特徴とする請求項3に記載の装置。
【請求項15】
上記光学装置は、干渉計を備えてなることを特徴とする請求項14に記載の装置。
【請求項16】
上記干渉計は、マッハツェンダー干渉計であることを特徴とする請求項15に記載の装置。
【請求項17】
上記干渉計は、少なくとも1つのファラデーミラーを備えた自動補正の干渉計であることを特徴とする請求項16に記載の装置。
【請求項18】
上記1つ又はそれ以上の検出装置は、ガイガーモードで動作されるアバランシェフォトダイオードを備えてなることを特徴とする請求項14に記載の装置。
【請求項19】
上記1つ又はそれ以上の検出装置は、適切な光路によって第2検出装置に接続された光周波数アップコンバージョン装置を備えてなることを特徴とする請求項14に記載の装置。
【請求項20】
量子チャネルと古典チャネルによって送信ステーションと相互に接続されると、送信ステーションと受信ステーションの間において信号列を配信し、上記2つのチャネルにアクセスした盗聴者が入手し得た情報の量を測定するための受信ステーションであり、
上記受信ステーションの各部品を、ストリームの近隣に位置する量子系との間で位相コヒーレント関係にあり、信号列を伝送する際は少なくとも2つの非直交状態からなる第1集合の中から選択された量子状態で準備される量子系のストリームを発生するための量子情報源を備えた送信ステーションにおける関連する部品と連動して、指令及び制御可能とするように、受信ステーションの操作を制御すると共に送信ステーションとの操作及び通信を調整するための制御手段と、
少なくとも2つの測定サブシステムのうち1つに上記量子系を伝送するためのスイッチング装置と、
適切な光路によって上記スイッチング装置に接続され、ある量子系がどの量子状態で送信ステーションにおいて準備されたのかがある場合には特定可能な第1測定を、上記量子系のいくつかに行うための第1測定サブシステムと、
適切な光路によって上記スイッチング装置に接続され、受信ステーションによって受信された2つの量子系の位相関係のコヒーレンス度に関する情報を得ることが可能な第2測定を、少なくとも2つの量子系からなるグループに行うための測定サブシステムと、
適切な光路によって上記スイッチング装置に接続され、
上記第1集合の一部の状態に対して非直交で、かつ重ね合わせ状態になく、第1集合に属する状態で準備された量子系に行われると、その量子系がどの状態で準備されたのかが少なくともある場合には特定できるように適合された測定によって摂動が生じる状態から選択される少なくとも1つの状態からなる第2集合に属する状態で準備された量子系に行われると、送信ステーションと受信ステーションの間で測定が行われたかどうかを少なくともある場合には特定でき、また上記第1集合に属する状態で準備された量子系に行われると、その量子系がどの状態で準備されたのかを少なくともある場合には特定できる第3測定を行うための測定サブシステムと、
上記送信ステーションとのデータ通信を可能にし、ある特定の量子系が第1集合のどの量子状態で準備され、どの信号が送信ステーションから送信されたのかを特定する、上記第1測定で決定的な結果が得られた少なくともいくつかの量子系のストリームにおける位置と、量子チャネルに及ぼされた盗聴度を測定するために送信ステーションと受信ステーションとが連携することを可能にする、少なくともいくつかの上記第2測定及び第3測定の結果とを、送信ステーションに通知するように設定された
通信手段とを
備えてなることを特徴とする受信ステーション。
【請求項21】
上記受信ステーションのスイッチング装置は、選択された反射率及び伝達率を有する光ファイバーカプラーを備えてなることを特徴とする請求項20に記載の受信ステーション。
【請求項22】
上記受信ステーションのスイッチング装置は、選択された反射率及び伝達率を有するビームスプリッタを備えてなることを特徴とする請求項20に記載の受信ステーション。
【請求項23】
上記受信ステーションのスイッチング装置は、光学時計を備えてなることを特徴とする請求項20に記載の受信ステーション。
【請求項24】
上記受信ステーションのスイッチング装置は、能動素子及び受動素子からなる装置のグループから選択されることを特徴とする請求項20に記載の受信ステーション。
【請求項25】
上記受信ステーションは、適切な光路によってスイッチング装置に接続されると共に、制御手段に電気的接続された検出装置を備え、該検出装置はT1及びT2より小さい分解能を有する光子の到着時間を特定することにより、ある量子系がどの量子状態で送信ステーションによって準備されたのかが、少なくともある場合においては特定できることを特徴とする請求項20に記載の受信ステーション。
【請求項26】
上記検出装置は、ガイガーモードで動作されるアバランシェフォトダイオードを備えてなることを特徴とする請求項25に記載の受信ステーション。
【請求項27】
上記検出装置は、適切な光路によって第2検出装置に接続された光周波数アップコンバージョン装置を備えてなることを特徴とする請求項25に記載の受信ステーション。
【請求項28】
