JP6647384B2 - 量子乱数ジェネレータ - Google Patents

量子乱数ジェネレータ Download PDF

Info

Publication number
JP6647384B2
JP6647384B2 JP2018504261A JP2018504261A JP6647384B2 JP 6647384 B2 JP6647384 B2 JP 6647384B2 JP 2018504261 A JP2018504261 A JP 2018504261A JP 2018504261 A JP2018504261 A JP 2018504261A JP 6647384 B2 JP6647384 B2 JP 6647384B2
Authority
JP
Japan
Prior art keywords
detector
signal
light source
random number
light
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2018504261A
Other languages
English (en)
Other versions
JP2018528520A5 (ja
JP2018528520A (ja
Inventor
エリザベス ノルトホルト ジェーン
エリザベス ノルトホルト ジェーン
ジョン ヒューズ リチャード
ジョン ヒューズ リチャード
トーソン ニューウェル レイモンド
トーソン ニューウェル レイモンド
グレン ピーターソン チャールズ
グレン ピーターソン チャールズ
ローシェヴィチ アレキサンダー
ローシェヴィチ アレキサンダー
Original Assignee
トライアド ナショナル セキュリティ リミテッド ライアビリティ カンパニー
トライアド ナショナル セキュリティ リミテッド ライアビリティ カンパニー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from US14/812,623 external-priority patent/US10019235B2/en
Application filed by トライアド ナショナル セキュリティ リミテッド ライアビリティ カンパニー, トライアド ナショナル セキュリティ リミテッド ライアビリティ カンパニー filed Critical トライアド ナショナル セキュリティ リミテッド ライアビリティ カンパニー
Publication of JP2018528520A publication Critical patent/JP2018528520A/ja
Publication of JP2018528520A5 publication Critical patent/JP2018528520A5/ja
Application granted granted Critical
Publication of JP6647384B2 publication Critical patent/JP6647384B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F7/00Methods or arrangements for processing data by operating upon the order or content of the data handled
    • G06F7/58Random or pseudo-random number generators
    • G06F7/588Random number generators, i.e. based on natural stochastic processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Mathematical Optimization (AREA)
  • Pure & Applied Mathematics (AREA)
  • Mathematical Analysis (AREA)
  • General Engineering & Computer Science (AREA)
  • Computational Mathematics (AREA)
  • Electromagnetism (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Optical Communication System (AREA)
  • Photometry And Measurement Of Optical Pulse Characteristics (AREA)
  • Optical Modulation, Optical Deflection, Nonlinear Optics, Optical Demodulation, Optical Logic Elements (AREA)

