JP4904224B2 - 再認証不可能な量子電子署名システム、その方法、その送信者装置、その受信者装置、それらのプログラム及びその記録媒体 - Google Patents
再認証不可能な量子電子署名システム、その方法、その送信者装置、その受信者装置、それらのプログラム及びその記録媒体 Download PDFInfo
- Publication number
- JP4904224B2 JP4904224B2 JP2007219794A JP2007219794A JP4904224B2 JP 4904224 B2 JP4904224 B2 JP 4904224B2 JP 2007219794 A JP2007219794 A JP 2007219794A JP 2007219794 A JP2007219794 A JP 2007219794A JP 4904224 B2 JP4904224 B2 JP 4904224B2
- Authority
- JP
- Japan
- Prior art keywords
- signature
- quantum state
- quantum
- public
- random number
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
この発明は、量子デバイスを用いた情報通信システムにおける情報セキュリティ技術に関する。特に、送信された情報が受信されるまでの間に第三者によってその情報が改ざんされたか否かを、受信者が検証することができる再認証不可能な量子電子署名システム、その方法、その送信者装置、その受信者装置、それらのプログラム及びその記録媒体に関する。
署名に量子状態を用いることにより、署名を認証すると、署名が破壊されてしまう量子電子署名プロトコルとして次のようなプロトコルが知られている。
送信者である送信者装置2は、2つの1量子ビットからなる量子状態の組の列((|φ0 (1)>,|φ1 (1)>),(|φ0 (2)>,|φ1 (2)>),…,(|φ0 (N)>,|φ1 (N)>))を生成して公開する。各量子状態はランダムに生成される。
送信者である送信者装置2は、2つの1量子ビットからなる量子状態の組の列((|φ0 (1)>,|φ1 (1)>),(|φ0 (2)>,|φ1 (2)>),…,(|φ0 (N)>,|φ1 (N)>))を生成して公開する。各量子状態はランダムに生成される。
送信者装置2が、1ビットの情報b={0,1}を受信者装置3に送信する場合、(b,(|φb’(1)>,|φb’(2)>,…,|φb’(N)>)を送信する。n=1,…,Nとして、|φb’(n)>は、|φb (n)>に直交する量子状態である。
この情報を受信した受信者装置3は、受信した各量子状態|φb’(n)>(n=1,…,N)ごとに、|φb’(n)>と、送信者装置2が公開した((|φ0 (1)>,|φ1 (1)>),(|φ0 (2)>,|φ1 (2)>),…,(|φ0 (N)>,|φ1 (N)>))の中の|φb’(n)>に対応する量子状態である|φb (n)>とをスワップテスト(スワップテストの詳細については後述する。)にかける。各量子状態|φb’(n)>(n=1,…,N)ごとに行われたスワップテスト全体で、半分に十分に近い数の量子状態が受諾された場合には、送信された情報bを正当なものとして受理する(例えば、非特許文献1参照。)。
この量子電子署名プロトコルの安全性の保証は、任意の量子状態|φ>が有限個与えられた時にこれに直交する量子状態|φ’>を確実に生成する事が不可能であり、かつ、偶然に生成に成功してもそれを破壊しないで確認することが不可能である事による。
スワップテストとは、同一のヒルベルト空間中の2つの量子状態|φ>と|ψ>が与えられた時、|<ψ|φ>|=δとして、(1+δ2)/2の確率で受諾され、(1−δ2)/2の確率で拒絶されるテストのことである。ここで、(1+δ2)/2は、スワップテストにおいて1が観測される確率であり、(1−δ2)/2は、スワップテストにおいて0が観測される確率である。
2つの量子状態|φ>と|ψ>が同一の状態の時には、|<ψ|φ>|=δ=1となり、(1+δ2)/2=(1+12)/2=1となるため、必ず受諾される。また、2つの状態|φ>と|ψ>が異なる場合には、(1+δ2)/2が必ずしも1とはならないため、拒絶される可能性がある。例えば、2つの量子状態|φ>と|ψ>が互いに直交する場合には、|<ψ|φ>|=δ=0となり、(1−δ2)/2=(1−02)/2=1/2となるため、1/2の確率で受諾される。
スワップテストは、物理的には図5に例示する回路を作り、図5の観測100における観測結果が1の場合に受諾し、0の場合に拒絶する事で実現される。この図5において、[H]と描いてある演算101はアダマール演算である。すなわち、次の行列
で定義される演算である。また、[Swap]と描いてある演算102は制御Bit(一番上のビット)が1の場合に下の2つの入力の状態を入れ替える演算である。
加藤豪,河野泰人,「署名が崩壊する量子署名プロトコル」,第16回量子情報技術研究会,2006年,p.92−96
加藤豪,河野泰人,「署名が崩壊する量子署名プロトコル」,第16回量子情報技術研究会,2006年,p.92−96
非特許文献1に記載された量子電子署名プロトコルにおいては、署名の認証を各量子状態ごとに行う場合には、署名の認証を行うと観測により各量子状態が変化するため署名は必ず破壊される。
しかし、将来的に大規模な量子コンピュータが実現した場合、複数の量子状態に対して高度に相関を持った観測を行うことで、量子状態を殆ど破壊することなく署名の認証を行うことができる可能性がある。この結果、署名の再認証不可能性が保証されなくなる。
この発明は、大規模な量子コンピュータを用いても再認証不可能な量子電子署名システム、その方法、その送信者装置、その受信者装置、それらのプログラム及びその記録媒体を提供することを目的とする。
しかし、将来的に大規模な量子コンピュータが実現した場合、複数の量子状態に対して高度に相関を持った観測を行うことで、量子状態を殆ど破壊することなく署名の認証を行うことができる可能性がある。この結果、署名の再認証不可能性が保証されなくなる。
この発明は、大規模な量子コンピュータを用いても再認証不可能な量子電子署名システム、その方法、その送信者装置、その受信者装置、それらのプログラム及びその記録媒体を提供することを目的とする。
送信者装置と受信者装置とを備える再認証不可能な量子電子署名システムであって、送信者装置は、乱数を発生する乱数発生手段と、乱数発生手段で生成された乱数から、署名の対象となるビットの正当性を検証するために用いる可能性がある公開量子状態の組を複数生成する公開鍵生成手段と、公開鍵生成手段が生成した複数の公開量子状態の組の列からなる公開量子状態列をm個公開する公開鍵公開手段と、署名の対象となるビットの正当性を検証するために用いる公開量子状態の組ごとに、署名の対象となるビットの値に応じて定まる、署名の対象となるビットの正当性を検証するために用いる公開量子状態と同一又は直交する署名量子状態を、δを0以上1/(m+2)以下の数として、同一の署名量子状態が生成される確率がδ、直交する署名量子状態が生成される確率が1−δとなるように、乱数発生手段で生成された乱数から生成する署名生成手段と、αを所定の数、k1を1/k(1/2)>α/(m+2)を満たす整数k以下1以上の整数として、署名の対象となるビットと、署名生成手段で生成された署名量子状態のうちのk1個の署名量子状態とを送信する署名送信手段と、を備える。
受信者装置は、送信者装置によって公開された公開量子状態列を受信する公開鍵受信手段と、署名の対象となるビットと、k1個の署名量子状態とを受信する署名受信手段と、署名受信手段で受信したk1個の各署名量子状態ごとに、署名量子状態と、その署名量子状態に対応する、公開量子状態列に含まれる公開量子状態とをスワップテストにかけて、受諾されるか拒絶されるかを決定するスワップテスト手段と、スワップテスト手段が決定した決定結果を送信する観測結果送信手段と、スワップテスト手段において受諾又は拒絶された確率と、所定の値Aとを比較することにより、署名の対象となるビットの正当性を判断する第一判断手段と、を備える。
