JP2006180307A - 量子暗号通信システム - Google Patents
量子暗号通信システム Download PDFInfo
- Publication number
- JP2006180307A JP2006180307A JP2004372547A JP2004372547A JP2006180307A JP 2006180307 A JP2006180307 A JP 2006180307A JP 2004372547 A JP2004372547 A JP 2004372547A JP 2004372547 A JP2004372547 A JP 2004372547A JP 2006180307 A JP2006180307 A JP 2006180307A
- Authority
- JP
- Japan
- Prior art keywords
- random number
- communication system
- optical pulse
- generator
- quantum cryptography
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
【課題】1パルスあたりに存在する光子数が1より大きくなる確率をもつパルス光発生器を用いても、長距離伝送後に共有する乱数列が盗聴に対して安全な量子暗号通信システムを提供する。
【解決手段】光パルス発生器、真性乱数を発生する真性乱数発生器、生成される第1の乱数、及び第1の乱数とは別の第2の乱数によって選択される2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を変調する符号器、第1の乱数の一部を記憶する記憶装置とからなる送信器と、光パルスを伝送する量子通信路と、第3の乱数によって選択される2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を判別する復号器、第1の乱数の一部を記憶する記憶装置とを備える受信器と、乱数鍵を生成する演算装置とを備え、第2の乱数と第3の乱数が同一であることにより、真性乱数発生器で生成された第1の乱数を送信者と受信者が共有する。
【選択図】図1
【解決手段】光パルス発生器、真性乱数を発生する真性乱数発生器、生成される第1の乱数、及び第1の乱数とは別の第2の乱数によって選択される2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を変調する符号器、第1の乱数の一部を記憶する記憶装置とからなる送信器と、光パルスを伝送する量子通信路と、第3の乱数によって選択される2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を判別する復号器、第1の乱数の一部を記憶する記憶装置とを備える受信器と、乱数鍵を生成する演算装置とを備え、第2の乱数と第3の乱数が同一であることにより、真性乱数発生器で生成された第1の乱数を送信者と受信者が共有する。
【選択図】図1
Description
本発明は、量子暗号通信システムに関し、特に量子暗号鍵の配布により秘密鍵を簡便に且つ安全に共有できる量子暗号通信システムに関するものである。
インターネットの爆発的普及、電子商取引の実用化を迎え、通信の秘密保持・改竄防止や個人の認証など暗号技術の社会的な必要性が高まっている。現在、DES(Data Encryption Standard)暗号のような共通鍵方式やRSA(Rivest−Shamir−Adleman)暗号をはじめとする公開鍵方式が広く用いられている。
しかし、これらは「計算量的安全性」にその基盤を置いている。つまり、現行の暗号方式は、計算機ハードウェアと暗号解読アルゴリズムの進歩に常に脅かされている。特に銀行間のトランザクションや軍事・外交にかかわる情報などの極めて高い安全性が要求される分野では、原理的に安全な暗号方式が実用になればそのインパクトは大きい。
情報理論で無条件安全性が証明されている暗号方式にワンタイムパッド法がある。ワンタイムパッド法は、通信文と同じ長さの暗号鍵を用い、暗号鍵を1回で使い捨てることが特徴である。下記非特許文献1で、ワンタイムパッド法に使用する暗号鍵を安全に配送する具体的なプロトコルが提案され、これを契機に量子暗号の研究が盛んになっている。量子暗号は物理法則が暗号の安全性を保証するため、計算機の能力の限界に依存しない究極の安全性保証が可能になる。現在検討されている量子暗号は一ビットの情報を単一光子の状態として伝送する。
一方、従来の量子暗号通信システムの一例が、下記特許文献1、非特許文献1に記載されている。この非特許文献1に記載されている従来の量子暗号通信システムは、(a)1パルスあたり1個の光子を発生する光パルス発生器と、真性乱数を発生する第1の乱数発生器と、第1の乱数発生器で生成される第1の乱数と、この第1の乱数とは別の真性乱数を発生する第2の乱数発生器で生成される第2の乱数によって選択される2個以上の互いに直交しない基底の一つとに基づいて光パルスの状態を変調する符号器とからなる送信器と、(b)光パルスを伝送する量子通信路と、(c)伝送された光子の状態を記憶するメモリと2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を判別する復号器を備える受信器と、から構成されている。
ここで、第1の乱数発生器と第2の乱数発生器は同一とし、発生する乱数列を2分割してそれぞれ第1の乱数及び第2の乱数としても良い。
このような構成を有する従来の量子暗号通信システムは次のように動作する。
すなわち、光パルス発生器が発生した光子の状態は、第1の乱数発生器で生成される第1の乱数の値に基づいて変調されるが、その際符号化に用いる基底は第2の乱数発生器で生成される第2の乱数によって選択される。変調された光子は、送信器を出て量子通信路を通じて受信器まで伝送される。伝送された光子はメモリで保存される。光子の伝送が終わった後で、送信者から受信者へ第2の乱数を通常の通信路を通じて伝送する。受信者は伝送された第2の乱数の値に基づいて基底を選択して、復号器によって復号化する。符号化と復号化に用いた基底が一致しているため、受信者は送信者が伝送した第1の乱数の値を正しく復号化することができ、送信者と受信者の間での乱数列の共有が実現できる。この乱数列を鍵として用いることにより、ワンタイムパッド法による安全な暗号通信ができる。
