JP3949879B2 - 量子ビットコミットメント送信装置及び量子ビットコミットメント受信装置及び量子ビットコミットメント通信システム - Google Patents
量子ビットコミットメント送信装置及び量子ビットコミットメント受信装置及び量子ビットコミットメント通信システム Download PDFInfo
- Publication number
- JP3949879B2 JP3949879B2 JP2000217041A JP2000217041A JP3949879B2 JP 3949879 B2 JP3949879 B2 JP 3949879B2 JP 2000217041 A JP2000217041 A JP 2000217041A JP 2000217041 A JP2000217041 A JP 2000217041A JP 3949879 B2 JP3949879 B2 JP 3949879B2
- Authority
- JP
- Japan
- Prior art keywords
- generator
- quantum
- random number
- commitment
- qubit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
【0001】
【発明の属する技術分野】
この発明は、量子力学に基づく不確定性原理を利用した量子暗号プロトコルに関するものである。
【0002】
【従来の技術】
量子力学を利用したセキュリティに関する量子暗号プロトコルとしては、鍵配送プロトコルの他に、ビットコミットメントプロトコル、紛失通信プロトコルが提案されている(岡本龍明、山本博資著「現代暗号」pp.293−pp.302産業図書1998年6月30日)。いずれも図1のように量子通信路と古典通信路の2つの通信路を有している。一般に、紛失通信プロトコルを基にしてあらゆるセキュリティに関する2者間プロトコルが構成できることが示されており(J. Kilian, ”Founding Cryptography on Oblivious Transfer,” Proc. 20th Annual ACM Symposium on Theory of Computing, pp.20-pp.31, ACM, Chicago, 1998)、かつ、ビットコミットメントプロトコルに基づく紛失通信プロトコルが提案されている(A. Yao, ”Security of quantum protocols against coherent measurements,” Proc. of the 27th Symposium on the theory of Computing, pp.67-pp.75 June 1995)。従って、量子暗号通信プロトコルとしての紛失通信プロトコル自体の実現、もしくは、量子暗号通信プロトコルとしてのビットコミットメントプロトコルの実現が求められている。
【0003】
ここで、紛失通信とは、送信者Aが通信文mを受信者Bに送るとき、1/2の確率で受信者Bに伝わるが、それが伝わったかどうかを送信者Aは一切知ることができないような通信である(岡本龍明、山本博資著「現代暗号」pp.229産業図書1998年6月30日)。また、ビットコミットメントとは、送信者Aと受信者Bからなる2者間から構成されるプロトコルで、以下に述べる2つのフェーズから構成される:▲1▼コミットメントフェーズ、▲2▼開示フェーズ。▲1▼ビットコミットメントフェーズでは、送信者Aは0,1のいずれか1ビットbをコミットするビットとして選択し、その後受信者Bと交信を行う。▲2▼開示フェーズでは、送信者Aは受信者Bにbを送り受信者Bと交信を行う。最後に受信者Bは当該コミットであるbを受理するか拒絶するかを行う。このプロトコルにおいて以下の2つの条件を満足することが要求される:1つは、コミットメントフェーズにおいて、受信者Bがbの値を正しく求められないこと。2つは、送信者Aがコミットメントフェーズを実行した後の開示フェーズにおいて選択していない方のbの値を開示できないこと(岡本龍明、山本博資著「現代暗号」pp.143産業図書1998年6月30日)。
このような性質を満たす従来から提案されている量子ビットコミットメントプロトコルを実現する構成として、図11のようなシステムがある。このシステムにおいて、送信装置は、乱数生成器、互いに共役な量子生成器、古典通信路送受信装置、データ照合装置からなり、受信装置は、乱数生成器、送信者の有する2つの量子生成器それぞれに対応した2つの量子測定器、古典通信路送受信装置、データ照合装置からなる。
【0004】
次に動作について説明する。
送信者Aが量子通信路を使って送信するキュービット列を生成するにあたり、コミットするビットbを決める。乱数生成器を用いて2つの乱数列を生成する。第1の乱数列はパリティがbと一致するように生成する。また第2の乱数列に対して、その乱数列の値に計算量的な意味で一方向性的な変換を施すことなく当該乱数値を用いて2つの量子生成器の1つを第1の乱数列のビット毎に選択する。選択された量子生成器で第1の乱数列をそのビット毎にキュービットに変換する。つまり、1つの量子生成器あたりビット値0,1に応じて2種類のキュービットが生成される。従って、全体で4種類のキュービットが生成されることになる。変換後のキュービット列は量子通信路を用いて受信者Bに送られる。
このとき、受信者Bを含めあらゆる観測者にとって、完全に上記4つのキュービットを区別できないことが量子力学から保証されている。つまり、あらゆる観測者にとって、測定するときに上記2つの量子生成器に対応する2つの量子測定器のいずれかを選択しなければならないので、その測定器に対応したキュービットしか観測できないのである。このとき、キュービット生成に用いた量子生成器と観測に用いた量子測定器の型が一致していれば、観測者は生成されたキュービットの種類を決定論的に正しく特定できるが、もし、キュービット生成に用いた量子生成器と観測に用いた量子測定器の型が一致していなければ、観測者は生成されたキュービットの種類を確率1/2でしか推定できないのである。かつ、一回でも観測することにより、観測されたキュービットは観測に用いた測定器に従い変化してしまうので、繰り返し測定を行うことで正しい種類を特定することも不可能である。
【0005】
受信者Bはキュービット列を受信すると即座に2つの量子測定器のいずれかを受信装置にある乱数生成器で生成した乱数を用いて選択し、キュービット毎にキュービット列を測定し記録しておく。この測定結果とは、キュービット毎に測定した測定器の種別とその選択した測定器を用いてキュービットを測定した結果に基づき復号されたビット値の対である。この時点で受信者Bは測定に用いた量子測定器のどれが正しく測定されたキュービットの生成に用いられた量子生成器に対応するか未知なので、bを特定できない。
開示フェーズに、送信者Aがbと2つの乱数列を古典通信路をもちいて開示すると、受信者Bは開示された乱数列と測定結果のデータ照合をおこなう。送信者Aが生成した2の乱数列と受信者Bが生成した乱数列の照合を行い、その各ビットに対してビット値が一致した部分に対応した送信者Aが生成した1の乱数列を抽出し、同様に受信者Bがキュービットを測定してえた復号結果を抽出する。
この2つの抽出されたビット列が全く一致していれば、受信者Bは送信者Aが正しい2つの乱数列を開示したと判断できる。正しい乱数列を開示した判断した受信者Bは、送信者Aが開示したbと第1の乱数列のパリティを比較し、一致すれば、このビットコミットメントを受理するのである。この開示フェーズにおいて、送信者Aは受信者Bがどの量子測定器を用い、どのような測定とそれに伴う復号結果を得たか未知なので、開示するbと2つの乱数列を都合よく改ざんすることはできない。
【0006】
【発明が解決しようとする課題】
任意のセキュアな2者間プロトコルを構成するためには紛失通信プロトコルを構成すればよく、そのための1つの手段として量子ビットコミットメントプロトコルを構成すればよい。しかし、従来の量子ビットコミットメントプロトコルは、受信者Bがコミットメントフェーズにおいて送信されてきたキュービット列を測定することを前提としているが、受信者Bがキュービット列を測定しないで貯えておくという不正を働くことが可能である。この場合、受信者Bは送信者Aがどのような量子生成器を使ったかを、すなわち、送信者生成の2の乱数列を、何らかの手段を用いて知ることができれば、この情報を基に貯えておいたキュービット列の全てを正しく測定でき、正しく送信者生成の1の乱数列を復号できるので、開示フェーズを待たずに受信者Bはbの値を知ることができてしまうという課題がある。つまり、送信者Aはbだけでなくキュービット列生成に使用した乱数列も開示フェーズまで安全に秘匿しなければならない。
また、従来の量子ビットコミットメントプロトコルでは、送信者Aが送信するキュービット列の各キュービットは他の系と相関のない全く独立した状態であることを前提としているが、送信者Aはエンタングル状態と呼ばれる相関のある2粒子状態の一方の粒子をキュービットとして送信するという不正を働くことが可能である。この場合、送信者Aは残された相関のあるもう一方の粒子を貯えておく。受信者Bがキュービットを測定すると、測定結果に応じて送信者Aが貯えた粒子の状態が相関により定まるので、送信者はこの貯えられた粒子の状態を測定することで、受信者Bの測定結果を推定できてしまう。従って、送信者Aはこの推定結果に整合する範囲で、bと2つの乱数列を容易に選択できる。つまり、送信者Aはビットコミットメントフェーズが終了後に任意にbの値を選択できるという課題がある。(D. Mayers, ”Unconditionally secure quantum bit commitment is impossible,” Phys. Rev. Let., vol.78, pp.3414-3417, 1997).
【0007】
この発明は上記のような課題を解決するためになされたもので、受信者が開示フェーズの前にコミットしたビット値を推定できず、かつ、送信者がコミットメントフェーズ以後にコミットしたビット値を変更できないという意味で安全なビットコミットメントプロトコルを得ることを目的とする。
【0008】
【課題を解決するための手段】
この発明に係る量子ビットコミットメント送信装置は、2つの異なる量子生成器と乱数発生器とにより、コミットするデータを含むデータを量子通信路と古典通信路とを用いて伝送する構成において、
入力数列から一方向性関数を得る一方向性関数発生手段と、応答時間を規制する時計とを備えて、
一方向性関数発生手段の入力数列を乱数発生器から得て、一方向性関数発生手段の出力を少なくとも量子生成器に与えるようにし、かつ受信先からの受信応答である測定結果の受付を時計が指定する時間内に限定した。
【0009】
また更に、異なる2つの一方向性関数発生手段を設けて、1つは古典通信路を用いて伝送するようにした。
【0010】
また更に、他の一方向性関数発生手段を設けて、この他の一方向性関数発生手段出力がコミットするデータを生成するようにした。
【0011】
また更に、コミットするデータを順次定めたデータ列を一方向性関数発生手段の入力数列とした。
【0012】
この発明に係る量子ビットコミットメント受信装置は、2つの異なる量子生成器と乱数発生器とにより、コミットするデータを含むデータを量子通信路と古典通信路とを用いて伝送する構成において、
入力数列から一方向性関数を得る一方向性関数発生手段と、応答時間を規制する時計とを備えて、
一方向性関数発生手段は、送信装置に対応した一方向性関数発生手段とし、開示フェーズにおける受信データを入力数列として、かつ出力を先に受信した結果と比較し、かつ送信元への受信応答である測定結果の送信を時計が指定する時間内に限定した。
【0013】
この発明に係る量子ビットコミットメント通信システムは、2つの異なる量子生成器と乱数発生器とにより、コミットするデータを含むデータを量子通信路と古典通信路とを用いて伝送する構成において、
送信装置と受信装置は、入力数列から一方向性関数を得る一方向性関数発生手段と、応答時間を規制する時計とを備えて、
送信装置は、一方向性関数発生手段の入力数列を乱数発生器から得て、一方向性関数発生手段の出力を少なくとも量子生成器に与えるようにし、かつ受信先からの受信応答である測定結果の受付を時計が指定する時間内に限定し、
受信装置は、一方向性関数発生手段を送信装置に対応した構成とし、開示フェーズにおける受信データを入力数列として、出力を先に受信した結果と比較し、かつ送信元への受信応答である測定結果の送信を時計が指定する時間内に限定した。
【0014】
【発明の実施の形態】
実施の形態1.
