(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-02-10
(45)【発行日】2023-02-20
(54)【発明の名称】デコイ状態かつ3状態量子鍵配送のための装置および方法
(51)【国際特許分類】
H04L 9/12 20060101AFI20230213BHJP
G09C 1/00 20060101ALI20230213BHJP
H04L 9/08 20060101ALI20230213BHJP
G02F 1/01 20060101ALI20230213BHJP
H04B 10/70 20130101ALI20230213BHJP
H04B 10/54 20130101ALI20230213BHJP
【FI】
H04L9/12
G09C1/00 650B
H04L9/08 C
G02F1/01 B
H04B10/70
H04B10/54
【請求項の数】
14
(21)【出願番号】P 2019560187
(86)(22)【出願日】2018-05-02
(65)【公表番号】
(43)【公表日】2020-07-09
(86)【国際出願番号】 EP2018061185
(87)【国際公開番号】W WO2018202698
(87)【国際公開日】2018-11-08
【審査請求日】2021-04-21
(31)【優先権主張番号】17169353.4
(32)【優先日】2017-05-03
(33)【優先権主張国・地域又は機関】EP
(73)【特許権者】
【識別番号】505171610
【氏名又は名称】ユニヴェルシテ ドゥ ジュネーヴ
(74)【代理人】
【識別番号】100217434
【弁理士】
【氏名又は名称】万野 秀人
(72)【発明者】
【氏名】ズビンデン・ユゴー
(72)【発明者】
【氏名】コルズ・ボリス
(72)【発明者】
【氏名】リム・チャールズ
(72)【発明者】
【氏名】ボソ・ジャンルカ
【審査官】金沢 史明
(56)【参考文献】
【文献】特開2015-122675(JP,A)
【文献】特開2016-071862(JP,A)
【文献】特開2016-136673(JP,A)
【文献】特開2009-060555(JP,A)
【文献】特開2015-018109(JP,A)
【文献】米国特許出願公開第2016/0352515(US,A1)
【文献】米国特許出願公開第2016/0218868(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/12
H04B 10/00-10/90
(57)【特許請求の範囲】
【請求項1】
デコイ状態かつ3状態プロトコルを通じ、量子チャネル(600)を介して量子鍵を交換する送信機(300)と受信機(400)とを備える量子鍵配送システムであって、前記送信機は、実行可能な強度および基底の9つの状態のうちの7つの異なる状態から1つの量子状態を選択するために、量子乱数発生器からの乱数を使用するように適合された送信機処理ユニット(340)と、
光パルスを生成するように適合されたパルス光光源(310)と、
前記生成された光パルスが内部を通過し、生成された前記光パルスを時間ビン持続時間によって分離される2つのコヒーレントパルスに変換する時間ビン干渉計(320)と、
前記2つのコヒーレントパルスの強度を個別に変更することにより、前記送信機処理ユニット(340)によって行われる選択に従って、前記2つのコヒーレントパルスをエンコードするように適合された単一の変調器(360)と、
信号の強度全体をパルス当たりの最適な光子数まで減少させるように適合された可変光減衰器(370)と、を備える、
量子鍵配送システム。
【請求項2】
前記パルス光光源(310)は、位相ランダム化光パルスを生成するように適合された、ゲインスイッチ式パルスレーザである、請求項1に記載の量子鍵配送システム。
【請求項3】
前記単一の強度変調器(360)は、初期時間ビンまたは後期時間ビンのそれぞれで前記パルスを送信することにより、第1または第2の量子状態をエンコードするように適合されている、
請求項1または2に記載の量子鍵配送システム。
【請求項4】
前記単一の変調器(360)は、両方の時間ビンで前記2つのコヒーレントパルスを送信することにより、第3の状態をエンコードするように適合されている、
請求項1~3のいずれか1項に記載の量子鍵配送システム。
【請求項5】
前記単一の変調器(360)は、マルチレベルパルス発生器350によって制御されている、
請求項1~4のいずれか1項に記載の量子鍵配送システム。
【請求項6】
前記送信機処理ユニット(340)は、実行可能な7つの異なる状態から前記状態をエンコードするように適合されている、
請求項1~5のいずれか1項に記載の量子鍵配送システム。
