JP7312487B2 - 量子鍵配送のための方法及びシステム - Google Patents
量子鍵配送のための方法及びシステム Download PDFInfo
- Publication number
- JP7312487B2 JP7312487B2 JP2022022851A JP2022022851A JP7312487B2 JP 7312487 B2 JP7312487 B2 JP 7312487B2 JP 2022022851 A JP2022022851 A JP 2022022851A JP 2022022851 A JP2022022851 A JP 2022022851A JP 7312487 B2 JP7312487 B2 JP 7312487B2
- Authority
- JP
- Japan
- Prior art keywords
- data processing
- signal
- processing device
- loss
- pulse
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0858—Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0855—Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06N—COMPUTING ARRANGEMENTS BASED ON SPECIFIC COMPUTATIONAL MODELS
- G06N10/00—Quantum computing, i.e. information processing based on quantum-mechanical phenomena
- G06N10/20—Models of quantum computing, e.g. quantum circuits or universal quantum computers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/0001—Systems modifying transmission characteristics according to link quality, e.g. power backoff
- H04L1/0009—Systems modifying transmission characteristics according to link quality, e.g. power backoff by adapting the channel coding
- H04L1/0013—Rate matching, e.g. puncturing or repetition of code symbols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L1/00—Arrangements for detecting or preventing errors in the information received
- H04L1/004—Arrangements for detecting or preventing errors in the information received by using forward error control
- H04L1/0056—Systems characterized by the type of code used
- H04L1/0057—Block codes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
Description
本開示は、量子鍵配送(quantum key distribution:QKD)のための方法及びシステムに関する。
量子鍵配送に対する従来の手法では、すべての誤り及び損失が盗聴行為に起因するものであるという前提が必要になる。このことにより、正規ユーザは、共有した生鍵に関して盗聴者が有する情報量を、正規ユーザのうちの1人の装置と当該信号の損失部分を記述する装置との間の相互情報量と等しいと見なすことを強いられる。その結果、確実にセキュアな鍵を取得するために、プライバシー増幅中に鍵長を大幅に短縮することが必要になる。
本開示の目的は、とりわけ実現可能な鍵レートを向上させ、かつ/又は正規装置間の距離を拡大するために、量子鍵配送によってデータを送信するための改良された手法を提供することである。
この課題を解決するために、独立請求項に従って量子鍵配送のための方法及びシステムが提供される。更なる実施形態は、従属請求項に開示されている。
一態様によれば、量子鍵配送のための方法が提供され、複数のデータ処理装置を備えるシステムにおいて、本方法は、第1のデータ処理装置及び第2のデータ処理装置のうちの少なくとも一方において、量子チャネルに沿って、第1のデータ処理装置と第2のデータ処理装置との間で生じた固有損失を特定するステップと、第1のデータ処理装置において、第1の信号を生成するステップと、第1のデータ処理装置において、少なくとも1つの試験パルス及び第1の信号から生成される信号パルスを含むパルスシーケンスを生成するステップと、量子チャネルを介して、第1のデータ処理装置から第2のデータ処理装置に当該パルスシーケンスを送信するステップと、第2のデータ処理装置において当該パルスシーケンスを受信し、次いで第2のデータ処理装置において、当該パルスシーケンスから第2の信号を測定するステップと、第1のデータ処理装置及び第2のデータ処理装置において無効な信号位置を特定し、次いで当該無効な信号位置を第1のデータ処理装置及び第2のデータ処理装置に提供するステップと、第1のデータ処理装置において、第1の信号及び当該無効な信号位置から第1の照合信号を求め、また、第2のデータ処理装置において、第2の信号及び当該無効な信号位置から第2の照合信号を求めるステップと、第2のデータ処理装置で受信された少なくとも1つの試験パルスから、量子チャネルに沿った総損失を求め、当該総損失及び固有損失から信号損失を特定し、次いで当該信号損失を第1及び第2のデータ処理装置に提供するステップと、第1のデータ処理装置において第1の照合信号を誤り訂正し、かつ第2のデータ処理装置において第2の照合信号を誤り訂正することにより、第1及び第2のデータ処理装置における共有鍵を求めるステップと、当該信号損失から決定された短縮量だけ共有鍵を短縮することにより、当該共有鍵から第1及び第2のデータ処理装置における増幅鍵を求めるステップと、を含む。
別の態様によれば、量子鍵配送のためのシステムが提供され、本システムは複数のデータ処理装置を備え、かつ、第1のデータ処理装置及び第2のデータ処理装置のうちの少なくとも一方において、量子チャネルに沿って、第1のデータ処理装置と第2のデータ処理装置との間で生じた固有損失を特定するステップと、第1のデータ処理装置において、第1の信号を生成するステップと、第1のデータ処理装置において、少なくとも1つの試験パルス及び第1の信号から生成される信号パルスを含むパルスシーケンスを生成するステップと、量子チャネルを介して、第1のデータ処理装置から第2のデータ処理装置に当該パルスシーケンスを送信するステップと、第2のデータ処理装置において当該パルスシーケンスを受信し、次いで第2のデータ処理装置において、当該パルスシーケンスから第2の信号を測定するステップと、第1のデータ処理装置及び第2のデータ処理装置において無効な信号位置を特定し、次いで当該無効な信号位置を第1のデータ処理装置及び第2のデータ処理装置に提供するステップと、第1のデータ処理装置において、第1の信号及び当該無効な信号位置から第1の照合信号を求め、また、第2のデータ処理装置において、第2の信号及び当該無効な信号位置から第2の照合信号を求めるステップと、第2のデータ処理装置で受信された少なくとも1つの試験パルスから、量子チャネルに沿った総損失を求め、当該総損失及び固有損失から信号損失を特定し、次いで当該信号損失を第1及び第2のデータ処理装置に提供するステップと、第1のデータ処理装置において第1の照合信号を誤り訂正し、かつ第2のデータ処理装置において第2の照合信号を誤り訂正することにより、第1及び第2のデータ処理装置における共有鍵を求めるステップと、当該信号損失から決定された短縮量だけ共有鍵を短縮することにより、当該共有鍵から第1及び第2のデータ処理装置における増幅鍵を求めるステップと、を実行するように構成されている。
第1の信号がビット・ストリングであってもよく、好ましくは物理乱数生成器を使用して生成されてもよい。信号パルスはそれぞれ、第1及び第2の信号の信号位置に対応してもよい。信号位置はまた、2つの信号パルス又は複数の信号パルスに対応してもよい。パルスシーケンスは、デコイパルスをさらに含んでいてもよい。
本開示の文脈では、量子チャネルに沿った固有損失を特定するステップは、量子チャネルに沿った固有損失を測定するステップを含んでいてもよい。代替的に、又は付加的に、固有損失はまた、予め収集された測定値又はメーカー情報に基づいて特定されてもよい。
固有損失は、少なくとも1つの光反射率計を使用して検出されてもよい。固有損失が、好ましくは光反射率計によって、自然発生イベントを事前に検出し、かつ記録することによって特定されてもよい。当該イベントは、コネクタ、溶接部、湾曲部及び/又はクラック部の損失を含んでいてもよい。
量子チャネルは光ファイバを含んでいてもよく、かつ/又は試験パルス及び信号パルスは光パルスであってもよい。
光ファイバの透過率は、T=10-μ・Dとしてスケーリングされてもよく、ここで、Dは第1のデータ処理装置(「アリス」)と第2のデータ処理装置(「ボブ」)との間の光ファイバの長さ(例えば、km単位)を表し、μは、例えば10-3km-1~10-1km-1の値をとり得る損失パラメータを表す。具体的には、μは0.02km-1に等しくてもよい。