しかし、実際は、光子の伝送が行われる間光子の状態を保存するメモリを実現するのは難しいため、下記特許文献1に記載されている従来の量子暗号通信システムの構成では受信器に復号器の基底を指定する第3の乱数発生器を備えている。
このような構成を有する従来の量子暗号通信システムは次のように動作する。
すなわち、光パルス発生器が発生した光子の状態は、第1の乱数発生器で生成される第1の乱数の値に基づいて変調されるが、その際符号化に用いる基底は第2の乱数発生器で生成される第2の乱数によって選択される。変調された光子は、送信器を出て量子通信路を通じて受信器まで伝送される。伝送された光子は、受信器内の第3の乱数発生器によって生成された第3の乱数の値に基づいて基底を選択して、復号器によって復号化する。光子の伝送が終わったあとで送信者から受信者へ第2の乱数を通常の通信路を通じて伝送する。受信者は伝送された第2の乱数と第3の乱数の値を比較して同じ値で符号化したビットの位置を送信者に通知し、そのビットの値を残す。このようにすると符号化と復号化に用いた基底が一致しているビットのみが残るため、受信者は送信者が伝送した第1の乱数の値を正しく復号化することができ、送信者と受信者の間での乱数列の共有が実現できる。この乱数列を鍵として用いることにより、ワンタイムパッド法による安全な暗号通信ができる。
さらに、上述の量子暗号通信システムの動作の安定性を向上させる目的で改良された量子暗号通信システムが下記特許文献2に記載されている。この従来の量子暗号通信システムの構成は、光パルス発生器と、光パルスを時間的に2分割する光路長の異なる干渉計と、通信路と、通信路の他端で光パルスを折り返す手段と、真性乱数を発生する第1の乱数発生器と、分割された光の位相差を変調する第1の位相変調器と、位相変調の基底を選択する第2の乱数発生器と、光パルスの強度を下げるため1パルスあたりの平均光子数を1以下にする手段と、干渉計において分割された光の位相差を変調する第2の位相変調器と、位相変調の基底を選択する第3の乱数発生器と、干渉計の出力を分離する手段と光子検出器とからなる。
このような構成を有する従来の量子暗号通信システムは次のように動作する。
すなわち、光パルス発生器が発生した光パルスは、干渉計で時間的に分割されて通信路を伝送し、通信路の他端でファラデーミラーを用いて偏光を90度回転させて折り返し、第1の乱数発生器で生成される第1の乱数の値に基づいて、分割された光の位相差を第1の位相変調器によって変調する。このとき第2の乱数発生器で生成される第2の乱数の値にしたがって{0,1}→{0°,180°}か{0,1}→{90°,270°}のいずれかの基底を選択して変調する。光パルスの強度を1パルスあたりの平均光子数が1以下に弱められた光パルスは通信路を逆方向に伝播し、干渉計を逆に通って時間的に合成され干渉を起こす。このとき、干渉計内に置かれた第2の位相変調器によって、第3の乱数発生器で生成される第3の乱数の値にしたがって0°または90°の位相変調を与える。干渉計の出力は分離されて光子検出器で検出される。通信路を折り返して伝送するため、往復で光子が受ける擾乱は打ち消され、安定な干渉動作が実現できる。
このとき、第1の位相変調器で{0,1}→{0°,180°}のように変調され、なおかつ第2の位相変調器で0°の位相変調が与えられた場合、第1の乱数が0の場合はポート0の光子検出器で、第1の乱数が1の場合はポート1の光子検出器で光子が検出される。また、第1の位相変調器で{0,1}→{90°,270°}のように変調され第2の位相変調器で90°の位相変調が与えられた場合、第1の乱数が0の時はポート0の光子検出器で、第1の乱数が1の場合、ポート1の光子検出器で光子が検出される。このように第2の乱数で指定した符号化の基底と第3の乱数で指定した複合化の基底が一致する場合には第1の乱数の値が正しく共有できるが、これ以外の場合では光子検出器で光子が検出したポートは不定となり乱数列の共有はできない。そのため、光子の伝送が終わったあとで送信者から受信者へ、第2の乱数を通常の通信路を通じて伝送する。受信者は伝送された第2の乱数と第3の乱数の値を比較し、同じ値で符号化したビットの位置を送信者に通知し、そのビットの値を残す。このようにすると符号化と復号化に用いた基底が一致しているビットのみが残るため、受信者は送信者が伝送した第1の乱数の値を正しく復号化することができ、送信者と受信者の間での乱数列の共有が実現できる。この乱数列を鍵として用いることによりワンタイムパッド法による安全な暗号通信ができる。
以上のような量子通信による乱数列の共有は、送信器の光パルス発生器が常に1パルスあたり1光子を発生する限り、共有した乱数列に対して盗聴者が持つ情報量をいくらでも小さくできるので安全であることが下記非特許文献2において証明されている。また、上述の方法では基底が一致しないビットは乱数鍵として用いないので、伝送された乱数列の約1/2のみが乱数鍵の生成に寄与する。非特許文献2では基底を選択する確率を非対称にし、頻度が小さい方の基底の位置をあらかじめ決めておくことで乱数鍵の生成効率を向上する事を提案している。さらに同文献では、生成される鍵がNビットであるとき頻度が小さい方の基底が選択されるのはlog2 Nビットでよいことが示されている。
USP5307410号公報(第5−8頁、図2,3)
特表2000−517499号公報 (第11−21頁、図2−4)
ベネット(Bennett,C.H)、ブラッサード(Brassard,B)著著「量子暗号:公開鍵配送とコイン投げ」プロシーディングズIEEEコンピュータ,システム並びに信号処理国際シンポジウム(IEEE International Symposium on Computer,system,and signal processing)、pp.175−179