図1はこの発明の一実施の形態を示す全体構成図である。
図1において、1は送信者側の量子通信および古典通信が可能な送信装置、2は受信者側の量子通信および古典通信が可能な受信装置、3は送信装置1と受信装置2をつなぐ量子通信路、4は送信装置1と受信装置2をつなぐ古典通信路である。図2は図1で構成される通信系において安全なビットコミットメントプロトコルを実現するための送信装置1、受信装置2の一構成を示す。図2において5は乱数生成器、6は時計、7は式(1)に示す一方向性関数を生成する一方向性関数f生成器、8は式(2)に示す一方向性関数を生成する一方向性関数h生成器である。
f(・), (1)
h(・)(∈{0,1}k), (2)
また、互いに共役な物理量からなる9は+系の量子生成器、10は×系の量子生成器)、11は古典通信路送受信装置、12はデータ照合装置、13は乱数生成器、14は時計6と同期した時計、15は一方向性関数7と同じ一方向性関数f生成器、16は一方向性関数8と同じ一方向性関数h生成器、17は+系量子生成器9に対応した量子測定器、18は×系量子生成器10に対応した量子測定器、19は古典通信路送受信装置、20はデータ照合装置である。
【0015】
量子状態として、本発明において互いに共役な物理量を有する任意の量子を用いることが可能である。具体的な一例として量子として光子を用いる場合、量子状態として偏光状態を用いることができる。偏光状態として1つの直線偏光を0度偏光と定義したとき、これと垂直な直線偏光を90度偏光とし、この2つの状態対を+系量子状態と定義する。このとき、互いに共役な量子状態として、45度傾いた直線偏光と135度傾いた直線偏光の2つの量子状態対を×系量子状態として定義される。このとき、量子生成器としては、互いに45度傾いた2つの偏光ビームスプリッタ、レーザ光源から構成できる。量子測定器としては、偏光ビームスプリッタと光子検出器から構成できる。
量子通信路としては光ファイバーを用いる、または、空間そのものを用いることも可能である。このとき、+系量子生成器で生成された0度偏光の光子と90度偏光の光子を+系量子測定器で測定すると、正しく、0度偏光の光子と90度偏光の光子を識別できるが、×系量子測定器で測定すると、それぞれ45度偏光の光子か135度偏光の光子として確率1/2で測定されてしまい、元の状態が0度偏光の光子、もしくは、90度偏光の光子であったかは全く区別できない。これは、×系量子生成器で生成された45度偏光の光子、135度偏光の光子に関しても全く同様のことが成り立つ。なお、一度測定器を通した光子はその測定器に適合した状態に波束の収縮を起こしてしまい、測定器に入射する前の状態は壊れてしまっているので、測定を繰り返すことで元の状態を推定することは不可能である。
【0016】
次に動作について説明する。
まず送信者Aはコミットすべきビットを選択する。次に、乱数生成器5により2つの乱数が生成される。第1の乱数列は次の値(3)で与えられ、
c(ビット長はk) (3)
値(3)は、そのパリティが選択されたコミットビットである次式の式(4)
b∈{0、1} (4)
になることを満たすまで生成を繰り返す。
第2の乱数列は次の式(5)で与えられ、
r(ビット長はm) (5)
この式(5)は、その一方向性関数h生成器8によりビット列が次式(6)の形に変換される。
hi(r): i=1,...,k (6)
ここで一方向性関数h生成器8の出力結果である式(6)のビット列から容易に入力した式(5)の乱数列が導出できない性質を利用して、後続する開示フェーズにおいて送信者Aが式(6)のビット列と整合性を保った偽の乱数列の式(5)を開示することを防ぐことができる。
【0017】
このためには、式(2)の一方向性関数の1例として、既存のハッシュ関数SHA−1やMD5を単体で、もしくは出力ビット長に適合するように複数組合わせて用いることも可能である。
次に、この第1の乱数列cからビット毎にキュービットを生成するにあたり、次の値(7)のi番目のビット
ci (i=1,...,k) (7)
に対して用いる量子生成器は、式(6)で与えられたビットが次式(8)を満たすなら+系量子生成器9を用い、式(7)のビット値が0であれば0度偏光の光子を生成し、1であれば90度偏光の光子を生成する。
hi(r)=0 (8)
また逆に式(6)のビットが式(9)になるなら×系量子生成器10を用い、式(7)のビット値が0であれば45度偏光の光子を生成し、1であれば135度偏光の光子を生成する。
hi(r)=1 (9)
【0018】
生成されたキュービットは量子通信路3により受信装置2に伝送される。このとき、古典通信路4を用いて、一方向性関数f生成器7により乱数列rを変換した値で次式(10)も受信装置2に伝送される。この伝送した時点より時計6を用いて計時が始まる。ここで一方向性関数f生成器7の出力結果である式(10)から容易に入力した乱数列の式(5)が導出できないで、かつ、同じ出力の式(10)をもつ式(2)と異なる乱数列を導出できない性質を利用する。
即ち、1つは受信者Bが式(10)から乱数列の式(2)を導出し、全てのキュービット列を正しく測定することでコミットされた式(4)のビットを開示フェーズを待たずに特定することを防ぐことができる。2つは後続する開示フェーズにおいて送信者Aが式(10)と整合性を保った偽の式(5)の乱数列を開示することを防ぐことができる。このためには、式(2)の一方向性関数の1例として、既存のハッシュ関数SHA−1やMD5を単体で、もしくは出力ビット長に適合するように複数組合わせて用いてもよい。
x=f(r) (10)
【0019】
一方、受信装置では、乱数生成器13を用いて乱数列を生成し、その各ビットの値に従って伝送されてきたキュービット列を+系量子測定器17で測定するか、×系量子測定器18で測定するかが選択される。キュービット列が届くと、選択されたこれらの量子測定器により各キュービットを測定する。このキュービットが到着したときから時計14を用いて計時を始める。測定終了後、古典通信路送受信装置19を用いて、測定結果と測定に用いた量子測定器の種類を送信装置に送信する。この送信は次の値(11)で示される時限迄に実行しなければならない。
t (11)
これは式(1)の一方向性関数の出力結果から入力乱数列を容易に導出できないのであるが、十分な時間をかければ必ず入力乱数列が導出できるので、一方向性関数h生成器16が出力結果から入力乱数列を導出するのに要する時間より短い時間で受信者にキュービットの測定を強いるのである。つまり、この制限時間内であれば受信者Bは式(5)の入力乱数列を知ることが不可能であり、キュービット列の全てを正しく測定することができないことが保証される。さらに一度測定したキュービット列は元の状態が破壊されているので、たとえ後で式(5)の乱数列が導出できても、もはや式(3)の乱数列およびコミットされた式(4)のビットを受信者Bが特定することは不可能である。
【0020】
送信装置では、受信装置から次の値(12)の回答時間が値(11)の時限以内であることを確認すると、受信装置からの回答にある測定結果のうち、正しい測定器を用いている測定結果の整合性をデータ照合装置12を用いて確認する。
t’ (12)
これにより、送信者Aは受信者Bがキュービット列の測定を制限時間内に実行したことを確認できる。
正しい測定器を用いてキュービットを測定した測定結果と送信者の保持する値(7)のビットとの整合性が確認された場合、もはや、送信者Aは受信者Bが送信したキュービット列を測定により破壊したこと、いいかえると、受信者Bが開示フェーズになるまでコミットされた式(4)のビットを特定できないことを確認できる。また、整合性が確認されないときは、送信者Aは受信者Bが不正を行ったと判断し当該プロトコルを破棄する。
開示フェーズにおいて送信装置1は古典通信路4を用いて、式(4)、(5)、(6)のデータを受信装置2に開示する。受信装置2はデータ照合装置20を用いて送られた開示データと測定結果の照合を行う。ここで、まず開示された式(5)の乱数列rの正しさが一方向性関数f生成器15による式(1)と、コミットメントフェーズで送信者Aより受信者Bに伝送された式(10)を用いて確認される。
【0021】
次に、開示された式(5)の乱数列rと一方向性関数h生成器16による式(2)を用いて導出された式(6)のビット列から正しい測定器を用いた測定結果をピックアップし、開示された値(3)の対応するビットと比較照合する。この結果が一致すれば、開示された値(3)が正しいと確認される。最後に開示された値(3)のパリティと開示された式(4)のコミットビットが一致すれば、受信者Bは当該プロトコルを受理する。
逆に、上記3つの開示されたデータ、式(4)、値(3)、式(5)のいずれか1つでも正しく確認されなければ、受信者Bは当該プロトコルを破棄する。ここで、送信者がたとえエンタングル状態のような相関のあるキュービットを用いて、受信者Bの測定結果を開示フェーズの前に知ることが出来ても、上記のような開示データの整合性チェックを免れるようなデータを捏造することは、式(1)と式(2)の2つの一方向性関数の出力結果から、その結果に対応した都合の良い入力乱数列を見出すことは非常に困難であって事実上不可能に等しい。
以上のプロトコルの流れを図3に記す。
【0022】
以上のように、互いに共役な2つの量子生成器を選択するにあたり、開示する乱数を直接用いるのではなく計算量的な意味での一方向性関数で変換したのち用いるようにしているので、送信者がエンタングル状態のような特殊な量子状態を用いて不正を働き、受信者の測定結果を知ることが出来ても、一方向性関数の出力とうまく整合するように開示フェーズにおけるデータを改ざんできないので、送信者がコミットするビットを開示フェーズにおいて改ざんするような攻撃を無効にすることができる。
また、時限を設けて受信者は測定結果を送信者に報告しなければならないので、一方向性関数を破るのに必要な時間よりも短く当該時限を設定し、伝送されたキュービット列の元の状態を壊すことを強要することにより受信者が開示フェーズ前にコミットするビットの内容を解読するという不正を防ぐことができる。
【0023】
実施の形態2.
