特許 6916118 トークンを検証する方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6916118

(24)【登録日】2021年7月19日

(45)【発行日】2021年8月11日

(54)【発明の名称】トークンを検証する方法

(51)【国際特許分類】

   H04L 9/12 20060101AFI20210729BHJP

【ＦＩ】

   H04L9/00 631

【請求項の数】23

【全頁数】17

(21)【出願番号】特願2017-568441(P2017-568441)

(86)(22)【出願日】2016年6月30日

(65)【公表番号】特表2018-526865(P2018-526865A)

(43)【公表日】2018年9月13日

(86)【国際出願番号】GB2016051958

(87)【国際公開番号】WO2017001850

(87)【国際公開日】20170105

【審査請求日】2019年6月26日

(31)【優先権主張番号】1511652.8

(32)【優先日】2015年7月2日

(33)【優先権主張国】GB

(73)【特許権者】

【識別番号】518001438

【氏名又は名称】ケント エイドリアン

【氏名又は名称原語表記】ＫＥＮＴ Ａｄｒｉａｎ

(73)【特許権者】

【識別番号】518001449

【氏名又は名称】ケンブリッジ クアンタム コンピューティング リミテッド

【氏名又は名称原語表記】Ｃａｍｂｒｉｄｇｅ Ｑｕａｎｔｕｍ Ｃｏｍｐｕｔｉｎｇ Ｌｉｍｉｔｅｄ

(74)【代理人】

【識別番号】100103894

【弁理士】

【氏名又は名称】家入 健

(72)【発明者】

【氏名】ケント エイドリアン

【審査官】 児玉 崇晶

(56)【参考文献】

【文献】 米国特許出願公開第２０１４／０３５８７９３（ＵＳ，Ａ１）

【文献】 特開２０１４−０５７３７７（ＪＰ，Ａ）

【文献】 特表２０１２−５３２４７５（ＪＰ，Ａ）

【文献】 米国特許出願公開第２００２／００９７８７４（ＵＳ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｈ０４Ｌ ９／１２

(57)【特許請求の範囲】

【請求項1】

コンピュータが、
それぞれが非直交量子状態（non-orthogonal quantum states）の集合から選択されたものである複数のランダムな量子状態を、第１の時空間点（space-time point）において生成又は受信し、
古典的な測定結果のシーケンスを備えるトークンを取得するために、前記量子状態について、複数の可能な所定の測定の中から、所定の測定を適用し、
前記古典的な測定結果のシーケンスは、単一の時空間点において有効であり、
前記古典的な測定結果のシーケンスを備えるトークンを、前記第１の時空間点に因果関係のある将来の第２の時空間点において、受信し、
リソースへのアクセスを許可する前に、前記トークンが前記複数の量子状態に適用される前記所定の測定に対する統計的に妥当な結果に対応するか否かを検証する
ステップを備える方法。

【請求項2】

前記量子状態は、前記量子状態の空間について複数の可能な基底の純粋状態の中から独立してランダムに選択される
請求項１に記載の方法。

【請求項3】

前記所定の測定は、前記第１の時空間点において適用される
請求項１又は２に記載の方法。

【請求項4】

前記量子状態は、量子ビット（qubit）を示す、
請求項１乃至３のいずれか１項に記載の方法。

【請求項5】

前記複数の量子状態のそれぞれは、対応する二次元量子ビット空間についてのＢＢ８４状態を備える
請求項４に記載の方法。

【請求項6】

前記複数の量子ビットのそれぞれは、電磁的エネルギーの光子で符号化される
請求項４又は５に記載の方法。

【請求項7】

各量子ビットは、対応する前記光子の偏光状態として符号化される
請求項６に記載の方法。

【請求項8】

各量子ビットは、期待される光子数の少ない微弱光パルスの偏光状態により表される
請求項６に記載の方法。

【請求項9】

前記所定の測定は、対応する前記量子状態の空間の可能な純粋状態の一つへの前記複数の量子状態のそれぞれの投影を備える
請求項２乃至８のいずれか１項に記載の方法。

【請求項10】

前記所定の測定は、可能な測定結果が前記第２の時空間点に対して有効なトークンを与えるものである、
請求項１乃至９のいずれか１項に記載の方法。

【請求項11】

前記所定の測定の結果が前記第２の時空間点から隔てられた第３の時空間点に対して有効なトークンを与える確率は、前記第２の時空間点に対して有効なトークンを与える確率と比べて小さい、
請求項１０に記載の方法。

【請求項12】

前記トークンを提示する前に、当該トークンを暗号化することをさらに備える
請求項１乃至１１のいずれか１項に記載の方法。

【請求項13】

前記複数の量子状態は、絡み合ったものである
請求項１乃至１２のいずれか１項に記載の方法。

【請求項14】

前記複数の量子状態は、少なくとも１０^３の量子状態を備える
請求項１乃至１３のいずれか１項に記載の方法。

【請求項15】

前記コンピュータが、
前記測定が成功した状態を特定するデータを送信することをさらに備える
請求項１乃至１４のいずれか１項に記載の方法。

【請求項16】

前記コンピュータが、
前記測定が成功したことを特定するデータを受信することをさらに備える
請求項１乃至１１、１３又は１４のいずれか１項に記載の方法。

【請求項17】

前記コンピュータが、
第２の複数の量子状態を、前記第１の時空間点の将来及び前記第２の時空間点の過去における第４の時空間点において、受信し、
古典的な測定結果の第２のシーケンスを取得するために、前記第２の複数の量子状態について、前記複数の可能な所定の測定の中から、第２の所定の測定を適用し、
前記古典的な測定結果の第２のシーケンスを前記トークンに追加し、
リソースへのアクセスの代償として拡張されたトークンを、前記第２の時空間点において、提示する
ことをさらに備える
請求項１乃至１５のいずれか１項に記載の方法。

