知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2022-10-13
(45)【発行日】2022-10-21
(54)【発明の名称】量子的に高められた物理層セキュリティのための装置および方法
(51)【国際特許分類】
H04L 9/12 20060101AFI20221014BHJP
【FI】
H04L9/12
【請求項の数】
13
(21)【出願番号】P 2019531423
(86)(22)【出願日】2017-12-05
(65)【公表番号】
(43)【公表日】2020-01-30
(86)【国際出願番号】 EP2017081459
(87)【国際公開番号】W WO2018108619
(87)【国際公開日】2018-06-21
【審査請求日】2020-11-25
(31)【優先権主張番号】16203910.1
(32)【優先日】2016-12-13
(33)【優先権主張国・地域又は機関】EP
【前置審査】
(73)【特許権者】
【識別番号】507059761
【氏名又は名称】アイディー クアンティック エス.アー.
(74)【代理人】
【識別番号】100217434
【弁理士】
【氏名又は名称】万野 秀人
(72)【発明者】
【氏名】レグレ・マチュー
(72)【発明者】
【氏名】ウトナー・ブルーノ
【審査官】松平 英
(56)【参考文献】
【文献】特開2015-154342(JP,A)
【文献】特開2012-213143(JP,A)
【文献】特表2009-510907(JP,A)
【文献】特開2015-177535(JP,A)
【文献】特開2016-178381(JP,A)
【文献】特表2008-512018(JP,A)
【文献】小芦 雅斗 MASATO KOASHI,コヒーレント状態による量子鍵配送の通信路損失耐性 Robustness against Channel Loss of a Coherent-state Quantum Key Distribution Protocol,情報処理学会論文誌 IPSJ Journal,日本,社団法人情報処理学会 Information Processing Society of Japan,2005年10月15日,第46巻 第10号,pp.2439-2446,[ISSN]0387-5806
(58)【調査した分野】(Int.Cl.,DB名)
G06F12/14
21/00-21/88
G09C 1/00-5/00
H04K 1/00-3/00
H04L 9/00-9/40
(57)【特許請求の範囲】
【請求項1】
ランダムビット値生成装置(112)が、2つの異なる想定可能な量子状態のうちの一方で符号化される1つの量子ビットを、送信者(100)においてランダムに作成するステップ(710)と、量子状態送信機(110)が、量子的に高められた物理層の盗聴チャネル(500)を介して受信者(200)に符号化された前記量子ビットを送信するステップ(720)と、
量子状態受信機(210)が、受信された前記量子状態を検出および測定するステップ(730)と、
整合性モジュール(221)が、古典チャネルを介して、前記送信者と前記受信者との間で鍵のシフティング処理を行うステップ(740)と、
プライバシー増幅モジュール(123、223)が、前記検出かつ受信された量子状態に基づいて、任意の盗聴者(300)が入手できる情報量を計算するステップ(750、760)とを含み、
送信者(100)と受信者(200)との間で交換される情報にいかなる盗聴者もアクセスすることができないように、前記2つの異なる想定可能な量子状態が単一光子から成ることを特徴とし、
プロセスが、
まず前記受信者(200)の表面に相当する集光領域S CZ (650)と、光量子チャネル(500)を介して伝送される信号に対し、いずれの盗聴者もアクセスできないと前記受信者(200)が仮定できる領域に相当するセキュア領域S SZ (400)と、光ビームによって覆われる全面積に相当する照射領域S IZ (600)と、盗聴者が位置し得、盗聴者が入手できる量子状態の平均数が、次の式によって画定されている非セキュア領域S 非セキュア領域 (670)とを定義している、
さらに別の盗聴者が入手可能な情報の判定ステップを含むことを特徴とし、
【数1】
【数2】
【数3】
【数4】
物理層の盗聴チャネルモデルに基づいた送信者(100)と受信者(200)間での情報交換を含む、自由空間における鍵配送方法。
【請求項2】
前記単一光子がそれぞれUSD測定によって検出され、その後、秘密鍵生成ステップ(770)で利用することを特徴とする、請求項1に記載の自由空間における鍵配送方法。
【請求項3】
前記2つの異なる想定可能な量子状態が、複数の光子のコヒーレント状態から成ることを特徴とする、請求項1に記載の自由空間における鍵配送方法。
【請求項4】
送信者(100)によって送信される各コヒーレント状態の少なくとも1つの光子を盗聴者(300)が収集する確率に基づく、照射領域(600)の表面画定ステップをさらに含み、前記確率が次の式によって求められることを特徴とし、【数5】
【数6】
請求項1から3のいずれか一項に記載の自由空間における鍵配送方法。
【請求項5】
前記計算するステップ(750、760)が、前記送信者(100)および前記受信者(200)の蒸留エンジン(120、220)によって実行される誤り訂正ステップ(750)を含むことを特徴とする、請求項1から4のいずれか一項に記載の自由空間における鍵配送方法。
【請求項6】
前記鍵のシフティング処理を行うステップ(740)が、蒸留エンジン(120)に対して検出タイムスロットを通知し、かつ量子状態が検出されなかったタイムスロットを除外する蒸留エンジン(220)を含むことを特徴とする、請求項1から5のいずれか一項に記載の自由空間における鍵配送方法。
【請求項7】
前記2つの異なる想定可能な量子状態が非直交であることを特徴とする、請求項1から6のいずれか一項に記載の自由空間における鍵配送方法。
【請求項8】
誤り訂正ステップ(750)の後に、前記誤り訂正ステップ中に判明したビットを破棄することによって、前記送信者(100)と前記受信者(200)との間で共通の秘密鍵(130)を生成するプライバシー増幅ステップ(760)が続くことを特徴とする、請求項5に記載の自由空間における鍵配送方法。
