知財求人 - 知財ポータルサイト「IP Force」
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】公表特許公報(A)
(11)【公表番号】
(43)【公表日】2024-09-30
(54)【発明の名称】安全な秘密鍵を生成するためのシステム及び方法
(51)【国際特許分類】
H04L 9/12 20060101AFI20240920BHJP
【FI】
H04L9/12
【審査請求】未請求
【予備審査請求】未請求
(21)【出願番号】P 2024518380
(86)(22)【出願日】2022-09-15
(85)【翻訳文提出日】2024-05-13
(86)【国際出願番号】 EP2022075602
(87)【国際公開番号】W WO2023046557
(87)【国際公開日】2023-03-30
(31)【優先権主張番号】2110024
(32)【優先日】2021-09-23
(33)【優先権主張国・地域又は機関】FR
(81)【指定国・地域】
(71)【出願人】
【識別番号】523395915
【氏名又は名称】タレス
(74)【代理人】
【識別番号】110001173
【氏名又は名称】弁理士法人川口國際特許事務所
(72)【発明者】
【氏名】トラニエ,ブノワ
(72)【発明者】
【氏名】ゲラール,ジャン・ディディエ
(57)【要約】
A.伝送局と呼ばれる通信局(SA)において、衛星(Sat)経由で量子暗号化チャネル(CQAB)によって第1の秘密鍵(KEK)を受信するステップであって、第1の秘密鍵は量子暗号化チャネルによって少なくとも1つの他の通信局(SB)にも伝送されている、受信するステップと、B.伝送局において、真性乱数発生器(TRNG)を使用して第2の秘密鍵(KS)を生成するステップと、C.ワンタイムパッド法によって第1の秘密鍵(KEK)及び第2の秘密鍵(KS)を使用して暗号化秘密鍵(KC)を生成するステップと、D.暗号化秘密鍵(KC)を伝送局(SA)から1つ又は複数の他の通信局(SB)に伝送するステップとを含む、安全な秘密鍵を生成するための方法。
【特許請求の範囲】
【請求項1】
安全な秘密鍵を生成するための方法であって、A.送信局と呼ばれる通信局(SA)において、衛星(Sat)とセットアップされた量子暗号化チャネル(CQAB)上で第1の秘密鍵(KEK)を受信するステップであって、前記第1の秘密鍵は前記量子暗号化チャネルによって少なくとも1つの他の通信局(SB)にも伝送されている、受信するステップと、
B.前記送信局において、真性乱数発生器(TRNG)を使用して第2の秘密鍵(KS)を生成するステップと、
C.ワンタイムパッド法によって前記第1の秘密鍵(KEK)及び第2の秘密鍵(KS)から暗号化秘密鍵(KC)を生成するステップと、
D.前記暗号化秘密鍵(KC)を前記送信局(SA)から前記1つ又は複数の他の通信局(SB)に伝送するステップと
を含む、方法。
【請求項2】
ステップDに続いて、前記1つ又は複数の他の通信局において、前記安全な秘密鍵を形成する前記第2の秘密鍵(KS)を得るために前記第1の秘密鍵(KEK)を使用して前記暗号化秘密鍵(KC)を復号するステップEを含む、請求項1に記載の方法。
【請求項3】
前記第1の秘密鍵、前記第2の秘密鍵(KS)、及び前記暗号化秘密鍵(KC)が2進符号化され、前記暗号化秘密鍵が前記第1の秘密鍵と第2の秘密鍵とを結合するXOR論理ゲートによって生成され、前記暗号化秘密鍵が前記暗号化秘密鍵と前記第1の秘密鍵とを結合するXOR論理ゲートによって復号される、請求項2に記載の方法。
【請求項4】
全て前記第1の秘密鍵(KEK)から生成される複数の安全な秘密鍵(KS1,KS2,...,KSn)を形成するためにステップBからステップEを複数回繰り返す、請求項2又は3に記載の方法。
【請求項5】
前記安全な秘密鍵を使用して非ランダムメッセージ(M)を暗号化し、次いで前記暗号化された非ランダムメッセージ(MC)を或る通信局から別の通信局に伝送する後続のステップF、及び前記安全な秘密鍵を使用して前記暗号化された非ランダムメッセージを復号する後続のステップGを含む、請求項2~4の何れか一項に記載の方法。
【請求項6】
第1の通信局において、第1の秘密鍵A(KEKA)と、前記第1の秘密鍵Aとは異なる第1の秘密鍵B(KEKB)とを受信するためにステップBの前にステップAが2回繰り返され、前記第1の秘密鍵A及びBは前記量子チャネルを介して第2の通信局(SB)にも伝送され、前記第1の秘密鍵A(KEKA)から及び前記第1の通信局によって生成された第2の安全な秘密鍵A(KSA)から第1の暗号化秘密鍵(KCA)を生成し、それを前記第2の通信局(SB)に伝送するためにステップBからステップDが前記第1の通信局(SA)によって実行され、
前記方法が前記第1の通信局によって実行される追加ステップD’E、F’、G’、及びHを含み、前記ステップD’Eは、
-前記第1の秘密鍵B(KEKB)から及び前記第2の通信局によって生成された第2の安全な秘密鍵B(KSB)から前記第2の通信局によって生成された第2の暗号化秘密鍵(KCB)を受信すること、及び
-前記第2の安全な秘密鍵B(KSB)を得るために前記第2の暗号化秘密鍵(KCB)を前記第1の秘密鍵B(KEKB)で復号すること
で構成され、
前記ステップF’は、前記ワンタイムパッド技法によって前記第2の安全な秘密鍵A(KSA)から及び前記第2の安全な秘密鍵B(KSB)から前記共通秘密鍵と呼ばれる秘密鍵(KAB)を生成することで構成され、
前記ステップG’は、
i.前記第1のローカル秘密鍵と呼ばれる秘密鍵(KLA)を第1のローカル量子チャネル(CLA)によって第1のローカル通信局(SLA)に配送すること、
ii.前記ワンタイムパッド法によって前記第1のローカル秘密鍵(KLA)から及び前記共通秘密鍵(KAB)から第1の暗号化されたローカル秘密鍵(KLCA)を生成すること、及び
iii.前記第1の暗号化されたローカル秘密鍵(KLCA)を前記第1のローカル通信局(SLA)に伝送すること
で構成され、
前記ステップHは、前記第1のローカル通信局において、前記共通秘密鍵(KAB)を得るために前記第1のローカル秘密鍵(KLA)を使用して前記第1の暗号化されたローカル秘密鍵(KLCA)を復号することで構成される、
請求項1~4の何れか一項に記載の方法。
【請求項7】
ステップD’Eが、前記第2の通信局(SB)において、前記第2の安全な秘密鍵A(KSA)を得るために前記第1の秘密鍵A(KEKA)を用いて前記第1の暗号化秘密鍵(KCA)を復号することを含み、ステップF’が、前記第2の通信局において、前記ワンタイムパッド技法によって前記第2の安全な秘密鍵A(KSA)から及び前記第2の安全な秘密鍵B(KSB)から前記共通秘密鍵(KAB)を生成することを含み、
前記方法が、
iv.第2のローカル秘密鍵(KLB)を第2のローカル量子チャネル(CLB)によって第2のローカル通信局(SLB)に配送すること、
v.前記ワンタイムパッド法によって前記第2のローカル秘密鍵(KLB)から及び前記共通秘密鍵(KAB)から第2の暗号化されたローカル秘密鍵(KLCB)を生成すること、及び
vi.前記第2の暗号化されたローカル秘密鍵(KLCB)を前記第2のローカル通信局に伝送すること
を含むステップG’を含み、
前記ステップHは、前記第2のローカル通信局において、前記共通秘密鍵(KAB)を得るために前記第2のローカル秘密鍵(KLB)を使用して前記第2の暗号化されたローカル秘密鍵(KLCB)を復号することを含む、
請求項6に記載の方法。
【請求項8】
ステップHの後の及び前記第1のローカル通信局によって実行される、前記共通秘密鍵(KAB)を使用して非ランダムメッセージ(M)を暗号化し、次いで前記暗号化された非ランダムメッセージ(MC)を前記第2のローカル通信局に伝送するステップIを含み、ステップIの後の及び前記第2のローカル通信局によって実行される、前記共通秘密鍵(KAB)を使用して前記暗号化された非ランダムメッセージを復号するステップJを含む、
請求項7に記載の方法。
【請求項9】