送信者手段はさらに、受信者装置が送信したスワップテストの決定結果を受信する観測結果受信手段と、観測結果受信手段が受信したスワップテストの決定結果を参照して、送信者装置が送信した署名量子状態を用いて受信者装置が認証をしたかどうかを判断し、送信者装置が送信した署名量子状態を用いて受信者装置が認証したと判断することができる場合に、k以下1以上の所定の数k2個の量子状態を署名送信手段に送信させる第二判断手段と、を備える。
署名量子状態の数kが、1/k(1/2)>α/(m+2)を満たす程度に小さい場合には、大規模な量子コンピュータを用いて高度に相関を持った観測を行うことによっても、それらのk個の署名量子状態を破壊しないで署名の認証を行うことができない。k個の署名量子状態を観測すると、それらの量子状態は必ず破壊される。
送信者装置が送信したk以下の数の署名量子状態を用いて受信者装置が認証を行ったことを送信者装置が確認した後に、すなわち、送信者装置が送信したk以下の数の署名量子状態を受信者装置が破壊したのを送信者装置が確認した後に、送信者装置がk以下の数の別の署名量子状態を受信者装置に送る動作を繰り返すことにより、kより多い数の署名量子状態が送信者装置の外に一度に集まることがなくなるため、大規模な量子コンピュータを用いても署名の再認証が不可能となる。
図1から4を参照して、この発明による再認証不可能な量子電子署名システムの一実施例について説明をする。図1は、再認証不可能な量子電子署名システムの一実施例の機能構成を例示する図である。図1に例示するように、再認証不可能な量子電子署名システム1は、送信者装置2と受信者装置3からなる。図2は、送信者装置2の機能構成を例示する図である。図3は、受信者装置3の機能構成を例示する図である。図4は、再認証不可能な量子電子署名システムの一実施例の処理の流れを例示するフローチャートである。図4に示したステップS1〜S5,S10〜S14は送信者装置2の処理であり、ステップS6〜S9,S15は受信者装置3の処理である。
<ステップS1>
乱数発生部21は、複数の複素数の乱数x0,0 (1),x1,0 (1),x0,1 (1),x1,1 (1)x0,0 (2),x1,0 (2),x0,1 (2),x1,1 (2),…,x0,0 (N),x1,0 (N),x0,1 (N),x1,1 (N)を生成して、公開鍵生成部22及び署名生成部25に出力する。
乱数発生部21は、複数の複素数の乱数x0,0 (1),x1,0 (1),x0,1 (1),x1,1 (1)x0,0 (2),x1,0 (2),x0,1 (2),x1,1 (2),…,x0,0 (N),x1,0 (N),x0,1 (N),x1,1 (N)を生成して、公開鍵生成部22及び署名生成部25に出力する。
<ステップS2>
公開鍵生成部22は、乱数発生部21が生成した複素数を用いて、署名の対象となるビットbの正当性を検証するために用いる可能性がある公開量子状態の組を複数生成する。生成された公開量子状態は公開鍵公開部23に送られる。
公開鍵生成部22は、乱数発生部21が生成した複素数を用いて、署名の対象となるビットbの正当性を検証するために用いる可能性がある公開量子状態の組を複数生成する。生成された公開量子状態は公開鍵公開部23に送られる。
例えば、公開量子状態|φb (n)>がひとつの量子ビットからなる場合には、b=0,1、n=1,2,…,Nとして、各公開量子状態|φb (n)>をそれぞれ、|φb (n)>=(1/(|xb,0 (n)|2+|xb,1 (n)|2)1/2)(xb,0 (n)|0>+xb,1 (n)|1>)とする。
このようにして、各公開量子状態|φb (n)>は乱数発生部21が生成した複素数を用いてランダムに生成される。ここで、ランダムとは、クォンタムデザインによって定まる確率分布に従って選択される場合を含む。
このようにして、各公開量子状態|φb (n)>は乱数発生部21が生成した複素数を用いてランダムに生成される。ここで、ランダムとは、クォンタムデザインによって定まる確率分布に従って選択される場合を含む。
|φ0 (n)>と|φ1 (n)>とを、署名の対象となるビットの正当性を検証するために用いる可能性がある公開量子状態の組とする。後述するように、bの値に応じて、(|φ0 (n)>,|φ1 (n)>)の何れか一方の公開量子状態|φb (n)>が、署名の対象となるビットの正当性を検証するために用いられる。以下、署名の対象となるビットの正当性を検証するために用いる可能性がある公開量子状態の組(|φ0 (n)>,|φ1 (n)>)を、公開量子状態の組(|φ0 (n)>,|φ1 (n)>)と略称する場合がある。
公開量子状態の組(|φ0 (n)>,|φ1 (n)>)をN個並べたもの((|φ0 (1)>,|φ1 (1)>),(|φ0 (2)>,|φ1 (2)>),…,(|φ0 (n)>,|φ1 (n)>),…,(|φ0 (N)>,|φ1 (N)>))を、公開量子状態列と呼ぶ。
公開鍵生成部22は、乱数発生部21が生成した同じ乱数に基づいて、少なくともm個の同じ公開量子状態列を生成する。mは所定の自然数である。後述するようにmの値は、再認証不可能な量子電子署名システムの安全性と関連がある。
公開鍵生成部22は、乱数発生部21が生成した同じ乱数に基づいて、少なくともm個の同じ公開量子状態列を生成する。mは所定の自然数である。後述するようにmの値は、再認証不可能な量子電子署名システムの安全性と関連がある。
なお、この発明では、量子ビットとして、例えば、光子を用いる。具体的にどのような装置構成でこの発明を実施するための処理を行うのかについては、下記の参考文献1に詳しい。
≪参考文献1≫Michael A. Nielsen, Isaac L.Chuang共著、木村達也訳「量子コンピュータと量子通信II―量子コンピュータとアルゴリズム―」オーム社
≪参考文献1≫Michael A. Nielsen, Isaac L.Chuang共著、木村達也訳「量子コンピュータと量子通信II―量子コンピュータとアルゴリズム―」オーム社
<ステップS3>
公開鍵公開部23は、公開鍵生成部22が生成した公開量子状態列のうち、m個の公開量子状態列を公開する。受信者装置3が予め決まっている場合には、公開量子状態列を、その受信者装置3に送信しても良い。すなわち、公開鍵として用いる公開量子状態列を特定の者のみに対して公開するようにしても良い。特定の者のみに公開することにより、安全性がさらに増すというメリットがある。
公開鍵公開部23は、公開鍵生成部22が生成した公開量子状態列のうち、m個の公開量子状態列を公開する。受信者装置3が予め決まっている場合には、公開量子状態列を、その受信者装置3に送信しても良い。すなわち、公開鍵として用いる公開量子状態列を特定の者のみに対して公開するようにしても良い。特定の者のみに公開することにより、安全性がさらに増すというメリットがある。
<ステップS4>
署名生成部25は、文書記録部24から読み込んだ署名の対象となるビットbを用いて、公開量子状態の組(|φ0 (n)>,|φ1 (n)>)ごとに、署名量子状態|φ~ b (n)〉を生成して、署名送信部26に送る。ここで、署名量子状態|φ~ b (n)〉は、δを0以上1/(m+2)以下の数として、δの確率で|φb (n)>であり、1−δの確率で|φ’b (n)>とする。|φ’b (n)>は、|φb (n)>に直交する量子状態とする。mは、上記したように、公開した公開量子状態列の数である。δを0以上1/(m+2)以下の数とする理由は、δが1/m+2よりも大きい場合には、受信した|φ~b>が送信者装置が作ったものであるか、第三者が作ったものであるかを受信者装置が判断することができない場合が生じるためである。
署名生成部25は、文書記録部24から読み込んだ署名の対象となるビットbを用いて、公開量子状態の組(|φ0 (n)>,|φ1 (n)>)ごとに、署名量子状態|φ~ b (n)〉を生成して、署名送信部26に送る。ここで、署名量子状態|φ~ b (n)〉は、δを0以上1/(m+2)以下の数として、δの確率で|φb (n)>であり、1−δの確率で|φ’b (n)>とする。|φ’b (n)>は、|φb (n)>に直交する量子状態とする。mは、上記したように、公開した公開量子状態列の数である。δを0以上1/(m+2)以下の数とする理由は、δが1/m+2よりも大きい場合には、受信した|φ~b>が送信者装置が作ったものであるか、第三者が作ったものであるかを受信者装置が判断することができない場合が生じるためである。