【請求項9】
前記量子ビットを作成するステップ(710)の前に同期ステップ(700)をさらに含むことを特徴とする、請求項1から8のいずれか一項に記載の自由空間における鍵配送方法。
【請求項10】
送信者(100)と、受信者(200)と、
前記送信者(100)および前記受信者(200)を連結している光量子チャネル(500)とを備え、
前記送信者が、量子状態送信機(110)と蒸留エンジン(120)とを備え、
前記受信者が、量子状態受信機(210)と蒸留エンジン(220)とを備えることを特徴とする、
請求項1から8のいずれか一項に記載の方法を実行するように構成された、自由空間における鍵配送システム。
【請求項11】
前記量子状態送信機(110)が、乱数発生装置(112)と量子状態符号化装置(111)とを備え、前記乱数発生装置(112)が、前記量子状態を2つの異なる前記量子状態のうちの一方として符号化するように、前記量子状態符号化装置(111)に命じる値を出力することを特徴とする、
請求項10に記載の自由空間における鍵配送システム。
【請求項12】
前記量子状態が光子の偏光状態であることを特徴とする、請求項10または11に記載の自由空間における鍵配送システム。
【請求項13】
前記量子状態受信機(210)が、受信者の生鍵を表すビットのシーケンスを生成するように適合される、確実な状態識別測定(Unambiguous State Discrimination)を行うように構成されたUSD装置である量子状態検出装置(211)を備えることを特徴とする、請求項11または12のいずれか一項に記載の自由空間における鍵配送システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、自由空間光通信に関し、より詳細には、自由空間光量子チャネルを用いた通信のセキュリティ、およびそれに関連した方法に関する。
【背景技術】
【0002】
自由空間光通信(FSO)は、自由空間を伝搬する光を使用して、電気通信またはコンピュータネットワーキングを行うためにデータをワイヤレスで伝送する光通信技術である。「自由空間」とは、光が直線的に伝搬する空気、宇宙空間、真空、またはこれらに近いものを意味する。これは、光が導波路によって導かれ、かつ方向付けされる光ファイバ、またはより一般的には光導波路などの導波路光学系とは対照的である。自由空間技術は、高いコストがかかるなどの理由で物理的な接続が実行できない場合に有用である。
【0003】
他のあらゆるタイプの通信と同様に、自由空間光通信には盗聴を防止するためのセキュリティが必要となる。自由空間光通信の種々のセキュリティ手段が検討されると、送信者と受信者とがFSOを介して秘密情報を共有できるようにする解決策を提供すべく検証されてきた、いくつかの解決策が確認される。一般的なものは、FSOチャネルを介した秘密鍵の交換に基づいている。この交換の後、それらの鍵を使用して、セキュアな方法で(たとえば暗号化の手段によって)メッセージを交換する。
【0004】
通常、FSOによる鍵交換では2つの盗聴シナリオを検討することができる。その両方を図1に示している。
【0005】
第1のシナリオでは、イブ1 300は、送信者100と受信者200との間の光路上に位置している。したがって、イブ1 300は光信号を傍受し、かつ修正された可能性のある光信号を受信者200へと再送信することができる。これをアクティブシナリオと呼ぶ。第2のシナリオでは、イブ2 305の能力は、送信者100から受信者200へと伝送された光信号の一部を抽出するものに限定されている。このシナリオでは、盗聴者(イブ2 305)は、受信者200に対していかなる光信号も再送信することはできない。これをパッシブシナリオと呼ぶ。なお、盗聴者の挙動を制限するパッシブシナリオとアクティブシナリオとの区別は、物理層レベルでしか生じ得ない。パッシブシナリオの通信チャネルは、Wynerによって最初に導入された盗聴チャネルとして知られている。ただし、盗聴チャネルの概念は、後にCzisarとKornerによってより抽象的なレベルで拡張されたものとなった。彼らの事例では、盗聴チャネルは抽象モデルであり、盗聴者に制限を課さない、任意の3つのチャネル(送信者、受信者、および盗聴者を含む)を含む。この抽象モデルでは、盗聴チャネルは2つの別々のチャネルを含み、そのうちの一方は送信者と受信者との間に、またもう一方は送信者とイブとの間に位置している。このモデルは、通信チャネルが量子状態を伝送する量子盗聴チャネルまでさらに拡張されたものとなっている(参考文献:Igor Devetak,Quantum privacy and quantum wiretap channels、Cai,N.,Winter,A.&Yeung,R.W.,Quantum Information:An Introduction Par Masahito Hayashi)。抽象的なレベルであるこれらのモデルは、両方ともイブの能力について何ら仮定していないため、パッシブシナリオおよびアクティブシナリオの両方を包含している。アクティブシナリオとパッシブシナリオとを区別することを目的としているため、以下では、盗聴チャネルが物理的な通信チャネルであり、イブの能力をパッシブ盗聴に限定している、最初のWynerによる用語を採用することとする。
【0006】
過去数十年の間に、両方のシナリオでの盗聴を克服するための解決策が開発されている。
【0007】
QKDは、アクティブシナリオで秘密鍵を交換できるようにするプロトコルである。QKDプロトコルでは、2人のユーザ間にある通信チャネルは量子チャネルとして知られている。量子チャネルは、量子粒子、典型的には光子を、それらの量子特性を保持するように伝送する通信チャネルである。量子符号化に使用される2組のパラメータが存在する。1つは光子の偏光であり、2つめは位相であり、これには干渉計の使用が必要となる。どちらにも、量子チャネルの物理層およびQKDプロトコルのタイプに依存する利点と欠点とが存在する。
【0008】
QKDの背景にある基本的な考え方は、盗聴者が信号を傍受し、量子力学に矛盾の無い方法でそれを処理することが可能であるということである。それでもなお、送信者および受信者として知られている合法的なユーザは、依然としてセキュアな鍵を交換することができる。