上記受信ステーションは、適切な光路によって上記スイッチング装置に接続され、異なる時間ビンにおける少なくとも2つの弱コヒーレント状態を光学的に重ね合わせ、それらが位相コヒーレントであった場合には破壊的に干渉し、その重ね合わせ状態を少なくとも1つの検出装置に伝送して、T1及びT2よりも小さい分解能を有する光子の到着時間を特定させることが可能な光学装置を備えることを特徴とする請求項20に記載の受信ステーション。
【請求項29】
上記光学装置は、干渉計を備えてなることを特徴とする請求項28に記載の受信ステーション。
【請求項30】
上記干渉計は、マッハツェンダー干渉計であることを特徴とする請求項29に記載の受信ステーション。
【請求項31】
上記干渉計は、少なくとも1つのファラデーミラーを備えた自動補正の干渉計であることを特徴とする請求項29に記載の受信ステーション。
【請求項32】
上記1つ又はそれ以上の検出装置は、ガイガーモードで動作されるアバランシェフォトダイオードを備えてなることを特徴とする請求項25又は28に記載の受信ステーション。
【請求項33】
上記1つ又はそれ以上の検出装置は、適切な光路によって第2検出装置に接続された光周波数アップコンバージョン装置を備えてなることを特徴とする請求項25又は28に記載の受信ステーション。
【請求項34】
量子チャネルと古典チャネルによって受信ステーションに接続されると、その間で信号列を伝送し、上記2つのチャネルにアクセスした盗聴者が入手し得た情報の量を測定するための、請求項20に記載の受信ステーションと連携する送信ステーションであり、
a)上記送信ステーションにおける各部品を、上記受信ステーションの関連する部品と連携して指令及び制御可能とする制御手段と、
b)ストリームの近隣に位置する量子系との間でコヒーレント位相関係にある量子系のストリームを発生するための量子情報源とを備え、
上記量子系の一部は、少なくとも2つの非直交量子状態からなり、信号値と関連する量子状態からなる第1集合に属する量子状態で準備され、
上記送信ステーションは、上記第1集合の量子状態の一部とは非直交状態であり、かつ重ね合わせ状態になく、少なくとも1つの量子状態からなる第2集合に属する量子状態の量子系を生成するように設定され、
上記第2集合の量子状態は、上記第1集合に属する量子状態で準備された量子系に行われると、その量子系がどの状態で準備されたかが少なくともある場合には特定できるように適合された測定によって摂動が生じる量子状態が選択されることを特徴とする送信ステーション。
【請求項35】
上記送信ステーションの量子情報源は、
電磁場において少なくとも2つの弱コヒーレント状態を含むグループを、それぞれ期間tの時間ビンで準備し、上記各弱コヒーレント状態の中間は、最近傍の中間から上記期間tよりも大きいとされる時間T1だけ隔たれ、ある1つのグループにおける最後の弱コヒーレント状態の中間は次のグループにおける最初の弱コヒーレント状態の中間から、上記時間tよりも大きいとされる時間T2だけ隔たれており、ある1つのグループのうち任意の2つの弱コヒーレント状態は位相コヒーレントであり、ある1つのグループの弱コヒーレント状態は、その隣接するグループのどの弱コヒーレント状態に対しても位相コヒーレントであり、
配列における各信号が伝送されるように、1つの時間ビンにおいては非ゼロ振幅の弱コヒーレント状態と、その他の時間ビンにおいてはゼロ振幅の弱コヒーレント状態から構成される1つの量子系を生成し、
信号に関連するいくつかの量子系の間の少なくとも2つの時間ビンにおいて非ゼロ振幅を有する弱コヒーレント状態を少なくとも2つ備えた量子系を付加し、
上記量子系を適切な量子チャネルを介して受信ステーションへ送信するように設定されることを特徴とする請求項34に記載の送信ステーション。
【請求項36】
上記送信ステーションの量子情報源は、適切な光路によって振幅変調器に接続されたモードロックされたレーザーを備えてなることを特長とする請求項34に記載の送信ステーション。
【請求項37】
上記送信ステーションの量子情報源は、適切な光路によって振幅変調器に接続された連続波レーザーを備えてなることを特徴とする請求項34に記載の装置。
【請求項38】
上記量子情報源は光可変減衰器を備えてなることを特徴とする請求項34に記載の送信ステーション。
【請求項39】
信号列を配信し、発せされた鍵に関して盗聴者が知り得た情報を測定するための方法であり、
a)ストリームの近隣に位置する量子系との間でコヒーレント位相関係で、かつ信号値と関連する2つの非直交量子状態を含む量子状態からなる第1集合に属する量子状態で準備され、量子情報源によって発生された量子系のストリームを送信ステーションが送信するステップと、
b)第1集合の量子状態の一部とは非直交状態であり、かつ重ね合わせ状態になく、第1集合に属する状態で準備された量子系に行われると、その量子系がどの量子状態で準備されたかを少なくともある場合には特定できるように適合された測定によって摂動が生じる量子状態から選択された少なくとも1つの量子状態からなる第2集合に属する量子系を、信号値に関連するいくつかの量子系の間に付加するステップと、
c)量子系がどの量子状態で送信ステーションにおいて準備されたかを特定するための第1測定を、受信者が量子系の一部に実行するステップと、
d)受信ステーションで受信された2つの量子系の間における位相関係のコヒーレンス度に関する情報の獲得が可能な第2測定を、受信者が少なくとも2つの量子系を含むグループに実行するステップと、
