IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > TERRA QUANTUM AG

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ テラ クアンタム アーゲーの特許一覧

<>
  • 特許-量子鍵配送のための方法及びシステム 図1
  • 特許-量子鍵配送のための方法及びシステム 図2
  • 特許-量子鍵配送のための方法及びシステム 図3
  • 特許-量子鍵配送のための方法及びシステム 図4
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-02-19
(45)【発行日】2024-02-28
(54)【発明の名称】量子鍵配送のための方法及びシステム
(51)【国際特許分類】
   H04L 9/12 20060101AFI20240220BHJP
【FI】
H04L9/12
【請求項の数】 15
【外国語出願】
(21)【出願番号】P 2022009574
(22)【出願日】2022-01-25
(65)【公開番号】P2022115095
(43)【公開日】2022-08-08
【審査請求日】2022-07-11
(31)【優先権主張番号】21153846
(32)【優先日】2021-01-27
(33)【優先権主張国・地域又は機関】EP
(73)【特許権者】
【識別番号】521124319
【氏名又は名称】テラ クアンタム アーゲー
【氏名又は名称原語表記】TERRA QUANTUM AG
(74)【代理人】
【識別番号】100109210
【弁理士】
【氏名又は名称】新居 広守
(72)【発明者】
【氏名】クロンバリ・ドミトリー
【審査官】行田 悦資
(56)【参考文献】
【文献】特開2017-169187(JP,A)
【文献】特表2007-511956(JP,A)
【文献】特表2011-510581(JP,A)
【文献】特開2005-117511(JP,A)
【文献】特表2019-517184(JP,A)
【文献】米国特許出願公開第2017/0264433(US,A1)
(58)【調査した分野】(Int.Cl.,DB名)
H04L 9/12
(57)【特許請求の範囲】
【請求項1】
量子鍵配送のための方法であって、前記方法が、複数のデータ処理装置を備えるシステムにおいて、
-第1のデータ処理装置(10)及び第2のデータ処理装置(11)初期鍵を取得するステップと、
-前記第2のデータ処理装置(11)、複数の量子状態を含む量子信号を取得するステップと、
-前記第2のデータ処理装置(11)において、複数の量子測定パラメータを求めるステップと、
-前記第2のデータ処理装置(11)において、前記複数の量子測定パラメータを使用して前記複数の量子状態を量子測定することにより、生信号を求めるステップと、
-前記第2のデータ処理装置(11)において、前記複数の量子測定パラメータのうちの少なくとも1つを示す暗号化信号を、前記初期鍵を使用して生成し、次いで前記暗号化信号を前記第1のデータ処理装置(10)に送信するステップと、
-前記第1のデータ処理装置(10)又は前記第2のデータ処理装置(11)のうちの少なくとも一方において、前記暗号化信号から照合信号を求めるステップと、
-前記第1のデータ処理装置(10)又は前記第2のデータ処理装置(11)のうちの少なくとも一方において、前記照合信号を補正することにより、前記照合信号から共有鍵を特定するステップと、を含み、
前記暗号化信号から前記照合信号を求めるステップは、前記初期鍵を用いて前記暗号化信号を復号して、前記照合信号を求めるステップを含む、
量子鍵配送のための方法。
【請求項2】
-前記第1のデータ処理装置(10)において、複数の量子生成パラメータを求めるステップと、
-前記第1のデータ処理装置(10)において、前記複数の量子生成パラメータを使用して第1の生信号から、複数の第1の量子状態を含む第1の量子信号を生成するステップと、
-前記第1のデータ処理装置(10)から前記第2のデータ処理装置(11)に前記第1の量子信号を送信することにより、前記複数の量子状態を含む前記量子信号を前記第2のデータ処理装置(11)が取得するステップと、
-前記第1のデータ処理装置(10)において、前記複数の量子生成パラメータのうちの少なくとも1つを示す第1の暗号化信号を、前記初期鍵を使用して生成し、次いで前記第1の暗号化信号を前記第2のデータ処理装置(11)に送信するステップと、
-前記第2のデータ処理装置(11)において、前記生信号及び前記第1の暗号化信号から前記照合信号を求めるステップと、
-前記第1のデータ処理装置(1)において、前記第1の生信号及び前記暗号化信号から第1の照合信号を求めるステップと、
のうちの少なくとも1つをさらに含む、請求項1に記載の方法。
【請求項3】
前記複数の量子測定パラメータのうちの少なくとも1つ及び/又は前記複数の量子生成パラメータのうちの少なくとも1つが、量子基底設定値を含む、請求項2に記載の方法。
【請求項4】
-前記第2のデータ処理装置(11)における前記生信号の桁位置がそれぞれ、前記複数の量子測定パラメータのうちの1つと、前記複数の量子状態のうちの1つとに対応しているか、
-前記複数の量子測定パラメータのうちの対応する1つと前記第1の暗号化信号からの前記量子生成パラメータのうちの対応する1つとが一致しない場合、前記生信号における前記桁位置のうちの1つを破棄することにより、前記第2のデータ処理装置(11)において前記生信号及び前記第1の暗号化信号から前記照合信号が求められるか、
-前記第1のデータ処理装置(10)における前記第1の生信号の第1の桁位置がそれぞれ、前記複数の量子生成パラメータのうちの1つと、前記複数の第1の量子状態のうちの1つとに対応しているか、又は
-前記暗号化信号からの前記複数の量子測定パラメータのうちの対応する1つと前記量子生成パラメータのうちの対応する1つとが一致しない場合、前記第1の生信号における前記第1の桁位置のうちの1つを破棄することにより、前記第1のデータ処理装置(10)において前記第1の生信号及び前記暗号化信号から前記第1の照合信号が求められるか、
のうちの少なくとも1つが実現される、請求項2又は3に記載の方法。
【請求項5】
-前記第1のデータ処理装置(10)において、前記第1の照合信号から第1のパリティデータを生成するステップと、
-前記第1のデータ処理装置(10)において、前記第1のパリティデータを前記初期鍵で暗号化して、第1の暗号化されたパリティデータにし、次いで前記第1の暗号化されたパリティデータを前記第2のデータ処理装置(11)に送信するステップと、
-前記第2のデータ処理装置(11)において、前記照合信号から第2のパリティデータを生成するステップと、
-前記第2のデータ処理装置(11)において、前記第2のパリティデータを前記初期鍵で暗号化して、第2の暗号化されたパリティデータにし、次いで前記第2の暗号化されたパリティデータを前記第1のデータ処理装置(10)に送信するステップと、
-前記第1のデータ処理装置(10)及び前記第2のデータ処理装置(11)において、前記第1のパリティデータ及び前記第2のパリティデータを使用して前記第1の照合信号と前記照合信号との差分を求めるステップと、
-前記第1のデータ処理装置(10)において、前記第1の照合信号と前記照合信号との前記差分に対して前記第1の照合信号を補正することにより、前記第1の照合信号から前記共有鍵を特定し、次いで前記第2のデータ処理装置(11)において、前記照合信号を前記共有鍵として特定するステップと、
のうちの少なくとも1つをさらに含む、請求項2から4の少なくともいずれか一項に記載の方法。
【請求項6】
-前記第1のパリティデータが、前記第1の照合信号における第1のデータブロックの第1のパリティビットを含み、また、前記第2のパリティデータが、前記照合信号における第2のデータブロックの第2のパリティビットを含むか、あるいは
-前記第1のパリティデータが、前記第1の照合信号の第1のシンドロームを含み、また、前記第2のパリティデータが、前記照合信号の第2のシンドロームを含む、請求項5に記載の方法。
【請求項7】
-前記第1のデータ処理装置(10)において、前記第1の照合信号から第1の誤り情報を生成し、好ましくは、前記第1の誤り情報を前記初期鍵で暗号化して、第1の暗号化された誤り情報にし、さらに好ましくは、前記第1の誤り情報又は前記第1の暗号化された誤り情報を前記第2のデータ処理装置(11)に送信するステップと、
-前記第2のデータ処理装置(11)において、前記照合信号から第2の誤り情報を生成し、好ましくは、前記第2の誤り情報を前記初期鍵で暗号化して、第2の暗号化された誤り情報にし、さらに好ましくは、前記第2の誤り情報又は前記第2の暗号化された誤り情報を前記第1のデータ処理装置(10)に送信するステップと、
-前記第1のデータ処理装置(10)及び前記第2のデータ処理装置(11)において、前記第1の誤り情報及び前記第2の誤り情報から、前記第1の照合信号と前記照合信号との誤り推定値を求めるステップと、
-前記第1の誤り情報及び前記第2の誤り情報を使用して、前記第1の照合信号及び前記照合信号の誤り部分を破棄するステップと、
のうちの少なくとも1つをさらに含む、請求項から6の少なくともいずれか一項に記載の方法。
【請求項8】
-前記第1のデータ処理装置(10)及び/又は前記第2のデータ処理装置(11)において、ハッシュデータを前記初期鍵で暗号化して暗号化ハッシュデータにするステップと、
-前記暗号化ハッシュデータを前記第2のデータ処理装置(11)及び/又は前記第1のデータ処理装置(10)に送信するステップと、
-前記第1のデータ処理装置(10)及び前記第2のデータ処理装置(11)において、前記ハッシュデータを使用してハッシュ方式を適用することにより、前記共有鍵から増幅鍵を特定するステップと、
をさらに含む、請求項5または6の少なくともいずれか一項に記載の方法。
【請求項9】