固有損失(固有の自然損失)は、レイリー散乱損失及びラマン散乱損失を含んでいてもよい。固有損失は、盗聴装置(「イブ」)によって引き起こされないものとして定められてもよい。
第1のデータ処理装置内で生成され、量子チャネルを介して第2のデータ処理装置に送信される、初期信号の強度の低下を測定することによって、固有損失が特定されてもよい。固有損失は、第1及び第2のデータ処理装置に提供されてもよい。当該初期信号は、少なくとも1つの光パルスを含んでいてもよい。
無効な信号位置は、公開チャネルを介して第1のデータ処理装置及び第2のデータ処理装置に提供されてもよい。公開チャネルは、認証済み公開古典チャネルであってもよい。第1のデータ処理装置及び第2のデータ処理装置は、公開チャネルを介して古典信号を交換してもよい。古典信号はまた、量子チャネルを介して交換されてもよい。光ファイバは、量子チャネルと古典チャネルとで共用されてもよい。あるいは、量子チャネルと古典チャネルとは離隔されていてもよい。
量子チャネルは、増幅器を一切含まないか、又は1つ以下の増幅器(例えば、インライン型エルビウム・ドープ・ファイバ増幅器(Erbium dope fibre amplifier:EDFA)又はラマン増幅器)を含んでいてもよい。
量子チャネルはまた、増幅器が110km当たり2つ未満となるような増幅器の平均密度を有するか、好ましくは増幅器が120km、130km、150km又は200kmのうちのいずれか当たり2つ未満となるような増幅器の平均密度を有するようにさらに定められてもよい。
量子チャネル内の隣接する2つの増幅器間の距離は55kmよりも長くなり、好ましくは60km、70km、80km又は100kmのいずれかよりも長くなるようにさらに定められてもよい。
固有損失が量子チャネルに沿って均一に分布するように、量子チャネルが構成されていてもよい。
盗聴装置は、量子チャネルへのローカルな物理アクセスのみを有し得るように定められてもよい。例えば、盗聴装置は、量子チャネルの長さの1%未満又は0.1%未満にアクセスすることができる。
補助ビット・シーケンスは、単一の試験パルスに符号化されてもよい。具体的には、単一の試験パルスは、補助ビット・シーケンスに従って第2のデータ処理装置で検証されてもよい。
したがって、総損失は、単一の試験パルスから測定されてもよい。
単一の試験パルスに補助ビット・シーケンスを符号化するステップは、試験パルスのパラメータのうちの少なくとも1つを修正するステップを含んでいてもよい。試験パルスのパラメータは、試験パルスの強度、位相、長さ及び形状を含んでいてもよい。当該位相は、区間[0,π)からサンプリングされてもよく、かつ/又は当該長さは、区間[1ns,106ns]からサンプリングされてもよい。
パルスシーケンスは、複数の試験パルス(のシーケンス)を含んでいてもよく、また補助ビット・シーケンスは、複数の試験パルスに符号化されてもよい。好ましくは、複数の試験パルスが、補助ビット・シーケンスに従って第2のデータ処理装置で検証されてもよい。
複数の試験パルスに補助ビット・シーケンスを符号化するステップは、試験パルスのパラメータのうちの少なくとも1つを修正するステップをさらに含んでいてもよい。
単一の試験パルス又は複数の試験パルスを検証するステップは、補助ビット・シーケンスが、第2のデータ処理装置で受信された単一の試験パルス又は複数の試験パルスのいずれかに符号化されているかを判定するステップを含んでいてもよい。
補助ビット・シーケンスが、第2のデータ処理装置で受信された単一の試験パルスにも複数の試験パルスにも符号化されていないと判定された場合、単一の試験パルス又は複数の試験パルスは破棄されてもよい。単一の試験パルス又は複数の試験パルスが破棄される場合、別の試験パルス又は別の複数の試験パルスが、第1のデータ処理装置から第2のデータ処理装置に送信されてもよい。
試験パルスのシーケンス長は、信号パルス長よりも長くてもよい。好ましくは、試験パルスのシーケンス長が、信号パルス長よりも103~106倍長くてもよい。具体的には、試験パルスのシーケンス長は1msであってもよく、信号パルス長は1nsであってもよい。
試験パルス及び信号パルスはそれぞれ同じ定電力を有してもよく、例えば0,1μW~10μWの値を有してもよく、具体的には2μWの値を有してもよい。
試験パルス当たりの平均光子数は、106~1012であり、具体的には1010であってもよい。
好ましくは単一の試験パルス又は複数の試験パルスが第2のデータ処理装置で測定された後に、補助ビット・シーケンスが第1のデータ処理装置で生成され、次いで第2のデータ処理装置に送信されてもよい。補助ビット・シーケンスは、公開チャネルを介して送信されてもよい。補助ビット・シーケンスはランダムに生成されてもよい。
第1の照合信号は、第1の信号から無効な信号位置を破棄することにより、第1の信号から求められてもよい。また、第2の照合信号は、第2の信号から無効な信号位置を破棄することにより、第2の信号から求められてもよい。
無効な信号位置は、第1のデータ処理装置及び/又は第2のデータ処理装置で特定されてもよい。
無効な信号位置の少なくとも1つは、第2のデータ処理装置内の対応する信号パルスの不確定な測定結果を検出することによって特定されてもよい。
無効な信号位置の少なくとも1つは、第1のデータ処理装置の準備基底と、対応する信号パルスに対する第2のデータ処理装置の測定基底とが異なっていることを検出することで特定されてもよい。
総損失は、第1のデータ処理装置で生成された少なくとも1つの試験パルスの第1の強度と、第2のデータ処理装置で受信された少なくとも1つの試験パルスの第2の強度とから測定されてもよい。
具体的には、総損失は、第1の強度から第2の強度への減少量から測定されてもよい。
信号損失は、総損失から固有損失を減算することによって特定されてもよい。
総損失及び/又は信号損失は、第1のデータ処理装置及び/又は第2のデータ処理装置で測定されてもよい。信号損失は、公開チャネルを介して信号損失を共有することにより、第1及び第2のデータ処理装置に提供されてもよい。
無効な位置の数は、信号損失に依存してもよい。
本方法は、第1のデータ処理装置及び第2のデータ処理装置において、第1の照合信号及び/又は第2の照合信号から誤り率を推定するステップをさらに含んでいてもよい。
第1の照合信号からの第1の誤り情報は第1のデータ処理装置で生成され、次いで第2のデータ処理装置に送信されてもよい。
その一方、第2の照合信号からの第2の誤り情報は第2のデータ処理装置で生成され、次いで第1のデータ処理装置に送信されてもよい。
誤り率は、第1のデータ処理装置及び第2のデータ処理装置において、第1の誤り情報及び第2の誤り情報から測定されてもよい。第1の誤り情報は、第1の照合信号の第1のパリティビット又はその一部を含んでいてもよい。第2の誤り情報は、第2の照合信号の第2のパリティビット又はその一部を含んでいてもよい。誤り率は、第1のパリティビットと第2のパリティビットとを比較することによって測定されてもよい。
第1の誤り情報は、第1の照合信号の第1の桁位置サブセットをさらに含んでいてもよく、また、第2の誤り情報は、第2の照合信号の第2の桁位置サブセットを含んでいてもよい。
共有鍵は、当該共有鍵にハッシュ法を適用することによって短縮されてもよい。
具体的には、第1の鍵長を有する鍵を第2の鍵長を有する鍵にマッピングするハッシュ関数が、当該共有鍵に適用されてもよい。第1の鍵長は、当該共有鍵の長さと等しくてもよい。第2の鍵長は、第1の鍵長から短縮量を減じたものであってもよい。ハッシュ関数は、ランダムに決定されてもよい。続いて、第1のデータ処理装置及び第2のデータ処理装置間でハッシュ関数が共有されてもよい。
好ましくは、ランダムな2値テプリッツ行列が当該共有鍵に適用されてもよい。テプリッツ行列は、第1の鍵長に等しい列数と、第1の鍵長から短縮量を減じたものに等しい行数とを含んでいてもよい。
当該短縮量が信号損失から決定されてもよく、さらに信号パルスの少なくとも1つの強度、好ましくは信号パルスの平均強度から決定されてもよい。
具体的には、当該短縮量は信号損失から決定されてもよく、さらに第1のデータ処理装置及び/又は第2のデータ処理装置内の信号パルスの平均光子数から決定されてもよい。
当該短縮量が、信号損失と信号パルスの少なくとも1つの強度(第1のデータ処理装置及び/又は第2のデータ処理装置内の)との積、好ましくは信号パルスの平均強度との積から決定されてもよい。
具体的には、当該短縮量は、信号損失と、第1のデータ処理装置及び/又は第2のデータ処理装置内の信号パルスの平均光子数との積から決定されてもよい。
当該短縮量が、好ましくは第1のデータ処理装置と盗聴装置との間の相互情報量を計算することによって決定されてもよい。
信号パルスの強度は、共有鍵の長さが最大になるように調整されてもよい。具体的には、各信号パルスの強度及び/又は信号パルスの平均強度は、共有鍵の長さが最大になるように調整されてもよい。
より包括的には、試験パルスの第1の強度及び/又は信号パルスの強度は、固有損失に応じて調整されてもよい。
本方法は、コヒーレント一方向プロトコル、差動位相シフトプロトコル、BB-84プロトコル、B-92プロトコル、T-12 QKDプロトコル、Y-00 QKDプロトコル、(4+2)-QKDプロトコル、SARG04 QKDプロトコル、又は6状態プロトコルのうちの少なくとも1つ(具体的には1つ)に準拠してもよい。
さらに、Corndorfらによる記載論文、Quantum Information and Computation誌、第2巻第5436号第12~20頁、2004年が採用されてもよい。