e)第2集合に属する量子状態に準備された量子系に行われると、送信ステーションと受信ステーションの間で測定が行われたかどうかが少なくともある場合には特定でき、また第1集合に属する量子状態に準備された量子系に行われると、その量子系がどの状態で準備されたのかが少なくともある場合には特定できる第3測定を、受信者が量子系に実行するステップと、
f)上記送信ステーションとのデータ通信を可能にし、ある特定の量子系が第1集合のどの量子状態で準備され、どの信号が送信ステーションから送信されたかを特定する、上記第1測定で確定的な結果が得られた少なくとも一部の量子系のストリームにおける位置と、上記第2測定及び第3測定の結果のうち少なくとも一部とを送信ステーションに通知するステップと、
g)量子チャネルに及ぼされた盗聴の度合いを測定するために送信ステーションと受信ステーションが連携するステップと
から構成されることを特徴とする方法。
【請求項40】
請求項1の装置において操作され、信号列を配信して上記装置から発せれた鍵に関して盗聴者が知り得た情報を測定するための方法であり、
送信ステーションの量子情報源は、配列のそれぞれの信号が量子チャネルを介して受信ステーションに伝送されるように、少なくとも2つの量子状態からなる第1集合から選択された量子状態で準備された量子系を生成し、
上記量子状態は、それぞれ期間tの時間ビンで配置された、電磁場における少なくとも2つの弱コヒーレント状態を含むグループからなり、上記各弱コヒーレント状態の中間は、最近傍の中間から上記期間tよりも大きいとされる時間T1だけ隔たれ、上記グループにおける最後の弱コヒーレント状態の中間は次の弱コヒーレント状態の中間から、上記量子情報源から発せられ上記時間tよりも大きいとされる間T2だけ隔たれ、上記グループにおける1つの弱コヒーレント状態は非ゼロ振幅を有する一方で、その他のグループはゼロ振幅を有し、
ある1つのグループのうち任意の2つの弱コヒーレント状態は位相コヒーレントであり、ある1つのグループの弱コヒーレント状態は、その隣接するグループの弱コヒーレント状態の少なくともいくつかと位相コヒーレントであることを特徴とする方法。
【請求項41】
上記送信ステーションは、適切な量子チャネルを介して受信ステーションに量子系を伝送することを特徴とする請求項40に記載の方法。
【請求項42】
上記受信ステーションは、該検出装置はT1及びT2より小さい分解能を有する光子の到着時間を特定することにより、ある量子系がどの量子状態で送信ステーションによって準備されたのかが、ある場合においては特定できるように、受信し量子系のいくつかを検出装置に送信することを特徴とする請求項41に記載の方法。
【請求項43】
上記受信ステーションは、直上の測定から確定的な結果が得られた少なくとも一部の量子系のストリームにおける位置を送信ステーションに伝送することによって、どの信号が生鍵につながるかを送信ステーションに示すことを特徴とする請求項42に記載の方法。
【請求項44】
上記受信ステーションは、異なる時間ビンにおける少なくとも2つの弱コヒーレント状態を光学的に重ね合わせ、それらが位相コヒーレントであった場合には破壊的に干渉し、その重ね合わせ状態を少なくとも1つの検出装置に伝送して、T1及びT2よりも小さい分解能を有する光子の到着時間を特定させることが可能な光学装置に、受信した量子系の一部を伝送することを特徴とする請求項43に記載の方法。
【請求項45】
上記受信ステーションが直上の測定の測定結果の少なくとも一部を示すことによって、盗聴者が生鍵について知り得た情報の量を、送信ステーションと受信ステーションとが連携して測定することを特徴とする請求項44に記載の方法。
【請求項46】
上記送信ステーションは、第1集合の一つの状態で準備されたいくつかの量子系の間に、少なくとも2つの時間ビンにおいて非ゼロ振幅を有する少なくとも2つの弱コヒーレント状態からなる量子系を付加することを特徴とする請求項45に記載の方法。
【請求項47】
上記受信ステーションは、1つの量子系の少なくとも2つの弱コヒーレント状態を重ね合わせ、それらが位相コヒーレントであった場合には破壊的に干渉し、その重ね合わせ状態を少なくとも1つの検出装置に伝送して、T1及びT2よりも小さい分解能を有する光子の到着時間を特定することで量子系を測定する光学装置に、受信した量子系の一部を伝送することを特徴とする請求項46に記載の方法。
【請求項48】
上記受信ステーションは、直上の測定の結果の少なくとも一部を示すことによって、盗聴者が生鍵について知り得た情報の量を、送信ステーションと受信ステーションとが連携して測定することを特徴とする請求項47に記載の方法。
【請求項49】
信号のストリームを生成するために、時間ビンにおける電磁界の信号値及びパルス弱コヒーレント状態の時間領域符号化を用いる装置であり、
a)隣接する量子系との間でコヒーレント位相関係にある非直交状態の量子系を準備し、量子系分離において受けた攻撃を明らかにするように、証拠の状態(witness state)を付加する量子情報源を備えた送信ステーションと、
b)適切な光路で接続され、コヒーレント位相関係にある量子系のいくつかの組を検証し、量子系分離において受けた攻撃を明らかにするように証拠の状態を検出するための検証装置を備えた受信ステーションと
