知財求人 - 知財ポータルサイト「IP Force」
特許5751649量子暗号装置の単一光子検出器を制御しようとする攻撃を、効率をランダムに変えることによって検出するための装置及び方法
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5751649
(24)【登録日】2015年5月29日
(45)【発行日】2015年7月22日
(54)【発明の名称】量子暗号装置の単一光子検出器を制御しようとする攻撃を、効率をランダムに変えることによって検出するための装置及び方法
(51)【国際特許分類】
H04L 9/12 20060101AFI20150702BHJP
【FI】
H04L9/00 631
【請求項の数】60
【全頁数】24
(21)【出願番号】特願2013-532284(P2013-532284)
(86)(22)【出願日】2011年10月10日
(65)【公表番号】特表2013-539327(P2013-539327A)
(43)【公表日】2013年10月17日
(86)【国際出願番号】IB2011002372
(87)【国際公開番号】WO2012046135
(87)【国際公開日】20120412
【審査請求日】2014年10月2日
(31)【優先権主張番号】61/391,127
(32)【優先日】2010年10月8日
(33)【優先権主張国】US
(73)【特許権者】
【識別番号】507059761
【氏名又は名称】アイディー クアンティック エス.アー.
(74)【代理人】
【識別番号】100123663
【弁理士】
【氏名又は名称】広川 浩司
(72)【発明者】
【氏名】レグレ,マチュー
(72)【発明者】
【氏名】リボーディ,グレゴワール
【審査官】
青木 重徳
(56)【参考文献】
【文献】
特開2006−203559(JP,A)
【文献】
特表2006−512879(JP,A)
【文献】
特表2008−518509(JP,A)
【文献】
特開2012−069944(JP,A)
【文献】
米国特許出願公開第2004/0161109(US,A1)
【文献】
米国特許出願公開第2006/0088159(US,A1)
【文献】
中国特許出願公開第101820343(CN,A)
【文献】
佐々木 雅英、藤原 幹生,“進化する先端フォトニックデバイス 2.量子情報処理技術の新展開 特集2−4 量子情報技術の実現に向けた格子検出技術”,電子情報通信学会誌,日本,社団法人電子情報通信学会,2008年11月 1日,第91巻、第11号,p.952−958
【文献】
Vadim Makarov,“Controlling passively-quenched single photon detectors by bright light”,NEW JOURNAL OF PHYSICS,英国,INSTITUTE OF PHYSICS PUBLISHING,2009年 6月 1日,V11 N6
【文献】
Z L Yuan, J F Dynes, A J Shields,“Avoiding the Detector Blinding Attack on Quantum Cryptography”,Quantum Physics (quant-ph),[online],2010年 9月30日,arXiv:1009.6130,P.1-4,URL,<http://arxiv.org/ftp/arxiv/papers/1009/1009.6130.pdf>
【文献】
N. Gisin, S. Fasel, B. Kraus, H. Zbinden, and G. Ribordy,“Trojan-horse attacks on quantum-key-distribution systems”,PHYSICAL REVIEW A 73,[online],2006年 2月13日,022320,p.022320-1〜022320-6,[retrieved on 2015-04-21]. Retrieved from the internet,URL,<http://journals.aps.org/pra/pdf/10.1103/PhysRevA.73.022320>
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/12
JSTPlus/JMEDPlus/JST7580(JDreamIII)
IEEE Xplore
(57)【特許請求の範囲】
【請求項1】
受信ステーションと、送信ステーションと、少なくとも1つの量子チャネルと、少なくとも1つの単一光子検出器を備えたサブシステムとを有する量子暗号装置であって、
上記サブシステムに上記量子チャネルを介して光を送信して行われる能動的攻撃を検出するために、上記サブシステムは上記少なくとも1つの単一光子検出器の少なくとも1つの設定パラメータにおけるランダムな変化の入力を処理し、設定パラメータの測定される検出確率値と期待される検出確率値を比較するように構成され、さらに上記サブシステムは上記攻撃によって誘発されるアラームサブシステムからなることを特徴とする量子暗号装置。
上記サブシステムに上記量子チャネルを介して光を送信して行われる能動的攻撃を検出するために、上記サブシステムは上記少なくとも1つの単一光子検出器の少なくとも1つの設定パラメータにおけるランダムな変化の入力を処理し、設定パラメータの測定される検出確率値と期待される検出確率値を比較するように構成され、さらに上記サブシステムは上記攻撃によって誘発されるアラームサブシステムからなることを特徴とする量子暗号装置。
【請求項2】
さらなる通信チャネルから構成されることを特徴とする請求項1に記載の装置。
【請求項3】
上記単一光子検出器の上記設定パラメータは、送信される各キュービットに対して上記アラームサブシステムによって個別に設定されることを特徴とする請求項1に記載の装置。
【請求項4】
上記単一光子検出器の上記設定パラメータは、送信されるキュービットのグループ毎に上記アラームサブシステムによって設定されることを特徴とする請求項1に記載の装置。
【請求項5】
上記アラームサブシステムによって設定された上記量子暗号装置のサブシステムにおける上記単一光子検出器の上記設定パラメータは、検出効率であることを特徴とする請求項1に記載の装置。
【請求項6】
上記アラームサブシステムは、検出効率を少なくとも異なる2つの数値に設定するように構成されることを特徴とする請求項5に記載の装置。
【請求項7】
上記アラームサブシステムは、上記検出効率の数値の一方を0に設定することを特徴とする請求項6に記載の装置。
【請求項8】
上記アラームサブシステムは、上記受信サブシステムの効率の各設定に対応する少なくとも1つのキュービット検出確率が所定の間隔に生じない場合、上記量子暗号システムの処理ユニットに送信されるアラーム信号を発生することを特徴とする請求項5に記載の装置。
【請求項9】
上記アラームサブシステムは、上記受信サブシステムの効率パラメータが0に設定されているときに少なくとも1つの検出が記録された場合、上記量子暗号システムの処理ユニットに送信されるアラーム信号を発生することを特徴とする請求項5に記載の装置。
【請求項10】
上記量子暗号システムの受信サブシステムは、ガイガーモードで動作する少なくとも1つのアバランシェフォトダイオードをベースとした単一光子検出器から構成されることを特徴とする請求項1に記載の装置。
【請求項11】
上記アバランシェフォトダイオードは自走モードで動作することを特徴とする請求項10に記載の装置。
【請求項12】
上記アラームサブシステムは、自走モードで動作する上記アバランシェフォトダイオードに印加されるバイアス電圧に作用する手段から構成されることを特徴とする請求項11に記載の装置。
【請求項13】
上記アバランシェフォトダイオードはゲートモードで動作することを特徴とする請求項10に記載の装置。
【請求項14】
上記アラームサブシステムは、ゲートモードで動作する上記アバランシェフォトダイオードに印加されるバイアス電圧に作用する手段から構成されることを特徴とする請求項13に記載の装置。
【請求項15】
上記アラームサブシステムは、ゲートモードで動作する上記アバランシェフォトダイオードに適用されるアクティベーション信号の振幅に作用する手段から構成されることを特徴とする請求項13に記載の装置。
【請求項16】
上記量子暗号システムの上記サブシステムは、受信キュービットのエネルギーアップコンバージョンをベースとした少なくとも1つの単一光子検出器から構成されることを特徴とする請求項1に記載の装置。
【請求項17】
上記アラームサブシステムは、エネルギーアップコンバージョンをベースとした単一光子検出器のポンプパワー(pump power)に作用する手段から構成されることを特徴とする請求項16に記載の装置。
【請求項18】
上記アラームサブシステムは、エネルギーアップコンバージョンをベースとした単一光子検出器の位相整合条件に作用する手段から構成されることを特徴とする請求項16に記載の装置。
【請求項19】
エネルギーアップコンバージョンをベースとした単一光子検出器の出力段階で用いられる単一光子検出器は、自走モードで動作することを特徴とする請求項16に記載の装置。
【請求項20】
上記アラームサブシステムは、エネルギーアップコンバージョンをベースとした単一光子検出器の出力段階で用いられる上記単一光子検出器のバイアス電圧に作用する手段から構成されることを特徴とする請求項19に記載の装置。
【請求項21】
エネルギーアップコンバージョンをベースとした単一光子検出器の出力段階で用いられる単一光子検出器は、ゲートモードで動作することを特徴とする請求項16に記載の装置。
【請求項22】
上記アラームサブシステムは、エネルギーアップコンバージョンをベースとした単一光子検出器の出力段階で用いられる上記単一光子検出器のバイアス電圧に作用する手段から構成されることを特徴とする請求項21に記載の装置。
【請求項23】
上記アラームサブシステムは、エネルギーアップコンバージョンをベースとした単一光子検出器の出力段階で用いられる上記単一光子検出器に適用されるアクティベーションの振幅に作用する手段から構成されることを特徴とする請求項21に記載の装置。