ロー(Lo,H.−K)、チャウ(Chau,H.F)、アルデハリ(Ardehali,M.)著"Efficient Quantum Key Distribution Scheme And Proof of Its Unconditional Security"
しかしながら、上記した従来の量子暗号通信システムには、以下のような問題がある。
第1の問題点は、安全性を保証するためには単一光子を伝送することが必要であるということである。現在の技術では、単一光子を定まった時間に発生するような光パルス発生器は実現されていない。そのため、実際にはレーザ光を弱め、1パルスあたりに存在する光子数が1より大きくなる確率を小さくしているが、その確率は0ではなく、特に伝送損失が大きい場合には安全性が失われることが知られている。このため、現在の量子暗号通信システムでは、安全性が保障できる伝送距離が理想的には200km程度であるのに対して実際は40km程度に制限されている。
その理由は、光子数分割攻撃(Photon Number Splitting Attack;PNS)と呼ばれる攻撃が可能になるからである。
図5は従来の量子暗号通信システムに対する攻撃法の一例を示すフローチャートである。
図5のフローチャートを参照して、この攻撃法を詳細に述べる。
ここで、盗聴者は送信器の直後にあり、通信路を送・受信者に知られることなく損失のない通信路に入れ替えているものとする。
まず、盗聴者は光パルスに含まれる光子数を測定する(ステップC1)。光子数が2以上の時には1光子を抜き、残りの光子を受信者に送る(ステップC2)。また、光子数が1以下の時は通信路をブロックする(ステップC3)。ステップC2で1個の光子を抜いた残りの光子を量子通信路に伝送した後に、通常の通信路を通じて基底情報が明かされるまで抜きとった1個の光子を保管する(ステップC4)。基底情報が明かされた後で保管している光子の状態測定を行う(ステップC5)。このとき、基底選択に関する情報が明らかになっているため、盗聴者は量子通信路で伝送される乱数の値を誤りなく測定することができる。
盗聴者の存在が検出されないための必要条件は次のようになる。ここで、送信者が送出する光パルスの平均光子数がnのポアソン分布
この条件はnが小さいとき
特に、上記特許文献2に記載されている量子暗号通信システムでは通信路を折り返すため、通信路における損失を2度受けることになる。そのため、光パルス発生器で発生する光パルスの平均光子数は1よりはるかに大きいことが必要になり、もし理想的な単一光子を発生する光パルス発生器が実現できたとしても、この量子暗号通信システムには適用できず、上述の安全性の問題は解決されない。
第2の問題点は、装置が高価になるということである。
その理由は、装置全体として2個または3個の真性乱数を生成する乱数発生器が必要なためである。真性乱数発生器は完全なものを得るのが難しく、またソフトウェアで乱数を生成する擬似乱数発生器に比べると、真性乱数発生器では物理現象を用いる必要があるため乱数の生成速度が遅く構成も複雑になる。
本発明の目的は、1パルスあたりに存在する光子数が1より大きくなる確率をもつパルス光発生器を用いても、長距離伝送後に共有する乱数列が盗聴に対して安全な量子暗号通信システムを提供することにある。
本発明の他の目的は、必要な真数乱数発生器の数が1個以下の量子暗号通信システムを提供することにある。
本発明は、上記目的を達成するために、
〔1〕量子暗号通信システムにおいて、
(a)光パルス発生器と、真性乱数を発生する真性乱数発生器と、該真性乱数発生器で生成される第1の乱数、及び該第1の乱数とは別の第2の乱数によって選択される2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を変調する符号器と、前記第1の乱数の一部を記憶する記憶装置とからなる送信器と、
(b)光パルスを伝送する量子通信路と、
(c)第3の乱数によって選択される2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を判別する復号器と、前記第1の乱数の一部を記憶する記憶装置とを備える受信器と、
(d)誤り訂正の後、乱数鍵を生成する演算装置とを備え、
(e)前記第2の乱数と前記第3の乱数が同一であることにより、前記真性乱数発生器で生成された第1の乱数を送信者と受信者が共有することを特徴とする。
〔1〕量子暗号通信システムにおいて、
(a)光パルス発生器と、真性乱数を発生する真性乱数発生器と、該真性乱数発生器で生成される第1の乱数、及び該第1の乱数とは別の第2の乱数によって選択される2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を変調する符号器と、前記第1の乱数の一部を記憶する記憶装置とからなる送信器と、
(b)光パルスを伝送する量子通信路と、
(c)第3の乱数によって選択される2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を判別する復号器と、前記第1の乱数の一部を記憶する記憶装置とを備える受信器と、
(d)誤り訂正の後、乱数鍵を生成する演算装置とを備え、
(e)前記第2の乱数と前記第3の乱数が同一であることにより、前記真性乱数発生器で生成された第1の乱数を送信者と受信者が共有することを特徴とする。
〔2〕上記〔1〕記載の量子暗号通信システムにおいて、前記第2の乱数と前記第3の乱数が同一のアルゴリズムをもつ2つの擬似乱数発生器で、事前に共有された乱数列から生成されることを特徴とする。
〔3〕上記〔2〕記載の量子暗号通信システムにおいて、前記事前に共有された乱数列が、前記擬似乱数発生器で乱数が一定数生成された後、送信者と受信者が伝送後に共有した前記第1の乱数の一部で置き換えられることを特徴とする。
〔4〕上記〔1〕記載の量子暗号通信システムにおいて、前記の直交しない基底の数が2であり、基底の選択される頻度が異なるように設定し、選択される頻度の小さい基底が選択されるビットの位置を事前に共有された乱数列で決定することを特徴とする。
〔5〕上記〔4〕記載の量子暗号通信システムにおいて、乱数が一定数伝送された後、前記事前に共有された乱数列が、送信者と受信者が伝送後に共有した前記第1の乱数の一部で置き換えられることを特徴とする。