本開示の文脈内では、コヒーレント一方向プロトコル、差動位相シフトプロトコル、BB-84プロトコル、B92プロトコル(Bennettによる記載論文、Physical Review Letters(PRL)誌、第68巻第21号第3121~3124頁、1992年)、T-12 QKDプロトコル(Lucamariniらによる記載論文、Optics Express誌、第21巻第21号第24550~24565頁、2013年を参照のこと)、Y-00 QKDプロトコル(Hirotaらによる記載論文、Quantum Communications and Quantum Imaging国際会議議事録第5161巻第320~331頁、2004年を参照のこと)、(4+2)-QKDプロトコル(B.Huttnerらによる記載論文、Physical Review A(PRA)誌、第51巻第1863~1869頁、1995年)、SARG04 QKDプロトコル(V.Scaraniらによる記載論文、Physical Review Letters誌、第92巻第5号、論文番号057901、2004年)、及び6状態プロトコル(Bechmann-Pasquinucciらによる記載論文、Physical Review A誌、第59巻第6号第4238~4248頁)の各々は、それぞれのプロトコルの変形をさらに含んでいてもよい。
量子鍵配送のための方法に関する前述の実施形態は、量子鍵配送のためのシステムに対応して提供され得る。
以下では、例示として、図面を参照しながら実施形態について説明する。
量子鍵配送のためのシステム及び潜在的な盗聴装置の配置を示すグラフィカル図である。
量子鍵配送のための方法を示すグラフィカル図である。
信号損失と距離との関数としての試験パルスの試験パルス強度値を示すプロットである。
コヒーレント一方向プロトコルにおける、量子鍵配送のためのシステム及び盗聴装置の配置を示すグラフィカル図である。
距離と信号損失との関数としての信号パルスの最適強度を示すプロットである。
距離と信号損失との関数としての最大鍵レートを示すプロットである。
距離と信号損失との関数としての鍵レート比を示すプロットである。
差動位相シフトプロトコルにおける、量子鍵配送のためのシステム及び盗聴装置の配置を示すグラフィカル図である。
BB-84プロトコルにおける最大鍵レートを、距離と信号損失との関数として示すプロットである。
BB-84プロトコルにおける鍵レート比を、距離と信号損失との関数として示すプロットである。
図1には、量子鍵配送のためのシステム及び潜在的な盗聴装置12(慣例的に「イブ」と呼んでいる)の配置を示すグラフィカル図が示されている。本システムは、第1のデータ処理装置10(慣例的に「アリス」と呼んでいる)と、第2のデータ処理装置11(慣例的に「ボブ」と呼んでいる)と、を備える。アリス及びボブは、イブとは対照的に、本システムの正規ユーザに対応する。
第1のデータ処理装置10及び第2のデータ処理装置11は、量子チャネル13(伝送線路)を介して信号を交換することができ、具体的には量子信号及び量子状態を交換することができる。量子チャネル13は光ファイバを備える。
第1のデータ処理装置10及び第2のデータ処理装置11は、具体的には公開チャネル14を介して古典信号をさらに交換することができる。古典信号はまた、量子チャネル13を介して交換されてもよい。光ファイバは、量子チャネル13と古典チャネルとで共用されてもよい。あるいは、量子チャネルと古典チャネルとは物理的に離隔され得る。
盗聴装置12は、量子チャネル13と公開チャネル14との両方にアクセスできると仮定される。
図2は、量子鍵配送のための方法を示すグラフィカル図である。
提案している本方法は、盗聴装置12のあらゆる介入を検出することを目的とした、伝送線路の物理的制御を含む。基礎を成す一態様は、光ファイバ内で光子を搬送する送信パルスから、盗聴装置が情報を取得しようと試みると、伝搬モードへの物理的アクセスが不可避的に必要となることにある。ローカルな物理アクセスの形成は、伝送線路を通る電磁パルスの伝搬を制御することで検出され得る。
提案している本方法では、盗聴装置12によって流用された信号の正確な割合が測定され、次いでその割合が量子チャネル13内の自然損失と区別され得る。したがって、盗聴装置12に対する第1及び第2のデータ処理装置10、11の情報優位性が正確に推定され得、これにより、プライバシー増幅後に極めて長い秘密鍵が生成され得る。
即ち、盗聴装置12の行為を監視するために、第1のデータ処理装置10から適切な間隔で試験パルスが送信され、これに対応する強度が第2のデータ処理装置11と照合される。
伝送線路又は光ファイバが適切に設置されている(即ち、著しい屈曲点や粗い接合点がない)と仮定すると、固有損失の大部分は、レイリー散乱及びラマン散乱に起因して生じる。このような損失は、線路全体にわたって分散されている。したがって、伝送線路の相当な部分をカバーするアンテナを備えない限り、盗聴装置12が分散された信号を効果的に捕捉することは不可能である。しかしながら、そのようなアンテナを秘匿構築することは、事実上実現不可能である。
盗聴者に残された唯一の選択肢は、信号の一部を流用すること、即ち、例えば光ファイバを屈曲させることにより、固有損失とは別に付加的な損失を生じさせて、これを悪用することである。
ただし、そのような人工損失は、第1及び第2のデータ処理装置10、11によって特定かつ測定され得る。このことは、盗聴者の行為に関連しない損失の大きさをまず特定すること、即ち、データ信号を送信する前に、線路全体にわたって均一に生じる損失を測定することによって達成され得る。その後、盗聴装置12によって傍受された可能性がある、新たに生じた局所的な信号漏洩が正確に特定され得る。こうした把握により、最も効率的な暗号化及び測定ルーチンが確実に実行され、次いで事後選択処理が決定される。
したがって、第1のステップ21で、量子チャネル13に沿って、第1のデータ処理装置10と第2のデータ処理装置11との間で生じた固有の(自然)損失1-T(光ファイバの透過率TをT=10-μ・Dとしてスケーリングし、光ファイバの長さをDとし、規格化定数をμとする)が特定される。第1のデータ処理装置10内で生成され、量子チャネル13を介して第2のデータ処理装置11に送信され、かつそこで受信される初期信号の強度低下を測定することにより、固有損失1-Tが特定されてもよい。当該初期信号は、少なくとも1つの光パルスを含んでいてもよい。
固有損失1-Tはまた、パラメータ表又はファイバメーカー情報を参照するなどして、光ファイバの所与かつ所定のパラメータ又は特性として特定されてもよいが、ただし、当該パラメータ表又はメーカー情報が、本開示の文脈において十分に信頼できる情報源であると見なされ得ることを条件とする。
したがって、盗聴装置12が引き起こした可能性のある局所的な損失は、光ファイバ全体にわたって均一に生じる固有損失1-Tと区別され得る。初期の設備設定の一部として、特定された固有損失値1-Tが、公開チャネルを介して第1及び第2のデータ処理装置10、11で共有される。
光線路内の固有損失に主として寄与しているのは、レイリー散乱(光ファイバ密度が不規則になることによって起こり、最新のファイバでは0.2dB/kmを超えない)や、ルーティングの仕様に関連する損失、即ち、コネクタ、溶接部、湾曲部、クラック部の損失(「イベント」とも呼ばれる)によるものであり得る。
これらの固有損失は、光反射率計を使用して検出され得る。固有損失を盗聴装置に起因して生じる損失と区別するために、自然発生するすべてのイベントが光反射率計によって事前に検出され、かつ記録されてもよい。
光反射率計を作動させることは、後方散乱光放射を測定し、信号が到達するまでの時間遅延によってイベントまでの距離を計算し、反射係数図を表示し、その結果として当該イベントの分類が可能になることに基づいている。最新の反射率計では、最大500kmの距離からイベントをリアルタイムで識別することができる。
第2のステップ22で、第1の信号、即ち長さLの第1のビット・シーケンス(ビット・ストリング)RAが第1のデータ処理装置10で生成される。第1の信号は、第1のデータ処理装置10で生成された一連のl個の信号(光)パルスに符号化される。
さらに、単一の試験パルス又は複数の試験パルスが第1のデータ処理装置10で生成され、これらは信号パルスと共に光パルスのパルスシーケンスを形成する。
1つ又は複数の試験パルスは、第1のビット・シーケンスRAに関する情報を含んでいないが、介入推定に使用される。第2のデータ処理装置11の検出手段が確実に損傷を受けないようにする一方で、1つ又は複数の試験パルスが可能な限り最高の強度を有することが好ましい。
試験パルスのシーケンスの長さτtestは、信号パルスの長さτsignalよりもはるかに長くなければならず、例えば、τtest=1msとなり、τsignal=1nsとなる。試験パルスのシーケンスは、1つの信号パルスよりも多くの光子を含む必要がある。両形式のパルスは、同じ定電力Pを含み得、例えばP=2μWとなり得る。試験パルス当たりの平均光子数は
となり、ここでνは光周波数である。
例えば盗聴装置12によって試験パルスが確実に不正操作されないようにするために、1つ又は複数の試験パルスが以下のように調整される。
単一の試験パルスの場合、第1のデータ処理装置10で補助ビット・シーケンスが生成され、次いで試験パルスに符号化される。補助ビット・シーケンスは、特定の試験パルスのパラメータ、例えば、試験パルスの強度、位相(例えば、0~π)、長さ(例えば、1ns~106ns)、及び/又は形状を修正することによって、試験パルスに符号化されてもよい。
複数の(一連の)試験パルスの場合、生成された補助ビット・シーケンスが試験パルスのシーケンスに符号化される。これを目的として、異なる試験パルスの強度又は位相が複数の試験パルスにおいて調整されてもよい。
試験パルスのパラメータが盗聴者に知られている場合、原理上は試験パルスが傍受される可能性があり、また、不正操作された試験パルスが盗聴者から送信されて、それらの存在が隠蔽され得る。このような不正操作を防止するためには、補助ビット・シーケンスをランダムに生成し、第2のデータ処理装置11で試験パルスを測定した後にのみ、当該パラメータを比較すればよい。このようにして、盗聴者は、最初にパルスを測定し、その後に当該パルスを再生することを強いられるため、これにより送信が遅延することになる。そのような遅延は、正規装置によって容易に検出され得る。
