量子鍵配送

出典: フリー百科事典『ウィキペディア(Wikipedia)』
移動: 案内検索

量子鍵配送(Quantum Key Distribution, QKD)は、通信を行う二者間でのセキュア通信を保証するために、量子力学を用いてランダム秘密鍵を共有し、それをもとに情報を暗号・復号する。量子鍵配送はしばしば量子暗号と混同されるが、量子鍵配送は量子暗号技術の一つの手法である。

量子配送を利用することによって得られる重要な性質は、通信を行う二者がその通信に用いられる鍵情報を取得しようとする盗聴者の存在を探知できるという点である。これは量子力学の基本的原理によるもので、量子系は観測することによってそれ自体が分散してしまう。鍵を傍受しようとする第三者は何らかの方法で鍵の情報を観測する必要があり、その観測行為が探知可能な片側性を引き起こすことを利用する。重ね合わせ量子もつれを用い、量子状態にある情報を転送することによって傍受を探知することが出来る通信システムを実装することが出来る。傍受性が一定のしきい値を下回ったとき、秘匿性が保証された暗号鍵を生成し、それ以外の場合は傍受が行われたとして鍵生成は行わずに通信を終了する。

QKDにおける秘匿性は量子力学の原理を根拠にしているのに対し、従来の暗号鍵配送プロトコルは逆関数の計算が非常に困難であることを安全の根拠としているため、傍受を探知することが出来ず、またそれ故に秘匿性を完全に保証することは出来ない。

量子鍵配送は鍵を生成・配送することにのみ使われ、実際のデータ転送には使われない。すなわちこの暗号鍵はどんな暗号化アルゴリズムにも用いることができ、暗号化されたデータは通常の伝送路によって送ることが出来る。

これに最も適した暗号化アルゴリズムとしてワンタイムパッドがあり、これは不規則な秘密鍵を用いた際に証明可能安全性を持つ暗号方式として知られている。[1]

量子鍵交換[編集]

量子通信には量子状態にある情報や従来のビットに替わる量子ビットの符号化が含まれる。通常は光子が量子状態をあらわすのに用いられ、量子鍵配送はこの量子状態のもつ性質を活用することによって安全性を保証する試みである。量子鍵配送にはいくつか手法があり、量子状態のどの性質を利用するかによって二つのカテゴリーに分けられる。

プロトコルの準備と観測 
古典物理学と違い、「観測」は量子力学において不可分な領域である。通常、未知の量子状態を観測すると、その量子状態が変わってしまう。これは量子の不確定性と呼ばれ、不確定性原理情報撹乱定理複製不能定理などの根底を成している。この不確定性を利用することで通信における盗聴者を探知したり(盗聴者は通信を観測するため)、さらには傍受された情報量の算出なども可能である。
エンタングルメントを用いたプロトコル 
二つ以上の独立な物体の量子状態は、お互いに結び付けられることによって独立した状態から一つの結合状態となることが出来る。これは量子もつれ(エンタングルメント)と呼ばれ、例えば二つの物体が量子もつれ状態にあるとき、一方の物体を観測することが他方にも影響を及ぼす。仮に量子もつれ状態にある二つの物体がそれぞれ二者のあいだで共有されているとき、第三者がどちらかの物体(状態)を観測したとすると、全体の系も変わってしまうと同時に盗聴者の存在や傍受された情報量などが明らかになる。

さらにこれら二つの手法は、離散変数暗号化、連続変数暗号化、分散位相参照暗号化のそれぞれ三つのプロトコルへ分類することが出来る。離散変数暗号化プロトコルは最初に発明されたもので最も実装されているのもこのプロトコルである。それ以外の二つのプロトコルは実験的な検証段階である。以下に示す二つのプロトコルはどちらも離散変数型の暗号化プロトコルである。

BB84 protocol: Charles H. Bennett and Gilles Brassard (1984)[編集]

このプロトコルは光子の偏光状態を情報伝達に使用するもので、発明者と発表年から取ってBB84と呼ばれる。しかしながら、二つのペアとなる共役状態のものなら何でも代用できる。また、光ファイバーをつかった多くのBB84実装は符号化した位相状態を使用している。送信者(伝統的にはAlice)と受信者(Bob)は量子通信チャンネルと呼ばれる量子状態を伝送する経路で結ばれている。光子の場合は通常光ファイバーか、もしくは単に真空を媒体とする。更に量子通信チャンネルとは別に、従来の伝送経路である無線やインターネットを通して通信する。盗聴者(Eveとする)があらゆる手段で通信に干渉する場合を考えて設計されているため、どちらの経路も安全である必要はない。