署名生成部25は、署名量子状態|φ~ b (n)〉を生成する際に、対応する公開量子状態|φb (n)>を生成するために乱数発生部21が生成した乱数を用いる。
この例では、n=1,…,Nであり、公開量子状態の組(|φ0 (n)>,|φ1 (n)>)はN個あるため、署名生成部25は、N個の署名量子状態|φ~ b (n)〉を生成する。
この例では、n=1,…,Nであり、公開量子状態の組(|φ0 (n)>,|φ1 (n)>)はN個あるため、署名生成部25は、N個の署名量子状態|φ~ b (n)〉を生成する。
ランダムビット発生部29は、δの値をランダムに定めて署名生成部25に送る。署名生成部25は、ランダムビット発生部δが発生したδの値に基づいて、署名量子状態|φ~ b (n)〉を生成する。なお、δの値は、公開量子状態の組(|φ0 (n)>,|φ1 (n)>)ごとに異なっていてもよい。
署名生成部25が生成した署名量子状態|φ~ b (n)〉が、|φb (n)〉又は|φ’b (n)〉の何れかであるかについての情報は、判断部28に送られる。
署名生成部25が生成した署名量子状態|φ~ b (n)〉が、|φb (n)〉又は|φ’b (n)〉の何れかであるかについての情報は、判断部28に送られる。
<ステップS5>
署名送信部26は、署名の対象となるビットbと、署名生成部25が生成した署名量子状態のうちk1個の署名量子状態とを受信者装置3に送信する。k1はk1≦k<Nであり、αを所定のセキュリティパラメータとして、kは、1/k(1/2)>α/(m+2)を満たす整数である。例えば、α=1である。αの値を大きくするほど署名の再認証不可能性が高まり、αの値を小さくするほど署名の再認証不可能性が低くなる。αの値は、求める安全性、量子コンピュータの精度に応じて適宜定める。
署名送信部26は、署名送信部26のバッファに格納されたnsを、ns=k1とする。
署名送信部26は、署名の対象となるビットbと、署名生成部25が生成した署名量子状態のうちk1個の署名量子状態とを受信者装置3に送信する。k1はk1≦k<Nであり、αを所定のセキュリティパラメータとして、kは、1/k(1/2)>α/(m+2)を満たす整数である。例えば、α=1である。αの値を大きくするほど署名の再認証不可能性が高まり、αの値を小さくするほど署名の再認証不可能性が低くなる。αの値は、求める安全性、量子コンピュータの精度に応じて適宜定める。
署名送信部26は、署名送信部26のバッファに格納されたnsを、ns=k1とする。
<ステップS6>
受信者装置3の公開鍵受信部31(図3)は、送信者装置2の公開鍵公開部23が公開した公開量子状態列を受信する。
<ステップS7>
受信者装置3の署名受信部32は、送信者装置2の署名送信部26が送信した、署名の対象となるビットbと、k1個の署名量子状態とを受信する。
受信者装置3の公開鍵受信部31(図3)は、送信者装置2の公開鍵公開部23が公開した公開量子状態列を受信する。
<ステップS7>
受信者装置3の署名受信部32は、送信者装置2の署名送信部26が送信した、署名の対象となるビットbと、k1個の署名量子状態とを受信する。
<ステップS8>
スワップテスト部33は、各署名量子状態ごとに、署名量子状態|φ~ b (n)〉と、その署名量子状態に対応する公開量子状態|φb (n)〉とをスワップテストにかけて、受諾されるか拒絶されるかを決定する。例えば、署名量子状態がki個ある場合には、スワップテストはki回行われる。スワップテストの決定結果は、判断部34及び観測結果送信部35に出力される。スワップテストは、図5を参照して背景技術の欄で説明したものと同様であるため、ここでは説明を省略する。
スワップテスト部33は、各署名量子状態ごとに、署名量子状態|φ~ b (n)〉と、その署名量子状態に対応する公開量子状態|φb (n)〉とをスワップテストにかけて、受諾されるか拒絶されるかを決定する。例えば、署名量子状態がki個ある場合には、スワップテストはki回行われる。スワップテストの決定結果は、判断部34及び観測結果送信部35に出力される。スワップテストは、図5を参照して背景技術の欄で説明したものと同様であるため、ここでは説明を省略する。
<ステップS9>
観測結果送信部35は、スワップテスト部33における各署名量子状態ごとのスワップテストの決定結果を送信者装置に送る。
<ステップS10>
送信者装置2の観測結果受理部27(図2)は、各スワップテストの決定結果を受信する。受信したスワップテストの決定結果は、判断部28に送られる。
観測結果送信部35は、スワップテスト部33における各署名量子状態ごとのスワップテストの決定結果を送信者装置に送る。
<ステップS10>
送信者装置2の観測結果受理部27(図2)は、各スワップテストの決定結果を受信する。受信したスワップテストの決定結果は、判断部28に送られる。
<ステップS11>
判断部28は、観測結果受理部27が受信したスワップテストの決定結果を参照して、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証をしたかどうかを判断する。換言すると、受信者装置3が正当な処理を行ったかどうかを判断する。送信者装置2が送信した署名量子状態とは、送信者装置2がki個の署名量子状態を送った場合には、ki個の署名量子状態のことである。
判断部28は、観測結果受理部27が受信したスワップテストの決定結果を参照して、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証をしたかどうかを判断する。換言すると、受信者装置3が正当な処理を行ったかどうかを判断する。送信者装置2が送信した署名量子状態とは、送信者装置2がki個の署名量子状態を送った場合には、ki個の署名量子状態のことである。
判断部28は、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証をしたと判断することができた場合には、同じ署名の対象となるビットbについての署名量子状態であって、先に受信者装置3に送った以外のk2個の署名量子状態を、署名送信部26に送らせる。すなわち、処理を継続する旨の信号を署名送信部26に送る。k2は、k2≦k<Nを満たす整数である。
判断部28は、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証をしていないと判断した場合には、署名量子状態の送信を中止する旨の信号を署名送信部26に送る。
以下に、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証をしたかどうかの判断の例について説明をする。
送信者装置2が受信したスワップテストの決定結果の数をKとし、Kの中の署名量子状態|φ~b (n)>が|φb (n)>である場合のスワップテストの決定結果の数をka、Kの中の署名量子状態|φ~b (n)>が|φb’(n)>である場合のスワップテストの決定結果の数をkbとする。K、ka及びkbの間には、K=ka+kbという関係が成立している。
送信者装置2が受信したスワップテストの決定結果の数をKとし、Kの中の署名量子状態|φ~b (n)>が|φb (n)>である場合のスワップテストの決定結果の数をka、Kの中の署名量子状態|φ~b (n)>が|φb’(n)>である場合のスワップテストの決定結果の数をkbとする。K、ka及びkbの間には、K=ka+kbという関係が成立している。
例えば、判断部28は、署名量子状態|φ~b (n)>が|φb (n)>である場合のka個のスワップテストの決定結果の中で「拒絶」である旨の決定結果があるか否かを判断すると共に、署名量子状態|φ~b (n)>が|φb’(n)>である場合のkb個のスワップテストの決定結果の中でスワップテストの決定結果が「拒絶」である確率が1/2に比べて統計的に小さいかどうかを判断する。
例えば、cを所定の数(例えばc=1である。)として、署名量子状態|φ~b (n)>が|φb’(n)>である場合のkb個のスワップテストの決定結果の中でスワップテストの決定結果が「拒絶」である確率と、1/2−(c/kb 1/2)とを比較することにより、1/2に比べて統計的に小さいかどうかを判断する。cはセキュリティパラメータであり、求める安全性、量子コンピュータの精度に応じて適宜設定するものである。
