知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】
(24)【登録日】2024-12-13
(45)【発行日】2024-12-23
(54)【発明の名称】量子通信システムのためのノード、量子通信システム及び方法
(51)【国際特許分類】
H04L 9/12 20060101AFI20241216BHJP
【FI】
H04L9/12
【請求項の数】
20
【外国語出願】
(21)【出願番号】P 2023139314
(22)【出願日】2023-08-29
(65)【公開番号】P2024059562
(43)【公開日】2024-05-01
【審査請求日】2023-08-30
(31)【優先権主張番号】2215401.7
(32)【優先日】2022-10-18
(33)【優先権主張国・地域又は機関】GB
(73)【特許権者】
【識別番号】000003078
【氏名又は名称】株式会社東芝
(74)【代理人】
【識別番号】110003708
【氏名又は名称】弁理士法人鈴榮特許綜合事務所
(72)【発明者】
【氏名】ロバート イアン ウッドワード
(72)【発明者】
【氏名】ジェームス エフ ダインズ
(72)【発明者】
【氏名】ネイサン ウォーク
(72)【発明者】
【氏名】アンドリュー ジェームス シールズ
【審査官】平井 誠
(56)【参考文献】
【文献】特開2007-053590(JP,A)
【文献】特表2008-500774(JP,A)
【文献】国際公開第2012/137513(WO,A1)
(58)【調査した分野】(Int.Cl.,DB名)
G09C 1/00-5/00
H04L 9/00-40
(57)【特許請求の範囲】
【請求項1】
量子通信システムにおけるノードであって、前記ノードは、量子鍵が前記ノードと外部の更なるノードとの間で配送されることを可能にするように構成された量子鍵配送ユニットと、
予め規定されたセキュリティパラメータを有する鍵を作り出すために、前記量子鍵に後処理を適用するように構成された後処理モジュールと、ここにおいて、前記後処理モジュールは、量子鍵に適用される前記セキュリティパラメータが、複数の異なる量子鍵に対して変更されることを可能にするように構成された制御装置を備え、前記セキュリティパラメータは、セキュリティ障害の確率を示しており、複数のセッションで後に生成される量子鍵に適用されるセキュリティパラメータほど高い値になり、
第1の鍵ストア及び第2の鍵ストアと、ここにおいて、前記ノードは、第1の範囲にある値を持つ第1のセキュリティパラメータを有する複数の第1の鍵を前記第1の鍵ストアに格納し、第2の範囲にある値を持つ第2のセキュリティパラメータを有する複数の第2の鍵を前記第2の鍵ストアに格納するように構成され、前記第1の範囲は、前記第2の範囲とは異なる複数の値を有する、
を備え、
前記制御装置は、前記第2のセキュリティパラメータよりも低い値に前記第1のセキュリティパラメータを設定し、前記第1のセキュリティパラメータの値は前記量子通信システムで量子鍵が生成されるセッション数に応じて決定され、前記セッション数が多いほど前記第1のセキュリティパラメータの値は低く設定されるノード。
【請求項2】
前記後処理モジュールは、秘匿性増強を行うように構成される、請求項1に記載のノード。
【請求項3】
前記外部の更なるノードとの古典通信チャネル上の通信を認証するように構成された認証モジュールを更に備える、請求項1に記載のノード。
【請求項4】
前記認証モジュールは、前記量子鍵配送ユニットを介して取得された認証鍵を使用して認証を行うように構成される、請求項3に記載のノード。
【請求項5】
前記量子鍵配送ユニットは、前記ノードと前記外部の更なるノードとの間の認証された古典通信チャネル上での通信を使用して、前記量子鍵をふるいにかけるように構成される、請求項4に記載のノード。
【請求項6】
前記量子鍵配送ユニットを介して取得された鍵を使用して通信を暗号化又は解読するように構成された古典通信モジュールを更に備える、請求項3に記載のノード。
【請求項7】
前記第1の範囲にある前記第1のセキュリティパラメータの複数の値は、前記第2の範囲にある前記第2のセキュリティパラメータの複数の値よりも低く、前記認証モジュールは、認証のための複数の鍵を取得するために、前記第1の鍵ストアにアクセスするように構成されており、前記古典通信モジュールは、前記第2の鍵ストアから、暗号化のための複数の鍵を取得するように構成されている、請求項6に記載のノード。
【請求項8】
前記制御装置は、制御信号を受信するように構成され、前記制御装置は、前記制御信号に応答して、格納されるべき鍵についての前記セキュリティパラメータの値を決定するように構成されている、請求項7に記載のノード。
【請求項9】
前記第1の鍵ストアにおける鍵の数を監視し、前記第1の鍵ストアにおける鍵の数が閾値以下であるとき、前記第1の範囲にある前記値を持つ前記第1のセキュリティパラメータを達成するように複数の鍵を後処理し、前記第1の鍵ストアにおける鍵の数が前記閾値より大きいとき、前記第2の範囲にある前記値を持つ前記第2のセキュリティパラメータを達成するように複数の鍵を後処理するための前記制御信号を提供するように構成された監視回路を更に備える、請求項8に記載のノード。
【請求項10】
複数の異なる範囲の複数のセキュリティパラメータを有する複数の鍵をそれぞれ格納する3つ以上の鍵ストアを更に備える、請求項1に記載のノード。
【請求項11】
前記量子鍵配送ユニットは、情報を光に乗せて符号化するように構成されたエンコーダと、ここにおいて、前記情報は、ユーザノードに送るための1つの状態を複数の状態からランダムに選択することによって符号化され、前記光は、平均して1光子未満を含むパルスでサーバを出ていき、
平均して1光子未満を含む複数の光パルスを受信し、前記複数の光パルスを測定することによって、前記複数の光パルスからの情報を復号するように構成されたデコーダと、ここにおいて、前記測定のための測定基底が、前記情報を符号化するために使用された前記複数の状態の測定を可能にするために、複数の測定基底のセットからランダムに選択される、
のうちの少なくとも1つを備え、
前記量子鍵配送ユニットは、前記サーバが、符号化又は復号のためにそれが使用した前記測定基底を、復号又は符号化のために前記ユーザノードによって使用されたものと比較することを可能にするように構成されたふるい分けユニットを更に備え、前記量子鍵配送ユニットは、前記符号化の測定基底と前記復号の測定基底とが一致しなかった複数のパルスからの前記情報を破棄するように構成されている、請求項1に記載のノード。
【請求項12】
複数のノードを備え、ここにおいて、各ノードは、請求項1に記載のノードである、量子通信システム。
【請求項13】
離散変数プロトコル又は連続変数プロトコルを実装するように構成された、請求項12に記載の量子通信システム。
【請求項14】
量子通信の方法であって、前記方法は、第1のノードと第2のノードとの間の量子鍵を取得するために、前記第1のノードにおいて、前記第2のノードとの量子鍵配送を行うことと、
予め規定されたセキュリティパラメータを有する鍵を作り出すために、前記第1のノードにおいて、前記量子鍵の後処理を行うことと、前記後処理は、前記量子鍵に適用される前記セキュリティパラメータが、複数の異なる量子鍵に対して変更されることを可能にするように制御されており、前記セキュリティパラメータは、セキュリティ障害の確率を示しており、複数のセッションで後に生成される量子鍵に適用されるセキュリティパラメータほど高い値になり、
前記第1のノードによって、第1の範囲にある値を持つ第1のセキュリティパラメータを有する複数の第1の鍵を第1の鍵ストアに格納することと、
前記第1のノードによって、第2の範囲にある値を持つ第2のセキュリティパラメータを有する複数の第2の鍵を第2の鍵ストアに格納することと、前記第1の範囲は、前記第2の範囲とは異なる複数の値を有する、
を備え、
前記後処理は、前記第2のセキュリティパラメータよりも低い値に前記第1のセキュリティパラメータが設定されるように制御され、前記第1のセキュリティパラメータの値は量子鍵が生成されるセッション数に応じて決定され、前記セッション数が多いほど前記第1のセキュリティパラメータの値は低く設定される方法。
【請求項15】
量子鍵配送を行うことは、前記第1のノードと前記第2のノードとの間の認証された古典通信チャネル上での通信を使用して、前記量子鍵をふるいにかけることを備える、請求項14に記載の方法。
【請求項16】
前記量子鍵配送を行うことによって取得された鍵を使用して通信を暗号化又は解読することを更に備える、請求項15に記載の方法。
【請求項17】
前記第1の範囲にある前記第1のセキュリティパラメータの複数の値は、前記第2の範囲にある前記第2のセキュリティパラメータの複数の値よりも低く、前記複数の第1の鍵が、認証のための前記第1の鍵ストアから取得されており、前記複数の第2の鍵が、暗号化及び解読のうちの少なくとも1つのための前記第2の鍵ストアから取得されている、請求項16に記載の方法。
【請求項18】
前記第1の鍵ストアにおける鍵の数を監視することと、前記第1の鍵ストアにおける鍵の数が閾値以下であるとき、前記第1の範囲にある前記値を持つ前記第1のセキュリティパラメータを達成するように複数の鍵を作り出し、前記第1の鍵ストアにおける鍵の数が前記閾値より大きいとき、前記第2の範囲にある前記値を持つ前記第2のセキュリティパラメータを達成するように複数の鍵を後処理するように、前記後処理を制御することと、を更に備える、請求項17に記載の方法。
【請求項19】
QKDシステムを動作させる方法であって、前記方法は、第1の鍵ストアから認証鍵を取得することと、
前記取得された認証鍵を使用して、第1のノードと第2のノードとの間の第1の通信チャネルを認証することと、
前記第1のノードと前記第2のノードとの間で量子鍵配送を行うことと、前記量子鍵は、第1のユーザ及びサーバのための第1の量子鍵を確立するために、前記認証された第1の通信チャネル上の通信を使用してふるいにかけられており、
