ホーム > 特許ランキング > 日本電信電話株式会社
▶ 日本電信電話株式会社の特許一覧 ▶ 国立大学法人大阪大学の特許一覧
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公開特許公報(A)
(11)【公開番号】P2023139792
(43)【公開日】2023-10-04
(54)【発明の名称】量子デジタル署名システム、量子デジタル署名方法
(51)【国際特許分類】
H04L 9/12 20060101AFI20230927BHJP
H04L 9/32 20060101ALI20230927BHJP
【FI】
H04L9/12
H04L9/32 200A
【審査請求】未請求
【請求項の数】4
【出願形態】OL
(21)【出願番号】P 2022045503
(22)【出願日】2022-03-22
(71)【出願人】
【識別番号】000004226
【氏名又は名称】日本電信電話株式会社
(71)【出願人】
【識別番号】504176911
【氏名又は名称】国立大学法人大阪大学
(74)【代理人】
【識別番号】110001243
【氏名又は名称】弁理士法人谷・阿部特許事務所
(72)【発明者】
【氏名】本庄 利守
(72)【発明者】
【氏名】武居 弘樹
(72)【発明者】
【氏名】生田 拓也
(72)【発明者】
【氏名】井上 恭
(57)【要約】 (修正有)
【課題】より簡易な構成、簡易な手順によって認証鍵を配布する量子デジタル署名システム及び量子デジタル署名方法を提供する。
【解決手段】システムは、1光子/パルス未満で隣接パルスの位相差が0、π/2、π、3π/2のいずれかのパルス列を受信装置に同報送信する送信装置2と、分岐した一方のパルス列を入力し、遅延時間がパルス列の間隔に等しく、伝送位相差が0である第1マッハツェンダー干渉計、他方のパルス列を入力し、遅延時間がパルス列の間隔に等しく、伝送位相差がπ/2である第2マッハツェンダー干渉計、第1マッハツェンダー干渉計の出力光子を検出する検出器313、314、第2マッハツェンダー干渉計の出力光子を検出する検出器323、324、検出した光子と検出器とを記録する制御部35を備える受信装置を備え、パルスの位相を署名鍵として添付し、署名鍵と照合される認証鍵を制御部35によって記録した情報に基づいて生成する。
【選択図】図2
【解決手段】システムは、1光子/パルス未満で隣接パルスの位相差が0、π/2、π、3π/2のいずれかのパルス列を受信装置に同報送信する送信装置2と、分岐した一方のパルス列を入力し、遅延時間がパルス列の間隔に等しく、伝送位相差が0である第1マッハツェンダー干渉計、他方のパルス列を入力し、遅延時間がパルス列の間隔に等しく、伝送位相差がπ/2である第2マッハツェンダー干渉計、第1マッハツェンダー干渉計の出力光子を検出する検出器313、314、第2マッハツェンダー干渉計の出力光子を検出する検出器323、324、検出した光子と検出器とを記録する制御部35を備える受信装置を備え、パルスの位相を署名鍵として添付し、署名鍵と照合される認証鍵を制御部35によって記録した情報に基づいて生成する。
【選択図】図2
【特許請求の範囲】
【請求項1】
量子力学的性質に基づいて、送られてきたデジタルデータの送信者を保証するデジタル量子システムであって、
平均光子数が1光子/パルス未満であり、かつ隣接するパルス間の位相差が0、π/2、π、3π/2のいずれかであるパルス列を複数の受信装置に同報送信する送信装置と、
前記送信装置に送信された前記パルス列を受信する前記受信装置と、を含み、
前記受信装置は、
前記パルス列が分岐された一方のパルス列を入力し、遅延時間が前記パルス列の間隔に等しく、伝送位相差が0である第1マッハツェンダー干渉計と、
前記パルス列が分岐された他方のパルス列を入力し、遅延時間が前記パルス列の間隔に等しく、伝送位相差がπ/2である第2マッハツェンダー干渉計と、
前記第1マッハツェンダー干渉計から出力される光子を検出する第1光子検出器及び第2光子検出器と、
前記第2マッハツェンダー干渉計から出力される光子を検出する第3光子検出器及び第4光子検出器と、
前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器において検出された光子に係る情報を、当該光子を検出した前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器のいずれかに対応付けて記録する光子記録部と、を備え、
前記送信装置から送信された前記パルス列に含まれるパルスの位相は、データ送信に際して署名鍵として添付され、前記署名鍵と照合される認証鍵は、前記光子記録部によって記録された情報に基づいて生成される、量子デジタル署名システム。
平均光子数が1光子/パルス未満であり、かつ隣接するパルス間の位相差が0、π/2、π、3π/2のいずれかであるパルス列を複数の受信装置に同報送信する送信装置と、
前記送信装置に送信された前記パルス列を受信する前記受信装置と、を含み、
前記受信装置は、
前記パルス列が分岐された一方のパルス列を入力し、遅延時間が前記パルス列の間隔に等しく、伝送位相差が0である第1マッハツェンダー干渉計と、
前記パルス列が分岐された他方のパルス列を入力し、遅延時間が前記パルス列の間隔に等しく、伝送位相差がπ/2である第2マッハツェンダー干渉計と、