前記第1のパリティデータ、前記第2のパリティデータ、又は前記ハッシュデータのうちの少なくとも1つが、前記照合信号、前記第1の照合信号、前記共有鍵、又は前記増幅鍵のうちの少なくとも1つと対応付けられている相関データを含む、請求項8に記載の方法。
【請求項10】
-前記第1のデータ処理装置(10)において、前記第1の照合信号、前記共有鍵、又は前記増幅鍵のうちの少なくとも1つと対応付けられていない第1の無相関パリティデータを生成し、次いで前記第1の無相関パリティデータを前記第2のデータ処理装置(11)に送信するステップと、
-前記第2のデータ処理装置(11)において、前記照合信号、前記共有鍵、又は前記増幅鍵のうちの少なくとも1つと対応付けられていない第2の無相関パリティデータを生成し、次いで前記第2の無相関パリティデータを前記第1のデータ処理装置(10)に送信するステップと、
のうちの少なくとも1つをさらに含む、請求項8又は9に記載の方法。
【請求項11】
-前記第1のデータ処理装置(10)及び前記第2のデータ処理装置(11)第2の初期鍵を取得するステップと、
-前記第2の初期鍵によって、前記第1のデータ処理装置(10)及び前記第2のデータ処理装置(11)認証するステップと、
をさらに含む、請求項1から10の少なくともいずれか一項に記載の方法。
【請求項12】
前記共有鍵が、前記第1のデータ処理装置(10)及び第3のデータ処理装置においてのみ特定され、前記方法が、
-前記第3のデータ処理装置初期鍵を取得するステップと、
-前記第3のデータ処理装置において、複数の追加の量子生成パラメータを求めるステップと、
-前記第3のデータ処理装置において、前記複数の追加の量子生成パラメータを使用して、第3の生信号から複数の第3の量子状態を含む第3の量子信号を生成するステップと、
-前記第3の量子信号を前記第3のデータ処理装置から前記第2のデータ処理装置(11)に送信するステップと、
をさらに含む、請求項1から11の少なくともいずれか一項に記載の方法。
【請求項13】
前記複数の量子状態のそれぞれが、前記第1のデータ処理装置(10)と前記第2のデータ処理装置(11)との間の複数の共有もつれ量子状態のうちの1つの短縮状態である、請求項1から12の少なくともいずれか一項に記載の方法。
【請求項14】
前記初期鍵が、RSA方式又はディフィー・ヘルマン方式を用いて供給される、請求項1から13の少なくともいずれか一項に記載の方法。
【請求項15】
複数のデータ処理装置を備え、かつ、
-第1のデータ処理装置(10)及び第2のデータ処理装置(11)に初期鍵を供給するステップと、
-前記第2のデータ処理装置(11)に、複数の量子状態を含む量子信号を供給するステップと、
-前記第2のデータ処理装置(11)において、複数の量子測定パラメータを求めるステップと、
-前記第2のデータ処理装置(11)において、前記複数の量子測定パラメータを使用して前記複数の量子状態を量子測定することにより、生信号を求めるステップと、
-前記第2のデータ処理装置(11)において、前記複数の量子測定パラメータのうちの少なくとも1つを示す暗号化信号を、前記初期鍵を使用して生成し、次いで前記暗号化信号を前記第1のデータ処理装置(10)に送信するステップと、
-前記第1のデータ処理装置(10)又は前記第2のデータ処理装置(11)のうちの少なくとも一方において、前記暗号化信号から照合信号を求めるステップと、
-前記第1のデータ処理装置(10)又は前記第2のデータ処理装置(11)のうちの少なくとも一方において、前記照合信号を補正することにより、前記照合信号から共有鍵を特定するステップと、を実行するように構成されており、
前記暗号化信号から前記照合信号を求めるステップは、前記初期鍵を用いて前記暗号化信号を復号して、前記照合信号を求めるステップを含む、
量子鍵配送のためのシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、量子鍵配送のための方法に関する。さらに、量子鍵配送のためのシステムが開示される。
【背景技術】
【0002】
古典相関における量子固定では、第1のデータ処理装置(「アリス」)は、長さmのメッセージaを第2のデータ処理装置(「ボブ」)に送信する。このメッセージaは、第1のデータ処理装置が長さ|K|の鍵kを第2のデータ処理装置にさらに送信するまで、秘密に保たれることになる。メッセージaを依然としてセキュアに暗号化できるようにする一方で、鍵kをどれだけ短縮することができるかを判断することが重要である。これら第1及び第2のデータ処理装置が古典的リソースのみを備える場合、鍵kは、メッセージaとほぼ同じ長さ、即ち、
【数1】
となる必要がある。典型的な一実装形態は、ワンタイムパッドによって表される。この場合、セキュリティは情報因果律の原理に従うことになり、lビットを送信することにより、第1のデータ処理装置と第2のデータ処理装置との相関をlビットよりも増大させることはできない。
【発明の概要】
【発明が解決しようとする課題】
【0003】
しかしながら、量子相関の場合、この情報因果律の原理に違反する恐れがあるため、セキュリティ要求度を維持しながら、可能な限り短い鍵長を求めることになる。これとは逆に、鍵長を一定に保つことで、より多くの情報がセキュアに送信され得る。それでもなお、より高度な情報伝送を実現することが望ましい。
【0004】
本開示の目的は、量子鍵配送を通じてデータを送信するための改良された技法を提供することである。
【課題を解決するための手段】
【0005】
この課題を解決するために、独立請求項に従って量子鍵配送のための方法及びシステムが提供される。従属請求項には、さらに別の実施形態が開示されている。
【0006】
一態様によれば、量子鍵配送のための方法が提供され、本方法は、複数のデータ処理装置を備えるシステムにおいて、第1のデータ処理装置及び第2のデータ処理装置に初期鍵を供給するステップと、第2のデータ処理装置に、複数の量子状態を含む量子信号を供給するステップと、第2のデータ処理装置において、複数の量子測定パラメータを求めるステップと、第2のデータ処理装置において、これら複数の量子測定パラメータを使用して複数の量子状態を量子測定することにより、生信号を求めるステップと、第2のデータ処理装置において、複数の量子測定パラメータのうちの少なくとも1つを示す暗号化信号を、初期鍵を使用して生成し、次いでこの暗号化信号を第1のデータ処理装置に送信するステップと、第1のデータ処理装置又は第2のデータ処理装置のうちの少なくとも一方において、この暗号化信号から照合信号を求めるステップと、第1のデータ処理装置又は第2のデータ処理装置のうちの少なくとも一方において、この第1の照合信号を補正することにより、照合信号から共有鍵を特定するステップと、を含む。
【0007】
別の態様によれば、量子鍵配送のためのシステムが提供され、本システムは複数のデータ処理装置を備え、かつ、第1のデータ処理装置及び第2のデータ処理装置に初期鍵を供給するステップと、第2のデータ処理装置に、複数の量子状態を含む量子信号を供給するステップと、第2のデータ処理装置において、複数の量子測定パラメータを求めるステップと、第2のデータ処理装置において、これら複数の量子測定パラメータを使用して複数の量子状態を量子測定することにより、生信号を求めるステップと、第2のデータ処理装置において、複数の量子測定パラメータのうちの少なくとも1つを示す暗号化信号を、初期鍵を使用して生成し、次いでこの暗号化信号を第1のデータ処理装置に送信するステップと、第1のデータ処理装置又は第2のデータ処理装置のうちの少なくとも一方において、この暗号化信号から照合信号を求めるステップと、第1のデータ処理装置又は第2のデータ処理装置のうちの少なくとも一方において、第1の照合信号を補正することにより、この照合信号から共有鍵を特定するステップと、を実行するように構成されている。
【0008】
当該生信号を、第2の生信号とすることができる。当該暗号化信号を、第2の暗号化信号とすることができる。当該照合信号を、第2の照合信号とすることができる。複数の量子状態を、複数の第2の量子状態とすることができる。当該量子信号は、第2の量子信号であってもよい。
【0009】
本方法は、BB84(ベネット(Bennett)とブラサール(Brassard)が1984年に提案)プロトコル、B92(ベネットが1992年に提案)プロトコル、量子もつれベースの量子鍵配送プロトコル、測定装置に依存しない量子鍵配送プロトコル、又はツインフィールド量子鍵配送プロトコルのうちの少なくとも1つに従ってもよい。当該量子信号は光ファイバを介して送信されてもよく、あるいは無線を介して送信されてもよい。
【0010】
本方法は、第1のデータ処理装置において、複数の量子生成パラメータを求めるステップと、第1のデータ処理装置において、これら複数の量子生成パラメータを使用して第1の生信号から、複数の第1の量子状態を含む第1の量子信号を生成するステップと、第1のデータ処理装置から第2のデータ処理装置にこの第1の量子信号を送信することにより、複数の量子状態を含む量子信号を第2のデータ処理装置に供給するステップと、第1のデータ処理装置において、複数の量子生成パラメータのうちの少なくとも1つを示す第1の暗号化信号を、初期鍵を使用して生成し、次いでこの第1の暗号化信号を第2のデータ処理装置に送信するステップと、第2のデータ処理装置において、生信号及び第1の暗号化信号から照合信号を求めるステップと、第1のデータ処理装置において、第1の生信号及び暗号化信号から第1の照合信号を求めるステップと、のうちの少なくとも1つをさらに含んでいてもよい。
【0011】
これら複数の量子状態は、複数の第1の量子状態それぞれをユニタリ発展させることにより、複数の第1の量子状態から取得され得る。暗号化信号、第1の暗号化信号、又は初期鍵で暗号化されたさらに別の信号を送信するステップは、プライベート通信チャネル内での送信を含んでいてもよい。
【0012】
複数の量子状態それぞれ及び/又は複数の第1の量子状態それぞれは、フォトニック量子状態であってもよい。複数の量子状態それぞれ及び/又は複数の第1の量子状態それぞれは、光子偏光状態であってもよい。
【0013】
