特許7366440秘密共有暗号鍵を決定するための方法、装置、コンピュータプログラム及びデータ記憶媒体
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2023-10-13
(45)【発行日】2023-10-23
(54)【発明の名称】秘密共有暗号鍵を決定するための方法、装置、コンピュータプログラム及びデータ記憶媒体
(51)【国際特許分類】
H04K 1/02 20060101AFI20231016BHJP
H04B 10/70 20130101ALI20231016BHJP
【FI】
H04K1/02
H04B10/70
【請求項の数】
22
【外国語出願】
(21)【出願番号】P 2021157458
(22)【出願日】2021-09-28
(65)【公開番号】P2022061486
(43)【公開日】2022-04-18
【審査請求日】2022-03-15
(31)【優先権主張番号】20200370
(32)【優先日】2020-10-06
(33)【優先権主張国・地域又は機関】EP
(73)【特許権者】
【識別番号】521124319
【氏名又は名称】テラ クアンタム アーゲー
【氏名又は名称原語表記】TERRA QUANTUM AG
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(72)【発明者】
【氏名】レソヴィク・ゴルデイ
(72)【発明者】
【氏名】キルサーノフ・ニキータ
(72)【発明者】
【氏名】ケンバエフ・ヌルボラト
【審査官】金沢 史明
(56)【参考文献】
【文献】米国特許出願公開第2004/0109564(US,A1)
【文献】特開2017-169187(JP,A)
【文献】国際公開第2020/177848(WO,A1)
【文献】LODEWYCK, Jerome et al.,Quantum Key Distribution with Coherent States at Telecom Wavelength,Proc. of 31st European Conference on Optical Communication (ECOC 2005),2005年,pp. 71-74,[2023年2月27日検索],インターネット<URL:https://ieeexplore.ieee.org/stamp/stamp.jsp?tp=&arnumber=1584339>
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/08, 9/12,9/14
H04B 10/077,10/70,10/85
H04K 1/02
(57)【特許請求の範囲】
【請求項1】
セキュアな通信を行うために、送信部(1)と受信部(2)との間で共有される秘密暗号鍵を決定するための方法であって、ランダムビット列Rを前記送信部(1)が取得する第1のステップ(S1)と、
通信チャネル(3)を介して、電磁パルスの第1の列(1.1)を前記送信部(1)が前記受信部(2)に伝送する第2のステップ(S2)であって、電磁パルスの前記第1の列(1.1)の電磁パルスがそれぞれ、暗号化プロトコルに従って、前記ランダムビット列Rのビットに対応し、前記暗号化プロトコルが、ビット値0を有する前記ランダムビット列Rのビットを第1の量子状態に割り当て、かつ、ビット値1を有する前記ランダムビット列Rのビットを第2の量子状態に割り当てるステップを含む、第2のステップ(S2)と、
前記受信部(2)が、伝送された電磁パルスの前記第1の列(1.1)に対応する電磁パルスの第2の列(2.1)を受信し、前記暗号化プロトコルに基づいて電磁パルスの前記第2の列(2.1)を解読する第3のステップ(S3)と、
共有ビット列を確定するために、受信した電磁パルスの前記第2の列(2.1)に基づいて、情報照合を実行する第4のステップ(S4)と、
盗聴者(4)が引き起こす前記通信チャネル(3)内の信号損失rEを決定する第5のステップ(S5)と、
前記第1の量子状態と第2の量子状態との間の識別不可能性の度合いと、前記盗聴者(4)が引き起こす、決定された前記信号損失rE と、前記通信チャネル(3)内の固有の信号損失r 0 とに基づいて、前記盗聴者(4)に対する情報優位性ΔIを推定する第6のステップ(S6)と、
秘密共有暗号鍵を確定するために、前記共有ビット列及び推定された前記情報優位性ΔIに基づいて、秘匿性増強を実行する第7のステップ(S7)と、を含む、方法。
【請求項2】
前記第5のステップ(S5)及び前記第6のステップ(S6)が、前記第2のステップ(S2)が実行される前に実行され、前記第6のステップ(S6)における前記情報優位性ΔIの前記推定が、前記第5のステップ(S5)で決定された前記信号損失rEに対する前記情報優位性ΔIを、少なくとも1つの暗号化パラメータの関数として最適化するステップと、前記盗聴者(4)に対する最大情報優位性ΔIを確保するために、前記最適化の結果に従って前記暗号化プロトコルを決定するステップと、を含むことを特徴とする、請求項1に記載の方法。
【請求項3】
少なくとも1つの前記暗号化パラメータが、前記第1の量子状態と、前記第2の量子状態との間の前記識別不可能性の度合いに対応することを特徴とする、請求項2に記載の方法。
【請求項4】
電磁パルスの少なくとも前記第1の列(1.1)の前記電磁パルスが、コヒーレント電磁パルスであることを特徴とする、請求項1から3のいずれか一項に記載の方法。
【請求項5】
前記暗号化プロトコルが割り当てルールを含み、前記割り当てルールに従って、第1のコヒーレント電磁パルス及び/又は第1の量子状態としての第1のコヒーレント状態がビット値0に割り当てられ、第2のコヒーレント電磁パルス及び/又は第2の量子状態としての第2のコヒーレント状態がビット値1に割り当てられることを特徴とする、請求項1から4のいずれか一項に記載の方法。
【請求項6】
前記暗号化プロトコルが暗号化モード情報を含み、前記暗号化モード情報に従って、暗号化モードが強度暗号化方式又は位相暗号化方式であることを特徴とする、請求項1から5のいずれか一項に記載の方法。
【請求項7】
前記第4のステップ(S4)が、認証された公開古典チャネル(5)を使用して、前記受信部(2)から前記送信部(1)にフィードバック情報を送信するステップを含み、前記フィードバック情報が、前記受信部(2)において電磁パルスの前記第2の列(2.1)の前記解読から得られた未確定結果に関する情報を含むことを特徴とする、請求項1から6のいずれか一項に記載の方法。
【請求項8】
盗聴者(4)が引き起こす通信チャネル(3)内の信号損失rEの前記決定が、前記通信チャネル(3)を介して、少なくとも1つの電磁パルス試験用ランダムパルスを前記送信部(1)から前記受信部(2)に伝送するステップと、前記盗聴者(4)が引き起こす前記通信チャネル(3)内の前記信号損失rEを、前記受信部(2)が検出した少なくとも1つの前記電磁パルス試験用ランダムパルスから決定するステップと、を含むことを特徴とする、請求項1から7のいずれか一項に記載の方法。
【請求項9】
少なくとも1つの前記電磁パルス試験用ランダムパルスが、高強度のコヒーレント電磁パルスであることを特徴とする、請求項8に記載の方法。
【請求項10】
少なくとも1つの前記電磁パルス試験用ランダムパルスが、ランダムパルスの強度及び/又はランダムパルスの位相及び/又はランダムパルスの持続時間及び/又はランダムパルスの形状を含むことを特徴とする、請求項8又は9に記載の方法。
【請求項11】
前記第4のステップ(S4)が実行された後に、前記暗号化プロトコルを適合させるステップと、前記第4のステップ(S4)における前記共有ビット列の長さを増大させる、及び/又は前記第4のステップ(S4)における暗号解読時の誤り率を減少させるために、適合された前記暗号化プロトコルに基づいて、少なくとも前記第2のステップ(S2)、前記第3のステップ(S3)、及び前記第4のステップ(S4)を繰り返し実行するステップと、をさらに含む、請求項1から10のいずれか一項に記載の方法。
【請求項12】
前記第7のステップ(S7)における前記秘匿性増強が、前記第4のステップ(S4)で取得された前記共有ビット列から、長さLf=LΔIを有する秘密共有暗号鍵を蒸留するステップを含み、ここで、Lは前記ランダムビット列Rの長さであり、ΔIは、前記第6のステップ(S6)で推定された前記情報優位性であることを特徴とする、請求項1から11のいずれか一項に記載の方法。