前記第1の鍵ストアにおける認証鍵の数を決定することと、ここにおいて、前記第1の鍵ストアにおける認証鍵の数が閾値以下であるとき、複数の値の第1の範囲内の第1のセキュリティパラメータを有する、前記第1の鍵ストアのための複数の認証鍵を作り出すために、前記量子鍵を後処理し、複数のセッションで後に生成される量子鍵に適用されるセキュリティパラメータほど高い値になり、
ここにおいて、前記第1の鍵ストアにおける認証鍵の数が前記閾値を上回るとき、複数の値の第2の範囲内の第2のセキュリティパラメータを有する、第2の鍵ストアのための複数の認証鍵を作り出すために、前記量子鍵を後処理し、前記第2の範囲内の前記複数の第2のセキュリティパラメータは、前記第1の範囲にある前記複数の第1のセキュリティパラメータよりも高い、
前記後処理は、前記第2のセキュリティパラメータよりも低い値に前記第1のセキュリティパラメータが設定されるように制御され、前記第1のセキュリティパラメータの値は量子鍵が生成されるセッション数に応じて決定され、前記セッション数が多いほど前記第1のセキュリティパラメータの値は低く設定される、
を備える方法。
【請求項20】
QKDシステムを動作させる方法であって、前記方法は、複数の量子鍵を生成するために、第1のノードと第2のノードとの間で量子鍵配送を行うことと、
複数の異なるタイプの複数の鍵を作り出すための少なくとも1つの後処理パラメータを使用して、複数の鍵を作り出すために前記複数の量子鍵を後処理することと、複数のセッションで後に生成される量子鍵に適用されるセキュリティパラメータほど高い値になり、
各鍵ストアが同じタイプの複数の鍵を備えるように、前記複数の後処理された量子鍵を複数の鍵ストアに格納することと、
前記複数の異なる鍵ストアにおける鍵の数を監視し、鍵ストアにおける鍵の数がその鍵ストアのための閾値以下であるとき、鍵の数が前記閾値以下である前記鍵ストアにおける前記複数の鍵を補充するための複数の更なる鍵を作り出すために、複数の生成された量子鍵の複数の後処理パラメータを制御することと、ここにおいて、前記同じタイプの複数の鍵は、複数の予め規定された範囲内の複数のセキュリティパラメータを有し、
前記後処理することは、第2のセキュリティパラメータよりも低い値に第1のセキュリティパラメータを設定し、第1のセキュリティパラメータの値は量子鍵が生成されるセッション数に応じて決定され、前記セッション数が多いほど前記第1のセキュリティパラメータの値は低く設定される、
を備える方法。
【発明の詳細な説明】
【技術分野】
【0001】
本明細書に記載の実施形態は、量子通信システムのためのノード、量子通信システム及び方法に関する。
【背景技術】
【0002】
量子鍵配送(QKD)は、遠隔ユーザ(従来、アリス及びボブと呼ばれる)間で共有されるランダムなデジタル鍵の生成のための技術であり、ここで、鍵交換プロセスのセキュリティは、理論的原理(具体的には、情報理論及び量子論)を単独で使用して定量化され得る。これは、QKDが、盗聴者(従来、イブと呼ばれる)が極めて高い計算処理能力(例えば、大規模な耐障害性量子コンピュータ)を有し得る場合の攻撃に対して安全であることを意味する。これは、鍵交換に対する従来の公開鍵暗号アプローチ(例えば、RSA、楕円曲線暗号(Elliptic Curve Cryptography)等)とは全く対照的であり、これらは全て、計算量的な仮定-即ち、コンピュータがある特定のタスクを行うことについて認められる困難性に依拠する。
【0003】
簡潔に説明すると、QKDは、一般に、送信機(通常、アリスと呼ばれる)から送信し、受信機(通常、ボブと呼ばれる)において量子状態を測定し、次いで、安全な鍵を出力するために、測定値を後処理することによって動作する。量子力学の法則により、盗聴者による量子状態を傍受しようとするいかなる試みも、不可避的に状態の変化を生じさせることになる。従って、これは、ボブにおける測定値と、アリスとボブの間で古典通信を使用して行われる後処理と、に基づいて検出され得る。直感的に言えば、後処理を通じて、これら2人のユーザは、盗聴者の影響(例えば、盗聴者が伝送中の何らかの状態に干渉したか、又はそれらを測定した場合)を効果的に「処理して除外(process out)」し、安全な鍵のみを出力し得る。当然ながら、送信された量子状態の列に盗聴者が干渉するほど、盗聴者の影響を除去するためにより多くの処理及びビット破棄を行わなければならず、出力される安全な鍵のサイズを低減させる。
【図面の簡単な説明】
【0004】
【発明を実施するための形態】
【0005】
一実施形態では、量子通信システムにおけるノードが提供され、ノードは、
量子鍵がノードと外部の更なるノードとの間で配送されることを可能にするように構成された量子鍵配送ユニットと、
予め規定されたセキュリティパラメータを有する(with)鍵を作り出すために、量子鍵に後処理を適用するように構成された後処理モジュールと、ここにおいて、後処理モジュールは、量子鍵に適用されるセキュリティパラメータが、複数の異なる量子鍵に対して変更されることを可能にするように構成された制御装置を備え、セキュリティパラメータは、セキュリティ障害の確率を示しており、
第1の鍵ストア及び第2の鍵ストアと、ここにおいて、ノードは、第1の範囲にある値を持つ第1のセキュリティパラメータを有する複数の第1の鍵を第1の鍵ストアに格納し、第2の範囲にある値を持つ第2のセキュリティパラメータを有する複数の第2の鍵を第2の鍵ストアに格納するように構成され、第1の範囲は、第2の範囲とは異なる複数の値を有する、を備える。
量子鍵がノードと外部の更なるノードとの間で配送されることを可能にするように構成された量子鍵配送ユニットと、
予め規定されたセキュリティパラメータを有する(with)鍵を作り出すために、量子鍵に後処理を適用するように構成された後処理モジュールと、ここにおいて、後処理モジュールは、量子鍵に適用されるセキュリティパラメータが、複数の異なる量子鍵に対して変更されることを可能にするように構成された制御装置を備え、セキュリティパラメータは、セキュリティ障害の確率を示しており、
第1の鍵ストア及び第2の鍵ストアと、ここにおいて、ノードは、第1の範囲にある値を持つ第1のセキュリティパラメータを有する複数の第1の鍵を第1の鍵ストアに格納し、第2の範囲にある値を持つ第2のセキュリティパラメータを有する複数の第2の鍵を第2の鍵ストアに格納するように構成され、第1の範囲は、第2の範囲とは異なる複数の値を有する、を備える。
【0006】
上記は、柔軟な後処理及び鍵格納スキームを提供し、それによって、後処理パラメータは、QKDシステムニーズに応答して、要求に応じて動的に調整される。上記は、異なるアプリケーションのために別個の鍵ストアを備える量子鍵生成システムのための鍵管理を提供し、ここで、各鍵ストアにおける鍵は、(異なるパラメータセットを有する処理ステージから結果として得られた)異なるセキュリティパラメータを有する。
【0007】
上記はまた、鍵生成の長期的なセキュリティを最適化するために、量子通信システムにおける後処理パラメータの動的な調整も提供する。(システム全体、及び/又は、生成された鍵のセキュリティに影響を及ぼす)システムパラメータは、鍵生成の長期的なセキュリティを最大限にするように動的に最適化される。
【0008】
一実施形態では、後処理モジュールは、秘匿性増強(privacy amplification)を行うように構成される。一実施形態では、後処理は、ソフトウェアにおいて、又は(例えば、FPGA上での、及び/又は、ASICを用いた)ハードウェアアクセラレーションを使用してのいずれかで行われる。後処理は、QKDシステムとコロケートされ得るか、又は同じ場所において提供される別個のモジュール中にあり得る。例えば、QKDユニットは、低処理能力コンピュータであり得、この場合、鍵は、同じネットワークにある高計算サーバにローカルLAN上で送られる。QKDセキュリティは、典型的に、所与のノードにおけるLANの保護ではなく、(数kmにわたる)ノード間のチャネルの保護に関係する。
【0009】
一実施形態では、ノードは、認証モジュールを更に備え、認証モジュールは、外部の更なるノードとの古典通信チャネル上の通信を認証するように構成されている。認証モジュールは、量子鍵配送ユニットを介して取得された認証鍵を使用して認証を行うように構成され得る。従って、QKDモジュールは、認証のための潜在的な鍵を供給するために使用され、これは、認証鍵が、QKDセッション毎に、又はN個のQKDセッションおきのいずれかで更新されることになるからであり、ここで、Nは、2以上の整数である。
【0010】
量子鍵配送ユニットは、ノードと外部の更なるノードとの間の認証された古典通信チャネル上での通信を使用して、量子鍵をふるいにかける(sift)ように構成される。認証されたチャネルはまた、誤り検出及び/又は訂正中、及び秘匿性増強中の通信のために使用され得る。
【0011】
ノードはまた、量子鍵配送ユニットを介して取得された鍵を使用して通信を暗号化又は解読するように構成された古典通信モジュールを備え得る。これは、ノードが、2つのノード間で共有されたQKD鍵で暗号化されたメッセージを送る又は受信することを可能にする。しかしながら、更なる実施形態では、QKDシステムは、この暗号化をそれ自体で行う必要がない。多くの場合、顧客は、鍵を生成するためのQKDシステムを購入し、次いで、鍵は、顧客がそれら自身の暗号化を行うために、顧客に配送される。従って、一実施形態では、非認証鍵のための鍵ストアもまた、「アプリケーション」に鍵を配送するために使用され得、ここで、アプリケーションは、ユーザに委ねられている。
【0012】