【請求項24】
上記量子暗号システムの上記受信サブシステムは、少なくとも1つの超電導単一光子検出器から構成されることを特徴とする請求項1に記載の装置。
【請求項25】
上記アラームサブシステムは、超電導単一光子検出器の分極電流(polarization current)に作用する手段から構成されることを特徴とする請求項24に記載の装置。
【請求項26】
上記アラームサブシステムは、超電導単一光子検出器の作動温度に作用する手段から構成されることを特徴とする請求項24に記載の装置。
【請求項27】
上記アラームサブシステムによって設定される量子暗号装置のサブシステムの設定パラメータは、単一光子検出器のアクティベーションタイミングであることを特徴とする請求項1に記載の装置。
【請求項28】
上記アラームサブシステムは、上記アクティベーションタイミングを少なくとも2つの異なる数値に設定可能であることを特徴とする請求項27に記載の装置。
【請求項29】
上記アラームサブシステムは、上記受信サブシステムのアクティベーションタイミングの各設定に対応する少なくとも1つのキュービット検出確率が所定の間隔と一致しなかった場合、上記量子暗号システムの処理ユニットに送信されるアラーム信号を発生することを特徴とする請求項27に記載の装置。
【請求項30】
上記量子暗号システムの上記サブシステムは、ガイガーモードで動作するアバランシェフォトダイオードをベースとした少なくとも1つの単一光子検出器から構成されることを特徴とする請求項27に記載の装置。
【請求項31】
上記アバランシェフォトダイオードは自走モードで動作することを特徴とする請求項30に記載の装置。
【請求項32】
上記アラームサブシステムは、自走モードで動作する上記アバランシェフォトダイオードに適用される受け入れタイミングに作用する手段から構成されることを特徴とする請求項31に記載の装置。
【請求項33】
上記アバランシェフォトダイオードはゲートモードで動作することを特徴とする請求項30に記載の装置。
【請求項34】
上記アラームサブシステムは、ゲートモードで動作する上記アバランシェフォトダイオードに適用されるアクティベーションゲートのアクティベーションゲートタイミングに作用する手段から構成されることを特徴とする請求項33に記載の装置。
【請求項35】
上記アラームサブシステムは、ゲートモードで動作する上記アバランシェフォトダイオードに適用される受け入れタイミングに作用する手段から構成されることを特徴とする請求項33に記載の装置。
【請求項36】
上記量子暗号装置の上記サブシステムは、受信光子のエネルギーアップコンバージョンをベースとした少なくとも1つの単一光子検出器から構成されることを特徴とする請求項27に記載の装置。
【請求項37】
上記アラームサブシステムは、エネルギーアップコンバージョンをベースとした単一光子検出器の受け入れタイミングに作用する手段から構成されることを特徴とする請求項36に記載の装置。
【請求項38】
上記アラームサブシステムは、エネルギーアップコンバージョンをベースとした単一光子検出器の出力段階で用いられる単一光子検出器に適用されるアクティベーションゲートのアクティベーションゲートタイミングに作用する手段から構成されることを特徴とする請求項36に記載の装置。
【請求項39】
上記量子暗号システムの上記受信サブシステムは、少なくとも1つの超電導単一光子検出器から構成されることを特徴とする請求項27に記載の装置。
【請求項40】
上記アラームサブシステムは、超電導単一光子検出器の受け入れタイミングに作用する手段から構成されることを特徴とする請求項39に記載の装置。
【請求項41】
敵対者による量子暗号システムに対する能動的攻撃を検出するための方法であって、
‐上記量子暗号装置のサブシステムにおける単一光子検出器において、いくつかの受信キュービットに対する設定パラメータを変更するステップ、
‐複数の検出事象を収集するステップ、
‐特定の事象それぞれに適用される設定パラメータの数値に応じて検出事象を分類するステップ、
‐設定パラメータの数値に対する検出確率を計算するステップ、及び
‐少なくとも1つの上記確率が所定の間隔と一致しなかった場合、アラーム信号を発生するステップ
から構成される方法。
‐上記量子暗号装置のサブシステムにおける単一光子検出器において、いくつかの受信キュービットに対する設定パラメータを変更するステップ、
‐複数の検出事象を収集するステップ、
‐特定の事象それぞれに適用される設定パラメータの数値に応じて検出事象を分類するステップ、
‐設定パラメータの数値に対する検出確率を計算するステップ、及び
‐少なくとも1つの上記確率が所定の間隔と一致しなかった場合、アラーム信号を発生するステップ
から構成される方法。
【請求項42】
上記量子暗号装置のサブシステムにおける上記単一光子検出器の設定パラメータは、受信する各キュービットに対して個別に設定されることを特徴とする請求項41に記載の方法。
【請求項43】
上記量子暗号装置のサブシステムにおける上記単一光子検出器の設定パレメータは、受信するキュービットのグループ毎に設定されることを特徴とする請求項41に記載の方法。
【請求項44】
変更される上記設定パラメータは、上記量子暗号装置のサブシステムにおける少なくとも1つの単一光子検出器の検出効率であることを特徴とする請求項41に記載の方法。
【請求項45】
上記検出効率は、少なくとも2つの異なる数値に設定されることを特徴とする請求項44に記載の方法。
【請求項46】
上記検出効率の上記数値の一方は0に相当することを特徴とする請求項45に記載の装置。
【請求項47】
上記受信サブシステムの効率の各設定に対応する少なくとも1つのキュービット検出確率が所定の間隔と一致しなかった場合、アラームが誘発されることを特徴とする請求項41に記載の方法。
【請求項48】
上記検出効率が0に設定されているときに上記量子暗号装置のサブシステムに少なくとも1つの検出が記録された場合、アラームが誘発されることを特徴とする請求項41に記載の方法。
【請求項49】
変更される上記設定パラメータは、上記量子暗号装置のサブシステムにおける少なくとも1つの単一光子検出器のアクティベーションタイミングであることを特徴とする請求項41に記載の方法。
【請求項50】
上記アクティベーションタイミングは、少なくとも2つの異なる数値に設定されることを特徴とする請求項49に記載の方法。
【請求項51】
敵対者によるアラームサブシステムを有するQC装置の単一光子検出器に対する能動的攻撃を検出するための方法であって、
a)アラームサブシステムから単一光子検出器に送信される設定パラメータ値をランダムに選択するステップ、
b)アラームサブシステムから送信された設定パラメータ値に応じて、伝送線を介して処理ユニットから受信した数値を分類するステップ、
c)それぞれの可能な設定パラメータ値の検出確率をデータから算出するステップ、及び
d)算出した検出効率値を期待される数値と比較し、これらの数値が一致しない場合、盗聴者による攻撃の可能性を示すアラームを誘発するステップ
から構成される方法。
a)アラームサブシステムから単一光子検出器に送信される設定パラメータ値をランダムに選択するステップ、
b)アラームサブシステムから送信された設定パラメータ値に応じて、伝送線を介して処理ユニットから受信した数値を分類するステップ、
c)それぞれの可能な設定パラメータ値の検出確率をデータから算出するステップ、及び
d)算出した検出効率値を期待される数値と比較し、これらの数値が一致しない場合、盗聴者による攻撃の可能性を示すアラームを誘発するステップ
から構成される方法。
【請求項52】
上記アラームサブシステムは、上記量子暗号装置サブシステムにおける上記単一光子検出器のための上記設定パラメータを、受信する各キュービットに対して個別に選択することを特徴とする請求項51に記載の方法。
【請求項53】
上記アラームサブシステムは、上記量子暗号装置サブシステムにおける上記単一光子検出器のための上記設定パラメータを、受信するキュービットのグループ毎に選択することを特徴とする請求項51に記載の方法。
【請求項54】
上記アラームサブシステムは、上記量子暗号装置サブシステムにおける単一光子検出器のうち少なくとも1つの検出効率を変更することを特徴とする請求項51に記載の方法。
【請求項55】
上記検出効率は、少なくとも2つの異なる数値に設定されることを特徴とする請求項54に記載の方法。
【請求項56】
上記検出効率の数値のうち1つは0に等しいことを特徴とする請求項55に記載の方法。
【請求項57】
上記受信サブシステムの効率の各設定に対応するキュービット検出効率の少なくとも1つが所定の間隔と一致しなかった場合、アラームが誘発されることを特徴とする請求項51に記載の方法。
【請求項58】
上記検出効率が0に設定されている時に、上記量子暗号装置サブシステムで少なくとも1つの検出が記録された場合、アラームが誘発されることを特徴とする請求項51に記載の方法。
【請求項59】
上記アラームサブシステムは、上記量子暗号装置サブシステムにおける単一光子検出器の少なくとも1つのアクティベーションタイミングを変更することを特徴とする請求項51に記載の方法。
【請求項60】
上記アクティベーションタイミングは少なくとも2つの異なる数値に設定されることを特徴とする請求項59に記載の方法。
【発明の詳細な説明】
【関連出願の相互参照】
【0001】
本出願は2010年10月8日に出願された米国仮出願第61/391,127号の便益を主張し、その全ての内容はここに参照に取り入れられる。
【背景技術】
【0002】
本出願は主に量子暗号の分野に関し、詳細には量子暗号装置の単一光子検出器の制御を試みる又はキュービットを分析するために量子暗号装置の受信機で用いられる測定基底を読み取ろうとする攻撃の検出を可能にする装置及び方法に関する。これらの攻撃は共に、量子チャネルを介して受信機に強い光(intense light)を送信することで行われる。
【0003】
量子暗号(QC)の論理上の安全性は、理想的な実装に関しては正式に証明されている。QCについての詳細な論争は、参照として本件に取り入れられる上記米国仮出願の背景技術に記載されており、本発明を十分に理解する上で有益となる。QCシステムの実際の実装は、安全性証明に記載されるモデルにできる限り近似するようになされるが、モデルと実装との間で相違が生じることは常である。