複数の量子測定パラメータのうちの少なくとも1つ及び/又は複数の量子生成パラメータのうちの少なくとも1つは、量子基底設定値を含んでいてもよい。複数の量子測定パラメータのうちの少なくとも1つ及び/又は複数の量子生成パラメータのうちの少なくとも1つは、例えば不確定結果を示す、ある種の測定結果をさらに含んでいてもよい。
【0014】
この量子基底設定は、水平偏光基底又は垂直偏光基底で測定するステップ、あるいは反対角偏光基底又は対角偏光基底で測定するステップを含んでいてもよい。
【0015】
第2のデータ処理装置における生信号の桁位置はそれぞれ、複数の量子測定パラメータのうちの1つ及び/又は複数の量子状態のうちの1つに対応してもよい。複数の量子測定パラメータのうちの対応する1つと第1の暗号化信号の量子生成パラメータのうちの対応する1つとが一致しない場合、生信号の桁位置のうちの1つを破棄することにより、第2のデータ処理装置において生信号及び第1の暗号化信号から照合信号が求められてもよい。第1のデータ処理装置における第1の生信号の第1の桁位置はそれぞれ、複数の量子生成パラメータのうちの1つと、複数の第1の量子状態のうちの1つとに対応してもよい。暗号化信号からの複数の量子測定パラメータのうちの対応する1つと量子生成パラメータのうちの対応する1つとが一致しない場合、第1の生信号の第1の桁位置のうちの1つを破棄することにより、第1のデータ処理装置において第1の生信号及び暗号化信号から第1の照合信号が求められてもよい。
【0016】
代替的に又は付加的に、量子生成パラメータのうちの対応する1つが破棄フラグを含む場合、生信号の桁位置のうちの1つを破棄することにより、第2のデータ処理装置において生信号及び量子生成パラメータから照合信号が求められてもよい。この破棄フラグは、例えば不確定結果を示すことに相当してもよい。また、第1の暗号化信号からの複数の量子測定パラメータのうちの対応する1つと暗号化信号の量子生成パラメータのうちの対応する1つとが破棄フラグを含む場合、第1の生信号の第1の桁位置のうちの1つを破棄することにより、第1のデータ処理装置において第1の生信号及び暗号化信号から第1の照合信号が求められてもよい。
【0017】
本方法は、第1のデータ処理装置において、第1の照合信号から第1のパリティデータを生成するステップと、第1のデータ処理装置において、この第1のパリティデータを初期鍵で暗号化して、第1の暗号化されたパリティデータにし、次いでこの第1の暗号化されたパリティデータを第2のデータ処理装置に送信するステップと、第2のデータ処理装置において、照合信号から第2のパリティデータを生成するステップと、第2のデータ処理装置において、この第2のパリティデータを初期鍵で暗号化して、第2の暗号化されたパリティデータにし、次いでこの第2の暗号化されたパリティデータを第1のデータ処理装置に送信するステップと、第1のデータ処理装置及び第2のデータ処理装置において、第1のパリティデータ及び第2のパリティデータを使用して第1の照合信号と照合信号との差分を求めるステップと、第1のデータ処理装置において、第1の照合信号と照合信号との差分に対して第1の照合信号を補正することにより、第1の照合信号から共有鍵を特定し、次いで第2のデータ処理装置において、この照合信号を共有鍵として特定するステップと、のうちの少なくとも1つをさらに含んでいてもよい。
【0018】
本方法は、第1のデータ処理装置において、第1の照合信号を共有鍵として特定し、次いで第2のデータ処理装置において、第1の照合信号と照合信号との差分に対して照合信号を補正することにより、照合信号から共有鍵を特定するステップをさらに含んでいてもよい。
【0019】
第1のパリティデータは、第1の照合信号における第1のデータブロックの第1のパリティビットを含んでいてもよく、また、第2のパリティデータは、照合信号における第2のデータブロックの第2のパリティビットを含んでいてもよい。あるいは、第1のパリティデータは、第1の照合信号の第1のシンドロームを含んでいてもよく、また、第2のパリティデータは、照合信号の第2のシンドロームを含んでいてもよい。
【0020】
第1のシンドロームは、複数の検査行列のうちの1つを第1の照合信号の第1の部分に乗算することによって求められてもよい。この第2のシンドロームは、複数の検査行列のうちの1つを第2の照合信号の第2の部分に乗算することによって求められてもよい。これら複数の検査行列のうちの少なくとも1つを示す検査行列情報は、第1のデータ処理装置又は第2のデータ処理装置において求められてもよい。この検査行列情報は、自身を暗号化せずに送信されてもよい。複数の検査行列、第1のシンドローム、及び/又は第2のシンドロームのそれぞれは、2値化されていてもよい。
【0021】
第1の照合信号及び/又は照合信号を補正するステップは、誤り桁位置を特定するステップを含んでいてもよい。この誤り桁位置は、誤りベクトルを使用して特定されてもよい。この誤りベクトルは、複数の検査行列のうちの1つ及び1つの誤りシンドロームから求められてもよい。この誤りシンドロームは、第1のシンドロームと第2のシンドロームとを2進加算することによって求められてもよい。
【0022】
誤り桁位置は、2分探索によって同様に特定されてもよい。この2分探索は、第1の照合信号と照合信号とをそれぞれ第1のデータブロックと第2のデータブロックとに反復的に分割し、次いで第1のデータブロックの第1のパリティ値と第2のデータブロックの第2のパリティ値とを求めて、これらを比較するステップとを含んでいてもよい。
【0023】
本方法は、第1のデータ処理装置において、第1の照合信号から第1の誤り情報を生成し、好ましくは、この第1の誤り情報を初期鍵で暗号化して、第1の暗号化された誤り情報にし、さらに好ましくは、第1の誤り情報又は第1の暗号化された誤り情報を第2のデータ処理装置に送信するステップと、第2のデータ処理装置において、照合信号から第2の誤り情報を生成し、好ましくは、この第2の誤り情報を初期鍵で暗号化して、第2の暗号化された誤り情報にし、さらに好ましくは、第2の誤り情報又は第2の暗号化された誤り情報を第1のデータ処理装置に送信するステップと、第1のデータ処理装置及び第2のデータ処理装置において、第1の誤り情報及び第2の誤り情報から、第1の照合信号と照合信号との誤り推定値を求めるステップと、第1の誤り情報及び第2の誤り情報を使用して、第1の照合信号及び照合信号の誤り部分を破棄するステップと、のうちの少なくとも1つをさらに含む。
【0024】
第1の誤り情報及び第2の誤り情報は、第1の照合信号の第1のパリティビット又はその一部と、第2の照合信号の第2のパリティビット又はその一部とをそれぞれ含んでいてもよい。これら第1の誤り情報及び第2の誤り情報は、第1の照合信号及び第2の照合信号と対応付けられてもよい。
【0025】
本方法は、第1のデータ処理装置においてハッシュデータを求め、このハッシュデータを初期鍵で暗号化して暗号化ハッシュデータにするステップと、この暗号化ハッシュデータを第2のデータ処理装置に送信するステップと、をさらに含んでいてもよい。本方法は、第2のデータ処理装置においてハッシュデータを求め、このハッシュデータを初期鍵で暗号化して暗号化ハッシュデータにするステップと、この暗号化ハッシュデータを第1のデータ処理装置に送信するステップと、をさらに含んでいてもよい。本方法は、第1のデータ処理装置及び第2のデータ処理装置において、ハッシュデータを使用してハッシュ方式を適用することにより、共有鍵から増幅鍵を特定するステップをさらに含んでいてもよい。
【0026】
このハッシュデータは、2進テプリッツ行列におけるランダム抽出を示してもよい。
【0027】
第1のパリティデータ、第2のパリティデータ、又はハッシュデータのうちの少なくとも1つは、照合信号、第1の照合信号、共有鍵、又は増幅鍵のうちの少なくとも1つと対応付けられている相関データを含んでいてもよい。
【0028】
本方法は、第1のデータ処理装置において、第1の照合信号、共有鍵、又は増幅鍵のうちの少なくとも1つと対応付けられていない第1の無相関パリティデータを生成し、次いでこの第1の無相関パリティデータを第2のデータ処理装置に送信するステップと、第2のデータ処理装置において、照合信号、共有鍵、又は増幅鍵のうちの少なくとも1つと対応付けられていない第2の無相関パリティデータを生成し、次いでこの第2の無相関パリティデータを第1のデータ処理装置に送信するステップと、のうちの少なくとも1つをさらに含んでいてもよい。
【0029】
あるいは、第1の無相関パリティデータと第2の無相関パリティデータとを同様に暗号化してから、これらを送信してもよい。
【0030】
これらの無相関データは、第1及び第2の照合信号を第1のデータブロックと第2のデータブロックとに分割することを示す、データブロック情報を含んでいてもよい。
【0031】
本方法は、第1のデータ処理装置及び第2のデータ処理装置に第2の初期鍵を供給するステップと、この第2の初期鍵によって、第1のデータ処理装置及び第2のデータ処理装置を認証するステップと、をさらに含んでいてもよい。
【0032】
この第2の初期鍵は、初期鍵と異なっていてもよい。あるいは、この初期鍵と第2の初期鍵とは同一である。例えば、第2の初期鍵で生成された署名を送信される古典信号それぞれに付加することにより、送信される古典信号を認証することができる。
【0033】
共有鍵及び/又は増幅鍵は、第1のデータ処理装置及び第3のデータ処理装置においてのみ特定されてもよい。本方法は、第3のデータ処理装置において、複数の追加の量子生成パラメータを求めるステップと、第3のデータ処理装置において、これら複数の追加の量子生成パラメータを使用して、第3の生信号から複数の第3の量子状態を含む第3の量子信号を生成するステップと、この第3の量子信号を第3のデータ処理装置から第2のデータ処理装置に送信するステップと、をさらに含んでいてもよい。
【0034】
これら複数の量子状態のそれぞれは、第1のデータ処理装置と第2のデータ処理装置との間の複数の共有もつれ量子状態のうちの1つの短縮状態であってもよい。
【0035】