一実施形態では、第1の範囲にある第1のセキュリティパラメータの複数の値は、第2の範囲にある第2のセキュリティパラメータの複数の値よりも低く、認証モジュールは、認証のための複数の鍵を取得するために、第1の鍵ストアにアクセスするように構成されており、古典通信モジュールは、第2の鍵ストアから、暗号化のための複数の鍵を取得するように構成されている。従って、認証のために使用される鍵は、通信を暗号化するために使用されるものよりも安全である。一実施形態では、認証のために使用される鍵のセキュリティは、通信を暗号化するために使用されるものよりも高く、これは、認証鍵のセキュリティが、認証鍵がふるい分け、誤り訂正及び秘匿性増強等の動作において使用される場合、生成されたあらゆる鍵のセキュリティに影響を及ぼすことになるからである。
【0013】
制御装置は、制御信号を受信するように構成され得、制御装置は、制御信号に応答して、格納されるべき鍵についてのセキュリティパラメータの値を決定するように構成されている。例えば、ユーザ又は別のノード等の外部デバイスが、制御信号を提供し得る。従って、この状況では、各鍵ストアに出力される鍵についての後処理パラメータは、ユーザ調整可能である。更なる実施形態では、処理のパラメータ(具体的には、秘匿性増強ステージにおけるターゲットセキュリティパラメータ)は、各鍵ストアの何らかの閾値サイズに基づいて決定される。
【0014】
従って、制御信号は、第1の鍵ストアにおける鍵の数を監視するように構成された監視回路によって提供され得、監視回路は、第1の鍵ストアにおける鍵の数が閾値以下であるとき、第1の範囲にある値を持つ第1のセキュリティパラメータを達成するように複数の鍵を後処理し、第1の鍵ストアにおける鍵の数が閾値より大きいとき、第2の範囲にある値を持つ第2のセキュリティパラメータを達成するように複数の鍵を後処理するための制御信号を提供する。一実施形態では、ノードは、2つ以上のノードと通信することが可能となる。認証鍵は、ノードのペアリングに固有であるので、閾値は、ノードの各ペアに対して決定される。
【0015】
閾値は、認証を目的とした鍵ストアにおける鍵の数であり得る。しかしながら、閾値は、他の目的のために設定され得る。
【0016】
QKDシステムでは、複数のノードがあるとき、異なるノードにおける鍵ストアは、異なるサイズのものであり得、異なる閾値が設定され得る。鍵が生成されるとき、それは、2つのノード間で生成され、一方のノードがより多くの認証鍵を生成するための条件を満たした場合、それは、たとえ他方のノードが更なる認証鍵を生成するための条件に達していなくても、他方のノードに同じく認証鍵に対して後処理するように通知するために、他方のノードに制御信号を送ることになる。他の例では、2つのノードは、パラメータ及び鍵ストアに関して、良好に同期されることになる。
【0017】
上記では、2つの異なるセキュリティパラメータ範囲についての2つの鍵ストアを説明したが、複数の異なる範囲の複数のセキュリティパラメータを有する複数の鍵をそれぞれ格納する、3つ以上の鍵ストアが提供され得る。
【0018】
一実施形態では、第1の範囲は、1e-14から1e-22までのセキュリティパラメータを有する鍵を備え得、第2の範囲は、1e-8から1e-14までのセキュリティパラメータを有する鍵を備え得る。
【0019】
更なる実施形態では、量子鍵配送ユニットは、
情報を光に乗せて符号化するように構成されたエンコーダと、ここにおいて、情報は、ユーザノードに送るための1つの状態を複数の状態からランダムに選択することによって符号化され、光は、平均して1光子未満を含むパルスでサーバを出ていき、
平均して1光子未満を含む複数の光パルスを受信し、上記複数の光パルスを測定することによって、上記複数の光パルスからの情報を復号するように構成されたデコーダと、ここにおいて、測定のための測定基底が、情報を符号化するために使用された複数の状態の測定を可能にするために、複数の測定基底のセットからランダムに選択される、
のうちの少なくとも1つを備え、
量子鍵配送ユニットは、サーバが、符号化又は復号のためにそれが使用した基底を、復号又は符号化のためにユーザノードによって使用されたものと比較することを可能にするように構成されたふるい分けユニット(sifting unit)を更に備え、量子鍵配送ユニットは、符号化の基底と復号の測定基底とが一致しなかった複数のパルスからの情報を破棄するように構成されている。
情報を光に乗せて符号化するように構成されたエンコーダと、ここにおいて、情報は、ユーザノードに送るための1つの状態を複数の状態からランダムに選択することによって符号化され、光は、平均して1光子未満を含むパルスでサーバを出ていき、
平均して1光子未満を含む複数の光パルスを受信し、上記複数の光パルスを測定することによって、上記複数の光パルスからの情報を復号するように構成されたデコーダと、ここにおいて、測定のための測定基底が、情報を符号化するために使用された複数の状態の測定を可能にするために、複数の測定基底のセットからランダムに選択される、
のうちの少なくとも1つを備え、
量子鍵配送ユニットは、サーバが、符号化又は復号のためにそれが使用した基底を、復号又は符号化のためにユーザノードによって使用されたものと比較することを可能にするように構成されたふるい分けユニット(sifting unit)を更に備え、量子鍵配送ユニットは、符号化の基底と復号の測定基底とが一致しなかった複数のパルスからの情報を破棄するように構成されている。
【0020】
一実施形態では、QKDユニットは、ノードがQKDプロセス中に送信機として機能すべきか、又は受信機として機能すべきかに応じて、送信機と受信機の両方を備えることになる。しかしながら、ノードは、受信機を有するノードとのみQKDを行うことになる場合、送信機のみを含むことが可能であり、そしてまた、ノードは、送信機を有するノードとのみQKDを行うことになる場合、受信機のみを含み得る。上記は、準備及び測定タイプのQKDシステムに限定されず、例えば、量子通信システムが離散変数(DV:discrete variable)QKDシステムである場合の、エンタングルメントベースのシステムを含む、任意のタイプのQKDシステムが使用され得、(限定はしないが)BB84、T12、MDI QKD又はTF QKD等のプロトコルを実装する。更なる実施形態では、量子通信システムは、連続変数(CV:continuous variable)QKDシステムである。
【0021】
一実施形態では、複数のノードを備える量子通信システムが提供される。
【0022】
更なる実施形態では、量子通信の方法が提供され、方法は、
第1のノードと第2のノードとの間の量子鍵を取得するために、第1のノードにおいて、第2のノードとの量子鍵配送を行うことと、
予め規定されたセキュリティパラメータを有する鍵を作り出すために、第1のノードにおいて、量子鍵の後処理を行うことと、後処理は、量子鍵に適用されるセキュリティパラメータが、複数の異なる量子鍵に対して変更されることを可能にするように制御されており、セキュリティパラメータは、セキュリティ障害の確率を示しており、
第1のノードによって、第1の範囲にある値を持つ第1のセキュリティパラメータを有する複数の第1の鍵を第1の鍵ストアに格納することと、
第1のノードによって、第2の範囲にある値を持つ第2のセキュリティパラメータを有する複数の第2の鍵を第2の鍵ストアに格納することと、第1の範囲は、第2の範囲とは異なる複数の値を有する、を備える。
第1のノードと第2のノードとの間の量子鍵を取得するために、第1のノードにおいて、第2のノードとの量子鍵配送を行うことと、
予め規定されたセキュリティパラメータを有する鍵を作り出すために、第1のノードにおいて、量子鍵の後処理を行うことと、後処理は、量子鍵に適用されるセキュリティパラメータが、複数の異なる量子鍵に対して変更されることを可能にするように制御されており、セキュリティパラメータは、セキュリティ障害の確率を示しており、
第1のノードによって、第1の範囲にある値を持つ第1のセキュリティパラメータを有する複数の第1の鍵を第1の鍵ストアに格納することと、
第1のノードによって、第2の範囲にある値を持つ第2のセキュリティパラメータを有する複数の第2の鍵を第2の鍵ストアに格納することと、第1の範囲は、第2の範囲とは異なる複数の値を有する、を備える。
【0023】
一実施形態では、量子鍵配送を行うことは、第1のノードと第2のノードとの間の認証された古典通信チャネル上での通信を使用して、量子鍵をふるいにかけることを備える。一実施形態では、通信を暗号化又は解読することは、量子鍵配送を行うことによって取得された鍵を使用して行われる。古典通信を暗号化及び解読するために使用された鍵は、更なる鍵を生成するために再利用されないので、それらは、認証鍵よりも高いセキュリティパラメータを有し得、そのセキュリティパラメータは、認証のための認証鍵を使用して作り出された任意の量子鍵のセキュリティに寄与することになる。
【0024】
従って、一実施形態では、第1の範囲にある第1のセキュリティパラメータの複数の値は、第2の範囲にある第2のセキュリティパラメータの複数の値よりも低く、複数の第1の鍵が、認証のための第1の鍵ストアから取得されており、複数の第2の鍵が、暗号化及び解読のうちの少なくとも1つのための第2の鍵ストアから取得されている。
【0025】
一実施形態では、方法は、第1の鍵ストアにおける鍵の数を監視することと、第1の鍵ストアにおける鍵の数が閾値以下であるとき、第1の範囲にある値を持つ第1のセキュリティパラメータを達成するように複数の鍵を作り出し、第1の鍵ストアにおける鍵の数が閾値より大きいとき、第2の範囲にある値を持つ第2のセキュリティパラメータを達成するように複数の鍵を後処理するように、後処理を制御することと、を更に備える。
【0026】
上記では主にセキュリティパラメータに言及したが、他のパラメータ、例えば、「鍵処理ブロックサイズ(key processing block size)」が、異なる鍵ストアに対して動的に最適化されるパラメータのうちの1つであり得る。
【0027】
更なる実施形態では、QKDシステムを動作させる方法が提供され、方法は、
第1の鍵ストアから認証鍵を取得することと、
取得された認証鍵を使用して、第1のノードと第2のノードとの間の第1の通信チャネルを認証することと、