【0004】
昨今では、これらの相違をQCシステムの安全性を破るために利用しようという試みが研究者達によって行われてきた。様々な方策が、主に単一光子検出器を対象として提案及び試験された。1つ目の攻撃の種類は、ボブの2つの検出器間における一時的なミスマッチを利用して行われる。QCシステムでは、通常2つの単一光子検出器(SPD)が備えられることを注目されたい。BB84プロトコルでは、各検出器にビット値が割り当てられる。このため、どちらの検出器が発したかを盗聴者が知っている場合、送信者と受信者の間で交換されたビット値も知ることが可能である。この攻撃に関する実装については、Y.Zhao、C.F. Fung、B.Qi、C.Chen及びH.LoによるPhysical Review A 第78巻(2008)において説明されており、その文献の技術的内容は本発明に参照に取り入れられる(成功の主張に関しては本件の参照としては取り入れない)。2つの検出器の間でわずかな一時的ミスマッチがあれば、それを悪用して検出器1がアクティブで検出器2がアクティブでないタイミング、またはその逆のタイミングで光を送信することも可能となる。つまり、盗聴者はある特定の時刻に光子が到着するように送信することで、検出器1又は検出器2の一方のみで検出されるように設定可能となることを意味する。
【0005】
QCシステムのSPDに対して行われる最新の攻撃の類は、検出器の完全な制御を可能としてしまう。最初の実験は、V.Makarovによるシリコンアバランシェフォトダイオード(APD)をベースとしたSPDに行われた。第1の手法に関してはNew Journal of Physics 第11巻(2009)で説明されており、その技術的内容は(成功の主張を除き)参考することにより本発明に取り入れられる。この攻撃の主な理論は、強い連続波(CW)を送ることによってシリコンAPDをベースとしたSPDをブラインド状態にすることである。実際、単一光子検出器に対する光量が多すぎると飽和状態となり、0に達するまで検出数は徐々に減少していく。検出数が0に達しても、さらに光の強度が増加すると、検出器はブラインド状態となる。この現象は、明るい光(bright light)が有する多大な数の光子を受けて検出の数が膨大になることに起因する。なだれの数があまりに多くなるため、APDの電位差が破壊電圧に近い数値まで低下するのだ。多くのなだれが生じるとAPDに常に多大な電流が流れるという事実があるため、この低下が生じるのは容易に理解できる。受動消滅回路では抵抗器はAPDと直列に設置されるため、APDに流れる電流は抵抗器にも流れる。直列に配列された全ての部品に加わる電圧の合計は固定されているため、この電流によって抵抗器にかかる電圧が増加するとAPDの電位差が低下する。低下しても数値が十分に高ければAPDはガイガーモードのままだが、光子吸収によって生じるなだれが電気回路の分別器で検出できないほど小さければ、明るい光によってAPDはブラインドになる可能性がある。明るい光が消されると、ほんの数マイクロ秒後にはAPDは再びアクティブになる。そして、再び強い光を発すれば検出が発動されてSPDをまたブラインドにすることが可能である。明るい光パルスの列を制御することで、盗聴者はSPDを一定期間だけブラインドにし、関心のある時刻に検出が行われるように強いることもできる。つまり、盗聴者は単一光子検出モジュールに対する相当な制御を得ることが可能となる。V.Makarovは、さらに最近の研究で、SiAPDをベースとするSPDの制御を試みる別の方法を示しており(その詳細はQuantum Communication Workshop 2010でのプレゼンテーションで開示されている(http://www.sarafelloni.com/QIW/QCW2010/infodownload/qcw2010-presentations))、その技術内容は参照により本件に取り入れられる(成功の主張は参考として取り入れられない)。この新たな方法も、CW光によってSPDをブラインドにする工程からなるが、この場合はCW光の強さが前回の実験よりもさらに強く、APDはガイガーモードでは全く動作しなくなり、常にリニアモード(linear mode)で維持される。このようにすることで、盗聴者が明るい光パルスを送ると、リニアモードでの検出結果はAPDの出力では電気パルスとなる。この方法によると、光パルスの強度が十分に強ければ、電気パルスの振幅もSPDの分別器で検出可能となる程度に高くなることが示される。盗聴者は、まず検出器をブラインドにし、リニアモードで検出される明るい光パルスを送ることでSPDのある程度の制御を獲得する。この方法によって、盗聴者はQC受信機に盗聴者が検出させたいものを検出するように仕向けることができる。盗聴者が単一光子検出器の受信機の制御を得ることができたら、最後の秘密鍵を解くのに十分な情報が入手可能となる。
【0006】
量子チャネルを介してQCシステムに明るい光を送ることで、QCシステムにトロイの木馬攻撃と呼ばれる別の種類の攻撃を仕掛けることができる。トロイの木馬攻撃の主な理論は、QCシステムの状態に関する何らかの情報を抽出するために、QCシステムから返される光を分析することである。この場合、QCシステムに送信される光はプローブ信号として用いられる。この種類の攻撃の2つの例は、A.Vakhitov、V.MakarovとD.R.HjelmeによるJournal of Modern optics 第48巻、2023−2038(2001)と、N.Gisin、S.Fasel、B.Kraus、H.ZbindenとG.RibordyによるPhysical Review A 第73巻、022320(2006)に示されており、これらの技術内容は(成功の主張を除き)参照することで本件に取り入れられる。どちらの例でも、著者はBB84の実装に対して、参照することで本件に取り入れられるPaul Townsendらによる「10km長さの光ファイバー干渉計における単一光子干渉」、Eledtron.Lett.29、634−639(1993)で提案される位相符号化を用いて攻撃を行っている。この実装の場合、単一光子の位相によって量子状態が定義される。QC送信機では、位相変調器を用いてこの位相をある光子から別の光子に変えることができる。さらに、送信機から送信された量子状態を分析するための測定基底を選択するために、QCの受信機においても同様の位相変調器が用いられる。これらの攻撃の創作者は、量子チャネルを介してQCシステムに明るい光を送り、QC装置から返される光の一部を分析することで、位相変調器によって適用された位相値を測定することが可能になると主張している。この実験は、主にQCの送信機に対して行われているが、理論上はQCの受信機に対しても行うことができる。ビット値を符号化するのに用いられた位相値を入手することで、また受信機に対する攻撃の場合は用いられたQCプロトコル(例えば、その技術内容が参照することにより本件に取り入れられるV Scarani、A Achin、G RibordyとN GisinのPhysical Review Letters 第92号、057901(2004)にて開示されるSARG)を入手することで、盗聴者は最後の秘密鍵を知るために必要な全ての情報を得ることができる。受信機にトロイの木馬攻撃が仕掛けられると、非常に感度の良い光検出器である単一光子検出器によって、攻撃は容易に検出されることが期待される。しかし、検出ノイズによる影響を減らすために、単一光子検出器は持続的にアクティブな状態にはないか、あるいはある特定の受け入れ期間(period of acceptance)においてのみしか検出が行われない。検出器がアクティブ状態にはない時、又は受け入れ期間外にトロイの木馬攻撃が行われた場合、受信機で記録されるような検出は攻撃によって誘発されない。このように、QCシステムはトロイの木馬攻撃を検出することはできない。例えば、位相符号化の実装の場合、トロイの木馬攻撃は、変調器の量子状態が変調状態であればいつでも実行できる。実用上の理由により、変調器の量子状態が変調状態に設定される時間は、SPDがアクティブな状態又は検出が受け入れられる状態にある時間よりも比較的長い。
【0007】
要約すると、量子暗号は安全に秘密鍵を交換する有効な方法である。この技術の論理上の安全性証明は、完璧なモデルを考慮して立証されている。しかし、QCの実際の実装は考慮された理想的なモデルとは微妙に異なるため、少なくとも理論上では、サイドチャネル攻撃を受ける可能性も考えられる。このサイドチャネル攻撃の最近の2つの例は、量子チャネルに強い光を送り込むことを基にしたものである。1つ目の例では、結果として単一光子検出器の完全な制御を獲得するとされ、2つ目の例では、結果的にビット値の符号化で用いられた量子状態又は量子分析のために選択された測定基底に関する情報を獲得するとされている。
【0008】
従って、このようなセキュリティの抜け穴を無くすために必要とされるのは、これらの類の攻撃を検出するシステム及び方法である。
【発明の概要】
【0009】
単一光子検出器を有するQC装置に、量子チャネルを介して明るい光を送り込むことによって行われる攻撃を検出するための装置及び方法を提供する。本発明は、量子暗号装置の単一光子検出器を制御しようと試みる攻撃と、送信者が選択した量子状態又は量子状態の分析のために受信者が選択した測定基底のいずれかの入手を試みるトロイの木馬攻撃として知られる攻撃の、周知の少なくとも2種類の攻撃からQCシステムを保護する。本発明は、これら単一光子検出器の設定パラメータをランダムに変更することと、単一光子検出器の各設定パラメータの測定された検出確率値を期待される検出確率値と比較することを組み合わせて行うことに依拠する。単一光子検出器の変更された設定パラメータは、例えば検出器の効率及び/又はアクティベーションタイミング(activation timing)であってもよい。
【0010】
本発明の主な目的は、QCシステムにおける単一光子検出器に対して行われる攻撃を検出することである。これらの攻撃は、盗聴者による装置のSPDの完全な制御を可能とすることを意図されている。