〔6〕上記〔4〕又は〔5〕記載の量子暗号通信システムにおいて、前記事前に共有された乱数列が、テストビットの位置と値のいずれかまたは両方を含んでいることを特徴とする。
〔7〕上記〔1〕から〔6〕の何れか一項記載の量子暗号通信システムにおいて、前記光パルス発生器が確率的に1パルスあたり2個以上の光子を発生することを特徴とする。
〔8〕上記〔1〕から〔7〕の何れか一項記載の量子暗号通信システムにおいて、前記光パルス発生器が確率的に1パルスあたり2個以上の光子を発生する光パルス発生器が出力を減衰させた半導体レーザからなることを特徴とする。
〔9〕上記〔1〕から〔8〕の何れか一項記載の量子暗号通信システムにおいて、前記光パルスの状態が光子の偏光であることを特徴とする。
〔10〕上記〔1〕から〔8〕の何れか一項記載の量子暗号通信システムにおいて、前記光パルスの状態が光子の偏光であり、この状態を指定する基底が水平偏光と垂直偏光の組と右回り円偏光と左回り円偏光の組、またはこの基底間の角度を保ったままポアンカレ球上を回転した基底の組であることを特徴とする。
〔11〕上記〔1〕から〔8〕の何れか一項記載の量子暗号通信システムにおいて、前記光パルスの状態が時間的に分割された光子の位相差であることを特徴とする。
本発明の量子暗号通信システムは、乱数を符号化する基底と復号化する基底を選択するための乱数列を共有する手段とを備え、基底に関する情報が通常の通信路では伝送されないように動作する。このような構成を採用し、量子通信により鍵とする乱数列を共有することにより、本発明の目的を達成することができる。
本発明によれば、以下のような効果を奏することができる。
第1の効果は、1パルスあたりに存在する光子数が1より大きくなる確率をもつパルス光発生器を用いても、長距離伝送後に共有する乱数列が盗聴に対して安全な量子暗号通信システムを実現できることにある。
その理由は、通常の通信路を用いた基底情報の伝送を行わないため、盗聴者は光子を抜き去って保管しておいても新たな情報を得ることができないためである。
第2の効果は、真性乱数発生器の必要数を削減し低コストの量子暗号通信システムが実現できることにある。
その理由は、事前に共有した乱数列を用いて基底選択を行うため、送信者と受信者双方で独立に基底選択のための真性乱数を発生させる必要がないためである。
第3の効果は、乱数鍵生成速度が向上することである。
その理由は選択する基底の情報を事前に共有するため、受信者は常に正しい基底で測定を行うことができ、誤った基底で行った測定結果を捨てる必要がなく、伝送された乱数から乱数鍵の生成に用いられる効率がほぼ1となるためである。さらに通常の通信路で基底情報の伝送を行う必要がないためこれにかかる通信量を削減できるためである。
第4の効果は、光パルス発生器が単一光子を発生する場合でも従来に比べて安全性が保証される誤り率の範囲が広く、より安全性が高まることである。
その理由は、基底情報が公開されないと、盗聴者は誤り訂正を正しく行えないため乱数鍵に対して得る情報が少なくなるためである。また、従来知られている最良の個別盗聴戦略では伝送後に基底情報が公開されることを前提にしているため、基底情報が公開されない本発明の量子暗号通信システムには適用できなくなるという理由によっても安全性が向上する。
その理由は、基底情報が公開されないと、盗聴者は誤り訂正を正しく行えないため乱数鍵に対して得る情報が少なくなるためである。また、従来知られている最良の個別盗聴戦略では伝送後に基底情報が公開されることを前提にしているため、基底情報が公開されない本発明の量子暗号通信システムには適用できなくなるという理由によっても安全性が向上する。
本発明の量子暗号通信システムは、(a)光パルス発生器と、真性乱数を発生する真性乱数発生器と、この真性乱数発生器で生成される第1の乱数、及び、この第1の乱数とは別の第2の乱数によって選択される2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を変調する符号器と、前記第1の乱数の一部を記憶する記憶装置とからなる送信器と、(b)光パルスを伝送する量子通信路と、(c)第3の乱数によって選択される2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を判別する復号器と、前記第1の乱数の一部を記憶する記憶装置とを備える受信器と、(d)誤り訂正の後、乱数鍵を生成する演算装置とを備え、(e)前記第2の乱数と前記第3の乱数が同一であることにより、前記真性乱数発生器で生成された第1の乱数を送信者と受信者が共有することを特徴とする。
以下、発明を実施するための最良の形態について図面を参照して詳細に説明する。
図1は本発明の第1実施例を示すブロック図である。
この図を参照すると、本発明の第1の実施の形態は、光パルス発生器100と真性乱数発生器110と擬似乱数発生器120と符号器130と量子通信路140と擬似乱数発生器150と復号器160と乱数鍵を生成する演算装置170とから構成されている。
擬似乱数発生器120は擬似乱数を発生する演算装置122と乱数発生のための種を記憶する記憶装置121とを含む。また、擬似乱数発生器150は擬似乱数を発生する演算装置152と乱数発生のための種を記憶する記憶装置151とを含む。擬似乱数発生器120と150は同じアルゴリズムで乱数を発生する。復号器160は光子検出器161を含む。
光パルス発生器100(例えば、出力を減衰された半導体レーザ)は理想的な単一光子を発生するものではなく、1パルスあたり2個以上の光子を含む確率が有限であるものでよい。例えばレーザ光はコヒーレント状態にあると考えてよいが、この状態では平均光子数がnのとき1パルスあたり2個以上の光子を含む確率は
上記数式(1)より、P(>1)=1−(1+n)exp[−n]
となり、パルスに含まれる光子数は1個とは限らず、これより大きくなることがある。
上記数式(1)より、P(>1)=1−(1+n)exp[−n]
となり、パルスに含まれる光子数は1個とは限らず、これより大きくなることがある。
