WO2003007543A1 - Dispositif et procede d'affinage de donnees partagees - Google Patents

Description

明 細 書 共有データ精製装置及び共有データ精製方法 技術分野

この発明は、 量子暗号等を用いた通信において誤りを含んで共有され たデ一夕から、 誤りの無い共有デ一夕を精製する共有デ一夕精製装置お よび共有データ精製方法に関するものである。 背景技術 .

従来の量子暗号の誤り訂正方法は例えば、 "INTRODUCTION TO QUANTUM COMPUTATION AND INFORMATION" (EDITOR: Hoi-Kwong Lo, et al.) に示 されている。 量子暗号を実現するためにはその手順を示したプロ トコル が幾つか提案されているが、 中でも BB84 プロ トコルというのが現在の ところ量子暗号の標準的なプロ トコルと言える。 このプロ トコルはその 後ノィズのある現実的な通信路でも有効なプロ トコルとじて改良された o "Experimental Quantum Cryptography (. C.H. Bennett, F. Bessette, G. Brassard, L. Salvail and J. Smolin, J. Cryptology Vol.5, pp.3-28 ) で述べられている改良型 BB84 プロ トコルは大きく分けて前半の量子 通信路を使い、 物理的に安全な初期データを共有する手順と、 後半の公 衆回線 （古典通信路） 上で誤り訂正方法を用いて、 その初期データに含 まれる誤りを訂正し、 情報理論的に第三者への漏洩情報量を抑える手順 の 2つの部分から構成されている。 前半の量子通信路を用いてラフにデ 一夕を共有する部分は本発明とは直接関係がない。 尚、 以降では BB84 プロ トコルは全てこの改良型 BB84 プロ トコルとする。 本件は後半の " 誤りを訂正し、 情報理論的に第三者への漏洩情報量を抑える手順" に関 するもので、 従来の方法は次のように説明することができる。

BB8 プロ トコルの前半部によって共有されるデ一夕は現状 1 %程度 のエラーが含まれる。 これは通信路に生じる熱雑音等の揺らぎや反射光 といった装置の精度などに起因するものであるが、 第三者が介在するこ とによってもそれがエラーの原因となる。 量子暗号はそもそも第三者に よる介入がエラーとして検出できることがその最大の特徴であるが、 そ れは理想的な状況下での話であり、 前述のように自然発生的に生じるェ ラー率の大きさ程度に紛れ込んだ漏洩なのか、 それとも第三者による介 入なのかはこの段階では区別できない。 またラフにデ一夕を共有したと は言え、 通常 1 %もエラ一があればシステムとしては成り立たないこ と の方が多い。 例えばそれを共通鍵暗号における鍵デ一夕として用いるこ とを想像すれば、 そこに 1 ビッ トたり とも誤りがあってはならないこ と がすぐに分る。 そこで盗聴者にできるだけ情報を漏らさずその誤りを取 り除き、 同時に量子通信時に漏れた情報を捨て、 安全なデータだけを共 有する方法が考案された。 それが誤り訂正とプライバシ一増幅と呼ばれ る手法である。

. 誤り訂正法の原理は簡単で、 まず最初に送信者と受信者間で誤りを若 干含んだ共有データがあるとする。 これを幾つかのプロックに分け、 そ のブロックごとに 1 ビヅ トのパリティ を比較する。 このとき公共の回線 を用いるので、 一般的な仮定として盗聴者にもそのパリティ情報が漏れ るものと考える。 したがって情報理論的な漏洩情報量、 この場合は 1 ビ ヅ トであるが、 その帳尻をあわせるため、 現在保持しているラフな共有 デ一夕の 1 ビッ トを後で捨てる。 パリティの合致したブロックはそこで ひとまず処理を終了し、 パリティの合わなかったブロックはそのプロ ッ クをさらに 2分割して同様なパリティチェックを行い、 誤りのあるビヅ トが検出されるまで 2分岐探索を繰り返し行い、 最終的に誤りのある ビ ヅ トを修正する。 こう して 2分岐探索に用いたパリティ ビヅ ト数分ブラ ス 1個のビッ トを捨て、 残ったビッ トを共有情報の候補とする。 候補と いったのは同じブロック中に偶数個誤りがあると、 ノ リティがー致して しまい検出できないので、 こう した場合も取り除くためには、 共有デ一 夕のビッ トを適当に置換して、 同様の処理を最初から何度か繰り返すこ とによ り、 確実に誤ったビッ トは取り除く ことができるという ものであ る。 またプライバシー増幅法は上述の誤り訂正を行っても、 さらにごく 僅かであるが、 偶然盗聴者が盗聴しても誤り として検出されなかったビ ッ トが存在する可能性がある . その部分情報の盗聴可能性も除去する目 的で、 送受信者は共有情報に対してハッシュを取りそのハッシュ値を最 終共有データとするなどして、 さらに安全性を高める処理が施される。 これがプライバシ一増幅法と呼ばれるものである。

以上の従来法における t-resilient関数について以下説明する。

f をブール関数で

な'るものとする。 ここで、 Z_2は Z₂を表し、 2 nは 2の n乗を示す。

f 力 s balanced (または equitable) であるとは

すべての mビッ ト列 yに対して、 f の逆像 Γ{- l}(y)が 2^Λ{η- m}個 の元を持つことと定義される。

これは、 yが出力であるときに入力 Xをランダムに選んだときに f (x) = となる確率を P (y) とすれば

すべての mビヅ ト列 yに対して P(y)が 2 ~ {— m} となることと同 値である。 f への入力 Xの内 t ビッ トは固定されていると仮定する、 つ ま.り、

x_{i_l} = c— 1， …… x_{i_t} = c一 t

とする。 ここで、 x_{し 1}は x _tl を表し、 c— 1 は を表す。 X— U_t}、 c_tも同様である。

確率 p(y I _x_{i_l} = _c_l, x_{i_t} = c_t) を

x_{i_l} = c_l, x_{i_t} = c_t の条件において

f (x) = yとなる確率とする。

f が correlation-immune of order t であるとは

すべての x,y,c_l,c_2,...c_tに対して

P(y I x_{i_l} = c一 1, x_{i_t} = c_t) = P(y)

となることと定義される。

上記において、 例えば 2 ~ {— m} は、 2 - m を意味する。

直感的には nビッ ト列 Xにおいて t個のビッ トが盗聴者にばれていて も f " を作用させる こ とで結局盗聴者が f(x )=y を類推する確率は P(y)=2 -m}とな り、 これは何もばれていない場合と同じ、 つま り確率 が 2 " {— m } になることである。 これはエン トロピ一が、 t 個のビ ヅ 卜がばれていよう と、 いなくても f を作用させることで盗聴者から見れ ば mビッ トの共有鍵は mビッ トのエン ト ロ ピー （類推する確率が 2 " { -m} ) を持つことになる。

f が t- resilient関数であるとは

f が balancedであり、 correlation - immune of order t

であることと定義される。

これは、 すべての可能な変数に対して

P(y I x_{i_l} = c— 1， _{i_t} = c_t) = 2"{-m} となることと同値である。

直感的には、 nビッ ト列 X のいくつかのビッ ト （t以下） がばれ ていても f を作用させて、 nビッ トから mビッ トにビッ ト長を短くす る。

このとき、 X ( nビッ ト列） においてはいくつかのビッ トがばれて いるので盗聴者から見れば nビヅ ト列の Xを類推する確率は 2 - n}よ りも小さい。 つまり完全な安全性が達成されていないことになる （nビ ッ トの列 X の完全な安全性は Xを類推する確率が丁度 n}であ ること） 。

一方、 y=f(x) (mビッ ト列） においては、 盗聴者が類推する確 率は丁度、 2—{- m}である。 つまり mビッ トのエン ト ロピ一がある。

以上より t は量子通信においてエラーにまぎれて Eveに盗聴され てもかまわないビヅ トの数の最大と考えられる。 このことから、 エラー 率により t の値は決定されるべきである。

したがって mが十分大きなものになるように、 nを決^して、 エラ一 率から tを決定して、 t- resilient 関数を構成し、 通信プロ トコルを設 計すれば、 初期の鍵交換においていくつかのビッ トが盗聴者に漏れてい ても、 t-resilient 関数を利用することにより、 完全な安全性 （直感的 には mをセキュリティパラメ一夕とすれば、 盗聴者が mビッ トの鍵を類 推する確率が丁度 ^ {-m}になること） を達成出来る。

ちなみに、 t-resilient 関数の構成方法は盗聴者に知られていてもか まわない。 つまり t-resilient関数は公開情報である。

以上の従来法では、 t- resilient 関数を作用させて安全性を高めてい たのだが、 その t-resilient関数の構成法が全ての場合において存在す る訳ではなく、 それは入力のビッ ト長と出力ビッ ト長とセキュリティパ ラメ一夕に依存するという問題があつた。

この発明は上記のような問題点を解決するためになされたもので、 t- resilient 関数でなく、 S HA— 1などの一般的な関数を用いて、 上述 の全ての場合においても対応可能な方式を獲得することを目的とする。 さらにデ一夕の送受信時の安全性は全てバーナム暗号の安全性に帰着 させることができ、 情報理論的により高い安全性を有する方法を獲得す ることを目的とする。 発明の開示

この発明に係る共有データ精製装置は、 送信機が精製用プロックをハ ミング距離増幅効果により攪拌した後、 使い捨てデ一夕でバーナム暗号 化して受信機に送信するようにしたものである。

このことによって、 デ一夕を盗聴される危険性が低いという効果があ る。

この発明に係る共有データ精製装置は、 仮共有データを送信機と受信 機 （共有データ精製装置） がそれそれ精製用プロックと使い捨てブロッ クに分割し、 精製用データをそれそれハミング距離増幅効果によ りハミ ング距離を拡大するようにしたものである。

このことによって、 仮共有したデータが同じか違うかを識別しやすい という効果がある。 図面の簡単な説明

第 1図は、 この発明の実施の形態 1における共有デ一夕精製システム を示す図である。

第 2図は、 この発明の実施の形態 1 におけるデ一夕処理手段 Yを示す ブロック図である。

第 3図は、 この発明の実施の形態 1における共有データ精製システム の動作を示すフローチャートである。

第 4図 Aは、 この発明の実施の形態 1における仮共有データ Xを精製 用データと使い捨てデ一夕に分割する図である。

第 4図 Bは、 この発明の実施の形態 1における仮共有データ Yを精製 用データと使い捨てデ一夕に分割する図である。 第 5図は、 ハッシュ関数 S H A— 1の攪拌性能を示した実験結果の図 である。

第 6図は、 この発明の実施の形態 2における共有データ精製システム の動作を示すフローチヤ一トである。

第 7図は、 この発明の実施の形態 3における共有データ精製システム の動作を示すフローチャートである。

第 8図 Aは、 この発明の実施の形態 3における精製用ブロックからバ —ナム暗号 Xを生成する手順を説明する図である。

第 8図 Bは、 この発明の実施の形態 3における精製用プロックからバ 一ナム暗号 Yを生成する手順を説明する図である。

第 9図は、 この発明の実施の形態 3における誤り位置の推定を説明す る図である。

第 1 0図は、 この発明の実施の形態 4における共有データ精製システ ムの動作を示すフローチャートである。

第 1 1図は、 この発明の実施の形態 5における共有デ一夕精製システ ムの動作を示すフローチャートである。

第 1 2図 Aは、 この発明の実施の形態 ·5における仮共有デ一夕 Xを精 製用データに分割する図である。

第 1 2図 Βは、 この発明の実施の形態 5における仮共有データ Υを精 製用データに分割する図である。

第 1 3図は、 この発明の実施の形態 6における共有デ一夕精製システ ムを示す図である。

第 1 4図は、 この発明の実施の形態 6における共有データ精製システ ムの動作を示すフローチヤ一トである。 発明を実施するための最良の形態 以下、 この発明をより詳細に説明するために、 この発明を実施するた めの最良の形態について、 添付の図面にしたがって説明する。

実施の形態 1 .