【請求項18】

前記コンピュータが、
前記第１の時空間点の将来及び前記第２の時空間点の過去における複数の連続した時間的に隔てられた時空間点のそれぞれにおいて、
追加の複数の量子状態を受信し
古典的な測定結果の追加のシーケンスを取得するために、前記複数の量子状態について、前記複数の可能な所定の測定の中から、所定の測定を適用し、
前記第２の時空間点において提示された前記トークンが前記古典的な測定結果の複数のシーケンスのそれぞれを有するように、前記古典的な測定結果の追加のシーケンスを前記トークンに追加する
ステップを繰り返すことを含む
請求項１７に記載の方法。

【請求項19】

前記コンピュータが、
第２の複数の量子状態を、前記第１の時空間点の将来及び前記第２の時空間点の過去における第４の時空間点において、受信することをさらに備え、
前記トークンが所定の測定に対する統計的に妥当な結果に対応するか否かを検証することは、前記トークンが第１の複数の量子状態における第１の所定の測定に対する統計的に妥当な結果、及び、前記第２の複数の量子状態における第２の所定の測定に対する統計的に妥当な結果を含むか否かを検証することを備える
請求項１乃至１１、１３、１４又は１６のいずれか１項に記載の方法。

【請求項20】

前記コンピュータが、
前記第１の時空間点の将来及び前記第２の時空間点の過去における複数の連続した時間的に隔てられた時空間点のそれぞれにおいて、追加の複数の量子状態を生成するステップを繰り返し、
古典的な測定結果のシーケンスを備える前記トークンを受信することは、古典的な測定結果の複数のシーケンスを備える拡張されたトークンを受信することを含み、
前記トークンが所定の測定に対する統計的に妥当な結果に対応するか否かを検証することは、前記トークンが生成された複数の量子状態のそれぞれにおける複数の個別の所定の測定のそれぞれに対する統計的に妥当な結果を含むか否かを検証することを含む
請求項１９に記載の方法。

【請求項21】

前記コンピュータが、
それぞれが非直交量子状態の個別の集合から選択されたものである複合的な複数のランダムな量子状態を、前記第１の時空間点において受信し、
古典的な測定結果の多数のシーケンスを備える拡張されたトークンを取得するために、前記量子状態について個別の所定の測定を適用し、
リソースへのアクセスの代償として前記拡張されたトークンの一部を提示する
請求項１乃至１５のいずれか１項に記載の方法。

【請求項22】

前記コンピュータが、
それぞれが非直交量子状態の個別の集合から選択されたものである複合的な複数のランダムな量子状態を、前記第１の時空間点において生成し、
古典的な測定結果の多数のシーケンスを備える拡張されたトークンを、前記第１の時空間点の将来における第２の時空間点において、受信し、
前記トークンが前記複数の量子状態のそれぞれにおける個別の所定の測定に対する統計的に妥当な結果に対応するか否かを検証する
請求項１乃至１１、１３、１４又は１６のいずれか１項に記載の方法。

【請求項23】

前記複数の可能な所定の測定のうち一意な所定の測定のそれぞれは、各時空間点に割り当てられる
請求項１に記載の方法。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、セキュア認証（secure authentication）に関する。より詳細には、本発明は、偽造され得ず、また、トークンを発行及び検証する方法と同様に、電磁波及び／又は他の標準的な通信手段により、送信され得る認証トークンを提供する。

【背景技術】

【0002】

商品やサービスと引き換えに様々な記述のトークンを償還すること、リソース及び他の資格へアクセスすることは、今日の生活では普通のことである。例えば、金銭や他の与信形態は、物理的又は仮想的な商品に交換され得る。パスワードは、特定のネットワーク又はデータへのアクセスを得るために用いられる。しかしながら、トークン発行団体（party）が将来の検証のためにトークンを受信する団体を暗黙のうちに信用しない又は信用できない世界では、そのトークンが不当に悪用され得ないことを保証するための潜在的な要求が存在し得る。例えば、トークン発行者は、そのトークンが何度もコピーして使用され、それによって、許可することを意図した以上の多くのリソースへのアクセスを与えることができないという保証を必要とするかもしれない。その責務（及び実際にトークン受信者がトークンを偽造する動機）は、問題のリソースの本質的価値に比例でき、しばしば拡大する。

【0003】

従って、セキュア認証トークンの提供は、暗号の分野で既知の問題である。

【0004】

様々な古典的なトークン発行スキームが存在する。日常的な貨幣が最も直近の例である。しかしながら、知られるように、標準的な紙幣をコピーすることは不可能ではない。偽造は現実世界の問題である。さらに、最重要な緊急性又は他の短いタイムスケールにより特徴付けられる取引において、古典的、有形の紙幣及び硬貨は、これらがある場所から隣へ転送され得る速度が基本的に制限される限り、限られた用途である。この特性は、有形のお金を、例えば、現代の金融取引ネットワークのような様々な場面において限定された価値の資産にする。

【発明の概要】

【発明が解決しようとする課題】

【0005】

仮想トークンに戻ると、共通に採用された一つの解決策は、時空間における有限個の将来点Ｑ_ｉ（ｉ＝１，２、・・・ｎ）のいずれかにおける認証トークンとして受信者により使用され得る、（例えば、支払いの代償として）空間と時間における第１点Ｐにおいてパスワードを発行することである。しかしながら、そのようなアプローチの当座の欠点は、複数のそれらの将来点において受信団体がそのトークンを償還する場合に、先験的な禁止ができないことである。つまり、一旦、パスワードが知られると、複数のリソースへの連続的な又はちょうど同時のアクセスを得るために、パスワードは簡単に呼び戻され、繰り返される。このリスクのために、関連リソースへのアクセスの代わりに、パスワードが受信者により既知の点Ｑ_ｋに返される場合、すなわち、同一のパスワードがＱ_ｋに因果関係のある過去又はＱ_ｋから空間的に隔てられたいずれかの任意の点において使用されていなかった場合に、トークン発行団体は、チェックすることを義務付けられる可能性がある。このことは、面倒であり得て、特に、点Ｑ_ｉのいずれかが互いに空間的に隔てられる場合、容認できない遅延が発生し得る。

