WO2004088915A1 - 量子鍵配送方法および通信装置 - Google Patents

Abstract

本発明の量子鍵配送方法は、確率情報付きの受信データから元の送信データを推定する方法であって、たとえば、パリティ検査行列生成部（１０，３０）が、同一のパリティ検査行列を生成し、シンドローム生成部（１４）が、前記パリティ検査行列と前記送信データに基づいて生成した誤り訂正情報を、公開通信路を介して受信側の通信装置に通知し、シンドローム復号部（３３）が、前記誤り訂正情報および前記確率情報付きの受信データに基づいて前記送信データを推定し、さらに、受信データの誤りを完全に訂正できるまで、所定の拘束条件下でパリティ検査行列の行数を増やしながら誤り訂正処理を繰り返し実行する構成とした。

Description

明 細 書 量子鍵配送方法およぴ通信装置 技術分野

本発明は、 高度に安全性の保証された共通鍵を生成することが可能な量子鍵配 送方法に関するものであり、 特に、 誤り訂正符号を用いてデータ誤りを訂正可能 な量子鍵配送方法および当該量子鍵配送を実現可能な通信装置に関するものであ る。 背景技術

以下、 従来の量子暗号システムについて説明する。 近年、 高速大容量な通信技 術として光通信が広く利用されているが、 このような光通信システムでは、 光の オン Zオフで通信が行われ、 オンのときに大量の光子が送信されているため、 量 子効果が直接現れる通信系にはなっていない。

—方、 量子暗号システムでは、 通信媒体として光子を用い、 不確定' I·生原理等の 量子効果が生じるように 1個の光子で 1ビットの情報を伝送する。 このとき、 盗 聴者が、 その偏光， 位相等の量子状態を知らずに適当に基底を選んで光子を測定 すると、 その量子状態に変化が生じる。 したがって、 受信側では、 この光子の量 子状態の変化を確認することによって、 伝送データが盗聴されたかどうかを認識 することができる。

第 1 0図は、 従来の偏光を利用した量子鍵配送の概要を示す図である。 たとえ ば、 水平垂直方向の偏光を識別可能な測定器では、 量子通信路上の、 水平方向 （

0 ° ) に偏光された光と垂直方向 （9 0 ° ) に偏光された光とを正しく識別する 。 一方、 斜め方向 （4 5 ° , 1 3 5 ° ) の偏光を識別可能な測定器では、 量子通 信路上の、 4 5 ° 方向に偏光された光と 1 3 5 ° 方向に偏光された光とを正しく 識別する。 このように、 各測定器は、 規定された方向に偏光された光については正しく認 識できるが、 たとえば、 斜め方向に偏光された光を水平垂直方向 （0 ° , 9 0 ° ) の偏光を識別可能な測定器にて測定すると、 水平方向と垂直方向に偏光された 光をそれぞれ 5 0 %の確率でランダムに識別する。 すなわち、 識別可能な偏光方 向に対応していない測定器を用いた場合には、 その測定結果を解析しても、 偏光 された方向を正しく識別することができない。

第 1 0図に示す従来の量子鍵配送では、 上記不確定性 （ランダム性） を利用し て、 盗聴者に知られずに送信者と受信者との間で鍵を共有する （たとえば、 Benn ett, C. H. and Brassard, G. ·' Quantum Cryptography ·' Public Key Distributi on and Coin Tossing, In Proceedings of IEEE Conference on Computers, Sys tern and Signal Processing, Bangalore, India, pp. 175-179 (DEC. 1984)参照）。 なお、 送信者および受信者は、 量子通信路以外に公開通信路を使用することがで きる。 .

ここで、 鍵の共有手順について説明する。 まず、 送信者は、 乱数列 （1 , 0の 列：送信データ） を発生し、 さらに送信コード （+：水平垂直方向に偏光された 光を識別可能な測定器に対応， X ：斜め方向に偏光された光を識別可能な測定器 に対応） をランダムに決定する。 その乱数列と送信コードの組み合わせで、 送信 する光の偏光方向が自動的にきまる。 ここでは、 0と十の組み合わせで水平方向 に偏光された光を、 1と +の組み合わせで垂直方向に偏光された光を、 0と Xの 組み合わせで 4 5 ° 方向に偏光された光を、 1と Xの組み合わせで 1 3 5 ° 方向 に偏光された光を、 量子通信路にそれぞれ送信する （送信信号） 。

つぎに、 受信者は、 受信コード （+：水平垂直方向に偏光された光を識別可能 な測定器， X ：斜め方向に偏光された光を識別可能な測定器） をランダムに決定 し、 量子通信路上の光を測定する （受信信号） 。 そして、 受信コードと受信信号 の組み合わせによって受信データを得る。 ここでは、 受信データとして、 水平方 向に偏光された光と十の組み合わせで 0を、 垂直方向に偏光された光と +の組み 合わせで 1を、 4 5 ° 方向に偏光された光と Xの組み合わせで 0を、 1 3 5 ° 方 向に偏光された光と Xの組み合わせで 1を、 それぞれ得る。

つぎに、 受信者は、 自身の測定が正しい測定器で行われたものかどうかを調べ るために、 受信コードを、 公開通信路を介して送信者に対して送信する。 受信コ ードを受け取った送信者は、 正しい測定器で行われたものかどうかを調べ、 その 結果を、 公開通信路を介して受信者に対して返信する。

つぎに、 受信者は、 正しい測定器で受信した受信信号に対応する受信データだ けを残し、 その他を捨てる。 この時点で、 残された受信データは送信者と受信者 との間で確実に共有できている。

つぎに、 送信者と受信者は、 それぞれの通信相手に対して、 共有データから選 択した所定数のデータを、 公開通信路を経由して送信する。 そして、 受け取った データが自身の持つデータと一致しているかどうかを確認する。 たとえば、 確認 したデータの中に一致しなレヽデータが 1つでもあれば、 盗聴者が！/、るものと判断 して共有データを捨て、 再度、 鍵の共有手順を最初からやり直す。 一方、 確認し たデータがすべて一致した場合には、 盗聴者がいないと判断し、 .確認に使用した データを捨て、 残った共有データを送信者と受信者の共有鍵とする。

一方、 上記従来の量子鍵配送方法の応用として、 たとえば、 伝送路上における データ誤りを訂正可能な量子鍵配送方法がある （たとえば、 Brassard, G. and S alvail, L. 1993 Secret-Key Reconciliation oy Public Discussion, In Advan ces in Cryptology - EUROCRYPT' 93, Lecture Notes in Computer Science 765, 410- 423参照） 。

この方法では、 送信者が、 データ誤りを検出するために、 送信データを複数の ブロックに分割し、 ブロック毎のパリティを公開通信路上に送信する。 そして、 受信者が、 公開通信路を経由して受け取ったブロック毎のパリティと受信データ における対応するプロックのパリティとを比較して、データ誤りをチェックする。 このとき、 異なるパリティがあった場合、 受信者は、 どのブロックのパリティ力 S 異なっているのかを示す情報を公開通信路上に返信する。 そして、 送信者は、 該 当するプロックをさらに前半部のプロックと後半部のプロックに分割し、 たとえ ば、 前半部のパリティを公開通信路上に返信する （二分探索） 。 以降、 送信者と 受信者は、 上記二分探索を繰り返し実行するこどによりエラービットの位置を特 定し、 最終的に受信者がそのビットを訂正する。