【0011】
実施例の1つにおいて、本発明によるシステム及び方法は、SPDの効率値をランダムに変え、データ取得後に異なる検出確率値を確認することによって、上記のような攻撃を検出する。
【0012】
本発明の副次的な目的は、少なくとも1つの単一光子検出器を有するQC装置に対して行われるトロイの木馬タイプの攻撃を検出することである。この種類の攻撃は、送信者が選択した量子状態又は受信者が選択した測定基底に関する情報を盗聴者に与えることを意図している。
【0013】
また別の実施例では、本発明のシステム及び方法はSPDのアクティベーションタイミングの期間をランダムに変更し、データ入手後に異なる検出確率を確認することで上記の攻撃を検出する。
【0014】
本発明のその他の目的及び利点は、添付の図面と共に、本発明の実施例が実例としてのみ開示される以下の記載を参照することにより明らかとなる。
【図面の簡単な説明】
【0015】
【図1】本発明の一実施例における量子暗号装置の回路図を示す。
【図2】本発明の一実施例における単一光子検出装置の回路図を示す。
【図3】従来技術におけるAPDをベースとした単一光子検出器の回路図を示す。
【図4】本発明の一実施例におけるAPDをベースとした単一光子検出器の回路図を示す。
【図5】本発明の一実施例におけるAPDをベースとした単一光子検出器と波長変換処理の組み合わせを基にした単一光子検出器の回路図を示す。
【図6】本発明の一実施例における超電導体をベースとした単一光子検出器を示す。
【図7】本発明が量子暗号システムに組み込まれた際の検出収集及び処理の高レベル流れ図を示す。
【図8】予期される着信キュービットにつき効率と関連するアクティブ化ゲート振幅を表す、伝送線410と126を通過して伝播される信号を示す。
【図9】QC装置のSPDに行われた攻撃に対して防護対策が行われた場合における、アラームに繋がる例示的な信号処理のグラフを示す(この場合、アラームサブシステム400は、いくつかのアクティブ化ゲートを抑制するために動作する)。
【図10】少なくとも1つの単一光子検出器を有するQC装置に行われるトロイの木馬攻撃に対して防護対策が行われた場合における、アラームにつながる信号処理の例を示す(この場合、アラームサブシステム400は、アクティブ化ゲートの幅がゲート毎で異なるように動作する)。
【好適な実施例の詳細な説明】
【0016】
好適な実施例の詳細な説明は、以下に記載される。しかし、本発明は様々な形態で実施可能であることを理解されたい。従って、本件で開示される具体的詳細は限定的なものではなく、むしろ請求項の基盤として、また実質的にあらゆる適切なシステム、構造、方法における本発明の利用を当業者に教えるための代表的な基盤として解釈されたい。
【0017】
上記で説明したように、強い光でブラインドにすることで、シリコンAPDをベースとした単一光子検出器(SPD)の制御が可能となることが、ある研究者達によって実証された。その他の単一光子検出技術における攻撃実験も、近いうちに実証されるであろう。このようなSPDの完全な制御が可能となることは、現在のQCシステムの安全性の低下を意味する。
【0018】
単一光子の検出による電気パルスと攻撃による電気パルスとの違いを区別するのは不可能であると言われている。このため、全ての電気パルスは潜在的な検出であると仮定する必要がある。多数の検出が記録されると、検出は秘密鍵の抽出のために処理される。この処理では、検出の確率が測定され、期待される検出確率と比較される。得られた2つの確率値が同じではない場合(その差異は所定のしきい値よりも小さくなければならない)、データは秘密鍵の抽出には使用されずに破棄される。検出確率に課されたこの条件は、QCの安全性保障のために非常に重要である。不運にも、盗聴者がSPDの制御を得た場合、期待される検出確率を知ることができ、測定される検出確率が期待される確率と等しくなるように攻撃を行うことができる。このため、攻撃を検出するために、受信者は盗聴者が続行するのに必要となる方法に不確定性を導入する。もし、受信者が少なくとも2つのSPD効率値をランダムに切り替え、効率値によってデータをソートすれば、各効率値には関連する1つの検出確率値が与えられる。盗聴者は攻撃を行う前に効率値を知ることができないため(効率値は、例えば受信装置に光パルスが入ったらすぐに選択される)、どの検出確率を模倣すべきか判らない。このため、異なる検出効率値を確認することで攻撃を検出することが可能となる。測定された異なる検出確率の全てが、対応する期待された検出確率値と一致した場合、盗聴者によって単一光子検出器が制御されていないことの確証となる。
【0019】
単一光子検出技術を用いることで、ある物理的パラメータを調整することにより検出器の効率を調整することができる。自走モードで動作するAPDをベースとした単一光子検出器の効率を変えるには、APDに加えられるバイアス電圧を調整すればよい。420Vのバイアス電圧が付加されたAPDを例に考えると、バイアス電圧を440Vから430Vに変えると、検出器の約800nmの効率は70%から35%に変化する。ゲートモードで動作するAPDをベースとしたSPDの効率は、バイアス電圧又は電気ゲートの振幅のいずれかを調整することで変えることができる。APDをベースとしたSPDが波長変換過程と組み合わされる場合には、検出器の効率はAPDをベースとしたSPDの効率又は非線形過程の効率のいずれかを変えることによって変更できる。非線形過程の効率は、ポンプレーザー出力(エスコート光子源(escort photon source))、又は例えばメディアの温度を変えることなどによるメディアの位相整合状態を変えることで調整できる。超電導体をベースとした検出器の効率は、超電導体装置の温度又はそれを通過する電流を変えることによって調整できる。
【0020】
まず図1を参照として、本発明が用いられるシステムが開示される。量子暗号装置100は、量子チャネル130と別のチャネル140で接続された送信ステーション110と受信ステーション120とからなる。送信ステーション110から受信ステーション120に量子粒子を伝送するために用いられる量子チャネル130は、例えば専用の光ファイバーや波長分割多重光通信システムのチャネルなどであってもよい。送信ステーション110と受信ステーション間の通信に用いられる別のチャネル140としては、例えばインターネットや明るい光パルスを伝送する第2光ファイバー、あるいは論理上では空間における2点を繋ぐデータ通信手段であれば何でも用いることができる。このように、量子暗号装置100は、量子チャネル130にアクセスできる盗聴者が、非ゼロの確率でビット配列にエラーを引き起こすことなく、送信ステーション110から送信される量子粒子に符号化されたビット配列に関する完全な知識を得ることができないように設計されている。つまり、送信ステーション110と受信ステーシュン120は、量子チャネル130で量子粒子を伝送した後に、送信ステーション110から送信されたビット配列と受信ステーション120によって記録されたビット配列から盗聴者150が知らない秘密を作成するために、別の量子チャネル140を介して通信を行い連携する。
【0021】
送信ステーション110は、処理ユニット112とキュービット(量子ビット、つまり本件では光子である量子粒子によって伝送されるビット値)作成サブシステム111とから構成される。送信ステーション110は、別のチャネル140に接続されることで受信ステーション120と通信可能となる。処理ユニット112は、例えばメモリ、入力/出力ポート及び中央処理装置を備え、所望の出力を生成するように作動し入力を管理するコンピューター、又は装置のその他の部品と通信可能なデータ伝送及び通信機構であってもよい。キュービット作成サブシステム111はキュービット配列を生成するために用いられる。キュービットは、2レベルのシステムを用いて表される。Paul Townsendらによる「10kmの光ファイバー干渉計における単一光子干渉」、Supra.で提案される位相符号化を用いたBB84の実装では、キュービット作成サブシステム111は光パルスの配列を送信するパルスレーザー源と、時間的に離れた光パルスのペアを生成する不均衡マッハ・ツェンダー干渉計と、前記干渉計の2つのアームの一方に備えられ、前記ペアのうち一方の光パルスの位相をもう一方と比較して調整する位相変調器と、パルス1つ当たりの平均光子数を適切なレベルに設定するためにビームを減衰する可変光減衰器とから構成される。キュービット作成サブシステム111を構成する装置は、プロトコル、コード体系や実装の種類に応じて上記した装置と異なるものであってもよい。処理ユニット112は、2つのサブシステム間でデータ転送を可能にする伝送線113によってキュービット作成サブシステム111に接続される。伝送線113は、例えば電子信号を伝送するワイヤーやケーブルなどを備えたものでもよい。量子ビットが作成されると、キュービット作成サブシステム111は量子チャネル130に送信する。
【0022】