Description

本発明は、一般に、乱数ジェネレータに関し、より詳細には、量子現象に基づいて乱数を生成する乱数ジェネレータに関する。
関連出願の相互参照
本出願は、2015年7月29日に出願された米国特許出願第14/812,623号明細書の優先権を主張し、同特許出願は、2013年1月30日に出願された米国特許出願第13/754,457号明細書の一部継続出願であり、同特許出願は、2012年8月31日に出願された米国特許出願第13/600,905号明細書の継続出願であり、同特許出願は、2011年9月30日に出願された米国特許仮出願第61/541,675号明細書の利益を主張し、これらの出願すべての内容は、参照によって本明細書に組み込まれる。
政府支援に対する謝辞
本発明は、米国エネルギー省によって与えられた、契約番号DE−AC52−06NA25396の下での政府支援を受けて行われた。政府は、本発明に一定の権利を有する。
コンピュータシステムの多くのアプリケーションは、乱数のストリームへのアクセスを必要とする。典型的なアプリケーションは、暗号法、ゲーム、ならびに統計的サンプリングおよび解析を含む。乱数ジェネレータ(RNG:random number generator)は、電子コンポーネントの熱雑音、放射性崩壊、およびショット雑音など、様々な物理的効果に基づいてきた。他のRNGは、ソフトウェア手法に基づいており、乱数発生のための基礎として、コンピュータユーザの動作のタイミングを使用することができる。うまく設計されたRNGは、一般に、乱数の長い系列を提供することができるが、結局は、生成された数は、完全に統計的に無関係ではなく、より適切には「疑似乱数」であると見なされる。熱雑音またはショット雑音を利用する従来の電気回路ベースのRNGは、集積回路に実装されるとき、過度のウエハ面積を必要とすることがある。上述の内容、および乱数に対する長年の必要性に鑑みて、乱数発生の代替的手法が必要とされている。
A.Einstein "Zum gegenwartigen Stand des Strahlungsproblems" Phys.Zeitschrift 10,185(1909) R.Loudon "The Quantum Theory of Light" 2nd.Ed.,OUP,Oxford 1983 P.L’Ecuyer,R.Simard,"TestU01: A C library for empirical testing of random number generators," ACM Transactions on Mathematical Software(TOMS),v.33 n.4,p.22−es,August 2007 "A Statistical Test Suite for Random and Pseudorandom Number Generators for Cryptographic Applications," NIST SP800−22 National Institute of Standards and Technology(2001) Federal Information Processing Standard(FIPS) Publication 140−2(FIPS PUB 140−2) J.von Neumann,"Various techniques used in connection with random digits",Appl.Math.Ser.,Notes by G.E.Forstyle,Nat.Bur.Stad.,vol.12,pp.36−38,1951 U.V.Vazirani,"Towards a Strong Communication Complexity Theory or Generating Quasi−random sequences from two communicating semi−random sources," 15th Annual ACM Symp. on Theory of Computing,pp.366−378,1983 M.Blum,"Independent Unbiased Coin Flips from a Correlated Biased Source − A Finite State Markov Chain",Combinatorica 6 (2),97−109 "Recommendation for Random Number Generation Using Deterministic Random Bit Generators," National Institute of Standards and Technology Special Publication 800−90 A(2013) H.Zhao and J.Bruck,"Streaming algorithms for optimal generation of random bits," arXiv:1209.0730 [cs.IT] (Sep.2012) D.R.Stinson,"Universal hash families and the left−over hash lemma, and applications to cryptography and computing", J.Combin.Math.Combin.Comput.42,3(2002) J.L.Carter and M.N.Wegman,"Universal classes of hash functions",J.Comp.Sys.Sci.18,143(1979) H.Krawczyk,"LFSR−based hashing and authentication", Lect.Notes Comp.Sci.839,129(1994) Y.Dodis et al,"Randomness extraction and key derivation using the CBC,Cascade and HMAC modes," Lect.Notes.Comp.Sci.3152,494(2004)
本開示は、量子乱数ジェネレータ(「QRNG」)を対象とする。いくつかの実施形態においては、開示されるQRNGは、光の素粒子である光子の不可弁別性に根差した、熱光の強度変動において示されるような、量子物理学の還元できない予測不可能性を捉えることができる。本開示は、QRNG内において、熱光源の量子ランダム性が、いずれの古典的雑音よりも優位に立つことを容易にするための方法、および総合的な統計的ランダム性テストに合格するばかりでなく、熱光源の量子特性に帰することができる予測不可能性(エントロピ)も有する、出力ランダムビットストリームを提供するための方法も対象とする。いくつかの実施形態においては、乱数を必要とする多くの応用例に適した、QRNGの「基本」バージョンが、開示される。他の実施形態においては、暗号論的に真の乱数ジェネレータのための設計標準と親和性のある、QRNGの暗号論的な最大量子エントロピバージョンが、開示される。暗号論的バージョンは、セルフテスト特徴およびフェイルセーフ特徴の両方を含むことができる。どちらの種類の実施形態も、超高レート(Gbpsの数十倍)、低コスト製造、および標準的なコンピュータインターフェースを用いる小さい堅牢なフォームファクタにおける動作に適することができる。
本発明の様々な実施形態のより完全な理解のために、添付の図面との関連において理解される以下の説明に対する言及が、ここで行われる。
いくつかの実施形態に従った、検出された強度および光学的に遅延させられた検出された強度が比較器に送られる、乱数ジェネレータ(RNG)を示す概略図である。 いくつかの実施形態に従った、検出された強度およびデジタル的に遅延させられた検出された強度が比較器に送られる、乱数ジェネレータを示す概略図である。 いくつかの実施形態に従った、比較器に送られる検出された強度および光学的に遅延させられた検出された強度を生成するために平衡検出器が結合された、乱数ジェネレータを示す概略図である。 いくつかの実施形態に従った、検出された強度および光学的に遅延させられた検出された強度がフィルタリングまたは平滑化され、その後、合成される、乱数ジェネレータを示す概略図である。 いくつかの実施形態に従った、平衡検出器のペアのうちの第1の検出器によって検出された強度および電気的に遅延させられた検出された強度が比較器に送られる、乱数ジェネレータを示す概略図である。 いくつかの実施形態に従った、検出された強度がデジタル化され、デジタル的に遅延させられた強度信号およびデジタル化された強度信号が合成される、乱数ジェネレータを示す概略図である。 いくつかの実施形態に従った、検出された強度がデジタル化され、デジタル的に遅延させられた強度信号およびデジタル化された強度信号が合成される、乱数ジェネレータを示す概略図である。 いくつかの実施形態に従った、フロントエンドおよびバックエンドを含み、ランダムビットストリームを出力する、乱数ジェネレータの高水準アーキテクチャのブロック図である。 いくつかの実施形態に従った、デジタル化された出力を生成するために熱光源が使用される、乱数ジェネレータのフロントエンドのブロック図である。 いくつかの実施形態に従った、フロントエンドから入力を受け取り、出力ビットストリームを生成する、基本的な乱数ジェネレータのバックエンドのブロック図である。 いくつかの実施形態に従った、ストリーミング出力を生成する、後処理回路を示すブロック図である。 いくつかの実施形態に従った、フォーマットされた出力を生成する、後処理回路を示すブロック図である。 いくつかの実施形態に従った、最大量子エントロピ乱数ジェネレータの後処理ステージのブロック図である。 いくつかの実施形態に従った、最大量子エントロピ乱数ジェネレータの代表的なエントロピ特性データを示す図である。 いくつかの実施形態に従った、乱数発生の方法を示す図である。 様々な光源についての光源強度と関連付けられた電気信号のスペクトルを示す図である。 様々な光源についての光源強度と関連付けられた電気信号のスペクトルを示す図である。 様々な光源についての光源強度と関連付けられた電気信号のスペクトルを示す図である。 様々な光源についての光源強度と関連付けられた電気信号のスペクトルを示す図である。
本出願および特許請求の範囲において使用される場合、文脈が明らかにそうではないことを指図していない限り、単数形の「a」、「an」、および「the」は、複数形を含む。加えて、「含む(includes)」という用語は、「備える(comprises)」を意味する。さらに、「結合された(coupled)」という用語は、結合されたアイテム間における介在要素の存在を排除しない。
本明細書において説明されるシステム、装置、および方法は、決して限定的なものとして解釈されるべきではない。代わりに、本開示は、様々な開示される実施形態の新規かつ非自明な特徴および態様すべてを、単独で、ならびに互いの様々なコンビネーションおよびサブコンビネーションで対象とする。開示されるシステム、方法、および装置は、いずれか特定の態様もしくは特徴、またはそれらのコンビネーションに限定されず、開示されるシステム、方法、および装置は、いずれか1つもしくは複数の特定の利点が存在すること、または問題が解かれることを必要としない。動作についてのいずれの理論も、説明を容易にするためのものであるが、開示されるシステム、方法、および装置は、動作についてのそのような理論に限定されない。
開示される方法のいくつかについての動作は、提示の便宜上、特定の順序で説明されるが、説明のこの方式は、以下で表明される特定のことばによって、特定の順序付けが必要とされない限り、並べ替えを包含することが理解されるべきである。例えば、順次的に説明される動作は、いくつかのケースにおいては、並べ替えられてよく、または同時に実行されてよい。さらに、簡潔にするために、添付の図面は、開示されるシステム、方法、および装置が、他のシステム、方法、および装置と併用されることができる、様々な方法を示さないことがある。加えて、説明は、開示される方法を説明するために、「生成する」および「提供する」のような用語を時には使用する。これらの用語は、実行される実際の動作の高レベルの抽象化である。これらの用語に対応する実際の動作は、特定の実施に応じて様々であり、当業者によって容易に識別可能である。
乱数は、暗号法において、多くの目的で必要とされ、それらは、暗号化キー、認証キー、ワンタイム署名キー、初期化ベクトル、ランダムチャレンジ、ノンス、パディング値、乱択アルゴリズムを使用する公開キーパラメータの発生、および量子キー配送(QKD)システムのための入力を含む。暗号使用のためには、以下の要件を満たすランダムビットが望まれる。
・ビットは、予測不可能であるべきである。ビットストリームの予測不可能性を定量化する1つの方法は、ストリームの「エントロピ」を用いることである。エントロピは、基本物理量であり、システムにおける決定論の欠如の尺度とすることができる。情報理論においては、メッセージのストリームのエントロピ(時には「シャノンエントロピ」と呼ばれる)は、各メッセージを指定するために必要とされる情報の平均量の尺度である。完全なランダム性を示すビットストリームは、ビット当たり1ビットのエントロピを示す。この状態は、本明細書および当技術分野においては、「最大エントロピ」と呼ばれる。
・ランダムビットを発生させる方法は、ランダムビットによって示されるエントロピの量が、敵によって影響を及ぼされることができないことの保証を提供すべきである。
・ランダムビットを発生させる方法は、受け入れられたアーキテクチャおよび評価方法に準拠すべきである。
開示される量子乱数ジェネレータ(QRNG)は、これらの目標の3つすべてを容易にする。開示されるQRNGおよび方法は、量子現象における本質的な予測不可能性、したがって、エントロピを利用し、暗号法という敵がいる環境において、パラメータ発生のために特に望ましく、今日または将来のいかなる敵も、量子「雑音」を予測すること、またはそれに影響を及ぼすことはできない。これに関して、開示される量子RNGは、(例えば、初期「シード」値に基づいて疑似ランダムビットの系列を発生させる数学的アルゴリズムを使用して)完全に決定論的な因果的プロセスによって発生させられる「疑似ランダム」ビットストリームを生成するだけの他の知られたRNGよりも優れている。そのような疑似ランダムビットストリームは、ランダム性についての標準的な統計的テストに合格することがあるが、それらが持つ唯一のエントロピは、疑似ランダムRNGにシード値を与えるために使用されるビットのそれであり、真にランダムなビットの系列よりもはるかに低いビット当たりのエントロピを示す。単一のランダムビットを用いてシード値を与えられた1010ビットの系列は、1ビットのエントロピしか持たない。対照的に、開示される量子RNGは、還元できない予測不可能な量子効果を使用して、ランダムビットストリームを発生させる、真の乱数ジェネレータである。そのようなビットストリームは、高いエントロピを有することができ、いくつかの実施形態においては、ビット当たり1ビットのエントロピ(すなわち、「完璧な」ランダム性)を示すことができる。言い換えると、開示されるQRNGによって生成された1010ビットの系列は、1010ビットの最大量子エントロピを有することができ−どのビットも先行ビットのすべてが検査されたとしても予測不可能である。他の真の乱数ジェネレータは物理現象を使用して、エントロピを提供しようと試みるが、これらのシステムの多くは古典的に無秩序であるだけで、本質的に予測不可能なわけではない。それらの明らかな予測不可能性は、システムの先行状態の詳細についての知識の不足から来ており、決定論の根本的な欠如から生じてはいない。量子現象、したがって、量子乱数ジェネレータ(QRNG)だけが真に予測不可能である。
開示されるRNGおよび方法は、高レートで、最大量子エントロピを有する乱数を提供することも可能にする。他の知られた方法および装置とは異なり、開示される量子RNGは、単一光子検出を必要とせず、または古典的雑音の寄与を含まない。いくつかの実施形態においては、開示されるQRNGは、最大で44Gbpsのレートで、乱数を提供することを示した。典型的な例においては、開示されるQRNGは、大きい量子信号対古典的雑音比を示し、いくつかの例においては、コモンモード除去を使用することによって、乱数の古典的雑音汚染の最大の源泉の1つを除去または低減するために、差動検出が、使用される。加えて、本明細書において開示されるQRNGは、コンパクトに作成されることができ、製造するのが簡単であることができる。
乱数ジェネレータの代表的な実施形態が、以下で説明される。これらの実施形態は、ボーズ−アインシュタイン統計に従う区別不可能な素粒子としての光子の量子物理学に帰することができる反直感的に大きい量子光強度変動に基づいて、乱数を生成するように構成された光源を含む。QRNGのために利用されることができるこの特性の例は、黒体放射などの熱光における強度変動と、時間的光子ストリームにおける光子集群と、(光束の振幅の平方に比例する)光強度または光強度と関連付けられた電気信号を合成することによって生成される、いわゆるハンブリブラウン−トゥイス強度変動とを含む。
量子光強度変動は、20世紀の初め、最初に黒体の量子力学が研究されて以来(例えば、非特許文献1を参照)、理解されていたが、それらは、ロバートハンブリブラウンおよびリチャードトゥイスが、星の光(または彼らの実験においては、星の電波放出)におけるこれらの変動は、検出器が星の円板を分解することが可能になるように、それらが十分に遠く離れるまで(大気の影響が無視されることができる場合、検出器を動かしてより遠く引き離すと、星の画像についてのそれらの空間分解能が高まる)、2つの異なる検出器において相関があるという洞察を持つまで、科学的ツールとして適用されなかった。これは、分解されない星は、空間的に単一であり、または単一の量子力学的空間モードであるためである。星がひとたび分解されることができると、より多くの空間モードが、存在し、異なるモードからの強度変動は、独立である。したがって、2つの電波アンテナを動かしてますます遠く引き離すことによって、星の直径は、2つの検出器の強度変動における相関が減少したときに観測を行うことによって、直接的に測定されることができる。数十年にわたって、これは、星の大きさを直接的に測定する主要な手段であった。ハンブリブラウンおよびトゥイスと同様に、開示されるQRNGは、以下で説明されるように、乱数を発生させるために、熱源の放射におけるランダムな強度変動を利用する。
光源からの光子は、量子力学的な効果に起因する集群(強度変動)を示すことができる。これの理由は、原子レベルにおいては、光子が原子または分子から放出されるとき、関連する電磁場が存在するためである。その場が、特定の光モードにおいて「高い」とき、他の放出源もそのモードに放出する量子力学的な確率は、高められる。特に、形式的に、同じコヒーレンス時間および波長内の光子は、ボゾン(bosons)と呼ばれる同種素粒子である。モード内に存在する光子が、すでに存在する場合、より多くの光子が、それに加わることを望む。より多くの光子がモード内に存在するほど、より多くの光子が同様にそのモードに放出される可能性はより高くなる。これは、光源の強度が変動する原因となる光子の「集群」を生じさせる。