実施の形態1では、生成した乱数を直接キュービットに変換するようにした構成であるが、ここでは生成した乱数に一方向性関数を用いた変換を経てキュービットに変換する実施の形態を示す。
図4は、図1で構成される通信系において他の安全なビットコミットメントプロトコルを実現するための送信装置1b、受信装置2bの構成を示す図である。図4において7bは式(13)の一方向性関数を生成する一方向関数f生成器、24は式(14)の一方向性関数を生成する一方向性関数g生成器、8bは式(14)の一方向性関数を生成する一方向性関数h生成器である。
f(・)(∈{0,1}n) (13)
g(・)(∈{0,1}n) (14)
h(・)(∈{0,1}) (15)
その他の互いに共役な物理量を生成する+系量子生成器9、×系量子生成器10、古典通信路送受信装置11、データ照合装置12、乱数生成器15、時計6は図2の同番号要素と同様のものである。15bは一方向性関数f生成器7bと同じ一方向性関数f生成器、33は一方向性関数24と同じ一方向性関数g生成器、16bは一方向性関数h生成器8bと同じ一方向性関数h生成器である。その他の要素は図2の構成における同番号の構成要素と同等のものである。
【0024】
次に動作について説明する。
まず送信者Aはコミットするビットを選択する。次に、乱数生成器5により2つの乱数が生成される。第1の乱数列は次の値(16)で与えられ、値(16)は、その一方向性関数h生成器8による次の値(17)が選択されたコミットビットである式(18)になることを満たすまで生成を繰り返す。
r(ビット長はm) (16)
h(r) (17)
b∈{0、1} (18)
ここで、式(15)の一方向性関数を用いることで、その出力結果である式(18)を満足するような第1の乱数列(16)の条件がパリティビットを用いることよりもはるかに厳しくなるので、送信者Aが開示フェーズにおいて偽の式(16)を開示することが困難になる。
このための一方向性関数式(15)の1例として、既存のハッシュ関数SHA−1やMD5を使い、その出力ビット列のMSBを式(15)の出力として用いてもよい。
満足するrが生成されると一方向性関数f生成器7bによりビット列が次式(19)に変換される。ここで、一方向性関数(13)の出力結果である式(19)から容易に入力した乱数列(16)を導出できず、かつ、同じ出力結果(19)を持つ値(16)と異なる乱数列を導出できない性質を利用して、開示フェーズにおいて、送信者Aによる開示する乱数列(16)の改ざんを防ぐことができる。一方向性関数として、既存のハッシュ関数SHA−1やMD5を単体、もしくは複数組合わせて用いてもよい。
fi(r): i=1,...,n (19)
【0025】
一方第2の乱数列Sは、一方向性関数g生成器24によりビット列が次式(21)に変換される。
s(ビット長はk) (20)
gi(s): i=1,...,n (21)
ここで、一方向性関数(数14)の出力結果である式(21)から容易に入力した乱数列(20)を導出できず、かつ、同じ出力結果(21)を持つ(20)と異なる乱数列を導出できない性質を利用して、開示フェーズにおいて、送信者Aによる開示する乱数列(20)の改ざんを防ぐことができる。一方向性関数として、ハッシュ関数SHA−1やMD5を単体、もしくは複数組み合わせて用いてよい。
式(19)のビット列からビット毎にキュービットを生成するにあたり、値(22で示されるi番目のビットに対して用いる量子生成器は、式(21)で与えられたビットが式(23)ならば+系量子生成器9を用い、ビット値(22)が0であれば0度偏光の光子を生成し、ビット値(22)が1であれば90度偏光の光子を生成する。
逆に式(21)で与えられたビットが式(24)となるならば×系量子生成器10を用い、ビット値(22)が0であれば45度偏光の光子を生成し、ビット値(22)が1であれば135度偏光の光子を生成する。
fi (i=1,...,n) (22)
gi(s)=0 (23)
gi(s)=1 (24)
【0026】
生成されたキュービットは量子通信路3を経由して受信装置2bに伝送される。ここで、送信側では量子生成器の選択のみならず、キュービットに変換されるビット値に関しても値(22)のように、一方向性関数f生成器7bを通して決定されているので、実施の形態1と異なり、コミットメントフェーズにおいてキュービット列のみを伝送すればよい。言い換えると、式(13)の一方向性により、送信者が値(22)を改ざんしても、それに対応して値(16)を改ざんすることが困難である。
この伝送した時点より時計6を用いて計時が始まる。
一方、受信装置2bでは、乱数生成器13を用いて乱数列を生成し、その各ビットの値に従って伝送されてきたキュービット列を+系量子測定器17で測定するか、×系量子測定器18で測定するかが選択される。キュービット列が届くと、選択された量子測定器により各キュービットを測定する。このキュービットが到着したときから時計14を用いて計時を始める。測定終了後、古典通信路送受信装置19を用いて、測定結果と測定に用いた量子測定器の種類を送信装置1bに送信する。この送信は時限値(25)
迄に実行しなければならない。
t (25)
これは一方向性関数g生成器24の出力結果である式(14)から入力乱数列を容易には導出できないのであるが、十分な時間をかければ必ず入力乱数列が導出できる。従って、一方向性関数g発生器33の出力結果から入力乱数列を導出するのに要する時間より短い時間で受信者にキュービットの測定を強いる。つまり、この制限時間内であれば受信者Bは入力乱数列の値(20)を知ることが不可能であり、キュービット列の値(20)の全てを正しく測定することができないことが保証される。さらに一度測定したキュービット列は元の状態が破壊されているので、たとえ後で乱数列(20)が導出できても、もはやコミットされたビットである式(18)を受信者Bが特定することは不可能である。
【0027】
送信装置1bでは、受信装置2bからの回答時間が時限値(26)以内であることを確認すると、受信装置からの回答にある測定結果のうち、正しい測定器を用いている測定結果の整合性をデータ照合装置12を用いて確認する。
t’ (26)
これにより、送信者Aは受信者Bがキュービット列の測定を制限時間内に実行した有無を確認できる。
正しい測定器を用いてキュービットを測定した測定結果と送信者の保持する式(19)のビット、式(21)のビットとの整合性が確認されると、受信者Bが開示フェーズになるまでコミットされた式(18)のビットが特定できないことが確認できる。また、整合性が確認されないときは、送信者Aは受信者Bが不正を行ったと判断し当該プロトコルを破棄する。
整合性が確認された場合、開示フェーズにおいて送信装置は古典通信路4を用いて、式(18)、値(20)、値(16)で示される、b、s、rのデータを受信装置2bに開示する。受信装置はデータ照合装置20を用いて開示データと測定結果の照合を行う。ここで、開示された乱数列(20)sと一方向性関数g生成器33を用いて導出されたビット列(21)から正しい測定器を用いた測定結果をピックアップし、開示された乱数列(16)rと一方向性関数f生成器15bを用いて導出されたビット列(19)の対応するビットと比較照合する。この結果が一致すれば、開示された値(16)、式(18)が正しいと確認される。
【0028】
最後に開示された値(16)rと一方向性関数h生成器16bを用いて導出されたビット(17)と、開示されたコミットビット(18)が一致すれば、受信者Bは当該プロトコルを受理する。逆に、上記3つの開示されたデータ式(18)、値(20)、値(16)のいずれか1つでも正しく確認されなければ受信者Bは当該プロトコルを破棄する。
ここで、送信者がたとえエンタングル状態のような相関のあるキュービットを用いて、受信者Bの測定結果を開示フェーズの前に知ることが出来ても、上記のような開示データの整合性チェックを免れるようなデータを捏造することは、3つの一方向性関数(13)、(14)、(15)の値から、その結果に対応した都合の良い入力乱数列を見出すことが非常に困難であるため、事実上不可能に等しい。
以上のプロトコルの流れを図5に記す.
【0029】
実施の形態3.
実施の形態2では、3つの一方向性関数を用いた場合を示したが、ここでは、2つの一方向性関数を用いた変換を経てキュービットに変換する形態を示す。
図6は、図1で構成される通信系において更に他の安全なビットコミットメントプロトコルを実現するための送信装置1c、受信装置2cの構成を示す図である。図6において、7cは式(27)を生成する一方向性関数f生成器である。
f(・)(∈{0,1}2m), (27)
また一方向性関数h生成器8bは次式(28)を生成する。
h(・)(∈{0,1})、 (28)
その他の乱数生成器5、時計6、互いに共役な物理量を生成する+系量子生成器9、×系量子生成器10、古典通信路送受信装置11、データ照合装置12は、図4に示す同番号要素と同等のものである。また、一方向性関数f生成器15cは一方向性関数f生成器7cと同じ、一方向性関数h生成器16bは一方向性関数h生成器8bと同じものである。その他の+系量子生成器9に対応した+系量子測定器17、×系量子生成器10に対応した×系量子測定器18、古典通信路送受信装置19、データ照合装置20は、図4に示す同番号要素と同等のものである。
【0030】
次に動作について説明する。
まず送信者Aはコミットするビットを選択する。次に、乱数生成器5により式(29)の乱数が生成され、その後、一方向性関数h生成器8bによる値次の式(30)が選択された式(31)のコミットビットになることを満たすまで生成を繰り返す。
r(ビット長はl) (29)
h(r) (30)
b∈{0、1} (31)
ここで、式(28)を与える一方向性関数h生成器8bを用いることで、その出力結果である(31)を満足するような乱数列(29)の条件がパリティビットを用いることよりもはるかに厳しくなるので、送信者Aが開示フェーズにおいて偽のrである値(29)を開示することが困難になる。
満足するrが生成されると一方向性関数f生成器7cにより式(32)のビット列に変換される。
fi(r): i=1,...,2n (32)
ここで、一方向性関数f生成器7cの出力結果である式(32)から容易に入力した乱数列(29)を導出できず、かつ、同じ出力結果式(32)を持つ式(29)と異なる乱数列を導出できない性質を利用して、開示フェーズにおいて、送信者Aによる開示する乱数列(29)の改ざんを防ぐことができる。
【0031】
式(32)のビット列からビット毎にキュービットを生成するにあたり、i番目のビット値(33)に対して用いる量子生成器は、同じ式(32)で与えられたビットが式(34)となるなら、+系量子生成器9を用い、ビット値(33)が0であれば0度偏光の光子を、1であれば90度偏光の光子を生成する。
fi (r)(i=1,...,n) (33)
fn+i(r)=0 (34)
逆に式(32)で与えられたビットが次式(35)となるなら、×系量子生成器10を用い、ビット値(33)が0であれば45度偏光の光子を、1であれば135度偏光の光子を生成する。
fn+i(r)=1 (35)
生成されたキュービットは量子通信路3を経由して受信装置2cに伝送される。この伝送した時点より時計6による計時が始まる。
【0032】
一方、受信装置2cでは、乱数生成器13を用いて乱数列を生成し、その各ビットの値に従って伝送されてきたキュービット列を+系量子測定器17で測定するか、×系量子測定器18で測定するかが選択される。キュービット列が届くと、選択された量子測定器により各キュービットを測定する。このキュービットが到着したときから時計14を用いて計時を始める。測定終了後、古典通信路送受信装置19を用いて、測定結果と測定に用いた量子測定器の種類を送信装置に送信する。この送信は時限値(36)迄に実行しなければならない。
t (36)
これは一方向性関数f生成器7cの出力結果である式(27)から入力乱数列を容易には導出できないが、十分な時間をかければ必ず入力乱数列を導出できることを防ぐために行う。即ち、一方向性関数(27)の出力結果から入力乱数列を導出するのに要する時間より短い時間で受信者にキュービットの測定を強いる。つまり、この制限時間内であれば受信者Bはキュービット列の全てを正しく測定することができない。
【0033】
送信装置1cでは、受信装置2cからの回答時間が時限(37)以内であることを確認すると、受信装置からの回答にある測定結果のうち、正しい測定器を用いている測定結果の整合性をデータ照合装置20を用いて確認する。
t’ (37)
これにより、送信者Aは受信者Bがキュービット列の測定を制限時間内に実行した有無を確認できる。正しい測定器を用いてキュービットを測定した測定結果と送信者の保持する式(32)ビットとの整合性が確認されたると、受信者Bが開示フェーズになるまでコミットされた式(31)のビットが特定できないことが確認できる。また、整合性が確認されないときは、送信者Aは受信者Bが不正を行ったと判断し当該プロトコルを破棄する。
整合性が確認された場合、開示フェーズにおいて送信装置は古典通信路4を用いて、式(31)、式(29)のデータを受信装置2cに開示する。受信装置2cはデータ照合装置20を用いて開示データと測定結果の照合を行う。ここで、開示された乱数列(29)rと一方向性関数f生成器15cを用いて導出されたビット列(32)から正しい測定器を用いた測定結果をピックアップし、対応するビットと比較照合する。この結果が一致すれば、開示された(29)が正しいと確認される。
【0034】
最後に開示された(29)rと一方向性関数h生成器16bを用いて導出されたビット(30)と開示されたコミットビット(31)が一致すれば、受信者Bは当該プロトコルを受理する。逆に、上記2つの開示されたデータ(29)、(31)のいずれか1つでも正しく確認されなければ受信者Bは当該プロトコルを破棄する。
ここで、送信者がたとえエンタングル状態のような相関のあるキュービットを用いて、受信者Bの測定結果を開示フェーズの前に知ることが出来ても、上記のような開示データの整合性チェックを免れるようなデータを捏造することは、2つの一方向性関数(27)、(28)の値から、その結果に対応した都合の良い入力乱数列を見出すことが非常に困難であるため、事実上不可能に等しい。
以上のプロトコルの流れを図7に記す.
【0035】
【発明の効果】
以上のように,この発明におけるはビットコミットメントプロトコルは乱数生成器から生成した乱数を一方向性関数を通して変換後にキュービット生成に使うので,送信者がエンタングルド状態のような特殊な量子状態を用いて不正を働くことを非常に困難にするという効果がある.
また,受信者が測定結果を送信者に時限内に報告しなければならないので受信者が観測を不履行することによる受信者の不正を防ぐことができる.
従って,安全なビットコミットメントプロトコルが構成できるので,安全な紛失通信が実現できる
【図面の簡単な説明】
【図1】 この発明の各実施の形態における全体構成を示すブロック図である。
【図2】 実施の形態1における量子ビットコミットメントプロトコル送信装置と受信装置の内部構成を示す図である。
【図3】 実施の形態1におけるプロトコルの流れ図である。
【図4】 この発明の実施の形態2における量子ビットコミットメントプロトコル送信装置と受信装置の内部構成を示す図である。
【図5】 実施の形態2におけるプロトコルの流れ図である。
【図6】 この発明の実施の形態3における量子ビットコミットメントプロトコル送信装置と受信装置の内部構成を示す図である。
【図7】 実施の形態3におけるプロトコルの流れ図である。
【図8】 従来の量子ビットコミットメントプロトコル送信装置と受信装置の構成図である。
【符号の説明】
1,1b,1c 量子ビットコミットメントプロトコル送信装置、2,2b,2c 量子ビットコミットメントプロトコル受信装置、3 量子通信路、4 古典通信路、5 乱数生成器、6 時計、7,7b,7c 一方向性関数f生成器、8,8b 一方向性関数h生成器、9 +系量子生成器、10 ×系量子生成器、11 古典通信路送受信装置、12 データ照合装置、13 乱数生成器、14 時計、15,15b,15c 一方向性関数f生成器、16,16b 一方向性関数h生成器、17 +系量子測定器、18 ×系量子測定器、19 古典通信路送受信装置、20 データ照合装置、24 一方向性関数g生成器、33 一方向性関数g生成器。
【発明の属する技術分野】
この発明は、量子力学に基づく不確定性原理を利用した量子暗号プロトコルに関するものである。
【0002】
【従来の技術】
量子力学を利用したセキュリティに関する量子暗号プロトコルとしては、鍵配送プロトコルの他に、ビットコミットメントプロトコル、紛失通信プロトコルが提案されている(岡本龍明、山本博資著「現代暗号」pp.293−pp.302産業図書1998年6月30日)。いずれも図1のように量子通信路と古典通信路の2つの通信路を有している。一般に、紛失通信プロトコルを基にしてあらゆるセキュリティに関する2者間プロトコルが構成できることが示されており(J. Kilian, ”Founding Cryptography on Oblivious Transfer,” Proc. 20th Annual ACM Symposium on Theory of Computing, pp.20-pp.31, ACM, Chicago, 1998)、かつ、ビットコミットメントプロトコルに基づく紛失通信プロトコルが提案されている(A. Yao, ”Security of quantum protocols against coherent measurements,” Proc. of the 27th Symposium on the theory of Computing, pp.67-pp.75 June 1995)。従って、量子暗号通信プロトコルとしての紛失通信プロトコル自体の実現、もしくは、量子暗号通信プロトコルとしてのビットコミットメントプロトコルの実現が求められている。
【0003】
ここで、紛失通信とは、送信者Aが通信文mを受信者Bに送るとき、1/2の確率で受信者Bに伝わるが、それが伝わったかどうかを送信者Aは一切知ることができないような通信である(岡本龍明、山本博資著「現代暗号」pp.229産業図書1998年6月30日)。また、ビットコミットメントとは、送信者Aと受信者Bからなる2者間から構成されるプロトコルで、以下に述べる2つのフェーズから構成される:▲1▼コミットメントフェーズ、▲2▼開示フェーズ。▲1▼ビットコミットメントフェーズでは、送信者Aは0,1のいずれか1ビットbをコミットするビットとして選択し、その後受信者Bと交信を行う。▲2▼開示フェーズでは、送信者Aは受信者Bにbを送り受信者Bと交信を行う。最後に受信者Bは当該コミットであるbを受理するか拒絶するかを行う。このプロトコルにおいて以下の2つの条件を満足することが要求される:1つは、コミットメントフェーズにおいて、受信者Bがbの値を正しく求められないこと。2つは、送信者Aがコミットメントフェーズを実行した後の開示フェーズにおいて選択していない方のbの値を開示できないこと(岡本龍明、山本博資著「現代暗号」pp.143産業図書1998年6月30日)。