受信ステーション120は、処理ユニット123、基底設定(base setting)サブシステム121及び単一光子検出ユニット122から構成される。処理装置123は、例えばメモリ、入力/出力ポート及び中央処理装置を備え、所望の出力を生成するように作動し入力を管理するコンピューター、又は装置のその他の部品と通信可能なデータ伝送及び通信機構であってもよい。受信ステーション120は、送信ステーション110との通信を可能にするその他のチャネル140に接続される。基底設定サブシステム121は、キュービットの分析に用いられる測定基底を選択する。また、1つの入力ポートと1つ又はいくつかの出力ポートを有する。基底設定サブシステム121の入力ポートは量子チャネル130に接続される。サブシステム121によって設定された基準のキュービット分析の結果に応じて、単一光子は出力ポートのいずれかを通って基底設定サブシステム121から送信される。光接続124は、1つ又はいくつかの光ファイバーから構成されてもよい。この光ファイバーの数は、単一光子検出ユニット122における単一光子検出器の数に応じる。図1には、2つの単一光子検出器が単一光子検出ユニット122に備えられた例が開示される。Paul Townsendらによる「10kmの光ファイバー干渉計における単一光子干渉」、Supra.で提案される位相符号化を用いたBB84の実装では、基底設定サブシステム121は、路長の差異が送信ステーション110における一方の不均衡干渉計に対応する干渉計と、キュービット分析の基底を選択するために2つのアームの一方に備えられる位相変調器とから構成される。基底設定サブシステム121を構成する装置は、プロトコル、コード体系及び実装の種類に応じて上記した装置と異なるものであってもよい。処理ユニット123は、基底設定サブシステム121が選択すべき基底値を送信するための伝送線125によって基底設定サブシステム121に接続される。伝送線125は、例えば電子信号を伝送するワイヤーやケーブルから構成されてもよい。単一光子検出ユニット122は伝送線126及び127を介して処理ユニット123に接続される。伝送線126は、単一光子検出ユニット122に1つ又はいくつかの設定パラメータ値を送信するために、処理ユニット123によって用いられる。伝送線127は、単一光子検出ユニット122の結果を記録するために用いられる。伝送線126及び127は、例えば電子信号を伝送するワイヤーやケーブルなどから構成されてもよい。これらのワイヤー又はケーブルの数は、単一光子検出ユニット122における単一光子検出器の数によって決まる。上記のように、図1には2つの単一光子検出器が単一検出ユニット122に備えられた実施例が開示される。
【0023】
次に図2を参照として、1つ又はいくつかの単一光子検出器200からなる単一光子検出ユニット122の実施例が開示される。図2は、2つの単一光子検出器200を備えた実施例である。用いられる単一光子検出技術に応じて、単一光子検出器200は様々な装置を構成することもできる。様々な装置の可能性は、以下に説明される。APD、波長変換過程及び超電導体をベースとした単一光子検出技術は、それぞれ200−1、200−2、200−3と称する。単一光子検出器に200という表記が付く場合、その記述は3種類の単一光子検出技術に有効であることを意味する。各単一光子検出器200は、伝送線126及び127を介して処理ユニット123に接続される。
【0024】
図3を参照として、APDをベースとした単一光子検出器200−1が単一光子検出器200として用いられた従来技術の単一光子検出器200と処理ユニット123の可能な一実施例が開示される。単一光子検出器200に対応する処理ユニット123の部品は、処理ユニット123の1つ又はいくつかの構成部品からなる電子駆動回路300である。電子駆動回路300は、例えばフィールド・プログラマブル・ゲート・アレイに備えられてもよい。電子駆動回路300は、伝送線360を介して残りの処理ユニットからの入力を受信し、伝送線370を介して出力を送信する。電子駆動回路300に送信される入力の1つは、単一光子検出器200の効率とアクティブ化されるべき時刻である。伝送線370を介して送られる出力は、単一光子検出器200によって登録された検出のタイミングである。伝送線360及び370は、例えば電子信号を伝送するワイヤーやケーブルなどから構成されてもよい。単一光子検出器200−1は、ガイガーモード(詳細については、参照することにより取り入れられるS.Cova, M Ghioni, A.Lacaita,C.Samorioyobi F.Zappaによる応用光学第35巻(1996)を参照)で使用され単一光子を検出するためのAPD320と、APD320をガイガーモードに設定し、光子が検出されるとなだれを消滅させる偏光及び消滅回路(polarization and quenching circuit)310と、電子駆動回路300に適応される電気信号を生成するためにAPD320の出力信号を分別及び整形するための分別及び整形回路(discrimination and reshaping circuit)330とから構成される。APDは、例えばシリコンやInP/InGaAsなどのIII−V半導体物質から形成されてもよい。APD320は、使用される半導体物質の種類に応じて自走モード又はゲートモードのいずれかで動作する。偏光及び消滅回路310は、APDが2つの動作モードのいずれかで動作するように、回路板にいくつかの電子部品が取り付けられて構成されることも可能である。分別及び整形回路330は、例えば電子パルスの分別器や論理電気信号の変換器から構成されてもよい。APD320は、光接続124を介して基底設定サブシステム121に接続される。また、APD320は伝送線340を介して偏光及び消滅回路310に接続される。単一光子検出器200−1が自走モードで動作している場合、伝送線340はAPD320に適切なバイアス電圧値を加えるために用いられる。単一光子検出器200−1がゲートモードで動作している場合、伝送線340はAPD320及びアクティベーションゲートに適切なバイアス電圧値を適切なタイミングで適切な振幅及び幅で加えるために用いられる。伝送線340は、例えば電子信号を伝送するワイヤーやケーブルで構成されたものでもよい。APD320は、伝送線350を介して分別及び整形回路330に接続される。伝送線350は、APD320からの出力電子信号を分別及び整形回路330に伝送するために用いられる。伝送線350は、例えば電子信号を伝送するワイヤーやケーブルなどで構成されたものでもよい。偏光及び消滅回路310は伝送線126を介して電子駆動回路300に接続される。単一光子検出器200−1が自走モードで動作している場合、伝送線126は伝送線360を介して送信された効率値に応じた設定パラメータ値(例えばバイアス電圧値)を伝送するために電子駆動回路300によって用いられる。単一光子検出器200−1がゲートモードで動作している場合、伝送線360を介して送信された効率値及び/又はアクティベーションタイミングに応じて設定パラメータ値(例えばバイアス電圧値やアクティベーションゲート)を送信するために用いられる。処理ユニット123から電子駆動回路300に送信された数値(例えば効率値及び/又はアクティベーションタイミング)から、電子駆動回路300から偏光及び消滅回路310に送信された数値(例えばバイアス電圧)への変換は、例えば電子駆動回路300のメモリに記憶された変換テーブルを用いて行われてもよい。分別及び整形回路330は伝送線127を介して電子駆動回路300に接続される。この伝送線127は、分別及び整形回路330の結果を電子駆動回路300に送信するために用いられる。伝送線126及び127は、例えば電子信号を伝送するワイヤーやケーブルなどで構成されてもよい。
【0025】
まとめると、電子駆動回路300は単一光子検出器200のための効率値及び/又はアクティベーションタイミングを処理ユニット123の他のサブシステムから受信する。電子駆動回路300はこれら数値を処理し、伝送線126を介して適切な設定パラメータ値(例えばバイアス電圧値やアクティベーションタイミング)を偏光及び消滅回路310に送信する。偏光及び消滅回路310は、受信した数値をAPD320に適用する。APD320は光子を検出すると、分別及び整形回路330に電気出力信号を送信する。この回路は、電気信号をノイズから分別し、電子駆動回路300で認識されるように整形する。分別及び整形回路330からの出力信号は伝送線127を介して電子駆動回路300に伝送される。電子駆動回路300はこの信号を前処理し、さらなる処理のために残りの処理ユニット123に検出時刻を送信する。
【0026】
次に図4を参照として、単一光子検出器200としてAPDをベースとした単一光子検出器200−1が用いられ、単一光子検出器200−1と電子駆動回路300の間にアラームサブシステム400が配置されてなる、本発明の単一光子検出器200及び処理ユニット123の一実施例が開示される。アラームサブシステム400は、図4で示されるように処理ユニット123の内部に挿入されるか、外側に設置されてもよい。アラームサブシステム400が処理ユニット123に挿入される場合、アラームサブシステム400は処理ユニット123の1つ又はいくつかの部品によって構成される。アラームサブシステム400は、例えばフィールド・プログラマブル・ゲート・アレイに含まれてもよい。アラームサブシステム400が処理ユニット123に挿入されない場合、アラームサブシステム400は、例えばメモリ、入力/出力ポート及び中央処理を備え、所望の出力を生成するように動作し入力を管理するコンピューター、又は装置のその他の部品と通信可能とするデータ伝送及び通信機構であってもよい。アラームサブシステム400は、偏光及び消滅回路310に送信されるパラメータ(例えばバイアス電圧やアクティベーションゲート)をランダムに変更するために用いられる。一方で、図3では、電子駆動回路300は処理ユニット123によって送信された設定パラメータ(効率値及び/又はアクティベーションタイミング)を、偏光及び消滅回路310に適した設定パラメータ値に変換するために用いられるが、図4では電子駆動回路300は処理ユニット123によって送信された設定パラメータを変換しない。電子駆動回路300は、これらのパラメータを変更することなくアラームサブシステム400に送信する。アラームサブシステム400は、偏光及び消滅回路310の設定のために選択されたこれらパラメータを、伝送線410を介して電子駆動回路300から受信する。伝送線410は、例えば電子信号を伝送するワイヤーやケーブルなどから構成されてもよい。アラームサブシステム400は、バイアス電圧やアクティベーションゲート(振幅、発生タイミング又はゲートの幅)のパラメータを、電子駆動回路300から受信したパラメータ値又はメモリの1つに記憶されているリストのその他のパラメータ値に応じて偏光及び消滅回路に送信する。アラームサブシステム400は検出効率、アクティベーションタイミング又はその両方を同時に修正することが可能である。アラームサブシステム400は、その乱数発生器の入力に基づいて、電子駆動回路300から送信されたパラメータ値を変更するか否かをランダムに選択する(例えば、この用途のためにPCに備えられた疑似乱数発生器が用いられてもよい)。アラームサブシステム400が電子駆動回路300から受信したパラメータ値に応じた設定パラメータ値を送信する確率は、ユーザーによって期待されるパフォーマンスに応じて0から1で調整することができる。アラームサブシステム400は、期待される各受信キュービットに対して個別に、又は受信キュービットのグループ毎に検出効率に作用することも可能である。アラームサブシステム400が電子駆動回路300から受信したパラメータ値に対応した設定パラメータ値を送信しない場合、1つ又はいくつかのパラメータ値のリストから他のパラメータ値を選択する。リストに1つ以上の数値が含まれる場合、構成部品(例えば、PCの疑似乱数発生器)に含まれる乱数発生器の入力に基づいて、それらの異なるパラメータ値の中からランダムに選択する。パラメータが選択されると、アラームサブシステム400によって偏光及び消滅回路310に対応する設定パラメータ値に変換される。選択確率は、リストの全てのパラメータに対して同じ又は異なるものであってもよい。この変換は、アラームサブシステム400のメモリに記憶された変換テーブルを用いて行われてもよい。そして、アラームサブシステム400は、設定パラメータ(例えばバイアス電圧やアクティベーションゲート)を、伝送線126を介して偏光及び消滅回路に送信する。