前記第1の秘密鍵と前記第2の秘密鍵とが同じサイズである、請求項1~5の何れか一項に記載の方法。
【請求項10】
前記非ランダムメッセージが対称暗号化法、例えばブロック暗号化又はストリーム暗号化によって暗号化される、請求項5又は8に記載の方法。
【請求項11】
安全な秘密鍵を生成するための第1の通信局と呼ばれる通信局(SA)であって、前記第1の通信局は衛星(Sat)とセットアップされた量子暗号化チャネル(CQAB)上で第1の秘密鍵(KEK)を受信するように構成され、前記第1の秘密鍵は前記量子暗号化チャネルを介して少なくとも1つの他の通信局(SB)にも伝送され、前記第1の通信局は、-真性乱数発生器(TRNG)を使用して第2の秘密鍵(KS)を生成すること、
-ワンタイムパッド法によって前記第1の秘密鍵(KEK)及び第2の秘密鍵(KS)から暗号化秘密鍵(KC)を生成すること、
-前記暗号化秘密鍵(KC)を前記他の通信局(SB)に伝送すること
を行うように構成される暗号化モジュール(Mod)を含む、通信局(SA)。
【請求項12】
請求項11に記載の第1の通信局(SA)を含む並びに他の通信局(SB)及び衛星(Sat)を含む安全な秘密鍵を生成するためのシステム(1)であって、前記他の通信局(SB)は、前記安全な秘密鍵を形成する第2の秘密鍵(KS)を得るために第1の秘密鍵(KEK)を使用して暗号化秘密鍵(KC)を復号するように構成される、システム(1)。
【請求項13】
安全な秘密鍵を生成するためのアセンブリ(SA+SLA)であって、前記アセンブリは請求項11に記載の第1の通信局(SA)を含み及び第1のローカル通信局(SLA)を含み、前記第1の通信局(SA)は、-量子暗号化チャネルを介して第1の秘密鍵A(KEKA)及び前記第1の秘密鍵Aとは異なる第1の秘密鍵B(KEKB)を受信することであって、前記第1の鍵及び前記第2の鍵は前記量子チャネルを介して第2の通信局(SB)にも伝送される、受信すること、
-前記第1の秘密鍵A(KEKA)から及び前記第1の通信局によって生成された第2の安全な秘密鍵A(KSA)から第1の暗号化秘密鍵(KCA)を生成し、それを前記第2の通信局(SB)に伝送すること、
-前記第1の秘密鍵B(KEKB)から及び前記第2の通信局によって生成された第2の安全な秘密鍵B(KSB)から前記第2の通信局によって生成された第2の暗号化秘密鍵(KCB)を受信すること、及び
-前記第2の安全な秘密鍵B(KSB)を得るために前記第2の暗号化秘密鍵(KCB)を前記第1の秘密鍵B(KEKB)で復号すること、
-ワンタイムパッド技法によって前記第2の安全な秘密鍵A(KSA)から及び前記第2の安全な秘密鍵B(KSB)から共通秘密鍵と呼ばれる秘密鍵(KAB)を生成すること、
-第1のローカル秘密鍵と呼ばれる秘密鍵(KLA)を第1のローカル量子チャネルによって前記第1のローカル通信局(SLA)に配送すること、
-前記ワンタイムパッド法によって前記第1のローカル秘密鍵(KLA)から及び前記共通秘密鍵(KAB)から第1の暗号化されたローカル秘密鍵(KLCA)を生成すること、及び
-前記第1の暗号化されたローカル秘密鍵(KLCA)を前記第1のローカル通信局(SLA)に伝送すること
を行うように構成され、前記第1のローカル通信局は、前記共通秘密鍵(KAB)を得るために前記第1のローカル秘密鍵(KLA)を使用して前記第1の暗号化されたローカル秘密鍵(KLCA)を復号するように構成される、
アセンブリ(SA+SLA)。
【請求項14】
請求項13に記載のアセンブリ(SA+SLA)、衛星(Sat)、第2のローカル通信局(SLB)を含む、及び暗号化モジュール(Mod)を含む第2の通信局(SB)を含むシステム(2)であって、前記第2の通信局は、
-前記第2の通信局(SB)において、第2の安全な秘密鍵A(KSA)を得るために第1の暗号化秘密鍵(KCA)を第1の秘密鍵A(KEKA)で復号すること、
-ワンタイムパッド技法によって前記第2の安全な秘密鍵A(KSA)から及び第2の安全な秘密鍵B(KSB)から共通秘密鍵と呼ばれる秘密鍵(KAB)を生成すること、
-前記第2の通信局において、前記ワンタイムパッド技法によって前記第2の安全な秘密鍵A(KSA)から及び前記第2の安全な秘密鍵B(KSB)から前記共通秘密鍵(KAB)を生成すること、
-第2のローカル秘密鍵(KLB)を第2のローカル量子チャネル(CLB)によって前記第2のローカル通信局(SLB)に配送すること、
-前記ワンタイムパッド法によって前記第2のローカル秘密鍵(KLB)から及び前記共通秘密鍵(KAB)から第2の暗号化されたローカル秘密鍵(KLCB)を生成すること、及び
-前記第2の暗号化されたローカル秘密鍵(KLCB)を前記第2のローカル通信局に伝送すること
を行うように構成され、
前記第2のローカル通信局は、前記共通秘密鍵(KAB)を得るために前記第2のローカル秘密鍵(KLB)を使用して前記第2の暗号化されたローカル秘密鍵(KLCB)を復号するように構成される、
システム(2)。
【請求項15】
前記通信局が地上にあり、100km超離れている、請求項12又は14に記載のシステム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は情報技術セキュリティの分野に関し、より詳細には量子チャネル上での衛星による鍵配送の分野に関する。
【背景技術】
【0002】
秘密にしておかなければならない機密情報を公衆通信チャネル上で交換する必要が常にあった。Alice及びBobの2人が、認証済みの公共通信チャネル(例えばインターネット)上で覗き見から保護された機密情報を交換したいと仮定されたい。それを行うには、Alice及びBobは自らのメッセージを暗号化しなければならない。これらのメッセージを傍受しようとする人物をEveと呼ぶことにする。Aliceは、公開されている暗号関数(つまり秘密でないもの)及び秘密鍵を使用して自分のメッセージを暗号化してから、公開チャネル上でBobに送信しなければならない。Bobは暗号化メッセージを受信すると、その情報に平文でアクセスできるようになるためにAliceと同じ暗号関数及び秘密鍵を使用して暗号化メッセージを復号しなければならない。
【0003】
ここで問題なのはAliceとBobとの間で共有される秘密鍵であり、つまりその鍵がどのように生成され、どのように安全に交換され、覗き見から保護されるのかである。
【0004】
インターネット上での安全な交換中、ここでは詳細に説明しない公開鍵暗号法に基づく技法を使用して共有秘密鍵が確立される。20世紀末に新しい解決策が考案された。その解決策は、Eveが鍵を明らかにできることなしに、量子粒子(例えば光子)を交換することによってAlice及びBobが共通秘密鍵を確立できるようにする量子チャネルの使用を提案する。それでもなお、このQKD技法(QKDは量子鍵配送(Quantum Key Distribution)の略)には多数のユーザに及び非常に長い距離にわたって適用することを困難にする幾つかの制限がある。かかる制限は、やがて本技法を魅力的でなくし、従って産業的機会を生み出すのに十分収益的でなくする可能性がある。
【0005】
図1は、Alice(コードの送信者)とBob(コードの受信者)の2人のユーザが共通秘密鍵を確立することを可能にする量子チャネルのアーキテクチャを概略的に示す。鍵はランダムなビット列であり、従って0又は1の値を取り得る。この鍵を伝送するために、Aliceは鍵の各ビットをAliceが用意した光子の2つの偏光モードのうちの1つで符号化し、偏光モードの選択はランダムである。Aliceは各ビット(従って各光子)についてランダムに選択された偏光モードを記録する。Bobは、偏光フィルタ及びランダムに選択された2つの偏光モードで交互に向きを変えられる光子検出器を使い、検出結果(光子がフィルタを通過したか、又は光子がフィルタを通過しなかったか)及びフィルタの選択された向きを記録する。
【0006】