【0009】
QKDにおいて最もよく知られているプロトコルとしては、1984年にBennettとBrassardによって説明された、4つの異なる量子状態に基づいたBB84プロトコルが挙げられる。たとえば、以下のような他のプロトコルもいくつか考案されている。
【0010】
・量子もつれに基づくE91。
【0011】
・2つの量子状態のみに基づいているが、干渉計の検出を要するB92。
【0012】
・および位相パラメータの変形を使用し、また符号化を行うにあたり検出時間を使用する、COW。
【0013】
これらのプロトコルはすべて、量子チャネルを介した単一光子の伝送に基づいており、離散変数QKDまたはDV-QKDとして知られている。これらにおいては、受信者側での単一光子検出装置の使用が必要となる。この必要性を軽減するために、連続変数QKDまたはCV-QKDと呼ばれる別のタイプのQKLDが提案され、実証されている。CV-QKDは通常、位相パラメータとともに使用される。
【0014】
光ファイバを介して分配される地上QKD用の商用システムは、ほとんどの場合ID Quantique社によって開発されている。地上QKDのすべてを実用化するにあたり、量子符号化に使用されるパラメータは位相、または、COWプロトコルのための関連するタイミングパラメータである。その理由は、偏光は光ファイバでは保持されないため、偏光方式では複雑で高価な構成要素を必要とするからである。一方、干渉計の検出についてはシングルモード光ファイバで実現する方がより容易となり、これは地上QKDにおいて選択すべき媒体である。
【0015】
地上QKDにおいて最も制限的制約となるものの1つは、距離制限である。光導波路における不可避の損失と、量子チャネルでは光増幅器を使用できないという事実とに起因して、送信者と受信者との間の距離は商用設定では約100キロメートル、学術実験では最大300キロメートルに制限される。このため、距離範囲を拡大するために、量子チャネルが自由空間となり、同様の損失制限のないFSO QKDが提案されている。
【0016】
近年では、自由空間で、典型的には衛星または飛行ドローンと地上基地局との間において、送信者と受信者との間でセキュアに鍵を交換するために、FSO QKDが研究されている。一例として、米国特許公報第9306740号はQKD望遠鏡用の装置を開示しており、また米国特許出願公開公報第20100166187号は、高高度プラットフォームを使用してQKDを実行するシステムを開示している。また、大気連続-可変QKDがどのように実行され得るかを示している(Heimら、2014年)、または自由空間QKDの実現可能性を実証している(Elserら、2009年)研究も、いくつか行われている。
【0017】
FSO QKDの原理は学術的な設定でも実証されているが、今なおその実証は困難である。地上QKDとは対照的に、自由空間での位相の使用はより困難となっている。実際、大気の歪みのせいで波の波面は伝搬中に歪んでしまい、これによって受信者側で干渉不良が発生することになる。補償光学ミラーを使用することで、これを改善することができる。しかしながら、これによってシステムのコストと複雑性とが大幅に増大する。自由空間では偏光が保持されるため、偏光ベースのシステムはより訴求力のあるものとなっている。ただし、送信者に対して受信者が移動するため、光子の偏光は衛星の通過中に変動し、このために複雑な偏光補償構成要素が必要となる。したがって、想定可能な上記のプロトコルおよび方式にはどれもいくつかの重大な欠点があり、このためにそれらを実施するのが困難となっている。
【0018】
・BB84、通常自由空間における偏光に基づいており、4つの異なる偏光状態の生成、補償および追跡を要する。
【0019】
・E91、偏光または位相に基づいている可能性があるため、もつれ合った粒子の複雑な発生源を要する。
【0020】
・B92、2つの異なる状態しか必要としないが、偏光のみで実行することができず、かつ干渉計の検出を要し、したがってこれは自由空間での実施は容易ではない。
【0021】
・COWプロトコルは、上記のような盗聴者に対する干渉計の検出をまさに要する。
【0022】
・CV-QKDシステムも位相に依存しており、干渉計の検出を要する。
【0023】
チャネルが完全に光導波路内にあって、影響および外界がほとんどない地上QKDには存在しないが、FSO QKDでのもう1つの難点は、迷光が存在することである。実際、自由空間チャネルを外部光から隔離することは、とりわけ低軌道周回衛星用の800長のチャネルなど、高損失チャネルにとっては困難な作業である。したがって、通信チャネルの電力レベルをQKDシステムに必要なレベルよりも上昇させながら、鍵交換時のセキュリティを維持できることが有利となるであろう。なお、QKDシステムの場合、そのチャネルが十分に良好な信号対雑音比を有するかどうかを判定するのに使用されるパラメータを、量子ビット誤り率(QBER)と呼ぶ。このパラメータは、何らかの理由で信号対雑音比の逆数となる。QBER値はQKDシステムによって測定される。QBER値が所定の閾値を超えると、QKDシステムは量子ビットの交換から秘密鍵を生成することができなくなる。QBER値が高いほど、信号レートに対する誤り率が上昇する。こうした誤り率の上昇は、量子信号の減少、またはQKDシステムの何らかのパラメータの改変(たとえば、光学系のアライメントを変更する温度体系の変動、もしくはQKD受信機内の単一光子検出装置が有する固有雑音の変化)、または盗聴の試みのいずれかに起因している可能性がある。
【0024】
この背景を念頭に置くと、FSO QKDに関して現在存在している解決策は、多くの技術的課題および限界に直面している。より簡素で、より安価かつセキュアな伝送システムを実現するために着目すべきは、盗聴者の能力を制限する物理層(古典または量子)の盗聴チャネルモデルである。このモデルでは、盗聴者が伝送を直接傍受できないとの確信を得ている必要がある。これは、送信者と受信者とが見通し距離内にいる自由空間では合理的な仮説である。
【0025】