第3のステップ23で、パルスシーケンスが量子チャネル13を介して、第1のデータ処理装置10から第2のデータ処理装置11に送信される。
第4のステップ24で、当該パルスシーケンスが第2のデータ処理装置11で受信かつ測定される。また、第2のデータ処理装置11において、当該パルスシーケンスを復号することで、当該パルスシーケンスから第2のビット・シーケンスRBに対応する第2の信号が求められる。
単一の試験パルス又は複数の試験パルスが第2のデータ処理装置11で受信かつ測定された後、補助ビット・シーケンスが第2のデータ処理装置11に送信され、対応する試験パルスのパラメータが検証される。
第2のデータ処理装置11におけるパルス測定値のいくつかが、不確定結果をもたらす可能性があり、あるいはこれらのパルスのうちの1つに対して、誤った測定基底が選択されている可能性がある。対応するビット位置(無効な信号位置)は破棄される必要がある。
これらを破棄するために、第5のステップ25で、不確定結果に対応する信号位置が、公開チャネル14を介して第2のデータ処理装置11から第1のデータ処理装置10に送信される。さらに、基底不一致を特定するために、信号位置ごとの対応する準備基底と測定基底とが、公開チャネル14を介して第1及び第2のデータ処理装置間で共有されてもよい。
したがって、第1の信号から無効な信号位置を破棄することにより、第1の信号及び無効な信号位置から第1の照合信号が求められ得る。同様に、第2の信号から無効な信号位置を破棄することにより、第2の信号及び無効な信号位置から第2の照合信号が求められ得る。第2のデータ処理で確定的な測定結果になる確率を
で表すと、第1及び第2の照合信号の長さは平均して
に等しくなる。
第6のステップ26で、量子チャネル13に沿った総損失(値)rtotalが、第2のデータ処理装置11で受信された少なくとも1つの試験パルスから測定される。これを目的として、第1のデータ処理装置から第2のデータ処理装置に至る少なくとも1つの試験パルスの強度低下が測定される。具体的には、総損失rtotalは、散乱行列によって測定され得る。
続いて、信号損失(値)rEが総損失rtotal及び固有損失1-Tから、総損失rtotalから固有の信号損失1-Tを減算することによって求められ、即ちrE=rtotal-(1-T)となる。さらに、当該信号損失は、公開チャネル14を介して第1及び第2のデータ処理装置10、11で共有される。
第2のデータ処理装置11における試験パルス強度
の測定誤り
は、光のポアソン統計に起因して生じるので、次式(1)の通りとなり、
ここで、
は、第1のデータ処理装置10における試験パルス強度に対応する。1つの試験パルスで、大きさ
の漏洩を検出することができる。最小の検出可能信号損失量rE,minについて、次式(2)が成り立つ。
図3は、rE,minとD(km単位でスケーリング)との関数としての試験パルスの試験パルス強度値
を示すプロットである。rE,minのより小さい値とDのより大きい値とは、
のより大きい値に対応する。
第7のステップ27(図2を参照のこと)で、第1及び第2の照合信号に対して誤り訂正が実行される。これを目的として、第1のデータ処理装置10で第1の照合信号から第1のパリティデータが生成され、次いで第2のデータ処理装置に送信されてもよい。付加的に又は代替的に、第2のデータ処理装置11で第2の照合信号から第2のパリティデータが生成され、次いで第1のデータ処理装置10に送信されてもよい。
その後、第1の照合信号と第2の照合信号との差が求められ、次いで訂正され得る。第1のパリティデータは、第1の照合信号の第1のデータブロックの第1のパリティビットを含んでいてもよく、第2のパリティデータは、第2の照合信号の第2のデータブロックの第2のパリティビットを含んでいてもよい(CASCADE方式)。あるいは、第1のパリティデータは、第1の照合信号の第1のシンドロームを含んでいてもよく、第2のパリティデータは、第2の照合信号の第2のシンドロームを含んでいてもよい(線形誤り訂正符号方式又は線形ブロック符号方式)。
第1のパリティデータ及び/又は第2のパリティデータから、誤り率が推定されてもよい。
第1及び第2の照合信号を誤り訂正することにより、第1及び第2のデータ処理装置10、11の両方で共有鍵が特定される。
第8のステップ28で、共有鍵を短縮すること(プライバシー増幅)により、第1及び第2のデータ処理装置10、11で共有鍵から増幅鍵が求められる。当該共有鍵は、信号損失から決定された短縮量だけ短縮される。したがって、増幅鍵に関して盗聴者が有する情報がほとんどないことになる。
これを目的として、ランダムな2値テプリッツ行列Tが求められ、かつ公開共有されてもよい。増幅鍵は、このテプリッツ行列Tを共有鍵に(好ましくは行ベクトルとして)乗算する(好ましくは左乗算する)ことによって求められてもよい。Tの列数は共有鍵の長さに対応していてもよく、Tの行数は、信号損失から決定される短縮量を当該鍵の長さから減じたものに対応していてもよい。
第1のデータ処理装置10と盗聴装置12との間の最大相互情報量(本方法に従って信号損失を特定することを考慮に入れる)をmaxI’(A,E)で表すと、増幅鍵の長さが次式(3)の通りに記述されてもよい。
本方法において特定された信号損失を考慮することにより、従来の手法と比較して当該短縮量が大幅に少なくなり、長さが延長された増幅鍵が得られるようになる。
以下で本方法について、いくつかの典型的な量子鍵配送プロトコルによってさらに例示する。しかしながら、本開示の手法は、これらのプロトコルの変形を用いて、又は他の量子鍵配送プロトコルを用いて同様に実施されてもよい。
コヒーレント一方向(COW)量子鍵配送プロトコル
COW QKDプロトコル(例えば、Stuckiらによる記載論文、Applied Physics Letters誌、第87巻第19号、論文番号194108、2005年を参照のこと)では、第1のデータ処理装置10が、強度変調器41と共に減衰レーザ40を備える(図4を参照のこと)。レーザ40は、平均光子数|γ|2のコヒーレント状態を生成して、ランダム・ビット・ストリングである第1の信号を、空でないパルス(量子状態|γ〉に対応する)及び空のパルス(量子状態|0〉に対応する)から成る二重パルスに符号化するように構成されている。したがって、ゼロ値ビットは|0〉|γ〉となるように符号化されてもよく、1値ビットは|γ〉|0〉となるように符号化されてもよい。
COW QKDプロトコル(例えば、Stuckiらによる記載論文、Applied Physics Letters誌、第87巻第19号、論文番号194108、2005年を参照のこと)では、第1のデータ処理装置10が、強度変調器41と共に減衰レーザ40を備える(図4を参照のこと)。レーザ40は、平均光子数|γ|2のコヒーレント状態を生成して、ランダム・ビット・ストリングである第1の信号を、空でないパルス(量子状態|γ〉に対応する)及び空のパルス(量子状態|0〉に対応する)から成る二重パルスに符号化するように構成されている。したがって、ゼロ値ビットは|0〉|γ〉となるように符号化されてもよく、1値ビットは|γ〉|0〉となるように符号化されてもよい。
第2のデータ処理装置11は、主検出器42と、第2の検出器43と、第3の検出器44と、を備える。第1及び第2のデータ処理装置10、11は、第2及び第3の検出器43、44での干渉可視性を推定し、これを用いて盗聴装置12によって傍受された情報量を推定してもよい。
すべての二重パルスの小部分f≪1は、デコイ状態(デコイパルス)|γ〉|γ〉に対応する。第2のデータ処理装置11における干渉計の長アームは、空でない2つの隣接パルスが最後のビームスプリッタ(図4には示さず)で干渉するような長さを有する。このため、第3の検出器44は、デコイ状態のトリガとはならない。主検出器42を使用して、パルスのうちの1つの到達時間が監視される。コヒーレントパルスにおける光子数がポアソン統計に従うために、主検出器42は、空でないパルスのトリガとはならないことがある。第2のデータ処理装置11では、このような測定結果は不確定と解釈される。
すべてのパルスを送信した後、第1のデータ処理装置10は、第2のデータ処理装置11に対して用意されたのがデコイパルスであるのか信号パルスであるのかを示す情報を送信する。事後選択処理は、デコイパルスを解析し、次いで無効な信号位置、具体的には不確定結果に対応する信号位置を破棄するステップを含む。潜在的な盗聴装置12は、更なる誤りを発生させる可能性がある。その結果、第2のデータ処理装置11は、量子チャネル13内の対応する損失があるために、予想されるよりもより不確定な結果を得ることになる。
原COW QKDプロトコルにおける鍵レートの上限推定値を定めるために、想定可能なあらゆる盗聴攻撃を考慮することができる。例えば、盗聴装置12が、信号の損失部分を取得したと見なされてもよい。第1のデータ処理装置10から送信されたビット(「A」)に関して盗聴装置12(「E」)で取得される最大情報量maxI(A,E)は、等確率状態については以下(4)の結果をもたらす、ホレボ限界によって推定され得、
ここで、I(A,E)は、第1のデータ処理装置10と盗聴装置12との間の相互情報量を表し、χはホレボ容量又はホレボ限界を表し、h2は、2値エントロピー関数を表し、T=10-μDは、量子チャネル13(光線路全体)の透過率を表し、Dは、光線路の長さを表し、そしてμは、損失パラメータを表す。光ファイバ内の損失の典型的な値は、μ=0.02km-1である。
第2のデータ処理装置11で確定的な測定結果になる確率
は、次式(5)の通りに記述することができ、
ここで、|γ|2は、第1のデータ処理装置10におけるパルス強度を表す。
盗聴装置で取得可能な情報を排除するために、確立された共有鍵に対してプライバシー増幅又は鍵蒸留が実行されてもよい。例えば、第1のデータ処理装置と第2のデータ処理装置とは、ランダム(ハッシュ)関数