【請求項7】
デコイ状態かつ3状態プロトコルを通じ、量子チャネルを介して送信機と受信機との間で量子鍵を交換することを含む量子鍵配送プロセスであって、実行可能な強度および基底の9つの状態のうちの7つの異なる状態から1つの量子状態を選択するために、量子乱数発生器からの乱数を使用する送信機処理ユニット(340)の使用を通して、実行可能な異なる状態からエンコードすべき量子状態の強度および基底を選択する第1のステップ(720)と、
パルス光光源(310)を通して光パルスを生成するステップ(700)と、
時間ビン干渉計(320)に通すことにより、生成された前記光パルスを時間ビン持続時間によって分離される2つのコヒーレントパルスに変換するステップ(710)と、
前記2つのコヒーレントパルスの強度を、前記第1のステップで選択した前記強度に従って単一の変調器(360)内で個別に変更するステップ(730)と、
可変光減衰器(370)を使用して、信号の強度全体をパルス当たりの最適な平均光子数まで減少させ、かつ量子チャネル(600)を介して前記受信機(400)に前記信号を送信するステップ(740)と、を含む、
量子鍵配送プロセス。
【請求項8】
選択する前記ステップで、確率P0で信号強度が送信され、確率P1<P0でデコイ強度が選択され、確率P2=1-P0-P1で真空強度が選択されるように、3状態の強度のうちの1つを最初に選択する、請求項7に記載の量子鍵配送プロセス。
【請求項9】
真空強度を選択した場合、真空状態が送信される、請求項7または8に記載の量子鍵配送プロセス。
【請求項10】
Z基底を選択した場合、ビット値は等しい確率で割り当てられる、請求項7~9のいずれか1項に記載の量子鍵配送プロセス。
【請求項11】
前記受信機において実行される分割ステップ(750)をさらに含み、Pzに等しい分割比となるように光スプリッタ(410)で受信した信号を2つの経路に分割することで、前記基底の選択を行う、
請求項7~10のいずれか1項に記載の量子鍵配送プロセス。
【請求項12】
測定ステップ(760)をさらに含み、到達時間を測定するために検出ユニット(430)で信号を直接測定することにより、Z基底測定を実行し、前記信号を時間ビン干渉計(420)に通し、次いで1つまたは2つのいずれかの検出ユニット(431、432)を使用して前記信号を検出することにより、X基底測定を実行している、
請求項7~11のいずれか1項に記載の量子鍵配送プロセス。
【請求項13】
古典チャネル(500)を介して前記送信機に検出イベントを通知する検出通知ステップ(770)をさらに含む、請求項7~12のいずれか1項に記載の量子鍵配送プロセス。
【請求項14】
生鍵のシフティング、誤り訂正処理、プライバシー増幅およびプライバシー認証から構成される最終ステップ(780)をさらに含む、請求項7~13のいずれか1項に記載の量子鍵配送プロセス。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、量子暗号のプロトコルおよび量子鍵配送(QKD)に基づく実装に関する。
【背景技術】
【0002】
量子暗号化または量子鍵配送(QKD)は、送信機と受信機という離れた二者間で、証明可能な完全な安全性をもって秘密鍵を配送できる方法である。
【0003】
QKDは、古典通信でのビットの使用とは対照的に、量子物理学の原理や量子状態、すなわち量子ビットにエンコードした情報に依拠するセキュアな方法である。通常、これらの量子状態には光子が使用されている。量子鍵配送では、これらの量子状態の特定の特性を活用して、その安全性を確保している。
【0004】
より具体的には、この方法の安全性は、未知の量子システムの量子状態を測定すると、そのシステム自体が変化するという事実によるものである。換言すれば、量子通信チャネルでの盗聴では、送信機と受信機との間で交換される鍵にエラーを取り込まずにはその鍵に関する情報を取得することができないため、ユーザに盗聴の試みが露呈することになる。
【0005】
こうした暗号化装置は、QKDによって交換される鍵を使用して何らかの対称暗号化を実行することにより、有用なペイロードのセキュアな送信を有効にしている。
【0006】
チャネルは、何らかの物理的特性の変調を送信することができる物理的媒体に関係しているという一般的な意味で理解される必要がある。当該変調はデータの送信に使用されうる。
【0007】
前述のように、QKDの主な利点の1つは、盗聴の試みを検出できることである。盗聴の試みは、システムの挙動、より正確には測定される量子ビット誤り率(Quantum Bit Error Rate:QBER)および検出率に何らかの影響を与える。このQBERは、誤ったビットの数をビットの総数で除算したものである。
【0008】
QKDは、ファイバ通信ネットワークでの盗聴検出を有効にする量子的な安全技術の1つとして知られている。
【0009】
1つの量子チャネル600と1つの古典チャネル500との2つのチャネルで接続された、一対のQKD装置が含まれる典型的な配置が図1aに示されている。
【0010】
より正確には、本実装形態では、量子チャネル600を介して送信機100と受信機200との間で量子鍵を配送している。通常、送信機100と受信機200とは、連携して量子チャネル(QC)600の安全性を保つと考えられる。さらに、同期、および、送信機100と受信機200とが共有秘密鍵を生成することを可能にする古典通信に用いられる、サービスチャネル(SC)500とも呼ばれる古典チャネルを介して、送信機100と受信機200とが接続されている。
【0011】
簡単な実装形態としては、各チャネルに専用の光ファイバを使用することが挙げられるが、たとえば回線の多重化なども挙げられる。QC600では、単一光子または弱いコヒーレントパルスのいずれかによって伝送される量子ビットによって、情報が伝送されている。
【0012】
[量子暗号のプロトコルの概要]
今日までに最も一般的に実装されているQKDプロトコルはBB84プロトコルである(BennettとBrassard、1984)。これは、最も一般的な一連の攻撃に対してこのBB84プロトコルがセキュアであることが証明されているという事実による。過去10年間にわたる主要な開発成果の1つは、QKDプロトコルに関する理論的記述と実際の実装形態との間のギャップを狭めたことである。最初の課題の1つは、当初の理論的証明で想定されていた、完全な単一光子源が利用できないことであった。代わりに、実験者は、コヒーレント状態であり、1パルス当たりの平均光子数が1未満となる減衰レーザパルスを使用することになった。各パルス内の光子数がポアソン分布することにより、最大作動距離を大幅に短縮してしまう光子数分割(PNS)攻撃として知られる強力な攻撃への可能性が開かれた。これに対処するために、理想的な単一光子のケースに非常に近い性能が得られるデコイ状態法として知られる洗練されたソリューションが導入された(Limら、2014)。
今日までに最も一般的に実装されているQKDプロトコルはBB84プロトコルである(BennettとBrassard、1984)。これは、最も一般的な一連の攻撃に対してこのBB84プロトコルがセキュアであることが証明されているという事実による。過去10年間にわたる主要な開発成果の1つは、QKDプロトコルに関する理論的記述と実際の実装形態との間のギャップを狭めたことである。最初の課題の1つは、当初の理論的証明で想定されていた、完全な単一光子源が利用できないことであった。代わりに、実験者は、コヒーレント状態であり、1パルス当たりの平均光子数が1未満となる減衰レーザパルスを使用することになった。各パルス内の光子数がポアソン分布することにより、最大作動距離を大幅に短縮してしまう光子数分割(PNS)攻撃として知られる強力な攻撃への可能性が開かれた。これに対処するために、理想的な単一光子のケースに非常に近い性能が得られるデコイ状態法として知られる洗練されたソリューションが導入された(Limら、2014)。
【0013】
分散位相参照(DPR)プロトコルとして知られる別のプロトコルファミリも、PNS攻撃へのソリューションとして提案された。送信機から送信される全ての量子状態間のコヒーレンスにより、盗聴者は、受信機側で誤りを起こさずに光子数分布を操作することができない。このファミリの主なプロトコルには、差動位相シフト(DPS)(Inoueら、2002)およびコヒーレント一方向(COW)プロトコル(特許文献1)がある。これらのプロトコルの利点は、BB84プロトコルで4つのエンコード状態が必要となるのに対し、これらではそれぞれ、2つまたは3つのエンコード状態のみを必要とするということである。これにより、実装の複雑さが大幅に軽減されることになる。
【先行技術文献】
【特許文献】
【0014】
【文献】米国特許第7929690号明細書
【発明の概要】
【発明が解決しようとする課題】
【0015】
これらのDPRプロトコルの主な欠点は、デコイ状態のBB84プロトコルと同じレベルの安全性を達成できないことにある。たとえば、コヒーレント一方向プロトコル(COW)は、制限された集合的攻撃に対してセキュアであることが証明されている(Branciardら、2008)。これまでのところ、集合的ビームスプリッタ攻撃に対するセキュアレートの上界を使用して、このことが実証されている(Walenta 2014、Korzh 2015a)。これが上界であるため、より強力な攻撃が存在する可能性がある。とりわけ、明確な状態識別攻撃は、長距離でより実効性のあるものとなる可能性がある。これは、既に、ゼロ誤りのケース(盗聴者の影響によってQBER=0、可視性=1が維持されることを意味する)である可能性がある。
【0016】
また、盗聴者が、実験的に測定される誤り率よりも低い何らかの限定的な誤りを起こすことができる場合、これらの攻撃はさらに強力になり、たとえば作動距離がさらに短縮される可能性がある。DPSプロトコルの場合も同様である。DPRプロトコルにおけるこの課題の原因は、各量子ビット間にコヒーレンスがあるため、それぞれの量子ビットを個別の信号として扱うことができないことにある。
【0017】
提案されているBB84プロトコルのより単純なバージョンは、いわゆる「3状態プロトコル」である。この3状態プロトコルは、最初に周波数ベースのスキーム用に提案されたものである。対称性3状態プロトコルおよび汎用化された回転対称プロトコルの安全性証明は、多くの場合回転対称に依存するため、その実装が容易ではない。回転対称性のない安全性証明が導き出され(Fungら、2006)、このプロトコルが一般的な攻撃に対してセキュアであることが実証されている。
【0018】
さらなる理論的研究により、この3状態プロトコルに損失許容性があることが分かり(Tamakiら、2014)、このことは、不完全な光源でも長距離で作動できることを意味している。
【0019】
最も重要なのは、この研究で、3状態プロトコルの性能結果がBB84プロトコルと全く同じであり、BB84プロトコルの第4の状態が冗長であることが示唆されているという点である。また、誤り率推定の統計的変動を考慮した有限鍵長シナリオの安全性も分析されている。
【0020】
これらの安全性証明によって特定の実装方法は提案されておらず、このプロトコルには3つの量子ビット状態が含まれ、最初の2つの状態|0>および|1>が鍵生成に寄与し得、第3の状態|+>=|0>+|1>/√2がチャネル推定を目的としていると単に考えられている。
【0021】
これらのプロトコルは全て、図1bに示すように、位相(および位相時間)の自由度を実装することができる。
【0022】
送信機100は、パルス光光源110と、デコイ状態の生成を有効にする第1の強度変調器120と、時間ビン干渉計130と、第2の強度および位相変調器140と、可変光減衰器150とを備える。
【0023】
2つの異なるバージョンの受信機が、位相受信機200および位相時間受信機250と共に記載されている。この位相受信機200は、異なる位相の生成を有効にする時間ビン干渉計210と、2つの検出ユニットとから構成されている。位相時間受信機250は、(時間測定を行う)検出ユニット230に接続された分割ユニット260と、状態測定を行う2つの検出ユニットに接続された時間ビン干渉計270とから構成されている。
【0024】
これまでのところ、上記の理論的記述に適合している3状態プロトコルによる実装形態の提案のみが、位相基底でのエンコードにおいて使用されていた。これには、デコイ状態法を実装するために、別の強度変調器が必要になるという欠点がある(COWプロトコルの実装と比較して)。位相および強度を変調する必要がある点で、この実装形態はBB84プロトコルとその複雑さが類似しているため、少なくとも2つの変調器が必要になる。
【0025】
最も実用的なデコイ状態BB84の実装形態では、位相基底エンコーディング(Lucamariniら、2013)または時間相エンコーディングのいずれかを使用していた。前述のように、これらの両方法で、状態の位相と強度との両方を変調する機能が必要となる。Lucamariniら、2013に記載されている当該システムが有する別の欠点は、受信機において偏光安定化が必要となることであり、このことは、偏光依存損失または不完全な安定化のいずれかに起因して別の損失を発生させ、かつ別の誤りが生じる可能性を招く。
【課題を解決するための手段】
【0026】
したがって、本発明の目的は、3状態プロトコルQKDを有効にする単一の強度変調器のみをベースとしたより簡単な実装が必要となる、QKD装置およびQKDプロセスを提供することである。
【0027】
[発明の要約]
記載している本発明は、7つの量子状態を使用してセキュアな量子暗号システムを実装するための装置および方法である。
記載している本発明は、7つの量子状態を使用してセキュアな量子暗号システムを実装するための装置および方法である。
【0028】
本発明は、より詳細には、デコイ状態かつ3状態プロトコルを通じ、量子チャネルを介して量子鍵を交換する送信機と受信機とを備える量子鍵配送システムに関し、送信機は、実行可能な強度および基底の9つの状態のうちの7つの異なる状態から1つの量子状態を選択するために、量子乱数発生器からの乱数を使用するように適合された送信機処理ユニットと、光パルスを生成するように適合されたパルス光光源(310)と、生成された光パルスが内部を通過し、生成された前記光パルスを時間ビン持続時間によって分離される2つのコヒーレントパルスに変換する時間ビン干渉計と、2つのコヒーレントパルスの強度を個別に変更することにより、送信機処理ユニット(340)によって行われる選択に従って、2つのコヒーレントパルスをエンコードするように適合された単一の変調器(360)と、信号の強度全体をパルス当たりの最適な光子数まで減少させるように適合された可変光減衰器(370)と、を備える。
【0029】
好ましい一実施形態によれば、このパルス光光源は、位相ランダム化光パルスを生成するように適合された、ゲインスイッチ式パルスレーザである。
【0030】
有利なことに、この単一の強度変調器は、それぞれ初期時間ビンまたは後期時間ビンでパルスを送信することにより、第1または第2の状態をエンコードするように適合されている。
【0031】
好ましくは、この単一の強度変調器は、両方の時間ビンで2つのコヒーレントパルスを送信することにより、第3の状態をエンコードするように適合されている。
【0032】
好ましい一実施形態によれば、この単一の強度変調器は、マルチレベルパルス発生器によって制御されている。
【0033】
好ましくは、送信機処理ユニットは、実行可能な7つの状態から当該状態をエンコードするように適合されている。
【0034】
本発明の第2の態様は、デコイ状態かつ3状態プロトコルを通じ、量子チャネルを介して送信機と受信機との間で量子鍵を交換することを含む量子鍵配送プロセスに関し、本プロセスは、量子乱数発生器からの乱数を使用する送信機処理ユニットの使用を通して、異なる実行可能な状態からエンコードすべき量子状態の強度および基底を選択するステップと、パルス光光源を通して光パルスを生成するステップと、時間ビン干渉計に通すことにより、この生成されたパルスを時間ビン持続時間によって分離される2つのコヒーレントパルスに変換するステップと、これら2つのコヒーレントパルスの強度を、第1のステップで選択した強度に従って強度変調器内で個別に変更するステップと、可変光減衰器を使用して、信号強度全体をパルス当たりの最適な平均光子数まで減少させ、かつ量子チャネルを介して受信機に信号を送信するステップとを含む。
【0035】
好ましくは、選択するステップで、確率P0で信号強度が送信され、確率P1<P0でデコイ強度が選択され、確率P2=1-P0-P1で真空強度が選択されるように、3状態の強度のうちの1つを最初に選択する。
【0036】
好ましい一実施形態によれば、真空強度を選択した場合、当該真空状態が送信される。
【0037】
有利には、Z基底を選択した場合、ビット値は等しい確率で割り当てられる。
【0038】
好ましくは、本量子鍵配送プロセスは、基底選択を形成するPzに等しい分割比となるように、光スプリッタで受信信号を2つの経路に分割する、受信機において実行される分割ステップをさらに含む。
【0039】
好ましい一実施形態によれば、本量子鍵配送プロセスは測定ステップをさらに含み、当該測定ステップでは、当該到達時間を測定するために検出ユニットで信号を直接測定することにより、Z基底測定を実行し、当該信号を時間ビン干渉計に通し、次いで、信号を検出するために、1つまたは2つのいずれかの検出ユニットを使用するX基底測定を実行する。
【0040】
有利には、本量子鍵配送プロセスは、古典チャネルを介して送信機に検出イベントを通知する検出通知ステップをさらに含む。
【0041】
好ましい一実施形態によれば、本量子鍵配送プロセスは、生鍵のシフティング、誤り訂正処理、プライバシー増幅およびプライバシー認証から構成されている最終ステップをさらに含む。
【0042】
ここで提案している3状態プロトコルの実装形態における主な利点は、この場合単一の強度変調器のみを必要とすることにある。複雑さが減少することにより、エンコーディングの速度や品質が向上すると同時に、コストが削減されることになる。
【0043】
したがって、実装の複雑さでは、単純なCOWプロトコルと比較しても遜色ないほどである。それでも、COWの安全性レベルの欠点を、パルスレーザ310を使用して、全ての量子ビット間にランダム位相を導入することで克服している。PNS攻撃を回避するために、デコイ状態法を本システムに組み込んでいる。
【0044】
本発明の好ましい一実施形態によれば、送信機において、パルス光光源、好ましくはゲインスイッチ式パルスレーザが位相ランダム光パルスを生成している。これらのパルスは不均衡干渉計320へと入射する。出力に際し、2つの時間ビンでコヒーレントな(すなわち、固定された位相差を有する)2つのパルスがある。これで、強度変調器360が3状態、すなわち時間ビン量子ビットを生成することが可能となる。最初の2つの状態|0>および(|1>)は、早期(後期)時間ビンのパルスのみを送信することでエンコードすることができる。第3の状態である|+>を、両方の時間ビンでパルスを送信することでエンコードしている一方で、それぞれのパルスの強度を半分に減少させることにより、パルス当たりの平均光子数を一定に保ち、量子ビットの記述を保持するなどしている。量子ビット3の時間ビン間の位相は、量子ビット間でランダム化されている間を通して、一定のままとなる。
【0045】
このデコイ状態法により、各量子ビットが信号(μ0)と2つのデコイ強度(μ1、μ2)との実行可能な3つの強度のうちの1つをランダムに有していることが示唆されている。本実装形態では、当該状態の生成に使用するのと同じ強度変調器360でこの変調を実現している。
【0046】
好ましくは、デコイ強度(μ2)のうちの1つが真空状態に可能な限り近似させて設定される(強度変調器の消光比によって制限される)一方で、秘密鍵レートを最大化するために、他のデコイ強度(μ1)が最適化されうる。最も簡単な実装を実現するために、第1のデコイが当該信号の半分に固定されることができる(μ1=μ0/2)。この場合、図3および図4に示されるように、状態およびデコイ強度の両方が、4つのレベルを有する同じ強度変調器でエンコードされている。必要であれば、強度μ0とμ1とが個別に最適化され得、この場合5つの強度変調レベルが必要となる。送信機で必要とされるマルチレベル信号が、2ビットまたは3ビットの性能を備える高速デジタル・アナログ変換器(digital to analogue converter:DAC、350)によって生成される。エンコーディングの後、パルス当たりの平均光子数を可変光減衰器370に設定され、その後、信頼されていない量子チャネル600が介して当該状態を受信機400へと送信される。
【0047】
受信機400で、非対称カプラ(分割ユニット410)を使用して受動基底選択が行われ、その際、種々のシステムシナリオを考慮して分割比が最適化される。検出ユニット430でパルスの到達時間を検出することにより、時間基底(Z)で生鍵が生成される。位相基底測定(X)を達成するために、パルスは干渉計420を通過する。干渉計の出力ポートで当該干渉がモニタリングされうる。2つの干渉計320と420との間の相対位相を、当該干渉が一方のポート(ダークポート)で破壊的となり、他方のポートで建設的となるように調整される。その結果、ダークポートに配置された単一の光子検出器431が、干渉誤り(盗聴者の動作)を検出するのに十分な状態である。2つの干渉計320と420との間の相対位相が、送信機側の干渉計330のピエゾファイバストレッチャ330を使用して安定化される。
【0048】
本発明のさらなる特定の利点および特徴は、添付の図面を参照することになる、本発明の少なくとも1つの実施形態の以下の非限定的な記載から、より明らかになるであろう。
【図面の簡単な説明】
【0049】
【発明を実施するための形態】
【0050】
実施形態のいかなる特徴も、異なる実施形態の他のあらゆる特徴と有利な方法で組み合わせることができるため、ここでの詳細な説明は、非限定的な方法で本発明を例示することを意図するものとする。
【0051】
図2は、本発明の概略的装置を示す。本装置は、パルス光光源310、好ましくは、アゲインスイッチ式パルスレーザ310と、干渉計320(好ましくはファイバストレッチャ330を備える)と、処理ユニット340と、マルチレベル発生器350と、強度変調器360と、可変光減衰器370とから構成される送信機300を備える。
【0052】
送信機で、ゲインスイッチ式パルスレーザ310が、ランダム位相を有する光パルスを生成する。次いで、このパルスはコヒーレントな2つのパルス(2つの時間ビンを有する時間ビン量子ビット)を生成するために、干渉計320に入射する。
【0053】
さらに、強度変調器360が、それぞれ早期時間ビンおよび後期時間ビンでパルスを送信することにより、状態|0)および11>をエンコードする。また、強度変調器360は、両方の時間ビンでこれらのパルスを送信することにより、第3の状態|+)をエンコードする一方で、それぞれのパルスの強度を半分に減少させることにより、パルス当たりの平均光子数を一定に保ち、量子ビットの記述を保持するなどしている。この第3の量子ビット内の時間ビン間の位相は、全体を通して一定のままとなる。ただし、全ての量子ビット間の位相はランダムのままとなる。
【0054】
量子ビット状態|0)、|1)、および|+)をエンコードしている強度変調器360は、マルチレベルパルス発生器350によって制御されている。量子ビット状態|0)、|1)、および|+)は、処理ユニット340の乱数発生器によってランダムに定義されている。
【0055】
受信機400で、非対称光カプラを使用して受動基底選択が行われ、その際、種々のシステムシナリオを考慮して分割比が最適化される。パルスの到達時間を検出することにより、時間基底(Z)で生鍵が生成される。位相基底測定を達成するために、当該状態は干渉計420を通過し、また単一光子検出器431が、ダークポートをモニタリングすることにより、干渉誤りを検出するのに十分な状態である。
【0056】
図3は、本発明の好ましい一実施形態による本装置に関連した、プロトコルの全ての状態を示す。特に、図3は、記載しているプロトコル用にエンコードされた種々の時間ビン量子ビットの例を示す。安全性証明は、特定の実装方法を提案しておらず、このプロトコルには3つの量子ビット状態が含まれ、最初の2つの状態|0)および|1)が鍵生成に寄与し得、第3の状態|+)=”^|^がチャネル推定を目的としていると単に考えられている。本プロトコルでは、初期時間ビンまたは後期時間ビンで強度(μ)のパルスを送信することにより、状態|0)および|1)がエンコードされている。第3の状態である|+)は両方の時間ビンにおける2つのパルスの重ね合わせであり、全強度を一定に保つために当該強度の半分を使用している。この第3の状態内の時間ビン間の位相は一定のままとなる。
【0057】
デコイ状態法を実装するために、これら3つの量子ビット状態それぞれの強度を、1つの信号(μ0)と2つのデコイ強度(μ1、μ2)との間で変調しており、これにより、合計9つが実行可能となり、そのうちの3つは同様であるため、実際は異なる7つの状態を呈することになる。
【0058】
信号強度(μ0)を使用して、Z基底で信号量子ビット|0)510または|1)520を、またZ基底で|+)530(μ0/2の2倍)を生成している。
【0059】
第1のデコイ強度(μ1)は、Z基底でデコイ1量子ビット540もしくは550、またはX基底で560(μ1/2の2倍)の生成に活用される。秘密鍵レートを最大化するために、第1のデコイ強度(μ1)を最適化することができる。
【0060】
第2のデコイ強度(μ2)は、Z基底でデコイ2量子ビット570もしくは570’、またはX基底で570’’(μ2/2の2倍)の生成に活用される。第2のデコイ強度(μ2)をゼロに、すなわち真空状態に設定するのが最適である。このことは、状態570、570’および570’’が等しく、また全てが真空状態であることを意味する。ただし実際には、μ2は強度変調器360の消光比によって制限されている。なお、単一の変調器を使用した本実装形態では、μ2が等しくない場合でも、状態570、570’、および570’’は全て同じである。他の実装形態の場合には、必ずしもこうであることはない。本プロトコルは、異なる7つの状態510、520、530、540、550、560および570に基づいている。
【0061】
最も簡単な実装を実現するために、図3に示すように、第1のデコイ(μ1)強度を当該信号の半分に固定することができる(μ1=μ0/2)。この場合、状態およびデコイ強度の両方が、4つのレベル(μ0、μ1、μ1/2、μ2^真空)を有する同じ強度変調器でエンコードされる。
【0062】
強度μ0とμ1とは個別に最適化されることができ、この場合、強度変調器360によって生成される5つの強度変調レベルが必要となる。送信機300で必要なマルチレベル信号を、マルチレベルパルス発生器350内にある、2ビットまたは3ビットの性能を備える高速DACによって生成している。
【0063】
図4は、本発明の好ましい一実施形態による本装置の、送信機の挙動を示す。送信機で、パルス光光源310をトリガして、光パルスを生成している。レーザを使用してパルス光光源を実装している場合、各パルス間で光位相670をランダム化するために、各パルス間で発振閾値を下回っている。光パルスは時間ビン干渉計を通過している。マイケルソン干渉計320では偏光変換に反応しないように、ファラデーミラーが使用された。この干渉計320は、長さが異なる2つのアームを有する。このようにアーム長に差があることにより、2つのコヒーレントパルスが生成されている。これら2つのパルスは、強度変調器360を通過し、この強度変調器360は所望の状態に応じて、(2つの時間ビンで)各パルスに異なる減衰を作用させることができる。実行可能な状態の全てについて、前出の図3で概説している。
【0064】
本プロトコルでは2つの基底を使用しており、第1または第2の光パルスのいずれかを送信してビット値をエンコードするために、Z基底を使用している。本システムに対する盗聴者の影響を確認するために、X基底が使用されている。この基底において、両方の時間ビンでパルスを送信する一方で、量子ビット当たりの平均光子数を一定に保つために、当該強度を半分に減少させている。ビット値を一様確率で選択している一方で、秘密鍵レートを高めるために、基底選択をZ基底にバイアスすることができる(pz>px)。可変光減衰器は、パルス当たりの全体光子数を調節している。
【0065】
一実装形態として、処理ユニット340にあるRNG610を通して量子ビットのエンコーディング操作を実行している。RNG610による出力は、さらなるステップ640(ZまたはXのいずれか)の選択基底と、強度選択630(μ0、μ1、μ2のいずれか)とを定義している。これらの実行可能な組み合わせを生成する確率を、たとえば量子チャネルの損失のような実験パラメータの関数としての、最高の秘密鍵レートを達成するために最適化している。
【0066】
計数部600からの出力として、7つの量子状態のうちの1つが、強度変調器360を通して光パルス680でエンコードされる。
【0067】
受信機400で、非対称であり得る光ビームスプリッタ410によって測定基底選択が行われる。通常、分割比は送信機においてZ(pz)基底を送信する確率と一致している。検出ユニット430で光パルスの到達時間を検出することにより、Z基底測定を実行している。アーム長差が送信機の干渉計320と等しい干渉計420を使用してX基底測定を実行し、その後、ダークポート上の1つの検出器431、または各ポートに1つずつ配置された2つの検出器を使用する。2つの干渉計320と420との間の相対位相を、送信機の干渉計のファイバストレッチャ330を使用して一定に保っている。
【0068】
図5は、本発明の好ましい一実施形態による本装置の作動方法を示す。
【0069】
第1のステップ720で、送信機処理ユニット340は、量子ランダム発生器からの乱数を使用して、図3に示す合計7つの実行可能性からエンコードすべき量子状態を選択する。
【0070】
3状態の強度のうちの1つを最初に選択していることが好ましい。
【0071】
確率P0で信号強度が送信される。
【0072】
確率P1<P0でデコイ強度が選択される。
【0073】
確率P2=1-P0-P1で真空強度が選択される。この場合、真空状態が送信される。
【0074】
選択した強度が真空ではない場合、基底選択を確率Pz>Pxで行う。
【0075】
Z基底を選択した場合、ビット値は等しい確率で割り当てられる。
【0076】
第2のステップ700で、パルス光光源310は光パルスを生成する。
【0077】
第3のステップ710で、パルスは時間ビン干渉計320を通過し、この時間ビン干渉計320は、時間ビン持続時間によって分離される2つのコヒーレントパルスを生成する。
【0078】
第4のステップ730で、強度変調器360は、図3に示すように、ステップ1で行われる選択に従って2つのパルスの強度を個別に変更する。
【0079】
第5のステップ740で、可変光減衰器370を使用して、信号強度全体をパルス当たりの最適な平均光子数まで減少させる。
【0080】
次いで、量子チャネル600を介して受信機400に信号を送信する。
【0081】
第7のステップ750で、受信機は、Pzに等しい分割比となるように光スプリッタ410で受信信号を2つの経路に分割することで、基底選択を行う。
【0082】
代表的な第8のステップ760で、当該到達時間を測定するために検出ユニット430で信号を直接測定することにより、Z基底測定を実行する。さらに、信号を時間ビン干渉計420に通し、次いで1つまたは2つのいずれかの検出ユニット431、432を使用して信号を検出することにより、X基底測定を実行している。
【0083】
後続のステップは、送信機300と受信機400との間で共有秘密鍵を生成するためにQKDシステムによって行われる古典操作であるため、本発明にとって必須ではない。
【0084】
次いで、第9のステップ770で、古典チャネル500を介して送信機に検出イベントを通知する。
【0085】
最終ステップ780は、生鍵のシフティング、誤り訂正処理、プライバシー増幅およびプライバシー認証から構成されている。
【0086】
上記の実施形態をいくつかの実施例と共に説明してきたが、多くの代替形態、修正形態、および変形形態が当業者には明らかとなり得るか、または明らかであることは明白である。したがって、本開示は、本開示の範囲内にあるそのような全ての代替形態、修正形態、同等形態、および変形形態を包含しているものとする。このことは、たとえば、とりわけ使用可能な異なる装置に関して同様と言える。
【図1a】
【図1b】
【図2】
【図3】
【図4】
【図5】