一例として、第1のシナリオによる盗聴を防止するために、送信者100と受信者200との間の光チャネルを覆う領域における盗聴者の侵入を検出するために、レーダ150が開発かつ使用されている。その上、第1のシナリオによると、盗聴者イブ1が送信者100および受信者200と完全に位置合わせされること、すなわち送信者100と受信者200とを結ぶ経路にちょうど位置することは実に困難であり、これはなぜなら、送信者100とイブ1とが同じ速度かつ同じ方向となることで初めて、同じ軌道上に並ぶからである。最終的に、ビームを傍受して再送信するために、盗聴者は2つの異なる望遠鏡を所有する必要があり、このうちの一方は送信者の方向を指し、もう一方は受信者の方向を指し、両方とも光学系のロックを保持するのに十分な精度を有する必要がある。
【0026】
したがって、盗聴者が送信者と受信者との間に物理的に存在しているという第1のシナリオは起こらない可能性があると考えられ、たとえ万が一起こったとしても、レーダを使用することでそれを検出できると考える方がはるかに現実的である。物理層の盗聴チャネルシナリオは、FSO通信のほとんどの盗聴状況における条件に適合するシナリオを代表している。
【0027】
物理層の盗聴チャネルは、物理層セキュリティに特化した研究潮流の一部である。物理層セキュリティは、無線ネットワークの通信セキュリティを補完し、かつ大幅に改善させるために近年新たに出現した技術である。暗号化アルゴリズム手法と比較して、物理層セキュリティは根本的に異なるパラダイムであり、ここでは熱雑音、干渉、およびフェージングチャネルの時変特性などの通信システムの物理層特性を利用することにより、秘密性が得られる。
【0028】
図1に示す物理層の盗聴チャネルモデルでは、正規ユーザ、すなわち送信者100および受信者200が目的とするのは、盗聴者イブ2 305が、盗聴したチャネルの出力から交換済みの情報に関するいかなる情報も取得できないか、または少なくともその情報へのアクセスを有効にする信号を抽出できないことを保証しながら、主チャネル上で通信を行うことである。この事例の根底にある基本的な理論的枠組みは、Wynerによって提示された。主な仮定としては、送信者から盗聴者へと至るチャネルが、送信者から正規の受信者へと送信されたチャネルの劣化バージョンである場合、メッセージレートのごく一部を犠牲にすることによって非ゼロの秘密性レートが得られるということである。その場合の「劣化」とは、ノイズが増加した状態であると理解すべきである。近年では、Wynerによる物理層の盗聴チャネルがMaurerとWolfによって再検討され、その際彼らは、盗聴チャネルが劣化バージョンでなくても、すなわちイブの方が送信者および受信者よりもノイズが少ない場合でも、イブと受信者との間におけるノイズの独立性について仮定するだけで、非ゼロの秘密性レートが依然として得られることを明らかにしている。秘密情報を引き出すために、送信者および受信者は盗聴チャネルのノイズについて認識する必要がある。
【0029】
このシナリオの観点からは、近年多くの理論的研究が発表されており(Lopes-Martinezら、2015年)、(Wangら、2014年)、(Sun、2016年)、(Sasakiら、2016年)、これらは、光信号強度が100mWの範囲内である光古典信号を利用した設定を有する盗聴者が信号を抽出する際、その信号に対するノイズの影響を分析している。
【0030】
したがって、イブ2 305のノイズチャネルおよびその信号抽出能力に関していくらか仮定することにより、FSOチャネルを介したセキュアな方法で、送信者と受信者との間における情報の交換、たとえば鍵の交換を有効にすることができる。
【発明の概要】
【発明が解決しようとする課題】
【0031】
ただし、この手法ではイブ2 305のノイズレベルおよび信号抽出能力について仮定することが必要となる。イブの検出装置のノイズについては下限を設けている必要があり、またその境界が認識されている必要もある。イブ2が備える検出装置の品質状況を確かめることは決してできないので、これを解決するのは非常に困難である。
【0032】
このため、物理層の盗聴チャネルシナリオに対してセキュアなFSO通信を提供し、なおかつ盗聴者に対する技術的な制限に依存しないシステムおよび方法についての差し迫った必要性がある。
【課題を解決するための手段】
【0033】
したがって、本発明の目的は、盗聴者に対する技術的な制限に依存しないセキュアなFSO通信を実現するシステムおよび方法を提供することである。
【0034】
この目的は、物理層の盗聴チャネルに関する仮説(盗聴者は聴取にとどまる)と単純な量子チャネルの使用とを組み合わせることによって達成され、ここでは量子力学の原理によって、イブが入手できる情報量が制限されることとなる。この種の通信チャネルを、量子的に高められた盗聴チャネルと呼ぶこととする。
【0035】
提案される本発明は、物理層の盗聴チャネルシナリオを背景とした、FSO通信を介したセキュアな鍵の交換を、送信者と受信者との間の光チャネルからデータを抽出するイブの能力に関して何ら仮定せずに、なおかつQKDベースのシステムに必要な複雑かつ高価な実装を必要とせずに有効にするシステムおよび方法を提供する。本明細書において、使用する装置および方法について以下で詳細に説明する。
【0036】
開示される本発明は、盗聴者が抽出できる情報が量子力学の原理によって限定されるように、チャネルが量子状態を伝送するという、盗聴チャネルモデルに基づいて自由空間で鍵を配送するための方法である。
【0037】
より具体的には、本発明のシステムおよび方法は以下に基づいている。
【0038】
・2つの量子状態をランダムに符号化して、それらを受信者へと送信する能力を有する送信者。本発明の特定の実施形態によれば、これらの状態は単一光子、またはほんの数個の光子を伴う弱いコヒーレント状態となり得る。偏光、タイムビンまたは他のパラメータで符号化を行うことができる。いくつかの実施形態のみを提示しているが、他のタイプの量子状態および符号化を同様に使用してもよい。
【0039】
・当該状態を受信者へと伝送する、量子的に高められた物理層の盗聴チャネル。盗聴チャネルに関する仮説では、盗聴者は量子状態の一部を収集することはできるが、それらの傍受はできないことになっている。本発明の基礎として使用する量子チャネルの主な特性は、盗聴者がチャネルを盗聴しても、当該状態に関する部分的な情報しか得られないということである。対照的に、古典チャネルでは原理上、盗聴すれば当該信号に関する完全な情報を得ることができる。