さらに、 送信者は、 データに誤りがあるにもかかわらず、 偶数個の誤りのため に正しいと判定されたパリティがある場合を想定し、 送信データをランダムに並 ベ替えて （ランダム置換） 複数のブロックに分割し、 再度、 上記二分探索による 誤り訂正処理を行う。 そして、 ランダム置換によるこの誤り訂正処理を繰り返し 実行することによって、 すべてのデータ誤りを訂正する。

しかしながら、 上記第 1 0図に示す従来の量子鍵配送においては、 誤り通信路 を想定していないため、 誤りがある場合には盗聴行為が存在したものとして上記 共通データ （共通鍵） を捨てることとなり、 伝送路によつては共通鍵の生成効率 が非常に悪くなる、 という問題があった。 ' また、 上記伝送路上におけるデータ誤りを訂正可能な量子鍵配送方法において は、 エラービットを特定するために膨大な回数のパリティのやりとりが発生し、 さらに、 ランダム置換による誤り訂正処理が所定回数にわたって行われるため、 誤り訂正処理に多大な時間を費やすことになる、 という問題があった。

本発明は、 上記に鑑みてなされたものであって、 極めて高い特性を持つ誤り訂 正符号を用いて伝送路上におけるデータ誤りを訂正しつつ、 高度に安全性の保証 された共通鍵を生成することが可能な量子鍵配送方法を提供することを目的とし ている。 発明の開示

本発明にかかる量子鍵配送方法にあっては.、 量子通信路上の光子の測定結果と して得られる確率情報付きの受信データの誤りを訂正することによつて元の送信 データを推定し、 その推定結果を共有情報とする量子鍵配送方法であって、 送信 側および受信側の通信装置が、 個別に第 1のパリティ検査行列 （要素が 「0」 ま たは 「1」 の同一の行列） を生成する第 1の検査行列生成ステップと、 前記送信 側の通信装置が、 前記第 1のパリティ検査行列と前記送信データに基づいて生成 した第 1の誤り訂正情報を、 公開通信路を介して前記受信側の通信装置に通知す る第 1の誤り訂正情報通知ステップと、 前記受信側の通信装置が、 前記第 1の誤 り訂正情報に基づレ、て前記受信データの誤りを訂正する第 1の誤り訂正ステップ と、 前記受信データの誤りを完全に訂正できなかった場合に、 受信側および送信 側の通信装置が、 前回の誤り訂正情報が次の誤り訂正時における情報の一部とな るように、 個別に第 2のパリティ検査行列 （要素が 「0」 または 「1」 の同一の 行列） を生成する第 2の検査行列生成ステップと、 前記送信側の通信装置が、 前 記第 2のパリティ検査行列と前記送信データに基づレ、て生成した追加分の第 2の 誤り訂正情報を、 公開通信路を介して前記受信側の通信装置に通知する第 2の誤 り訂正情報通知ステップと、 前記受信側の通信装置が、 前記第 1および第 2の誤 り訂正情報に基づレ、て前記受信データの誤りを訂正する第 2の誤り訂正ステツプ と、 前記第 1の誤り訂正ステツプの処理で受信データの誤りを完全に訂正できた 場合、 または、 前記第 2の検查行列生成ステップ、 前記第 2の誤り訂正情報通知 ステップ、 前記第 2の誤り訂正ステップの処理を繰り返しにより誤りを完全に訂 正できた場合、 公開された誤り訂正情報量に応じて共有情報の一部を破棄し、 そ の結果を暗号鍵とする暗号鍵生成ステツプと、 を含むことを特徴とする。

この発明によれば、 確定的なパリティ検査行列を用いて受信データの誤りを訂 正し、公開された誤り訂正情報に応じて共有情報の一部を破棄する。これにより、 誤り訂正処理にかかる時間を大幅に短縮する。 また、 受信データの誤りを完全に 訂正できるまで、所定の拘束条件の下でパリティ検査行列の行数を増やしながら、 誤り訂正処理を繰り返し実行する。 これにより、 通信路の雑音レベルを見積もる ために生成した共有情報を破棄する必要がなくなり、 共有鍵の生成効率が大幅に 向上する。 図面の簡単な説明

第 1図は、本発明にかかる量子暗号システムの構成を示す図であり、第 2図は、 本発明にかかる量子鍵配送の処理を示すフローチャートであり、 第 3図は、 有限 ァフィン幾何に基づく 「 I r r e g u l a r— L D P C符号」 の構成法を示すフ ローチャートであり、 第 4図は、 有限ァフィン幾何符号 AG ( 2 , 2²) のマトリ クスを示す図であり、 第 5図は、 最終的な列の重み配分と行の重み配分を示す図 であり、 第 6図は、 送信側の通信装置が受信側の通信装置に対して送信するシン ドロームを示す図であり、 第 7図は、 本実施の形態のパリティ検査行列生成方法 を示す図であり、第 8図は、 ステップ S 1 5の処理によって硬判定値 m_Bの誤りを 完全に訂正できなかつた場合の、実施の形態 2の動作を示す図であり、第 9図は、 ステップ S 1 5の処理によって硬判定値 m_Bの誤りを完全に訂正できなかった場 合の、 実施の形態 3の動作を示す図であり、 第 1 0図は、 従来の量子鍵配送の概 要を示す図である。 発明を実施するための最良の形態

以下に、 本発明にかかる量子鍵配送方法および通信装置の実施の形態を図面に 基づいて詳細に説明する。 なお、 この実施の形態によりこの発明が限定されるも のではない。 また、 以下では、 一例として偏光を利用する量子鍵配送について説 明するが、 本発明は、 たとえば、 位相を利用するもの， 周波数を利用するもの等 にも適用可能であり、 どのような量子状態を利用するかについては特に限定しな レ、。

実施の形態 1 .

量子鍵配送は、 盗聴者の計算能力によらず、 安全性の保証された鍵配送方式で あるが、 たとえば、 より効率よく共有鍵を生成するためには、 伝送路を通ること によって発生するデータの誤りを取り除く必要がある。 そこで、 本実施の形態で は、 極めて高い特性をもつことが知られている低密度パリティ検査 （L D P C： ： Low-Density Parity-Check) 符号を用いて誤り訂正を行う量子鍵配送について 説明する。

第 1図は、 本発明にかかる量子暗号システム （送信側および受信側の通信装置 ) の構成を示す図である。 この量子暗号システムは、 情報 m_aを送信する機能を備 えた送信側の通信装置と、伝送路上で雑音等の影響を受けた情報 m_a、すなわち情 報 m_bを受信する機能を備えた受信側の通信装置と、 力 ら構成される。

また、 送信側の通信装置は、 量子通信路を介して情報 m_aを送信し、 公開通信路 を介してシンドローム S _Aを送信し、 これらの送信情報に基づいて暗号鍵（受信側 との共通鍵） を生成する暗号鍵生成部 1と、 暗号ィヒ部 2 1が暗号鍵に基づいて暗 号ィ匕したデータを、送受信部 2 2が公開通信路を介してやりとりする通信部 2と、 を備え、 受信側の通信装置は、 量子通信路を介して情報 m_bを受信し、 公開通信路 を介してシンドローム S _Aを受信し、 これらの受信情報に基づいて暗号鍵（送信側 との共通鍵） を生成する暗号鍵生成部 3と、 暗号ィヒ部 4 2が暗号鍵に基づいて暗 号化したデータを、送受信部 4 1が公開通信路を介してやりとりする通信部 4と、 を備える。