複数の共有もつれ量子状態のそれぞれは、もつれ光子対を含み得る。
【0036】
初期鍵は、RSA(リベスト・シャミア・エーデルマン(Rivest-Shamir-Adleman))方式又はディフィー・ヘルマン(Diffie-Hellman)方式を用いて供給されてもよい。初期鍵はまた、例えば信頼できるクーリエを使用して、異なる方法で配送されてもよい。この初期鍵は、第1のデータ処理装置及び第2のデータ処理装置に供給(配送)されてもよい。また、この初期鍵は、第3のデータ処理装置に供給されてもよい。
【0037】
共有鍵又は増幅鍵を使用して、追加の古典メッセージが暗号化されてもよい。この暗号化は、ワンタイムパッド方式又は対称鍵方式、好ましくは高度暗号化標準(advanced encryption standard:AES)を用いて実行されてもよい。
【0038】
第1のパリティデータ長及び/又は第2のパリティデータ長に共有鍵長が等しくてもよく、具体的には、第1のシンドローム長及び/又は第2のシンドローム長に等しくてもよい。あるいは、第1のパリティデータ長及び/又は第2のパリティデータ長に増幅鍵長が等しくてもよく、具体的には、第1のシンドローム長及び/又は第2のシンドローム長に等しくてもよい。
【0039】
第1の生信号、生信号、第1の暗号化信号、暗号化信号、第1の照合信号、照合信号、共有鍵、又は増幅鍵のうちの少なくとも1つ、好ましくは、それぞれは古典信号であり得る。第1の生信号、生信号、第1の暗号化信号、暗号化信号、第1の照合信号、照合信号、共有鍵、又は増幅鍵のうちの少なくとも1つ、好ましくは、それぞれは2進値で構成され得、具体的には、桁位置ごとに1つの2進値を有し得る。初期鍵及び/又は第2の初期鍵は、第1のデータ処理装置及び第2のデータ処理装置のみ、そして必要に応じて第3のデータ処理装置に供給され得るが、外部データ処理装置には供給されない。
【0040】
量子鍵配送のための方法に関する前述の実施形態は、量子鍵配送のためのシステムに対応して提供され得る。
【図面の簡単な説明】
【0041】
以下では、例示として、図面を参照しながら実施形態について説明する。
図1】量子鍵配送のためのシステム及び外部データ処理装置の配置を示すグラフィカル図である。
図2】量子鍵配送のための方法を示すグラフィカル図である。
図3】従来型の量子鍵配送と量子鍵配送のための本方法とを比較した図である。
図4】従来型の量子鍵配送及び提案している本方法用に設けられた通信チャネル長の関数としてシミュレートされた、鍵レートを示すグラフ図である。
【発明を実施するための形態】
【0042】
図1は、量子鍵配送のためのシステム及び外部データ処理装置12の配置を示すグラフィカル図である。本システムは、第1のデータ処理装置10(「アリス」)と、第2のデータ処理装置11(「ボブ」)と、を備える。第1のデータ処理装置10は第1の記憶装置10aを含み、第2のデータ処理装置11は第2の記憶装置11aを含む。
【0043】
第1のデータ処理装置10と第2のデータ処理装置11とは、例えば通信チャネル13を介して古典信号及び/又は量子信号を交換することができる。通信チャネル13は、量子信号を送るように構成された量子チャネルを含んでいてもよい。例えば、通信チャネル13は光ファイバを含んでいてもよい。通信チャネル13はまた、第1のデータ処理装置10と第2のデータ処理装置11との間の自由空間であり得る。通信チャネル13は、古典信号を送信するための古典チャネルをさらに含んでいてもよい。光ファイバは、量子チャネルと古典チャネルとで共用されてもよい。あるいは、量子チャネルと古典チャネルとを離隔させることができる。
【0044】
本システムは、複数の追加のデータ処理装置、具体的には、第3の記憶装置(図示せず)を有する第3のデータ処理装置を備えていてもよい。この第3のデータ処理装置は、通信チャネル13に接続されてもよい。付加的に又は代替的に、第3のデータ処理装置は、別の通信チャネルを介して古典信号並びに/又は量子信号を第1のデータ処理装置10及び/若しくは第2のデータ処理装置11と交換することができる。
【0045】
外部記憶装置12aを有する外部データ処理装置12(「イブ」)は本システムの外部にあり、例えば接続部14を介して通信チャネル13にアクセスする可能性がある潜在的な盗聴装置を表す。外部データ処理装置12は、通信チャネル13を介して送信される古典信号及び/又は量子信号の少なくとも一方若しくはいずれかが外部データ処理装置12によって受信及び/又は再送信されるように、通信チャネル13に配置され得る。外部データ処理装置12はまた、別の通信チャネルにアクセスする可能性がある。外部データ処理装置12はまた、複数の追加の外部データ処理装置に接続され得、これら複数の外部データ処理装置はそれぞれ、通信チャネル13にアクセスする可能性があり、かつ/又はこれら複数の外部データ処理装置はそれぞれ、第1のデータ処理装置10若しくは第2のデータ処理装置11の近傍に配置され得る。
【0046】
第1の記憶装置10a、第2の記憶装置11a、第3の記憶装置及び外部記憶装置12aはそれぞれ、量子信号を記憶するように構成された量子メモリと、古典信号を記憶するように構成された古典メモリとを含む。この量子メモリは、光遅延線、制御された可逆な不均一広がり(controlled reversible inhomogeneous broadening:CRIB)、Duan-Lukin-Cirac-Zoller(DLCZ))型方式、エコー抑制による再生(revival of silenced echo:ROSE)、及び/又はハイブリッド光子エコーリフェージング(hybrid photon echo rephasing:HYPER)を用いて設けられてもよい。
【0047】
第1の、第2の、第3の、及び外部データ処理装置(10、11、12)はそれぞれ、量子状態を送信及び/又は受信する手段を備える。
【0048】
第1の古典データX(例えば、第1のデータ処理装置10の第1の記憶装置10a又は第3のデータ処理装置の第3の記憶装置内の)及び第2の古典データY(例えば、第2のデータ処理装置11の第2の記憶装置11a内の)における第1の古典相互情報量I(X:Y)は、以下の(1)の式によって得られ、
cl(X:Y)=H(X)-H(X│Y),(1)
【0049】
その際、第1の古典データXのシャノンエントロピーH(X)と第1の古典データXのシャノンエントロピーH(X|Y)とは、第2の古典データYを認識していることを条件とする。
【0050】
第1のデータ処理装置10と第2のデータ処理装置11とが共に共有量子状態ρABを含む場合、古典相互情報量Icl(A:B)の一般化が定義され得る。
【0051】
以下の式(2)で得られる第1のデータA(例えば、第1の記憶装置10a内の)及び第2のデータB(例えば、第2の記憶装置11a内の)における第1の量子相互情報量I(A:B)では、
I(A:B)=S(A)-S(A|B),(2)
【0052】
第1のデータA及び第2のデータBのそれぞれは、量子情報量及び古典情報量の両方を含んでいてもよく、この第1の量子相互情報量は、シャノンエントロピーHの代わりに、(フォン・ノイマン)エントロピーSによって定義される。量子相関がない場合、第1の量子相互情報量I(A:B)は、第1の古典相互情報量Icl(A:B)と一致する。
【0053】
以下の式(3)で得られる第1のデータA及び第2のデータBにおけるアクセス可能情報量Iacc(A:B)は、
【数2】
【0054】
第1のデータAと第2のデータBとの古典相関の最大値を定量化したものであり、この最大値は、第2のデータ処理装置11において、量子観測可能量M={Mによって記述される測定を実行することによって求めることができ、ここで、各Mは非負のエルミート演算子であり、Mを足し合わせると、次のように恒等演算子になる:Σ=I。状態ρABのサブシステムBに適用すると、共有量子状態ρABを測定する際に、確率
【数3】
で測定結果bが生じる。(行列)トレースはTrで表される。非負のエルミート演算子Mは、測定結果bに対応する。また、Bが減少した量子状態は、以下の式によって記述される。
【0055】
【数4】
【0056】
Bに対する部分トレースはTrで表される。
【0057】
量子不一致
【数5】
は、すべての相関と古典相関との差として定義されている。以下の式(4)で得られる量子不一致Dは、第1のデータ処理装置10と第2のデータ処理装置11との量子相関のみを定量化している。
【0058】
【数6】
【0059】
アクセス可能情報量Iaccは、連鎖律、ひいては情報因果律の原理に違反する可能性がある。とりわけ、特定の量子状態について、以下の式が成り立つ。
【0060】
【数7】
【0061】
ここで、第1のアクセス可能情報量Iacc(A,K:B,K)は、鍵データKを有する鍵kが第1のデータ処理装置10から第2のデータ処理装置11に送信された場合のアクセス可能情報量を表し、第2のアクセス可能情報量Iacc(A,K:B)は、鍵kが第2のデータ処理装置11に送信されていない場合のアクセス可能情報量を表す。ここで、鍵データKを使用して測定することにより、鍵データKを使用せずにその後で鍵kのみを取得するよりも、多くの情報がもたらされ得る。
【0062】
式(5)が成り立つ典型的な状態
【数8】
は、以下の式(6)によって記述され、
【数9】
【0063】
ここで、基本状態|a>及び|a,k>である場合、ユニタリ行列U、単位行列U、及びU|a>は|a>と相互にバイアスされない。共役転置は(・)で表される。
【0064】
【数10】
でインデックス付けされたA量子状態は第1のデータ処理装置10にあり、
【数11】
でインデックス付けされたB量子状態は第2のデータ処理装置11にある。典型的な状態
【数12】
では、第1のアクセス可能情報量はIacc(A,K:B,K)=m+1であり、第2のアクセス可能情報量はIacc(A,K:B)=m/2である。したがって、シングルビットのみを含む鍵kを使用して取得された、m/2個の付加情報が存在する。量子不一致Dは、量子データロッキングの利点を定量化している。