第 1図はこの実施の形態における共有データ精製システムを示す図、 第 2図はこの共有データ精製システムのデータ処理手段のプロック図、 第 3図はこの共有データ精製システムの動作を示すフローチャート、 第 4図 A， Bはそれそれ仮共有データ X , Yを精製用デ一夕と使い捨てデ 一夕に分割する図である。

第 1図において、 1は送信機、 2は受信機、 3は送信機 1 と受信機 2 を結ぶ量子通信回線、 4は送信機 1 と受信機 2を結ぶ公衆通信回線であ る。

さらに、 1 1は送信機 1に含まれる通信手段 Xであり、 受信機 2に含 まれる通信手段 Y 2 1 と結ばれている。 通信手段 X 1 1 と通信手段 Y 2 1はそれそれ量子通信手段と公衆通信手段の双方を含むものとする。 量子通信回線 3はデ一夕の伝送において 1パーセン ト程度の誤りが発 生する可能性が高い。 公衆通信回線 4は通信手.段 X 1 1 と通信手段 Y 2 1により例えばリードソロモン法のような誤り訂正符号が付加され、 誤 りが発生しても訂正されるものとする。

1 2 , 2 2はそれぞれ送信機 1、 受信機 2に含まれ、 C P U、 R A M 等からなるデ一夕処理手段 X、 データ処理手段 Yであり、 1 3 , 2 3は それそれ送信機 1、 受信機 2に含まれ、 R A M等の揮発性メモリまたは フラッシュメモリや固定ディスク等の不揮発性メモリからなるデータ格 納手段 X、 データ格納手段 Yである。

第 2図において、 2 2 1はプロック生成手段、 2 2 2はデ一夕攪拌手' 段、 2 2 3は復号ブロック生成手段、 2 2 4は同一性判定手段、 2 2 5 は誤り訂正手段であり、 これらはデータ処理手段 Y 2 2に含まれる。 受信機 2が共有データ精製装置である。

次に動作について第 3図のフローチヤ一卜を用いで説明する。

まずステップ 1 0 1において、 送信機 1のデ一夕格納手段 X 1 3に格 納してある送信用データが通信手段 X 1 1により受信機 2に向けて量子 通信回線 3を介した量子暗号通信によ り送信される。 受信機 2は通信手 段 Y 2 1 によりこのデ一夕を受信し、 デ一夕格納手段 Y 2 3に格納する 。 これにより送信機 1 と受信機 2は上記送信用データを共有するが、 こ の共有したデータは送信機 1から受信機 2への送信途中に発生した誤り 、 または第三者による盗聴などにより、 完全に同一ではない可能性があ る。 これを第 3図においては 「仮共有」 と表現している。 デ一夕格納手 段 X 1 3に格納してある上記送信用データを仮共有デ一夕 X、 デ一夕格 納手段 Y 2 3に格納されたデータを仮共有デ一夕 Yとする。

ステップ 1 0 1で仮共有された仮共有デ一夕 Xと仮共有データ Yを、 送信機 1 と受信機 2はそれそれステップ 1 0 2及び 1 1 0により、 第 4 図 A， 第 4図 Bのように精製用デ一夕 A x、 A y、 とバーナム喑号を生 成するための使い捨てデ一夕 B x、 B yに分割する。 第 4図 Aは仮共有 データ Xの分割を示す図であり、 図において、 3 0 1は仮共有デ一夕 X 、 3 0 2は精製用データ A x、 3 0 3は使い捨てデ一夕 B x、 3 0 4は 剰余を示す。 また第 4図 Bは仮共有デ一夕 Yの分割を示す図であり、 図 において、 3 0 5は仮共有データ Y、 3 0 6は精製用データ A y、 3 0 7は使い捨てデ一夕 B y、 3 0 8は剰余を示す。 仮共有データ Xの分割 はデータ処理手段 X 1 2、 仮共有データ Yの分割はデータ処理手段 Y 2 2 (ブロック生成手段） が行なう。

さらに仮共有データ Xの精製用デ一夕 A Xはそれぞれ等しいビッ ト数 Pを有する n個の精製用ブロック A x r ( r = l〜： α ) に分割され、 使 い捨てデータ Β Xはそれぞれ等しいビッ ト数 Qを有する η個の使い捨て ブロ ック Bx r ( r= l〜n) に分割される。 同様に仮共有データ Υも それそれ等しいビッ ト数 Ρを有する η個の精製用ブロック A y rとそれ それ等しいビヅ ト数 Qを有する n個の使い捨てブロック B y rに分割さ れる。 上記精製用ブロ ック A X rと使い捨てブロック B X rはデータ処 理手段 X 1 2中の: R AMに、 精製用プロ ック A y rと使い捨てブロ ック B y rはデータ処理手段 Y 2 2中の： A Mに格納されるが、 それぞれデ 一夕格納手段 X 1 3、 データ格納手段 Y 2 3に格納してもよい。

仮共有データ Xと仮共有データ Yのビッ ト数は等しいので Lビッ ト と すると、 第 4図 A， 第 4図 Bより明らかなように、

L = (P + Q) X n + α ( α < Ρ + Q )

から上記 ηが求められる。 剰余ひビッ トは使用しない。 このような所定 の分割規則によ り分割が行なわれる。

rの値が等しい精製用プロ ック各 Ax rと Ay r、 および使い捨てブ ロック Bx rと B y rの間の誤り率は量子通信回線 3の品質によるが、 1パ一セン ト程度であるとする。

送信機 1によるステップ 1 0 3以降のステップ、 受信機 2によるステ ヅプ 1 1 1以降のステヅプは各 r ( r = 1〜n) について並列に処理が 行なわれる。 すなわち同じプロセスが n個並列に進行する。 こ こでは r = rの場合について説明する。

ステップ 1 0 3及びステヅプ 1 1 1において、 送信機 1と受信機 2は ハッシュ関数などのハミ ング距離増幅効果 （デ一夕攪拌規則） を用いて 、 精製用ブロック Ax r、 Ay rをそれぞれ攪拌し、 攪拌後ブロック C X r、 C y rに変換する。 攪拌後ブロック C X r、 C y rのサイズはそ れそれ Qビッ トである。 この変換はデータ処理手段 X 1 2、 データ処理 手段 Y 2 2 (データ攪拌手段） によ り行われる。

ハミ ング距離とは 2つのデジタルデータの一致していないビヅ トの数 である。 またハミ ング距離増幅効果とは、 以下 （a) (b) によ り定義 されるハミ ング距離増大関数 Fあるいは排他的論理和ェン トロ'ピ一増大 関数を用いるものである。

(a) ハミ ング距離増大関数 F ： 任意のビッ ト列 sに対して小さな数 <£が存在し、 ハミ ング距離 £以下のあらゆるビッ ト列 rについて、 関数 F で写像した先 F ( s )と F ( r )のハミ ング距離が d以上となる関数。 た だし、 d >> 1。

(b) 排他的論理和ェン ト口ピー増大関数 ： 2つのビッ ト列の排他的 論理和のェン ト ロピーを増大させる関数。

この処理を行う意味は次の通りである。 即ち全く 同じデ一夕はハミ ン グ距離増幅効果を行っても写像された先は同じ値になるのに対して、 1 ビッ トでも異なるデータはハミ ング距離増幅効果によ り、 写像された先 は全く異なるデ一夕となる。 つま り最初 1 ビッ トのハミ ング距離にあつ たデータが、 デ一夕サイズの半分程度のハミ ング距離に拡大されると考 えられる。 このことが本発明のポイ ン トの 1つである。

ここで、 精製用ブロック Ax rが第 2精製用ブロック、 精製用プロ ヅ ク A y rが第 1精製用プロック、 使い捨てブロック B X rが第 2使い捨 てブロック、 使い捨てブロック B y rが第 1使い捨てプロ ヅク、 攪拌後 ブロック C X rが第 2攪拌ブロック、 攪拌ブロック C y rが第 1攪拌ブ ロックである。

ハミ ング距離増幅効果 （データ攪拌規則） として周知のハッシュ関数 である "S HA— 1 " を使用すると、 攪拌後ブロック Cx r、 C y rの サイズはそれぞれ 1 6 0ビッ ト となるので、 上記 Q= l 6 0となる。 従 つて使い捨てブロ ック Bx r、 B y rもそれそれ 1 6 0ビヅ ト とするこ とが必要である。

次に第 3図において、 送信機 1はステップ 1 04において、 データ処 理手段 X 1 2によ り、 この写像 （攪拌） された攪拌後プロ ヅク Cx rと 同じサイズである使い捨てブロック B X rを乱数列として攪拌後プロッ ク C X rと使い捨てブロック B X rの排他的論理和 （XOR) を取り、 その結果を送信用プロック D rとして通信手段 X 1 1から公衆通信回線 4を通して受信機 2に送る。 つま りバーナム暗号として送る。 送信用ブ ロック D rのサイズは Qビッ トである。

バーナム暗号は送りたいビヅ ト列と X 0 Rを取る乱数列が同じ長さの ときに情報理論的に安全性が証明されている暗号であり、 このとき乱数 列は一度き り しか用いることはできない。

ここで、 送信用ブロック D rが暗号化プロックである。

受信機 2は上記送信用プロック D rを通信手段 Y 2 1で受信すると、 ステップ 1 1 2でデータ処理手段 Y 2 2 (復号プロック生成手段、 同一 性判定手段） を用いて、 まず送信用ブロック D rと使い捨てプロック B y rの XORをと り > その結果を検証用プロ ヅク E rとし、 この検証用 ブロ ック E rと攪拌後ブロ ック C y rとを比較する。