について一致をみる(認証済み公開チャネル14を介して、あるいはプロトコルが実行される前に)ことができ、それによって、事後選択処理後に取得された長さ
の共有鍵の長さを、次式(6)の通りに短縮することができる。
提案している本方法に従って信号損失rEを測定する場合、確定的な測定結果になる確率は、次式(7)の通りとなる。
盗聴装置12によって取得可能な最大情報量を推定するために、対応するホレボ限界から、次式(8)を得ている。
したがって、事後選択処理及びプライバシー増幅の後、提案している本方法による増幅鍵の長さは、次式(9)の通りとなる。
強度|γ|2は、特定の減衰量10-μDに対する最大鍵レートを実現するために、最適化されてもよい。また、このことにより、原COWプロトコル(鍵長Lfに対応)の鍵レートと、当該COWプロトコルに加えて提案している本方法(鍵長
に対応)の鍵レートとを互いに比較することが可能になる。
これを目的として、式(6)及び式(9)がそれぞれ最適化され、次いでそれぞれの最適強度が求められる。rEの個々の値について、異なる最適強度が決定されてもよい。
図5は、式(9)を、μ=1/50km-1となる場合の距離Dと信号損失rEとの関数として最大化する、信号パルスの最適強度を示すプロットである。任意の距離値Dに対して、光チャネル透過率は10-μDとなる。10-μDの最適強度を式(6)及び式(9)に代入することにより、最大鍵レートがrEとDとの関数として計算される。
図6は、μ=1/50km-1となる場合の距離Dと信号損失rEとの関数としての、最大鍵レートを示す対応するプロットである。
比較するために、提案している本方法のために求められた鍵レート
と、原COWプロトコルの鍵レートである、Rorig=Lf/Lとの間の鍵レート比R/Rorigが計算される。
図7は、μ=1/50km-1となる場合の距離Dと信号損失rEとの関数としての、鍵レート比R/Rorigを示すプロットである。当該COW QKDプロトコルの場合、提案している本方法では、盗聴装置12が当該信号の約10%を取得できる(図7のプロットの上部領域を参照のこと)という悲観的な場合であっても、原手法よりも高い鍵レート値を生成する。約10%の漏洩を制御することで、とりわけ約100kmの距離Dにおいて、原COW QKDプロトコルよりも数倍高い鍵レート値を依然として実現している。約1%のrEでは、提案している本方法から得られる鍵レートは約80倍高くなる。
盗聴者がパルスをブロックするか、又は更なる信号を生じさせるというような、様々な方式の盗聴攻撃が考えられ得る。試験パルスの一部が遮断されるため、そのような攻撃は直ちに検出され得る。さらに、試験パルスの波束形状は、盗聴装置12の干渉によって著しく変化する。当該COW QKDプロトコルの場合、このことは、デコイ状態だけでなく、デコイパルスに対応する多数のビットも解析する必要がないことを意味する。
その結果、第2及び第3の検出器43、44を備える第2のデータ処理装置から干渉ユニットを取り除くことにより、当該COW QKDプロトコルのフレームワークが大幅に簡略化され得る。これらの変更を行うことがコスト削減につながって、QKD実装をより広く利用可能にすることができる。
差動位相シフト(DPS)QKDプロトコル
図8は、差動位相QKDプロトコルにおける、量子鍵配送のためのシステム及び盗聴装置の配置を示すグラフィカル図である。
図8は、差動位相QKDプロトコルにおける、量子鍵配送のためのシステム及び盗聴装置の配置を示すグラフィカル図である。
DPS QKDプロトコル(Inoueらによる記載論文、Physical Review Letters誌、第89巻、論文番号037902、2002年、及びInoueらによる記載論文、Physical Review A誌、第68巻、論文番号022317、2003年を参照のこと)では、第1のデータ処理装置10のコヒーレント光源80で生成されたコヒーレントパルスが、位相変調ユニット81で0又はπだけランダムに位相変調されており、また減衰ユニット82で時間ビンごとに減衰されている。第2のデータ処理装置11では、受信した各パルスが、より短い経路84及びより長い経路85に沿って、分岐比50:50の第1のビームスプリッタ83によって分割されており、次いで分岐比50:50の第2のビームスプリッタ86によって再結合されている。ビームスプリッタ83、86は、経路84、85と共に干渉計を構成している。より長い経路85は、隣接する2つのパルスが第2のビームスプリッタ86で干渉し合うような長さを有する。
こうした構成により、連続する2つのパルスの部分的な波動関数が、互いに干渉し合うようになる。第1の検出器87は、干渉計内の適切に測定された位相を用いて連続する2つのパルス間の位相差0についてクリックされ、また、第2の検出器88は位相差πについてクリックされる。パルスを受信した後、パルスが第2のデータ処理装置11によって検出された検出時間は、第1のデータ処理装置10と共有される。第1のデータ処理装置10は、検出時間及びパルスごとの位相変調を含む変調データから、第1の検出器87又は第2の検出器88のいずれがそのパルスについてクリックされたかを判定することができる。
ビット値「0」は、量子状態|γ〉|γ〉又は|-γ〉|-γ〉のうちの1つを有すると特定されてもよく、またビット値「1」は、量子状態|γ〉|-γ〉又は|-γ〉|γ〉のうちの1つを有すると特定されてもよい。
第1の検出器のクリックがビット値「0」に対応し、第2の検出器のクリックがビット値「1」に対応すると定義すると、第1及び第2のデータ処理装置10、11の両方において、共有鍵に対応する同一のビット・ストリングが確立され得る。
盗聴装置12が信号の損失部分すべてを取得するような攻撃を考慮すると、原DPS QKDプロトコルにおいて第1のデータ処理装置10から送信されたビットに関して盗聴装置12で取得される最大情報量は、次式(10)に対応する。
確定的な測定値になる確率
を示す数式(5)の構造が保存される。事後選択及びプライバシー増幅の後の鍵長は、次式(11)に対応する。
これに対して、提案している本方法に従って信号損失rEを測定する場合、盗聴装置12によって取得され得る最大情報量は、次式(12)の通りとなり、
増幅鍵の鍵長は、次式(13)の通りとなる。
式(10)~式(13)中のDPSプロトコルでの表現が、当該COWプロトコルの対応する表現と類似しているために、最適な信号強度、鍵レート、及び提案している本方法によるプロトコルの鍵レートと原プロトコルの鍵レートとの間の鍵レート比R/Rorigを解析することにより、DPSプロトコルと同様の結果が得られる。
BB-84プロトコル
BB-84プロトコル(Bennett、Brassardによる「Quantum cryptography:Public key distribution and coin tossing」、コンピュータ、システム及び信号処理に関するIEEE国際会議の議事録、第175巻第8頁、ニューヨーク、1984年)では、第1のデータ処理装置10において、ランダムに生成されたストリングの各ビットが、4つの量子状態{|0x〉|1x〉,|0z〉,|1z〉}のうちの1つに符号化され、相互にバイアスされていない2つの正規直交基底X及びZを形成する。i番目のビットは、|ix〉又は|iz〉に符号化され得、対応する準備基底の選択はランダムに行われる。結果として得られるパルスシーケンスは、第2のデータ処理装置11に送信される。
BB-84プロトコル(Bennett、Brassardによる「Quantum cryptography:Public key distribution and coin tossing」、コンピュータ、システム及び信号処理に関するIEEE国際会議の議事録、第175巻第8頁、ニューヨーク、1984年)では、第1のデータ処理装置10において、ランダムに生成されたストリングの各ビットが、4つの量子状態{|0x〉|1x〉,|0z〉,|1z〉}のうちの1つに符号化され、相互にバイアスされていない2つの正規直交基底X及びZを形成する。i番目のビットは、|ix〉又は|iz〉に符号化され得、対応する準備基底の選択はランダムに行われる。結果として得られるパルスシーケンスは、第2のデータ処理装置11に送信される。
第2のデータ処理装置11では、{X,Z}からの測定基底がビットごとに選択され(成功確率は2分の1)、そこで選択された測定基底で受信された状態又はパルスが測定される。その後、使用される準備基底(及び/又は測定基底)が、例えば、公開チャネル14を介して、第1及び第2のデータ処理装置10、11間で共有される。その結果、平均して共有ビットの半分が破棄されることで、共有鍵が取得される。
このBB-84プロトコルは当初、1光子パルスを使用することを想定して考案されていた。実験段階のBB-84を実現したものでは、減衰コヒーレントレーザ光が1つの光子状態の光源として頻繁に使用されている。当該レーザは、ポアソン分布Pn=exp(-|γ|2)・|γ|2n/n!を有する光子数状態|n〉(フォック状態)の統計的混合である未知のランダムな全体位相を伴う(低強度|γ|2の)、弱いコヒーレントパルスを生成し、結果として以下の(14)のような量子状態をもたらす。
これに応じて、当該レーザが多光子パルスを生成することもできる。光子数分割(photon number splitting:PNS)攻撃を行い、すべての余剰光子を取得し、かつ使用した準備基底について第1のデータ処理装置10が第2のデータ処理装置11に伝達するまで、それらを量子メモリに記憶させることができる潜在的な盗聴者にとって、このことは原理上有利となる。〈0x│1x〉=〈0z│1z〉=0になる直交条件により、盗聴装置12は、更なる誤りを一切生じることなく、論理ビット「0」と「1」とを区別することができる。したがって、第1のデータ処理装置10のレーザによって放出される単一光子パルスのみが、セキュアな量子鍵配送を保証することができる。この場合に実現できる秘密鍵の長さは、次式(15)の通りとなり、