からなることを特徴とする装置。
【請求項50】
信号のストリームを生成するために、時間ビンにおける電磁界の信号値及びパルス弱コヒーレント状態の時間領域符号化を用いる方法であり、
a)送信ステーションにおいて、隣接する量子系とコヒーレント位相関係にある非直交状態の量子系を準備し、量子系分離において受けた攻撃を明らかにするように、証拠の状態を付加するステップと、
b)上記量子系を、適切な光路で接続された検証装置を備えた受信ステーションに量子チャネルを介して伝送するステップと、
c)受信ステーションにおいて、コヒーレント位相関係にある量子系のいくつかの組を検証するステップと、
d)受信ステーションにおいて、量子系分離において受けた攻撃を明らかにするように証拠状態を検出するステップと
からなることを特徴とする方法。
【請求項51】
請求項50に記載の方法を用いて生成され、送信ステーションから受信ステーションまで伝送されたデータ伝送量子系からなる生鍵(raw key)から鍵純粋化(key distillation method)によって純粋化されてなる安全鍵。
【請求項52】
請求項50に記載の方法を用いて生成され、送信ステーションから受信ステーションまで伝送されたデータ伝送量子系からなる生鍵。
【請求項1】
量子チャネルと古典チャネルで接続された送信ステーションと受信ステーションの間において信号列を配信し、上記2つのチャネルにアクセスした盗聴者が入手し得た情報の量を測定するための装置であり、
a)上記受信ステーションの関連する部品と連携して、上記送信ステーションにおける各部品を指令及び制御可能とする制御手段と、量子系のストリームを発生するための量子情報源とを備える送信ステーションであって、
上記量子系は、ストリームにおいて近隣に位置する量子系との間でコヒーレント位相関係を有し、
上記量子系の一部は、信号値と関連する少なくとも2つの非直交量子状態からなる第1集合に属する量子状態で準備され、
上記第1集合の量子状態の一部と非直交状態で、かつ重ね合わせ状態にない、少なくとも1つの量子状態からなる第2集合に属する状態の量子系を生成するように設定され、
上記第2集合の量子状態は、上記第1集合に属する量子状態で準備された量子系に行われると、その量子系がどの状態で準備されたかが少なくともある場合には特定できるように適合された測定によって摂動が生じる状態から選択される送信ステーションと、
b)上記送信ステーションから受信ステーションまで量子系を伝送するよう設定された量子チャネルと、
c)上記量子チャネル及び古典チャネルによって上記送信ステーションに接続された受信ステーションであって、
受信ステーションの操作を制御し、受信ステーションにおける各部品を送信ステーションの関連する部品と連携して指令及び制御可能にするように上記送信ステーションとの操作及び通信を調整するための制御手段と、
少なくとも2つの測定サブシステムのうち1つに量子系を伝送するためのスイッチング装置と、
適切な光路によって上記スイッチング装置に接続され、ある量子系が送信ステーションにおいてどの量子状態で準備されたかを特定することが可能な第1測定を上記量子系のいくつかに行うための第1測定サブシステムと、
適切な光路によって上記スイッチング装置に接続され、受信ステーションによって受信された2つの量子系の位相関係のコヒーレンス度に関する情報を得ることが可能な第2測定を、少なくとも2つの量子系からなるグループに行うための測定サブシステムと、
適切な光路によって上記スイッチング装置に接続され、上記第2集合に属する状態で準備された量子系に行われると、送信ステーションと受信ステーションの間で測定を受けたかどうかを少なくともある場合には特定でき、また上記第1集合に属する状態で準備された量子系に行われると、その量子系がどの状態で準備されたかを少なくともある場合には特定できる第3測定を行うための測定サブシステムと、
上記送信ステーションとのデータ通信を可能にし、ある特定の量子系が第1集合のどの量子状態で準備され、どの信号が送信ステーションから送信されたかを特定するための、上記第1測定で確定的な結果が得られた少なくとも一部の量子系のストリームにおける位置と、上記第2測定及び第3測定の結果のうち少なくとも一部とを送信ステーションに通知し、更に量子チャネルに及ぼされた盗聴の度合いを測定するために送信ステーションと受信ステーションとが連携するように設定された通信手段と、を備えた
受信ステーションと、
から構成されることを特徴とする装置。
【請求項2】
上記各測定サブシステムは、上記第1、第2及び第3測定の1つ又はそれ以上を実行可能に設定された多くとも2つの統合測定サブシステムに備わることを特徴とする請求項1に記載の装置。
【請求項3】
上記送信ステーションの量子情報源は、
電磁場において少なくとも2つの弱コヒーレント状態を含むグループをそれぞれ期間tの時間ビンで準備し、
上記各弱コヒーレント状態の中間は、最近傍の中間から上記期間tよりも大きいとされる時間T1だけ隔たれ、ある1つのグループにおける最後の弱コヒーレント状態の中間は次のグループにおける最初の弱コヒーレント状態の中間から、上記時間tよりも大きいとされる時間T2だけ隔たれており、1つのグループの任意の2つの弱コヒーレント状態は位相コヒーレントであり、ある1つのグループの弱コヒーレント状態はその隣接するグループの弱コヒーレント状態の少なくともいくつかと位相コヒーレントであり、