第1のノードと第2のノードとの間で量子鍵配送を行うことと、量子鍵は、第1のユーザ及びサーバのための第1の量子鍵を確立するために、認証された第1の通信チャネル上の通信を使用してふるいにかけられており、
第1の鍵ストアにおける認証鍵の数を決定することと、ここにおいて、第1の鍵ストアにおける認証鍵の数が閾値以下であるとき、複数の値の第1の範囲内の第1のセキュリティパラメータを有する、第1の鍵ストアのための複数の認証鍵を作り出すために、量子鍵を後処理し、
ここにおいて、第1の鍵ストアにおける認証鍵の数が閾値を上回るとき、複数の値の第2の範囲内の第2のセキュリティパラメータを有する、第2の鍵ストアのための複数の認証鍵を作り出すために、量子鍵を後処理し、第2の範囲内の複数の第2のセキュリティパラメータは、第1の範囲にある複数の第1のセキュリティパラメータよりも高い、を備える。
第1の鍵ストアから認証鍵を取得することと、
取得された認証鍵を使用して、第1のノードと第2のノードとの間の第1の通信チャネルを認証することと、
第1のノードと第2のノードとの間で量子鍵配送を行うことと、量子鍵は、第1のユーザ及びサーバのための第1の量子鍵を確立するために、認証された第1の通信チャネル上の通信を使用してふるいにかけられており、
第1の鍵ストアにおける認証鍵の数を決定することと、ここにおいて、第1の鍵ストアにおける認証鍵の数が閾値以下であるとき、複数の値の第1の範囲内の第1のセキュリティパラメータを有する、第1の鍵ストアのための複数の認証鍵を作り出すために、量子鍵を後処理し、
ここにおいて、第1の鍵ストアにおける認証鍵の数が閾値を上回るとき、複数の値の第2の範囲内の第2のセキュリティパラメータを有する、第2の鍵ストアのための複数の認証鍵を作り出すために、量子鍵を後処理し、第2の範囲内の複数の第2のセキュリティパラメータは、第1の範囲にある複数の第1のセキュリティパラメータよりも高い、を備える。
【0028】
更なる実施形態では、第1のセキュリティパラメータは、第2のセキュリティパラメータよりも低く、認証モジュールは、認証のための複数の鍵を取得するために、第1の鍵ストアにアクセスするように構成されており、古典通信モジュールは、第2の鍵ストアから、暗号化のための複数の鍵を取得するように構成されている。
【0029】
更なる実施形態では、QKDシステムを動作させる方法が提供され、方法は、
複数の量子鍵を生成するために、第1のノードと第2のノードとの間で量子鍵配送を行うことと、
複数の異なるタイプの複数の鍵を作り出すための少なくとも1つの制御処理パラメータを使用して、複数の鍵を作り出すために複数の量子鍵を後処理することと、
各鍵ストアが同じタイプの複数の鍵を備えるように、複数の後処理された量子鍵を複数の鍵ストアに格納することと、
複数の異なる鍵ストアにおける鍵の数を監視し、鍵ストアにおける鍵の数がその鍵ストアのための閾値以下であるとき、鍵の数が閾値以下である鍵ストアにおける鍵を補充するための複数の更なる鍵を作り出すために、複数の生成された量子鍵の複数の後処理パラメータを制御することと、ここにおいて、同じタイプの複数の鍵は、複数の予め定義された範囲内の複数のパラメータを有する、を備える。
複数の量子鍵を生成するために、第1のノードと第2のノードとの間で量子鍵配送を行うことと、
複数の異なるタイプの複数の鍵を作り出すための少なくとも1つの制御処理パラメータを使用して、複数の鍵を作り出すために複数の量子鍵を後処理することと、
各鍵ストアが同じタイプの複数の鍵を備えるように、複数の後処理された量子鍵を複数の鍵ストアに格納することと、
複数の異なる鍵ストアにおける鍵の数を監視し、鍵ストアにおける鍵の数がその鍵ストアのための閾値以下であるとき、鍵の数が閾値以下である鍵ストアにおける鍵を補充するための複数の更なる鍵を作り出すために、複数の生成された量子鍵の複数の後処理パラメータを制御することと、ここにおいて、同じタイプの複数の鍵は、複数の予め定義された範囲内の複数のパラメータを有する、を備える。
【0030】
例えば、一実施形態では、同じタイプの複数の鍵は、それらのセキュリティパラメータを設定範囲内に有し得る。他のパラメータ、例えば鍵処理ブロックサイズ又は生鍵長も使用され得る。
【0031】
図1は、量子通信システムの概略図である。この実施形態では、準備及び測定ポイントツーポイントQKDプロトコルと称されるQKDプロトコルが説明される。しかしながら、(限定はしないが)エンタングルメントベースのQKD、MDI QKD及びTF QKD等の他のプロトコルもまた、本明細書に記載の方法と共に使用され得る。
【0032】
次に、偏光を使用する基本的な準備及び測定ポイントツーポイントQKDプロトコルを説明する。しかしながら、これは限定を意味するものではなく、他の偏光ベースのプロトコルも使用され得ることに留意されたい。更に、上記サーバは、任意のQKDシステムと共に使用され得、偏光を伴う用途に限定されない。例えば、位相又はエネルギー/時間ベースのQKDプロトコルも使用され得る。
【0033】
プロトコルは、2つの基底を使用し、ここで、各基底は、2つの直交状態によって記述される。この例では、水平/垂直(H/V)及び対角/反対角(D/A)の基底である。しかしながら、左円偏光/右円偏光(L/R)の基底もまた、選択され得る。プロトコルにおける送信者(アリス)は、ステップS1において、H、V、D又はA偏光のうちの1つを有する状態を準備する。換言すれば、準備された状態は、2つの基底H/V及びD/Aのうちの1つにおける2つの直交状態(HとV、又は、DとA)から選択される。これは、2つの基底のうちの1つにおいて、0及び1の信号を送ることであると考えられ得、例えば、H/V基底ではH=0、V=1、また、D/A基底ではD=0、A=1である。パルスは、それらが平均して1光子以下を備えるように減衰される。従って、パルスに対して測定が行われた場合、パルスは破壊される。また、パルスを分離させることも不可能である。
【0034】
受信者(ボブ)は、ステップS3において、H/V基底又はD/A基底から選択された、パルスの偏光に対する測定基底を使用する。測定基底の選択は、能動的又は受動的であり得る。受動的選択では、基底は、ビームスプリッタ等の固定された構成要素を使用して選択される。「能動的な」基底選択では、受信者は、例えば、電気制御信号を用いる変調器を使用して、どの基底で測定すべきかの判定を行う。受信者においてパルスを測定するために使用された基底が、パルスを符号化するために使用された基底と同じであった場合、受信者のパルスの測定は正確である。しかしながら、受信者がパルスを測定するために他方の基底を選択した場合には、受信者によって測定された結果には50%の誤りがあることになる。
【0035】
鍵を確立するために、送信者及び受信者は、ステップS5において、符号化及び測定(復号)するために使用された基底を比較する。それらが一致した場合、結果は保持され、それらが一致しなかった場合、結果は破棄される。このプロセスは、一般に、ふるい分けと呼ばれる。
【0036】
盗聴者がパルスを傍受して測定した場合には、盗聴者は、受信者に送るための別のパルスを準備しなければならない。しかしながら、盗聴者は、正しい測定基底が分からず、そのため、パルスを正しく測定する可能性は50%しかない。盗聴者によって再現されたいずれのパルスも、受信者に対してより大きい誤り率を引き起こすことになり、これは、盗聴者の存在を証明するために使用され得る。送信者及び受信者は、ステップS7において、誤り率、従って盗聴者の存在を決定するために、鍵の小部分を比較する。
【0037】
次に、ステップS9において、秘匿性増強が行われる。秘匿性増強は、アリス及びボブの鍵を使用して、盗聴者が新しい鍵に関する無視できる程度の情報のみを有するように、新しい、より短い鍵を作り出す。これは、そのような関数の公知の集合からランダムに選ばれるユニバーサルハッシュ関数を使用して行われ得、これは、鍵に等しい長さのバイナリ文字列をその入力としてとり、選ばれたより短い長さのバイナリ文字列を出力する。この新しい鍵が短縮される量は、S7において測定された誤り率と、QKDシステムの所望のセキュリティと、に基づいて計算され得る。次いで、S9において取得された鍵は、アリス及びボブの機器における鍵ストアに出力される。
【0038】
秘匿性増強の目的は、盗聴者が鍵に関する何らかの知識を有している確率を、ある特定の境界(boundary)、即ち、ε(セキュリティパラメータ)より下に低減することである。具体的には、これは、脆弱な秘密文字列(QKDふるい分けプロセスからの誤り訂正された鍵)を、イブによって最大限に知られていない安全な鍵に変換することを伴う。実施に関しては、秘匿性増強は、脆弱な秘密鍵を短縮するために、多くの場合、ランダムに選ばれたハッシュ関数を使用する、数学的ランダム性抽出技法を使用して、イブによって取得された情報量を可能な限り低減する。アリス及びボブの部分的な鍵情報を犠牲にすることによって、秘匿性増強は、イブによって取得された知識(即ち、εによって直感的に定量化される)を可能な限り小さくする。
【0039】
秘匿性増強のステップは、以下のように要約され得る:
1)ふるい分けステージ後、アリス及びボブは、それらが達成する必要がある最終鍵長を独立に計算し、これは、セキュリティ証明と、この証明に含まれる様々なパラメータと、に依存する。これらのパラメータは、各セッションについてのリンク量子ビット誤り率(QBER)等の測定量、並びに、処理ブロックサイズ及び決定的には所望のセキュリティパラメータε等のQKDシステム設計パラメータを含む。
2)アリスは、公知の2-ユニバーサルクラスに属する適切なハッシュ関数をランダムに選択し、それをボブに通信する(ここで、処理関数は、入力文字列サイズを与えられると、所要の最終鍵長を満たすように選ばれる)。
3)アリス及びボブは、この関数を用いてハッシングを行い、(より短いが)安全な最終QKD鍵を出力するために、それらの誤り訂正された鍵に作用する(acting upon)。