ここで、Qは信号状態又は信号パルスの利得(即ち、信号状態が第2のデータ処理装置11によって検出される確率である)を表し、Eは量子ビット誤り率(quantum bit error rate:QBER)を表す。Q及びEの両方を、実験によって容易に取得することができる。また、f(E)∈[0,1]は誤り訂正の効率を表し、Q1は単一光子状態の利得(即ち、単一光子パルスが第1のデータ処理装置10によって放出され、次いで第2のデータ処理装置11によって検出される結合確率である)を表し、e1は単一光子パルスの誤り率を表す。
第2のデータ処理装置11は通常、単一光子パルスから発生した光子と多光子パルスから発生した光子とを区別することができない。したがって、Q1とe1とを直接求めることはできず、これらを推定する必要がある。現行の最も効率的な推定方法は、デコイ状態(Loらによる記載論文、Physical Review Letters誌、第94巻、論文番号230504、2005年及びMaらによる記載論文、Physical Review A誌、第72巻、論文番号012326、2005年を参照のこと)に基づく。式(15)中のLfの上限を求めるために、2値エントロピー関数h2の非負性が使用され得、これによりLf≦L・1/2Q1が得られる。
盗聴装置12の行為は、単一光子状態Q1の利得の減少を引き起こし、この利得は盗聴が行われない場合に、次の
のように最大となる。その結果、原BB-84プロトコルの秘密共有鍵の長さの上限が、以下(16)のように特定され得る。
提案している本手法をBB-84プロトコルに適用する場合、線路制御式COWプロトコルの解析と同様に、特定された信号損失rEが考慮される。結果として得られる確定的結果となる確率は、次式(17)の通りとなり、
ここで、係数1/2は、基底照合に起因して生じる。盗聴装置12が量子メモリを備えていることを想定すると、盗聴装置12は、基底照合が行われるまで傍受した光子を記憶し、かつ最適な測定を適用することができるため、ビットに関する完全な情報を取得する。したがって、盗聴装置12によって少なくとも1つの光子が傍受される場合は常に、対応するビットに関して取得された情報は、次式(18)の通りとなり、
maxI’(A,E)=0・PE(0)+1・PE(≧1) (18)
maxI’(A,E)=0・PE(0)+1・PE(≧1) (18)
ここで、PE(0)及びPE(≧1)=1-PE(0)はそれぞれ、真空状態が傍受される確率と、正の光子数が傍受される確率とを表す。ポアソン統計から、PE(0)=exp(-rE|γ|2)が成り立つ。事後選択及びプライバシー増幅の後、増幅鍵の鍵長は次式(19)の通りとなる。
COW QKDプロトコルの文脈で上述したように、式(16)及び式(19)中の鍵長Lf並びに
をそれぞれ最大化するために、信号パルスの最適強度が求められてもよい。続いて、当該最適強度を使用して、信号損失rEと距離Dとの関数としての最大鍵レートが特定されてもよい。図9は、μ=1/50km-1となる最大鍵レートを示す、対応するプロットである。
図10は、提案している本方法で特定された鍵レート
と、原COWプロトコルでの鍵レート、Rorig=Lf/Lとの鍵レート比R/Rorigを、デコイ状態のBB-84プロトコルでμ=1/50km-1となる距離Dと信号損失rEとの関数として示すプロットである。図10から分かるように、rEを信号の1%になるまで制御できれば、100kmの距離において原プロトコルの20倍を超える鍵レートが実現され得る。
本明細書、図及び/又は特許請求の範囲に開示されている特徴は、単独で、又はそれらの様々な組み合わせで取り入れられる、様々な実施形態を実現するための材料であってもよい。
Claims (15)
- 複数のデータ処理装置(10、11)を備えるシステムにおいて実施可能な量子鍵配送のための方法であって、前記方法は、
-第1のデータ処理装置(10)及び第2のデータ処理装置(11)のうちの少なくとも一方において、量子チャネル(13)に沿って、前記第1のデータ処理装置(10)と前記第2のデータ処理装置(11)との間で生じた固有損失を特定するステップと、
-前記第1のデータ処理装置(10)において、第1の信号を生成するステップと、
-前記第1のデータ処理装置(10)において、少なくとも1つの試験パルス及び前記第1の信号から生成される信号パルスを含むパルスシーケンスを生成するステップと、
-前記量子チャネル(13)を介して、前記第1のデータ処理装置(10)から前記第2のデータ処理装置(11)に前記パルスシーケンスを送信するステップと、
-前記第2のデータ処理装置(11)において前記パルスシーケンスを受信し、次いで前記第2のデータ処理装置(11)において、前記パルスシーケンスから第2の信号を測定するステップと、
-前記第1のデータ処理装置(10)及び前記第2のデータ処理装置(11)において無効な信号位置を特定し、次いで前記無効な信号位置を前記第1のデータ処理装置(10)及び前記第2のデータ処理装置(11)に提供するステップと、
-前記第1のデータ処理装置(10)において、前記第1の信号及び前記無効な信号位置から第1の照合信号を求め、また、前記第2のデータ処理装置(11)において、前記第2の信号及び前記無効な信号位置から第2の照合信号を求めるステップと、
-前記第2のデータ処理装置(11)で受信された前記少なくとも1つの試験パルスから、前記量子チャネル(13)に沿った総損失を求め、前記総損失及び前記固有損失から信号損失を特定し、次いで前記信号損失を前記第1及び第2のデータ処理装置(10、11)に提供するステップと、
-前記第1のデータ処理装置(10)において前記第1の照合信号を誤り訂正し、かつ前記第2のデータ処理装置(11)において前記第2の照合信号を誤り訂正することにより、前記第1及び第2のデータ処理装置(10、11)における共有鍵を求めるステップと、
-前記信号損失から決定された短縮量だけ前記共有鍵を短縮することにより、前記共有鍵から前記第1及び第2のデータ処理装置(10、11)における増幅鍵を求めるステップと、を含む、
方法。 - 前記量子チャネル(13)が光ファイバを含み、かつ/又は前記少なくとも1つの試験パルス及び前記信号パルスが光パルスである、請求項1に記載の方法。
- 前記固有損失が前記量子チャネルに沿って均一に分布するように、前記量子チャネルが構成されている、請求項1又は2に記載の方法。
- 補助ビット・シーケンスが単一の試験パルスに符号化されており、好ましくは、前記単一の試験パルスが、前記補助ビット・シーケンスに従って前記第2のデータ処理装置(11)で検証される、請求項1から3のいずれか一項に記載の方法。
- 前記パルスシーケンスが複数の試験パルスを含み、補助ビット・シーケンスが、前記複数の試験パルスに符号化されており、また好ましくは、前記複数の試験パルスが、前記補助ビット・シーケンスに従って前記第2のデータ処理装置(11)で検証される、請求項1から3のいずれか一項に記載の方法。
- 前記第1の照合信号が、前記第1の信号から前記無効な信号位置を破棄することにより、前記第1の信号から求められ、かつ/又は前記第2の照合信号が、前記第2の信号から前記無効な信号位置を破棄することにより、前記第2の信号から求められる、請求項1から5のいずれか一項に記載の方法。
- 前記総損失が、前記第1のデータ処理装置(10)で生成された前記少なくとも1つの試験パルスの第1の強度と、前記第2のデータ処理装置(11)で受信された前記少なくとも1つの試験パルスの第2の強度とから測定される、請求項1から6のいずれか一項に記載の方法。
- 前記信号損失が、前記総損失から前記固有損失を減算することによって特定される、請求項1から7のいずれか一項に記載の方法。
- 前記方法が、前記第1の照合信号及び/又は前記第2の照合信号から誤り率を推定するステップをさらに含む、請求項1から8のいずれか一項に記載の方法。
- 前記共有鍵が、前記共有鍵にハッシュ法を適用することによって短縮される、請求項1から9のいずれか一項に記載の方法。
- 前記短縮量が前記信号損失から決定され、さらに前記信号パルスの少なくとも1つの強度から決定される、請求項1から10のいずれか一項に記載の方法。
- 前記短縮量が、前記信号損失と前記信号パルスの少なくとも1つの強度との積から決定される、請求項1から11のいずれか一項に記載の方法。
- 前記信号パルスの強度が、前記共有鍵の長さが最大になるように調整される、請求項1から12のいずれか一項に記載の方法。
- 前記方法が、コヒーレント一方向プロトコル、差動位相シフトプロトコル、BB-84プロトコル、B-92プロトコル、T-12 QKDプロトコル、Y-00 QKDプロトコル、(4+2)-QKDプロトコル、SARG04 QKDプロトコル、及び6状態プロトコルのうちの少なくとも1つに準拠している、請求項1から13のいずれか一項に記載の方法。
- 複数のデータ処理装置を備え、かつ、
-第1のデータ処理装置(10)及び第2のデータ処理装置(11)のうちの少なくとも一方において、量子チャネル(13)に沿って、前記第1のデータ処理装置(10)と前記第2のデータ処理装置(11)との間で生じた固有損失を特定するステップと、
-前記第1のデータ処理装置(10)において、第1の信号を生成するステップと、
-前記第1のデータ処理装置(10)において、少なくとも1つの試験パルス及び前記第1の信号から生成される信号パルスを含むパルスシーケンスを生成するステップと、
-前記量子チャネル(13)を介して、前記第1のデータ処理装置(10)から前記第2のデータ処理装置(11)に前記パルスシーケンスを送信するステップと、
-前記第2のデータ処理装置(11)において前記パルスシーケンスを受信し、次いで前記第2のデータ処理装置(11)において、前記パルスシーケンスから第2の信号を測定するステップと、
-前記第1のデータ処理装置(10)及び前記第2のデータ処理装置(11)において無効な信号位置を特定し、次いで前記無効な信号位置を前記第1のデータ処理装置(10)及び前記第2のデータ処理装置(11)に提供するステップと、
