JP2015522998A - 安全通信方法 - Google Patents

安全通信方法 Download PDF

Info

Publication number
JP2015522998A
JP2015522998A JP2015513272A JP2015513272A JP2015522998A JP 2015522998 A JP2015522998 A JP 2015522998A JP 2015513272 A JP2015513272 A JP 2015513272A JP 2015513272 A JP2015513272 A JP 2015513272A JP 2015522998 A JP2015522998 A JP 2015522998A
Authority
JP
Japan
Prior art keywords
party
numerical
sequence
value
numeric
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2015513272A
Other languages
English (en)
Other versions
JP2015522998A5 (ja
Inventor
トーマス ホーンズビー バーコー ベンジャミン
トーマス ホーンズビー バーコー ベンジャミン
クリストファー ジョン エヴァリット マシュー
クリストファー ジョン エヴァリット マシュー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
University of Leeds
Original Assignee
University of Leeds
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from GBGB1209308.4A external-priority patent/GB201209308D0/en
Priority claimed from GBGB1209286.2A external-priority patent/GB201209286D0/en
Application filed by University of Leeds filed Critical University of Leeds
Publication of JP2015522998A publication Critical patent/JP2015522998A/ja
Publication of JP2015522998A5 publication Critical patent/JP2015522998A5/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0858Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

【課題】 第1当事者と第2当事者とに、共有秘密情報を、第三者による解読不能に取得させる方法を提供する。【解決手段】 この方法は、Xがある数値列、NAが第1当事者にかかわるランダム列であるときに、数値列A=X+NAが、第1当事者によって得られるステップと、NBが第2当事者にかかわるランダム列であるときに、数値列B=X+NBが、第2当事者によって得られるステップと、A、Bが、数値列A、Bに等しいか、または数値列A、Bから導出されるか、または数値列A、Bを用いて導出される、離散数値から成る数値列であるときに、数値列A、B中の対応し合う数値ai、biのうちの一致し合う数値から成る数値対を識別するためのデータ一致処理が、第1当事者および第2当事者によって遂行されるステップとを含んでおり、共有秘密情報は、数値列A、B中の一致し合う数値に等しいか、または一致し合う数値から導出されるか、または一致し合う数値を用いて導出される。【選択図】図5