1)ふるい分けステージ後、アリス及びボブは、それらが達成する必要がある最終鍵長を独立に計算し、これは、セキュリティ証明と、この証明に含まれる様々なパラメータと、に依存する。これらのパラメータは、各セッションについてのリンク量子ビット誤り率(QBER)等の測定量、並びに、処理ブロックサイズ及び決定的には所望のセキュリティパラメータε等のQKDシステム設計パラメータを含む。
2)アリスは、公知の2-ユニバーサルクラスに属する適切なハッシュ関数をランダムに選択し、それをボブに通信する(ここで、処理関数は、入力文字列サイズを与えられると、所要の最終鍵長を満たすように選ばれる)。
3)アリス及びボブは、この関数を用いてハッシングを行い、(より短いが)安全な最終QKD鍵を出力するために、それらの誤り訂正された鍵に作用する(acting upon)。
【0040】
上記は偏光に関して説明したが、これは例示としてのものである。位相、又はエネルギー/時間等の他のシステムに基づく他のQKDプロトコルが使用され得る。
【0041】
上記QKDは、平均して1光子以下を含むパルスの通信のために使用される「量子チャネル」と、基底(「ふるい分け」)、誤り訂正及び秘匿性増強の議論ために使用される古典チャネルとの2つのチャネルを必要とする。また、古典チャネルは、一旦鍵が量子チャネル上で確立されると、更なる通信のために使用され得る。「チャネル」という用語は、論理チャネルを指すために使用されることに留意されたい。量子チャネル及び古典チャネルは、同じ物理的なファイバ内に設けられ得る。
【0042】
しかしながら、ふるい分けプロセス、誤り訂正及び秘匿性増強については、古典チャネルもまた、認証される必要がある。これは、間違いなく、アリスとボブとの間で通信された古典メッセージが相手によって送られたものであり、伝送中に改ざんされていないことが検証され得ることを意味する。換言すれば、これは中間者攻撃を回避する。認証は、公開鍵暗号(例えば、RSA)を使用して行われ得る。しかしながら、一実施形態では、アリス及びボブは、事前共有対称鍵(PSK:pre-shared symmetric key)を使用して互いに認証し合う。
【0043】
完全を期すために、二者が秘密鍵を共有する場合、彼らは、多くの異なる方法を使用して互いに認証し合い得ることに留意されたい。1つの方法は、メッセージ認証コード(MAC:message authentication code)の使用を伴い、これは、多くの場合、Wegman-Carter MACである。ここで、送信者(例えば、アリス)と受信者(例えば、ボブ)は、鍵(PSK)を共有する。
【0044】
簡潔に説明すると、アリスがボブに送るメッセージの真正性(authenticity)及び完全性(integrity)を検証するために、アリスは、メッセージ自体と一緒にMAC「タグ」を送る。MACタグは、メッセージをハッシングし、ボブと事前共有されるPSKを使用して、それをワンタイムパッド暗号化することによって、アリスにおいて計算される。ボブは、彼が受信したメッセージについてのMACタグを計算し、それを彼がアリスから受信したMACタグと比較することによって、メッセージを検証する。これらMACタグが一致した場合には、ボブは、メッセージを真正として受け入れ、これは、アリスのみが、その所与のメッセージについての正確なMACタグを生成するために必要なPSKを有しているからである。
【0045】
メッセージ認証は、多くの場合、Wegman-Carterメッセージ認証コード(MAC)を使用して実装される。ITS MACタグを生成するための多くの可能なアルゴリズムが存在するが、一般的なアイデアは、何らかの事前共有秘密が、所与のメッセージ又は一連のメッセージについての認証タグを作り出すために使用されるということである。例えば、事前共有鍵は、利用可能なハッシュ関数族から特定のハッシュ関数を選択するために使用され得、及び/又は、この鍵は、送る前にハッシュを暗号化するために使用され得る。
【0046】
しかしながら、鍵伝送の量子性にかかわらず、QKDのセキュリティは、本質的に確率的である。最終鍵は、確率εを除いては、完全に非公開であり、完全にランダムであると主張することができる。この確率εにより、敵が完全な鍵を知っている可能性があると悲観的に仮定している。
【0047】
従って、QKDのセキュリティは、「セキュリティパラメータ」、即ち、εによって記述され得、これは、セキュリティ障害の確率(即ち、直感的に言えば、攻撃者が鍵を習得する確率)を定義する。所与のプロトコルのためのセキュリティパラメータεは、(量子力学、情報理論等から導出された)そのセキュリティ証明によって決定され、これは、チャネル損失、誤り率、処理データブロックのサイズ等のようなシステムパラメータを考慮に入れる。
【0048】
一実施形態では、ターゲットセキュリティパラメータが決定され、秘匿性増強が、ターゲットセキュリティパラメータを達成するように行われる。ターゲットセキュリティパラメータは、障害の所与の確率を達成するように決定され得る。次いで、秘匿性増強アルゴリズムは、このターゲットを達成するのに十分な処理を行う。より多くの秘匿性増強処理は、より多くのビットが廃棄されることを意味する(即ち、より安全であり、従って、より低い確率の障害である)。
【0049】
秘匿性増強のための正確な処理は、情報理論、統計学及び量子力学を伴う、QKDのためのセキュリティ証明の一部として導出されるかなり複雑な数式に依存する。これが、理論上はイプシロン(即ち、セキュリティパラメータ)の由来である。異なるプロトコルは、異なるセキュリティ証明、従って、イプシロンを特徴付ける(featured)潜在的に異なる方法を有する。秘匿性増強及びセキュリティパラメータの考察については、ETSI GS QKD 005 v1.1.1 (2010-12), Quantum Key Distribution (QKD)Security Proofs and Liu et al “A Security Real-Time Privacy Amplification Scheme in QKD System,” Journal of Universal Computer Science, vol. 19, no. 16 (2013) 2420-2436を参照のこと。
【0050】
QKDのために存在する多くの異なるプロトコル及び証明があるが、一般概念は、共通であり、既知のセキュリティパラメータでの鍵生成を可能にする。
【0051】
εに寄与する様々な要因が存在し、高いパフォーマンスのQKDシステムについては、最大限のセキュリティを提供するために、このε値を最小化する努力がなされる。従って、QKDシステムの目的は、より厳密には、セキュリティパラメータεを有する情報理論的に安全な(ITS:information-theoretically secure)鍵を生成することであると説明でき、ここで、εは小さい。許容可能であると考えられるεの正確な値は、アプリケーション及び/又はユーザ依存であることに留意されたい。
【0052】
暗号システムを考慮すると、全体的な暗号アプリケーションは、様々な基礎となる暗号プリミティブ(即ち、所与の機能を行う基本プロトコル)から構築され得る。
【0053】
このような暗号システムを分析するために、汎用結合可能なセキュリティ(Universally Composable Security)のフレームワークが使用され得、これと互換性がある暗号プリミティブを提供する。従って、「汎用結合可能な」プリミティブは、暗号プロトコルとして説明され、ここで、その出力は、別の暗号プロトコルによって使用され得、これにより、各プロトコルについてのセキュリティ証明が独立に評価され得る。汎用結合可能性は、情報理論的に安全な暗号プリミティブのためのセキュリティ証明の一部を形成する数学的特徴である。この特徴は、プリミティブがQKD後処理のためのものであるか、又は認証のためのものであるか、又は何か他のことのためのものであるかに無関係である。従って、要件を満たすために(即ち、結合可能であるために)、プリミティブのセキュリティ証明は、プリミティブが他のプロトコルとは独立に分析されるための能力を明示的に考慮しなければならない。プリミティブが結合可能であると呼ばれる要件を満たす場合には、イプシロンは、より広い暗号システムの一部として使用されるときに合算され得る。
【0054】
これは、複数のプリミティブで構成される暗号システムの分析を大幅に単純化し、全体的なシステムのセキュリティパラメータεが、各コンポーネントの独立に導出されたセキュリティパラメータの合計によって境界付けられる(bounded)ことを可能にする。例えば、セキュリティパラメータε1及びε2での2つの結合可能なプリミティブ演算がシステムにおいて使用される場合には、システムの全体的な動作のためのセキュリティパラメータεは、以下の通りである:
ε≦ε1+ε2
ε≦ε1+ε2
【0055】
QKDは、ITS暗号プリミティブである。しかしながら、QKDプロトコルは、後処理ステージのための認証された古典通信チャネルの存在に依拠する。攻撃者がユーザ間のメッセージを成功裏になりすまし(spoof)得る場合には、この中間者攻撃は、QKDシステムから出力される鍵を安全でないものにし得る。
【0056】
従って、実用的なQKDシステム動作は、(セキュリティパラメータεqkd-primitiveで)QKDプリミティブと、メッセージ認証プリミティブと、を構成することに依拠する。ITSメッセージ認証スキームがセキュリティパラメータεauth(即ち、εauthは、ボブ側の出力が何らかの方法でアリスの意図されたメッセージと区別可能でありながら、認証プロトコルを「通過する(passing)確率」を指す - 即ち、直感的に言えば、イブが成功裏にメッセージを捏造する確率)と共に使用される場合には、完全なQKD動作(認証された古典通信を含む)は、全体的なセキュリティパラメータεを有するQKD鍵を出力し、ここで:
ε≦εqkd-primitive+εauth
ε≦εqkd-primitive+εauth
【0057】
