WO2005076519A1

WO2005076519A1 - 量子鍵配送方法および通信装置

Info

Publication number: WO2005076519A1
Application number: PCT/JP2004/001385
Authority: WO
Inventors: Wataru Matsumoto
Original assignee: Mitsubishi Denki Kabushiki Kaisha
Priority date: 2004-02-10
Filing date: 2004-02-10
Publication date: 2005-08-18
Also published as: EP1715615A1; EP1715615B1; CN1914851A; JP4554523B2; JPWO2005076519A1; US20080144833A1; US7881472B2; EP1715615A4

Abstract

本発明の量子鍵配送方法では、受信側の通信装置が、極めて高い誤り訂正能力をもつＬＤＰＣ符号用のパリティ検査行列を用いて誤り訂正を行うこととした。また、本発明の量子鍵配送方法では、送信側の通信装置が生成した巡回符号シンドロームと、誤り訂正後の推定語に基づいて生成した推定巡回符号シンドロームと、を比較し、前記推定語の誤り検出を行うこととした。

Description

量子鍵配送方法および通信装置

技術分野

本発明は、高度に安全性の保証された共通鍵を生成することが可能な量子鍵配送方法に関するものであり、特に、明誤り訂正符号を用いてデータ誤りを訂正可能な量子鍵配送方法および当該量子鍵配 1送を実現可能な通信装置に関するものであ田

る。

背景技術

以下、従来の量子暗号システムについて説明する。近年、高速大容量な通信技術として光通信が広く利用されているが、このような光通信システムでは、光のオン Zオフで通信が行われ、オンのときに大量の光子が送信されているため、量子効果が直接現れる通信系にはなっていない。

一方、量子暗号システムでは、通信媒体として光子を用い、不確定性原理等の量子効果が生じるように 1個の光子で 1ビットの情報を伝送する。このとき、盗聴者が、その偏光，位相等の量子状態を知らずに適当に基底を選んで光子を測定すると、その量子状態に変化が生じる。したがって、受信側では、この光子の量子状態の変化を確認することによって、伝送データが盗聴されたかどうかを認識することができる。

• 第 1 0図は、従来の偏光を利用した量子鍵配送の概要を示す図である。たとえば、水平垂直方向の偏光を識別可能な測定器では、量子通信路上の、水平方向（

0 ° ) に偏光された光と垂直方向（9 0 ° ) に偏光された光とを正しく識別する。一方、斜め方向（4 5 ° ， 1 3 5 ° ) の偏光を識別可能な測定器では、量子通信路上の、 4 5 ° 方向に偏光された光と 1 3 5 ° 方向に偏光された光とを正しく識別する。このように、各測定器は、規定された方向に偏光された光については正しく認識できるが、たとえば、斜め方向に偏光された光を水平垂直方向（0 ° , 9 0 ° ) の偏光を識另リ可能な測定器にて測定すると、水平方向と垂直方向に偏光された光をそれぞれ 5 0 %の確率でランダムに識別する。すなわち、識別可能な偏光方向に対応していない測定器を用いた場合には、その測定結果を解析しても、偏光された方向を正しく識別することができない。

第 1 0図に示す従来の量子鍵配送では、上記不確定性（ランダム性）を利用して、盗聴者に知られずに送信者と受信者との間で鍵を共有する（たとえば、非特許文献 1参照。）。なお、送信者および受信者は、量子通信路以外に公開通信路を使用することができる。

ここで、鍵の共有手順について説明する。まず、送信者は、乱数列（1， 0の列：送信データ）を発生し、さらに送信コード（+：水平垂直方向に偏光された光を識別可能な測定器に対応， X：斜め方向に偏光された光を識別可能な測定器に対応）をランダムに決定する。その乱数列と送信コードの組み合わせで、送信する光の偏光方向が自動的にきまる。ここでは、 0と +の組み合わせで水平方向に偏光された光を、 1と +の組み合わせで垂直方向に偏光された光を、 0と Xの組み合わせで 4 5 ° 方向に偏光された光を、 1と Xの IEみ合わせで 1 3 5 ° 方向に偏光された光を、量子通信路にそれぞれ送信する（送信信号）。

つぎに、受信者は、受信コード（+：水平垂直方向に偏光された光を識別可能な測定器， X ：斜め方向に偏光された光を識別可能な測定器）をランダムに決定し、量子通信路上の光を測定する（受信信号）。そして、受信コードと受信信号の組み合わせによって受信データをる。ここでは、受信データとして、水平方向に偏光された光と +の組み合わせで 0を、垂直方向に偏光された光と +の組み合わせで 1を、 4 5 ° 方向に偏光された光と Xの組み合わせで 0を、 1 3 5 ° 方向に偏光された光と Xの組み合わせで 1を、それぞれ得る。