上記送信側の通信装置では、量子通信路上に送信する情報 m_aとして、偏光フィ ルターを用いて所定の方向に偏光させた光 （第 1 0図参照） を、 受信側の通信装 置に対して送信する。 一方、 受信側の通信装置では、 水平垂直方向.（0 ° ， 9 0 ° ) の偏光を識別可能な測定器と斜め方向 （4 5 ° ， 1 3 5 ° ) の偏光を識別可 能な測定器とを用いて、 量子通信路上の、 水平方向 （0 ° ) に偏光された光と垂 直方向 （9 0 ° ) に偏光された光と 4 5 ° 方向に偏光された光と 1 3 5 ° 方向に 偏光された光とを識別する。 なお、 各測定器は、 規定された方向に偏光された光 については正しく認識できるが、 たとえば、 斜め方向に偏光された光を水平垂直 方向 （0 ° ， 9 0 ° ) の偏光を識別可能な測定器にて測定すると、 水平方向と垂 直方向に偏光された光をそれぞれ 5 0 %の確率でランダムに識別する。すなわち、 識別可能な偏光方向に対応していない測定器を用いた場合には、 その測定結果を 角旱析しても、 偏光された方向を正しく識別することができなレ、。

以下、 上記量子暗号システムにおける各通信装置の動作、 すなわち、 本実施の 形態における量子鍵配送について詳細に説明する。 第 2図は、 本実施の形態の量 子鍵配送の概要を示すフローチャートであり、 詳細には、 （a ) は送信側の通信 装置の処理を示し、 （b) は受信側の通信装置の処理を示す。

まず、 上記送信側の通信装置および受信側の通信装置では、 パリティ検査行列 生成部 10， 30力 特定の線形符号のパリティ検査行列 H ( n X kの行列） を 求め、 このパリティ検査行列 Hから 「： HG=0」 を満たす生成行列 G ( (n-k ) Xnの行列） を求め、 さらに、 G—^ G: ! (単位行列） となる Gの逆行列 ¹ (n X (n-k) の行列） を求める （ステップ S 1, ステップ S 11) 。 本実施 の形態では、 上記特定の線形符号として、 シャノン限界に極めて近い優れた特性 をもつ LD PC符号を用いた場合の量子鍵配送について説明する。 なお、 本実施 の形態では、 誤り訂正方式として LDPC符号を用いることとしたが、 これに限 らず、たとえば、ターボ符号等の他の線形符号を用いることとしてもよい。また、 たとえば、 後述する誤り訂正情報 （シンドローム） が適当な行列 Hと送信データ m_A (情報 m_aの一部） の積 Hm_Aで表される誤り訂正プロトコル （たとえば、 従来 技術にて説明した 「伝送路上におけるデータ誤りを訂正可能な量子鍵配送」 に相 当する誤り訂正プロトコル） であれば、 すなわち、 誤り訂正情報と送信データ m_A の線形 I¹生が確保されるのであれば、 その行列 Hを用いることとしてもよい。

ここで、 上記パリティ検査行列生成部 10における L D P C符号用検査行列の 構成法について説明する。 本実施の形態では、 一例として、 有限ァフィン幾何に 基づく 「 I r r e g u 1 a r—LDPC符号」 用検査行列の構成法 （第 2図ステ ップ S 1の詳細） について説明する。 第 3図は、 有限ァフィン幾何に基づく 「I r r e g u 1 a r—LDPC符号」 用検查行列の構成法を示すフローチヤ一トで ある。 なお、 パリティ検査行列生成部 30については、 パリティ検査行列生成部 10と同様に動作するのでその説明を省略する。 また、 本実施の形態におけるパ リティ検査行列生成処理は、 たとえば、 設定されるパラメータに応じてパリティ 検査行列生成部 10で実行する構成としてもよいし、 通信装置外部の他の制御装 置 （計算機等） で実行することとしてもよい。 本実施の形態におけるパリティ検 查行列生成処理が通信装置外部で実行される場合は、 生成済みのパリティ検査行 列が通信装置に格納される。 以降の実施の形態では、 パリティ検查行列生成部 1 0で上記処理を実行する場合について説明する。

まず、 パリティ検査行列生成部 1 0では、 「I r r e g u l a r—LDP C符 号」 用検査行列のベースとなる有限ァフィン幾何符号 AG (2， 2 ^s) を選択する (第 3図、 ステップ S 2 1) 。 ここでは、行の重みと列の重みがそれぞれ 2^sとな る。 第 4図は、 たとえば、 有限ァフィン幾何符号 AG (2, 2²) のマトリクスを 示す図 （空白は◦を表す） である。

つぎに、 パリティ検査行列生成部 1 0では、 列の重みの最大値 _ri (2 < r j≤ 2^s) を決定する （ステップ S 22) 。 そして、 符号化率 r a t e (1シンドロー ム長 Z鍵の長さ） を決定する （ステップ S 2 2) 。

つぎに、 パリティ検査行列生成部 1 0では、 ガウス近似法 （Gaussian Approxi mat ion) による最適化を用いて、 暫定的に、 列の重み配分 λ ( _i) と行の重み配 分 /0_Uを求める （ステップ S 2 3) 。 なお、 行の重み配分の生成関数 p (X) は p (x) ^ _{P u}x^+ ( 1 - p _u) x^uとする。 また、 重み uは u≥ 2の整数であり、 ' _Puは行における重み uの割合を表す。

つぎに、 パリティ検査行列生成部 1 0では、 有限ァフィン幾何の行の分割によ り構成可能な、 行の重み {u, u+ 1 } を選択し、 さらに （1 ) 式を満たす分割 係数 {b_u, b_u+1} を求める （ステップ S 24) 。 なお、 b_u, b_u+1は非負の整数と する。

b_u+b_u+1 (u+ 1) = 2^S … ( 1)

具体的には、 下記 （2) 式から b_uを求め、 上記 （1) 式から b_u+Iを求める。

つぎに、 パリティ検査行列生成部 1 0では、 上記決定したパラメータ u, u + 1 , b_u, b_u+1によって更新された行の重みの比率 ， p_u+ を （3) 式により 求める （ステップ S 2 5) 。 ux b,

υ =

2^s

(3)

つぎに、 パリティ検查行列生成部 1 oでは、 ガウス近 法による最適化を用い て、 さらに上記で求めた u， u+ l， p , ;O _u+ を固定のパラメータとして、 暫定的に、 列の重み配分 λ ( i) を求める （ステップ S 26) 。 なお、 重み _7i は γ 2の整数であり、 え （γ は列における重み _7iの割合を表す。 また、 列 数が 1以下となる重み （え ≤7i w_t, iは正の整数） を候補から削除す る。 ただし、 w_tは AG (2， 2^s) に含まれる 1の総数を表す。

つぎに、 上記で求めた重み配分を満たし、 かつ下記 （4) 式を満たす、 列の重 み候補のセット い γ₂， ···, 7! ( j≤ ^s) } を選択する （ステップ S 27) 。 そして、 下記の （4) 式を満たさない列の重み τ/iが存在する場合には、 その列 の重みを候補から削除する。

なお、 各 aは、 列の重み 2 ^sを構成するための {γい γ₂, ···, y ,} に対する非 負の整数となる係数を表し、 i , jは正の整数であり、 は列の重みを表し、 Ί iは列の最大重みを表す。

つぎに、 パリティ検査行列生成部 10では、 ガウス近似法による最適化を用い て、 さらに上記で求めた u， u+ 1, p_u' , p_u+ と い Ύ₂> …， Ύι) を固 定パラメータとして、 列の重み配分； L と行の重み配分 _Puを求める （ステ ップ S 28) 。

つぎに、 ノ^ティ検査行列生成部 10では、 分割処理を行う前に、 列の重み配 分; L と行の重み配分/ o_uを調整する （ステップ S 29) 。 なお、 調整後の 各重みの配分は、可能な限りガウス近似法で求めた値に近い値にする。第 5図は、 ステップ S 29における最終的な列の重み配分； L ( _{Ύ ί}) と行の重み配分 を示 す図である。 また、 η (γ^ は重み単位の総列数を表し、 n_uは重み単位の総行 数を表す。

最後に、 ノ、 °リティ検查行列生成部 10では、 上記処理で求めた各重み配分に基 づいて、 有限ァフィン幾何における行および列を分割し （ステップ S 30) 、 n X kのパリティ検査行列 Hを生成する。 本発明における有限ァフィン幾何符号の 分割処理は、 各行または各列から 「1」 をランダムに抽出し、 不規則に分割 （ラ ンダム分割） する。 なお、 この抽出処理は、 ランダム性が保持されるのであれば どのような方法を用いてもよい。

このように、 本実施の形態では、 たとえば、 上記有限ァフィン幾何に基づく 「

I r r e g u 1 a r一 LDP C符号」 用検査行列の構成法 （第 2図、 ステップ S 1) を実行することによって、 確定的で特性が安定した 「 I r r e g u l a r— LDPC符号」 用の検査行列 H (nXk) を生成した。 なお、 本実施の形態にお いては、 基本となる符号 （基本行列） に有限ァフィン幾何を用いることとした （ ステップ S 21) これに限らず、 「行と列の重みが一定」 かつ 「2部グラフ 上のサイクル数が 6以上」 という条件を満たす行列であれば、 有限ァフィン幾何 以外 （C a y 1 e yグラフによる基本行列や R a m a n u j a nグラフによる基 本行列等） の行列を用レ、ることとしてもよい。 また、 本実施の形態では、 一例と して、 上記ステップ S 21〜S 29を用いて有限ァフィン幾何に基づく 「I r r e g u 1 a r一 LDPC符号」 用検査行列を生成したが、 上記ステップ S 1およ ぴ S 1 1で生成する検査行列 Hについてはこれに限らず、 上記以外の構成法で生 成することとしてもよい。

上記のように、 パリティ検查行列 Hを生成し、 その後'、 生成行列 G， G— ¹ (G- ^J- G= I ：単位行列） を生成後、 つぎに、 送信側の通信装置では、 乱数発生部 1 1力 乱数列である情報 m_a (1, 0の列：送信データ） を発生し、 さらに送信コ ード （+：水平垂直方向に偏光された光を識別可能な測定器に対応したコード， X ：斜め方向に偏光された光を識別可能な測定器に対応したコード） をランダム に決定する （ステップ S 2 ) 。 一方、 受信側の装置では、 乱数発生部 3 1が、 受 信コード （+：水平垂直方向に偏光された光を識別可能な測定器に対応したコー ド， X ：斜め方向に偏光された光を識別可能な測定器に対応したコード） をラン ダムに決定する （ステップ S 1 2 ) 。

つぎに、送信側の通信装置では、 光子生成部 1 2力 S、 上記情報 m_aと送信コード の組み合わせで自動的に決まる偏光方向で光子を送信する （ステップ S 3 ) 。 た とえば、 0と +の組み合わせで水平方向に偏光された光を、 1と +の組み合わせ で垂直方向に偏光された光を、 0と Xの組み合わせで 4 5 ° 方向に偏光された光 を、 1と Xの組み合わせで 1 3 5 ° 方向に偏光された光を、 量子通信路にそれぞ れ送信する （送信信号） 。

光子生成部 1 2の光信号を受け取った受信側の通信装置の光子受信部 3 2では、 量子通信路上の光を測定する （受信信号） 。 そして、 受信コードと受信信号の組 み合わせによって自動的に決まる情報 m_b ( 1 , 0の列：受信データ） を得る （ス テツプ S 1 3 ) 。 ここでは、 受信データ i¾として、 水平方向に偏光された光と + の組み合わせで 0を、 垂直方向に偏光された光と十の組み合わせで 1を、 4 5 ° 方向に偏光された光と Xの組み合わせで 0を、 1 3 5 ° 方向に偏光された光と X の組み合わせで 0を、 それぞれ得る。 なお、 受信データ m_bは、 確率情報付きの硬 判定値とする。

つぎに、 受信側の通信装置では、 上記測定が正しい測定器で行われたものかど うかを調べるために、乱数発生部 3 1が、受信コードを、公開通信路通信部 3 4， 公開通信路を介して送信側の通信装置に対して送信する （ステップ S 1 3 ) 。 受 信コードを受け取った送信側の通信装置では、 乱数発生部 1 1力 上記測定が正 しい測定器で行われたものかどうかを調べ、その結果を、公開通信路通信部 1 3 , 公開通信路を介して受信側の通信装置に対して送信する （ステップ S 3 ) 。 そし て、 受信側の通信装置および送信側の通信装置では、 正しい測定器で受信した受 信信号に対応するデータだけを残し、その他を捨てる（ステップ S 3 , S 1 3 )。 • その後、 残ったデータをメモリ等に保存し、 その先頭から順に nビットを読み出 し、 これを、 正式な送信データ m_Aと受信データ m_B (m_Bは伝送路上で雑音等の影 響を受けた m_A： m_B=m_A+ e (雑音等） ）， とする。 これにより、 残ったデータの ビット位置が、送信側の通信装置と受信側の通信装置との間で共有できる。なお、 受信データ m_Bは、 上記 m_b同様、 確率情報付きの硬判定値である。

つぎに、 送信側の通信装置では、 シンドローム生成部 1 4力 S、 パリティ検查行 列 H ( n X kの行列） と送信データ m_Aを用いて m_Aのシンドローム S _A==Hm_Aを計 算し、 その結果を、 公開通信路通信部 1 3， 公開通信路を介して受信側の通信装 置に通知する （ステップ S 4 ) 。 この段階で、 m_Aのシンドローム S_A ( kビット 分の情報） は盗聴者に知られる可能性がある。 第 6図は、 送信側の通信装置が受 信側の通信装置に対して送信するシンドローム S _Aを示す図である。一方、受信側 の通信装置では、 公開通信路通信部 3 4にて m_Aのシンドローム S_Aを受信し、 そ れをシンドローム復号部 3 3に通知する (ステップ S 1 4 ) 。

つぎに、 シンドローム復号部 3 3では、 既知のシンドローム復号法を用いて、 雑音等による確率情報付きの硬判定値 m_Bの誤りを訂正することによって元の送 信データ m_Aを推定する （ステップ S 1 5 ) 。 本実施の形態では、 たとえば、 「S A= Hm_c」 を満たす m_cを確率情報付きの硬判定値 m_Bから推定し、 その推定結果 m cを共有情報 m_Aとする。 なお、 本実施の形態においては、 受信データ m_Bおよび m_b を確率情報付きの硬判定値としたが、 これに限らず、 たとえば、 軟判定値とした 場合においても適用可能であり、 どのような受信データを利用するかについては 特に規定しない。

そして、ステップ S 1 5の処理によって硬判定値 m_Bの誤りを完全に訂正できた 場合 （ステップ S 1 5， O K) 、 受信側の通信装置では、 共有鍵生成部 3 5が、 公開された誤り訂正情報 （盗聴された可能性のある上記 kビット分の情報： S _A ) に応じて共有情報 m_Aの一部を捨てて、 n— kビット分の情報量を備えた暗号鍵 rを生成する （ステップ S 1 6 ) 。 すなわち、 共有鍵生成部 3 5では、 先に計算 しておいた G-¹ (n X (n-k) の行列） を用いて下記 （5) 式により暗号鍵 r を生成する。 受信側の通信装置は、 この暗号鍵 rを送信側の通信装置との共有鍵 とする。

r =0^πι_Α … (5)

また、 送信側の通信装置においては、 ステップ S 15の処理によつて硬判定値 m_Bの誤りが完全に訂正され、新たなシンドローム要求がない場合（ステップ S 5 ， Ye s) 、 共有鍵生成部 15が、 公開された誤り訂正情報 （盗聴された可能性 のある上記 kビット分の情報： S_A) に応じて共有情報 m_Aの一部を捨てて、 n— kビット分の情報量を備えた暗号鍵 rを生成する （ステップ S 6) 。 すなわち、 共有鍵生成部 15でも、 先に計算しておいた G—¹ (n X (n-k) の行列） を用 いて上記 （5) 式により暗号鍵 rを生成する （ステップ S 6) 。 送信側の通信装 置は、 この暗号鍵 rを受信側の通信装置との共有鍵とする。

なお、 本実施の形態においては、 さらに、 正則なランダム行列 Rを用いて上記 共有鍵を並べ替える構成としてもよい。 これにより、 秘匿性を増強させることが できる。 具体的には、 まず、 送信側の通信装置が、 正則なランダム行列 R ( (n 一 k) X (n-k) の行列） を生成し、 さらに、 当該 Rを、 公開通信路を介して 受信側の通信装置に通知する。 なお、 この処理は、 受信側の通信装置で行うこと としてもよレ、。 その後、 送信側および受信側の通信装置が、 先に計算しておいた G"¹ (n X (n-k) の行列） とランダム行列 Rを用いて下記 （6) 式により暗 号鍵 rを生成する。

r =RG"¹m_A … (6)

一方、ステップ S 15の処理によって硬判定値 m_Bの誤りを完全に訂正できなか つた場合 （ステップ S 1 5, NG) 、 受信側の通信装置のシンドローム復号部 3 3では、 公開通信路通信部 34, 公開通信路を介して送信側の通信装置にシンド ローム要求を通知する （ステップ S 17) 。 そして、 パリティ検査行列生成部 3 0では、 上記第 3図に示す方法またはそれとは異なる既知の方法によりパリティ 検查行列 H一 (n X (k+ t) の行列） を生成し、 その後、 このパリティ検査行 列 から 「H' G' =0」 を満たす生成行列 G '， G"¹' (G— · G ' = I ： 単位行列） を生成する （ステップ S 18) 。 この場合、 パリティ検査行列 H一は 、 「上記ステップ S 4で生成したシンドローム S_Aを保持する」 という拘束条件の 下で生成する。 第 7図は、 本実施の形態のパリティ検査行列生成方法を示す図で ある。 なお、 tのサイズは、 システムの要求条件に依存する。 たとえば、 tのサ ィズを小さくした場合には、 誤り訂正処理の回数を増加させてしまう可能性があ る力 s、一方で、鍵の生成率が向上する。また、 tのサイズを大きくした場合には、 誤り訂正処理の回数を低減できるが、 一方で、 鍵の生成率が低下する。

つぎに、 シンドローム要求を受け取った （ステップ S 5， No) 送信側の通信 装置のパリティ検査行列生成部 10においても、 上記第 3図に示す方法またはそ れとは異なる既知の方法によりパリティ検查行列 H , (n X (k+t) の行列） を生成し、 その後、 このパリティ検査行列 HTから 「 T G' =0」 を満たす生 成行列 G一， G— (G"¹ ' · G ' = I ：単位行列） を生成する （ステップ S 7) 。 この場合のパリティ検査行列 H 'も、 上記同様、 「上記ステップ S 4で生成し たシンドローム S _Aを保持する」 という拘束条件の下で生成する。

つぎに、 送信側の通信装置では、 シンドローム生成部 14が、 パリティ検査行 列 (n X (k+ t) の行列） と送信データ m_Aを用いて第 7図に示す t行分の シンドローム S を計算し、 その結果を、公開通信路通信部 13, 公開通信路を 介して受信側の通信装置に通知する （ステップ S 8) 。 なお、 この段階で、 シン ドローム S_A' (tビット分の情報） は盗聴者に知られる可能性がある。 そして、 受信側の通信装置では、公開通信路通信部 34にて t行分のシンドローム S_A 'を 受信し、 それをシンドローム復号部 33に通知する （ステップ S 19) 。

つぎに、 シンドローム復号部 33では、 上記既知のシンドローム復号法を用い て、 確率情報付きの硬判定値 m_Bの誤りを訂正し、 再度、 元の送信データ m_Aを推 定する （ステップ S 15) 。

以降、 本実施の形態の受信側の通信装置においては、 ステップ S 15の処理に より硬判定値 m_Bの誤りを完全に訂正できるまで、パリティ検査行列の行数を増や しながらステップ S 1 7〜S 1 9の処理を繰り返し実行し、 誤りを完全に訂正で きた段階で、 共有鍵生成部 35が、 公開された誤り訂正情報 （たとえば、 盗聴さ れた可能性のある上記 k + tビット分の情報： S _A+ S (第 7図参照） ） に応 じて共有情報 m_Aの一部を捨てて、 たとえば、 n— k— t, n-k- 2 t , η— k -3 t, …ビット分の情報量を備えた暗号鍵 rを生成する （ステップ S 16) 。 受信側の通信装置は、 この暗号鍵 rを送信側の通信装置との共有鍵とする。

また、 本実施の形態の送信側の通信装置においては、 新たなシンドローム要求 が通知されなくなるまでノ リティ検查行列の行数を増やしながらステップ S 7 , S 8の処理を繰り返し実行し、 新たなシンドローム要求が通知されなくなった段 階で、 共有鍵生成部 15が、 公開された誤り訂正情報 （たとえば、 盗聴された可 能性のある上記 k+ tビット分の情報： S_A+S （第 7図参照） ） に応じて共 有情報 m_Aの一部を捨てて、 たとえば、 n— k_ t, n-k-2 t, n— k一 3 t ， …ビット分の情報量を備えた暗号鍵 rを生成する （ステップ S 6) 。 送信側の 通信装置は、 この暗号鍵 rを受信側の通信装置との共有鍵とする。

このように、 本実施の形態おいては、 確定的で特性が安定した 「I r r e g u 1 a r _LDPC符号」 用の検査行列を用いて受信データの誤りを訂正し、 公開 された誤り訂正情報に応じて共有情報の一部を捨てる構成とした。 これにより、 エラービットを特定/訂正するための膨大な回数のパリティのやりとりがなくな り、 誤り訂正情報を送信するだけで誤り訂正制御が行われるため、 誤り訂正処理 にかかる時間を大幅に短縮できる。 また、 公開された情報に応じて共有情報の一 部を捨てているので、高度に安全性の保証された共通鍵を生成することができる。 また、 本実施の形態おいては、 受信データの誤りを完全に訂正できるまで、 所 定の拘束条件の下でパリティ検査行列の行数を増やしながら、 誤り訂正処理を繰 り返し実行する構成とした。 これにより、 通信路の雑音レベルを見積もるために 生成した共有情報を破棄する必要がなくなるので、 共有鍵の生成効率を大幅に向 上させることができる。

実施の形態 2. つづいて、 実施の形態 2の量子鍵配送方法について説明する。 なお、 送信側の 通信装置および受信側の通信装置の構成については、 先に説明した実施の形態 1 の構成と同様であるため、 同一の符号を付してその説明を省略する。

第 8図は、上記ステップ S 1 5の処理によって硬判定値 m_Bの誤りを完全に訂正 できなかった場合の、 実施の形態 2の動作を示す図である。 ここでは、 第 2図を 用いて、 本実施の形態の特徴的な動作であるステップ S 1 7〜S 1 9， S 7 , S 8の処理について説明する。

たとえば、ステップ S 1 5の処理によつて硬判定値 m_Bの誤りを完全に訂正でき なかった場合 （ステップ S 1 5， N G) 、 その誤りを完全に訂正するために、 受 信側の通信装置のシンドローム復号部 3 3では、 .公開通信路通信部 3 4 , 公開通 信路を介して送信側の通信装置にシンドローム要求を通知する （ステップ S 1 7 そして、 ノ、。リティ検査行列生成部 3 0では、 パリティ検査行列 Hを保持した状 態で、 第 8図に示すように、 t行分の行列 H ' ' ( i X tの行列） を追加生成し 、 その後、 元のパリティ検査行列 Hと行列 H ' 'とを組み合わせた行列 H ' ( n X ( k + t ) の行列） から 「H ' G ' = 0」 を満たす生成行列 G一， G— （G- 1 · G ' = I ：単位行列） を生成する （ステップ S 1 8 ) 。 この場合、 行列 H ' ' 'の重み配分は、 「パリティ検査行列 H 'が r a n k H ' = k + tとなること （ 線形独立であること） 」 , 「パリティ検査行列 H が元のパリティ検查行列 Hを 保持すること」 という拘束条件の下で、 上記第 3図に示す方法またはそれとは異 なる既知の方法により生成する。 なお、 tのサイズは、 システムの要求条件に依 存する。 たとえば、 tのサイズを小さくした場合には、 誤り訂正処理の回数を増 加させてしまう可能性があるが、 一方で、 鍵の生成率が向上する。 また、 tのサ ィズを大きくした場合には、 誤り訂正処理の回数を低減できるが、 一方で、 鍵の 生成率が低下する。

また、 シンドローム要求を受け取った （ステップ S 5， N o ) 送信側の通信装 置のパリティ検査行列生成部 1 0においても、 上記と同様の処理で、 パリティ検 查行列 Hを保持した状態で t行分の行列] H ' 'を追加生成し （第 8図参照） 、 そ の後、 元のパリティ検査行列 Hと行列 H とを組み合わせた行列 H 'から 「H 一 G ' = 0」 を満たす生成行列 G ' , G— （G— · G ' = I ：単位行列） を生 成する （ステップ S 7) 。

つぎに、 送信側の通信装置では、 シンドローム生成部 14が、 パリティ検査行 列 H 'と送信データ m_Aを用いて第 8図に示す t行分のシンドローム S_A 'を計算 し、 その結果を、 公開通信路通信部 13, 公開通信路を介して受信側の通信装置 に通知する （ステップ S 8) 。 なお、 この段階で、 シンドローム S （tビット 分の情報） は盗聴者に知られる可能性がある。 そして、 受信側の通信装置では、 公開通信路通信部 34にて t行分のシンドローム S を受信し、それをシンドロ 一ム復号部 33に通知する （ステップ S 19) 。

つぎに、 シンドローム復号部 33では、 既知のシンドローム復号法を用いて、 確率情報付きの硬判定値 m_Bの誤りを訂正し、 再度、 元の送信データ m_Aを推定す る （ステップ S 15) 。 本実施の形態では、 たとえば、 「 （S_A+S ) =H " m_cj を満たす m_cを確率情報付きの硬判定値 m_Bから推定し、 その推定結果 m_cを共 有情報 m_Aとする。

以降、 本実施の形態の受信側の通信装置においては、 ステップ S 15の処理に より硬判定値 m_Bの誤りを完全に訂正できるまで、パリティ検査行列の行数を増や しながらステップ S 17〜S 19の処理を繰り返し実行し、 誤りを完全に訂正で きた段階で、 共有鍵生成部 35が、 公開された誤り訂正情報 （たとえば、 盗聴さ れた可能性のある上記 k+ tビット分の情報： S_A+S (第 8図参照） ) に応 じて共有情報 m_Aの一部を捨てて、 たとえば、 n— k— t, n-k-2 t, n-k 一 3 t， …ビット分の情報量を備えた暗号鍵 rを生成する （ステップ S 16) 。 受信側の通信装置は、 この暗号鍵 rを送信側の通信装置との共有鍵とする。

また、 本実施の形態の送信側の通信装置においては、 新たなシンドローム要求 が通知されなくなるまでノ^ティ検査行列の行数を増やしながらステップ S 7 , S 8の処理を繰り返し実行し、 新たなシンドローム要求が通知されなくなった段 階で、 共有鍵生成部 1 5が、 公開された誤り訂正情報 （たとえば、 盗聴された可 能性のある上記 k + tビット分の情報： S _A+ S (第 8図参照） ） に応じて共 有情報 m_Aの一部を捨てて、 たとえば、 n— k— t， n - k - 2 t , n— k一 3 t ， …ビット分の情報量を備えた暗号鏈 rを生成する （ステップ S 6 ) 。 送信側の 通信装置は、 この暗号鍵 rを受信側の通信装置との共有鍵とする。

このように、 本実施の形態おいては、 実施の形態 1と同様に、 受信データの誤 りを完全に訂正できるまで、 所定の拘束条件の下でパリティ検査行列の行数を増 やしながら、 誤り訂正処理を繰り返し実行する構成とした。 これにより、 通信路 の雑音レベルを見積もるために生成した共有情報を破棄する必要がなくなるので、 共有鍵の生成効率を大幅に向上させることができる。

実施の形態 3 .

つづいて、 実施の形態 3の量子鍵配送方法について説明する。 実施の形態 1お よび 2では、公開された誤り訂正情報に応じて共有情報 m_Aの一部を捨てて暗号鍵 rを生成していた。 すなわち、 誤り訂正処理の繰り返す毎に、 暗号鍵 rの鍵長が 短くなつていた。 これに対して、 本実施の形態では、 下記の処理によって常に一 定長の暗号鍵 rを生成する。 なお、 送信側の通信装置および受信側の通信装置の 構成については、 先に説明した実施の形態 1の構成と同様であるため、 同一の符 号を付してその説明を省略する。

第 9図は、上記ステップ S 1 5の処理によって硬判定値 m_Bの誤りを完全に訂正 できなかった場合の、 実施の形態 3の動作を示す図である。 ここでは、 第 2図を 用いて、 本実施の形態の特徴的な動作であるステップ S 1 7〜S 1 9 , S 7 , S 8の処理について説明する。

たとえば、ステップ S 1 5の処理によって硬判定値 m_Bの誤りを完全に訂正でき なかった場合 （ステップ S 1 5， N G) 、 その誤りを完全に訂正するために、 受 信側の通信装置のシンドローム復号部 3 3では、 公開通信路通信部 3 4， 公開通 信路を介して送信側の通信装置にシンドローム要求を通知する （ステップ S 1 7

) o そして、 パリティ検査行列生成部 30では、 パリティ検査行列 Hを保持した状 態で、 第 9図に示すように、 t行分の行列 ' ' ( (n+ t) X tの行列） を 追加生成し、 その後、 元のパリティ検査行列 Hと t列分の 0行列 （ t X kの 0行 歹 IJ) と上記行列 H' " 一とを組み合わせた行列 H ' ( (n+ t) X (k+ t) の 行列） から、 「H ' G ' = 0」 を満たす生成行列 G '， G"¹ ' (G— ¹ ' · G ' = I ：単位行列） を生成する （ステップ S 18) 。 この場合、 行列 ' 'の重み配 分は、 「パリティ検查行列 H 'が r a nkET =k+ tとなること （線形独立で あること） 」 ， 「パリティ検査行列 H 'が元のパリティ検査行列 Hを保持するこ と」 という拘束条件の下で、 上記第 3図に示す方法またはそれとは異なる既知の 方法により生成する。 なお、 tのサイズは、 システムの要求条件に依存する。 ま た、 上記 t列分の 0行列は、 ±記拘束条件を満たせるのであれば、 必ずしも 0行 列である必要はない。

また、 シンドローム要求を受け取った (ステップ S 5， No) 送信側の通信装 置のパリティ検查行列生成部 10においても、 上記と同様の処理で、 パリティ検 查行列 Hを保持した状態で t行分の行列 H ' 'を追加^成し （第 9図参照） 、 その後、 元のパリティ検査行列 Hと t列分の 0行列と上記行列 H ' ' 'とを組み 合わせた行列 H一から 「H G 0」 を満たす生成行列 G ' , G— ¹ ' (G— ¹ ' · G ' = I ：単位行列） を生成する （ステップ S 7) 。

つぎに、 送信側の通信装置では、 シンドローム生成部 14が、 ステップ S 3の 処理でメモリ等に保存されている tビット分の送信データ m を読み出し、当該 送信データ m と送信データ m_Aとパリティ検査行列 H,とを用いて第 9図に示 す t行分のシンドローム S_A'を計算し、 その結果を、 公開通信路通信部 13, 公 開通信路を介して受信側の通信装置に通知する （ステップ S 8) 。 そして、 受信 側の通信装置では、公開通信路通信部 34にて t行分のシンドローム S を受信 し、 それをシンドローム復号部 33に通知する （ステップ S 1 9) 。 なお、 この 段階で、 シンドローム S (tビット分の情報） は盗聴者に知られる可能性があ る。 つぎに、 シンドローム復号部 3 3では、 ステップ S 1 3の処理でメモリ等に保 存されている tビット分の受信データ を読み出し、既知のシンドローム復号 法を用いて、 確率情報付きの硬判定値 m_Bと受信データ m の誤りを訂正し、 元 の送信データ m_Aと送信データ m を推定する （ステップ S 1 5 ) 。 本実施の形 態では、 たとえば、 「 （S _A+ S ) =H ' m_cJ を満たす m_cを確率情報付きの硬 判定値 m_Bと受信データ m ^から推定し、 その推定結果 m_cを共有情報 m_Aとする。 以降、 本実施の形態の受信側の通信装置においては、 ステップ S 1 5の処理に より硬判定値 m_Bの誤りを完全に訂正できるまで、ノ、。リティ検査行列の行数およぴ 列数を増やしながらステップ S 1 7〜 S 1 9の処理を繰り返し実行し、 誤りを完 全に訂正できた段階で、 共有鍵生成部 3 5が、 公開された誤り訂正情報'（たとえ ば、 盗聴された可能性のある上記 k + tビット分の情報： S _A+ S (第 9図参 照） ) に応じて共有情報 （m_A+m ） の一部を捨てて、 常に一定の n— kビッ ト分の情報量を備えた暗号鍵 rを生成する （ステップ S 1 6 ) 。 受信側の通信装 置は、 この暗号鍵 rを送信側の通信装置との共有鍵とする。

また、'本実施の形態の送信側の通信装置においては、 新たなシンドローム要求 が通知されなくなるまで、 ノ リティ検査行列の行数および列数を増やしながらス テツプ S 7 ， S 8の処理を繰り返し実行し、 新たなシンドローム要求が通知され なくなった段階で、 共有鍵生成部 1 5が、 公開された誤り訂正情報 （たとえば、 盗聴された可能性のある上記 k + tビット分の情報： S _A+ S （第 9図参照） ) に応じて共有情報 （m_A+ m ) の一部を捨てて、 常に一定の n— kビット分 の情報量を備えた暗号鍵 rを生成する （ステップ S 6 ) 。 送信側の通信装置は、 この暗号鍵 rを受信側の通信装置との共有鍵とする。

このように、 本実施の形態においては、 受信データの誤りを完全に訂正できる まで、所定の拘束条件の下でパリティ検査行列の行数およぴ列数を増やしながら、 誤り訂正処理を繰り返し実行する構成とした。 これにより、 通信路の雑音レベル を見積もるために生成した共有情報を破棄する必要がなくなるので、 共有鍵の生 成効率を大幅に向上させることができる。 さらに、 常に一定の情報量を備えた暗 号鍵を得ることができる。 .

以上、 説明したとおり、 本発明によれば、 確定的なパリティ検査行列を用いて 受信データの誤りを訂正し、 公開された誤り訂正情報に応じて共有情報の一部を 捨てる構成とした。 これにより、 エラービットを特定/訂正するための膨大な回 数のパリティのやりとりがなくなるため、 誤り訂正処理にかかる時間を大幅に短 縮できる、 という効果を奏する。 また、 公開された情報に応じて共有情報の一部 を捨てているので、 高度に安全性の保証された共通鍵を生成することができる、 という効果を奏する。 また、 受信データの誤りを完全に訂正できるまで、 所定の 拘束条件の下でパリティ検査行列の行数を増やしながら、 誤り訂正処理を繰り返 し実行する構成とした。 これにより、 通信路の雑音レベルを見積もるために生成 した共有情報を破棄する必要がなくなるので、 共有鍵の生成効率を大幅に向上さ せることができる、 という効果を奏する。 産業上の利用可能性

以上のように、 本発明にかかる量子鍵配送方法および通信装置は、 高度に安全 性の保証された共通鍵を生成する技術として有用であり、 特に、 盗聴者が存在す る可能性のある伝送路上の通信に適している。

Claims

請 求 の 範 囲

1 . 量子通信路上の光子の測定結果として得られる確率情報付きの受信データ の誤りを訂正することによつて元の送信データを推定し、 その推定結果を共有情 ·報とする量子鍵配送方法において、

送信側および受信側の通信装置が、 個別に第 1のパリティ検査行列 （要素が 「 0」 または 「1」 の同一め行列） を生成する第 1の検査行列生成ステップと、 前記送信側の通信装置が、 前記第 1のパリティ検査行列と前記送信データに基 づいて生成した第 1の誤り訂正情報を、 公開通信路を介して前記受信側の通信装 置に通知する第 1の誤り訂正情報通知ステップと、

前記受信側の通信装置が、 前記第 1の誤り訂正情報に基づいて前記受信データ の誤りを訂正する第 1の誤り訂正ステップと、

前記受信データの誤りを完全に訂正できなかった場合に、 受信側および送信側 の通信装置が、 前回の誤り訂正情報が次の誤り訂正時における情報の一部となる ように、 個別に第 2のパリティ検査行列 （要素が 「0」 または 「1」 の同一の行 列） を生成する第 2の検査行列生成ステツプと、

前記送信側の通信装置が、 前記第 2のパリティ検査行列と前記送信データに基 づレ、て生成した追加分の第 2の誤り訂正情報を、 公開通信路を介して前記受信側 の通信装置に通知する第 2の誤り訂正情報通知ステップと、

前記受信側の通信装置が、 前記第 1およぴ第 2の誤り訂正情報に基づいて前記 受信データの誤りを訂正する第 2の誤り訂正ステップと、

前記第 1の誤り訂正ステップの処理で受信データの誤りを完全に訂正できた場 合、 または、 前記第 2の検査行列生成ステップ、 前記第 2の誤り訂正情報通知ス テップ、 前記第 2の誤り訂正ステツプの処理を繰り返し実行することにより誤り を完全に訂正できた場合、 公開された誤り訂正情報量に応じて共有情報の一部を 破棄し、 その結果を暗号鍵とする暗号鍵生成：

を含むことを特徴とする量子鍵配送方法。

2 . 前記第 2の検査行列生成」

「前回の誤り訂正情報が次の誤り訂正時における情報の一部となること」 、 「 第 1のノ、。リティ検査行列の列数二第 2のパリティ検査行列の列数」 、 「第 1のパ リティ検査行列の行数く第 2のパリティ検査行列の行数」という拘束条件の下で、 前記第 1のパリティ検査行列を含まない新たな第 2のパリティ検査行列を生成す ることを特徴とする請求の範囲第 1項に記載の量子鍵配送方法。

3 . 前記第 2の検査行列生成二

「前回の誤り訂正情報が次の誤り訂正時における情報の一部となること」 、 「 線形独立であること」 、 「第 1のパリティ検査行列を含むこと」 、 「第 1のパリ ティ検查行列の列数 =第 2のノ リティ検査行列の列数」 、 「第 1のパリティ検査 行列の行数く第 2のパリティ検査行列の行数」 という拘束条件の下で、 前記第 1 のパリティ検査行列を含む第 2のパリティ検查行列を生成することを特徴とする 請求の範囲第 1項に記載の量子鍵配送方法。

4 . 前記第 2の検查行列生成二

「前回の誤り訂正情報が次の誤り訂正時における情報の一部となること」 、 「 線形独立であること」 、 「第 1のパリティ検査行列を含むこと」 、 「第 1のパリ ティ検査行列の列数 <第 2のパリティ検査行列の列数」 、 「第 1のパリティ検査 行列の行数く第 2のパリティ検查行列の行数」 という拘束条件の下で、 前記第 1 のパリティ検査行列を含む第 2のパリティ検査行列を生成し、

前記第 2の誤り訂正情報通知ステップでは、

前記第 2のパリティ検査行列と前記送信データと、 さらに前記第 2のパリティ 検査行列の列数増加分に応じて追加される送信データに基づいて、 前記第 2の誤 り訂正情報を生成し、 その生成結果を、 公開通信路を介して前記受信側の通信装 置に通知し、 前記第 2の誤り訂正ステップでは、

前記第 1および第 2の誤り訂正情報に基づいて、 前記受信データの誤りと前記 追加送信データに対応する受信データの誤りを訂正することを特徴とする請求の 範囲第 1項に記載の量子鍵配送方法。

5 . 量子通信路上の光子の測定結果として得られる確率情報付きの受信データ の誤りを訂正することによって元の送信データを推定し、 その推定結果を送信側 の通信装置との共有情報とする受信側の通信装置において、

予め生成しておいた送信側の通信装置と同一の第 1のパリティ検査行列 （要素 が 「0」 または 「1」 の行列） 、 前記送信側の通信装置から公開通信路を介して 受け取った前記第 1のパリティ検査行列と前記送信データに基づく第 1の誤り訂 正情報、 に基づいて、 前記受信データの誤りを訂正する第 1の復号手段と、 前記受信データの誤りを完全に訂正できなかった場合に、 前回の誤り訂正情報 が次の誤り訂正時における情報の一部となるように、 送信側の通信装置と同一の 第 2のパリティ検査行列 （要素が「0」 または「1」 の行列） を生成し、 その後、 前記第 1の誤り訂正情報、 および前記第 2のパリティ検査行列の生成により追加 される第 2の誤り訂正情報に基づいて、 前記受信データの誤りを訂正する第 2の 復号手段と、

受信データの誤りを完全に訂正できた場合に、 公開された誤り訂正情報量に応 じて共有情報の一部を破棄し、 その結果を暗号鍵とする暗号鍵生成手段と、 を備えることを特徴とする通信装置。

6 . 受信側の通信装置が量子通信路上の光子の測定結果として得られる確率情 報付きの受信データから元の送信データを推定した場合に、 その推定結果を受信 側の通信装置との共有情報とする送信側の通信装置において、

予め生成しておいた第 1のノ リティ検査行列と前記送信データに基づレ、て第 1 の誤り訂正情報を生成し、 その生成結果を、 公開通信路を介して前記受信側の通 信装置に通知する第 1の誤り訂正情報生成手段と、

前記受信側の通信装置にて受信データの誤りを完全に訂正できなかつた場合に、 前回の誤り訂正情報が次の誤り訂正時における情報の一部となるように、 前記受 信側の通信装置と同一の第 2のパリティ検査行列 （要素が 「0」 または 「1」 の 行歹 を生成し、 その後、 前記第 2のパリティ検査行列と前記送信データに基づ レ、て生成した追加分の第 2の誤り訂正情報を、 公開通信路を介して前記受信側の 通信装置に通知する第 2の誤り訂正情報生成手段と、

前記受信側の通信装置にて受信データの誤りを完全に訂正できた場合に、 公開 した誤り訂正情報量に応じて共有情報の一部を破棄し、 その結果を暗号鍵とする 暗号鍵生成手段と、

を備えることを特徴とする通信装置。