BB84プロトコルは情報を非直交状態で暗号化することによって安全性を担保する。量子の不確定性とはこれらの状態が元の状態を変化させてしまうことなく観測することが不可能であるということを意味する(複製不能定理)。お互いに共役な二つの状態を扱うことによってそれぞれのペアがお互いに直交であることを利用する。組となる直交状態は基底と呼ばれる。通常の偏光状態の組は垂直に0°、水平に90°の直線偏光か、45°と135°の対角基底、あるいは右もしくは左まわりの円状基底のいずれかが用いられる。これらの組の中でお互いに共役なものが用いられる。以降の説明では直線基底と対角基底を用いる。

基底 0 1
PlusCM128.svg Arrow north.svg Arrow east.svg
Multiplication Sign.svg Arrow northeast.svg Arrow southeast.svg

BB84の最初のステップは量子伝送である。Aliceが無作為なビット(0か1)を生成し、伝送に用いる基底を二つのうちから一つ選択する(この場合直線基底か対角基底)。彼女は更にビットの値と基底の両方に依存する偏光状態を左の表のようにつくりだす。図の例では、0が直線基底において垂直偏光に、1が対角基底で135°の偏光にそれぞれ変換されている。Aliceはこのような偏光状態にある光子を量子通信チャンネルを通してBobへ送る。Aliceは偏光状態、基底、光子が送られたときの時間を記録しながらこのプロセスを繰り返す。

量子力学によれば(部分的には量子の不確定性)それぞれ違った4種類の偏光状態を区別することは4つすべてが直交にない限り不可能である。すなわち、二つの状態が直交である場合にのみ観測が成立する。例えば、直線基底で観測したときに光子の偏光状態は水平か垂直のいずれかである。もしこの光子が垂直か水平か(直線基底として)で生成されていた場合には正しい状態が観測されるが、45°や135°というような対角基底が用いられていた場合に直線基底での観測は垂直か水平の状態が不規則にあらわれる結果となる。更にこの光子は、観測に用いられた基底によって再度偏光され、初期偏光はすべて失われる。

Bobは送られてきた光子がどの基底を用いて偏光されているか分からないので、直線基底か対角基底どちらかを選びながら値を観測するしかない。Bobは光子を受け取った時間、観測に用いた基底とその結果を記録していく。すべての光子の観測を終えたBobは通常のチャンネルでAliceと通信する。Aliceは送った光子をつくるのに用いた基底、Bobは受け取った光子を観測するのに用いた基底をそれぞれ送信する。その後、BobがAliceが用いたのと異なる基底を使用して観測した約半数の値(ビット)を破棄すると、残りのビットが共有鍵となる。


Aliceのランダムなビット 0 1 1 0 1 0 0 1
Aliceが用いるランダムな基底 PlusCM128.svg PlusCM128.svg Multiplication Sign.svg PlusCM128.svg Multiplication Sign.svg Multiplication Sign.svg Multiplication Sign.svg PlusCM128.svg
Aliceが送る光子の偏光 Arrow north.svg Arrow east.svg Arrow southeast.svg Arrow north.svg Arrow southeast.svg Arrow northeast.svg Arrow northeast.svg Arrow east.svg
Bobが観測に用いるランダムな基底 PlusCM128.svg Multiplication Sign.svg Multiplication Sign.svg Multiplication Sign.svg PlusCM128.svg Multiplication Sign.svg PlusCM128.svg PlusCM128.svg
Bobが観測する光子の偏光 Arrow north.svg Arrow northeast.svg Arrow southeast.svg Arrow northeast.svg Arrow east.svg Arrow northeast.svg Arrow east.svg Arrow east.svg
PUBLIC DISCUSSION OF BASIS
共有鍵 0 1 0 1

更にAliceとBobは盗聴者の存在を確認するために残ったビット列のうち幾つかのサブセットを比較する。もし第三者(Eve='eavesdropper')が光子の偏光状態に関する情報を得ているとすると、Bobの観測結果に誤差が生じる。仮にp個以上のビットにその誤差が見られた場合、AliceとBobはこの鍵を破棄し、可能なら異なる量子通信チャンネルを使ってより安全な共有鍵の作成を試みる。pの値はEveに知られたビットの数がpよりも少ない場合に漏洩の痕跡のあるビットを適宜捨て、鍵の長さを短くすることによって秘匿性を保てるような値である(秘匿性増幅)。

E91 protocol: Artur Ekert (1991)[編集]