量子力学的な集群(強度変動)の時間的プロファイルは、完全にランダムであることができる。言い換えると、光源からの光子が1つの単位時間と別の単位時間との間で記憶を示さないとき、1つの時刻における強度変動の存在(または不在)は、別の時刻において強度変動が存在する(または存在しない)可能性に影響を及ぼさない。そのような各単位時間は、光速cによって除算された、光源が生成する波長の幅によって近似される、「コヒーレンス時間」として表現されることができる。本明細書において開示される例示的な実施形態においては、そのコヒーレンス時間は、数フェムト秒のオーダにある。光子の「集群」のランダムな出現を利用することによって、開示される乱数ジェネレータは、高レートで乱数を発生させることができる。
コヒーレンス時間は、開示される乱数ジェネレータが乱数を発生させることができる、理論的な最大スピードを設定する。より多数のモードにおいて光子を発生させる光源を使用することは、開示される乱数ジェネレータが、より速いレートで、ランダムなビットストリームを発生させることを可能にすることができるが、光源によって発生させられている光子をより多数のモードに分割もする。一般的に言うと、光モード当たりより多数の光子は、光子の「集群」の振幅を高めるのに、したがって、発生させられた量子乱数の信号対雑音比を高めるのに有利であることができる。
開示されるQRNGは、光ショット雑音に基づいたランダム性の発生とは異なり、少なくともいくつかの雑音効果を低減するのに十分な大きさの、光束に基づいた量子光強度変動を使用することができる。ショット雑音は、単一の光子のランダムな選択を含むので、それは、より普通に認められる量子現象である。難しさは、単一光子の検出器が、本質的に遅く、高価であること、およびショット雑音の信号対雑音比は、サンプル当たりの光子の平均数の平方根に反比例するので、より速く、より安価な乱数ジェネレータのために、より多数の光子を使用する試みは、サンプル当たり非常に少数の光子を用いてさえも、非常に小さい変動を検出しなければならない(例えば、サンプル当たり平均で10000の光子が存在する場合、量子変動はたかだか1%のレベルにある)システムという結果となることである。これは、古典的雑音からの干渉を拒絶することを難しくする。
しかしながら、量子光強度変動が、使用される場合、単一光子の検出は、不要である。以下で説明される例においては、ナノ秒当たり約103と108の間の光子からなる光束が、便利であり、ナノ秒当たり約106の光子が、一般的である。量子光強度変動の信号対雑音比は、モードの数に依存し、モードの数が、一定である場合、信号対雑音比は、光子の数に比例する。これは、大きい信号および大きい信号対雑音比を有することを可能にする。本明細書において使用される場合、光束とは、約100nmないし約10μmの波長範囲内において、電磁放射を伝搬することを指す。他のスペクトル範囲も、使用されることができるが、少なくとも10MHz、100MHz、1GHz、またはより高い電気帯域幅を有する光検出器は、上で言及された範囲内において、容易に利用可能である傾向にある。光束に対応する電気信号は、1つまたは複数の光検出器を用いて生成される時間的に変化する電圧、電流、またはそれらの組み合わせと関連付けられることができる。便宜的に、そのような信号は、検出器信号と呼ばれることができ、光強度に比例する。したがって、光検出器信号とは、本明細書において使用される場合、いわゆる「2乗」検出によって生成される、またはそれに対応する信号を指す。
光強度に応答して生成された光検出器信号を、同じ光検出器信号の適切に遅延させられた(すなわち、相関を低減または排除するように遅延させられた)バージョンと合成することは、ランダムな変動の質を改善することができる。時間遅延は、(数フェムト(femto)秒以下とすることができる)光源のコヒーレンス時間、および(1ないし10GHzのオーダとすることができる)電子機器の帯域幅によって決定されることができる。遅延が、これらの時間スケールを超える場合、遅延された信号は、遅延されていない信号と独立であることができる。これは、全体的な信号レベルをゆっくりと変化させ、いくつかの電子設計においては、出力ビットにおけるバイアス(例えば、0sよりも多い1s)を引き起こすことがある、電源ドリフトなどの望ましくない特徴を除去する手段を与える。開示される例においては、約10nsと10μsの間の遅延は、一般に満足できるが、遅延は、光源特性および電子機器特性に依存することができる。これらのランダムな変動は、以下で開示されるように、乱数を生成するために使用されることができる。いくつかの光源については、光源光束をファイバおよび他の光学コンポーネント内に結合することによって導入されるスペクトル特徴の生成は、好ましくは回避される。したがって、光アイソレータが、いくつかの実施形態とともに、およびいくつかの光源とともに使用される。例えば、光源に向かって戻る光束の反射は、乱数発生において望ましくない光束コヒーレンスを高める、共振を導入することができる。
様々な熱光源が、使用されることができる。本明細書において使用される場合、「熱光源」または「熱光」という用語は、(光子数の正規分布を有することができる無秩序な光とは対照的に)光子数のボーズ−アインシュタイン確率分布に従って光子が取込まれる1つまたは複数の光場モードを有する、光のことを指す。熱的に分布させられた光源の例は、熱いフィラメント(例えば、白熱電球)からの黒体放射、発光ダイオード(LED)、ならびに適切に構成された電気的に励起された半導体光増幅器(SOA)および光学的に励起された光増幅器を含む。
理想的な光源は、いくつかの特性を所有すべきである。理想的な光源の1つの望ましい特性は、それが低い光強度相関を示すことである。図16Aないし図16Dは、様々な光源の光強度のスペクトルを示している。図16A、図16B、および図16Dは、乱数発生において満足に動作することが予想される光源と関連付けられ、一方、図16Cのスペクトル特徴は、関連する光源が満足できないコヒーレンス特性を示し、適切ではないことがあることを示す。
光モード当たり放出される光子の数を最大化する光源を使用することも、有利であることができる。モードの数を制御することは、結果として得られるビットストリームが、古典的雑音(古典的雑音は、敵によって、または地域のTV局からのRFもしくは電源雑音などの周囲条件からさえも影響を及ぼされることができるので、あまり望ましくない)とは対照的に、量子変動(これらの変動は、根本的に予測不可能であり、敵によって影響を及ぼされることができないので、より望ましい)から導出される高いエントロピを有することを保証するために、重要であることができる。光は、それの空間モード、スペクトル(波長)モード、および偏光モード、ならびに各モードを占める光子の数によって完全に指定されることができ、他のラベルは、必要ではなく、または可能でさえない。空間モードは、2つの種類、すなわち、縦モード(「時間」モードとも呼ばれる)および横モードを有すると考えられることができる。縦モードは、光の伝搬の方向における自由度と関連付けられ、一方、横モードは、伝搬の方向に対して横向きの方向と関連付けられる。熱光源が、1つのモードだけ(縦および横の両方)を有する場合、いずれの量子変動も光源の強度の100%にわたって変化する。このケースにおいては、光の熱的性質は、それの2次の時間コヒーレンス度の測定によって検証されてよい。g(2)(τ)として知られるこの量は、時間的にτだけずれた2つの光強度測定の積から形成される。(例えば、非特許文献2を参照。)それは、ハンブリブラウントゥイス相関の時間領域における類似物と考えられてよく、単一モード熱光については、ゼロの時間遅延において、値2を有する(g(2)(0)=2)。しかしながら、熱光源が複数のモード(縦または横のいずれか)を有する場合、それらのすべては、独立に変動しており、この光源からの光を検出するいずれの検出器も、平均の周囲においてより小さい変動を見る。したがって、光源からの光子ができるだけ少ない光モードに集中されることを保証することは、量子変動の検出を容易にするために有利であることができる。
検出器が検出器のサンプリングレートに敏感である縦モードの数は、検出器のハードウェアまたはソフトウェアを変更することによって調整されることができる。横モードの数も、特定の選択された横モード(または横モードの小さいセット)内の光子以外のすべての光子を排除するために、単一モード光ファイバなどの空間モードフィルタを光源の出力に適用することによって影響を及すことができる。
しかしながら、横モードの数を制限するために、空間フィルタを使用することなどによって、縦または横光モードの数を減らすことは、光源の光パワーを減らすこともできる。光源の光パワーを減らすことは、検出器が変動を検出することをより難しくすることができる。高速光検出器は、一般により高い光パワーを必要とするので、これは、高レートで変動を検出しようと試みるとき、特に当てはまる。したがって、光モードの数を最小化することと、量子変動の高速検出を容易にするために、高い光パワーを維持することとの間には、トレードオフが存在する。光子があまりにも多数の横または縦光モードにわたって分散される場合、量子変動は、光信号において観測される変動の相対的に小さい部分になり、代わって(例えば、電源変動、地域のRF条件からの影響などからの)古典的変動が優位に立つことができる。したがって、そのような光源から生成される、結果として得られるビットストリームにおけるエントロピは、起源的にもはや優位に「量子」ではない。したがって、理想的な光源は、相対的に穏当な数のモードにおいて多数の光子を生成する。
開示されるQRNGは、相対的に穏当な数の横モードにおいて多数の光子を生成する適切な光源を選択することによって、「量子」RNGであるとされた先行する知られたRNGに対する改善を表す。いくつかの実施形態においては、半導体光増幅器(SOA)は、上で説明された基準の多くを満たすので、それらは、有益な光源として役立つことができる。半導体光増幅器(SOA)においては、入力光信号は、誘導放出を通した光子のコヒーレントな追加を通したゲインを経験し、出力におけるより大きい光信号という結果になる。入力信号の不在においては、ゲイン領域内における自然放出という根本的に量子的な現象が発生し、増幅された自然放出(ASE)として一般に知られた出力を生成する。任意の与えられた場モードにおける光子は、ボーズ−アインシュタイン(BE)統計に従う同種の区別不可能な素粒子であるので、これらの状況における各モードにおけるASE光子の数は、熱的に分布させられることが知られている。さらに、SOAの光学的な構造は、少数の横場モードだけが、モード当たり大きい平均光子占有数をもたらす、本開示のための取込まれる単一モードであることを保証する。これが、今度は、ボーズ−アインシュタイン統計に特徴的な、光子集群として知られた、光子占有数における、振幅が大きく、速やかで、ランダムな変動をもたらす。これらの大きい変動は、光子がすでに取込まれた場モード内に放出される光子の確率についての量子力学的な増大から生じ、それは、ボゾン素粒子について成り立つ。対照的に、古典的統計に従う区別可能な粒子は、ショット雑音として知られる、占有数におけるはるかに小さい統計的変動だけを示す。SOAからの熱光におけるランダムなBE変動は、検出回路における電子雑音よりもはるかに大きいことができ、これを、本出願において説明されるRNGとともに使用するための量子ランダム性の優れた光源にする。希土類元素をドープされた、光学的に励起される単一モード光ファイバの長い区域(数メートル)は、ASEの源泉としてしばしば使用されるが、小型化に適していない。対照的に、SOAは、体積が一般に1mm3のオーダにある、市販の電気的に励起されるチップスケールのデバイスであり、きわめてコンパクトなRNGデバイスに容易に統合されることができる。いくつかの実施形態においては、SOA光源は、例えば、インジウムガリウムヒ素リン化物(InGaAsP)などの材料から形成される、望ましいゲイン特性および雑音低減特性を有するウエハを使用して構成されてよい。他の実施形態においては、適切な性能が、「スクラップ」ウエハからのSOAを使用して獲得されてよく、それは、生産コストを低減することがある。現在開示されているQRNGは、光学的に励起された熱光源および電気的に励起された熱光源の両方とともに動作することができるが、電気的に励起された熱光源は、製造およびセットアップがより容易で、より安価であること、より小さいデバイスサイズを示すこと、およびより大きい堅牢性を示すことができる。
SOAは、デュアル偏光SOAまたはシングル偏光SOAのどちらかとして構成されることができる。デュアル偏光SOAは、正方形の横断面を有する導波路を使用することによって、2つの異なる偏光モードを有する光を放出する。他方、シングル偏光SOAは、薄い長方形のような形をした横断面を有する導波路を使用することによって、ただ1つの偏光モードを有する光を放出する。与えられた電気的入力パワーに対して、どちらの種類のSOAも、おおよそ同じ光パワーを出力するが、デュアル偏光SOAは、シングル偏光SOAと同数の光子を、2倍の数のモードにわたって分割する。結果として、シングル偏光SOAは、より高い光子対モード比を有する光を生成することができ、それは、上で説明された理由で望ましい。ランダムな変動が、期間Δtにおいて意図される場合、光源のスペクトル周波数幅Δvは、
を満足する。約5GHzにおける変動に対しては、
13pm以上のスペクトル(波長)幅が、好ましい。
いくつかの実施形態においては、LEDが、量子RNGのための光源として使用されてよい。大きなエリアにわたってすべての角度に放射する電球のフィラメントとは異なり、LEDは、それがその中に放射するモードの数を、それの形状によって制限する。LEDによって生成される横光モードの数を減らすために、マルチモードまたはシングルモード光ファイバなどの空間モードフィルタを用いて、LEDの出力をフィルタリングして、無関係なモードを排除することが有利であることができる。いくつかの実施形態においては、量子ドット技法を使用するシングルモードLEDも、光源として使用されることができ−そのようなLEDは、シングルモードにおいてのみ光を生成するという追加の利点を有する(したがって、空間モードフィルタを必要としない)。LEDは、相対的に廉価な光源であるので、LED光源を使用することはシステムの全体的なコストも減らすことがある。
マルチモードおよびシングルモード光ファイバ以外の空間モードフィルタを使用することも、生産コストを減らすことがある。光ファイバを使用するフィルタリングは、高価であることができる繊細な手順である「バットカップリング」と呼ばれるプロセスを使用して、フィルタを光源とアラインする必要がある。光ファイバの代わりに、1つまたは2つのピンホールを有する障壁が、光源と検出器との間に挿入されてよい。その場合、障壁内のピンホールは、少数の空間モード以外のすべてを排除する空間モードフィルタとして機能する。小さいアクティブエリアを有する検出器も空間モードの数を制限するためのピンホールとして機能することができる。
(それらがもはやレーザとして機能しないように)閾値未満で動作させられるレーザも、低コストの光源として役立つことができる。垂直キャビティ面発光レーザ(VCSEL)は、そのような低コストレーザの例であり、そのような実施形態において使用される。
いくつかの実施形態においては、光検出器は、相対的に短い波長、相対的に低レートで動作する、フォトダイオードであってよい。そのようなフォトダイオードは、より長い波長(例えば、「電気通信」バンド)およびより高レートで動作するフォトダイオードほど高価ではない。
場モード当たり大きい平均光子占有数を有する光源を使用することによって、ランダム量子変動信号は、検出回路において、古典的電子雑音よりもはるかに大きいことができる。結果として得られる大きい量子信号対雑音(QSN)比は、本RNGが、デジタル化および調整の後、光源の量子雑音に帰することができる、堅牢で高レートな最大エントロピの出力を生成することができる(例えば、光変動は、電子デジタル化によって数に変換されることができ、その後、電子機器によって導入されるバイアスまたは相関など、いずれの非ランダムなアーチファクトも、調整アルゴリズムによって除去されることができる)ことを意味する。本明細書において説明される例示的な実施形態は、単一の横モードだけで光子を生成する、または生成するようにフィルタリングされる、光源を含む。しかしながら、他の実施形態は、単一よりも多くの横モードで光子を生成する、または生成するようにフィルタリングされる光源を使用する。いくつかのケースにおいては、より多くの横モードで光子を生成する光源を使用すること、または複数の横モードを可能にするあまり判別力のないフィルタを使用することは、全体としてのシステムの生産コストを減らしながら、適切な性能を達成することができる。
いくつかの実施形態は、1つまたは複数の追加の特性を示す光源を使用してよい。例えば、好ましい光源は、(可視光または近赤外光については数十ナノメートルに対応する)数THzのスペクトル帯域幅を有する。いくつかの好ましい光源は、1550nmの波長領域において動作してもよく、それは、市販の高速な電気通信用の光学および電子コンポーネントの使用を可能にする。また、いくつかの実施形態は、相対的に小さい電力を消費するコンパクトな光源を使用してよい。様々な種類の光源(例えば、SOAおよびLED)が、これらの特性のいくつかまたはすべてを示す。
図1は、補正されていない光強度の比較に基づいた、いくつかの実施形態に従った、乱数ジェネレータ(RNG)100を示すブロック図である。LED、シングルもしくはデュアル偏光SOA、または他の光源などの、光源102は、光源102への後方反射を防止するために使用される曲げられたファイバ終端などの、光アイソレータ104、および光フィルタ105を介して、ビームスプリッタ106に結合される。ビームスプリッタ106は、例えば、ファイバ結合器、プリズムビームスプリッタ、または当技術分野において知られた他の任意の種類のビームスプリッタを使用して実施してよい。ビームスプリッタ106は、光遅延110および第1の光検出器112に伝搬する第1の出力束108を生成する。ビームスプリッタ106は、第2の光検出器116に送られる第2の出力束114も生成する。光遅延110は、光ファイバによって提供されることができる。光遅延の大きさは、検出された光信号における相関が十分に弱められることを保証するように、必要に応じて調整されてよい。
検出器112、116は、光強度に比例する時間的に変化する電圧または電流などの、電気信号を生成するように構成され、これらの信号は、(当技術分野において知られた様々な種類の異なる回路またはプロセッサを使用して実施されてよい)比較器118に結合される。いくつかの実施形態においては、追加の光信号増幅器、バッファ増幅器、および他の処理コンポーネント(図1には図示せず)が、比較器118に結合するための光信号を準備するために使用することができる。比較器118は、第1の光信号と第2の光信号との間の差と関連付けられた差信号を生成し、それは、その後、アナログ−デジタル変換器120に渡され、それは、差信号を一連のランダムビットに変換する。
いくつかの実施形態においては、光遅延110は、デジタル遅延210によって置き換えられる。図2に示すように、光源202は、アイソレータ204を通って検出器206に渡される光束を生成する。検出器206において検出された光束に対応する電気信号は、バッファ増幅器208に結合され、それが、今度は、クロック207によって決定されたレートで2つのビットストリームを生成する、アナログ−デジタル変換器(ADC)209に結合される。これらのビットストリームの一方は、比較器212に直接的に渡されるが、他方は、後で乱数(RN)プロセッサ214によって処理される差信号を生成する比較器212によってそれが受け取られる前に、デジタル遅延210によって遅延させられる。RNプロセッサ214は、例えば、入力ビットストリームをワードに分割し、圧縮を入力ビットストリームに適用し、入力ビットストリーム内に含まれるエントロピの量を測定してよい。