【0040】
・送信者によって送信された量子状態を検出かつ測定する能力を有する受信者。
【0041】
加えて、元のトランザクションから共有されたセキュアな鍵を抽出するために、認証済みの古典チャネルを介して送信者と受信者とが連携することができる。このステップは鍵蒸留として定義されており、送信中に損失のあった状態を識別して破棄する情報整合と、送信中に発生した可能性のあるエラーを除去する誤り訂正と、盗聴者に漏洩した可能性のある情報を、選択した任意の低い値まで減少させるプライバシー増幅とを含む。
【0042】
このため、本発明の第1の態様は、ランダムビット値生成装置(112)が、2つの異なる想定可能な量子状態のうちの一方で符号化される1つの量子ビットを、送信者(100)においてランダムに作成するステップ(710)と、量子状態送信機(110)が、チャネルを盗聴する盗聴者(300)が、前記量子状態に関する部分的な情報しか得られないようにして、量子的に高められた物理層の盗聴チャネル(500)を介して受信者(200)に前記符号化された量子ビットを送信するステップ(720)と、量子状態受信機(210)が、受信された量子状態を検出および測定するステップ(730)と、整合性モジュール(221)が、古典チャネルを介して、前記送信者と受信者との間で鍵のシフティング処理を行うステップ(740)と、プライバシー増幅モジュール(123、223)が、前記検出かつ受信された量子状態に基づいて、任意の盗聴者(300)が入手できる情報量を計算するステップ(750、760)とを含み、送信者(100)と受信者(200)との間で交換される情報にいかなる盗聴者もアクセスすることができないように、前記2つの異なる想定可能な量子状態が単一光子から成ることを特徴とする。
【0043】
有利には、2つの異なる想定可能な量子状態は単一光子から成る。
【0044】
好ましくは、単一光子がそれぞれUSD測定によって検出され、その後、秘密鍵生成ステップで利用する。
【0045】
あるいは、前記2つの異なる想定可能な量子状態は、複数の光子のコヒーレント状態から成る。
【0046】
本発明の好ましい一実施形態によれば、自由空間における鍵配送方法は、まず受信者の表面に相当する集光領域SCZと、光量子チャネルを介して伝送される信号に対し、いずれの盗聴者もアクセスできないと受信者が仮定できる領域に相当するセキュア領域SSZと、光ビームによって覆われる全面積に相当する照射領域SIZと、盗聴者が位置し得、盗聴者が入手できる量子状態の平均数が、次の式によって画定されている非セキュア領域S非セキュア領域とを定義している、さらに別の盗聴者が入手可能な情報の判定ステップを含む。
【0047】
【数1】
【数2】
【数3】
【数4】
【0048】
有利には、自由空間における鍵配送方法は、送信者によって送信される各コヒーレント状態の少なくとも1つの光子を盗聴者が収集する確率に基づく、照射領域の表面画定ステップをさらに含み、前記確率は次の式によって求められる。
【0049】
【数5】
【0050】
ここで、送信者によって送信されるコヒーレント状態の強度を調整することにより、前記照射領域画定ステップを定義している。
【0051】
本発明の好ましい一実施形態によれば、計算ステップは、送信者および受信者の蒸留エンジンによって実行される誤り訂正ステップである。
【0052】
有利には、鍵のシフティング処理を行うステップは、蒸留エンジンに対して検出タイムスロットを通知し、かつ量子状態が検出されなかったタイムスロットを除外する蒸留エンジンを含む。
【0053】
好ましくは、2つの異なる想定可能な量子状態は非直交である。
【0054】
本発明の好ましい一実施形態によれば、誤り訂正ステップの後に、誤り訂正ステップ中に判明したビットを破棄することによって、送信者と受信者との間で共通の秘密鍵を生成するプライバシー増幅ステップが続く。
【0055】
有利には、自由空間における鍵配送方法は、量子ビット作成ステップの前に同期ステップをさらに含む。
【0056】
本発明の第2の態様は、送信者と、受信者と、前記送信者および前記受信者を連結している光量子チャネルとを備え、前記送信者は、量子状態送信機と蒸留エンジンとを備え、前記受信者は、量子状態受信機と蒸留エンジンとを備えることを特徴とする、本発明の第1の態様による方法を実行するように構成された、自由空間における鍵配送システムに関する。
【0057】
本発明の好ましい一実施形態によれば、量子状態送信機は、乱数発生装置と量子状態符号化装置とを備え、乱数発生装置は、量子状態を2つの異なる量子状態のうちの一方として符号化するように、量子状態符号化装置に命じる値を出力する。
【0058】
有利には、量子状態は光子の偏光状態である。
【0059】
好ましくは、量子状態受信機は、受信者の生鍵を表すビットのシーケンスを生成するように適合される、確実な状態識別測定(Unambiguous Sate Discrimination)を行うように構成されたUSD装置である量子状態検出装置を備える。
【図面の簡単な説明】
【0060】
図面を参照しながら、本発明の好ましい実施形態を以下に記載するが、これらは本発明の現在の好ましい実施形態を例示するためのものであり、これらの実施形態を限定するためのものではない。図面において、
【図1】盗聴チャネルおよび物理層の盗聴チャネルにおける盗聴を含む、種々の盗聴シナリオを示す図である。
【図2】本発明の概略的な装置を示す図である。
【図3a】単一光子によって搬送される偏光状態の場合に適した、本発明の好ましい一実施形態を示す図である。
【図3b】コヒーレント状態の場合に適した、本発明の好ましい一実施形態を示す図である。
【図4】本発明の概略的な装置に関連する方法を示す図である。
【発明を実施するための形態】
【0061】
図1は、上記で言及しかつ記載したように、種々の盗聴シナリオを提示している。送信者100および受信者200は、破線で画定されたFSO通信チャネルを介してデータを交換しており、盗聴者イブ1 300は100と200との間に位置してもよく、盗聴チャネルシナリオに従ってビームを傍受して再送信するか、または盗聴者イブ2 305は地上に位置してもよく、その場合は物理層の盗聴チャネルシナリオに従って、ビームの一部の収集のみが可能となるが、再送信はせず、両方のシナリオにおいて、交換されるデータに関する情報の取得が試みられている。それに関する説明を、ここでは詳細に繰り返さないものとする。