署名量子状態|φ~b (n)>が|φb (n)>であるときのka個のスワップテストの決定結果の中で「拒絶」である旨の決定結果がある場合に、または、署名量子状態|φ~b (n)>が|φb’(n)>であるときのkb個のスワップテストの決定結果の中でスワップテストの決定結果が「拒絶」である確率が1/2に比べて統計的に小さい場合に、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証をしていないと判断する。それ以外の場合には、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証をしたと判断する。
<ステップS12>
判断部28が、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証をしたと判断した場合には、署名送信部26はk2個の署名量子状態を受信者装置3に送る。署名送信部26は、ns←ns+k2として、送信した署名量子状態の合計数nsを更新する。
判断部28が、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証をしたと判断した場合には、署名送信部26はk2個の署名量子状態を受信者装置3に送る。署名送信部26は、ns←ns+k2として、送信した署名量子状態の合計数nsを更新する。
<ステップS13>
判断部28が、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証をしたと判断した場合には、署名送信部26は署名量子状態の送信を中止する。
判断部28が、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証をしたと判断した場合には、署名送信部26は署名量子状態の送信を中止する。
<ステップS14>
送信者装置2の制御部210は、すべての署名量子状態を送信したかどうかを判断する。例えば、送信した署名量子状態の合計数nsがNに達したかどうかを確認する。
nsがNに達しない場合には(例えば、ns≠Nの場合)、ステップS7に戻って上記の処理を行う。
nsがNに達した場合には(例えば、ns=Nの場合)、署名の対象となるビットbについての送信・署名の処理を終了する。
送信者装置2の制御部210は、すべての署名量子状態を送信したかどうかを判断する。例えば、送信した署名量子状態の合計数nsがNに達したかどうかを確認する。
nsがNに達しない場合には(例えば、ns≠Nの場合)、ステップS7に戻って上記の処理を行う。
nsがNに達した場合には(例えば、ns=Nの場合)、署名の対象となるビットbについての送信・署名の処理を終了する。
<ステップS15>
判断部34は、スワップテスト部33において受諾された確率と、(m+3)/(2(m+2))とを比較して、署名の対象となるビットbの正当性について判断する。例えば、スワップテスト部33において受諾された確率が、(m+3)/(2(m+2))よりも統計的に十分小さい場合に、その署名の対象となるビットbを受理する。(m+3)/(2(m+2))が、署名の対象となるビットbを受理するか否かの閾値となっている理由については後述する。
判断部34は、スワップテスト部33において受諾された確率と、(m+3)/(2(m+2))とを比較して、署名の対象となるビットbの正当性について判断する。例えば、スワップテスト部33において受諾された確率が、(m+3)/(2(m+2))よりも統計的に十分小さい場合に、その署名の対象となるビットbを受理する。(m+3)/(2(m+2))が、署名の対象となるビットbを受理するか否かの閾値となっている理由については後述する。
受理された署名の対象となるビットbは、文書記録部36に格納される。他に署名の対象となるビットがある場合には、そのビットについて上記と同様の処理を行う。
例えば、文書を構成するすべてのビットについて上記の処理を行い、すべてのビットが所定の割合(例えば、70%〜100%)以上の割合で受理された場合に、その文書を正当なものとして受理する。
例えば、文書を構成するすべてのビットについて上記の処理を行い、すべてのビットが所定の割合(例えば、70%〜100%)以上の割合で受理された場合に、その文書を正当なものとして受理する。
一般に、kが、1/k(1/2)>α/(m+2)を満たす程度に小さい場合には、大規模な量子コンピュータを用いて高度に相関を持った観測を行うことによっても、それらのk個の署名量子状態を破壊しないで署名の認証を行うことができない。k個の署名量子状態を認証のために観測すると、それらの量子状態は必ず破壊される。
受信者装置3がk以下の数の署名量子状態を用いて認証を行ったことを送信者装置2が確認した後に、すなわち、受信者装置3がk以下の数の署名量子状態を破壊したのを送信者装置2が確認した後に、送信者装置2がk以下の数の別の署名量子状態を受信者装置3に送る動作を繰り返すことにより、kより多い数の署名量子状態が送信者装置の外部に集まることがなくなるため、大規模な量子コンピュータを用いても署名の再認証が不可能となる。
[変形例等]
量子状態|φb (n)>は任意の数の量子ビットで構成することができるが、1つの量子ビットで構成すると、最も効率が良くなり、かつ、安全性が高くなる。この発明では、後述するように、2つの量子状態が同一又は直交しているかどうかを検出することにより、署名の正当性を確認するが、量子状態|φb (n)>が2以上の量子ビットから構成されている場合には、署名の正当性の確認のために直交しているかどうかを検出する精度が悪くなるためである。また、量子状態|φb (n)>が2以上の量子ビットから構成されている場合には、任意の量子状態|φb (n)>に、ほとんど直交する量子状態を作りやすいためである。
量子状態|φb (n)>は任意の数の量子ビットで構成することができるが、1つの量子ビットで構成すると、最も効率が良くなり、かつ、安全性が高くなる。この発明では、後述するように、2つの量子状態が同一又は直交しているかどうかを検出することにより、署名の正当性を確認するが、量子状態|φb (n)>が2以上の量子ビットから構成されている場合には、署名の正当性の確認のために直交しているかどうかを検出する精度が悪くなるためである。また、量子状態|φb (n)>が2以上の量子ビットから構成されている場合には、任意の量子状態|φb (n)>に、ほとんど直交する量子状態を作りやすいためである。
あるビットbを署名する公開量子状態の組(|φ0 (n)>,|φ1 (n)>)の数は、この発明の利用者が求める安全性のレベルに応じて定めることができる。一般に、あるビットbを署名する公開量子状態の組(|φ0 (n)>,|φ1 (n)>)の数が多くなるほど、安全性が高くなる。
署名送信部26が常にk2個の署名量子状態を送る必要はない。ki≦k(ki=1,2,…)であれば、受信者装置3に送る署名量子状態の数kiが送信の度ごとに異なっていてもよい。
署名送信部26が常にk2個の署名量子状態を送る必要はない。ki≦k(ki=1,2,…)であれば、受信者装置3に送る署名量子状態の数kiが送信の度ごとに異なっていてもよい。
上記の実施例では、送信者装置2の判断部28は、スワップテストの決定結果が「拒絶」である場合の数・確率に基づいて判断を行っていたが、スワップテストの決定結果が「受諾」である場合の数・確率に基づいて判断を行ってもよい。例えば、署名量子状態|φ~b (n)>が|φb (n)>である場合のka個のスワップテストの決定結果がすべて「受諾」である旨の決定結果であるか否かを判断すると共に、署名量子状態|φ~b (n)>が|φb’(n)>である場合のkb個のスワップテストの決定結果の中でスワップテストの決定結果が「受諾」である確率が1/2に比べて統計的に大きいかどうかを判断する。
この場合、署名量子状態|φ~b (n)>が|φb (n)>であるときのka個のスワップテストの決定結果がすべて「受諾」である場合、又は、署名量子状態|φ~b (n)>が|φb’(n)>であるときのkb個のスワップテストの決定結果の中でスワップテストの決定結果が「受諾」である確率が1/2に比べて統計的に大きい場合に受信者装置3が送信者装置2が送信した署名量子状態を用いて認証を行ったと判断する。その他の場合には、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証を行ったと判断する。