Description

本発明は安全通信方法に関し、より詳細には、限定するものではないが、量子力学的および/または古典的な通信チャネルを用いる、きわめて安全な通信方法に関する。
通信理論における基本的な問題は、メッセージMを、そのメッセージが、第三者により取得されないように、いかにして、2当事者間で伝送するかということである。例えば電子金融取引の分野においては、2当事者間の通信に機密性を保持することが非常に重要である。
通常、メッセージを交換しようとする2当事者は,それぞれアリスおよびボブと呼ばれ、一方、そのメッセージMに不正にアクセスしようとする盗聴者は、イブと呼ばれている。
この問題を解決するために、多くの通信技術が開発されている。その通信技術の1つとして、イブが、しかるべき時間内にいくつかの数学操作を行うことが不可能になるように、イブに数学的な制約を課すものがある。例えばRSA公開鍵暗号技術による安全性は、非常に大きな整数の素因数分解における計算の困難さに大きく依拠している。このような通信技術は、「条件付きで安全である」または「コンピュータ的に安全である」と呼ばれている。
条件付きで安全な通信技術に伴う1つの問題は、それらの安全性に対する信頼性が、まだ立証されていない複雑性理論の分野における数学的結果に依存することである。したがって、現時点では、古典的コンピュータだけを頼りにして、そのような通信技術が、将来において瓦解しないということを保証することはできない。そのような通信技術を瓦解させることができる数学的なツールが開発される可能性は、あり得る。さらに、量子コンピュータ技術が発展すれば、コンピュータ的に安全である通信技術が依拠している数学操作を含む、いくつかの数学操作を、古典的コンピュータよりはるかに高速に実行することができる量子コンピュータの潜在的な能力によって、条件付きで安全である通信技術は脆弱になる。
したがって、イブの演算能力に関して何らの仮定もなされない種類の通信技術の発展に非常に関心が持たれている。このような通信技術は、「無条件に安全である」と呼ばれている。
無条件に安全であるデータ伝送方式の一例として、「ワンタイムパッド」が知られている。この通信技術によると、アリスは、二進平文ストリング(メッセージ M)と、そのメッセージと同じ長さを有する秘密ランダム二進ストリング(ワンタイムパッド)とを、ビット単位にモジュロ2加算する(すなわち 、ビット排他論理和をとる)。生成された二進暗号文ストリング(暗号化メッセージM)が、元のメッセージMに替えて、ボブに送信される。元のメッセージMを復元するために、ボブは、ワンタイムパッドのローカルコピーと、受信した暗号化メッセージMとを、ビット単位にモジュロ2加算する。イブは、送信された暗号化メッセージMを傍受したとしても、ワンタイムパッドを知っていなければ、元のメッセージMを復元することはできない。名称が示唆しているように、ワンタイムパッドは、安全性維持のために、1回しか用いられない。
いかなるセキュア通信方式においても必要な基本的要件は、アリス、および/またはボブが、イブに知られていないある種の秘密情報を有していなければならないということである。この秘密情報は、メッセージの暗号化、および/またはその後の復号のベースとして用いられる。いくつかのセキュア通信方式においては、アリスとボブとは、彼らの間で少なくとも部分的に共有される、少なくともいくつかの秘密情報を所有していることが必要である。この秘密情報は、例えば上述のワンタイムパッド方式においては、ランダム二進ストリングの形態をとる場合がある。この場合には、秘密情報は、アリスとボブとの間で完全に共有される。
共有秘密情報を必要とする全てのセキュア通信技術における1つの問題は、いかにして、イブに知られることなく、アリスとボブとの間で秘密情報を配送するかということである。この問題は、必要な秘密情報の量が、平文メッセージデータの量に匹敵するワンタイムパッドなどのセキュア通信技術の場合に、特に深刻になり得る。したがって、アリスとボブとが、共有秘密情報を取得することができる手法、特に、この共有秘密情報を無条件に安全な方式で取得できる手法が求められている。
上述のように、最初に、共有秘密情報が、第1のメカニズムを用いてアリスとボブとの間で配送され、次いで、アリスとボブとが、メッセージを交換するために、共有秘密情報を含んでいる第2のメカニズムを用いる。単純に、第1のメカニズムを用いて、メッセージを直接交換するのではなくて、この2段階アプローチを用いる1つの理由は、事前に共有されている情報なしに、アリスとボブとに、共有秘密情報を取得させるのに適するメカニズムは、メッセージの交換のためには、不適切または非現実的である場合があるということである。例えばアリスおよびボブに、共有秘密情報を取得させるが、アリスおよびボブによる、共有秘密情報の正確な内容の制御を可能にしないメカニズムが存在する。
本発明のいくつかの例示的な実施形態は、従来技術に関連する問題、および/または欠点の少なくとも1つ、例えば上述の問題、および/または欠点の少なくとも1つを、少なくとも部分的に解決または軽減または回避することを1つの目的とする。本発明のいくつかの実施形態は、従来技術に少なくとも1つの利点、例えば以下において説明する利点のうちの少なくとも1つを提供することを目的としている。
本発明は、独立請求項によって定められるもので、本明細書において言及する。有益な特徴を、従属請求項によって定めてある。
本発明の種々の態様によれば、本明細書の請求項のいずれか1つ、または本明細書に開示されている態様のいずれか1つによる方法、装置、および/またはシステムが提供される。
本発明の別の1つの態様によれば、実行されたときに、本明細書の請求項のいずれか1つ、または本明細書に開示されている態様のいずれか1つによる方法、システム、および/または装置を実施するように構成されている命令を含んでいるコンピュータプログラムが提供される。さらなる一態様によれば、そのようなコンピュータプログラムを記憶している機械可読な記憶装置が提供される。
本発明の一態様によれば、第1当事者と第2当事者とが共有秘密情報を得ることを可能にするための方法であって、Xが、1つの数値列であり、Nが、第1当事者にかかわるランダム列であるとしたときに、数値列A=X+Nが、第1当事者によって得られるステップと、Nが第2当事者にかかわるランダム列であるとしたときに、数値列B=X+Nが、第2当事者によって得られるステップと、およびが、それぞれ数値列AおよびBに等しい、または数値列AおよびBから導出されるか、または数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理が、第1当事者および第2当事者によって遂行されるステップとを含む方法が提供される。共有秘密情報は、数値列および中の一致し合う数値に等しいか、または一致し合う数値から導出されるか、または一致し合う数値を用いて導出される。
本発明のさらなる一態様によれば、第1当事者および第2当事者が共有秘密情報を得ることを可能にするための、第1当事者に対する方法であって、Xが、1つの数値列であり、Nが、第1当事者にかかわるランダム列であるとしたときに、数値列A=X+Nが、第1当事者によって得られるステップと、Bが、第2当事者によって得られる数値列B=X+Nであり、Nが、第2当事者にかかわるランダム列であり、およびが、それぞれ数値列AおよびBに等しい、または数値列AおよびBから導出される、または数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、第1当事者と第2当事者との間のメッセージの交換によって、数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理が、第1当事者によって遂行されるステップとを含んでいる方法が、提供される。共有秘密情報は、数値列および中の一致し合う数値に等しい、または一致し合う数値から導出される、または一致し合う数値を用いて導出される。
本発明のさらなる一態様によれば、第1当事者および第2当事者が共有秘密情報を得ることを可能にするための、第2当事者に対する方法であって、Xが、1つの数値列であり、Nが、第2当事者にかかわるランダム列であるとしたときに、数値列B=X+Nが、第2当事者によって得られるステップと、Aが、第1当事者によって得られる数値列A=X+Nであり、Nが、第1当事者にかかわるランダム列であり、およびが、それぞれ数値列AおよびBに等しい、または数値列AおよびBから導出される、または数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、第1当事者と第2当事者との間のメッセージの交換によって、数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理が、第2当事者によって遂行されるステップとを含んでいる方法が、提供される。共有秘密情報は、数値列および中の一致し合う数値に等しい、または一致し合う数値から導出される、または一致し合う数値を用いて導出される。
本発明のさらなる一態様によれば、実行されたときに、第1当事者と第2当事者とが共有秘密情報を得ることを可能にするための方法を実施するように構成されている命令を含むコンピュータプログラムであって、この方法は、Xが、1つの数値列であり、Nが、第1当事者にかかわるランダム列であるとしたときに、数値列A=X+Nが、第1当事者によって得られるステップと、Nが第2当事者にかかわるランダム列であるとしたときに、数値列B=X+Nが、第2当事者によって得られるステップと、およびが、それぞれ数値列AおよびBに等しい、または数値列AおよびBから導出される、または数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理が、第1当事者および第2当事者によって遂行されるステップとを含むコンピュータプログラムが提供される。共有秘密情報は、数値列および中の一致し合う数値と等しいか、または一致し合う数値から導出される、または一致し合う数値を用いて導出される。
本発明のさらなる一態様によれば、実行されたときに、第1当事者および第2当事者が共有秘密情報を得ることを可能にするための、第1当事者に対する方法を実施するように構成されている命令を含むコンピュータプログラムであって、この方法は、Xが、1つの数値列であり、Nが、第1当事者にかかわるランダム列であるとしたときに、数値列A=X+Nが、第1当事者によって得られるステップと、Bが、第2当事者によって得られる数値列B=X+Nであり、Nが、第2当事者にかかわるランダム列であり、およびが、それぞれ数値列AおよびBに等しいか、または数値列AおよびBから導出される、または数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、第1当事者と第2当事者との間のメッセージの交換によって、数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理が、第1当事者によって遂行されるステップとを含んでいるコンピュータプログラムが提供される。共有秘密情報は、数値列および中の一致し合う数値に等しい、または一致し合う数値から導出される、または一致し合う数値を用いて導出される。
本発明のさらなる一態様によれば、実行されたときに、第1当事者および第2当事者が共有秘密情報を得ることを可能にするための、第2当事者に対する方法を実施するように構成されている命令を含んでいるコンピュータプログラムであって、この方法は、Xが、1つの数値列であり、Nが、第2当事者にかかわるランダム列であるとしたときに、数値列B=X+Nが、第2当事者によって得られるステップと、Aが、第1当事者によって得られる数値列A=X+Nであり、Nが、第1当事者にかかわるランダム列であり、およびが、それぞれ数値列AおよびBに等しい、または数値列AおよびBから導出される、または数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、第1当事者と第2当事者との間のメッセージの交換によって、数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理が、第2当事者によって遂行されるステップとを含んでいるコンピュータプログラムが提供される。共有秘密情報は、数値列および中の一致し合う数値に等しい、または一致し合う数値から導出される、または一致し合う数値を用いて導出される。
本発明のさらなる一態様によれば、第1当事者および第2当事者が共有秘密情報を得ることを可能にするためのシステムであって、Xが、1つの数値列であり、Nが、第1当事者にかかわるランダム列であるとしたときに、数値列A=X+Nを得るための、第1当事者の第1装置と、Nが、第2当事者にかかわるランダム列であるとしたときに、数値列B=X+Nを得るための、第2当事者の第2装置とを備えているシステムが、提供される。およびが、それぞれ数値列AおよびBに等しい、または数値列AおよびBから導出される、または数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、第1装置および第2装置は、数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理を遂行するように構成されている。共有秘密情報は、数値列および中の一致し合う数値に等しい、または一致し合う数値から導出される、または一致し合う数値を用いて導出される。
本発明のさらなる一態様によれば、第1当事者および第2当事者が共有秘密情報を得ることを可能にするための装置であって、Xが、1つの数値列であり、Nが、第1当事者にかかわるランダム列であるとしたときに、数値列A=X+Nを、第1当事者が得るためのユニットと、Bが、第2当事者によって得られる数値列B=X+Nであり、Nが、第2当事者にかかわるランダム列であり、およびが、それぞれ数値列AおよびBに等しい、または数値列AおよびBから導出される、または数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、第1当事者と第2当事者との間のメッセージの交換によって、数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理を、第1当事者が遂行するためのプロセッサとを備えている装置が、提供される。共有秘密情報は、数値列および中の一致し合う数値に等しい、または一致し合う数値から導出される、または一致し合う数値を用いて導出される。
本発明のさらなる一態様によれば、第1当事者および第2当事者が共有秘密情報を得ることを可能にするための装置であって、Xが、1つの数値列であり、Nが、第2当事者にかかわるランダム列であるとしたときに、数値列B=X+Nを、第2当事者が得るためのユニットと、Aが、第1当事者によって得られる数値列A=X+Nであり、Nが、第1当事者にかかわるランダム列であり、およびが、それぞれ数値列AおよびBに等しいか、または数値列AおよびBから導出されるか、または数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、第1当事者と第2当事者との間のメッセージの交換によって、数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理を、第2当事者が遂行するためのプロセッサとを備えている装置が提供される。共有秘密情報は、数値列および中の一致し合う数値に等しいか、または一致し合う数値から導出されるか、または一致し合う数値を用いて導出される。
上述の態様のいずれか1つによる例示的な一実施形態において、データ一致処理は、第1当事者と第2当事者とのうちの少なくとも一方が、1つ以上の数値を取得するように、第1当事者と第2当事者との間で、1つ以上のメッセージを交換するステップであって、取得される数値のうちの少なくとも1つは、数値 に等しいか、または数値 から導出され、取得される数値のうちの少なくとも1つは、数値 に等しいか、または数値 から導出されるステップと、比較演算を含む1つ以上の数学操作が、第1当事者と第2当事者とのうちの少なくとも一方によって遂行されるステップであって、数値 との一致は、比較演算の比較結果から特定されるステップとを含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、データ一致処理は、pが、第1当事者と第2当事者とのうちの一方であるP当事者の数値列中の1つの数値であり、fが、あらかじめ定められた関数であるとしたときに、数値T=f(p)が、P当事者から、第1当事者と第2当事者とのうちの他方であるQ当事者に送信されるステップと、qが、Q当事者の数値列中の、数値列中の位置において数値pに対応する数値であるとしたときに、数値T、または数値Tから導出される数値と、数値q、または数値qから導出される数値とが、Q当事者によって比較される比較ステップとが、P当事者およびQ当事者によって遂行されるステップを含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、f が、関数fの逆関数であるとしたときに、比較ステップは、数値Tと数値f(q)とを比較するステップと、数値f (T)と数値qとを比較するステップとのうちの少なくとも一方を含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、関数fは、ハッシュ関数である。
上述の態様のいずれか1つによる例示的な一実施形態において、データ一致処理は、pが、第1当事者と第2当事者とのうちの一方であるP当事者の数値列中の1つの数値であり、fが、あらかじめ定められた関数であるとしたときに、数値T=f(p)が、P当事者から、第1当事者と第2当事者とのうちの他方であるQ当事者に送信されるステップと、fが、あらかじめ定められた関数であり、qが、Q当事者の数値列中の、数値列中の位置において数値pに対応する数値であるとしたときに、数値T=f(T,q)が、Q当事者によって計算されるステップとが、P当事者およびQ当事者によって遂行されるステップを含んでおり、比較ステップは、数値Tとあらかじめ定められた数値とが、P当事者とQ当事者とのうちの少なくともどちらかによって比較されるステップを含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、rがランダムな数値であり、数1がモジュロ2加算を意味するとしたときに、数値f(p)は、数2で与えられる。
Figure 2015522998
Figure 2015522998
が、あらかじめ定められた関数であるとしたときに、上述の態様のいずれか1つによる例示的な一実施形態は、さらに、数値T=f(r)が、P当事者からQ当事者に送信されるステップを含んでおり、数値Tは、数3で与えられ、比較ステップは、数値TとH(T)とが、Q当事者によって比較されるステップを含んでいる。
Figure 2015522998
が、あらかじめ定められた関数であるとしたときに、上述の態様のいずれか1つによる例示的な一実施形態は、さらに、数値(数4)が、Q当事者からP当事者に送信されるステップを含んでおり、比較ステップは、数値f(r)と数値Tとが、P当事者によって比較されるステップを含んでいる。
Figure 2015522998
上述の態様のいずれか1つによる例示的な一実施形態において、関数fは、ハッシュ関数である。
上述の態様のいずれか1つによる例示的な一実施形態において、データ一致処理は、pが、第1当事者と第2当事者とのうちの一方であるP当事者の数値列中の1つの数値pの第1のビットであり、rがランダムビットであり、数1がモジュロ2加算を表すとしたときに、ビット値(数5)が、P当事者によって計算されるステップと、pが、数値pの第2のビットであるとしたときに、ビット値(数6)が、P当事者によって計算されるステップと、ビット値mおよびmが、P当事者から、第1当事者と第2当事者とのうちの他方であるQ当事者に送信されるステップと、qが、Q当事者の数値列中の、数値列中の位置において数値pに対応する数値qの、ビット位置において第1のビットpに対応する第1のビットであるとしたときに、ビット値(数7)が、Q当事者によって計算されるステップと、qが、数値qの、ビット位置において第2のビットpに対応する第2のビットであるとしたときに、ビット値(数8)が、Q当事者によって計算されるステップと、数値(数9)と数値0とが比較されるステップとが、P当事者およびQ当事者によって遂行されるステップを含んでいる。
Figure 2015522998
Figure 2015522998
Figure 2015522998
Figure 2015522998
Figure 2015522998
上述の態様のいずれか1つによる例示的な一実施形態において、データ一致処理が遂行されるステップは、自己逆演算を用いて、第1当事者と第2当事者とのうちの一方であるP当事者に対応する数値列中の数値 と、ランダムな数値とを結合することによって、第1の結合値が、P当事者によって生成されるサブステップと、第1の結合値が、P当事者から、第1当事者と第2当事者とのうちの他方であるQ当事者に送信されるサブステップと、自己逆演算を用いて、第1の結合値と、Q当事者に対応する数値列中の数値 とを結合することによって、第2の結合値が、Q当事者によって生成されるサブステップと、第2の結合値に対して、第1のハッシュ値が、Q当事者によって生成されるサブステップと、第1のハッシュ値が、Q当事者からP当事者に送信されるサブステップと、ランダムな数値に対して、第2のハッシュ値が、P当事者によって生成されるサブステップと、第1のハッシュ値と第2のハッシュ値とが、P当事者によって比較されるサブステップと、比較の結果に応じた一致信号が、P当事者によって送信されるサブステップと、一致信号によって一致が示されると、数値列および中の数値 および のうちの一致し合う数値のみが、P当事者およびQ当事者によって保持され続けるサブステップとが、P当事者およびQ当事者によって、数値 および から成る数値対の各々に対して遂行されるステップを含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、自己逆演算は、モジュロ2加算であり、ランダムな数値は、数値 と同じサイズを有するランダムな二進値である。
上述の態様のいずれか1つによる例示的な一実施形態において、第1および第2のハッシュ値は、第1および第2のハッシュ値の計算がなされた数値よりも少ないビットを有する。
上述の態様のいずれか1つによる例示的な一実施形態において、データ一致処理は、数値列およびのそれぞれの数値 および から成る数値対の各々に対応するランダムな数値rを用い、共有秘密情報は、数値列およびのそれぞれの数値 および のうちの一致し合う数値に対応するランダムな数値rに基づいて導出される。
上述の態様のいずれか1つによる例示的な一実施形態において、データ一致処理は、照合手続きと逆方向照合手続きとのうちの少なくとも一方を含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態は、数値列Xを、ある信号中に符号化するステップ、および数値列Xが符号化されたこの信号を送信するステップを、さらに含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、数値列X中の各数値が、第1当事者によって送信される信号の量子状態中に符号化される。
上述の態様のいずれか1つによる例示的な一実施形態において、数値列X中の各数値が、ある信号の振幅と位相とのうちの少なくとも一方中に符号化される。
上述の態様のいずれか1つによる例示的な一実施形態において、数値列Xの符号化に用いられる信号は、マイクロ波信号である。
上述の態様のいずれか1つによる例示的な一実施形態において、信号は、第1当事者によって数値列Xの符号化に用いられて、送信される。
上述の態様のいずれか1つによる例示的な一実施形態において、信号は、第1当事者および第2当事者以外の当事者によって、数値列Xの符号化に用いられて、送信される。
上述の態様のいずれか1つによる例示的な一実施形態において、数値列Bが第2当事者によって得られるステップは、数値列Xの符号化に用いられている信号が、第2当事者によって受信されるステップ、および符号化されている数値列Xの各数値が、第2当事者によって検出されるステップを含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、数値列Aが第1当事者によって得られるステップは、数値列Xの符号化に用いられている信号が、第1当事者によって受信されるステップ、および符号化されている数値列Xの各数値が、第1当事者によって検出されるステップを含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、ランダム列Nは、第2当事者の検出器に関連する検出器ノイズを含んでおり、ランダム列Nは、第1当事者の検出器に関連する検出器ノイズを含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、数値列Xは、ランダムな数値列を含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、数値列Xは、ガウス分布値から成る数値列を含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、数値列Xは、あらかじめ定められた数値列を含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、数値列Xの各数値は、連続値である。
上述の態様のいずれか1つによる例示的な一実施形態は、第1当事者および第2当事者によって、それぞれ数値列AおよびBが、対応する離散値の数値列およびに変換されるステップを、さらに含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、数値列AおよびBが、対応する離散値の数値列およびに変換されるステップは、離散値の数値列および中の二進数値を得るために、数値列AおよびB中の、連続値である各数値aおよびbに、あらかじめ定められた離散化操作を適用することによって、数値列AおよびBにそれぞれ対応する、二進数値から成る数値列およびが、それぞれ第1当事者および第2当事者によって得られるステップを含んでおり、離散化操作によって、連続値である各数値aおよびbの範囲が、対応する二進数値にマッピングされる。
上述の態様のいずれか1つによる例示的な一実施形態において、数値列AおよびBが、対応する離散値の数値列およびに変換されるステップは、データスライシングが行われるステップを含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、S(x)が、入力された連続値xから生じる二進値のi番目のビットであり、nが、集合(0、1、…、2m−1−1)から選択される任意の整数であり、(τ、τ、…、τ)が、p個の部分的範囲を定めるための、(p+1)個の固定したセパレータ値であり、τ<τ<…<τであるとしたときに、データスライシングは、次の式(数10)に基づいて行われる。
Figure 2015522998
上述の態様のいずれか1つによる例示的な一実施形態は、数値列との間の相関を高めるために、誤り訂正処理が、第1当事者および第2当事者によって遂行されるステップを、さらに含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、誤り訂正処理が遂行されるステップは、数値列および中の対応し合う数値 との間で、誤り訂正処理が、第1当事者および第2当事者によって遂行されるステップを含んでおり、誤り訂正処理は、あらかじめ定められた量までの誤りを訂正することが可能である。
上述の態様のいずれか1つによる例示的な一実施形態において、誤り訂正処理は、誤り数が、あらかじめ定められた量以下である場合には、対応し合う数値 との間のいかなる誤りも訂正し、誤り数が、あらかじめ定められた量を超過している場合には、対応し合う数値 との間の誤りを増加させがちである。