光子の状態を符号化及び復号化する方法は次のようなものである。
単一光子を伝送したときに量子暗号鍵配布の安全性が証明されている4状態を利用した暗号鍵伝送を例に取ると、光子の偏光を用いる場合、符号器130は伝送する真性乱数発生器110による乱数値{0,1}に対して{水平偏光,垂直偏光}または{右回り円偏光,左回り円偏光}のいずれかを擬似乱数発生器120による基底選択のための乱数の値にしたがって割り当てる。復号器160は、水平偏光と垂直偏光とを分離する偏光分離器と、円偏光を直線偏光に変換する四分の一波長板と、光子検出器161とからなり、擬似乱数発生器150による基底選択の乱数の値にしたがって四分の一波長板を挿入するか否かを決定する。四分の一波長板が挿入されていないとき復号器160は{水平偏光,垂直偏光}を正しく識別するが、{右回り円偏光,左回り円偏光}を識別することはできない。逆に四分の一波長板が挿入されているとき復号器160は{右回り円偏光,左回り円偏光}を正しく識別するが{水平偏光,垂直偏光}を識別することはできない。ここで偏光の方向は、4状態の相互関係が保たれている限り、ポアンカレ球上の任意の点を取ることができる。
時間的に分割された光パルス間の位相差を用いる場合、符号器130は光パルスを分割するための、光路長が異なる干渉計と位相変調器とからなる。位相変調器は分割された光パルスの片方のみの位相を変調し、時間的に分割された光パルス間の位相差を伝送する真性乱数発生器110による乱数値{0,1}に対して{0°,180°}または{90°,270°}のいずれかを擬似乱数発生器120による基底選択のための乱数の値にしたがって割り当てる。復号器160は符号器130と反対の光路長の差をもつ干渉計と位相変調器とからなる。位相変調器は擬似乱数発生器150による基底選択のための乱数の値にしたがって0°または90°の変調を片方のパルスに対して与える。位相変調が0°のとき復号器160は{0°,180°}の状態を正しく識別できるが{90°,270°}の状態を識別することはできない。逆に位相変調が90°のとき復号器160は{90°,270°}の状態を正しく識別できるが{0°,180°}の状態を識別することはできない。ここで位相変調の大きさは4状態の位相差が保存されている限り任意の大きさにすることができる。
ここでは4状態を例に取ったが状態の数はこれより大きくとも良い。
図2は本発明の第1実施例を示すフローチャートである。
次に、図1のブロック図及び図2のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。
まず、擬似乱数発生器120と擬似乱数発生器150を初期化する。このとき、記憶装置121と151には共通の乱数列が乱数発生のための種として記憶されている(ステップA1)。次に、光パルス発生器100によって光パルスを発生させる(ステップA2)。次に、真性乱数発生器110で第1の乱数を、擬似乱数発生器120で第2の乱数を、擬似乱数発生器150で第3の乱数をそれぞれ発生させる(ステップA3)。次いで、第2の乱数の値によって選択された変調の基底を用いて、第1の乱数の値に従って符号器130で光パルスの状態を変調(符号化)する(ステップA4)。さらに、1個の光パルスに含まれる平均光子数を、量子通信路140の損失と復号器160における光子検出効率や誤り率から定められる設計値以下となるように減衰させて、量子通信路140に入射する(ステップA5)。量子通信路140を伝播した光パルスは復号器160によって復号化される。このとき復号化のための基底は第3の乱数の値で決定される(ステップA6)。ステップA2からステップA6を繰り返し行い、演算装置170によってN個の乱数鍵を生成する。生成された乱数鍵は送信者と受信者との間で共有されている(ステップA7)。次に記憶装置121と記憶装置151の内容を消去し、それに替えて生成された乱数鍵の一部mビットを乱数発生の種として記憶する。記憶装置121と151では同一の乱数列が記憶される。記憶装置121と151で記憶された乱数列は乱数鍵には用いない。ステップA1に戻り、所望のビット数の乱数鍵が得られるまで繰り返す(ステップA8)。
本実施の形態ではステップA7とステップA8でN個の乱数鍵を生成するごとに乱数発生のための種を入れ替えるが、これは次のような盗聴を防ぐためである。
擬似乱数発生器120,150のアルゴリズムは通常公開されるから、盗聴者は乱数発生のための種を知ろうとする。種を知れば、盗聴者も、送信者や受信者と同じ値の基底選択の乱数を発生できるから、PNS攻撃によって盗聴が可能になる。そのため盗聴者は本発明の量子暗号通信システムで生成された乱数鍵で伝送される暗号通信を傍受する。盗聴者が平文Pと暗号文Cをともに知ったとき鍵Rは
から求めることができる。鍵R自体は真性乱数で使い捨てられるが、量子通信路140で送られる状態を測定することにより、擬似乱数についての情報を得ることができる。
このため、盗聴者が種についての十分な情報を得る前に種を入れ替える必要がある。一つの種で安全に生成できるNの大きさは、擬似乱数発生器の性能によって異なる。線形複雑度cで特徴付けられる擬似乱数発生器は2c−1の乱数がわかれば完全に解かれる。一方、量子状態を誤りなく測定できる確率PC は1より小さい。これより、Nは(2c−1)/PC より小さくなくてはならないことが結論できる。また、入れ替える種として伝送した乱数を除いても乱数鍵が残ることが必要だから、Nはmより大きくなくてはならない。
例に挙げた4状態暗号の場合にはPC は
ただし、この様な盗聴では盗聴者は生成された乱数鍵が実際に自分の知っている平文の暗号化に使われるまで量子通信路140で送られた光子の状態を保存しておく必要があり、PNS攻撃が乱数鍵を生成する過程で基底情報の交換が行われるまで保存していれば良いのに比べて、格段に困難となる。また、平文が暗号化される時点で擬似乱数発生に用いられる種が既に入れ替わっていると、上述の攻撃法は不可能になる。逆に、擬似乱数発生に用いられる種を、その種の生成過程で用いられた乱数鍵が暗号化に使用される前に入れ替えるようにあらかじめ定めておけば、種、ひいては乱数鍵の安全性は更に確実になる。この場合、擬似乱数発生器は単に種となる乱数列を反復したものであっても良い。
