JP2000201144A - 認証通信方法および認証通信装置 - Google Patents

認証通信方法および認証通信装置

Info

Publication number
JP2000201144A
JP2000201144A JP11000700A JP70099A JP2000201144A JP 2000201144 A JP2000201144 A JP 2000201144A JP 11000700 A JP11000700 A JP 11000700A JP 70099 A JP70099 A JP 70099A JP 2000201144 A JP2000201144 A JP 2000201144A
Authority
JP
Japan
Prior art keywords
information
sender
receiver
measurement
transmitted
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP11000700A
Other languages
English (en)
Inventor
Kaoru Shimizu
薫 清水
Nobuyuki Imoto
信之 井元
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP11000700A priority Critical patent/JP2000201144A/ja
Publication of JP2000201144A publication Critical patent/JP2000201144A/ja
Pending legal-status Critical Current

Links

Abstract

(57)【要約】 【課題】 量子力学の不確定性原理によってその安全性
が原理的に保証されている認証通信方法および認証通信
装置を提供する。 【解決手段】 送信者は認証機関1からID番号を支給
され、互いに直交する四つ以上の量子力学内部状態を持
つ粒子または粒子系を情報キャリアとし、有意情報ビッ
トを符号化した情報キャリアとID情報ビットを符号化
した情報キャリアを生成し、有意情報ビット列にID情
報ビットをランダムに挿入した全情報キャリアを受信者
に送信し、受信者は全情報キャリアを受信して測定結果
を得、送信者の要求により幾つかの測定結果を送信者に
報告し、送信者は測定結果に基づき受信者の測定の確認
後、ID情報ビットの挿入位置を開示し、受信者はID
情報ビットの挿入位置に基づき有意情報ビットを復号し
文書情報を得、ID情報ビットを認証機関1に問い合わ
せ、送信者が本人であるかどうかを照合してもらう。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、送信者が受信者に
対して自分が本人であることを確認させるとともに受信
者が送信者に成り済ますことを防止し、かつ送信者に成
り済まそうとする第三者を受信者が見破ることを可能に
する認証通信方法および認証通信装置に関し、更に詳し
くは、四つ以上の互いに直交する量子力学的内部状態を
有する粒子または粒子系を情報キャリアとして利用して
送信すべき情報を符号化し、認証機関において送信者に
発行される個人認証用ID番号を送信すべき文書情報に
付加して送信者から受信者に送信する認証通信方法およ
び認証通信装置に関する。
【0002】
【従来の技術】近年のインターネットをはじめとするコ
ンピュータネットワークの発展に伴い、電子的なデータ
に電子的に署名を行うデジタル署名や、各種の商取引な
どをネットワーク上で行う電子マネーなどの試みが検討
されている。署名や商取引などの行為を円滑に遂行する
ためには、当事者同士が互いに本人であることを他者に
対して証明すること、また契約書などの書類が改ざんさ
れていないことを証明することなどが必要不可欠にな
る。書面を主要な手段として行う従来の取り引きにおい
ては、印鑑や署名の使用によってこれらの要求を充たし
ていたが、全ての情報が電子的にデジタル化されたコン
ピュータネットワーク上では、通常の意味での印鑑や署
名は単なるデジタル画像情報にすぎず簡単に複製が可能
になってしまい、その本来の機能である証明・認証機能
を喪失してしまう。
【0003】例えば、送信者が受信者に自分の署名を送
信することで本人であることを証明しようとしたとす
る。しかし、送信者の署名を入手した受信者は第三者に
対してこの送信者の署名を送ることで完全に送信者に成
り済ますことができる。これは送信者にとって自分の署
名が悪用されるという意味で非常に重大な問題である。
更に、このことは受信者の立場からみて受け取った署名
の送り主が本当に送信者本人であるのかどうか不明にな
ってしまうことも意味している。
【0004】このように送信者が「本人であることの個
人証明」をみせつつ、なおかつその「個人証明」を受信
者に悪用されないようにする方法を構築することが重要
な課題になる。このような方法を一般的に認証通信方式
と呼んでいるが、公開鍵暗号方式の提案が行われるより
以前は通信ネットワーク上で認証を行うことは上述の理
由により原理的に不可能であると考えられていた。
【0005】通信ネットワーク上での認証通信を可能に
したのは公開鍵暗号方式を応用したデジタル署名技術で
ある(太田、黒澤、渡部、「情報セキュリティの科
学」、講談社、1995参照)。デジタル署名では、ま
ず送信者は公開鍵暗号方式における鍵生成手段に基づい
て暗号鍵と復号鍵とからなる鍵の対を生成する。そのう
ち暗号鍵を公開鍵として(公的な、もしくは信頼できる
私的な)認証機関に登録して公表するとともに、一方で
復号鍵を非公開鍵として秘密にしておく。送信者が署名
を付けた文書を送る場合には署名と合わせた文書を非公
開鍵で暗号化した上で送信する。受信者は受け取った暗
号文を送信者が公表した公開鍵を用いて復号するが、も
し解読された文書の中に送信者の署名が現れれば相手を
本人であると認証できることになる。なぜならば、公開
鍵暗号方式の原理にしたがえば、送信者の公開鍵を用い
て復号した場合に送信者の署名入の文書が出現するよう
な暗号文を生成するためには送信者の非公開鍵を知って
いなくてはならない。しかしこの非公開鍵を知っている
のは送信者本人しかいないと見なすことができるからで
ある。
【0006】このように現在ではデジタル署名技術を利
用することで通信ネットワーク上で認証通信を行うこと
が可能になっている。これは現在そして将来の情報通信
ネットワークにとって極めて重要な要素技術の一つであ
る。
【0007】
【発明が解決しようとする課題】デジタル署名技術の信
頼性、すなわち安全性は、送信者の非公開鍵が第三者に
は「絶対に」わからないという理論的前提に基づいてい
る(太田、黒澤、渡部、「情報セキュリティの科学」、
講談社、1995参照)。この理論的前提は計算量理論
によって裏付けられている。計算量理論ではある問題を
解くのに必要な計算時間が問題のサイズの増大につれて
どのように増加するのかを評価することにより、その問
題が実際に解ける問題なのか解けない問題なのかを判別
している。ここでサイズの増加に対して指数関数的に天
文学的な値にまで計算時間が増大してしまう場合には、
一般にその問題は解けないと見なされ、サイズの有限多
項式で表わされる時間内で解ける場合にはその問題は易
しい問題とされる。
【0008】公開鍵暗号方式の一つであるRSA方式で
は公開鍵と非公開鍵の対を生成する過程の途中の一段階
で二つの大きな素数の積を求めるという易しい問題(掛
け算)を利用しているが、逆に第三者が公表した公開鍵
から非公開鍵を逆算する場合には、この途中の一段階を
逆方向に演算するときに大きな整数の素因数分解を行わ
なくてはならなくなる。素因数分解に必要とされる計算
量は整数の桁(サイズ)に対して指数関数的に増大する
ことから、桁が大きい場合の素因数分解は事実上不可能
とみなされている問題の一つであり、公開鍵暗号方式
(RSA方式)の安全性の根拠となっている。公開鍵暗
号方式として提案されている他の方式でも、離散対数問
題などの「順方向の演算は易しくても逆算は計算量理論
的に不可能な」演算を採用している。
【0009】しかしながら、将来的に限りなく続くであ
ろう計算機の高速化により、かつて安全と見なされてい
た公開鍵/非公開鍵の対もやがては解かれてしまうこと
になる。この懸念を本質的に解消することはできない。
更に、素因数分解をはじめとする計算量理論的に難しい
とされる多くの問題に対して、高速解法(多項式計算時
間内で解けてしまうような効率的な解法)が存在しない
ことが証明されているわけではなく、将来これらが発見
される可能性が皆無なわけではない。実際に、量子力学
的な並列演算を行うことで素因数分解や離散対数問題は
多項式時間内で解けてしまうことが理論的に証明される
に至っている(西野、「量子コンピュータ入門」、東京
電機大学出版局、1997参照)。
【0010】このようにデジタル署名の基礎を与える公
開鍵暗号方式といえども必ずしも原理的に絶対安全とは
言えないのが事実である。そこで原理的にも絶対安全な
認証通信方法の検討が必要になる。ここで認証通信にお
ける安全とは通信内容が秘密に保たれるという意味では
なく成り済ましや書き換え(改変)が不可能という意味
である。
【0011】一方、近年提案されている量子暗号のアイ
ディアによれば原理的に絶対安全な共通秘密暗号鍵の共
有が可能になる(A.エカート著、井元訳、「量子暗号
への招待」、パリティ、Vol.7,No.2,1992参
照)。公開鍵暗号方式の安全性が計算量理論的な裏付け
しかもたず原理的に破られてしまう危険性を内包してい
るのに対して、量子暗号の安全性は量子力学の不確定性
原理に基づいており原理的に破られることはない。しか
し、これまで量子暗号の基本的なアイディアを認証通信
に応用する試みはなされていなかった。
【0012】本発明は、上記に鑑みてなされたもので、
その目的とするところは、量子力学の不確定性原理によ
ってその安全性が原理的に保証されている認証通信方法
および認証通信装置を提供することにある。
【0013】
【課題を解決するための手段】上記目的を達成するた
め、請求項1記載の本発明は、四つ以上の互いに直交す
る量子力学的内部状態を有する粒子または粒子系を情報
キャリアとして利用して送信すべき情報を符号化し、認
証機関において送信者に発行される個人認証用ID番号
を送信すべき文書情報に付加して送信者から受信者に送
信する認証通信方法であって、前記四つ以上の互いに直
交する量子力学的内部状態を有する粒子または粒子系に
おいてそれぞれ二つの量子状態からなる第一および第二
の直交基底系の一方を用いて、送信者から受信者に送信
すべき文書情報に相当する有意情報ビットを符号化した
情報キャリアを生成し、前記第一および第二の両方の直
交基底系をランダムに用いて、前記個人認証用ID番号
に相当するID情報ビットを符号化した情報キャリアを
生成し、前記有意情報ビット列を表す情報キャリアの時
系列に前記ID情報ビットを符号化した情報キャリアを
ランダムに挿入した全情報キャリアの時系列を生成して
受信者に送信し、受信者は前記第一および第二の直交基
底系における量子状態の組合せ方とは異なる組合せ方に
より構成される第三または第四の直交基底系を用いて、
送信者から送信された前記全情報キャリアを受信するこ
とにより測定結果を得、受信者は送信者によって指定さ
れた幾つかの情報キャリアに対応する前記測定結果を送
信者に報告し、送信者は受信者から報告された前記測定
結果に基づき受信者が測定を行ったかどうかを確認した
後、受信者に対して前記ID情報ビットの挿入位置を開
示し、受信者は前記開示されたID情報ビットの挿入位
置情報に基づき有意情報ビットおよびID情報ビットを
復号して文書情報およびID情報ビットを得て、この復
号したID情報ビットを認証機関に問い合わせて、送信
者が本人であるかどうかを照合してもらうことを要旨と
する。
【0014】請求項1記載の本発明にあっては、第一お
よび第二の直交基底系の一方を用いて文書情報に相当す
る有意情報ビットを符号化した情報キャリアを生成し、
両方の直交基底系をランダムに用いて個人認証用ID番
号に相当するID情報ビットを符号化した情報キャリア
を生成し、有意情報ビット列を表す情報キャリアの時系
列にID情報ビットを符号化した情報キャリアをランダ
ムに挿入した全情報キャリアの時系列を受信者に送信
し、受信者は第一および第二の直交基底系とは異なる組
合せ方により構成される第三または第四の直交基底系を
用いて全情報キャリアを受信することにより測定結果を
得、受信者は送信者により指定された幾つかの情報キャ
リアに対応する測定結果を送信者に報告し、送信者は報
告された測定結果に基づき受信者が測定を行ったかどう
かを確認した後、受信者にID情報ビットの挿入位置を
開示し、受信者はID情報ビットの挿入位置情報に基づ
き有意情報ビットおよびID情報ビットを復号して文書
情報を得、復号したID情報ビットを認証機関に問い合
わせて、送信者が本人であるかどうかを照合してもらう
ため、送信者が紛れもなく本人であることを認証するこ
とができ、受信者による署名の悪用や受信者の送信者へ
の成り済ましを適確に防止することができる。
【0015】また、請求項2記載の本発明は、四つ以上
の互いに直交する量子力学的内部状態を有する粒子また
は粒子系を情報キャリアとして利用して送信すべき情報
を符号化し、認証機関において送信者に発行される個人
認証用ID番号を送信すべき文書情報に付加して送信者
から受信者に送信する認証通信方法であって、送信者は
認証機関から個人認証用ID番号の支給を受け、四つ以
上の互いに直交する量子力学的内部状態を有する粒子ま
たは粒子系においてそれぞれ二つの量子状態からなる第
一および第二の直交基底系の一方を用いて、送信者から
受信者に送信すべき文書情報に相当する有意情報ビット
を符号化した情報キャリアを生成し、送信者は前記第一
および第二の両方の直交基底系をランダムに用いて、前
記個人認証用ID番号に相当するID情報ビットを符号
化した情報キャリアを生成し、送信者は前記有意情報ビ
ット列を表す情報キャリアの時系列に前記ID情報ビッ
トを符号化した情報キャリアをランダムに挿入した全情
報キャリアの時系列を生成して受信者に送信し、受信者
は前記第一および第二の直交基底系における量子状態の
組合せ方とは異なる組合せ方により構成される第三また
は第四の直交基底系を用いて、送信者から送信された前
記全情報キャリアを受信することにより測定結果を得、
受信者は送信者によって指定された幾つかの情報キャリ
アに対応する前記測定結果を送信者に報告し、送信者は
受信者から報告された前記測定結果に基づき受信者が測
定を行ったかどうかを確認した後、受信者に対して前記
ID情報ビットの挿入位置を開示し、受信者は前記開示
されたID情報ビットの挿入位置情報に基づき有意情報
ビットおよびID情報ビットを復号して文書情報および
ID情報ビットを得て、この復号したID情報ビットを
認証機関に問い合わせて、送信者が本人であるかどうか
を照合してもらうことを要旨とする。
【0016】請求項2記載の本発明にあっては、第一お
よび第二の直交基底系の一方を用いて文書情報に相当す
る有意情報ビットを符号化した情報キャリアを生成し、
両方の直交基底系をランダムに用いて個人認証用ID番
号に相当するID情報ビットを符号化した情報キャリア
を生成し、有意情報ビット列を表す情報キャリアの時系
列にID情報ビットを符号化した情報キャリアをランダ
ムに挿入した全情報キャリアの時系列を受信者に送信
し、受信者は第一および第二の直交基底系とは異なる組
合せ方により構成される第三または第四の直交基底系を
用いて全情報キャリアを受信することにより測定結果を
得、受信者は送信者により指定された幾つかの情報キャ
リアに対応する測定結果を送信者に報告し、送信者は報
告された測定結果に基づき受信者が測定を行ったかどう
かを確認した後、受信者にID情報ビットの挿入位置を
開示し、受信者はID情報ビットの挿入位置情報に基づ
き有意情報ビットおよびID情報ビットを復号して文書
情報を得、復号したID情報ビットを認証機関に問い合
わせて、送信者が本人であるかどうかを照合してもらう
ため、送信者が紛れもなく本人であることを認証するこ
とができ、受信者による署名の悪用や受信者の送信者へ
の成り済ましを適確に防止することができる。
【0017】更に、請求項3記載の本発明は、四つ以上
の互いに直交する量子力学的内部状態を有する粒子また
は粒子系を情報キャリアとして利用して送信すべき情報
を符号化し、認証機関において送信者に発行される個人
認証用ID番号を送信すべき文書情報に付加して送信者
から受信者に送信する認証通信装置であって、前記四つ
以上の互いに直交する量子力学的内部状態を有する粒子
または粒子系においてそれぞれ二つの量子状態からなる
第一および第二の直交基底系の一方を用いて、送信者か
ら受信者に送信すべき文書情報に相当する有意情報ビッ
トを符号化した情報キャリアを生成する有意情報ビット
符号化手段と、前記第一および第二の両方の直交基底系
をランダムに用いて、前記個人認証用ID番号に相当す
るID情報ビットを符号化した情報キャリアを生成する
ID情報ビット符号化手段と、前記有意情報ビット列を
表す情報キャリアの時系列に前記ID情報ビットを符号
化した情報キャリアをランダムに挿入した全情報キャリ
アの時系列を生成して受信者に送信する送信手段と、受
信者側に設けられ、前記第一および第二の直交基底系に
おける量子状態の組合せ方とは異なる組合せ方により構
成される第三または第四の直交基底系を用いて、前記送
信手段から送信された前記全情報キャリアを受信するこ
とにより測定結果を得る受信測定手段と、この受信測定
手段で得た測定結果のうち、送信者によって指定された
幾つかの情報キャリアに対応する前記測定結果を送信者
に報告する測定結果報告手段と、送信者側に設けられ、
前記測定結果報告手段により報告された前記測定結果に
基づき受信者が測定を行ったかどうかを確認した後、受
信者に対して前記ID情報ビットの挿入位置を開示する
挿入位置開示手段と、受信者側に設けられ、前記開示さ
れたID情報ビットの挿入位置情報に基づき有意情報ビ
ットおよびID情報ビットを復号して文書情報およびI
D情報ビットを得る復号手段と、送信者が本人であるか
どうかを認証機関に照合してもらうべく前記復号手段で
復号されたID情報ビットを認証機関に提示して問い合
わせる問い合わせ手段とを有することを要旨とする。
【0018】請求項3記載の本発明にあっては、第一お
よび第二の直交基底系の一方を用いて文書情報に相当す
る有意情報ビットを符号化した情報キャリアを生成し、
両方の直交基底系をランダムに用いて個人認証用ID番
号に相当するID情報ビットを符号化した情報キャリア
を生成し、有意情報ビット列を表す情報キャリアの時系
列にID情報ビットを符号化した情報キャリアをランダ
ムに挿入した全情報キャリアの時系列を受信者に送信
し、受信者は第一および第二の直交基底系とは異なる組
合せ方により構成される第三または第四の直交基底系を
用いて全情報キャリアを受信することにより測定結果を
得、受信者は送信者により指定された幾つかの情報キャ
リアに対応する測定結果を送信者に報告し、送信者は報
告された測定結果に基づき受信者が測定を行ったかどう
かを確認した後、受信者にID情報ビットの挿入位置を
開示し、受信者はID情報ビットの挿入位置情報に基づ
き有意情報ビットおよびID情報ビットを復号して文書
情報を得、復号したID情報ビットを認証機関に問い合
わせて、送信者が本人であるかどうかを照合してもらう
ため、送信者が紛れもなく本人であることを認証するこ
とができ、受信者による署名の悪用や受信者の送信者へ
の成り済ましを適確に防止することができる。
【0019】
【発明の実施の形態】以下、図面を用いて本発明の実施
の形態について説明する。図1は、本発明の一実施形態
に係る認証通信方法を実施する認証通信システムの構成
および処理手順を示す図である。図1において、認証機
関1は、登録された各ユーザに対して個人認証番号(I
D番号)を発行するとともに、第三者からの照合依頼に
基づいて提示された個人認証番号の確認を行うことを任
務とする。認証機関は信頼できる機関として、公的もし
くは私的に設置されるものとする。具体的には、ID番
号として十分に大きな数Nを桁数とする二値ランダム列
等を採用する。
【0020】送信装置2は、四つ以上の互いに直交する
量子力学的内部状態を有する粒子ないし粒子系を発生す
るとともに、第一および第二の直交基底の一方を用いて
文書に相当する有意情報ビットを符号化し、両方の直交
基底をランダムに用いて個人認証番号に相当するIDビ
ットを符号化し、有意情報ビット列を表わす情報キャリ
アの時系列にID情報ビットを符号化された情報キャリ
アをランダムに配置した全情報キャリアの時系列を送信
する。具体的には偏光相関光子対等を情報キャリアとし
て利用し、その二光子間の偏光相関や位相相関等を操作
することにより情報キャリアへの符号化を行う(特願平
10−31694号参照)。
【0021】また、受信装置3は、前記送信装置から送
信される全情報キャリアを前記第一および第二の直交基
底とは異なる第三もしくは第四の直交基底の何れかをラ
ンダムに選択した後、受信し、測定結果を得る手段を有
する。偏光相関光子対を情報キャリアとして利用した場
合には、二光子干渉等のベル状態解析装置を受信装置と
して利用する(特願平10−31694号参照)。古典
チャネル4は、送信者と受信者が付加的な情報のやり取
りに利用するチャネルである。
【0022】次に、図1の認証通信システムの処理手順
について図1に示すステップS1からステップS8を参
照して簡単に説明する。
【0023】送信者は、信用できる認証機関1から他者
に知られることのないように個人認証用のID番号の支
給を予め受ける。そして、認証通信が必要とされる場合
には、この支給されたID番号を数回に限り使用する
(ステップS1)。
【0024】ID番号のユーザである送信者は、四つ以
上の互いに直交する量子力学的内部状態を有する粒子ま
たは粒子系に対して、異なる二種類の互いに非直交な
(しかしそれぞれの基底系の二つの状態は直交してい
る)符号化基底系を用意し、文書に相当する有意情報ビ
ットについては一方の符号化基底のみを使用して符号化
し、個人認証を行うためのID情報を書き込むID情報
ビットに対しては両方の符号化基底をランダムに用いて
符号化する(ステップS2)。それから、有意情報ビッ
ト列の中のランダムな位置に、順番を替えることなくI
D情報ビットを挿入した後、送信装置2を用いて全情報
キャリアの時系列として受信者に送信する(ステップS
3)。
【0025】受信者は受信装置3を用いて全情報キャリ
アを受信して適切な量子状態測定を実行する(ステップ
S4)。
【0026】送信者は、受信者が本当に測定を行ったか
どうかを確認するために、古典通信チャネル4を介して
任意に抽出した幾つかのビットに対して受信者に測定結
果を報告するように要求し、それを照合する(ステップ
S5)。
【0027】送信者は、受信者から報告された測定結果
が矛盾を含まないことを確認して、受信者の測定の履行
を確認した場合には、受信者に全ID情報ビットの挿入
位置を古典通信チャネル4を介して開示する(ステップ
S6)。ここで受信者による量子状態測定の実施を確認
することにより、送信者は受信者による署名の悪用や成
り済ましを防止することができる。
【0028】受信者は、送信者による全ID情報ビット
の開示に基づいて有意情報ビットとID情報ビットを分
離し、有意情報ビットを復号して文書を得、更にID情
報ビットを復号する(ステップS7)。復号に成功しな
いものは捨て、復号に成功した符号値が確定したID情
報ビットについてのみ認証機関1に問い合わせ、この復
号したID情報ビットが本当に送信者のID番号である
のかどうか、すなわち送信者が本人であるかどうかを照
合してもらう(ステップS8)。そして、十分に多くの
符号値が確定したID情報ビットに対して、復号した符
号値と登録されてある符号値が一致した場合、送信者が
認証機関1に登録された本人であることを確認する。
【0029】量子測定によってID番号に関する情報が
部分的に破壊されるため、受信者は文書を入手すること
はできても、もはや送信者のID番号を再利用すること
はできない。従って、例えば自分で書いた文書を第三者
に送る場合、そこに送信者の署名を付けることはもはや
できない。
【0030】成り済ましを目的としてID番号を盗むた
めには量子測定を行わないことが必要であるが、この場
合には受信者は送信者による測定履行確認(ステップS
5)に合格することはできず、従って有意情報ビットと
ID情報ビットとを判別することができず、結果的に文
書を入手することも、従ってその内容を変更することも
不可能である。このように測定による量子状態の破壊に
伴う情報の喪失という不確定性原理によって認証の安全
性が保証されることになる。以下でその作用について各
ステップ毎に具体的に説明する。
【0031】第1に、受信者が(送信者の)署名の悪用
を考えていない場合について図2、図3に示す流れ図お
よび図4、図5を参照しながら各ステップ毎に説明す
る。
【0032】まず、ステップS1における個人認証用I
D番号の登録と支給について説明する。
【0033】公開鍵暗号方式における公開鍵の身元保証
を行う従来の認証機関と同様に、本発明で設置を想定す
る認証機関は公的または私的に信頼できる機関とする。
送信者は図2のステップS1に示すように認証機関1か
ら二進数N桁のビット列からなる個人認証番号であるI
D番号を支給される。このときID番号の支給は他者に
は知られることがないように行われるものとする。
【0034】また送信者はこのID番号を繰り返し使う
ことはできるが、その許容回数はID番号の桁数Nによ
って制限されている。
【0035】次に、ステップS2における文書情報とI
D情報の量子状態への符号化について説明する。
【0036】送信者は、四つの互いに直交する量子力学
的内部状態を有する粒子または粒子系をビット情報のキ
ャリアとして利用する。ここで四つの互いに直交する量
子状態を図4に示すように|P>,|Q>,|R>,|
S>とする。系の任意の量子状態はこれら四つの状態の
線形結合で表わされる。この情報キャリアの具体例とし
ては偏光相関のある光子対などを想定している(特願平
10−31694号参照)。
【0037】送信者は、文書に相当する有意情報ビット
を符号化する場合には、”0”および”1”に対してそ
れぞれ系の状態を |A>=(|P>+|Q>)/√2 …(1) および |B>=(|R>+|S>)/√2 …(2) で表わされる量子状態|A>および|B>に設定する。
これら二つの量子状態は直交する。
【0038】一方、N桁のビット列からなるID番号を
N個のID情報ビットとして符号化する場合には、更に
二つの互いに直交する量子状態 |C>=(|P>+|R>)/√2 …(3) および |D>=(|Q>+|S>)/√2 …(4) を準備して、”0”を符号化する場合には|A>か|C
>のどちらかをランダムに選び、”1”を符号化する場
合には|B>か|D>のどちらかをランダムに選んで符
号化する。
【0039】ここで{|A>,|B>}と{|C>,|
D>}は異なる直交基底に対応しており、{|A>,|
B>}基底に属する量子状態と{|C>,|D>}基底
に属する量子状態とを同時に測定して意味のある測定結
果を得ることは、単一光子における直線偏光と円偏光と
の関係と同様の意味で量子力学の不確定性原理により不
可能である。従って符号化に利用する基底が未知である
場合には、受信者は正しいIDビット情報を得られたの
かどうか確信をもつことができない。つまり送信量子状
態に関する情報は伝わらない。
【0040】次に、ステップS3における送信用ビット
列の準備と送信について説明する。
【0041】送信者は予め用意した文書に、自分の名前
とアドレスを書き込んだ差出人記述子と相手(受信者)
の名前とアドレスを書き込んだ受取人記述子を付加す
る。例えば送信者、受信者をそれぞれAlice,Bob とした
場合、
【数1】差出人記述子:(From Alice,(Alice's address
………,date,time…)), 受取人記述子:(To Bob,(Bob's address………,date,ti
me…)) となる。これらは有意情報ビットとして文書に付加され
る。
【0042】次に文書+(差出人/受取人)記述子とか
らなる有意情報ビット列の中にN個のID情報ビットを
順序を保ったままランダムに挿入して送信用ビット列を
準備した後、ステップS2で述べた手続きに従って符号
化した全情報キャリアの列を送信する。
【0043】次に、ステップS4における全情報キャリ
アの受信と量子測定について説明する。
【0044】受信者は有意情報ビットとID情報ビット
を判別することができないうえ、更に{|A>,|B
>}基底に属する量子状態と{|C>,|D>}基底に
属する量子状態との間の非直交性のため符号値を判別で
きない。従って{|A>,|B>}基底または{|C
>,|D>}を測定基底として利用している限り受信者
は(符号値を確信できないという意味で)情報を得るこ
とができない。
【0045】そこで受信者は情報キャリアを受信するに
あたって、測定に使用する基底を図4に示した量子状態
|P>,|Q>,|R>,および|S>を識別する直交
基底{|P>,|Q>,|R>,|S>}(第一の測定
基底)か、もしくは図5に示すように量子状態|P
* >,|Q* >,|R* >,および|S* >を識別する
直交基底{|P* >,|Q* >,|R* >,|S* >}
(第二の測定基底)の何れかをランダムに選択してキャ
リアを測定する。
【0046】ここで
【数2】 |P* >=( |P>+|Q>+|R>−|S>)/2 …(5.1) |Q* >=( |P>+|Q>−|R>+|S>)/2 …(5.2) |R* >=(−|P>+|Q>+|R>+|S>)/2 …(5.3) および
【数3】 |S* >=( |P>−|Q>+|R>+|S>)/2 …(5.4) とする。この第二の測定基底の必要性は後述する。
【0047】前述したように、ここでもし受信者が{|
A>,|B>}基底を測定基底として選択すると、ID
情報ビットが{|C>,|D>}基底で符号化されてい
た場合には、ID情報ビットは完全に破壊されてしまい
符号値の情報は失われてしまう。同様に{|C>,|D
>}基底で測定を行うと有意情報ビットが完全に消失し
てしまい符号値の情報が伝わらなくなってしまう。
【0048】それに対して上述の第一および第二の測定
基底を採用した場合には、約半数の割合でビット情報を
100%確実に読み出すことが可能になる。つまり測定
に伴う情報の喪失は部分的なものになる。このことは以
下のようにして説明される。
【0049】もし受信者が第一の測定基底を採用して量
子状態|P>を得たとすると、図4に示すように、受信
者は状態|A>か|C>が送信されたことを知る。すな
わちビット値は”0”であることが判明する。以下同様
に、状態|Q>を得たとすると状態|A>か|D>が送
信されたことを、状態|R>を得たとすると状態|B>
か|C>が送信されたことを、状態|S>を得たとする
と状態|B>か|D>が送信されたことを知る(最後の
場合符号値は”1”であることが判明する)。
【0050】また、もし受信者が第二の測定基底を採用
して、状態|P* >を得たとすると、図5に示すよう
に、状態|A>か|C>が送信されたことを知る(最後
の場合符号値は”0”であることが判明する)。以下同
様に、状態|Q* >を得たとすると状態|A>か|D>
が送信されたことを、状態|R* >を得たとすると状態
|B>か|D>が送信されたことを(この場合符号値
は”1”であることが判明する)、状態|S* >を得た
とすると状態|B>か|C>が送信されたことを知る。
【0051】偏光相関光子対を情報キャリアとして用い
る場合には、測定基底{|P>,|Q>,|R>,|S
>}および{|P* >,|Q* >,|R* >,|S
* >}の実現方法としてBell状態測定を行うことが考え
られる(特願平10−31694号参照)。
【0052】次に、ステップS5における測定実施の確
認について説明する。
【0053】送信者は、受信者に対して幾つかの情報キ
ャリアをランダムに指定し、それぞれ対応する測定結果
と選んだ測定基底の種類(第一か第二か)を報告させ
る。そして自分が送った送信状態と受信者が報告してき
た測定結果との間に矛盾がないかどうかを確認する。
【0054】次に、ステップS6においてID情報ビッ
トの挿入位置を公表する。すなわち、ステップS5で受
信者の測定の履行を確認したら、送信者は受信者に全て
のID情報ビットの挿入位置を開示する。これは同時に
全ての有意情報ビットが明らかになることを意味してい
る。
【0055】次に、ステップS7において文書の読み出
しとID番号の部分的読み出しを行う。ステップS6を
経ることにより、受信者は有意情報ビットとID情報ビ
ットとを分離することがはじめて可能になる。
【0056】有意情報ビットは{|A>,|B>}の基
底のみを使って符号化されているので、受信者は図4お
よび図5の関係に基づいて自分が得た測定結果から一意
に符号値を復号し、その結果文書情報を読み出すことが
できる。更に、このとき送信者が付加した差出人記述子
(From Alice,(Alice's address………,date,time…))、
および受取人記述子(To Bob,(Bob's address………,dat
e,time…))を読み出して内容に矛盾がないことを確認す
る。
【0057】一方、N個あるID情報ビットについては
符号化の基底が{|A>,|B>}なのか{|C>,|
D>}なのか依然として不明のままである。従っていつ
も確実にID情報ビットが読み出せるというわけではな
い。この様子を以下に説明する。
【0058】第一の測定基底{|P>,|Q>,|R
>,|S>}を用いた場合、図4からわかるように、
【数4】 量子状態|P>を得た場合:IDビットの符号値”0”に確定、 量子状態|S>を得た場合:IDビットの符号値”1”に確定 それに対して、
【数5】 量子状態|Q>を得た場合:IDビットの符号値 不確定、 量子状態|R>を得た場合:IDビットの符号値 不確定 となる。
【0059】また第二の測定基底{|P* >,|Q
* >,|R* >,|S* >}を用いた場合、図5からわ
かるように、
【数6】 量子状態|P* >を得た場合:IDビットの符号値”0”に確定、 量子状態|R* >を得た場合:IDビットの符号値”1”に確定 それに対して、
【数7】 量子状態|Q* >を得た場合:IDビットの符号値 不確定、 量子状態|S* >を得た場合:IDビットの符号値 不確定 となる。
【0060】このように測定基底の種類(第一か第二
か)に関わらずID情報ビット1個あたり1/2の確率
で符号値は確定し、1/2の確率で符号値は不明であ
る。よって全部でN個のID情報ビットの中で約N/2
個は符号値が確定し、残りの約N/2個は不確定とな
る。従って受信者はもはや送信者のID番号を正確に再
現することはできなくなっている。これは測定によりI
D情報が部分的に失われたためと解釈することができ
る。
【0061】次に、ステップS8における認証機関への
問い合わせについて説明する。
【0062】ステップS7により送信者の部分的なID
情報を得た受信者は、符号値が確定した約N/2個のI
D情報ビットについてのみその場所(桁)と値を認証機
関1に連絡し、登録されているはずの送信者のID番号
との間に不一致がないかどうかを照合確認してもらう。
【0063】このとき、もし申告した約N/2個のID
情報ビットのほとんど全てが登録されたものと一致した
場合には、受信者は送信者を本人であると認証すること
になる。もし不一致が多いようならば本人とは認めな
い。
【0064】ここで受信者と認証機関との間の情報交換
は安全に行われるものと仮定した。つまり送信者が認証
機関に成り済ますことは不可能という前提をおいてい
る。認証機関が公的な性格を持ち受信者との間に幾つも
の通信経路が確保される場合、この前提は一般的なもの
である。このようにして受信者は送信者が本人であるこ
とを認証することになる。
【0065】第2に、受信者が送信者を認証した後で送
信者への「成り済まし」を試みる場合について説明す
る。
【0066】上述したように、送信者のID番号情報を
部分的に得た受信者が、今度は第三者に対して、送信者
に成り済まそうとした場合、どのようにしてその試みが
第三者に見破られてしまうのかを説明する。ここで第三
者も受信者同様に上述したステップS1〜S8の手順に
したがうものとする。なお、以下の説明では、(正規
の)送信者をAlice 、受信者をBob 、第三者をClare と
呼ぶことにする。
【0067】Bob はClare に対してAlice に成り済ま
し、Clare に送る文書にAlice の署名を付けることを試
みるものとする。そこでまず送信文書にそれぞれ
【数8】差出人記述子:(From Alice,(Alice's address
………,date,time…)), 受取人記述子:(To Clare,(Clare's address………,dat
e,time…)) を付加する。このようにしてまず送信用の有意情報ビッ
ト列を用意する。
【0068】次に、N個のID情報ビットを準備しなく
てはならない。Alice のN桁のID情報ビットのうちBo
b にとって符号値が確定しているものは約N/2個であ
り、残りの約N/2個については符号値は不明である。
それにも関わらずBob はClare に全部でN個のID情報
ビットを送る必要がある。前記のステップS5〜S7の
過程を経て最終的にClare が得るであろうN個のID情
報ビットの測定結果の中の約N/2個はClare にとって
符号値が確定するが、残りの約N/2個については符号
値が不明である。Clare はこれらの符号値が確定してい
る約N/2個のID情報ビットについて認証機関に照合
を依頼する。
【0069】しかし、Bob にとって符号値が確定した約
N/2個のID情報ビットとClareにとって符号値が確
定した約N/2個のID情報ビットとは一般に一致しな
い。Clare にとって符号値が確定した約N/2個のID
情報ビットの中にはBob にとって符号値が不明だったI
D情報ビットが約半数含まれることになる。従って認証
機関は、Clare により申告された約N/2個のID情報
ビットをAlice のものと認めることはない。このように
してBob による成り済ましは最終的に見破られてしま
う。以下にこの過程を詳述する。
【0070】まず、Bob にとってID情報ビットの符号
値が確定している場合について説明する。
【0071】例えば、あるAlice のID情報ビットに対
してBob が測定結果として量子状態|P>を得たとす
る。このときこのID情報ビットの符号値は”0”に確
定する。次にBob がこのID情報ビットをClare に送る
場合には、符号値が”0”なので状態|A>(式(1)
参照)か状態|C>(式(3)参照)のどちらかを送信
すればよい。
【0072】Clare が第一の測定基底{|P>,|Q
>,|R>,|S>}を選択した場合、Bob による送信
状態|A>および|C>に対してそれぞれ測定結果とし
て次の量子状態;
【数9】 Bob の送信状態|A>:Clare の測定結果|P>(符号値確定”0”)、 :Clare の測定結果|Q>(符号値不明) および
【数10】 Bob の送信状態|C>:Clare の測定結果|P>(符号値確定”0”)、 :Clare の測定結果|R>(符号値不明) を得ることになる(図4参照)。Bob が送ったID情報
ビットは1/2の確率でClare にとって符号値不明とな
るが、1/2の確率で符号値は”0”に確定する。従っ
て、Bob にとってID情報ビットの符号値が確定してい
る場合、Clare が受信したID情報ビットの符号値はBo
b のものと同じかもしくは符号値不明になるかのどちら
かであって、Clare がBob が得た値とは異なる符号値を
得るようなことは起こらない。
【0073】このことはClare が第二の測定基底を採用
した場合も同様である(図5参照)。よって一般にBob
にとって符号値が確定している約N/2個のID情報ビ
ットの中の約半数(約N/4個)はClare によっても同
じ符号値をもったID情報ビットとして認識される。し
かしBob は、どの約N/4個がClare にとっても符号値
確定となるのか全く予想することはできない。Clare が
これらのID情報ビットについて前記ステップS8にし
たがって認証機関に照合を依頼した場合、これらのID
情報ビットは登録されているAlice の本来のものと一致
を示すことになる。従って(Bob にとって)符号値が確
定したID情報ビットからBob の成り済ましが見破られ
ることはない。
【0074】次に、Bob にとってID情報ビットの符号
値が不明だった場合について説明する。
【0075】Alice がID情報ビットとして”0”を送
るために状態|A>を送信したとする。その情報キャリ
アに対して、Bob は第一の測定基底{|P>,|Q>,
|R>,|S>}を選択して測定し、その結果、状態|
Q>を得たとする。この場合Bob にとってID情報ビッ
トの符号値は不明である(図4参照)。Bob はAliceが
|A>(”0”)か|D>(”1”)かのどちらか一方
を送信したものとみなすことができるが、そのどちらを
実際に送信したのかは全くわからない。この二つの非直
交な量子状態を識別することはBob にとって不可能であ
る。それにも関わらずBob はClare に状態|A>か|D
>かを適当に(あて推量で)選択してID情報ビットを
送らなければならない。
【0076】Clare が第一の測定基底{|P>,|Q
>,|R>,|S>}を選択した場合には、Bob による
送信状態|A>もしくは|D>に対してそれぞれ測定結
果として次の量子状態;
【数11】 Bob の送信状態|A>:Clare の測定結果|P>(符号値確定”0”)、 :Clare の測定結果|Q>(符号値不明) もしくは
【数12】 Bob の送信状態|D> :Clare の測定結果|S>(符号値確定”1”=反転)、 :Clare の測定結果|Q>(符号値不明) を得ることになる。
【0077】Bob が(あて推量で)送った約N/2個の
(Bob にとって符号値が不明な)ID情報ビットの中の
約半数はClare にとっても符号値は不明となる(Clare
が状態|Q>を得た場合に相当)。これらについてはCl
are は認証機関に照合をかけないのでBob にとって問題
はない。
【0078】Bob が選択した送信状態がAlice が送った
送信状態とたまたま一致していたときには(この例では
Bob が状態|A>を選択した場合)、もしClare にとっ
て符号値が確定すればその値はAlice が初めにBob に送
信した符号値と一致する(この例では”0”となる)。
このような場合符号値は反転しない。しかしながら、Bo
b が(あて推量で)選択した送信状態がAlice が送った
送信状態と不一致だったとき(ここではBob が状態|D
>を選択した場合)には、もしClare にとって符号値が
確定すれば、その値はAlice が初めにBob に送信した符
号値と反対になってしまう。この例では”1”となって
おり、Alice が最初に送ったID情報ビットの符号値”
0”に対して反転してしまっている。
【0079】このようにClare にとって符号値が確定し
た約N/4個のID情報ビットのうち約半数のN/8個
については符号値の反転は生じない。しかし残りの約N
/8個についてはID情報ビットの符号値は反転する。
よってClare が前記のステップS8の段階で、符号値が
確定しているID情報ビットについて認証機関に照合を
依頼すれば、この約N/8個について登録されているAl
ice のID番号との間に顕著な不一致が発見されること
になる。
【0080】Bob がClare に送る全情報キャリア列の中
に挿入した全部で合計N個のID情報ビットのうち、Bo
b にとって符号値が確定したものは約N/2個であり不
明のものは約N/2個である。一方、Clare が受信した
これらの合計N個のID情報ビットの中で、約半数のN
/2個のID情報ビットがClare にとって符号値確定と
なり、残りの半数は符号値不明となる。ここでBob は送
信したID情報ビットが符号値確定になるのか不明にな
るのか予測することはできない。
【0081】Clare は符号値が確定した約N/2個のI
D情報ビットの位置(桁)と値について認証機関に照合
を依頼する。そのうち約3/4の3N/8個は本来のAl
iceのID情報ビットのものと一致する。しかし約1/
4のN/8個については符号値の反転が見られることに
なる。Clare にとって符号値確定したN/2個のID情
報ビットの中で半数の約N/4個は符号値反転の可能性
がないものであり、残りの半数N/4個は1/2の確率
で符号値が反転することになる。よってBob がClare に
成り済ましを見破られずにすむ確率はおおよそ
【数13】 となり、Nの増加とともに指数関数的に0に漸近してい
く。よってID情報ビットの桁数Nが充分に大きければ
Bob による成り済ましはClare に見破られてしまう。
【0082】次に、Bob が測定結果として得られた量子
状態を直接Clare に再送信して「成り済まし」を試みる
場合について説明する。
【0083】Bob が、Clare にID情報ビットを送信す
るときに、正規の送信状態:|A>,|B>,|C>も
しくは|D>ではなく、常に測定結果として得られた量
子状態|P>,|Q>,|R>,|S>や|P* >,|
* >,|R* >,|S* >を直接再送信した場合にど
うなるかを説明する。この場合でもやはりBob による成
り済ましはClare に見破られてしまうことを示す。
【0084】Alice がID情報ビットとして”0”を送
るために状態|A>をBob に送信したとする。その情報
キャリアに対してBob は第一の測定基底{|P>,|Q
>,|R>,|S>}を選択して測定し、その結果、状
態|Q>を得たとする。この場合Bob にとってID情報
ビットの符号値は不明である。そこで正規の送信状態|
A>もしくは|D>を送信する代わりに、測定結果とし
て得られた量子状態|Q>を直接Clare に再送信するも
のとする。
【0085】このときClare が第一の測定基底{|P
>,|Q>,|R>,|S>}を選択していたとする
と、Clare は状態|Q>を得るが、この場合Clare にと
っても符号値は不明である。よってClare が常に第一の
測定基底を使うことに決まっていれば、Bob は符号値の
確定・不確定に関わらず常に測定結果に対応して状態|
P>,|Q>,|R>もしくは|S>をそのままClare
に再送信することで、成り済ましの痕跡を残さないよう
に振舞うことができる。このときBob は符号値が確定し
た約N/2個のID情報ビットを全てClare に伝えるこ
とに成功し、そしてBob にとって符号値が不明な約N/
2個のID情報ビットは全てClare にとっても符号値不
明となる。よって、Clare は符号値が確定したN/2個
だけを照合に使うのでBob による成り済ましが露見する
ことはない。
【0086】ところが、Clare が第二の測定基底{|P
* >,|Q* >,|R* >,|S*>}をランダムに併
用する場合には、このようなBob による直接再送信の方
法はClare に見破られてしまう。
【0087】例えば、Bob が測定結果として得られた状
態|Q>を直接Clare に再送信し、Clare はこれを第二
の測定基底を用いて測定したとする。ここで第一の測定
基底に属する量子状態を第二の測定基底で展開すると
【数14】 |P>=( |P* >+|Q* >−|R* >+|S* >)/2 …(6.1) |Q>=( |P* >+|Q* >+|R* >−|S* >)/2 …(6.2) |R>=( |P* >−|Q* >+|R* >+|S* >)/2 …(6.3) および
【数15】 |S>=(−|P* >+|Q* >+|R* >+|S* >)/2 …(6.4) となることから、|Q>が送信された場合Clare は|P
* >,|Q* >,|R*>もしくは|S* >の何れかを
それぞれ確率1/4で得ることになる。図5によれば測
定結果とID情報ビットの符号値の関係は |P* >:符号値は”0”に確定、 |Q* >:符号値は不明、 |R* >:符号値は”1”に確定、 |S* >:符号値は不明 である。
【0088】よって、このときClare が照合に利用する
(符号値が確定した)約N/2個のID情報ビットには
確率1/2で符号値の反転が生じることになる。
【0089】Bob が選択した測定基底(第一か第二か)
とClare が選択した測定基底が不一致である確率は1/
2であることを考慮すると、成り済ましによる符号値反
転が生じる確率はID情報ビット1個あたり1/4とな
る。よってBob が成り済ましを見破られずにすむ確率は
おおよそ
【数16】 となり、やはりID情報ビットの桁数Nが充分に大きけ
ればBob による成り済ましはClare に見破られてしま
う。この場合も、Clare にとって符号値が確定したN/
2個のID情報ビットのうち約1/4のN/8個に符号
値反転が現れることになる。
【0090】ここでBob は、符号値が確定した場合には
測定結果に対応した正規の送信状態|A>,|B>,|
C>もしくは|D>をClare に送信し、符号値が不明の
場合に限って測定結果として得られた量子状態を直接送
る場合を考える。この場合、Bob が成り済ましを見破ら
れずにすむ確率はおおよそ
【数17】 と見積もられ、幾らかBob にとって露見確率の低下が期
待されるが、しかしNが充分に大きければやはりこの確
率は指数関数的に0に漸近していくことにはかわりな
い。
【0091】Bob が測定時に{|A>,|B>}基底を
利用すると、ID情報ビットとして|C>や|D>が送
られていた場合これらの情報を完全に破壊してしまうの
でBob はもはやClare に正しい符号値を送ることができ
なくなる。
【0092】以上のように、送信者(Alice )のID番
号情報を部分的に得た受信者(Bob)が、第三者(Clare
)に対して送信者(Alice )に成り済まそうとした場
合、受信者Bob の試みは認証機関によるAlice のID情
報の照合の結果、見破られてしまう。Clare は前記のス
テップS5〜S7にしたがって有意情報ビットを復号し
文書を得て、たとえその中に差出人記述子:(From Alic
e,(Alice's address………,date,time…))、および受取
人記述子:(To Clare,(Clare's address………,date,ti
me…))を見い出したとしても、ID情報の照合の失敗か
ら文書が「改変」されたものであることを見抜けるので
ある。
【0093】このように受信者Bob は情報キャリアに対
する測定により送信者Alice を認証することは可能であ
るが、もはやAlice のID情報を利用してClare に対し
てAlice に成り済ますことは不可能になる。
【0094】第3に、受信者Bob が送信者Alice に対す
る認証を行わずに第三者に対してAlice に成り済まそう
とした場合について説明する。
【0095】上述したように、Bob は(1)全ての情報
キャリアに対する測定を実行し(ステップS4)、
(2)Alice から指定された幾つかの情報キャリアにつ
いて測定基底と測定結果を報告し(ステップS5)、
(3)Alice からの情報にしたがって全ID情報ビット
と有意情報ビットとを分離し(ステップS6)、(4)
符号値が確定したID情報ビットについて認証機関に問
い合わせる(ステップS7,S8)ことで最終的にAlic
e を認証しかつ文書がAlice により書かれたものである
ことを確認できる。しかしBob がステップS4で測定を
行うことでAlice のID情報は部分的に失われてしまう
ために、もはやBob はClare に対してAlice に成り済ま
すことは不可能になる。
【0096】ここで、もしステップS5において受信者
が本当は測定を行っていなかった場合には受信者は適当
に(あてずっぽうに)測定結果を「ねつ造」して報告せ
ざるをえない。このとき1/2の確率で誤りを生じるた
め、測定履行確認用の情報キャリアの個数がM個の場合
には測定不履行が露見しない確率は(1/2)M にした
がって指数関数的に0に漸近していく。よって、たとえ
測定確認用の情報キャリアの数Mが全情報キャリアの数
に比べて少なくても、数Mが十分大きい場合には送信者
は受信者の測定の不履行を見破ることができる。
【0097】このようにステップS5で測定履行を確認
することは、受信者をして送信者のID番号情報を部分
的に喪失せしめるために必要である。Mの値の設定は、
文書のビット数、ID番号のビット数、および必要とさ
れる安全性に基づいて決定される。測定不履行の場合に
はこの段階でステップは終了する。これはAlice がBob
による成り済ましを未然に防止したことに相当する。
【0098】そこでBob の立場から考えると、「成り済
まし」を隠蔽しながらかつAlice のID番号情報の再利
用を試みる場合には、ID情報ビットを符号化された情
報キャリアを決して測定してはならないことになる。も
しBob にとって全てのID情報ビットの位置が既知であ
れば測定不履行は可能であり(後述の方法を採用すれば
ステップS5をクリアすることが可能である)、有意情
報ビットだけを測定して内容を変更しID情報ビットは
測定しないで直接Clare に送ることでBob は「改変」し
た文書に対してAlice の署名を付けることができてしま
う。
【0099】この問題を避けるために、本発明の認証通
信方法では、有意情報ビット列へのID情報ビットのラ
ンダムな挿入(ステップS3)を行い、受信者にとって
初めは(ステップS7より前には)ID情報ビットの位
置がわからないようにしている。このためID情報ビッ
トを破壊しないで温存するためにはBob は有意情報ビッ
トとID情報ビットとを合わせた全ての情報キャリアに
対して測定を「行わない」ようにしなければならない。
ところが、Alice はBob による測定履行を確認した後
(ステップS5)でないと全ID情報ビットの挿入位置
を公表しないことになっているので(ステップS6)、
Bob は何番目の情報キャリアが有意情報ビットなのかを
判別するためにはどうしても測定を行わないわけにはい
かない。従って「Alice のID情報ビットを測定しない
で温存すること」と「有意文書を改変すること」とは両
立できない。
【0100】次に、図6を参照して、以下のような場合
について考える。
【0101】(1)Bob はAlice から送信された全ての
情報キャリアを測定しないでそのままClare に送信す
る、(2)Clare はステップS5にしたがって全ての情
報キャリアを測定する、(3)ステップS5にしたがっ
てAlice はBob に測定確認用の情報キャリアをM個指定
する、(4)Bob はClare に、「Alice から指定され
た」これらM個の情報キャリアの位置をそのまま指定す
る、(5)Clare は「Alice に成り済ましている」Bob
に指定されたM個の情報キャリアの測定基底と測定結果
を報告する、(6)Bob はAlice に、Clare から報告さ
れたM個の情報キャリアの測定結果を報告する、(7)
Alice はBob による測定実行を確信し全ID情報ビット
の位置をBob に教える、(8)Bob は「Alice のふりを
して」全ID情報ビットの位置をClare に教える。
【0102】このとき確かにBob はAlice のID情報ビ
ットを一切測定しなくても最終的にID情報ビットの挿
入位置を知ることができる。つまりID情報ビットから
成り済ましが露見するようなことは避けられる。しか
し、この時点では既に有意情報ビット列のClare による
受信は完了しており、Clare に伝わる有意文書は本来Al
ice がBob に向けて送信した有意文書そのままである。
従って差出人記述子や受取人記述子はそれぞれ
【数18】 差出人記述子:(From Alice,(Alice's address………,date,time…)), 受取人記述子:(To Bob,(Bob's address………,date,time…)) のままであり、Clare は復号した時点で有意文書が自分
宛に書かれたものではないことを簡単に見破ってしま
う。
【0103】Bob が「成り済まし」を成功させるために
は受取人記述子を(To Clare,(Clare's address………,d
ate,time…))に変更した後で有意情報ビットを送らなく
てはならない。そのためにはClare にビット列を送信す
る以前の段階(図6中の「Bob からClare へのキャリア
伝送」)で、Bob は有意情報ビットとID情報ビットと
を判別できなくてはならないが、時間的な順序としてCl
are が受信/測定を行った結果として最終的にID情報
ビットの挿入位置を知ることになっているので、Bob が
Alice のID情報を全く破壊しないように努めるかぎり
有意情報ビット列だけを恣意的に抽出して変更すること
は不可能である。
【0104】Bob がAlice のID情報ビットを測定した
場合、Bob は有意文書を任意に書き換えることができる
が、しかしClare によるID番号の照合時に「成り済ま
し」は露見してしまう。一方、Bob が上述の方法によっ
てID情報ビットの測定を回避した場合、Clare による
ID番号の照合には合格することができるが受取人記述
子の書き換えはできずはやり「成り済まし」は露見して
しまう。
【0105】以上、このようにしてClare は、(1)Al
ice のID番号が認証機関による照合に合格するか否
か、および(2)差出人記述子/受取人記述子に矛盾は
ないかの二点を確認することでAlice が本人であるかど
うかを認証し、他人がAlice に成り済ましていないかど
うかを確認することができる。
【0106】第4に、文書の書き換えに対する安全性、
すなわち有意文書に対する署名機能について説明する。
【0107】ここでは、正規の送受信者をそれぞれAlic
e およびBob とし、通信路の途中に介在する第三者のEv
e が有意文書の内容を改変しようと試みる場合を考え
る。この場合でもBob はAlice のID番号を認証機関に
照合することで書き換えの有無を判別可能である。
【0108】まずEve がBob に成り済まして全ての情報
キャリアを測定してステップS4〜S7にしたがう場
合、Eve は有意文書を任意に改変することができる。し
かし、第2の成り済ましの部分で説明したように、Eve
がBob に送るID情報は測定により部分的に破壊されて
しまっているためにもはやID照合に合格できない。い
わばEve は文書の内容を改変することによって「最初
は」文書についていたAlice の署名を部分的に消してし
まったことに相当する。
【0109】またEve が前述の第3の部分で説明したよ
うな方法によってAlice の署名の温存を図った場合に
は、ステップS5以前の段階で有意情報ビットを抽出す
ることができず、有意文書を書き換えることはできなく
なってしまう。これは署名を保持しようとするともはや
文書は変えられないことを意味する(文書を書き換えよ
うとすると署名は破壊される)。
【0110】このことは、ID番号の照合に合格した場
合には、その文書が紛れもなくAlice 本人によって書か
れた文書であることが証明されたことを意味する。また
は、Alice の立場からみると文書がAlice 本人によって
書かれたものであることを受信者に対して証明できるこ
とを意味している。さらに差出人記述子/受取人記述子
を付けることにより、文書の書き手がAlice 本人である
ことを証明するだけではなく送信者がAlice 本人である
ことをも証明できる。
【0111】
【発明の効果】以上説明したように、本発明によれば、
第一、第二の直交基底系の一方を用いて有意情報ビット
を符号化した情報キャリアを生成し、両方の直交基底系
をランダムに用いてID情報ビットを符号化した情報キ
ャリアを生成し、有意情報ビット列にID情報ビットを
ランダムに挿入した全情報キャリアを受信者に送信し、
受信者は第一、第二の直交基底系とは異なる組合せ方に
より構成される第三または第四の直交基底系を用いて全
情報キャリアを受信して測定結果を得、送信者の要求に
より幾つかの測定結果を送信者に報告し、送信者は測定
結果に基づき受信者の測定の確認後、ID情報ビットの
挿入位置を開示し、受信者はID情報ビットの挿入位置
に基づき有意情報ビットを復号して文書情報を得、復号
してID情報ビットを認証機関に問い合わせて、送信者
が本人であるかどうかを照合してもらうので、送信者が
紛れもなく本人であることを認証でき、受信者による署
名の悪用や受信者の送信者への成り済ましを適確に防止
することができる。また、送信者は文書が送信者本人に
よって書かれたものであることを受信者に対して証明す
ることが可能となる。
【図面の簡単な説明】
【図1】本発明の一実施形態に係る認証通信方法を実施
する認証通信システムの構成および処理手順を示す図で
ある。
【図2】図1に示す実施形態に係る認証通信方法の処理
手順の一部を示す流れ図である。
【図3】図1に示す実施形態に係る認証通信方法の処理
手順の図2に続く残りの一部を示す流れ図である。
【図4】図1に示す実施形態に使用される送信量子状態
と測定量子状態の関係を示す図である。
【図5】図1に示す実施形態に使用される送信量子状態
と測定量子状態の別の関係を示す図である。
【図6】図1に示す実施形態における成り済ましを説明
するための流れ図である。
【符号の説明】
1 認証機関 2 送信装置 3 受信装置

Claims (3)

    【特許請求の範囲】
  1. 【請求項1】 四つ以上の互いに直交する量子力学的内
    部状態を有する粒子または粒子系を情報キャリアとして
    利用して送信すべき情報を符号化し、認証機関において
    送信者に発行される個人認証用ID番号を送信すべき文
    書情報に付加して送信者から受信者に送信する認証通信
    方法であって、 前記四つ以上の互いに直交する量子力学的内部状態を有
    する粒子または粒子系においてそれぞれ二つの量子状態
    からなる第一および第二の直交基底系の一方を用いて、
    送信者から受信者に送信すべき文書情報に相当する有意
    情報ビットを符号化した情報キャリアを生成し、 前記第一および第二の両方の直交基底系をランダムに用
    いて、前記個人認証用ID番号に相当するID情報ビッ
    トを符号化した情報キャリアを生成し、 前記有意情報ビット列を表す情報キャリアの時系列に前
    記ID情報ビットを符号化した情報キャリアをランダム
    に挿入した全情報キャリアの時系列を生成して受信者に
    送信し、 受信者は前記第一および第二の直交基底系における量子
    状態の組合せ方とは異なる組合せ方により構成される第
    三または第四の直交基底系を用いて、送信者から送信さ
    れた前記全情報キャリアを受信することにより測定結果
    を得、 受信者は送信者によって指定された幾つかの情報キャリ
    アに対応する前記測定結果を送信者に報告し、 送信者は受信者から報告された前記測定結果に基づき受
    信者が測定を行ったかどうかを確認した後、受信者に対
    して前記ID情報ビットの挿入位置を開示し、 受信者は前記開示されたID情報ビットの挿入位置情報
    に基づき有意情報ビットおよびID情報ビットを復号し
    て文書情報およびID情報ビットを得て、この復号した
    ID情報ビットを認証機関に問い合わせて、送信者が本
    人であるかどうかを照合してもらうことを特徴とする認
    証通信方法。
  2. 【請求項2】 四つ以上の互いに直交する量子力学的内
    部状態を有する粒子または粒子系を情報キャリアとして
    利用して送信すべき情報を符号化し、認証機関において
    送信者に発行される個人認証用ID番号を送信すべき文
    書情報に付加して送信者から受信者に送信する認証通信
    方法であって、 送信者は認証機関から個人認証用ID番号の支給を受
    け、 四つ以上の互いに直交する量子力学的内部状態を有する
    粒子または粒子系においてそれぞれ二つの量子状態から
    なる第一および第二の直交基底系の一方を用いて、送信
    者から受信者に送信すべき文書情報に相当する有意情報
    ビットを符号化した情報キャリアを生成し、 送信者は前記第一および第二の両方の直交基底系をラン
    ダムに用いて、前記個人認証用ID番号に相当するID
    情報ビットを符号化した情報キャリアを生成し、 送信者は前記有意情報ビット列を表す情報キャリアの時
    系列に前記ID情報ビットを符号化した情報キャリアを
    ランダムに挿入した全情報キャリアの時系列を生成して
    受信者に送信し、 受信者は前記第一および第二の直交基底系における量子
    状態の組合せ方とは異なる組合せ方により構成される第
    三または第四の直交基底系を用いて、送信者から送信さ
    れた前記全情報キャリアを受信することにより測定結果
    を得、 受信者は送信者によって指定された幾つかの情報キャリ
    アに対応する前記測定結果を送信者に報告し、 送信者は受信者から報告された前記測定結果に基づき受
    信者が測定を行ったかどうかを確認した後、受信者に対
    して前記ID情報ビットの挿入位置を開示し、 受信者は前記開示されたID情報ビットの挿入位置情報
    に基づき有意情報ビットおよびID情報ビットを復号し
    て文書情報およびID情報ビットを得て、この復号した
    ID情報ビットを認証機関に問い合わせて、送信者が本
    人であるかどうかを照合してもらうことを特徴とする認
    証通信方法。
  3. 【請求項3】 四つ以上の互いに直交する量子力学的内
    部状態を有する粒子または粒子系を情報キャリアとして
    利用して送信すべき情報を符号化し、認証機関において
    送信者に発行される個人認証用ID番号を送信すべき文
    書情報に付加して送信者から受信者に送信する認証通信
    装置であって、 前記四つ以上の互いに直交する量子力学的内部状態を有
    する粒子または粒子系においてそれぞれ二つの量子状態
    からなる第一および第二の直交基底系の一方を用いて、
    送信者から受信者に送信すべき文書情報に相当する有意
    情報ビットを符号化した情報キャリアを生成する有意情
    報ビット符号化手段と、 前記第一および第二の両方の直交基底系をランダムに用
    いて、前記個人認証用ID番号に相当するID情報ビッ
    トを符号化した情報キャリアを生成するID情報ビット
    符号化手段と、 前記有意情報ビット列を表す情報キャリアの時系列に前
    記ID情報ビットを符号化した情報キャリアをランダム
    に挿入した全情報キャリアの時系列を生成して受信者に
    送信する送信手段と、 受信者側に設けられ、前記第一および第二の直交基底系
    における量子状態の組合せ方とは異なる組合せ方により
    構成される第三または第四の直交基底系を用いて、前記
    送信手段から送信された前記全情報キャリアを受信する
    ことにより測定結果を得る受信測定手段と、 この受信測定手段で得た測定結果のうち、送信者によっ
    て指定された幾つかの情報キャリアに対応する前記測定
    結果を送信者に報告する測定結果報告手段と、 送信者側に設けられ、前記測定結果報告手段により報告
    された前記測定結果に基づき受信者が測定を行ったかど
    うかを確認した後、受信者に対して前記ID情報ビット
    の挿入位置を開示する挿入位置開示手段と、 受信者側に設けられ、前記開示されたID情報ビットの
    挿入位置情報に基づき有意情報ビットおよびID情報ビ
    ットを復号して文書情報およびID情報ビットを得る復
    号手段と、 送信者が本人であるかどうかを認証機関に照合してもら
    うべく前記復号手段で復号されたID情報ビットを認証
    機関に提示して問い合わせる問い合わせ手段とを有する
    ことを特徴とする認証通信装置。
JP11000700A 1999-01-05 1999-01-05 認証通信方法および認証通信装置 Pending JP2000201144A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP11000700A JP2000201144A (ja) 1999-01-05 1999-01-05 認証通信方法および認証通信装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP11000700A JP2000201144A (ja) 1999-01-05 1999-01-05 認証通信方法および認証通信装置

Publications (1)

Publication Number Publication Date
JP2000201144A true JP2000201144A (ja) 2000-07-18

Family

ID=11481056

Family Applications (1)

Application Number Title Priority Date Filing Date
JP11000700A Pending JP2000201144A (ja) 1999-01-05 1999-01-05 認証通信方法および認証通信装置

Country Status (1)

Country Link
JP (1) JP2000201144A (ja)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001358712A (ja) * 2000-06-12 2001-12-26 Canon Inc 暗号化装置及び方法
US7649996B2 (en) 2002-09-26 2010-01-19 Mitsubishi Denki Kabushiki Kaisha Cryptographic communication apparatus
JP2019079051A (ja) * 2017-10-24 2019-05-23 大国創新智能科技(東莞)有限公司 ビッグデータに基づく情報秘匿方法及びシステム、情報抽出方法及びシステム
US10411890B2 (en) 2016-08-31 2019-09-10 Oki Electric Industry Co., Ltd. Authentication system, authentication side device, and security system

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001358712A (ja) * 2000-06-12 2001-12-26 Canon Inc 暗号化装置及び方法
JP4647748B2 (ja) * 2000-06-12 2011-03-09 キヤノン株式会社 暗号化装置及び方法、ならびに通信方法及びシステム
US7649996B2 (en) 2002-09-26 2010-01-19 Mitsubishi Denki Kabushiki Kaisha Cryptographic communication apparatus
US10411890B2 (en) 2016-08-31 2019-09-10 Oki Electric Industry Co., Ltd. Authentication system, authentication side device, and security system
JP2019079051A (ja) * 2017-10-24 2019-05-23 大国創新智能科技(東莞)有限公司 ビッグデータに基づく情報秘匿方法及びシステム、情報抽出方法及びシステム

Similar Documents

Publication Publication Date Title
US6956950B2 (en) Computer readable medium having a private key encryption program
US7328350B2 (en) Method and apparatus for secure cryptographic key generation, certification and use
US8713321B2 (en) Method and apparatus for verifiable generation of public keys
US6058188A (en) Method and apparatus for interoperable validation of key recovery information in a cryptographic system
CN1777096B (zh) 用于口令保护的方法和设备
US6535980B1 (en) Keyless encryption of messages using challenge response
US8589693B2 (en) Method for two step digital signature
JP5205398B2 (ja) 鍵認証方式
EP1992101A2 (en) Secure data transmission using undiscoverable or black data
CN109918888B (zh) 基于公钥池的抗量子证书颁发方法及颁发系统
EP3496331A1 (en) Two-party signature device and method
JP2006174356A (ja) 擬似公開鍵暗号方法及びシステム
CN113647049A (zh) 使用生物特征或其他模糊数据的后量子签名方案
JP2000201144A (ja) 認証通信方法および認証通信装置
JPWO2020121459A1 (ja) 認証システム、クライアントおよびサーバ
GB2395304A (en) A digital locking system for physical and digital items using a location based indication for unlocking
CN110572257B (zh) 基于身份的数据来源鉴别方法和系统
CN109840776B (zh) 利用超声波验证码的交易凭证认证方法与交易验证方法
JP5300026B2 (ja) Icカードシステムにおけるカード認証システム
TWI248744B (en) Multisignature scheme with message recovery for group authorization in mobile networks
KR100349418B1 (ko) 은닉서명의 남용 방지방법
JP2008152737A (ja) サービス提供サーバ、認証サーバ、および認証システム
CN110838918B (zh) 基于公钥池和签名偏移量的抗量子证书颁发方法及系统
JPH09200198A (ja) メッセージ認証システム
US7327845B1 (en) Transmission of encrypted messages between a transmitter and a receiver utilizing a one-time cryptographic pad