このような性質を満たす従来から提案されている量子ビットコミットメントプロトコルを実現する構成として、図11のようなシステムがある。このシステムにおいて、送信装置は、乱数生成器、互いに共役な量子生成器、古典通信路送受信装置、データ照合装置からなり、受信装置は、乱数生成器、送信者の有する2つの量子生成器それぞれに対応した2つの量子測定器、古典通信路送受信装置、データ照合装置からなる。
【0004】
次に動作について説明する。
送信者Aが量子通信路を使って送信するキュービット列を生成するにあたり、コミットするビットbを決める。乱数生成器を用いて2つの乱数列を生成する。第1の乱数列はパリティがbと一致するように生成する。また第2の乱数列に対して、その乱数列の値に計算量的な意味で一方向性的な変換を施すことなく当該乱数値を用いて2つの量子生成器の1つを第1の乱数列のビット毎に選択する。選択された量子生成器で第1の乱数列をそのビット毎にキュービットに変換する。つまり、1つの量子生成器あたりビット値0,1に応じて2種類のキュービットが生成される。従って、全体で4種類のキュービットが生成されることになる。変換後のキュービット列は量子通信路を用いて受信者Bに送られる。
このとき、受信者Bを含めあらゆる観測者にとって、完全に上記4つのキュービットを区別できないことが量子力学から保証されている。つまり、あらゆる観測者にとって、測定するときに上記2つの量子生成器に対応する2つの量子測定器のいずれかを選択しなければならないので、その測定器に対応したキュービットしか観測できないのである。このとき、キュービット生成に用いた量子生成器と観測に用いた量子測定器の型が一致していれば、観測者は生成されたキュービットの種類を決定論的に正しく特定できるが、もし、キュービット生成に用いた量子生成器と観測に用いた量子測定器の型が一致していなければ、観測者は生成されたキュービットの種類を確率1/2でしか推定できないのである。かつ、一回でも観測することにより、観測されたキュービットは観測に用いた測定器に従い変化してしまうので、繰り返し測定を行うことで正しい種類を特定することも不可能である。
【0005】
受信者Bはキュービット列を受信すると即座に2つの量子測定器のいずれかを受信装置にある乱数生成器で生成した乱数を用いて選択し、キュービット毎にキュービット列を測定し記録しておく。この測定結果とは、キュービット毎に測定した測定器の種別とその選択した測定器を用いてキュービットを測定した結果に基づき復号されたビット値の対である。この時点で受信者Bは測定に用いた量子測定器のどれが正しく測定されたキュービットの生成に用いられた量子生成器に対応するか未知なので、bを特定できない。
開示フェーズに、送信者Aがbと2つの乱数列を古典通信路をもちいて開示すると、受信者Bは開示された乱数列と測定結果のデータ照合をおこなう。送信者Aが生成した2の乱数列と受信者Bが生成した乱数列の照合を行い、その各ビットに対してビット値が一致した部分に対応した送信者Aが生成した1の乱数列を抽出し、同様に受信者Bがキュービットを測定してえた復号結果を抽出する。
この2つの抽出されたビット列が全く一致していれば、受信者Bは送信者Aが正しい2つの乱数列を開示したと判断できる。正しい乱数列を開示した判断した受信者Bは、送信者Aが開示したbと第1の乱数列のパリティを比較し、一致すれば、このビットコミットメントを受理するのである。この開示フェーズにおいて、送信者Aは受信者Bがどの量子測定器を用い、どのような測定とそれに伴う復号結果を得たか未知なので、開示するbと2つの乱数列を都合よく改ざんすることはできない。
【0006】
【発明が解決しようとする課題】
任意のセキュアな2者間プロトコルを構成するためには紛失通信プロトコルを構成すればよく、そのための1つの手段として量子ビットコミットメントプロトコルを構成すればよい。しかし、従来の量子ビットコミットメントプロトコルは、受信者Bがコミットメントフェーズにおいて送信されてきたキュービット列を測定することを前提としているが、受信者Bがキュービット列を測定しないで貯えておくという不正を働くことが可能である。この場合、受信者Bは送信者Aがどのような量子生成器を使ったかを、すなわち、送信者生成の2の乱数列を、何らかの手段を用いて知ることができれば、この情報を基に貯えておいたキュービット列の全てを正しく測定でき、正しく送信者生成の1の乱数列を復号できるので、開示フェーズを待たずに受信者Bはbの値を知ることができてしまうという課題がある。つまり、送信者Aはbだけでなくキュービット列生成に使用した乱数列も開示フェーズまで安全に秘匿しなければならない。
また、従来の量子ビットコミットメントプロトコルでは、送信者Aが送信するキュービット列の各キュービットは他の系と相関のない全く独立した状態であることを前提としているが、送信者Aはエンタングル状態と呼ばれる相関のある2粒子状態の一方の粒子をキュービットとして送信するという不正を働くことが可能である。この場合、送信者Aは残された相関のあるもう一方の粒子を貯えておく。受信者Bがキュービットを測定すると、測定結果に応じて送信者Aが貯えた粒子の状態が相関により定まるので、送信者はこの貯えられた粒子の状態を測定することで、受信者Bの測定結果を推定できてしまう。従って、送信者Aはこの推定結果に整合する範囲で、bと2つの乱数列を容易に選択できる。つまり、送信者Aはビットコミットメントフェーズが終了後に任意にbの値を選択できるという課題がある。(D. Mayers, ”Unconditionally secure quantum bit commitment is impossible,” Phys. Rev. Let., vol.78, pp.3414-3417, 1997).
【0007】
この発明は上記のような課題を解決するためになされたもので、受信者が開示フェーズの前にコミットしたビット値を推定できず、かつ、送信者がコミットメントフェーズ以後にコミットしたビット値を変更できないという意味で安全なビットコミットメントプロトコルを得ることを目的とする。
【0008】
【課題を解決するための手段】
この発明に係る量子ビットコミットメント送信装置は、2つの異なる量子生成器と乱数発生器とにより、コミットするデータを含むデータを量子通信路と古典通信路とを用いて伝送する構成において、
入力数列から一方向性関数を得る一方向性関数発生手段と、応答時間を規制する時計とを備えて、
一方向性関数発生手段の入力数列を乱数発生器から得て、一方向性関数発生手段の出力を少なくとも量子生成器に与えるようにし、かつ受信先からの受信応答である測定結果の受付を時計が指定する時間内に限定した。
【0009】
また更に、異なる2つの一方向性関数発生手段を設けて、1つは古典通信路を用いて伝送するようにした。
【0010】
また更に、他の一方向性関数発生手段を設けて、この他の一方向性関数発生手段出力がコミットするデータを生成するようにした。
【0011】
また更に、コミットするデータを順次定めたデータ列を一方向性関数発生手段の入力数列とした。
【0012】
この発明に係る量子ビットコミットメント受信装置は、2つの異なる量子生成器と乱数発生器とにより、コミットするデータを含むデータを量子通信路と古典通信路とを用いて伝送する構成において、
入力数列から一方向性関数を得る一方向性関数発生手段と、応答時間を規制する時計とを備えて、
一方向性関数発生手段は、送信装置に対応した一方向性関数発生手段とし、開示フェーズにおける受信データを入力数列として、かつ出力を先に受信した結果と比較し、かつ送信元への受信応答である測定結果の送信を時計が指定する時間内に限定した。
【0013】
この発明に係る量子ビットコミットメント通信システムは、2つの異なる量子生成器と乱数発生器とにより、コミットするデータを含むデータを量子通信路と古典通信路とを用いて伝送する構成において、
送信装置と受信装置は、入力数列から一方向性関数を得る一方向性関数発生手段と、応答時間を規制する時計とを備えて、
送信装置は、一方向性関数発生手段の入力数列を乱数発生器から得て、一方向性関数発生手段の出力を少なくとも量子生成器に与えるようにし、かつ受信先からの受信応答である測定結果の受付を時計が指定する時間内に限定し、
受信装置は、一方向性関数発生手段を送信装置に対応した構成とし、開示フェーズにおける受信データを入力数列として、出力を先に受信した結果と比較し、かつ送信元への受信応答である測定結果の送信を時計が指定する時間内に限定した。
【0014】
【発明の実施の形態】
実施の形態1.
図1はこの発明の一実施の形態を示す全体構成図である。
図1において、1は送信者側の量子通信および古典通信が可能な送信装置、2は受信者側の量子通信および古典通信が可能な受信装置、3は送信装置1と受信装置2をつなぐ量子通信路、4は送信装置1と受信装置2をつなぐ古典通信路である。図2は図1で構成される通信系において安全なビットコミットメントプロトコルを実現するための送信装置1、受信装置2の一構成を示す。図2において5は乱数生成器、6は時計、7は式(1)に示す一方向性関数を生成する一方向性関数f生成器、8は式(2)に示す一方向性関数を生成する一方向性関数h生成器である。
f(・), (1)
h(・)(∈{0,1}k), (2)
また、互いに共役な物理量からなる9は+系の量子生成器、10は×系の量子生成器)、11は古典通信路送受信装置、12はデータ照合装置、13は乱数生成器、14は時計6と同期した時計、15は一方向性関数7と同じ一方向性関数f生成器、16は一方向性関数8と同じ一方向性関数h生成器、17は+系量子生成器9に対応した量子測定器、18は×系量子生成器10に対応した量子測定器、19は古典通信路送受信装置、20はデータ照合装置である。
【0015】
量子状態として、本発明において互いに共役な物理量を有する任意の量子を用いることが可能である。具体的な一例として量子として光子を用いる場合、量子状態として偏光状態を用いることができる。偏光状態として1つの直線偏光を0度偏光と定義したとき、これと垂直な直線偏光を90度偏光とし、この2つの状態対を+系量子状態と定義する。このとき、互いに共役な量子状態として、45度傾いた直線偏光と135度傾いた直線偏光の2つの量子状態対を×系量子状態として定義される。このとき、量子生成器としては、互いに45度傾いた2つの偏光ビームスプリッタ、レーザ光源から構成できる。量子測定器としては、偏光ビームスプリッタと光子検出器から構成できる。
量子通信路としては光ファイバーを用いる、または、空間そのものを用いることも可能である。このとき、+系量子生成器で生成された0度偏光の光子と90度偏光の光子を+系量子測定器で測定すると、正しく、0度偏光の光子と90度偏光の光子を識別できるが、×系量子測定器で測定すると、それぞれ45度偏光の光子か135度偏光の光子として確率1/2で測定されてしまい、元の状態が0度偏光の光子、もしくは、90度偏光の光子であったかは全く区別できない。これは、×系量子生成器で生成された45度偏光の光子、135度偏光の光子に関しても全く同様のことが成り立つ。なお、一度測定器を通した光子はその測定器に適合した状態に波束の収縮を起こしてしまい、測定器に入射する前の状態は壊れてしまっているので、測定を繰り返すことで元の状態を推定することは不可能である。
【0016】
次に動作について説明する。
まず送信者Aはコミットすべきビットを選択する。次に、乱数生成器5により2つの乱数が生成される。第1の乱数列は次の値(3)で与えられ、
c(ビット長はk) (3)
値(3)は、そのパリティが選択されたコミットビットである次式の式(4)
b∈{0、1} (4)
になることを満たすまで生成を繰り返す。
第2の乱数列は次の式(5)で与えられ、
r(ビット長はm) (5)
この式(5)は、その一方向性関数h生成器8によりビット列が次式(6)の形に変換される。
hi(r): i=1,...,k (6)
ここで一方向性関数h生成器8の出力結果である式(6)のビット列から容易に入力した式(5)の乱数列が導出できない性質を利用して、後続する開示フェーズにおいて送信者Aが式(6)のビット列と整合性を保った偽の乱数列の式(5)を開示することを防ぐことができる。
【0017】
このためには、式(2)の一方向性関数の1例として、既存のハッシュ関数SHA−1やMD5を単体で、もしくは出力ビット長に適合するように複数組合わせて用いることも可能である。
次に、この第1の乱数列cからビット毎にキュービットを生成するにあたり、次の値(7)のi番目のビット
ci (i=1,...,k) (7)
に対して用いる量子生成器は、式(6)で与えられたビットが次式(8)を満たすなら+系量子生成器9を用い、式(7)のビット値が0であれば0度偏光の光子を生成し、1であれば90度偏光の光子を生成する。
hi(r)=0 (8)
また逆に式(6)のビットが式(9)になるなら×系量子生成器10を用い、式(7)のビット値が0であれば45度偏光の光子を生成し、1であれば135度偏光の光子を生成する。
hi(r)=1 (9)
【0018】
生成されたキュービットは量子通信路3により受信装置2に伝送される。このとき、古典通信路4を用いて、一方向性関数f生成器7により乱数列rを変換した値で次式(10)も受信装置2に伝送される。この伝送した時点より時計6を用いて計時が始まる。ここで一方向性関数f生成器7の出力結果である式(10)から容易に入力した乱数列の式(5)が導出できないで、かつ、同じ出力の式(10)をもつ式(2)と異なる乱数列を導出できない性質を利用する。
即ち、1つは受信者Bが式(10)から乱数列の式(2)を導出し、全てのキュービット列を正しく測定することでコミットされた式(4)のビットを開示フェーズを待たずに特定することを防ぐことができる。2つは後続する開示フェーズにおいて送信者Aが式(10)と整合性を保った偽の式(5)の乱数列を開示することを防ぐことができる。このためには、式(2)の一方向性関数の1例として、既存のハッシュ関数SHA−1やMD5を単体で、もしくは出力ビット長に適合するように複数組合わせて用いてもよい。
x=f(r) (10)
【0019】
一方、受信装置では、乱数生成器13を用いて乱数列を生成し、その各ビットの値に従って伝送されてきたキュービット列を+系量子測定器17で測定するか、×系量子測定器18で測定するかが選択される。キュービット列が届くと、選択されたこれらの量子測定器により各キュービットを測定する。このキュービットが到着したときから時計14を用いて計時を始める。測定終了後、古典通信路送受信装置19を用いて、測定結果と測定に用いた量子測定器の種類を送信装置に送信する。この送信は次の値(11)で示される時限迄に実行しなければならない。
t (11)
これは式(1)の一方向性関数の出力結果から入力乱数列を容易に導出できないのであるが、十分な時間をかければ必ず入力乱数列が導出できるので、一方向性関数h生成器16が出力結果から入力乱数列を導出するのに要する時間より短い時間で受信者にキュービットの測定を強いるのである。つまり、この制限時間内であれば受信者Bは式(5)の入力乱数列を知ることが不可能であり、キュービット列の全てを正しく測定することができないことが保証される。さらに一度測定したキュービット列は元の状態が破壊されているので、たとえ後で式(5)の乱数列が導出できても、もはや式(3)の乱数列およびコミットされた式(4)のビットを受信者Bが特定することは不可能である。
【0020】
送信装置では、受信装置から次の値(12)の回答時間が値(11)の時限以内であることを確認すると、受信装置からの回答にある測定結果のうち、正しい測定器を用いている測定結果の整合性をデータ照合装置12を用いて確認する。
t’ (12)
これにより、送信者Aは受信者Bがキュービット列の測定を制限時間内に実行したことを確認できる。
正しい測定器を用いてキュービットを測定した測定結果と送信者の保持する値(7)のビットとの整合性が確認された場合、もはや、送信者Aは受信者Bが送信したキュービット列を測定により破壊したこと、いいかえると、受信者Bが開示フェーズになるまでコミットされた式(4)のビットを特定できないことを確認できる。また、整合性が確認されないときは、送信者Aは受信者Bが不正を行ったと判断し当該プロトコルを破棄する。
開示フェーズにおいて送信装置1は古典通信路4を用いて、式(4)、(5)、(6)のデータを受信装置2に開示する。受信装置2はデータ照合装置20を用いて送られた開示データと測定結果の照合を行う。ここで、まず開示された式(5)の乱数列rの正しさが一方向性関数f生成器15による式(1)と、コミットメントフェーズで送信者Aより受信者Bに伝送された式(10)を用いて確認される。
【0021】
次に、開示された式(5)の乱数列rと一方向性関数h生成器16による式(2)を用いて導出された式(6)のビット列から正しい測定器を用いた測定結果をピックアップし、開示された値(3)の対応するビットと比較照合する。この結果が一致すれば、開示された値(3)が正しいと確認される。最後に開示された値(3)のパリティと開示された式(4)のコミットビットが一致すれば、受信者Bは当該プロトコルを受理する。
逆に、上記3つの開示されたデータ、式(4)、値(3)、式(5)のいずれか1つでも正しく確認されなければ、受信者Bは当該プロトコルを破棄する。ここで、送信者がたとえエンタングル状態のような相関のあるキュービットを用いて、受信者Bの測定結果を開示フェーズの前に知ることが出来ても、上記のような開示データの整合性チェックを免れるようなデータを捏造することは、式(1)と式(2)の2つの一方向性関数の出力結果から、その結果に対応した都合の良い入力乱数列を見出すことは非常に困難であって事実上不可能に等しい。
以上のプロトコルの流れを図3に記す。
【0022】
以上のように、互いに共役な2つの量子生成器を選択するにあたり、開示する乱数を直接用いるのではなく計算量的な意味での一方向性関数で変換したのち用いるようにしているので、送信者がエンタングル状態のような特殊な量子状態を用いて不正を働き、受信者の測定結果を知ることが出来ても、一方向性関数の出力とうまく整合するように開示フェーズにおけるデータを改ざんできないので、送信者がコミットするビットを開示フェーズにおいて改ざんするような攻撃を無効にすることができる。
また、時限を設けて受信者は測定結果を送信者に報告しなければならないので、一方向性関数を破るのに必要な時間よりも短く当該時限を設定し、伝送されたキュービット列の元の状態を壊すことを強要することにより受信者が開示フェーズ前にコミットするビットの内容を解読するという不正を防ぐことができる。
【0023】
実施の形態2.
実施の形態1では、生成した乱数を直接キュービットに変換するようにした構成であるが、ここでは生成した乱数に一方向性関数を用いた変換を経てキュービットに変換する実施の形態を示す。
図4は、図1で構成される通信系において他の安全なビットコミットメントプロトコルを実現するための送信装置1b、受信装置2bの構成を示す図である。図4において7bは式(13)の一方向性関数を生成する一方向関数f生成器、24は式(14)の一方向性関数を生成する一方向性関数g生成器、8bは式(14)の一方向性関数を生成する一方向性関数h生成器である。
f(・)(∈{0,1}n) (13)
g(・)(∈{0,1}n) (14)
h(・)(∈{0,1}) (15)
その他の互いに共役な物理量を生成する+系量子生成器9、×系量子生成器10、古典通信路送受信装置11、データ照合装置12、乱数生成器15、時計6は図2の同番号要素と同様のものである。15bは一方向性関数f生成器7bと同じ一方向性関数f生成器、33は一方向性関数24と同じ一方向性関数g生成器、16bは一方向性関数h生成器8bと同じ一方向性関数h生成器である。その他の要素は図2の構成における同番号の構成要素と同等のものである。
【0024】
次に動作について説明する。
まず送信者Aはコミットするビットを選択する。次に、乱数生成器5により2つの乱数が生成される。第1の乱数列は次の値(16)で与えられ、値(16)は、その一方向性関数h生成器8による次の値(17)が選択されたコミットビットである式(18)になることを満たすまで生成を繰り返す。
r(ビット長はm) (16)
h(r) (17)
b∈{0、1} (18)
ここで、式(15)の一方向性関数を用いることで、その出力結果である式(18)を満足するような第1の乱数列(16)の条件がパリティビットを用いることよりもはるかに厳しくなるので、送信者Aが開示フェーズにおいて偽の式(16)を開示することが困難になる。
このための一方向性関数式(15)の1例として、既存のハッシュ関数SHA−1やMD5を使い、その出力ビット列のMSBを式(15)の出力として用いてもよい。
満足するrが生成されると一方向性関数f生成器7bによりビット列が次式(19)に変換される。ここで、一方向性関数(13)の出力結果である式(19)から容易に入力した乱数列(16)を導出できず、かつ、同じ出力結果(19)を持つ値(16)と異なる乱数列を導出できない性質を利用して、開示フェーズにおいて、送信者Aによる開示する乱数列(16)の改ざんを防ぐことができる。一方向性関数として、既存のハッシュ関数SHA−1やMD5を単体、もしくは複数組合わせて用いてもよい。
fi(r): i=1,...,n (19)
【0025】
一方第2の乱数列Sは、一方向性関数g生成器24によりビット列が次式(21)に変換される。
s(ビット長はk) (20)
gi(s): i=1,...,n (21)
ここで、一方向性関数(数14)の出力結果である式(21)から容易に入力した乱数列(20)を導出できず、かつ、同じ出力結果(21)を持つ(20)と異なる乱数列を導出できない性質を利用して、開示フェーズにおいて、送信者Aによる開示する乱数列(20)の改ざんを防ぐことができる。一方向性関数として、ハッシュ関数SHA−1やMD5を単体、もしくは複数組み合わせて用いてよい。
式(19)のビット列からビット毎にキュービットを生成するにあたり、値(22で示されるi番目のビットに対して用いる量子生成器は、式(21)で与えられたビットが式(23)ならば+系量子生成器9を用い、ビット値(22)が0であれば0度偏光の光子を生成し、ビット値(22)が1であれば90度偏光の光子を生成する。