ビット値及び測定基底を選ぶためのランダム数生成等の、完全なQKDがそれに依存する他のプリミティブが存在することに留意されたい。従って、ランダム数生成のセキュリティパラメータ(即ち、真にランダムではない選択の確率の定量化)、及び潜在的に他の要因もまた、全体的なシステムセキュリティパラメータに加えられるべきである。このような付加的要因は、デバイス設計及び/又はパラメータの賢明な選択により、潜在的に無視できる程度になり得る。この概念を例示するために、以下の説明は、ここではQKDプリミティブ及び認証のセキュリティパラメータのみに焦点を合わせる。QKDプリミティブは、ブロックワイズ方式(block-wise fashion)で動作する。これは、セキュリティ証明が、任意の測定に内在する統計的変動を考慮しなければならないからである。(これは、有限の鍵又は有限サイズのQKD処理と呼ばれる)。
【0058】
上記はまた、前のステージからのセキュリティパラメータは加算によって組み合わせると仮定する。しかしながら、本明細書で教示される方法は、以前のセッションからのセキュリティパラメータが後の鍵のセキュリティパラメータに影響を及ぼし得る任意のタイプのシステムと共に使用され得る。
【0059】
QKDの単一セッションは、いくつかの数の量子状態を送ること/測定することを備え、測定値のブロックに対して行われる後処理によって後続されることになる。より大きいブロックサイズを使用することは、(サンプルが母集団をより統計的に代表するので)より効率的であり、より高い「生測定値対安全な鍵ビット比(raw-measurements-to-secure-key-bits ratio)」をもたらす。しかしながら、より大きいブロックは、処理するのにより計算コストが高く、QKD鍵が実際に出力される前の遅延を増大させる。
【0060】
ターゲットセキュリティパラメータはまた、後処理オプションとして設定され得、これは、どの程度の秘匿性増強が行われるかに影響することになる。
【0061】
全体的な認証セキュリティパラメータεauthは、認証アルゴリズムのセキュリティパラメータεauth-algoと、認証アルゴリズムにおいて使用される鍵のセキュリティパラメータεauth-keyとの両方に依存する:
εauth≦εauth-algo+εauth-key
εauth≦εauth-algo+εauth-key
【0062】
従って、QKD鍵生成が認証を必要し、認証自体が安全な鍵を必要する場合、プロセスをどのように開始するのか?また、ITSセキュリティ証明が鍵の再利用を防止するので、どうすればセキュリティを保証しながら、更なる鍵を認証プロセスに供給することができるのか?
【0063】
第1の問題は、事前共有秘密 - QKDシステムの製造中にインストールされる、を使用することによって解決され得、即ち、アリス及びボブのQKDシステムが最初に作られるとき、鍵が、ローカル量子乱数生成器によって生成され、両方のシステムにインストールされ得る(アリス及びボブのユニットは、物理的に安全な場所に一緒に置かれているので、ここでは安全な鍵交換プロトコルの必要がない)。
【0064】
しかしながら、第2の問題は、より解決が困難である。ITSメッセージ認証は、各MACタグを生成するための「新たな(fresh)」鍵を必要とする。これは、認証が、事前共有鍵ストアを枯渇させることを意味する。鍵ストアを補充して、認証スキームが鍵を使い果たすことを防止するために、新しい鍵が、QKDによって生成され、後続の認証セッションのために鍵ストアの元へと追加され得る。
【0065】
しかしながら、QKDの第1のセッションが、以下のセキュリティパラメータを有する鍵を生成すると考える:
ε1≦εqkd-primitive+εauth
ε1≦εqkd-primitive+εauth
【0066】
これらのQKD生成された鍵が、QKDシステム動作の後続のセッションにおける認証のために使用されると、セキュリティパラメータは、以下のようになる:
ε2≦εqkd-primitive+εauth
...εauthを展開すると...
ε2≦εqkd-primitive+(εauth-algo+εauth-key)
...前のセッションのQKD出力された鍵が使用されるので、εauth-keyにε1を代入する:
ε2≦εqkd-primitive+(εauth-algo+ε1)
ε2≦εqkd-primitive+εauth
...εauthを展開すると...
ε2≦εqkd-primitive+(εauth-algo+εauth-key)
...前のセッションのQKD出力された鍵が使用されるので、εauth-keyにε1を代入する:
ε2≦εqkd-primitive+(εauth-algo+ε1)
【0067】
従って、セキュリティパラメータは、前のセッションのセキュリティパラメータを含む合計を含む。これは、新しいQKD鍵が、最初に生成されたQKD鍵よりもわずかに安全性が低いことを意味し、これは、QKDプリミティブについてのパラメータ(εqkd-primitive)と、認証アルゴリズムについてのパラメータ(εauth-algo)とが加算されるからである。
【0068】
従って、認証アルゴリズムが鍵を再生成される(rekeyed)たびに、そのセッションにおいて生成されるQKD鍵は、わずかに安全性が低くなり、即ち、
ε3≦εqkd-primitive+(εauth-algo+ε2)
ε3≦εqkd-primitive+(εauth-algo+[εqkd-primitive+(εauth-algo+ε1)])
ε3≦εqkd-primitive+(εauth-algo+ε2)
ε3≦εqkd-primitive+(εauth-algo+[εqkd-primitive+(εauth-algo+ε1)])
【0069】
これを一般化すると、QKD動作のN個のセッション後(ここで、各セッションは、前のセッションのQKD鍵を使用して、認証の鍵を再生成することを伴う)、セキュリティパラメータは、以下に劣化する:
【0070】
【数1】
【0071】
図2は、多数のセッション51、52、55、56、57、58を備えるQKDの動作を概略的に示す。この例では、認証は、最後のセッションからの鍵のうちの1つを使用して、2つのQKDセッション後に鍵が再生成される。
【0072】
例えば、セッション51及び52の両方が、セキュリティパラメータε1を有する認証鍵を使用して行われる。これらのセッションの両方が、セキュリティパラメータε2を有する鍵を作り出し、これらは、次いで、鍵ストア53に供給される。次に、認証は、ε2のセキュリティパラメータを有する最新の鍵を使用して、鍵を再生成される。セッション55及び56の両方が、セキュリティパラメータε2を有する認証鍵を使用して行われる。これらのセッションの両方が、セキュリティパラメータε3を有する鍵を作り出し、これらは、次いで、鍵ストア53に供給される。次に、認証は、ε3のセキュリティパラメータを有する最新の鍵を使用して、鍵を再生成される。
【0073】
セッション57及び58の両方が、セキュリティパラメータε3を有する認証鍵を使用して行われる。これらのセッションの両方が、セキュリティパラメータε4を有する鍵を作り出し、これらは、次いで、鍵ストア53に供給される。
【0074】
実際には、任意の数のQKDセッションが、各認証セッション内で使用され得 - これは、ここでは単に例示を目的として選ばれている。鍵ストアのサイズに依存して、前のセッションからのQKD鍵を使用することが必要になる前に、多くの認証セッションが行われ得 - 先と同様に、ここでの例は、1つの可能な例示的な実装形態にすぎない。
【0075】
一例として、一般に使用されるεqkd-primitiveの値=1e-10である(ここで、これは、システム設計及び/又は後処理アルゴリズムのための適切なパラメータを選ぶことによって設定される)。ITS MACスキームがこのQKDシステムのために使用され、ここで、認証アルゴリズムのセキュリティパラメータは、無視できる程度に小さい
【0076】
【数2】
【0077】
が、このITS MACのための鍵は、前のQKDセッションから使用される。この例示については、認証タグが1分間隔で送られる状態で、QKDシステムが5年間稼働すると仮定する。簡略化のために、QKD鍵は毎分生成され、次の分では、前の分からのQKD鍵を使用すると仮定する - 即ち、各認証セッションは、最後のセッションからの新たな鍵を使用する。この例では、QKDシステムの寿命にわたるセッションの数は、N~2e6であり、これは、QKDシステム寿命の終わりの方で生成されるQKD鍵のためのセキュリティパラメータが、以下の通りであることを意味する:
【0078】
【数3】
【0079】
これは、最初のQKD鍵がセキュリティパラメータ~1e-10を呈する一方で、生成される後のQKD鍵は、2e-4ほどに悪いセキュリティパラメータを有することを示し-即ち、QKDシステムの寿命にわたるセキュリティにおける6桁の低減である。これは、実際のセキュリティアプリケーションに鍵を供給する長い製品寿命を目標とした実用的なQKDシステムにとっては明らかに問題である。
【0080】
前述では、後続のセッションにおける認証のための鍵材料を補充するために、生成された鍵を使用する現在のQKDシステムの長期的なセキュリティ劣化を説明した。
【0081】
実用的なQKDシステムの場合、アプリケーションに所与のセキュリティパラメータ仕様値を提供することが望ましい。経時的にセキュリティが劣化する場合には、引用されたシステムパフォーマンス(the quoted system performance)は、最悪のシナリオ、即ち、長年にわたる動作(及び劣化)後のものとして与えられなければならない。
【0082】
図3は、一実施形態に係るシステムを示す図である。図3では、多数のQKDセッションが存在する。矢印は、鍵伝送の方向(即ち、認証鍵ストアから認証によって使用される、又はQKDセッション出力から特定の鍵ストアに入れられる)を示し、鍵のセキュリティパラメータ(ε)は、ラベルとして示されている。QKDセッションが「ユーザ鍵セッション」であるか、又は「認証鍵セッション」であるかは、何らかの基準に依存し得-上記に示したセッションのパターンは、単に例であることに留意されたい。