いくつかの実施形態においては、デジタル遅延210は、検出器206において受け取られた光束の強度における相関に基づいて、可変または選択可能な遅延を提供することができる。いくつかの例においては、バッファ増幅器の遅延させられた出力と遅延させられていない出力との間の相関は、バッファ増幅器208の特性、検出器206の特性、および/または増幅器などの他の電子要素の帯域幅の特性と関連付けられる。例えば、検出器は、入力にさらされることと関連付けられた長い過渡状態を示すことができ、それによって、遅延させられた電気信号と遅延させられていない電気信号が、少なくともいくらかは相関するようになり、それは、RNGの全体的な出力におけるエントロピの量を低減する。可変のデジタル遅延を提供することによって、これは、回避されることができる。図2に示すように、RNプロセッサ214は、遅延入力211を使用して、適切な遅延を設定してよく、それが、今度は、デジタル遅延210によって提供される遅延を制御する。
図3を参照すると、乱数ジェネレータ(RNG)300は、光ファイバベースの結合器またはバルク光ビームスプリッタなどの光パワースプリッタ304に光学的に結合された光源302を含んでよい。一般に、反射された光パワーは、図1に示すように、光アイソレータ104を用いて、または後方反射を防止する他の任意の手段を使用して、光源302に戻ることを実質的に防止される。スプリッタ304は、スプリッタ304によって受け取られた光パワーの部分が、それぞれ、平衡検出器ペア308の第1の検出器308Aと、光遅延306とに送られるように、少なくとも2つの光出力を含む。光遅延306の出力は、平衡ペア308の第2の検出器308Bに結合する。図3に示すように、第1の検出器308Aおよび第2の検出器308Bは、平衡検出器ペアとして構成され、それは、光源302の光パワーにおける古典的振幅雑音および他の古典的変動を部分的に抑制するのに役立つ。平衡検出器は、必須ではないが、それらは、一般に、コモンモード雑音の優れた抑制を示し、したがって、(使用される光源に応じて)約1ns、10ns、100ns、1μs、10μs、または100μsよりも長い時間にわたって持続する、大幅に低減された相関を示すことがある、対応する電気信号を生成する傾向にある。
平衡検出器出力は、トランスインピーダンス増幅器などの増幅器312に提供され、それは、バッファ増幅器314に、その後、比較器316に結合される。望ましい場合は、比較器316は、基準源318によって基準電圧を提供することができる。比較器出力は、ランダムビット系列を獲得するために使用することができる。
図4に示される別の例においては、RNG400は、光源402と、アイソレータ404と、光源402によって生成された光束の第1の部分をファイバ遅延408および第1の検出器410に、第2の部分を第2の検出器412に結合するように構成された、光ファイバ結合器406とを含む。検出器410、412からの出力電気信号は、それぞれ、フィルタ414、416、およびアナログ−デジタル変換器(ADC)418、420に結合されることができる。ADC418、420は、それぞれのビットX、Yを、(sgn(ΔV)+1)/2として生成するように構成され、ここで、ΔVは、フィルタ出力電圧変動である。ビット出力X、Yは、XとYとを要望通りに合成するために、ハードウェアまたはソフトウェアで実施することができる、合成プロセッサ424に結合される。例えば、プロセッサ424は、例えば、XとYとのビット毎の排他的論理和(XOR)など、XとYとの選択された論理結合を決定するように構成することができるが、他の合成も使用することができる。例えば、第1および第2の検出器にそれぞれ関連付けられた出力電圧変動ΔV1およびΔV2に対して、以下の合成、すなわち、
{sgn[ΔV1(0)−ΔV2(t)]+1}/2
は、満足できる結果を提供し、ここで、sgnは、符号関数である。単一の検出器が使用され、ただ1つの電圧変動ΔV1しか利用可能でない場合、上記の合成は、ΔV2(t)をΔV1(t)で置換することによって満足できる結果を生成する。
また別の代表的なRNG500を図5に示す。光源502は、平衡検出器ペア506の第1の検出器504に送られる光束を生成し、一方、第2の検出器508は、光束にさらされないままである。図5に示されるように、検出器504、508は、光源502によって生成された光束のスペクトル内容に基づいて選択されることができる、フォトダイオードであり、アバランシェフォトダイオード(APD)またはPIN(p−i−n)フォトダイオードなどの、シリコン、ゲルマニウム、およびInGaAsフォトダイオードが、しばしば便利である。平衡ペア出力に対応する電気信号は、バッファ増幅器510に結合され、バッファされた出力の部分は、ランダム出力ビットストリームを提供するために、直接的に、および遅延512を介して加算ノード514に配送される。
図6を参照すると、乱数ジェネレータ600は、光放射を光検出器604に送るように構成された、LEDなどの光源602を含む。図6に示されるように、光検出器604は、抵抗606と直列に結合された、逆バイアスされたフォトダイオードであるが、他の光検出器構成およびバイアスアレンジも使用することができる。光検出器604によって生成された電気信号は、バッファ増幅器610によって増幅およびバッファリングされ、それの出力は、デジタル化された光信号を生成する、アナログ−デジタル変換器612に送られる。デジタル化された光信号は、614において、レベルシフトされ、616において、(一般にソフトウェアまたはファームウェアで)デジタル的に遅延させられ、ランダムビットストリングを生成するために、XOR618において、遅延させられていない(または異なる遅延が施された)デジタル化およびレベルシフトが施された光信号と合成される。図6に示されるようなRNGの代表的な実施は、5Gb/s以上のレートで、ランダムビットを生成することができる。
図7は、乱数ジェネレータ700の別の実施形態を示している。図7は、光源702と、光検出器704と、増幅器706と、A−D変換器710a、710bと、遅延モジュール708と、合成器712と、バックエンド714とを含む。
光源702は、熱光源であることができ、シングルまたはデュアル偏光SOAを含む、本明細書において説明される光源の種類のいずれかを含むことができる。光源702の出力は、光検出器704に送ることができ、それは、検出された光に応答して、RF信号を出力する。光源702は、自由空間、光ファイバ、または横モード数を制限するための方法を含む他の手段を介して、光検出器704に結合することができる。光検出器704は、好ましくは、(GHz帯域幅を可能にする)高帯域幅、およびフラットな周波数応答を持ち、(例えば、光源702によって放出された波長およびそれの変動のスペクトルのほとんどまたはすべてに実質的に等しく敏感である)。光検出器704からのRF信号は、RF信号を増幅する増幅器706に送られることができる。いくつかの例においては、増幅器706は、トランスインピーダンス増幅器とすることができる。他の実施形態においては、増幅器706は、直列に接続された1つまたは複数の線形増幅器を含むことができる。適切な増幅器706を選択する際に、実質的にフラットなRF応答を有する(例えば、異なるRF周波数にわたって相対的に等しく信号を増幅する)増幅器を見つけることは、重要であることができる。線形増幅器は、相対的にフラットなRF応答を有する傾向にあるので、それらを使用することは、有利であることができる。線形増幅器は、トランスインピーダンス増幅器と比較して、より低いゲインを有することができるが、これは、2つ以上の線形増幅器を直列に接続することによって補償することができる。
増幅器706からのRF出力は、その後、例えば、電子スプリッタを使用して、2つのストリームに分割することができる。一方のストリームは、アナログ−デジタル(A−D)変換器710aに直接的に渡すことができる。他方のストリームは、アナログ遅延モジュール708を介して、A−D変換器710bに渡すことができる。遅延モジュール708は、ハードウェアで実施することができ、近似的に7nsだけ信号を遅延させることができるが、より長いまたはより短い遅延も、可能である。いくつかの例においては、遅延モジュール708は、0sだけ信号を遅延させる(例えば、まったく遅延がない)ことができる。他の実施形態においては、遅延モジュール708は、ハードウェアおよび/もしくはソフトウェア設定に応じて、または乱数ジェネレータ700の出力において検出されるいずれかのバイアスもしくは相関に応じて、ゼロ秒を含む可変時間だけ信号を遅延させるように再構成されることができる。好ましくは、遅延モジュール708は、以下で説明される合成器712または他の処理システムへの十分に独立した入力を生成するように構成される。
図7に示されるように、遅延モジュール708は、A−D変換器710bの上流に配置され、したがって、アナログ遅延モジュールである。他の実施形態においては、別の別個のデジタル遅延モジュール(図示せず)は、A−D変換器710bと合成器712との間に挿入することができる。そのようなデジタル遅延モジュールも、以下で説明される合成器712または他の処理システムへの十分に独立した入力を生成するために、信号を遅延させることができる。遅延モジュール708と同様に、デジタル遅延モジュールは、おそらくは、ゼロ秒を含む可変時間だけ信号を遅延させるように再構成することができる。しかしながら、遅延モジュール708とは異なり、このデジタル遅延モジュールは、アナログ信号の代わりにデジタル信号を遅延させるように構成することができる。
いくつかの例においては、A−D変換器710a、710bは、比較器として機能する1ビットデジタイザとすることができ、例えば、RF信号が、ある閾値を上回る場合、A−D変換器は、論理ハイを出力することができ、それ以外の場合、A−D変換器は、論理ローを出力することができる。A−D変換器は、システムクロックの立ち上がりエッジまたは立ち下がりエッジにおいて、データを記録するように構成されることができる。A−D変換器710a、710b両方の出力は、その後、合成器712に送られることができる。いくつかの例においては、合成器712は、単純なXOR関数とすることができるが、他の種類の合成器も可能である。合成器712の出力は、高いエントロピを有する実質的にランダムなビットストリームであることができ、ここで、その中に含まれるエントロピは、(古典的雑音からのものとは対照的に)起源的に量子である。合成器712の出力に対して行われた統計的テストは、この構成が、少なくとも99.7%量子力学的にランダムであるビットストリーム(すなわち、出力のビット当たり0.997ビットの量子エントロピを有するビットストリーム)を生じさせることができることを示す。しかしながら、これは、理論的な最大ではなく、この種類のQRNGが、使用されるコンポーネントに応じて、最大に迫る量子ランダム性(すなわち、出力ビット当たり1ビットの量子エントロピ)を生成することが可能である可能性がある。ランダム性のテストは、(処理がハードウェア出力における不具合を曖昧にしないように、いかなるアルゴリズム処理ステップにも先立って、ランダム性のテストが、合格されなければならないことを必要とする)NIST(国立標準技術研究所)SP800−90Bドラフト標準の要件に準拠して、いずれの後処理にも先立って、合成器712の出力に対して適用することができる。
合成器712の出力は、出力にSHA512などのセキュアハッシュアルゴリズム(SHA)を適用する、バックエンド714に光学的に提供されることができ、それは、出力を、NIST(国立標準技術研究所)SP800−90Bドラフト標準に準拠させることができる。SHA512を適用することは、多層防御を追加し、したがって、開示される乱数ジェネレータのセキュリティを高めることができる。いくつかの例においては、バックエンド714は、フィールドプログラマブルゲートアレイ(FPGA)として実施されることができる。バックエンド714は、標準的なコンピュータシステムと容易にインターフェースを取ることができる形式で、ビットストリームを提供するように構成することもできる。加えて、バックエンド714は、サーバまたはパーソナルコンピュータなどのコンピュータシステムによってコールされることができる、コール機能を実装することができる。コンピュータシステムが、「コール」信号をバックエンド714に送ったとき、バックエンド714は、コールしたコンピュータシステムに乱数を送り返すことによって、応答することができる。十分に速い電子機器を用いると(例えば、十分な帯域幅を有する光検出器、増幅器、A−D変換器、合成器、および/またはバックエンドを用いると)開示される乱数ジェネレータは、最大で毎秒6.2Gbitのレートで、ランダムビットを発生させることが可能であることが示された。理論的には、さらに速い電子機器を用いると、現在開示されている乱数ジェネレータは、毎秒数テラビットのレートで、ランダムビットを発生させることができる。しかしながら、コストが、関心事である場合、開示されるQRNGは、より遅いがより安価なバックエンド電子機器(例えば、より遅い検出器、デジタイザなど)を用いても機能する。より遅いがより安価なバックエンド電子機器を使用することは、開示されるQRNGのコストを下げることを容易にすることができる。
他の実施形態においては、A−D変換器710a、710bは、マルチビットデジタイザとすることができる。例えば、A−D変換器710a、710bは、一度に単一のビットではなく、検出されたRF信号の強度と相関する8ビットからなる「ワード」を出力することができる。8ビットワードも、合成器712によって合成されるために送ることができる。そのような実施形態においては、合成器712から来たビットストリームは、望ましくない相関およびバイアスを示し、したがって、完全ではないエントロピしか示すことができない。ここで説明される例示的な実施形態においては、出力ビットストリームは、8ビット毎にたかだか4ビットのエントロピしか示すことができない。したがって、実質的に最大量子エントロピを有するより短いビットストリームを抽出するために、バックエンド714において、(以下でさらに詳細に説明される)エントロピ抽出機能を適用することが必要である。十分に速い電子機器を用いると、マルチビットデジタイザおよびエントロピ抽出機能を使用する実施形態は、シングルビット実施形態と少なくとも同じ速さで、ランダムビットを発生させることができる。
図8に示される他の代表的な実施形態においては、開示されるRNGは、物理的エントロピ源「フロントエンド」802と、エントロピ抽出「バックエンド」804とを有する、暗号的に真の乱数ジェネレータ(TRNG)800のための高水準アーキテクチャに従って、構成されることができ、「最大エントロピ」(物理ビット当たり1ビットのエントロピ)を有する、互いに独立で同一の分布に従う(i.i.d.)出力ビットのストリーム806を生成する。「フロントエンド」802は、以下で説明される実施形態ばかりでなく、先に開示された実施形態のいずれかを少なくとも一部は使用して実施することができる。いくつかの例においては、フロントエンド802およびバックエンド804は、ともに、単一のモノリシックチップ上において実施することができる。他の実施形態においては、フロントエンド802およびバックエンド804は、別々のチップ上において実施することができる。いくつかの実施形態においては、フロントエンド802およびバックエンド804は、複数の別々のハードウェアおよび/またはソフトウェアモジュールとして実施することができる。また他の実施形態においては、フロントエンド802は、例えば、ネットワークを通して、バックエンド804に間接的に結合されることができ、2つのコンポーネントは、地理的に離れていることができる。
(光源を含む)フロントエンド802およびバックエンド804を単一のモノリシックチップ内において実装することは、開示されるQRNGのコストを下げるために有利であることができる。単一のチップ上にあらゆるものを実装することは、光源をシングルモードフィルタとアラインするなど、異種コンポーネントをアラインするのに必要とされる、時間、労力、およびコストを少なくすることができる。いくつかの実施形態においては、光源は、例えば、シリコン上に付着させられたゲルマニウムを使用する、チップ上において、シリコン内に統合されることができる。
図9は、代表的なRNG「フロントエンド」802をより詳細に示している。RNGフロントエンド802は、4つの要素、すなわち、(1)それの光出力パワーのランダム変動が、量子起源のエントロピ源を提供する、熱光源902と、(2)熱源の出力を登録する、マルチGHz帯域幅光検出器904と、(3)検出器出力を電圧に変換する、トランスインピーダンス増幅器(TIA)906と、(4)毎秒数ギガサンプルのレートで(GSampleまたはGSとも呼ばれるギガサンプルは、10億サンプルである)、源泉から導出された雑音のある電気信号をデジタル化する、アナログ−デジタル変換器(ADC)908とを有することができる。0と同数の1が発生させられていることのチェックなど、相対的に単純な健全状態および/または基本ランダム性のテストも、このステージにおいて行うことができる。
いくつかの実施形態においては、熱光源902は、上で説明されたシングルまたはデュアル偏光半導体光増幅器(SOA)とすることができる。以下の実施形態においては、説明を容易にするために、以下のパラメータ、すなわち、(1)ASE中心波長、λ=1558nm、(2)光3dB帯域幅、82.3nm、または周波数単位で、10THz、(3)光ゲイン、G=27.7dB、および(3)雑音指数、8.1dB、または雑音係数、χ=6.5を有するシングル偏光SOAが、仮定される。以下においては、他の種類の光源も、パラメータの適切な置換を行って、同様に使用されることができる。
SOA熱光出力は、線形領域において動作する、高帯域幅(本開示については20GHz)の電気通信標準光検出器904にファイバ結合される。いくつかの実施形態においては、SOAの出力は、3dB帯域幅Bopの光フィルタ(図示せず)を通して、スペクトル的にフィルタリングされることができる。図9に示された実施形態においては、SOAの最大スペクトル出力、Bop=10THzが、光検出器904によって受け取られる。検出器の電気的出力は、トランスインピーダンス増幅器(TIA)906に結合され、その後、アナログ−デジタル変換器(ADC)908を使用して、高レートでサンプリングされる。サンプリングビン時間の逆数が、電子的帯域幅Belを設定し、この例示的な実施形態においては、電子的帯域幅は、数GHzに設定されることができる。SOA出力は、単一の横モードであるが、本RNGについては、M=Bop/Belの縦モードが、デジタル的にサンプリングされた信号に寄与する。例えば、Bel=1GHzを用いると、Mないし10000の縦モードを得る。
与えられた縦モードがnの光子を含む確率は、ボーズ−アインシュタイン(BE)確率分布
によって与えられ、ここで、平均光子数NBE=<nsp>、分散varBE=<nsp>(1+<nsp>)、および<nsp>=χ(G−1)である。上で説明されたSOAパラメータを用いると、NBEは、縦モード当たり近似的に4000の光子に対応する。このモード当たりの占有数は、白熱光源を用いて実現可能であるよりもはるかに大きく、本RNGのフロントエンドによって生成されるビット当たり大きい量の量子エントロピのための基礎である。