すなわち

E r = D r X 0 R B y r

(ただし、 XORは排他的論理和を示す）

ここで

D r = C X r XOR B x r

なので、

E r = D r XOR B y r

= (Cx r XOR B x r ) XOR B y r となる。

も し、 B x rと B y rがー致していれば E r = Cx rとなるので、 検 証用プロック E rと攪拌後プロック C y rとの比較は、 攪拌後プロ ック Cx rと Cy rの比較と同じ意味になる。

実際は、 前述のように使い捨てブロ ック B X rと B y rは厳密に同じ ではなく 1パーセン ト程度の誤りが含まれている可能性がある。

検証用ブロ ック E rが復号ブロ ックであり、 送信用プロ ヅク D rと使 い捨てプロヅク B y rの XORをとることが復号規則である。

ハミ ング距離増幅効果として周知のハッシュ関数である "S H A— 1 " を使用すると、 攪拌後ブロ ック Cx r、 C y rのサイズはそれそれ 1 6 0ビッ トとなるので、 上記 Q= l 6 0となる。 従って使い捨てプロ ヅ ク Bx r、 B y rもそれそれ 1 6 0ビヅ ト とすることが必要である。 また、 精製用ブロ ック Ax rと Ay rが全く同じデ一夕であるとすれ ば、 攪拌後ブロ ック C X rと C y rは全く 同じデータになり、 精製用ブ ロ ック A X rと A y rに 1ビヅ トでも誤りがあれば、 それそれステップ 1 0 3、 ステップ 1 1 1におけるハミ ング距離増幅効果により、 攪拌後 ブロック Cx rと C y rは全く異なるデータになる。

第 5図はハッシュ関数 "S HA— 1 " がデ一夕を攪拌する性能を示し た実験結果である。

この実験では入力のビッ ト長は 512ビッ トに固定した。 つま り 512ビ ッ トのうち 1 ビッ トだけ異なる 2つのデ一夕の出力がどの程度ハミ ング 距離にして離れるかを、 サンプル数 10000000 件分のヒス トグラムとし て示したものである。 尚、 縦軸は度数を全体のサンプル数で割ったもの に正規化してある。 したがってハミ ング距離 80 の出現確率は 6%強で ある。

この実験では平均値 （m) は 79.999550、 標準偏差 （び） は 6.327267 となった。 これに対して、 同じ 512ビヅ ト入力でも、 最初のハミ ング距 離を 2に変化させた場合や入力のビッ ト数を 256に変化させた場合等そ れそれ調べたが、 その結果上述とほとんど同じで平均約 80 、 標準偏差 約 6.3の正規分布を示した。 つま りほとんどのビッ ト列のペアはハミ ン グ距離が 80 前後の無相関なビッ ト列に移されることが示された。 また グラフから分かるように分散も小さく、 全体で 160 ビッ トある中の 80 前後に集中していることが分る。 一般に信頼区間としてセキュ リティマ —ジンをどれ位に設定するかはユーザによって決まる。 ここでは一般的 に受け入れられるであろう 6xcr = 38 を信頼区間の幅とする。 実際に S H A- 1に関して今回の実験で現れたハミ ング距離の最小値は 44 であ り、 その出現頻度も 1、 2 個と非常に少ないものであった。 したがって S HA— 1の場合 80-38=42 ビッ トをビッ ト列同一性判定の閾値とする ことができる。

つま りハミ ング距離増幅効果を有する関数として S HA— 1を選んだ 場合、 も し 2つのビッ ト列 x_l、 x_2 に対して、 f(x— 1)と f(x— 2)のハ ミ ング距離が 42以下であるならば、 非常に高い確率で X— 1 = X— 2であ と目んる。

また以上よ りハッシュ関数 S H A— 1は精製用ブロック Ax rと A y rのハミ ング距離が 1以上かつ精製用ブロック A X rと A y rのビッ ト 数の 1 Z 2よ り十分小さいとき （例えば 1 / 1 0 0以下） は、 攪拌後ブ ロック C X rと C y rのハミ ング距離は精製用ブロック A X rと A y r のハミ ング距離よ り大きくなるように攪拌する。

また精製用ブロ ック A X rと A y rのビッ ト数を L A、 ハミ ング距離 を H A、 攪拌後ブロ ック C X rと C y rのビッ ト数を L C、 ハミ ング距 離を HCとし、 攪拌前ハミ ング距離比を HA/L A、 攪拌後ハミ ング距 離比を H C/L Cとすると、 攪拌前ハミ ング距離比が 0を超えかつ 0.5 よ り十分小さい時 （例えば 0.01 以下） は、 攪拌後ハミ ング距離比は攪 拌前ハミ ング距離比よ り大き く な り、 例えば信頼区間を 6 びとする と 0.5±0.25となる。 38/160をおおよそ 0 · 25としている。 さらにこの実施の形態においては、 使い捨てブロ ック B x r と B y r の間の誤り （約 1 % ) を考慮すると、

42-160 x 0. 01=40.4

であるので、 ステップ 1 1 2 において、 検証用ブロック E rと攪拌後ブ ロック C y rのハミ ング距離が 4 0以下であれば、 攪拌後ブロック C X r、 C y r*は同じであり、 従って精製用ブロック A x r と A y rは一致 しているので、 「同じ」 と判定することにする。 つま り物理的なエラ一 率が 25パーセン ト以下であるならば 「同じ」 と判定することにする。

また検証用ブロ ック E rと攪拌後プロ ヅク C y rのハミ ング距離が 4 ◦を超えるときは攪拌後プロック C X r、 C y rは異なり、 従って精製 用ブロ ック A X r と A y rは一致していないので、 「違う」 と判定する ことにする。

従って、 この実施の形態においては、 第 3図のステップ 1 1 2 におけ るハミ ング距離の 「所定値」 は 4 0である。

ステップ 1 1 2 において 「同じ」 と判断されれば、 受信機 2は同じで あったことを通信手段 Y 2 1 から公衆通信回線 4を通して送信機 1 に通 知し （ステップ 1 1 3 ) 、 また受信機 2は精製用プロック A y rをデ一 夕格納手段 Y 2 3内の精製済データ格納領域 （図示せず） の rの値に対 応する位置に格納して （ステップ 1 1 4 ) 、 このプロ ックに関する動作 を終了する （ステップ 1 1 5 ) 。

また送信機 1は通信手段 X 1 1 により受信機 2から送られて く る判定 結果を受信し、 データ処理手段 X 1 2で判定結果を識別し （ステップ 1 0 5 ) 、 「同じ」 であれば、 このブロックに関する動作を終了する （ス テヅプ 1 0 6 ) 。 これにより同じデータである精製用プロック A x r、 A y rがそれそれデータ格納手段 X 1 3、 データ格納手段 Y 2 3に格納 され、 送信機 1 と受信機 2で完全共有される。 「完全共有」 とは、 まったく 同じデータを送信機 1 と受信機 2が保持 ことを意味する。

データ処理手段 X 1 2 とデータ処理手段 Y 2 2は何番目の精製用プロ ックが完全共有できたか、 すなわち完全共有できた精製用ブロック A X r、 A y rの rの値がいくつであるかを、 完全共有が完了した順にそれ それが保有する 「完了ブロックナンバレジス.夕」 （図示せず） に格納し ておく。 また完全共有が完了した精製用ブロックをカウン トし、 完了し た精製ブロック数が n個になったらすべての精製用プロ ヅクの完全共有 が完了し、 その結果精製用デ一夕 A xと A yが完全共有できたと判断す る。

ステップ 1 1 2で 「違う」 と判定された場合、 受信機 2は違っている 旨を通信手段 Y 2 1 によ り送信機 1 に通知し、 送信機 1から精製用プロ ヅク A x rの誤り訂正コードが送られて く るのを待つ （ステップ 1 1 6

) ο

送信機 1は通信手段 X 1 1 によ り受信機 2から送られて来る判定結果 を受信し、 データ処理手段 1 2で判定結果を識別し （ステップ 1 0 5 ) 、 「違う」 であれば、 ステップ 1 0 7において精製用ブロ ック A X rの 誤り訂正コー ド A r c (訂正情報） を生成する。

この誤り訂正コード A r cは精製用プロック A y rを精製用プロック A r と一致させるための情報である。

ここで仮にリードソロモン符号を用いた誤り訂正に於いて、 どの程度 の冗長コードを用いれば誤り訂正が行えるかを大まかに見積もる。 まず 前提と して GF ( 2⁸ )上のリー ドソロモン符号を用いるものとする。 さ ら にエラ一はバース トエラ一ではなく ランダムエラ一を仮定し、 その平均 ビッ トエラ一レー トを 1 %とする。 この定義体の上では 1符号語は、 255 ( =2⁸ - 1 )バイ ト x8=2040 ビッ トであり、 そのうちエラ一ビッ トは平均 で 2040x0.01 = 21 (ビヅ ト） 存在する . これを全て 1 シンボル （今の場 合、 = 1バイ ト） 当た り に 1 ビッ トのエラーが生じる と仮定すると、 255 ノ ィ ト中の 21 ノ ィ トにエラーがあることになる。 このときリー ド ソロモン符号で言う検査記号数、 すなわち冗長コー ドの長さはその倍の 42バイ ト となる。 したがって 255バイ トの符号長の場合、 情報長が 213 バイ ト、 冗長分が 42 バイ ト、 すなわち約 1 : 0. 2 の割合となる。 この実 施の形態に当てはめて考えると、 勿論定義体のサイズとビッ トエラーレ ートに依存するが、 上述のような設定では、 誤り訂正したいコードの約 20 パーセン トの長さの冗長コードを生成し、 ランダム列と X0R してバ 一ナム暗号として送ればよいことになる。

ステップ 1 0 7において、 さらに送信機 1はこの誤り訂正コー ド A r cを同じ長さのデ一夕 （暗号化用データ） と排他的論理和をとつてバー ナム暗号として受信機 2 に送信するが、 この時の暗号化用デ一夕は受信 機 2 も同じデータを持っている必要がある。 そこで、 データ処理手段 X 1 2は、 すでに完全共有が完了した他のブロックの番号 （ rの値） の内 もっとも小さいもの sを上述の 「完了プロックナンバレジス夕」 から読 み出し、 そのブロック番号の精製用プロック A x sをデータ格納手段 X 1 3から読み出す。 そして、 この精製用ブロック A x sの先頭から上記 誤り訂正コード A r C と同じビッ ト数のデ一夕と、 訂正コード A r c と の排他的論理和をとってバーナム暗号化し、 暗号化誤り訂正コードとし て通信手段 X 1 1から受信機 2 に対して公衆通信回線 4を通して送信す る。