【0062】
図2は、量子チャネル500を介した量子状態および古典チャネル550を介した認証信号を交換する送信者100と受信者200とを含む、本発明の概略的な装置を示す。なお、これらのチャネルは盗聴されていると見なし、これはすなわち、盗聴者はチャネルを通過する情報および/または量子状態を抽出することはできるが、この情報およびこれらの量子状態を変更することはできないということである。古典信号は、同期化、ポインティングおよび追跡または後処理作業を行うために、送信者100と受信者200との間で交換される古典的なRF信号または光信号であってもよい。送信者100は、量子状態送信機110と蒸留エンジン120とを備える。量子状態送信機110は、それぞれビット0または1を表す量子状態源|φ0>または|φ1>111であって、ここではたとえば、量子状態が単一光子によって搬送される偏光状態であり得る、量子状態源と、たとえば従来のRNGまたは量子RNGで作成可能な、ランダムビット値112を生成することができるモジュールとから構成されている。
【0063】
ランダムビット値生成装置112によって出力されたビット値(0または1)に応じて、状態源111は、相当する量子状態(たとえば、「0」=|φ0>;「1」=|φ1>)を送信するように構成されている。生成装置112によって選択されたビット値のコピーは、送信者の生鍵を構成するために蒸留エンジン120へと送信される。蒸留エンジン120は、生鍵から秘密鍵を生成するために鍵蒸留プロセスを実行するように構成されている。
【0064】
その一方で、受信者200は量子状態受信機210と、類似の蒸留エンジン220とを備える。量子状態受信機210は、チャネル500を介して受信された量子状態を検出し、かつ2つの異なる状態である|φ0>と|φ1>とを識別することができる。蒸留エンジン220は、古典チャネル550上で120と連携させながら使用することで、生鍵の交換から秘密鍵を蒸留する。受信者の生鍵を構成するために、「1」または「0」から成る測定シーケンス出力が蒸留エンジン220へと送信される。
【0065】
蒸留エンジン120と蒸留エンジン220とが古典チャネル500を介し協働して、秘密鍵130を生成する。蒸留エンジン120および220は両方とも3つのモジュール、すなわち整合モジュール121および221と、誤り訂正モジュール122および222と、プライバシー増幅モジュール123および223とから構成される。蒸留エンジン120および220の両方とも、処理装置から作製することができる。蒸留エンジン120または220を構成している3つのモジュールは、それらの処理装置上で実行されるソフトウェア部分から構成することができる。
【0066】
タイムビン検出の場合、整合モジュール221は、まず整合モジュール121に検出タイムスロットを通知し、次いで量子状態が検出されなかったタイムスロットを除外する。実際、量子チャネル500において、また210内の検出装置において損失が発生する可能性があるため、111によって送信される状態がすべて検出されるわけではない。自由空間量子チャネル500の典型的な損失は、高高度プラットフォームでは10~20dB、衛星では30~50dB、そして静止衛星では50dBを超える範囲となる。
【0067】
次に、誤り訂正モジュール122および222が残りのビットに対して誤り訂正を行う。この誤り訂正は、たとえばビットのサンプルを取得する(そして情報漏洩のないように、後でそれらを破棄する)ことにより、誤り数を評価するステップと、誤り訂正コードを使用して誤り数をゼロまで減少させるステップとから成る。
【0068】
最後に、プライバシー増幅モジュール123および223が、盗聴者に漏洩した可能性がある情報量を推定し、残りのビット数をさらに減少させることで、これを任意に選択された値、典型的にはゼロに近い値まで減少させる。正確な計算の実行は実施形態に依存しており、2つの事例、すなわち単一光子およびコヒーレント状態については以下に例示している。他の実施形態でも同様に推定することができる。この手順の終了時に、送信者100および受信者200は必要に応じて秘密鍵130を共有する。
【0069】
図3aは、単一光子状態に基づき、飛行プラットフォームと地上局との間でのセキュアな鍵交換を可能にする、本発明の第1の実施オプションを示す。この第1の実施形態では、量子状態送信機110は2つの状態のうちの一方、たとえば|φ0>または|φ1>(0または1のビット値に相当する)にある単一光子状態の列を、たとえば直交偏光で送信する。先行技術で説明した欠点、すなわち飛行中に偏光が送信者の位置によって変動し得る状態を回避するために、たとえば右円偏光と左円偏光とから成る2つの円偏光モード115を使用することができ、これらは飛行プラットフォームの位置に対して不変である。この量子状態の列を矢印の束で示しており、大きな点はそれぞれ1つの光子に相当し、種々の時間に送信されたものである。光子はすべて送信機110の回折円錐内にあり、地上の種々の場所に到達することになる。受信者領域200(図3bを参照のこと)とも呼ばれる集光領域650に到達する光子は、受信者200によって検出されることになる(不完全な検出による損失を伴う)。これらの状態は受信者200において、量子状態受信機210を用いて容易に識別することができ、この量子状態受信機210は、2つの円偏光を2つの直線偏光へと変換する4分の1波長板(QWP)と、2つの直線偏光を分離し、かつこれらをそれぞれ2つの検出装置202および203のうちの一方へと送信する偏光ビームスプリッタ201とから構成されている。
【0070】