上述の態様のいずれか1つによる例示的な一実施形態において、あらかじめ定められた量はqビットである。
上述の態様のいずれか1つによる例示的な一実施形態において、誤り訂正処理は、第1当事者および第2当事者のうちの一方の当事者に対応する数値列中の数値 に基づく誤り訂正情報が、この一方の当事者によって生成されるサブステップと、誤り訂正情報が、第1当事者および第2当事者のうちの他方の当事者に送信されるサブステップと、誤り訂正情報が、他方の当事者によって、他方の当事者に対応する数値列中の、数値 に対応する数値 に適用されるサブステップとが、対応し合う数値 および から成る数値対の各々に対して遂行されるステップを含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、誤り訂正情報は、系統誤差訂正符号の誤差訂正ビットを含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、誤り訂正情報は、BCH符号のパリティビットを含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、誤り訂正情報は、誤り訂正情報が基づいている数値より少ないビットしか含んでいない。
上述の態様のいずれか1つによる例示的な一実施形態は、数値列および中の各数値 および において、あらかじめ定められたビット位置の1つ以上のビットが保持され続け、残りのビットが破棄されるステップを、さらに含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、相関性が最も低い側の1つ以上のビット、または相関性が最も高い側の1つ以上のビットが、保持され続ける。
上述の態様のいずれか1つによる例示的な一実施形態において、最下位ビット側のp個のビットだけ、または最上位ビット側のp個のビットだけが、保持され続ける。
上述の態様のいずれか1つによる例示的な一実施形態は、保持され続けたビットを有する数値 を用いて、データ一致処理が繰り返されるステップを、さらに含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態は、数値列および中の各数値 および を、数値 および から導出されるパリティ値で置き換えるステップを、さらに含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態は、新しい数値 を形成するために、数値列およびの各々のパリティビットを、一連の、pビットの集まりに分割するステップと、上述の態様のいずれか1つの、ステップを繰り返すステップとを、さらに含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態は、共有秘密情報から秘密鍵を生成するステップを、さらに含んでいる。
上述の態様のいずれか1つによる例示的な一実施形態において、共有秘密情報は、金融取引において用いられる。
本発明のさらなる一態様によれば、上述の態様のいずれか1つに記述されている装置を備えている衛星が提供される。
3つの確率変数X、Y、Zが存在する場合のエントロピー、条件付きエントロピー、相互情報量の間の関係を示す概要図である。 連続変数量子鍵配送を用いた通信システムを示す概要図である。 地球表面上の送受信器と地球高軌道(HEO)衛星との間の通信が、地球低軌道(LEO)衛星によって傍受される状況を示す概要図である。 本発明による例示的な一鍵配送プロトコルを実装している例示的な一通信システムを示す概要図である。 本発明の例示的な一鍵配送プロトコルの各ステージを示すフローチャートである。 図5に示されている変数送信ステージの各ステップを示すフローチャートである。 図5に示されている変数送信ステージにおける、アリス、ボブ、イブによる数値列A、B、Eの検出を示す概要図である。 図5に示されている変数送信ステージにおける、アリス、ボブ、イブによる数値列A、B、Eの検出を示す別の概要図である。 図5に示されている変数送信ステージにおいて、アリスとボブとによって検出される数値列AとBとで対応し合うデータ値の間の関係を示すグラフである。 図5に示されているデータ離散化ステージの各ステップを示すフローチャートである。 例示的な一データスライシング法を示す概要図である。 図5に示されている誤り訂正ステージの各ステップを示すフローチャートである。 図5に示されている誤り訂正ステージにおいて、アリス、ボブ、イブの、対応し合う数値間に一致が生じることを示す図である。 図5に示されているデータ一致合意ステージの各ステップを示すフローチャートである。 図5に示されている安全性強化ステージの各ステップを示すフローチャートである。 本発明のいくつかの実施形態において用いることができるデータ一致合意処理の一例を示す図である。 本発明のいくつかの実施形態において用いることができるデータ一致合意処理の別の一例を示す図である。 本発明のいくつかの実施形態において用いることができるデータ一致合意処理のさらに別の一例を示す図である。 本発明のいくつかの実施形態において用いることができるデータ一致合意処理のなお別の一例を示す図である。 本発明のいくつかの実施形態において用いることができるデータ一致合意処理のさらになお別の一例を示す図である。
添付図面を参照して、本発明の例示的ないくつかの実施形態を開示している以下の詳細な説明を読むことによって、本発明の他の態様、特徴、利点、および本発明の例示的ないくつかの態様、および実施形態の顕著な特徴が、より明らかになると思う。
本発明は、本明細書において説明されている、いくつかの特定の実施形態に限定されないことは、当業者には理解しうると思う。これらの実施形態の詳細は、本発明の理解を容易にするために、また本発明の背後にある原理を説明するためのものであり、これらは、単に典型的な例を示す目的のみを有するものと考えるべきである。したがって、請求項に定められている本発明の範囲から逸脱することなく、種々の変形及び変更を行うことができることは、当業者には理解しうると思う。例えば記載されているいくつかの特徴を、任意に適切に組み合わせて用いることができ、また、いくつかの特徴を加えたり、省略したり、または任意の適切な代替物または等価物で置き換えることができる。
以下の説明において、本発明の説明を明快および簡潔にするために、また、本発明の要旨を不明瞭にしないために、周知のプロセス、機能、構造、および構成についての説明を、省略する場合がある。
以下の説明、および請求項において用いられる用語、表現、および単語は、学術文献上の意味を有するだけではなく、本発明の明瞭かつ一貫した理解、および本発明の明確化のために、用いられているにすぎない。
本明細書における説明および請求項を通じて、単数形「1つの」、「その」には、その文脈において、複数形が含まれないことが明確に記載されていない限り、複数の対象をも含むものである。したがって、例えば「1つの物体」の意味には、1つ以上の物体の意味も含まれる。
本明細書における説明および請求項を通じて、単語「含む」、「有する」、「包含する」、およびそれらの単語の変形、例えば「含んでいる」、「有している」、「包含している」は、「含んでいるが限定されない」を意味しており、他の特徴、構成要素、整数、ステップ、プロセス、特性や、それらの集合を排除しようとするものではない。
本発明の1つの特定の態様、実施形態、または実施例に結び付けて説明される特徴、構成要素、整数、ステップ、プロセス、特性や、それらの集合は、矛盾しない限り、本明細書において説明される任意の他の態様、実施形態、または実施例にも適用可能であると理解されたい。
本明細書における説明および請求項を通じて、「YのためのX」という一般形を呈する言語(Y は、何らかの動作、機能、プロセス、操作、活動、またはステップであり、X は、それらの動作、機能、プロセス、操作、活動、またはステップを行うための何らかの手段)には、Yを行うように特に適合化され、構成され、または配置されている手段Xが包含されるが、Yを行うためだけの手段Xのみに限定されない。
用語「暗号化」は、本明細書においては、秘密情報を用いて情報を暗号化して、難読化する、マスキングを施すなどのことによって、その秘密情報を知らなければ、情報を解読し難くするプロセスを意味するものである。用語「復号」は、本明細書においては、暗号化された情報が、元の情報を復元するように処理される逆プロセスを意味するものである。
2当事者アリスおよびボブに、無条件に安全な手法で共有秘密情報を取得させる技術の中に、離散変数量子鍵配送(DV−QKD)および連続変数量子鍵配送(CV−QKD)を含む量子鍵配送(QKD)が存在する。
DV−QKDとCV−QKDとのいずれにおいても、アリスとボブとの間で伝送される光子の量子状態中にデータを符号化することによって、アリスとボブとの間で、データが交換される。DV−QKDの場合には、個々の光子の偏光状態などの、離散値(量子化値)をとる物理量が、情報を伝えるために用いられる。したがって、DV−QKDを用いて交換されるデータ値は、離散値をとる。他方において、CV−QKDの場合には、コヒーレントな電磁場(コヒーレントな光子ストリームとみなすこともできる)の位相および振幅(または等価的に、それらの直角成分)などの、連続スペクトルを有する物理量が、情報を伝えるために用いられる。したがって、CV−QKDを用いて交換されるデータ値は、連続値をとり得る。
アリスとボブとの間で伝送されている光子の、自分にとって未知である量子状態を測定しようとする、盗聴者である第三者イブによるいかなる試みも、量子力学の基本特性によって、それらの光子の量子状態を乱す。さらに、「量子複製不可能定理」によって、イブが、未知である任意の量子状態に対し、それと全く同じコピーを作成することは不可能である。すなわち、アリスとボブとは、イブによる、通信を傍受しようとするいかなる試みも検出することができる。
CV−QKDは、DV−QKDに比して、いくつかの利点を備えている。例えばDV−QKD装置は、通常、電磁スペクトルの光帯域で動作する。しかしながら、個々の光子の生成および効率的な検出は、光帯域外においては、より困難になるから、光学に基づかないDV−QKDを実現することは、非常に難しい。対照的に、CV−QKDにおいては、電磁スペクトルの非常に広範な領域を、より簡単に利用することができる。例えば多くの既存の通信システムがすでに動作しているマイクロ波帯において、CV−QKDを、DV−QKDより簡単に実現することができる。
以下においては、CV−QKDに基づく通信システムについて説明する。しかしながら、その説明に進む前に、情報理論の分野におけるいくつかの有用な概念について、ここで簡潔に説明する。
確率分布関数Pで特性付けられる離散確率変数Xを考える。離散確率変数XのエントロピーHは、式1(数11)で定義される。
Figure 2015522998
式1において、xは、Xの1つの特定の結果を表しており、P(x)は、結果xの確率であり、bは、エントロピーの単位を決める、対数の任意の底である。多くの場合、底bには、2が選択される。その場合には、エントロピーの単位は「ビット」になる。Xのエントロピーは、Xの結果に対する不確定性の尺度であると見なすことができる。1つの解釈として、エントロピー(単位:ビット)は、最適推測ストラテジーを用いる場合には、Xの結果を推測するために必要である「はい/いいえ」タイプの平均質問数を与え、また、Xの一連の結果を符号化するために必要な、1結果当たりの平均ビット数である。
離散確率変数XおよびYに対する条件付きエントロピーH(X|Y)は、式2(数12)で定義される。
Figure 2015522998
式2において、xおよびyは、それぞれXおよびYの特定の結果を表しており、P(x)およびP(y)は、それぞれ結果xおよびyの確率であり、PX|Y(x|y)は、結果yを所与とする、結果xの条件付き確率であり、PXY(x,y)は、XおよびYの結合確率分布であり、bは、対数の任意の底である。条件付きエントロピーH(X|Y)は、Yの観察後のXの不確定性の尺度であると解釈することができる。
離散確率変数XおよびYに対する相互情報量I(X;Y)は、式3(数13)で定義される。
Figure 2015522998
式3において、xおよびyは、それぞれXおよびYの特定の結果を表しており、P(x)およびP(y)は、それぞれ結果xおよびyの確率であり、PXY(x,y)は、XおよびYの結合確率分布であり、bは、対数の任意の底である。
式3から、相互情報量I(X;Y)は、Yの観察後のXの不確定性の減少として解釈することができる。等価的に、相互情報量I(X;Y)は、Yの観察後にXに関して得られる情報の量、またはXとYとの間で共有される情報の量であると解釈することができる。XとYとの間の相関が、相対的に高ければ、相互情報量I(X;Y)は、相対的に大きくなる。逆に、XとYとの間の相関が、相対的に低ければ、相互情報量I(X;Y)は、相対的に小さくなる。XとYとが、全く相関していなければ、I(X;Y)=0であり、X=Yであれば、I(X;Y)=H(X)である。相互情報量は、その独立変数に関して対称である、すなわち、I(X;Y)=I(Y;X)である。
一例として、上述のワンタイムパッド方式においては、メッセージMと、暗号化メッセージMとの間の相互情報量は、0である。すなわち、I(M;M)=0である。したがって、イブは、暗号化メッセージMから、メッセージMに関するいかなる情報も得ることができない。この性質のゆえに、上述のワンタイムパッド方式は、無条件に安全である。
上述の条件付きエントロピーおよび相互情報量の定義を、3つの離散確率変数X、Y、Zを考慮するように拡張することができる。例えば条件付きエントロピーH(X|YZ)は、YおよびZの観察後のXの不確定性として解釈することができる。相互情報量I(X;Y;Z)は、X、YおよびZの間で共有される情報の量であると解釈することができる。相互情報量I(X;Y|Z)は、XとYとの間で共有される情報の量のうちの、Zと共有されない部分であると解釈することができる。
3つの離散確率変数X、Y、Zが存在する場合の、いくつかの量の間の関係を、図1のように概要的に表すことができる。図1において、3つの重なり合っている円は、それぞれH(X)、H(Y)、H(Z)を表している。量I(X;Y)、H(Y|X)、H(Z|XY)、I(X;Y|Z)、I(X;Y;Z)が、網掛け領域で示されている。3つの離散確率変数X、Y、Zの、その他の組み合わせに対する条件付きエントロピーおよび相互情報量を表す、図1内の領域を、対称性に基づいて推定することができる。
さらに、エントロピー、条件付きエントロピー、および相互情報量の、式1〜式3によって与えられる定義を、連続確率変数を考慮するように拡張することができる。具体的には、式1〜式3に対応する、エントロピー、条件付きエントロピー、および相互情報量の、連続確率変数X、Y、Zに対する定義は、式4〜式6(数14〜数16)によって与えられる。
Figure 2015522998
Figure 2015522998
Figure 2015522998
式4〜式6において、P(x)、P(y)は、 それぞれX、Yの確率密度関数であり、PX|Y(x|y)は、Yを条件とするXの確率密度関数であり、PXY(x,y)は、XとYとの結合確率密度関数である。
離散確率変数の場合と同様に 2つの連続確率変数に対する条件付きエントロピーおよび相互情報量の定義を、3つの連続確率変数X、Y、Zを考慮するように拡張することができる。3つの連続確率変数X、Y、Zが存在する場合の、いくつかの量の間の関係を、やはり図1のように概要的に示すことができる。
ここで、CV−QKDの説明に戻って、図2を参照して、CV−QKDを用いる通信システムについて説明する。図2の通信システムにおいて、アリスは、最初に、Xで表されている数値列を発生させる、または取得する。この数値列Xは、第1の連続確率変数(便宜上、やはりXで表す)の実現値である。アリスは、次いで、数値列Xが符号化されている信号を作成し、その信号を、ある通信チャネルを介してボブに送信する。連続確率変数Xは、例えばガウス確率密度関数によって特性付けられる場合があり、レーザによって生じた一連のコヒーレントな電磁場(例えばマイクロ波)パルスの振幅および/または位相の変調によって、数値列Xがボブに送信される場合がある。
アリスからの信号の受信の際に、ボブは、信号内に符号化されている数値列Xを復元するために、検出器(例えばホモダイン検出器、またはヘテロダイン検出器)を用いて、信号の振幅および/または位相を検出する。検出を通じてボブによって復元された数値列(Yで表されている)は、第2の連続確率変数(やはりYで表す)の実現値と見なすことができる。通信システム(例えばボブの検出器)内にノイズが存在するために、ボブによって検出される数値列Y中の各数値には、元の数値列X中の対応する数値と、ノイズ成分との和が含まれる。したがって、数値列XとYとの関係は、Y=X+Nと表すのが好適である。この関係式において、Nは、ボブによって観察される一連のノイズ値を示しており、さらなる連続確率変数(やはりNで表す)の実現値と見なすことができる。
通信チャネル上での盗聴によって、イブも、アリスからの信号を受信することができる。ボブと同様に、イブは、信号内に符号化されている数値列を復元するために、信号の振幅および/または位相を検出するための検出器(例えば、ホモダイン検出器またはヘテロダイン検出器)を用いる。検出を通じてイブによって復元される数値列(Zで表されている)は、第3の連続確率変数(やはりZで表す)の実現値とみなすことができる。前述のように、通信システム(例えば、イブの検出器)にノイズが存在するために、イブによって検出される数値列Z中の各数値には、元の数値列X中の対応する数値とノイズ成分との和が含まれる。したがって、数値列XとZとの関係は、Z=X+Nと表すのが好適である。この関係式において、Nは、イブによって観察される一連のノイズ値を示しており、よりさらなる連続確率変数(やはりNで表す)の実現値と見なすことができる。
図1に示す通信システムにおけるノイズ源には、処理ノイズ、熱ノイズ、ショットノイズが含まれることがある。処理ノイズは、送信に先立ってアリスによって変調される信号の処理中に発生するノイズである。熱ノイズは、通信システム中の電子部品の内部から生じるノイズである。熱ノイズは、例えば信号検出プロセス中に加えられる場合がある。ショットノイズは、情報送信のために用いられる光子が離散的性質を有しており、単位時間当たりに検出器に到達する光子の数が変動することによって生じる。
一般に、ボブとイブとのそれぞれの装置(例えば検出器)で観察されるノイズ値の間には相関がなく、したがって、I(N;N)=0である。この関係は、通例、N≠Nと表されることがある。
アリスおよびボブは、イブが、数値列XおよびYの各々と異なるが相関性を有する数値列Zを知るということを考慮して、照合として知られている手続きを用いて、互いに異なるが相関し合っている、それぞれの数値列XおよびY(それぞれアリスおよびボブによって既知である)から、共有秘密情報を得る場合がある。照合には、数値列XおよびYから、共有秘密情報の部分を「抽出する」ための、アリスとボブとの間のメッセージ交換を伴う。これは、数値列XとYとが相関し合っており、したがって、数値列XとYとの間の情報の重なりがゼロではない、すなわち、I(X;Y)≠0であるから可能である。照合は、「順方向照合」の形態をとる場合もあり、「逆方向照合」の形態をとる場合もある。それによって、照合手続きにおけるアリスとボブとの役割が変わる。
上述の、アリスとボブとの間の通信プロセスは、順方向照合と逆方向照合との両方でI(X;Y)>I(X;Z)であれば、無条件に安全である。照合の特別な例である逆方向照合の場合には、この不等式が満たされず、他のいくつかの条件(例えば通信システム内のノイズの相対レベルに関する)が満たされるにすぎないときにも、無条件に安全な通信が達成される場合がある。信号の経路損失がないと仮定すると、イブの装置において観測されるノイズが、ボブの装置において観測されるノイズより大きい(通例、N>Nと表すことができる)場合には、より一般的には、いくらかの経路損失があったとしても、イブの装置において観測される信号対雑音比(SNR)が、ボブの装置において観測されるSNRより低い場合には、上述の不等式が満たされる。
この場合には、アリスの送信信号すなわち数値列Xと、ボブの検出信号すなわち数値列Yとの間の相関は、アリスの送信信号すなわち数値列Xと、イブの検出信号すなわち数値列Zとの間の相関より強い。したがって、ボブは、自身で観察した数値列Yから、イブが自身で観察した数値列Zから得ることができるXに関する情報より多くの、Xに関する情報を得ることができる。アリスとボブとは、適切な照合手続きを用いて、イブにはわからない共有秘密情報を取得するために、この情報優位を利用することができる。
上述のCV−QKD通信システムの1つの問題は、イブの検出器におけるSNRが、ボブの検出器におけるSNRより低いという仮定に基づいて、無条件の安全性が保証されていることである。しかしながら、この仮定は、多くの状況において、成り立たない場合がある。
例えば図3に示されている実在の状況において、アリスは、地表上の送受信器の形態を呈しており、ボブは、地球高軌道(HEO)衛星または地球中軌道(MEO)衛星(例えばおよそ33,000Kmの高度の)の形態を呈している場合がある。このような状況においては、かなりの経路損失が、アリスとボブとの間で生じ得る。その結果、ボブの検出器におけるSNRは、相当に低くなる。一方、イブが、ボブよりアリスに近い場合、例えばイブが、地球低軌道(LEO)衛星(例えばおよそ100Kmの高度の)の形態を呈している場合には、アリスとイブとの間の経路損失は、相対的に小さくなるであろう。その結果、イブの検出器におけるSNRは、ボブの検出器におけるSNRより高くなる。
別のいくつかの状況においては、イブが、自分の検出器におけるSNRを高くするために、アリスの送信器に勝手に接近することが可能である。
この問題は、ボブが、相対的に高レベルの固有ノイズを有する検出器を用いている場合に悪化する可能性がある。例えば熱ノイズは、通常、マイクロ波検出器において相対的に大きい。したがって、数値列Xを送信するために、マイクロ波チャネルが用いられる場合には、ボブによって観察されるSNRは、相対的に低くなる場合がある。
したがって、求められるものは、イブによる秘密情報の取得を防止しながら、アリスとボブとに秘密情報を共有させることを可能にするプロトコルである。そのようなプロトコルにおいては、イブの検出器におけるSNRが、ボブの検出器におけるSNRより高くても、無条件の安全性が保証される。
上述のCV−QKD通信システムにおける別の1つの問題は、数値列Yの検出のためにボブによって用いられるホモダイン検出器またはヘテロダイン検出器が、比較的複雑であることである。したがって、求められるものは、より単純な検出器を用いることができる通信方式である。
第三者(イブ)に秘密情報を知られることなく、2当事者(アリスおよびボブ)に、共有秘密情報を取得させることができる例示的な一プロトコルについて、ここで説明する。以下に説明するいくつかの実施形態において、共有秘密情報は、その後のデータ伝送において用いるための鍵情報の形態を呈する。この鍵情報は、例えばワンタイムパッドを形成するために用いることができる。一方、本発明によるプロトコルは、別の種類の共有秘密情報を得るために用いることができる。
本発明のいくつかの実施形態は、例えば金融取引を含む多様な用途に用いることができる。金融取引以外の用途としては、警察、軍隊、政府、移動データ通信、携帯音声通信、ナビゲーションおよび位置情報サービス(例えばGPS)、金融サービス、銀行、船舶通信、加入者サービス、携帯セキュリティサービス、分散型ネットワーキング、リモートアクセス、インターネット通信、仮想プライベートネットワーク、衛星通信、リモートコマンドおよび制御システム、航空機(例えば無線操縦の航空機)、遠隔操縦、データストレージおよびアーカイビング、およびアイデンティティ管理およびセキュリティが含まれるが、これらに限定されない。
図4は、本発明による例示的な1つの鍵配送プロトコルを実装している、例示的な1つの通信システムを概要的に示している。図5は、このプロトコルの各ステージを示すフローチャートである。
図4に示すように、通信システム400は、アリスによって制御される第1の装置、すなわちアリスの装置401、およびボブによって制御される第2の装置、すなわちボブの装置415を備えている。アリスの装置401は、データソース403、メモリ405、送信ユニット407、受信ユニット409、検出器411、およびプロセッサ413を備えている。ボブの装置415は、メモリ417、送信ユニット419、受信ユニット421、検出器423、およびプロセッサ425を備えている。アリスの装置401の送信ユニット407および受信ユニット409と、ボブの装置415の送信ユニット419および受信ユニット421とを用いて、アリスとボブとの間に、双方向の通信リンク427を設置することができている。いくつかの代替実施形態においては、送信ユニットと受信ユニットとは、単一の送受信ユニットとして組み合わされている場合がある。
通信リンク427は、アリスとボブとの間で、1つ以上の別々のチャネル427a、427bを形成している場合がある。例えば以下に説明する実施形態においては、2つのチャネルが用いられる。しかしながら、他のいくつかの実施形態においては、単一のチャネル、または3つ以上のチャネルを用いることができる。
各チャネルは、有線リンクまたは無線リンク、または光リンクなどの、いかなる適切な形態を呈することもできる。各チャネルを、古典的チャネルとすることも、量子チャネルとすることもできる。例えば以下に説明する実施形態においては、一方のチャネルは量子チャネルであり、他方のチャネルは古典的チャネルである。量子チャネルは、量子状態系内で符号化された情報である量子情報を送信することができるチャネルである。古典的チャネル、すなわち非量子チャネルは、古典的状態系内、すなわち非量子状態系内で符号化された情報である古典的情報を送信することができるチャネルである。
いくつかの実施形態において、古典的チャネルは、変更の試みから守られている場合がある。古典的チャネルは、例えばアリスとボブとが、この古典的チャネルで送信される信号が確実に変更されないようにするために、短い事前共有鍵情報を用いる認証チャネルである場合がある。
さらに、図4に示すように、イブによって制御される第3の装置すなわちイブの装置429を、イブは、アリスとボブとの間の通信を傍受するために用いることができる。イブの装置429は、メモリ431、受信ユニット433、検出器435、およびプロセッサ437を備えている。イブの装置429は、総体的に見ると、通信システム400の一部であるとみなすことができる。または、アリスの装置401およびボブの装置415によって形成されている通信システム400に付加されている寄生素子とみなすことができる。以下に説明する実施形態においては、アリスとボブとの間の通信リンクの信頼性が高いと想定しているために、イブの装置429は、アリスとボブとの間で伝送される信号の変更または改ざんを行わないものとしているという意味で、イブの装置429には、送信ユニットが備えられていない。しかしながら、以下に説明するプロトコルは、イブによる、信号の改ざんを伴うような攻撃に対しても有効である。
この実施形態においては、図3に示されている通信システムと同様に、アリスの装置401は、地上装置の一部を形成しており、ボブの装置415は、HEO衛星の一部を形成しており、イブの装置429は、LEO衛星の一部を形成している。しかしながら、本発明は、いかなる特定の構成にも限定されない。本発明は、例えば地上装置、大気層における装置、および/または宇宙における装置の任意の組み合わせを備えるシステムに適用することができる。
この実施形態においては、アリスとボブとの間の通信リンクは、2.4GHzの自由空間マイクロ波通信チャネルを用いて実現されている。しかしながら、本発明は、電磁スペクトルのいかなる特定の帯域やいかなる伝送方法にも限定されない。