-前記第1のデータ処理装置(10)において、前記第1の信号及び前記無効な信号位置から第1の照合信号を求め、また、前記第2のデータ処理装置(11)において、前記第2の信号及び前記無効な信号位置から第2の照合信号を求めるステップと、
-前記第2のデータ処理装置(11)で受信された前記少なくとも1つの試験パルスから、前記量子チャネル(13)に沿った総損失を求め、前記総損失及び前記固有損失から信号損失を特定し、次いで前記信号損失を前記第1及び第2のデータ処理装置(10、11)に提供するステップと、
-前記第1のデータ処理装置(10)において前記第1の照合信号を誤り訂正し、かつ前記第2のデータ処理装置(11)において前記第2の照合信号を誤り訂正することにより、前記第1及び第2のデータ処理装置(10、11)における共有鍵を求めるステップと、
-前記信号損失から決定された短縮量だけ前記共有鍵を短縮することにより、前記共有鍵から前記第1及び第2のデータ処理装置(10、11)における増幅鍵を求めるステップと、を実行するように構成されている、
量子鍵配送のためのシステム。
Applications Claiming Priority (6)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| EP21157942 | 2021-02-18 | ||
| EP21157942.0A EP4047859A1 (en) | 2021-02-18 | 2021-02-18 | Long-distance quantum key distribution |
| EP21166427 | 2021-03-31 | ||
| EP21166427.1A EP4047860A1 (en) | 2021-02-18 | 2021-03-31 | Long-distance quantum key distribution |
| EP21168449.3A EP4047861A1 (en) | 2021-02-18 | 2021-04-14 | Method and system for quantum key distribution |
| EP21168449 | 2021-04-14 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2022126613A JP2022126613A (ja) | 2022-08-30 |
| JP7312487B2 true JP7312487B2 (ja) | 2023-07-21 |
Family
ID=75539088
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022022716A Active JP7430926B2 (ja) | 2021-02-18 | 2022-02-17 | 長距離量子鍵配送 |
| JP2022022851A Active JP7312487B2 (ja) | 2021-02-18 | 2022-02-17 | 量子鍵配送のための方法及びシステム |
Family Applications Before (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2022022716A Active JP7430926B2 (ja) | 2021-02-18 | 2022-02-17 | 長距離量子鍵配送 |
Country Status (7)
| Country | Link |
|---|---|
| US (2) | US20220278834A1 (ja) |
| EP (1) | EP4047861A1 (ja) |
| JP (2) | JP7430926B2 (ja) |
| KR (2) | KR102618953B1 (ja) |
| CN (2) | CN115021896A (ja) |
| AU (2) | AU2022201032B2 (ja) |
| CA (2) | CA3149737A1 (ja) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11671268B2 (en) * | 2019-05-24 | 2023-06-06 | University Of Louisiana At Lafayette | Private, arrival-time messaging |
| GB2624217A (en) * | 2022-11-10 | 2024-05-15 | Toshiba Kk | Methods and systems for determining photon number statistics of a light source |
| CN117792796B (zh) * | 2024-02-26 | 2024-05-03 | 中国科学技术大学 | 一种在IPSec中融合量子密钥的自适应一次一密数据保护方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007251679A (ja) | 2006-03-16 | 2007-09-27 | Sony Corp | 量子暗号通信装置 |
| JP2013544479A (ja) | 2010-12-02 | 2013-12-12 | キネテイツク・リミテツド | 量子鍵配送 |
| JP2017168928A (ja) | 2016-03-14 | 2017-09-21 | 株式会社東芝 | 通信装置、量子鍵配送システム、量子鍵配送方法およびプログラム |
Family Cites Families (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB0801395D0 (en) * | 2008-01-25 | 2008-03-05 | Qinetiq Ltd | Network having quantum key distribution |
| GB0809045D0 (en) * | 2008-05-19 | 2008-06-25 | Qinetiq Ltd | Quantum key distribution involving moveable key device |
| US9294191B2 (en) * | 2012-10-04 | 2016-03-22 | Vencore Labs, Inc. | Method to mitigate propagation loss in waveguide transmission of quantum states |
| EP3043508B1 (en) | 2015-01-09 | 2019-06-26 | Institut Mines Telecom | Hybrid classical quantum cryptography |
| WO2016191679A1 (en) * | 2015-05-28 | 2016-12-01 | Massachusetts Institute Of Technology | Apparatus and methods for quantum key distribution |
| CN106656320B (zh) | 2015-10-29 | 2019-04-12 | 阿里巴巴集团控股有限公司 | 用于光量子通信业务的光纤信道损耗测量系统、方法及装置 |
| CN107370546B (zh) * | 2016-05-11 | 2020-06-26 | 阿里巴巴集团控股有限公司 | 窃听检测方法、数据发送方法、装置及系统 |
| CN107404461B (zh) * | 2016-05-19 | 2021-01-26 | 阿里巴巴集团控股有限公司 | 数据安全传输方法、客户端及服务端方法、装置及系统 |
| JP6819146B2 (ja) * | 2016-08-31 | 2021-01-27 | 沖電気工業株式会社 | 認証システム、認証側装置及びセキュリティシステム |
| US11196713B2 (en) * | 2017-10-17 | 2021-12-07 | Eric Litak | Classical implementation of quantum entanglement in datacenter network design |
| CN108768542B (zh) * | 2018-05-02 | 2021-10-19 | 三峡大学 | 一种基于随机数的语音信号量子加密通信系统 |
| CN109600172A (zh) | 2018-07-02 | 2019-04-09 | 安徽安申信息科技有限责任公司 | 一种基于量子通信的全光路计算机视觉系统 |
| CN109194468B (zh) * | 2018-07-20 | 2021-08-31 | 国科量子通信网络有限公司 | 中继节点的部署方法、装置与设备、计算机可读存储介质 |
| CN113302875A (zh) | 2019-03-04 | 2021-08-24 | 杜塞尔多夫华为技术有限公司 | 量子密钥分发中校准可信噪声 |
| EP3982589A1 (en) | 2020-10-06 | 2022-04-13 | Terra Quantum AG | Method, apparatus, computer program and data carrier for determining a shared secret cryptographic key |
| AU2022270154A1 (en) * | 2021-05-06 | 2023-12-07 | Strong Force Iot Portfolio 2016, Llc | Quantum, biological, computer vision, and neural network systems for industrial internet of things |