量子力学の原理からよく知られているが、単一光子状態を分割することはできない。したがって、集光領域650の外側に到達する光子は、この場合イブ2 305によって検出される可能性があり、また受信者200では受信されないことになる。これに相当する状態は、上記で説明した整合プロトコルの間に破棄されることになる。したがって、本実施形態において送信者110と受信者200との間で共有され、なおかつイブ2 305が入手できる情報はゼロとなる。このため、単一光子を使用する量子的に高められた物理層の盗聴モデルにおいて、プライバシー増幅ステップでは、誤り訂正ステップ中に判明したビットを破棄しさえすれば十分である。誤り訂正ステップ中に判明したビットを持たない訂正済みの鍵は、すでに非公開となっている。ただし残念なことに、単一光子の流れを生成するのは困難な作業である。これは実験室では実現されているが、すぐに利用できる商業的供給源は存在していない。かかる供給源を衛星搭載レベルとするために、多大な努力も必要となるであろう。このため、本実施形態は最も単純な実施態様を示しているが、まだ実用的ではない。
【0071】
第2の実施形態では、2つの量子状態はコヒーレント状態である。量子光学では、コヒーレント状態を最初に導入したのはR.Glauberであり、その後広く研究されている(たとえばR.Loudonによる書籍「Quantum Theory of Light」を参照のこと)。ここで最も重要な特徴は、コヒーレント状態が、たとえば光パルスにおいて、レーザによって送信される量子状態であるという点である。本実施形態で使用するコヒーレント状態の第2の特徴は、コヒーレント状態が、たとえば大気を介して伝送される間に減衰した場合に、コヒーレント状態を維持するという点である。本実施形態でやはり使用するコヒーレント状態の第3の特徴は、コヒーレント状態を、独立したコヒーレント状態の直積に分割することができるという点である。これは、コヒーレント状態が異なるモードに分割された場合、各モードにおける光子の検出確率が別個のものとなることを意味している。図3bは、この特定の発明実施形態と、典型的な鍵交換の実行とを示す。この図は、衛星が地上局との秘密鍵の交換を望む場合の構成を示している。盗聴者であるイブ2 305は、地上で受信者200の近くに位置していると考えられる。イブ2 305は、光ビーム内にあるとき、送信者100によって送信された量子状態の一部を収集することができる。イブ2 305は、衛星内の送信者100と地上局内の受信者200との間の光通信チャネル内を伝搬する信号の一部を収集する能力しか有していないので、ここで提示している構成は物理層の盗聴チャネルシナリオに関する仮説と一致している。送信者100は、光量子チャネル500を介してコヒーレント状態(たとえば、レーザによって放出される光パルス)を受信者200へと送信する。このパルスの強度は、受信者において、平均して1光子程度の非常に低い強度を有するように選択される。送信者100は、たとえば時間内に符号化された量子状態、すなわちCOWプロトコルで使用される基底のような、異なるタイムビンに相当する各ビットを用いた稼働を選択することができる。偏光符号化(前実施形態に記載した通り)も可能となり得る。ただし偏光符号化は、たとえば光学ミラー内の偏光保持構成要素を必要とするため、これによってシステム全体がより高価になる。したがって、実用的な理由から、実行に際しパルスレーザのみを要する時間符号化の方が、より安価な解決策と思われる。このパルスレーザは、次の2つの量子状態を生成するために適時に有効になる。これらの量子状態はすなわち、たとえばゼロを表す、後期タイムビンの真空状態がその後に続く初期タイムビンの1つの弱い光パルスか、またはたとえば1を表す、後期タイムビンの1つの弱い光パルスがその後に続く初期タイムビンの1つの真空状態のいずれかである。受信者200側では、初期または後期タイムビンで光子検出が行われたかどうかを確認することにより、これら2つの量子状態を識別することができる。これは、固有の単一光子検出装置の使用に続き、検出時間をタイムビン定義と比較して測定する装置を使用することにより、実施することができる。また、検出システムを適宜同期することも必要である。回避できない回折効果が生じるために、送信者100からのビームは伝搬中に広がる。したがって、量子チャネル500を円錐形の光ビームによって表している。明示することを目的として、この効果を図3bではかなり強調している。実際には、たとえば10cmのミラーの場合、ビームのアパーチャは約20秒角である。ただし、低軌道周回衛星の場合は、伝搬距離が約800kmと長くなるため、ビームは通常数メートルの広い領域を照射し、この領域を照射領域(IZ)600と呼んでいる。ここでは、IZ 600を3つの領域へと分割している。
【0072】
1-光を収集し、受信者200内に位置する、ミラーの表面に相当する集光領域(CZ)650。受信者200が入手できる平均光子数は、次の式によって求められる。
【0073】
【数6】
【数7】
【数8】
【数9】
【数10】
【数11】
【数12】
【0074】
2-セキュア領域(SZ)660、光量子チャネル500を介して伝送される信号に対し、いずれの盗聴者もアクセスできないと受信者200が仮定できる領域であり、一例としてこの領域は、盗聴者が侵入できない、たとえば建物の屋内駐車場などの、受信者200を包囲している閉鎖された領域であってもよい。
【0075】
3-第3の領域は非セキュア領域670であり、この領域は照射されているがセキュアではなく、盗聴者が位置し得る場所に相当する。非セキュア領域の表面は次の通りとなる。
【0076】
【数13】
【0077】
したがって、イブ2 305が入手できる平均光子数は、次の法則によって制限される。
【0078】
【数14】
【数15】
【0079】
既述したように、送信者100はコヒーレント状態を送信する。これらの状態を、セキュア領域660および非セキュア領域670の2つの領域に相当する、2つの異なるモードに分割することができる。各領域における検出確率は別個のものとなる。これはコヒーレント状態の特性である。換言すれば、イブ2 305による光子の検出確率は、受信者200における検出確率とは完全に無関係である。
【0080】
送信者100からイブ2 305へと至るチャネルがいかなる余分なノイズも導入せず、またイブ2 305が送信者100によって送信された状態間を完全に分割することができると仮定すると、イブ2 305は、そのコヒーレント状態が少なくとも1つの光子を有するたびに、送信者100によって送信され、受信者200によって受信される状態(すなわち、ビット値)について知ることができる。このコヒーレント状態の特性を使用して、送信者100によって送信される各コヒーレント状態に関して、イブ2 305が少なくとも1つの光子を収集する確率は、次の式によって求められる。