SOAゲインGおよび雑音係数χが波長とは無関係であるという近似を行うと、PD/TIA/ADCシステムが1つのサンプリングビン内においてnの光子を検出する確率は、M重の退化BE分布または負の2項(NB)分布
によって与えられ、ここで、
は、サンプリングビン当たり検出された光子の平均数である。NB光子数分散は、
によって与えられる。
この式の右辺において、第1項は、光子が区別可能な古典的粒子である場合でさえも存在する、統計的(ショット雑音)変動に対応し、一方、第2項は、自然放出の量子現象から、およびすでに光子を含むモード内に放出される同種ボゾンとしての光子についての量子的に強化された振幅(「集群」)から生じる、量子変動に対応することが注目される。波長とは無関係のSOAゲインおよび雑音係数という近似を用いると、
を得る。したがって、RMS光子数量子変動
は、縦モードの数M、したがって、デジタル化時間ビン幅とは無関係の、(上で与えられたχおよびGの値に対して、近似的に62である)
倍された光子数ショット雑音RMS変動
よりも大きい。これは、他のRNGとは対照的に、本RNGのデジタル化された出力のエントロピの大きい成分が、根本的に量子的な起源を有することを意味し、それは、以下のように定量化されることができる。
検出器およびTIAのデジタル化された出力電圧Vは、RMS値σVを有する変動確率分布を有し、それは、電子雑音RMS変動σelと、光子数ショット雑音RMS変動σshot,Vと、量子RMS変動σQ,Vとの2乗和平方根(RSS)
として表現されることができる。
サンプリングビン当たり検出される光子の平均数
は、SOAからの平均光パワーPに比例し、電子雑音、光子数ショット雑音、および光子数量子雑音の、デジタル化されたビットストリームのエントロピに対する寄与は、σVをPの関数として測定し、結果を現象論的モデル
に当てはめることによって決定されることができることに留意されたい。
ここで、a、b、およびcは、特定のデジタル化時間ビン幅についての定数であり、
を得る。量子信号対雑音パラメータは、
として定義される。
本RNGは、SOAの典型的な動作点(平均光パワーP)において、QSN=7.3を有し、それは、非常に小さい単一光子またはショット雑音信号にそのほとんどが本質的に依存する、いずれの競合RNGよりもはるかに大きい。したがって、本RNGは、それの光源内にエントロピの堅牢な量子成分を有し、それは、それの非常に高いビットレート、およびそれの出力の予測不可能性についてのセキュリティ保証の両方を可能にする特徴である。
実際には、SOAのゲインおよび雑音係数は、光帯域幅にわたって一定ではない。しかしながら、上記の式は、SOA出力光パワーの関数としての変動に対する現象論的適合のために使用されることができ、量子雑音成分が分離されることを可能にする。
本明細書において「RNG基本」実施形態と呼ばれる、一実施形態においては、開示されるRNGは、最大で6Gbpsのレートで、出力ビットストリームを提供することができる。この出力ビットストリームは、圧倒的に量子起源であるビット当たりエントロピを有し、NISTテストスイート(非特許文献4を参照)よりも総合的である、TestU01ソフトウェアライブラリ内の統計的ランダム性テストスイートSmallCrush(SmallCrushは、その全体が参照によって本明細書に組み込まれる、非特許文献3において説明されている)に合格することができる。RNG基本実施形態においては、フロントエンド802におけるADC908は、望ましくないバイアスおよび相関を有するビットストリームを生成する比較器である。ビットストリームは、出力ビットストリーム806を生成するときに、これらの特徴を除去するために、ストリーミング調整アルゴリズムを実装するバックエンド804に入力される。
図10は、「RNG基本」実施形態に従った、代表的なRNG「バックエンド」804をより詳細に示している。RNG基本実施形態に従うと、RNGバックエンド804は、フロントエンドADC802によって提供された入力910から独立したバイアスのないランダムビットを生成するためのストリーミングアルゴリズムを適用するように構成された、調整器1002を含むことができる。RNGバックエンド804は、熱光源における量子雑音から生じる、ビットストリングにおけるエントロピの量を推定するための、モデル(図示せず)を実装するためのハードウェアおよび/またはソフトウェアも含むことができる。モデルは、以下の図14に関連してより詳細に説明されるように、光源に供給される電力を変化させることによって、量子エントロピの量を推定することができる。RNGバックエンド804は、出力ビットストリームの基本ランダム性テストも行うことができる。1つのそのようなランダム性テストは、国立標準技術研究所によって2001年に発行され、2002年に更新された、(その全体が参照によって本明細書に組み込まれる)非特許文献5において説明されているような、FIPS 140−2ランダム性テストである。
一定であるが、必ずしも知られていないバイアスを有する、独立したランダムビットのケースのために、フォンノイマンアルゴリズム(この詳細は、非特許文献6において見出されることができ、非特許文献6のすべての内容が参照によって本明細書に組み込まれる)は、独立したランダムビットのより短いバイアスのないストリームを生成するために、ストリーム毎に適用することができる。このアルゴリズムの非常に都合がよい特徴は、バイアスのない出力を達成するために、エントロピ源の動作点を微調整する必要性を、それが取り除くことである。しかしながら、RNG基本フロントエンド上の比較器の出力は、次のビットのバイアスが現在のビットに依存し、すなわち、短い範囲の相関が存在するという特徴を有することができる。これは、「僅かにランダムな」源泉と呼ばれており、ビットストリームに適用されて、独立したバイアスのないランダムビットを生成することができるブールアルゴリズムは、存在しないことが知られている。さらに、これらの状況におけるフォンノイマンのアルゴリズムの使用は、それが解決するより多くの問題を導入することができる。
しかしながら、長い範囲の相関の不在のために、出力ビットストリームおよびそれ自体の適切に遅延させられたバージョンが、独立した僅かにランダムな源泉を構成することを考えると、独立したバイアスのないビットを生成するために、知られたアルゴリズムを適用することができる。そのような知られたアルゴリズムは、例えば、(その全体が参照によって本明細書に組み込まれる)非特許文献7によって開示されているものを含むことができる。具体的には、調整器1002は、出力ビットストリームの、それ自体の遅延させられたバージョンとのビット毎のXORを(ストリーム毎に)適用することができ、すなわち、各「新しい」ビットxiは、mビット位置だけ「より古い」ビットxi-mとのXORを取られて調整された出力ストリーム
を与える。ここで、オフセットmは、総合的な統計的テストスイートに合格する出力を与えるように選択され、ひとたび選択されると、固定することができる。この方式は、それが、単純な高速電子論理回路を用いて容易に実施することができるという特徴を有する。いくつかのビットからなる系列は、オフセット系列内の対応するビットとXORを取られることができ、ビットストリームの何らかの圧縮という結果となることを、当業者は理解するが、本開示については単一のビットどうしでXORを取るだけである。
6Gbpsでのストリーミングランダムビットストリングを受け入れることができる応用例について、バックエンドは、図11に示されるようなハードウェアで実装されることができる。また、他の応用例は、ビットストリームに対するPCインターフェースを必要とすることがあることを理解して、PCによって直接的に読むことができる出力を与えるために、図11に示されるストリーミング出力を受け入れ、それを図12に示されるようにフォーマットする、追加のハードウェアステージを実施することができる。
図11は、いくつかの実施形態に従った、例示的なバックエンドを示すブロック図である。フロントエンド内の光検出器からのランダムに変動するアナログ信号は、トランスインピーダンス増幅器1102によって増幅され、比較器1110の一方の入力に提供されることができる。他方の比較器入力は、ユーザによって一定のDCレベルに設定されることができ、時間の半分はこの一定のDCレベルよりもアナログ入力がより小さくなり、時間の半分はより大きくなるようにする。
光検出器からのアナログ信号は、本質的に非同期であることができる。出力ビットの安定したストリームを生成するために、比較器は、周期的なクロック信号を必要とする。この信号は、外部の6GHz発振器1105から発生することができ、その出力は、6GHzバンドパスフィルタ1106を通過させられて、その後、ファンアウトバッファ1104を駆動する。ファンアウトバッファ1104は、クロックパルスの称賛のペアを生成し、それらは、比較器1110を駆動する前に、いずれのDC電気レベルも除去するために、DCブロックのペア1108a、1108bを通過する。
比較器1110は、相補的なクロックパルスを受け取り、クロックサイクル毎にアナログ信号の振幅を評価する。アナログ信号が基準電圧よりも大きい場合、それは一方の相補的な論理状態(例えば、[1,0])を出力し、アナログ信号が、基準電圧よりも小さい場合、それは反対の称賛の論理状態(例えば、[0,1])を出力する。この回路の別の実施形態においては、比較器1110は、その値がアナログ信号と基準電圧との間の差の大きさに依存する、より多数のビットを出力するアナログ−デジタル変換器1112を用いて置換することができる。
比較器1110によって出力された称賛の信号は、電圧レベルをファンアウトバッファ1118の入力にとって正しい値に設定する、1dB減衰器のペア1114a、1114bと、DCブロックのペア1116a、1116bとを通過させることができる。このファンアウトバッファ1118は、それの入力における称賛の信号の2つのコピーを出力することができる。一方のコピーは、長い経路1120に送られ、他方は、短い経路1122に送られる。これら2つの経路は、論理XOR1124への2つの入力として再結合することができ、それは、2つの入力のXORである単一の称賛のビットストリームを出力する。この称賛のデータストリームは、再度、DCブロックのペア1128a、1128bを通過させられ、出力ポート1130、1132において、ユーザに利用可能になるようにされる。ユーザは同期の目的で、1103においても、6GHzクロックのコピーを提供される。この回路の他の実施形態は、XOR1124を、他の調整プロセス1126を用いて置換することができる。
図12は、いくつかの実施形態に従った、図11に示した回路から出力されたものなどのビットのストリームを処理して、コンピュータによる解釈に適した形式にすることができる、回路を示している。この回路は、2つの入力ポート1202において、6GHzで、ランダムに選択されたビットの相補的なストリングを受け取る。回路は、6GHzの代わりに、3GHzで入力ビットストリームに同期させられている、入力クロック信号1218も受け取ることができる。このクロック信号は、375MHzで称賛のクロック信号を発生させる、1/8分周器1212に渡されることができる。この信号は、375MHz信号の2つの同一のコピーを発生させることができる、ファンアウトバッファ1210に入力することができる。一方のコピーは、クロックパルス毎にランダム源1202からの1ビットを記憶する、D型フリップフロップ1208をトリガするために使用することができる。フリップフロップの相補的な出力は、375MHzでサンプリングされた単一のビットであり、それは、1:4デマルチプレクサ1204に渡されることができる。ファンアウトバッファ1210からの他方の出力は、187.5MHzでクロック信号を生成するために、1/2分周器1206に渡すことができる。1:4デマルチプレクサ1204は、入力データを375MHzのデータレートでサンプリングし、クロックレートの4分の1で、4ビット幅の並列出力信号を生成する。この4ビット幅の信号は、すべての4ビット幅信号を集めて、コンピュータによって容易に解釈されることができるフォーマット1216にする、低電圧差動信号(LVDS)入力−出力端末1214に送ることができる。
本明細書において「RNG−FQE(最大量子エントロピ)」実施形態と呼ばれる、別の実施形態においては、開示されるRNGは、ビット当たり1ビットの量子起源の(以下で定義される)最小エントロピを有する、出力ビットストリームを提供することができる。この実施形態は、最大で44Gbpsのオフラインレートで示される。RNG−FQE実施形態においては、フロントエンド802におけるADC908は、8ビットワードをバックエンド804に出力する、マルチビットデジタイザである(これは、フロントエンド802におけるADC908が、単純に1度に1ビット、ビットストリームを出力する、単純な比較器である、RNG基本実施形態と対照的である)。より長いまたはより短いワードも可能である。
図13は、RNG−FQE実施形態に従った、代表的なバックエンド804である。ADC908からの8ビットワードは、第1の調整ステージ1302を通過させられ、それは、光源902および検出システム(904、906)の最大エントロピを有する独立したバイアスのないランダムビットのストリーム1303を出力する。この第1の調整ステージ1302は、このビットストリームのランダム性に堅牢性も提供し、それは、SOAまたは検出電子機器動作点における遅い変化を自動的に補償する。第1の調整ステージによって適用されるこの補償は、(その全体が参照によって本明細書に組み込まれる)(1985年2月14日に受理され、1985年12月28日に改定された)非特許文献8において開示されているアルゴリズムを使用して、実施されることができる。対照的に、RNG基本実施形態においては、バイアス設定点を慎重に選択することを必要とすることができる。第2の調整ステージ1304は、ビットストリームにランダム抽出器機能を適用することができ、それは、最大量子エントロピを有するより短い出力ビットストリーム1305を生成する。最後に、望ましい場合は、このビットストリーム1305は、NIST(国立標準技術研究所)推奨の暗号的に決定論的なランダムビットジェネレータ(DRBG)1306に入力されることができ、それの出力ビットストリーム1307は、暗号目的で使用されることができる。NIST標準は、(そのすべての内容が参照によって本明細書に組み込まれる)非特許文献9において見出されることができる。最後のDRBGステージは、さらなるセキュリティ堅牢性および多層防御を提供し、出力は、量子雑音源内に不具合が存在してさえも、ランダムから統計的に区別不可能であり続ける。
先に説明されたように、RNG−FQE実施形態は、RNG基本の(1ビット)比較器の代わりに、8ビットデジタイザを、フロントエンドのADC出力として使用することができる。この8ビットデジタイザは、毎秒3GSampleのデジタル化レートで、動作することができる。他のデジタイザワードサイズおよびレートも、可能である。各サンプルは、光検出器の出力電圧を、したがって、光源からの光パワーを表す、8ビットワードを生成することができる。定常状態において、サンプリングされたパワーの分布は、電子雑音と、光ショット雑音と、ボーズ−アインシュタイン(量子)雑音との畳み込みである、RMS変動によって特徴付けられる。これらの雑音成分は、図14に示されるような、平均光パワーの関数としての変動を測定することによって分離することができる。
図14は、縦Y軸にμW単位の2乗平均平方根(RMS)光強度変動を、横X軸にμW単位のフロントエンド光源からの平均光パワー出力を示している。データライン1404は、開示されるQRNGの一実施形態を使用した、光パワーの関数としての、実験的に観測されたRMS変動を示す。モデルライン1410は、NB光子数についての先に説明された式
を使用した、光パワーの関数としての、予測されるRMS変動を示す。
見て分かるように、モデルライン1410とデータライン1404との間には、緊密な対応が存在し、モデルが、良好な予測力を有することを示す。この図の目的では、以下のパラメータが、利用され、すなわち、サンプル当たりの平均光子数は、4.3×106に等しく、典型的な動作電力は、1700μWに設定され、モードの数Mは、8000に設定された(このケースにおいては、8000の縦モード×1つの横モードの、合計で8000のモード)。ショット雑音ライン1406は、この式の右辺の第1項に対応し、先に説明されたように、この第1項は、光子が区別可能な古典的粒子である場合でさえも存在する、統計的(ショット雑音)変動に対応する。ボーズ−アインシュタイン雑音ライン1408は、この式の右辺の第2項に対応し、先に説明されたように、この第2項は、自然放出の量子現象から、およびすでに光子を含むモード内に放出される同種ボゾンとしての光子についての量子的に強化された振幅(「集群」)から生じる量子変動に対応する。
ゼロ光パワー1402において、RMS変動は、電子雑音成分によって支配される(電子雑音は、光ショット雑音とは異なり、光パワーに関わらず、一定である。それは、このグラフには示されていないが、示されるとしたならば、それは、水平なラインとなる)。通常の動作点1412において(近似的に1700μWの光パワーにおいて)、変動は、量子成分によって支配される。(以前のように)量子信号対雑音(QSN)パラメータを、ボーズ−アインシュタイン変動の、変動の電子雑音成分とショット雑音成分との畳み込みに対する比として定義すると、通常の動作点において、7.3という大きいQSNという結果となり、すなわち、出力エントロピは、量子起源の雑音1408によって強く支配される。これを定量化するために、測定されたデジタイザ出力確率分布のシャノンエントロピ
が、評価される。
ここで、総和は、すべての8ビットデジタイザ出力からなる集合X上において行われ、
P(x)は、ワードxが生じる測定された確率である。通常の動作出力、および毎秒3GSampleのデジタル化レートにおいて、これは、H=4.89ビットという結果となる。しかしながら、暗号目的では、われわれは、最小エントロピ
=−log2max
により関心がある。
これは、敵が、最も可能性のある出力を選択する最適な戦略を使用して、出力を推測する確率を捉え、それは、測定された確率Pmaxを有する。したがって、H=4.07ビットである。QSNについての先の分析から、この最小エントロピの99.6%は、ボーズ−アインシュタイン(量子)雑音に帰することができる。したがって、デジタイザ出力は、これらの動作条件の下で、8ビットサンプル当たり4.05ビットの量子最小エントロピを含む。これは、バックエンドのランダム抽出器ステージのためのパラメータを設定し、それらは、定常状態の平均光出力パワーおよびそれの分散をモニタリングすることによって決定される。別の例においては、毎秒12GSampleで、サンプル当たり4ビットのデジタル化を行うと、このエントロピ推定は、サンプル当たり3.78ビットの量子最小エントロピを、したがって、本文書のどこかで述べられた44Gbps FQEランダムビットレートをもたらした。