前記第1マッハツェンダー干渉計から出力される光子を検出する第1光子検出器及び第2光子検出器と、
前記第2マッハツェンダー干渉計から出力される光子を検出する第3光子検出器及び第4光子検出器と、
前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器において検出された光子に係る情報を、当該光子を検出した前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器のいずれかに対応付けて記録する光子記録部と、を備え、
前記送信装置から送信された前記パルス列に含まれるパルスの位相は、データ送信に際して署名鍵として添付され、前記署名鍵と照合される認証鍵は、前記光子記録部によって記録された情報に基づいて生成される、量子デジタル署名システム。
【請求項2】
前記第1マッハツェンダー干渉計は、入力された前記パルス列を分岐する分岐器と、前記分岐器によって分岐された前記パルス列のうちの非遅延パルス列と、当該非遅延パルス列に対して遅延を有する遅延パルス列とを結合して干渉させる結合器と、を備え、前記第1光子検出器及び前記第2光子検出器は、前記結合器において干渉した前記非遅延パルス列と前記遅延パルス列との位相差に応じた確率で前記光子を検出する、請求項1に記載のデジタル署名システム。
【請求項3】
前記送信装置は、前記パルス列を生成する光を出射するレーザ光源を含む、請求項1または2に記載のデジタル署名システム。
【請求項4】
量子デジタル署名システムにおけるデジタル量子署名方法であって、
平均光子数が1光子/パルス未満であり、かつ隣接するパルス間の位相差が0、π/2、π、3π/2のいずれかであるパルス列を送信装置から複数の受信装置に同報送信することと、
前記複数の受信装置の各々において、
前記パルス列が分岐された一方のパルス列を、遅延時間が前記パルス列の間隔に等しく、伝送位相差が0である第1マッハツェンダー干渉計に入力することと、
前記パルス列が分岐された他方のパルス列を、遅延時間が前記パルス列の間隔に等しく、伝送位相差がπ/2である第2マッハツェンダー干渉計に入力することと、
前記第1マッハツェンダー干渉計から出力される光子を第1光子検出器及び第2光子検出器で検出することと、
前記第2マッハツェンダー干渉計から出力される光子を第3光子検出器及び第4光子検出器で検出することと、
前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器において検出された光子に係る情報を、当該光子を検出した前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器のいずれかに対応付けて記録することと、
前記送信装置から送信された前記パルス列に含まれるパルスの位相に基づいて、データ送信に際して添付される署名鍵を生成することと、
前記署名鍵と照合される認証鍵を、前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器のいずれかに対応付けて記録された情報に基づいて生成することと、を含む、量子デジタル署名方法。
平均光子数が1光子/パルス未満であり、かつ隣接するパルス間の位相差が0、π/2、π、3π/2のいずれかであるパルス列を送信装置から複数の受信装置に同報送信することと、
前記複数の受信装置の各々において、
前記パルス列が分岐された一方のパルス列を、遅延時間が前記パルス列の間隔に等しく、伝送位相差が0である第1マッハツェンダー干渉計に入力することと、
前記パルス列が分岐された他方のパルス列を、遅延時間が前記パルス列の間隔に等しく、伝送位相差がπ/2である第2マッハツェンダー干渉計に入力することと、
前記第1マッハツェンダー干渉計から出力される光子を第1光子検出器及び第2光子検出器で検出することと、
前記第2マッハツェンダー干渉計から出力される光子を第3光子検出器及び第4光子検出器で検出することと、
前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器において検出された光子に係る情報を、当該光子を検出した前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器のいずれかに対応付けて記録することと、
前記送信装置から送信された前記パルス列に含まれるパルスの位相に基づいて、データ送信に際して添付される署名鍵を生成することと、
前記署名鍵と照合される認証鍵を、前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器のいずれかに対応付けて記録された情報に基づいて生成することと、を含む、量子デジタル署名方法。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、量子デジタル署名システム、量子デジタル署名方法に関する。
【背景技術】
【0002】