【0065】
ここでの目的は、第1のデータ処理装置10と第2のデータ処理装置11との間の共有データに対する、外部データ処理装置12のアクセスを制限することである。通常、共有データへのアクセスを最小限に抑えるためには、第2のデータ処理装置10と外部データ処理装置12との第2の量子相互情報量I(A:E)を測定し、これを最小限に抑える必要がある。
【0066】
この第2の量子相互情報量I(A:E)は、第2のデータ処理装置11において求められたアクセス・インジケータ・パラメータによって測定され得る。このアクセス・インジケータ・パラメータは、例えば量子ビット誤り率を含んでいてもよい。
【0067】
続いて、第1のデータ処理装置10及び第2のデータ処理装置11において誤り訂正と秘匿性増強とが実行され、以下の(7)の鍵レートを有する鍵kが生成される。
【0068】
【数13】
【0069】
外部データ処理装置12に、実質的に無制限のリソースと、量子一括測定を含む任意の測定形式を実行する機能とが備わっていると仮定すると、第2の量子相互情報量I(A:E)はホレボ容量Cによって、以下の式(8)のように制限される。
【0070】
【数14】
【0071】
ここで、
【数15】
は外部データ処理装置12内の第3の量子状態のセットであり、この第3の量子状態
【数16】
はそれぞれ、第3の確率
【数17】
で発生しており、xをホレボ値と呼んでいる。本方法のセキュリティを証明するために、求められたアクセス・インジケータ・パラメータに帰結し得る状態のセットが考慮され得、これにより、第2の量子相互情報量I(A:E)が制限され得る。
【0072】
図2は、量子鍵配送のための方法を示すグラフィカル図である。
【0073】
本方法により、外部データ処理装置12において、特定可能なデータ量を削減することができる。これに応じて、第2の量子相互情報量I(A:E)は、Cよりも低い値によって制限され得る。このために、鍵kに関する古典情報量、又はこれと対応付けられたその後の信号が、外部データ処理装置12によって特定されてはならない。これは、後処理中に生成され、外部データ処理装置12によって特定され得る後処理情報を暗号化することによって達成され得る。第2の量子相互情報量I(A:E)が減少すると、鍵レートrkeyは増大する(式(7)を参照のこと)。
【0074】
第1のステップ21で、第1のデータ処理装置10及び第2のデータ処理装置11に初期秘密鍵が供給される。これは、例えば既知の古典的鍵配送プロトコル若しくは量子鍵配送プロトコル、又は本方法における先行実行から先行する鍵を使用することによって達成され得る。また、第1のデータ処理装置10及び第2のデータ処理装置11に、相互認証を行うための第2の初期鍵が供給される。
【0075】
第2のステップ22で、確率分布
【数18】
を有する乱数発生器を使用することにより、第1のデータ処理装置10の第1の記憶装置10aで複数の第1の量子状態
【数19】
を含む第1の量子信号が生成される。このために、確率分布
【数20】
を用いて中間古典信号が生成され、次いで第1の記憶装置10aの古典メモリに記憶されてもよく、また、第1の量子信号は中間古典信号に従って生成されてもよい。この確率分布
【数21】
は、均一な確率分布とすることができる。第1の量子状態
【数22】
はそれぞれ、(古典的な)第1の生信号の1桁、例えば1ビットを符号化し、これに対応することができる。第1の量子信号は、通信チャネル13を介して第1のデータ処理装置10から第2のデータ処理装置11に送信される。
【0076】
複数の第1の量子状態
【数23】
が(接続部14を介して)外部データ処理装置12において受信され得、また外部データ処理装置12が量子一括(測定)攻撃を実行することができる場合、複数の第1の量子状態
【数24】
及びアンシラ
【数25】
のそれぞれに対してユニタリ演算
【数26】
(ヒルベルト空間H及びHが、サブシステムA及びEにそれぞれ対応している状態で)が実行され、外部データ処理装置12の外部記憶装置12a内に複数の第3の量子状態
【数27】
【数28】
が生成され、次いで第2のデータ処理装置11にこれをさらに送信した後、第2のデータ処理装置11の第2の記憶装置11a内に複数の(第2の)量子状態
【数29】
【数30】
が生成される。
【0077】
第3のステップ23で、第2のデータ処理装置11において、例えばランダム分布を使用して複数の量子測定パラメータが求められる。さらに、第2のデータ処理装置11において、複数の量子測定パラメータを使用して複数の第2の量子状態
【数31】
が測定され、古典的な(第2の)生信号が生成される。第2の生信号の桁位置はそれぞれ、これら複数の量子測定パラメータのうちの1つ及び複数の第2の量子状態のうちの1つに対応している。
【0078】
第4のステップ24で、第1のデータ処理装置10及び第2のデータ処理装置11において、通信チャネル13を使用して基底照合が実行される。
【0079】
一実施形態では、測定結果のうちの対応する1つが不確定結果である場合、第2の生信号の(第2の)桁位置を破棄することにより、第2のデータ処理装置(11)において第2の生信号及び測定結果から(第2の)照合信号が求められる。また、第2のデータ処理装置(11)において、初期鍵を使用して(第2の)暗号化信号が生成され、次いで第1のデータ処理装置(10)に送信される。この第2の暗号化信号は、不確定結果に対応する測定結果を示す。次に、第1のデータ処理装置(10)において、第2の暗号化信号が復号される。次いで、測定結果のうちの対応する1つが、1つの不確定結果と一致する場合、第1の生信号の第1の桁位置を破棄することにより、第1のデータ処理装置(10)において第1の生信号から第1の照合信号が求められる。
【0080】
別実施形態では、第1のデータ処理装置(10)において、初期鍵を使用して、複数の量子生成パラメータのうちの少なくとも1つを示す第1の暗号化信号が生成され、次いで第2のデータ処理装置(11)に送信される。これとは逆に、第2のデータ処理装置(1)において、複数の量子測定パラメータのうちの少なくとも1つを示す第2の暗号化信号が初期鍵を使用して生成され、次いで第1のデータ処理装置(10)に送信される。
【0081】
次いで、第2の暗号化信号からの複数の量子測定パラメータのうちの対応する1つと、量子生成パラメータのうちの対応する1つとが一致しない場合、第1の生信号における第1の桁位置のうちの1つを破棄することにより、第1のデータ処理装置(10)において第1の生信号及び第2の暗号化信号から第1の照合信号が求められる。
【0082】
さらに、複数の量子測定パラメータのうちの対応する1つと、量子生成パラメータのうちの対応する1つとが一致しない場合、第2の生信号における桁位置のうちの1つを破棄することにより、第2のデータ処理装置(11)において第2の生信号及び複数の量子測定パラメータから第2の照合信号が求められる。
【0083】
既知のプロトコルでは、初期鍵を使用したそのような暗号化は用いられていない。
【0084】
第5のステップ25で、第1の照合信号と第2の照合信号との誤り推定値が求められる。このために、第1のデータ処理装置(10)において、第1の照合信号から第1の誤り情報が生成され、必要に応じて初期鍵で暗号化され、次いで第2のデータ処理装置(11)に送信される。これとは逆に、第2のデータ処理装置(11)において、第2の照合信号から第2の誤り情報が生成され、必要に応じて初期鍵で暗号化され、次いで第1のデータ処理装置(10)に送信される。次いで、第1のデータ処理装置(10)及び第2のデータ処理装置(11)において、第1の誤り情報及び第2の誤り情報から誤り推定値が求められる。第1の誤り情報と第2の誤り情報とは、例えば第1の照合信号における第1のパリティビット又はその一部と、第2の照合信号における第2のパリティビット又はその一部とをそれぞれ含み得る。この場合、第1の誤り情報と第2の誤り情報とは、送信前に暗号化される。また、誤り推定値は、第1のパリティビットと第2のパリティビットとを比較することによって求められる。付加的に又は代替的に、この誤り推定値は、視認性及び/又はデコイ状態の統計値をさらに含んでいてもよい。
【0085】
第1の誤り情報は、第1の照合信号における第1の桁位置の第1のサブセットをさらに含み得、また、第2の誤り情報は、第2の照合信号における第2の桁位置の第2のサブセットを含み得る。この場合、第1の誤り情報と第2の誤り情報とは暗号化されなくてもよい。第1の桁位置の第1のサブセットと第2の桁位置の第2のサブセットとの和集合が、その後、第1及び第2の照合信号から破棄される。
【0086】
誤り率が閾値を上回る場合、本方法は中止される。そうでない場合、本方法は継続される。誤り推定値は、第2の量子相互情報量I(A:E)又は第3の量子相互情報量I(B:E)の推定値をさらにもたらす。第1の照合信号及び第2の照合信号の誤り部分は破棄されてもよい。
【0087】
第6のステップ26で、誤り訂正が実行される。このために、第1のデータ処理装置(10)において、第1の照合信号から第1のパリティデータが生成され、初期鍵で暗号化され、次いで第2のデータ処理装置(11)に送信されてもよい。付加的に又は代替的に、第2のデータ処理装置(11)において、第2の照合信号から第2のパリティデータが生成され、初期鍵で暗号化され、次いで第1のデータ処理装置(10)に送信されてもよい。
【0088】
続いて、第2のデータ処理装置(11)において、第1のパリティデータから第1の照合信号と第2の照合信号との差分が求められ得る。付加的に又は代替的に、この差分は、第1のデータ処理装置(10)において求められ得る。
【0089】
これにより、種々の実施形態に従って、第1のデータ処理装置(10)及び第2のデータ処理装置(11)の両方における共有鍵が特定され得る。
【0090】