配列における各信号が伝送されるように、時間ビンの1つにおいては非ゼロ振幅の弱コヒーレント状態と、その他の時間ビンにおいてはゼロ振幅の弱コヒーレント状態とからなる1つの量子系を生成し、
信号に関連するいくつかの量子系の間に、少なくとも2つの時間ビンにおいて非ゼロ振幅を有する弱コヒーレント状態を少なくとも2つ備えた量子系を付加し、
上記量子系を適切な量子チャネルを介して受信ステーションへ送信することを特徴とする請求項1に記載の装置。
【請求項4】
上記送信ステーションの上記量子情報源は、適切な光路によって振幅変調器に接続されたモードロックされたレーザーを備えてなることを特徴とする請求項3に記載の装置。
【請求項5】
上記送信ステーションの上記量子情報源は、適切な光路によって振幅変調器に接続された連続波レーザーを備えてなることを特徴とする請求項3に記載の装置。
【請求項6】
上記情報源は光可変減衰器を備えてなることを特徴とする請求項3に記載の装置。
【請求項7】
上記受信ステーションにおけるスイッチング装置は、選択された反射率及び伝達比を有する光ファイバーカプラーを備えてなることを特徴とする請求項3に記載の装置。
【請求項8】
上記受信ステーションにおけるスイッチング装置は、選択された反射率及び伝達率を有するビームスプリッタを備えてなることを特徴とする請求項3に記載の装置。
【請求項9】
上記受信ステーションにおけるスイッチング装置は、光学時計を備えてなることを特徴とする請求項3に記載の装置。
【請求項10】
上記受信ステーションにおけるスイッチング装置は、能動素子及び受動素子からなる装置のグループから選択されることを特徴とする請求項3に記載の装置。
【請求項11】
上記受信ステーションは、適切な光路によってスイッチング装置に接続されると共に、制御手段に電気的接続された検出装置を備え、該検出装置はT1及びT2より小さい分解能を有する光子の到着時間を特定することにより、ある量子系がどの量子状態で送信ステーションによって準備されたのかが、少なくともある場合においては特定できることを特徴とする請求項3に記載の装置。
【請求項12】
上記検出装置は、ガイガーモードで動作されるアバランシェフォトダイオードを備えてなることを特徴とする請求項11に記載の装置。
【請求項13】
上記検出装置は、適切な光路によって第2検出装置に接続された光周波数アップコンバージョン装置を備えてなることを特徴とする請求項11に記載の装置。
【請求項14】
上記受信ステーションは、適切な光路によって上記スイッチング装置に接続されると共に、異なる時間ビンにおける少なくとも2つの弱コヒーレント状態を光学的に重ね合わせ、それらが位相コヒーレントであった場合には破壊的に干渉し、その重ね合わせ状態を少なくとも1つの検出装置に伝送して、T1及びT2よりも小さい分解能を有する光子の到着時間を特定させることが可能な光学装置を備えることを特徴とする請求項3に記載の装置。
【請求項15】
上記光学装置は、干渉計を備えてなることを特徴とする請求項14に記載の装置。
【請求項16】
上記干渉計は、マッハツェンダー干渉計であることを特徴とする請求項15に記載の装置。
【請求項17】
上記干渉計は、少なくとも1つのファラデーミラーを備えた自動補正の干渉計であることを特徴とする請求項16に記載の装置。
【請求項18】
上記1つ又はそれ以上の検出装置は、ガイガーモードで動作されるアバランシェフォトダイオードを備えてなることを特徴とする請求項14に記載の装置。
【請求項19】
上記1つ又はそれ以上の検出装置は、適切な光路によって第2検出装置に接続された光周波数アップコンバージョン装置を備えてなることを特徴とする請求項14に記載の装置。
【請求項20】
量子チャネルと古典チャネルによって送信ステーションと相互に接続されると、送信ステーションと受信ステーションの間において信号列を配信し、上記2つのチャネルにアクセスした盗聴者が入手し得た情報の量を測定するための受信ステーションであり、
上記受信ステーションの各部品を、ストリームの近隣に位置する量子系との間で位相コヒーレント関係にあり、信号列を伝送する際は少なくとも2つの非直交状態からなる第1集合の中から選択された量子状態で準備される量子系のストリームを発生するための量子情報源を備えた送信ステーションにおける関連する部品と連動して、指令及び制御可能とするように、受信ステーションの操作を制御すると共に送信ステーションとの操作及び通信を調整するための制御手段と、
少なくとも2つの測定サブシステムのうち1つに上記量子系を伝送するためのスイッチング装置と、
適切な光路によって上記スイッチング装置に接続され、ある量子系がどの量子状態で送信ステーションにおいて準備されたのかがある場合には特定可能な第1測定を、上記量子系のいくつかに行うための第1測定サブシステムと、
適切な光路によって上記スイッチング装置に接続され、受信ステーションによって受信された2つの量子系の位相関係のコヒーレンス度に関する情報を得ることが可能な第2測定を、少なくとも2つの量子系からなるグループに行うための測定サブシステムと、
適切な光路によって上記スイッチング装置に接続され、