量子ビットの全シーケンスが伝送されると、Aliceは各量子ビットに使用される偏光モードを認証済みのクリアチャネル上でBobに送る。Bobは偏光方向が同じであったビットの値を推論することができる。BobはAliceが送信した2Nビットの平均Nビットを確実に知り、このシーケンスは訂正済み鍵と呼ばれる。
【0007】
最後に、AliceとBobは訂正済み鍵のサブセットに合意する。次いでAliceとBobはこのサブセット内で同じビットを得ているかどうかを比較し、得ている場合は残りの鍵を使って暗号鍵を導出する。不一致がある場合、このプロセスは再び開始される。具体的には、Eveが盗聴した場合、Eveが(必ずしもAliceのものではない)偏光モードに光子を強制することを量子複製不可能定理が保証する。従ってEveが50%の確率でAliceのモードを正しく推測した場合、訂正鍵内のビットの25%が一致しないことになる。概して、訂正鍵のnビットを犠牲にすることにより、Alice及びBobは
の確率でチャネル上の潜在的なスパイを検出することができる。
【数1】
【0008】
地上ネットワークでは、光ファイバによってセットアップされた光通信チャネルを使用することができるので、量子チャネル上での鍵交換(又はより正確には鍵の確立)を容易に実現することができる。それでもなお、AliceとBobは100km超離れている場合はファイバによって単一偏光光子(又は非常に低強度の光パルス)を交換することができず、100kmは光ファイバの材料が光子を100%吸収する確率の漸近線である。
【0009】
従って、量子チャネルネットワークのアーキテクチャはこの物理的制約によって大きな影響を受ける。この100kmという制限を克服するために2つの解決策が考案されている。
【0010】
考案された第1の解決策は、一定間隔(例えば100kmごと)に配置された所謂「高信頼ノード」を介して鍵を伝搬することである。図2Aは、高信頼ノードが鍵を生成することを可能にする従来技術の装置を概略的に示す。高信頼ノードは、Aliceと確立された鍵(鍵A)及びBobと確立された鍵(鍵B)を平文で操作する。この高信頼ノードはAliceとBobとの間に等距離に配置され、量子チャネル鍵の確立範囲を200kmまで広げることを可能にする。次に、高信頼ノードはワンタイムパッド技法を用いて鍵AをBobに伝送する。これを行うために、高信頼ノードはAliceの鍵とBobの鍵にXOR(排他的論理和論理ゲート)を適用する。ここで及び本明細書の残りの部分で「XOR」とは、記号
の「排他的論理和」又は「XOR」論理ゲートによる2つの鍵の組み合わせを意味する。結果は認証済みのクリアチャネル上でBobに伝送される。鍵Bを保持するBobは、ノードNo.2から受信したシーケンスと自分の鍵(鍵B)との間でXORを実行してAliceの鍵(鍵A)を復元することができる。
【数2】
【0011】
この最初の解決策はXOR関数の以下の特性、つまり
に基づくが、シーケンス鍵A
鍵Bだけを知っていても鍵A及び/又は鍵Bを決定できないことを保証するワンタイムパッド(OTP)技法の使用にも基づく。ワンタイムパッド技法は以下の原理に基づく。暗号化しなければならない如何なるメッセージも、メッセージと同じサイズの厳密にランダムな鍵を使用して暗号化され、その鍵は暗号化メッセージを得るために平文メッセージと組み合わせられる。復号は、暗号化メッセージに対して同じ秘密鍵を使用して逆の操作を行うことによって達成される。以下の3つの絶対的な基本規則が守られているという条件で、この技法は攻撃者にとって利用可能な手段に関係なく理論的に破られないことがClaude Shannonによって証明されており、3つの絶対的な基本規則とはつまり:
-鍵は暗号化されるメッセージと同じ長さでなければならないこと、
-鍵は厳密にランダムでなければならず、即ち鍵の構成要素(ビット又は文字)は全て互いに独立していなければならないこと、
-各鍵(又はマスク)は単一のメッセージを暗号化するために1度だけ使用されなければならないこと
である。
【数3】
【数4】
-鍵は暗号化されるメッセージと同じ長さでなければならないこと、
-鍵は厳密にランダムでなければならず、即ち鍵の構成要素(ビット又は文字)は全て互いに独立していなければならないこと、
-各鍵(又はマスク)は単一のメッセージを暗号化するために1度だけ使用されなければならないこと
である。
【0012】
それでもなお、この最初の解決策は鍵を平文で操作する高信頼ノードが非常に高いセキュリティレベルで保護されることを必要とし、これは無視できない運用上の制約と追加コストを含意する。更にこの種の解決策は、海洋で隔てられた2人のユーザを相互接続するために実装することが、不可能ではないにせよ困難である(海洋下で100kmごとに高信頼ノードを実装するのは困難でありコストがかかる)。
【0013】
第2の解決策は光子の自由場交換、従って宇宙からの光子の交換である。この場合、100kmの光ファイバの制限はもはや適用されず、暗号鍵は宇宙からQKDチャネル上で地球上のどこにいる2人のユーザにも配送することができる。この構成を図2Bに示す。この場合、衛星がAliceと鍵Aを、Bobと鍵Bを確立し、従来の認証済み平文通信チャネル上で鍵A
鍵BをBobに伝送するので、高信頼ノードとして機能するのは衛星である。地上では、鍵Bを保持するBobは、衛星が送信した鍵A
鍵Bのシーケンスと鍵BのXORを行うことによってAliceの鍵Aを抽出することができる。ここで、衛星は低軌道にある場合、Alice及びBobに対して相対的に移動する。従ってAliceとBobとを隔てる距離がどうであれ、衛星は鍵A及び鍵Bを確立し、鍵A
鍵Bの組み合わせを配送することができる移動高信頼ノードとして機能し、AliceとBobが共通秘密鍵(鍵A)を共有することを可能にする。
【数5】
【数6】
【数7】
【0014】
それでもなお、宇宙からの量子鍵配送技法には幾つかの大きな欠点があり、その欠点とはつまり:
-悪天候の場合(雲、又は更には大気汚染:エアロゾルの存在)は光チャネルが利用できないこと、
-得られる鍵のビットレートが低く、せいぜい毎秒数キロビットであること(準備及び測定プロトコルを有する低軌道の衛星)、
-ユーザが実際に必要とする時期よりも前にかなり長期間(数ヶ月)にわたって確立された鍵を記憶する必要があり、その鍵は衛星とインタフェースするために使用される地上のアクセスポイント内に記憶されること
である。
-悪天候の場合(雲、又は更には大気汚染:エアロゾルの存在)は光チャネルが利用できないこと、
-得られる鍵のビットレートが低く、せいぜい毎秒数キロビットであること(準備及び測定プロトコルを有する低軌道の衛星)、
-ユーザが実際に必要とする時期よりも前にかなり長期間(数ヶ月)にわたって確立された鍵を記憶する必要があり、その鍵は衛星とインタフェースするために使用される地上のアクセスポイント内に記憶されること
である。
【0015】
これらの欠点は、この種のインフラが地上の非常に多くのユーザ(1000人未満)によって採用されることを想定できなくする。現時点では、宇宙からのQKDは、国家機関及び例えばエネルギインフラ等の極めて関心の深いシステム間のやり取りを安全にすることのみ想定されている。
【0016】
本発明は、従来技術の一定の問題を克服することを目的とする。この目的のために、本発明の1つの主題は、より多くの安全な秘密鍵を生成し地上のユーザに配送できるようにするための、ワンタイムパッド(OTP)技法を使用して安全な秘密鍵を生成するためのシステム及び方法である。本発明では、安全な秘密鍵は、地球を周回する衛星によりQKDによって最初に確立される第1の秘密鍵から生成される。従って、複数の安全な秘密鍵を生成するために、QKDによって得られる単一の第1の秘密鍵が必要となる。QKD及びOTPのどちらの技法も量子の脅威に対して耐性があるため、本発明の方法は量子コンピュータの脅威に対するセキュリティを保証しつつ、地上の多数の相互接続ユーザに対するグローバルQKDシステムの可用性を高めることを可能にする。
【発明の概要】
【課題を解決するための手段】
【0017】
この目的のために、本発明の1つの主題は、