デジタイザ出力ワードは、相関およびバイアスのせいで、エントロピ抽出器へのランダムビットの源泉として、直接的に使用することはできない。第1の調整ステージ1302は、マルコフ過程としてモデル化することができる、デジタイザ出力を取得し、源泉の推移確率についての事前知識を必要とせずに、源泉の最大シャノンエントロピを有する、独立したバイアスのないビットのストリーミング出力1303を生成する。したがって、本開示は、FPGAにおいて実行することができるこの抽出のためのストリーミングアルゴリズムの実施を可能にする。この抽出のために実施することができるストリーミングアルゴリズムの例は、(その全体が参照によって本明細書に組み込まれる)非特許文献10において見出することができる。これらのアルゴリズムは、互いに独立で同一の分布に従うビットのストリームからバイアスを取り除くためのフォンノイマンのストリーミングアルゴリズムの、マルコフ過程への一般化を表す。このプロセスにおける第1のステージは、デジタイザの(相関のある)出力系列を、独立した8ビットシンボルの28の系列にマッピングすることである。これらの新しい系列の各々は、バイアスのある28面サイコロを繰り返し転がした結果と考えられることができ、2値化ツリーアルゴリズムを通して、ランダムビットの複数の系列に変換することができる。次に、フォンノイマンのアルゴリズムの2分木一般化を使用して、これらの系列の各々は、バイアスのない独立したランダムビットの系列に変換することができる。最後に、これらのすべてが、(連結によって)再合成されて、独立したバイアスのないビットの1つの全体的な出力系列を生成し、それは、出力ビット当たり1ビットの源泉のシャノンエントロピを有する。これは、設計の重要なフェールセーフセキュリティ特徴であり、第1の調整ステージは、デジタル化された源泉のシャノンエントロピよりも多い出力ビットを生成することはできない。基本オンライン統計的ランダム性テスト(モノビットテスト、ポーカテスト、実行テストなど)は、このポイントにおけるシステムの正しい機能を検証するために実行することができる。
これらのアルゴリズムのFPGA実施は、より速い処理レートを可能にする。(上で参照されたZhaoおよびBruckの研究において説明されているように)最後のフォンノイマンステージのために、これを行うために、2分決定木全体が、FPGA内に構築されることができる。木の中の各ノードは、それが「1」であるべきか、それとも「0」であるべきかについての決定に応じて、決定木の異なる状態を表す。ソフトウェアで行われるように、各ノードを順番に実行する代わりに、ハードウェア設計は、すべてのノードを並列で実行する。しかしながら、木のレベル当たりアクティブなノードはただ1つしか存在せず、そのため、最大並列は、log2(ノードの数)であり、状態の最大数が木自体の中で必要とされるときに限る。必要とされる木の深さは、データの非ランダムな出現に依存し、あらかじめ決定されることはできない。この手法は、直列化手法を用いる場合に必要とされるよりも多くのリソースを使用するが、エンジンがクロックサイクル毎にデータの新しいビットを受け入れることを可能にする。実行を直列化することは、データが受け入れられることができるレートを引き下げ、より低い最終ビットレートをもたらす。類似の木は、より早期のマルコフおよびn面サイコロステージのために使用される。
次に、第2の調整ステージ1304は、第1の調整ステージ1302の出力2進系列から、量子最小エントロピを抽出する。「残余ハッシュ補題」(例えば、非特許文献11において説明されており、非特許文献11の全体が本明細書に組み込まれる)は、より長い2進系列を圧縮して、ビット当たり1ビットの(量子)最小エントロピ(最大量子エントロピ)を有するより短いものにするために、この抽出が、ユニバーサルハッシュ関数を使用して実行されることができることを示している。そのようなユニバーサルハッシュ関数の例は、例えば、(その全体が参照によって本明細書に組み込まれる)非特許文献12において開示されている。圧縮パラメータ(例えば、ハッシュ族の選択)は、フロントエンドのデジタル化された出力の測定されたパラメータ(例えば、平均光パワーおよびそれの分散)によって決定される。第2の調整ステージ1304は、FPGAまたはASIC内において、適切なストリーム毎のハッシュ関数を効率的に実装することができ、例えば、暗号CRCハッシュの実装が、特に適している(例えば、非特許文献13において説明されており、非特許文献13の全体が、本明細書に組み込まれる)。ランダム性抽出は、SHAファミリまたはAESなどの暗号アルゴリズムを使用して、実行されることもできる(例えば、非特許文献14において説明されており、非特許文献14の全体が、本明細書に組み込まれる)。これは、これらのアルゴリズムが、NIST推奨の暗号後処理ステージなどのために、ファームウェア内ですでに利用可能である場合に、便利であることができる。
例えば、第2の調整器1304において、分布のエントロピの推定が、生成されるビット当たりの量子最小エントロピの量を決定するために、行われることができる。エントロピが、生成されるビット当たり1ビットよりも小さい場合、各最終ハッシュビットにおいて1ビットの量子エントロピが存在するように、乱数ストリングが、ハッシュ関数を使用して、圧縮されることができる。例えば、1から0、または0から1への推移の確率は、好ましくは、0.5である。代わりに、pmax=0.58である場合、最小エントロピは、生成されるビット当たりH=−log2(pmax)=−log2(0.58)=0.786ビットの最小エントロピである。その場合、0.786である最終ビットの入力ビットに対する圧縮比が、ビット当たり1ビットのエントロピを有する乱数ストリングを提供する。圧縮は、例えば、256/0.786ビットをSHA256関数に入力することによって、達成されることができる。結果として得られる256ビットは、ビット当たり1ビットのエントロピを有する。この乱数ジェネレータのよく設計された具体化は、ビット当たり1ビットのエントロピを生成することができる。
その後、第2の調整ステージ1304の最大量子エントロピ出力は、NIST承認の暗号的に決定論的なランダムビットジェネレータ(DRBG)1306に入力され、それの出力は、暗号ランダムビットとして使用されることができる。適切なDRBGは、FPGAまたはASIC内において容易に実施することができる。
ランダムビットストリームを発生させる代表的な方法1500が、図15に示されている。1502において、光源が選択され、一般に、それは適切な短い遅延について低い相関を有する出力束を生成する光源である。1504において、光源からの光束が、一般にフォトダイオードなどの2乗検出器を使用して、光強度信号を生成するために使用される。1506において、信号遅延が選択され、光強度信号に基づいた遅延させられた信号と遅延させられていない信号が合成される。1510において、ランダムビットストリームが出力として提供される。合成された信号は、光信号と(遅延ラインとして光ファイバを使用して生成されるような)光学的に遅延させられた光信号、または光検出器信号と光信号の電気的に遅延させられたコピーに基づくことができる。ランダムビットストリームに対して、様々な種類の後処理が、不完全性(例えば、バイアスおよび/または相関)を減らすためにならびにそれのエントロピを抽出するために行うことができる。
例示的な使用事例
本明細書において説明されたRNGは、様々な方法で、様々な応用例のために、使用されることができる。それらの例を挙げる。
使用事例1:暗号ランダムビットジェネレータ:ハードウェアセキュリティモジュール(HSM)およびエンドデバイス用の組み込みコンポーネント
乱数は、暗号法のすべてがその上で構築される基礎である。特にエンドユーザデバイス内において、十分なエントロピを獲得することの難しさが、共通のセキュリティ脆弱性であり、重要インフラストラクチャサイバセキュリティなどの新しい応用領域における、難しい問題として識別されてきた。本明細書において説明されるQRNGは、これらの必要性を満たすことができる。それらは、きわめて高いエントロピを有する出力ストリームを、高速で生成することができ、いくつかの実施形態は、安価に構成され、非常に少ない電力しか使用せず、コンパクトなフットプリントを有することもある。それは、現在使用されている決定論的なランダムビットジェネレータを置換するために、セキュリティアップグレードとして、HSM内に組み込むこともできる。
使用事例2:データセンタセキュリティ:前方秘匿性を有するSSL/TLS
電子メールおよび他のネットワークトラフィックの監視についての最近の新事実は、「完全前方秘匿性」オプション、すなわち、一時的なディフィ−ヘルマン(DHE)セッションキー確立を使用して、SSL/TLSを実装するように、いくつかのプロバイダ(例えば、GoogleおよびCloudFlare)を導いた。この実施は、あまり安全ではない、より古いRSAベースのセッションキー確立方法よりも著しく大きいエントロピを必要とする。完全前方秘匿性実施へと向かうこの傾向は、プライバシに関する懸念についての意識の高まりとともに強まる可能性が高い。さらに、DHEを使用することから追加される多層防御は、電子フロンティア財団によって指摘されたような、OpenSSLにおけるハートブリード脆弱性のセキュリティインパクトを軽減した。CloudFlareは、特にクラウド環境における、DHEの広い実施のための問題として、大きく高まるランダム性に対する必要性を指摘した。これは、最初に、セッションキー確立のためのRSAベースの方法におけるステップを検査することによって、理解されることができる。サーバのRSA公開キーは、2つの機能、すなわち、クライアントがサーバを認証することを可能にする機能と、クライアントが「プリマスタ」シークレットを暗号化し、それをサーバに送信する機能とを有する。(プリマスタシークレットは、最終的に、セッションキーになる)。サーバの公開キーは、1年以上の間、有効であり続けることができ、それを変更することは、コストと手間がかかるので、それの危殆化は、それの下で確立された、どのセッションキーもやはり危うくする。完全前方秘匿性を用いると、サーバのRSA公開キーは、クライアントがサーバを認証するためにだけ使用され、プリマスタシークレットを、したがって、セッションキーを確立するためには、各セッションにおいて、新しいDHE手順が、使用される。サーバおよびクライアントの両方は、DHEを実装するために、ランダムビット源を必要とする。これは、クラウド環境においては、毎秒数千ないし数万の固有のTLSセッションの開始をサポートしなければならないことがあるサーバに、特にストレスを掛けることができる。各セッションの固有のノンス値、セッションID番号、および初期化ベクトルのためにも必要とされる乱数を用いると、サーバは、数Gbpsのレートで容易に乱数を必要とすることができ、目下開示されているRNGは、これらのレートを容易に維持することができる。クライアント自体が、データセンタである場合、またはサーバのデータセンタの異なる部分である場合、クライアントも、これらの高レートで、ランダム性の源泉を必要とすることがある。将来的には、さらなるセキュリティのために、セッションキーをセッション中に頻繁な間隔で変更することが、望ましくなることがあり、単一のキーの危殆化は、セッションのトラフィックの小さい間隔だけを危険にさらすとしても、全セッションを危険にさらすことはない。このより高いレベルのセッションセキュリティを達成するために必要な条件は、対応するより大きいランダムビットレートであり、目下開示されているRNGは、この概念をサポートすることができる。SSL/TLSだけが、高いレートのランダム性から利益を得ることができる広く使用されているプロトコルではなく、SSH、IPsec、およびSIPは、すべて、完全前方秘匿性を用いて実施される選択肢を有する。
使用事例3:安全なクラウドデータストレージ
Dropbox、iCloudなどのクラウドストレージサービスは、非常に便利であるが、クラウド内の個人情報または専有情報のセキュリティおよびプライバシについての懸念が、存在する。USBスティック(またはPC、タブレット、もしくはスマートフォンに対する他の便利なインターフェース)上の目下開示されているRNGに基づいたユーザデバイスは、新しく発生させたキーを使用して、データを暗号化および認証してから、それをクラウドにアップロードすることによって、これらの懸念を軽減することができる。キーは、ユーザデバイスの安全なメモリ内に記憶され、将来、ユーザによって、おそらくは異なるコンピューティングプラットフォームにダウンロードした後、データが回復および検証されることを可能にする。
使用事例4:堅牢で安全なデータストレージのための閾値秘密分割
いくつかの機密に関する応用例について、使用事例3のシナリオに伴う懸念は、記憶されたデータの不慮の破損もしくは悪意ある破損、またはユーザのキーの紛失もしくは盗難に対する堅牢性の欠如である。記憶された暗号化されたデータが、破損された場合、またはユーザが、自分のキーを紛失した場合、ユーザは、元のデータを回復することができない。ユーザのキーの盗難またはコピーは、潜在的に、暗号化されたデータを敵にさらす。これらの懸念を有するシナリオの例は、災害復旧のためのデータの安全なバックアップ、および暗号マスタキーの記憶(キー管理)を含む。目下開示されているRNGに基づいたデバイスは、単純な閾値秘密分割方式を通して、これらの懸念を軽減することができ、それを、以下の3つから2つの例を用いて、ここに示す。(より多くのシェアへの一般化は、簡単である)。Mは、3つの異なるストレージロケーションA、B、Cにおいて、安全に記憶され、異なる暗号キーの下で暗号化されたデータを表す2進ストリングである。暗号キーシェアKA(ロケーションA用)、KB(ロケーションB用)、およびKC(ロケーションC用)は、秘密分割特性
を満足する。
したがって、(提示の単純化のために)ワンタイムパッド暗号を使用して、ストレージロケーションAは、
を受け取り、ロケーションBおよびCについても、同様である。キーシェアは、RNG出力を解析して、3つの等しい長さの「プリシェア」P、Q、Rにし、
を形成することによって構成される。
プリシェア(P、Q、R)の各々は、別々の安全なロケーション(p、q、r)に記憶される。したがって、プリシェアの任意のペア(例えば、pおよびq)へのアクセスを用いて、元のデータMは、対応する暗号化された記憶されたデータから(このケースにおいては、ストレージロケーションBから)回復されることができる。しかしながら、プリシェアのいずれか1つの危殆化は、記憶された暗号化されたデータの機密性を危うくすることはできない。同様に、記憶された暗号化されたデータセットのいずれか1つの破損は、他の2つのストレージロケーションの冗長性を通して保護される。
使用事例5:量子キー配送(QKD)
最も広く使用されている(「BB84」)QKDプロトコルにおける送信機ノードは、
乱数に対する貪欲な要求を有する。セキュリティのために、これらの乱数は、最大エントロピを有することが必須である。(例えば、疑似乱数ジェネレータ(「PRNG」)の使用は、PRNGと同じセキュリティを有するキーという結果となる。PRNGは、非常に容易に診断されることができる)。典型的なリンク効率を用いると、1Mbpsの秘密キーレートを維持するために、1GHzのQKDクロックレートが、必要とされる。その場合、放出された各量子信号は、1データビットと、1基底ビットと、4と8との間の「おとり状態」ビットとを必要とする。QKD送信機は、したがって、10Gbps以上のレートで、最大エントロピ乱数を必要とすることができる。これは、現在市販されているRNGを用いたのでは非常に難しいが、目下開示されているRNGによって容易に維持することができる。
使用事例6:ワンタイム署名
ワンタイム署名(OTS)は、いくつかの理由で、RSAデジタル署名に対する実用的な代替案と見なされている。第1に、OTSは、高速な暗号ハッシュ関数(例えば、SHAファミリ)を使用し、そのため、RSA署名よりもはるかに低い計算オーバヘッドを有する。電気格子制御など、短い待ち時間が必須である応用例については、これは、実用上の必須事項となることがある。第2に、ショアのアルゴリズムを実行する可能な未来の量子コンピュータに対する、今日のRSAおよび楕円曲線公開キー暗号の脆弱性についての意識の高まりが、ショアに耐性のある新しい暗号システムの探求を鼓舞している。OTS方式は、そのようなフレームワーク内におけるデジタル署名の強力な候補と考えられる。しかしながら、多くのメッセージに署名するのに単一の秘密署名キーが使用されることができる、RSA署名とは対照的に、OTS方式は、メッセージ毎に新しい署名キーを必要とする。特に、ストリーミングデータ状況においては、OTS方式は、署名キーを発生させるために、ランダム性に対する高い要求を有することができる。十分な量の署名キーの事前配送は、明らかなロジスティクスおよびセキュリティ上の懸念を有する。対照的に、これらの困難は、目下開示されているRNGを使用することによって、回避されることができ、それは、ストリーミングデータ状況についてさえも、必要とされるキーレートを容易に満たすことができる。
使用事例7:モンテカルロシミュレーション
モンテカルロシミュレーションのために、疑似乱数ジェネレータが、しばしば使用される。しかしながら、PRNGビット系列のアルゴリズム構造のせいで、PRNG構造のアーチファクトである悪名高い結果が、存在していた。目下開示されているRNGは、モンテカルロ法を使用する大規模シミュレーションのために、高レートで、必要とされる乱数を供給することができる。真のランダム性は、疑似乱数ジェネレータを使用することのこれらの懸念を回避する。
使用事例8:ゲーム
乱数は、ゲームおよび宝くじのために必要とされる。これらの応用例に対して、目下開示されているRNGは、公平性および耐改ざん性の「量子保証」を有する、「高品質の」ランダム性を供給することができる。
使用事例9:証明書ベースのPKIおよびモノのインターネットのための登録
いくつかのケースにおいては、QRNGは、人々またはフォンなどのものを登録する際に使用するための公開キーインフラストラクチャ(PKI)における登録プロセスを容易にし、および/またはスピードアップするために、使用されることができる。公開キーインフラストラクチャ登録プロセスにおいては、一意的な公開/私有キーペアが、各人またはデバイスに対して発生させられなければならず、プロセス内には乱数が必要とされるいくつかの場所が、存在する。このプロセスは、公開キーインフラストラクチャ−量子ハードウェアセキュリティモジュール(PKI−QHSM)などの(潜在的にポータブルな)登録デバイス内に組み込まれたQRNGを使用して、より高速、より安全、および/またはより便利にされることができる。
RSA素数を発生させるために、ミラー−ラビンなどの乱択アルゴリズムが、一般に使用される。これらのアルゴリズムは、最初に、候補となる大きいランダム整数を発生させ(これは、QRNGを用いて行われることができる)、次に、候補となるランダム整数を、(やはりQRNGを用いて発生させることができる)別のランダムテスト数に対して、素数判定にかける。このプロセスは、その後、毎回、異なるランダムテスト数を用いて、k回繰り返される。k回のテストのいずれかが、失敗した場合、候補は、廃棄され、新しいものが、発生させられる。k回のテストすべてが、合格である場合、候補数は、素数であるが、ただし、2-kよりも小さい確率でそうではない。(未検出の非素数性の)この確率は、kを十分に大きくすることによって、任意に小さくさせることができる。開示されるQRNGは、発生させられた数が真にランダムであることの保証も提供しながら、大きい乱数を速いレートで発生させることによって、このプロセスを容易にすることができる。
本発明の好ましい実施形態が、上で説明され、添付の図で示されたが、本発明は、開示された実施形態に限定されず、以下の特許請求の範囲によって説明され、確定される、本発明の主旨から逸脱することなく、数々の再配置、変更、および置き換えが可能であることが理解されるべきである。