送信者装置2の判断部28は、署名量子状態|φ~b (n)>が|φb (n)>である場合のka個のスワップテストの決定結果が「受諾」又は「拒絶」である確率が、所定の値よりも大きいか又は小さいかを判断することにより、送信者装置2が送信した署名量子状態を用いて受信者装置3が認証を行ったかどうかを判断してもよい。ここで所定の値とは、「受諾」である確率を基準にして判断する場合には1に近い値(例えば0.7〜1)であり、「拒絶」である確率を基準にして判断する場合には0に近い値(例えば0〜0.3)である。
受信者装置3の判断部34が、スワップテスト部33において拒絶された確率と、1−(m+3)/(2(m+2))とを比較して、署名の対象となるビットbの正当性について判断してもよい。例えば、スワップテスト部33において拒絶された確率が、1−(m+3)/(2(m+2))よりも統計的に十分大きい場合に、その署名の対象となるビットbを受理する。
上記の実施例では、図5に例示した量子回路で実現されるスワップテストを用いて、2つの量子状態が同一であるかどうか、直交しているかどうかを検証した。しかし、2つの量子状態が同一であるかどうか、直交しているかどかを検証することができる手段であれば、図5に例示した量子回路で実現されるスワップテスト以外の手段を用いても良い。
文書を構成するビットのうち署名の対象となるビットを少なくともひとつ予め定めておき、それらの署名の対象となるすべてのビットについてそれぞれ上記の処理を行う。所定の割合(例えば、70〜100%)以上の割合で署名の対象となるビットが受理された場合に、その文書を正当なものとして受理してもよい。
また、送信者装置2、受信者装置3が有すべき機能の処理内容はプログラムによって記述される。なお、このプログラムは、例えば、古典コンピュータに読み込まれ、これと協働することにより上述の古典情報を取り扱う部分を構成するための古典情報処理プログラムと、古典コンピュータに読み込まれ、これと協働することにより上述の量子情報を取り扱う部分の制御を行うための量子操作制御プログラムとを有する。
すなわち、乱数発生部21、文書記録部24、観測結果受理部27、判断部28、ランダムビット発生部29、制御部210、判断部34、観測結果送信部35、文書記録部36等の古典情報を取り扱う部分は、このプログラムが古典コンピュータに読み込まれることにより構成され、このプログラムに従った処理を行うことにより各処理を実行する。
また、公開鍵生成部22、公開鍵公開部23、署名生成部25、署名送信部26、公開鍵受信部31、スワップテスト部33等の量子情報を扱うハードウェアは、このプログラムが読み込まれた古典コンピュータによる制御に従って各処理を実行する。例えば、量子ビットに光子が用いられる場合、このプログラムが読み込まれた古典コンピュータは、量子操作を行うビームスプリッタ、位相シフタ等の駆動を制御し、これらに目的の量子状態を生成させる。
このような処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよいが、具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、DVD(Digital Versatile Disc)、DVD−RAM(Random Access Memory)、CD−ROM(Compact Disc Read Only Memory)、CD−R(Recordable)/RW(ReWritable)等を、光磁気記録媒体として、MO(Magneto-Optical disc)等を、半導体メモリとしてEEP−ROM(Electronically Erasable and Programmable-Read Only Memory)等を用いることができる。
この発明である再認証不可能な量子電子署名システム、その方法、その送信者装置、その受信者装置、それらのプログラム及びその記録媒体は上記の実施例及び変形例に限定されるものではなく、この発明の趣旨を逸脱しない範囲で適宜変更が可能である。例えば、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、送信者装置2、受信者装置3を構成する各構成は同じ筺体内に存在してもよいし、複数の筺体に分散配置されることとしてもよい。
[具体例]
送信者装置2は、公開量子状態列
(((0.36+0.64i)|0>-(0.61+0.29i)|1>,(0.47+0.55i)|0>-(0.63-0.28i)|1>),
((0.65-0.65i)|0>+(0.24+0.31i)|1>,(0.57+0.60i)|0>+(0.00-0.57i)|1>),
((0.24-0.51i)|0>-(0.78-0.28i)|1>,(0.03-0.15i)|0>-(0.92+0.37i)|1>),…)
を選択して公開する。各公開量子状態はランダムに選択される。
送信者装置2が1ビットの情報0を受信者装置3に送信する場合、送信者装置2はまず
0, (0.61-0.29i)|0>+(0.36-0.64i)|1>
という情報を送信する。
送信者装置2は、公開量子状態列
(((0.36+0.64i)|0>-(0.61+0.29i)|1>,(0.47+0.55i)|0>-(0.63-0.28i)|1>),
((0.65-0.65i)|0>+(0.24+0.31i)|1>,(0.57+0.60i)|0>+(0.00-0.57i)|1>),
((0.24-0.51i)|0>-(0.78-0.28i)|1>,(0.03-0.15i)|0>-(0.92+0.37i)|1>),…)
を選択して公開する。各公開量子状態はランダムに選択される。
送信者装置2が1ビットの情報0を受信者装置3に送信する場合、送信者装置2はまず
0, (0.61-0.29i)|0>+(0.36-0.64i)|1>
という情報を送信する。
この情報を受信した受信者装置3は、受信した署名量子状態と、この署名量子状態に対応する、事前に公開されている公開量子状態列の中の公開量子状態とをスワップテストにかける。具体的には、
((0.61-0.29i)|0>+(0.36-0.64i)|1>,(0.36+0.64i)|0>-(0.61+0.29i)|1>)
という量子状態の組をスワップテストにかける。そのスワップテストの決定結果が「拒絶」であるとする。受信者装置3は、この決定結果を送信者装置2に送る。
((0.61-0.29i)|0>+(0.36-0.64i)|1>,(0.36+0.64i)|0>-(0.61+0.29i)|1>)
という量子状態の組をスワップテストにかける。そのスワップテストの決定結果が「拒絶」であるとする。受信者装置3は、この決定結果を送信者装置2に送る。
次に、送信者装置2は、署名量子状態
(0.24-0.31i)|0>-(0.65+0.65i)|1>
を送信する。この署名量子状態を受信した受信者装置3は、受信した署名量子状態と、この署名量子状態に対応する、事前に公開されている公開量子状態列の中の公開量子状態とをスワップテストにかける。具体的には、
((0.24-0.31i)|0>-(0.65+0.65i)|1>,(0.65-0.65i)|0>+(0.24+0.31i)|1>)
という量子状態の組をスワップテストにかける。そのスワップテストの決定結果が「受諾」であるとする。受信者装置3は、この決定結果を送信者装置2に送る。
(0.24-0.31i)|0>-(0.65+0.65i)|1>
を送信する。この署名量子状態を受信した受信者装置3は、受信した署名量子状態と、この署名量子状態に対応する、事前に公開されている公開量子状態列の中の公開量子状態とをスワップテストにかける。具体的には、
((0.24-0.31i)|0>-(0.65+0.65i)|1>,(0.65-0.65i)|0>+(0.24+0.31i)|1>)
という量子状態の組をスワップテストにかける。そのスワップテストの決定結果が「受諾」であるとする。受信者装置3は、この決定結果を送信者装置2に送る。
次に、送信者装置2は、署名量子状態
(0.24-0.51i)|0>-(0.78-0.28i)|1>
を送信する。この署名量子状態を受信した受信者装置3は、受信した署名量子状態と、この署名量子状態に対応する、事前に公開されている公開量子状態列の中の公開量子状態とをスワップテストにかける。具体的には、
((0.24-0.51i)|0>-(0.78-0.28i)|1>,(0.24-0.51i)|0>-(0.78-0.28i)|1>)
という量子状態の組をスワップテストにかける。そのスワップテストの決定結果が「受諾」であるとする。受信者装置3は、この決定結果を送信者装置2に送る。
(0.24-0.51i)|0>-(0.78-0.28i)|1>
を送信する。この署名量子状態を受信した受信者装置3は、受信した署名量子状態と、この署名量子状態に対応する、事前に公開されている公開量子状態列の中の公開量子状態とをスワップテストにかける。具体的には、
((0.24-0.51i)|0>-(0.78-0.28i)|1>,(0.24-0.51i)|0>-(0.78-0.28i)|1>)
という量子状態の組をスワップテストにかける。そのスワップテストの決定結果が「受諾」であるとする。受信者装置3は、この決定結果を送信者装置2に送る。
以後同様の処理を繰り返す。
送信者装置2が|φ~b (n)>=|φb (n)>となる署名量子状態を送ったのは、n=3,5,…の回のときであり、受信者装置3はそれらのすべての回のときに「受諾」を返信しているとする。また、送信者装置2が|φ~b (n)>=|φ’b (n)>となる署名量子状態を送ったのは、n=1,2,4,…の回のときであり、それらの回に行われるスワップテストにおける決定結果が「拒絶」である確率が十分1/2に近かったとする。
すべての署名量子状態の組の数が十分に多ければ、送信者装置2に中断されることなくプロトコルが遂行される。
送信者装置2が|φ~b (n)>=|φb (n)>となる署名量子状態を送ったのは、n=3,5,…の回のときであり、受信者装置3はそれらのすべての回のときに「受諾」を返信しているとする。また、送信者装置2が|φ~b (n)>=|φ’b (n)>となる署名量子状態を送ったのは、n=1,2,4,…の回のときであり、それらの回に行われるスワップテストにおける決定結果が「拒絶」である確率が十分1/2に近かったとする。
すべての署名量子状態の組の数が十分に多ければ、送信者装置2に中断されることなくプロトコルが遂行される。
[(m+3)/(2(m+2))が閾値となる理由]
一般に次の定理が成立する。定理の証明については後述する。
定理:
以下で定義されるユニタリ行列を引数とする関数V(m,l)(U)の最大値は(m+1)/(m+2)である。
ただし、
としさらに、∫dψは量子状態ψに関してブロッホ球状−様かつ規格化された積分であるとする。
一般に次の定理が成立する。定理の証明については後述する。
定理:
以下で定義されるユニタリ行列を引数とする関数V(m,l)(U)の最大値は(m+1)/(m+2)である。
ここで、Tr1−ρはρの一つ目の量子ビットに関する縮約密度行列(Reduced density matrix)とする(・−は、・の上付きバーを意味する。以下同様である。)。この定理が、送信者装置2及び受信者装置3以外の第三者が行う署名の偽造における限界を示しているのであるが、それは以下の意味においてである。
第三者によってm個の公開量子状態から署名量子状態を偽造しようとすると、その偽造した量子状態は状態密度を用いて、
と表現できる。ここで、ユニタリ行列Uと整数lは第三者の戦略に依存するものである。この量子状態を署名を構成する量子状態として送ると、受信者装置3がこの状態を観測して「受諾」という結果が得られる確率は1−<ψ−|ρ(m,l)(U)|ψ−>/2である。つまり、公開鍵の量子状態はランダムであったという事実から、署名全体の平均を取ると、1−V(m,l)(U)/2と書くことができる。よって、上の定理より、偽造された署名が受信者装置3の観測によって「受諾」が出力される確率は(m+3)/(2(m+2))以上である。したがって、受信者装置3が各署名量子状態ごとに行ったスワップテストにおいて「受諾」という決定結果が得られる確率が、(m+3)/(2(m+2))よりも小さい場合には、それらの署名量子状態は送信者装置2が生成したものであると判断することができる。
[定理の証明]
V(m,l)(U)の上界は次のように求める。
但し、上の式で用いている記号
は次のように定義されているものとする。
この定義の中で用いた記号は以下の意味を持って用いている。
における計算基底である。
V(m,l)(U)の上界は次のように求める。
(2)の一行目の等式は定義(4)と(7)を用いた単純な置換である。(2)の二行目の等式は次に書く二つの関係式を用いる事で正しい事が理解できる。二つ目の関係式は
である。ただし、|ψ>=α|↑>+β|↓>とおいている。二つ目の関係式は
ただし、ψとθ,μはcos(θ/2)|0>+eμsin(θ/2)|1>=|ψ>を持って関連付けられているとする。この関係式は以下のようにβ関数の積分表示を通して確認する事ができる。
(2)の三行目の不等式の符号をいじくるだけの非常に初等的な関係式である。(2)の三行目の式はCauchy-Schwarzの不等式を用いる事で計算可能である。(2)における最後の不等式はVq (n)({a↑,s}s=0 m,{a↓,s}s=0 m)の最大値が
|a↑,s|2+|a↓,s|2=1 (11)
の束縛条件のもとでは
を満たす時に最大値を取りその値はm+1となる事による。ただし、この関係式を使うにあたって必要な束縛条件
|A↑,s|2+|A↓,s|2=1 (13)
は以下の方法で成り立つ事を示せる:Uがユニタリであるという事実から、
が得られる。この関係式を{|m,s>}の基底で見たときの対角成分を書き下すと上述の束縛条件が導出される。以上により(2)が示され、関数V(m,l)(U)の上界が(m+1)/(m+2)である事が示された。
|a↑,s|2+|a↓,s|2=1 (11)
の束縛条件のもとでは
|A↑,s|2+|A↓,s|2=1 (13)
は以下の方法で成り立つ事を示せる:Uがユニタリであるという事実から、
他方、この上界は同時に上限である事をV(m,0)(U^m)=(m+1)/(m+2)を実現するU^mを具体的に構成する事で示す。U^mを構成するには、
を満たすA^(k)∈hom(Cm+1,H)を構成できれば十分である(・^は、・の上付きハットを意味する。以下同様である。)。ただし、A^↑(↓),s (k):=<↑(↓)|A^(k)|m,s>とする。以下に、上述の条件を満たす行列A^(k)を具体的に書き下す:
m=1の場合、
A^(0):=|↓> <1,0|−|↑> <1,1| (15)
m=2の場合、
A^(0):=1/√2|↑> <2,0|+|↓> <2,2|
A^(1):=1/√2|↓> <2,0|−|↑> <2,1| (16)
m=3の場合、
A^(0):=|↓><3,0|+|↑><3,3|
A^(1):=|↓><3,1|−|↑><3,2| (17)
m>3の場合、
A^(0):=a↑,0|↑〉〈m,0|
A^(s+1):=a↓,S|↓〉〈m,s|+a↑,S+1|↑〉〈m,s+1|
A^(m+1):=a↓,m|↓〉〈m,m| (18)
ただし0<s<mとしa↓,s,a↓,sは(11)と(12)を満たす数列であるとする。この条件を満たす数列が存在する事は容易に確認できる。
m=1の場合、
A^(0):=|↓> <1,0|−|↑> <1,1| (15)
m=2の場合、
A^(0):=1/√2|↑> <2,0|+|↓> <2,2|
A^(1):=1/√2|↓> <2,0|−|↑> <2,1| (16)
m=3の場合、
A^(0):=|↓><3,0|+|↑><3,3|
A^(1):=|↓><3,1|−|↑><3,2| (17)
m>3の場合、
A^(0):=a↑,0|↑〉〈m,0|
A^(s+1):=a↓,S|↓〉〈m,s|+a↑,S+1|↑〉〈m,s+1|
A^(m+1):=a↓,m|↓〉〈m,m| (18)
ただし0<s<mとしa↓,s,a↓,sは(11)と(12)を満たす数列であるとする。この条件を満たす数列が存在する事は容易に確認できる。
よってmaxUV(m,l)(U)>(m+1)/(m+2)が示された。
Claims (8)
- 送信者装置と受信者装置とを備える再認証不可能な量子電子署名システムであって、
上記送信者装置は、
乱数を発生する乱数発生手段と、
上記乱数発生手段で生成された乱数から、署名の対象となるビットの正当性を検証するために用いる可能性がある公開量子状態の組を複数生成する公開鍵生成手段と、
上記公開鍵生成手段が生成した複数の公開量子状態の組の列からなる公開量子状態列をm個公開する公開鍵公開手段と、
上記署名の対象となるビットの正当性を検証するために用いる公開量子状態の組ごとに、署名の対象となるビットの値に応じて定まる、署名の対象となるビットの正当性を検証するために用いる公開量子状態と同一又は直交する署名量子状態を、δを0以上1/(m+2)以下の数として、同一の署名量子状態が生成される確率がδ、直交する署名量子状態が生成される確率が1−δとなるように、上記乱数発生手段で生成された乱数から生成する署名生成手段と、
αを所定の数、k1を1/k(1/2)>α/(m+2)を満たす整数k以下1以上の整数として、上記署名の対象となるビットと、上記署名生成手段で生成された署名量子状態のうちのk1個の署名量子状態とを送信する署名送信手段と、
を備え、
上記受信者装置は、
上記送信者装置によって公開された公開量子状態列を受信する公開鍵受信手段と、
上記署名の対象となるビットと、上記k1個の署名量子状態とを受信する署名受信手段と、
上記署名受信手段で受信したk1個の各署名量子状態ごとに、署名量子状態と、その署名量子状態に対応する、上記公開量子状態列に含まれる公開量子状態とをスワップテストにかけて、受諾されるか拒絶されるかを決定するスワップテスト手段と、
上記スワップテスト手段が決定した決定結果を送信する観測結果送信手段と、
上記スワップテスト手段において受諾又は拒絶された確率と、所定の値Aとを比較することにより、上記署名の対象となるビットの正当性を判断する第一判断手段と、
を備え、
上記送信者手段はさらに、
上記受信者装置が送信したスワップテストの決定結果を受信する観測結果受信手段と、
上記観測結果受信手段が受信したスワップテストの決定結果を参照して、上記送信者装置が送信した署名量子状態を用いて上記受信者装置が認証をしたかどうかを判断し、上記送信者装置が送信した署名量子状態を用いて上記受信者装置が認証したと判断することができる場合に、k以下1以上の所定の数k2個の量子状態を署名送信手段に送信させる第二判断手段と、
を備えることを特徴とする再認証不可能な量子電子署名システム。 - 送信者装置が、乱数を発生する乱数発生ステップと、
送信者装置が、上記乱数発生ステップで生成された乱数から、署名の対象となるビットの正当性を検証するために用いる可能性がある公開量子状態の組を複数生成する公開鍵生成ステップと、
送信者装置が、上記公開鍵生成ステップが生成した複数の公開量子状態の組の列からなる公開量子状態列をm個公開する公開鍵公開ステップと、
送信者装置が、上記署名の対象となるビットの正当性を検証するために用いる公開量子状態の組ごとに、署名の対象となるビットの値に応じて定まる、署名の対象となるビットの正当性を検証するために用いる公開量子状態と同一又は直交する署名量子状態を、δを0以上1/(m+2)以下の数として、同一の署名量子状態が生成される確率がδ、直交する署名量子状態が生成される確率が1−δとなるように、上記乱数発生ステップで生成された乱数から生成する署名生成ステップと、
送信者装置が、αを所定の数、k1を1/k(1/2)>α/(m+2)を満たす整数k以下1以上の整数として、上記署名の対象となるビットと、上記署名生成ステップで生成された署名量子状態のうちのk1個の署名量子状態とを送信する署名送信ステップと、
受信者装置が、上記公開鍵公開ステップによって公開された公開量子状態列を受信する公開鍵受信ステップと、
受信者装置が、上記署名の対象となるビットと、上記k1個の署名量子状態とを受信する署名受信ステップと、
受信者装置が、上記署名受信ステップで受信したk1個の各署名量子状態ごとに、署名量子状態と、その署名量子状態に対応する、上記公開量子状態列に含まれる公開量子状態とをスワップテストにかけて、受諾されるか拒絶されるかを決定するスワップテストステップと、
受信者装置が、上記スワップテストステップにおいて決定された決定結果を送信する観測結果送信ステップと、
送信者装置が、上記送信されたスワップテストの決定結果を受信する観測結果受信ステップと、
送信者装置が、上記観測結果受信ステップにおいて受信されたスワップテストの決定結果を参照して、上記送信者装置が送信した署名量子状態を用いて上記受信者装置が認証をしたかどうかを判断し、上記送信者装置が送信した署名量子状態を用いて上記受信者装置が認証したと判断することができる場合に、k以下1以上の所定の数k2個の量子状態を送信させる第二判断ステップと、
受信者装置が、上記スワップテストステップにおいて受諾又は拒絶された確率と、所定の値Aとを比較することにより、上記署名の対象となるビットの正当性を判断する第一判断ステップと、
を備えることを特徴とする再認証不可能な量子電子署名方法。 - 乱数を発生する乱数発生手段と、
上記乱数発生手段で生成された乱数から、署名の対象となるビットの正当性を検証するために用いる可能性がある公開量子状態の組を複数生成する公開鍵生成手段と、
上記公開鍵生成手段が生成した複数の公開量子状態の組の列からなる公開量子状態列をm個公開する公開鍵公開手段と、
上記署名の対象となるビットの正当性を検証するために用いる公開量子状態の組ごとに、署名の対象となるビットの値に応じて定まる、署名の対象となるビットの正当性を検証するために用いる公開量子状態と同一又は直交する署名量子状態を、δを0以上1/(m+2)以下の数として、同一の署名量子状態が生成される確率がδ、直交する署名量子状態が生成される確率が1−δとなるように、上記乱数発生手段で生成された乱数から生成する署名生成手段と、
αを所定の数、k1を1/k(1/2)>α/(m+2)を満たす整数k以下1以上の整数として、上記署名の対象となるビットと、上記署名生成手段で生成された署名量子状態のうちのk1個の署名量子状態とを送信する署名送信手段と、
受信者装置が送信したスワップテストの決定結果を受信する観測結果受信手段と、
上記観測結果受信手段が受信したスワップテストの決定結果を参照して、上記送信者装置が送信した署名量子状態を用いて上記受信者装置が認証をしたかどうかを判断し、上記送信者装置が送信した署名量子状態を用いて上記受信者装置が認証したと判断することができる場合に、k以下1以上の所定の数k2個の量子状態を署名送信手段に送信させる第二判断手段と、
を備えることを特徴とする送信者装置。 - 送信者装置によって公開された公開量子状態列をm個受信する公開鍵受信手段と、
αを所定の数、k1を1/k(1/2)>α/(m+2)を満たす整数k以下1以上の整数として、署名の対象となるビットと、k1個の署名量子状態とを受信する署名受信手段と、
上記署名受信手段で受信したk1個の各署名量子状態ごとに、署名量子状態と、その署名量子状態に対応する、上記公開量子状態列に含まれる公開量子状態とをスワップテストにかけて、受諾されるか拒絶されるかを決定するスワップテスト手段と、
上記スワップテスト手段が決定した決定結果を送信する観測結果送信手段と、
上記スワップテスト手段において受諾又は拒絶された確率と、所定の値Aとを比較することにより、上記署名の対象となるビットの正当性を判断する第一判断手段と、
を備えることを特徴とする受信者装置。 - 請求項3に記載の送信者装置の制御をコンピュータに実行させるための送信者装置プログラム。
- 請求項5に記載の送信者装置プログラムを記録したコンピュータ読み取り可能な記録媒体。
- 請求項4に記載の受信者装置の制御をコンピュータに実行させるための受信者装置プログラム。
- 請求項7に記載の受信者装置プログラムを記録したコンピュータ読み取り可能な記録媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007219794A JP4904224B2 (ja) | 2007-08-27 | 2007-08-27 | 再認証不可能な量子電子署名システム、その方法、その送信者装置、その受信者装置、それらのプログラム及びその記録媒体 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007219794A JP4904224B2 (ja) | 2007-08-27 | 2007-08-27 | 再認証不可能な量子電子署名システム、その方法、その送信者装置、その受信者装置、それらのプログラム及びその記録媒体 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2009055313A JP2009055313A (ja) | 2009-03-12 |
| JP4904224B2 true JP4904224B2 (ja) | 2012-03-28 |
Family
ID=40505983
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007219794A Active JP4904224B2 (ja) | 2007-08-27 | 2007-08-27 | 再認証不可能な量子電子署名システム、その方法、その送信者装置、その受信者装置、それらのプログラム及びその記録媒体 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4904224B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2011130120A (ja) * | 2009-12-16 | 2011-06-30 | Sony Corp | 量子公開鍵暗号システム、鍵生成装置、暗号化装置、復号装置、鍵生成方法、暗号化方法、及び復号方法 |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7359101B2 (en) * | 2004-09-13 | 2008-04-15 | Hewleet-Packard Development Company, L.P. | Tests of quantum information |
| US20090031137A1 (en) * | 2006-02-01 | 2009-01-29 | Nec Cororation | Blind signature method and its system |
| JP4901364B2 (ja) * | 2006-08-14 | 2012-03-21 | 日本電信電話株式会社 | 再認証不可能な量子電子署名システムの処理方法及びその検証者装置 |
-
2007
- 2007-08-27 JP JP2007219794A patent/JP4904224B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2009055313A (ja) | 2009-03-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4555859B2 (ja) | 認証システム、認証方法、証明装置、検証装置、それらのプログラム及び記録媒体 | |
| Curty et al. | Quantum authentication of classical messages | |
| Wang et al. | One-time proxy signature based on quantum cryptography | |
| US20210111883A1 (en) | Quantum tokens | |
| WO2017099117A1 (ja) | 事前計算装置、方法、およびコンピュータ読取可能な記録媒体、並びにベクトル乗算装置、および方法 | |
| TW201320700A (zh) | 署名驗證裝置、署名驗證方法、程式及記錄媒體 | |
| JPWO2006003715A1 (ja) | 量子暗号通信システム | |
| CA2216607C (fr) | Procede de communication cryptographique asymetrique, et objet portatif associe | |
| WO2006114948A1 (ja) | 署名生成装置および署名検証装置 | |
| Hernandez et al. | Finding efficient distinguishers for cryptographic mappings, with an application to the block cipher TEA | |
| Brijwani et al. | Future of quantum computing in cyber security | |
| Wu et al. | Multi-party quantum summation without a third party based on d-dimensional bell states | |
| JP4904224B2 (ja) | 再認証不可能な量子電子署名システム、その方法、その送信者装置、その受信者装置、それらのプログラム及びその記録媒体 | |
| Gao et al. | Quantum secret sharing between m-party and n-party with six states | |
| Cao et al. | Security analysis and improvement of a blind semi-quantum signature | |
| US8750520B2 (en) | Appraising systems with zero knowledge proofs | |
| JP5156078B2 (ja) | 量子暗号通信システムおよび送信装置 | |
| Rohde et al. | Quantum crypto-economics: Blockchain prediction markets for the evolution of quantum technology | |
| JP4901364B2 (ja) | 再認証不可能な量子電子署名システムの処理方法及びその検証者装置 | |
| Das et al. | Challenges and trends on post-quantum cryptography | |
| CN116032639A (zh) | 基于隐私计算的消息推送方法及装置 | |
| Jiráková et al. | Experimentally attacking quantum money schemes based on quantum retrieval games | |
| WO2018127693A1 (en) | Future position commitment | |
| Srivastava et al. | One-shot conclusive multiport quantum dense coding capacities | |
| JP5017645B2 (ja) | 公開鍵認証プログラム及び電子署名プログラム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20090729 |
|
| RD03 | Notification of appointment of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7423 Effective date: 20110812 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20111020 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20111025 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20111129 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111227 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120106 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4904224 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150113 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |