WO2004030270A1

WO2004030270A1 - 暗号通信装置

Info

Publication number: WO2004030270A1
Application number: PCT/JP2002/009950
Authority: WO
Inventors: Tsuyoshi Nishioka; Hirokazu Ishizuka; Toshio Hasegawa
Original assignee: Mitsubishi Denki Kabushiki Kaisha
Priority date: 2002-09-26
Filing date: 2002-09-26
Publication date: 2004-04-08
Also published as: CN1589544A; KR20040058326A; JP4398374B2; JPWO2004030270A1; AU2002338042A1; DE60220083T2; US20050157875A1; DE60220083D1; KR100631242B1; EP1445890A1; EP1445890B1; US7649996B2; EP1445890A4

Description

明細書暗号通信装置

技術分野

この発明は、量子力学の不確定性原理に基づき盗聴者検知を行うことで秘匿性を保ちつつ乱数情報を共有する量子暗号通信装置および量子暗号通信方法に関するものである。背景技術

図 5の全体構成図は、例えば、 1 9 84年に Bennett と Brassard により初めて提案された量子暗号（文献 1: C. H. Bennett and G. Brassard, "Quantum Cryptography: Public Key Distribution and Coin Tossing," in Pro IEEE International Conference on Computers, Systems, and Signal Processing, Bangalore, India, PP175-179, (1984)，および，文献 2： C. H. Bennett, F. Bessette, G. Brassard, and L Salvai 1, "Experimental Quantum Cryptography, " J. Cryptology, pp.3-28, (1992)) に代表される従来技術である。

図 5において、量子送信装置 100は、量子暗号を用いて暗号文を送信する装置、量子受信装置 200は、量子暗号を用いて暗号文を受信する装置である。量子暗号通信路 1は、量子送信装置 100から量子受信装置 200へキュビッ卜を伝送する通信路である。

ここで、キュビットとは、任意の 2準位状態：

|o〉， |ι>

から構成され、その線形重ね合わせ

"|ο〉 + |ι〉も許す量子状態をいう。具体的には、量子暗号通信の分野では、光子の偏光状態、位相状態等がキュビッ卜の状態を表すためによく用いられている。

古典通信網 2は、量子送信装置 1 0 0と量子受信装置 2 0 0とを結び、従来から行われている通信方法で両装置間の通信を行う網である。

秘密共有情報 3及び秘密共有情報 2 1は、量子送信装置 1 0 0と量子受信装置 2 0 0との間で予め秘密に共有されている情報である。量子喑号では、量子送信装置 1 0 0と量子受信装置 2 0 0とが秘匿性を保ちつつ、上記秘密共有情報よりはるかに大きなランダム情報を共有することを目的とする。

キュビット生成手段 4は、予め定義されたキュビット

|0〉

を周期的に出力する。

乱数生成手段 5は、第 1の乱数ビットを出力する。

乱数生成手段 6は、第 2の乱数ビットを出力する。

量子符号化手段 X 7は、乱数生成手段 5から出力された第 1の乱数ビッ卜に応じて、キュビット生成手段 4によって生成されたキュビッ卜を量子符号化する。その量子符号化ルールを以下に示す。

第 1の乱数ビットが 0のとき、恒等変換： |0〉〈0| + |1〉〈1|

第 1の乱数ビットが 1のとき、 X変換： |0〉〈1| + |1〉〈0|

上記ルール上の X変換はビットフリップ変換であり、パウリ行列の X成分が対応する。

量子変調手段 H 8は、乱数生成手段 6から出力された第 2の乱数ビットに応じて、量子符号化手段 X 7によって量子符号化されたキュビットを量子変調する。その変調ルールを以下に示す。

乱数ビット 0のとき、恒等変換： |0〉〈0| + |1〉〈1| 乱数ビット 1のとき、 H変換： 0〉〈0| + |0〉〈1| + |1〉〈0|- |1〉〈1|)/V

上記ルール上の Η変換はアダマール変換であり、基底変換に対応する。上述したように、 2つの共役な +基底及び X基底を用いてキュビットを伝送するプロトコルを Β Β 84プロトコルという。なお、 2つの共役な +基底及び X基底については後述する。

また、 6状態量子喑号（文献 3： D. Bruss, "Optimal Eavesdropping in Quantum Cryptography with Six States, " P ys. Rev. 81, pp.3018-3021, (1998))では、上述の B B 84プロトコルが恒等変換と H変換との 2つの変調ルールを用いてキュビット伝送していたのに対して、さらに、量子変調に用いる変換に

位相 · アダマール変換、 SH： ^0)(0| + |0>(l| + i|l>(0|-i|l>(l|)/V2 を加えた 3つの基底（変調ルール）で変調をかけることになる。この場合、 0、 1、 2の 3値をとる第 2の乱数に対して上記 3つの基底変換が選択される。

基底交換手段 9は、乱数生成手段 5によって出力された第 1の乱数に対して、量子受信装置 200と古典通信を行い、ランダム共有情報を抽出する。

誤り訂正手段 1 0は、基底交換手段 9によって出力されたランダム共有情報に対し、古典通信網 2を介して量子受信装置 200と古典通信を行い、誤り訂正を実施する。

認証付古^通信手段 1 1は、基底交換手段 9と誤り訂正手段 1 0が量子受信装置 200と古典通信を行うために設けられている。文献 1及び文献 2に明示されているように、認証付古典通信手段 1 1による認証には秘密共有情報 3が用いられる。