さらにこの時のブロック番号を 「完了プロックナンバレジス夕」 に格 納し、 完全共有が完了した精製用プロ ック数の値をイ ンク リメ ン トする ステップ 1 1 7において、 受信機 2はこの暗号化誤り訂正コードを通 信手段 Y 2 1で受信し、 データ処理手段 Υ 2 2 (誤り訂正手段） がすで に完全共有が完了した他の精製用プロ ックの番号 （ rの値） の内もっ と も小さいもの sを上述の 「完了ブロックナンパ'レジス夕」 から読み出し 、 そのブロ ヅク番号の饍製用ブロック A y s をデ一夕格納手段 Y 2 3か ら読み出す。 そして、 この精製用ブロ ック A y sの先頭から受信した暗 号化誤り訂正コードと同じビッ ト数のデ一夕 （復号用データ） と、 受信 した暗号化誤り訂正コードとの排他的論理和をとつてバーナム暗号を復 号し、 復号した誤り訂正コ一 ド A r cを用いて精製用ブロック A y rの 誤り訂正を行ない、 誤り訂正された精製用プロック A y rをデータ格納 手段 Y 2 3に格納する。

さらにこの時の rの値 （ブロック番号） を 「完了ブロ ックナンバレジ ス夕」 に格納し、 完全共有が完了した精製用プロック数の値をイ ンク リ メ ン トする。

上記暗号化用デ一夕と復号用データが同一データである。

上記のステップ 1 0 7及び 1 1 7においては、 すでに完全共有が完了 した他のブロックの番号を 「完了ブロックナンバレジス夕」 から読み出 すと説明したが、 まだ他に完全共有が完了した精製用ブロックが無く 「 完了ブロ ックナンバレジス夕」 が空の場合は、 他のいずれかの精製用ブ ロックの完全共有が完了し、 「完了ブロックナンバレジス夕」 にそのブ ロック番号が格納されるまで、 動作はステップ 1 0 7で中断される。 ここで、 第 3図のフローチャー トにおいて、 ステップ 1 0 1が仮共有 データ送信ステップ、 ステップ 1 0 2が第 2 ブロック生成ステップ、 ス テツプ 1 0 3が第 2攪拌ブロック生成ステップ、 ステップ 1 0 4が喑号 化プロック生成ステップ、 ステップ 1 ◦ 5が第 2同一性判定ステップ、 ステップ 1 0 6が終了ステヅプ、 ステップ 1 0 7が訂正情報送信ステヅ プ、 ステップ 1 1 0が第 1 ブロック生成ステップ、 ステ ップ 1 1 1 が第 1攪拌ブ口ヅク生成ステツプ、 ステップ 1 1 2が同一性判定ステヅプ、 ステップ 1 1 3 、 1 1 4が第 1精製用ブロ ック格納ステヅプ、 ステップ 1 1 6が判定結果送信ステツプ、 ステップ 1 1 7が誤り訂正ステヅプで ある。

以上のようにこの実施の形態においては、 誤り訂正を行うようにして いるので、 従来法に比べて多くのデ一夕を捨てることなく完全に同じデ —夕を共有することができる。 試算すると、 例えばハミ ング距離増幅効 果にハッシュ関数 S H A— 1 を用いた場合を考える。 S H A— 1は最大 2⁶⁴- 1 ビヅ トのデータから 160 ビヅ 卜のハッシュ値を生成する。 しかし ここではもう少し具体的に 10000 ビヅ トから 160 ビヅ 卜のハッシュを生 成する と仮定しょう。 仮にエラ一レー トが極端に少なく 0. 01 %く らい だったとする （現在の量子暗号実験では不可能とも言える値であるが、 仮定の話として進める） 。 すると 10000 ビッ トあれば、 1 個く らいのェ ラーが含まれる。 ハッシュ値は 160 ビッ トであるので、 バ一ナム喑号と して用いる使い捨てデ一夕は 160 ビッ ト という ことになる。 したがって 10000 ビッ トの中にエラーが含まれていなければ、 160 ビッ トを捨てて 、 9840 ビッ トを共有したことになるので、 元のデ一夕長の約 98 %以上 のデータを共有データとして拾い上げることができる。 次にエラーが含 まれていた場合、 該 10000 ビッ トに対して誤り訂正コー ドを生成する。 今、 仮に ビッ ト の 30 % く らいの冗長コー ドで訂正できる とする と、 3000 ビヅ トをバーナム暗号として送る必要がある。 したがって使い捨 てデ一夕は全部で、 160 + 3000 = 3160 ビッ ト とな り、 これによ り 6840 ビヅ トが共有できるので、 約 70 %のデ一夕を救う ことができる。

' またこの実施の形態においては、 仮共有データを送信機と受信機 （共 有データ精製装置） がそれぞれ精製用プロックと使い捨てブロックに分 割し、 精製用デ一夕をそれぞれハミ ング距離増幅効果によ りハミ ング距 離を拡大するので、 仮共有したデータが同じか違うかを識別しやすいと いう効果がある。

これは特に送信機と受信機が仮共有したブロ ックのハミ ング距離がそ のデータサイズの 5 0 %に対して十分小さいときは、 攪拌後のハミ ング 距離は拡大されるので、 効果的である。

またこの実施の形態においては、 送信機と受信機が仮共有したデータ が異なっている場合は誤り訂正を行なうようにしたので、 送信機と受信 機とで多くの同じデ一夕を共有できるという効果がある。

またこの実施の形態においては、 送信機が精製用プロヅクをハミ ング 距離増幅効果により攪拌した後、 使い捨てデータでバーナム暗号化して 受信機に送信するので、 データを盗聴される危険性が低いという効果が める。

またこの実施の形態においては、 仮共有したデータを複数のプロック (精製用ブロ ックと使い捨てプロックの対） に分割するので、 完全共有 に成功した他のプロ ヅクのデ一夕を利用して誤り訂正符号 （訂正情報） を送信することが可能となり、 データ秘匿の安全性が高いという効果が ある。

またこの実施の形態においては、 完全共有に成功したプロック番号を 格納しておく完了ブロ ックナンバレジス夕を設けたので、 誤り訂正符号 をバーナム暗号化して送信する際の処理が高速化されるという効果があ る。

またこの実施の形態においては、 復号プロックと第 1攪拌プロックの ハミ ング距離により第 1精製プロックと第 2精製ブロックが同じか違う かを判定してお り、 このハミ ング距離の判定の基準値 （所定値） を変更 すれば柔軟に判定信頼性を変更できるという効果がある。

なお上記の実施の形態では、 ハミ ング距離増幅効果としてハツシュ関 数の S H A— 1を用いる例を示したが他のハヅシュ関数でもよい。

また第 3図のステップ 1 1 2における 「所定値」 を 4 0 としたが、 上 記の実験結果の説明にあるように 4 2 (信頼区間 6 び） としても十分な 信頼性が得られるので、 所定値を 4 2 としてもよい。 さらに S H A— 1 以外の場合でもそれそれのハッシュ関数の出力ビッ 卜数やデータ攪拌特 性により他の値にしてもよい。

さらにハミ ング距離増幅効果はデータを攪拌する手段であればハッシ ュ関数に限らず、 例えば D E S、 M I S T Y等の共通鍵暗号や R S A等 の公開鍵暗号の暗号化関数を用いてもよい。

また上記の実施の形態においては、 送信機 1 と受信機 2が共有デ一夕 を共有するために、 量子暗号通信を使用する例を示したが、 量子暗号通 信に限らず公衆回線を用いた通信でもよく、 また暗号通信でなくてもよ い。 すなわち、 ステップ 1 0 1 において、 送信機 1 .は受信機 2 と同一の データを共有する目的でデータを送信するものであれば、 送信デ一夕の 形式、 送信方法等は特に限定されるものではない。

また上記の実施の形態において n = 1 となるように P及び Qを決定し てもよい。

この場合、 第 1精製用データと第 1精製用ブロック、 第 1使い捨てデ —夕と第 1使い捨てブロック、 第 2精製用デ一夕と第 2精製用プロック 、 第 2使い捨てデータと第 2使い捨てブロックがそれそれ同じものとな る。

また上記実施の形態においては、 第 3図のフローチャートのステップ 1 0 7、 ステップ 1 1 7において、 それぞれ暗号化用データ、 復号用デ 一夕として精製用プロヅクの一部を使用している例を示したが、 ステツ プ 1 1 2においてハミング距離が 0であったブロックについては使い捨 てプロック B x rと B y rも完全共有されているとみなし、 使い捨てブ ロック B x rの一部を暗号化用データ、 使い捨てブロック B y rの一部 を復号用データとして使用してもよい。

また上記実施の形態においては、 送信機 1によるステップ 1 0 3以降 のステツプ、 受信機 2によるステップ 1 1 1以降のステップは各 r ( r = l〜n ) について並列に処理が行なわれ、 同じプロセスが n個並列に 進行するとしたが、 プロック番号 rの順に r = 1から順次処理が行われ てもよい。 この時、 あるブロック番号 uにおいて、 ステップ 1 1 2で 「 違う」 と判定されたがまだ他に完全共有が完了した精製用プロックが無 く 「完了ブロックナンバレジス夕」 が空の場合は、 そのブロック番号 u での処理は中止され、 次のブロック番号の処理が開始される。 そして他 のいずれかのプロック番号 Vで精製用ブロックの完全共有が完了し、 「 完了ブロックナンバレジス夕」 にそのブロックの番号 Vが格納された時 にプロック番号 uの処理が再開され、 ブロック番号 Vの精製用ブロック を用いて誤り訂正符号のバーナム暗号化と復号を行なう。 実施の形態 2 . '

実施の形態 1では受信機 2が検証用プロック E rと攪拌後プロック C y rを比較し、 「違う」 と判定したときのみ送信機 1が精製用ブロック の誤り訂正コードを生成して送信する例を示した。

この実施の形態 2においては、 送信機 1がすべての精製用プロックに ついて誤り訂正コードを生成して送信する例を示す。

この実施の形態における共有データ精製システムは実施の形態 1で説 明した第 1図と同様である。 また仮共有デーダは実施の形態 1 と同様に 第 4図のように精製用デ一夕と使い捨てデータに分割される。

またこの実施の形態における共有データ精製システムの動作を示すフ ローチャートは第 6図のようになる。 第 6図のフローチャートにおいて、 第 3図と同一の番号を付したステ ップは実施の形態 1と同様の動作を行なうので、 説明を省略する。

またこの実施の形態においても、 第 6図における送信機 1によるステ ップ 1 0 3以降のステヅプ、 受信機 2によるステップ 1 1 1以降のステ ップは各 r (r = l〜n) について並列に処理が行なわれる。 すなわち 同じプロセスが η個並列に進行する。 ここでは： Γ = rの場合について説 明する。

送信機 1のデータ処理手段 X 1 2は、 ステップ 2 0 1において精製用 ブロック Ax rの誤り訂正符号 A X r cを生成する。

ついでステップ 2 0 2で、 すでに完全共有が完了した他のブロックの 番号 （ rの値） の内、 最も小さいもの tを実施の形態 1で説明した 「完 了ブロックナンバレジス夕」 から読み出し、 そのブロック番号の精製用 ブロック Ax tをデ一夕格納手段 X 1 3から読み出す。 そして、 この精 製用ブロック Ax tの誤り訂正コード Ax t cを生成するステップ 2 0 3においては、 デ一夕処理手段 X 1 2により、 実施の形態 1と同様に攪 拌後プロヅク C X rと使い捨てブロック B X rの排他的論理和 （X〇 R ) を取り、 その結果を送信用ブロック： D rとする。 さらに上記の誤り訂 正符号 Ax r cと Ax t cとの排他的論理和を取り、 その結果を送信用 訂正符号 G rとし、 送信手段 X 1 1により公衆通信回線を通じて受信機 2に送信する。

さらにデータ処理手段 X 1.2はこの時のプロック番号を 「完了プロッ クナンバレジス夕」 に格納し、 完全共有が完了した精製用ブロック数の 値をイ ンクリメン トする。

受信機 2は上記送信用プロック D rと送信用訂正符号 G rを通信手段 Y 2 1で受信すると、 ステップ 1 1 2でデ一夕処理手段 Y 22 (復号ブ ロック生成手段、 同一性判定手段） を用いて、 まず送信用プロック D r と使い捨てブロ ック B y rの XORをと り、 その結果を検証用ブロック E rとし、 この検証用ブロック E rと攪拌後ブロック C y rとを比較す る。 '

実施の形態 1 と同様にステツプ 1 1 2において、 検証用プロック E r と攪拌後プロ ヅク C y rのハミ ング距離が所定値 （ 40 ) 以下であれば 、 攪拌後プロ ヅク Cx r、 C y rは同じであり、 従って精製用ブロック Ax rと Ay rは一致しているので、 「同じ」 と判定することにする。

また検証用プロ ック E rと攪拌後プロヅク C y rのハミ ング距離が所 定値 （40) を超えるときは攪拌後プロヅク Cx r、 C y rは異なり、 従って精製用ブロック A X rと A y rは一致していないので、 「違う」 と判定するこ とにする。

ステップ 1 1 2において 「同じ」 と判断されれば、 受信機 2は精製用 プロック A y r'をデータ格納手段 Y 2 3内の精製済データ格納領域 （図 示せず） の rの値に対応する位置に格納して （ステップ 1 14 ) 、 この プロックに関する動作を終了する （ステップ 1 1 5 ) 。 これによ り同じ デ一夕である精製用プロヅク Ax r、 Ay rがそれそれデータ格納手段 X 1 3、 デ一夕格納手段 Y 2 3に格納され、 送信機 1と受信機 2で完全 共有される。

データ処理手段 Y 2 2はこの時のブロック番号を 「完了ブロックナン バレジス夕」 に格納し、 完全共有が完了した精製用ブロック数の値をィ ンク リメ ン トする。

ステップ 1 1 2で 「違う」 と判定された場合、 受信機 2のデータ処理 手段 Y 2 2 (誤り訂正手段） がすでに完全共有が完了した他のブロ ック の番号 （rの値） の内、 最も小さいもの tを 「完了ブロックナンバレジ ス夕」 から読み出し、 そのブロック番号の精製用プロック Ay tをデ一 夕格納手段 Y 2 3から読み出す。 そして、 この精製用ブロック A y tの 誤り訂正コード Ay t cを生成する （ステップ 2 1 1 ) 。

次にデータ処理手段 Y 2 2 (誤り訂正手段） は上記送信用訂正符号 G rと誤り訂正符号 Ay t cの排他的論理和 H rを求める （ステップ 2 1

2 ) o

これは、

H r = G r X 0 R A y t c

(ただし、 X 0 Rは排他的論理和を示す） ' において

G r = A X r c X 0 R Ax t c

なので、

H r = G r X 0 R A y t c

= ( A x r c X 0 R Ax t c ) X 0 R A y t c となる。

A x t cと A y t cは、 それそれステップ 2 02とステップ 2 1 1に おいて、 完全共有されたプロック番号 tの精製用プロック A X t と A y tから生成されたものなので、 一致している。 従って、

H r = A X r c

であり、 H rは精製用プロック Ax r cの,誤り訂正符号である。

データ処理手段 Y 2 2はこの H rを使用して、 誤りを含む精製用デー 夕 Ay rの誤りを訂正し、 訂正後の A y rをデータ格納手段 Y 2 3に格 納する （ステップ 2 1 3 ) 。 またこの時のプロック番号を 「完了プロッ クナンバレジス夕」 に格納し、 完全共有が完了した精製用ブロック数の 値をイ ノク リメン ト した後、 このプロック番号に対する処理を終了する (ステップ 2 1 4 ) 。

第 6図のフローチャートにおいて、 ステップ 2 0 1が第 2訂正情報生 成ステップ、 ステップ 2 0 2が第 2共有訂正情報生成ステップ、 ステツ プ 2 0 3が訂正情報暗号化ステツプと訂正情報送信ステツプ、 ステップ 2 1 1が第 1共有訂正情報生成ステツプ、 ステップ 2 1 2が訂正情報復 号ステップ、 ステップ 2 1 3が誤り訂正ステップである。

以上のように、 この実施の形態においては送信機 1は送信用プロ ック D r とともに送信用訂正符号 G rも送信するので、 受信機 2から送信機 1 に対して応答する必要がなく、 相互の通信が 1回で完了し、 通信量が 小さ くなるという効果がある。

実施の形態 3 .

実施の形態 1では受信機 2が検証用プロ ック E r と攪拌後プロック C y rを比較し、 「違う」 と判定されたときは送信機 1が精製用ブロ ック の誤り訂正コードを生成して送信する例を示した。

この実施の形態 3においては、 受信機 2が 「違う」 と判定したときは 送信機 1が精製用プロ ック A x rを変換して送信し、 受信機 2 も精製用 プロック A y rを同じく変換し、 誤りが発生したビッ ト位置を推定する 例を示す。

この実施の形態における共有デ一夕精製システムは実施の形態 1で説 明した第 1図と同様である。 また仮共有データは実施の形態 1 と同様に 第 4図のように精製用データと使い捨てデータに分割される。 またこの実施の形態における共有デ一夕精製システムの動作を示すフ ローチャー トは第 7図のようになる。 第 7図のフローチャートにおいて、 第 3図と同一の番号を付したステ ップは実施の形態 1 と同様の動作を行なうので、 説明を省略する。

またこの実施の形態においても、 第 7図における送信機 1によるステ ップ 1 0 3以降のステップ、 受信機 2 によるステップ 1 1 1以降のステ ップは各 r ( _Γ = ΐ〜η ) について並列に処理が行なわれる。 すなわち 同じプロセスが n個並列に進行する。 ここでは r = rの場合について説 明する。

送信機 1 は通信手段 X 1 1 によ.り受信機 2から送られて来る判定結果 を受信し、 データ処理手段 X 1 2で判定結果を識別し （ステップ 1 0 5 ) 、 「違う」 であれば、 ステヅプ 6 0 7において第 8図 Aに示したよう に、 精製用プロ ック A x rを 2等分して A x rの前半部と後半部とを生 成し、 この前半部と後半部のそれぞれ対応するビッ ト同士の排他的論理 和を取ってバーナム暗号 Xを生成する。 このバーナム暗号 Xを通信手段 X I 1 によ り受信機 2 に対して送信する。

受信機 2は通信手段 Y 2 1でこのバーナム暗号 Xを受信すると共に、 精製用プロック A y rを第 8図 Bに示したように 2等分して A y rの前 半部と後半部とを生成し、 この前半部と後半部のそれそれ対応するビッ ト同士の排他的論理和を取ってバーナム暗号 Yを生成する。 このパーナ ム喑号 Yは受信機 2外部に対して送信するものではないが、 便宜上 「暗 号」 という呼び方をする。

も し精製用プロヅク A x r と精製用プロヅク A y rがー致していれば バ一ナム暗号 Xとバーナム暗号 Yは同一のものになるが、 この場合ステ ヅプ 1 0 5およびステップ 1 1 2の判定結果が 「違う」 であるので、 バ 一ナム暗号 Xとバ一ナム暗号 Yは一致しない。 そしてバーナム暗号 Xと バーナム暗号 Yの一致していないビヅ トの位置から精製用ブロック A y rのどの位置のビヅ 卜が精製用プロヅク A X rと異なっているかを推定 することができる。

そのために、 第 9図に示したようにバーナム暗号 Xとバーナム暗号 Y の排他的論理和をとつて検証データを生成し、 この検証デ一夕の中で 「 1」 が現れた位置が例えば前から b 1 ビッ ト 目だったとすると、 精製用 プロック A y rの前半部の前から b 1 ビッ ト 目または後半部の前から b 1 ビッ ト目のいずれかが精製用プロ ヅク A x rの同じ位置のビッ ト と反 転して誤っている と推定できる。 また検証デ一夕の中で b 2 ビッ ト 目に も 「 1」 が現れたとすると同様に精製用ブロック A y rの前半部の前か ら b 2 ビッ ト目または後半部の前から b 2 ビッ ト 目のいずれかが精製用 ブロック A x rの同じ位置のビッ ト と反転して誤っていると推定できる 。 以上のようなバーナム暗号 Yの生成と、 誤り位置の推定を受信機 2は ステップ 6 1 7 において行なう。

ついで受信機 2はデータ処理手段 Y 2 2 (誤り訂正手段） により、 精 製用プロック A y rの誤っていると推定した位置のビッ トのいずれかを 反転させて仮精製用プロヅク A y r 2を生成し、 これをステップ 1 1 1 と同じハミ ング距離増幅効果によ り攪拌して仮攪拌後プロ ック C y r 2 を生成する （ステ ヅプ 6 1 8 ) 。

そしてこの仮攪拌後プロック〇 2 とステップ 1 1 2で求めた検証 用ブロ ック E rを比較し、 ハミ ング距離が所定値 （この実施の形態では 4 0 ) 以下であるかどうかを確認する。 も しハミ ング距離が所定値以下 であれば仮精製用プロック A y r 2は精製用デ一夕 A x r と同一である と見なせるので、 この仮精製用ブロック A y r 2をデータ格納手段 Y 2 3の精製済デ一夕格納領域の rの値に対応する位置に格納する。

仮攪拌後プロック C y r 2 と検証用プロ ック E rのハミ ング距離が所 定値以上であった場合は、 精製用プロック A y rの誤っていると推定し た他の位置のビッ トを反転させて仮精製用プロ ヅク A y r 2を生成した り、 誤っていると推定した位置が複数ある場合はそれらのビッ トを同時 に反転させるなど、 精製用プロ ヅク A y rの誤っていると推定した位置 のすベての組合わせのビッ トを反転させて、 仮攪拌後プロック C y r と 検証用ブロ ック E rとのハミ ング距離が所定値以下になるまで繰り返す 。 そして所定値以下になつたらその時の仮精製用ブロック A y r 2 をデ 一夕格納手段 Y 2 3の精製済データ格納領域の： rの値に対応する位置に 格納し （ステップ 6 1 9 ) 、 このブロック番号に対する処理を終了する (ステップ 1 1 8 ) 。

第 7図のフローチャー トにおいて、 ステップ 6 0 7が訂正情報送信ス テヅプ、 ステップ 6 1 7からステップ 6 1 9が誤り訂正ステップである ο

以上のように、 この実施の形態においては誤りが発生しても受信機は 既に送信された精製用プロックのみから誤りの位置を推定し訂正するこ とが可能なので、 送信されたデータを有効に活用することが可能である という効果がある。

また送信機や受信機は誤り訂正符号を演算したり、 誤り訂正符号の送 受信を行なわなくてもよいので、 誤り訂正のための処理が簡略になると いう効果がある。 実施の形態 4 .

実施の形態 3においては、 受信機 2が 「違う」 と判定したときに送信 機 1が精製用ブロック A X rを変換して送信する例を示したが、 この実 施の形態 4においては、 送信機 1がすべての精製用プロックを変換して 送信する例を示す。

この実施の形態における共有データ精製システムは実施の形態 1で説 明した第 1図と同様である。 また仮共有データは実施の形態 1 と同様に 第 4図のように精製用データと使い捨てデータに分割される。

またこの実施の形態における共有デ一夕精製システムの動作を示すフ 口—チャートは第 1 0図のようになる。

第 1 0図のフローチャートにおいて、 第 3図および第 7図と同一の番 号を付したステツプは実施の形態 1および実施の形態 3 と同様の動作を 行なうので、 説明を省略する。

またこの実施の形態においても、 第 1 0図における送信機 1によるス テツプ 1 0 3以降のステップ、 受信機 2によるステップ 1 1 1以降のス テヅプは各 r ( r = l〜 n ) について並列に処理が行なわれる。 すなわ ち同じプロセスが n個並列に進行する。 ここでは r = rの場合について 説明する。

送信機 1はステップ 9 0 1において第 8図 Aに示したように、 精製用 プロック A x rを 2等分して A x rの前半部と後半部とを生成し， この 前半部と後半部のそれそれ対応するビッ ト同士の排他的論理和を取って バ一ナム暗号 Xを生成する。

次いでステップ 9 0 2において、 実施の形態 1、 第 3図のステップ 1 0 4と同様に攪拌後ブロック C X rと同じサイズである使い捨てブロヅ ク； B X rを乱数列として攪拌後ブロック C X rと使い捨てブロック； B X rの排他的論理和 （X O R ) を取り、 その結果を送信用プロック D rと し、 送信用プロック D rとバーナム暗号 Xを通信手段 X 1 1から公衆通 信回線 4を通して受信機 2に送る。

以上のように、 この実施の形態においては送信機 1は送信用プロック D rとともにバーナム暗号 Xも送信するので、 受信機 2から送信機 1 に 対して応答する必要がなく、 相互の通信が 1回で完了し、 通信量が小さ くなるという効果がある。

またこの実施の形態においては誤りが発生しても受信機は送信された 精製用プロックのみから誤りの位置を推定し訂正することが可能なので 、 送信されたデ一夕を有効に活用することが可能であるという効果があ る

また送信機や受信機は誤り訂正符号を演算したり、 誤り訂正符号の送 受信を行なわなくてもよいので、 誤り訂正のための処理が簡略になると いう効果がある。 実施の形態 5 .

実施の形態 1では送信機 1は攪拌後プロック C X rを送信用プロック D rに変換して受信機 2に送信する例を示したが、 この実施の形態にお いては送信機 1は攪拌後プロック C X rを受信機 2に対して送信する例 を示す。

この実施の形態の共有デ一夕精製システムは第 1図と同様である。 またこの実施の形態の共有データ精製システムの動作ほ第 1 1図に示 すフローチャートのようになる。

第 1 2図 A， Bはこの実施の形態においてそれぞれ仮共有データ X , Yを精製用デ一夕に分割する図であり、 図において、 3 1 0、 3 1 1は 剰余を示し、 サイズは/?ビッ トとする。 また、 第 4図 A , Bと共通する 要素には同一符号を付し、 説明を省略する。

第 1 1図のフローチャートにおいて、 第 3図と同一の番号を付したス テツプは実施の形態 1 と同様の動作を行なうので、 説明を省略する。 またこの実施の形態においても、 第 1 1図における送信機 1によるス テヅプ 1 0 3以降のステップ、 受信機 2 によるステップ 1 1 1以降のス テヅプは各 r ( r = l〜： Q ) について並列に処理が行なわれる。 すなわ ち同じプロセスが n個並列に進行する。 ここでは r = rの場合について 説明する。

ステップ 1 0 1で仮共有された仮共有データ Xと仮共有データ Yを、 送信機 1 と受信機 2はそれそれステップ 9 0 1及び 9 1 1により、 第 1 2図 A， 第 1 2図 Bのように等しいビッ ト数 Pを有する n個の精製用ブ ロック A x r、 A r ( r = l〜； α ) に分割する。

上記精製用ブロック A X rはデータ処理手段 X 1 2中の R A Mに、 精 製用プロック A y rはデ一夕処理手段 Y 2 2 中の R A Mに格納されるが 、 それそれデータ格納手段 X 1 3、 データ格納手段 Y 2 3に格納しても よい。

仮共有デ一夕 Xと仮共有データ Yのビッ ト数は等しいので Lビッ ト と すると、 第 1 2図 A , 第 1 2図 Bよ り明らかなように、

L = P X n + ? ( ? < P )

から上記 IIが求められる。 剰余 5ビッ ドは使用しない。

rの値が等しい精製用プロ ック各 A x r と A y rの間の誤り率は量子 通信回線 3の品質によるが、 一般的に 1パーセン ト程度である。

送信機 1 によるステップ 1 0 3以降のステップ、 受信機 2によるステ ップ 9 1 1以降のステップは各 r ( r = 1〜 n ) について並列に処理が 行なわれる。 すなわち同じプロセスが n個並列に進行する。

送信機 1はステップ 9 0 2 において、 上記攪拌後プロック C X rを通 信手段 X 1 1から公衆通信回線 4を通して受信機 2 に送る。

受信機 2は上記攪拌後プロ ツク C X rを通信手段 Y 2 1で受信すると 、 ステップ 9 1 2でデータ処理手段 Y 2 2 を用いて、 この攪拌後プロ ッ ク. C X r と攪拌後プロ ック C y r とを比較する。

以後実施の形態 1 と同様に処理が行なわれ、 精製用プロック A x r と A y rが完全共有される。

この実施の形態においては、 送信機 1は攪拌後データ C X rをパーナ ム暗号化しないで送信し、 受信機 2は受信した攪拌後データ C x rに何 ら処理を加えることなく攪拌後デ一夕 C y rと比較するので、 処理が簡 略化されるという効果がある。 実施の形態 6 .

' 実施の形態 1 では仮共有データは送信機 1から受信機 2 に対して送信 される例を説明したが、 この実施の形態においては、 送信機 1 と受信機

2は別々に仮共有デ一夕を獲得し、 受信機 2が送信機 1 と同じ共有デー 夕を保持しているかどうかを検証する例を説明する。

第 1 3図はこの実施の形態における共有デ一夕精製システムを示す図 、 第 1 4図はこの共有データ精製システムの動作を示すフローチャー ト である。 第 1 3図および第 1 4図において実施の形態 1で説明した第 1 図および第 3図と同じ符号を付した構成要素またはステツプは実施の形 態 1 と同様の動作を行うので、 その詳細な説明は省略する。

第 1 3図は第 1図に示した実施の形態 1の共有データ精製システムの 図から量子通信回線 3を削除したものであり、 他の構成は第 1図と同様 である。

第 1 4図において、 ステップ 1 0 0 1 とステップ 1 0 0 2において送 信機 1 と受信機 2はそれそれ仮共有データ Xおよび仮共有デ一夕 Υを獲 得する。 ここでは例えば図示しないデータ供給装置が存在し、 このデー 夕供給装置から同じデータが送信機 1に仮共有データ Xとして供給され てデータ格納手段 X 1 3に格納され、 受信機 2に仮共有データ Υとして 供給されデータ格納手段 Υに格納されたものとする。

この仮共有データ Xと仮共有データ Υとはデータ供給装置からの送信 途中に発生した誤りなどにより完全に同一ではない可能性があるため、 「仮共有データ」 と呼ぶ。

この仮共有デ一夕 Xがこの発明における第 2の仮共有データ、 仮共有 データ Υがこの発明における第 1の仮共有デ一夕である。 また受信機 2 がこの発明における共有デ一夕精製装置である。

以後送信機側は実施の形態 1 と同様にステップ 1 0 2， 1 0 3 , 1 0 4の順に動作し、 ステップ 1 0 4において生成した送信用ブロック D r を受信機 2に対して送信する。 受信機 2 も実施の形態 1 と同様にステップ 1 1 0 , 1 1 1， 1 1 2の 順に動作し、 ステップ 1 1 2 において検証用プロ ヅク E rを生成し、 ス テツプ 1 1 1で生成した攪拌後プロヅク C y r と比較する。

ステップ 1 1 2 において攪拌後ブロック C y r と検証用ブロック E r のハミ ング距離が所定値を超えた場合、 受信機 2はステップ 1 1 6にお いて判定結果として 「違う」 を公衆通信回線を通じて送信機 1 に送信す

O o

判定結果が 「違う」 の場合、 送信機 1 と受信機 2は例えば再度データ 供給装置からデ一夕の供給を受けて上記動作を判定結果が 「同じ」 にな るまで繰り返す。

ステップ 1 1 2 において攪拌後ブロック C y r と検証用ブロ ック E r のハミ ング距離が所定値以下だった場合、 受信機 2はステップ 1 1 3 に おいて判定結果として 「同じ」 を公衆通信回線を通じて送信機 1 に送信 する。

判定結果が 「同じ」 の場合、 送信機 1 と受信機 2は同じデータを共有 したことになるので、 例えばこの共有したデ一夕を共通鍵暗号方式の鍵 として使用し、 暗号通信を行う。

以上のようにこの実施の形態における受信機は送信機と仮共有した仮 共有データが一致しているか否かを検証するものであり、 共有データ検 証装置あるいは共有データ認証装置とも呼べるものである。

またこの実施の形態においては実施の形態 1 と同様に、 仮共有デ一夕 を送信機と受信機 （共有データ精製装置） がそれぞれ精製用ブロ ックと 使い捨てブロックに分割し、 精製用データをそれそれハミ ング距離増幅 効果によ りハミ ング距離を拡大するので、 仮共有したデ一夕が同じか違 うかを識別しやすいという効果がある。

なお、 本実施の形態では、 仮共有データ以外のデータを公衆通信回線 を介して送受信しているが、 公衆通信回線に限るものではなく、 専用回 線や無線などを介してもかまわない。

また、 本実施の形態では、 誤り訂正コードをバーナム暗号化して生成 する場合、 暗号用デ一夕としてすでに完全共有が完了したプロヅクの番 号のうち最も小さいものを選択したが、 これに限るものではなく、 すで に完全共有が完了したプロックの番号のうちいずれか 1つを選択しても よい。 この場合、 送信側および受信側双方で同じ番号のブロック （この ブロックのビッ ト数は誤り訂正コードのそれと同じ） を使用する。 産業上の利用可能性

以上のように、 この発明に係る共有データ精製装置及び共有データ精 製方法は、 送信機と受信機とで仮共有したデ一夕から誤りを取り除く際 に、 盗聴される危険を小さく し、 かつ有効なデータの割合を大きくする のに適している。

Claims

請 求 の 範 囲

1 . 送信機が送信した仮共有デ一夕を所定の分割規則によ り分割して 第 1精製用プロック と第 1使い捨てブロ ックとを生成するプロック生成 手段と、

上記第 1精製用プロックを所定のデ一夕攪拌規則によ り攪拌して第 1 攪拌プロックを生成するデータ攪拌手段であって、 ハミ ング距離が 0で ある任意の 2つのデジタルデータをそれそれ攪拌した場合は生成された 2つの攪拌データのハミ ング距離は 0 となり、 ハミ ング距離が 1以上の 任意の 2つのデジタルデータをそれそれ攪拌した場合は生成された 2つ の攪拌デ一夕のハミ ング距離は 1以上となるように構成されているデー 夕攪拌手段と、 ，

上記送信機が送信した仮共有データが上記送信機によ り上記所定の分 割規則によ り分割されて生成された第 2精製用プロックと第 2使い捨て ブロックの内の第 2精製用ブロ ックが上記所定のデータ攪拌規則によつ て攪拌されて生成された第 2攪拌プロックと、 上記第 2使い捨てプロ ッ クとから、 所定の暗号化規則によ り生成された暗号化プロックを獲得し 上記暗号化プロックを上記所定の暗号化規則に対応する所定の復号規 則によ り上記第 1使い捨てプロ ヅクを用いて復号して復号プロックを生 成する復号プロック生成手段と、

上記復号ブ口 ックと上記第 1攪拌プロックを比較して、 該比較結果に よ り上記第 1精製用プロ ックと第 2精製用プロックが同じか違うかを判 定する同一性判定手段と

を備えた共有データ精製装置。

2 . データ格納手段をさらに有し、

同一性判定手段は復号ブ口ックと第 1攪拌プロックを比較して、 上記 復号ブ口 ックと上記第 1攪拌プロックのハミ ング距離が所定値以下であ れば上記第 1精製用ブロ ックは第 2精製用プロ ックと同じであると判定 し、 上記第 1精製用プロ ックを上記データ格納手段に格納することを特 徴とする請求の範囲第 1項記載の共有データ精製装置。

3 . 仮共有デ一夕は、 送信機が量子暗号通信により送信したことを特 徴とする請求の範囲第 1項記載の共有データ精製装置。

4 . 誤り訂正手段をさ らに有し、

同一性判定手段は復号ブ口 ックと第 1攪拌プロ ックを比較して、 上記 復号プロ ックと上記第 1攪拌プロ ックのハミ ング距離が所定値を超えて いるという比較結果の場合、 第 1精製用プロックは第 2精製用プロック と違う と判定し、

上記誤り訂正手段は該判定結果が 「違う」 の場合、 上記第 1精製用プ 口ックを第 2精製用プロ ックと一致させるための訂正情報を獲得し、 該 訂正情報に基づいて上記第 1精製用プロ ックを上記第 2精製用プロック と一致するよう に訂正することを特徴とする請求の範囲第 1項記載の共 有データ精製装置。

5 . 誤り訂正手段をさらに有し、

復号プロック生成手段は、 暗号化プロックと共に上記送信機が生成し た第 1精製用ブロックを第 2精製用プロ ックと一致させるための訂正情 報を獲得し、

同一性判定手段は復号ブ口 ックと第 1攪拌プロックを比較して、 上記 復号プロックと上記第 1攪拌プロックのハミング距離が所定値を超えて いるという比較結果の場合、 第 1精製用プロックと第 2精製用プロック は違うと判定し、

上記誤り訂正手段は該判定結果が 「違う」 の場合、 上記訂正情報に基 づいて上記第 1精製用プロックを上記第 2精製用プロックと一致するよ うに訂正することを特徴とする請求の範囲第 2項記載の共有データ精製

6 . 訂正情報は第 2精製用プロックの誤り訂正符号であり、 該誤り訂 正符号により第 1精製用プロックを誤り訂正することを特徴とする請求 の範囲第 4項記載の共有データ精製装置。

7 . 訂正情報は、 送信機とデータ格納手段とが共に保持する同一デー 夕との排他的論理和により暗号化され、

誤り訂正手段は、

該喑号化された訂正情報を獲得し、 該獲得した暗号化された訂正情報 を上記データ格納手段から獲得した上記同一データとの排他的論理和に より復号し、 該復号した訂正情報に基づいて第 1精製用ブロックを第 2 精製用プロックと一致するように訂正することを特徴とする請求の範囲 第 4項記載の共有データ精製装置。

8 . 訂正情報は第 2精製用ブロックが 2等分されて生成された第 2精 製用プロック前半部と第 2精製用プロック後半部の排他的論理和であり 誤り訂正手段は第 1精製用プロックを 2等分して生成した第 1精製用 プロック前半部と第 1精製用プロック後半部との排他的論理和である比 較情報を生成し、

上記訂正情報と上記比較情報から第 1精製用プロックと第 2精製用ブ ロック とで一致していないビヅ ト位置を推定し、

上記第 1精製用プロックの上記推定したビッ ト位置のビッ トを反転さ せて、 上記第 1精製用プロックを第 2精製用プロックと一致するよう に 訂正することを '特徴とする請求の範囲第 4項記載の共有データ精製装置

9 . 送信機が送信した仮共有データを受信し、 該受信した仮共有デ一 夕を所定の分割規則によ り分割して第 1精製用ブロックと第 1使い捨て ブロックとを生成し、

上記第 1精製用プロヅクを所定のデータ攪拌規則によって攪拌して第 1攪拌ブロックを生成し、

上記送信機が送信した仮共有デ一夕が上記所定の分割規則によ り分割 されて生成された第 2精製用ブロックと第 2使い捨てブロ ックの内の第 2精製用プロ ックが上記所定のデータ攪拌規則によって攪拌されて生成 された第 2攪拌ブロ ックと、 上記第 2使い捨てブロックとから、 所定の 暗号化規則によ り生成された暗号化プロ ックを獲得し、

上記暗号化プロックを上記所定の暗号化規則に対応する所定の復号規 則によ り上記第 1使い捨てプロヅクを用いて復号して復号プロ ヅク,を生 成し、 該復号プロックと上記第 1攪拌プロックを比較して、 該比較結果 によ り上記第 1精製用プロックと第 2精製用プロックが同一か否かを判 定する共有データ精製装置であって、

上記データ攪袢規則はハミ ング距離が 0である任意の 2つのデジタル データをそれそれ攪拌した場合は生成された 2つの攪拌デ一夕のハミ ン グ距離は 0 となり、 ハミ ング距離が 1以上の任意の 2つのデジタルデー 夕をそれそれ攪拌した場合は生成された 2つの攪拌データのハミ ング距 離は 1以上となるように構成された共有データ精製装置。

1 0 . 送信機と共有データ精製装置とが仮に共有する仮共有データの 内、 上記共有データ精製装置が保持する第 1の仮共有データを所定の分 割規則によ り分割して第 1精製用プロ ックと第 1使い捨てプロ ック とを 生成するプロ ック生成手段と、

上記第 1精製用プロックを所定のデータ攪拌規則によ り攪拌して第 1 攪拌ブロックを生成するデ一夕攪拌手段であって、 ハミ ング距離が 0で ある任意の 2つのデジタルデータをそれそれ攪袢した場合は生成された 2つの攪拌データのハミ ング距離は 0 となり、 ハミ ング距離が 1以上の 任意の 2つのデジタルデータをそれそれ攪拌した場合は生成された 2つ の攪拌データのハミ ング距離は 1以上となるように構成されているデー 夕攪拌手段と、

上記仮共有データの内上記送信機が保持する第 2の仮共有データが上 記所定の分割規則によ り分割されて生成された第 2精製用プロ ックと第 2使い捨てブロックの内の第 2精製用プロ ックが上記所定のデ一夕攪拌 規則によって攪拌されて生成された第 2攪拌ブロックと、 上記第 2使い 捨てブロックとから所定の暗号化規則により生成された暗号化プロック を獲得し、

上記暗号化プロックを上記所定の暗号化規則に対応する所定の復号規 則によ り上記第 1使い捨てプロックを用いて復号して復号ブ口 ックを生 成する復号ブ口 ツク生成手段と、

上記復号ブ口ックと上記第 1攪拌プロックを比較して、 該比較結果に より上記第 1精製用プロックと第 2精製用プロ ックが同じか違うかを判 定する同一性判定手段と を備えた共有データ精製装置。

1 1 . 第 1使い捨てブロックと第 2攪拌プロックと第 2使い捨てプロ ヅクはビヅ ト数が等しく、

所定の暗号化規則は上記第 2攪拌プロ ックと上記第 2使い捨てプロ ッ クとの排他的論理和を取る規則であり、

所定の復号規則は上記暗号化プロックと上記第 1使い捨てブロックの 排他的論理和を取る規則であることを特徴とする請求の範囲第 1項記載 の共有データ精製装置。

1 2 . 第 1使い捨てブロックと第 2攪拌ブロックと第 2使い捨てプロ ックはビッ ト数が等しく、

所定の暗号化規則は上記第 2攪拌プロックと上記第 2使い捨てプロ ッ クとの排他的論理和を取る規則であり、

所定の復号規則は上記暗号化プロックと上記第 1使い捨てプロックの 排他的論理和を取る規則であることを特徴とする請求の範囲第 9項記載 の共有データ精製装置。

1 3 . 第 1使い捨てブロックと第 2攪拌プロ ックと第 2使い捨てプロ ヅクはビヅ ト数が等しく、

所定の暗号化規則は上記第 2攪拌プロックと上記第 2使い捨てプロ ツ クとの排他的論理和を取る規則であ り、

所定の復号規則は上記暗号化プロックと上記第 1使い捨てプロ ックの 排他的論理和を取る規則であることを特徴とする請求の範囲第 1 0項記 載の共有データ精製装置。

1 4 . 所定のデータ攪拌規則は、 第 1精製用プロ ックと第 2精製用ブ 口 ヅクのハミ ング距離が 1以上かつ第 1精製用ブロ ックと第 2精製用プ 口 ヅ クのビッ ト数の 1 / 2 よ り十分小さいときは、 第 1攪拌プロ ックと 第 2攪拌プロックのハミ ング距離は上記第 1精製用プロ ックと上記第 2 精製用プロックのハミ ング距離よ り大きくなるように攪拌することを特 徴とする請求の範囲第 1項記載の共有データ精製装置。

1 5 . 所定のデ一夕攪拌規則は、 第 1精製用プロ ツクと第 2精製用ブ 口 ヅクのハミ ング距離が 1以上かつ第 1精製用プロ ックと第 2精製用ブ ロックのビッ ト数の 1 Z 2 よ り十分小さいときは、 第 1攪拌プロック と 第 2攪拌プロックのハミ ング距離は上記第 1精製用プロ ックと上記第 2 精製用プロックのハミ ング距離よ り大きくなるように攪拌することを特 徴とする請求の範囲第 9項記載の共有データ精製装置。

1 6 . 所定のデータ攪拌規則は、 第 1精製用プロ ックと第 2精製用ブ ロックのハミ ング距離が 1以上かつ第 1精製用プロ ックと第 2精製用ブ ロックのビヅ ト数の 1 / 2 よ り十分小さいときは、 第 1攪拌プロック と 第 2攪拌プロ クのハミング距離は上記第 1精製用プロ ックと上記第 2 精製用プロックのハミ ング距離よ り大きくなるように攪拌することを特 徴とする請求の範囲第 1 0項記載の共有データ精製装置。

1 7 . 所定のデータ攪拌規則は、 ハッシュ関数であることを特徴とす る請求の範囲第 1項記載の共有データ精製装置。

1 8 . 所定のデータ攪拌規則は、 ハッシュ関数であることを特徴とす る請求の範囲第 9項記載の共有データ精製装置。

1 9 . 所定のデ一夕攪拌規則は、 ハッシュ関数であることを特徴とす る請求の範囲第 1 0項記載の共有データ精製装置。

2 0 . 送信機と受信機とからなる共有デ一夕精製システムにおける共 有データ精製方法であ り、

送信機と受信機がそれそれ所定のデータ攪拌規則を使用し、

送信機が受信機に対して仮共有データを送信する仮共有データ送信ス テツプと、

受信機が上記受信した仮共有データを所定の分割規則により分割して 第 1精製用プロックと第 1使い捨てプロ ック とを生成する第 1 ブロック 生成ステップと、

受信機が上記第 1精製用プロックを所定のデータ攪拌規則によ り攪拌 して第 1攪拌ブロ ックを生成する第 1攪拌プロック生成ステップと、 送信機が上記送信した仮共有データを上記所定の分割規則によ り分割 して第 2精製用プロ ックと第 2使い捨てブロ ックとを生成する第 2 プロ ヅク生成ステップと、

送信機が上記第 2精製用プロヅクを上記所定の攪拌規則によ り攪拌し て第 2攪拌ブロ ックを生成する第 2攪拌プロ ック生成ステツプと、 送信機が上記第 2攪拌プロック と上記第 2使い捨てプロ ックとから所 定の暗号化規則によ り暗号化プロ ックを生成して受信機に送信する暗号 化プロ ック生成ステツプと、

受信機が上記暗号化プロックを受信し、 該暗号化プロックを上記所定 の暗号化規則に対応する所定の復号規則によ り上記第 1使い捨てプロ ッ クを用いて復号して復号プロックを生成し、 該復号プロックと上記第 1 攪拌プロックを比較して、 該比較結果により上記第 1精製用プロ ック と 第 2精製用ブロックが同じか違うかを判定し、 該判定結果によ り下記 （ a ) ( b ) のいずれかのステップに進む同一性判定ステップと、

( a ) 判定結果が 「同じ」 の場合 ： 判定結果として 「同じ」 を送信機 に送信し、 上記第 1精製用プロ ックをデータ格納手段に格納する第 1精 製用ブロック格納ステップと、

( b ) 判定結果が 「違う」 の場合 ： 判定結果として 「違う」 を送信機 に送信する判定結果送信ステツプと、

送信機が受信機からの判定結果を受信し、 受信した判定結果によ り下 記 （ c ) ( d ) のいずれかのステップに進む第 2同一性判定ステップと

( c ) 受信した判定結果が 「同じ」 の場合 ： 処理を終了する終了ステ ヅプと、

( d ) 受信した判定結果が 「違う」 の場合 ： 上記第 2精製用データと 上記第 1精製用デ一夕を一致させるための訂正情報を生成して、 受信機 に送信する訂正情報送信ステツプと、

受信機が送信機から受信した上記訂正情報を用いて上記第 1精製用ブ ロックを第 2精製用プロックと一致するように訂正する誤り訂正ステツ プと

を備え、 上記所定のデー夕攪拌規則はハミ ング距離が 0である任意の 2 つのデジタルデータをそれそれ攪拌した場合は生成された 2つの攪拌デ —夕のハミ ング距離は 0 となり、 ハミ ング距離が 1以上の任意の 2つの デジタルデータをそれそれ攪拌した場合は生成された 2つの攪拌データ のハミ ング距離は 1以上となる共有デ一夕精製方法。

2 1 . 送信機と受信機とからなる共有データ精製システムにおける共 有データ精製方法であり、 送信機と受信機がそれそれ所定のデータ攪拌規則を使用し、 送信機が受信機に対して仮共有データを送信する仮共有デ一夕送信ス テツプと、

受信機が上記受信した仮共有デ一夕を所定の分割規則により分割して 第 1精製用プロック と第 1使い捨てブロックとを生成する第 1 プロック 生成ステップと、

受信機が上記第 1精製用プロ ックを所定のデータ攪袢規則によ り攪拌 して^ 1攪拌プロックを生成する第 1攪拌プロ ヅク生成ステ ヅプと、 送信機が上記送信した仮共有データを上記所定の分割規則によ り分割 して第 2精製用ブロ ックと第 2使い捨てプロックとを生成する第 2 プロ ヅク生成ステップと、

送信機が上記第 2精製用プロ ックを所定の攪拌規則により攪拌して第 2攪拌プロ ックを生成する第 2攪拌プロヅ ク生成ステップと、

送信機が上記第 2精製用プロ ックを第 1精製用プロ ックと一致させる ための訂正情報を、 上記第 2精製用プロックから所定の訂正情報生成規 則によ り生成する訂正情報生成ステツプと、

送信機が上記第 2攪拌プロックと上記第 2使い捨てプロックとから所 定の暗号化規則により暗号化プロックを生成し、 上記暗号化プロック と 上記訂正情報を受信機に送信する訂正情報送信ステツプと、

受信機が上記暗号化プロックを受信し、 該暗号化プロックを上記所定 の暗号化規則に対応する所定の復号規則により上記第 1使い捨てプロ ッ クを用いて復号して復号ブ口ックを生成し、 該復号プロックと上記第 1 攪拌プロックとを比較して、 該比較結果により上記第 1精製用プロック と第 2精製用ブロックが同じか違うかを判定し、 該判定結果によ り下記 ( e ) ( f ) のいずれかのステップに進む同一性判定ステップと、

( e ) 判定結果が 「同じ」 の場合 ： 上記第 1精製用プロックをデ一夕 格納手段に格納する第 1精製用プロック格納ステツプと、

( f ) 判定結果が 「違う」 の場合 ： 上記受信した訂正情報を用いて第

1精製用プロ ックを第 2精製用プロツクと一致するように訂正する誤り 訂正ステップと

を備え、 上記所定のデータ攪拌手段はハミ ング距離が 0である任意の 2 つのデジタルデ一夕をそれぞれ攪拌した場合は生成された 2つの攪拌デ 一夕のハミ ング距離は 0 となり、 ハミ ング距離が 1以上の任意の 2つの デジタルデータをそれそれ攪拌した場合は生成された 2つの攙袢デ一夕 のハミ ング距離は 1以上となる共有デ一夕精製方法。

2 2 . 訂正情報は第 2精製用プロックが 2等分されて生成された第 2 精製用プロック前半部と第 2精製用プロ ック後半部の排他的論理和であ ヽ

受信機は誤り訂正ステップにおいて、

• 第 1精製用ブロ ックを 2等分して生成した第 1精製用プロック前半部 と第 1精製用プロ ック後半部との排他的論理和である比較情報を生成し

上記訂正情報と上記比較情報から第 1精製用プロックと第 2精製用ブ ロックとで一致していないビッ ト位置を推定し、

上記第 1精製用ブロックの上記推定したビッ ト位置のビッ トを反転さ せて、 上記第 1精製用プロックを第 2精製用プロ ック と一致するよう に 訂正することを特徴とする請求の範囲第 2 0項記載の共有デ一夕精製方 法。

2 3 . 受信機はデータ格納手段を有し、

訂正情報生成ステツプにおいて生成された訂正情報は、 訂正情報送信 ステツプにおいて送信機と上記デ一夕格納手段とが共に保持する同一デ 一夕との排他的論理和により暗号化されて受信機に送信され、

受信機は誤り訂正ステップにおいて、

上記暗号化された訂正情報を獲得し、 上記デ一夕格納手段から獲得し た上記同一データとの排他的論理和により復号し、 該復号した訂正情報 に基づいて上記第 1精製用プロツクを第 2精製用プロックと一致するよ うに訂正することを特徴とする請求の範囲第 2 1項記載の共有デ一夕精 製方法。