デジタルデータの送受信においては、受信したデータが正規の送信者から送られたものであるか否かを判定することが情報漏洩を防ぐために重要である。送信者を認証するシステムとして、デジタル署名方式が公知である。デジタル署名方式においては、データの送信者がデータの送信に先立って認証鍵を複数の受信候補者に配布する。送信者は、送付データに署名鍵を添付して送信する。データの受信者は、先に配布された認証鍵とデータに添付された署名鍵とを照合し、両者の整合、不整合によりデータの送信元の正否を認定する。このようなデジタル署名方式の安全性は、第三者が認証鍵から署名鍵を生成できないことが前提である。認証鍵から署名鍵を生成する処理は、膨大な量の演算が必要であるために非現実的であり、この点が安全性の根拠となっている。しかし、演算量の問題点は原理的な安全性を保証するものではなく、効率のよい計算手段(例えば量子計算機)の開発によって安全性が損なわれる恐れがある。
【0003】
上記の点に考慮したデジタル署名として、量子力学の原理に基づいて原理的な安全性を保証する、量子デジタル署名(Quantum Digital Signature: 以下、「QDS」と記す)方式が研究されている。このようなQDS方式は、例えば、非特許文献1、非特許文献2により公知である。
【0004】
ここで、QDS方式のデジタル署名について説明する。図1は、公知のQDS方式のデジタル署名システムを説明するための図である。QDS方式には複数のプロトコルがあるが、図1は、量子鍵配送(Quantum Key Distribution:以下、「QKD」と記す)装置を送信装置及び受信装置として用いるQDS方式のシステム(以下、「QDSシステム」とも記す)を示す。図1は、1つの送信装置Tと、2つの受信装置Ra、Rbとの間で通信を行う場合を示し、送信装置Tと受信装置Ra、Rb間の通信は通信チャンネル11、12によって行われる。通信は、送信装置Tと受信装置Ra、Rbとの間で認証鍵を交換し、その後送信装置Tから受信装置Ra、Rbにデータを送信することによって行われる。
【0005】
認証鍵配布においては、送信者と受信候補者間で共通の秘密鍵となるビット列を共有する。この秘密鍵はビット誤りを含んでおり、また一部盗聴されている可能性のあるビット列(QKDにおける誤り訂正及び秘匿性増強といったデータ処理前のシフト鍵)である。送信装置Tと受信候補となる受信装置Ra、Rbは、共有した秘密鍵の一部をテストビットとして照合し合い、共有した秘密鍵の誤り率を見積もる。次に、受信装置Ra、Rbは、テストビットを除く秘密鍵の半分を無作為に抽出し、通信チャンネル13を使って交換する。通信チャンネル13は、秘匿通信チャンネル、具体的にはQKDによって保護された通信チャンネルであり、送信者は受信者候補が交換したビット列を知ることができない。
【0006】
認証鍵は、秘密鍵の抽出されなかったビット列と、交換したビット列とを加えて生成される。このように、送信者と受信者候補との間で交換したビット列をそのまま認証鍵とせず、一部のみを認証鍵に使用することにより、QDSシステムは、送信者に受信候補者の認証鍵を知られることを防ぐことができる。このため、QDSシステムは、悪意のある送信者が特定の受信者の認定、否認を操作することを防ぐことができる。一方、送信者は、受信者候補と共有した秘密鍵を受信相手に対応付けてラベル付けする。そして、受信者候補に秘密鍵を全て足し合わせて署名鍵とする。送信者は、受信者に向けてデータを送信する際、データにこの署名鍵を添付して送信する。
【0007】
データを受信した受信者は、添付された署名鍵から自身の認証鍵に対応するビット列を抽出し、保有している認証鍵と照合する。そして、抽出したビット列の認証鍵に対するビット誤りの確率が先に見積もったビット誤り率から予測される値以下である場合、受信者は、署名鍵が正規のものであると認定する。送受信者間でQKD装置により共有した秘密鍵には実際の装置の不完全によるビット誤りがあるためである。
【0008】
このような公知のQDSシステムは、QKD装置を用いて生成するため、署名鍵が偽造されることを防ぐことができる。ただし、最初に送信者と受信候補者との間で共有される秘密鍵は一部盗聴される可能性がある。また、受信者候補者は秘密鍵の一部のビット列を交換しているから、他の受信者候補の認証鍵の一部を知っている。したがって、例えば、受信装置Raの受信者が署名鍵を偽造し、正規の送信者になりすまして他の受信候補者にデータを送信し得る。これを防ぐため、受信候補者は、想定されるビット漏洩割合を見積もっておき、署名鍵の認証鍵との整合率が漏洩割合から予想される値以下であれば署名鍵が偽造されたものと判断する。
【先行技術文献】
【非特許文献】
【0009】
【非特許文献1】“Differential-quadrature-phase-shift quantum key distribution,” Kyo Inoue and Yuuki Iwai, Phys. Rev. A 79, 022319 - Published 20 February 2009.
【非特許文献2】"Experimental demonstration of kilometer-range quantum digital signatures," Ross J. Donaldson, Robert J. Collins, Klaudia Kleczkowska, Ryan Amiri, Petros Wallden, Vedran Dunjko, John Jeffers, Erika Andersson, and Gerald S. Buller, Phys. Rev. A 93, 012329 - Published 19 January 2016.