図5に示すように、この鍵配送プロトコルは、変数送信ステージ501、データ離散化ステージ503、誤り訂正ステージ505、データ一致合意ステージ507、第1プライバシー増幅ステージ509、安全性強化ステージ511、および第2プライバシー増幅ステージ513を含む、多数のステージを有している。
以下の詳細な説明から明らかになるように、このプロトコルの実行中に、アリスは、データ列を送信する。このデータ列は、ボブ(と、おそらくはイブ)によって受信される。アリスとボブとの間の、その後の一連のメッセージ交換(イブにも傍受されているかもしれない)を通じて、この最初のデータ列は、アリスとボブとの間で共有されるが、イブには認識されない秘密データ列を取得するためのシードデータとして用いられる。
このプロトコルは、通信リンクのアリス側とボブ側とで生成される各データ列に、互いに無相関なランダムノイズを加えることに基づいている。このプロトコルは、共有秘密情報の無条件の安全性を実現するために、ノイズのランダム性、および予測不能性を利用する。ノイズは、様々なやり方で実現することができる。例えば通信システムの固有または真性の性質として、ノイズは生じることがあり、積極的、意図的、および/または人工的に、ノイズを発生させることもできる。本発明のいくつかの実施形態においては、ノイズは、量子力学に由来しており、したがって、完全に予測不能かつ再生不能である。他のいくつかの実施形態においては、ノイズは、量子力学に由来しておらず、例えばアルゴリズム源から生成される。
アリス、ボブ、イブによって認識されるデータ列を、それぞれ確率変数X、Y、Zで表すと、図2に関連付けて説明したように、I(X;Y)>I(X;Z)である場合に、無条件の安全性を得ることができる。しかしながら、本発明のいくつかの実施形態において、プロトコルは、条件I(X;Y|Z)>0が満足されるように構成されている。言い換えると、アリスとボブとの間で共有され、イブによって共有されない、少なくともいくつかの情報が存在する。これは、アリスとボブとイブとの間の、情報の3者間重なりI(X;Y;Z)を減らし、H(Z|XY)を増やしながら、アリスとボブとの間の情報の重なりI(X;Y)を増やすことによって達成することができる。
このプロトコルは、ボブによって観測されるSNRが、イブによって観測されるSNRより小さい場合であっても、無条件の安全性を達成することができるように構成されている。
さらに、いくつかの実施形態においては、データ列Xを、ボブによって受信される信号内に符号化する方法は、ボブが比較的単純な検出器を用いることを可能にするような方法である。
次に、プロトコルの各ステージについて、詳細に説明する。
変数送信ステージ
変数送信ステージ501は、アリスからボブに、数値列を送信するためのステージである。以下に説明する実施形態においては、数値はランダムに生成され、一連のランダムな数値が連続的に配送される。しかしながら、他のいくつかの実施形態においては、ランダムでない数値(離散値または連続値)、または値の離散集合の形態しかとらないランダムな数値が用いられる場合がある。いくつかの実施形態においては、数値は、定数〔例えば一連の固定値(0を含むが、それに限定されない)〕である場合がある。数値は、任意の適切な表現様式で表すことができる。図6は、変数送信ステージの各ステップを、より詳細に示すフローチャートである。
最初のステップ601において、アリスの装置401のデータソース403が、連続型の確率密度関数PDFχ( ・ )に従って、I個のランダムな数値からなる数値列(X={χ};i=1、2、…、I)を出力する。本実施形態においては、確率密度関数PDFχ( ・ )は、平均値が0であり、標準偏差が1に正規化されているガウス関数である。しかしながら、平坦分布などの、任意の他の適切な分布を用いることもできる。数値列Xは、任意の適切な方法で生成することができる。アルゴリズム的乱数発生器を用いて発生させる数値列が、数学的に厳密な意味で完全にランダムではない場合があるが、アルゴリズム的発生源を、Xを生成するために用いることができる。例えばいくつかの実施形態において、数値列Xは、アリスとボブとによって最終的に共有される秘密情報を含まない場合がある。
次のステップ603において、アリスの装置401の送信ユニット407が、任意の適切な技術を用いて数値列Xを送信する。数値列Xを、例えば古典的チャネルまたは量子チャネルを用いて送信することができる。本実施形態においては、Xを送信するために、量子チャネルが用いられる。この場合には、送信ユニット407は、数値列X={χ}の各数値を用いて、コヒーレントなマイクロ波源からの一連のパルスの振幅および/または位相を変調し、変調された信号を、送信器を用いて無線送信する。別のいくつかの実施形態においては、Xを送信するために、古典的チャネルが用いられる場合がある。この場合には、ASK(振幅偏移キーイング)、PSK(位相偏移キーイング)、QAM(直交振幅変調)などの従来の古典的技術が用いられ、送信される信号が、数値列Xの数値によって変調される。
数値列Xは、第1のチャネル427aを介して、アリスからボブに送信される。例えばイブが第1のチャネル427a上で盗聴し、第1のチャネル427a上に送信された信号を検出するかもしれないという意味で、第1のチャネル427aは、安全ではないとみなされるかもしれない。しかしながら、本実施形態においては、チャネル427aは、信頼性が高いとみなすことができる。これは、例えば信号の量子的性質のために、信号のいかなる改ざんや修正も、アリス、および/またはボブによって検出することができるからである。後述のように、例えばアリスとボブとが、ボブによって受信された数値を検証または認証するための適切な方式を実行した場合にも、チャネル427aは信頼性が高いとみなすことができる。他のいくつかの実施形態においては、チャネル427aは、信頼できないとみなすことができる。
上述の2つのステップにおいて、アリスの装置401は、送信信号に何らかのノイズを取り込む可能性がある。例えば何らかの処理ノイズが、送信信号を形成する、量子状態の処理中に取り込まれる可能性がある。さらに、例えばアリスの装置401中の電子部品に起因して、何らかの熱ノイズも、信号に取り込まれる可能性がある。アリスの装置401によって取り込まれた処理ノイズおよび熱ノイズは、アリスの装置401、ボブの装置415、およびイブの装置429によって受信された信号中に存在することになる。以下の説明においては、これらのノイズ源の影響について無視する。しかしながら、これらのノイズ源の影響が明確に考慮される場合にも、本発明は有効である。
以下に説明するように、アリスとボブとイブとの装置401と415と429とは、並行して、いくつかのステップを実行する。
ボブの側では、ボブの装置515の受信ユニット421が、アリスから送信された信号を受信して復調する(ステップ609)。
次のステップ611において、ボブの装置415の検出器423が、受信信号の振幅、および/または位相の変化を検出し、I個の数値からなる、対応する数値列(B={b};i=1、2、…、I)を復元する。ボブの装置415の検出器423は、例えばホモダイン検出器の形態であっても、ヘテロダイン検出器の形態であってもよい。
受信信号から数値列Bを復元するプロセスの間に、ボブの装置415は、1つ以上のノイズ源〔例えば(ランダムな)熱ノイズ(例えばジョンソンノイズを含む)、およびショットノイズを含む〕からノイズを取り込む。その結果、ボブによって復元された数値列B中の各数値bは、アリスから送信された元の数値列X中の対応する数値χと、ボブの装置によって取り込まれたノイズに起因する、対応するノイズ値n との和になる。この関係は、b=χ+n ;i=1、2、…、Iと、または等価的に、B=X+Nと表すことができる。N={n };i=1、2、…、Iは、I個のノイズ値からなる一連のノイズ値を表している。数値列Bは、ボブの装置415のメモリ417に記憶される。
アリスの側においても、アリスの装置401の受信ユニット409は、アリスから送信された信号を受信して復調する(ステップ605)。これは、例えばビームスプリッタ441、または他の適切な信号分割器を用いて達成することができる。ビームスプリッタ441によって、送信信号の電力の一部(例えば50%)が、アリスの受信ユニット409に転入し、送信信号の残りの成分が、ボブの装置415に向けて送られる。この場合には、ボブの装置415によって受信される信号の電力が低下する。
次のステップ607において、アリスの装置401の検出器411が、受信信号の振幅および/または位相の変化を検出し、I個の数値からなる、対応する数値列(A={a};i=1、2、…、I)を復元する。アリスの装置401の検出器411は、例えばホモダイン検出器の形態であっても、ヘテロダイン検出器の形態であってもよい。
受信信号から数値列Aを復元するプロセスの間に、アリスの装置401は、1つ以上のノイズ源〔例えば(ランダムな)熱ノイズおよびショットノイズを含む〕からノイズを取り込む。その結果、アリスによって復元された数値列Aの各数値aは、アリスから送信された元の数値列X中の対応する数値χと、アリスの装置によって取り込まれたノイズに起因する、対応するノイズ値n との和になる。この関係は、a=χ+n ;i=1、2、…、Iと、または等価的に、A=X+Nと表すことができる。N={n };i=1、2、…、Iは、I個のノイズ値からなる一連のノイズ値を表している。数値列Aは、アリスの装置401のメモリ405に記憶される。
アリスの装置自身が送信した信号を受信する、アリスの装置401のプロセスは、アリスの装置401が、自身にローカルチャネル(例えば連続的に可変なローカルチャネル)を利用可能にするプロセスとみなすことができる。このプロセスは、イブによって共有されない、アリスとボブとの間の情報の相互の重なりを可能にするために重要である。本発明のいくつかの実施形態において、アリスの装置401からそれ自体に、すなわちアリスの装置401内に、ローカルチャネルを利用可能にするためのいかなる適切な手段も用いることができる。
本実施形態において、一連のノイズ値NおよびNは、それぞれ連続型の確率密度関数PDFNA( ・ )およびPDFNB( ・ )によって特性付けられる。例えば熱ノイズの場合には、確率密度関数PDFNA( ・ )およびPDFNB( ・ )は、いずれもガウス関数である場合がある。しかしながら、一連のノイズ値NおよびNは、熱ノイズおよびショットノイズ以外のノイズ源から生じる場合があり、また平坦分布などの別の確率密度関数にしたがって発生する場合がある。いくつかの実施形態においては、一連のノイズ値NおよびNは、何らかの特定の確率分布関数にしたがって離散値をとる場合がある。上述のように、いくつかの実施形態においては、ノイズは、通信システムの固有または真性の性質として生じる場合があり、別のいくつかの実施形態においては、例えばアルゴリズム源から、積極的、意図的、および/または人工的に、ノイズを発生させる場合がある。
アリスの装置401と、ボブの装置415とによって取り込まれるノイズ成分は、互いに独立である。さらに、ノイズはランダムであるから、予測不能かつ再生不能である。例えば本実施形態においては、ノイズは、量子力学に由来しており、したがって、完全に独立しており、予測不能であり、かつ再生不能である。しかしながら、アリスの装置401とボブの装置415とによってそれぞれ復元される数値列AとBとは、一連のノイズ値NとNとの存在によって互いに異なるが、それでも、数値列AとBとの間には何らかの相関関係があり、したがって、何らかの情報の重なりが存在する。
一連のノイズ値NおよびNの振幅が大きくなると、またはノイズ対信号比が大きくなる(すなわちSNRが低下する)と、このプロトコルによって達成される安全性が強化されるようになるが、最初のシードデータの与えられた一定の量から得られるデータ量(すなわちデータ率)は減少するようになる。アリスの装置401およびボブの装置415に取り込まれる一連のノイズ値NおよびNのレベルを、安全性、および/またはデータ率の望ましいレベルまたは必要なレベルに応じて、調整または制御することができる。
アリスの受信ユニット409とアリスの送信ユニット407との間の距離が、ボブの受信ユニット421とアリスの送信ユニット407との間の距離より短いから、経路損失やその他の電力低下の差を補償して、アリスの装置401におけるSNRを、ボブの装置415におけるSNRにできるだけ近づけるために、アリスの受信ユニット409において、その受信信号が、適切な量だけ減衰させられる場合がある。しかしながら、いくつかの実施形態においては、アリスの装置401におけるSNRを、ボブの装置415におけるSNRと同じになるようにする必要はない。アリスの装置401とボブの装置415とにおいて同一の、または類似の、または異なるSNRが得られるように、アリスの装置401およびボブの装置415に取り込まれる一連のノイズ値NおよびNのレベルを、調整または制御することができる。
本実施形態においては、数値列AおよびBに加えられるノイズは、検出器ノイズの形態を呈している。アリスの装置401とボブの装置415との間に、1つのチャネルが利用可能になっており、アリスの装置401は、自身に対して、1つのローカルチャネルを利用可能になっている。しかしながら、他のいくつかの実施形態においては、ノイズを加えて、数値列AおよびBを得るために、任意の適切な代替方法またはさらなる方法が用いられる場合がある。ノイズは、アリスの装置401とボブの装置415とに等量を、またはアリスの装置401とボブの装置415とで同じSNRが得られるような量を加えることができる。
上述の実施形態においては、アリスが、アリスとボブとによって受信される数値列Xを発生させて送信する。しかしながら、他のいくつかの実施形態においては、そうではなくて、別の信頼できる当事者(「チャールズ」と呼ばれる)が、数値列Xを発生させて送信する場合がある(図8を参照)。アリスがチャールズから送信された数値列Xを受け取るように、この場合には、1つのチャネルが、チャールズとアリスとの間で利用可能になっており、アリスは、チャールズから送信された数値列Xを受信し、ノイズが加わった状態の数値列Aを得る。同様に、1つのチャネルが、チャールズとボブとの間で利用可能になっており、ボブは、チャールズから送信された数値列Xを受信し、ノイズが加わった状態の数値列Bを得る。この場合には、アリスは、自身に対して、ローカルチャネルを利用可能になっている必要はない。
アリスとボブとの間で、本発明のプロトコルを用いて最終的に共有される情報を得ようとして、イブは、アリス、および/またはボブによって行われるプロトコルのいくつかのステップを真似ようとする場合がある。例えば図6に示されているように、イブの側でも、通信リンク上で盗聴することによって、イブの装置429の受信ユニット433が、アリスから送信された信号を受信して復調する(ステップ613)。イブは、例えばビームスプリッタ439、または他の適切な信号分割器を用いて、信号を傍受することができる。それによって、送信信号の電力の一部が、イブの受信ユニット433に転入され、信号の残りの成分が、ボブの装置415に向けて送られる。この場合には、ボブの装置415によって受信される信号の電力が減少する。
次のステップ615において、イブの装置429の検出器435が、受信信号の振幅および/または位相の変化を検出し、I個の数値からなる、対応する数値列(E={e};i=1、2、…、I)を復元する。この数値列Eは、イブの装置のメモリ431に記憶される。
受信信号から数値列Eを復元するプロセスの間に、イブの装置429は、一連のノイズN={nE };i=1、2、…、Iを取り込む場合がある。これによって、数値列E=X+Nがもたらされる。一連のノイズNは、アリスの装置401およびボブの装置415によって取り込まれるノイズと同様である。しかしながら、本実施形態においては、安全性の観点から、「最悪の想定」として、イブの装置429は、ノイズが可能な限り低いレベルに低下しており、0でさえあり得る(N={0})理想的な検出器を用いていると仮定する。この場合には、E=Xである。例えば適切に冷却された検出器を用いることによって、熱ノイズを実質的に0まで低下させることができる。
しかしながら、理想的な検出器を用いて、特定の状況下において、いくつかのノイズ源を取り除くことができるとしても、ショットノイズなどの他のノイズ源は、常に、ある程度存在するであろう。ショットノイズのレベルは、一般に、熱ノイズのレベルより低いから、ボブによって観測されるSNRは、イブによって観測されるSNRより小さい可能性が高い。ボブは、イブによって観測されるSNRより、例えば8桁小さいSNRを観測する場合がある。しかしながら、この場合においても、イブによって観測されるノイズは、0ではなく、アリスとボブとは、やはり共有秘密情報を取得することができる。
イブの装置429によって復元される数値列Eは、数値列AおよびB(それぞれ、一連のノイズNおよびNを含んでいる)の各々と異なるにもかかわらず、数値列Eと、数値列AおよびBの各々との間には、何らかの相関関係、したがって、何らかの情報の重なりが存在すると思われる。
図7は、本実施形態における、アリス、ボブ,イブによる、数値列A、B、Eの検出を概要的に示している。図8は、アリス、ボブ、イブによる、数値列A、B、Eの検出の一代替構成を概要的に示しており、チャールズが、数値列Xを送信する。図9は、アリスおよびボブによって検出される数値列AおよびB中の、対応し合う数値間の関係を示すグラフである。図9に示されているように、数値列AおよびBに取り込まれたノイズは、数値のデータ点の分散をもたらす。
数値列A、B、Eの間に相関性があるから、変数送信ステージの後では、アリス、ボブ、イブの間に、少なくともいくらかの情報の重なりが存在し、相互情報量I(A;B)、I(A;E)、I(B;E)、I(A;B;E)の各々は0ではない。この段階においては、アリスとボブとの間の情報の重なりは、アリスとイブとの間の情報の重なりより小さく、したがって、I(A;B)<I(A;E)となる場合がある。
上述の変数送信ステージにおいては、データは、送信信号の振幅および/または位相の変調によって、送信信号中に符号化される。しかしながら、いくつかの実施形態においては、振幅と位相とのうちの一方しか変調されない。振幅と位相とのうちの一方だけの変調によって、総合的なデータ率は低下する(例えば、半分になる)が、信号中に符号化されている数値列を復元するために用いられる検出器を、より単純にすることができることが利点である。振幅と位相とのうちの一方だけの変調を用いることによって、例えばホモダイン検出器もヘテロダイン検出器も用いる必要がなくなる。
一実施形態において、プロトコルのこの段階で、アリスおよび/またはボブは、任意の適切な技術を用いて、イブによる、信号のいかなる改ざんや変更も検出することができる。例えば一実施形態において、アリスは、上述の送信に加えて、二度目の送信として、ボブが検出を行う際に、復元される数値列が高精度で数値列Xに等しくなるほどに、SNRが十分に大きくなるように、十分に高い送信電力を用いて、ボブに数値列Xを送信する。したがって、アリスとボブとの両方が、数値列Xを知る。次に、ボブが、アリスに、無作為抽出された、いくつかの数値を送り返す。したがって、アリスは、データ中のいかなる差異も検出することがでる。
いかなる改ざんまたは変更が検出された場合にも、このプロトコルを停止し、最初から再実行することができる。
データ離散化ステージ
変数送信ステージ501に、データ離散化ステージ503が続く。このデータ離散化ステージ503は、アリスの装置401およびボブの装置415によってそれぞれ復元された、連続値の数値列AおよびBを、対応する、離散値の数値列およびに変換するためのステージである。アリスおよびボブによって得られた数値列AおよびBの数値が既に離散的である場合には、例えばX、N、Nの各々が離散値から成る場合には、データ離散化ステージ503を省略することができる。連続値の数値列AおよびBではなくて、離散値の数値列およびを用いる理由は、離散値の数値列とで、対応し合う数値の正確な一致を見出す確率が0にならないということである。特に、擾乱を受けた2つの連続値が正確に等しくなる確率は無限に小さい。
本実施形態においては、離散化は、データスライシング法を用いて、復元された各連続値を、対応する(離散)2進値に変換することによって行われる。しかしながら、いくつかの代替実施形態においては、数値の離散化のために、別のいくつかの方法を用いることができ、また離散化値は、2進値以外で表してもよいことは理解しうると思う。いずれにしても、本実施形態においては、アリスとボブとは、同一の離散化方式を用いる。
図10は、本実施形態におけるデータ離散化ステージ503の各ステップを、より詳細に示すフローチャートである。図11は、データスライシング法の一例を示す概要図である。
図11に示すように、数値列AおよびB中の数値の範囲を包含する数値範囲が、p個の部分的範囲1101に分割される。部分的範囲の数pは2の整数乗、すなわち、p=2である。p個の部分的範囲は、(p+1)個の固定したセパレータ値1103(τ、τ、…、τ)によって定めることができる。ここで、τ<τ<…<τである。図11に示されている例においては、τ=−∞、τ=+∞、τ=τk−1+Δτ(k=2、…、p−1であり、Δτは定数)である。したがって、j番目(j=1、2、3、…、2)の部分的範囲は、τj−1<x≦τとなるxの値の範囲によって定められる。二進値が、任意の適切な方式を用いて、各部分的範囲にマッピングされる。図11に示す例においては、二進値は、(j−1)のmビット二進表現が、j番目(j=1、2、3、…、2)の部分的範囲にマッピングされるように、部分的範囲にマッピングされる。例示のため、図11においては、p=8、m=3が用いられている。しかしながら、他の数値を用いることもできる。例えば本実施形態においては、m=11が用いられる。別の一実施形態においては、m=16が用いられる場合がある。
アリスの装置401およびボブの装置415によって取り込まれるノイズN、およびNのレベル、および/またはデータスライシングパラメータは、離散化後に、ノイズが、離散化すなわちスライシングされるデータ(数値)に顕著な影響を与えるように、調整または制御されるべきである。ノイズの付加によって、例えばデータ値のかなりの部分が、ノイズの存在していない場合に入ると思われる部分的範囲と異なる部分的範囲にはみ出すようになることが好ましい(例えば特定の個別のノイズ値が比較的小さい場合には、いくらかのデータ値は、はみ出さないかもしれないが)。
数値vの離散化のために、以下のステップが実行される。最初に、ステップ1001において、上述のように、p個の部分的範囲が定められる。次に、ステップ1003において、数値vが入る部分的範囲1101が特定される。次いで、ステップ1005において、前のステップ1003で見つかった部分的範囲1101にマッピングされる二進値が決定される。その後、ステップ1007において、数値vが、前のステップ1005で見つかった二進値に変換される。例えば図11に示されている例示的な場合においては、τより大きく、τ以下である数値vは4番目の部分的範囲にはいり、したがって、二進値011に変換される。
上述のデータスライシング法は、式7(数17)によって簡潔に表すことができる。
Figure 2015522998
式7において、S(x)は、連続的な入力値xから得られる二進値のi番目のビットであり、nは、集合(0,1、…、2m−i−1)から選択される任意の整数である。
図10に示すように、このプロトコルによれば、アリスの装置401のプロセッサ413は、上述のデータスライシング法を用いて、アリスの装置401のメモリ405に記憶されている数値列Aの各数値aを、離散的なmビットの二進値である、対応する数値 に変換する。これによって、一連のmビットの二進値から成る、対応する数値列={ };i=1、2、…、Iが生成される。同様に、ボブの装置415のプロセッサ425は、同じデータスライシング法を用いて、ボブの装置415のメモリ417に記憶されている数値列Bの各数値bを、離散的なmビットの二進値である、対応する数値 に変換する。これによって、一連のmビットの二進値から成る、対応する数値列={ };i=1、2、…、Iが生成される。
図10に示すように、イブの装置429は、ボブの装置415によって実行されるステップを真似る。すなわち、イブの装置429のプロセッサ437が、イブの装置429のメモリ431に記憶されている数値列E={e}を、一連のmビットの二進値から成る、対応する数値列={ };i=1、2、…、Iに変換する。
アリスのノイズNのレベルが比較的低い場合(アリスが自分に対するローカルチャネルを利用可能にせず、したがってN={0}であるシステムの場合など)には、ボブによって観測されるSNRが、イブによって観測されるSNRより小さかったとしても、アリスおよびボブが、共有秘密情報を確実に得ることができるように、スライス数、および/またはスライスされた数値がマッピングされる部分的範囲の設定を選択することができる。以下においては、イブによって観測されるノイズ源はショットノイズだけであると仮定し、さらに、例えばイブの受信器が、アリスの送信器にできるだけ接近するように配置されているために、イブによって観測される信号強度が最大であると仮定する。このような仮定の下では、イブによって観測されるSNRが最大である。
離散化された数値列とが同一とならないか、または少なくともあまり類似しないことを保証するために、イブが最大SNRを観測したとしても、数値列E中の各数値の少なくともいくらかが、数値列の対応する数値の入る部分的範囲と異なる部分的範囲に入るように、部分的範囲の幅を選択することができる。例えば部分的範囲の幅が広すぎる場合には、イブによって観測されるノイズが比較的小さいと、離散化された数値列とで対応し合う数値が、互いに異なる部分的範囲に入るほど十分に、数値列X中の各数値を乱す可能性は低くなる。
例えばいくつかの実施形態において、スライス数は、式8を満足するように選ばれる。
>S/N 式8
式8において、mは、スライス数であり、Sは、イブによって観測される信号のレベルであり、Nは、イブによって観測されるノイズのレベルである。Sは、例えばイブの受信器を、できるだけアリスの送信器に近づくように配置することによって、イブによって観測される最大信号であり、Nは、理想的な検出器(例えばショットノイズしか存在しない)を用いて、イブによって観測されるノイズの可能な限り低いレベルである場合がある。
ここで、プロトコルの説明に戻る。それぞれに全部でm×Iビットから成る数値列が、それぞれアリスの装置401、ボブの装置415、イブの装置429のメモリ405、417、431に記憶される。これらの数値列の各々を構成している各数値は、それぞれに特定の確率分布関数によって特性付けられ、数値列間の関係は、特定の結合確率分布関数および条件付き確率関数によって特性付けられる。
データ離散化ステージの後では、離散化された数値列の間に相関関係がある。したがって、アリス、ボブ、イブの間には、少なくともいくらかの情報の重なりがあり、相互情報値I(A;B)、I(A;E)、I(B;E)、I(A;B;E)は、いずれも0にならない。変数送信ステージの場合と同様に、アリスとボブとの間の情報の重なりは、アリスとイブとの間の情報の重なりより小さくなる、したがって、I(A;B)<I(A;E)となる場合がある。
上述の方法にしたがって連続値を変換することによって得られる二進値の各ビットは、「スライス」と呼ばれることがある。変換された二進値のスライスを、例えば最上位ビットがスライス番号1と表され、最下位ビットがスライス番号mと表されるように、ビット桁数の順に番号付けすることができる。数値 のj番目のスライスは、 i,j と表すことができる。同様に、数値列内の各数値の特定の順のスライスを抽出することによって、その数値列をスライス化することができる。例えば数値列の各数値 のj番目のスライスをとることによって得られる二進値を、列スライス{ i,j }= を形成しているとみなすことができる。
各スライスは、各桁のビットに対応するから、変換プロセスにおける、部分的範囲への二進値のマッピングの仕方に応じて、ノイズに起因するビット誤り率は、スライスごとに異なる。具体的には、上述の例においては、1番目のスライス(最上位ビット)からm番目のスライス(最下位ビット)に向かうにつれて、ビット誤り率は増加する。これは、1番目のスライスにおいては、アリスとボブとの間に、最も高い相関関係、したがって、最も高い相互情報量が存在することを意味する。逆に、m番目のスライスにおいては、アリスとボブとの間に、最も低い相関関係、したがって、最も低い相互情報量しか存在しない。具体的には、j<kであれば、I( ; )>I( ; )である。同様の関係が、アリスとイブとの間、およびボブとイブとの間にも当てはまる。
数値列の各列スライス は、二元対称通信路を介する、数値列の対応する列スライス の送信の結果であるとみなすことができる。二元対称通信路の誤り確率は、一般に、1番目のスライスからm番目のスライスに向かって、スライスごとに異なる。
上述の例においては、二進値と部分的範囲との間の1つの特定のマッピングが用いられているが、j<kにおいて、I( ; )>I( ; )という条件、またはj>kにおいて、I( ; )>I( ; )という条件が満足されるように、またはより一般的に、スライスごとに、数値列との間の相互情報に差異が生じるように、二進値と部分的範囲との間の任意の適切なマッピングを選択することができる。
プロトコルの次のステージにおいて、アリスの装置401とボブの装置415との間で、共有秘密情報の取得のために、特定の情報が交換される。本実施形態においては、この情報交換は、変数送信ステージ501において用いられる第1のチャネル427aと異なる第2のチャネル427bを用いて行われる。第2のチャネル427bは、誤り訂正チャネルの形態である場合がある。この情報は、例えば適切に適用することができる任意の誤り訂正技術を有するメッセージの形式で送信される場合がある。一方、本実施形態においては、上述の変数送信ステージ501におけるデータ送信は、非誤り訂正チャネルを用いて実行される。誤り訂正チャネルと非誤り訂正チャネルとは、同一の物理チャネルを用いて実施される場合もあるし、そうではなくて、図4に示すように、異なる物理チャネルを用いて実施される場合もある。
誤り訂正ステージ
データ離散化ステージ503に、誤り訂正ステージ505(照合ステージと呼ばれることもある)が続く。図12は、誤り訂正ステージの各ステップをより詳細に示すフローチャートである。以下の説明において、複数の数値列における、「対応し合う」数値という表現は、それらの数値列中の、同じ位置にある数値のことを意味している。例えば同一のiの値に対して、数値 は、数値列中の対応し合う数値である。
データ離散化ステージ503の実行後、元の数値列A=X+NおよびB=X+Nのノイズ成分が互いに独立であるために、アリス、ボブ、イブによってそれぞれ得られる数値列中の対応し合う数値は、一般に、一致しない。しかしながら、偶然、いくつかの対応し合う数値が正確に一致する場合があり、またとの間、との間、および/またはとの間で、比較的小さな誤りだけしか異ならない場合がある。誤り訂正ステージは、イブによって、との間、およびとの間で、対応し合う数値が一致する数を増やされないようにしながら、との間で、対応し合う数値が一致する数を増やすためのものである。言い換えると、誤り訂正ステージは、アリスとボブとが、それぞれの数値列の間の相関を増やし、一方、イブによって、イブの数値列と、アリスおよびボブの数値列との間の相関を、少なくとも同程度だけ増やされないようにすることを可能にする。
数値列との間で対応し合う数値が一致する数を増やすために、誤り訂正法が用いられる。図示の実施形態においては、この誤り訂正法は、数値列とで対応し合う数値の間の誤りを訂正するために、数値列の各数値に、誤り訂正符号を繰り返して適用するステップを含んでいる。
数値列とで対応し合う、ある2つの数値が正確に一致するときには常に、誤り訂正符号の適用によって、それらの数値は変わらず、一致したままである。数値列とで対応し合う、ある2つの数値が正確に一致するわけではないが、ほぼ正確に一致する〔2つの数値間の誤り(例えば、ハミング距離)が一定量以下であることを意味する〕ときには、常に誤り訂正符号の適用によって、誤りが0まで減縮し(すなわち、誤りが訂正され)、2つの数値は、正確に一致するようになる。しかしながら、数値列とで対応し合う、ある2つの数値が、正確に一致するわけでも、ほぼ正確に一致するわけでもないときには、常に誤り訂正符号の適用によって、2つの数値の間の誤りが訂正される可能性は低く、それどころか、誤りが増大する可能性が高い(誤り訂正符号は、一定量を超過する誤りを訂正することができないために)。
したがって、この誤り訂正処理の遂行後には、数値列とで対応し合う数値のうちの、両者における特定の部分集合は、互いに高度に相関性を有し(正確に一致し)、対応し合う数値のうちの残りの部分は、誤り訂正処理の遂行以前より相関性を有しなくなる。相関性の高い部分集合は、プロトコルの次のステージにおいて抽出される。
誤り訂正ステージ以前においても、数値列とで対応し合う数値の少なくともいくつかは、正確に一致している可能性が高いから、誤り訂正ステージは、場合によっては必要とされず、したがって、いくつかの代替実施形態においては省略される場合がある。しかしながら、誤り訂正ステージの遂行によって、一定量の初期シードデータから得られる共有秘密情報の量は増加しやすくなる。この増加は、正確に一致しているわけではないが、比較的小さな誤り分だけしか異なっていない、対応しあう数値が存在するという事実、すなわち、誤り訂正ステージの遂行によって正確に一致するようになる、対応しあう数値が存在するという事実に基づいている。誤り訂正ステージは、さらに、イブとアリス/ボブとの間の情報の重なりを減らすのにも役立つ。
数値列とで対応し合うか、ある2つの数値が一致する(正確に、であれ、ほぼ正確に、であれ)ときには、常に、イブの側では、数値列中の、それらの2つの数値に対応する数値も、それらの2つの数値と一致する(正確に、または、ほぼ正確に)可能性は低くなる。したがって、数値列とで対応し合う、ある2つの数値が、誤り訂正法によって一致するようになったときには常に、イブが、自分のデータを、アリスのデータおよびボブのデータに一致させるために、誤り訂正符号を用いようとすると、数値列との間、および数値列との間の、それらの2つの数値に対応する2つの数値間の誤りが増大する可能性が高くなる。したがって、誤り訂正法の適用によって、数値列とで対応し合う2つの数値の特定の部分集合は、高度に相関し合うようになる一方、数値列中の数値の、対応する部分集合は、数値列およびの部分集合と、より相関しなくなる可能性が高くなる。
その結果、対応し合う2つの数値の特定の部分集合において、アリスとボブとの間の情報の重なりI(;)は増加し、アリス、ボブ、イブの間の情報の3者間重なりI(;;)は減少する。
アリス、ボブ、イブの間で対応し合う3つの数値に一致が生じる様子が、図13に示されている。図13において、3本の縦線は、数値列を表しており、丸は、それらの数値列中の個々の数値を表している。黒丸は、他の2つの数値列のうちの少なくとも1つ中の、対応する数値に一致する(正確に、またはほぼ正確に)数値が生じたことを示しており、白丸は、他の2つの数値列のどちらの、対応する数値とも一致しない(正確にも、ほぼ正確にも)数値を表している。横線は、3つの数値列のうちの少なくとも2つの、対応し合う数値の間に一致が生じていることを表している。
図13は、アリスとボブとの間、アリスとイブとの間、イブとボブとの間に一致が生じ得るが、アリスとボブとイブとの3者全ての間の同時一致は、任意の2者間の一致よりもはるかに生じにくいことを示している。具体的には、アリスとボブとの間の一致の確率をPA,B、アリスとイブとの間の一致の確率をPA,E、アリスとボブとイブとの間の3者間一致の確率をPA,B,Eとすると、PA,B,Eは、PA,B×PA,Eの程度であり、PA,Bより小さい。
本実施形態においては、誤り訂正ステージにおける誤り訂正を行うために、BCH(Bose Ray Chaudhuri)誤り訂正法を用いる。しかしながら、他の任意の適切な誤り訂正技術を用いることもできる。ここで、BCH誤り訂正法について簡単に説明する。BCH符号化においては、サイズ1×kビットのメッセージベクトルに、サイズk×nビットの生成行列Gを乗算して、サイズ1×nビットのコードワードベクトルCを生成する。コードワードベクトルCには、元の1×kビットのメッセージベクトルと、サイズ1×(n−k)ビットのパリティベクトルとのコンカチネーション(連結)が含まれている。パリティベクトルは、コードワードベクトルCに冗長性を付加し、コードワードベクトルCのビット誤り(特定の最大誤り数までの)を識別して訂正するパリティビットを有している。所望の数のビット誤りを訂正することができるコードワードベクトルを生成するように、生成行列Gを選択することができる。
損傷しているかもしれない(例えば、データ送信の結果として)、サイズ1×nビットのコードワードR内のビット誤りを識別して訂正するために、生成行列Gに対応する、サイズ(n−k)×nビットのパリティチェック行列(または復号行列)Pが用いられる。検査されるべきコードワードの転置Rに、パリティチェック行列Pが左から乗算され、サイズ(n−k)×1ビットのシンドロームベクトルが得られる。シンドロームベクトルには、誤りを識別して訂正することを可能にする情報が含まれる。ビット誤り数が、用いられている特定のBCH符号によって検出可能な最大誤り数以下であれば、シンドロームベクトルは、それらのビット誤りの位置を識別し、それによってそれらのビット誤りを訂正することができる情報を符号化するか、または含む。
本実施形態における誤り訂正ステージの各ステップに説明を戻すと、図12に示されているように、最初のステップ1201において、ボブの装置415のプロセッサ425は、長さkのメッセージMから長さnのコードワードCを生成するように選択されたBCH生成行列Gを得る。コードワードCは、(n−k)個のパリティビットを含んでおり、qビットの誤りまで訂正することができる。次のステップ1203において、アリスの装置401のプロセッサ413は、BCH生成行列Gに対応するパリティチェック行列Pを得る。BCH生成行列Gおよびパリティチェック行列Pはあらかじめ定められており、アリスの装置401およびボブの装置415のメモリに記憶されている場合がある。本実施形態においては、n=15、k=11、q=1の値が用いられ、BCH生成行列Gは、生成元xMod(x+x+1)から生成される。しかしながら、これらは単なる例示のためのものであるにすぎず、他の値や生成元を用いることができることは理解されるであろう。例えば別の一実施形態においては、n=21、k=15、q=1である。
次に、ボブの装置415とアリスの装置401とは、数値列とで対応し合う数値 から成る各数値対に対して、以下の一連のステップを反復して実行するように協働する。具体的には、最初に、ステップ1205において、ボブの装置415のプロセッサ425が、BCH生成行列Gを用いて、数値 に対するBCHコードワードを得る。次のステップ1207において、ボブの装置415の送信ユニット419が、数値 に対するBCHコードワードの(n−k)個のパリティビットを送信する。
次のステップ1209において、アリスの装置401の受信ユニット409が、ボブの装置415から送信された(n−k)個のパリティビットを受信する。次のステップ1211において、アリスの装置401のプロセッサ413が、数値 に、ボブの装置415から受信した(n−k)個のパリティビットを作用させて、数値 に対するBCHコードワードを得る。数値 とが相異なっている場合には、数値 とに対するパリティビットが、一般に(常に、ではないが)、相異なるものになるから、このようにして構築された、数値 に対するBCHコードワードは、一般に(常に、ではないが)、生成行列Gを直接に用いて生成された、数値 に対するBCHコードワードと異なるものになる。次のステップ1213において、アリスの装置401のプロセッサ413が、パリティチェック行列Pを用いて、数値 のBCHコードワードに対するシンドロームベクトルを得る。次のステップ1215において、アリスの装置401のプロセッサ413が、シンドロームベクトルを用いて数値 の値を訂正する。次のステップ1217において、アリスの装置401のプロセッサ413が、数値列中の数値 の元の値を、訂正された値に置き換える。
誤り訂正処理は、ボブの数値 を用いて、より具体的には、ボブの数値から導出される誤り訂正情報を用いて、アリスの数値 を訂正するプロセスとみなすことができる。この誤り訂正処理の前の数値 との間の誤り(ハミング距離)が、qビット以下であった場合には、数値 との間の誤り訂正処理によって、誤り訂正処理後には、数値 は、数値 に等しくなる。しかしながら、誤り訂正処理の前の数値 との間の誤りが、qビットを超過していた場合には、数値 との間の誤り(ハミング距離)は、増加しがちである。取り込まれたさらなる誤りは、スライス全体にわたって一様に分散する。
一代替実施形態として、上述の誤り訂正処理で、アリスとボブとの役割が交換される場合がある。
次のステップ1219において、処理されずに残っている、数値列とで対応し合う数値が存在する(すなわち、i<Iである)場合には、次の対応し合う数値 i+1 i+1 の数値対の間で、上述の誤り訂正処理が行われる。
したがって、誤り訂正ステージ全体の結果として、正確に一致する、数値列とで対応し合う数値の数は、増加する場合が多く、一方、一致しない、対応し合う数値(最初から、q個を超過するビットにおいて互いに異なっている、対応し合う数値)は、より相関性が低くなる場合が多い。
アリスの装置401とボブの装置415との間の通信リンク上で盗聴することによって、イブの装置429は、ボブの装置415からアリスの装置401に送信されるパリティビットを傍受することができる。しかしながら、アリスのデータとボブのデータとが一致しているときには、イブは、これらのパリティビットを用いて、自分のデータを、アリスのデータおよびボブのデータと一致させることはできない。これは、数値列とで対応し合う数値 との間の誤りが、qビット以下である(したがって、誤り訂正処理後に、数値 との間で正確な一致が得られる)場合に、数値列とで対応し合う数値 との間の誤りもqビット以下になる可能性は低いからである。したがって、図12において、ステップ1203eおよびステップ1209e〜1219eによって示されているように、イブが、アリスによって実行されるプロセスを真似ると、誤り訂正処理後に、数値 とが正確に一致するようになるほとんどの場合において、数値 との間の誤りが増大する可能性が高い。
さらに、パリティビットの数が、数値列中の各数値のビット数より少ないために、パリティビットの各1つの集合(1つの数値に対する)にいくつかの相異なる値がマッピングされるから、イブは、送信されてきたパリティビットから、数値 の値を一義的に特定することはできない。
図12に示す処理は、本発明のいくつかの実施形態において用いることができる誤り訂正処理の一例であるにすぎないことは理解しうると思う。図12に示す誤り訂正処理は、例えばアリスとボブとが、それぞれの数値列間の相関性を高くするとともに、イブが、自分の数値列と、アリスおよびボブの数値列との間の相関性を、少なくとも同程度に高くすることを防止することを可能にするための、任意の適切な処理に置き換えることができる。
例えば本発明のいくつかの実施形態において用いることができるいくつかの誤り訂正処理には、第1当事者(例えばボブ)が、任意の適切な誤り訂正情報(例えば任意の適切な系統誤差訂正符号化方式の誤差訂正情報)を、第2当事者(例えばアリス)に送信するプロセスを含めることができる。誤り訂正情報は、第1当事者の数値列中の数値に基づいて生成される。次に、第2当事者が、受信した誤り訂正情報を、第2当事者の数値列中の対応する数値に適用する。いくつの実施形態においては、アリスとボブとの役割が、交換される場合がある。
誤り訂正処理を適用することによって、第1当事者と第2当事者との数値列中の対応し合う2つの数値の間の差を減少させる(おそらくは0にまで)、0でない確率が存在する。第1当事者と第2当事者とのそれぞれの数値列中の各数値に誤り訂正処理を適用することによって、第1当事者と第2当事者との数値列が、より高い相関性を有するようになる、0でない確率が存在する。
データ一致合意ステージ
誤り訂正ステージ505に、データ一致合意ステージ507が続く。データ一致合意ステージはまた、アドバンテージディスティレーションステージと呼ぶこともできる。図14は、データ一致合意ステージ507の各ステップを、より詳細に示すフローチャートである。
このデータ一致合意ステージは、アリスおよびボブが、誤り訂正ステージ後に、それぞれの数値列との間で一致している、対応し合う数値 を識別することを可能にするためのステージである。この識別によって、アリスおよびボブが、彼らの数値列から相関性の高い数値の部分集合を抽出し、より相関性の少ない残りの数値を破棄することが可能になる。図14に示すように、以下の一連のステップが、数値列とで対応し合う数値 から成る各数値対に対して反復して実行される。最初のステップ1401において、アリスの装置401のプロセッサ413が、ランダムなmビットの二進値(vと記す)を生成する。次のステップ1403において、アリスの装置401のプロセッサ413は、新たなmビットの二進値(数18)を計算する。数1は、ビット単位のモジュロ2加算を意味する。次のステップ1405において、アリスの装置401の送信ユニット407が、数値 ’を送信する。
Figure 2015522998
次のステップ1407において、ボブの装置415の受信ユニット421が、アリスの装置401から送信された数値 ’を受信する。次のステップ1409において、ボブの装置415のプロセッサ425が、新たなmビットの数値(数19)を計算する。このとき、アリスとボブとのデータ値が一致していれば(すなわち、 であれば)、 ’=vとなる。
Figure 2015522998
’=vであるか否かを検証するために、次のステップ1411において、ボブの装置415のプロセッサ425が、あらかじめ定められたハッシュアルゴリズムH(・)を用いて、数値 ’から、pビットのハッシュ値H( ’)を計算する。p<mである。本実施形態においては、このハッシュ値は、BCH生成行列を用いて生成された、数値 ’に対するBCHコードワードのパリティビットを含んでいる。BCH生成行列は、例えば上述の誤り訂正ステージにおいて用いたものと同じである場合がある。他のいくつかの実施形態においては、mビットの入力値からpビットの出力値を計算する(p<m)ための、任意の他の適切な関数が用いられる場合がある。次のステップ1413において、ボブの装置415の送信ユニット419が、ハッシュ値H( ’)を送信する。
次のステップ1415において、アリスの装置401の受信ユニット409が、ボブの装置415から送信されたハッシュ値H( ’)を受信する。次のステップ1417において、アリスの装置401のプロセッサ413が、ボブのプロセッサ425によって用いられたハッシュアルゴリズムと同じハッシュアルゴリズムH(・)を用いて、数値vからpビットのハッシュ値H( )を計算する。次のステップ1419において、アリスの装置401のプロセッサ413が、アリスの装置401のプロセッサ413によって計算されたハッシュ値H( )と、ボブから受信したハッシュ値H( ’)とを比較する。次のステップにおいて、2つのハッシュ値が一致していると、アリスの装置401のプロセッサ413が判断した場合には、 ’=vであるとみなされ、アリスの装置401の送信ユニット407が、 ’=vであるか否か、したがって、 であるか否かを示す信号(確認信号)を送信する(ステップ1421)。
図14に示す実施形態においては、確認信号には、反復のたびに、一致しているか否かに関わりなく送信され、「一致」と「不一致」とのどちらかを示す一致フラグ信号が含まれている。別の一実施形態においては、確認信号は、一致しているときしか送信されない。この場合には、確認信号が受信されれば、一致が示され、確認信号が受信されなければ、不一致が示される。
次のステップ1423において、アリスの装置のプロセッサは、数値 を保持し続けるか、または破棄し、ボブの装置415のプロセッサ425は、ステップ1425bにおいて受信した確認信号に応じて、数値 を保持し続けるか、または破棄する。具体的には、確認信号が、 であることを示している場合には、アリスの装置401のメモリ405が、数値 (= )を記憶し、ボブの装置415のメモリ417が、数値 (= )を記憶する。一方、確認信号が、 であることを示している場合には、数値 および は、アリスの装置401およびボブの装置415によって破棄される。
次のステップ1427において、処理されずに残っている、数値列とで対応し合う数値が存在する(すなわち、i<Iである)場合には、対応し合う数値 i+1 i+! から成る次の数値対において、上述のデータ一致合意処理が行われる。数値列および中の全ての数値が処理された場合には、データ一致合意ステージが終了する。
一代替実施形態において、上述のデータ一致合意処理で、アリスとボブとの役割が交換される場合がある。
データ一致合意ステージの遂行中、元の数値のいくつかが破棄されるから、数値列およびは、長さIから長さI<Iに短くなる。しかしながら、アリスの数値列とボブの数値列との相関性は、より上昇し、イブの数値列とアリスおよびボブの数値列との相関性は低下する。
上述のデータ一致合意処理において、イブは、アリスとボブとの間の通信リンク上で盗聴し、データ一致合意処理中に送信された、いくつかの数値(アリスから送信された数値 ’、ボブから送信されたハッシュ値H( ’)、アリスから送信された確認信号を含む)を得ることができる。しかしながら、これらの数値のいずれによっても、イブは有用な情報を得ることができない。
例えば数値 ’を生成するために用いられる数値vが完全にランダムであり、アリスによって秘密に保たれていると仮定すると、イブは、数値 ’を知っても、数値 に関するいかなる情報も得ることができない。さらに、ハッシュ関数H(・)によって生成されるハッシュ値のビット数が、そのハッシュ値の生成の元であるデータ値(数値)のビット数より少ないから、ハッシュ関数H(・)は、各1つのハッシュ値に複数のデータ値をマッピングする。したがって、イブは、ハッシュ値H( ’)を用いて、特定の数値 ’を、高い信頼度で特定することができない。さらに、確認信号によって、イブは、アリスとボブとが、対応し合う数値が一致していると判定した、数値列および中の位置を特定することができるが、その位置に対応する、イブの数値 は、一般に、アリスおよびボブの数値 および と異なるから、その位置における実際の数値 および は、イブにはわからないままである。
上述のデータ一致合意処理において、ハッシュ値H( )とH( ’)とが一致すれば、 ’=v、したがって、 であると仮定している。しかしながら、前述のように、ハッシュ関数H(・)によって生成されるハッシュ値のビット数が、そのハッシュ値の生成の元であるデータ値のビット数より少ないから、ハッシュ関数H(・)は、各1つのハッシュ値に複数のデータ値をマッピングする。これは、数値 ’とvとが(したがって、数値 とが)互いに異なっていても、ハッシュ値H( )とH( ’)とが一致する可能性があることを意味する。したがって、データ一致合意ステージの遂行後には、数値列とで対応し合う数値の一致する数が増加するが、依然として正確には一致しない、いくつかの対応し合う数値が存在し得る。
図示の実施形態においては、アリスおよびボブは、確認信号に基づいて、 および を保持し続けるか、または破棄する。一代替実施形態においては、アリスおよびボブは、確認信号に関わりなく、数値 および を破棄する。しかしながら、この場合には、確認信号が、 であることを示しているときに、アリスおよびボブは、数値 ではなく、数値vを保持し続ける。この数値を、アリスは知っており、ボブは、受信した数値 ’と数値 であるときには、 に等しい)とを用いて、この数値を計算することができる。言い換えると、アリスおよびボブは、元の数値 とが一致するときには、元の数値 および を、それぞれのランダムな数値vに置き換えることができる(それでも、ランダムな数値vを、 および で表すことができる)。いくつかの実施形態において、数値 および のうちの、破棄された数値を、プロトコルのこの後のステージ(データ一致合意処理の、以後の全ての繰り返しを含む)において必要なランダムな数値として、またはその代わりに用いる場合がある。
したがって、この場合には、数値列とで対応し合う数値のうちの一致し合う数値を用いて、共有秘密情報を導出することができる(例えば上述の例においては、一致し合う数値を知ることによって、共有秘密情報を形成するランダムな数値を導出することができる)が、共有秘密情報は、数値列および自体から直接にではなく、別のデータ集合(例えばランダムな数値からなる数値列)から抽出される。本発明は、共有秘密情報が、数値列および(またはそれらの部分集合)から直接に抽出または導出される技術だけではなく、共有秘密情報が、別のデータ集合(またはその部分集合)から抽出または導出される技術も包含することは理解しうると思う。
図14に示されている処理は、本発明の一実施形態において用いることができるデータ一致合意処理の一例にすぎないことは理解しうると思う。図15に示すデータ一致合意処理を、例えばアリスおよびボブが、それぞれに自分の数値aおよびbを知っているが、互いに相手の数値を知っていないときに、アリスおよびボブが、あるレベルを超過する確率で、a’=b’であるような数値a’およびb’を、a’=b’のときに、イブに数値a’およびb’を知られることなく、それぞれに特定することができる任意の適切な処理と置き換えることができる。
図16a〜図16cは、本発明のいくつかの実施形態において用いることができるデータ一致合意処理の各例を示す。
図16aに示す例では、最初のステップ1601において、アリスが、数値aの関数である数値T〔T=f(a)〕を計算する。次のステップ1603において、アリスは、ボブに数値Tを送信する。関数fは、f(a)の値から、数値aの値を高信頼度で導出することができず、したがって、イブが、送信を傍受して数値Tを見出しても、数値aを完全には知ることができないように選択される。関数fは、例えば安全な暗号化関数、マスキング関数、またはハッシュ関数を備えている場合がある。次のステップ1605において、ボブは、数値T、または数値Tから導かれた数値と、数値b、または数値bから導かれた数値とを比較する。ボブは、例えばTとf(b)とを、またはf −1(T)とbとを比較する場合がある。関数f −1は、関数fの逆関数である。例えばfがハッシュ関数である場合には、ボブは数値bからハッシュ値を計算し、そのハッシュ値と、アリスから受信したハッシュ値とを比較する。あるいは、ステップ1605において、ボブは、数値f(T,b)を計算し、その結果と、あらかじめ定められた数値とを比較する。ボブは、例えば数値〔T−f(b)〕を0と比較する場合がある。次のステップ1607において、ボブは、この比較の結果に基づいて、一致または不一致を示すメッセージをアリスに送信する。このメッセージには、例えば1ビットフラグが含まれている場合がある。アリスおよびボブは、一致を示すメッセージが送信された場合にのみ、それぞれ自分の数値aおよびbを保持し続ける。