【0083】
QKDシステムが最初にセットアップされるとき、それは、事前共有鍵の専用の「認証鍵」の鍵ストア71でインストールされる。通常のQKD動作中、この鍵ストアからの鍵は、認証された古典チャネルが動作することを保証するために使用される。(具体的には、秘匿性増強ステップにおける)QKD後処理パラメータは、ターゲットセキュリティパラメータ、例えば、εqkd-primitive-normal=1e-10を有する鍵を生成するように設定される。初期にインストールされた事前共有認証鍵は、εqkd-primitive-normalよりもはるかに良好な優れたセキュリティパラメータを有していると仮定され、例えば、この例では、ε=1e-20である。
【0084】
これらのセッションからのQKD出力された鍵は、別個の「ユーザ鍵の鍵ストア」73に格納され、ユーザ/顧客へそれらのアプリケーションのために配送される(これは、ユーザの安全なアプリケーションエンティティへの直接的な鍵配送であり得るか、又は鍵管理システム及び信頼できるノードの中継を介したより広いQKDネットワークの一部としてのものであり得る)。これらのQKD鍵は、所望のセキュリティパラメータ、例えば、ε~εqkd-primitive-normal~1e-10を有する。
【0085】
より詳細には、図3の方法では、最初の2つのセッション81及び82は、ε1のセキュリティパラメータを有する認証鍵で行われ、これらの両方が、ε2のセキュリティパラメータを有する、後の古典チャネルを暗号化するために使用されるべき鍵を作り出す。これらの生成された鍵は、ユーザ鍵の鍵ストア73に格納される。
【0086】
次いで、次の2つのセッション83及び84が、認証のための更なる鍵を生成するために使用される。これらの鍵は、N個のセッション(及び長年)の後でさえも、劣化したパフォーマンスが依然として許容可能なセキュリティパラメータを有するQKD鍵を生じさせるほどに十分に良好な、QKDプリミティブのためのセキュリティパラメータで作り出される(そして、これがQKDシステム仕様において引用されているものである)。
【0087】
先の数値例を使用すると、これは、経時的にεの6桁の劣化が予期される場合には、長期的な全体的なセキュリティパラメータについての所望の境界を達成するために、QKDプリミティブのためのパラメータは、初期に必要とされるよりも6桁良好なQKDプリミティブセキュリティパラメータを生じさせるように選ばれ得ることを意味する。
【0088】
しかしながら、QKDプリミティブにおけるより良好なセキュリティパラメータは、QKD鍵生成レートを犠牲にして達成される。従って、これらの鍵がより高いセキュリティパラメータで生成されるためには、全体的なシステムパフォーマンスが劣化し、例えば、セキュアビットレートがより低くなる。
【0089】
上記で説明したように、QKDプリミティブは、多数のステップを伴う - 量子状態がアリスから送られ、ボブにおいて測定された後、後処理ステージは、ふるい分け(異なる基底で準備された/測定された測定値を破棄する)と、誤り訂正(ふるい分け後に彼らが共有するビットにおける誤りを識別及び訂正する)と、最終的に秘匿性増強(安全な鍵を蒸留する(distil)ために、誤り訂正されたビットストリームを処理する、ここで、秘匿性増強の量が、鍵セキュリティパラメータを決定する)と、を備える。秘匿性増強ステージにおける様々なパラメータは、QKDプリミティブについての結果として得られるセキュリティパラメータを変化させるために調整され得る - しかし、そこにはトレードオフが常に存在し、即ち、より良好なセキュリティパラメータは、鍵生成の実用的なパフォーマンスを低下させる。
【0090】
例えば、より良好な(即ち、より小さい値の)セキュリティパラメータを保証することは、より多くの秘匿性増強処理を適用する必要があることを意味し得、これは、より多くのビットを破棄して、システムについてのより低いセキュアビットレートをもたらす。代替として、各鍵セッションについて処理されるデータのブロックのサイズを増大させることによって、セキュリティパラメータを向上させるパラメータが設定され得る - しかしながら、これもまた、それが、必要な計算リソースを増大させ、各セッションにおいてQKD鍵が利用可能になるまでの時間を増大させるので、望ましくない場合がある。
【0091】
正確なパフォーマンスへの影響は、どのQKDプロトコルが使用されるか及び様々な他のリンクパラメータに依存する。しかしながら、パフォーマンスとセキュリティパラメータとのトレードオフの例は、先行技術において見出すことができる。
【0092】
例えば、図4は、特定のQKDプロトコル及びリンクパラメータのセットについてのシミュレートされた鍵レートパフォーマンスを示す。より小さいε値(即ち、より安全なセキュリティパラメータ)は、所与の生鍵長(即ち、入力ブロックサイズ)について、低減された鍵レート(即ち、y軸上のより低い「生鍵ビット当たりの鍵レート」)をもたらすことに留意されたい。
【0093】
ε1aのセキュリティパラメータを有する新しい認証鍵が生成された後、これらは、次いで、認証鍵ストア71に保存される。次の2つのセッション85及び86は、ε1aのセキュリティパラメータを有する認証鍵で行われ、これらの両方が、ε2aのセキュリティパラメータを有する、後の古典チャネルを暗号化するために使用されるべき鍵を作り出す。これらの生成された鍵は、ユーザ鍵の鍵ストア73に格納される。
【0094】
これらのようなメッセージの認証期間又は認証鍵ストアのサイズに関する数字は、QKDシステムの実装形態間で異なり得る。どのような値が選ばれたとしても、認証鍵ストアは、最終的には残り少なくなり、補充が必要になることは事実である。更なる実施形態では、QKDシステムは、特別な「認証鍵生成セッション」を開始することになる。
【0095】
例えば、一実施形態では、QKDシステムは、「認証鍵」の鍵ストア71の残りのサイズを監視し、サイズがある特定の閾値を以下だと、「認証鍵生成セッション」をトリガし得る。閾値は、事前設定され得るか、又は(完全にはそれが空にならないことを保証するために)リンクパラメータ及び予期される鍵使用レートに基づいてインテリジェントに計算され得る。
【0096】
このようなアレンジメントを、図5のフローチャートに示す。ここで、鍵生成プロセスは、ステップS501において開始する。鍵を生成する前に、ステップS503において、認証鍵の鍵ストアのサイズがチェックされる。これが閾値以下に下がった場合、方法は、ステップS505に進み、ここで、認証鍵生成セッションが開始される。
【0097】
「認証鍵生成セッション」では、QKDプリミティブが通常通り実行されるが、後処理パラメータ、例えば、秘匿性増強パラメータは、よりはるかに安全なセキュリティパラメータ(即ち、ユーザのために出力されるべきQKD鍵のセキュリティに望ましいものよりもはるかに小さい値)を達成するように調整される。(例えば、この現在の例の値については、εqkd-primitive-extrasecure<<1e-10であり、例えば、εqkd-primitive-extrasecure=1e-17である)。このセッションによって生成されるQKD鍵は、「ユーザ鍵の鍵ストア」511ではなく、「認証鍵の鍵ストア」507に格納される。より高いセキュリティパラメータにより、セキュア鍵レートは、この特定のセッションについてはより低い。
【0098】
認証鍵ストア507が補充されると、後続のQKDセッションは、後処理のために「通常の」セキュリティパラメータターゲットを使用することに戻るように切り替わり、ステップS509において、ターゲットセキュリティパラメータ、例えば、1e-10を有する、ユーザ鍵ストア511のための鍵を生成する。このセキュリティパラメータは、認証鍵セッションのために使用される1e-17のセキュリティパラメータターゲットを使用するよりも高い鍵生成レートをもたらす、「認証鍵ストア」が残り少なくなると、別の「認証鍵生成セッション」がトリガされる。
【0099】
このアプローチは、認証のために使用されるべき鍵についてのセキュリティパラメータの劣化を遅らせはしない。従って、非常に安全なイプシロンが、認証鍵セッションにおけるQKDプリミティブのためのターゲットとして使用され、経時的に予期される劣化を事前補正する。
【0100】
しかしながら、認証鍵及びユーザ鍵のための別個の鍵ストアを維持することによって、システムは、時間の大半を「ユーザ鍵生成セッション」を実行することに費やすことが可能であり、ここで、認証鍵は、認証鍵の鍵ストアから取り出され、従って、現在のQKD後処理セッションよりも著しく良好なセキュリティパラメータを有しており、このため、それは、合成された(composed)ときに無視できる程度の有害な影響を及ぼす。
【0101】
従って、N個の鍵セッション後、ユーザ鍵のためのセキュリティパラメータは、
【0102】
【数4】
【0103】
を与える当初のアプローチではなく、
【0104】
【数5】
【0105】
となる。
【0106】
前の例からの値を使用すると:
【0107】
【数6】
【0108】
これは、5年に及ぶQKDシステム動作後、ユーザ鍵についてのQKD鍵セキュリティパラメータは、以下の通りであることを意味する:
【0109】
【数7】
【0110】
従って、これは、ユーザに提供されるQKD鍵の劣化を効果的に回避する。これは、どのようにQKD鍵を生成するか及びどのようにそれらを認証のために使用するかには、大いに設計の柔軟性があることを意味する。上記の実施例では、各QKDセッションが、新たに生成されたQKD鍵で新しい認証セッションを使用したと仮定した。実際には、QKDは、所与のセキュリティパラメータを有する鍵のブロックを出力するので、n番目のセッションが、(n-1)番目のセッションからのQKD鍵を使用する必要はない。その代わりに、かなり前のセッションからのQKD鍵のブロックが取っておかれ、多くの後続のセッションのために使用され得る。しかしながら、多くのセキュリティアプリケーションが、最大鍵寿命(生存時間(time-to-live)としても知られる)のようなものについてのポリシを有するので、鍵をあまり長く格納しておくことは、望ましくないことに留意されたい。