【発明の概要】
【発明が解決しようとする課題】
【0010】
上記従来技術では、認証鍵配布過程において、送信者と各受信候補者との間で秘密鍵を共有している。秘密鍵の共有は、受信候補者ごとに行うので、配布する数だけのQKD送受信装置が必要となる。時系列的に順次秘密鍵共有を行えば送信装置は1台ですむが、全員と共有し終えるのに時間を要する。さらに、送信者と共有した秘密鍵の一部を受信候補者間で交換するのにもQKD装置を用いている。そのため、特に受信候補者数が多い場合、多数回QKD信号伝送を行わなければならず、全体システムが煩雑、高コストとなる。
【0011】
本発明は、上記の点に鑑みてなされたものであり、より簡易な構成、簡易な手順によって認証鍵を配布することができる、量子デジタル署名システム、量子デジタル署名方法に関する。
【課題を解決するための手段】
【0012】
上記目的を達成するために本発明の一形態の量子デジタル署名システムは、量子力学的性質に基づいて、送られてきたデジタルデータの送信者を保証するデジタル量子システムであって、平均光子数が1光子/パルス未満であり、かつ隣接するパルス間の位相差が0、π/2、π、3π/2のいずれかであるパルス列を複数の受信装置に同報送信する送信装置と、前記送信装置に送信された前記パルス列を受信する前記受信装置と、を含み、前記受信装置は、前記パルス列が分岐された一方のパルス列を入力し、遅延時間が前記パルス列の間隔に等しく、伝送位相差が0である第1マッハツェンダー干渉計と、前記パルス列が分岐された他方のパルス列を入力し、遅延時間が前記パルス列の間隔に等しく、伝送位相差がπ/2である第2マッハツェンダー干渉計と、前記第1マッハツェンダー干渉計から出力される光子を検出する第1光子検出器及び第2光子検出器と、前記第2マッハツェンダー干渉計から出力される光子を検出する第3光子検出器及び第4光子検出器と、前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器において検出された光子を、当該光子を検出した前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器のいずれかに対応付けて記録する光子記録部と、を備え、前記送信装置から送信された前記パルス列に含まれるパルスの位相は、データ送信に際して署名鍵として添付され、前記署名鍵と照合される認証鍵は、前記光子記録部によって記録された情報に基づいて生成される。
【0013】
上記目的を達成するために本発明の一形態の量子デジタル署名方法は、量子デジタル署名システムにおけるデジタル量子署名方法であって、平均光子数が1光子/パルス未満であり、かつ隣接するパルス間の位相差が0、π/2、π、3π/2のいずれかであるパルス列を送信装置から複数の受信装置に同報送信することと、前記複数の受信装置の各々において、前記パルス列が分岐された一方のパルス列を、遅延時間が前記パルス列の間隔に等しく、伝送位相差が0である第1マッハツェンダー干渉計に入力することと、前記パルス列が分岐された他方のパルス列を、遅延時間が前記パルス列の間隔に等しく、伝送位相差がπ/2である第2マッハツェンダー干渉計に入力することと、前記第1マッハツェンダー干渉計から出力される光子を第1光子検出器及び第2光子検出器で検出することと、前記第2マッハツェンダー干渉計から出力される光子を第3光子検出器及び第4光子検出器で検出することと、前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器において検出された光子を、当該光子を検出した前記第1光子検出器、前記第2光子検出器、前記第3光子検出器及び前記第4光子検出器のいずれかに対応付けて記録することと、前記送信装置から送信された前記パルス列に含まれるパルスの位相に基づいて、データ送信に際して添付される署名鍵を生成することと、前記署名鍵と照合される認証鍵を、前記光子記録部によって記録された情報に基づいて生成することと、を含む。
【発明の効果】
【0014】
以上説明したように、本発明によれば、従来に比べて簡便な構成、簡易な手順で認証鍵を配布する量子デジタル暗号システムを提供することができる。
【図面の簡単な説明】
【0015】
【図1】公知のQDS方式のデジタル署名システムを説明するための図である。
【図2】本発明の一実施形態の量子デジタル認証システムを説明するための図である。
【図4】デジタル署名システムで行われるデジタル署名方法を説明するためのシーケンス図である。
【図5】本発明の一実施形態に光子の検出データを例示する図である。
【発明を実施するための形態】
【0016】
以下、本発明の一実施形態の量子デジタル認証システム、量子デジタル認証方法を説明する。
【0017】
[量子デジタル認証システム]
図2は、本実施形態の量子デジタル認証システムを説明するための図である。図2に示す量子デジタル認証システムは、送信装置2と、受信装置3a、3bを含んでいる。図2では、受信装置3a、3bのうち、受信装置3aの内部構成を示しているが、受信装置3bは受信装置3aと同様の構成を有している。
図2は、本実施形態の量子デジタル認証システムを説明するための図である。図2に示す量子デジタル認証システムは、送信装置2と、受信装置3a、3bを含んでいる。図2では、受信装置3a、3bのうち、受信装置3aの内部構成を示しているが、受信装置3bは受信装置3aと同様の構成を有している。
【0018】
(送信装置)
送信装置2は、パルス光源21、位相調整部22、減衰器23を備えている。さらに、送信装置2は、パルス光源21や位相調整部22、さらには受信装置3a、3bとの通信を制御する制御部25を備えている。パルス光源21はレーザ光源であり、例えば矩形パルス列を連続的に出力する。レーザ光源によれば、良好なコヒーレンスを有するコヒーレント光を得ることが可能である。位相調整部22は、パルス光源21によって出力された連続コヒーレントパルス列のうちの隣接するパルスの位相差を0、π/2、π、3π/2のいずれかに設定する。減衰器23は、位相調整後のパルス列に含まれる1パルス当たりの光子(平均光子)が1以下、例えば0.1になるようにパルス列を減衰する。パルス列は、受信候補となる受信装置3a、3bの両方に同報送信される。この点は、受信候補となる受信装置毎に認証鍵配布工程を行う公知のデジタル署名システムと相違し、本実施形態のデジタル署名システムの承認鍵配布を簡略化し、時間を短縮する。
送信装置2は、パルス光源21、位相調整部22、減衰器23を備えている。さらに、送信装置2は、パルス光源21や位相調整部22、さらには受信装置3a、3bとの通信を制御する制御部25を備えている。パルス光源21はレーザ光源であり、例えば矩形パルス列を連続的に出力する。レーザ光源によれば、良好なコヒーレンスを有するコヒーレント光を得ることが可能である。位相調整部22は、パルス光源21によって出力された連続コヒーレントパルス列のうちの隣接するパルスの位相差を0、π/2、π、3π/2のいずれかに設定する。減衰器23は、位相調整後のパルス列に含まれる1パルス当たりの光子(平均光子)が1以下、例えば0.1になるようにパルス列を減衰する。パルス列は、受信候補となる受信装置3a、3bの両方に同報送信される。この点は、受信候補となる受信装置毎に認証鍵配布工程を行う公知のデジタル署名システムと相違し、本実施形態のデジタル署名システムの承認鍵配布を簡略化し、時間を短縮する。
【0019】
減衰器23によって減衰されたパルス列Pc、Pdは、それぞれ通信回線41、42を介して受信装置3a、3bに送信される。パルス列Pc、Pdは、パルスに従うデジタル信号となり、連続するデジタル信号をビット列とも記す。
【0020】
(受信装置)
受信装置3a、3bは、同様の構成を有し、以下、受信装置3aの構成を説明して受信装置3bの説明に代える。受信装置3aは、送信装置2から受信したパルス列Pcを分岐する例えば不図示の導波路を備える。また、受信装置3aは、マッハツェンダー干渉計31、マッハツェンダー干渉計32を備えている。マッハツェンダー干渉計31、32は、受信装置3aにおいて分岐されたパルス列Pcを各々入力し、これをさらに二経路に分岐する。マッハツェンダー干渉計31は分岐された二経路の伝搬位相差が0に設定され、マッハツェンダー干渉計32は二経路の伝搬位相差がπ/2に設定されている。すなわち、マッハツェンダー干渉計31、32においては、二経路の一方を通るパルス列に対して他方のパルス列が遅延しており、本実施形態では、一方が非遅延パルス列、この非遅延パルス列に対して相対的に遅延している他方が遅延パルス列に相当する。また、マッハツェンダー干渉計31、32における遅延時間はパルス列に含まれるパルスの間隔に等しく設定されている。マッハツェンダー干渉計31は本実施形態の第1マッハツェンダー干渉計に相当し、マッハツェンダー干渉計32は第2マッハツェンダー干渉計に相当する。
受信装置3a、3bは、同様の構成を有し、以下、受信装置3aの構成を説明して受信装置3bの説明に代える。受信装置3aは、送信装置2から受信したパルス列Pcを分岐する例えば不図示の導波路を備える。また、受信装置3aは、マッハツェンダー干渉計31、マッハツェンダー干渉計32を備えている。マッハツェンダー干渉計31、32は、受信装置3aにおいて分岐されたパルス列Pcを各々入力し、これをさらに二経路に分岐する。マッハツェンダー干渉計31は分岐された二経路の伝搬位相差が0に設定され、マッハツェンダー干渉計32は二経路の伝搬位相差がπ/2に設定されている。すなわち、マッハツェンダー干渉計31、32においては、二経路の一方を通るパルス列に対して他方のパルス列が遅延しており、本実施形態では、一方が非遅延パルス列、この非遅延パルス列に対して相対的に遅延している他方が遅延パルス列に相当する。また、マッハツェンダー干渉計31、32における遅延時間はパルス列に含まれるパルスの間隔に等しく設定されている。マッハツェンダー干渉計31は本実施形態の第1マッハツェンダー干渉計に相当し、マッハツェンダー干渉計32は第2マッハツェンダー干渉計に相当する。
【0021】
マッハツェンダー干渉計31は、分岐されたパルス列の一方を入力する。マッハツェンダー干渉計31は、入力されたパルス列を分岐する分岐器であるハーフミラー311と、ハーフミラー311に分岐され、非遅延パルス列と、遅延パルス列とを結合して干渉させる結合器であるハーフミラー312と、を備えている。ハーフミラー312に入射したパルス列は、結合して干渉し、2つの方路へ出射する。
【0022】
また、マッハツェンダー干渉計32は、分岐されたパルス列の他方を入力する。マッハツェンダー干渉計32は、入力されたパルス列を分岐する分岐器であるハーフミラー321と、ハーフミラー321に分岐された非遅延パルス列と、遅延パルス列とを結合して干渉させる結合器であるハーフミラー322と、を備える。マッハツェンダー干渉計32においても、ハーフミラー322に入射したパルス列は、結合して干渉し、2つの方路へ出射する。
【0023】
ただし、本実施形態は、パルス列の分岐、結合はハーフミラーを用いて行うことに限定されず、ビームスプリッタを用いてもよい。
【0024】
また、受信装置3aは、マッハツェンダー干渉計31、32から出力される光子を、ハーフミラー322において干渉した非遅延パルス列と遅延パルス列との位相差に応じた確率で検出する検出器313、314、323、324、検出器313、314、323、324において検出された光子を、この検出器と対応付けて記録する制御部35を備えている。検出器313、314、323、324は、それぞれ第1検出器、第2検出器、第3検出器、第4検出器に対応する。
【0025】
このような受信装置3aにおいて、送信装置2から送信されてきたパルス列が分岐されてそれぞれマッハツェンダー干渉計31、32に入力し、マッハツェンダー干渉計31、32においてさらにそれぞれ二分岐され、その一方が遅延するように位相調整される。この際、マッハツェンダー干渉計31、32の出力では、連続するパルス列に含まれるパルスが1パルス分時間シフトしている。非遅延パルス列と遅延パルス列は、ハーフミラー312、322において重なり、互いに干渉する。これにより、隣接する2パルスが干渉し合い、その位相差に応じて検出器313、314、または検出器323、324において光子が検出される。ただし、パルス列は減衰器23によって1パルス当たりの平均光子数が1個未満に減衰されている。このため、図2に示す受信装置3aにおいて、検出器313、314、323、324により光子が検出される確率は十分低く、また、ランダムである、
【0026】
図3は、隣接パルス位相差と光子検出する検出器との関係を示す図である。送信されてくる各パルスは0、π、π/2、3π/2のいずれかでランダムに位相変調されており、受信側において隣接パルス間の位相差が測定される。図3に示す表は、左端の列に図2中に示した検出器の番号を示し、第2行にパルスの位相差を示す。表によれば、例えば、パルスの位相差が0である場合、検出確率は、検出器313が0.5、検出器314が0、検出器323、324が0.25である。各検出器の検出確率を、以下「条件付き検出確率」とも記す。
【0027】
受信装置3aにおいては、光子に係る情報と、この光子を検出した検出器とが対応付けて記録される。光子に係る情報は、例えば、光子の検出のタイミングに基づく情報であってもよい。図3に示す例は、光子の検出順序に基づく、例えば#1等の番号と検出器とを対応付けて記録する例を示す。光子に係る情報は、検出の順番に限定されず、例えば、光子の検出時刻であってもよい。
【0028】
パルス列の送信後、送信装置2の制御部25は、送信したパルス列の位相に関する情報を受信装置3aに送信する。この情報は、予め位相0と位相πとをグループ化し、位相π/2と位相3π/2とをグループ化し、パルス列の位相差がいずれかのグループに含まれるのかを示し、πあるいはπ/2といった位相の値そのものは含まない。
【0029】
受信装置3aは、情報が示すグループに基づいて、受信したパルス列の誤り率を見積もる。例えば、情報が位相0及び位相πを含むグループを示す場合、受信装置3aでは、検出器323、324で検出された光子の検出データ(光子の検出順と検出器の組み合わせ)を廃棄する。そして、残った光子の検出データの一部をビット誤り率見積もりのためのテストデータに利用する。具体的には、制御部35は、送信装置2に対し、パルス列Pcに含まれるパルスの位相差の通知を要求する。制御部25は、要求に応じて位相差を受信装置3aに通知する。通知された位相差が0である場合、制御部35は、検出器313によって検出された光子が正しく受信された信号であり、他をビット誤りとする。位相がπである場合、検出器314によって光子が正しく受信された信号であり、他をビット誤りとする。
【0030】
また、情報が位相π/2及び位相3π/2を含むグループを示す場合、受信装置3aでは、検出器313、314で検出された光子のデータを廃棄する。そして、制御部35は、通知された位相がπ/2である場合に検出器324によって検出された光子が正しく受信された信号であり、他をビット誤りとする。位相が3π/2である場合、検出器323によって検出された光子が正しく受信された信号であり、他をビット誤りとする。さらに、制御部35は、テストデータに使用された検出データを廃棄し、残った光子の検出データを認証鍵とする。以上の処理により、本実施形態の認証鍵配布工程が終了する。
【0031】
送信装置2は、後のネットワークを介して行われるデータ送信において、認証鍵配布工程において受信装置3a、3bに同報送信したパルス列Pc、Pdに含まれるすべてのパルスの位相を署名鍵とする。そして、署名鍵が添付された送信データを受信装置3a、3bに向けて送信する。受信装置3aで生成された認証鍵は、添付された署名鍵と照合される。受信者は保有している認証鍵と添付された署名鍵を照合することにより、データ送信者と認証鍵配布者が同一であることを確認する。
【0032】
(デジタル署名方法)
図4は、以上説明したデジタル署名システムで行われるデジタル署名方法を説明するためのシーケンス図であって、送信者の側と受信者の側とで行われる処理を示している。複数の受信者の側の動作は同様であるから、図4においては1つの受信者の動作を説明する。図5は、受信装置3aが備える4つの検出器313、314、323、324の検出データD313、D314、D323、D324を例示する模式図である。例示した検出データD313、D314、D323、D324は、各検出器が検出した光子の総合的な検出の順番を示している。
図4は、以上説明したデジタル署名システムで行われるデジタル署名方法を説明するためのシーケンス図であって、送信者の側と受信者の側とで行われる処理を示している。複数の受信者の側の動作は同様であるから、図4においては1つの受信者の動作を説明する。図5は、受信装置3aが備える4つの検出器313、314、323、324の検出データD313、D314、D323、D324を例示する模式図である。例示した検出データD313、D314、D323、D324は、各検出器が検出した光子の総合的な検出の順番を示している。
【0033】
図4に示すように、送信装者は、送信装置2において、複数の受信装置3a、3bに位相差が0、π/2、π、3π/2のうちのいずれかのパルス列を同報送信する(401)。パルス列を受信した受信装置3aは、検出器313、314、323、324で光子が検出されたパルスにパルス番号を付与し、光子を検出した検出器に対応付けて記録する(402)。次に、受信装置3aは、パルス列の位相差が属するグループについて通知を要請し、送信者は要請に応じて0、π/2またはπ、3π/2のグループのいずれかを通知する(403)。受信装置3aは、位相のグループに応じ、図3に示す検出確率が0.25の検出器の検出データを廃棄する(404)。この際、例えば位相0、位相πのグループが通知された場合、制御部35は、図5の検出データD323、D324を廃棄する。
【0034】
次に、送信装置2は、受信装置3aの位相の通知要請に応じ、先に送ったパルス列の位相差を通知する(405)。制御部35は、図5の検出データD313の光子が正常に受信された信号とし、検出データD314の光子をビット誤りとしてビット誤り率を見積もる処理を行う(406)。そして、ビット誤り率の見積もりで使用されたテストデータを廃棄し(407)、残ったビット列を使って認証鍵を生成する(408)。送信者は、後に行われるネットワークを介する通信において、受信装置3a、3bに同報送信したパルス列に含まれるパルスの位相に基づいて認証鍵を生成する(409)。そして、受信装置3aに送信すべき送信データに署名鍵を付し、送付する(410)。受信者は、添付された署名鍵を認証鍵と照合し、そのビット誤り率により送信者の正否を判定する(411)。
【0035】
以上説明したように、本実施形態のQDSシステムの安全性は、認証鍵配布過程において、0、π/2、π、3π/2で位相変調された微弱なコヒーレントパルス列を用いることによって保証される。以下、この点を説明する。
【0036】
(署名鍵の偽造)
本実施形態のQDSシステムの署名鍵は、認証鍵配布時に送信したパルス列に含まれる全てのパルスの位相である。このパルス列は光子数の少ない微弱なパルスの列であり、パルス間の測定により明らかにすることが困難である。したがって、認証鍵配布時のパルス列から署名鍵を作成することはできない。ただし、完全な署名鍵は作成できなくても、標的となる受信者の認証鍵が分かれば、認証鍵ビット以外の位相をランダムに割り当てることにより、標的受信者に有効な署名鍵が偽造される恐れがある。この点に考慮し、本実施形態のデジタル署名システムは、認証鍵配布工程において1パルス当たりの光子数が1個以下の微弱なパルス列を使用する。このような微弱なパルス列から光子検出するのは稀、かつその時刻はランダムである。このため、同報送信されているパルス列を受信し、標的受信者の受信装置において検出されるであろう光子を予想してパルス列の位相を選択することはできない。したがって、本実施形態のデジタル署名システムは、同報送信されたパルス列から標的となる受信者の認証鍵を知ることはできず、それに整合した署名鍵を偽造することはできない。
本実施形態のQDSシステムの署名鍵は、認証鍵配布時に送信したパルス列に含まれる全てのパルスの位相である。このパルス列は光子数の少ない微弱なパルスの列であり、パルス間の測定により明らかにすることが困難である。したがって、認証鍵配布時のパルス列から署名鍵を作成することはできない。ただし、完全な署名鍵は作成できなくても、標的となる受信者の認証鍵が分かれば、認証鍵ビット以外の位相をランダムに割り当てることにより、標的受信者に有効な署名鍵が偽造される恐れがある。この点に考慮し、本実施形態のデジタル署名システムは、認証鍵配布工程において1パルス当たりの光子数が1個以下の微弱なパルス列を使用する。このような微弱なパルス列から光子検出するのは稀、かつその時刻はランダムである。このため、同報送信されているパルス列を受信し、標的受信者の受信装置において検出されるであろう光子を予想してパルス列の位相を選択することはできない。したがって、本実施形態のデジタル署名システムは、同報送信されたパルス列から標的となる受信者の認証鍵を知ることはできず、それに整合した署名鍵を偽造することはできない。
【0037】
さらに、より大掛かりな盗聴方法としては、成りすまし盗聴がある。成りすまし盗聴とは、盗聴者が送信装置2と例えば受信装置3aとの間の伝送路においてパルス列の信号を全て受信、測定し、測定結果に基づいて偽造信号を受信装置3aに向けて送信する盗聴方法である。盗聴者が測定に成功したパルス列のみを1光子以上の強度で再送すれば、受信者は盗聴者に測定されたパルス列を受信することになり、盗聴者の送信ビットと受信者の生成ビットは概ね同じとなる。すなわち、受信者の秘密鍵は盗聴者の知るところとなる。しかしながらこの盗聴が行われると、受信者が生成する秘密鍵のビット誤り率が、装置の不完全さから予測される値以上となる。その理由は次の通りである。
【0038】
ここで伝送されているのは、位相差が{0,π/2,π,3π/2}の4値のうちのいずれかのパルス列である。この位相差の測定系としては、図2に示されているように、遅延位相差が異なる2つの遅延干渉計を用いることが考えられる。しかしながら、図3に示されているように、位相差と光子を検出する検出器は1対1で対応しない。すなわち、上記4値の位相差は確率的にしか測定できない。その他のいかなる測定系を用いたとしても、上記4位相状態は量子力学的に非直交関係にあるため、確定的に正しい値は得られない。そのため、盗聴者が割り込み測定の結果に基づいて再送する偽装信号は元の送信信号とは異なるものとなる。そのような再送信号から生成した秘密鍵の一部を送信信号と照合すると、ビット誤り率は装置の不完全性に起因する値より高くなる。
【0039】
上記のように、なりすまし盗聴が行われると、受信者のビット誤り率が高くなる。換言すると、ビット誤り率をチェックすることによって盗聴の有無が検知される。このことがなりすまし盗聴を抑止することになる。
【0040】
上記述べたように、本実施形態は、認証鍵配布工程において0、π/2、π、3π/2のいずれかで位相変調された微弱コヒーレントパルス列を用いていることにより、署名鍵の偽造を防いでいる。QDSシステムの安全性は、データ送信者には受信者の認証鍵が秘匿されていることも要件となる。これにより、悪意のある送信者が特定の受信者を認定、あるいは否認するような署名鍵を作成すること防止し、署名鍵の公平性を保証する。認証鍵配布に微弱なコヒーレントパルス列を用いることは、この要件を満たすことにも寄与している。すなわち、送信装置2が光子数の少ない微弱パルス列を送信した場合、受信装置3aの側でパルス列内のどの隣接パルス対から光子検出するかは完全にランダムであり、送信者にはわからない。したがって、光子の検出データから生成される認証鍵は、送信者には秘匿されたものとなる。
【0041】
以上述べた本実施形態は、QDSシステムとして動作する。公知技術では、各送受信者それぞれでQKD伝送により秘密鍵を共有し、さらに受信間でQKDチャンネルによりデータ交換して認証鍵を生成しているのに対し、本実施形態は、微弱なパルス列を全受信者に同報送信し、受信データの一部を廃棄するのみで認証鍵配布工程が終了しており、従来に比べて簡便なシステム構成、認証鍵生成を実現する。
【符号の説明】
【0042】
2 送信装置
3a、3b 受信装置
11、12、13 通信チャンネル
21 パルス光源
22 位相調整部
23 減衰器
25、35 制御部
31、32 マッハツェンダー干渉計
41、42 通信回線
311、312、321、322 ハーフミラー
313、314、323、324 検出器
3a、3b 受信装置
11、12、13 通信チャンネル
21 パルス光源
22 位相調整部
23 減衰器
25、35 制御部
31、32 マッハツェンダー干渉計
41、42 通信回線
311、312、321、322 ハーフミラー
313、314、323、324 検出器
【図1】
【図2】
【図3】
【図4】
【図5】