図16bに示す例では、最初のステップ1651において、アリスが、数値aの関数である数値T〔T=f(a)〕を計算する。次のステップ1653において、アリスは、ボブに数値Tを送信する。次のステップ1655において、ボブは、数値T=f(T,b)を計算する。次のステップ1657において、ボブは、アリスに数値Tを送信する。次のステップ1659において、アリスは、数値Tと、あらかじめ定められた数値とを比較する。次のステップ1661において、アリスは、この比較の結果に基づいて、一致または不一致を示すメッセージ(例えば1ビットフラグ)をボブに送信する。アリスおよびボブは、一致を示すメッセージが送信された場合にのみ、それぞれ自分の数値aおよびbを保持し続ける。関数fは、数値f(a)から、数値aを高信頼度で導出することができないように選択され、関数fは、数値f(T,b)から、数値bを高信頼度で導出することができないように選択される。さらに、関数fおよびfは、a=bの場合に、数値Tが、少なくとも数値bに依存せず、いくつかの例においては、数値aにも依存しないように選択される場合がある。一具体例において、数値f(a)は、数20によって与えられる。rは乱数(例えばアリスによって生成され、少なくとも初期においてはアリスにしか知られていない)であり、数1は、モジュロ2加算を意味する。f(T,b)は、数21によって与えられる。Hはハッシュ関数、または入力値から出力値を計算することができ、出力値から入力値を高信頼度で導出することができないような任意の他の適切な関数である。この例においては、アリスは、数値Tを受信して、数値TとH(r)(この例においては、上述のあらかじめ定められた数値に相当する)とを比較する。
Figure 2015522998
Figure 2015522998
図16cに示す例では、最初のステップ1671において、アリスが、数値aの関数である数値T〔T=f(a)〕を計算する。次のステップ1673において、アリスは、ボブに数値Tを送信する。ステップ1673、または別のステップにおいて、アリスは、ボブに、さらに、あらかじめ定められた数値を送信する。次のステップ1675において、ボブは、数値T=f(T,b)を計算する。次のステップ1677において、ボブは、数値Tと、アリスから受信したあらかじめ定められた数値とを比較する。次のステップ1679において、ボブは、この比較の結果に基づいて、一致または不一致を示すメッセージ(例えば1ビットフラグ)をアリスに送信する。アリスおよびボブは、一致を示すメッセージが送信された場合にのみ、それぞれ自分の数値aおよびbを保持し続ける。関数fは、数値f(a)から、数値aを高信頼度で導出することができないように選択される。一具体例において、数値f(a)は、数20によって与えられる。rは乱数である。アリスから送信されるあらかじめ定められた数値はH(r)であり、数値f(T,b)は、数21によって与えられる。Hはハッシュ関数、または入力値から出力値を計算することができ、出力値から入力値を高信頼度で導出することができないような任意の他の適切な関数である。
図16a〜図16cに示されているデータ一致合意処理を、対応し合う数値aおよびb(i=0、1、2、…)から成る一連の数値対中の各数値対に対して反復することができる。
図17は、本発明のいくつかの実施形態において用いることができるデータ一致合意処理のさらなる一例を示している。この例においては、数値aおよびbは、2ビットの長さを有している。数値aの各ビットをaおよびaとし、数値bの各ビットを、bおよびbとする。アリスおよびボブの数値が、3ビット以上の長さを有している場合には、それらの数値を、2ビットごとに分割することができる。
最初のステップ1701において、アリスは、1ビットのランダムな数値vを生成する。次のステップ1703において、アリスは、2ビットの数値mを計算する。数値mの各ビットはm、mであり、それぞれ数22、数23で計算される。数1は、モジュロ2加算を意味する。次のステップ1705において、アリスは、ボブに数値mを送信する。次のステップ1707において、ボブは、2ビットの数値m’を計算する。m’の各ビットはm’、m’であり、それぞれ数24、数25で計算される。次のステップ1709において、ボブは、数値(数26)を計算する。a=b(すなわち、a=bかつa=b)であれば、m’=m’=vであり、したがって、H(m’)=0である。次のステップ1711において、ボブは、アリスに数値H(m’)を送信する。次のステップ1713において、送信された数値H(m’)が0である場合には、アリスおよびボブは、それぞれ自分の数値aおよびbを保持し続け、そうでない場合には、アリスおよびボブは、それぞれ自分の数値aおよびbを破棄する。
Figure 2015522998
Figure 2015522998
Figure 2015522998
Figure 2015522998
Figure 2015522998
上述の例では、ステップ1713において、アリスおよびボブは、送信された数値H(m’)に応じて、それぞれ自分の数値aおよびbを保持し続けるか、または破棄する。一代替実施形態では、ステップ1713において、送信された数値H(m’)が0である場合には、アリスは、数値vを、ボブは、数値m’=m’=vを保持し続け、そうでない場合には、数値は破棄される。言い換えると、H(m’)=0である場合には、アリスおよびボブは、それぞれ元の数値aおよびbを、数値vで置き換える。数値aおよびbは、長さが2ビットであり、数値vは、長さが1ビットしかないから、これによって、データサイズは、1/2倍に低下する。
上述のデータ一致合意処理を、反復(iの値)ごとに異なるランダムな数値vを用いて、対応し合う数値a(i)およびb(i)(i=0、1、2、…)から成る、一連の数値対中の各数値対に対して反復することができる。
上述の例においては、a≠b(例えばa≠bかつa≠b)であっても、H(m’)=0である場合があるが、H(m’)=0であれば、a=bであるとした。しかしながら、H(m’)=0のときにa=bである確率は0ではないが、H(m’)≠0のときにa=bである確率は0であるから、H(m’)=0である場合に、数値aおよびbを保持し続け、そうでない場合に、数値aおよびbを破棄することによって、アリスおよびボブは、自分たちの情報の重なりを増やすことができる。具体的には、このデータ一致合意処理後に、アリスとボブとのそれぞれの(保持され続けた)数値が一致し合う確実性は、このデータ一致合意処理前に、アリスとボブとのそれぞれの数値が一致し合う確実性より高くなる。
したがって、以下にさらに説明するように、上述のデータ一致合意処理を繰り返す〔例えば、前のパス(最初から最後までの1回分の周期)において保持された数値列を用いてデータ一致合意処理を繰り返す〕ことによって、アリスおよびボブは、自分達の情報の重なりを、任意の所望のレベルまで増やすことができる。例えば対応し合う数値a(i)およびb(i)から成る、一連の数値対中の各数値対に対して、上述のデータ一致合意処理の1パスが完了したときに、保持され続けた数値から成る、得られたビットストリームを、一連の、2ビットの集まりに分割し、次のパスにおいて、データ一致合意処理を繰り返すことができる。いくつかの実施形態においては、前のパスにおける数値a(i)およびb(i)が、次のパスにおいて、ランダムな数値vとして用いられる場合がある。
図18は、本発明のいくつかの実施形態において用いることができるデータ一致合意処理のさらに別の一例を示している。最初のステップ1801において、アリスが、ランダムな数値vを生成する。次のステップ1803において、アリスは、アリスの数値aを用いて、ランダムな数値vをマスキングする。このマスキングは、例えばビット単位のモジュロ2加算演算を用いて実行される場合がある。次のステップ1805において、アリスは、マスキングされた数値をボブに送信する。次のステップ1807において、ボブは、ボブの数値bを用いて、受信したマスキングされている数値をマスキング解除しようとする。マスキング解除は、例えばビット単位のモジュロ2加算演算を用いて実行される場合がある。次のステップ1809において、アリスとボブとは、ハッシュ比較処理を行うために、1つ以上のメッセージを交換する。ハッシュ比較処理は、例えばアリスとボブとのうちの一方または双方によって、1つ以上のハッシュ値が生成されるステップ、生成されたハッシュ値の1つ以上が、アリスとボブとの間で伝達されるステップ、およびアリスとボブとのうちの一方または双方によって、それらのハッシュ値を用いて比較が行われるステップを含んでいる場合がある。このハッシュ比較処理は、公然と行うことができる。すなわち、ハッシュ比較処理の一部として、アリスとボブとの間で伝達されるメッセージは、イブによって傍受されてもよい。次のステップ1811において、アリスおよびボブは、ハッシュ比較処理の処理結果に基づいて、それぞれの数値aおよびbをそのまま受容するか、または排除する。次のステップにおいて、数値a、bの次の数値対に対して、ハッシュ比較処理の全体が反復される。
上述の説明から理解されるように、本発明のいくつかの実施形態において、種々のデータ一致合意アルゴリズムを用いることができる。いくつかの実施形態において、データ一致合意アルゴリズムは、任意の適切な照合プロトコルまたは逆方向照合プロトコルを含んでいる場合があることは理解しうると思う。
本実施形態においては、イブとアリス/ボブとの間の情報の重なりを低下させながら、アリスとボブとの間の情報の重なりをさらに増加させるために、さらなるステージが遂行される。しかしながら、いくつかの応用においては、データ一致合意ステージの終了時に、アリスとボブとによって得られた数値列が十分に一致し合っており、かつ十分に秘密性が保たれている場合がある。したがって、いくつかの実施形態においては、データ一致合意ステージが終了し、数値列およびが、共有秘密情報として用いられると、このプロトコルは終了する。あるいは以降のステージの1つ以上が、任意選択に、さらに行われる場合がある。
いくつかの実施形態においては、誤り訂正ステージおよび/またはデータ一致合意ステージが1回以上繰り返される。いくつかの実施形態においては、これらのステージは、同一の処理またはアルゴリズムを用いて繰り返される。しかしながら、別のいくつかの実施形態においては、これらのステージが繰り返されるときに、1つ以上の相異なる処理またはアルゴリズムが適用される。
第1プライバシー増幅ステージ
データ一致合意ステージ507に、イブとアリス/ボブとの間の情報の重なりをさらに低下させるための第1プライバシー増幅ステージ509が続く。データ一致合意ステージ中に、アリス、ボブ、イブの全3者間で一致する、対応し合う数値が、比較的少数であるが発生し得るという事実から、イブとアリス/ボブとの間に情報の重なりが存在する可能性が生じる。さらに、イブは、pビットのハッシュ値H(b’)を用いて、正確な数値b’を高信頼度で特定することはできないが、それでも、ハッシュ値H(b’)は、プロトコル全体にわたって蓄積されると、mビットの数値b’に関する情報のpビットをイブに供給する可能性がある何らかの情報を、イブに供給する。
したがって、さらに秘密性を高め、数値列との間の相関を低下させるために、この実施形態においては、数値列およびの各々のスライスの部分集合のみが、それぞれアリスおよびボブによって保持され続ける。例えば数値列のスライス間の相関は、スライスごとに異なるから、いくつかの実施形態においては、最も低い相関しか有しないスライスの部分集合のみが保持され続ける。この実施形態においては、数値列およびの、最大スライス番号側のp個のスライス(最下位ビット側のp個のビットに相当する)だけが、アリスおよびボブによって保持され続ける。したがって、数値列および中のそれぞれI個の数値aおよびbの各ビット数は、mからpに減少する。この実施形態においては、p=4の値が用いられる。
上述のデータ離散化ステージ503が行われなかった場合にも、第1プライバシー増幅ステージ509を行うことを可能にするために、データスライシングが行われる場合がある。
上述のように、数値列の各スライスは、ある誤り確率(εで表す)を有する第1の二元対称通信路を介して、数値列の対応するスライスを送信した結果と見なすことができる。同様に、数値列の各スライスは、ある誤り確率(δで表す)を有する第2の二元対称通信路を介して、数値列の対応するスライスを送信した結果と見なすことができる。εおよびδの値は、スライスごとに異なる。
アリスとボブとの間のチャネルの秘密通信路容量は、イブが、アリスからボブに送信する情報を得る割合が任意に小さくなるように、アリスが、ボブに高信頼度で情報を送信することができる最大割合である。アリスとボブとの間の上述の二元対称通信路の秘密通信路容量は、次の式9によって与えられる。
C=h(ε+δ−2εδ)−h(ε) 式9
h(ρ)=−ρ×log(ρ)−(1−ρ)×log(1−ρ)
式9において、Cは、秘密通信路容量であり、εは、アリスとボブとの間の二元対称通信路の誤り確率であり、δは、アリスとイブとの間の二元対称通信路の誤り確率であり、hは、二元エントロピー関数である。秘密通信路容量Cは、ε=1/2、またはδ=0、またはδ=1でない限り、正である。
用いられるデータスライシング方式、および存在するノイズレベルが与えられれば、例えば数値シミュレーションを用いて、通信システム内の各スライスに対する秘密通信路容量を分析することが可能である。16個のスライスが用いられており、イブが、ショットノイズしか存在しない理想的な検出器を用いており、ボブの検出器が、比較的高いレベルのノイズを取り込むという通信システムで、いくつかの状態において、秘密通信路容量は、実際、最小スライス番号のスライス(最上位ビット、すなわち最小誤り率を有するスライスに相当する)において最大になることが観察される。逆に、秘密通信路容量は、最大スライス番号のスライス(最下位ビット、すなわち最大誤り率を有するスライスに相当する)において最小になる。
したがって、いくつかの実施形態において、最大秘密通信路容量が得られるスライスから成る部分集合が保持され続ける。例えば16個のスライスが用いられている場合に、数値列および中の各数値から、最上位ビット側の1番目から5番目までのビットのうちの1つのビットが保持され続ける場合がある。
第1プライバシー増幅ステージの遂行後には、数値列および中の、それぞれI個の数値aおよびbの各々のビット数は、mからmに減少している。mは、各数値において保持され続けたビットの数である。数値列およびの各々中の、生じたビットの集合は、プロトコルの次のステップのために、一連の、pビットの集まりに分割される場合がある。
安全性強化ステージ
第1プライバシー増幅ステージ509に、安全性強化ステージ511が続く。安全性強化ステージは、誤り低減ステージと呼ばれることもある。図15は、安全性強化ステージ511の各ステップを、より詳細に示すフローチャートである。
この安全性強化ステージは、第1プライバシー増幅ステージ後に、アリスおよびボブによって得られた数値列およびの安全性を強化するためのものである。図示されている実施形態においては、安全性強化ステージの各ステップ(ステップ1501〜1527)は、(i)処理されるデータ値、すなわち数値 および の各々の長さは、mビットではなくてpビットであること、(ii)数値列AおよびB中の数値の個数は、I個ではなくてI個であること、(iii)使用されるランダムな数値vの長さは、mビットではなくてpビットであること、および(iv)ハッシュアルゴリズムH(・)は、pビットの入力値からpビットのハッシュ値を生成する(p<p)ことを除いて、データ一致合意ステージ507の各ステップと同様である。この実施形態においては、ハッシュ値は、生成多項式(1+x+x)から生成されたBCH生成行列を用いて生成された、数値b’に対するBCHコードワードのパリティビットを含んでいる。
第2プライバシー増幅ステージ
安全性強化ステージ511に、イブとアリス/ボブとの間の情報の重なりを、さらになお低下させるための第2プライバシー増幅ステージ513が続く。
この第2プライバシー増幅ステージにおいては、数値列および中の、それぞれpビットの数値aおよびbが、それらの数値のパリティで置き換えられる。ある数値のパリティは、その数値が、1であるビットを奇数個有している場合に1であり、そうでない場合に0であると定められる。したがって、イブが、アリスとボブとの間で交換されたハッシュ値を知ったとしても、イブは、そのハッシュ値を生成するために用いられた正確な数値を特定することはできない。それは、ハッシュ関数H(・)が、各1つのpビットのハッシュ値に、pビットの、いくつかの数値をマッピングするからである。さらに、ハッシュ関数(・)が、適切に選択されているときに、各1つのpビットのハッシュ値にマッピングされたpビットの複数のデータ値間で、パリティが異なることがある(すなわち、それらのpビットの複数のデータ値間で、奇数個のビットが異なることがある)。例えば上述のBCHコードワードのパリティビットを用いる場合がそうである。したがって、データ値のパリティは、そのデータ値のハッシュ値に比して、完全に曖昧である。したがって、各データ値を、そのパリティで置き換えることによって、イブとアリス/ボブとの間の情報の重なりを、非常に低いレベルまで、おそらくは実質的に0にまで低下させることができる。
ステージの反復
数値列との間の誤りを反復して減少させるために、またイブとアリス/ボブとの間の情報の重なりを反復して低下させるために、上述の安全性強化ステージ511、および第2プライバシー増幅ステージ513を、任意の回数繰り返す場合がある。この場合には、直前の反復において得られたパリティビットが、次の反復のために、一連の、pビットの集まりに分割される。最後の反復の終了時に得られる一連のパリティビットが、アリスおよびボブによって得られる秘密情報を内包している最終的なビットストリームを形成する。
本発明のいくつかの実施形態においては、上述のステージの1つ以上を、全体的なプロトコルから省略できることが理解されると思う。しかしながら、それによって、総合的な安全性が低下する場合がある。
シミュレーション結果
下記の表1は、相互情報量I(A;B)、I(A;E)、I(B;E)、LB=I(A;B)−I(A;E)、UB=I(A;B|E)が、上述のプロトコルの例示的な一シミュレーションを通して、どのように変化するかを示している。表1は、さらに、ビット数が、このプロトコルの例示的な一シミュレーションを通して、どのように変化するかを示している。LBは秘密鍵下限であり、UBは情報上限である。行ラベル「初期データ」は、データ離散化ステージ503の完了時の値を示している。行ラベル「照合」は、誤り訂正ステージ(または照合ステージ)505の完了時の値を示している。行ラベル「第1AD巡回」〜「第3AD巡回」は、安全性強化ステージ511および第2プライバシー増幅ステージ513の各反復の完了時の値を示している。この例においては、初期データは、各々が11ビットから成る15000個の数値(全部で165000ビット)で構成されている。
Figure 2015522998
このシミュレーション結果は、初期において、アリスとボブとの間の情報の重なりが、ボブとイブとの間の情報の重なりより少ないことを示している。しかしながら、プロトコルの進行につれて、アリスとボブとの間の情報の重なりは、速やかに1まで増加する(アリスとボブとの間で、正確な一致が得られたことを示す)。一方、イブとアリス/ボブとの間の情報の重なりは、実質的に0まで速やかに減少する(アリスとボブとの間に、完全な秘密性が達成されたことを示す)。ビットの数は、プロトコルの進行につれて、いくつかの数値およびスライスの破棄によって減少する。
攻撃
以下において、イブが、アリスとボブとの間で共有される秘密情報を得ようとして用い得るいくつかの盗聴攻撃と、それらの盗聴攻撃に対する、本発明によるプロトコルの抗し方を説明する。
上述したように、アリスとボブとの間の通信リンクは、初期データの交換のために用いられる私的回線を形成している場合もあるし、共有秘密情報を得るために必要な後続の信号伝達を行うための公衆回線(認証された誤り訂正チャネルである場合がある)を形成している場合もある。第1の種類の攻撃において、イブは、公衆回線上でも私的回線上でも、全ての送信を傍受して読むことができるが、それらの送信に改ざん、またはその他の妨害を行わない(すなわち、イブは受動的盗聴者である)。本発明のいくつかの実施形態においては、例えば自由空間のマイクロ波回線を用いる実施形態においては、送信を傍受して、別の送信を再挿入することは事実上不可能である。しかしながら、そのようなことが可能である場合においても、本発明のそのような実施形態は、依然として安全である。
別の種類の攻撃において、イブは、私的回線において(公衆回線では不可能であるが)、信号の除去、挿入、または変更(すなわち能動的な攻撃)によって、送信に改ざんや妨害を行うことが可能である。このような種類の攻撃の例には、「改ざん」攻撃および「ブラインド」攻撃が含まれる。本発明によるプロトコルは、これらの攻撃および他の攻撃に抗する。
改ざん攻撃では、イブは、例えば選択したシンボル(数値)の送信を止めて、別のシンボルを挿入することによって、または全メッセージのうちの一部または全部を傍受し、符号化を変更して再送信することによって、私的回線の送信を改ざんすることができる。さらに、イブは、送信に任意の量のノイズを取り込むことができる。この例においては、イブは、ボブに対して送信された数値列を知ることはできるが、アリスによって検出された数値列も、ボブによって検出された数値列も、三者の検出装置のSNRによって定められる精度を超える精度で知ることはできないとする。
上述のプロトコルにおいて、アリスは、Nビットの二進値を、Kビットの二進値にマッピングするマッピング関数e:{0,1}→{0,1}を、局所的に効果的に作成していると考えることができる。K<Nである。この改ざん攻撃において、イブは、Nビットの二進値とωビットの二進値とを結合して、変更されたNビットの二進値を生成する改ざん関数t:{0,1}×{0,1}ω→{0,1}を局所的に作成している。アリスと、場合によってはイブも、Kおよびマッピング関数eを知っており、イブだけが、改ざん関数tを知っている。
アリスは、ボブへの送信から取り込んだ数値xを保持する。この数値xは、さらに、イブによって傍受される。イブは、e(x)の値を学習し、ボブに損傷した数値y=t(x,R)を送る。Rは、ボブの検出器によって加えられる、イブにはわからない局所的なノイズ変数(およびイブにはわからない付加的な任意の伝送路ノイズ)である。数値xに関する、イブの知識は、関数eおよび数値e(x)に関する知識の範囲内である。数値yに関する、イブの知識は、関数eおよび数値e(x)に関する知識、および関数tの選択の範囲内である。イブは、ノイズ変数Rに関する知識を何ら有していない。(さらに後に説明するように、いくつかの場合には、イブは、Rを考慮しない関数tを選ぶことがある。このような攻撃は、ブラインド攻撃と呼ばれる。)
イブが用いることができる1つの攻撃は、いくつかのシンボルの削除または追加による信号改ざんである。このような攻撃は、ボブがアリスに、データのランダムサンプルを返すと検出可能である。無相関データは、それがインコヒーレントノイズとして現れるデータ相関マップを見ることによって検出可能である。しかしながら、以下に説明するように、イブが、アリスのデータやボブのデータの正確な性質を知らないから、この攻撃によって、秘密情報に関するイブの知識は増えない。
ボブは、誤り訂正符号C(y)を生成して、アリスに送る。アリスは、それを受け取って、例えばBCH符号xC(y)化する。アリスは、そのBCH符号を用いて、xに対するqビット訂正(例えば、1ビット訂正)を表す、新しい変数x’ を生成する。したがて、x=yである場合、またはxとyとで、1ビット異なる場合に限り、x’=xである。他の誤りはいずれも、アリスとボブとの間の相違を増大させる。アリスおよびボブは、イブが、衝突頻度の高さから〔すなわち、yの相異なる多数の値によって、同一のC(y)値が生成するために〕、eやtやC(y)に関するイブの知識からyを知ることができないように、それぞれの局所ノイズ(関数eおよびノイズ変数R)を選択済みである。
連続変数のシンボルにわずかの桁送りを加える(例えば、送信されてきた信号の一部分を選択的に増幅することによって)という、より狡猾な攻撃による信号改ざんによって、データ離散化(例えばデータスライシング)ステージにおいて、新たなビットエラーが取り込まれ、前述のように、2ビット以上の誤りが、実際に、アリスとボブとの間の相違を増大させる。データ一致合意(アドバンテージディスティレーション)ステージにおいて、アリスとボブとは、例えば仮想回線を用いて、それぞれのデータを、一致するようにフィルタリングして、確率変数とハッシュ値(例えば、BCH符号)とを交換し、交換された確率変数の有効性を確認する。アリスおよびボブによって取り込まれた局所ノイズは、イブによって取り込まれた誤りの位置をランダム化し、それによって、C(y)に関するイブの情報を制限する効果を有する。1ビットエラーが増えると、データ一致合意ステージにおいて破棄される確率も増えるから、イブによる改ざんは、低いデータ率で検出可能である。イブは検出可能であるが、イブには何らの情報も与えられない。
ここで、ブラインド攻撃に戻ると、イブは、新しい信号E=WX+Rを作る。Wは増幅率であり、Rは、検出器ノイズをシミュレートするために加えられるガウスノイズである。このブラインド攻撃は、ボブが、自分の側で検出器ノイズを加え、また例えば非常に低い入力信号で検出器を動作させるために、受信されるデータは、かなりのノイズレベルを有するであろうということをよりどころにする。信号の増幅率Wは、通常の検出器ノイズを超過するレベルになるように、したがって、I(B;E)≒1となるように設定される。イブは、さらに、データスライシング機能を知っている可能性があり、その場合には、イブの信号は、実際に、ボブの信号との実質的に完全な重なりに達する。この時点で、イブは、ノイズ変数Rに依存しない信号関数y=f(x)を作り、自分の信号を、ボブの信号と正確に一致させている。
本発明によるプロトコルが、このようなブラインド攻撃に抗することができる少なくとも2つの方法がある。第1の方法として、アリスは、ボブが非常に低いノイズレベルで受信することができる信号を送信する。ボブは、2つの検出器を用いる。第1の検出器は、生の信号を検出するために用いられ、第2の検出器は、その検出器に局所ノイズを加える減衰ステージ後の信号検出のために用いられる。次に、ボブは、生データのうちのランダムに選択した一部分を、誤り訂正データが格納されており、信頼度の高い回線を用いてアリスに送信する(またはアリスが、初期シードデータをボブに送ることができる)。第2の方法として、ボブは、注意深く校正された検出器を用いて、あらかじめ定められた局所SNRを超過する信号を継続的に監視する。
本発明のいくつかの実施形態を、ハードウェア、ソフトウェア、またはハードウェアとソフトウェアとの組み合わせの形態で実現することができることは理解しうると思う。そのようなソフトウェアは全て、消去可能または書き換え可能であろうとなかろうと、揮発性記憶装置または不揮発性記憶装置(例えばROMなどの記憶装置)に、あるいは例えばRAM、メモリチップ、メモリ装置または集積回路などのメモリに、あるいは例えばCD、DVD、磁気ディスク、磁気テープなどの光学的または磁気的に読み出し可能な記憶媒体に保存することができる。
記憶装置および記憶媒体は、実行されたときに、本発明の任意の実施形態を遂行する命令を含んでいる1つまたは複数のプログラムを記憶しておくのに好適な、機械可読に記憶する具現体であることは理解しうると思う。したがって、これらの具現体には、本明細書の請求項のいずれか一項に記載の装置または方法を実施するためのコードを含むプログラム、およびそのようなプログラムを記憶している機械可読な記憶体を備えている。さらに、このようなプログラムは、有線接続または無線接続を通じて伝送される通信信号、およびそれらの接続を適切に内包する具現体などの任意の媒体を介して、電子的に伝達可能である。
本明細書においては、本発明のいくつかの例示的な実施形態を参照して、本発明を示し、説明しているが、請求項に定められている本発明の範囲から逸脱することなく、種々の変形や変更を施すことが可能であることは、当業者には理解しうると思う。
400 通信システム
401 アリスの装置
403 データソース
405、417、431 メモリ
407、419 送信ユニット
409、421、433 受信ユニット
411、423、435 検出器
413、425、437 プロセッサ
415 ボブの装置
427 通信リンク
427a、427b チャネル
429 イブの装置
439、441 ビームスプリッタ
1101 部分的範囲
1103 セパレータ値