【0111】
加えて、各QKDセッションについて新しい認証セッションを使用する必要はない。その代わりに、認証は、特定の間隔で行われ得、(処理されるべき複数のブロックをカバーする)アリスとボブの間の全ての通信は、MACタグが送られ及び検証されるまでバッファリングされている。
【0112】
これらの2つのアイデアにより、可能な限り多くの認証セッションについて、(最適なεを有する)以前のセッションからのQKD鍵のブロックを使用することによって、セキュリティパラメータ劣化レートを低減することが可能である。認証鍵を供給するための鍵ストアは、依然として経時的に枯渇することになり、QKDセッション出力によって補充され得る。
【0113】
図6は、上述したようなアリス又はボブのいずれかのものとして使用され得るノード301の概略図である。ノード301は、量子鍵を生成するためのQKDハードウェア303を備える。QKDハードウェアは、量子送信機及び量子受信機を備え得る。
【0114】
可能な送信機の一例を、図7Aに101として示す。この送信機は、偏光符号化光子を放出することが可能な任意のタイプの量子送信機であり得る。この特定の例では、送信機101は、水平に偏光された光を各々が放出する4つのレーザ105、107、109及び111を備える。レーザ105からの出力は、偏光合成光学素子139に向けて供給される。レーザ107からの出力は、水平に偏光された光を対角に偏光された光に変換するように構成された半波長板を介して、偏光合成光学素子139に向けて供給される。レーザ109からの出力は、水平に偏光された光を垂直に偏光された光に変換するように構成された半波長板を介して、偏光合成光学素子139に向けて供給される。レーザ111からの出力は、水平に偏光された光を反対角に偏光された光に変換するように構成された半波長板を介して、偏光合成光学素子139に向けて供給される。
【0115】
偏光合成光学素子は、異なる偏光を、ランダムに変化する偏光を有するパルスのストリームに合成することを可能にする。これは、多くの異なる方法で達成され得る。例えば、レーザは、パルスレーザであり得、制御装置(図示せず)が、パルスをランダムに出力するように、レーザ105、107、109及び111からレーザをランダムに選択するために設けられており、これにより、パルスが1つずつ偏光合成光学素子に到達する。他の実施形態では、偏光合成光学素子又は更なる構成要素が、パルス出力ストリームを可能にするために、1つのレーザからの出力をランダムに選択するか、又は3つのレーザからの出力をランダムに選択的にブロックするように構成され得る。パルスは、パルスレーザによって作り出され得るか、又はCWレーザ(cw lasers)が、出力を切り刻んでパルスにするための更なる構成要素と共に使用され得る。
【0116】
次いで、減衰器(図示せず)が、パルスの出力を減衰させるために使用され、これにより、パルスは、平均して1光子未満を含む。代替として、単一光子エミッタが、レーザ105、107、109及び111の代わりに使用され得る。
【0117】
簡略化された形態の受信機を図7Bに示す。受信機は、到来するパルスを、第1の測定チャネル207又は第2の測定チャネル209のいずれかに沿って方向付けることになる50-50ビームスプリッタ205を備える。パルスは平均して1光子未満を含むので、50-50ビームスプリッタ205は、パルスをランダムに第1の測定チャネル又は第2の測定チャネルのうちの1つに沿って方向付けることになる。これは、X(D/A)基底又はZ(H/V)基底となるように測定基底を選択するという結果を有する。無偏光ビームスプリッタ205は、2つの基底のうちの1つのランダムな選択を可能にするように機能する。
【0118】
第1の測定チャネルは、D/A基底に対応するX基底のためのものである。ここで、半波長板211が、偏光を2つの検出分岐間で45度だけ回転させるために、即ち、2つの測定基底X及びZを与えるために設けられている。次いで、半波長板211の出力は、偏光ビームスプリッタ213に向けて方向付けられる。偏光ビームスプリッタ213は、反対角偏光を有するパルスを反対角検出器215に向けて方向付け、対角偏光を有するパルスを対角検出器217に向けて方向付ける。検出器215及び217は、単一光子検出器、例えばアバランシェフォトダイオードである。
【0119】
第2の測定チャネルに沿って方向付けられたパルスは、それらが水平又は垂直であるかを決定するために、Z基底で測定される。ここで、第2の測定チャネル内に方向付けられたパルスは、偏光ビームスプリッタ219に向けて方向付けられ、偏光ビームスプリッタ219は、垂直に偏光されたパルスを検出器221に向けて方向付け、水平に偏光されたパルスを検出器223に向けて方向付ける。先と同様に、検出器221及び223は、単一光子検出器である。
【0120】
D/A基底で偏光された光子が受信され、これがランダムに送られて、第2の測定チャネル209に沿ってZ基底で測定されることになる場合、検出器221、223の一方がカウントを登録する可能性が高い。しかしながら、この結果は、偏光ビームスプリッタ219において受信された光子が、垂直検出器又は水平検出器のいずれかに向けて方向付けられる可能性が五分五分であるので信用できない。
【0121】
一実施形態では、ノード301におけるQKDハードウェア303は、ノードがQKDプロセス中に送信機として機能すべきか、又は受信機として機能すべきかに応じて、送信機と受信機の両方を備えることになる。しかしながら、ノードは、受信機を有するノードとのみQKDを行うことになる場合、送信機のみを含むことが可能であり、そしてまた、ノードは、送信機を有するノードとのみQKDを行うことになる場合、受信機のみを含み得る。
【0122】
ノード301はまた、鍵管理システム309を有する。鍵管理システムは、鍵交換及び格納を管理する。図6の例では、鍵管理システム309は、通信を暗号化するために使用されるべき、QKDを介して確立された鍵を格納するユーザQKDストア307と、ユーザ鍵よりも高いセキュリティパラメータで生成されたか、又は事前格納されたかのいずれかの認証鍵を有する認証鍵ストア308と、を備える。
【0123】
この例では、簡略化のために、2つの鍵ストアのみが示されている。しかしながら、より多くの鍵ストアが設けられ得る。例えば、ノードが更に2つの他のノードとQKDを行うように構成されている場合、別個の鍵ストアが各ノードについて設けられ得、各鍵ストアは別々に監視されることになる。
【0124】
制御装置が、後処理の制御を可能にするために設けられることになる。これは、QKDハードウェア303の一部として、鍵管理システムにおいて設けられ得るか、又はノードから遠隔であり得る。制御装置は、セキュリティパラメータを設定するための、ユーザからの制御入力を受信し得るか、又はある特定のセキュリティパラメータを有する鍵を生成するための、別のノードからの制御入力を受信し得る。更なる実施形態では、制御装置は、鍵ストアのサイズを監視する監視ユニットからの入力を受信する。
【0125】
ノード301はまた、鍵消費データ暗号化器311を備える。データ暗号化器は、データ通信を(例えば、ワンタイムパッド又はAESなどの代替の暗号を使用して)暗号化/解読するためにQKD鍵を使用する。
【0126】
上記では、概してセキュリティパラメータに言及した。しかしながら、「鍵処理ブロックサイズ」は、鍵レート及び鍵が生成されるのに要する時間に影響を及ぼすパラメータである。小さいブロック=より悪い鍵レートであるが、(より少ない処理が必要とされるので)鍵がアプリケーションのためにより迅速に利用可能になる。これは、セキュリティパラメータの代わりに、又はそれに加えて使用され得る。
【0127】
ノードはまた、認証中に使用される認証エージェント(及び/又はユニット)310を備え得る。これは、スタンドアロン構成要素であり得るか、又はユーザノード301の他の構成要素のうちの任意のもの、例えば、鍵消費データ暗号化器の一部であり得る。
【0128】
上記のスキームは、共通である後処理ステージに適用されるので、QKDプロトコルとは無関係に、全てのQKDシステムに適用可能である。これは、アイデアが、限定はしないが、ポイントツーポイントQKD(例えば、BB84又はT12プロトコル、並びにコヒーレント一方向(COW:coherent one-way)及び差動位相シフト(DPS:differential phase shift)等の分布位相基準プロトコル)、測定デバイス無依存QKD(MDI QKD)及びツインフィールドQKD(TF QKD)に関連することを意味する。アイデアはまた、連続変数(CV)QKDプロトコルのクラスにも適用可能である。
【0129】
後処理パラメータを動的に調整し、別個の鍵ストアを使用する方法は、秘匿性増強技法が、認証された古典チャネル上で、ユーザ間で使用される他のシステムにも適用可能であり得る。
【0130】
ある特定の実施形態を説明したが、これらの実施形態は単に例として提示したものであり、発明の範囲を限定することを意図したものではない。実際、本明細書に記載の新規のデバイス及び方法は、様々な他の形態で具現化され、更に、本明細書に記載のデバイス、方法、及び製品の形態における様々な省略、置換え、及び変更が、本発明の趣旨から逸脱することなく行われ得る。添付の特許請求の範囲及びそれらの均等物は、本発明の範囲及び趣旨の範囲内であるとして、そのような形態又は修正を網羅することが意図される。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7A】
【図7B】