【請求項13】
請求項1から12のいずれか一項に記載の方法のステップを実行するように構成された装置であって、少なくとも1つの通信チャネル(3)によって接続された、少なくとも1つの送信部(1)と、少なくとも1つの受信部(2)と、を備える、装置。
【請求項14】
少なくとも1つの前記送信部(1)が、前記ランダムビット列Rを生成するように構成された乱数発生器を含むことを特徴とする、請求項13に記載の装置。
【請求項15】
少なくとも1つの前記送信部(1)が、電磁パルスの前記第1の列(1.1)及び/又は少なくとも1つの電磁パルス試験用ランダムパルスを生成するように構成された電磁放射線源を含むことを特徴とする、請求項13又は14に記載の装置。
【請求項16】
少なくとも1つの前記受信部(2)が、電磁パルスの前記第2の列(2.1)及び/又は少なくとも1つの電磁パルス試験用ランダムパルスの強度及び/又は位相を測定するように構成された検出部を含むことを特徴とする、請求項13から15のいずれか一項に記載の装置。
【請求項17】
前記装置が、情報照合及び/又は秘匿性増強のために、少なくとも1つの前記受信部(2)から少なくとも1つの前記送信部(1)にフィードバック情報を伝送するように構成された、少なくとも1つの認証された公開古典チャネル(5)をさらに備えることを特徴とする、請求項13から16のいずれか一項に記載の装置。
【請求項18】
少なくとも1つの前記通信チャネル(3)が、伝送線路又は光ファイバであることを特徴とする、請求項13から17のいずれか一項に記載の装置。
【請求項19】
少なくとも1つの前記通信チャネル(3)が、前記通信チャネル(3)内で、又は前記通信チャネル(3)に沿って、伝送された電磁パルスの前記第1の列(1.1)を増幅するように構成されたインライン増幅器を含むことを特徴とする、請求項13から18のいずれか一項に記載の装置。
【請求項20】
前記受信部(2)及び/又は少なくとも1つの前記通信チャネル(3)が、レイリー散乱のみに起因する固有損失を呈するように構成されていることを特徴とする、請求項13から19のいずれか一項に記載の装置。
【請求項21】
コンピュータによってプログラムが実行されると、前記コンピュータに請求項1から12のいずれか一項に記載の方法のステップを実行させる命令を含む、コンピュータプログラム。
【請求項22】
請求項21に記載のコンピュータプログラムを記憶した、コンピュータ可読データ記憶媒体。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、セキュアな通信を行うために、送信部と受信部との間で共有される秘密暗号鍵を決定するための方法、装置、コンピュータプログラム及びデータ記憶媒体に関する。
【背景技術】
【0002】
量子通信の分野では、例えばハイゼンベルグの不確定性原理及び量子複製不可能定理において明らかになっている量子力学特有の特性を活用することにより、送信者と受信者との間で真にセキュアな情報交換を行うための手段が保証されている。例えば、真の量子状態が量子チャネルを介して送信者(アリス)から受信者(ボブ)に伝送される場合、当該量子状態に関連付けられた信号のごく一部を測定しようと試みる盗聴者(イブ)においては、情報をほとんど得られることはなく、これはなぜなら、この盗聴者に得られるような小さな信号の大部分を、量子揺らぎが支配しているためである。このため、盗聴者が実行するワンショット測定では、有意味な結果をもたらすことができず、送信者と受信者との間の通信は、完全にセキュアであると見なし得る。
【0003】
したがって、大きな量子揺らぎを示す量子状態が生成され、固有損失を最小限に抑えながらこれが確実に伝送されることを確保するために、種々の量子鍵配送方式は、強い光学非線形性を示す光減衰器又は高品質の単一光子源、高精度の光子計数検出器、及び極めて低損失な伝送線路に依存している。
【発明の概要】
【発明が解決しようとする課題】
【0004】
しかしながら、必要とされる量子ハードウェアの複雑さとは別に、最新技術の光子検出器で許容される鍵交換レートが低いこと、及び散逸やデコヒーレンスに起因して量子通信の範囲が限定されることにより、それらの方式の実用性が著しく制限されている。加えて、例えば機密性の高いハードウェア構成要素を意図的に攻撃し、それによって情報漏洩サイドチャネルを作り出すことによる、量子通信におけるいくつかのバックドアが検出されており、深刻なセキュリティリスクをもたらしている。
【0005】
本開示の目的は、そのような制限を克服し、高い鍵交換レートでセキュアな通信を行えるようにする秘密暗号鍵を決定し、かつ配送するための簡便で実用的な方法、装置、コンピュータプログラム及びデータ記憶媒体を提供することである。
【課題を解決するための手段】
【0006】
この目的は、請求項1、11、14及び15に記載の方法、装置、コンピュータプログラム並びにデータ記憶媒体によって達成される。有利な展開形態及び実施形態を、従属請求項に記載している。
【0007】
本開示は、セキュアな通信を行うために、送信部と受信部との間で共有される秘密暗号鍵を決定するための方法に関する。本方法は以下のステップを含み、
第1のステップは、ランダムビット列を送信部が取得するステップを含む。
第1のステップは、ランダムビット列を送信部が取得するステップを含む。
【0008】
第2のステップは、通信チャネルを介して、電磁パルスの第1の列を送信部から受信部に伝送するステップを含む。これにより、電磁パルスの第1の列内の電磁パルスはそれぞれ、暗号化プロトコルに従って、ランダムビット列内のビットに対応している。
【0009】
第3のステップは、伝送された電磁パルスの第1の列に対応する電磁パルスの第2の列を、受信部が受信するステップと、この電磁パルスの第2の列を暗号化プロトコルに基づいて解読するステップと、を含む。
【0010】
第4のステップは、共有ビット列を生成するために、受信した電磁パルスの第2の列に基づいて、情報照合を実行するステップを含む。
【0011】
第5のステップは、盗聴者が引き起こす通信チャネル内の信号損失を決定するステップを含む。
【0012】
第6のステップは、決定された信号損失に基づいて、盗聴者に対する情報優位性を推定するステップを含む。
【0013】
第7のステップは、秘密共有暗号鍵を生成するために、共有ビット列及び情報優位性の推定に基づいて、秘匿性増強を実行するステップを含む。
【0014】
提案している方法では、秘密暗号鍵が決定され、高レベルのセキュリティ及び効率で、送信部と受信部との間で配送され得る。提案している方式では、強力な減衰器、単一光子源及び/又は単一光子検出器を使用する必要なしに、量子揺らぎを利用することができ得る。具体的には、暗号化プロトコルに従って、電磁パルスの第1の列にランダムビット列を符号化/暗号化することにより、独自のロバストかつ柔軟な符号化方式を実現することができる。これにより、散逸やデコヒーレンスの存在下であっても、一方で受信側でのロバストな検出及び信頼できる復号/解読を確実に行いながら、損失性通信チャネルを介して電磁パルスの第1の列を伝送することができる。
【0015】
受信した電磁パルスの第2の列に基づいて情報照合を実行することにより、あらゆる不確定結果が破棄され得、暗号解読時の誤り率が大幅に低減され得る。さらに、潜在的な盗聴者が引き起こす通信チャネル内の信号損失を決定することにより、この盗聴者に対する情報優位性を推定し、秘匿性増強方式で当該推定を使用することにより、この盗聴者が得る情報を低減し、さらには根絶することが可能になり、これにより、高い鍵交換レートで生成された共有暗号鍵の機密性が確保される。
【0016】
好ましくは、第2のステップは、第1のステップが実行された後に実行され、第3のステップは、第2のステップが実行された後に実行され、第4のステップは、第3のステップが実行された後に実行され、かつ/又は第7のステップは、第4のステップが実行された後に実行される。場合により、第5のステップは、第4のステップが実行された後に実行され、かつ/又は第6のステップは、第5のステップが実行された後に実行される。
【0017】
ただし、少なくともいくつかのステップは、異なる順序で実行されてもよい。典型的には、第5のステップ及び/又は第6のステップはまた、第1のステップが実行される前、かつ/又は第2のステップが実行される前、かつ/又は第3のステップが実行される前、かつ/又は第4のステップが実行される前に実行されてもよい。
【0018】
さらに、本方法は、暗号化プロトコルを送信部及び/又は受信部が取得する初期ステップを含んでいてもよい。この初期ステップは、暗号化プロトコルを送信部が決定するステップ、及び/又は、例えば認証された公開古典チャネル若しくは通信チャネルを使用して、送信部が暗号化プロトコルを受信部に伝送するステップをさらに含んでいてもよい。この初期ステップは、第1のステップが実行される前に実行されてもよいし、第2のステップが実行される前に実行されてもよい。
【0019】
必要に応じて、第2のステップが実行される前に第5のステップ及び/又は第6のステップが実行される場合に、情報優位性を推定するステップは、盗聴者が引き起こす信号損失を決定し、この決定した信号損失に対する情報優位性を、少なくとも1つの暗号化パラメータの関数として最適化するステップと、盗聴者に対する最大情報優位性を確保するために、この最適化の結果に従って暗号化プロトコルを決定するステップと、を含んでいてもよい。この情報優位性を最適化するステップは、解析的手段又は数値的手段によって達成されてもよい。例えば、この情報優位性は、シャノンの情報理論を用いて算出されてもよい。より具体的には、この情報優位性は、盗聴者が引き起こす信号損失、少なくとも1つの暗号化パラメータ、及び/又は通信チャネルの固有の信号損失によって表されてもよい。この通信チャネルの固有の信号損失は、以下でさらに説明するように、盗聴者が引き起こす信号損失と共に事前決定され、かつ/又は測定されてもよい。
【0020】
この少なくとも1つの暗号化パラメータは、第1の量子状態及び第2の量子状態間の識別不可能性の度合いに対応していてもよい。これら第1の量子状態及び第2の量子状態は、ビット値0を有するビットとビット値1を有するビットとを区別するために、暗号化プロトコルで使用されてもよい。第1の量子状態は、暗号化プロトコルに従って、ビット値0を有するランダムビット列のビットに割り当てられてもよく、第2の量子状態は、暗号化プロトコルに従って、ビット値1を有するランダムビット列のビットに割り当てられてもよい。
【0021】
より具体的には、この暗号化プロトコルは割り当てルールを含んでいてもよい。この割り当てルールは、量子状態及び/又は電磁パルスにビット値を割り当てるステップを含んでいてもよい。好ましくは、暗号化プロトコルはバイナリ符号化方式を含み、第1の列の電磁パルスはそれぞれ、ランダムビット列のビットに対応している。割り当てルールに従って、第1の電磁パルス及び/又は第1の量子状態がビット値0に割り当てられてもよく、第2の電磁パルス及び/又は第2の量子状態がビット値1に割り当てられてもよい。より具体的には、暗号化プロトコルに従って、第1の列の第1の電磁パルスが第1の量子状態に対応してもよく、ビット値0を有するランダムビット列のビットに割り当てられてもよい。第1の列の第2の電磁パルスは、第2の量子状態に対応していてもよく、ビット値1を有するランダムビット列のビットに割り当てられてもよい。したがって、電磁パルスの第1の列は、第1の電磁パルス及び第2の電磁パルスのみを含んでいてもよい。
【0022】
暗号化プロトコルは暗号化モード情報をさらに含んでいてもよく、この暗号化モード情報に従って、当該暗号化モードは強度暗号化方式又は位相暗号化方式となる。
【0023】
当該暗号化モードが強度暗号化方式である場合、第1の電磁パルス及び/又は第1の量子状態の平均光子数は、第2の電磁パルス及び/又は第2の量子状態の平均光子数とは異なっていてもよい。第1の電磁パルス及び/又は第1の量子状態の位相と、第2の電磁パルス及び/又は第2の量子状態の位相とは、同一であってもよい。
【0024】
暗号化モードが位相暗号化方式である場合、第1の電磁パルス及び/又は第1の量子状態の位相は、第2の電磁パルス及び/又は第2の量子状態の位相とは異なっていてもよい。第1の電磁パルス及び/又は第1の量子状態の平均光子数と、第2の電磁パルス及び/又は第2の量子状態の平均光子数とは、同一であってもよい。
【0025】
好ましくは、第1の量子状態及び第2の量子状態は、コヒーレント状態である。以下では、第1の量子状態が第1のコヒーレント状態と呼ばれてもよく、第2の量子状態が第2のコヒーレント状態と呼ばれてもよい。最も好ましくは、これら第1のコヒーレント状態と第2のコヒーレント状態とは、擬古典的なコヒーレント状態である。これに応じて、電磁パルスの第1の列の電磁パルス及び/又は電磁パルスの第2の列の電磁パルスは、コヒーレント電磁パルス、好ましくは擬古典的なコヒーレント電磁パルスであってもよい。
【0026】
あるいは、第1の列及び/又は第2の列の電磁パルス並びに/又は第1の量子状態及び/又は第2の量子状態は、(1つ又は複数の)スクイーズド状態又は(1つ又は複数の)フォック状態にも対応していてもよい。
【0027】
典型的には、第1の量子状態及び/又は第2の量子状態の平均光子数は、1よりも多くてもよい。第1の量子状態及び/又は第2の量子状態の平均光子数は、10000よりも少なくてもよい。
【0028】
提案している、送信部と受信部との間で共有される秘密暗号鍵を決定するため方法は、短距離及び長距離にわたるセキュアな通信に用いられてもよい。必要に応じて、(1つ又は複数の)第1の電磁パルスの光子と、(1つ又は複数の)第2の電磁パルスの光子とは、マイクロ波光子、テラヘルツ光子又は光学光子であってもよい。マイクロ波光子の場合、長距離通信は、数メートル又は数キロメートルの範囲内の通信を指していてもよい。テラヘルツ光子又は光学光子の場合、長距離通信は、数百キロメートル又は数千キロメートルにわたる通信を指していてもよい。
【0029】
とりわけ、第1の電磁パルス及び第2の電磁パルスが擬古典的なコヒーレント状態に対応するとき、伝送された電磁パルスの第1の列から盗聴者が傍受できる信号の部分は、依然として大きな量子揺らぎを示し得、これはなぜなら、伝送される電磁パルスの光子数が、依然として十分に少ない可能性があるためである。したがって、盗聴者は、この信号の当該ごく一部を効率的に増幅することができず、ランダムビット列に関する情報をほとんど取得できない可能性がある。
【0030】
第1の量子状態及び第2の量子状態間の識別不可能性の度合いは、これら第1の量子状態と第2の量子状態との重なり行列要素の絶対値として定義されてもよい。
【0031】
この識別不可能性の度合いが小さい場合、これら第1の量子状態と第2の量子状態とはほぼ直交し、完全に識別可能であってもよい。したがって、受信部における暗号解読時の誤り率を低減するためには、第1の量子状態及び第2の量子状態間の識別不可能性の度合いが小さいか、かつ/又は低減されていることが有利となり得る。この識別不可能性の度合いは、1よりも小さくてもよい。
【0032】
その一方で、第1の量子状態及び第2の量子状態間の識別不可能性の度合いが小さすぎると、盗聴者は信号のごく一部であっても、効率よく増幅できる場合がある。好ましくは、この識別不可能性の度合いは0よりも大きい。
【0033】
また、盗聴者に対する情報優位性により、鍵生成レート/速度が決まる。両方のパラメータは、暗号化プロトコルの第1の量子状態及び第2の量子状態間の識別不可能性の度合いに敏感に依存する。したがって、上記でさらに説明したように、まず盗聴者に対する情報優位性を最適化し、次いで暗号化プロトコル、即ち第1の量子状態及び第2の量子状態を決定し、その結果、これらの量子状態間の識別不可能性の度合いが最適値に対応するようにすることで、識別不可能性の最適度合いを決定すると、有利となり得る。
【0034】
必要に応じて、第2のステップは、通信チャネル内若しくは通信チャネルに沿って、かつ/又は受信部において、伝送される電磁パルスの第1の列を増幅するステップを含む。必要に応じて、この伝送される電磁パルスの第1の列を増幅するステップは、通信チャネルに沿って一定の間隔で、例えば50km又は100kmごとに実行されてもよい。インライン増幅器を使用することにより、通信チャネル内の信号損失が補償されて、比較的低コストで長距離通信を実現することが可能になり得る。
【0035】
第3のステップは、例えば、ホモダイン検出器、ヘテロダイン検出器、光子計数検出器又はそれらの組み合わせを使用することにより、電磁パルスの第2の列の強度及び/又は位相を測定するステップを含んでいてもよい。例えば、暗号化プロトコルに従って位相暗号化が用いられる場合、第3のステップは、第2の列の電磁パルスの位相を測定するステップを含んでいてもよい。暗号化プロトコルに従って強度暗号化が用いられる場合、第3のステップは、第2の列の電磁パルスの強度を測定するステップを含んでいてもよい。
【0036】
第3のステップは、ランダムビット列の近似結果を得るために、電磁パルスの第2の列を受信部が解読するステップを含んでいてもよい。電磁パルスの第2の列を解読するステップによって得られるランダムビット列の近似結果は、送信部が乱数発生器を使用することによって得るランダムビット列と正確に同一とはならない場合がある。
【0037】
例えば、第1の量子状態と第2の量子状態とが直交していない場合、電磁パルスの第2の列の解読は未確定結果をもたらす可能性があり、その場合、受信した第2の列の電磁パルスの測定済み位相又は強度に応じて、それぞれの電磁パルスをビット値0又はビット値1で一義的に識別することはできなくなる。この不確定結果、即ち対応するビットは、以下でさらに説明する第4のステップで、情報照合を実行することによって破棄されてもよい。
【0038】
必要に応じて、第3のステップは、第2の列の電磁パルスの量、即ち位相及び強度の両方を測定するステップをさらに含んでいてもよい。
【0039】
例えば、暗号化プロトコルが強度暗号化を含む場合、受信した電磁パルスの強度は、電磁パルスの第2の列を解読するために測定されてもよい。加えて、それらの位相は、受信した電磁パルスの複素振幅を決定するために測定されてもよく、また、本方法では、第6のステップにおいて、盗聴者に対して得られる情報利得を特定するときに、この情報を使用してもよい。
【0040】
第4のステップ、即ち情報照合は、電磁パルスの第2の列を解読する際生じた不確定結果を破棄するために、実行されてもよい。そのために、第4のステップは、認証された公開古典チャネルを使用して、受信部が不確定結果を通知するステップを含んでいてもよい。
【0041】
必要に応じて、第4のステップは、認証された公開古典チャネルを使用して、受信部から送信部にフィードバック情報を送信するステップを含んでいてもよく、このフィードバック情報は、電磁パルスの第2の列を解読するステップから得られた、不確定結果に関する情報を含んでいてもよい。次いで、共有ビット列、即ち送信部と受信部との間で共有されるビット列を生成するために、不確定結果を送信部と受信部とが破棄してもよい。したがって、この共有ビット列は、第1のステップで送信部が取得したランダムビット列よりも短くてもよい。
【0042】
伝送された電磁パルスの第1の列に関連付けられた信号の一部を盗聴者が傍受した場合、第4のステップで生成された共有ビット列は、完全にセキュアではない可能性がある。したがって、盗聴者が引き起こす通信チャネル内の信号損失は、第5のステップで決定され、次いで第6のステップで、盗聴者に対する情報優位性を推定するときに使用されてもよい。次いで、秘匿性増強を使用して秘密共有暗号鍵を生成するために、盗聴者に対する情報優位性の推定を第7のステップで使用してもよい。
【0043】
盗聴者が引き起こす通信チャネル内の信号損失を決定するステップは、通信チャネルを介して、電磁パルス試験用ランダムパルスを送信部から受信部に伝送するステップを含んでいてもよい。受信部が、この少なくとも1つの電磁パルス試験用ランダムパルスを検出してもよく、またその位相及び/又は強度を測定してもよい。この少なくとも1つの電磁パルス試験用ランダムパルスは、高強度のコヒーレント状態に対応してもよい。高強度のコヒーレント状態は、10000よりも多い、好ましくは100000よりも多い平均光子数を含んでいてもよい。
【0044】
次いで、盗聴者が引き起こす通信チャネル内の信号損失が、受信部で受信した少なくとも1つの電磁パルス試験用ランダムパルスから決定されてもよい。例えば、この少なくとも1つの電磁パルス試験用ランダムパルスに関するテストパルス情報を、例えば認証された公開古典チャネルを介して、送信部から受信部に送信してもよい。
【0045】
典型的には、このテストパルス情報は、少なくとも1つの電磁パルス試験用テストパルスの伝送時刻、テストパルスの強度、テストパルスの位相、テストパルスの持続時間及び/又はテストパルスの形状に関する情報を含んでいてもよい。典型的には、伝送された少なくとも1つの電磁パルス試験用ランダムパルスの位相及び/又は強度を、受信部が測定してもよく、また、盗聴者が引き起こす通信チャネル内の信号損失を決定するために、これらの位相及び/又は強度が、送信部が送信した少なくとも1つの電磁パルス試験用テストパルスの位相及び/又は強度と比較されてもよい。
【0046】
好ましくは、このテストパルス情報は、少なくとも1つの電磁パルス試験用ランダムパルスを受信部が受信した後に、受信部に対して送信される。このようにして、少なくとも1つの電磁パルス試験用ランダムパルスに関する情報を傍受しようと試みる盗聴者は、まず少なくとも1つの電磁パルス試験用ランダムパルスを測定し、続いてそれを再生することを強いられる可能性があるため、これがその伝送を長引かせることになる。これに対応する遅延異常を、受信部が検出してもよい。その場合、少なくとも1つの電磁パルス試験用ランダムパルスを伝送するステップは、受信部が遅延異常を検出しなくなるまで繰り返されてもよい。これにより、少なくとも1つの電磁パルス試験用ランダムパルスが、盗聴者によって確実に破損又は測定されないようにすることができる。
【0047】
このテストパルス情報を、受信部が受信した少なくとも1つの電磁パルス試験用テストパルスと比較することにより、総信号損失が決定されてもよい。通信チャネルが最適な状態である場合、即ち、盗聴者の不在下では、通信チャネル内又は通信チャネルに沿って固有の信号損失が発生しない場合、この総信号損失は、盗聴者が引き起こす信号損失に対応していてもよい。通信チャネルが最適な状態ではない場合、即ち、盗聴者の不在下であっても、通信チャネル内又は通信チャネルに沿って固有の信号損失が発生する場合、盗聴者が引き起こす信号損失は、測定された総信号損失及び固有の信号損失から決定されてもよい。この固有の信号損失は、例えば事前に測定されるか、又は通信チャネルの理論モデルに基づいて算出/推定されるなど、事前決定されてもよい。
【0048】
少なくとも1つの電磁パルス試験用ランダムパルスは、高強度のコヒーレント電磁パルスであってもよい。好ましくは、この少なくとも1つの電磁パルス試験用ランダムパルスは、少なくとも104個の光子を含む。この少なくとも1つの電磁パルス試験用ランダムパルスはまた、105個を超える光子を含んでいてもよい。
【0049】
この少なくとも1つの電磁パルス試験用ランダムパルスは、パルスのランダム強度及び/又はパルスのランダム位相及び/又はパルスのランダム持続時間及び/又はパルスのランダム形状を含んでいてもよい。
【0050】
代替的に又は付加的に、盗聴者が引き起こす通信チャネル内の信号損失は、受信部が受信した、電磁パルス試験用ランダムパルスの列から決定されてもよい。この電磁パルス試験用ランダムパルスの列は、電磁パルス試験用の複数のランダムパルスに対応していてもよい。より具体的には、送信部は、ランダムビットの補助列を生成又は取得し、このランダムビットの補助列を電磁パルス試験用ランダムパルスの列内に符号化してもよく、これら電磁パルス試験用ランダムパルスの列のうちの電磁パルス試験用パルスはそれぞれ、補助暗号化プロトコルに従って、ランダムビットの補助列のビットに対応している。
【0051】
より具体的には、補助暗号化プロトコルは割り当てルールを含んでいてもよい。この補助暗号化プロトコルの割り当てルールに従って、第1の古典状態に対応する第1の電磁パルス試験用パルスがビット値0に割り当てられてもよく、第2の古典状態に対応する第2の電磁パルス試験用パルスがビット値1に割り当てられてもよい。補助暗号化プロトコルの暗号化モードは、位相暗号化方式又は強度暗号化方式であってもよい。この補助暗号化プロトコルは、電磁パルス試験用ランダムパルスの列を受信部が受信した後に、送信部から受信部に送信されてもよい。
【0052】
好ましくは、盗聴者の不在下で発生する通信チャネル内の固有損失もまた決定され、事前特定され、かつ/又は推定される。
【0053】
必要に応じて、通信チャネルは、変曲点又は粗分岐点を示さないように生成され、かつ適切に設置されてもよい。その場合、通信チャネル内の固有の信号損失は、通信チャネル全体に沿って生じるレイリー散乱のみに起因して発生し得る。したがって、盗聴者は、伝送された第1の列に関連付けられた信号の一部を傍受するために、固有の信号損失を効率的に利用することができない可能性がある。その代わりに盗聴者は、送信部の近傍で通信チャネルを歪曲して、透過電磁モードを測定する可能性がある。
【0054】
具体的には、例えばレイリー散乱に起因する、通信チャネル内の固有損失が検知できるものである場合、第5のステップは、通信チャネル内の固有損失を決定するステップをさらに含んでいてもよい。これは、通信チャネルを介して、送信部から受信部に少なくとも1つの電磁パルスの第1パルスを伝送し、この少なくとも1つの伝送された電磁パルスの第1パルスを受信部が測定することによって達成されてもよい。これにより、盗聴者が通信チャネルに侵入する機会を得る前に、少なくとも1つの電磁パルスの第1パルスを非常に短い時間スケールで伝送することができる。
【0055】
この少なくとも1つの電磁パルスの第1パルスはまた、高強度のコヒーレント状態に対応していてもよい。
【0056】
この少なくとも1つの伝送された電磁パルスの第1パルスの位相及び/又は強度を、受信部が測定してもよく、また、通信チャネル内の固有の信号損失を決定するために、これらの位相及び/又は強度が、送信部が送信した少なくとも1つの電磁パルスの第1パルスの位相及び/又は強度と比較されてもよい。この固有損失はまた、通信チャネルの理論モデル又は数値モデルを用いて、かつ又は異なる方法/実験を用いて決定されるか、事前決定されるか、又は推定されてもよい。
【0057】
第6のステップでは、シャノンの情報理論を用いることにより、盗聴者に対する情報優位性が推定されてもよい。具体的には、この第6のステップは、第4のステップで生成された共有ビット列に関して、盗聴者が取得した情報の最大値を推定するステップを含んでいてもよい。第4のステップで生成された共有ビット列に関して、盗聴者が取得した情報の最大値は、第1の量子状態及び第2の量子状態間の識別不可能性の度合い、盗聴者が引き起こす通信チャネル内の決定済み信号損失、及び/又は通信チャネル内の固有の信号損失に基づいて推定されてもよい。
【0058】
この第6のステップは、第1の量子状態及び第2の量子状態間の識別不可能性の度合い、盗聴者が引き起こす通信チャネル内の決定済み信号損失、及び/又は通信チャネル内の固有の信号損失に基づいて、送信部と受信部との間の相互情報量を推定するステップをさらに含んでいてもよい。
【0059】
次いで、送信部と受信部との間の相互情報量から、共有ビット列に関して盗聴者が取得した情報の最大値を減算することにより、盗聴者に対する情報優位性が決定又は推定されてもよい。
【0060】
このようにして、第1の量子状態及び第2の量子状態間の識別不可能性の度合い、盗聴者が引き起こす通信チャネル内の決定済み信号損失、及び/又は通信チャネル内の固有の信号損失に基づく、盗聴者に対する情報優位性の関数依存性が導出され得、上記でさらに説明したように、最適な暗号化プロトコルを決定するために、この関数依存性を使用して、情報優位性の最適化が行われ得る。
【0061】
この場合、第6のステップにおける盗聴者に対する情報優位性の推定は、盗聴者に対する情報優位性の理論的最大値に対応していてもよい。盗聴者に対する情報優位性の関数依存性は、送信部の電子記憶装置内に電子的に記憶されてもよく、また準連続曲線、離散集合、又は代数式若しくは数式/関数として表されてもよい。
【0062】
必要に応じて、盗聴者が引き起こす通信チャネル内の信号損失は、繰り返しかつ/又は一定の時間間隔で、かつ/又は第2のステップが実行される前に決定されてもよい。これに応じて、盗聴者に対する情報優位性は、例えば、盗聴者が引き起こす信号損失が決定されるたびに、複数回推定され、かつ/又は更新されてもよい。
【0063】
一実施形態では、第2のステップ、第3のステップ、第4のステップ、第5のステップ、第6のステップ、及び/又は第7のステップは、盗聴者に対する情報優位性の推定が0よりも大きくなり、かつ/又は所定の閾値を超え、これによって鍵生成レート/速度が所定最小値を確実に超えるようになった後にのみ、実行されてもよい。
【0064】
本方法は、適応暗号化方式/プロトコルをさらに含んでいてもよい。この暗号化プロトコルは、第4のステップが実行された後、かつ/又は第2のステップが実行される前に適合されてもよい。この暗号化プロトコルの適合は、第4のステップにおける共有ビット列の長さを延長するか、かつ/又は第4のステップにおける受信部による暗号解読時の誤り率を低下させるために、適合される暗号化プロトコルに基づいて、少なくとも第2のステップ、第3のステップ、及び第4のステップを繰り返し実行するステップを含んでいてもよい。
【0065】
適応暗号化方式/プロトコルに従って、例えば第4のステップ及び/又は第5のステップが実行された後に、適合ステップが実行されてもよく、この適合ステップは、第5のステップで決定された、盗聴者が引き起こす信号損失に基づいて、暗号化プロトコルを適合させるステップを含んでいてもよい。例えば、第6のステップ及び第7のステップが実行される前に、適合された暗号化プロトコルに基づいて、少なくとも第2のステップ、第3のステップ及び第4のステップが繰り返されてもよい。この適応暗号化は、第1のステップ及び/又は第5のステップを繰り返すステップをさらに含んでいてもよい。
【0066】
暗号化プロトコルは、第1の量子状態及び第2の量子状態間の識別不可能性の度合い、並びに/又は第1の量子状態の平均光子数、及び/若しくは第2の量子状態の平均光子数を適合させることによって適合されてもよい。より具体的には、この暗号化プロトコルは、盗聴者が引き起こす決定済み信号損失が所定の閾値を下回った場合、第1の量子状態及び第2の量子状態間の識別不可能性の度合いを低減することによって、及び/又は盗聴者が引き起こす決定済み信号損失が所定の閾値を上回った場合、第1の量子状態及び第2の量子状態間の識別不可能性の度合いを増大させることによって適合されてもよい。
【0067】
強度暗号化方式の場合、第1の量子状態の平均光子数と第2の量子状態の平均光子数との差を減少させることにより、識別不可能性の度合いが増大されてもよい。第1の量子状態の平均光子数と第2の量子状態の平均光子数との差を増加させることにより、識別不可能性の度合いが低減されてもよい。
【0068】
位相暗号化方式の場合、第1の量子状態の平均光子数と第2の量子状態の平均光子数との和を減少させることにより、識別不可能性の度合いが増大されてもよい。これら第1の量子状態の平均光子数と第2の量子状態の平均光子数との和を増加させることにより、識別不可能性の度合いが低減されてもよい。
【0069】
代替的に又は付加的に、暗号化プロトコルはまた、終了条件が満たされるまで、又は終了条件が満たされるように適合されてもよい。この終了条件は、盗聴者に対する情報優位性の正値性に対応していてもよい。その場合、第6のステップの後に、適合ステップがさらに実行されてもよい。暗号化プロトコルはまた、盗聴者に対する最小情報優位性、及び/又は最小鍵生成速度/レートを確保するために適合されてもよい。
【0070】
必要に応じて、第5のステップ及び/又は第6のステップも同様に、終了条件が満たされているかどうか、かつ/又は盗聴者に対する最小情報優位性、及び/又は最小鍵生成速度/レートが確保されているかどうかを検証/確認するために繰り返されてもよい。これが該当しない場合、暗号化プロトコルを適合させるステップ及び少なくとも第2のステップ、第3のステップ及び第4のステップ、並びに場合によっては、第5のステップ及び第6のステップが繰り返されてもよく、また、終了条件が満たされるまで、それらのステップを繰り返した後に、終了条件が判定/確認されてもよい。その後にのみ、第7のステップが実行されてもよい。
【0071】
決定対象の秘密暗号鍵に関して盗聴者が取得する情報を低減又は完全に根絶するために、第7のステップに従って、秘匿性増強が実行されてもよい。この秘匿性増強は、送信部及び受信部間の一方向の公開ディスカッションを用いて、第4のステップで生成された共有ビット列から秘密共有暗号鍵を蒸留することにより、達成されてもよい。
【0072】
より具体的には、この秘匿性増強は、第4のステップで取得された共有ビット列から、長さがLf=LΔIとなる秘密共有暗号鍵を蒸留するステップを含んでいてもよく、ここで、Lは第1のステップで取得されたランダムビット列の長さであり、ΔIは、第6のステップで推定された盗聴者に対する情報優位性である。これは、ランダムマッピング関数g:
を使用して、第4のステップで生成された長さLIABの共有ビット列を短縮することによって達成されてもよく、ここで、IABはランダムビット列に関する、送信部と受信部との間の相互情報量を示す。このように選択することにより、高い鍵交換レート/速度Lf/Lが達成され得る。このようにして秘密共有暗号鍵の長さを決定する前に、盗聴者に対する情報優位性の推定が、最近似の整数に丸められてもよい。
【数1】
【0073】
本開示はまた、上述の方法のステップを実行するように構成された装置に関する。
【0074】
具体的には、本装置は、少なくとも1つの送信部と、少なくとも1つの受信部と、必要に応じて、これら少なくとも1つの送信部と少なくとも1つの受信部とを通信可能に接続する、少なくとも1つの通信チャネルとを備えていてもよい。
【0075】
少なくとも1つの送信部は、第1の電子評価制御ユニットを含んでいてもよい。
【0076】
必要に応じて、この少なくとも1つの送信部は、ランダムビット列を生成するように構成された乱数発生器、並びに/又は電磁パルスの第1の列、及び/又は少なくとも1つの電磁パルス試験用ランダムパルス、及び/又は少なくとも1つの電磁パルスの第1パルスを生成するように構成された電磁放射線源を含む。
【0077】
必要に応じて、この乱数発生器は古典的な乱数発生器であってもよい。
【0078】
必要に応じて、この電磁放射線源は、レーザ、テラヘルツ放射線源又はマイクロ波放射線源であってもよい。
【0079】
少なくとも1つの受信部は、第2の電子評価制御ユニットを含んでいてもよい。
【0080】
必要に応じて、この少なくとも1つの受信部は、電磁パルスの第2の列、及び/又は少なくとも1つの電磁パルス試験用ランダムパルス、及び/又は少なくとも1つの電磁パルスの第1パルスの強度及び/又は位相を測定するように構成された、検出ユニットを含んでいてもよい。
【0081】
好ましくは、少なくとも1つの通信チャネルは、伝送線路又は光ファイバである。
【0082】
最も好ましくは、この少なくとも1つの通信チャネルは、少なくとも1つ又は複数のインライン増幅器を含む。複数のインライン増幅器は、通信チャネルに沿って一定の間隔で配置されてもよく、伝送された電磁パルスの第1の列を増幅するように構成されてもよい。
【0083】
必要に応じて、この少なくとも1つの通信チャネルは、レイリー散乱のみに起因する、固有の信号損失を呈するように構成されている。減衰及び/又はレイリー散乱に起因する、少なくとも1つの通信チャネルの固有損失は、3dBを超える場合がある。
【0084】
本装置は、例えば情報照合及び/又は秘匿性増強を実行するために、少なくとも1つの受信部から少なくとも1つの送信部にフィードバック情報を伝送するように構成された、少なくとも1つの認証された公開古典チャネルをさらに備えていてもよい。
【0085】
送信部は、初期ステップ及び/又は第1のステップ及び/又は適合ステップを実行するように構成されてもよい。送信部及び通信チャネルは、第2のステップを実行するように構成されてもよい。
【0086】
受信部は、第3のステップ及び第6のステップを実行するように構成されてもよい。送信部、受信部、及び認証された公開古典チャネルは、第4のステップ及び第7のステップを実行するように構成されてもよい。送信部、受信部、及び通信チャネルは、第5のステップを実行するように構成されてもよい。
【0087】
第1の電子評価制御ユニット及び/又は第2の電子評価制御ユニットは、少なくとも1つの演算部、少なくとも1つの測定部及び/又は少なくとも1つの電子記憶部を含んでいてもよい。この少なくとも1つの演算部は、プロセッサ、CPU(中央処理装置)、GPU(グラフィック処理装置)のうちの少なくとも1つを含んでいてもよい。
【0088】
本開示はまた、プログラムがコンピュータによって実行されると、コンピュータに上述した方法のステップを実行させる命令を含む、コンピュータプログラムに関する。本コンピュータプログラム(又は一連の命令)は、演算部内でのコンピュータプログラム実行時にセキュアな通信を行うために、送信部と受信部との間で共有される秘密暗号鍵を決定するための方法を実行する、ソフトウェア手段を用いてもよい。本コンピュータプログラムは、少なくとも1つの電子評価制御ユニットの内部メモリ、メモリ部又はデータ記憶部に直接記憶され得る。
【0089】
本開示はまた、上述のコンピュータプログラムが記憶された、コンピュータ可読データ記憶媒体に関する。本コンピュータプログラム製品は、機械可読データ記憶媒体、好ましくはデジタル記憶媒体に記憶され得る。
【発明の効果】
【0090】
要約すると、セキュアな通信を行うために、送信部と受信部との間で共有される秘密暗号鍵を決定するための簡便で実用的な方法、装置、コンピュータプログラム及びデータ記憶媒体を提案している。この秘密共有暗号鍵は、広範囲の対称暗号化プロトコルに使用され得る。具体的には、提案している開示により、高レベルのセキュリティ及び高い鍵交換レートでの鍵配送が実現され得る。
【図面の簡単な説明】
【0091】
本開示の典型的な実施形態を図面に示しており、以下、図1~図6を参照して説明する。
【図1】本方法の一実施形態の概略フロー図である。
【図2】本方法の別の実施形態の概略フロー図である。
【図3】本装置の一実施形態の概略図である。
【図4】それぞれが異なる識別不可能性の度合いを含む、所定の暗号化プロトコルのセットに関して、盗聴者が引き起こす信号損失に対する鍵生成速度の依存性を示す図である。
【図5】盗聴者が引き起こす信号損失及び固有の信号損失に対する、識別不可能性の最適度合いの依存性を示す図である。
【図6】盗聴者が引き起こす信号損失及び固有の信号損失に対する、鍵交換レートの依存性を示す図である。
【発明を実施するための形態】
【0092】
図1は、セキュアな通信を行うために、送信部1と受信部2との間で共有される秘密暗号鍵を決定するための方法の、一実施形態の概略フロー図を示す。本方法は、連続して実行される第1のステップS1、第2のステップS2、第3のステップS3、第4のステップS4、第5のステップS5、第6のステップS6、及び第7のステップS7を含む。
【0093】
第1のステップS1は、古典的な乱数発生器を使用して、長さLのランダムビット列Rを送信部1が取得するステップを含む。一代替実施形態では、長さLのランダムビット列Rはまた、事前決定されてもよく、また、送信部1に電子的に記憶されてもよい。
【0094】
第2のステップS2は、通信チャネル3を介して、コヒーレント電磁パルス1.1の第1の列を送信部1から受信部2に伝送するステップを含む。これにより、コヒーレント電磁パルス1.1の第1の列におけるコヒーレント電磁パルス1.1はそれぞれ、暗号化プロトコルCP1、CP2、CP3、CP4によるランダムビット列Rのビットに対応している。
【0095】
具体的には、コヒーレント電磁パルス1.1の第1の列は、レーザ源を用いて生成される。暗号化プロトコルCP1、CP2、CP3、CP4に従って、第1の列は、複数の第1のコヒーレント電磁パルス及び複数の第2のコヒーレント電磁パルスを含み、第1の列の第1のコヒーレント電磁パルスはそれぞれ、第1のコヒーレント状態|α0>に対応し、ビット値0を有するランダムビット列Rのビットに割り当てられる。第1の列の第2のコヒーレント電磁パルスはそれぞれ、第2のコヒーレント状態|α1>に対応し、ビット値1を有するランダムビット列Rのビットに割り当てられる。したがって、コヒーレント電磁パルス1.1の第1の列におけるコヒーレント電磁パルス1.1はそれぞれ、ランダムビット列Rのビットに対応している。
【0096】
より具体的には、暗号化プロトコルCP1、CP2、CP3、CP4は、割り当てルール及び暗号化モード情報を含む。この暗号化モード情報に従って、強度暗号化方式が暗号化モードとして決定される。この割り当てルールに従って、コヒーレント状態の複素振幅α0を有する第1のコヒーレント状態|α0>が、ビット値0を有するビットに割り当てられ、コヒーレント状態の複素振幅α1を有する第2のコヒーレント状態|α1>が、ビット値1を有するビットに割り当てられる。第1のコヒーレント状態|α0>の平均光子数<n0>=|α0|2は、第2のコヒーレント状態|α1>の平均光子数<n1>=|α1|2とは異なっている。第1のコヒーレント状態|α0>及び第2のコヒーレント状態|α1>の位相は、同一に選択される。第1のコヒーレント状態|α1>と第2のコヒーレント状態|α1>との間の識別不可能性の度合いは、第1のコヒーレント状態|α0>と第2のコヒーレント状態|α1>との重なり行列要素の絶対値によって、例えば強度暗号化のために得られ、
|<α0|α1>|=exp(-[√<n1>-√<n0>]2/2)≠1 (1)
となる。
|<α0|α1>|=exp(-[√<n1>-√<n0>]2/2)≠1 (1)
となる。
【0097】
本実施形態によれば、平均光子数<nj>(j=0,1)は事前決定されている。例えば、識別不可能性の度合いである
を実現するために、第1のコヒーレント状態は<n0>=1000となり、第2のコヒーレント状態の平均光子数は<n1>=1077となる。一代替実施形態では、以下でさらに述べるように、盗聴者4に対する最適化されかつ増強された情報優位性及び最大の鍵生成レートを確保するために、平均光子数<nj>(j=0,1)はまた、最適化の結果から選択されてもよい。
【数2】
【0098】
別の実施形態では、暗号化モードは位相暗号化方式であり得る。この場合、第1のコヒーレント状態|α0>の位相と第2のコヒーレント状態|α1>の位相とは位相差φだけ異なっており、それぞれの平均光子数は同一<n>=<n0>=<n1>である。次いで、第1のコヒーレント状態|α1>と第2のコヒーレント状態|α1>との間の識別不可能性の度合いは
|<α0|α1>|=exp([cosφ-1]<n>)≠1 (2)
で得られる。
|<α0|α1>|=exp([cosφ-1]<n>)≠1 (2)
で得られる。
【0099】
典型的には、第1のコヒーレント状態及び第2のコヒーレント状態の平均光子数は<n>=10となり、位相差はφ=πとなる。一代替実施形態では、平均光子数<n>と位相差とはまた、盗聴者4に対する最適化されかつ増強された情報優位性及び最大鍵生成レートを確保するために、最適化の結果から選択されてもよい。
【0100】
第3のステップS3は、伝送されたコヒーレント電磁パルス1.2の第1の列に対応するコヒーレント電磁パルス2.1の第2の列を、受信部2が受信するステップを含む。受信したコヒーレント電磁パルス2.1はそれぞれ、受信した第1のコヒーレント状態|βBα0>又は受信した第2のコヒーレント状態|βBα1>に対応し、ここで、tB=|βB|2は受信部2が受信した対応する信号の割合を表す。
【0101】
第3のステップS3は、少なくとも1つの光検出器を使用して、受信したコヒーレント電磁パルスの2.1の少なくとも強度を測定するステップをさらに含む。この第3のステップS3は、ランダムビット列Rの近似結果を得るために、測定された強度及び暗号化プロトコルCP1、CP2、CP3、CP4に基づいて、コヒーレント電磁パルス2.1の第2の列を受信部2が解読するステップをさらに含む。この解読するステップは、受信したコヒーレント電磁パルス2.1のそれぞれに対して、ビット値0又はビット値1を割り当てるステップを含む。
【0102】
受信したコヒーレント電磁パルス2.1に対応するコヒーレント状態|βBαj>(j=0,1)は完全には直交していないため、受信したコヒーレント電磁パルス2.1の一部は、測定された強度及び暗号化プロトコルCP1、CP2、CP3、CP4に基づいて、一義的に解読されない可能性がある。したがって、第4のステップS4は、一義的な量子状態の識別を実行するステップを含む。具体的には、この第4のステップS4は、第3のステップS3で受信したコヒーレント電磁パルス2.1の第2の列を解読するステップから得られた、ランダムビット列Rの近似結果を短縮するステップを含む。
【0103】
これにより、不確定結果、即ち、測定された強度が第1のコヒーレント状態|α0>及び第2のコヒーレント状態|α1>にほぼ等しく起因し得る、受信したコヒーレント電磁パルス2.1に対応するビットが破棄される。そのために、受信部2は、認証された公開古典チャネルを介して、対応するビットを送信部1に通知する。次に、この不確定結果に対応するビットを、送信部1と受信部2とが破棄し、これは即ち、共有ビット列を送信部1と受信部1とが取得していることを意味する。この共有ビット列の長さはLIABであり、ここでは、IABは送信部と受信部との間の相互情報量(ビット列の1ビット当たりの)を表し、
と推定される。
【数3】
【0104】
第4のステップS4で生成された共有ビット列は、完全にセキュアではない場合がある。盗聴者4は、例えば通信チャネル3を歪曲し、コヒーレント状態|βEαj>に対応する透過光モード4.1を測定することにより、送信部1の近傍の通信チャネル3に侵入することができる。したがって、盗聴者4が引き起こす信号損失、又は盗聴者4が傍受する電力の割合はrE=|βE|2となる。第1及び第2のコヒーレント状態|αj>は擬古典的であるため、盗聴者4は、状態|βEαj>に対応する光子の量子数を測定することに限定される。このため、盗聴者4は受信部2とは異なり、コヒーレント状態|βEαj>に対応する傍受した信号を効率的に増幅することができない。さらに、この傍受した信号のコヒーレント状態の特性に起因して、以下の関係式が成り立ち、即ち、
となる。
【数4】
【0105】
その結果、盗聴者4が引き起こす信号損失rEが小さかった場合、状態|βEαj>は実質的に非直交となり、盗聴者4が、傍受した信号を一義的に解読できない可能性がある。ただし、盗聴者4が取得した情報は、第4のステップで生成された共有ビット列を完全には保護されない状態にする恐れがある。したがって、盗聴者4が引き起こす通信チャネル3内の信号損失βEを決定し、盗聴者4に対する情報優位性ΔIを推定することが有用である。
【0106】
第5のステップS5は、盗聴者4が引き起こす通信チャネル3内の信号損失rEを決定するステップを含む。そのために、第5のステップS5で、まず、盗聴者4が引き起こすものではない、通信チャネル3内の固有の信号損失r0が決定される。これは、非常に短い時間スケール、即ち盗聴者4が通信チャネル3に侵入する機会を得る前に、通信チャネル3を介して、送信部1から受信部2に対してコヒーレント電磁パルスの第1パルスを伝送することによって達成される。このコヒーレント電磁パルスの第1パルスは、平均光子数が100000である古典的な高強度のコヒーレント状態に対応している。伝送されたコヒーレント電磁パルスの第1パルスを受信部2が測定し、この測定された強度から固有の信号損失r0が得られる。一代替実施形態では、この固有の信号損失r0はまた、通信チャネル3の理論モデルから事前に決定され、かつ推定されてもよい。
【0107】
盗聴者4が引き起こす通信チャネル3内の信号損失rEは、通信チャネル3を介して、コヒーレント電磁パルス試験用ランダムパルスを、一定の時間間隔で送信部1から受信部2に伝送することによって決定される。このコヒーレント電磁パルス試験用ランダムパルスはそれぞれ、平均光子数が10000である高強度のコヒーレント状態に対応している。伝送されたコヒーレント電磁パルス試験用ランダムパルスの強度を、受信部2が測定し、その強度を、例えば認証された公開古典チャネル5を介して、送信部1が送信したコヒーレント電磁パルス試験用ランダムパルスの強度と比較することにより、総信号損失rtが決定される。次いで、盗聴者4が引き起こす通信チャネル3内の信号損失rEは、総信号損失rtから固有の信号損失r0を減算することにより、即ちrE=(rt-r0)/(1-r0)によって得られる。
【0108】
第6のステップS6は、盗聴者4が引き起こす通信チャネル3内の決定済み信号損失rEに基づいて、盗聴者4に対する情報優位性ΔIを推定するステップを含む。この盗聴者4に対する情報優位性ΔIは、シャノンの情報理論を用いて推定される。
【0109】
この第6のステップS6は、第4のステップS4で生成された共有ビット列に関して、盗聴者が取得した情報の最大値を、
に従って推定するステップを含み、
ここで、変数pの関数h(p)はバイナリ情報
h(p)=-plogp-(1-p)log(1-p) (6)
を表し、また
は、第4のステップS4の情報照合中に、送信部1及び受信部2によってビットが破棄される確率を表す。
【数5】
ここで、変数pの関数h(p)はバイナリ情報
h(p)=-plogp-(1-p)log(1-p) (6)
を表し、また
【数6】
【0110】
第3のステップS3で受信部2が受信する信号の割合tBは、
tB=(1-rE)(1-r0) (8)
によって得られる。
tB=(1-rE)(1-r0) (8)
によって得られる。
【0111】
次いで、盗聴者4に対する情報優位性ΔIが
に従って推定され、その結果識別不可能性の度合い、盗聴者4が引き起こす決定された信号損失rE、及び固有の信号損失r0に関して表され、即ち、
となる。
【数7】
【数8】
【0112】
第7のステップS7では、第4のステップS4で生成された共有ビット列に対し、秘匿性増強が行われる。この秘匿性増強は、第6のステップS6で推定された、盗聴者4に対する情報優位性ΔIに基づいて実行される。具体的には、盗聴者4が取得する情報を根絶するために、第4のステップS4で生成された共有ビット列から、秘密共有暗号鍵が蒸留される。この秘密共有暗号鍵の長さは、
Lf=LΔI (11)
となり、ここでLは、第1のステップS1で古典的な乱数発生器から取得された、ランダムビット列Rの長さを表す。したがって、鍵生成レートLf/L=ΔIは、第6のステップS6で生成された、盗聴者4に対する情報優位性ΔIの推定によって決まる。
Lf=LΔI (11)
となり、ここでLは、第1のステップS1で古典的な乱数発生器から取得された、ランダムビット列Rの長さを表す。したがって、鍵生成レートLf/L=ΔIは、第6のステップS6で生成された、盗聴者4に対する情報優位性ΔIの推定によって決まる。
【0113】
長さLfを有する秘密共有暗号鍵を得るために、鍵蒸留処理が実行される。そのために、第4ステップS4で生成された共有ビット列は、ランダム関数g:
を用いて変換され、Lfビットは、新しいビット列として共有ビット列から抽出される。
盗聴者4は、新たなビット列に関する情報を何ら保有していないので、この新たなビット列は、セキュアな通信を行うために、送信部1と受信部2との間で共有される秘密暗号鍵として使用され得る。
【数9】
盗聴者4は、新たなビット列に関する情報を何ら保有していないので、この新たなビット列は、セキュアな通信を行うために、送信部1と受信部2との間で共有される秘密暗号鍵として使用され得る。
【0114】
以下の図では、図1と同一の参照符号を用いて、繰り返し出現する特徴を示している。
【0115】
図2は、セキュアな通信を行うために、送信部1と受信部2との間で共有される秘密暗号鍵を決定するための方法の、別の実施形態の概略フロー図を示す。
【0116】
図2に示す実施形態は、第2のステップS2が実行される前に第5のステップS5及び第6のステップS6が実行されるという点で、図1に関して述べた実施形態とは異なっている。次いで、第6のステップS6で情報優位性ΔIを推定するステップは、第5のステップS5で両方とも決定された、盗聴者4が引き起こす信号損失rE及び固有損失r0に対して、情報優位性ΔIを最適化するステップを含む。
【0117】
そのために、上記でさらに導出された情報優位性ΔIの式は、標準的な数値方法により、第1のコヒーレント状態|α0>及び第2のコヒーレント状態|α1>間の識別不可能性の度合いの関数として最適化され、この識別不可能性の度合いは暗号化パラメータを表す。より具体的には、識別不可能性の度合いの最適値が特定され、この最適値は、盗聴者4に対する最大情報優位性ΔIに対応している。そのような最適化の結果を図5及び図6に示す。
【0118】
次いで、盗聴者4に対する最大情報優位性ΔIを確保するために、この識別不可能性の度合いの最適値を使用して、暗号化プロトコルCP1、CP2、CP3、CP4が決定される。これにより、暗号化プロトコルCP1、CP2、CP3、CP4における第1のコヒーレント状態|α0>の平均光子数<n0>と第2のコヒーレント状態|α1>の平均光子数<n1>とは、これらの状態間の識別不可能性の度合いがその最適値に対応するように選択される。このように最適化された暗号化プロトコルCP1、CP2、CP3、CP4により、第2のステップS2が実行される。また、第7のステップS7で説明したように、この最適化によって得られた情報優位性ΔIの最大値を、秘匿性増強を行うための情報優位性ΔIの推定として使用している。
【0119】
図3は、セキュアな通信を行うために、送信部1と受信部2との間で共有される秘密暗号鍵を決定するための方法のステップを実行するように構成された、本装置の一実施形態の概略図を示す。
【0120】
本装置は、1つの送信部1と、1つの受信部2と、通信チャネル3としての1つの伝送線路又は光ファイバと、を備える。
【0121】
送信部1は、第1の電子評価制御ユニットと、古典的な乱数発生器と、コヒーレントな電磁放射線源(図示せず)としてのレーザと、を含む。この古典的な乱数発生器は、ランダムビット列Rを生成するように構成されている。このレーザは、コヒーレント電磁パルス1.1の第1の列を生成するように構成されている。
【0122】
盗聴者4は、送信部1の近傍の通信チャネル3に侵入する。盗聴者4は、コヒーレント電磁パルス1.1の第1の列に対応する信号4.1の一部を傍受するように構成されている。
【0123】
受信部2は、第2の電子評価制御ユニットと、光検出器(図示せず)とを含む。この光検出器は、コヒーレント電磁パルス2.1の第2の列を受信するように構成されている。本装置は、認証された公開古典チャネル(図示せず)をさらに備える。
【0124】
送信部1は、第1のステップS1を実行するように構成されている。送信部1及び通信チャネル3は、第2のステップS2を実行するように構成されている。受信部2は、第3のステップS3を実行するように構成されている。送信部1、受信部2、及び認証された公開古典チャネルは、第4のステップS4を実行するように構成されている。
【0125】
送信部1、受信部2、及び通信チャネル3は、第5のステップS5を実行するように構成されている。受信部2は、第6のステップS6を実行するように構成されている。送信部1、受信部2、及び認証された公開古典チャネルは、第7のステップS7を実行するように構成されている。
【0126】
図4は、固有損失r0=0.5、並びに第1の暗号化プロトコルCP1、第2の暗号化プロトコルCP2、第3の暗号化プロトコルCP3、及び第4の暗号化プロトコルCP4を含む、所定の個々の暗号化プロトコルのセットCPSETに関して、盗聴者4が引き起こす信号損失rEに対する、乱数生成速度Lで除算した鍵生成速度Lfの依存性を示す。暗号化プロトコルCP1、CP2、CP3、CP4は、第1のコヒーレント状態|α0>及び第2のコヒーレント状態|α1>間の識別不可能性の度合いだけ異なっている。暗号化プロトコルCP1、CP2、CP3及びCP4の個別のセットのうち、第3の暗号化プロトコルCP3は、0.05よりも小さい、盗聴者4が引き起こす信号損失rEに対する、最大情報優位性ΔI及び最大鍵生成速度Lf/Lを確保している。信号損失rEが増大するにつれて、最大情報優位性ΔIを確保する識別不可能性の最適度合いが高まる一方、達成可能な最大情報優位性ΔIは低下するという点が、図4から導出され得る。
【0127】
図5は、盗聴者4が引き起こす信号損失rE及び固有の信号損失r0に対する、識別不可能性の最適度合いの依存性を示す。さらに上記で述べたような、情報優位性ΔIを最適化した結果として、識別不可能性の最適度合いを表す等高線を示している。典型的には、盗聴者4が引き起こす信号損失rE=0.4及び固有の信号損失r0=0.3に対して、識別不可能性の度合いの最適値は
となる。次いで、暗号化プロトコルCP1、CP2、CP3、CP4における第1のコヒーレント状態及び第2のコヒーレント状態が、これに応じて選択される。したがって、図5に示す結果を使用して、第2のステップS2で使用する最適な暗号化プロトコルCP1、CP2、CP3、CP4が決定される。
【数10】
【0128】
これに対して、図6は、最大情報優位性ΔIに対応する最大鍵交換レートLf/Lと、盗聴者4が引き起こす信号損失rE及び固有の信号損失r0に対するその依存性とを示す。さらに上記でさらに述べたような、情報優位性ΔIを最適化した結果として、最大情報優位性ΔIに対応する最大鍵交換レートLf/Lの等高線を示している。
【0129】
典型的には、盗聴者4が引き起こす信号損失rE=0.1及び固有の信号損失r0=0.6に対して、最大情報優位性は
となる。次いで、ステップS7で秘匿性増強によって生成されたセキュアな共有暗号鍵の長さLfが、これに応じて選択される。したがって、図6に示す結果を使用して、第7のステップS7で鍵交換レートが決定される。
【数11】
【0130】
当然ながら、単に典型的な実施形態に開示しているにすぎない異なる実施形態の特徴は、互いに組み合わされ得、これらが個別に特許請求される可能性もある。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