Claims (59)

  1. 第1当事者と第2当事者とが、共有秘密情報を得ることを可能にするための方法であって、
    Xが、1つの数値列であり、Nが、前記第1当事者にかかわるランダム列であるとしたときに、数値列A=X+Nが、前記第1当事者によって得られるステップと、
    が、前記第2当事者にかかわるランダム列であるとしたときに、数値列B=X+Nが、前記第2当事者によって得られるステップと、
    およびが、それぞれ前記数値列AおよびBに等しいか、または前記数値列AおよびBから導出される、または前記数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、該数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理が、前記第1当事者および第2当事者によって遂行されるステップとを含む方法において、
    前記共有秘密情報は、前記数値列および中の前記一致し合う数値と等しいか、または前記一致し合う数値から導出されるか、または前記一致し合う数値を用いて導出される方法。
  2. 前記データ一致処理は、
    前記第1当事者と第2当事者とのうちの少なくとも一方が、1つ以上の数値を取得するように、前記第1当事者と第2当事者との間で1つ以上のメッセージを交換するステップであって、前記取得される数値のうちの少なくとも1つは、前記数値 に等しいか、または前記数値 から導出され、前記取得される数値のうちの少なくとも1つは、前記数値 に等しいか、または前記数値 から導出されるステップと、
    比較演算を含む1つ以上の数学操作が、前記第1当事者と第2当事者とのうちの少なくとも一方によって遂行されるステップであって、前記数値 との一致は、前記比較演算の比較結果から特定されるステップとを
    含んでいる、請求項1に記載の方法。
  3. 前記データ一致処理は、
    pが、前記第1当事者と第2当事者とのうちの一方であるP当事者の数値列中の1つの数値であり、fが、あらかじめ定められた関数であるとしたときに、数値T=f(p)が、前記P当事者から、前記第1当事者と第2当事者とのうちの他方であるQ当事者に送信されるステップと、
    qが、前記Q当事者の数値列中の、数値列中の位置において前記数値pに対応する数値であるとしたときに、前記数値T、または前記数値Tから導出される数値と、前記数値q、または前記数値qから導出される数値とが、前記Q当事者によって比較される比較ステップとが、
    前記P当事者およびQ当事者によって遂行されるステップを含んでいる、請求項1または2に記載の方法。
  4. が、前記関数fの逆関数であるとしたときに、前記比較ステップは、前記数値Tと数値f(q)とを比較するステップと、数値f (T)と前記数値qとを比較するステップとのうちの少なくとも一方を含んでいる、請求項3に記載の方法。
  5. 前記関数fは、ハッシュ関数である、請求項3または4に記載の方法。
  6. 前記データ一致処理は、
    pが、前記第1当事者と第2当事者とのうちの一方であるP当事者の数値列中の1つの数値であり、fが、あらかじめ定められた関数であるとしたときに、数値T=f(p)が、前記P当事者から、前記第1当事者と第2当事者とのうちの他方であるQ当事者に送信されるステップと、
    が、あらかじめ定められた関数であり、qが、前記Q当事者の数値列中の、数値列中の位置において前記数値pに対応する数値であるとしたときに、数値T=f(T,q)が、前記Q当事者によって計算されるステップとが、
    前記P当事者およびQ当事者によって遂行されるステップを含んでおり、
    前記比較ステップは、前記数値Tとあらかじめ定められた数値とが、前記P当事者とQ当事者とのうちの少なくともどちらかによって比較されるステップを含んでいる、請求項3に記載の方法。
  7. rがランダムな数値であり、数1がモジュロ2加算を意味するとしたときに、前記数値f(p)は、数2で与えられる、請求項6に記載の方法。
    Figure 2015522998
    Figure 2015522998
  8. が、あらかじめ定められた関数であるとしたときに、前記方法は、さらに、数値T=f(r)が、前記P当事者から前記Q当事者に送信されるステップを含んでおり、
    前記数値Tは、数3で与えられ、前記比較ステップは、前記数値Tとハッシュ値H(T)とが、前記Q当事者によって比較されるステップを含んでいる、請求項7に記載の方法。
    Figure 2015522998
  9. が、あらかじめ定められた関数であるとしたときに、前記方法は、さらに、数値(数4)が、前記Q当事者から前記P当事者に送信されるステップを含んでおり、
    前記比較ステップは、前記数値f(r)と前記数値Tとが、前記P当事者によって比較されるステップを含んでいる、請求項7に記載の方法。
    Figure 2015522998
  10. 前記関数fは、ハッシュ関数である、請求項8または9に記載の方法。
  11. 前記データ一致処理は、
    が、前記第1当事者と第2当事者とのうちの一方であるP当事者の数値列中の1つの数値pの第1のビットであり、rがランダムビットであり、数1がモジュロ2加算を表すとしたときに、ビット値(数5)が、前記P当事者によって計算されるステップと、
    が、前記数値pの第2のビットであるとしたときに、ビット値(数6)が、前記P当事者によって計算されるステップと、
    前記ビット値mおよびmが、前記P当事者から、前記第1当事者と第2当事者とのうちの他方であるQ当事者に送信されるステップと、
    が、前記Q当事者の数値列中の、数値列中の位置において前記数値pに対応する数値qの、ビット位置において前記第1のビットpに対応する第1のビットであるとしたときに、ビット値(数7)が、前記Q当事者によって計算されるステップと、
    が、前記数値qの、ビット位置において前記第2のビットpに対応する第2のビットであるとしたときに、ビット値(数8)が、前記Q当事者によって計算されるステップと、
    数値(数9)と数値0とが比較されるステップとが、
    前記P当事者およびQ当事者によって遂行されるステップを含んでいる、請求項1または2に記載の方法。
    Figure 2015522998
    Figure 2015522998
    Figure 2015522998
    Figure 2015522998
    Figure 2015522998
  12. データ一致処理が遂行される前記ステップは、
    自己逆演算を用いて、前記第1当事者と第2当事者とのうちの一方であるP当事者に対応する数値列中の前記数値 と、ランダムな数値とを結合することによって、第1の結合値が、前記P当事者によって生成されるサブステップと、
    前記第1の結合値が、前記P当事者から、前記第1当事者と第2当事者とのうちの他方であるQ当事者に送信されるサブステップと、
    自己逆演算を用いて、前記第1の結合値と、前記Q当事者に対応する数値列中の前記数値 とを結合することによって、第2の結合値が、前記Q当事者によって生成されるサブステップと、
    前記第2の結合値に対して、第1のハッシュ値が、前記Q当事者によって生成されるサブステップと、
    前記第1のハッシュ値が、前記Q当事者から、前記P当事者に送信されるサブステップと、
    前記ランダムな数値に対して、第2のハッシュ値が、前記P当事者によって生成されるサブステップと、
    前記第1のハッシュ値と前記第2のハッシュ値とが、前記P当事者によって比較されるサブステップと、
    前記比較の結果に応じた一致信号が、前記P当事者によって送信されるサブステップと、
    前記一致信号によって一致が示されると、前記数値列および中の前記数値 および のうちの一致し合う数値のみが、前記P当事者およびQ当事者によって保持され続けるサブステップとが、
    前記P当事者およびQ当事者によって、前記数値 および から成る数値対の各々に対して遂行されるステップを含んでいる、請求項1または2に記載の方法。
  13. 前記自己逆演算は、モジュロ2加算であり、前記ランダムな数値は、前記数値 と同じサイズを有するランダムな二進値である、請求項12に記載の方法。
  14. 前記第1および第2のハッシュ値は、前記第1および第2のハッシュ値の計算がなされた数値より少ないビットを有する、請求項12または13に記載の方法。
  15. 前記データ一致処理は、前記数値列およびのそれぞれの数値 および から成る数値対の各々に対応するランダムな数値rを用い、前記共有秘密情報は、前記数値列およびのそれぞれの数値 および のうちの一致し合う数値に対応する前記ランダムな数値rに基づいて導出される、請求項1〜14のいずれか1つに記載の方法。
  16. 前記データ一致処理は、照合手続きと逆方向照合手続きとのうちの少なくとも一方を含んでいる、請求項1〜15のいずれか1つに記載の方法。
  17. 前記数値列Xを、ある信号中に符号化するステップ、および数値列Xの符号化が行われた該信号を送信するステップを、さらに含んでいる、請求項1〜16のいずれか1つに記載の方法。
  18. 前記数値列X中の各数値が、前記第1当事者によって送信される前記信号の量子状態中に符号化される、請求項17に記載の方法。
  19. 前記数値列X中の各数値が、前記信号の振幅と位相とのうちの少なくとも一方の中に符号化される、請求項17または18に記載の方法。
  20. 前記数値列Xの符号化に用いられる前記信号は、マイクロ波信号である、請求項17〜19のいずれか1つに記載の方法。
  21. 前記信号は、前記第1当事者によって、前記数値列Xの符号化に用いられて、送信される、請求項17〜20のいずれか1つに記載の方法。
  22. 前記信号は、前記第1当事者および第2当事者以外の当事者によって、前記数値列Xの符号化に用いられて、送信される、請求項17〜20のいずれか1つに記載の方法。
  23. 数値列Bが第2当事者によって得られる前記ステップは、前記数値列Xの符号化に用いられている前記信号が、前記第2当事者によって受信されるステップ、および符号化されている前記数値列Xの各数値が、前記第2当事者によって検出されるステップを含んでいる、請求項17〜20のいずれか1つに記載の方法。
  24. 数値列Aが第1当事者によって得られる前記ステップは、前記数値列Xの符号化に用いられている前記信号が、前記第1当事者によって受信されるステップ、および符号化されている前記数値列Xの各数値が、前記第1当事者によって検出されるステップを含んでいる、請求項17〜23のいずれか1つに記載の方法。
  25. 前記ランダム列Nは、前記第2当事者の検出器に関連する検出器ノイズを含んでおり、前記ランダム列Nは、前記第1当事者の検出器に関連する検出器ノイズを含んでいる、請求項1〜24のいずれか1つに記載の方法。
  26. 前記数値列Xは、ランダムな数値列を含んでいる、請求項1〜25のいずれか1つに記載の方法。
  27. 前記数値列Xは、ガウス分布値から成る数値列を含んでいる、請求項26に記載の方法。
  28. 前記数値列Xは、あらかじめ定められた数値列を含んでいる、請求項1〜27のいずれか1つに記載の方法。
  29. 前記数値列Xの各数値は連続値である、請求項1〜28のいずれか1つに記載の方法。
  30. 前記第1当事者および第2当事者によって、それぞれ前記数値列AおよびBが、対応する離散値の数値列およびに変換されるステップを、さらに含んでいる、請求項1〜29のいずれか1つに記載の方法。
  31. 数値列AおよびBが、対応する離散値の数値列およびに変換される前記ステップは、前記離散値の数値列および中の二進数値を得るために、前記数値列AおよびB中の、連続値である各数値aおよびbに、あらかじめ定められた離散化操作を適用することによって、前記数値列AおよびBにそれぞれ対応する、二進数値から成る数値列およびが、それぞれ前記第1当事者および第2当事者によって得られるステップを含んでおり、前記離散化操作によって、前記連続値である各数値aおよびbの範囲が、対応する二進数値にマッピングされる、請求項30に記載の方法。
  32. 数値列AおよびBが、対応する離散値の数値列およびに変換される前記ステップは、データスライシングが行われるステップを含んでいる、請求項30または31に記載の方法。
  33. (x)が、入力された連続値xから生じる二進値のi番目のビットであり、nが、集合(0、1、…、2m−1−1)から選択される任意の整数であり、(τ、τ、…、τ)が、p個の部分的範囲を定めるための、(p+1)個の固定したセパレータ値であり、τ<τ<…<τであるとしたときに、前記データスライシングは、次の式(数10)に基づいて行われる、請求項32に記載の方法。
    Figure 2015522998
  34. 前記数値列との間の相関を高めるために、誤り訂正処理は、前記第1当事者および第2当事者によって遂行されるステップを、さらに含んでいる、請求項1〜33のいずれか1つに記載の方法。
  35. 誤り訂正処理が遂行される前記ステップは、前記数値列および中の対応し合う数値 との間で、前記誤り訂正処理は、前記第1当事者および第2当事者によって遂行されるステップを含んでおり、前記誤り訂正処理は、あらかじめ定められた量までの誤りを訂正することが可能である、請求項34に記載の方法。
  36. 前記誤り訂正処理は、誤り数が、前記あらかじめ定められた量以下である場合には、対応し合う前記数値 との間のいかなる誤りも訂正し、誤り数が、前記あらかじめ定められた量を超過している場合には、対応し合う前記数値 との間の誤りを増加させるようになっている、請求項35に記載の方法。
  37. 前記あらかじめ定められた量はqビットである、請求項36に記載の方法。
  38. 前記誤り訂正処理は、
    前記第1当事者および第2当事者のうちの一方の当事者に対応する数値列中の数値 に基づく誤り訂正情報が、該一方の当事者によって生成されるサブステップと、該誤り訂正情報が、前記第1当事者および第2当事者のうちの他方の当事者に送信されるサブステップと、
    前記誤り訂正情報が、前記他方の当事者によって、前記他方の当事者に対応する数値列中の、前記数値 に対応する数値 に適用されるサブステップとが、
    前記対応し合う数値 および から成る数値対の各々に対して遂行されるステップを含んでいる、請求項34〜37のいずれか1つに記載の方法。
  39. 前記誤り訂正情報は、系統誤差訂正符号の誤差訂正ビットを含んでいる、請求項38に記載の方法。
  40. 前記誤り訂正情報は、BCH符号のパリティビットを含んでいる、請求項38または39に記載の方法。
  41. 前記誤り訂正情報は、前記誤り訂正情報の基になっている数値より少ないビットしか含んでいない、請求項38〜40のいずれか1つに記載の方法。
  42. 前記数値列および中の各数値 および において、あらかじめ定められた1つ以上のビット位置のビットが保持され続け、残りのビットが破棄されるステップを、さらに含んでいる、請求項1〜41のいずれか1つに記載の方法。
  43. 相関性が最も低い側の1つ以上のビット、または相関性が最も高い側の1つ以上のビットが、保持され続けるステップを含んでいる、請求項42に記載の方法。
  44. 最下位ビット側のp個のビットだけ、または最上位ビット側のp個のビットだけが、保持され続けるステップを含んでいる、請求項42または43に記載の方法。
  45. 保持され続けたビットを有する数値 を用いて、前記データ一致処理が繰り返されるステップを、さらに含んでいる、請求項42〜44のいずれか1つに記載の方法。
  46. 前記数値列および中の各数値 および を、該数値 および から導出されるパリティ値で置き換えるステップを、さらに含んでいる、請求項45に記載の方法。
  47. 新しい数値 を形成するために、前記数値列およびの各々のパリティビットを、一連の、pビットの集まりに分割するステップと、
    請求項42〜46のいずれか1つに記載のステップを繰り返すステップとを、
    さらに含んでいる、請求項46に記載の方法。
  48. 前記共有秘密情報から秘密鍵を生成するステップを、さらに含んでいる、請求項1〜47のいずれか1つに記載の方法。
  49. 前記共有秘密情報は、金融取引において用いられる、請求項1〜48のいずれか1つに記載の方法。
  50. 第1当事者および第2当事者が共有秘密情報を得ることを可能にするための、該第1当事者に対する方法であって、
    Xは、1つの数値列であり、Nは、前記第1当事者にかかわるランダム列であるとしたときに、数値列A=X+Nが、前記第1当事者によって得られるステップと、
    Bは、前記第2当事者によって得られる数値列B=X+Nであり、Nは、前記第2当事者にかかわるランダム列であり、およびは、それぞれ前記数値列AおよびBに等しい、または前記数値列AおよびBから導出されるか、または前記数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、前記第1当事者と第2当事者との間のメッセージの交換によって、前記数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理が、前記第1当事者によって遂行されるステップとを含む方法において、
    前記共有秘密情報は、前記数値列および中の前記一致し合う数値に等しいか、または前記一致し合う数値から導出されるか、または前記一致し合う数値を用いて導出される方法。
  51. 第1当事者および第2当事者が共有秘密情報を得ることを可能にするための、該第2当事者に対する方法であって、
    Xは、1つの数値列であり、Nは、前記第2当事者にかかわるランダム列であるとしたときに、数値列B=X+Nが、前記第2当事者によって得られるステップと、
    Aは、前記第1当事者によって得られる数値列A=X+Nであり、Nは、前記第1当事者にかかわるランダム列であり、およびは、それぞれ前記数値列AおよびBに等しい、または前記数値列AおよびBから導出されるか、または前記数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、前記第1当事者と第2当事者との間のメッセージの交換によって、前記数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理が、前記第2当事者によって遂行されるステップとを含んでいる方法において、
    前記共有秘密情報は、前記数値列および中の前記一致し合う数値に等しいか、または前記一致し合う数値から導出されるか、または前記一致し合う数値を用いて導出される方法。
  52. 実行されたときに、請求項1〜51のいずれか1つに記載の方法を実施するように構成されている命令を含んでいるコンピュータプログラム。
  53. 実行されたときに、第1当事者および第2当事者が共有秘密情報を得ることを可能にするための、該第1当事者に対する方法を実施するように構成されている命令を含んでいるコンピュータプログラムであって、この方法は、Xが、1つの数値列であり、Nが、前記第1当事者にかかわるランダム列であるとしたときに、数値列A=X+Nは、前記第1当事者によって得られるステップと、Bは、前記第2当事者によって得られる数値列B=X+Nであり、Nは、前記第2当事者にかかわるランダム列であり、およびは、それぞれ前記数値列AおよびBと等しいか、または前記数値列AおよびBから導出されるか、または前記数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、前記第1当事者と第2当事者との間のメッセージの交換によって、前記数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理が、前記第1当事者によって遂行されるステップとを含んでいるコンピュータプログラムにおいて、前記共有秘密情報は、前記数値列および中の前記一致し合う数値と等しいか、または前記一致し合う数値から導出されるか、または前記一致し合う数値を用いて導出されるコンピュータプログラム。
  54. 請求項52または53に記載のコンピュータプログラムを記憶している、コンピュータ可読の記憶装置。
  55. 請求項1〜51のいずれか1つに記載の方法を実施するための装置。
  56. 第1当事者および第2当事者が共有秘密情報を得ることを可能にするための装置であって、
    Xは、1つの数値列であり、Nは、前記第1当事者にかかわるランダム列であるとしたときに、数値列A=X+Nを、前記第1当事者が得るためのユニットと、
    Bは、前記第2当事者によって得られる数値列B=X+Nであり、Nは、前記第2当事者にかかわるランダム列であり、およびは、それぞれ前記数値列AおよびBに等しいか、または前記数値列AおよびBから導出されるか、または前記数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、前記第1当事者と第2当事者との間のメッセージの交換によって、前記数値列および中の対応し合う数値 i、 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理を、前記第1当事者が遂行するためのプロセッサとを備えている装置において、
    前記共有秘密情報は、前記数値列および中の前記一致し合う数値と等しいか、または前記一致し合う数値から導出されるか、または前記一致し合う数値を用いて導出される装置。
  57. 第1当事者および第2当事者が共有秘密情報を得ることを可能にするための装置であって、
    Xは、1つの数値列であり、Nは、前記第2当事者にかかわるランダム列であるとしたときに、数値列B=X+Nを、前記第2当事者が得るためのユニットと、
    Aは、前記第1当事者によって得られる数値列A=X+Nであり、Nは、前記第1当事者にかかわるランダム列であり、およびは、それぞれ前記数値列AおよびBに等しいか、または前記数値列AおよびBから導出されるか、または前記数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、前記第1当事者と第2当事者との間のメッセージの交換によって、前記数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理を、前記第2当事者が遂行するためのプロセッサとを備えている装置において、
    前記共有秘密情報は、前記数値列および中の前記一致し合う数値に等しいか、または前記一致し合う数値から導出されるか、または前記一致し合う数値を用いて導出される装置。
  58. 請求項56または57に記載の装置を備えている衛星。
  59. 第1当事者および第2当事者が共有秘密情報を得ることを可能にするためのシステムであって、
    Xは、1つの数値列であり、Nは、前記第1当事者にかかわるランダム列であるとしたときに、数値列A=X+Nを得るための、前記第1当事者の第1装置と、
    は、前記第2当事者にかかわるランダム列であるとしたときに、数値列B=X+Nを得るための、前記第2当事者の第2装置とを備えているシステムにおいて、
    およびは、それぞれ前記数値列AおよびBに等しいか、または前記数値列AおよびBから導出されるか、または前記数値列AおよびBを用いて導出される、離散数値から成る数値列であるとしたときに、前記第1装置および第2装置は、前記数値列および中の対応し合う数値 および のうちの一致し合う数値から成る数値対を識別するためのデータ一致処理を遂行するように構成されており、
    前記共有秘密情報は、前記数値列および中の前記一致し合う数値に等しいか、または前記一致し合う数値から導出されるか、または前記一致し合う数値を用いて導出されるようになっているシステム。
JP2015513272A 2012-05-23 2013-05-23 安全通信方法 Pending JP2015522998A (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
GBGB1209308.4A GB201209308D0 (en) 2012-05-23 2012-05-23 Secure communication
GB1209308.4 2012-05-23
GB1209286.2 2012-05-23
GBGB1209286.2A GB201209286D0 (en) 2012-05-23 2012-05-23 Secure communication
PCT/GB2013/051361 WO2013175224A1 (en) 2012-05-23 2013-05-23 Secure communication