一実施形態によれば、この共有鍵は、第1のデータ処理装置(10)において、第1の照合信号と第2の照合信号との差分に対して第1の照合信号を補正することにより、第1の照合信号から特定される。第2のデータ処理装置(11)では、第2の照合信号が共有鍵であると判定される。とりわけ共有鍵は、第1のデータ処理装置(10)及び第2のデータ処理装置(11)の両方において同一でさえあればよいが、この共有鍵の具体値は通常、ランダムに決定される。ここでは、第2の照合信号がマスタ信号であると判定され、第1の照合信号が補正される(逆照合)。
【0091】
別実施形態によれば、この共有鍵は、第2のデータ処理装置(11)において、第1の照合信号と第2の照合信号との差分に対して第2の照合信号を補正することにより、第2の照合信号から特定される。第1のデータ処理装置(10)では、第1の照合信号が共有鍵であると判定される。ここでは、第1の照合信号がマスタ信号であると判定され、第2の照合信号が補正される(直接照合)。
【0092】
第1のパリティデータは、第1の照合信号における第1のデータブロックの第1のパリティビットを含んでいてもよく、また、第2のパリティデータは、第2の照合信号における第2のデータブロックの第2のパリティビットを含んでいてもよい(カスケード方式)。その一方で、第1及び第2の照合信号をデータブロックへと分割することを示すデータブロック情報は、暗号化されずに送信されてもよい。
【0093】
あるいは、第1のパリティデータは、第1の照合信号の第1のシンドロームを含んでいてもよく、また、第2のパリティデータは、第2の照合信号の第2のシンドロームを含んでいてもよい(線形誤り訂正符号方式又は線形ブロック符号方式)。これら第1のシンドローム及び第2のシンドロームは、複数の検査行列のうちの1つを第1の照合信号及び第2の照合信号の(ベクトル化された)データブロックにそれぞれ乗算することによって求められ得る。とりわけ、各シンドロームビットは、複数の検査行列のうちの1つにおいて対応する行の、1値ビットのパリティビットを構成している。その一方で、複数の検査行列のうちの少なくとも1つを示す検査行列情報は、暗号化されずに送信されてもよい。
【0094】
第1のパリティデータ及び/若しくは第2のパリティデータから、とりわけ開示しているいくつかのパリティビット並びに/又は第1のシンドローム及び/若しくは第2のシンドロームの長さから、情報漏洩量が特定されてもよい。外部データ処理装置12において特定され得る部分的な鍵情報が増大すると、情報漏洩が拡大する可能性がある。
【0095】
第6のステップ26の目的は、第1及び第2の照合信号に関する古典情報量、ひいては共有鍵の漏洩を防止することである。第6のステップ26の前に、外部データ処理装置の外部記憶装置12aに、第3の確率
【数32】
で第3の量子状態
【数33】
が供給されていてもよい。外部データ処理装置12が量子一括攻撃手段を備える場合、第3の確率
【数34】
は、共有鍵の桁位置k1,,...,kに依存しておらず、これはk=k...kとして構築されている。したがって、共有鍵k=k...kに対応する、第3の量子信号
【数35】
それぞれの結合確率は、以下の式(9)のような積形式を有する。
【0096】
【数36】
【0097】
そのような第3の量子信号(積量子状態としての)及び積確率分布
【数37】
において、量子チャネル容量は加法的となり、個々の測定値は、以下の式(10)のように最良の結果をもたらす。
【0098】
【数38】
【0099】
ここで、左辺は、N個の量子状態(N回分の相互情報量I)上のすべての観測可能量Mに対する最大化を表し、右辺は、単一の量子状態(ワンショットの相互情報量I)上の個々の観測可能量Mに対する個々の最大化を表す。したがって、第6のステップ26の前に、個々の測定値に対応するワンショットの相互情報量Iによって、ビットごとの共有鍵に関する情報が制限される。
【0100】
第6のステップ26で、第1及び第2のパリティデータが暗号化されない状態で、一部の共有鍵情報が外部データ処理装置12に漏洩し得る。カスケード方式の場合、こうした情報漏洩は、送信されるデータブロックの第1及び第2のパリティビットに起因している可能性がある。線形誤り訂正符号方式の場合、こうした情報漏洩は、送信される第1及び/又は第2のシンドロームに起因している可能性がある。重要なのは、漏洩したすべてのパリティビットによって、第1のデータ処理装置10及び第2のデータ処理装置11の共有鍵において、有効なビットの組み合わせ(符号語)数が半分になるということである。例えば、3ビットのビット文字列の場合、パリティビット値が1であることは、ビット文字列000、011、101及び110がそれぞれ0の確率を有することを意味している。したがって、8つの組み合わせのうち4つだけが残り、第3の量子信号
【数39】
に対する結合確率
【数40】
が変化する。
【0101】
第1のパリティデータ及び第2のパリティデータを暗号化せずに誤り訂正を行う場合、第1のデータ処理装置10と外部データ処理装置12とは、符号化実行時に最終的に古典量子チャネルの状況となる。具体的には、Cビットが漏洩した場合、有効な共有鍵のビット組み合わせ数が2から2N-Cに減少する。したがって、第1のデータ処理装置10及び外部データ処理装置12に関して、第1のデータ処理装置10によって符号語のセットが供給されており、この符号語のセットの把握が必要になる量子一括測定が、外部データ処理装置12によって実行され得るという点で、量子チャネル符号化定理の要件が満たされていると言える。この量子一括測定を用いて桁位置ごとの相互情報を最大化したものは、式(10)のワンショットの相互情報量Iよりも大きいホレボ値(式(8)を参照のこと)によってもたらされる。
【0102】
第1及び第2のパリティデータを暗号化せずに誤り訂正を行う場合、第1のデータ処理装置10と外部データ処理装置12とは、量子データロッキングプロトコルを実行して、外部データ処理装置12にCビットの古典情報量を供給していると考えることができる。これにより、潜在的に量子一括測定を実行していることに起因して、外部データ処理装置12における共有鍵を特定する際の不確実性が、Cビットよりも多く低下することになる。
【0103】
これに対して、提案している量子鍵配送のための方法を用いることにより、上述したように、外部データ処理装置12に共有鍵情報を供給することなく、量子データロッキングプロトコルを付与することができる。本方法では、確率の変化を示す情報(結合確率
【数41】
を変化させる)のいずれも公開してはならない。したがって、この結合確率
【数42】
は、式(9)のような積形式を有する必要がある。これは、共有鍵と対応付けられたすべての古典信号を暗号化することによって実行され得る。この共有鍵に対応付けられた鍵情報があれば、確率分布
【数43】
を変化させるが、これは、そうでなければ、共有鍵に関する情報と漏洩情報との間のその後の相互情報量I(K:C)が0になるためである。
【0104】
第6のステップ26で誤り訂正にカスケード方式を用いる場合、データブロックの第1のパリティビットとデータブロックの第2のパリティビットとは、初期鍵で暗号化される必要がある。その一方で、第1及び第2の照合信号をデータブロックへと分割することを示すデータブロック情報は、共有鍵と対応付けられていないため、公開送信されてもよい。
【0105】
線形誤り訂正符号方式を用いる場合、シンドロームを初期鍵で暗号化する必要があるが、複数の検査行列のうちの少なくとも1つを示す検査行列情報が公開送信されてもよい。本方法では、第1のデータ処理装置と第2のデータ処理装置との間で送信されるすべての相関データ、具体的には後処理データが、初期鍵で暗号化される必要がある。
【0106】
第7のステップ27で、情報漏洩を最小限に抑えるために、共有鍵に秘匿性増強が適用され、共有鍵よりも短い増幅鍵が生成される。この秘匿性増強に応じて、増幅鍵に関するその後の盗聴者情報は、0に近似していると判定され得る。
【0107】
このために、第1のデータ処理装置(10)又は第2のデータ処理装置(11)の一方でハッシュデータが求められ、暗号化され、次いで第1のデータ処理装置(10)又は第2のデータ処理装置(11)のもう一方に送信される。このため、第1のデータ処理装置(10)と第2のデータ処理装置(11)との間でハッシュデータが分散される。このハッシュデータを命令データとして使用して、第1のデータ処理装置(10)及び第2のデータ処理装置(11)の両方で共有鍵にハッシュ方式が適用され、第1のデータ処理装置(10)及び第2のデータ処理装置(11)の両方で増幅鍵が生成される。このハッシュデータは、例えば、ベクトルとして共有鍵に乗算される2進テプリッツ行列におけるランダム抽出を示してもよい。
【0108】
このように、第1のデータ処理装置10及び第2のデータ処理装置11の両方で(同じ)共有鍵、好ましくは(同じ)増幅鍵を配送すると、その後の(古典)メッセージが共有鍵又は増幅鍵で暗号化され得、次いで第1のデータ処理装置10から第2のデータ処理装置11へ、かつ/又は第2のデータ処理装置11から第1のデータ処理装置10へと送信され得る。
【0109】
提案している本方法では、誤り訂正中の情報漏洩量は0になるが、その一方で初期鍵は使い尽くされる。その後のメッセージを暗号化するためにワンタイムパッド方式が用いられる場合、暗号化に必要な量と同量の鍵情報が使い尽くされる。あるいは、例えばその後のメッセージを暗号化するためにAESが用いられる場合、暗号化に必要な鍵情報のうちで使い尽くされる量が少なくなる。好ましくは、共有鍵長又は増幅鍵長は、シンドローム長又はパリティデータ長に等しい。
【0110】
図3は、a)初期鍵を使用した暗号化なしの従来型の量子鍵配送と、b)ワンタイムパッドを使用する提案中の本方法とを比較した図である。従来型の量子鍵配送及び提案中の本方法の両方において、第2の初期鍵が認証に使用されている。図3b)に対応する本方法の実施形態では、第2の初期鍵も同様に初期鍵として使用されている。
【0111】