逆に式(21)で与えられたビットが式(24)となるならば×系量子生成器10を用い、ビット値(22)が0であれば45度偏光の光子を生成し、ビット値(22)が1であれば135度偏光の光子を生成する。
fi (i=1,...,n) (22)
gi(s)=0 (23)
gi(s)=1 (24)
【0026】
生成されたキュービットは量子通信路3を経由して受信装置2bに伝送される。ここで、送信側では量子生成器の選択のみならず、キュービットに変換されるビット値に関しても値(22)のように、一方向性関数f生成器7bを通して決定されているので、実施の形態1と異なり、コミットメントフェーズにおいてキュービット列のみを伝送すればよい。言い換えると、式(13)の一方向性により、送信者が値(22)を改ざんしても、それに対応して値(16)を改ざんすることが困難である。
この伝送した時点より時計6を用いて計時が始まる。
一方、受信装置2bでは、乱数生成器13を用いて乱数列を生成し、その各ビットの値に従って伝送されてきたキュービット列を+系量子測定器17で測定するか、×系量子測定器18で測定するかが選択される。キュービット列が届くと、選択された量子測定器により各キュービットを測定する。このキュービットが到着したときから時計14を用いて計時を始める。測定終了後、古典通信路送受信装置19を用いて、測定結果と測定に用いた量子測定器の種類を送信装置1bに送信する。この送信は時限値(25)
迄に実行しなければならない。
t (25)
これは一方向性関数g生成器24の出力結果である式(14)から入力乱数列を容易には導出できないのであるが、十分な時間をかければ必ず入力乱数列が導出できる。従って、一方向性関数g発生器33の出力結果から入力乱数列を導出するのに要する時間より短い時間で受信者にキュービットの測定を強いる。つまり、この制限時間内であれば受信者Bは入力乱数列の値(20)を知ることが不可能であり、キュービット列の値(20)の全てを正しく測定することができないことが保証される。さらに一度測定したキュービット列は元の状態が破壊されているので、たとえ後で乱数列(20)が導出できても、もはやコミットされたビットである式(18)を受信者Bが特定することは不可能である。
【0027】
送信装置1bでは、受信装置2bからの回答時間が時限値(26)以内であることを確認すると、受信装置からの回答にある測定結果のうち、正しい測定器を用いている測定結果の整合性をデータ照合装置12を用いて確認する。
t’ (26)
これにより、送信者Aは受信者Bがキュービット列の測定を制限時間内に実行した有無を確認できる。
正しい測定器を用いてキュービットを測定した測定結果と送信者の保持する式(19)のビット、式(21)のビットとの整合性が確認されると、受信者Bが開示フェーズになるまでコミットされた式(18)のビットが特定できないことが確認できる。また、整合性が確認されないときは、送信者Aは受信者Bが不正を行ったと判断し当該プロトコルを破棄する。
整合性が確認された場合、開示フェーズにおいて送信装置は古典通信路4を用いて、式(18)、値(20)、値(16)で示される、b、s、rのデータを受信装置2bに開示する。受信装置はデータ照合装置20を用いて開示データと測定結果の照合を行う。ここで、開示された乱数列(20)sと一方向性関数g生成器33を用いて導出されたビット列(21)から正しい測定器を用いた測定結果をピックアップし、開示された乱数列(16)rと一方向性関数f生成器15bを用いて導出されたビット列(19)の対応するビットと比較照合する。この結果が一致すれば、開示された値(16)、式(18)が正しいと確認される。
【0028】
最後に開示された値(16)rと一方向性関数h生成器16bを用いて導出されたビット(17)と、開示されたコミットビット(18)が一致すれば、受信者Bは当該プロトコルを受理する。逆に、上記3つの開示されたデータ式(18)、値(20)、値(16)のいずれか1つでも正しく確認されなければ受信者Bは当該プロトコルを破棄する。
ここで、送信者がたとえエンタングル状態のような相関のあるキュービットを用いて、受信者Bの測定結果を開示フェーズの前に知ることが出来ても、上記のような開示データの整合性チェックを免れるようなデータを捏造することは、3つの一方向性関数(13)、(14)、(15)の値から、その結果に対応した都合の良い入力乱数列を見出すことが非常に困難であるため、事実上不可能に等しい。
以上のプロトコルの流れを図5に記す.
【0029】
実施の形態3.
実施の形態2では、3つの一方向性関数を用いた場合を示したが、ここでは、2つの一方向性関数を用いた変換を経てキュービットに変換する形態を示す。
図6は、図1で構成される通信系において更に他の安全なビットコミットメントプロトコルを実現するための送信装置1c、受信装置2cの構成を示す図である。図6において、7cは式(27)を生成する一方向性関数f生成器である。
f(・)(∈{0,1}2m), (27)
また一方向性関数h生成器8bは次式(28)を生成する。
h(・)(∈{0,1})、 (28)
その他の乱数生成器5、時計6、互いに共役な物理量を生成する+系量子生成器9、×系量子生成器10、古典通信路送受信装置11、データ照合装置12は、図4に示す同番号要素と同等のものである。また、一方向性関数f生成器15cは一方向性関数f生成器7cと同じ、一方向性関数h生成器16bは一方向性関数h生成器8bと同じものである。その他の+系量子生成器9に対応した+系量子測定器17、×系量子生成器10に対応した×系量子測定器18、古典通信路送受信装置19、データ照合装置20は、図4に示す同番号要素と同等のものである。
【0030】
次に動作について説明する。
まず送信者Aはコミットするビットを選択する。次に、乱数生成器5により式(29)の乱数が生成され、その後、一方向性関数h生成器8bによる値次の式(30)が選択された式(31)のコミットビットになることを満たすまで生成を繰り返す。
r(ビット長はl) (29)
h(r) (30)
b∈{0、1} (31)
ここで、式(28)を与える一方向性関数h生成器8bを用いることで、その出力結果である(31)を満足するような乱数列(29)の条件がパリティビットを用いることよりもはるかに厳しくなるので、送信者Aが開示フェーズにおいて偽のrである値(29)を開示することが困難になる。
満足するrが生成されると一方向性関数f生成器7cにより式(32)のビット列に変換される。
fi(r): i=1,...,2n (32)
ここで、一方向性関数f生成器7cの出力結果である式(32)から容易に入力した乱数列(29)を導出できず、かつ、同じ出力結果式(32)を持つ式(29)と異なる乱数列を導出できない性質を利用して、開示フェーズにおいて、送信者Aによる開示する乱数列(29)の改ざんを防ぐことができる。
【0031】
式(32)のビット列からビット毎にキュービットを生成するにあたり、i番目のビット値(33)に対して用いる量子生成器は、同じ式(32)で与えられたビットが式(34)となるなら、+系量子生成器9を用い、ビット値(33)が0であれば0度偏光の光子を、1であれば90度偏光の光子を生成する。
fi (r)(i=1,...,n) (33)
fn+i(r)=0 (34)
逆に式(32)で与えられたビットが次式(35)となるなら、×系量子生成器10を用い、ビット値(33)が0であれば45度偏光の光子を、1であれば135度偏光の光子を生成する。
fn+i(r)=1 (35)
生成されたキュービットは量子通信路3を経由して受信装置2cに伝送される。この伝送した時点より時計6による計時が始まる。
【0032】
一方、受信装置2cでは、乱数生成器13を用いて乱数列を生成し、その各ビットの値に従って伝送されてきたキュービット列を+系量子測定器17で測定するか、×系量子測定器18で測定するかが選択される。キュービット列が届くと、選択された量子測定器により各キュービットを測定する。このキュービットが到着したときから時計14を用いて計時を始める。測定終了後、古典通信路送受信装置19を用いて、測定結果と測定に用いた量子測定器の種類を送信装置に送信する。この送信は時限値(36)迄に実行しなければならない。
t (36)
これは一方向性関数f生成器7cの出力結果である式(27)から入力乱数列を容易には導出できないが、十分な時間をかければ必ず入力乱数列を導出できることを防ぐために行う。即ち、一方向性関数(27)の出力結果から入力乱数列を導出するのに要する時間より短い時間で受信者にキュービットの測定を強いる。つまり、この制限時間内であれば受信者Bはキュービット列の全てを正しく測定することができない。
【0033】
送信装置1cでは、受信装置2cからの回答時間が時限(37)以内であることを確認すると、受信装置からの回答にある測定結果のうち、正しい測定器を用いている測定結果の整合性をデータ照合装置20を用いて確認する。
t’ (37)
これにより、送信者Aは受信者Bがキュービット列の測定を制限時間内に実行した有無を確認できる。正しい測定器を用いてキュービットを測定した測定結果と送信者の保持する式(32)ビットとの整合性が確認されたると、受信者Bが開示フェーズになるまでコミットされた式(31)のビットが特定できないことが確認できる。また、整合性が確認されないときは、送信者Aは受信者Bが不正を行ったと判断し当該プロトコルを破棄する。
整合性が確認された場合、開示フェーズにおいて送信装置は古典通信路4を用いて、式(31)、式(29)のデータを受信装置2cに開示する。受信装置2cはデータ照合装置20を用いて開示データと測定結果の照合を行う。ここで、開示された乱数列(29)rと一方向性関数f生成器15cを用いて導出されたビット列(32)から正しい測定器を用いた測定結果をピックアップし、対応するビットと比較照合する。この結果が一致すれば、開示された(29)が正しいと確認される。
【0034】
最後に開示された(29)rと一方向性関数h生成器16bを用いて導出されたビット(30)と開示されたコミットビット(31)が一致すれば、受信者Bは当該プロトコルを受理する。逆に、上記2つの開示されたデータ(29)、(31)のいずれか1つでも正しく確認されなければ受信者Bは当該プロトコルを破棄する。
ここで、送信者がたとえエンタングル状態のような相関のあるキュービットを用いて、受信者Bの測定結果を開示フェーズの前に知ることが出来ても、上記のような開示データの整合性チェックを免れるようなデータを捏造することは、2つの一方向性関数(27)、(28)の値から、その結果に対応した都合の良い入力乱数列を見出すことが非常に困難であるため、事実上不可能に等しい。
以上のプロトコルの流れを図7に記す.
【0035】
【発明の効果】
以上のように,この発明におけるはビットコミットメントプロトコルは乱数生成器から生成した乱数を一方向性関数を通して変換後にキュービット生成に使うので,送信者がエンタングルド状態のような特殊な量子状態を用いて不正を働くことを非常に困難にするという効果がある.
また,受信者が測定結果を送信者に時限内に報告しなければならないので受信者が観測を不履行することによる受信者の不正を防ぐことができる.