【0027】
図8を参照として、伝送線410と126を伝播する信号が表示されたアラームサブシステム400の動作が開示される。図8で示される実施例では、設定パラメータとしては効率のみが考慮され、パラメータ値としてはアクティベーションゲートの振幅のみが考慮される。各伝送線に2つの数値のうち一方しか伝送されない場合でも、各伝送線には効率及びゲートの関連する振幅の2つの数値が表される。アラームサブシステム400は、検出器のアクティベーションタイミングに常に同じ効率値≡を電子駆動回路300から受信する。単一光子検出器200−1に適用される効率値を選択するための内部処理が行われた後、アラームサブシステム400は伝送線126を介して修正されたアクティベーションゲート振幅を送信する。この実施例では、アラームサブシステムは異なる2つの効率値≡と≡′のどちらかを50%の選択確率でランダムに選択する。図8で示されるように、アラームサブシステム400によって送信されたアクティベーションゲートの振幅は、ランダムに選択される異なる2つの効率値に応じて2つの数値が考えられる。単一光子検出器200−1は、図3で示されるのと同様に作動する。すなわち、単一光子検出器200−1は伝送線127を介してアラームサブシステムになんらかの結果(単一光子検出器200−1の検出時期)を送信する。これらの結果は、結果毎にアラームサブシステム400から偏光及び消滅回路310に送信されるバイアス電圧、ゲート振幅、ゲートタイミング(発生タイミング及び幅)といった設定パラメータに対応する効率値及び/又はゲートアクティベーションパラメータと共に、伝送線420を介してアラームサブシステム400から電子駆動回路300へ送信される。伝送線420は、例えば電子信号を伝送するワイヤーやケーブルなどで形成されてもよい。次に、200−1の結果と偏光及び消滅回路310に送信される対応する設定パラメータ値のデータは、電子駆動回路300から処理ユニット123に送信され、盗聴者150による単一光子検出ユニット122に対する攻撃の可能性を検出するために、処理ユニット123によって処理される。単一光子検出器200−1に対する攻撃を検出するための処理は、主に3つのステップから構成される。第1のステップでは、伝送線127を介して処理ユニット123が受信した数値は、アラームサブシステム400によって送信された設定パラメータ値に応じてグループ化される。第2のステップでは、期待される設定パラメータ値毎の検出確率がデータから計算される。これは測定検出確率と呼ばれる。第3のステップでは、計算された検出効率値が期待される数値と比較される。この数値に不一致が見られると、アラームを誘発し盗聴者150によって攻撃が試みられたことを示す。測定検出確率値は統計的変数であるため、測定された数値が期待される数値の所定の間隔内である場合、測定値は期待される数値と一致すると認識される。盗聴者が装置のSPDの完全な制御を得るために、QCシステムの単一光子検出器に対して行われる攻撃を検出するために、アラームサブシステム400は、単一光子検出器の効率値をランダムに変更する。これは、アクティベーションゲートのバイアス電圧及び/又は振幅を変えることで可能となる。受信者によって選択された測定基底に関する情報を盗聴者に入手可能にするために、QC装置の受信器に対して行われるトロイの木馬攻撃を検出するには、アラームサブシステム400は単一光子検出器のアクティベーションタイミングをランダムに変更する。これは、アクティベーションゲートのタイミング(発生タイミング及び/又は幅)を変更することで、又は検出の受け入れ期間のタイミング(発生タイミング及び/又は幅)を変更することで可能となる。以下の記載では、「アクティベーションタイミング」とは検出器のアクティベーションタイミングを意味する。また、「アクティベーションゲートタイミング」とは、検出器に適用されるアクティベーションゲートのタイミングを意味する。また、「受け入れタイミング(acceptance timing)」とは、検出の受け入れ期間のタイミングを意味する。上記3つの全てのタイミングは、発生時刻と幅によって定義される。タイミングを調整することは、考慮されるタイミングに関連する信号の発生時刻及び/又は幅を個々に調整することを意味する。自走モードで動作する検出器は、検出の受け入れが動作している期間のみアクティブであると考慮される。ゲートモードで動作する検出器は、アクティベーションゲートが適用され検出の受け入れが動作している期間のみアクティブであると考慮される。
【0028】
図9を参照として、QC装置のSPDに仕掛けられた攻撃に対する対処法における信号処理の第1の単純な実施例を示す。この単純な実施例では、ゲートモードで動作する単一光子検出器200−1の効率値を、電子駆動回路300から送信されるアクティベーションゲートを抑制することによって変える。この工程の間、APDにかかるバイアス電圧は常に一定となる。これは、アラームサブシステム400がη又は0のいずれかの効率値を選択することを意味する。図9では、電子駆動回路300から送信された信号は電子駆動回路300から送信されたアクティベーションゲートのタイミングに対応する。便宜上、この実施例では受け入れタイミングはアクティベーションタイミングに対応するとされる。従って、アクティベーションタイミングはアクティベーションゲートタイミングに相当する。アラームサブシステム400は、このアクティベーションゲートを単一光子検出器200−1に送信するか抑制するか選択する。この処理は、図9に示されるようなアラームサブシステム400によって送信されるゲート信号につながる。アラームサブシステム400は単一光子検出器200−1から送信される検出信号を待機する。そして、アラームサブシステム400は、効率情報と単一光子検出器200−1から送信された検出信号を電子駆動回路300に送信する。これら2つの信号は処理ユニット123によって処理される。処理ユニット123は次のようにアラーム信号を生成する。アラームサブシステム400によってゲートが抑制された時に1つの検出があれば、アラーム信号はビット値1に設定される。実際、APDはその時ガイガーモードで動作していないため、検出信号が生成される唯一の手段は、QCの正常な実装では存在し得ない明るい光を送信することとなる。
【0029】
図10を参照として、トロイの木馬攻撃に対する対処法における信号処理の第2の単純な実施例を示す。この単純な実施例では、電子駆動回路300から送信されるアクティベーションゲートの幅をランダムに変えることによって、ゲートモードで動作する単一光子検出器200−1のアクティベーションゲートのタイミング値を変更する。受け入れタイミングはアクティベーションゲートタイミングに相当するため、この例でもアクティベーションタイミングは受け入れゲートタイミングに相当する。この工程の間、SPDの効率は常に一定となる。これは、アラームサブシステム400がT1とT2の2つのゲート幅値のいずれかを選択することを意味する。アラームサブシステム400は、選択した幅T1又はT2と共にアクティベーションゲートを単一光子検出器200−1に送信する。アラームサブシステム400から送信されるゲート信号の振幅は、どのゲートでも一定となる。この処理は、図10に示されるようなアラームサブシステム400によって送信されるゲート信号につながる。図10で示されるように、幅T2は位相変調器に送信されるゲートの幅よりも大きいとされる。位相変調器が動作していて、SPDがアクティベーションゲート幅T2でアクティブ化している時に明るいパルスが送信されると、明るい光パルスはSPDがアクティブな時に到着する。従って、明るい光パルスはSPDで検出される。次に、アラームサブシステム400は単一光子検出器200−1から送信される検出信号を待機する。そして、アラームサブシステム400はゲート信号幅の情報と単一光子検出器200−1から送られた検出信号を電子駆動回路300に送信する。それら2つの信号は処理ユニット123によって処理される。処理ユニット123は次のようにアラーム信号を生成する。有意なデータが取得できたら(例えば、検出100万回)、処理ユニット123はアラームサブシステム400で用いられる幅値に応じて検出を分類する。処理ユニット123は、異なる幅値の検出確率を計算する。検出確率は、検出数とアクティベーションゲート数の比率に相当する。アクティベーションゲート幅がT2の時にトロイの木馬攻撃が行われると、その都度SPDによって検出される。このように、(幅T1とT2の)2つの検出確率値が所定のしきい値よりも大きい値で異なれば、処理ユニット123はアラーム信号を生成する。攻撃検出工程のさらなる詳細は、方法700の説明にて明らかになる。
【0030】