-
2021
- 2021-04-14 EP EP21168449.3A patent/EP4047861A1/en active Pending
-
2022
- 2022-02-16 AU AU2022201032A patent/AU2022201032B2/en active Active
- 2022-02-16 AU AU2022201029A patent/AU2022201029A1/en active Pending
- 2022-02-17 JP JP2022022716A patent/JP7430926B2/ja active Active
- 2022-02-17 JP JP2022022851A patent/JP7312487B2/ja active Active
- 2022-02-18 KR KR1020220021351A patent/KR102618953B1/ko active IP Right Grant
- 2022-02-18 CA CA3149737A patent/CA3149737A1/en active Pending
- 2022-02-18 US US17/675,256 patent/US20220278834A1/en active Pending
- 2022-02-18 CN CN202210151672.7A patent/CN115021896A/zh active Pending
- 2022-02-18 CN CN202210152957.2A patent/CN115021897A/zh active Pending
- 2022-02-18 CA CA3149549A patent/CA3149549A1/en active Pending
- 2022-02-18 US US17/675,570 patent/US11818258B2/en active Active
- 2022-02-18 KR KR1020220021437A patent/KR20220118350A/ko active Search and Examination
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007251679A (ja) | 2006-03-16 | 2007-09-27 | Sony Corp | 量子暗号通信装置 |
| JP2013544479A (ja) | 2010-12-02 | 2013-12-12 | キネテイツク・リミテツド | 量子鍵配送 |
| JP2017168928A (ja) | 2016-03-14 | 2017-09-21 | 株式会社東芝 | 通信装置、量子鍵配送システム、量子鍵配送方法およびプログラム |
Non-Patent Citations (1)
| Title |
|---|
| LODEWYCK, J. et al.,Controlling excess noise in fiber-optics continuous-variable quantum key distribution,PHYSICAL REVIEW A,72,050303,2005年,pp.1-4 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP7430926B2 (ja) | 2024-02-14 |
| AU2022201032B2 (en) | 2023-11-30 |
| CA3149737A1 (en) | 2022-08-18 |
| US20220278834A1 (en) | 2022-09-01 |
| US20220271928A1 (en) | 2022-08-25 |
| EP4047861A1 (en) | 2022-08-24 |
| JP2022126611A (ja) | 2022-08-30 |
| US11818258B2 (en) | 2023-11-14 |
| CN115021896A (zh) | 2022-09-06 |
| KR102618953B1 (ko) | 2023-12-27 |
| AU2022201032A1 (en) | 2022-09-01 |
| AU2022201029A1 (en) | 2022-09-01 |
| CA3149549A1 (en) | 2022-08-18 |
| JP2022126613A (ja) | 2022-08-30 |
| KR20220118350A (ko) | 2022-08-25 |
| CN115021897A (zh) | 2022-09-06 |
| KR20220118347A (ko) | 2022-08-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7312487B2 (ja) | 量子鍵配送のための方法及びシステム | |
| JP7158380B2 (ja) | 量子的に高められた物理層セキュリティのための装置および方法 | |
| US7697693B1 (en) | Quantum cryptography with multi-party randomness | |
| US7649996B2 (en) | Cryptographic communication apparatus | |
| US7787628B2 (en) | Double phase encoding quantum key distribution | |
| US11411724B2 (en) | Continuous variable quantum secret sharing | |
| US20070192598A1 (en) | Pedigrees for quantum cryptography | |
| US20050190921A1 (en) | Systems and methods for framing quantum cryptographic links | |
| WO2013037062A1 (en) | System and method for quantum key distribution | |
| KR20160070032A (ko) | 양자 암호 키 분배 방법, 장치 및 시스템 | |
| US20220294618A1 (en) | Improvements to qkd methods | |
| KR101590105B1 (ko) | P2mp 네트워크에서 광자수 분리 공격(pns)을 감지할 수 있는 양자 키 분배 방법 및 시스템 | |
| JP7366440B2 (ja) | 秘密共有暗号鍵を決定するための方法、装置、コンピュータプログラム及びデータ記憶媒体 | |
| CN115361118A (zh) | 具有损耗容忍的参考系和测量设备无关量子密钥分发方法 | |
| JP2022115095A (ja) | 量子鍵配送のための方法及びシステム | |
| Karabo et al. | A novel quantum key distribution resistant against large‐pulse attacks | |
| RU2783977C1 (ru) | Способ обнаружения атаки с ослеплением детекторов в системах квантовой криптографии с поляризационным кодированием | |
| Rajba et al. | Methods of data protection for quantum secure communication system | |
| Kirsanov et al. | Long-distance quantum key distribution based on the physical loss control | |
| EP4047859A1 (en) | Long-distance quantum key distribution | |
| Banerjee et al. | Quantum Key Generation and Distribution Using Decoy State | |
| Kodukhov et al. | Boosting quantum key distribution via the end-to-end physical control | |
| Lopes et al. | Simulation and modeling approach for performance analysis of practical Quantum key distribution | |
| CN117879793A (zh) | Mdi qkd系统中量子态脉冲强度调制关联性实时分析检测方法与装置 | |
| CN117692068A (zh) | 一种量子密钥分发方法及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20220411 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220609 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230524 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20230606 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230703 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 7312487 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |