知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-02-05
(45)【発行日】2024-02-14
(54)【発明の名称】長距離量子鍵配送
(51)【国際特許分類】
H04L 9/12 20060101AFI20240206BHJP
H04B 10/70 20130101ALI20240206BHJP
【FI】
H04L9/12
H04B10/70
【請求項の数】
29
【外国語出願】
(21)【出願番号】P 2022022716
(22)【出願日】2022-02-17
(65)【公開番号】P2022126611
(43)【公開日】2022-08-30
【審査請求日】2022-06-10
(31)【優先権主張番号】21157942
(32)【優先日】2021-02-18
(33)【優先権主張国・地域又は機関】EP
(31)【優先権主張番号】21166427
(32)【優先日】2021-03-31
(33)【優先権主張国・地域又は機関】EP
(73)【特許権者】
【識別番号】521124319
【氏名又は名称】テラ クアンタム アーゲー
【氏名又は名称原語表記】TERRA QUANTUM AG
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(72)【発明者】
【氏名】キルサーノフ・ニキータ
(72)【発明者】
【氏名】ケンバエフ・ヌルボラト
(72)【発明者】
【氏名】クロンバリ・ドミトリー
(72)【発明者】
【氏名】ヴィノコール・ヴァレリー
(72)【発明者】
【氏名】レソヴィク・ゴルデイ
(72)【発明者】
【氏名】セカツキ・パヴェル
(72)【発明者】
【氏名】サギンガリエヴァ・アシェル
【審査官】青木 重徳
(56)【参考文献】
【文献】特表2018-505599(JP,A)
【文献】中国特許出願公開第109600172(CN,A)
【文献】特開2022-061486(JP,A)
【文献】大崎 正雄 ほか,量子暗号鍵配送におけるスクィズド状態の有効性,第26回情報理論とその応用シンポジウム予稿集,日本,2003年12月15日,第2分冊,p.655-658
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/12
H04B 10/70
(57)【特許請求の範囲】
【請求項1】
空間的に離隔した複数の増幅器(4)を備える通信チャネル(3)を介して接続された送信機(1)と受信機(2)との間で共有される秘密暗号鍵を決定するための方法であって、前記方法が、前記通信チャネル(3)を介して、少なくとも1つの電磁試験パルスを前記送信機(1)から前記受信機(1)に送信し(S1)、次いで前記受信機(2)で検出された前記少なくとも1つの電磁試験パルスに基づいて、盗聴者(5)が引き起こした前記通信チャネル(3)内の信号損失(rE)を特定するステップ(S2)と、
秘密共有暗号鍵を確立するために、前記通信チャネル(3)を介して、前記送信機(1)から前記受信機(2)に電磁パルス(6)の第1のシーケンスを送信するステップ(S4)であって、前記通信チャネル(3)に沿って送信された前記電磁パルス(6)の第1のシーケンスが、前記空間的に離隔した増幅器(4)によって増幅されており、
前記電磁パルス(6)の第1のシーケンスの前記電磁パルスがそれぞれ、暗号化プロトコルに従ってランダム・ビット・シーケンスのビットに対応している、ステップ(S4)と、
予想鍵生成レート(Lf/L)を、少なくとも1つの暗号化パラメータに関して、前記予想鍵生成レート(Lf/L)の情報理論モデルを用いて最大化することにより、前記暗号化プロトコルの前記少なくとも1つの暗号化パラメータを求めるステップ(S3)であって、
前記特定された信号損失(rE)及び前記空間的に離隔した増幅器(4)の少なくとも1つの増幅パラメータが、前記情報理論モデルへの入力パラメータとして考慮される、ステップ(S3)と、を含む、
方法。
【請求項2】
前記電磁パルス(6)の第1のシーケンス内の前記電磁パルスが、同じパルス強度を有するコヒーレント電磁パルスである、請求項1に記載の方法。
【請求項3】
前記暗号化プロトコルの暗号化モードが、位相暗号化又は強度暗号化である、請求項1に記載の方法。
【請求項4】
前記少なくとも1つの暗号化パラメータが、前記第1のシーケンス内の前記コヒーレント電磁パルスにおけるコヒーレント状態の振幅の絶対値(γ)に対応していることを特徴とする、請求項2に記載の方法。
【請求項5】
前記空間的に離隔した増幅器(4)の前記少なくとも1つの増幅パラメータが、前記空間的に離隔した増幅器の数(M)を含むことを特徴とする、請求項1から4のいずれか一項に記載の方法。
【請求項6】
前記空間的に離隔した増幅器(4)の前記少なくとも1つの増幅パラメータが、隣接する2つの増幅器間の距離(d)を含むことを特徴とする、請求項1から4のいずれか一項に記載の方法。
【請求項7】
前記空間的に離隔した増幅器(4)の前記少なくとも1つの増幅パラメータが、前記空間的に離隔した増幅器(4)の増幅率(G)を含むことを特徴とする、請求項1から4のいずれか一項に記載の方法。
【請求項8】
前記予想鍵生成レートの前記情報理論モデルが、前記送信機(1)と前記受信機(2)との間の距離(DAB
)をさらに考慮していることを特徴とする、請求項1から7のいずれか一項に記載の方法。
【請求項9】
前記予想鍵生成レートの前記情報理論モデルが、前記送信機(1)と前記盗聴者(5)との間の距離(DAE
)をさらに考慮していることを特徴とする、請求項1から7のいずれか一項に記載の方法。
【請求項10】
前記予想鍵生成レートの前記情報理論モデルが、前記通信チャネル内の固有損失(3.1)をさらに考慮していることを特徴とする、請求項1から7のいずれか一項に記載の方法。
【請求項11】
前記方法が、前記送信された電磁パルス(6)の第1のシーケンスの事後選択を、とりわけホモダイン検出又は強度検出を用いて、前記受信機(2)で実行するステップであって、ここで、最小絶対値(Θ)を超えない直交成分(q)を有する、検出された前記電磁パルスに対応するビットが、不確定ビットとして破棄されている、ステップをさらに含むことを特徴とする、請求項1から10のいずれか一項に記載の方法。
【請求項12】
前記直交成分の前記最小絶対値(Θ)が、前記予想鍵生成レート(Lf/L)を、前記少なくとも1つの暗号化パラメータに関して最大化することによって求められている、請求項11に記載の方法。
【請求項13】
前記直交成分の前記最小絶対値(Θ)が、前記予想鍵生成レート(Lf/L)を、検出された前記電磁パルスの前記直交成分(q)に対応する測定パラメータに関して最大化することによって求められている、請求項11に記載の方法。
【請求項14】
前記方法が、前記送信された電磁パルス(6)の第1のシーケンスの少なくとも一部について、とりわけホモダイン検出結果に基づいて、前記受信機(2)での復号誤り率を推定するステップをさらに含むことを特徴とする、請求項1から13のいずれか一項に記載の方法。
【請求項15】
前記方法が、誤り訂正を実行するステップであって、誤り訂正符号のブロックサイズが、推定された前記復号誤り率に基づいて決定されるステップをさらに含むことを特徴とする、請求項14に記載の方法。
【請求項16】
前記誤り訂正符号が、低密度パリティ検査符号(LDPC)を含むことを特徴とする、請求項15に記載の方法。
【請求項17】
前記誤り訂正が適応的に実行され、ここで、前記検出された電磁パルスの前記シーケンスのサブセットが反復的に誤り訂正されることを特徴とする、請求項15又は16に記載の方法。
【請求項18】
前記誤り訂正が適応的に実行され、ここで、前記検出された電磁パルスの前記シーケンスのサブセットが反復的に誤り訂正され、かつ、新たなサブセットが誤り訂正された時に、前記復号誤り率の推定値が更新されることを特徴とする、請求項15又は16に記載の方法。
【請求項19】
前記誤り訂正が適応的に実行され、ここで、前記検出された電磁パルスの前記シーケンスのサブセットが反復的に誤り訂正され、かつ、新たなサブセットが誤り訂正された時に、前記復号誤り率の推定値が更新され、かつ各繰り返しで使用される前記誤り訂正符号が、適宜適合されることを特徴とする、請求項15又は16に記載の方法。
【請求項20】
前記方法が、前記盗聴者(5)が取得できる情報を排除又は制限するために、とりわけハッシュ関数を用いてプライバシー増幅を実行するステップをさらに含むことを特徴とする、請求項1から19のいずれか一項に記載の方法。
【請求項21】
前記空間的に離隔した増幅器(4)が、コヒーレンス保存光増幅器を含むことを特徴とする、請求項1から20のいずれか一項に記載の方法。
【請求項22】
前記空間的に離隔した増幅器(4)が、インライン型エルビウム・ドープ・ファイバ増幅器(EDFA)を含むことを特徴とする、請求項1から20のいずれか一項に記載の方法。
【請求項23】
前記予想鍵生成レート(Lf/L)を推定するための前記情報理論モデルが、損失が生じている場合に、前記通信チャネル(3)に沿って前記送信機(1)から前記受信機(2)に送信される電磁パルスの状態に対応する密度行列の微視的発展を考慮に入れることを特徴とする、請求項1から22のいずれか一項に記載の方法。
【請求項24】
前記予想鍵生成レート(Lf/L)を推定するための前記情報理論モデルが、増幅が生じている場合に、前記通信チャネル(3)に沿って前記送信機(1)から前記受信機(2)に送信される電磁パルスの状態に対応する密度行列の微視的発展を考慮に入れることを特徴とする、請求項1から22のいずれか一項に記載の方法。
【請求項25】
前記予想鍵生成レート(Lf/L)を推定するための前記情報理論モデルが、事後選択が行われている場合に、前記通信チャネル(3)に沿って前記送信機(1)から前記受信機(2)に送信される電磁パルスの状態に対応する密度行列の微視的発展を考慮に入れることを特徴とする、請求項1から22のいずれか一項に記載の方法。
【請求項26】
前記予想鍵生成レート(Lf/L)を推定するための前記情報理論モデルが、誤り訂正が行われている場合に、前記通信チャネル(3)に沿って前記送信機(1)から前記受信機(2)に送信される電磁パルスの状態に対応する密度行列の微視的発展を考慮に入れることを特徴とする、請求項1から22のいずれか一項に記載の方法。
【請求項27】
請求項1から26のいずれか一項に記載の方法を実施するように構成された手段を備える、通信装置。
【請求項28】
コンピュータによって実行されると、前記コンピュータに請求項1から26のいずれか一項に記載の方法を実行させる命令を含む、コンピュータ可読記憶媒体。
【請求項29】
コンピュータによって実行されると、前記コンピュータに請求項1から26のいずれか一項に記載の方法を実行させる命令を含む、コンピュータプログラム製品。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、セキュアな長距離通信を行うために、送信機と受信機との間で共有される秘密暗号鍵を決定するための方法及び通信装置に関する。
【背景技術】
【0002】
量子鍵配送は、高速でセキュアな通信を実現するために、量子リソースを使用する通信プロトコルのコア要素である。量子鍵配送のセキュリティは、送信機(慣例的にアリスと呼んでいる)から受信機(慣例的にボブと呼んでいる)まで延在する量子通信チャネルに沿った光子量子状態の伝送を、安定的に制御することに依存している。
【0003】
長距離にわたる量子鍵配送は、様々な単一光子源を使用することによって実証されているが、典型的には、鍵交換レートが低いことや、送信機、受信機又は通信チャネルに沿って固有損失及びデコヒーレンスが起こることによる有害な影響、そして慎重に設計された様々な攻撃方式(慣例的にイブと呼んでいる、悪意のある第三者による盗聴)に対する脆弱性の問題を抱えている。
【発明の概要】
【発明が解決しようとする課題】
【0004】
本開示の目的は、そのような制限を克服し、とりわけ長距離にわたり、高い鍵交換レートでのセキュアな通信を有効にする秘密暗号鍵を決定し、かつ配送するための、簡便で実用的な方法及び通信装置を提供することである。
【課題を解決するための手段】
【0005】
この目的は、請求項1、13、14、及び15に記載の方法、通信装置、コンピュータ可読記憶媒体、並びにコンピュータプログラム製品によって達成される。有利な展開形態及び実施形態を、従属請求項及び以下に続く説明に記載している。
【0006】
本開示は、セキュアな長距離通信を行うために、空間的に離隔した増幅器を備える通信チャネルを使用することにより、送信機と受信機との間で共有される秘密暗号鍵を決定するための方法に関する。
【0007】
本方法は、通信チャネルを介して、少なくとも1つの電磁試験パルスを送信機から受信機に送信し、次いで受信機で検出された当該少なくとも1つの電磁試験パルスに基づいて、盗聴者が引き起こした通信チャネル内の信号損失rEを特定するステップを含む。
【0008】
本方法は、秘密共有暗号鍵を確立するために、通信チャネルを介して、空間的に離隔した増幅器を通じて送信機から受信機に電磁パルスの第1のシーケンスを送信するステップをさらに含む。
【0009】
電磁パルスの第1のシーケンスの電磁パルスはそれぞれ、暗号化プロトコルに従ってランダム・ビット・シーケンスのビットに対応している。予想鍵生成レート(Lf/L)を、少なくとも1つの暗号化パラメータに関して、予想鍵生成レート(Lf/L)の情報理論モデルを用いて最大化することにより、当該暗号化プロトコルの少なくとも1つの暗号化パラメータが求められる。特定されたこれらの信号損失rE及び空間的に離隔した増幅器の少なくとも1つの増幅パラメータは、情報理論モデルへの入力パラメータとして考慮される。提案している本方法により、高い鍵生成(又は交換)レート(Lf/L)を有する、セキュアでロバストな(量子)鍵配送を実現することができる。ここで、かつ以下では、鍵生成レートLf/Lは無次元単位で得られてもよく、ここで、Lはランダム・ビット・シーケンス(時間単位の乱数生成レート)の長さであり、また、Lfは、(決定されるべき)秘密共有暗号鍵の長さ(時間単位の最終鍵生成レート)である。比率 Lf/Lは、情報優位性又は正規化された鍵生成レートとも呼ばれ得る。
【0010】
盗聴者が引き起こした通信チャネル内の信号損失rEを特定することにより、盗聴者の活動が監視できるようになり、かつ通信チャネルの物理的制御が有効になる。具体的には、情報理論モデルに基づく最大化によって、少なくとも1つの暗号化パラメータを求めることにより、特定された信号損失rEに基づいて暗号化プロトコルが最適化かつ/又は適合され得、これによって、盗聴者(悪意のある第三者)の存在下であっても、最大鍵交換レートが保証されるようになる。
【0011】
盗聴者が引き起こした通信チャネル内の信号損失rEは、標準的な通信技術に基づいて特定されてもよい。より具体的には、受信機で検出された少なくとも1つの電磁試験パルスを、送信機によって送信された(例えば、認証済み公開古典チャネルを介して)少なくとも1つの電磁試験パルスと比較することにより、総信号損失が特定されてもよい。
【0012】
通信チャネルの固有損失は、例えば測定又はシミュレーションによって把握されていてもよいし、又は事前に特定されてもよい。
【0013】
必要に応じて、当該通信チャネルは、固有損失が(主として)レイリー散乱によって引き起こされるように構成されてもよい。盗聴者が引き起こした信号損失rEは、通信チャネルの総信号損失及び固有損失から特定されてもよい。
【0014】
当該少なくとも1つの電磁試験パルスは、電磁試験パルスのシーケンスを含んでいてもよい。有利には、当該少なくとも1つの電磁試験パルス及び/又は電磁試験パルスのシーケンス内のパルスはそれぞれ、そのパルス強度、パルス位相、パルス長及び/又はパルス形状に関してランダム化されてもよい。
【0015】
場合によっては、当該少なくとも1つの電磁試験パルスのパルス強度(又は平均光子数)は、第1のシーケンス内の各電磁パルスのパルス強度(又は平均光子数)よりも大きい。
【0016】
場合によっては、少なくとも1つの電磁試験パルスのパルス持続時間は、第1のシーケンス内の電磁パルスのパルス持続時間よりも長い。当該第1のシーケンス内のすべての電磁パルスは、同じパルス持続時間を共有する可能性がある。少なくとも1つの電磁試験パルスの定電力又は平均電力は、第1のシーケンス内の電磁パルスの定電力又は平均電力に(略)等しくてもよい。
【0017】
暗号化プロトコルは、電磁パルスの第1のシーケンス内の電磁パルスをそれぞれ、ビット値0又は1を有するビットに割り当てることができる(2進符号化方式)、割り当てルールを含んでいてもよい。好ましくは、個々のビットに対応する第1のシーケンス内の電磁パルスは、(略)非直交である。有利には、第1のシーケンスの各電磁パルスに含まれる平均光子数は、1よりも多い。
【0018】
当該暗号化プロトコルの暗号化モードは、位相暗号化又は強度暗号化に対応してもよい。必要に応じて、当該暗号化プロトコルは、第1のシーケンス内の電磁パルスの位相がランダム・ビット・シーケンスに従って変調される位相暗号化、又は第1のシーケンス内の電磁パルスの強度がランダム・ビット・シーケンスに従って変調される強度暗号化のいずれかに対応している。他の暗号化モードも有効であり、異なる暗号化モードを組み合わせて使用してもよい。
【0019】
位相暗号化が暗号化プロトコルの暗号化モードである場合、ビットは異なる位相を有する電磁パルスへと符号化される。
【0020】
例えば、第1の位相を有する電磁パルスの第1のシーケンス内の電磁パルスはビット値0に割り当てられてもよく、第2の位相を有する電磁パルスの第1のシーケンス内の電磁パルスはビット値1に割り当てられてもよく、ここで、第1の位相は第2の位相と異なっていてもよい。
【0021】
これら第1の位相と第2の位相との(位相)差は、πであってもよい。
【0022】
電磁パルスの第1のシーケンス内の電磁パルスは、同じパルス強度を有するコヒーレント電磁パルスであってもよい。有利には、通信チャネルに長さがあり、かつ/又は2つの増幅器間に距離があることで、コヒーレンスを保存することができる場合、位相暗号化によって誤り率の低下を有効にすることができ、その結果、通信チャネルに沿った情報が確実に、とりわけ高速に伝送される可能性がある。
【0023】
強度暗号化が暗号化プロトコルの暗号化モードである場合、ビットは異なるパルス強度を有する電磁パルスへと符号化される。
【0024】
例えば、第1の強度を有する電磁パルスの第1のシーケンス内の電磁パルスは、ビット値0に割り当てられてもよく、第2の強度を有する電磁パルスの第1のシーケンス内の電磁パルスは、ビット値1に割り当てられてもよく、ここで、第1の強度は第2の強度と異なっていてもよい。
【0025】
これら第1の強度と第2の強度との差は、予め定められていてもよい。
【0026】
電磁パルスの第1のシーケンス内の電磁パルスは、同じ位相を有するコヒーレント電磁パルスであってもよい。強度暗号化は偏光保存に依存するものではないため、長距離通信の場合に有利となり得る。さらに、強度暗号化の場合、受信機における測定ルーチンが簡略化されてもよく、かつ/又は強度検出に基づいてもよい。情報理論モデルに基づく最適化又は最大化によって求められる少なくとも1つの暗号化パラメータは、第1のシーケンス内のコヒーレント電磁パルスの強度に対応してもよく、かつ/又は第1のシーケンス内のコヒーレント電磁パルスにおけるコヒーレント状態の振幅の絶対値γに対応してもよい。
【0027】
強度暗号化の場合、少なくとも1つの暗号化パラメータは、第1の強度、第2の強度、及び/又は第1の強度と第2の強度との差をさらに含んでいてもよい。
【0028】
通信チャネルに沿って送信された電磁パルスの第1のシーケンスを増幅することにより、固有損失及び/又は盗聴者が引き起こした信号損失rEを少なくとも部分的に補償することができる。必要に応じて、複数の増幅器は、通信チャネルの固有損失のみを補償するように構成されていてもよい。これにより、電磁パルスの第1のシーケンスのパルス強度が長距離にわたって保存され得、それによってセキュアな長距離(量子)鍵配送が有効になる。
【0029】
空間的に離隔した複数の増幅器は、通信チャネルに沿ってインラインにかつ/又は等間隔に配置されてもよい。
【0030】
必要に応じて、これらの空間的に離隔した増幅器は、光増幅器に対応するか、又はこれを含む。有利には、当該光増幅器は、コヒーレンス保存光増幅器であってもよい。必要に応じて、空間的に離隔した増幅器は、インライン型エルビウム・ドープ・ファイバ増幅器(Erbium doped fiber amplifier:EDFA)及び/又はラマン増幅器に対応するか、又はこれを含む。付加的に又は代替的に、他の形式の増幅器も同様に使用されてもよい。
【0031】
情報理論モデルへの入力パラメータとして使用される、空間的に離隔した増幅器の少なくとも1つの増幅パラメータは、空間的に離隔した増幅器の数M、及び/又は隣接する2つの増幅器間の距離d、及び/又は増幅率Gを含んでいてもよい。空間的に離隔した増幅器の数は、2よりも多くてもよい(M>2)。
【0032】
送信された電磁パルスの第1のシーケンスは、強度検出又はホモダイン検出を用いて、受信機によって受信かつ/又は測定されてもよい。強度検出は、強度暗号化の場合に用いられてもよい。いくつかの実施形態では、位相暗号化の場合にホモダイン検出が用いられてもよい。必要に応じて、送受信された第1のシーケンス内の電磁パルスの直交成分は、ホモダイン検出又は強度検出を用いて受信機で測定されてもよい。受信された第1のシーケンス内の電磁パルスは、ホモダイン検出又は強度検出の結果を使用して、暗号化プロトコルに従って受信機で復号されてもよい。当該暗号化プロトコルは、認証済み公開古典通信チャネルを使用して、送信機と受信機との間で伝達されてもよい。
【0033】
復号処理に従って、受信された第1のシーケンス内の電磁パルスは、ホモダイン検出又は強度検出を用いて測定された受信電磁パルスの直交成分の値に応じて、ビット値0又は1を有すると特定されてもよい。より具体的には、対応する(復号された)ビット値は、受信された第1のシーケンス内の各電磁パルスに関して、ビット値0及び1に対応する2つの測定演算子、具体的にはビット値0及び1に対応する正演算子値測度(positive operator-valued measure:POVM)の2つの測定演算子の量子力学的期待値を評価することによって求められてもよい。
【0034】
本方法は、事後選択を実行するステップをさらに含んでいてもよい。事後選択は、送受信された電磁パルスの第1のシーケンスのホモダイン検出又は強度検出に基づいて、受信機で実行されてもよい。より具体的には、事後選択は選択基準に基づいてもよい。当該選択基準によれば、最小絶対値Θを超えない直交成分qを有する、送受信された第1のシーケンス内の電磁パルスに対応するビットは、不確定ビットとして破棄されてもよい。送受信された電磁パルスの第1のシーケンスを復号することから取得された、破棄されるビットのビット・シーケンス内の位置は、共有ビット・シーケンスを確立するために、認証済み公開古典チャネルを介して送信機に伝達されてもよい。具体的には、残りの(破棄されない)ビットは、送信機と受信機との間で共有されるビット・シーケンスを表してもよい。
【0035】
好ましくは、事後選択に使用される最小絶対値Θは、信号損失rEに従って求められる。
【0036】
より具体的には、最小絶対値Θは、予想鍵生成レート(Lf/L)を、少なくとも1つの暗号化パラメータに関して、かつ/又は最小絶対値Θに関して最大化することにより、情報理論モデルに基づいて求められ、かつ選択されてもよい。この場合、必要に応じて、暗号化プロトコルのうちの少なくとも1つの暗号化パラメータ、及び事後選択の最小絶対値(Θ)の両方が、予想鍵生成レート(Lf/L)を情報理論モデルに基づいて.最大化することによって求められてもよい(例えば、同時に)。
【0037】
事後選択から得られた共有ビット・シーケンスを使用して、送信機と受信機との間でセキュアな長距離通信を行うための、秘密共有暗号鍵が確立されてもよい。必要に応じて、秘密共有暗号鍵を確立する前に、共有ビット・シーケンスが、以下でさらに述べているように誤り訂正及び/又はプライバシー増幅を施されてもよい。
【0038】
本方法は、誤り訂正を実行するステップをさらに含んでいてもよい。誤り訂正を実行するステップは、事後選択を実行するステップの後に行われてもよい。
【0039】
パリティビットは、ランダム・ビット・シーケンスの一部であってもよく、かつ/又は事後選択の後に取得された共有ビット・シーケンスの一部であってもよい。必要に応じて、パリティビットに対応する電磁パルスは、電磁パルスの第1のシーケンスの一部として送信されてもよい。パリティビットは、ランダム・ビット・シーケンスのブロック(サブセット)に割り当てられてもよい。
【0040】
誤り訂正を実行するステップは、送信された電磁パルスの第1のシーケンスの少なくとも一部について、受信機での復号誤り率を推定するステップを含んでいてもよい。当該復号誤りは、ベイズの定理を用いて推定されてもよい。
【0041】
より具体的には、受信機での復号の結果を所与とした符号語の条件付き確率は、ホモダイン検出又は強度検出を用いて測定される、送信された電磁パルスの直交成分に基づいて推定され、これによって復号誤りが推定されてもよい。
【0042】
付加的に又は代替的に、受信機での復号の結果を所与とした符号語の条件付き確率は、最小絶対値Θに基づいて推定され、これによって復号誤りが推定されてもよい。
【0043】
当該復号誤りはまた、送信された電磁パルスの第1のシーケンスの少なくとも一部から取得され、受信機で復号されたビットを開示することによって推定されてもよい。復号誤りを判定するために使用される、開示された復号ビットは、パリティビットに対応してもよい。
【0044】
より具体的には、当該復号誤りは、送信された電磁パルスの第1のシーケンスの少なくとも一部から取得された復号ビットを、例えば認証済み公開古典チャネルを使用することにより、送信機で取得又は生成されたランダム・ビット・シーケンスと比較することで推定されてもよい。このように、事後選択の後に取得された共有ビット・シーケンス及び/又はパリティビットの一部を(公開)開示することにより、復号誤りが直接観測されてもよい。
【0045】
(公開)開示された共有ビット・シーケンスの一部は破棄されてもよく、また、共有ビット・シーケンスの残りのビットは、秘密共有暗号鍵を確立するために使用されてもよい。次いで、共有ビット・シーケンスの残りの部分の復号誤りが、ベイズの定理を用いて推定されてもよい。
【0046】
付加的に又は代替的に、電磁パルスの第1のシーケンスの第1のサブセットの第1のパリティビット又はその一部から、第1の誤り情報が取得されてもよい。受信された電磁パルスの第1のシーケンスの第2のサブセットの第2のパリティビット又はその一部から、第2の誤り情報が取得されてもよい。復号誤りは、これら第1のパリティビットと第2のパリティビットとを比較し、かつベイズの定理を用いることによって推定されてもよい。
【0047】
誤り訂正符号は、線形ブロック符号であってもよい。場合によっては、当該誤り訂正符号は低密度パリティ検査符号(low-density parity-check code:LDPC)であってもよい。復号誤りの推定値は、誤り訂正符号への入力として使用されてもよい。必要に応じて、誤り訂正符号のブロックサイズ及び/又は符号化率は、復号誤り率の推定値に基づいて決定され、かつ/又は適合される。必要に応じて、誤り訂正を実行するステップは、送信後に検出された電磁パルスの第1のシーケンスの少なくとも一部を復号することから取得される、事後選択されたビットを誤り訂正するステップを含んでいてもよい。
【0048】
本方法は、盗聴者が取得した共有ビット・シーケンスに関する情報を排除又は制限するために、プライバシー増幅を実行するステップをさらに含んでいてもよい。
【0049】
より具体的には、プライバシー増幅を用いて、送信後に検出された電磁パルスの第1のシーケンスから取得されるビット、並びに/又は復号、事後選択及び/若しくは誤り訂正の後に送信機と受信機との間で共有されるビット・シーケンスに関する盗聴者の情報が、少なくとも部分的に取り除かれてもよい。プライバシー増幅を実行するステップは、ハッシュ関数をマップとして用いることにより、共有ビット・シーケンスから秘密共有暗号鍵を蒸留するステップを含んでいてもよい。
【0050】
必要に応じて、本方法の前述のステップは、反復的かつ/又は連続的に実行されてもよい。本方法の前述のステップで各繰り返し後に取得される共有ビット・シーケンスは、所望の又は所定の長さの秘密共有暗号鍵を確立するために、結合かつ/又は追加されてもよい。当該秘密共有暗号鍵は、送信機と受信機との間でセキュアな長距離通信を行うために使用されてもよい。
【0051】
各繰り返しにおいて、電磁パルスの異なる第1のシーケンス又は電磁パルスの第1のシーケンスの異なるサブセットが、送信機から受信機に送信されてもよい。各繰り返しにおいて、上記でさらに述べたような事後選択、誤り訂正及び/又はプライバシー増幅を実行するステップは、電磁パルスの異なる第1のシーケンス又は電磁パルスの第1のシーケンスの異なるサブセットに対して実行されてもよい。
【0052】
必要に応じて、電磁パルスの第1のシーケンスの第1のサブセット又は電磁パルスの第1のシーケンスの送信後に、電磁パルスの第1のシーケンスの第2のサブセット又は電磁パルスの別の第1のシーケンスが、送信機から受信機に送信されてもよい。場合によっては、誤り訂正は適応的に実行されてもよい。第1の繰り返しでは、受信された電磁パルスの第1のシーケンスの第1のサブセットから、復号誤りの第1の推定値が取得されてもよい。受信された電磁パルスの第1のシーケンスの第1のサブセットに対する誤り訂正は、第1の誤り訂正符号に従って実行されてもよい。
【0053】
第1の繰り返しの後に実行される第2の繰り返しでは、第1の繰り返しの後に観測される復号誤り及び/又は誤りの第1の推定値が、第2の誤り訂正符号の誤り推定値への入力として使用されてもよい。第2の誤り訂正符号を使用して、受信された電磁パルスの第1のシーケンスの第2のサブセット又は電磁パルスの別の第1のシーケンスなどが誤り訂正されてもよい。
【0054】
その結果、誤り訂正の効率及び/又は復号誤りの推定値は、各繰り返し後に更新かつ改良され得る。より具体的には、誤り訂正符号のブロックサイズ及び/又は符号化率を、各繰り返しで推定される復号誤りに応じて適合させることにより、誤り訂正が適応的に実行されてもよい。当該適合は、ベイズの定理に基づいて実行されてもよい。
【0055】
予想鍵生成レート(Lf/L)の情報理論モデルは、量子力学的原理に基づいてもよい。より具体的には、情報理論モデルは、送信機、受信機、及び盗聴者に基づいた密度行列のインコヒーレントな発展を記述することができる。当該密度行列は、電磁パルスの第1のシーケンスに含まれる光子の状態に対応してもよい。
【0056】
情報理論モデルによれば、当該密度行列は初期密度行列から最終密度行列まで発展してもよい。初期密度行列は、電磁パルスの第1のシーケンスを受信機に送信する前に、電磁パルスの第1のシーケンスに含まれる光子の状態を記述することができる。場合によっては、当該初期密度行列は、コヒーレント状態及び/又は真空状態の混合(又は擬似的な混合)に対応してもよい。最終密度行列は、送信機から受信機への電磁パルスの第1のシーケンスの送信、事後選択、誤り訂正及び/又はプライバシー増幅の後の、電磁パルスの第1のシーケンスに含まれる光子の状態に対応してもよい。
【0057】
情報理論モデルは、通信チャネル内又は通信チャネルに沿って生じる損失及び増幅の影響を考慮するために、密度行列の正準変換を含んでいてもよい。損失及び/又は増幅を記述する正準変換は、密度行列のインコヒーレントな発展に対応してもよい。場合によっては、正準変換は、情報理論モデルへの入力パラメータとして損失率(T)及び/又は増幅率(G)を含んでいてもよい。
【0058】
場合によっては、損失率(T)及び/又は増幅率(G)は、隣接する2つの増幅器間の距離(d)、送信機と受信機との間の距離(DAB)、及び/又は送信機と盗聴者との間の距離(DAE)を含む。
【0059】
前述のパラメータのいずれかが、情報理論モデルへの入力パラメータを構成してもよい。付加的に又は代替的に、前述のパラメータのいずれかが、情報理論モデルに基づいて、予想鍵生成レート(Lf/L)を最大化することによって求められ、かつ通信装置の最適化されたデバイスパラメータとして使用される最適化パラメータを構成してもよい。このように、本通信装置は、情報理論モデルに基づいて構成されていてもよい。
【0060】
有利には、損失及び/又は増幅を記述する正準変換は、ハミルトニアンに基づいてもよい。このハミルトニアンは、空間的に離隔した増幅器の増幅媒質(物質)と、光・物質相互作用強度(λ)を有する電磁パルス(光)の第1のシーケンスに含まれる光子との間の光・物質相互作用を記述することができる。場合によっては、損失率(T)及び/又は増幅率(G)は、光・物質相互作用強度(λ)を含んでいてもよい。
【0061】
有利には、増幅器ノイズ(例えば、量子ノイズ)の影響及び/又は増幅の有害な影響が、当該ハミルトニアンに基づく情報理論モデルにおいて考慮されてもよい。場合によっては、増幅の有害な影響には、増幅媒質の原子集団の不完全な反転及び/又は通信チャネルのモードと増幅器との間の結合不完全性が含まれていてもよい。
【0062】
暗号化プロトコルの少なくとも1つの暗号化パラメータが、情報理論モデルに基づく最適化によって求められているため、当該少なくとも1つの暗号化パラメータ及び/又は暗号化プロトコルは、情報理論モデルへの入力パラメータのすべて又はいずれか1つに依存してもよい。より具体的には、当該少なくとも1つの暗号化パラメータ及び/又は暗号化プロトコルは、情報理論モデルに基づく最適化手法を用いて、入力パラメータのすべて又はいずれか1つによって求められてもよい。
【0063】
即ち、少なくとも1つの暗号化パラメータ及び暗号化プロトコルはまた、損失及び増幅に関して最適化されてもよく、これにより、通信チャネル、複数の増幅器、及び/又は盗聴者の存在によって設けられるハードウェアの制約に対する現実的な対処が有効になる。
【0064】
情報理論モデルは、信号の一部を傍受しようと試みる盗聴者の影響(ビームスプリッタ攻撃)を考慮するために、ビームスプリッタモデルを含んでいてもよい。
【0065】
当該信号は、電磁パルスの第1のシーケンスに対応してもよい。
【0066】
ビームスプリッタは、入力、第1の出力、及び第2の出力を含んでいてもよい。当該入力は、送信された電磁パルスの第1のシーケンスに対応してもよく、当該送信された電磁パルスの第1のシーケンスは、通信チャネルの少なくとも一部に沿って伝搬していてもよく、かつ/又は損失及び増幅にさらされていてもよい。
【0067】
第1の出力は、盗聴者が傍受する、送信された電磁パルスの第1のシーケンスの一部に対応してもよい。
【0068】
第2の出力は、通信チャネルに沿って受信機までさらに伝搬する、送信された電磁パルスの第1のシーケンスの一部に対応してもよい。
【0069】
これら第1の出力及び第2の出力は、量子もつれであってもよい。
【0070】
これら第1及び第2の出力の強度並びに/又はコヒーレント状態の振幅は、盗聴者が引き起こした特定済み信号損失(rE)に依存してもよい。このようにして、信号損失(rE)は、入力パラメータとして情報理論モデルに導入されてもよい。
【0071】
当該情報理論モデルは、確率モデルを通じて、事後選択、誤り訂正及び/又はプライバシー増幅を実行するステップを最適化かつ/又は考慮することができる。より具体的には、送信機と盗聴者との間で共有される相互情報、及び/又は送信機と受信機との間の相互情報量は、確率モデルに基づいて事後選択、誤り訂正、及び/又はプライバシー増幅を実行するステップが行われる前及び/又は後に、推定かつ/又は最適化されてもよい。
【0072】
情報理論モデルは、ホモダイン検出、強度検出、及び/又は事後選択を考慮するために、量子測定モデルを含んでいてもよい。
【0073】
当該量子測定モデルによれば、ホモダイン検出は、射影測定演算子によって記述されてもよい。より具体的には、ホモダイン検出の量子測定モデルによれば、強度検出及び/又は事後選択は、正演算子値測度(POVM)によって記述されてもよい。ビット値0及び1に対応する正演算子値測度(POVM)の測定演算子は、直交固有状態の射影演算子に関して定義されてもよい。当該測定演算子は、直交成分の最小絶対値(Θ)を含んでいてもよい。このようにして、最小絶対値(Θ)は、情報理論モデルにおいて、入力及び/又は最適化パラメータとして考慮されてもよい。
【0074】
当該情報理論モデルは、予想鍵生成レート(Lf/L)の代数式又は数式を含んでいてもよい。当該代数式又は数式は、損失及び増幅が生じ、かつ事後選択、誤り訂正、及び/又はプライバシー増幅が行われている場合に、通信チャネルを介して送信機から受信機に電磁パルスの第1のシーケンスを送信した後、ランダム・ビット・シーケンスから取得された秘密共有暗号鍵の鍵生成レート(Lf/L)の正確な推定値をもたらすことができる。
【0075】
予想鍵生成レート(Lf/L)を表す代数式又は数式の最適化及び/又は最大化は、最新技術に含まれる標準的な最適化ルーチンを使用して実行され、これにより、例えば、少なくとも1つの暗号化パラメータ及び/又は暗号化プロトコルが求められてもよい。
【0076】
本発明はまた、上記の方法のステップを実行するように構成された、ある装置に関する。本装置は、送信機、受信機、通信チャネル、空間的に離隔した複数の増幅器、及び/又は認証済み公開古典チャネルを備えていてもよい。
【0077】
本通信装置、送信機及び/又は受信機は、電子評価・制御ユニットを備えていてもよい。当該電子評価・制御ユニットは、少なくとも1つの演算部及び/又は少なくとも1つの電子記憶部を含んでいてもよい。当該少なくとも1つの演算部は、プロセッサ、CPU(中央処理装置)、又はGPU(グラフィックス処理装置)のうちの少なくとも1つを含んでいてもよい。
【0078】
送信機は、ランダム・ビット・シーケンスを生成するように構成された、乱数生成器を備えていてもよい。場合によっては、当該乱数生成器は古典的な乱数生成器又は量子乱数生成器であってもよい。必要に応じて、送信機は電磁放射線源を備える。当該電磁放射線源は、電磁パルスの第1のシーケンスを生成するように構成されていてもよく、かつ/又は少なくとも1つの電磁試験パルスを生成するように構成されていてもよい。場合によっては、当該電磁放射線源はレーザ、テラヘルツ放射線源又はマイクロ波放射線源であってもよい。
【0079】
必要に応じて、少なくとも1つの受信機は、検出器及び測定ユニットを備えていてもよい。これらの検出器及び測定ユニットは、送信された電磁パルスの第1のシーケンス及び/若しくは少なくとも1つの電磁試験パルスの強度並びに/又は位相を検出かつ測定するように構成されていてもよい。
【0080】
通信チャネルは、伝送線路及び/又は光ファイバを含んでいてもよい。好ましくは、当該通信チャネルは、複数の伝送線路及び/又は光ファイバを含む。空間的に離隔した複数の増幅器は、当該通信チャネル内にインラインに組み込まれ、かつ/又は配置されてもよい。
【0081】
送信機は、通信チャネルを介して、少なくとも1つの電磁試験パルスを受信機に送信するように構成されていてもよい。受信機は、当該送信機によって送信される少なくとも1つの電磁試験パルスを検出するように構成されていてもよい。
【0082】
電子評価・制御ユニットは、受信機で検出された少なくとも1つの電磁試験パルスに基づいて、盗聴者が引き起こした通信チャネル内の信号損失rEを特定するように構成されていてもよい。
【0083】
電子評価・制御ユニットは、予想鍵生成レート(Lf/L)を、少なくとも1つの暗号化パラメータに関して、予想鍵生成レート(Lf/L)の情報理論モデルを用いて最大化することにより、暗号化プロトコルの少なくとも1つの暗号化パラメータを求めるようにさらに構成されていてもよく、ここで特定される信号損失(rE)及び空間的に離隔した増幅器の少なくとも1つの増幅パラメータは、情報理論モデルへの入力パラメータとして考慮される。
【0084】
当該情報理論モデルは、予想鍵生成レート(Lf/L)の代数式又は数式を含んでいてもよく、この代数式又は数式は、少なくとも1つの電子記憶部に記憶される。
【0085】
送信機は、電磁パルスの第1のシーケンス内の各電磁パルスがそれぞれ、暗号化プロトコルに従ってランダム・ビット・シーケンスのビットに対応するように、当該電磁パルスの第1のシーケンスを生成するように構成されていてもよい。
【0086】
当該送信機は、電磁パルスの第1のシーケンスを、通信チャネルを介して受信機に送信するようにさらに構成されていてもよい。
【0087】
電磁パルスを送信するステップは、電磁放射線源によって電磁パルスを放射するステップ、及び/又は電磁放射線源を通信チャネルと結合する結合手段を使用して、通信チャネルに沿って電磁パルスを送信するステップを含んでいてもよい。したがって、送信機は、ランダム・ビット・シーケンスに含まれる生鍵を暗号化(符号化)して配送するための、物理的手段を提供している。
【0088】
少なくとも1つの認証済み公開古典チャネルは、例えば、事後選択、誤り訂正、及び/又はプライバシー増幅のステップを実行するために、少なくとも1つの受信機から少なくとも1つの送信機に、かつ/又はその逆も同様に、フィードバック情報を送信するように構成されていてもよい。
【0089】
本発明はまた、コンピュータによって実行されると、当該コンピュータに上記でさらに述べた方法を実行させる命令を含む、コンピュータプログラム製品に関する。本発明はまた、コンピュータによって実行されると、当該コンピュータに上記でさらに述べた方法を実行させる命令を含む、コンピュータ可読記憶媒体に関する。当該コンピュータプログラム製品は、コンピュータ可読記憶媒体に記憶され得る。当該コンピュータ可読記憶媒体は、通信装置、送信機及び/又は受信機に含まれ得る。
【0090】
要約すると、セキュアな長距離通信を実現するために、送信機と受信機との間で共有される秘密暗号鍵を決定するための簡便で実用的な方法、通信装置、コンピュータプログラム及びコンピュータ可読記憶媒体を提案している。
【発明の効果】
【0091】
提案している本発明により、高い鍵交換レートでの効率的な(量子)鍵配送が、4,000キロメートルを超える、好ましくは20,000キロメートルを超える長距離にわたって実現され得る。
【0092】
【図面の簡単な説明】
【0093】
【図1】一実施形態による、通信構成を示す概略図である。
【図2】一実施形態による通信構成において、複数の損失チャネル又は増幅チャネルが、一対の損失チャネル及び増幅チャネルまでどのように低減され得るかを概略的に示す図である。
【図3】一実施形態による通信構成における、量子状態の光位相図を概略的に示す図である。
【図4】一実施形態による通信構成において、ボブが使用する量子測定値を示す概略図である。
【図5】一実施形態による通信プロトコルに対して、イブが使用するビームスプリッタ攻撃を概略的に示す図である。
【図6】一実施形態による通信構成における増幅器間の空間距離の個々の値に対して得られた、暗号鍵生成レートの結果を示す図である。
【図7】一実施形態による通信構成におけるアリスとボブとの間の空間距離の個々の値に対して得られた、暗号鍵生成レートの結果を示す図である。
【図8】一実施形態による方法ステップを示す概略フロー図である。
【図9】一実施形態による、ある通信装置を示す概略図である。
【発明を実施するための形態】
【0094】
ここで、量子チャネル3及び古典的情報リンク7によって接続された一対の通信機1、2(慣例的に、それぞれアリス1及びボブ2と呼んでいる)が量子技術を用いて、これらの通信機1、2の間で暗号鍵を共有しており、この暗号鍵をめぐって、盗聴者5(慣例的にイブ5と呼んでいる)が量子チャネル3及び/又は古典的情報リンク7を盗聴してはいるが、情報を(ほとんど)一切取得することができないという通信シナリオにおいて、典型的な実施形態を参照しながら本開示の技術を説明する。そのような暗号鍵は、その後機密情報を交換するための暗号化されたワンタイムパッドとして、アリス1とボブ2とによって使用され得る。
【0095】
本開示の実施形態は、アリス1とボブ2とが大きな空間距離で離隔され、これによって量子チャネル3で損失が生じる可能性があり、また量子チャネル3を介してアリス1とボブ2との間で交換される通信信号を増幅する必要があり得る状態において、そのような暗号鍵の共有を有効にするための安定したセキュアな技術に特に重点を置いている。
【0096】
1 方法の説明
本発明は、伝送線路の信号増幅及び物理的制御に基づく長距離量子鍵配送(quantum key distribution:QKD)のための方法を提案している。基本的な通信構成が、図1に概略的に示されている。
本発明は、伝送線路の信号増幅及び物理的制御に基づく長距離量子鍵配送(quantum key distribution:QKD)のための方法を提案している。基本的な通信構成が、図1に概略的に示されている。
【0097】
図1の通信構成における典型的な通信プロトコルでは、アリス1は、ランダム・ビット・ストリングをコヒーレントパルス6のシーケンスに符号化し、これを、伝送線路3を介してボブ2に送信する。当該パルスは、エルビウム・ドープ・ファイバ増幅器4(1つ又は複数のEDFA)のシーケンスを通過し、そこで結果として得られる信号は、ボブ2によって受信かつ測定される。さらに、電磁パルスの位相コヒーレンスを保持する他の形式の光増幅器4が使用されてもよい。
【0098】
盗聴者5(イブ)は、例えば、伝送光ファイバを湾曲させて、透過光モードを検出することにより、信号の一部を傍受することができる。ただし、アリス1とボブ2とは、線路3における損失を監視しているため、盗聴者イブ5によって盗聴された信号の割合rEを常時把握している。イブ5が引き起こして悪用したことによる正確な損失を、アリス1及びボブ2が特定できるという点が重要である。この損失の把握により、アリス1及びボブ2による、最も効率的なビット暗号化並びに測定方式の採用が有効になり、これは即ち、rEに応じて、イブ5に対する情報優位性の面から最適である特定の信号強度値をアリス1が選択し、これに協調して、自身の測定ルーチンをボブ2が調整することを意味している。このことは、とりわけ事後選択を行う面からは、認可された当事者に別の効力をもたらし、これは即ち、ランダム・ビット・ストリングを送受信した後、アリス1及びボブ2が、認証済み公開古典チャネル7を使用して情報の照合(イブ5に対する情報優位性を高める)及びプライバシー増幅を実行し、その際、暗号化及び測定時に最適なパラメータを使用することで、これらの処理により、それほど多くのビットを犠牲にすることなく、イブ5が所有する情報を取り除けるようになることを意味している。
【0099】
この実施形態の方法の背後にある2つの主要な概念は、(i)インライン型EDFA 4のカスケードによって増幅される非直交コヒーレントパルス6に、ランダム・ビットを符号化することで、長距離伝送を実現すること、及び(ii)アリス1及びボブ2が、盗聴者5(イブ)によって盗聴された信号の正確な割合を特定し、この割合を線路内の自然損失(主としてレイリー散乱によって引き起こされる)と区別することができる点にある。アリス1及びボブ2は、損失に関して把握していることを利用してイブ5に対する情報優位性を正確に推定し、これによりパルスの強度を選択し、測定ルーチンを採用し、かつ最も効率的な方法で事後選択を実行することができ、その際、イブ5に対し、最終共有鍵に関する情報を(ほとんど)一切残さない。
【0100】
当該通信プロトコルは、以下のステップで進んでもよい。
【0101】
0.初期準備。既存の技術では、高精度で損失を特定し、局所的な損失(イブ5が引き起こした可能性のある)を、線路3全体にわたり均一に生じる、主としてレイリー散乱及びラマン散乱によって引き起こされる固有の自然損失と区別することができる。初期の設備設定の一部として、アリス1及びボブ2は、イブ5が引き起こした可能性がない伝送線路3内の自然損失r0を特定する。ボブ1及びアリス2は、認証済み古典通信チャネル7を介してr0の値を共有する。
【0102】
1.アリス1及びボブ2は、試験パルスを送信することにより、通信チャネル3内の総信号損失rtを特定する(セクション5を参照のこと)。当該電磁試験パルスは、通信チャネル3を介してアリス1からボブ2に送信される。その後、盗聴者5が引き起こした信号損失rEを、固有の信号損失r0及び総信号損失rtから求める。ボブ1及びアリス2は、認証済み古典通信チャネル7を介してrEの値を共有する。
【0103】
例えば、増幅器4を含まない通信チャネル3の区間を、ここで検討する。当該区間の固有損失がr0であり、イブ5が当該信号における割合rEを傍受した場合、総損失rtは式(1-rt)=(1-rE)(1-r0)から特定される。さらに以下では、通信チャネル3に沿った1箇所で発生するイブ5によるビームスプリッタ攻撃について述べる。以下にさらに示す提案中の本方法及び本発明者らによる分析は、イブ5が複数箇所で通信チャネル3に侵入する場合に対しても一般化されている。
【0104】
2.アリス1は、物理乱数生成器(場合により量子)を使用して、長さLのビット・シーケンスRを生成する。
【0105】
3.アリス1はRを一連のLコヒーレント光パルスに符号化し、これを、通信チャネル3を介してボブ2に送信する。一連のLコヒーレント光パルスは、電磁パルス6の第1のシーケンスに対応している。ビット0及び1は、コヒーレント状態γ0=γ及びγ1=-γによってそれぞれ定義され、その際、一般性を失うことなく、
と仮定し、γの値は、rEの既知の具体的な値が付与された場合に最適に選択される。これは、アリス1が、チャネル3内の損失に関して、最大鍵生成速度に対応する、そのようなコヒーレント状態を使用することを意味する。パルスの強度±γは、平均光子数によって以下の(1)の通りに求められる。
【数1】
【0106】
<n>=|γ|2 (1)
【0107】
上記の暗号化プロトコルによれば、暗号化モードは位相暗号化であり、少なくとも1つの暗号化パラメータは、コヒーレント状態の振幅γに対応している。当該コヒーレント状態の振幅γの値は、情報理論モデルに基づいて、鍵生成レートLf/Lを最大化することによって最適に選択される。
【0108】
4.信号は、光線路(通信チャネル3)全体に沿って等距離に設置された、EDFA 4のカスケードによって増幅される。増幅器4はそれぞれ、増幅される信号強度が初期の信号強度と等しくなるように、その損失を補償する。コヒーレントパルスが増幅器4を通過すると、その状態が混合状態になる。ボブ2は当該信号を受信してホモダイン測定を実行し、そのパラメータはrEの既知の値によって再度特定される。
【0109】
5.アリス1及びボブ2は、情報の照合を(事後選択)を適用する。ボブ2の測定値のうちの一部は不確定結果を有するため、これに対応するビットを破棄する必要がある。当該ビットを破棄するために、ボブ2は、認証済み公開古典チャネル7を介して無効ビットの位置をアリス1に公開する。
【0110】
6.アリス1及びボブ2は誤り率を推定して、誤り訂正処理を実行する。
【0111】
7.アリス1及びボブ2は、プライバシー増幅を実行する。アリス1及びボブ2は、特別なプロトコルを用いてより短い鍵を生成するが、これについてイブ5は情報を一切有しない(又は無視できる程度に少ない)。ここでも、アリス1及びボブ2は、認証済み公開古典チャネル7を使用する必要があり得る。
【0112】
8.アリス1及びボブ2は、共有鍵の長さが適切になるまで、ステップ1~7を繰り返し実行する。本方法のステップについてより詳述する前に、電磁パルス6の第1のシーケンスに対応する信号が量子化され、光子のシーケンスと見なされ得ることを強調しておく。ただし、光子の離散統計により、信号の一部を測定することから情報を抽出するイブ5の能力に大きな制限が課される。具体的には、初期信号が平均でN=<n>=|γ|2の光子を含み、局所的な漏洩が透過率rEによって定量化されている場合、nE=NrEの光子を含む信号のごく一部のみがイブ5に到達する。コヒーレントな信号状態の場合、光子数の変動はポアソン統計
に従う。したがって、イブ5の光子数の相対変動は、
で与えられる。光子数の変動が大きい場合、イブ5が受信した電磁パルスを区別して、傍受した信号を解読することが困難になる。これに対して、ボブ2が、変動が小さいnBの光子、即ちδnB≪nBを含む電磁パルスを得た場合、シングルショット測定であっても、受信された信号がビット値0又は1に相当するかどうかをボブ2が確実に証明できる確率が高くなる。したがって、信号損失rEの値を特定し、情報理論モデルに基づいて、特定された信号損失rEによる少なくとも1つの暗号化パラメータを表すコヒーレント状態の振幅γを最適に選択することにより、イブ5は受信した電磁パルスを効率的に区別することができなくなる一方、ボブ2は、受信された電磁パルスを最大鍵交換レートで効率的に復号できることが確実になる。その結果、伝送線路3の物理的制御に基づいて、セキュアで効率的な量子鍵配送の方法が提供される。
【数2】
【数3】
【0113】
2 信号増幅
本セクションでは、信号増幅の物理過程をより詳細に扱う。このために、まずP関数表現に基づくフレームワークを導入し、好適な増幅過程の下で信号状態がどのように変化するかを示す。次に、チャネル3内の関連損失を伴うドープ・ファイバにおける増幅の実際的事例を検討する。さらに、増幅器4のカスケードを1台の有効増幅器まで理論的に削減できることも分かっており、盗聴者5に対する正規ユーザの情報優位性を分析するために、この形式的特性をこの後のセクションでも使用する。
本セクションでは、信号増幅の物理過程をより詳細に扱う。このために、まずP関数表現に基づくフレームワークを導入し、好適な増幅過程の下で信号状態がどのように変化するかを示す。次に、チャネル3内の関連損失を伴うドープ・ファイバにおける増幅の実際的事例を検討する。さらに、増幅器4のカスケードを1台の有効増幅器まで理論的に削減できることも分かっており、盗聴者5に対する正規ユーザの情報優位性を分析するために、この形式的特性をこの後のセクションでも使用する。
【0114】
2.1 P関数及び増幅下でのその変化
本発明者らの理論的なフレームワークについて紹介する。ボソン演算子
及び
がフォック空間で作用する、単一光子モードを検討する。ボソンモードの状態に対する増幅の効果を理解するために、後者のP関数表現を使用することが最も好都合である。そのような表現により、コヒーレント状態の擬似的な混合として、次の(2)のように、任意の密度演算子を記述することができ、
ここで、d2α≡dRe(α)dIm(α)となり、擬確率分布P(α)は必ずしも正とは限らない。密度行列
によって記述される所与の状態について、P関数では次式(3)のように記述することができ、
ここで、
となる。さらなる詳細については、W.Vogel、D.G.Welsch、S.Wallentowitzによる「Quantum Optics:An Introduction」、ワイリー誌、2001年で確認することができる。
本発明者らの理論的なフレームワークについて紹介する。ボソン演算子
【数4】
【数5】
【数6】
【数7】
【数8】
【数9】
【0115】
位相増幅は、次式(5)で与えられる量子チャネルによって記述され、
ここで、gは増幅器を特徴付ける相互作用パラメータであり、G=cosh2(g)は、入力信号の強度が増幅される係数であり(次式から明示的に分かるように)、消滅演算子
は、真空状態で始まる副モードに対応している。チャネルの明示的なクラウス表現は、次式(6)のように記述することができ、
ここで
となり、これについては、例えばP.Sekatskiらによる「Cloning entangled photons to scales one can see」、フィジカル・レビューA誌第82巻第5号、2010年11月 を参照されたい。
【数10】
【数11】
【数12】
【数13】
【0116】
ある状態のP関数が増幅過程の下でどのように変化するかを示すために、入力信号が純粋なコヒーレント状態|β><β|にあり、対応する初期のP関数Pi(α)=δ(α-β)(複素数上のデルタ関数)を有する単純な状況をここで検討する。増幅後、P関数は、次式(7)の通りになり、
【数14】
【0117】
その際、以下の(8)に注意すると、
【数15】
【0118】
次式(9)の通りになるのが容易に分かる。
【0119】
【数16】
【0120】
換言すれば、当該出力状態は、
を中心とする正規分布状態の混合であり、分布の幅は
である。
【数17】
【数18】
【0121】
2.2 ドープ・ファイバにおける増幅と損失
エルビウム(Er)/イッテルビウム(Yt)ドープ・ファイバでは、光子モードは反転原子媒質を伝搬する。媒質を反転させたままにするために、異なる周波数のシードレーザがファイバ内で信号の光子モードと共伝搬し、次いで波長分割多重化(wavelength-division multiplexing:WDM)によって当該出力においてフィルタリングされる。z位置の反転原子と伝搬光照射野モード
との間の相互作用は、次式(10)のハミルトニアンによって(定数因子まで)得られ、
エルビウム(Er)/イッテルビウム(Yt)ドープ・ファイバでは、光子モードは反転原子媒質を伝搬する。媒質を反転させたままにするために、異なる周波数のシードレーザがファイバ内で信号の光子モードと共伝搬し、次いで波長分割多重化(wavelength-division multiplexing:WDM)によって当該出力においてフィルタリングされる。z位置の反転原子と伝搬光照射野モード
【数19】
【数20】
【0122】
ここで、
は、これらの原子のうちの1つの全反射に対応している。したがって、EDFAを介した伝播後の信号モードの展開は、次のサブセクションで示すように、単一の増幅チャネルまで効果的に低減させることができる、極小位相増幅の構成によって決まる。
【数21】
【0123】
実際には、EDFAの性能には、付加される量子ノイズの増幅限界に加えて出現する、技術的限界がある。これらの限界は、主として以下の2つの要因によって生じ、これらは即ち、
(i)当該原子集団が、媒質全体を通じて完全には反転していない可能性があること、及び
(ii)光モードとEDFA又は光ファイバとの間の結合が不完全であることである。
(i)当該原子集団が、媒質全体を通じて完全には反転していない可能性があること、及び
(ii)光モードとEDFA又は光ファイバとの間の結合が不完全であることである。
【0124】
これらのメカニズムの両方を、B.Sanguinettiらによる「Quantum cloning for absolute radiometry」、フィジカル・レビュー・レター誌、第105巻第8号、2010年8月によって示されているように、増幅前の状態に作用する損失チャネル3.1として考慮に入れることができる。
【0125】
線路3内で生じ得るすべての損失を記述する損失チャネル3.1を、ここで導入する。式(8)は、ハイゼンベルク描像における消滅演算子に対する増幅器の作用を記述している。同様に、損失に関連した正準変換を、次式(11)の通りに記述することができる。
【0126】
【数22】
【0127】
ここで、λは相互作用パラメータであり、Tは送信信号の割合である。消滅演算子
は、損失光子が至る初期真空モードに対応しており、
となる。
【数23】
【数24】
【0128】
2.3 増幅器と損失とによる構成
本発明者らによる暗号化方式では、増幅を用いて、損失が生じた後の光信号を回復させている。長距離QKDでは増幅器4のカスケードを必要とし、この場合、信号展開は、複数の一連の損失チャネル3.1及び増幅チャネル4によって決まる。
本発明者らによる暗号化方式では、増幅を用いて、損失が生じた後の光信号を回復させている。長距離QKDでは増幅器4のカスケードを必要とし、この場合、信号展開は、複数の一連の損失チャネル3.1及び増幅チャネル4によって決まる。
【0129】
本セクションでは、そのような連続が生じても、これらが1つの損失チャネル3.1と1つの増幅チャネル4との構成まで数学的に低減され得ることを証明している。本発明者らは、本発明者らのプロトコルの情報分析を行うために、この単純な式表現を以後採用する。
【0130】
図2は、(a)2つの損失チャネル3.1又は増幅チャネル4が、どのようにして1つまで低減され得るか、(b)損失チャネル3.1及び増幅チャネル4が、どのようにして効果的に再構成され得るか、及び(c)一連の損失3.1及び増幅器4が、どのようにして一組の損失3.1及び増幅4まで低減され得るかをグラフで示したものである。
【0131】
提言1.2つの損失チャネル又は増幅チャネルは1つまで低減可能
まず、2つの損失チャネル3.1又は増幅チャネル4が1つまで効果的に低減され得ることが分かっており、これについては図2を参照されたい。次式(12)のように、結果として生じる2つの損失チャネル3.1の場合をここで検討し、
ここで、本発明者らは演算子を以下の(13)のように定義し、
まず、2つの損失チャネル3.1又は増幅チャネル4が1つまで効果的に低減され得ることが分かっており、これについては図2を参照されたい。次式(12)のように、結果として生じる2つの損失チャネル3.1の場合をここで検討し、
【数25】
【数26】
【0132】
この演算子は真空状態に作用して、交換関係式
を満たすものである。したがって、2つのチャネルを1つの有効チャネルとする式で、以下の(14)のように記述することができ、
増幅器4にも同じ推論を、以下の(15)の通りに適用することができる。
【数27】
【数28】
【0133】
【数29】
【0134】
提言2.損失チャネルと増幅チャネルとを効果的に再構成可能
増幅チャネル4とそれに続く損失チャネル3.1との構成が、逆の順序で作用する一組の特定の損失チャネル3.1及び増幅チャネル4と数学的に置き換えられ得ることが分かっており、これについては図2の(b)を参照されたい。次式(16)のように、増幅とそれに続く損失とに対応する変換をここで検討する。
増幅チャネル4とそれに続く損失チャネル3.1との構成が、逆の順序で作用する一組の特定の損失チャネル3.1及び増幅チャネル4と数学的に置き換えられ得ることが分かっており、これについては図2の(b)を参照されたい。次式(16)のように、増幅とそれに続く損失とに対応する変換をここで検討する。
【0135】
【数30】
【0136】
逆の順序の場合、次式(17)の通りになる。
【0137】
【数31】
【0138】
その場合、次式(18)のように、2つの変換が同一になるのが容易に分かる。
【0139】
【数32】
【0140】
換言すれば、パラメータがこれらの関係式に従って修正されることを条件として、2つの形式のチャネルが「可換」となる。具体的には、上記の式のパラメータは、常に物理的に意味のあるG≧1,0≦T≦1となり、これは即ち、損失と増幅とを、損失の後に増幅が続く構成の式で随時記述できることを意味している(その逆は成立しない)。
【0141】
提言3.一連の損失及び増幅器は、一組の損失及び増幅まで低減され得る。
最終的に、一連の損失チャネル3.1及び増幅チャネル4が、一組の損失及び増幅として数学的に記述され得るということが明らかであり、これについては図2(c)を参照されたい。次式(19)の変換をここで検討し、
これは、一連の同じM個の損失チャネル及び増幅チャネル4に対応しており、本発明者らは、これに対する単純な式表現を求めたいと望んでいる。提言2によれば、すべての損失を当該構成の右端に効果的に移動させることができ、これは即ち、すべての損失が増幅前に作用するように、チャネルを置き換えることを意味する。伝送確率T(i)を有する損失チャネル3.1が増幅率G(i)を有する増幅器4の前に移動するたびに、パラメータは式(18)に従って変換され、以下の(20)の通りになる。
最終的に、一連の損失チャネル3.1及び増幅チャネル4が、一組の損失及び増幅として数学的に記述され得るということが明らかであり、これについては図2(c)を参照されたい。次式(19)の変換をここで検討し、
【数33】
【0142】
【数34】
【0143】
本発明者らのシーケンスでは、すべての隣接損失を増幅器とペアで転置することができる(第1の増幅器と第2の損失とから開始)。これをM-1回繰り返した後、提言1を念頭に置くと、次式(21)の通りになり、
【数35】
【0144】
ここで、
となり、これは即ち、一連の損失及び増幅器が、伝送確率T。の損失チャネル3.1と、その後に続く増幅率G。を有する増幅器4とに等しいことを意味している。
【数36】
【0145】
ここで、値μ≡G(i)T(i)=GTを、置換によって変更できないことに留意されたい。ここで、次式(23)を定義し、
F(i)=(G(i)-1)T(i)+1 (23)
F(i)=(G(i)-1)T(i)+1 (23)
【0146】
その際、以下の(24)となることに注意すると、
【数37】
【0147】
以下の(25)、
及び(26)のように記述することができる。
【数38】
【0148】
【数39】
【0149】
ここで、漸化式を解くことにより、G。とT。との明示式を求める。以下の関係式(27)を通じて、An及びBnを定義し、
次いで
が得られ、式(27)及び式(28)からBn+1=Anとなり、かつ
An+1=(μ+1)An-μBn=(μ+1)An-μAn-1 (29)
となり、この式の解は、次式(30)で得られることが分かっており、
An=c1+c2μn (30)
ここで、c1とc2とは、F0=(G-1)T+1によって求められる定数であり、A1=(G-1)T+1及びA0=1を採用して、次式(31)を得ている。
【数40】
【数41】
An+1=(μ+1)An-μBn=(μ+1)An-μAn-1 (29)
となり、この式の解は、次式(30)で得られることが分かっており、
An=c1+c2μn (30)
ここで、c1とc2とは、F0=(G-1)T+1によって求められる定数であり、A1=(G-1)T+1及びA0=1を採用して、次式(31)を得ている。
【0150】
【数42】
【0151】
とりわけ、最終式に現れる積
は比較的単純な次式(32)の通りになり、
かつ次式(33)を得ている。
【数43】
【数44】
【0152】
【数45】
【0153】
TG=1の場合は、送信される信号の平均強度が保存されたままとなる(ノイズの寄与があるため、総出力強度とは異なる)ため、極めて興味深い。限界G→1/Tでは、次式(34)を得ている。
【0154】
【数46】
【0155】
3 伝送線路の制御
盗聴者5の活動を監視するために、アリス1は、適切な間隔で特別な試験パルス(単一の又は多数の場合があり、以下の説明を参照のこと)を送信し、ボブ2とこれらの強度を照合してもよい。これらの試験パルスは多数の光子を含む必要があるが、ボブ2の検出器2.2が損傷するほどにすべきではない。対応する散乱行列を生成かつ分析することにより、アリス1及びボブ2はチャネル3内の損失を特定することができる。これらの損失を、認可された当事者が、イブ5が引き起こして悪用しているものと、そうでないものとに分類することができるという点が重要である。
盗聴者5の活動を監視するために、アリス1は、適切な間隔で特別な試験パルス(単一の又は多数の場合があり、以下の説明を参照のこと)を送信し、ボブ2とこれらの強度を照合してもよい。これらの試験パルスは多数の光子を含む必要があるが、ボブ2の検出器2.2が損傷するほどにすべきではない。対応する散乱行列を生成かつ分析することにより、アリス1及びボブ2はチャネル3内の損失を特定することができる。これらの損失を、認可された当事者が、イブ5が引き起こして悪用しているものと、そうでないものとに分類することができるという点が重要である。
【0156】
伝送線路3(光ファイバ)が適切に設置されている、即ち、著しい屈曲部や粗い接合部がないと仮定している。その場合、線路内の固有の自然損失の大部分は、レイリー散乱に起因して生じる。このような損失は、線路全体にわたり分散されている。したがって、線路3の相当な部分をカバーするアンテナを有しない限り、イブ5は分散された信号を効果的に捕捉することができないばかりか、そのようなアンテナを秘匿的に構築することは、ほとんど実現不可能である。
【0157】
盗聴者5に残された唯一の選択肢は、意図的に信号の一部を収奪すること、即ち、自然損失とは別に損失を生じさせて(即ち、光ファイバを意図的に屈曲させることによって)、これを悪用することである。アリス1及びボブ2は、そのような人工的な損失を特定かつ測定することができる。そのためには、アリス1及びボブ2はまず、盗聴者5の活動に関連しない損失の大きさを判定する必要があり、これは即ち、当該プロトコルの開始前にホールライン全体にわたり均一に現れる損失を測定することによって、行われ得る。その後、アリス1及びボブ2は、イブ5が傍受する可能性のある信号において、新たに出現した局所的な漏洩(割合rEを有する)を正確に特定することができる。こうした把握により、最も効率的な暗号化及び測定ルーチンが確実に実行され、次いで事後選択処理が決定される。
【0158】
本発明者らは、プロトコルの効率を改善できるようになる、以下の損失検出方法を提案する。
【0159】
τSを信号パルスの長さとし、τTを試験パルスのシーケンスの全長(試験パルスは完全に信号パルスのように見え得るが、それらのシーケンスは1つの信号パルスよりもはるかに多くの光子を含む必要がある)としている。両形式のパルスは、同じ一定の電力、例えばP=20mWによって特徴付けることができるが、τTはτSよりもはるかに大きくなければならず、例えばτT=1msであり、τS=1nsである。試験パルス内の平均光子数は
であり、ここで、νは光周波数である。ボブ2の側の測定誤りδnTは、以下の2つの主要な寄与を有し、これらは即ち、
1.光のポアソン統計
による検出誤りと、
2.パルス増幅による誤り
(GM≫1である場合)であり、ここで、Gは単一の増幅器4の増幅率であり、Mは増幅器4の総数である。隣接する2つの増幅器4間の距離がd=50kmであり、アリス1とボブ2との間の距離がDAB=10000kmである場合、M=200となり、かつG=10となり、この場合
となる。
【数47】
1.光のポアソン統計
【数48】
2.パルス増幅による誤り
【数49】
【数50】
【0160】
したがって、δnTは
によって決まる。当該試験パルスにより、大きさ
の漏洩量を検出することができる。反射信号に対する同様の制御及び分析は、アリス1の側で実行する必要がある。
【数51】
【数52】
【0161】
テスト手順の他の実施可能性として、以下の2つが挙げられる。
【0162】
1.単一のパルス。アリス1は、単一の試験パルスを送信し、そのパラメータはランダムに選択される。ここでのパルスの生成は、予備ランダム・ビット・シーケンスを生成し、それをパルスのランダム強度、ランダム位相(例えば、0~π)、ランダム長さ(例えば、1~106ns)及びランダム形状に変換することを意味している。試験パルスを測定した後、ボブ2はアリス1と共にそのパラメータを検証し、次いで、ボブ2及びアリス1はチャネル3内の損失を特定する。
【0163】
2.パルスのシーケンス。アリス1は、予備ランダム・シーケンスを符号化する試験パルスのシーケンスを送信する。当該送信は、予備ランダム・シーケンスを生成し、それをパルスのシーケンス内で暗号化すること(例えば、古典的な強度に合わせて調整された強度暗号化又は位相暗号化を用いて)を含む。ボブ2はこれらのパルスを測定し、アリス1と共に符号化されたメッセージを検証した後に、それらの損失を特定する。
【0164】
4 測定方式
光信号の状態は、以下の(35)の演算子で与えられるその直交成分によって、記述され得る。
光信号の状態は、以下の(35)の演算子で与えられるその直交成分によって、記述され得る。
【0165】
【数53】
【0166】
これらの演算子は、信号の複素振幅の実部と虚部とを表し、直交成分の1つを測定することにより、個々の信号を区別することができる。
【0167】
ボブ2は、損失及び増幅器4によって変換された2つの状態|γ0>=|γ>及び|γ1>=|-γ>(
を伴う)を区別する必要があり、これら2つの状態は、光位相空間の実軸(q軸)上に中心がある、2つのガウス分布となっている。これについては図3に図示しており、この図3は、一連の損失3.1及び増幅4を通過した後の、ビット値0及び1に対応する状態の光位相図を示している。これら2つの出力状態は、
を中心とするガウス分布を構成しており、ここで、rEはイブ5によって盗聴された信号の割合である。このために、ボブ2は
直交成分を測定する。ボブ2は、以下の(36)のPOVM演算子によって記述されるホモダイン検出により、測定を実行してもよい。
【数54】
【数55】
【数56】
【0168】
【数57】
【0169】
ここで、|q>は
の固有状態であり、パラメータΘは、イブ5の盗聴によって生じ得る損失の量に応じて、ボブ2によって調整され、これについては、A.Peresによる「Quantum Theory.Conceptsand Methods」、物理学の基礎理論、シュプリンガー社、オランダ、2006年と、以下にさらに続く説明とを参照されたい。より具体的には、パラメータΘは、情報理論モデルに基づいて、予想鍵生成レートを最大化することによって求められる。
【数58】
【0170】
式(36)中、
はビット値0(1)を決定するが、
は不良結果に関連付けられており、それぞれのビットは事後選択の段階で、アリス1及びボブ2によって破棄される必要がある。
【数59】
【数60】
【0171】
図4は、ボブ2が採用しているPOVMの概略図である。これら2つの信号状態は、
に対応する位相空間の領域において最も重なり合っている、ガウス分布となっている。このため、アリス1及びボブ2は、関連結果を不確定的であると見なして、事後選択段階でこれを破棄する。
【数61】
【0172】
【数62】
【数63】
【数64】
【数65】
【0173】
5 誤り推定及び誤り訂正
無効ビットを破棄する測定及び事後選択処理の後、アリス1及びボブ2は誤り訂正処理を実行してもよい。ホモダイン測定から得られる直交成分値qにより、対応するビットにおける誤り確率が推定できるようになり、qごとの条件付き誤り確率を容易に計算することができる。実際には、当該誤り率は、チャネルの不完全性やイブ5による有害な活動によっても決まる。したがって、実際には、誤り訂正処理は、理論的予測の代わりに、例えば生鍵の一部を開示して誤りを観測することにより、主として誤りの直接測定に基づいて予測される必要がある。当該生鍵は、事後選択から得られる共有ビット・シーケンスに対応している。
無効ビットを破棄する測定及び事後選択処理の後、アリス1及びボブ2は誤り訂正処理を実行してもよい。ホモダイン測定から得られる直交成分値qにより、対応するビットにおける誤り確率が推定できるようになり、qごとの条件付き誤り確率を容易に計算することができる。実際には、当該誤り率は、チャネルの不完全性やイブ5による有害な活動によっても決まる。したがって、実際には、誤り訂正処理は、理論的予測の代わりに、例えば生鍵の一部を開示して誤りを観測することにより、主として誤りの直接測定に基づいて予測される必要がある。当該生鍵は、事後選択から得られる共有ビット・シーケンスに対応している。
【0174】
実用的な誤り推定の1つの選択肢には、生鍵の半分を開示することがある。しかしながら、生鍵が十分に長い場合(例えば、10,000ビットを超える)、既に比較的短い部分(例えば、1,000ビット)によって、正確な誤り推定値がもたらされ得る。本技術によれば、アリス1及びボブ2は、自身の認証済み公開チャネル7を使用して生鍵内のいくつかのビット位置を選択し、次いで対応するビット値を公開してもよい。その後、アリス1及びボブ2は、ベイズの定理を用いて、生鍵の残りの部分の予想誤り率について推測することができる。あるいは、アリス1及びボブ2は、ビット値の代わりに、選択されたいくつかの生鍵位置のブロックのパリティビットを開示することができる。本方法は、誤り率値が低い場合にはより優れた推定値をもたらすが、誤り率値が高い場合には、その推定が劣化する。ブロックサイズに関する決定は、qの観測値に基づく理論的推定値を考慮して行われ得る。例えば、生の誤り推定値が約6%である場合、長さ10のブロックが使用され得、この場合のパリティビットの不一致確率は約36%となり、高い確率であるが、依然として50%未満であるため、このことは、当該パリティデータが実際の誤り率に関する多くの情報を明らかにしていることを意味する。
【0175】
誤り率を推定した後、アリス1及びボブ2は、誤り訂正処理を実行してもよい。このために、アリス1及びボブ2は、D.J.C.MacKayによる「InformationTheory,Inference and Learning Algorithms」、ケンブリッジ大学出版局、2003年に記載されているような低密度パリティ検査(low-density parity-check:LDPC)符号を使用してもよい。そのような符号の入力は、各ビット位置における0又は1の確率、及び正しいビット・ストリングのシンドローム、即ち、各位置の事前確率を考慮して、誤りを訂正するのに十分なパリティビットのセットである。測定結果q自体によって正しい結果となる確率及び誤った結果となる確率を計算することができるので、LDPC符号は、ホモダイン測定後の誤り訂正にとりわけ有効である。
【0176】
生鍵の(短いと思われる)一部の誤りを訂正した後、アリス1及びボブ2は、この部分の誤り数を考慮して、残りの鍵のより正確な誤り推定値を生成することができる。本発明者らは、以下の適応手順を提案している。
【0177】
アリス1及びボブ2は、まず元の生鍵の比較的短いサブセットを選択し(そのサイズは符号語の長さに依存し、例えば1,000ビットなどである)、誤り率が高い場合のために設計された誤り訂正処理を適用する(例えば、予備的な粗推定によって5%の誤り確率しか得られなかった場合、10%となる)。この短いサブセット内の誤りを訂正した後、アリス1及びボブ2は、その中の誤り数を把握し、当該鍵の残りの部分について、より優れた誤り率推定値を得ることになる。次いで、アリス1及びボブ2は、別の短いサブセット(例えば、ここでも1,000ビットとする)を選択し、新たに改良された誤り率推定値に従って、誤り訂正を実行することができ、以下同様に実行される。繰り返すたびに、誤り推定値はより正確になるため、誤り訂正処理がより効率的になる。本方法は、初期誤り推定値を一切有することなく適用することができ、アリス1及びボブ2にとっては、生鍵の大部分の使用を節約することができる。
【0178】
誤り訂正処理では、当該鍵に関するいくつかの情報を開示する。LDPC符号のような線形符号の場合、1つのシンドロームビットは当該鍵に関する1ビット以下の情報を開示するので、このシンドローム長が情報漏洩量の適切な上限となる。
【0179】
6 プライバシー増幅
誤り訂正処理の後、アリス1及びボブ2は同じビット・ストリングを共有しているが、このビット・ストリングはイブ5に関連付けられている可能性があるため、最終秘密鍵として使用されるべきではない。C.H.Bennettらによる「Privacy amplification by public discussion」、SIAMコンピュータジャーナル第17巻第2号第210~229頁、1988年4月、並びにG.Brassard及びL.Salvailによる「Secret-key reconciliation by public discussion」、EUROCRYPT 1993カンファレンス会報、シュプリンガー社、1994年、第410~423頁によって述べられている鍵蒸留処理は、イブ5の情報を取り除くことを目的としており、より短い新たなビット・ストリングを生成する。イブ5はそのビット・ストリングに関する情報を一切(又はほとんど)有しないので、この新たなストリングは最終的に秘密鍵として使用され得る。
誤り訂正処理の後、アリス1及びボブ2は同じビット・ストリングを共有しているが、このビット・ストリングはイブ5に関連付けられている可能性があるため、最終秘密鍵として使用されるべきではない。C.H.Bennettらによる「Privacy amplification by public discussion」、SIAMコンピュータジャーナル第17巻第2号第210~229頁、1988年4月、並びにG.Brassard及びL.Salvailによる「Secret-key reconciliation by public discussion」、EUROCRYPT 1993カンファレンス会報、シュプリンガー社、1994年、第410~423頁によって述べられている鍵蒸留処理は、イブ5の情報を取り除くことを目的としており、より短い新たなビット・ストリングを生成する。イブ5はそのビット・ストリングに関する情報を一切(又はほとんど)有しないので、この新たなストリングは最終的に秘密鍵として使用され得る。
【0180】
盗聴者の情報を排除するために、アリス1及びボブ2は、例えば、ユニバーサルハッシュ法を用いることができる。本方法では、アリス1とボブ2とで、最初にハッシュ関数h∈HのファミリHについて一致をみることが必要になる。プライバシー増幅段階で、アリス1及びボブ2は、長さl1の元のビット・ストリングを長さl2の最終鍵へとマッピングするそのような関数
を、このファミリからランダムに選択する。イブ5が生鍵からe個のビットを把握している場合、l2はl1-eに等しくなるはずである。元のビット・ストリングは、事後選択及び誤り訂正の後で受信された電磁パルス6の第1のシーケンスから得られる、共有ビット・シーケンスに対応している。
【数66】
【0181】
Hの一例には、テプリッツ行列のファミリがある。アリス1及びボブ2は、l1行とl2列とを有するランダム2値テプリッツ行列Tを使用することができる。次に、アリス1及びボブ2は自身の(元の)ビット・ストリングを2値ベクトルvとして記述するため、最終鍵kは次式、
k=T・vで与えられる。
k=T・vで与えられる。
【0182】
7 イブの攻撃
以下では、盗聴者イブ5のビームスプリッタモデルについて述べる。
以下では、盗聴者イブ5のビームスプリッタモデルについて述べる。
【0183】
ここで、イブ5が光線路3に沿ったいずれかの場所でビームスプリッタ攻撃を実行して信号の一部を傍受する場合の、プロトコルの動作を実証する。
【0184】
ここでは、「ビームスプリッタ」という用語を使用することで、イブ5が線路3に介入した時点に言及している。当該ビームスプリッタが好適であると仮定され、これは即ち、アリス1の方向に反射がないことを意味している。ビームスプリッタに入射する信号(入力)強度が1である場合、強度rEはイブ5(第1の出力)に向かい、1-rEはボブ2の方向(第2の出力)に向かう。
【0185】
図5は、(a)当該プロトコルに対するビームスプリッタ攻撃、即ち、光線路3に沿ったいずれかの場所でイブ5が信号の一部を傍受する様子と、(b)(a)に等しく、イブ5による介入の前後における損失及び増幅器4が、パラメータ{T1,G1}及び{T2,G2}によってそれぞれ定義された二組の損失チャネル及び増幅チャネル3.1、4によって記述される、ある方式とを概略的に示す図である。
【0186】
7.1 損失及び増幅器
隣接する2つの増幅器4間の距離d上に送信される信号の割合は、以下の(37)の損失率によって決まり、
T=10-μd (37)
ここで、μ=1/50km-1は、光ファイバに典型的な損失のパラメータである。当該損失率は、T=1-r0と記述されてもよく、ここで、r0は、通信チャネル3において隣接する2つの増幅器4間で生じる固有損失に対応している。前述したように、各増幅器の増幅率はG=1/Tである。ここで、アリス1とボブ2(アリス1とイブ5)との間の距離をDAB(AE)とすると、ビームスプリッタの前後における増幅器4の数M1及びM2は、次式(38)及び次々式(39)で与えられる。
M1=DAE/d (38)
M2=(DAB-DAE)/d (39)
セクション2.3からの提言3及び図5(b)に示すように、ビームスプリッタの前後に生じる損失及び増幅を、次式(40)の通りに、それぞれがパラメータ{T1,G1}及び{T2,G2}を有する2つの損失及び増幅の組まで低減することにより、当該方式が簡略化され得る。
隣接する2つの増幅器4間の距離d上に送信される信号の割合は、以下の(37)の損失率によって決まり、
T=10-μd (37)
ここで、μ=1/50km-1は、光ファイバに典型的な損失のパラメータである。当該損失率は、T=1-r0と記述されてもよく、ここで、r0は、通信チャネル3において隣接する2つの増幅器4間で生じる固有損失に対応している。前述したように、各増幅器の増幅率はG=1/Tである。ここで、アリス1とボブ2(アリス1とイブ5)との間の距離をDAB(AE)とすると、ビームスプリッタの前後における増幅器4の数M1及びM2は、次式(38)及び次々式(39)で与えられる。
M1=DAE/d (38)
M2=(DAB-DAE)/d (39)
セクション2.3からの提言3及び図5(b)に示すように、ビームスプリッタの前後に生じる損失及び増幅を、次式(40)の通りに、それぞれがパラメータ{T1,G1}及び{T2,G2}を有する2つの損失及び増幅の組まで低減することにより、当該方式が簡略化され得る。
【0187】
【数67】
【0188】
以下では、少なくとも1つの暗号化パラメータ及び暗号化プロトコルを特定するために使用される、予想鍵生成レートLf/Lの情報理論モデルについて述べる。
【0189】
7.2 系の状態の発展
本開示の本セクションでは、結合系の状態の漸進的発展について述べる。アリス1のランダム・ビット(A)、即ち、アリス1の乱数生成器と、対応する信号(S)との初期状態は、次式(41)で与えられる。
本開示の本セクションでは、結合系の状態の漸進的発展について述べる。アリス1のランダム・ビット(A)、即ち、アリス1の乱数生成器と、対応する信号(S)との初期状態は、次式(41)で与えられる。
【0190】
【数68】
【0191】
信号が損失及び増幅に関連する変換を経ると、その信号がビームスプリッタを通過する直前のAS-系の状態が次式(42)で与えられ、
【数69】
【0192】
次式(43)を定義すると、
【数70】
【0193】
式(42)を次式(44)に書き換えることができる。
【0194】
【数71】
【0195】
信号がビームスプリッタを通過した直後に、アリス1のランダム・ビット(A)、ボブ2に向かう信号(S)及びイブ5によって傍受された信号(E)を含む結合系の状態は、次式(45)によって記述され、
【数72】
【0196】
ここで、以下の(46)となり、
【数73】
【0197】
rEは、イブ5によって盗聴された信号の割合である。当該信号が損失と増幅器との第2のシーケンスを経た後、かつボブ2によってこれが測定される直前に、結合系の状態は、次式(47)の通りとなり、
【数74】
【0198】
ここで、以下の(48)が得られる。
【0199】
【数75】
【0200】
ボブ2は、当該信号を受信してもよく、また当該信号を測定してもよく、さらにアリス1と共に、古典チャネル7を介して通信することにより、不良結果に関連付けられたビットを破棄することを含む、事後選択を実行してもよい。アリス1が送信したビットがa={0,1}である場合に、ボブ2の測定結果がb={0,1}になる確率は、次式(49)のように記述することができ、
【数76】
【0201】
ここで、以下の(50)となる。
【0202】
【数77】
【0203】
したがって、事後選択の段階でビットが廃棄されないことを意味する、確定的結果になる確率は、次式(51)の通りとなる。
【0204】
【数78】
【0205】
アリス1のランダム・ビット(A)、測定結果を記憶するボブ2の記憶装置(B)、及び事後選択の後にイブ5によって盗聴された信号(E)の最終状態、即ち、良好な測定結果を条件とする最終状態は、次式(52)の通りとなり、
【数79】
【0206】
ここで、以下の(53)となる。
【0207】
【数80】
【0208】
7.3 確率
以下では、事後選択、誤り訂正及びプライバシー増幅のステップを説明するために、確率モデルを導入する。
以下では、事後選択、誤り訂正及びプライバシー増幅のステップを説明するために、確率モデルを導入する。
【0209】
確率p(b|a),a,b∈{0,1}を得るためには、まず次式(54)の通りに|<β|q>|2を計算する必要があり、
【数81】
【0210】
|<β|q>|2を式(49)、式(50)に代入した後、ここで、以下の(55)、(56)、(57)、(58)が得られ、
【数82】
【0211】
【数83】
【0212】
【数84】
【0213】
【数85】
【0214】
ここで、以下の(59)となる。
【0215】
【数86】
【0216】
7.4 イブの情報量
本セクションでは、事後選択を経ているが、誤り訂正段階の前の生鍵に関する(1ビット当たりの)イブ5の情報量(即ち、盗聴者5と送信機1との間の相互情報量)を、次式(60)の通りに推定する。
本セクションでは、事後選択を経ているが、誤り訂正段階の前の生鍵に関する(1ビット当たりの)イブ5の情報量(即ち、盗聴者5と送信機1との間の相互情報量)を、次式(60)の通りに推定する。
【0217】
【数87】
【0218】
条件付きエントロピー
は、AE-系の最終密度行列によって決まり、この最終密度行列は式(52)で得られ、かつ、以下の(61)となることを使用して
【数88】
【数89】
【0219】
次式(62)のように記述することができ、
【数90】
【0220】
ここで、以下の(63)が得られる。
【0221】
【数91】
【0222】
イブ5のエントロピーの下限を求める(ひいては、当該鍵に関してイブ5が有する情報量の最大値を推定する)ために、本開示では、イブ5が変数α(RE)を記録する何らかの補助レジスタを有する状況を考慮し、結合AERE状態を次式(64)の通りに導入している。
【0223】
【数92】
【0224】
ここで、レジスタ状態は、<reg(α)|reg(α’)>=δ(2)(α-α’)を満たしている。ここで注意すべきは、第一に、このレジスタをトレースすることにより、当該処理で以下の(65)のようにAE-系の元の状態が回復し、
【数93】
【0225】
第二に、条件付きエントロピーの単調性が次式(66)をもたらし、
【数94】
【0226】
これが単に、レジスタを破棄した後、イブ5が送信されたビットに関する情報のみを喪失し得ることを示している点である。このために、
を求めることで、
の下限を得ることができる。
【数95】
【数96】
【0227】
行列
は、次式(67)に書き換えることができ、
【数97】
【数98】
【0228】
ここで、
及び
は、
の固有値及び固有状態である。したがって、次式(68)が得られ、
【数99】
【数100】
【数101】
【数102】
【0229】
ここで、Cは追加の補正項であり、これを明示的に計算する必要はない。同様に、次式(69)が得られ、
【数103】
【0230】
これら2つの式を組み合わせると、次式(70)が得られ、
【数104】
【0231】
ここで、h(p)=-plog(p)-(1-p)log(1-p)は、2値エントロピーである。
【0232】
ここで、以下の(71)のように、イェンセンの不等式を使用することができ、
<h(x)>≦h(<x>)→1-<h(x)>≧1-h(<x>) (71)
ここで、<x>≡∫d2αQ√[α]x:となり、
<h(x)>≦h(<x>)→1-<h(x)>≧1-h(<x>) (71)
ここで、<x>≡∫d2αQ√[α]x:となり、
【数105】
【0233】
ここで、以下の(72)となる。
【0234】
【数106】
【0235】
次式(73)を求め、
【数107】
【0236】
ここで、ε1,2≡G1,2-1となる。
【0237】
式(73)を式(72)に代入し、かつ式(60)を使用することにより、本セクションに記載している方法で、イブ5の情報量の上限を取得している。
【0238】
7.5 ボブの誤り率
本セクションでは、ボブ2の誤り率を推定する。事後選択を経ているが、誤り訂正の前の当該鍵に関する1ビット当たりのボブ2の情報量(即ち、送信機1と受信機2との間の相互情報量)は、次式(74)で与えられ、
本セクションでは、ボブ2の誤り率を推定する。事後選択を経ているが、誤り訂正の前の当該鍵に関する1ビット当たりのボブ2の情報量(即ち、送信機1と受信機2との間の相互情報量)は、次式(74)で与えられ、
【数108】
【0239】
好適には1に等しくなければならない。したがって、ボブ2の誤り率は、条件付きエントロピー
によって決まり、次式(75)の通りになる。
【数109】
【0240】
【数110】
【0241】
式(52)から、次式(76)及び次々式(77)となり、
【数111】
【0242】
【数112】
【0243】
確率p(b|a)及びp(√)は、式(55)~式(58)及び式(51)で与えられる。なお、事後選択は対称に行われるため、次式(78)の通りとなり、
【数113】
【0244】
次いで、
が得られ、次式(80)は、
【数114】
【数115】
【0245】
ここでも2値エントロピーである。
【0246】
誤り訂正処理の後、当該鍵に関するボブ2の情報量は
になる一方、イブ5の情報量は増大し、これを次式(81)の通りに推定することができる。
【数116】
【0247】
【数117】
【0248】
8 鍵レート
本セクションは、事後選択、誤り訂正及びプライバシー増幅の後の最終鍵の長さLfを、次式(82)の通りに推定する。
本セクションは、事後選択、誤り訂正及びプライバシー増幅の後の最終鍵の長さLfを、次式(82)の通りに推定する。
【0249】
【数118】
【0250】
式(82)では、最終鍵生成レートを求め、この式が、情報理論モデルの主要結果を記述している。この方程式を明示式としてここで詳述すると煩雑になり過ぎるが、ここで2つのパラメータ、即ち信号の振幅γ及び測定パラメータΘを含み、これらのパラメータについては、アリス1及びボブ2は、最良のレートを確保する(例えば、式(82)の関数を数値的に最大化することによって)ために、rEに応じて変動させ得る。さらに、セクション7.1から想起されるように、式(82)は、隣接する2つの増幅器4間の距離dと、当該行動の当事者間の距離DAB及びDAEとをさらに含み、これらは固定されていると見なされるパラメータである。
【0251】
式(82)はまた、空間的に離隔した増幅器4の数M及び空間的に離隔した増幅器4の増幅率Gにも依存している。その結果、これらのパラメータは、情報理論モデルへの入力パラメータを構成している。
【0252】
図6では、隣接する2つの増幅器4間の距離dの個々の値、即ち(a)d=10km、(b)d=20km、及び(c)d=30kmに対するrEの関数としてのLf/Lをプロットしている。アリス1とボブ2との間の距離は固定されていると仮定され、DAB=1,000kmとなる。図6にプロットされた個々の曲線は、最小距離(上部曲線)から最大距離(下部曲線)までの、アリス1とイブ5との間の様々な距離DAEに対応している。rEの値ごとに、パラメータγ及びΘは、Lf/Lを最大化するようになっている。増幅器によって付与される関連付けがあるため、イブ5の場合、ボブ2の近傍で信号を傍受すると有利である。
【0253】
【数119】
【0254】
同様に、図7では、アリス1とボブ2との間の距離DABの個々の値、即ち(a)DAB=10,000km、(b)DAB=20,000km、(c)DAB=40,000kmに対するrEの関数としてのLf/Lを、セクション3で述べた理論的に許容される精度でrEを技術的に測定できるという仮定の下で示している。図7にプロットされた個々の曲線は、ここでも、最小距離(上部曲線)から最大距離(下部曲線)までの、アリス1とイブ5との間の様々な距離DAEに対応している。隣接する増幅器4間の距離は固定されていると仮定され、d=50kmとなる。信号の振幅γは、rE=0.0の場合の104から
の場合の102まで変動している。
【数120】
【0255】
図8は、一実施形態による、提案している本方法のステップS1~S4を示す概略フロー図である。
【0256】
ステップS1で、通信チャネル3を介して、電磁試験パルスが送信機1から受信機2に送信される。
【0257】
ステップS2で、盗聴者5が引き起こした通信チャネル3内の信号損失rEが、受信機2で検出された電磁試験パルスに基づいて特定される。
【0258】
ステップS3で、暗号化プロトコルの暗号化パラメータ、即ちコヒーレント状態の振幅γ、及び最小絶対値Θ(測定パラメータ)が、予想鍵生成レートLf/Lを式(82)に基づいて、これら暗号化パラメータ及び最小絶対値Θに関して、予想鍵生成レートLf/Lの情報理論モデルを用いて最大化することによって求められる。空間的に離隔した増幅器4の特定済み信号損失rE及び増幅パラメータ、即ち、空間的に離隔した増幅器の数M、増幅率G、隣接する2つの増幅器4間の距離d、並びに距離DAB及び距離DAEは、式(82)の情報理論モデルへの入力パラメータとして考慮される。
【0259】
ステップS4で、秘密共有暗号鍵を確立するために、電磁パルス6の第1のシーケンスが、通信チャネル3を介して、空間的に離隔した増幅器4を通じて送信機1から受信機2に送信され、ここで、送信された電磁パルス6の第1のシーケンスの電磁パルスはそれぞれ、暗号化プロトコルに従ってランダム・ビット・シーケンスのビットに対応している。
【0260】
図9は、一実施形態による、提案している本方法のステップを実行するように構成された、ある通信装置を示す概略図である。
【0261】
図9に示す通信装置は、送信機1と、受信機2と、通信チャネル3と、空間的に離隔した複数の増幅器4と、認証済み公開古典チャネル7と、を備える。送信機1は、電子評価・制御ユニット1.1及び電磁放射線源1.2を備える。受信機2は、電子評価・制御ユニット2.1及び検出器及び測定ユニット2.2を備える。
【0262】
送信機1の電子評価・制御ユニット1.1は、ランダム・ビット・シーケンスを生成するように構成された、古典的な乱数生成器(図示せず)を含む。電子評価・制御ユニット1.1は、暗号化プロトコルの暗号化パラメータ及び最小絶対値Θ(測定パラメータ)を、予想鍵生成レートLf/Lを式(82)に基づいて最大化することによって求めるようにさらに構成されている。
【0263】
送信機1の電磁放射線源1.2は、電磁パルス6の第1のシーケンス及び電磁試験パルスを、暗号化プロトコルに従って生成するように構成されている。送信機1の電磁放射線源1.2は、電磁パルス6の第1のシーケンス及び電磁試験パルスを受信機2に送信するようにさらに構成されている。
【0264】
受信機2の検出器及び測定ユニット2.2は、少なくとも送受信された電磁パルス6の第1のシーケンスの位相と、送受信された電磁試験パルスの強度とを検出かつ測定するように構成されている。
【0265】
受信機2の電子評価・制御ユニット2.1は、盗聴者5が引き起こした通信チャネル3内の信号損失rEを、受信機2で検出された電磁試験パルスに基づいて特定するように構成されている。
【0266】
通信チャネル3は、複数の伝送線路を含む。空間的に離隔した増幅器4は、通信チャネル3内に(インラインに)組み込まれている。認証済み公開古典チャネル7は、事後選択、誤り訂正及びプライバシー増幅を実行するために、受信機2から送信機1に、かつその逆も同様に、フィードバック情報を送信するように構成されている。
【0267】
9 推定
以下では、提案している本方法を例示する、電磁パルスの光子数及び変動についての単純かつ透明性のある数値推定を実現している。典型的な事例では、その形状及び位相を変形させることなく発生するノイズを最小限に抑えながら、安定して送信かつ増幅することができ、それと同時に、盗聴に対する保護度をも維持するような電磁パルスの強度を推定している。
以下では、提案している本方法を例示する、電磁パルスの光子数及び変動についての単純かつ透明性のある数値推定を実現している。典型的な事例では、その形状及び位相を変形させることなく発生するノイズを最小限に抑えながら、安定して送信かつ増幅することができ、それと同時に、盗聴に対する保護度をも維持するような電磁パルスの強度を推定している。
【0268】
より具体的には、本方法では、長さ20,000kmの典型的な伝送線路を想定している。通常、増幅器4間の正確な最適距離は、例えば計算によって求められる。ここでは、本方法は例示として、標準通信距離d=50kmを想定している。この距離では、信号は10分の1まで減衰する(伝送確率T=0.1)可能性がある。これに応じて、増幅率はG=10となる。初期試験信号が
個の光子を搬送する場合、50 km進んだ後、光子の数は
個まで減少する。増幅器はそれを
個の光子まで戻すが、ノイズも加わることになる。光子はポアソン統計に従うので、増幅前の変動は
となる。これらの変動は、増幅率Gによっても増幅され、その結果、次式(83)の通りに生成される。
【数121】
【数122】
【数123】
【数124】
【0269】
【数125】
【0270】
別々に変動を付加するM個の増幅器4のシーケンスを介して送信すると、変動幅は√M倍に増大し、20,000kmの線路上にあるM=400個の増幅器4に20倍の増加変動をもたらす。その結果、ボブ2の側の変動は、次式(84)の通りとなる。
【0271】
【数126】
【0272】
最終的に、本方法では、次式(85)に示すような最小の検出可能漏洩量が得られる。
【0273】
【数127】
【0274】
例えば、ここでは模範として、位相暗号化の代わりに強度暗号化が想定されている。約1個の光子を含む信号の一部をイブ5が傍受した場合(アリス1の近傍でその信号を傍受した場合)、対応する相対誤りが1のオーダーになることから、アリス1によって送信された電磁パルスの強度が同程度の大きさであれば、それら個々の電磁パルスをイブ5が区別することは不可能となる。
【0275】
したがって、盗聴が困難となるようなパルスは、好ましくは
個の光子を含む。この場合、ボブ2における変動は、次式(86)の通りとなり、
よって、以下の(87)となる。
【数128】
【数129】
【0276】
【数130】
【0277】
したがって、上記でさらに説明したように、とりわけボブ2及びアリス1の両方が、追加の後処理手段を実行することを考慮すると、アリス1からボブ2への伝送を、イブ5が効率的に傍受することは不可能となる。拡大縮小可能性が線路長の平方根として機能しているという事実により、40,000kmもの広範囲の距離にわたる復号可能な信号のセキュアな伝送を有効にする。
【0278】
これらの実施形態及び図の説明は、本開示の技術やその技術が実現する利点を例示する役割を果たしているにすぎないので、何ら限定を示唆するものと理解されるべきではない。本開示の範囲は、添付の特許請求の範囲に基づいて決定されるべきである。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】