次に図5を参照として、波長変換処理200−2を有するAPDをベースとした単一光子検出器が単一光子検出器200として用いられた場合の、本発明の単一光子検出器200及び処理ユニット123の一実施例では、アラームサブシステム400は単一光子検出器200−2と電子駆動回路300の間に配置される。波長変換処理200−1を有するAPDをベースとした単一光子検出器(詳細は、参照として本件に取り入れられるA.P.VanDevenderとP.G.KwiatによるJournal of Modern Optics 第51巻、第1433〜1445頁、(2004)を参照)は、エスコート光子(escort photon)を生成するためのポンプレーザー510と、基底設定サブシステム121から受信する光子を異なる波長の光子に変換するための非線形媒質520と、非線形媒質520で生成された光子を検出するためのAPDをベースとした単一光子検出器200−1とから構成される。便宜上、以下の記載では、基底設定サブシステム121から受信する光子は近赤外光子と呼び、非線形媒質520で生成された光子は可視光子と呼ぶ。
【0031】
再び図1を参照として、伝送線126は処理ユニット123が単一光子検出ユニット122に入力を送信するための伝送線として定義される。波長変換処理200−2を有するAPDをベースとした単一光子検出器の場合、ポンプレーザー510、非線形媒質520及びAPDをベースとした単一光子検出器200−1の3つのユニットは、処理ユニット123からの入力を必要とする。このため、表記の一貫性を保つために、伝送線126は126−1、126−2、126−3の3つの伝送線に分けられる。ポンプレーザー510は、伝送線126−1を介してアラームサブシステム400に接続される。伝送線126−1は、アラームサブシステム400がポンプレーザー510の光出力を調整するために用いられる。伝送線126−1は、例えば電子信号を伝送するワイヤー又はケーブルから構成されてもよい。ポンプレーザー510は、光リンク530に接続される。光リンク530によって、ポンプレーザー510から放出されたエスコート光子が非線形媒質520に送られる。光リンク530は、例えば光ファイバーから構成されてもよい。非線形媒質520は、光リンク530と光接続124に接続される。ポンプレーザー510から放出されるエスコート光子と、基底設定サブシステム121から放出される近赤外光子は、光リンク540を介して送信される可視光子を生成するために混合される。光リンク540は、例えば光ファイバーから構成されてもよい。非線形媒質520は、伝送線126−2を介してアラームサブシステム400に接続される。伝送線126−2は、アラームサブシステム400が(例えば、非線形媒質520の温度を変えることによって)非線形媒質520の位相整合条件を調整するために用いられる。伝送線126−2は、例えば、電子信号を伝送するワイヤー又はケーブルで構成されてもよい。APDをベースとした単一光子検出器200−1は光リンク540に接続され、非線形媒質520において生成された可視光子を検出するために用いられる。単一光子検出器200−1は自走モード又はゲートモードのいずれでも作動可能である。単一光子検出器200−1とアラームサブシステム400の間には伝送線126−3及び127が備えられる。伝送線126−3は、APDをベースとした単一光子検出器200−1が必要とする設定パラメータを、アラームサブシステム400が送信するために用いられる。伝送線126−3は、図4における伝送線126と同一である。検出器200−2の効率を変えるために、アラームサブシステム400には、ポンプレーザー510の光パワーを変える、非線形媒質520の位相整合条件を変える又はAPDをベースとした単一光子検出器200−1の効率を変えるという3つの選択肢がある。単一光子検出器200−1がゲートモードで動作する場合、アラームサブシステム400によってAPDをベースとした単一光子検出器200−1の振幅又はアクティベーションゲートのタイミングを変えることができる。
【0032】
図5で開示されるように、波長変換処理200−2を有する単一光子検出器の設定のためのパラメータ(効率及び/又はアクティベーションタイミング)を、伝送線410を介して受信する。次に、アラームサブシステム400は受信した効率及び/又はアクティベーションタイミングの値を、ポンプレーザー510のための1つの出力設定パラメータ値、非線形媒質520のための1つの位相整合条件設定パラメータ値、そしてAPDをベースとした単一光子検出器200−1のための設定パラメータ値(例えば、バイアス電圧とアクティベーションゲート振幅及びタイミング)に変換する。これらの設定パラメータ値と効率及び/又はアクティベーションタイミング値の関係は、アラームサブシステム400のメモリにおける変換テーブルに記憶することもできる。図5で開示されるように、アラームサブシステム400は、電子駆動回路300から受信したパラメータ値(効率及び/又はアクティベーションタイミング)に対応する設定パラメータ値、又はメモリに記憶されたリストのその他のパラメータ値に対応する設定パラメータ値のどちらを単一光子検出器200−2に送信するかランダムに選択する。アラームサブシステム400のメモリには、ポンプレーザー510、非線形媒質520及びAPDをベースとした単一光子検出器200−1の、単一光子検出器200−2の異なるパラメータ値に対する設定を提供する変換テーブルが存在する。アラームサブシステム400による、波長変換処理200−2を有する単一光子検出器の設定に用いるパラメータ値の選択は、乱数発生器によって行われる。乱数発生器(PCによって提供される疑似乱数発生器であってもよい)はアラームサブシステム400に含まれてなる。APDをベースとした単一光子検出器200−1は、伝送線127を介してアラームサブシステム400に記録された事象、すなわち単一光子の検出時刻を送信する。これらの結果は、結果毎にアラームサブシステム400から単一光子検出器200−2に送信された設定パラメータ値(ポンプレーザー出力、位相整合条件及びバイアス電圧)に対応するパラメータ値(効率及び/又はアクティベーションタイミング)と共に、伝送線420を介して電子駆動回路300に送信される。このデータ(200−1の結果及び対応するパラメータ値)は、電子駆動回路300から処理ユニット123に送信され、盗聴者150による単一光子検出ユニット122に対する攻撃の可能性を検出するために、処理ユニット123によって処理される。攻撃検出工程についての詳細は、方法700に関する説明で明らかとなる。
【0033】
図6を参照として、単一光子検出器200として超電導体をベースとした単一光子検出器200−3(詳細は、A.J.Pearlmanによる論文「量子通信のための超高速NbN単一光子検出器」又はD.Rosenberg、A.E.Lita、A.J.MillerとS.W.NamによるPysical Review A 第71巻(2005)に記載の論文を参照)を用いた場合の、本発明による単一光子検出器200と処理ユニット123の一実施例において、単一光子検出器200−3と電子駆動回路300の間にアラームサブシステム400が挿入されてなる。超電導体をベースとした単一光子検出器200−3は、超電導センサー620を適切な動作状態(温度及び電流の設定)に設定するために用いられる偏波回路(polarization circuit)610と、基底設定サブシステム121から送られる光子を検出するための超電導センサー620と、超電導センサー620からの出力信号を分別し、アラームサブシステム400で認識される電気信号に整形するための分別及び整形回路630とから構成される。偏波回路610は、いくつかの電気部品が基板に取り付けられて構成されてもよい。また、偏波回路610は、伝送線126を介してアラームサブシステム400に接続されてなる。伝送線126は、アラームサブシステム400が偏波回路610の設定パラメータ(例えば、超電導センサー620を伝播する電流値など)を変えるために用いられる。偏波回路610は伝送線640に接続される。伝送線640によって、偏波回路610は超導電センサー620を適切な動作状態に設定することが可能となる。伝送線640は、例えば電子信号を伝送するワイヤー又はケーブルで構成されてもよい。超電導センサー620は、伝送線650及び光接続124に接続される。超電導センサー620の結果は、伝送線650を通過して分別及び整形回路630に送信される。伝送線650は、例えば電子信号を伝送するワイヤー又はケーブルで構成されてもよい。分別及び整形回路630は、例えば、電気パルスの分別器及び論理電気信号の変換器から構成されてもよい。分別及び整形回路630は、伝送線650及び127に接続される。分別及び整形回路630の出力信号は、伝送線127を介してアラームサブシステム400に送信される。
【0034】
図6に開示されるように、アラームサブシステム400は、超電導体をベースとした単一光子検出器200−3の設定のためのパラメータ(効率及び/又はアクティベーションタイミング)を、伝送線410を介して受信する。そして、アラームサブシステム400は受信した効率及び/又はアクティベーションタイミングの値を、電流及び温度の設定パラメータ値に変換する。これら設定パラメータ値と効率及び/又はアクティベーションタイミングの値との関係性は、アラームサブシステム400のメモリの変換テーブルに記憶されてもよい。図6で示されるように、アラームサブシステム400は、電子駆動回路300から受信したパラメータ値(効率及び/又はアクティベーションタイミング)に対応する設定パラメータ値(電流及び温度)、又は単一光子検出器200−3のメモリに記憶されたリストのその他のパラメータ値に対応する設定パラメータ値(電流及び温度)のどちらを送信するかランダムに選択することができる。この選択は、構成部品の1つである乱数発生器によって行われる(例えば、PCに備わる疑似乱数発生器であってもよい)。そして、アラームサブシステム400は、単一光子検出器200−3の結果を、単一光子検出器200−3の設定に用いられる結果毎のパラメータ値と共に、伝送線420を介して電子駆動回路300に送信する。このデータは、盗聴者150による単一光子検出ユニット122に対する攻撃の可能性を検出するために、処理ユニット123によって処理される。攻撃検出工程700の詳細は、以下に記載される。
【0035】