次に、本実施の形態の効果について説明する。
本実施の形態では、符号化と復号化に用いる基底を選択するための乱数が同一の種から同一のアルゴリズムをもつ擬似乱数発生器によって生成されるように構成されているため、送信者と受信者の間で通信を行わなくても同一の乱数によって符号化と復号化が行われていることが保証できる。このため、盗聴者はたとえ量子通信路で伝送される光子を保管していても復号化に必要な基底情報が得られないため、盗聴で得られる情報量は増加せずPNS攻撃は成立しない。そのため、安全性が保証される量子通信路の伝送距離を長くすることができる。
また、本実施の形態では、真性乱数発生器110は1個しか必要とせず、そのほかの部分では安価で高速な擬似乱数発生器を使用することができる。さらに、基底選択についての乱数を伝送する必要がないため、送信者と受信者との間の通常の通信路140による通信の量を減らすことができ、基底の異なる測定結果を捨てる必要もないため、鍵の伝送効率が2倍になる。
本実施の他の形態として、図2のステップA7とステップA8でN個の乱数鍵を生成するごとに乱数発生のための種を入れ替える代わりに、乱数鍵の生成率をRとしたとき(2c−1)/PC /Rより十分小さい数の乱数を送信した後、乱数発生のための種を入れ替えるようにしても良い。このようにすることで乱数の伝送中に種の交換についての合意を得るための送受信者間の通信が不要になるという効果がある。
次に、本発明の第2の発明を実施するための最良の形態について図面を参照して詳細に説明する。
図3は本発明の第2実施例を示すブロック図である。
この図を参照すると、本発明の第2の発明を実施するための最良の形態は、光パルス発生器200と真性乱数発生器210と記憶装置220と符号器230と量子通信路240と記憶装置250と復号器260と乱数鍵を生成する演算装置270とから構成されている。
復号器260は光子検出器261を含む。
図4は本発明の第2実施例を示すフローチャートである。
次に、図3のブロック図及び図4のフローチャートを参照して本実施の形態の全体の動作について詳細に説明する。
まず、記憶装置220と250には共通の乱数列が記憶されているものとする(ステップB1)。次に、光パルス発生器200によって光パルスを発生させる(ステップB2)。次に、真性乱数発生器210で乱数を発生させる(ステップB3)。この乱数の値に従って符号器230で光パルスの状態を変調(符号化)する。このとき変調の基底はあらかじめ送受信者間で合意した第1の基底を主に用い、記憶装置220に記憶されている値に対応したビットのみあらかじめ送受信者間で合意した第2の基底に基づいて変調する(ステップB4)。さらに、1個の光パルスに含まれる平均光子数を、量子通信路240の損失と復号器260における光子検出効率や誤り率から定められる設計値以下となるように減衰させて量子通信路240に入射する(ステップB5)。量子通信路240を伝播した光パルスは復号器260によって復号化される。このとき復号化のための基底はあらかじめ送受信者間で合意した第1の基底を主に用い、記憶装置250に記憶されている値に対応したビットのみあらかじめ送受信者間で合意した第2の基底に基づいて復号化される(ステップB6)。ステップB2からステップB6を繰り返し行い、演算装置270によってN個の乱数鍵を生成する。生成された乱数鍵は送信者と受信者との間で共有されている(ステップB7)。記憶装置220と記憶装置250の内容を消去し、それに替えて生成された乱数鍵の一部mビットを記憶する。記憶装置220と250では同一の乱数列が記憶される。記憶装置220と250で記憶された乱数列は乱数鍵には用いない。ステップB1に戻り、所望のビット数の乱数鍵が得られるまで繰り返す(ステップB8)。
次に、本実施の形態の効果について説明する。
本実施の形態では、基底選択に必要な情報で、第2の基底を用いるべきビットの位置が共通の乱数列として送受信者の記憶装置に存在するように構成されているため、送受信者間で基底情報を通信する必要がない。このため、盗聴者はたとえ量子通信路で伝送される光子を保管していても、復号化に必要な基底情報が得られないため盗聴で得られる情報量は増加せず、PNS攻撃は成立しない。そのため、安全性が保証される量子通信路の伝送距離を長くすることができる。
また、本実施の形態では、真性乱数発生器は1個しか必要としない。さらに、基底選択についての情報を伝送する必要がないため、送信者と受信者との間の通常の通信路による通信の量を減らすことができ、基底の異なる測定結果を捨てる必要もないため鍵の伝送効率が2倍になる。
また、本発明を実施するための最良の形態では、さらに送受信者間で共有する情報にテストビットの位置とテストビットの値も含めることができるため送受信者間で必要な通信の量をさらに少なくすることができる。
なお、本発明は上記実施例に限定されるものではなく、本発明の趣旨に基づき種々の変形が可能であり、これらを本発明の範囲から排除するものではない。
本発明によれば、盗聴に対する高い安全性が必要な通信用暗号装置や、乱数列を基にした電子認証や電子商取引、電子投票システムといった用途に適用できる。
100,200 光パルス発生器
110,210 真性乱数発生器
120,150 擬似乱数発生器
121,151 乱数発生のための種を記憶する記憶装置
122,152 擬似乱数を発生する演算装置
130,230 符号器
140,240 量子通信路
160,260 復号器
161,261 光子検出器
170,270 乱数鍵を生成する演算装置
220,250 記憶装置
110,210 真性乱数発生器
120,150 擬似乱数発生器
121,151 乱数発生のための種を記憶する記憶装置
122,152 擬似乱数を発生する演算装置
130,230 符号器
140,240 量子通信路
160,260 復号器
161,261 光子検出器
170,270 乱数鍵を生成する演算装置
220,250 記憶装置
Claims (11)