上記第1集合の一部の状態に対して非直交で、かつ重ね合わせ状態になく、第1集合に属する状態で準備された量子系に行われると、その量子系がどの状態で準備されたのかが少なくともある場合には特定できるように適合された測定によって摂動が生じる状態から選択される少なくとも1つの状態からなる第2集合に属する状態で準備された量子系に行われると、送信ステーションと受信ステーションの間で測定が行われたかどうかを少なくともある場合には特定でき、また上記第1集合に属する状態で準備された量子系に行われると、その量子系がどの状態で準備されたのかを少なくともある場合には特定できる第3測定を行うための測定サブシステムと、
上記送信ステーションとのデータ通信を可能にし、ある特定の量子系が第1集合のどの量子状態で準備され、どの信号が送信ステーションから送信されたのかを特定する、上記第1測定で決定的な結果が得られた少なくともいくつかの量子系のストリームにおける位置と、量子チャネルに及ぼされた盗聴度を測定するために送信ステーションと受信ステーションとが連携することを可能にする、少なくともいくつかの上記第2測定及び第3測定の結果とを、送信ステーションに通知するように設定された
通信手段とを
備えてなることを特徴とする受信ステーション。
【請求項21】
上記受信ステーションのスイッチング装置は、選択された反射率及び伝達率を有する光ファイバーカプラーを備えてなることを特徴とする請求項20に記載の受信ステーション。
【請求項22】
上記受信ステーションのスイッチング装置は、選択された反射率及び伝達率を有するビームスプリッタを備えてなることを特徴とする請求項20に記載の受信ステーション。
【請求項23】
上記受信ステーションのスイッチング装置は、光学時計を備えてなることを特徴とする請求項20に記載の受信ステーション。
【請求項24】
上記受信ステーションのスイッチング装置は、能動素子及び受動素子からなる装置のグループから選択されることを特徴とする請求項20に記載の受信ステーション。
【請求項25】
上記受信ステーションは、適切な光路によってスイッチング装置に接続されると共に、制御手段に電気的接続された検出装置を備え、該検出装置はT1及びT2より小さい分解能を有する光子の到着時間を特定することにより、ある量子系がどの量子状態で送信ステーションによって準備されたのかが、少なくともある場合においては特定できることを特徴とする請求項20に記載の受信ステーション。
【請求項26】
上記検出装置は、ガイガーモードで動作されるアバランシェフォトダイオードを備えてなることを特徴とする請求項25に記載の受信ステーション。
【請求項27】
上記検出装置は、適切な光路によって第2検出装置に接続された光周波数アップコンバージョン装置を備えてなることを特徴とする請求項25に記載の受信ステーション。
【請求項28】
上記受信ステーションは、適切な光路によって上記スイッチング装置に接続され、異なる時間ビンにおける少なくとも2つの弱コヒーレント状態を光学的に重ね合わせ、それらが位相コヒーレントであった場合には破壊的に干渉し、その重ね合わせ状態を少なくとも1つの検出装置に伝送して、T1及びT2よりも小さい分解能を有する光子の到着時間を特定させることが可能な光学装置を備えることを特徴とする請求項20に記載の受信ステーション。
【請求項29】
上記光学装置は、干渉計を備えてなることを特徴とする請求項28に記載の受信ステーション。
【請求項30】
上記干渉計は、マッハツェンダー干渉計であることを特徴とする請求項29に記載の受信ステーション。
【請求項31】
上記干渉計は、少なくとも1つのファラデーミラーを備えた自動補正の干渉計であることを特徴とする請求項29に記載の受信ステーション。
【請求項32】
上記1つ又はそれ以上の検出装置は、ガイガーモードで動作されるアバランシェフォトダイオードを備えてなることを特徴とする請求項25又は28に記載の受信ステーション。
【請求項33】
上記1つ又はそれ以上の検出装置は、適切な光路によって第2検出装置に接続された光周波数アップコンバージョン装置を備えてなることを特徴とする請求項25又は28に記載の受信ステーション。
【請求項34】
量子チャネルと古典チャネルによって受信ステーションに接続されると、その間で信号列を伝送し、上記2つのチャネルにアクセスした盗聴者が入手し得た情報の量を測定するための、請求項20に記載の受信ステーションと連携する送信ステーションであり、
a)上記送信ステーションにおける各部品を、上記受信ステーションの関連する部品と連携して指令及び制御可能とする制御手段と、
b)ストリームの近隣に位置する量子系との間でコヒーレント位相関係にある量子系のストリームを発生するための量子情報源とを備え、
上記量子系の一部は、少なくとも2つの非直交量子状態からなり、信号値と関連する量子状態からなる第1集合に属する量子状態で準備され、
上記送信ステーションは、上記第1集合の量子状態の一部とは非直交状態であり、かつ重ね合わせ状態になく、少なくとも1つの量子状態からなる第2集合に属する量子状態の量子系を生成するように設定され、
上記第2集合の量子状態は、上記第1集合に属する量子状態で準備された量子系に行われると、その量子系がどの状態で準備されたかが少なくともある場合には特定できるように適合された測定によって摂動が生じる量子状態が選択されることを特徴とする送信ステーション。
【請求項35】
上記送信ステーションの量子情報源は、
電磁場において少なくとも2つの弱コヒーレント状態を含むグループを、それぞれ期間tの時間ビンで準備し、上記各弱コヒーレント状態の中間は、最近傍の中間から上記期間tよりも大きいとされる時間T1だけ隔たれ、ある1つのグループにおける最後の弱コヒーレント状態の中間は次のグループにおける最初の弱コヒーレント状態の中間から、上記時間tよりも大きいとされる時間T2だけ隔たれており、ある1つのグループのうち任意の2つの弱コヒーレント状態は位相コヒーレントであり、ある1つのグループの弱コヒーレント状態は、その隣接するグループのどの弱コヒーレント状態に対しても位相コヒーレントであり、
配列における各信号が伝送されるように、1つの時間ビンにおいては非ゼロ振幅の弱コヒーレント状態と、その他の時間ビンにおいてはゼロ振幅の弱コヒーレント状態から構成される1つの量子系を生成し、
信号に関連するいくつかの量子系の間の少なくとも2つの時間ビンにおいて非ゼロ振幅を有する弱コヒーレント状態を少なくとも2つ備えた量子系を付加し、
上記量子系を適切な量子チャネルを介して受信ステーションへ送信するように設定されることを特徴とする請求項34に記載の送信ステーション。
【請求項36】
上記送信ステーションの量子情報源は、適切な光路によって振幅変調器に接続されたモードロックされたレーザーを備えてなることを特長とする請求項34に記載の送信ステーション。
【請求項37】
上記送信ステーションの量子情報源は、適切な光路によって振幅変調器に接続された連続波レーザーを備えてなることを特徴とする請求項34に記載の装置。
【請求項38】
上記量子情報源は光可変減衰器を備えてなることを特徴とする請求項34に記載の送信ステーション。
【請求項39】
信号列を配信し、発せされた鍵に関して盗聴者が知り得た情報を測定するための方法であり、
a)ストリームの近隣に位置する量子系との間でコヒーレント位相関係で、かつ信号値と関連する2つの非直交量子状態を含む量子状態からなる第1集合に属する量子状態で準備され、量子情報源によって発生された量子系のストリームを送信ステーションが送信するステップと、
b)第1集合の量子状態の一部とは非直交状態であり、かつ重ね合わせ状態になく、第1集合に属する状態で準備された量子系に行われると、その量子系がどの量子状態で準備されたかを少なくともある場合には特定できるように適合された測定によって摂動が生じる量子状態から選択された少なくとも1つの量子状態からなる第2集合に属する量子系を、信号値に関連するいくつかの量子系の間に付加するステップと、
c)量子系がどの量子状態で送信ステーションにおいて準備されたかを特定するための第1測定を、受信者が量子系の一部に実行するステップと、
d)受信ステーションで受信された2つの量子系の間における位相関係のコヒーレンス度に関する情報の獲得が可能な第2測定を、受信者が少なくとも2つの量子系を含むグループに実行するステップと、
e)第2集合に属する量子状態に準備された量子系に行われると、送信ステーションと受信ステーションの間で測定が行われたかどうかが少なくともある場合には特定でき、また第1集合に属する量子状態に準備された量子系に行われると、その量子系がどの状態で準備されたのかが少なくともある場合には特定できる第3測定を、受信者が量子系に実行するステップと、
f)上記送信ステーションとのデータ通信を可能にし、ある特定の量子系が第1集合のどの量子状態で準備され、どの信号が送信ステーションから送信されたかを特定する、上記第1測定で確定的な結果が得られた少なくとも一部の量子系のストリームにおける位置と、上記第2測定及び第3測定の結果のうち少なくとも一部とを送信ステーションに通知するステップと、
g)量子チャネルに及ぼされた盗聴の度合いを測定するために送信ステーションと受信ステーションが連携するステップと
から構成されることを特徴とする方法。
【請求項40】
請求項1の装置において操作され、信号列を配信して上記装置から発せれた鍵に関して盗聴者が知り得た情報を測定するための方法であり、
送信ステーションの量子情報源は、配列のそれぞれの信号が量子チャネルを介して受信ステーションに伝送されるように、少なくとも2つの量子状態からなる第1集合から選択された量子状態で準備された量子系を生成し、
上記量子状態は、それぞれ期間tの時間ビンで配置された、電磁場における少なくとも2つの弱コヒーレント状態を含むグループからなり、上記各弱コヒーレント状態の中間は、最近傍の中間から上記期間tよりも大きいとされる時間T1だけ隔たれ、上記グループにおける最後の弱コヒーレント状態の中間は次の弱コヒーレント状態の中間から、上記量子情報源から発せられ上記時間tよりも大きいとされる間T2だけ隔たれ、上記グループにおける1つの弱コヒーレント状態は非ゼロ振幅を有する一方で、その他のグループはゼロ振幅を有し、
ある1つのグループのうち任意の2つの弱コヒーレント状態は位相コヒーレントであり、ある1つのグループの弱コヒーレント状態は、その隣接するグループの弱コヒーレント状態の少なくともいくつかと位相コヒーレントであることを特徴とする方法。
【請求項41】
上記送信ステーションは、適切な量子チャネルを介して受信ステーションに量子系を伝送することを特徴とする請求項40に記載の方法。
【請求項42】
上記受信ステーションは、該検出装置はT1及びT2より小さい分解能を有する光子の到着時間を特定することにより、ある量子系がどの量子状態で送信ステーションによって準備されたのかが、ある場合においては特定できるように、受信し量子系のいくつかを検出装置に送信することを特徴とする請求項41に記載の方法。
【請求項43】
上記受信ステーションは、直上の測定から確定的な結果が得られた少なくとも一部の量子系のストリームにおける位置を送信ステーションに伝送することによって、どの信号が生鍵につながるかを送信ステーションに示すことを特徴とする請求項42に記載の方法。
【請求項44】
上記受信ステーションは、異なる時間ビンにおける少なくとも2つの弱コヒーレント状態を光学的に重ね合わせ、それらが位相コヒーレントであった場合には破壊的に干渉し、その重ね合わせ状態を少なくとも1つの検出装置に伝送して、T1及びT2よりも小さい分解能を有する光子の到着時間を特定させることが可能な光学装置に、受信した量子系の一部を伝送することを特徴とする請求項43に記載の方法。
【請求項45】
上記受信ステーションが直上の測定の測定結果の少なくとも一部を示すことによって、盗聴者が生鍵について知り得た情報の量を、送信ステーションと受信ステーションとが連携して測定することを特徴とする請求項44に記載の方法。
【請求項46】
上記送信ステーションは、第1集合の一つの状態で準備されたいくつかの量子系の間に、少なくとも2つの時間ビンにおいて非ゼロ振幅を有する少なくとも2つの弱コヒーレント状態からなる量子系を付加することを特徴とする請求項45に記載の方法。
【請求項47】
上記受信ステーションは、1つの量子系の少なくとも2つの弱コヒーレント状態を重ね合わせ、それらが位相コヒーレントであった場合には破壊的に干渉し、その重ね合わせ状態を少なくとも1つの検出装置に伝送して、T1及びT2よりも小さい分解能を有する光子の到着時間を特定することで量子系を測定する光学装置に、受信した量子系の一部を伝送することを特徴とする請求項46に記載の方法。
【請求項48】
上記受信ステーションは、直上の測定の結果の少なくとも一部を示すことによって、盗聴者が生鍵について知り得た情報の量を、送信ステーションと受信ステーションとが連携して測定することを特徴とする請求項47に記載の方法。
【請求項49】
信号のストリームを生成するために、時間ビンにおける電磁界の信号値及びパルス弱コヒーレント状態の時間領域符号化を用いる装置であり、
a)隣接する量子系との間でコヒーレント位相関係にある非直交状態の量子系を準備し、量子系分離において受けた攻撃を明らかにするように、証拠の状態(witness state)を付加する量子情報源を備えた送信ステーションと、
b)適切な光路で接続され、コヒーレント位相関係にある量子系のいくつかの組を検証し、量子系分離において受けた攻撃を明らかにするように証拠の状態を検出するための検証装置を備えた受信ステーションと
からなることを特徴とする装置。
【請求項50】
信号のストリームを生成するために、時間ビンにおける電磁界の信号値及びパルス弱コヒーレント状態の時間領域符号化を用いる方法であり、
a)送信ステーションにおいて、隣接する量子系とコヒーレント位相関係にある非直交状態の量子系を準備し、量子系分離において受けた攻撃を明らかにするように、証拠の状態を付加するステップと、
b)上記量子系を、適切な光路で接続された検証装置を備えた受信ステーションに量子チャネルを介して伝送するステップと、
c)受信ステーションにおいて、コヒーレント位相関係にある量子系のいくつかの組を検証するステップと、
d)受信ステーションにおいて、量子系分離において受けた攻撃を明らかにするように証拠状態を検出するステップと
からなることを特徴とする方法。
【請求項51】
請求項50に記載の方法を用いて生成され、送信ステーションから受信ステーションまで伝送されたデータ伝送量子系からなる生鍵(raw key)から鍵純粋化(key distillation method)によって純粋化されてなる安全鍵。
【請求項52】
請求項50に記載の方法を用いて生成され、送信ステーションから受信ステーションまで伝送されたデータ伝送量子系からなる生鍵。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【公表番号】特表2008−512018(P2008−512018A)
【公表日】平成20年4月17日(2008.4.17)
【国際特許分類】
【出願番号】特願2007−529028(P2007−529028)
【出願日】平成17年9月1日(2005.9.1)
【国際出願番号】PCT/IB2005/002622
【国際公開番号】WO2006/024939
【国際公開日】平成18年3月9日(2006.3.9)
【出願人】(507059761)
【Fターム(参考)】
【公表日】平成20年4月17日(2008.4.17)
【国際特許分類】
【出願日】平成17年9月1日(2005.9.1)
【国際出願番号】PCT/IB2005/002622
【国際公開番号】WO2006/024939
【国際公開日】平成18年3月9日(2006.3.9)
【出願人】(507059761)
【Fターム(参考)】
[ Back to top ]