秘匿性増強手段 1 2は、誤り訂正手段 1 0から出力された誤り訂正済みのランダム共有情報の秘匿性を増強する。盗聴検知手段 1 3は、誤り訂正手段 1 0によって出力された付加情報から盗聴の有無を判断する。

秘密鍵 1 4は、秘匿性増強手段 1 2から出力され、量子受信装置 2 0 0との秘匿性を保ちつつ量子受信装置 2 0 0と共有される鍵である。乱数生成手段 2 2は、第 3の乱数ビットを出力する。

量子復調手段 H 2 3は、量子暗号通信路 1を通って伝送されたキュビッ卜に対して、乱数生成手段 2 2から出力された第 3の乱数ビットに応じて量子復調を実施する。その復調ルールを以下に示す。

乱数ビット 0のとき、恒等変換： |0〉〈0| + |1〉〈1|

乱数ビット 1のとき、 H変換： 0〉〈0| + |0〉〈1| + |1〉〈0| - |i〉〈i|)/Vi また、 6状態量子暗号では、量子復調に用いる変換に

アダマール ·逆位相変換、 H S - ¹ ： ¾0)(0| - i|0>(l| + |l>(0| + i|l>(l|)/V2 を加えた 3つの基底で復調をかけることになる。この場合、 0、 1、 2 の 3値の乱数に対して上記 3つの基底変換が選択される。

量子測定手段 2 4は、量子復調されたキュビットに対して、量子測定を行う。その測定結果は、

キュビット |0〉に対して " 0 "

キュビット |1〉に対して " 1 "

を出力する。

具体的には、例えば、キュビットとして光子の偏光状態を用いる場合、偏光ビームスプリッ夕と 2つの光子検出器を用いることで容易に実現でさる。

基底交換手段 2 5は、量子測定手段 2 4によって出力された測定結果と乱数生成手段 2 2によって出力された第 3の乱数に対して、量子送信装置 1 0 0と古典通信を行い、ランダム共有情報を抽出する。

誤り訂正手段 2 6は、基底交換手段 2 5から出力されたランダム共有情報に対して、量子送信装置 1 0 0と古典通信を行い、誤り訂正を実施する。

認証付古典通信手段 2 7は、基底交換手段 2 5と誤り訂正手段 2 6を実施するときに量子送信装置 1 0 0と古典通信を行うために設けられている。量子送信装置 1 0 0との認証には秘密共有情報 2 1が用いられる。秘匿性増強手段 2 8は、誤り訂正済みのランダム共有情報の秘匿性を増強する。

盗聴検知手段 2 9は、誤り訂正手段 2 6によって出力された付加情報から盗聴の有無を判断する。

秘密鍵 3 0は、秘匿性増強手段 2 8から出力され、量子送信装置 1 0 0との秘匿性を保ちつつ量子送信装置 1 0 0と共有される鍵である。次に動作について説明する。

図 6の全体工程図は、文献 1および文献 2に代表される量子暗号通信方法の従来技術である。

全体工程は、量子暗号通信大工程（S 1 0 0 ) と古典データ処理大工程（S 2 0 0 ) の 2つに大きく分けることができる。左側の処理は量子送信装置 1 0 0によって実行され、右側の処理は量子受信装置 2 0 0によって実行される。

量子暗号通信大工程（S 1 0 0 ) は、キュビット列を量子送信装置 1

0 0から量子受信装置 2 0 0へ伝送する工程である。キュビット毎に以下の 6工程（S 1 1〜S 1 6 ) が繰り返される。

まず、キュビット生成工程（S 1 1 ) では、キュビット生成手段 4が予め定義されたキュビット

|0)

を周期的に生成する。次に、量子符号化工程（S 12) では、乱数生成手段 5によって出力された第 1の乱数ビッ卜に従い、量子符号化手段 X 7が生成されたキュビットを符号化していく。

量子変調工程（S 13) では、乱数生成手段 6によって出力され第 2 の乱数ビットに従い、量子変調手段 H8が符号化されたキュビットを変調していく。

この変調により、キュビットは互いに共役な 2組の基底（+基底及び X基底）で 0、 1を表現する 4つの状態

第 1の乱数 0 1

+基底 |ο〉 |ι>

X基底〉+ |1〉)/

を持つ変調ビットになる。

量子伝送工程（S 14) では、上記変調ビットが、量子暗号通信路 1 を通して量子送信装置 100から量子受信装置 200へ伝送される。量子復調工程（S 15) では、乱数生成手段 22によって出力された第 3の乱数ビッ卜に従い、量子復調手段 Η 23が伝送されたキュビット (変調ビッ卜）を復調していく。

ここで、量子変復調で用いた恒等変換、アダマール変換が 2度繰り返されると恒等変換になるという性質を利用すると、第 2の乱数と第 3の乱数が一致して、量子変復調に同じ変換が用いられたときのみ量子符号化され、量子変調されたキュビッ卜が正しく量子復調されることがわかる。

量子測定工程（S 16) では、量子測定手段 24が量子復調されたキュビットを量子測定する。量子測定では、

キュビットが |0〉のとき、ビット " 0"

キュビットが |1 のとき、ビット "1" を出力する。従って、量子復調工程（S 1 5 ) で正しく量子復調されたときのみ、測定ビットと第 1の乱数ビットが一致する。間違って量子復調された場合、測定ビットは確率 1 2でしか第 1の乱数ビッ卜に一致しない。

以上、キュビット生成工程（S 1 1 ) から量子測定工程（S 1 6 ) までの 6工程を全てのキュビットに対して繰り返した後、量子暗号通信大工程（S 1 0 0 ) は終了する。

古典データ処理大工程（S 2 0 0 ) では、以下の 4工程が行われる。まず、基底交換処理工程（S 2 1 ) では、量子暗号通信大工程（S 1 0 0 )で実施されたキュビッ卜の伝送で、量子変復調に用いた基底情報、第 2の乱数ビット情報と第 3の乱数ビット情報を量子送受信装置間で古典通信網 2を介して交換する。この時、交換した基底情報が一致していれば正しい量子変復調が行われたことがわかる。よって、基底情報が一致し、正しい量子変復調が行われたキュビッ卜伝送の第 1の乱数ビッ卜と量子測定ビットのみを摘出してランダム共有情報として出力する。基底情報の半分は一致しないため、量子送信装置 1 0 0から量子受信装置 2 0 0へ伝送されたキュビッ卜の約半分が無効になる。文献 3の 6状態量子暗号では伝送されたキュビットの約 2 3が無効になる。

この工程で用いられる古典通信においては、盗聴行為があってもよいが、第 3者による改ざん ·なりすましは防がなければならない。もし、なりすましを許すと盗聴者の所有する機器は、量子送信装置 1 0 0と量子受信装置 2 0 0を結ぶ量子暗号通信路 1と古典通信網 2のそれぞれの中継に入り、量子送信装置 1 0 0に対しては偽の量子受信装置 2 0 0として、量子受信装置 2 0 0に対しては偽の量子送信装置 1 0 0として振舞うことができる。よって、量子送信装置 1 0 0と盗聴者機器の間と盗聴者機器と量子受信装置 2 0 0の間で独立な秘密鍵を共有し、量子送信装置 1 0 0は盗聴者機器を正規の量子受信装置 2 0 0とみなして、量子暗号通信で共有した鍵で暗号文を送信し、盗聴者機器は量子送信装置 1 0 0と共有した鍵で暗号文を復号し、改めて、量子受信装置 2 0 0との間で共有した秘密鍵を用いて暗号化した後、量子受信装置 2 0 0に送信するような攻撃が可能となる。このため、第 3者による改ざん ·なりすましを防止するために、量子送受信装置間で予め秘密共有された秘密共有情報を使った認証を施さなければならない。

一般に、量子伝送工程（S 1 4 ) において、盗聴者機器が伝送されたキュビットを盗聴しても、量子変調に用いた基底情報を知らないため、必ずしも正しい量子復調ができない。もし、まちがった量子復調をおこなうと、伝送されたキュビットには、量子力学の不確定性原理により、全く間違った状態にあるキュビットに変化してしまうので盗聴の痕跡が残ることになる。

誤り訂正工程（S 2 2 ) では、基底交換処理工程（S 2 1 ) によって出力されたランダム共有情報から、量子送受信装置間の古典通信網 2を介して盗聴を許すが、改ざん ·なりすましを許さない古典通信をしながら、誤りを訂正していく。このため、量子送受信装置間で予め秘密共有された秘密共有情報を使った認証を施さなければならない。また、誤り訂正を行うが、第 3者に漏れる情報量は小さく、秘匿性が保たれるようなデータ処理がなされる。このとき、付加情報として、ビットレート、ビット誤り率が出力される。この値の大小、変化等から盗聴の有無が判断される。

秘匿性増強処理工程（S 2 3 ) では、誤り訂正済みランダム共有情報に八ッシュ関数を通して情報量的に情報の秘匿性を増強する。

秘密共有情報更新工程（S 2 4 ) では、秘匿性増強されたランダム共有情報の一部を使って、次回の量子暗号通信のために秘密共有情報を更新し、残ったランダム共有情報を秘密鍵として出力する。

また、量子暗号ではない、従来暗号における上記秘密共有情報からランダム共有情報を出力する手順について簡単に説明する。

この場合、送受信装置間で予め秘密に共有する秘密共有情報を暗号化鍵、復号鍵として、共通鍵ブロック暗号、ストリーム暗号等を用いて、上記秘密共有情報よりも大きなランダム情報を暗号化通信し、秘匿性を保って、共有する。

しかし、従来暗号の場合においては盗聴検知機能がないので、盗聴者は暗号化されたランダム情報から、十分大きな計算量的処理を実施することが可能であれば、暗号解読が可能である。つまり、従来暗号においては、計算量的安全性のみに基づいて伝送されたランダム共有情報の秘匿性が担保される。一方、量子暗号においては、量子力学による盗聴検知機能に基づき、盗聴が検知されれば、その通信を破棄し、盗聴がないと確認されるまで通信を繰り返す等の処理を行い、盗聴がないと保証された伝送されたキュビッ卜の情報量的安全性により秘匿性が担保されている。従来の量子暗号通信装置および通信方法は、古典通信の際に予め用意した秘密共有情報を用いて認証を実施しなければならないという問題点と、量子暗号通信で得られた測定ビッ卜から有効ビッ卜を摘出するために送受信装置間で古典通信網を介して量子変復調の情報を交換するという基底交換を実施しなければならない、及び、それに伴い量子伝送したキュビット列のうち約半数（6状態量子暗号の場合は約 2 3 ) が失われるという問題点があった。

また、従来暗号では、盗聴検知機能がないため、盗聴者の計算量的処理能力により、秘匿性が脅かされるという問題点がある。この発明は、盗聴検知機能によ ό伝送されたキュビッ卜の情報量的安全性を保ちつつ、古典通信において認証が不要であり、また、基底交換も不要であり、さらに、伝送されたキュビットの全てを信号伝送に用いることのできる量子暗号通信装置および量子暗号通信方法を提供することを目的とする。発明の開示

量子送信装置は、量子受信装置によって行われる擬似乱数の生成と同期して、量子受信装置と予め秘密に共有している秘密共有情報から第 1 の擬似乱数を生成する第 1の擬似乱数生成部と、

予め定められた量子状態を持つキュビットを量子符号化する量子符号化部と、

上記量子符号化部が量子符号化したキュビットを上記第 1の擬似乱数に基づいて量子変調する量子変調器とを備える。図面の簡単な説明

図 1は、実施の形態 1の全体構成図である。

図 2は、実施の形態 1の量子暗号通信工程を示した図である, 図 3は、実施の形態 2の全体構成図である。

図 4は、実施の形態 3の全体構成図である。

図 5は、量子暗号の全体構成を示した従来図である。

図 6は、量子暗号の通信工程を示した従来図である。発明を実施するための最良の形態

実施の形態 1 .

図 1は、実施の形態 1の全体構成図である。図 1において、量子送信装置 1 0 0と量子受信装置 2 0 0とは、量子送信装置 1 0 0から量子受信装置 2 0 0へキュビットを伝送する量子喑号通信路 1により接続されている。

古典通信網 2は量子送受信装置間を結ぶ通信網である。

秘密共有情報 3及び秘密共有情報 2 1は量子送受信装置間で予め共有されている秘密情報である。

量子送信装置 1 0 0の内部構成について説明する。

キュビット生成部 4 0は、予め定義されたキュビット

|0〉

を周期的に出力する。ここで、キュビットとして光子の偏光状態

キュビット |0〉に対して、水平偏光状態 | H〉

キュビット |ι〉に対して、垂直偏光状態〉

をとることも、キュビットとして干渉系を組んださいの位相状態をとることも、また、光子以外に電子など、任意の二準位状態を選ぶことも可能である。

光子の偏光状態をとつた場合、光源からの出力口に偏光子をおくことで容易にこのようなキュビット生成部 4 0を実現できる。

乱数生成部 5 0は、第 1の乱数ビットを出力する部である。

第 1の擬似乱数生成部 6 0は、秘密共有情報 3をシードとして第 1の擬似乱数ビットを出力する部である。

量子符号化部 7 0は、キュビッ卜生成部 4 0によって生成されたキュビッ卜に対して、乱数生成部 5 0から出力された第 1の乱数ビッ卜に応じて量子符号化を実施する部である。その符号化ルールは、

乱数ビット 0のとき、恒等変換： |0〉〈0| + |1〉〈1|，

乱数ビット 1のとき、 X変換： |0〉〈1| + |1〉〈0|，

である。例えば、光子の偏光状態をキュビットとしてとつた場合は、 4 5度偏光状態が TE (TR ANS VE R S E EL E CTR I C P O L AR I Z AT I ON WAVE) モードで透過するように偏光変調器や位相変調器を設置し、第 1の乱数ビッ卜に従い ONZOF Fすることで容易に実現できる。

量子変調器 8 0は、量子符号化部 7 0によって量子符号化されたキュビッ卜に対して、第 1の擬似乱数生成部 6 0から出力された第 1の擬似乱数ビッ卜に応じて量子変調を実施する部である。その変調ルールは、擬似乱数ビット 0のとき、恒等変換： |0〉〈0| + |1〉〈1|，

擬似乱数ビット 1のとき、 H変換： o〉〈o| + |o〉〈i| + |i〉〈o|— 11〉〈1|)/ , である。 H変換はアダマール変換であり、基底変換に対応する。

また、 6状態量子暗号では、上述の B B 84プロトコルが 2つの共役な基底を用いてキュビット伝送していたのに対して、量子変調に用いる変換に

位相 ·アダマール変換、 SH ： do)(0| + |0)(l| + i|l>(0|-i|l)(l|)/V2 を加えた 3つの基底で変調をかけることになる。この場合、 0、 1、 2 の 3値の第 1の擬似乱数に対して上記 3つの基底変換が選択される。具体的には、光子の偏光状態に上記のような変換を施すことは、位相変調器を用いて、位相変調器の TEモード面と偏光状態の水平偏光面を適当な角度になるように位相変調器を設置し、適当な位相変調を TEモードにのみかけることで容易に実現可能である。

第 1の誤り訂正部 90は、乱数生成部 50から出力された第 1の乱数に対して、量子受信装置 2 0 0と古典通信を行い、誤り訂正を実施する部である。この出力が誤り訂正済みランダム共有情報になる。

第 1の古典通信部 1 3 0は、第 1の誤り訂正部 9 0が量子受信装置 2 0 0と古典通信を行うために設けられた部である。本実施の形態では、秘密共有情報 3及び秘密共有情報 2 1から生成される擬似乱数を量子送信装置 1 0 0及び量子受信装置 2 0 0で共有しているため認証機能は必ずしも必要ではない。

第 1の秘匿性増強部 1 1 0は、誤り訂正済みランダム共有情報の秘匿性を増強する部である。

第 1の盗聴検知部 1 2 0は、第 1の誤り訂正部 9 0によって出力される付加情報から盗聴の有無を判断する盗聴検知部である。

秘密鍵 1 4は、第 1の秘匿性増強部 1 1 0から出力され、量子受信装置 2 0 0との秘匿性を保ちつつ共有される鍵である。

次に、量子受信装置 2 0 0の内部構成について説明する。

第 2の擬似乱数生成部 2 2 0は、第 1の擬似乱数生成部 6 0と同期して、秘密共有情報 2 1をシードとして第 2の擬似乱数を出力する部である。

量子復調器 2 3 0は、量子暗号通信路 1を通って伝送されたキュビッ卜に対して、第 2の擬似乱数生成部 2 2 0から出力された第 2の擬似乱数ビットに応じて量子復調を実施する部である。その復調ルールは、擬似乱数ビット 0のとき、恒等変換： |ο〉〈ο| + |ι〉〈ι|，

擬似乱数ビット 1のとき、 H変換： 0〉〈0| + |0〉〈1| + |1〉〈0| - |1〉〈1|)/ , である。

また、 6状態量子暗号では、量子復調に用いる変換に

アダマール ·逆位相変換、 H S " ¹ ： (|0X0| -i|0)(l| + |l>(0| + i|l)(l|)/V2 を加えた 3つの基底で復調をかけることになる。この場合、 0、 1、 2 の 3値の第 2の擬似乱数に対して上記 3つの基底変換が選択される。量子測定部 2 4 0は量子復調されたキュビッ卜に対して、量子測定を行う部である。その測定結果は、

キュビット |0〉に対して " 0 ",

キュビッ卜 |1 に対して " 1 ", を出力する。

第 2の誤り訂正部 2 5 0は、量子測定部 2 4 0から出力された測定結果に対して、量子送信装置 1 0 0と古典通信を行い、誤り訂正を実施する部である。この出力が誤り訂正済みランダム共有情報になる。

第 2の古典通信部 2 6 0は、第 2の誤り訂正部 2 5 0が量子送信装置 1 0 0と古典通信を行うために設けられた部である。第 1の古典通信部 1 3 0と同様に認証機能は必ずしも必要ない。

第 2の秘匿性増強部 2 7 0は、誤り訂正済みのランダム共有情報の秘匿性を増強する部である。

第 2の盗聴検知部 2 8 0は、第 2の誤り訂正部 2 5 0によって出力された付加情報から盗聴の有無を判断する部である。

秘密鍵 3 0は、第 2の秘匿性増強部 2 7 0から出力された量子送信装置 1 0 0との秘匿性を保ちつつ共有される鍵である。

次に動作について説明する。

図 2は全体工程図である。

全体工程は、量子暗号通信大工程（S 3 0 0 ) と古典データ処理大工程（S 4 0 0 ) の 2つに大きく分けることができる。

量子暗号通信大工程（S 3 0 0 ) では、キュビット列を量子送信装置から量子受信装置へ伝送する工程である。キュビット毎に以下の 6工程が繰り返される。

キュビット生成工程（S 3 1 ) では、キュビット生成部 4 0が予め定義されたキュビット

I。〉

を周期的に生成する。

量子符号化工程（S 3 2 ) では、乱数生成部 5 0から出力された乱数ビッ卜に従い、量子符号化部 7 0が生成されたキュビットを符号化していく。

量子変調工程（S 33) では、第 1の擬似乱数生成部 60から出力された第 1の擬似乱数ビッ卜に従い、量子変調器 80が符号化されたキュビットを変調していく。この変調により、キュビットは互いに共役な 2 組の基底で 0、 1を表現する 4つの状態

擬似乱数ビット 0 1

+基底 |ο〉 |ι

X基底 +

(|o)-|i))/V2

になる。

量子伝送工程（S 34) では、こうした変調ビットを、量子暗号通信路 1を通して量子送信装置 1 00から量子受信装置 20 0へ伝送する。量子復調工程（S 3 5) は、第 2の擬似乱数生成部 2 20から出力された第 2の擬似乱数ビッ卜に従い、量子復調器 230が伝送されたキュビッ卜を復調していく。

本実施の形態では、量子変調工程（S 3 3) で生成された第 1の擬似乱数ビットと量子復調工程（S 35) で生成された第 2の擬似乱数ビットが同期している。このため、従来では、伝送されたキュビット列の約 1/2 (6状態量子暗号では 2 Z3) が無効であつたのに対し、本実施の形態による量子暗号通信方法によれば常に正しい量子復調がなされる _c 量子測定工程（S 36) では、量子復調されたキュビットを量子測定する。量子測定では、

キュビットが |0〉のとき、ビット " 0"

キュビットが |1〉のとき、ビット " 1 "

を出力する。従って、量子復調工程（S 3 5) では常に正しく量子復調されるので、雑音や盗聴行為による擾乱が伝送中のキュビッ卜に生じない限り、測定ビットは量子符号化工程（S 32) で生成された乱数ビッ卜と常に一致する。

以上の S 1 1から S 1 6までの 6工程を全てのキュビッ卜に対して繰り返した後、量子暗号通信大工程（S 3 0 0 ) は終了する。

次に、古典データ処理大工程（S 4 0 0 ) では、以下の 3工程が行われる。

誤り訂正処理工程（S 4 1 ) では、量子符号化工程（S 3 2 ) で生成された乱数ビッ卜と量子測定工程（S 3 6 ) で測定した測定ビットカゝら、量子送受信装置の古典通信網 2を介して盗聴を許す古典通信をしながら、誤りを訂正していく。誤り訂正を行うが、第 3者に漏れる情報量は小さく、秘匿性が保たれるようなデータ処理がなされる。このとき、付加情報として、ビットレート、ビット誤り率が出力される。この値の大小、変化等から盗聴の有無が判断される。当発明の場合、量子暗号通信大工程（S 3 0 0 ) において、秘密共有情報 3及び秘密共有情報 2 1に基づき量子変復調が実施されているめ、古典通信において、なりすまし - 改ざんを許したとしても、整合性のある誤り訂正処理ができなく、盗聴者としてかならず検知できる。従って、従来技術でみられるような中継攻撃は成立しないので、古典通信における認証機能は必ずしも必要ない。また、盗聴者が量子伝送工程（S 3 4 ) における伝送中のキュビットを盗聴する場合、量子変調情報を擬似ランダム性により予想できない上、量子符号化情報のランダム性も加わることで、量子力学により複製不可能性が証明されているキュビッ卜 1個から有意な情報を引き出すことは全く困難であり、その上、盗聴行為が必然的に引き起こす擾乱から、盗聴行為を検知することができる。

秘匿性増強処理工程（S 4 2 ) では、誤り訂正処理工程（S 4 1 ) によって出力された誤り訂正済みランダム共有情報にハッシュ関数を通して情報量的に秘匿性を増強する。秘密共有情報更新工程（S 4 3 ) では、秘匿性増強されたランダム共有情報の一部を使って、次回の量子暗号通信のために秘密共有情報を更新し、残ったランダム共有情報を秘密鍵として出力する。

以上、本実施の形態では、互いに同時観測不可能な量子状態を用いて第 1の信号伝送をおこなう量子通信路 1と第 2の古典情報データ通信を行う古典通信網 2を用いて、量子力学により盗聴検知を行い、量子送信装置 1 0 0と量子受信装置 2 0 0は、予め安全に保持した秘密共有情報 3及び秘密共有情報 2 1を使い古典通信においての改ざん、なりすましを防ぎ、安全かつ秘密に乱数データが共有できる量子暗号通信装置において、

量子暗号通信装置は、量子送信装置 1 0 0と量子受信装置 2 0 0とから構成され、

量子送信装置 1 0 0は、同一の量子状態のキュピットを定常的に生成できるキュビット生成部 4と、キュビッ卜に与える量子符号化の信号源となる乱数生成部 5 0と、秘密共有情報 3をシードとし、当該シードから擬似乱数を生成していく第 1の擬似乱数生成部 6 0と、乱数生成部 5 0から出力された乱数に応じて、キュビッ卜に対して量子符号化を行う量子符号化部 7 0と、第 1の擬似乱数生成部 6 0から出力された擬似乱数に応じて、キュビットに量子変調をかける量子変調器 8 0と、量子喑号通信終了後に、量子受信装置 2 0 0と古典通信を行いつつ秘匿性を保つたまま誤り訂正を実行する第 1の誤り訂正部 9 0と、量子受信装置 2 0 0と誤り訂正処理を行うために、古典通信をおこなう第 1の古典通信部 1 3 0と、誤り訂正された秘密情報の秘匿性を増強する第 1の秘匿性増強部 1 1 0と、誤り訂正処理において出力された付加情報から盗聴検知をおこなう第 1の盗聴検知部 1 2 0を備える。

また、量子受信装置 2 0 0は、秘密共有情報 2 1をシードとし、当該シードから擬似乱数を生成していく第 2の擬似乱数生成部 2 2 0と、第 2の擬似乱数生成部 2 2 0から出力された擬似乱数に応じて、受信したキュビッ卜に量子復調をかけることで復調をおこなう量子復調器 2 3 0 と、復調されたキュビットを測定し、古典ビットを出力する量子測定部 2 4 0と、量子暗号通信終了後に、量子送信装置 1 0 0と古典通信を行いつつ秘匿性を保ったまま誤り訂正を実行する第 2の誤り訂正部 2 5 0 と、量子送信装置 1 0 0と誤り訂正処理を行うために、古典通信をおこなう第 2の古典通信部 2 6 0と、誤り訂正された秘密情報の秘匿性を増強する第 2の秘匿性増強部と、誤り訂正処理において出力された付加情報から盗聴検知をおこなう第 2の盗聴検知部 2 8 0とを備える。

また、本実施の形態に示す量子暗号通信方法は、キュビット生成部 4 0がキュビットを生成する生成工程と、生成されたキュビッ卜に対して乱数生成部 5 0が生成した乱数ビッ卜に従い量子符号化を行う量子符号化工程と、量子符号化を受けたキュビットに対して、第 1の擬似乱数生成部 6 0が秘密共有情報 3をシードとして生成した擬似乱数ビッ卜に従い量子変調を行う量子変調工程と、量子変調を受けたキュビッ卜に対して、量子通信路 1を経由して量子送信装置 1 0 0から量子受信装置 2 0 0へ伝送する量子伝送工程と、受信したキュビッ卜に対して量子復調を行う量子復調工程と、量子復調されたキュビットに対して、量子測定を行う量子測定工程までの工程群をキュビッ卜毎に繰り返す量子暗号通信大工程と、

キュビット列を通信して得られた古典データに対して、古典通信網 2 を介して誤り訂正を行う誤り訂正処理工程と、誤り訂正がなされた古典データに対して、量子送受信装置が秘匿性増強を各個に行う秘匿性増強処理工程と、秘匿性増強を施された古典データに対して、その一部を秘密共有情報として更新する秘密共有情報更新工程までの工程群からなる古典データ処理大工程を備えたことを特徴とする。

本実施の形態では、量子送受信装置間で秘密共有情報をシードとし同期をとつて出力する擬似乱数ビッ卜に従って量子変復調がなされているので、従来存在していた基底交換部および基底交換処理工程を省くことができる。

このため、伝送されたキュビット列の約 1 2 (6状態量子暗号では 2 / 3 ) を無効にすることなく、すべてのキュビットを有効利用でき、ビットレートを従来技術の ₂倍（もしくは 3倍）という高速性を実現することができる。

特に、安全性を担保する許容ビットエラ一レートが、 BB 84プロトコル（ 1 1 %) に比べて高い 6状態量子喑号（1 2. 7 %) において（文献 4： H. - K. Lo, "Proof of unconditional security of six-state quantum key distribution scheme, " quant-ph/0102138 LANL-prepr int) > 従来技術では伝送効率が 1 Z3と低くなつていたのが、当発明では伝送効率が 3倍となり、 BB 84プロトコルと遜色のない伝送効率を実現できる。また、量子送受信装置間で予め共有している秘密共有情報を使って量子変復調を行っているので、量子暗号通信大工程（S 300) において認証が行われているの等しく、従来技術のように古典データ処理大工程 (S 400) において改めて認証通信を実行する必要がない。

また、盗聴検知機能により、盗聴の有無が確認できるため、盗聴無しのときの伝送されたキュビッ卜の情報量的安全性が担保されるので、計算量的安全性には依存する従来暗号に比べて極めて安全なランダム情報の秘匿共有が可能である。

本実施の形態では、具体例として、任意のキュビットの偏光状態を採用して量子暗号通信を実現した。しかし、任意のキュビットの位相状態を採用して量子暗号通信を行うこともできる。実施の形態 2 .

本実施の形態では、キュビットとして光子の位相状態を採用し、マツ八 · ツエンダ干渉計を用いて量子暗号通信をする実施形態を示す。

図 3は、実施の形態 2の全体構成図である。マッハ · ツエンダ干渉計

9 0 0は、キュビット生成部 4 0、第 1の位相変調器 8 1、量子通信路

1 0 1、量子通信路 1 0 2、量子測定部 2 4 0、第 2の位相変調器 2 3 1から構成される。実施形態 1との構成上の違いは、キュビッ卜生成部、量子符号化部、量子変調器、量子通信路、量子復調器、量子測定部の構成である。

以下、実施の形態 1と違う構成部分を説明する。

キュビット生成部 4 0は、単一光子源 7 0 0、ビームスプリッ夕 3 5 0、ミラー 4 0 0で構成されている。

単一光子源 7 0 0から出た光子は、ビームスプリッ夕 3 5 0およびミラー 4 0 0で 2つの光路に分割される。上側の量子通信路 1 0 1に光子のある状態を

1"〉

下側の量子通信路 1 0 2に光子のある状態をとおくと、生成されるキュビットは、

とかける。

第 1の位相変調器 8 1は、実施の形態 1の量子符号化部と量子変調器に対応する。第 1の位相変調器 8 1は、乱数生成部 5 0から出力される第 1の乱数ビットおよび第 1の擬似乱数生成部 6 0から出力される第 1 の擬似乱数ビッ卜に従って、生成キュビッ卜を、乱数ビット 0、擬似乱数ビット 0のとき、 |Ο〉 = (|"〉 + |/〉)/Λ^

乱数ビット 1、擬似乱数ビット 0のとき、 |l〉 = (- |_M〉 + |Z〉)/

乱数ビット 0、擬似乱数ビット 1のとき、 |o) = (/|_M) + |/))/V2

乱数ビット 1、擬似乱数ピット 1のとき、 |Τ〉 = (- 〉 + |z〉)/

に量子符号化及び量子変調する。

量子符号化及び量子変調されたキュビットは、量子通信路 1 0 1を通つて量子受信装置 2 0 0に量子伝送される。

伝送されたキュビットは、第 1の擬似乱数生成部 6 0と同期した第 2 の擬似乱数生成部 2 2 0から出力される第 2の擬似乱数ビッ卜に従って、実施の形態 1の量子復調器に対応する第 2の位相変調器 2 3 1により、以下に示すルールで量子復調される。

擬似乱数ビット 0のとき、恒等変換： |w〉〈_M| + |z〉〈z|

擬似乱数ビット 1のとき、位相変換 S ： |u)(_M| + |/>(/|

このとき、上述の通り、第 1の擬似乱数ビットと第 2の擬似乱数ビッ卜とは一致しているため、上記量子復調されたキュビットは、第 1の乱数ビッ卜に従い、

乱数ビット 0のとき、 |o〉 = (|"〉 + |z〉)/V^

乱数ビット 1のとき、 |i〉 = (-|"〉 + |z〉>V^

となっている。

ミラー 2 4 1、ビームスプリツ夕 2 4 2、第 1の光子検出器 2 4 3、第 2の光子検出器 2 4 4で構成される量子測定部 2 4 0では、

キュビッ卜 |0〉のとき、第 1の光子検出器 2 4 3が光子を検出、キュビット |1〉のとき、第 2の光子検出器 2 4 4が光子を検出、することになる。

上記以外の構成は、実施の形態 1と全く同じである。

以上のように、キュビットとして光子の位相状態を採用し、マッハ . ツェング干渉計 900を用いて量子暗号通信をした場合にも、従来存在していた基底交換部および基底交換処理工程を省略し、すべてのキュビッ卜を有効利用することで、量子暗号通信の高速性を実現することができる。実施の形態 3.

以上の実施形態では、キュビット生成部が量子送信装置 1 00内に設置されていた。本実施の形態では、量子受信装置 200内におかれるような形態（文献 5 : G. Ribordy, L - D, Gautier, Ν· Gisin, 0. Guinnard, H. Zbinden, "Automated "Plug & Play" Quantum Key Distribution, " Electronics Lett. 34, PP.2116-2117, (1998)) でも実現できる。

図 4は、実施の形態 3の全体構成図である。本実施の形態では、図 4 に示すように量子通信路として量子送受信装置間の往路と復路を別々に設置した（往路の量子通信路 1 0 5、復路の量子通信路 1 0 6)。しかし、ビームスプリッ夕ゃファラディーミラー等の光路制御部を用いて同一の光路をとるような形態をとることも可能である。

また、図 4では、量子復調器 2 30は、復路の量子通信路 1 06中に設置されているが、往路の量子通信路 1 0 5中に設置されていてもよい本実施の形態では、他の実施の形態と同様な効果を得ることができる。また、キュビット生成部 40を量子受信装置 200に備えることで、量子送信装置 1 00の処理負担を軽減することができる。産業上の利用可能性

本発明によれば、装置間で基底を交換する処理を省くことができる。また、キュビッ卜の有効利用を図ることができる。また、古典通信において改めて認証通信の実行を不要とすることがでさる。

また、安全なランダム情報の秘匿共有が可能である。

Claims

請求の範囲

1 . 量子受信装置によって行われる擬似乱数の生成と同期して、量子受信装置と予め秘密に共有している秘密共有情報から第 1の擬似乱数を生成する第 1の擬似乱数生成部と、

上記量子符号化部が量子符号化したキュビットを上記第 1の擬似乱数に基づいて量子変調する量子変調器とを備える量子送信装置。

2 . 量子送信装置によって行われる擬似乱数の生成と同期して、量子送信装置と予め秘密に共有している秘密共有情報から第 2の擬似乱数を生成する第 2の擬似乱数生成部と、

量子送信装置から予め定められた量子状態を持つキュビットを送信され、送信されたキュビットを上記第 2の擬似乱数に基づいて量子復調する量子復調器とを備える量子受信装置。

3 . キュビットを量子符号化し変調して送信する量子送信装置と送信されたキュビットを量子復調する量子受信装置とを備える量子喑号通信装置であって、

上記量子送信装置は、上記量子受信装置と予め秘密に共有している秘密共有情報から第 1の擬似乱数を生成する第 1の擬似乱数生成部と、予め定められた量子状態を持つキュビットを量子符号化する量子符号化部と、

上記量子符号化部が量子符号化したキュビットを上記第 1の擬似乱数に基づいて量子変調して上記量子受信装置に送信する量子変調器とを備え、

上記量子受信装置は、上記量子送信装置と予め秘密に共有している秘密共有情報から上記第 1の擬似乱数の生成と同期して第 2の擬似乱数を生成する第 2の擬似乱数生成部と、

上記量子変調器から送信されたキュビッ卜を受信し、受信したキュビットを上記第 2の擬似乱数に基づいて量子復調する量子復調器とを備える量子暗号通信装置。

4 . 上記量子受信装置は、さらに、

上記量子復調器によって量子復調されたキュビットを測定し、測定結果を出力する量子測定部を備える請求項 3に記載された量子受信装置。

5 . 上記量子送信装置は、さらに、

上記量子測定部によって出力された測定結果を受信する第 1の古典通信部と、

上記第 1の古典通信部によって受信された測定結果に基づいて、上記量子符号化部によって量子符号化されたキュビットを誤り訂正する第 1 の誤り訂正部を備え、

上記量子受信装置は、さらに、

上記量子符号化部によって量子符号化されたキュビットを受信する第 2の古典通信部と、

上記第 2の古典通信部によって受信されたキュビッ卜に基づいて、上記量子測定部によって出力された測定結果を誤り訂正する第 2の誤り訂正部とを備える請求項 4に記載された量子暗号通信装置。

6 . 上記第 1の古典通信部は、上記量子受信装置の認証をせずに上記量子受信装置と通信し、

上記第 2の古典通信部は、上記量子送信装置の認証をせずに上記量子送信装置と通信する請求項 5に記載された量子暗号通信装置。

7 . 上記量子暗号通信装置は、キュビットを所定期間に生成するキュビッ卜生成部を上記量子送信装置または上記量子受信装置のいずれかに備え、上記量子受信装置にキュビット生成部が備えられている場合には、キュビット生成部は、生成されたキュビットを上記量子符号化部に送信し、上記量子符号化部は、上記キュビット生成部によって生成されたキュビットまたは送信されたキュビッ卜のいずれかを量子符号化する請求項 3に記載された量子暗号通信装置。

8 . 上記量子受信装置は、さらに、

上記量子復調器によって量子復調されたキュビットを測定し、測定結果を出力する量子測定部を備え、

上記量子暗号通信装置は、上記キュビット生成部と上記量子変調器と上記量子復調器と上記量子測定部とをマッハ · ツエンダ干渉計によって構成する請求項 7に記載された量子暗号通信装置。

9 . 予め定められた量子状態を持つキュビットを量子符号化し、予め秘密に共有している秘密共有情報から第 1の擬似乱数を生成し、上記生成された第 1の擬似乱数に基づいて上記量子符号化したキュビットを量子変調し、

上記量子変調したキュビットを伝送し、

予め秘密に共有している秘密共有情報から上記第 1の擬似乱数の生成と同期させて第 2の擬似乱数を生成し、

上記生成された第 2の擬似乱数に基づいて上記伝送したキュビッ卜を量子復調する量子暗号通信方法。

1 0 . 上記量子暗号通信方法は、さらに、

上記量子復調したキュビッ卜を測定し、測定した結果を送信し、上記送信された測定結果に基づいて上記量子符号化されたキュビットを誤り訂正し、

上記量子符号化されたキュビットを送信し、

上記送信されたキュビッ卜に基づいて上記測定結果を誤り訂正する請求項 9に記載された量子暗号通信方法。