- (a)光パルス発生器と、真性乱数を発生する真性乱数発生器と、該真性乱数発生器で生成される第1の乱数、及び該第1の乱数とは別の第2の乱数によって選択される2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を変調する符号器と、前記第1の乱数の一部を記憶する記憶装置とからなる送信器と、
(b)光パルスを伝送する量子通信路と、
(c)第3の乱数によって選択される2個以上の互いに直交しない基底の一つに基づいて光パルスの状態を判別する復号器と、前記第1の乱数の一部を記憶する記憶装置とを備える受信器と、
(d)誤り訂正の後、乱数鍵を生成する演算装置とを備え、
(e)前記第2の乱数と前記第3の乱数が同一であることにより、前記真性乱数発生器で生成された第1の乱数を送信者と受信者が共有することを特徴とする量子暗号通信システム。 - 前記第2の乱数と前記第3の乱数が同一のアルゴリズムをもつ2つの擬似乱数発生器で、事前に共有された乱数列から生成されることを特徴とする請求項1記載の量子暗号通信システム。
- 前記事前に共有された乱数列が、前記擬似乱数発生器で乱数が一定数生成された後、送信者と受信者が伝送後に共有した前記第1の乱数の一部で置き換えられることを特徴とする請求項2記載の量子暗号通信システム。
- 前記直交しない基底の数が2であり、基底の選択される頻度が異なるように設定し、選択される頻度の小さい基底が選択されるビットの位置を事前に共有された乱数列で決定することを特徴とする請求項1記載の量子暗号通信システム。
- 乱数が一定数伝送された後、前記事前に共有された乱数列が、送信者と受信者が伝送後に共有した前記第1の乱数の一部で置き換えられることを特徴とする請求項4記載の量子暗号通信システム。
- 前記事前に共有された乱数列が、テストビットの位置と値のいずれかまたは両方を含んでいることを特徴とする請求項4又は5記載の量子暗号通信システム。
- 前記光パルス発生器が確率的に1パルスあたり2個以上の光子を発生することを特徴とする請求項1から6の何れか一項記載の量子暗号通信システム。
- 前記光パルス発生器が確率的に1パルスあたり2個以上の光子を発生する光パルス発生器が出力を減衰させた半導体レーザからなることを特徴とする請求項1から7の何れか一項記載の量子暗号通信システム。
- 前記光パルスの状態が光子の偏光であることを特徴とする請求項1から8の何れか一項記載の量子暗号通信システム。
- 前記光パルスの状態が光子の偏光であり、該状態を指定する基底が水平偏光と垂直偏光の組と右回り円偏光と左回り円偏光の組、またはこの基底間の角度を保ったままポアンカレ球上を回転した基底の組であることを特徴とする請求項1から8の何れか一項記載の量子暗号通信システム。
- 前記光パルスの状態が時間的に分割された光子の位相差であることを特徴とする請求項1から8の何れか一項記載の量子暗号通信システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004372547A JP2006180307A (ja) | 2004-12-24 | 2004-12-24 | 量子暗号通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004372547A JP2006180307A (ja) | 2004-12-24 | 2004-12-24 | 量子暗号通信システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2006180307A true JP2006180307A (ja) | 2006-07-06 |
Family
ID=36733967
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004372547A Pending JP2006180307A (ja) | 2004-12-24 | 2004-12-24 | 量子暗号通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2006180307A (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007141353A1 (es) * | 2006-06-02 | 2007-12-13 | Universidad Politecnica De Valencia | Sistema, y procedimiento de distribución en paralelo de clave cuántica mediante multiplexación de subportadora |
| JP2008154019A (ja) * | 2006-12-19 | 2008-07-03 | Nec Corp | 共有情報の管理方法およびシステム |
| JP2010233123A (ja) * | 2009-03-27 | 2010-10-14 | Nec Corp | 光通信システム及び方法、送信機及び受信機、量子暗号鍵配付システム及び方法 |
| JP2014232492A (ja) * | 2013-05-30 | 2014-12-11 | 凸版印刷株式会社 | 携帯情報処理装置、ホスト装置、情報処理方法及びプログラム |
| WO2016093610A1 (ko) * | 2014-12-09 | 2016-06-16 | 한국과학기술원 | 양자 암호 키 분배 방법, 장치 및 시스템 |
| JP2018523953A (ja) * | 2015-08-18 | 2018-08-23 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 量子鍵配送プロセスにおいて使用される認証方法、装置、およびシステム |
| JP2018537722A (ja) * | 2015-12-18 | 2018-12-20 | アイディー クアンティック エス.アー. | 量子鍵配送システムにエントロピー源を追加するための装置および方法 |
-
2004
- 2004-12-24 JP JP2004372547A patent/JP2006180307A/ja active Pending