Publications (2)

Publication Number Publication Date
JP2015522998A true JP2015522998A (ja) 2015-08-06
JP2015522998A5 JP2015522998A5 (ja) 2016-07-21

Family

ID=48534446

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2015513272A Pending JP2015522998A (ja) 2012-05-23 2013-05-23 安全通信方法

Country Status (7)

Country Link
US (1) US10009175B2 (ja)
EP (1) EP2859679B1 (ja)
JP (1) JP2015522998A (ja)
KR (1) KR20150031245A (ja)
CN (1) CN104412538B (ja)
AU (1) AU2013265020B2 (ja)
WO (1) WO2013175224A1 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPWO2019220609A1 (ja) * 2018-05-18 2021-06-10 日本電気株式会社 異常検出装置、異常検出方法及びプログラム
US11149642B2 (en) 2015-12-30 2021-10-19 General Electric Company System and method of reducing post-shutdown engine temperatures

Families Citing this family (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9270448B2 (en) * 2014-03-11 2016-02-23 The Texas A&M University System Encryption key distribution system and method
US10171238B2 (en) 2014-04-09 2019-01-01 The Boeing Company Secure data transmission using quantum communication
US10756891B2 (en) * 2014-04-09 2020-08-25 The Boeing Company Secure data communication
EP3018840B1 (en) * 2014-11-10 2019-10-02 Université de Genève Apparatus and method for QKD quantum communication channel continuous synchronization and alignment
CN104917558B (zh) * 2015-06-19 2018-02-16 电子科技大学 基于波束成形和安全编码联合的无条件安全通信模型建立方法
US20170330233A1 (en) 2016-05-13 2017-11-16 American Express Travel Related Services Company, Inc. Systems and methods for contextual services across platforms based on selectively shared information
CN105721428B (zh) * 2016-01-15 2018-11-16 成都信息工程大学 一种基于五粒子簇态的隐私比较方法
US9747790B1 (en) * 2016-02-12 2017-08-29 King Fahd University Of Petroleum And Minerals Method, device, and computer-readable medium for correcting at least one error in readings of electricity meters
US10333701B2 (en) 2016-02-29 2019-06-25 The Board Of Trustees Of The University Of Illinois Reconfigurable free-space quantum cryptography system
RU2613845C1 (ru) * 2016-04-01 2017-03-21 федеральное государственное казенное военное образовательное учреждение высшего образования "Военная академия связи имени Маршала Советского Союза С.М. Буденного" Министерства обороны Российской Федерации Способ формирования ключа шифрования/дешифрования
CN107347058B (zh) 2016-05-06 2021-07-23 阿里巴巴集团控股有限公司 数据加密方法、数据解密方法、装置及系统
CN107547197A (zh) * 2016-06-28 2018-01-05 成都鼎桥通信技术有限公司 语音帧解密结果的检测方法和装置
US10175949B2 (en) 2016-09-06 2019-01-08 Arizona Board Of Regents Acting For And On Behalf Of Northern Arizona University Data compiler for true random number generation and related methods
EP3301880B1 (en) * 2016-09-29 2019-03-20 Université de Picardie Jules Verne Authentication protocol using a one-time password
CN106789035B (zh) * 2017-01-18 2021-04-27 北京邮电大学 一种用于连续变量量子密钥分发系统中的信噪比自适应数据协调方法
US10432730B1 (en) 2017-01-25 2019-10-01 United States Of America As Represented By The Secretary Of The Air Force Apparatus and method for bus protection
CN108667608B (zh) 2017-03-28 2021-07-27 阿里巴巴集团控股有限公司 数据密钥的保护方法、装置和系统
US10296477B2 (en) 2017-03-30 2019-05-21 United States of America as represented by the Secretary of the AirForce Data bus logger
CN108667773B (zh) 2017-03-30 2021-03-12 阿里巴巴集团控股有限公司 网络防护系统、方法、装置及服务器
CN106850217B (zh) * 2017-04-06 2019-06-14 山西大学 一种实现一维调制连续变量量子密钥分发方法
CN108736981A (zh) 2017-04-19 2018-11-02 阿里巴巴集团控股有限公司 一种无线投屏方法、装置及系统
KR101992959B1 (ko) 2017-06-26 2019-06-26 고려대학교 산학협력단 연속 변수 양자키 분배의 정보 조정을 위한 이진 비트키 추정 방법 및 장치
CN109994115B (zh) 2018-01-03 2023-07-07 阿里巴巴集团控股有限公司 通讯方法及装置、数据处理方法及设备
CN108429616B (zh) * 2018-02-11 2020-10-30 陈柱 一种自有后量子密码分配系统
CN108599942B (zh) * 2018-05-03 2020-11-03 浙江工商大学 不带纠缠的测量-重发半量子隐私比较方法
CN108965344B (zh) * 2018-09-30 2020-12-08 国网江苏省电力有限公司南京供电分公司 一种用于异地数据安全备份的系统及方法
CN109450620B (zh) 2018-10-12 2020-11-10 创新先进技术有限公司 一种移动终端中共享安全应用的方法及移动终端
CN109688141A (zh) * 2018-12-27 2019-04-26 杭州翼兔网络科技有限公司 一种生理参数数据加密传输方法
US11038852B2 (en) 2019-02-08 2021-06-15 Alibaba Group Holding Limited Method and system for preventing data leakage from trusted network to untrusted network
US11137923B2 (en) 2019-07-18 2021-10-05 Alibaba Group Holding Limited Method and system for data reduction in a storage infrastructure to support a high-ration thin-provisioned service
CN110808828B (zh) * 2019-09-26 2022-03-18 中国电子科技集团公司第三十研究所 一种用于量子密钥分发的多矩阵自适应译码装置及方法
GB2587438A (en) * 2019-09-30 2021-03-31 Governing Council Univ Toronto Key generation for use in secured communication
US11429519B2 (en) 2019-12-23 2022-08-30 Alibaba Group Holding Limited System and method for facilitating reduction of latency and mitigation of write amplification in a multi-tenancy storage drive
CN112769561B (zh) * 2020-12-31 2022-10-04 广东国腾量子科技有限公司 一种用于多自由度调制qkd的私钥放大方法及系统
US11991269B1 (en) 2022-11-15 2024-05-21 Quantum Bridge Technologies Inc. System and method for distribution of key generation data in a secure network

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008070636A (ja) * 2006-09-14 2008-03-27 Nippon Telegr & Teleph Corp <Ntt> 相関乱数発生方法および相関乱数発生装置
JP2011520405A (ja) * 2008-05-12 2011-07-14 インターデイジタル パテント ホールディングス インコーポレイテッド 情報理論的に安全な秘密性の生成

Family Cites Families (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US2620981A (en) * 1950-08-30 1952-12-09 Douglas Aircraft Co Inc Converting device
EP0460538B1 (en) * 1990-06-01 1998-03-04 Kabushiki Kaisha Toshiba Cryptographic communication method and cryptographic communication device
US5515438A (en) * 1993-11-24 1996-05-07 International Business Machines Corporation Quantum key distribution using non-orthogonal macroscopic signals
AU2001241972A1 (en) * 2000-03-02 2001-09-12 Tivo, Inc. Conditional access system and method for prevention of replay attacks
KR100327494B1 (ko) 2000-03-24 2002-03-15 윤종용 다중 접근 방식을 이용한 보안 통신 시스템에서의 키 동의방법
US20030063751A1 (en) * 2001-09-20 2003-04-03 Aiden Bruen Key agreement protocol based on network dynamics
US7403623B2 (en) * 2002-07-05 2008-07-22 Universite Libre De Bruxelles High-rate quantum key distribution scheme relying on continuously phase and amplitude-modulated coherent light pulses
JP4290401B2 (ja) * 2002-09-18 2009-07-08 三菱電機株式会社 量子鍵配送方法および通信装置
US7333611B1 (en) * 2002-09-27 2008-02-19 Northwestern University Ultra-secure, ultra-efficient cryptographic system
US7627126B1 (en) * 2002-10-15 2009-12-01 Bbn Technologies Corp. Systems and methods for implementing path length control for quantum cryptographic systems
US7121639B2 (en) * 2002-12-02 2006-10-17 Silverbrook Research Pty Ltd Data rate equalisation to account for relatively different printhead widths
US7284024B1 (en) * 2003-02-07 2007-10-16 Magiq Technologies, Inc. Quantum noise random number generator
US7983422B2 (en) * 2003-07-25 2011-07-19 Hewlett-Packard Development Company, L.P. Quantum cryptography
US7831050B2 (en) 2003-12-04 2010-11-09 Geraldo Alexandre Barbosa Fast multi-photon key distribution scheme secured by quantum noise
JP4124194B2 (ja) * 2004-11-01 2008-07-23 日本電気株式会社 共有情報生成方法およびシステム
US8315387B2 (en) * 2004-11-05 2012-11-20 Nucrypt Llc System and method for data transmission over arbitrary media using physical encryption
FR2879381B1 (fr) * 2004-12-15 2008-12-26 Thales Sa Systeme de distribution quantique de cle de cryptage a variables continues
WO2006078033A1 (ja) * 2005-01-24 2006-07-27 Inter-University Research Institute Corporation / Research Organization of Information and Systems 量子鍵配送方法、通信システムおよび通信装置
CN101288260A (zh) * 2005-01-27 2008-10-15 美商内数位科技公司 使用未由他人分享联合随机衍生秘钥方法及系统
WO2006113541A2 (en) * 2005-04-13 2006-10-26 Northwestern University Streaming implementation of alphaeta physical layer encryption
FR2884663B1 (fr) 2005-04-15 2007-07-13 Sagem Procede de communication entre un lecteur et un marqueur d'indentification sans fil, lecteur et marqueur associes
JP4662040B2 (ja) * 2005-07-08 2011-03-30 日本電気株式会社 通信システムおよびその同期制御方法
JP5384781B2 (ja) * 2005-08-18 2014-01-08 日本電気株式会社 秘匿通信システムおよび共有秘密情報の生成方法
KR100978876B1 (ko) * 2005-12-20 2010-08-31 인터디지탈 테크날러지 코포레이션 결합 랜덤성으로부터 비밀키를 발생하는 방법 및 시스템
EP1841122A1 (en) * 2006-03-31 2007-10-03 Alain Schumacher Encryption method for highest security applications
US7831049B1 (en) * 2006-05-10 2010-11-09 Nucrypt, LLC Enhanced encryption method and system for ultra secure applications
JP5424008B2 (ja) * 2006-12-19 2014-02-26 日本電気株式会社 共有情報の管理方法およびシステム
CN101227270B (zh) * 2007-01-16 2014-11-26 王旭 一种新型密钥建立的方法
KR101455978B1 (ko) * 2007-03-27 2014-11-04 엘지전자 주식회사 Ldpc 부호를 이용한 부호화 방법
JP5074823B2 (ja) 2007-05-29 2012-11-14 パナソニック株式会社 データ送信装置及びデータ受信装置
GB2455283A (en) * 2007-10-31 2009-06-10 Hewlett Packard Development Co Error correction in data communication apparatus using toroidal-web Tanner graph
GB2455496B (en) * 2007-10-31 2012-05-30 Hewlett Packard Development Co Error detection method and apparatus
WO2009093036A2 (en) * 2008-01-25 2009-07-30 Qinetiq Limited Quantum cryptography apparatus
US8503673B2 (en) * 2008-09-11 2013-08-06 University Of Utah Research Foundation Method and system for secret key exchange using wireless link characteristics and random device movement
US8189785B2 (en) * 2008-09-30 2012-05-29 The Mitre Corporation Generating identical numerical sequences utilizing a physical property and secure communication using such sequences
WO2010103628A1 (ja) * 2009-03-11 2010-09-16 株式会社日立製作所 暗号通信システム
US8515058B1 (en) * 2009-11-10 2013-08-20 The Board Of Trustees Of The Leland Stanford Junior University Bootstrappable homomorphic encryption method, computer program and apparatus
GB201001422D0 (en) * 2010-01-29 2010-03-17 Hewlett Packard Development Co Quantum key distribution method and apparatus
US8554814B2 (en) 2010-08-20 2013-10-08 The Governing Council Of The University Of Toronto Random signal generator using quantum noise
US8483387B2 (en) * 2010-12-07 2013-07-09 Mitsubishi Electric Research Laboratories, Inc. Method for generating private keys in wireless networks

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008070636A (ja) * 2006-09-14 2008-03-27 Nippon Telegr & Teleph Corp <Ntt> 相関乱数発生方法および相関乱数発生装置
JP2011520405A (ja) * 2008-05-12 2011-07-14 インターデイジタル パテント ホールディングス インコーポレイテッド 情報理論的に安全な秘密性の生成

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
MURAMATSU, J. ET AL.: "Secret Key Capacity for Optimally Correlated Sources Under Sampling Attack", IEEE TRANSACTIONS ON INFORMATION THEORY, vol. 52, no. 11, JPN6017003533, November 2006 (2006-11-01), pages 5140 - 5151, XP011142474, DOI: doi:10.1109/TIT.2006.883552 *
YOSHIMURA, K. ET AL., SECURE KEY DISTRIBUTION USING CORRELATED RANDOMNESS IN LASERS DRIVEN BY COMMON RANDOM LIGHT, vol. 108, 070602, JPN6017003531, 14 February 2012 (2012-02-14) *
吉村和之 他: "光デバイスにおける相関ランダム現象を用いた秘密鍵配送 Secure key distribution using correlated rando", 電子情報通信学会技術研究報告, vol. 第111巻 第276号, JPN6017003529, 2 November 2011 (2011-11-02), JP, pages 81 - 84 *

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11149642B2 (en) 2015-12-30 2021-10-19 General Electric Company System and method of reducing post-shutdown engine temperatures
JPWO2019220609A1 (ja) * 2018-05-18 2021-06-10 日本電気株式会社 異常検出装置、異常検出方法及びプログラム
JP7014295B2 (ja) 2018-05-18 2022-02-01 日本電気株式会社 異常検出装置、異常検出方法及びプログラム
US11715284B2 (en) 2018-05-18 2023-08-01 Nec Corporation Anomaly detection apparatus, anomaly detection method, and program

Also Published As

Publication number Publication date
WO2013175224A1 (en) 2013-11-28
US20150134947A1 (en) 2015-05-14
AU2013265020A1 (en) 2015-01-22
AU2013265020B2 (en) 2017-10-12
EP2859679B1 (en) 2020-09-02
CN104412538B (zh) 2019-04-09
EP2859679A1 (en) 2015-04-15
KR20150031245A (ko) 2015-03-23
CN104412538A (zh) 2015-03-11
US10009175B2 (en) 2018-06-26

Similar Documents

Publication Publication Date Title
US10009175B2 (en) Secure communication
US8639927B2 (en) Method of user-authenticated quantum key distribution
JP4862159B2 (ja) 量子鍵配送方法、通信システムおよび通信装置
EP1715615B1 (en) Quantum key delivering method and communication device
WO2016145037A1 (en) Methods and apparatuses for authentication in quantum key distribution and/or quantum data communication
KR20060113685A (ko) 물리적 랜덤 함수들을 함께 공유하는 신뢰성 있는 포워드비밀 키의 시스템 및 방법
WO2003058865A1 (en) Decoupling error correction from privacy amplification in quantum key distribution
US20220278834A1 (en) Long-distance quantum key distribution
US20170170953A1 (en) Decoy bits method for direct encryption and key generation
Guan et al. A practical protocol for three-party authenticated quantum key distribution
CN114902605A (zh) 具有增加的安全性的公钥/私钥系统
US9705675B2 (en) Method and system making it possible to test a cryptographic integrity of an error tolerant data item
Dhanush et al. Comparison of Post-Quantum Cryptography Algorithms for Authentication in Quantum Key Distribution Classical Channel
Cederlöf Authentication in quantum key growing
Cheltha An innovative encryption method for images using RSA, honey encryption and inaccuracy tolerant system using Hamming codes
Kulkarni et al. Neural Crypto-Coding Based Approach to Enhance the Security of Images over the Untrusted Cloud Environment. Cryptography 2023, 7, 23
Galambos et al. Tracking cryptographic keys and encrypted data using position verification
Saracino Implementation and experimentation of a practical Quantum Identity Authentication protocol
CN114157418B (zh) 一种基于量子网络的可信数据上链装置及方法
Venkat et al. En-BB84: Advancements in Secure Quantum Key Distribution with Improved Error Resilience and Built-in Authentication
Lin et al. Cryptanalysis and improvement of the measurement-device-independent quantum key distribution with hyper-encoding
CN108880805B (zh) 基于压缩测量涨落的网络密钥分发方法、装置和系统
WO2023096586A2 (en) Quantum key generation method and system
Skoric Quantum readout of physical unclonable functions: Remote authentication without trusted readers and authenticated quantum key exchange without initial shared secrets
JP2023093938A (ja) 暗号鍵共有システム

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160523

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160523

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20161216

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170207

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170426

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20170706

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170807

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20180206