従来型の量子鍵配送では、初期鍵データ量30は従来型の共有鍵データ量31の分だけ増加し、その後の追加データの暗号化に使用され得る。提案している本方法では、初期鍵データ量30に加えて、例えば共有鍵と対応付けられた相関データを暗号化するために、相関鍵データ量32が使用される。ただしここで、その後の追加データの暗号化に使用され得る鍵データ量は、従来型の共有鍵データ量31の分だけ増加するだけでなく、鍵利得33の分だけさらに増加する。この鍵利得33は、第2の量子相互情報量I(A:E)の減少、即ち、外部データ処理装置12に対する情報漏洩量が減少したことに起因するものである。ワンタイムパッドの代わりにAES又は別の古典的な暗号化方式が用いられる場合、鍵利得33を保持しながら、相関鍵データ量32がより少なくなるようにすることができる。
【0112】
提案している本方法は、正規ユーザが鍵レートを増大させるのを補助することができる。盗聴者への潜在的な情報漏洩が大幅に低減される。第1のデータ処理装置10及び第2のデータ処理装置11に対するハードウェアの変更は、必要に応じて最小限に留められ得る。本方法は、一方の第1のデータ処理装置10(及び第2のデータ処理装置11)内のデータと他方の外部データ処理装置12内のデータとの間の相関を固定する量子データロッキングプロトコルと考えられ得る。量子測定パラメータなどの追加データが供給されない場合、外部データ処理装置で適切な量子測定を実行することができなくなる。この追加データは、確率分布の変化を示すデータと、相関データとを含む。理論上は無制限の量子リソースを利用できる盗聴者に対するセキュリティが、1つの難題となっている。この盗聴者は、使用される符号語や共有鍵又は増幅鍵と対応付けられた他の情報などの新情報をある時点で取得して、しかるべき測定を実行する可能性がある。したがって、lビットの初期鍵量の情報漏洩は、盗聴者にlビットを超える情報を提供する可能性がある。
【0113】
ただし、ここで重要なのは、時間制限された量子メモリを有する盗聴者に対して実際に適用できる事例では、提案している本方法が良好に機能するということである。したがって、盗聴者による量子メモリへの保存時間中に、共有鍵又は増幅鍵と対応付けられた情報が情報漏洩しなければよいことになる。初期鍵を用いた暗号化にAESのような古典的な暗号化方式が用いられる場合、その古典的な暗号化方式は、当該保存時間の間、十分にセキュアであると仮定される。
【0114】
本方法は、B92様のプロトコル、BB84プロトコル、並びに第1のデータ処理装置10及び第3のデータ処理装置がそれぞれの量子状態を第2のデータ処理装置11に送信するプロトコル、例えば測定装置に依存しない量子鍵配送又はツインフィールド量子鍵配送などで使用され得る。第1のデータ処理装置10及び第2のデータ処理装置11に最初に共有もつれ状態がもたらされるプロトコル、並びに/又は第1のデータ処理装置10、第2のデータ処理装置11、及び潜在的盗聴者である外部データ処理装置12間で共有c‐c‐q状態が発生する別のプロトコルも、同様に使用され得る。
【0115】
<B92様のプロトコル>
以下では、このB92様のプロトコルを使用する、本方法の別実施形態について説明する。外部データ処理装置12は、ビーム分割攻撃を行うように構成されている。
【0116】
第1のステップ21で、第1のデータ処理装置10及び第2のデータ処理装置11に初期鍵が供給される。この初期鍵は、相互認証にも使用される。
【0117】
第2のステップ22で、強度μ=α(実数値αを有する)|±α〉の2つのコヒーレント状態|±α〉を含む量子信号が第1のデータ処理装置10で生成され、次いで第2のデータ処理装置11に送信される。ここで生成されるコヒーレント状態のタイプは、第1の生信号における第1の桁位置のうちの1つに対応している。具体的には、j番目に生成されるコヒーレント状態は、第1の生信号におけるj番目の第1の桁位置に割り当てられる。例えば、第1のコヒーレント状態|+α〉により、第1の生信号における第1の桁位置のうちの対応する1つが0に等しくなる結果がもたらされてもよい一方で、第2のコヒーレント状態|-α〉により、第1の生信号における第1の桁位置のうちの対応する1つが1に等しくなる結果がもたらされてもよい。共有量子状態は、古典量子状態として、以下の(11)のように記述される。
【0118】
【数44】
【0119】
ビーム分割攻撃のシナリオでは、コヒーレント状態|±α〉を外部記憶装置12aに部分的に流用することにより、外部データ処理装置12によってチャネル損失がシミュレートされ得る。このチャネル損失は、光ファイバの減衰係数
【数45】
と通信チャネル長lとに対して
【数46】
の強度低下が生じることによってもたらされる。このため、外部データ処理装置12には、外部強度がμ=μ(1-10-δl/10)の外部コヒーレント状態が生成され、次いで第2のデータ処理装置11に対して、強度がμ=μ10-δl/10の第2のコヒーレント状態|±α〉を送信する。第1のデータ処理装置10、第2のデータ処理装置11、及び外部データ処理装置12間の全体の共有量子状態は、以下の(12)によって得られ、
【数47】
【0120】
ここでは
【数48】
【数49】
であり、外部コヒーレント状態は|±α〉である。
【0121】
第3のステップ23で、第2のデータ処理装置11において、測定パラメータを使用して第2のコヒーレント状態|±α〉が測定され、この測定パラメータは、以下の測定演算子(13)が対応する、B92による観測可能量MB92={M,M,M}を含み、
【数50】
【0122】
これらの測定演算子はそれぞれ、測定結果のうちの1つに対応している。第2のコヒーレント状態|±α〉を測定する際、第1の測定演算子M(第1の測定結果に対応している)と第2の測定演算子M(第2の測定結果に対応している)とは確定的な信号情報を生成する一方、第3の測定演算子M(第3の測定結果に対応している)は不確定的な信号情報を生成する。次いで、第2のコヒーレント状態|±α〉を測定して得られた測定結果において判定された測定結果が、(第2の)生信号における桁位置のうちの1つに割り当てられる。具体的には、j回目の繰り返しで第2のコヒーレント状態|±α〉を測定して得られた測定結果において、j番目に判定された測定結果が、第2の生信号におけるj番目の桁位置に割り当てられる。
【0123】
第4のステップ24で、従来型の量子鍵配送を用いる場合、第2の生信号において第3の測定結果に対応する不確定的な桁位置が、第2のデータ処理装置11から(例えば、公開チャネルを介して)第1のデータ処理装置10に公開送信される。提案している本方法では、第2のデータ処理装置11から第1のデータ処理装置10に送信される前に、この不確定的な桁位置が初期鍵で暗号化されて、暗号化信号となる。さらに、この不確定的な桁位置が第2の生信号で破棄され、これによって第2の照合信号が生成される。第1のデータ処理装置10で暗号化信号を復号した後、この不確定的な桁位置も第1の生信号で破棄され、これによって第1の照合信号が生成される。
【0124】
第5のステップ25で、第1の照合信号と第2の照合信号との誤り推定値が求められる。第1の照合信号における第1の桁位置の第1のサブセットを含む第1の誤り情報と、第2の照合信号における第2の桁位置の第2のサブセットを含む第2の誤り情報とは、第1及び第2のデータ処理装置10、11においてそれぞれ求められ、相互に送信され、次いで比較される。第1の桁位置の第1のサブセットと第2の桁位置の第2のサブセットとの和集合が、その後、第1及び第2の照合信号から破棄される。第1の桁位置の第1のサブセットと第2の桁位置の第2のサブセットとは残りの桁位置と対応付けられていないため、第1の桁位置の第1のサブセットと第2の桁位置の第2のサブセットとを初期鍵で暗号化することなく、第1の桁位置の第1のサブセットと第2の桁位置の第2のサブセットとが送信され得る。
【0125】
付加的に又は代替的に、第1の誤り情報と第2の誤り情報とは、例えば第1の照合信号における第1のパリティビット又はその一部と、第2の照合信号における第2のパリティビット又はその一部とをそれぞれ含み得る。この場合、これら第1の誤り情報及び第2の誤り情報は、第1の照合信号及び第2の照合信号と対応付けられているため、送信前に暗号化される。
【0126】
第5のステップ25の後、外部データ処理装置12によってビーム分割攻撃が実行されている場合、外部記憶装置12aは外部コヒーレント状態|±α〉を含み得る。
【0127】
パリティビットの送信は、誤り率が小さい場合に有用となり得る。例えば、観測された誤り率が約1%である場合、1000ビットを10個の誤りで送信すると、不正確な誤り推定値が得られる。例えば、長さ10の1000個のデータブロックを選択し、これら1000個のデータブロックのそれぞれに対するデータブロックのパリティビットを送信すると、より有用となり得る。データブロックのパリティビットが不一致である確率ははるかに高いため、ベイズの定理を用いると、より良好な誤り推定値をもたらすことができる。この場合、桁位置の破棄は好ましいとは言えないが、少なくともその後の秘匿性増強の間、データブロックのパリティビットの漏洩が考慮されるべきである。
【0128】
第6のステップ26で、第1及び第2の照合信号の誤り訂正が実行される。例えば、第1の照合信号が第1の文字列s=(01100101)を含み、第2の照合信号が第2の文字列s=(01000101)を含む場合、桁位置3は誤りである。誤り推定値が求められていれば、この場合、1つの誤り桁位置しか存在しないと判定され得る。したがって、その1つの誤り桁位置のみが特定される必要がある。
【0129】
カスケード方式を用いる場合、第1の文字列sと第2の文字列sとは、それぞれ第1のデータブロックと第2のデータブロックとにランダムに分割される。第1のデータブロック及び第2のデータブロックのそれぞれにおいて、第1のパリティビット及び第2のパリティビットが特定され、暗号化され、次いで第1のデータ処理装置10と第2のデータ処理装置11との間で送信される。誤り桁位置は、2分探索によって特定される。