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2007141353A1 (es) * | 2006-06-02 | 2007-12-13 | Universidad Politecnica De Valencia | Sistema, y procedimiento de distribución en paralelo de clave cuántica mediante multiplexación de subportadora |
| JP2008154019A (ja) * | 2006-12-19 | 2008-07-03 | Nec Corp | 共有情報の管理方法およびシステム |
| JP2010233123A (ja) * | 2009-03-27 | 2010-10-14 | Nec Corp | 光通信システム及び方法、送信機及び受信機、量子暗号鍵配付システム及び方法 |
| JP2014232492A (ja) * | 2013-05-30 | 2014-12-11 | 凸版印刷株式会社 | 携帯情報処理装置、ホスト装置、情報処理方法及びプログラム |
| WO2016093610A1 (ko) * | 2014-12-09 | 2016-06-16 | 한국과학기술원 | 양자 암호 키 분배 방법, 장치 및 시스템 |
| JP2018523953A (ja) * | 2015-08-18 | 2018-08-23 | アリババ・グループ・ホールディング・リミテッドAlibaba Group Holding Limited | 量子鍵配送プロセスにおいて使用される認証方法、装置、およびシステム |
| JP2018537722A (ja) * | 2015-12-18 | 2018-12-20 | アイディー クアンティック エス.アー. | 量子鍵配送システムにエントロピー源を追加するための装置および方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100631242B1 (ko) | 양자 송신 장치, 양자 수신 장치, 양자 암호 통신 장치 및양자 암호 통신 방법 | |
| JP5384781B2 (ja) | 秘匿通信システムおよび共有秘密情報の生成方法 | |
| JP4829788B2 (ja) | 量子チャネルチェックを有する量子暗号 | |
| US20050259825A1 (en) | Key bank systems and methods for QKD | |
| EP1137220A2 (en) | Key agreement method in secure communication system using multiple access method. | |
| WO2010103628A1 (ja) | 暗号通信システム | |
| WO2007036011A1 (en) | Double phase encoding quantum key distribution | |
| Ouellette | Quantum key distribution | |
| Dhanush et al. | Comparison of Post-Quantum Cryptography Algorithms for Authentication in Quantum Key Distribution Classical Channel | |
| JP2006180307A (ja) | 量子暗号通信システム | |
| JP5260171B2 (ja) | 光通信システム | |
| JP5472850B2 (ja) | パルスポジション変調雑音秘匿通信方式 | |
| RU2325763C2 (ru) | Способ съема информации с волоконно-оптического канала | |
| Lizama et al. | Enhancing quantum key distribution (QKD) to address quantum hacking | |
| Scholz | Quantum Key Distribution via BB84 An Advanced Lab Experiment | |
| JP2011077995A (ja) | 量子暗号鍵配付システム | |
| JP5280518B2 (ja) | 暗号通信システム | |
| Fauzia | Quantum Cryptography | |
| Verma et al. | A comprehensive survey on: quantum cryptography | |
| Srividya et al. | An Emphasis on Quantum Cryptography and Quantum Key Distribution | |
| Gupta et al. | Quantum cryptographic protocols for secure comunication | |
| Shrivastava et al. | A security enhancement approach in quantum cryptography | |
| Jacimovski et al. | ON QUANTUM CRYPTOGRAPHY | |
| Tripathi et al. | Post Quantum Cryptography & its Comparison with Classical Cryptography | |
| Venkatraman | Methods and implementation of quantum cryptography |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090714 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20091006 |