A.送信局と呼ばれる通信局において、衛星とセットアップされた量子暗号化チャネル上で第1の秘密鍵を受信するステップであって、前述の第1の秘密鍵は前述の量子暗号化チャネルによって少なくとも1つの他の通信局にも伝送されている、受信するステップと、
B.前述の送信局において、真性乱数発生器を使用して第2の秘密鍵を生成するステップと、
C.ワンタイムパッド法によって第1の秘密鍵及び第2の秘密鍵から暗号化秘密鍵を生成するステップと、
D.前述の暗号化秘密鍵を送信局から1つ又は複数の他の通信局に伝送するステップと
を含む、安全な秘密鍵を生成するための方法である。
A.送信局と呼ばれる通信局において、衛星とセットアップされた量子暗号化チャネル上で第1の秘密鍵を受信するステップであって、前述の第1の秘密鍵は前述の量子暗号化チャネルによって少なくとも1つの他の通信局にも伝送されている、受信するステップと、
B.前述の送信局において、真性乱数発生器を使用して第2の秘密鍵を生成するステップと、
C.ワンタイムパッド法によって第1の秘密鍵及び第2の秘密鍵から暗号化秘密鍵を生成するステップと、
D.前述の暗号化秘密鍵を送信局から1つ又は複数の他の通信局に伝送するステップと
を含む、安全な秘密鍵を生成するための方法である。
【0018】
或る好ましい実施形態によれば、本発明の方法は、ステップDに続いて、1つ又は複数の他の通信局において、前述の安全な秘密鍵を形成する前述の第2の秘密鍵を得るために第1の秘密鍵を使用して前述の暗号化秘密鍵を復号するステップEを含む。
【0019】
好ましくは、この好ましい実施形態では、第1の秘密鍵、第2の秘密鍵、及び暗号化秘密鍵は2進符号化され、暗号化秘密鍵は第1の秘密鍵と第2の秘密鍵とを結合するXOR論理ゲートによって生成され、暗号化秘密鍵は暗号化秘密鍵と第1の秘密鍵とを結合するXOR論理ゲートによって復号される。
【0020】
好ましくは、この好ましい実施形態では、全て第1の秘密鍵から生成される複数の安全な秘密鍵を形成するためにステップBからステップEを複数回繰り返す。
【0021】
好ましくは、この好ましい実施形態では、本発明の方法が、前述の安全な秘密鍵を使用して非ランダムメッセージを暗号化し、次いで暗号化された非ランダムメッセージを或る通信局から別の通信局に伝送する後続のステップF、及び前述の安全な秘密鍵を使用して前述の暗号化された非ランダムメッセージを復号する後続のステップGを含む。
【0022】
或る好ましい実施形態によれば、第1の通信局において、第1の秘密鍵Aと、第1の秘密鍵Aとは異なる第1の秘密鍵Bとを受信するためにステップBの前にステップAが2回繰り返され、第1の鍵及び第2の鍵は前述の量子チャネルを介して第2の通信局にも伝送され、第1の秘密鍵Aから及び第1の通信局によって生成された第2の安全な秘密鍵Aから第1の暗号化秘密鍵を生成し、それを前述の第2の通信局に伝送するためにステップBからステップDが第1の通信局によって実行され、前述の方法は前述の第1の通信局によって実行される追加ステップD’E、F’、G’、及びHを含み、前述のステップD’Eは、
-第1の秘密鍵Bから及び第2の通信局によって生成された第2の安全な秘密鍵Bから第2の通信局によって生成された第2の暗号化秘密鍵を受信すること、及び
-前述の第2の安全な秘密鍵Bを得るために前述の第2の暗号化秘密鍵を第1の秘密鍵Bで復号すること
で構成され、前述のステップF’は、ワンタイムパッド技法によって第2の安全な秘密鍵Aから及び第2の安全な秘密鍵Bから共通秘密鍵と呼ばれる秘密鍵を生成することで構成され、
前述のステップG’は、
-第1のローカル秘密鍵と呼ばれる秘密鍵を第1のローカル量子チャネルによって第1のローカル通信局に配送すること、
-ワンタイムパッド法によって第1のローカル秘密鍵から及び共通秘密鍵から第1の暗号化されたローカル秘密鍵を生成すること、及び
-前述の第1の暗号化されたローカル秘密鍵を前述の第1のローカル通信局に伝送すること
で構成され、前述のステップHは、前述の第1のローカル通信局において、前述の共通秘密鍵を得るために第1のローカル秘密鍵を使用して前述の第1の暗号化されたローカル秘密鍵を復号することで構成される。
-第1の秘密鍵Bから及び第2の通信局によって生成された第2の安全な秘密鍵Bから第2の通信局によって生成された第2の暗号化秘密鍵を受信すること、及び
-前述の第2の安全な秘密鍵Bを得るために前述の第2の暗号化秘密鍵を第1の秘密鍵Bで復号すること
で構成され、前述のステップF’は、ワンタイムパッド技法によって第2の安全な秘密鍵Aから及び第2の安全な秘密鍵Bから共通秘密鍵と呼ばれる秘密鍵を生成することで構成され、
前述のステップG’は、
-第1のローカル秘密鍵と呼ばれる秘密鍵を第1のローカル量子チャネルによって第1のローカル通信局に配送すること、
-ワンタイムパッド法によって第1のローカル秘密鍵から及び共通秘密鍵から第1の暗号化されたローカル秘密鍵を生成すること、及び
-前述の第1の暗号化されたローカル秘密鍵を前述の第1のローカル通信局に伝送すること
で構成され、前述のステップHは、前述の第1のローカル通信局において、前述の共通秘密鍵を得るために第1のローカル秘密鍵を使用して前述の第1の暗号化されたローカル秘密鍵を復号することで構成される。
【0023】
好ましくは、この好ましい実施形態では、ステップD’Eは、第2の通信局において、前述の第2の安全な秘密鍵Aを得るために第1の秘密鍵Aを用いて前述の第1の暗号化秘密鍵を復号することを含み、ステップF’は、第2の通信局において、ワンタイムパッド技法によって第2の安全な秘密鍵Aから及び第2の安全な秘密鍵Bから前述の共通秘密鍵を生成することを含み、前述の方法は、
-第2のローカル秘密鍵を第2のローカル量子チャネルによって第2のローカル通信局に配送すること、
-ワンタイムパッド法によって第2のローカル秘密鍵から及び共通秘密鍵から第2の暗号化されたローカル秘密鍵を生成すること、及び
-前述の第2の暗号化されたローカル秘密鍵を前述の第2のローカル通信局に伝送すること
を含むステップG’を含み、前述のステップHは、第2のローカル通信局において、前述の共通秘密鍵を得るために第2のローカル秘密鍵を使用して前述の第2の暗号化されたローカル秘密鍵を復号することを含む。
-第2のローカル秘密鍵を第2のローカル量子チャネルによって第2のローカル通信局に配送すること、
-ワンタイムパッド法によって第2のローカル秘密鍵から及び共通秘密鍵から第2の暗号化されたローカル秘密鍵を生成すること、及び
-前述の第2の暗号化されたローカル秘密鍵を前述の第2のローカル通信局に伝送すること
を含むステップG’を含み、前述のステップHは、第2のローカル通信局において、前述の共通秘密鍵を得るために第2のローカル秘密鍵を使用して前述の第2の暗号化されたローカル秘密鍵を復号することを含む。
【0024】
好ましくは本方法は、ステップHの後の及び第1のローカル通信局によって実行される、前述の共通秘密鍵を使用して非ランダムメッセージを暗号化し、次いで暗号化された非ランダムメッセージを第2のローカル通信局に伝送するステップIを含み、前述の方法は、ステップIの後の及び第2のローカル通信局によって実行される、前述の共通秘密鍵を使用して前述の暗号化された非ランダムメッセージを復号するステップJを含む。
【0025】
好ましくは、第1の秘密鍵と第2の秘密鍵とが同じサイズである。
【0026】
好ましくは、非ランダムメッセージが対称暗号化法、例えばブロック暗号化又はストリーム暗号化によって暗号化される。
【0027】
本発明の別の主題は、安全な秘密鍵を生成するための第1の通信局と呼ばれる通信局であり、前述の第1の通信局は、衛星とセットアップされた量子暗号化チャネル上で第1の秘密鍵を受信するように構成され、前述の第1の秘密鍵は前述の量子暗号化チャネルを介して少なくとも1つの他の通信局にも伝送され、前述の第1の通信局は、
-真性乱数発生器を使用して第2の秘密鍵を生成すること、
-ワンタイムパッド法によって第1の秘密鍵及び第2の秘密鍵から暗号化秘密鍵を生成すること、
-前述の暗号化秘密鍵を前述の他の通信局に伝送すること
を行うように構成される暗号化モジュールを含む。
-真性乱数発生器を使用して第2の秘密鍵を生成すること、
-ワンタイムパッド法によって第1の秘密鍵及び第2の秘密鍵から暗号化秘密鍵を生成すること、
-前述の暗号化秘密鍵を前述の他の通信局に伝送すること
を行うように構成される暗号化モジュールを含む。
【0028】
本発明の別の主題は、第1の通信局を含む並びに前述の他の通信局及び前述の衛星を含むシステムであり、前述の他の通信局は、前述の安全な秘密鍵を形成する前述の第2の秘密鍵を得るために第1の秘密鍵を使用して前述の暗号化秘密鍵を復号するように構成される。
【0029】
本発明の別の主題は、安全な秘密鍵を生成するためのアセンブリであり、前述のアセンブリは、前述の第1の通信局を含み及び第1のローカル通信局を含み、前述の第1の通信局は、
-前述の量子暗号化チャネルを介して第1の秘密鍵A及び第1の秘密鍵Aとは異なる第1の秘密鍵Bを受信することであって、第1の鍵及び第2の鍵は前述の量子チャネルを介して第2の通信局にも伝送される、受信すること、
-第1の秘密鍵Aから及び第1の通信局によって生成された第2の安全な秘密鍵Aから第1の暗号化秘密鍵を生成し、それを前述の第2の通信局に伝送すること、
-第1の秘密鍵Bから及び第2の通信局によって生成された第2の安全な秘密鍵Bから第2の通信局によって生成された第2の暗号化秘密鍵を受信すること、及び
-前述の第2の安全な秘密鍵Bを得るために前述の第2の暗号化秘密鍵を第1の秘密鍵Bで復号すること、
-ワンタイムパッド技法によって第2の安全な秘密鍵Aから及び第2の安全な秘密鍵Bから共通秘密鍵と呼ばれる秘密鍵を生成すること、
-第1のローカル秘密鍵と呼ばれる秘密鍵を第1のローカル量子チャネルによって前述の第1のローカル通信局に配送すること、
-ワンタイムパッド法によって第1のローカル秘密鍵から及び共通秘密鍵から第1の暗号化されたローカル秘密鍵を生成すること、及び
-前述の第1の暗号化されたローカル秘密鍵を前述の第1のローカル通信局に伝送すること
を行うように構成され、前述の第1のローカル通信局は、前述の共通秘密鍵を得るために第1のローカル秘密鍵を使用して前述の第1の暗号化されたローカル秘密鍵を復号するように構成される。
-前述の量子暗号化チャネルを介して第1の秘密鍵A及び第1の秘密鍵Aとは異なる第1の秘密鍵Bを受信することであって、第1の鍵及び第2の鍵は前述の量子チャネルを介して第2の通信局にも伝送される、受信すること、
-第1の秘密鍵Aから及び第1の通信局によって生成された第2の安全な秘密鍵Aから第1の暗号化秘密鍵を生成し、それを前述の第2の通信局に伝送すること、
-第1の秘密鍵Bから及び第2の通信局によって生成された第2の安全な秘密鍵Bから第2の通信局によって生成された第2の暗号化秘密鍵を受信すること、及び
-前述の第2の安全な秘密鍵Bを得るために前述の第2の暗号化秘密鍵を第1の秘密鍵Bで復号すること、
-ワンタイムパッド技法によって第2の安全な秘密鍵Aから及び第2の安全な秘密鍵Bから共通秘密鍵と呼ばれる秘密鍵を生成すること、
-第1のローカル秘密鍵と呼ばれる秘密鍵を第1のローカル量子チャネルによって前述の第1のローカル通信局に配送すること、
-ワンタイムパッド法によって第1のローカル秘密鍵から及び共通秘密鍵から第1の暗号化されたローカル秘密鍵を生成すること、及び
-前述の第1の暗号化されたローカル秘密鍵を前述の第1のローカル通信局に伝送すること
を行うように構成され、前述の第1のローカル通信局は、前述の共通秘密鍵を得るために第1のローカル秘密鍵を使用して前述の第1の暗号化されたローカル秘密鍵を復号するように構成される。
【0030】
本発明の別の主題は、アセンブリ、衛星、第2のローカル通信局を含む、及び暗号化モジュールを含む第2の通信局を含むシステムであり、第2の通信局は、
-第2の通信局において、前述の第2の安全な秘密鍵Aを得るために前述の第1の暗号化秘密鍵を第1の秘密鍵Aで復号すること、
-ワンタイムパッド技法によって第2の安全な秘密鍵Aから及び第2の安全な秘密鍵Bから共通秘密鍵と呼ばれる秘密鍵を生成すること、
-第2の通信局において、ワンタイムパッド技法によって第2の安全な秘密鍵Aから及び第2の安全な秘密鍵Bから前述の共通秘密鍵を生成すること、
-第2のローカル秘密鍵を第2のローカル量子チャネルによって第2のローカル通信局に配送すること、
-ワンタイムパッド法によって第2のローカル秘密鍵から及び共通秘密鍵から第2の暗号化されたローカル秘密鍵を生成すること、及び
-前述の第2の暗号化されたローカル秘密鍵を前述の第2のローカル通信局に伝送すること
を行うように構成され、第2のローカル通信局は、前述の共通秘密鍵を得るために第2のローカル秘密鍵を使用して前述の第2の暗号化されたローカル秘密鍵を復号するように構成される。
-第2の通信局において、前述の第2の安全な秘密鍵Aを得るために前述の第1の暗号化秘密鍵を第1の秘密鍵Aで復号すること、
-ワンタイムパッド技法によって第2の安全な秘密鍵Aから及び第2の安全な秘密鍵Bから共通秘密鍵と呼ばれる秘密鍵を生成すること、
-第2の通信局において、ワンタイムパッド技法によって第2の安全な秘密鍵Aから及び第2の安全な秘密鍵Bから前述の共通秘密鍵を生成すること、
-第2のローカル秘密鍵を第2のローカル量子チャネルによって第2のローカル通信局に配送すること、
-ワンタイムパッド法によって第2のローカル秘密鍵から及び共通秘密鍵から第2の暗号化されたローカル秘密鍵を生成すること、及び
-前述の第2の暗号化されたローカル秘密鍵を前述の第2のローカル通信局に伝送すること
を行うように構成され、第2のローカル通信局は、前述の共通秘密鍵を得るために第2のローカル秘密鍵を使用して前述の第2の暗号化されたローカル秘密鍵を復号するように構成される。
【0031】
好ましくは、本システムでは通信局が地上にあり、100km超離れている。
【0032】
本発明の他の特徴、詳細、及び利点は、例として与え以下の内容をそれぞれ示す添付図面に関して与える説明を読めば明らかになる。
【0033】
本発明の他の特徴、詳細、及び利点は、例として与え以下の内容をそれぞれ示す添付図面に関して与える説明を読めば明らかになる。
【図面の簡単な説明】
【0034】
【図1】従来技術によるQKD装置の概略図である。
【図2A】QKDによって鍵を生成するための従来技術の衛星ベースの装置の概略図である。
【図2B】高信頼ノードが鍵を生成することを可能にする従来技術の装置の概略図である。
【図3A】本発明による安全な秘密鍵を生成するためのシステムの概略図である。
【図3B】本発明による安全な秘密鍵を生成するための方法の概略図である。
【図3C】本発明の方法の好ましい実施形態による安全な秘密鍵を生成するための方法の概略図である。
【図4A】本発明の一実施形態による安全な秘密鍵を生成するためのシステムの概略図である。
【図4B】本発明の方法の好ましい実施形態による安全な秘密鍵を生成するための方法の概略図である。
【図5A】本発明の一実施形態による安全な秘密鍵を生成するためのシステムの概略図である。
【図5B】本発明による安全な秘密鍵を生成するための方法の概略図である。
【図6A】本発明の一実施形態によるシステムの概略図である。
【図6B】本発明による安全な秘密鍵を生成するための方法の概略図である。
【発明を実施するための形態】
【0035】
別段の定めがない限り、図中の要素は縮尺通り描かれていない。
【0036】
図3Aは、少なくとも2つの通信局SA、SB及び衛星Satを含む、本発明による安全な秘密鍵を生成するためのシステム1の概略図を示す。非限定的な例として、図3Aは、システム1が第1の通信局SA及び第2の通信局SBを含む実施形態を示す。或いは別の実施形態によれば、本発明のシステムは3つ以上の通信局を含む。
【0037】
図3Bは、システム1の第1の通信局SAによって実装される本発明による安全な秘密鍵を生成するための方法を概略的に示す。
【0038】
本発明の方法の第1のステップAで、通信局SAは、量子暗号化チャネルCQAB上で衛星Satから第1の秘密鍵KEKを受信するように構成される。この第1の秘密鍵KEKは、量子暗号化チャネルCQAB上で少なくとも1つの他の通信局SB、即ち図3Aに示すシステム内の局SBにも伝送される。このステップは当業者に知られており、衛星による従来のQKDで構成される(図2B参照)。本発明のシステムでは、衛星Satが局SAを局SBに接続する高信頼ノードとして機能し、従って局SA及びSBは光ファイバを採用するQKDチャネルの限界である100kmを超える距離離れていてもよい。
【0039】
本発明の方法のステップBで、第1の通信局SAが、真性乱数発生器TRNGを使用して第2の秘密鍵KSを生成するように構成される。この種の発生器TRNGは当業者に知られている。例えばこの生成器は量子乱数発生器(QRNG)であり得る。この場合、乱数は予測不可能な量子現象に基づいて作り出される。
【0040】
ステップCで、第1の通信局SAが、ワンタイムパッド(OTP)法によって第1の秘密鍵KEKから及び第2の秘密鍵KSから暗号化秘密鍵KCを生成する。ワンタイムパッド技法のセキュリティを確保するために、本発明では第1の秘密鍵と第2の秘密鍵とが同じサイズである(即ち同じ鍵サイズを有する)。より一般的には、本明細書の残りの部分では、ワンタイムパッド技法を実装する全てのステップが同じサイズの2つの鍵を組み合わせる。
【0041】
図3Bの方法は、暗号化秘密鍵KCを第1の通信局SAから他の通信局、即ち図3Aの実施形態における通信局SBに伝送する最後のステップDを含む。この伝送は、局SAと局SBとを結ぶ安全で認証されたチャネルCSAB上で行われる。
【0042】
ステップBからステップDは第1の通信局SAのモジュールModによって実行される。
【0043】
第2の秘密鍵KSは安全な秘密鍵を形成する。具体的には、図3Bの方法の最後に、局SBのユーザUBは、第2の秘密鍵KSを得るために、QKDにより衛星Sat経由で配送された第1の秘密鍵KEKを用いて暗号化秘密鍵KCを復号することができる(図3Cの方法参照)。ここで本発明の方法のステップB(即ち第2の秘密鍵の生成)は容易に繰り返すことができ、衛星経由のQKDによる鍵生成の制限(低いビットレート、悪天候に対する感度等)に悩まされることはない。従って本発明では、QKDによって得られる単一の第1の秘密鍵KEKが、ワンタイムパッド法によって複数の安全な秘密鍵を生成することを、これらの安全な秘密鍵を第1の秘密鍵KEKと組み合わせることによって可能にする。鍵KEKは、ここでは第2の安全な秘密鍵を安全に交換することを可能にする暗号プリミティブである。従って本発明の方法は、衛星経由でQKDによって配送される秘密鍵の数を大幅に減らすことを可能にし、この技法で達成可能な低い鍵レートによって引き起こされる問題に対する洗練された解決策を提供する。本発明の方法で実装される技法(QKD及びOTP)は量子の脅威に対して耐性があるため、本発明の方法は地上の多数の相互接続されたユーザに対するグローバルQKDシステムの可用性を高めることを可能にする。しかし本発明では、局SAと局SBとの間で交換することが望まれる非ランダムメッセージを暗号化するために鍵KEKを再利用しないことが重要である(下記参照)。本発明の方法では、第2の安全な秘密鍵KSは実際にはランダム「メッセージ」であり、従って同じ鍵を再利用しても危険はない。
【0044】
以下の例は本発明の方法が安全である理由を示す。局SAのユーザUAが2つの第2の鍵KS1及びKS2を作成したと仮定し、局SBのユーザであるUBに転送するために、ユーザUAはこれらの鍵を同じ鍵KEKで暗号化することに決めた。これらの鍵は2進数で符号化されるものとする。従って暗号化秘密鍵を暗号化するステップは、第1の秘密鍵及び第2の秘密鍵のXORで構成される。
【0045】
KS1を使用して暗号化した秘密鍵をKC1と表記する。
【数8】
【0046】
KS2を使用して暗号化した秘密鍵をKC2と表記する。
【数9】
【0047】
スパイのEveは、QKDによって配送された同じ鍵KEKを用いて暗号化された2つのメッセージを傍受する。彼女は情報的に何を取り出すことができるだろうか。
【0048】
Eveはこれらの2つの暗号化メッセージをXORして第1の秘密鍵KEKの影響を除去することができる。
【数10】
【0049】
従って、Eveは以下の情報を自由に使える。
【数11】
【0050】
これらの3つのシーケンスは、他の如何なるランダムメッセージに対しても統計的優位性がないランダムメッセージ間のXORを表す。
【0051】
KC1とKC2との間のXORは、実際にEveがKEKの影響を除去することを可能にする。しかし、KS1及びKS2も鍵であり、従って厳密にランダムなメッセージであるため、単純にEveが得る全てのメッセージがことによると正しいものであるかも知れないので、統計的解析による攻撃更には総当たり攻撃をEveが行うことは不可能である。Eveは最初の平文メッセージを明らかにすることを可能にする情報を有さない。逆に、このような
の組み合わせに基づき、等確率の第1の秘密鍵KEKを使って2つの暗号化メッセージKC1及びKC2をもたらす平文メッセージ候補の(鍵のサイズを差し引いた)無限数の対をEveは得ることになる。
【数12】
【0052】
従って本発明では、第2の秘密鍵がランダムメッセージ(即ち全て等確率)であることは、暗号化のセキュリティを損なうことなしに、UA及びUBがそれらの鍵を同じ第1の秘密鍵KEKを使用して暗号化することを可能にする。
【0053】
図3Bの方法の全てのステップは第1の局SAによって実装され、従って数百キロメートル又は数千キロメートル離れた様々な局に分散されるのではなく、同じ地理的領域内に「局在化」されることを指摘しておく。
【0054】
図3Cは、本発明の方法の或る好ましい実施形態を示す。この方法は、同じく衛星Sat及び局SBを含む図3Aのシステム1によって実装される。図3Cの方法は、ステップDの後の及び暗号化秘密鍵KCが伝送された通信局、即ち図3Aの実施形態では局SBによって実施されるステップEを含む。このステップEは、安全な秘密鍵を形成する第2の秘密鍵KSを得るために第1の秘密鍵KEKを使用して暗号化秘密鍵KCを復号することで構成される。このステップは、交換したい非ランダムメッセージを暗号化するために後で使用する安全な秘密鍵を2つの局SA及びSBが得ることを可能にするので必要である。
【0055】
好ましくは、本発明の方法では、第2の秘密鍵及び暗号化秘密鍵が2進数で符号化される。この実施形態では、暗号化秘密鍵KCは第1の秘密鍵KEKと第2の秘密鍵KSとを結合するXOR論理ゲートによって生成される。従って、ステップCは、
となる。この実施形態では、暗号化秘密鍵KC及び第1の秘密鍵KEKの組み合わせにより、復号ステップEがXOR論理ゲートによって実行される。従って、ステップEは、
となる。説明の残りの部分では、非限定的な例として全ての鍵が2進数で符号化されると考え、OTP暗号化の各ステップは暗号化に使用される鍵のXORで構成されると考え、OTPによって暗号化された鍵を暗号化する各ステップは、OTP暗号化に使用される2つの鍵の1つと暗号化された鍵とのXORで構成されると考える。
【数13】
【数14】
【0056】
上記で説明したように、本発明の方法によって複数の第2の安全な秘密鍵を生成し交換するために単一の第1の秘密鍵KEKが必要である。従って図3Cの方法の或る好ましい実施形態では、全て第1の秘密鍵KEKから生成される複数の安全な秘密鍵KS1,KS2,...,KSnを形成するためにステップBからステップEを複数回繰り返す。
【0057】
図4Aは、図4Bの方法を実装するように構成された、本発明のシステム1の一実装形態を示す。この方法は図3Cの方法の好ましい実施形態であり、局SA及びSB間で非ランダムメッセージMを交換することを可能にする。図4Bの方法は、2つの追加ステップF及びGを含む。通信局の1つ、例えばSA内で実行されるステップFは、
-本発明の方法によって生成された安全な秘密鍵KSを使用して非ランダムメッセージMを暗号化すること、及び
-暗号化された非ランダムメッセージMCを通信局SAから別の通信局SBに伝送することで構成される。このメッセージは、好ましくは局SAと局SBとを結ぶ安全で認証されたチャネル、例えばチャネルCSAB上で交換される。
-本発明の方法によって生成された安全な秘密鍵KSを使用して非ランダムメッセージMを暗号化すること、及び
-暗号化された非ランダムメッセージMCを通信局SAから別の通信局SBに伝送することで構成される。このメッセージは、好ましくは局SAと局SBとを結ぶ安全で認証されたチャネル、例えばチャネルCSAB上で交換される。
【0058】
更に図3Dの方法は、暗号化された非ランダムメッセージMCを安全な秘密鍵KSを使用して復号することで構成される最後のステップGを含む。図4Bの方法は本発明の方法の究極の目標である。この方法は、全て第1の秘密鍵KEKから生成された複数の安全な秘密鍵KS1,KS2,...,KSnを使用して複数の暗号化された非ランダムメッセージMC1,MC2,...,MCnを交換することを可能にする。
【0059】
図3Dの方法において交換される1つ又は複数の非ランダムメッセージMの機密性を損なわないために、ステップFで、本発明の方法によって生成された安全な秘密鍵KSの1つと共にワンタイムパッド法を使用して非ランダムメッセージが暗号化されないことが必要である。具体的には、UAがこの暗号化を実行すると仮定されたい。従ってUAは、
の形式で暗号化されて伝送された第2の秘密鍵KS1で第1のメッセージM1を暗号化し、次いで
の形式で同じく伝送された第2の秘密鍵KS2で第2のメッセージM2を暗号化する。この場合、Eveは依然として暗号化メッセージを傍受し、情報を取り出す目的で幾つかの操作を行うことができる:
【数15】
【数16】
【0060】
以下の暗号化メッセージをMC1と表記する。
【数17】
【0061】
以下の暗号化メッセージをMC2と表記する。
【数18】
【0062】
Eveは暗号化秘密鍵KC1、KC2を自由に使える。Eveは暗号化秘密鍵KC1、KC2をMC1、MC2と組み合わせて以下を得ることができる。
【数19】
【0063】
これでEveは、平文の非ランダムメッセージを同じ第1の秘密鍵KEKと組み合わせた2つの暗号化シーケンスの等価物を有する。従ってEveはこの2つのシーケンスを以下のように「xor」することができる。
【数20】
【0064】
Eveは第1の秘密鍵KEKの影響を除去し、2つの非ランダムメッセージの組み合わせを表すシーケンス
を得た。このシーケンスに基づき、Eveは総当たり攻撃又は統計的解析を行って非ランダムメッセージM1及びM2をそこから抽出することができ、そのことはEveが第1の秘密鍵KEKを決定することを更に可能にする。
【数21】
【0065】
従って、非ランダムメッセージMのセキュリティを損なうことを回避するために、本発明では非ランダムメッセージを対称暗号化法、例えばブロック暗号化又はストリーム暗号化によって暗号化される。
【0066】
図5Aは、図3Aに示す本発明の装置1の或る特定の実施形態を形成する、安全な鍵を生成するためのシステム2を示す。システム1に加えて、システム2は、第1のローカル通信局SLA及び第2のローカル通信局SLBを含む。システム2では、局SA及びSBがどちらも暗号化モジュールModを含む。図5Bは、システム2のアセンブリSA+SLAによって実装される、本発明による安全な秘密鍵を生成するための方法を概略的に示す。以下で説明するように、図5Bの方法は、ローカル局SLA及びSLBそれぞれの2人のユーザUA及びUBが、ローカル局SLA又はSLBがそれぞれ接続される局SA又はSBによって共通秘密鍵KABをローカルに確立することを可能にする。このシステム2及び関連する方法の利点は、衛星Satによる局SA及びSBへのQKD配送をユーザUA及びUBが管理する必要性を回避できるようにすることである。従って衛星との通信は、例えばファイバベースの短距離量子チャネルによってエンドユーザUA及びUBが接続されるゲートウェイ局SA、SBを介して行われる。
【0067】
図5Bの方法では、KEKAと表記する第1の秘密鍵A、及び第1の秘密鍵Aとは異なるKEKBと表記する第1の秘密鍵Bを第1の通信局SAにおいて受信するために、本発明の方法のステップAがステップBの前に2回繰り返される。本発明の方法の説明の中で明記したように、これらの第1の秘密鍵KEKA及びKEKBはチャネルQCAB上で衛星Sat経由でQKDによって配送され、同様のやり方で第2の通信局SBにも伝送される。衛星Sat経由でQVKによって配送される第1の秘密鍵KEKA及びKEKBを2つの局SA及びSBが記憶できる必要がある。
【0068】
図5Bの方法では、第1の暗号化秘密鍵KCAを生成するために、本発明の方法のステップBからステップDが第1の通信局SAによって実行される。この鍵KCAは、第1の秘密鍵KEKA及びKSAと表記する第2の安全な秘密鍵Aから生成される。従ってこのステップは:
で構成される。この鍵KSAは、真性乱数発生器によって第1の通信局SAによって生成され、第2の通信局SBに伝送される。
【数22】
【0069】
本方法は、第1の通信局SAによって実行される追加ステップD’E、F’、G’、及びHを更に含み、ステップD’Eは、
-第1の秘密鍵KEKBから及び第2の通信局SBによって生成されたKSBと表記する第2の安全な秘密鍵Bから第2の通信局によって生成された第2の暗号化秘密鍵KCB、即ち
を受信すること、及び
-第2の安全な秘密鍵KSBを得るために第2の暗号化秘密鍵KCBを第1の秘密鍵KEKBで復号すること、即ち
で構成される。
-第1の秘密鍵KEKBから及び第2の通信局SBによって生成されたKSBと表記する第2の安全な秘密鍵Bから第2の通信局によって生成された第2の暗号化秘密鍵KCB、即ち
【数23】
-第2の安全な秘密鍵KSBを得るために第2の暗号化秘密鍵KCBを第1の秘密鍵KEKBで復号すること、即ち
【数24】
【0070】
ステップF’は、共通秘密鍵と呼ばれる秘密鍵KABを、ワンタイムパッド技法によって第2の安全な秘密鍵KSAから及び第2の安全な秘密鍵KSBから生成することで構成される。別の言い方をすれば、
となる。これを行うために、ステップF’が実行される前にステップBからステップD及びステップD’Eが終了していなければならない。従って、ステップF’の前にステップBからステップD及びステップD’Eを実行することができるように、局SA及びSBは同期して第2の安全な鍵KSA及びKSBをそれぞれ確立できる必要がある。
【数25】
【0071】
図5Bの方法のステップG’は以下の内容で構成される。
-第1のローカル秘密鍵と呼ばれる秘密鍵KLAを第1のローカル量子チャネルCLA上で第1のローカル通信局SLAに配送すること。このチャネルCLAは、局SAと局SLAとを光ファイバによって結ぶ単純なQKD量子チャネルである。従って、これらの局SA及びSLA間の距離は100km未満である。
-ワンタイムパッド法によって第1のローカル秘密鍵KLAから及び共通秘密鍵KABから第1の暗号化されたローカル秘密鍵KLCA、即ち
を生成すること。
-第1の暗号化されたローカル秘密鍵KLCAを第1のローカル通信局SLAに伝送すること。
-第1のローカル秘密鍵と呼ばれる秘密鍵KLAを第1のローカル量子チャネルCLA上で第1のローカル通信局SLAに配送すること。このチャネルCLAは、局SAと局SLAとを光ファイバによって結ぶ単純なQKD量子チャネルである。従って、これらの局SA及びSLA間の距離は100km未満である。
-ワンタイムパッド法によって第1のローカル秘密鍵KLAから及び共通秘密鍵KABから第1の暗号化されたローカル秘密鍵KLCA、即ち
【数26】
-第1の暗号化されたローカル秘密鍵KLCAを第1のローカル通信局SLAに伝送すること。
【0072】
図5Bの方法のステップHは、第1のローカル通信局SLAにおいて、共通秘密鍵KABを得るために第1のローカル秘密鍵KLAを使用して第1の暗号化されたローカル秘密鍵KLCAを復号することで構成される。従ってこのステップは、
で構成される。
【数27】
【0073】
図3Bの方法と同様に、図5Bの方法の様々なステップはアセンブリSA+SLAによって実装され、従って数百キロメートル又は数千キロメートル離れた様々な局に分散されるのではなく、同じ地理的領域内に「局在化」される。
【0074】
図5Bの方法の最後に並びに局SB及びSLBによって一定のステップが実装されることを条件とし(図5Cの方法参照)、ユーザUA及びUBは、自分たちだけが知っており、自分たちの通信を安全にするために使用することができる共通秘密鍵KABを保持する。ここで、この操作はUA及びUBが通信する必要がある限り何度でも同じKEKA及びKEKBの対を用いて繰り返すことができるが、システムの他の任意のユーザに関しても同様である。具体的には、ユーザUA及びUBは、他のユーザ用の他の共通秘密鍵を確立するために局SA及びSBが使用する第1の秘密鍵KEKA及びKEKBの対を決定する方法を有さない。従って、この第1の秘密鍵KEKA及びKEKBの対は安全且つ秘密のままである。
【0075】
図5Bの方法の利点は、以下の図5Cの説明から明らかになる。図5Cは、図5Bの方法の或る好ましい実施形態を示す。この方法は、図5Bの方法と同様に、アセンブリSA+SLAによってだけではなく、図5Aのシステム2によって実装される。
【0076】
図5Cの方法では、ステップD’Eは、第2の通信局SBにおいて、前述の第2の安全な秘密鍵A KSAを得るために、第1の暗号化秘密鍵KCAを第1の秘密鍵KEKAで復号することを更に含む。従ってこのステップは、
で構成される。
【数28】
【0077】
図5Cの方法のステップF’は、第2の通信局SBにおいて、ワンタイムパッド技法によって第2の安全な秘密鍵KSAから及び第2の安全な秘密鍵B KSBから共通秘密鍵KABを生成することを含む。
【0078】
図5Cの方法では、ステップG’が以下を更に含む:
i.第2のローカル秘密鍵KLBを第2のローカル量子チャネルCLBによって第2のローカル通信局SLBに配送すること。第1のローカル量子チャネルCLAと同様に、CLBは局SBと局SLBとを光ファイバによって結ぶQKD量子チャネルである。従って、これらの局SB及びSLB間の距離は100km未満である。
ii.ワンタイムパッド法によって第2のローカル秘密鍵KLBから及び共通秘密鍵KABから第2の暗号化されたローカル秘密鍵KLCBを生成すること。
iii.前述の第2の暗号化されたローカル秘密鍵KLCBを第2のローカル通信局SLBに伝送すること。
i.第2のローカル秘密鍵KLBを第2のローカル量子チャネルCLBによって第2のローカル通信局SLBに配送すること。第1のローカル量子チャネルCLAと同様に、CLBは局SBと局SLBとを光ファイバによって結ぶQKD量子チャネルである。従って、これらの局SB及びSLB間の距離は100km未満である。
ii.ワンタイムパッド法によって第2のローカル秘密鍵KLBから及び共通秘密鍵KABから第2の暗号化されたローカル秘密鍵KLCBを生成すること。
iii.前述の第2の暗号化されたローカル秘密鍵KLCBを第2のローカル通信局SLBに伝送すること。
【0079】
最後に図5Cの方法のステップHは、第2のローカル通信局SLBにおいて、前述の共通秘密鍵KABを得るために第2のローカル秘密鍵KLBを使用して第2の暗号化されたローカル秘密鍵KLCBを復号することを含む。鍵が2進数で符号化されている場合、このステップは、
で構成される。
【数29】
【0080】
上記で説明したように、図5Cの方法の終了時に、ローカル通信局SLA及びSLBのユーザUA及びUBは、自分たちだけが知っており、自分たちの通信を安全にするために使用することができる共通秘密鍵KABを保持する。肝要なことに、オペレータUA及びUBは、局SA及びSBによって配送され、他のユーザ用の共通秘密鍵を生成するために使用される第1の秘密鍵KEKA及びKEKBの対を決定する方法を有さない。従って鍵KEKA及びKEKBの対は、生成される共通秘密鍵のセキュリティを損なうことなしに、全てのユーザに関して及びそれらのユーザが望むだけ何度でも使用することができる。この結果を以下に示す。
【0081】
局SLA及びSLBのユーザUA及びUB、並びにEveが取得できる全ての情報を検討されたい。
がある。加えて、
及び
がある。最後に、Eveには知られておらず、UA及びUBだけが知っている「最終的な」共通秘密鍵を表す
がある。
【数30】
【数31】
【数32】
【数33】
【0082】
Eveは以下のアクションを試みることができる。
しかし、どの項も簡略化されず、情報を抽出することができない。
【数34】
【0083】
Eveは
という組み合わせを試みることができる。この場合、Eveは複数のランダムな秘密シーケンス間のXORを得るが、そこから有用な情報を抽出することはできない。
【数35】
【0084】
同様に、Eveは
という組み合わせを試みることができる。この場合もやはり、Eveは2つのランダムな秘密鍵間のXORを得るが、そこから何も抽出することはできない。
【数36】
【0085】
Eveが試み得る先の組み合わせに加え、UA及びUBは共通秘密鍵KABを保持しているため他の組み合わせを試みることができる。
【0086】
従ってUA及びUBは、
という組み合わせを試みることができる。UA及びUBは、
も試みることができる。この場合もやはり、結果は2つのランダムな秘密シーケンス間のXORであり、UA(又はUB)は、局SA及びSBによって記憶される第1の秘密鍵KEKA及びKEKBの何れかを決定すること、更には第2の安全な秘密鍵KSB及びKSBを決定することさえできない。
【数37】
【数38】
【0087】
図5Cの方法では、局SAは、共通秘密鍵であって、それを必要とするユーザに配送され得る、共通秘密鍵を何時でも確立できるようにするために、局SBと共通にQKDによって配送される2つの第1の秘密鍵KEKA、KEKBだけを必要とする。衛星は、大量の秘密鍵を事前に確立する必要はもはやない。共通秘密鍵は局SA及びSBの要求に応じて非常に迅速に生成することができ、そのことは地上のユーザ数を増加させること、従ってシステム2の全体的な可用性を高めることを可能にする。
【0088】
図6Aは、図6Bの方法を実装するように構成される本発明のシステム2の一実装形態を示す。この方法は、図5Cの方法の或る好ましい実施形態である。図6Bの方法は、ステップHの後の及び第1のローカル通信局SLAによって実行される、前述の共通秘密鍵KABを使用して非ランダムメッセージMを暗号化し、次いで暗号化された非ランダムメッセージMCを第2のローカル通信局SLBに伝送するステップIを含む。このメッセージは、好ましくは安全で認証されたチャネルCSAB上で交換される。図6Bの方法は、ステップIの後の及び第2のローカル通信局によって実行される、共通秘密鍵KABを使用して前述の暗号化された非ランダムメッセージを復号するステップJを含む。
【0089】
図6Bの方法は、図5Cの方法の究極の目標である。この方法は、局SA及びSBによって第1の秘密鍵KEKA、KEKBの単一の対から全てローカルに生成される複数の共通秘密鍵KABを使用して暗号化された複数の非ランダムメッセージを局SLA及びSLBが交換することを可能にする。
【0090】
好ましくは、第1の暗号化秘密鍵KCA及び第2の暗号化秘密鍵KCBは、共通認証鍵に基づいて計算されたメッセージ認証コード(MAC)を使用し、チャネルCSAB等の安全で認証されたチャネル上で伝送される。
【0091】
本発明のシステム1又は2の或る好ましい実施形態では、通信局SA及びSBが地上にあり100km超離れている。具体的には、局SA及びSBがこの距離よりも近い場合、安全な秘密鍵を交換するのに、光ファイバによって2つの局を結ぶ単純なQKDチャネルで十分である。
【図1】
【図2A】
【図2B】
【図3A】
【図3B】
【図3C】
【図4A】
【図4B】
【図5A】
【図5B】
【図5C】
【図6A】
【図6B】
【国際調査報告】