従って,安全なビットコミットメントプロトコルが構成できるので,安全な紛失通信が実現できる
【図面の簡単な説明】
【図1】 この発明の各実施の形態における全体構成を示すブロック図である。
【図2】 実施の形態1における量子ビットコミットメントプロトコル送信装置と受信装置の内部構成を示す図である。
【図3】 実施の形態1におけるプロトコルの流れ図である。
【図4】 この発明の実施の形態2における量子ビットコミットメントプロトコル送信装置と受信装置の内部構成を示す図である。
【図5】 実施の形態2におけるプロトコルの流れ図である。
【図6】 この発明の実施の形態3における量子ビットコミットメントプロトコル送信装置と受信装置の内部構成を示す図である。
【図7】 実施の形態3におけるプロトコルの流れ図である。
【図8】 従来の量子ビットコミットメントプロトコル送信装置と受信装置の構成図である。
【符号の説明】
1,1b,1c 量子ビットコミットメントプロトコル送信装置、2,2b,2c 量子ビットコミットメントプロトコル受信装置、3 量子通信路、4 古典通信路、5 乱数生成器、6 時計、7,7b,7c 一方向性関数f生成器、8,8b 一方向性関数h生成器、9 +系量子生成器、10 ×系量子生成器、11 古典通信路送受信装置、12 データ照合装置、13 乱数生成器、14 時計、15,15b,15c 一方向性関数f生成器、16,16b 一方向性関数h生成器、17 +系量子測定器、18 ×系量子測定器、19 古典通信路送受信装置、20 データ照合装置、24 一方向性関数g生成器、33 一方向性関数g生成器。
Claims (6)
- コミットメントフェーズでコミット値に対応して乱数生成器で得られる出力を2つの異なる量子生成器の入力とし、該量子生成器の出力を量子通信路で伝送し、上記コミットメントフェーズの後の開示フェーズにおいて上記コミット値を古典通信路で伝送する構成において、
上記乱数生成器と上記2つの異なる量子生成器の間に設けられ、上記乱数生成器の出力である数列を入力の変数として、それぞれの一方向性関数定義式に基いて一方向性関数値を表すビット列を生成して出力する第1と第2の一方向性関数生成器と、
所定の応答時限を計時するための時計と、を備えて、
上記第1の一方向性関数生成器の出力であるビット列に従い上記各量子生成器のいずれかを動作させて、該動作させた量子生成器の出力を上記量子通信路で伝送し、かつ上記第2の一方向性関数生成器が生成したビット列を上記古典通信路で伝送し、また上記量子通信路による伝送を開始してから上記伝送を受けて受信側が行った送信側に対応する処理結果の応答を上記古典通信路経由で受取るまでの時間を上記時計の応答時限で限定される時間内に限ることを特徴とする量子ビットコミットメント送信装置。 - コミット値に対応して乱数生成器で得られた出力を入力として、一方向性関数値を出力する第3の一方向性関数生成器を設けて、該第3の一方向性関数生成器の出力を量子生成器の入力とすることを特徴とする請求項1記載の量子ビットコミットメント送信装置。
- コミットメントフェーズでコミット値に対応して乱数生成器で得られる出力を2つの異なる量子生成器の入力とし、該量子生成器の出力を量子通信路で伝送し、コミットメントフェーズの後の開示フェーズにおいて上記コミット値と上記乱数生成器の出力列を古典通信路で伝送する構成において、
入力変数としての数列から所定の一方向性関数定義式に基いて出力値が上記コミット値になるような一方向性関数値を出力する第1の一方向性関数生成器と、
上記コミット値に対応する乱数生成器の出力を入力とし、該入力から所定の一方向性関数定義式に基いて一方向性関数値を表すビット列を生成して出力する第2の一方向性関数生成器と、
所定の応答時間を限定するための時計と、を備えて、
上記第2の一方向性関数生成器の出力であるビット列を上記各量子生成器に入力して、該各量子生成器の出力を上記量子通信路で伝送し、また上記量子通信路による伝送を開始してから上記伝送を受けて受信側が行った送信側に対応する処理結果の応答を上記古典通信路経由で受取るまでの時間を上記時計の応答時限で限定される時間に限ることを特徴とする量子ビットコミットメント送信装置。 - 請求項1記載の送信側の量子ビットコミットメント送信装置からコミットメントフェーズで量子通信路により伝送された受信データ列を受信し、2つの異なる量子測定器のいずれかを受信側の乱数生成器の出力である乱数列で選択して上記受信データ列を測定し、該測定結果と上記選択した量子測定器の型とを送信側に古典通信路により伝送し、コミットメントフェーズの後の開示フェーズにおいて上記送信側の量子ビットコミットメント送信装置からコミット値と送信側の乱数生成器の出力の第1の乱数列と第2の乱数列とを照合データとして古典通信路により受ける構成において、
上記量子ビットコミットメント送信装置の2つの一方向性関数生成器に対応して変数である入力数列からそれぞれの一方向性関数定義式に基いて一方向性関数値を表すビット列を生成する2つの受信側の一方向性関数生成器と、
所定の応答時限を計時するための受信側の時計と、を備えて、
上記コミットメントフェーズにおいて送信側からの伝送開始から上記量子測定器による測定結果の応答を上記送信側へ上記古典通信路経由で伝送するまでを上記受信側の時計の応答時限で限定される時間に限って行い、開示フェーズにおいて上記受信側の一方向性関数生成器の出力から得られる第1の乱数列と上記送信側から伝送された上記照合データの第1の乱数列とを比較し、かつ上記選択した量子測定器の出力から得られる第2の乱数列 と上記照合データの第2の乱数列とを比較することを特徴とする量子ビットコミットメント受信装置。 - 送信側の第3の一方向性関数生成器に対応する受信側の第3の一方向性関数生成器を設けて、
開示フェーズでは、送信側から伝送される送信側の乱数生成器の出力に基いて上記対応した受信側の第3の一方向性関数生成器で得られるコミット値と、伝送されたコミット値とを比較することを特徴とする請求項4記載の量子ビットコミットメント受信装置。 - 請求項1記載の量子ビットコミットメント送信装置と、
請求項4記載の量子ビットコミットメント受信装置と、で構成されることを特徴とする量子ビットコミットメント通信システム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000217041A JP3949879B2 (ja) | 2000-07-18 | 2000-07-18 | 量子ビットコミットメント送信装置及び量子ビットコミットメント受信装置及び量子ビットコミットメント通信システム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000217041A JP3949879B2 (ja) | 2000-07-18 | 2000-07-18 | 量子ビットコミットメント送信装置及び量子ビットコミットメント受信装置及び量子ビットコミットメント通信システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002033730A JP2002033730A (ja) | 2002-01-31 |
| JP3949879B2 true JP3949879B2 (ja) | 2007-07-25 |
Family
ID=18712211
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000217041A Expired - Fee Related JP3949879B2 (ja) | 2000-07-18 | 2000-07-18 | 量子ビットコミットメント送信装置及び量子ビットコミットメント受信装置及び量子ビットコミットメント通信システム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3949879B2 (ja) |
Families Citing this family (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1305250C (zh) * | 2002-05-15 | 2007-03-14 | 中兴通讯股份有限公司 | 一种量子安全通信方法 |
| US7649996B2 (en) | 2002-09-26 | 2010-01-19 | Mitsubishi Denki Kabushiki Kaisha | Cryptographic communication apparatus |
| US7620182B2 (en) * | 2003-11-13 | 2009-11-17 | Magiq Technologies, Inc. | QKD with classical bit encryption |
| JPWO2006003715A1 (ja) * | 2004-07-06 | 2008-04-17 | 三菱電機株式会社 | 量子暗号通信システム |
| JP5180168B2 (ja) * | 2009-09-07 | 2013-04-10 | 日本電信電話株式会社 | 秘密証拠の供託方法 |
| JP5156078B2 (ja) * | 2010-10-28 | 2013-03-06 | 三菱電機株式会社 | 量子暗号通信システムおよび送信装置 |
| US8379848B2 (en) * | 2011-07-07 | 2013-02-19 | Cape Light Institute, Inc. | Method of providing a portable true random number generator based on the microstructure and noise found in digital images |
-
2000
- 2000-07-18 JP JP2000217041A patent/JP3949879B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002033730A (ja) | 2002-01-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Morimae et al. | Quantum commitments and signatures without one-way functions | |
| Halevi et al. | Practical and provably-secure commitment schemes from collision-free hashing | |
| Coladangelo et al. | Hidden cosets and applications to unclonable cryptography | |
| Haber et al. | How to time-stamp a digital document | |
| Bartusek et al. | One-way functions imply secure computation in a quantum world | |
| CN110493010B (zh) | 基于量子数字签名的邮件系统的邮件收发方法 | |
| Damgård et al. | Unclonable group identification | |
| US20100150349A1 (en) | Method and system for performing quantum bit commitment protocol | |
| EP1768301B1 (en) | Quantum encryption communication system | |
| US20080141035A1 (en) | Limited Blind Signature System | |
| CN107493168A (zh) | 量子身份认证方法及其在量子密钥分发过程中的应用方法 | |
| Liu et al. | Two-pass authenticated key exchange with explicit authentication and tight security | |
| Bartusek et al. | Cryptography with certified deletion | |
| JP3949879B2 (ja) | 量子ビットコミットメント送信装置及び量子ビットコミットメント受信装置及び量子ビットコミットメント通信システム | |
| CN106788990B (zh) | 单代理量子比特承诺协议 | |
| CN109660329B (zh) | 一种可抵抗外部攻击的两方量子保密通信方法 | |
| Wang et al. | Consensus algorithm based on verifiable quantum random numbers | |
| JP5156078B2 (ja) | 量子暗号通信システムおよび送信装置 | |
| Koshiba et al. | Non-interactive statistically-hiding quantum bit commitment from any quantum one-way function | |
| Barnett et al. | Bell's inequality and rejected-data protocols for quantum cryptography | |
| JP4901364B2 (ja) | 再認証不可能な量子電子署名システムの処理方法及びその検証者装置 | |
| Kent | Impossibility of unconditionally secure commitment of a certified classical bit | |
| Wang et al. | New construction of blind signatures from braid groups | |
| Koshiba et al. | Statistically-hiding quantum bit commitment from approximable-preimage-size quantum one-way function | |
| Longmate et al. | Signing information in the quantum era |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20040517 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040924 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20041018 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070123 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070306 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20070417 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20070419 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20100427 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110427 Year of fee payment: 4 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120427 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120427 Year of fee payment: 5 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130427 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130427 Year of fee payment: 6 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140427 Year of fee payment: 7 |
|
| LAPS | Cancellation because of no payment of annual fees |