【0081】
【数16】
【0082】
この式により、送信者100によって送信された各量子状態に関して、イブ2 305が取得した情報を得ることができる。上記の独立性から、これは、誤り訂正の前に送信者100と受信者200とが共有している各ビットに関して、イブ2 305が取得する可能性のある情報でもある。イブ2 305が情報を取得することができない単一光子状態を有する既述の実施形態とは対照的に、送信者100と受信者200とがコヒーレント状態を使用する場合、イブ2 305は状態に関する部分的な情報を取得することができる。ただし、この情報は上記の式によって制限される。2つの実施形態における1つの共通した特徴は、イブ2に漏洩される可能性のある情報がチャネル内の誤り率に依存するのではなく、送信者100によって使用される状態のタイプおよび本システムの幾何学構造にのみ依存するということである。送信者100によって送信されるコヒーレント状態の強度を減少させることによって、イブ2 305が受信するコヒーレント状態の平均光子数はゼロへと近づく。このため、送信者100によって選択されたビット値に関するこうした情報は、コヒーレント状態の強度が低いほど少なくなる。また、照射領域600に対してセキュア領域660が十分に大きい場合、イブ2 305が光子を受信する確率は低くなる。このことは、イブ2 305が入手できる可能性のある情報を減少させるために、次の2つの異なる方法が使用できることを示している。
【0083】
(1)制限された数の光子を送信するか、
(2)または十分な大きさのセキュア領域を用意することによって、イブがビームの大部分にアクセスできないようにする。
(2)または十分な大きさのセキュア領域を用意することによって、イブがビームの大部分にアクセスできないようにする。
【0084】
この情報は、プライバシー増幅により、必要な任意の値まで減少されることになる。
【0085】
図4は、本発明に関連する方法を示す。
【0086】
第1のステップ700では、送信者100および受信者200が、古典的なRF信号または光信号交換を行うことにより、チャネル550を介して同期する。この動作を、たとえば衛星システム用のポインティングおよびトラッキングシステムを介して行ってもよいが、これは任意である。
【0087】
第2のステップ710では、2つの異なる想定可能な量子状態のうちの一方で符号化された1つの量子ビットを送信者100がランダムに作成し、前記量子状態は、単一光子またはコヒーレント状態のいずれかから成る。このランダムな量子ビット値は、送信者の生鍵に付加される。
【0088】
第3のステップ720では、選択されたビット値に相当する、2つの異なる量子状態の間で符号化された量子ビットを送信者が受信者200へと送信する。
【0089】
第4のステップ730では、受信者200が量子状態を検出かつ測定し、「1」または「0」を出力する。任意選択で、受信された状態に対する確実な状態識別測定(Unambiguous State Discrimination)を通じてこの測定を行ってもよく、この場合は「1」、「0」、または確定的でない結果「
」のいずれかを出力する。この結果は受信者の生鍵に付加される。
【数17】
【0090】
次いで、鍵のシフティング処理ステップ740では、送信者と受信者とが、検出タイムスロットを受信者が送信者に対して通知し、状態の非検出に相当するビット値を送信者が自身の生鍵から消去するように、通信する。
【0091】
第5のステップ750では、送信者100と受信者200とが協働して、それらの2つの生鍵間の誤り訂正を行う。
【0092】
第6のステップ760では、上記で説明したように、送信者によって送信される2つの異なる量子状態に基づいた物理層における盗聴を通じて、光量子チャネル500からの情報を抽出する能力を有する盗聴者305が入手できる可能性のある最大限の情報を、送信者100および受信者200が判定する。
【0093】
最終ステップ770では、共通の秘密鍵130を生成するために、送信者100および受信者200が訂正済みの生鍵のプライバシー増幅を実行する。
【符号の説明】
【0094】
100 送信者
110 量子状態送信機
111 量子状態符号化装置
112 RNG
120 送信者側蒸留エンジン
121 整合モジュール
122 誤り訂正モジュール
123 プライバシー増幅モジュール
130 秘密鍵
200 受信者
210 量子状態受信機
211 量子状態検出
220 受信者側蒸留エンジン
221 整合モジュール
222 誤り訂正モジュール
223 プライバシー増幅モジュール
300 イブ1
305 イブ2
500 量子チャネル
550 古典チャネル
600 照射領域
650 集光領域
660 セキュア領域
670 非セキュア領域
700 送信者と受信者との同期
710 「0」または「1」のランダム選択
720 量子状態の送信
730 受信者による量子状態の測定
740 鍵のシフティング処理
750 送信者および受信者による誤り訂正
760 イブに関する情報の推定
770 プライバシー増幅
110 量子状態送信機
111 量子状態符号化装置
112 RNG
120 送信者側蒸留エンジン
121 整合モジュール
122 誤り訂正モジュール
123 プライバシー増幅モジュール
130 秘密鍵
200 受信者
210 量子状態受信機
211 量子状態検出
220 受信者側蒸留エンジン
221 整合モジュール
222 誤り訂正モジュール
223 プライバシー増幅モジュール
300 イブ1
305 イブ2
500 量子チャネル
550 古典チャネル
600 照射領域
650 集光領域
660 セキュア領域
670 非セキュア領域
700 送信者と受信者との同期
710 「0」または「1」のランダム選択
720 量子状態の送信
730 受信者による量子状態の測定
740 鍵のシフティング処理
750 送信者および受信者による誤り訂正
760 イブに関する情報の推定
770 プライバシー増幅
【図1】
【図2】
【図3a】
【図3b】
【図4】