次に図7を参照として、単一光子検出器の制御を得ようと試みる攻撃を検出するための方法700は、以下のステップから構成される。以下の説明では、方法700の仕組みを説明する上で、APDをベースとした単一光子検出器200−1が考慮される。もちろん、方法700はAPDをベースとした単一光子検出器200−1の使用に限定されるものではない。方法700は、本出願で示されるその他の単一光子検出技術やその均等物(例えば、波長変換処理200−2を有するAPDをベースとした単一光子検出器や超電導体をベースとした単一光子検出器200−3)においても同様に働く。− 第1のステップ710において、処理ユニット123は送信システム120全体のパラメータ値を決定する。例えば、いくつかのパラメータ値は工場におけるキャリブレーション時に決定されている。これらの数値は処理ユニット123のメモリに記憶される。量子暗号装置100の使用状態によって、これらパラメータの数値は変わることもある。これらパラメータ値の中から、検出器の効率及び/又は、単一光子検出器200−1がゲートモードで動作していれば単一光子検出器200−1のアクティベーションタイミング(アクティベーション時刻及び/又は幅)を定義する。単一光子検出器200−1を設定するためのパラメータは処理ユニット123によって電子駆動回路300に送信される。
− 第2のステップ720において、電子駆動回路300は処理ユニット123から受信したこれらのパラメータ値(効率及び/又はアクティベーションタイミング)をアラームサブシステム400に送信する。
− 第3のステップ730において、アラームサブシステム400は、少なくとも1つのパラメータ値(効率及び/又はアクティベーションタイミング)に対して、電子駆動回路300から受信した数値とメモリに記憶された(少なくとも1つの)他の数値のどちらかをランダムに選択する。アラームサブシステムは、これらパラメータ値に対して、受信する各キュービットに対し個別に、又は受信するキュービットのグループ毎に作用してもよい。アラームサブシステム400は、単一光子検出器(200−1、200−2又は200−3)に送信する対応する設定パラメータ値を決定するために、これらパラメータを処理する。処理は、格納された変換テーブルを用いて行われる。
− 第4のステップ740において、アラームサブシステム400は、選択されたパラメータ値に対応する設定パラメータ値を単一光子検出器(200−1,200−2又は200−3)に送信する。受信機120が、自走モードで動作するAPDをベースとした単一光子検出器200−1と連携する場合、アラームサブシステム400から送信される信号はAPDに印加されるバイアス電圧となる。受信機120が、ゲートモードで動作するAPDをベースとした単一光子検出器200−1と連携する場合、アラームサブシステム400から送信される設定パラメータ値はAPD320に印加されるバイアス電圧と、アクティベーションゲートが適用された時刻と、アクティベーションゲートの振幅及び幅となる。
− 第5のステップ750において、単一光子検出器200は、アラームサブシステム400から送信された一連の設定パラメータ値によって定義される効率及び/又はアクティベーションタイミングを有する。単一光子検出器200は、送信ステーション110から送信される期待される単一光子を待機する。
− 第6のステップ760において、単一光子検出器200から電気信号を受信したら、アラームサブシステム400は検出時刻と検出した時刻における設定パラメータ値(効率及び/又はアクティベーションタイミング)を電子駆動回路300に送信する。単一光子検出器200によって期待される単一光子が検出されなかった場合、アラームサブシステム400は期待される検出時刻における設定パラメータ値(効率及び/又はアクティベーションタイミング)を電子駆動回路300に送信する。このように、単一光子検出器200によって光子が検出されなかった場合でも、送信ステーション110から送信された各光子に対して設定パラメータ値が送信される。
− 第7のステップ770において、アラームサブシステム400によって送信されたデータが電子駆動回路300によって処理される。電子駆動回路300は、処理ユニット123のバッファーに検出時刻及び単一光子検出器200の対応する効率を記憶する。検出時における単一光子検出器200の効率は、固有効率(intrinsic efficiency)及び/又はアクティベーションゲートの状態に左右される。例えば、検出時に固有効率が10%に設定されているがアクティベーションゲートがオフ状態であれば、検出器の効率は0%となる。この場合、もし検出されたら、何者かが単一光子検出器200−1の制御を得たことを意味する。上記バッファーに加えて、電子駆動回路300はいくつかのカウンタを管理する。カウンタは、それぞれ単一光子検出器の効率値に接続される。単一光子検出器が一定の効率値に設定された際に送信ステーション110から光子が到着すべきとき、電子駆動回路300はこの効率に関連するカウンタを毎回インクリメントする。処理ユニット123のバッファーが満杯でなければ、システムはステップ720に戻る。バッファーが満杯であれば、システムはステップ780に進む。
− 第8のステップ780において、処理ユニット123はバッファーに記憶されたデータを効率値及び/又はアクティベーションタイミング値に応じてソートし、各効率値及び/又はアクティベーションタイミング値に対して測定された検出確率を算出する。測定された検出確率は、検出器が所定の効率及び/又はアクティベーションタイミングに設定された時の検出数と、検出器が所定の効率及び/又はアクティベーションタイミングに設定された時に光子が単一光子検出ユニット122に到着すべき回数の比率として定義される(この数字は、考慮される効率及び/又は考慮されるアクティベーションタイミングに関連するカウンタに等しい)。
− 第9のステップ790において、処理ユニット123は、異なる効率値及び/又はアクティベーションタイミング値の測定された検出確率値が、算出された数値と一致するかチェックする。測定された検出確率値と算出された数値が一致しない場合、処理ユニット123はアラームを誘発し秘密鍵の交換を中止する。一致した場合、量子暗号送信機120はステップ710に戻る。
【0036】
一般的に、量子暗号装置100の受信サブシステム120のみが、少なくとも1つの単一光子検出器122を備えることを留意されたい。量子暗号装置100の送信機110は、通常では単一光子検出器を必要としない。しかし、送信機110もまた量子チャネルを介した明るい光の注入による能動的攻撃(例えば、送信者から送られたキュービット値を盗聴者に入手可能とするトロイの木馬攻撃)の影響を受ける。単一光子検出器122が送信ステーション110に備わってなる場合、量子暗号装置の送信機に対して行われる能動的攻撃を検出するために、本願に記載の装置及び方法が適用可能である。
【0037】
さらに、このシステムは本願に記載されたものと同等の機能を有する全ての商品、サービス及び情報の使用、販売及び/又は流通を想定したものである。
【0038】
説明及び図面は、限定するものではなく例示するものとして考慮されるべきであり、本願で説明される全ての改良案は本発明の範囲に包含されるものである。従って、本発明の範囲は、上記で説明された実施例ではなく、添付の請求項(本願添付の請求項、後に補正又は追加される請求項及びそれらに法的に相当するもの)によって判断されるべきである。全ての方法又は工程の請求項に記載されるステップは、明確に記載されている場合を除き、どの順番で行われてもよく、請求項で提示される特定の順番に限定されるものではない。さらに、装置の請求項で記載される構成要素及び/又は構成部品は、本発明と実質的に同等の結果を産出するような様々な置換で組み立て又は機能的に設定されることが可能である。総じて言えば、本発明は請求項に記載の特定の構成のみに限定すべきものではない。
【0039】
本願に記載される便益、その他の利点及び解決法は、請求項の重大、必須又は不可欠な特性又は部品であると解釈されるべきではない。
【0040】
本願で使用される「構成される」、「なる」又はそれらを活用した用語は、包括的な構成要素を列挙するために用いられ、構成要素が列挙された本発明のいかなる装置、工程、方法、部品又は構成は、記載された構成要素のみではなく、本願明細書に記載のその他の構成要素を含んで構成されてもよい。明示的に記載されている場合を除いて、「含む」、「含んでなる」又は「主に〜含む」といった用語の使用は、本発明の範囲をその後に列挙された構成要素に限定するためのものではない。本発明の実施に使用される上記の構成要素、材料又は構造のその他の組み合わせ及び/又は改良は、当業者によって本発明の原理から逸脱することなくその他の設計に変更又は適応されてもよい。
【0041】
上記された特許又は記事は、特に記載されている場合を除いて、本願の開示と矛盾するものでない限り、参照することにより本件に取り入れられる。
【0042】
本発明のその他の特徴及び実施モードは、添付の請求項に記載される。
【0043】
また、本願は明細書、特許請求の範囲及び/又は図面に記載される全ての特徴の、新規、進歩的且つ産業上の利用が可能と判断される可能な全ての組み合わせを包含する。
【0044】
著作権は本出願人又はその譲受人が所有し、1つ又は複数の請求項に規定される権利の第三者へのライセンスに関しては、本願では請求項に規定される発明の利用について黙示的なライセンスを許可していない。さらに、公衆又は第三者に対して、本願の付属書を含む明細書に基づいた二次的創作物及びいかなるコンピュータープログラムの作成に関する明示的又は黙示的なライセンスを認めていない。
【0045】
本願で記載された発明の実施例において、様々な変更及び改良が可能である。本願では発明の特定の例示的な実施例が提示及び説明されたが、前述の開示において幅広い変更、改良及び置換もまた考慮される。上記説明には多くの具体的な詳細が挙げられるが、これらは本発明の範囲を限定するものではなく、むしろ1つ又はその他の好適な実施例を例示するものとして考慮されたい。場合によっては、本発明のある特徴は、対応する他の特徴を用いることなく使用されてもよい。このように、前述の説明は幅広く解釈され、単なる例示として理解されるものであり、本発明の精神及び範囲は本願について最終的に発行される請求項によってのみ限定される。