Claims (32)

  1. 光子を1つ又はそれ以上の光場モード内に放出することによって、光束を生成するように動作可能な熱光源であって、前記1つ又はそれ以上の光場モードは、ボーズ−アインシュタイン確率分布に従って光子を取込まれる、熱光源と、
    前記光源から前記光束の一部を受け取り、前記受け取られた光束に基づいて、第1の検出器信号を提供するように動作可能な第1の検出器と、
    サンプリングビン時間によって定義されたレートで少なくとも前記第1の検出器信号をサンプリングすることに基づいて、独立したバイアスのないビットのストリームを発生させるように動作可能な出力システムと
    を備え、前記第1の検出器によって検出された前記熱光源からのサンプリングビン時間当たりの光子の平均数は、前記熱光源によって生成された光場モードの数よりも大きいことを特徴とする乱数ジェネレータ。
  2. (i)前記光源からの前記光束の一部、および(ii)前記第1の検出器信号のうちの少なくとも1つを含む入力信号を受信するように構成された遅延ユニットをさらに備え、前記遅延ユニットは、前記入力信号に基づいて遅延させられた信号を出力するように動作可能であり、前記出力システムは、前記第1の検出器信号および前記遅延させられた信号に基づいて、出力信号を生成するように動作可能な比較器を備えたことを特徴とする請求項1に記載の乱数ジェネレータ。
  3. 前記遅延ユニットは、光学的な遅延を含み、前記遅延ユニットは、前記光源から前記光束の一部を受け取り、前記受け取られた光束に対応する遅延させられた光束を出力するように動作可能であることを特徴とする請求項2に記載の乱数ジェネレータ。
  4. 前記遅延させられた光束を受け取り、前記遅延させられた光束に基づいて、第2の検出器信号を提供するように構成された第2の検出器をさらに備えたことを特徴とする請求項3に記載の乱数ジェネレータ。
  5. 前記第1の検出器および前記第2の検出器は、平衡検出器ペアとして構成されたことを特徴とする請求項4に記載の乱数ジェネレータ。
  6. 前記遅延ユニットは、前記第1の検出器信号を受け取り、前記第1の検出器信号に対応する遅延させられた電気信号を出力するように動作可能な電気的な遅延ユニットであることを特徴とする請求項2に記載の乱数ジェネレータ。
  7. 前記遅延ユニットは、デジタル遅延ユニットであることを特徴とする請求項6に記載の乱数ジェネレータ。
  8. 前記遅延ユニットは、前記第1の検出器信号と前記遅延させられた信号との間の相互相関の推定に基づいて、前記第1の検出器信号を遅延させるように構成可能であることを特徴とする請求項2に記載の乱数ジェネレータ。
  9. 前記熱光源は、半導体光増幅器を含むことを特徴とする請求項1に記載の乱数ジェネレータ。
  10. 前記熱光源は、発光ダイオードを含むことを特徴とする請求項1に記載の乱数ジェネレータ。
  11. 前記熱光源によって放出される前記光子は、単一の横空間モードに制限されることを特徴とする請求項1に記載の乱数ジェネレータ。
  12. 前記熱光源は、光信号内に含まれる横空間モードの数を制限するための空間モードフィルタを含むことを特徴とする請求項1に記載の乱数ジェネレータ。
  13. 前記空間モードフィルタは、光ファイバを含むことを特徴とする請求項12に記載の乱数ジェネレータ。
  14. 前記第1の検出器は、フォトダイオードであることを特徴とする請求項1に記載の乱数ジェネレータ。
  15. 前記出力システムは、前記第1の検出器信号内のバイアスおよび相関のうちの少なくとも一方を除去するための少なくとも1つの調整アルゴリズムを実装するように動作可能なデジタル調整ユニットを備えたことを特徴とする請求項1に記載の乱数ジェネレータ。
  16. 前記出力システムは、前記第1の検出器信号内のエントロピを抽出するための少なくとも1つのランダム性抽出アルゴリズムを実装するように動作可能なデジタル調整ユニットを備えたことを特徴とする請求項1に記載の乱数ジェネレータ。
  17. 熱光源と、第1の検出器と、出力システムとを使用して、乱数を発生させる方法であって、前記方法は、
    前記熱光源によって、光子を1つ又はそれ以上の光場モード内に放出することによって、光束を提供するステップであって、前記1つ又はそれ以上の光場モードは、ボーズ−アインシュタイン確率分布に従って光子が取込まれる、該ステップと、
    前記第1の検出器において、前記光源から前記光束の一部を受け取るステップと、
    前記第1の検出器によって、前記受け取られた光束に基づいて、第1の検出器信号を提供するステップと、
    前記出力システムによって、サンプリングビン時間によって定義されたレートで少なくとも前記第1の検出器信号をサンプリングすることに基づいて、独立したバイアスのないビットのストリームを提供するステップと
    を含み、前記第1の検出器によって検出された前記熱光源からのサンプリングビン時間当たりの光子の平均数は、前記熱光源によって生成された光場モードの数よりも大きいことを特徴とする方法。
  18. 遅延ユニットによって、(i)前記光源からの前記光束の一部、および(ii)前記第1の検出器信号のうちの少なくとも1つを含む入力信号に基づいて遅延させられた信号を提供するステップと、
    比較器によって、前記第1の検出器信号および前記遅延させられた信号に基づいて、出力信号を提供するステップと
    をさらに含むことを特徴とする請求項17に記載の方法。
  19. 前記遅延ユニットは、光学的な遅延を含み、前記遅延させられた信号を提供するステップは、
    前記遅延ユニットにおいて、前記光源から前記光束の一部を受け取るステップと、
    前記受け取られた光束に対応する遅延させられた光束を提供するステップと
    を含むことを特徴とする請求項18に記載の方法。
  20. 第2の検出器において、前記遅延させられた光束を受け取るステップと、
    前記第2の検出器によって、前記遅延させられた光束に基づいて、第2の検出器信号を提供するステップと
    をさらに含むことを特徴とする請求項19に記載の方法。
  21. 前記第1の検出器および前記第2の検出器は、平衡検出器ペアとして構成されたことを特徴とする請求項20に記載の方法。
  22. 前記遅延ユニットは、電気的な遅延ユニットであり、前記遅延させられた信号を提供するステップは、
    前記遅延ユニットにおいて、前記第1の検出器信号を受け取るステップと、
    前記第1の検出器信号に対応する遅延させられた電気信号を提供するステップと
    を含むことを特徴とする請求項18に記載の方法。
  23. 前記遅延ユニットは、デジタル遅延ユニットであることを特徴とする請求項22に記載の方法。
  24. 前記遅延ユニットは、前記第1の検出器信号と前記遅延させられた信号との間の相互相関の推定に基づいて、前記第1の検出器信号を遅延させるように構成可能であることを特徴とする請求項22に記載の方法。
  25. 前記熱光源は、半導体光増幅器を含むことを特徴とする請求項17に記載の方法。
  26. 前記熱光源は、発光ダイオードを含むことを特徴とする請求項17に記載の方法。
  27. 前記熱光源によって放出される前記光子は、単一の横空間モードに制限されることを特徴とする請求項17に記載の方法。
  28. 前記熱光源は、光信号内に含まれる横空間モードの数を制限するための空間モードフィルタを含むことを特徴とする請求項17に記載の方法。
  29. 前記空間モードフィルタは、光ファイバを含むことを特徴とする請求項28に記載の方法。
  30. 前記第1の検出器は、フォトダイオードであることを特徴とする請求項17に記載の方法。
  31. デジタル調整ユニットによって、前記第1の検出器信号内のバイアスおよび相関のうちの少なくとも一方を除去するための少なくとも1つの調整アルゴリズムを実行するステップをさらに含むことを特徴とする請求項17に記載の方法。
  32. デジタル調整ユニットによって、前記第1の検出器信号内のエントロピを抽出するための少なくとも1つのランダム性抽出アルゴリズムを実行するステップをさらに含むことを特徴とする請求項17に記載の方法。
JP2018504261A 2015-07-29 2016-07-22 量子乱数ジェネレータ Active JP6647384B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US14/812,623 US10019235B2 (en) 2011-09-30 2015-07-29 Quantum random number generators
US14/812,623 2015-07-29
PCT/US2016/043561 WO2017019507A1 (en) 2015-07-29 2016-07-22 Quantum random number generators

Related Child Applications (1)

Application Number Title Priority Date Filing Date
JP2020003634A Division JP7025458B2 (ja) 2015-07-29 2020-01-14 量子乱数ジェネレータ

Publications (3)

Publication Number Publication Date
JP2018528520A JP2018528520A (ja) 2018-09-27
JP2018528520A5 JP2018528520A5 (ja) 2019-08-29
JP6647384B2 true JP6647384B2 (ja) 2020-02-14

Family

ID=57885260

Family Applications (3)

Application Number Title Priority Date Filing Date
JP2018504261A Active JP6647384B2 (ja) 2015-07-29 2016-07-22 量子乱数ジェネレータ
JP2020003634A Active JP7025458B2 (ja) 2015-07-29 2020-01-14 量子乱数ジェネレータ
JP2021128293A Active JP7264949B2 (ja) 2015-07-29 2021-08-04 量子乱数ジェネレータ

Family Applications After (2)

Application Number Title Priority Date Filing Date
JP2020003634A Active JP7025458B2 (ja) 2015-07-29 2020-01-14 量子乱数ジェネレータ
JP2021128293A Active JP7264949B2 (ja) 2015-07-29 2021-08-04 量子乱数ジェネレータ

Country Status (7)

Country Link
EP (2) EP3329359B1 (ja)
JP (3) JP6647384B2 (ja)
KR (1) KR102601718B1 (ja)
CN (1) CN108139888A (ja)
CA (1) CA2991785C (ja)
ES (1) ES2835075T3 (ja)
WO (1) WO2017019507A1 (ja)

Families Citing this family (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN107193532B (zh) * 2017-06-27 2023-08-18 浙江九州量子信息技术股份有限公司 一种基于分时交替采样的高速量子随机数发生系统
KR102027686B1 (ko) * 2018-03-06 2019-10-01 순천향대학교 산학협력단 안전한 통신을 위한 가시광선을 이용한 순수난수 생성 장치 및 생성 방법
WO2019206524A1 (en) 2018-04-25 2019-10-31 British Telecommunications Public Limited Company Data message sharing
CN108449183A (zh) * 2018-05-04 2018-08-24 北京邮电大学 一种使用量子随机数的非对称加密方法
EP3804211A1 (en) * 2018-05-24 2021-04-14 British Telecommunications public limited company Cryptographic key generation and storage
EP3804212A1 (en) * 2018-05-24 2021-04-14 British Telecommunications public limited company Cryptographic key generation using multiple random sources
KR102153317B1 (ko) * 2018-06-20 2020-09-08 시옷랩주식회사 양자 난수열 기반의 암호 장치
CN108777614B (zh) * 2018-07-05 2023-08-18 清华大学 一种加解密装置和基于通用散列函数的加解密方法
CN108874366B (zh) * 2018-09-06 2024-01-30 西南大学 一种基于混沌激光熵源的高速物理随机数发生器
JP7052881B2 (ja) * 2018-10-19 2022-04-12 日本電気株式会社 乱数品質管理方法および装置
CN109672533B (zh) * 2019-01-28 2021-07-06 西南大学 一种基于半导体激光器混沌同步的高速密钥分发装置
US11216251B2 (en) * 2019-03-20 2022-01-04 Raytheon Company Wideband photonic radio frequency (RF) noise generator
US10833768B2 (en) 2019-03-20 2020-11-10 Raytheon Company Photonic monobit analog-to-digital converter using coherent detection
CN110071943B (zh) * 2019-05-28 2021-07-27 中国电子科技集团公司第三十研究所 密钥真随机变化的复合型高安全ip保密通信方法
WO2020261419A1 (ja) * 2019-06-26 2020-12-30 日本電信電話株式会社 量子乱数発生装置及び量子乱数発生方法
CN114502933A (zh) * 2019-08-08 2022-05-13 康宁股份有限公司 使用量子存储器的光子数分辨检测器系统
EP4055470A1 (en) * 2019-11-05 2022-09-14 Crypta Labs Ltd Quantum random number generator
CN111106867A (zh) * 2019-12-17 2020-05-05 太原理工大学 一种适用于连续变量量子随机数产生的探测模块
CN111093060B (zh) * 2019-12-20 2024-09-27 安徽问天量子科技股份有限公司 一种视频数据采集传输安全性的保护装置和保护方法
US10901695B1 (en) * 2020-03-03 2021-01-26 Randaemon Sp. Z O.O. Apparatus, systems, and methods for beta decay based true random number generator
CN111538476A (zh) * 2020-04-20 2020-08-14 佳缘科技股份有限公司 一种提高输出序列随机性的细粒度校正方法
EP4148556A4 (en) * 2020-05-27 2023-07-05 Huawei Technologies Co., Ltd. RANDOM NUMBER GENERATION APPARATUS AND METHOD
CN111488993A (zh) * 2020-06-03 2020-08-04 世融能量科技有限公司 一种基于真空态涨落技术的高速量子随机数发生器
CN111650449B (zh) * 2020-06-10 2022-08-26 广州广电计量检测股份有限公司 一种低频噪声测试装置及方法
KR20220049208A (ko) * 2020-10-14 2022-04-21 주식회사 케이티 양자 암호키 분배 방법 및 장치
CN112200322A (zh) * 2020-11-05 2021-01-08 中国科学技术大学 一种量子随机数的应用管理系统及方法
CN112953709B (zh) * 2021-01-26 2022-06-10 四川轻化工大学 一种远距离高效光量子密钥传输方法及其系统
CN113838588B (zh) * 2021-10-15 2024-05-28 中国科学技术大学 锗材料在检测反应堆热中子平均通量密度中的应用、反应堆热中子平均通量密度的检测方法
CN114020241A (zh) * 2021-11-10 2022-02-08 天宇鸿图应用技术研究院(重庆)有限公司 基于量子真随机数发生器的rsa密码大质数生成方法
CN114024662B (zh) * 2021-12-21 2022-05-24 渔翁信息技术股份有限公司 随机数发生器
CN116382635B (zh) * 2023-06-05 2023-08-08 灿芯半导体(成都)有限公司 一种全数字、真随机数熵源系统

Family Cites Families (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5986790A (en) * 1996-03-05 1999-11-16 Fuji Xerox, Co., Ltd. Light source for optical communication, optical transceiver and optical communication network
JP2002164883A (ja) 2000-11-24 2002-06-07 Nippon Telegr & Teleph Corp <Ntt> 光秘話通信方法および装置
US6810062B2 (en) * 2001-04-11 2004-10-26 Axsun Technologies, Inc. Passive optical resonator with mirror structure suppressing higher order transverse spatial modes
US7519641B2 (en) * 2003-08-27 2009-04-14 Id Quantique S.A. Method and apparatus for generating true random numbers by way of a quantum optics process
JP4952461B2 (ja) * 2007-09-12 2012-06-13 ソニー株式会社 乱数生成装置および乱数生成方法
JP4759077B2 (ja) * 2009-08-03 2011-08-31 日本電信電話株式会社 乱数を発生させる装置および方法
GB0915000D0 (en) 2009-08-27 2009-09-30 Univ Bruxelles Quantum random number generation
US8554814B2 (en) * 2010-08-20 2013-10-08 The Governing Council Of The University Of Toronto Random signal generator using quantum noise
US20120200422A1 (en) * 2011-02-09 2012-08-09 Baker Hughes Incorporated Use of Digital Transport Delay to Improve Measurement Fidelity in Swept-Wavelength Systems
JP5632330B2 (ja) 2011-05-19 2014-11-26 日本電信電話株式会社 高速カオス光信号生成光回路および高速カオス光信号生成方法
JP6040583B2 (ja) * 2012-06-14 2016-12-07 富士通株式会社 光伝送装置
KR101564954B1 (ko) * 2012-10-08 2015-11-02 에스케이 텔레콤주식회사 광원과 단일광자검출기를 이용한 난수 생성 방법 및 장치
JP5586805B1 (ja) * 2014-04-25 2014-09-10 雅紀 廣石 光子乱数生成器
CN104156194B (zh) * 2014-08-20 2017-04-19 中国科学技术大学 一种量子随机数产生方法及装置
CN104238996B (zh) * 2014-09-04 2017-08-11 清华大学 源无关量子随机数的产生方法及装置

Also Published As

Publication number Publication date
JP2021180038A (ja) 2021-11-18
EP3329359A4 (en) 2019-03-27
KR102601718B1 (ko) 2023-11-14
JP2020074152A (ja) 2020-05-14
KR20180035223A (ko) 2018-04-05
CA2991785A1 (en) 2017-02-02
JP7025458B2 (ja) 2022-02-24
ES2835075T3 (es) 2021-06-21
EP3329359B1 (en) 2020-09-09
JP2018528520A (ja) 2018-09-27
WO2017019507A1 (en) 2017-02-02
CN108139888A (zh) 2018-06-08
JP7264949B2 (ja) 2023-04-25
EP3329359A1 (en) 2018-06-06
EP3745254A1 (en) 2020-12-02
CA2991785C (en) 2023-11-14

Similar Documents

Publication Publication Date Title
JP7264949B2 (ja) 量子乱数ジェネレータ
US11442698B2 (en) Quantum random number generators
US8930429B2 (en) Network distributed quantum random number generation
Zheng et al. 6 Gbps real-time optical quantum random number generator based on vacuum fluctuation
US10331412B2 (en) Method and device for optics based quantum random number generation
Cao et al. Source-independent quantum random number generation
US9335973B2 (en) Quantum random number generator
CN109388374B (zh) 一种基于混沌放大量子噪声的随机数生成的方法
Shafi et al. Multi-bit quantum random number generator from path-entangled single photons
Lima et al. Fast true random bit generation with an soa-based random fiber laser
Hughes et al. Strengthening the security foundation of cryptography with Whitewood’s quantum-powered entropy engine
Ahmed et al. Chaos-Based RNG using Semiconductor Lasers with Parameters Variation Tolerance
Liu et al. True random number generator based on the phase noise of laser
WO2023172998A1 (en) Cryptographic key and random number generation based on quantum systems
Lu et al. Chip-Scale Random Number Generator Based On Self-Chaotic Dynamics Of Broad-Area VCSELs
Lodewyck et al. Quantum key distribution device with coherent states

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20190117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20190117

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20190722

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20190722

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20190722

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20191029

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20191106

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20191112

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20191212

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20200114

R150 Certificate of patent or registration of utility model

Ref document number: 6647384

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250