【0006】

場合によっては、発行団体は、Ｑ_ｉのそれぞれの点において使用する一意のパスワード（password_i）を決定し、点Ｐにおいて、彼らがそのパスワードを使用するつもりである将来点における受信団体に依頼し、それに応じて、関連するパスワードを発行できる。しかしながら、このアプローチは、限られた数の状況においてのみ適切であり得る。例えば、受信団体は、彼らが点Ｐにおいて発行されているトークンを償還したいであろう点Ｑ_ｉについて知ることができない。さらに、たとえ受信団体が知っていても、その受信団体はこの情報を非公開にすること望むかもしれない。例えば、そのトークンがグローバル金融ネットワーク上のある点Ｑ_ｋにおいて株取引を行うために使用される場合、その取引者は、彼の意図する取引の時間又は場所の市場の事前警告を望まないだろう。

【0007】

１９８３年のWiesnerの「量子マネー（quantum money）」（Wiesner, S. Conjugate coding. Sigact News 15, 78-88 (1983)を参照）の発表以来、偽造不可能な認証トークンを提供するために、量子機械システムの特性を活用しようとする試みがなされてきた。量子マネーアプローチの最も単純なバージョンでは、トークンは、受信者に知られない古典的な記述である、保存された量子状態の形式をとる。量子力学の法則は、そのような状態がオリジナルを破壊することなしにコピーされ得ないことを規定するため、これらの解決策は、無条件でセキュアである。「無条件のセキュリティ（unconditional security）」という用語は、本明細書ではプロトコルが忠実に守られるという条件で確立された物理学の法則にのみにより証明され得るセキュリティを指すために使用される。すなわち、そのようなセキュリティ証明は、原則として解決される計算上の問題の想定される実用的難易度に依存しない。

【0008】

さらに、量子状態は、量子マネートークンが光速で送信され得る充分に良い技術を用いて、光の光子又は他の電磁放射で符号化され得るため、例えば紙幣のような古典的、物理的トークンの上述された欠点を被らない。その上、量子テレポーテーション（quantum teleportation）及び量子秘密分散（quantum secret sharing）のような既知の技術は、光速を含む最大速度で単一の定義された経路に沿ってトークンを送信することにより可能とされるよりも、着信データに応じてより柔軟に対応できる方法で量子状態が送信されることを可能にする。これらの技術を活用することにより得られる利点のいくつかの例は、Kent, A. Quantum tasks in Minkowski space. Classical and Quantum Gravity 29, 224013 (2012)、及び、Hayden, P. et al., preprint 1210.0913 [quant-ph] (2012)において論じられる。

【0009】

多くの量子マネーの解決策は、多くの古典的なアプローチに固有の、完璧な「将来プライバシー（future privacy）」及び完璧な「過去プライバシー（past privacy）」の両方を提供する更なる利点を有する。ここで将来プライバシーとは、点Ｐにおいてトークンを発行する団体がトークンが確かに提示されるぎりぎりの瞬間までいつ又はどこで償還のために提示されるかを知ることができないことを意味する。従って、受信者は、そのトークンと引き換えに、その受信者の将来の移動の詳細を開示する必要がない。同様に、過去プライバシーは、ＰとＱ_ｋ間の受信者又はそのトークンの所在についての不可避的に明らかな情報なしに、点Ｑ_ｋにおけるトークンを償還する受信者の能力を指す。それらが安全に保管及び送信される限り、量子トークンは、それらの過去の位置の記録を持たない。将来プライバシー及び過去プライバシーは、個人にとってだけでなく、例えば、金融取引の文脈でもまた、望ましいものであり又は必要不可欠でさえもあり得る。ここで、トークンの過去の位置の記録は、取引が行われていた過去の位置の記録を暗示する。そのような記録は、取引戦略について価値があり、活用可能な情報を符号化できる。

【0010】

しかしながら、当業者に知られているように、量子マネー解決策は、現在まで、技術的に実行可能ではない。現時点では、その技術は、一般的な量子状態の保管及び光速における確実な送信のための適切な技術を欠いている。量子認証トークンの真の運用実現に向けた進展は、遅くなりそうであり、利用可能な場合でも、その技術は、少なくとも当初は、煩雑、及び／又は、法外に高価である可能性がある。確かに、古典的データの通信が量子状態で符号化された情報の送信と比べて常にはるかに容易であることは、信じ難いことではない。 我々は、量子状態の長期間の保管及び送信に依存しない無条件にセキュアな認証スキームを提供するための利点があることがわかった。

【課題を解決するための手段】

【0011】

本発明は、参照がここで指示される独立項に定義される。好ましい特徴は、従属項に示される。

【0012】

その最も広い態様において、本発明は、今日、技術的に実現可能な方法でちょうど説明された量子マネーの重要な利点の一部を取得するために、量子情報を用いるスキームを提供する。特に、本発明が、現在、問題のある長期保存又は量子状態の転送に頼らないように、本スキームのトークン自身は古典的である。これにもかかわらず、本発明の実施形態は、コピーされず、光信号境界（light signalling bound）による送信速度のみに制限されるトークンを提供する。本発明によれば、トークン受信者の将来プライバシーは、順守され得る。そして、本発明の範囲内の特定の実施形態もまた、過去プライバシーを保証する。

【0013】

本発明の一態様によれば、それぞれが非直交量子状態（non-orthogonal quantum states）の集合から選択されたものである複数のランダムな量子状態を、第１の時空間点（space-time point）において受信し、古典的な測定結果のシーケンスを備えるトークンを取得するために、前記量子状態について所定の測定を適用するステップを備える方法が提供される。前記方法は、リソースへのアクセスの代償として前記トークンを、前記第１の時空間点に因果関係のある将来の第２の時空間点において、提示するステップをさらに含む。

【0014】

本発明の別の態様によれば、それぞれが非直交量子状態（non-orthogonal quantum states）の集合から選択されたものである複数のランダムな量子状態を、第１の時空間点（space-time point）において生成し、古典的な測定結果のシーケンスを備えるトークンを、前記第１の時空間点に因果関係のある将来の第２の時空間点において、受信するステップを備える方法が提供される。前記方法は、前記トークンが前記複数の量子状態の所定の測定に対する統計的に妥当な結果に対応するか否かを検証するステップをさらに含む。

【0015】

ここでの、時空間点「における」事象又は方法ステップの遂行についての言及は、関連する点の合意された小さな（４次元の）周辺領域の範囲内での発生を含むことが意図されている。例えば、情報の交換が一般的に、その交換の当事者のいずれかにより、それぞれ制御された二つの最寄のセキュアな場所の間で合意されたチャネルを通じて送信されるべき、古典的及び／又は量子データを要求することは、当業者にとって明らかであろう。

【0016】

さらに、用語「ランダムな（random）」は、完璧な、又は、ほぼ完ぺきなランダム性を意味することを意図している。本発明の好適な実施形態では、状態は、本スキームがうまく不正を働かれてしまう任意の可能性を排除する目的で、ランダムに完璧に生成される。しかしながら、その偏差の境界が既知であるという条件で、完璧なランダム性からのいくつかの偏差が許容され得ることは当業者であれば分かるであろう。特に、完璧なランダム性からのわずかな偏差は、物質的にセキュリティを侵害せず、特許請求の範囲内に入ることが意図される。

【0017】

好ましくは、量子状態は、量子ビット（qubit）を示す。ある実施形態では、複数の量子ビットのそれぞれは、電磁的エネルギーの光子、また、あるいは、期待される光子数の少ない微弱光パルスで、符号化されてもよい。

【発明の効果】

【0018】

これらの実施形態にかかる本発明は、実装することを有利に簡単にすることができる。

【図面の簡単な説明】

【0019】

本発明の実施形態は、例示的かつ可能なほんの一例として、添付の図面を参照して、次に説明される。

【図1】図１は、本発明が適用される例示的な状況を示す二次元時空間の概念図である。

【図2】図２は、本発明の一態様にかかる認証トークンを生成する方法を示すフローチャートである。

【図3】図３は、本発明の一態様にかかる認証トークンを生成する第２の方法を示すフローチャートである。

【発明を実施するための形態】

【0020】

上に概説したように、光速信号境界（light-speed signalling bound）は、本発明の一つの重要な動機である。これを考慮して、本スキームは、関心のある時空間点の一部又は全てがお互いから空間的に隔てられる点で、相対主義的な文脈で説明される。しかしながら、これは必須ではなく、非相対論的な設定への本発明のより一般的な適用は、当業者に明らかであろう。

【0021】

図１は、本発明が適用される例示的な状況を示す二次元時空間の略式の概念図である。

【0022】

第１の当事者（party）（Ａ）は、時空間における点Ｐ＝（ｘ_０、ｔ_０）において、Ｐの将来におけるいくつかの点Ｑ_ｋにおいて、資産の代わりに、返され得るトークンを、第２の当事者（Ｂ）から受信することを望む。そのトークンは、特定のリソースへのアクセスを許可するために上記で論じた、証明書（voucher）、パスワード、又は、いずれかの種類の他の符号化する情報とすることができる。例えば、本発明のある実施形態において、そのトークンは、商品及び／又はサービスに交換可能な、物理的なお金として振る舞う。他の実施形態において、そのトークンは、デジタル形式で提示され得る、既知のネットワークへのアクセスを得るためのパスワードである。さらなる実施形態において、それは、例えば、金融ネットワーク上の取引における使用のための仮想クレジットを示す。これらの適用は、ほんの一例としてリストされていることが強調される。

【0023】

上記のように、そして、以下にさらに説明するように、本スキームでは、ＰにおいてＡにより受信されたトークンは、Ｐに因果関係のある将来における単一の時空間点Ｑ_ｋにおいての使用でのみ有効である。（図１の破線は、Ｐで始まる光円錐を意味する。）本シナリオでは、Ａは、離散的な時空間点｛Ｑ_ｉ＝（ｘ_ｉ、ｔ_ｉ）｝の有限集合の範囲内である任意の一点Ｑ_ｋにおいてトークンを償還することを選択することができる。ここで、ｉ＝１、２、...、ｎとし、あるｎに対して以下を満たすものとする。

【数1】

ある実施形態において、ｎは１０^３のオーダー（百万から千万程度の数）とすることが可能であり、関心のある適用に依存するが、これに代えて、２桁以上の大きさの多くのオーダーとすることができる。

【0024】

重要なことに、上記の動機の観点では、本発明の上記実施形態は、当事者Ａ及びＢの間で任意の信頼レベルにも依存しない。例えば、一回以上トークンを提示することにより、又は、そのトークンを偽造しようと試みることにより、ＡがＢに不正を働こうとするものと仮定する。同様に、以下に説明するように、Ａが将来プライバシーを要求する。すなわち、そのイベント自体が実際に実現されるまで、ＡはＡが選択した点Ｑ_ｋをＢに明らかにしようとしないものと仮定する。（過去プライバシーの配慮は、この特定の実施形態において除外される。）

【0025】

以下の議論では、トークン発行者Ｂは、トークンが（点Ｐにおいてと同様に）償還され、かつ、各点で適切な量子の送受信器及び測定装置が設置された点Ｑ_ｉに渡って配信される代理人（agent）ネットワークを用いた、より一般的な「代理業者（agency）」であるものと仮定する。

【0026】

ある実施形態では、トークンのユーザＡは、類似の代理人ネットワークを用いて類似の代理業者であってもよい。例えば、Ａ及びＢは、人間の代理人により制御される取引システムを用いた、グローバル金融ネットワークに参加する金融機関、及び、世界中の多くの場所におけるコンピュータの両方又は一方であるとよい。

【0027】

あるいは、Ａは、いくつかの点Ｑ_ｉのみを訪問し、かつ、Ａ（又は、複数のＡ）の移動、及び、特に可能な限り非公開で、トークンの所在地を保持することを望む、非公開の個人（又は、個人の小集団）により示されても良い。例えば、Ａは、短距離で送信された量子状態を受信及び測定することが可能な小さな装置が設置されていてもよい。これらの状態は、量子鍵配信及び関連する暗号化タスクについてのプロトコルを実装可能な方法で、量子状態を安全に生成及び送信し、古典的なデータを受信するために設計された、現金自動預け払い機と似ている装置から生じる。そのような装置は、世界中に設置され、銀行又は銀行のコンソーシアム又は他の代理業者により制御され得る。

【0028】

いかなる場合でも、本発明は、Ｂの代理人がお互いに完全に信頼して動作し、彼らの間で安全に秘密情報を共有できることを想定する。従って、Ｂの代理人の全ては、彼らに提示されたデータを生成するために潜在的に使用されていた全量子データを把握している。言い換えると、ＰにおいてＢによりＡへ送信されるランダムな量子ビット列の古典的な記述は、Ｂの代理人の全てに知られる。これらのデータは、秘密裏に事前に合意されるか、又は、トークンの生成前又は生成後のいずれかに、しかし、トークンが償還される可能性のある許可された時空間の任意の地点で利用できるように充分に迅速に、既知のネットワークに対して光速又は実質的な最高速度で秘密裏に送信されるかのいずれかで良い。

【0029】

同様に、Ａの代理人は、完全に相互に信頼して動作し、彼ら自身の間で安全に、又は、亜光速で、秘密情報も共有できるものと仮定する。光速又は亜光速の送信が実行可能ではない場合、本スキームは未だ有用であるが、Ａのトークンの移動性は制限される。下記のスキームは、Ａの代理人間の任意の情報共有が安全に、かつ、Ｂ及びその代理人により使用されるものとは別の通信チャネルを用いて行われるという仮定に基づいて、Ａにセキュリティを与える。

【0030】

それぞれの代理人との通信において、Ａ及びＢの双方は、任意の標準暗号論的セキュア通信スキーム及び任意の標準通信システムを使用可能である。ある実施形態は、理論的に完全なセキュリティを確保するように、Vernam G.S.、Cipher printing telegraph systems for secret wire and radio telegraphic communications、Journal American Institute of Electrical Engineers XLV, 109-115 (1926)に従って、その通信を暗号化及び復号化するためにワンタイムパッドを使用することができる。それらのパッドは、例えば、商業的に利用可能な量子暗号化装置により標準量子鍵配信スキームを用いることにより、前もって及び／又はプロトコル中で生成され得る。当業者が理解するように、多くの量子鍵配信スキームが存在し、知られている。例えば、Lo, H-K. et al. Secure quantum key distribution. Nature photonics 8, 595-604 (2014)に最新のレビューが与えられる。

【0031】

さらに、本議論は、任意の代理人と共に両当事者が、適切な計算を実行し、かつ、結果のデータを保存するために、標準の古典的計算装置へのアクセスを有するものと仮定する。

【0032】

図２は、本発明の第１の実施形態にかかる単一将来時空間点において使用するための認証トークンを生成する方法２０を示すフローチャートである。第１ステップ２２において、当事者Ｂは、ランダムに独立して選択されたＮ量子状態のシーケンスを生成する。良いセキュリティのために、Ｎは、好ましくは、１０^３又はそれ以上のオーダーである。本実施形態において、その状態は、理想的には単一光子、又は、現実的には１未満の平均光子数を有する微弱光パルス、の偏光状態として実現される量子ビットである。光子の量子ビットの生成及び送信は、良く知られた技術であり、詳細には、例えば、Lo, H-K. et al. Secure quantum key distribution. Nature photonics 8, 595 (2014) (and the references cited therein) 及び Lunghi, T. et al. Experimental bit commitment based on quantum communication and special relativity. Phys. Rev. Lett. 111, 180504 (2013)に見出され得る。他の実施形態では、例えば電子のような代替の２レベル量子機械システムが適切な公知の方法で量子情報のビットを符号化するために、代わりに使用される。さらに、量子ビットの実装が説明と実装の両方の容易化の理由のために、現在、好まれるのであるが、本発明が２レベル量子状態の利用に限定されないこと、及び、さらなる実施形態が例えば、いわゆる量子ビットの量子状態を符号化するトラップ内のイオンのようなｄ−レベルシステムを使用して本手法を実装できることが、当業者にとって明らかであろう。

【0033】

本実施形態によれば、当事者Ｂにより生成された量子状態のそれぞれは、二つの可能な基底（bases）のうち一つから選択された純粋状態である。計算基底（computational basis）は、状態|0>及び|1>からなり、ここで、|0>は垂直方向に偏光した光子を示し、|1>は水平方向に偏光した光子を示す。アダマール基底（Hadamard基底）は、以下の状態を備える。

【数2】

この４状態の集合（ここでは「ＢＢ８４」と呼ばれる）は、単なる例として与えられ、他の実施形態では、Ｂにより生成された状態は、任意の数の（完全な又は不完全な）基底から代わりに選択され得る。必要条件は、可能な状態が互いに直交しないことである。好ましい実施形態では、状態は、例えば、ＢＢ８４状態、すなわち、BruB, D. Optimal eavesdropping in quantum cryptography with six states. Phys. Rev. Lett. 81, 3018 (1998)に記載されたプロトコルの６状態、又は、米国特許第7,983,422号明細書に記載された無限の状態のように、相互直交とはかけ離れている。また、Bennett, C. 任意の２つの非直交状態を用いた量子暗号（Quantum cryptography using any two non-orthogonal states）. Phys. Rev. Lett. 68, 3121 (1992)も参照されたい。

【0034】

さらに、ＢによりＡへ送信された状態が、例えばちょうどリストされたもののように純粋状態になることは本質的ではない。確かに、実験的なノイズは、状態が必ずしも完全に純粋ではないことを実際には保証するだろう。当業者が気付くように、ノイズ及びエラーの許容レベルの識別は、規則的である。

【0035】

従って、点Ｐにおいて当事者Ｂにより生成された複合状態は、例えば、|ψ>=|0>₁|+>₂|->₃ ... |0>_j ... |1>_Nである。ここで、表記法の簡素化のために省略された、個々の光子状態の間のテンソル積が暗示される。再び、本実施形態は、議論及び実装の簡素化のために、積状態|ψ>と仮定する。しかしながら、Ａへの送信に関するＮ分割された絡み合った状態（entangled state）のＢによる生成は、上記のように、対に直交するものではない、適切な大きさの状態（例えば、２^Ｎ又はこれ以上の状態）のリストから選択されるという条件で、除外されない。

【0036】

一度生成されると、ステップ２４において、当事者Ｂは、状態|ψ>を当事者Ａへ渡すか、又は送信する。この例では、個別の量子ビット状態が個別の光子として符号化されるため、それらは、標準の商用に利用可能な量子鍵配信の送受信装置を用いて光ファイバー又は自由空間を通して送信される。例えば、本スキームへのLunghi, T. et al. 量子通信及び特殊相対性理論に基づく実験ビットコミットメント（Experimental bit commitment based on quantum communication and special relativity）. Phys. Rev. Lett. 111, 180504 (2013)に記載されたセットアップの適用は、簡単である。具体例を挙げると、Ｂは、短い送信バーストを構成する合意された時間順序における状態列（例えば、合意されたミリ秒以内で、ミリ秒ごとに１０００状態のような）をＡへ送信する。

【0037】

本実施形態において、ステップ２４における短距離通信は、量子情報の転送が要求されるスキームの唯一の点である。このステップにおいていくつかのエラーが発生する可能性があるにもかかわらず、閾値までのエラーが関連付けられたエラー確率を補償するために、状態数Ｎを十分に大きく取ることは、当業者に明らかであろう。

【0038】

複合状態|ψ>を受信すると、ステップ２６において、Ａは、量子ビット状態における所定の測定のシーケンスの実行を続ける。この測定は、Ｐにおいて行われるか、又は、しばらく経って、及び／又は、空間内の別の点で、Ａが量子状態を確実に格納及び／又は送信する技術的能力を有するべきである。どちらの場合にも、この例における測定の選択は、測定時に、Ａがトークンを償還したいであろう将来点Ｑｋにおいて、その選択に基づいて決定された状態|ψ>をＡが測定する方法をＡが既に知っていると仮定する。その測定は、以下でさらに詳しく説明される。ステップ２８において、Ａは、古典的に各量子ビットについて、測定結果を記録する。例えば、Ａは、その結果を定義する古典的なビットを書き留めるか、コンピュータメモリへそれらを入力することができる。本発明によれば、結果のビット列は、Ｂから資産の代償として将来の償還のために、時刻ｔ_ｋまでに到着するために、Ａが時空間を経て選択された取引点（ｘ_ｋ、ｔ_ｋ）へＡを連れて行くか、又は、空間内の点ｘ_ｋでＡの代理人へ送信することができるという（古典的な）トークンを提示する。

【0039】

実際には、ＡがＮ個の状態のそれぞれを測定するが、それらの状態のサブセットの結果のみを取得しようとすることが、当業者に明らかであろう。例えば、このことは、伝送損失のためである可能性がある。ある実施形態では、Ａは、この場合において、正の測定結果のタイミングに基づき、測定結果を作り出す量子ビット状態について、リアルタイム又はほぼリアルタイムにＢへフィードバックするだろう。従って、例えば、Ａは、Ａが順番に状態２，５，１８，２３等の結果を取得したことをＢに伝えるだろう。よって、これらの場合のトークンは、成功した測定結果のみを備え、Ｂは、それらの状態の古典的な記述を、各時空間点Ｑ_ｉにおいてＢの代理人へ通信のみをする必要がある。（当業者に明らかなように、上記の議論に従って、損失が高い状況では、Ｂにより生成及び送信された状態数は、セキュリティ用に適切な長さの最後のトークンを確保するために十分に高くあるべきである。）

【0040】

上記のように、Ａにより実行された測定は、Ａがトークンで現金化したいと決定する点Ｑ_ｋに依存して選択される。この実施形態では、当事者Ａ及びＢは、単一の点Ｑ_ｉにおいてのみ有効であり得る対応する結果列を与えるであろうそれぞれの測定列の集合

【数3】

について事前に合意する。言い換えると、Ａは、状態|ψ>=|ψ₁>₁ ... |ψ_N>_Nにおける２つの異なる測定オペレータ

【数4】

の統計的に妥当な結果である２つの回答列を（任意の戦略により）取得できない。特に、事前に合意された測定オペレータ^Ｍ_kを用いて状態|ψ>=|ψ₁>₁ ... |ψ_N>_Nを測定することにより、Ｑ_ｋにおいて有効なトークンを生成するものであることに同意され、Ａは、状態における様々な測定の結果について量子理論により割り当てられた確率分布に応じて、他のいかなるオペレータ

【数5】

の統計的に妥当な結果である回答列を（任意の戦略により）取得できない。すなわち、状態|ψ>及び測定値^Ｍ_iが与えられ、|ψ_l>_l =|ψ>の状態で^Ｍ^l_i=Ｘとなる可能性のある各測定のそれぞれの可能性のある結果は、平均して、与えられた回数発生することを期待されうる。許容されたエラーレベルを容認した後、及び、標準的な統計的有意性試験に応じて、もしトークンを構成するデータが、与えられた状態におけるそのオペレータに関してそれらの期待に従わない場合、Ａのトークンは、|ψ>におけるオペレータ

【数6】

について統計的に妥当な測定結果の集合を表さないと言われる。上記のようなＢＢ８４状態の一つごとに、本実施形態の光子の量子ビットの集合に適した測定列のある集合は、導出されるだろう。以下の導出が非限定的で可能なほんの一例の方法として与えられることが強調され、多くの代替、適切な測定が容易に導出できることが当業者に明らかであろう。

【0041】

上記のように、Ｐに因果関係のある将来におけるｎ個の時空間点の任意の一つにおいてＡがトークンを償還する予定であることを、ＡはＰにおいて選択できる。以下のように書く場合、

【数7】

入力状態|ψ>は、Ｎ＝ｒＳ個の量子ビットを備えることが選択される。ここで、以下の式は、好ましくは良いセキュリティのために１０^３以上のオーダーである。

【数8】

その場合、そして、バイナリ形式でｋ−１＝ｂ_ｒ−１ｂ_ｒ−２ ... ｂ_１ｂ_０を書く場合、選択された時空間点Ｑ_ｋにおいて有効なトークンを生成しようとするｌ番目の量子ビットに適用される測定値^Ｍ^l_kは、次のように選択され得る。

【0042】

あるｒ’＜ｒに対して以下を仮定し、ｒ’について解く。

【数9】

このとき、ｋ−１のバイナリ表現において、ｂ_ｒ’＝０の場合、

【数10】

とし、ｂ_ｒ’＝１の場合、

【数11】

とする。ここで、

【数12】

は、量子ビットｌの二次元ヒルベルト空間のＢＢ８４状態への投影であり、既存の実用技術に従い実行される。

【0043】

そのように定義された測定列を用いて、Ｂ（又はＢの対応する代理人）は、Ｑ_ｋにおいてＢに提示されたトークンが、状態|ψ>=|ψ₁>₁ ... |ψ_N>_N上での統計的に妥当な測定結果^Ｍ_kの集合に対応することをチェックできるため、Ｂが秘密を知り、保持する古典的な記述に、セキュリティが従う。複数の測定列^Ｍ_iに対する統計的に妥当な結果を生み出すことについて、既知の物理法則と一致する方法で、Ａは|ψ>上で動作できないことが示される。従って、Ａは、将来のＰ内で複数の時空間点において有効であるトークンを生成するための状態を用いて不正を働くことができない。特に、Ａはその状態のクローンを作ることができないため、Ａは複数のトークンを取得するためにその２以上のコピー上で異なる測定を実行することによる不正を働くこともできない。

【0044】

Ａがトークンを返すまでＡがＱ_ｋ（すなわち^Ｍ_k）の選択を秘密に保持できるため、将来プライバシーも従う。さらに、電波又は他の既知の手段により送信され得る、古典的ビット列に過ぎないため、トークンの光速送信が可能である。

【0045】

Ａがトークンを償還したいであろう時及び場所であるＰにおいて、Ａが知らないか、決定しないことを好むという状況を容易に想像できる。例えば、トークンが取引についての信用を示す場合、Ａは、時刻ｔ_１においてグローバル取引ネットワークの至る所でその取引を行うか、後の時刻ｔ_２又はもっと遅いｔ_３等まで待機するかの選択肢を保持することを望むだろう。Ａの選択位置は時間依存でもあり、この順序はあらかじめＡに知られないだろう。例えば、Ａの第１の選択位置（ｔ_１でのロンドン）における取引条件は、Ａが取引すべきか否か、及び、もし取引すべきでないなら、Ａが次に検討すべき場所の両方を決定できる。

【0046】

本発明の第２の実施形態は、このシナリオにおける適用を見出す。後の議論を容易にするため、Ａは、Ｐに因果関係のある将来における時空間点の第１集合｛Ｑ_i ⁽¹⁾｝の一つにおけるトークンで現金化したい、又は、その代わりに、各集合｛Ｑ_i ^(m)｝における全ての点が先行する集合｛Ｑ_i ^(m-1)｝内の全ての点に因果関係のある将来点の中に存在する、数多くの追加の集合｛Ｑ_i ⁽²⁾｝、｛Ｑ_i ⁽³⁾｝等の一つに対する償還を延期したいものと仮定する。本実施形態の適用は、この方法では因果関係に制限されず、より一般的な構成にも拡張し、仮定は単に説明を簡単にするために作成される。全ての点におけるＢの代理人は、トークンの受信と同様に、量子状態を生成及び送信することができると仮定する。本手法は、図３に概説された以下のシーケンス３０に従って進行する。

【0047】

本実施形態にかかる方法の第１ステージ３２において、Ａ及びＢは、図２を参照して上述したように進行する。従って、時空間点Ｐにおいて、Ｂは、ステップ３２２において量子ビットのシーケンスを生成し、ステップＳ３２４において適切なチャネルに沿ってそれらをＡへ渡す。ステップ３２６において、Ａが取引を望むか、そうでなければ、関連リソース又は資産へアクセスを得たいと望むかをＡが決定する将来点Ｑ_k1 ⁽¹⁾において有効なトークンを与え、Ａ及びＢが同意した測定オペレータ^Ｍ_k1を用いて、Ａは量子ビットを測定する。次のステップ３２８では、上記のように古典的にＡが測定結果を記録し、Ａが時空間から点Ｑ_k1 ⁽¹⁾までＡと共にこのトークンを運搬する（又は、代理人へトークンを送信する）。

【0048】

ステップ３４で点Ｑ_k1 ⁽¹⁾に到着すると、ＡはＰにおいて生成されたトークンで取引をするか否かを決定する。もし取引しない場合、Ｂに対応する代理人は、新たな量子状態
|ψ⁽¹⁾>=|ψ₁⁽¹⁾>₁ ... |ψ_N⁽¹⁾>_Nを生成し、従来通りこれをＡへ送信する。

【0049】

ある具現化では、Ａは、その時点でＢの対応する代理人達から新たな状態を全て受け入れる、全てのＱ_i ⁽¹⁾における代理人達を有しても良い。この方法では、Ｂは、Ａがトークンの取引を延期することを選択すべき場所のＡの初期選択について、どんな情報も学習させる必要がない。

【0050】

Ａが点Ｑ_k2 ⁽²⁾において現在、取引をしたくないという決定に基づいて、Ａは、点Ｑ_k1 ⁽¹⁾において、新たに供給された状態|ψ⁽¹⁾>上で適切な測定列^Ｍ_k2を実行する。（ここで、簡単にするため、各集合｛Ｑ_i ^(m)｝は、２^ｒ以下の時空間点を含み、Ａ及びＢの間の合意は、Ａが新状態|ψ^(m)>を受信する時間ごとに、上述したように定義された測定列から選択する予定であるものと仮定する。しかしながら、このことは本質ではなく、一部又は全てのステージにおける測定は、他の実施形態において異なるだろう。）結果のＮビットの情報は、それらがＱ_k2 ⁽²⁾において有効とされる新トークンを定義するために簡潔に追加され得る、Ｐにおいて生成されたトークンの拡張を示す。

【0051】

Ｑ_k2 ⁽²⁾に到着すると、Ａがその取引を延期することを再び決定するかどうかが明らかであるため、今説明されたプロセスは、Ａがそのトークンを償還することを決定するまで繰り返され得る。トークンは、各ステージで線形に長くなる。特に、現在の仮定の下で、ステージｍにおいてＢへ提示するためにステージｍ−１で生成されたトークンの長さは、ｍＮのオーダーであるだろう。尚、全ての点におけるＢの代理人は、Ｐ及びＡがトークンを償還するよりもむしろ拡張するために選択した全介入点の両方で、送信された全ての状態列のアイデンティティを知っているものと仮定する。

【0052】

本スキームは、技術的制約によってのみ制限され、任意のラウンド数の間、繰り返されるとよい。

【0053】

セキュリティは、Kent, A. 「測定結果を送信することによる無条件のセキュアなビットコミットメント（Unconditionally secure bit commitment by transmitting measurement outcomes.）」 Phys. Rev. Lett. 109, 130501 (2012)、 Croke, S. et al、「測定結果を送信することによるビットコミットメントに関するセキュリティの詳細（Security details for bit commitment by transmitting measurement outcomes.）」 Phys. Rev. A 86, 052309 (2012)、及び、Lunghi, T. et al、「量子通信及び特殊相対性理論に基づく実験的ビットコミットメント（Experimental bit commitment based on quantum communication and special relativity）」 Phys. Rev. Lett. 111, 180504 (2013)で導出されたセキュリティ証明に従うことで示され得る。

【0054】

各ステージにおいて、Ａは、そのステージにおいてＡに供給される新ステージについての測定結果の有効な集合を生成する必要がある。各ステージで供給された状態は独立であるため、統計的に実行可能ではない、上記のような少なくとも一つの点において供給された状態に関する２つの有効な測定結果の集合を、Ａが生成できる場合に、Ａは、２つの有効なトークンだけを生成できる。

【0055】

図３を参照してちょうど説明された本実施形態は、将来プライバシーを提供するが、過去プライバシーを提供しない。すなわち、ステージｍ＋１において最後のトークンがＢへ返されると、Ａは、ＡがＢと取引するための選択肢を有し、訪問された全ての過去の点Ｑ_k1 ⁽¹⁾、Ｑ_k2 ⁽²⁾、...、Ｑ_km ^(m)における場所についての情報を譲る。Ａについての過去プライバシーは、次のように、トークンの検証を洗練することにより、保証され得る。

【0056】

上述した本実施形態では、Ａが最後に選択した点Ｑ_km ^(m)においてＡによりＢへ提示されたトークンは、簡易な古典的なビット列である。さらなる実施形態では、Ａは、任意の標準暗号論的、又は、無条件なセキュアビットコミットメントスキームを用いて、そのデータを代わりに暗号化することができる。さらに、Ｂは、テストアルゴリズムの形式で、（特に、ＰからＱ_km ^(m)への有効な経路に対応する）Ｑ_km ^(m)において有効であるべきトークンに対する要求をＡに提示する。このことは、例えば、全ての受け入れ可能なトークンの簡易なリストであってもよい。あるいは、より効率的に、Ｂは、ＢがＡにより提示されたトークンに適用するであろう統計的テストを指定してもよい。

【0057】

この情報を引き換えることにより、この改良された実施形態におけるＡ及びＢは、当該分野で公知の種類、かつ、例えば、Brassard, G. et al. 「知識の最小開示証明（Minimum disclosure proofs of knowledge）」. J. Computer and System Sciences 37, 156 (1988)で記載された、ゼロ知識証明プロトコル（zero-knowledge proof protocol）を通じて続行する。このことは、Ｂに対して、Ａに提示されたトークンが有効であることの保証と、Ａに対して、Ｂがその終点以外でトークンの経路についての情報を学習しないことの保証とを同時に可能とする。

【0058】

図３の第２の実施形態のさらに別の変形では、Ａは、先行する点に因果関係のある将来点に存在するシーケンス内の各点ごとに、最初から指定された経路の点Ｐ -> Ｑ_k1 ⁽¹⁾ -> Ｑ_k2 ⁽²⁾-> ... -> Ｑ_km ^(m)までＡ自身に委ねることができる。この例では、Ａは、ｍＮ個のランダム量子状態の集合を点ＰにおいてＢから受信し、第１のＮ状態上の事前合意された測定値^Ｍ_k1、第２のＮ状態上の^Ｍ_k2等を実行することによりｍ個の部分トークンを取得してそれらを使用する。以下を満たす任意のｐ、

【数13】

に対するＱ_kP ^(p)におけるトークンを使用するために、Ａは、上述したように暗号化又は非暗号化形式のいずれかにおいて、トークンの第１のｐセグメントをＱ_kP ^(p)においてＢの代理人へ簡単に渡し、Ｂは、これらが有効な因果関係のある経路を定義することを検証する。一度、トークンがＱ_kP ^(p)において使用され、受け入れられると、Ａは、残された未使用の測定データを破棄することができる。

【0059】

従って、半古典的な形式のWiesnerの量子マネーは、無条件にセキュアな将来位置のコミットメントを提供することが開示されていた。本発明は、一方が公平かつ安全に、他方の資産から購入、入手（acquire）、又は、そうでなければ取得（obtain）し、又は、リソースへアクセスすることができるような方法で、２つの信頼できない当事者が協力しなければならない、任意の状況における適用を見出す。

【図1】

【図2】

【図3】