E91は量子もつれ状態にある光子の組を用いる。これらはAliceかBob、またはその二者以外の誰か(盗聴者Eveを含む)がつくりだす。これら光子は分散されるため、AliceとBobは結果的に組となっている光子のどちらか一つを受け取ることになる。

このプロトコルは量子もつれの二つの特性に依存している。一つ目は、AliceとBobが光子の偏光を観測するときに、100%の確率で同じ答えが得られるように量子もつれ状態にある光子は相関関係にあるということである。これは直交状態にある偏光であれば、どんな組でも真となる。しかしながら、Aliceが(故にBobも)光子の偏光状態を予測することは不可能である。二つ目に、盗聴者Eveによるいかなる傍受もこの相関関係を破壊し、AliceとBobはこれを探知できるという点である。オリジナルのエカートプロトコルでは三つの状態を想定されており、ベルの不等式を満たすかどうかによって傍受を探知する。

情報一致と秘匿性増幅[編集]

これまでに挙げてきた量子鍵配送プロトコルはAliceとBobにほぼ同一の共通鍵を供給し、双方の鍵に見られる相違も想定されている。そうした相違は第三者による傍受だけでなく、送受信経路や探知機の不具合などによる場合もある。何が原因で共有鍵に誤差が出ているのかを特定するのは困難であるため、安全性を保証するためにはすべての誤差は傍受によるものだと仮定することになる。共有鍵に現れる誤差の割合は一定のしきい値を下回る必要があり(2007年4月時点で20%[2])、二つの段階を踏んで訂正が行われる。まず最初に間違っているビットを取り除き、Eveが得た情報量の分だけ共有鍵の長さを短くする。これらの段階はそれぞ情報一致秘匿性増幅と呼ばれ、1992年に定義された。[3]

情報一致はAliceとBobの持つ共有鍵が同一であることを確かめるために二つの鍵間のエラー訂正を行うことを指す。これは通常の伝送回線を用いて行われるため、鍵についての情報の送受信は盗聴者Eveの存在を踏まえ最小限にすることが肝要である。情報一致に用いられる一般的なプロトコルに、1994年に提唱されたカスケードプロトコル[4]がある。このプロセスは両方の鍵を複数個のブロックに分けるため複数回に分けておこなわれ、それぞれのブロックのパリティを比較する。パリティに誤差が発見された場合には二分探索が実行され、誤差の訂正をおこなう。一度パリティ訂正が行われたブロックから再度誤差が検出された場合、そのブロックには別の誤差が含まれており、再度訂正が行われる。このプロセスは再帰的に繰り返され、カスケードプロトコルの名前の由来となっている。すべてのブロックのパリティに対し比較が終了した後、AliceとBobは鍵に含まれるビット列の順序を変更し再度比較検証を行う。こうして複数回の比較を終えると、AliceとBobは高確率で同一の鍵を共有していることとなるが、盗聴者Eveにとっても情報一致のプロセスで共有鍵についての新たな情報を得ることになる。

秘匿性増幅はEveの持つAliceとBobの共有鍵についての断片情報を縮小、あるいは効率的に削除するために行われる。Eveが得た断片情報には量子チャンネルを使った鍵の転送の際に傍受された(故に探知可能な誤差を引き起こした)ものと、通常の伝送チャンネルを用いて行われた情報一致の際に傍受されたもの(Eveはパリティと成りうるすべての情報を得たとする)がある。そこで秘匿性増幅はAliceとBobの鍵を元に新しく短い鍵を生成する。そうすること、Eveの持っている情報は新しい鍵のほんの一部でしかなくなる。このプロセスはユニバーサルハッシュ関数によって行われ、公知となっている幾つかの中から無作為に選択したハッシュ関数へ、鍵と同じになるような長さのビット列を入力し、決められた長さへと短縮されたビット列を出力する。新しい鍵がどれくらい短くなるかは盗聴者Eveが元の鍵についての情報をどれくらい得ているか(エラーによって探知される)によって定まり、新しい鍵についての情報の漏洩を限りなく低くすることが出来る。

実装[編集]

実験[編集]

現在実証されているも鍵交換で最も高いビットレートは、ケンブリッジ大学東芝の連携によって実現されていて、BB84プロトコルとデコイパルスを用いた20 kmの光ファイバーで1 Mbit/s、10 kbit/sで100 kmである。[5] 2007の時点で光ファイバーを用いた量子鍵配送の最長距離はBB84プロトコルを用いた148.7kmで、ロスアラモス国立研究所アメリカ国立標準技術研究所によって実証された。[6]重要なのは、この距離は今日の光ファイバーネットワークで用いられるほとんどすべての長さを満たしているということである。実空間で行われた量子鍵配送の最長記録は144kmで、欧州が協調し量子もつれ状態にある光子(E91プロトコル)で2006年[7]に、また2007年にデコイ状態を付加したBB84プロトコルを用いて[8] in 2007.[9]カナリア諸島で達成された。この実験によって、高い高度では大気の密度が低いため、衛星への通信が可能であることも示唆された。たとえばISSからESA宇宙デブリ望遠鏡までの距離は約400 kmだが、大気の密度でいえばこの実験環境よりも小さく、より小さな減衰で済むとされている。

商業利用[編集]

現在量子鍵配送システムのサービスを提供しているのは、id Quantique (ジュネーブ)、MagiQ Technologies (ニューヨーク)、SmartQuantum (フランス)、そしてQuintessence Labs (オーストラリア)の四社である。この他にも、東芝HPIBM三菱NECNTTなどの企業が積極的な研究を行っている。 (外部リンク参照)

スイスの企業であるid Quantiqueによって提供されている量子暗号技術は2007年10月21日にスイスの地方行政区画で行われた国政選挙で国会議事堂への票結果を転送するために使用された。[10]

また2004年には量子鍵配送を用いた世界初の銀行振込がオーストリアウィーンで実施された。絶対的な安全性が要求されたウィーン市長から国内の銀行への小切手が転送された。[11]

量子鍵配送ネットワーク[編集]

DARPA[編集]

量子鍵配送によって保護されたDARPA Quantum network [12]は10ノードの量子鍵配送ネットワークで、アメリカマサチューセッツ州で2004年より運用されている。BBNテクノロジーズハーバード大学ボストン大学QinetiQが開発している。

SECOQC[編集]

量子鍵配送により守られた世界で最初のコンピュータネットワークは2008年10月にウィーンで行われた科学会議で実施された。このプロジェクトはSECOQC(Secure Communication Based on Quantum Cryptography)と呼ばれ、EUが出資している。200 kmの標準的な光ファイバーケーブルでウィーンから西に69 km離れたザンクト・ペルテンの街を結ぶ六ヶ所を繋いでネットワークを形成した。[13]

Tokyo QKD Network[編集]

東京QKDネットワーク(Tokyo QKD Network)[14]は量子暗号・量子通信国際会議(UQCC2010)の初日に発足した。日本からはNEC三菱電機NTTNICT、そしてToshiba Research Europe Ltd. (イギリス)、Id_Quantique(スイス)、「ALL Vienna」の七つの団体の国際的な後援の元に行われた。「ALL Vienna」はオーストリア技術研究所(AIT)量子光学量子情報学研究所(IQOQI)ウィーン大学からの研究者の代表である。

参照[編集]

  1. ^ C. E. Shannon , Bell Syst. Tech. J. 28, 656 (1949)
  2. ^ H. Chau, Physical Review A 66, 60302 (2002) ([1])
  3. ^ C. H. Bennett, F. Bessette, G. Brassard, L. Salvail and J. Smolin "Experimental Quantum Cryptography" Journal of Cryptology vol.5, no.1, 1992, pp. 3-28.
  4. ^ G. Brassard and L. Salvail "Secret key reconciliation by public discussion" Advances in Cryptology: Eurocrypt 93 Proc. pp 410-23 (1993) ([2])
  5. ^ A. R. Dixon, Z. L. Yuan, J. F. Dynes, A. W. Sharpe, and A. J. Shields. Optics Express, Vol. 16, Issue 23, pp. 18790-18979 ([3], See also [4])
  6. ^ New Journal of Physics 8 193 (2006) ([5])
  7. ^ R. Ursin, et al. Nature Physics 3, 481 - 486 (2007) ([6])
  8. ^ H.-K. Lo, X. Ma and K. Chen: "Decoy State Quantum Key Distribution". Physical Review Letters 94, 230504 (See also [7])
  9. ^ T. Schmitt-Manderbach, et al.: "Experimental demonstration of free-space decoy-state quantum key distribution over 144 km." Physical Review Letters 98.1 010504 (2007)
  10. ^ http://www.technewsworld.com/story/59793.html technewsworld.com
  11. ^ http://www.secoqc.net/downloads/pressrelease/Banktransfer_english.pdf secoqc.net
  12. ^ Quantum cryptography network gets wireless link - info-tech - 07 June 2005 - New Scientist
  13. ^ 'Unbreakable' encryption unveiled
  14. ^ Tokyo QKD Network unveiled at UQCC 2010