第1の文字列sはパリティ0を有し、第2の文字列sはパリティ1を有する。第1の文字列s及び第2の文字列sの第1の半部(0110)と(0100)とは、それぞれパリティ0とパリティ1とを有する。第1の半部が異なるパリティを有するため、誤り桁位置はこの第1の半部内に位置する。第1の半部をさらに半分にすると、第1の文字列s及び第2の文字列sにおける第1の四半部(01)、(01)及び第2の四半部(10),(00)が得られる。第1の文字列s及び第2の文字列sにおける第1の四半部(01)、(01)は一致しており、同じパリティを有する。したがって、誤り桁位置は、第1の文字列s及び第2の文字列sにおける第2の四半部(10),(00)、即ち桁位置3に位置する。
【0130】
この誤り桁位置を特定するためには、4つの第1及び第2のパリティビットを第1のデータ処理装置10と第2のデータ処理装置11との間で送信する必要があった。
【0131】
線形ブロック符号方式を用いる場合、例えば、以下の(14)などの2値化された検査行列(公開送信され得る)を
【数51】
使用して、第1のシンドローム
【数52】
及び第2のシンドローム
【数53】
が計算される。
【0132】
第1のシンドロームzは暗号化されて、第1のデータ処理装置10から第2のデータ処理装置11に送信される。あるいは、第2のシンドロームzは暗号化されて、第2のデータ処理装置11から第1のデータ処理装置10に送信される。続いて、第1のデータ処理装置10及び第2のデータ処理装置11の双方において、誤りシンドローム
【数54】
が求められる。次いで、誤りシンドロームの連立方程式から求められる誤りベクトルeは、以下の(15)の通りである。
【0133】
He=z(15)
【0134】
この誤りシンドロームの連立方程式が劣決定系であるため、誤りベクトルeは、例えば、最尤推定又は1ノルム最小化によって求められ得る。ここで、この誤りベクトルeは、(00100000)であると判定される。これにより、誤り桁位置が特定される。
【0135】
直接照合の場合、第1の文字列sが正しいと見なされるため、第2の文字列sが修正されて、共有鍵(01100101)が生成される。逆照合の場合、第2の文字列sが正しいと見なされるため、第1の文字列sが修正されて、共有鍵(01000101)が生成される。
【0136】
第1及び第2のパリティデータが第1及び第2の照合信号と対応付けられたデータ(カスケード方式を用いた場合の、第1のパリティビット及び第2のパリティビット、又は線形ブロック符号を用いた場合の、第1及び第2のシンドロームなど)を含む場合、第1及び第2のパリティデータは、セキュリティ要件に応じて、例えばAES又はワンタイムパッドのような古典的な暗号化方式を用いて暗号化されるべきである。
【0137】
従来型の量子鍵配送では、外部データ処理装置12に漏洩した第2の量子相互情報量I(A:E)は、外部記憶装置12a内の外部コヒーレント状態|±α〉のホレボ値によって、以下の式(16)のように制限され、
【数55】
【0138】
ここで、2進シャノンエントロピーはh(x)=-xlogx-(1-x)log(1-x)となる。
【0139】
これに対して、提案している本方法では、第2の量子相互情報量I(A:E)は、量子一括測定ではなく、個別量子測定のみを実行することに相当するワンショット容量Cによって制限される。外部コヒーレント状態{|±α〉}の最良分解能は、誤り確率
【数56】
が計算される。
【0140】
したがって、第2の量子相互情報量I(A:E)は、以下の式(17)のように制限される。
【0141】
【数57】
【0142】
第7のステップ27で、共有鍵を増幅鍵の長さまで短縮することで、外部データ処理装置12への情報漏洩を最小限に抑える。このために、以下の(18)を一例とする、ランダム2進テプリッツ行列T
【数58】
が求められ、公開共有される。このテプリッツ行列Tは、その第1の行及びその第1の列によって一意に識別可能である。したがって、このテプリッツ行列Tを共有するためには、第1の行及び第1の列のみを含む(暗号化された)ハッシュデータを送信すれば十分である。増幅鍵は、このテプリッツ行列Tを共有鍵に乗算する、好ましくは左乗算することによって求められる。テプリッツ行列Tの行番号は、第2の量子相互情報量I(A:E)の推定に依存するため、推定された情報漏洩が大きいほど、増幅鍵の長さは短くなる。
【0143】
暗号化にワンタイムパッド方式が用いられているが、以前にセキュアであった増幅鍵の特定の情報が(暗号化なしで)公開送信されているような状況では、相関データの暗号化はとりわけ有用であり得る。増幅鍵のある桁位置に関する情報漏洩があれば、結合確率
【数59】
が変化するため、これにより、外部データ処理装置12で量子一括測定を実行することができるようになる。ここでもやはり、lビットの初期鍵量が漏洩すると、盗聴装置にlビットを超える情報を提供する可能性がある。ただし、相関データを暗号化すると、量子一括測定の実行は不可能になるが、増幅鍵は依然として、提案している本方法に従って配送され得る。
【0144】
ワンタイムパッド方式を用いると、比較的大量の鍵データが必要となり、鍵利得が減少する。このため、AESなどの暗号化方式が好ましい場合がある。とりわけ、ここでの暗号化方式は、外部コヒーレント状態|±α〉の保存時間の間に、外部データ処理装置12によって暗号化が破られることのないようにする必要がある。
【0145】
図4は、従来型の量子鍵配送及び提案している本方法の通信チャネル長lの関数としてシミュレートされた、鍵レートrを示すグラフ図である。ここでのチャネル損失は、光ファイバの減衰係数が
【数60】
である。
【0146】
【数61】
によってもたらされる。
【0147】
第1の曲線40は、B92様のプロトコルにおいて提案している本方法の鍵レートを表し、第2の曲線41は、従来型のB92様の量子鍵配送方法における鍵レートを表し、第3の曲線42は、提案している本方法と従来型の量子鍵配送との間の鍵レート比を表す。第3の曲線42は長いチャネル長lにおいて、鍵利得の70%超に相当する1.75に近似する鍵レート値に近付きつつある。第1の曲線40及び第2の曲線41については、第2のデータ処理装置11の確定結果による確率pconcが考慮され、以下の式(19)のようになる。
【0148】
【数62】
【0149】
第1のデータ処理装置10における強度μは、チャネル長ごとに最適化されている。式(19)を単純化するために、チャネル誤り率qが0であると仮定している。ただし、任意の実用的な方程式では、チャネル誤り率qは正となる。したがって、相関情報の暗号化は、鍵レートrを増大させるのに有用であり得る。
【0150】
<BB84プロトコル>
以下では、BB84プロトコルを使用する本方法の、さらに別の実施形態について説明する。ステップ21~27は、B92様のプロトコル実施形態に応じて実行されるべきである。ステップ21~27におけるB92様のプロトコル実施形態との相違点は、以下の通りである。B92様のプロトコルとは対照的に、単一光子型のBB84プロトコルには、ビーム分割攻撃のような単純な攻撃形式が存在しない。
【0151】
第2のステップ22で、以下の(20)のような第1のフォトニック量子状態
【数63】
が、第1のデータ処理装置10から第2のデータ処理装置11に送信される。第1のフォトニック量子状態はそれぞれ、水平偏光状態の光子、垂直偏光状態の光子、対角偏光状態の光子、及び反対角偏光状態の光子に対応してもよい。2つの測定基底+,×、即ちHV(水平/垂直)基底+と、AD(反対角/対角)基底×とが使用されている。桁位置の共有量子状態は、フォトニック古典量子状態として、以下の(21)のように記述される。
【0152】
【数64】
【0153】
量子一括攻撃のシナリオでは、アンシラのフォトニック量子状態が各フォトニック古典量子状態に付加され、次いで外部データ処理装置12によってユニタリ演算が実行され、結果として生じる状態がもつれていく。第1のデータ処理装置10、第2のデータ処理装置11、及び外部データ処理装置12間の全体の共有状態は、以下の(22)によって得られる。
【0154】
【数65】
【0155】
第3のステップ23で、以下の(23)の測定演算子が対応するBB84による観測可能量Mを使用して、第2のデータ処理装置11において第2のフォトニック量子状態が測定される。
【0156】
【数66】
【0157】
続いて、外部データ処理装置12における外部フォトニック量子状態が、以下の(24)によって記述され、
【0158】
【数67】
【0159】
ここで、第2のデータ処理装置の誤り確率はqである。
【0160】
第4のステップ24で、第1のフォトニック量子状態の生成に使用される量子生成パラメータ(即ち、第1の量子基底設定値)を示す第1の暗号化信号が、第1のデータ処理装置10において初期鍵を使用して生成され、次いで第2のデータ処理装置11に送信される。これとは逆に、第2のフォトニック量子状態の測定に使用される量子測定パラメータ(即ち、第2の量子基底設定値)を示す第2の暗号化信号が、第2のデータ処理装置11において初期鍵を使用して生成され、次いで第1のデータ処理装置10に送信される。
【0161】
第1の量子基底設定値のうちの対応する1つと第2の量子基底設定値のうちの対応する1つとが一致しない状態の、第1の生信号及び第2の生信号における一致しない桁位置が破棄され、これにより、第1の照合信号及び第2の照合信号がそれぞれ生成される。
【0162】
第1又は第2の量子基底設定値を把握せずに0と1とを区別するために、非直交の外部フォトニック量子状態
【数68】
及び
【数69】
が外部データ処理装置12において識別される必要がある。これは、第3のデータ処理装置12に第1又は第2の量子基底設定値が設けられる場合、追加の外部フォトニック量子状態
【数70】
及び
【数71】
を識別するよりも困難である。したがって、第1又は第2の量子基底設定値は非公開であるとともに、桁位置も一致していなければならない。
【0163】
本明細書、図及び/又は特許請求の範囲に開示された特徴は、単独で、又はそれらを様々に組み合わせて取り入れられる、様々な実施形態を実現するための材料であってもよい。
図1
図2
図3
図4
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.