つぎに、受信者は、自身の測定が正しい測定器で行われたものかどうかを調べるために、受信コードを、公開通信路を介して送信者に対して送信する。受信コードを受け取った送信者は、正し^測定器で行われたものかどうかを調べ、その結果を、公開通信路を介して受信者に対して返信する。

つぎに、受信者は、正しい測定器で受信した受信信号に対応する受信データだけを残し、その他を捨てる。この時点で、残された受信データは送信者と受信者との間で確実に共有できている。

つぎに、送信者と受信者は、それぞれの通信相手に対して、共有データから選択した所定数のデータを、公開通信路を経由して送信する。そして、受け取ったデータが自身の持つデータと一致しているかどうかを確認する。たとえば、確認したデータの中に一致しないデータが 1つでもあれば、盗聴者がいるものと判断して共有データを捨て、再度、鍵の共有手順を最初からやり直す。一方、確認したデータがすべて一致した場合には、盗聴者がいないと判断し、確認に使用したデータを捨て、残った共有データを送信者と受信者の共有鍵とする。

—方、上記従来の量子鍵配送方法の応用として、たとえば、伝送路上におけるデータ誤りを訂正可能な量子鍵配送方法がある（たとえば、非特許文献 2参照。 ) 。

この方法では、送信者が、データ誤りを検出するために、送信データを複数のプロックに分割し、ブロック毎のパリティを公開通信路上に送信する。そして、受信者が、公開通信路を経由して受け取ったプロック毎のパリティと受信データにおける対応するブロックのパリティとを比較して、データ誤りをチェックする。このとき、異なるパリティがあった場合、受信者は、どのブロックのパリティが異なっているのかを示す情報を公開通信路上に返信する。そして、送信者は、該当するブロックをさらに前半部のプロックと後半部のプロックに分割し、たとえば、前半部のパリティを公開通信路上に返信する（二分探索）。以降、送信者と受信者は、上記二分探索を繰り返し実行することによりエラービットの位置を特定し、最終的に受信者がそのビットを訂正する。

さらに、送信者は、データに誤りがあるにもかかわらず、偶数個の誤りのために正しいと判定されたパリティがある場合を想定し、送信データをランダムに並ベ替えて（ランダム置換）複数のブロックに分割し、再度、上記二分探索による誤り訂正処理を行う。そして、ランダム置換によるこの誤り訂正処理を繰り返し実行することによって、すべてのデータ誤りを訂正する。

非特許文献 1 .

Bennett, C. H. and Brassard, G.： Quantum Cryptography : PublicKey Distr ibution and Coin Tossing, In Proceedings of IEEE Conference onComputers, System and Signal Processing, Bangalore, India, pp. 175-179 (DEC. 1984) . 非特許文献 2 ·

Brassard, G. and Salvail, L. 1993 Secret-Key Reconciliation by Public Discussion, In Advances in Cryptology - EUROCRYPT' 93, Lecture Notes in C omputer Science 765, 410 - 423. しかしながら、上記第 1 0図に示す従来の量子鍵配送においては、誤り通信路を想定していないため、誤りがある場合には盗聴行為が存在したものとして上記共通データ（共通鍵）を捨てることとなり、伝送路によっては共通鍵の生成効率が非常に悪くなる、という問題があった。

また、上記伝送路上におけるデータ誤りを訂正可能な量子鍵配送方法においては、エラービットを特定するために膨大な回数のパリティのやりとりが発生し、さらに、ランダム置換による誤り訂正処理が所定回数にわたって行われるため、誤り訂正処理に多大な時間を費やすことになる、という問題があった。

本発明は、上記に鑑みてなされたものであって、極めて高い特性を持つ誤り訂正符号を用いて伝送路上におけるデータ誤りを訂正しつつ、高度に安全性の保証された共通鍵を生成することが可能な量子鍵配送方法を提供することを目的とする。

■

発明の開示

本発明にかかる量子鍵配送方法は、暗"^の元となる乱数列を所定の量子状態で量子通信路上に送信する送信側の通信装置と、当該量子通信路上の光子を測定する受信側の通信装置、で構成された量子暗号システムにおける量子鏈配送方法であって、たとえば、各通信装置が、同一のパリティ検査行列（要素が「0」または「1」の行列) を生成する検査行列生成ステップ (後述する実施の形態のステツプ S I , S 1 1に相当）と、前記送信側の通信装置が、誤り検出のための巡回符号（C R C ： Cyclic Redundancy check) を生成する巡回符号生成ステップ（ステップ S 2に相当）と、前記受信側の通信装置が、光方向を正しく識別可能な測定器で測定した結果として得られた確率情報付きの受信データを保持し、前記送信側の通信装置が、前記受信データに対応する送信データほ L数列の一部）を保持する送受信ステップ（ステップ S 3 , S 4 , S 1 2 , S 1 3に相当）と、前記送信側の通信装置が、前記パリティ検査行列および前記送信データに基づいて生成した誤り訂正情報と、前記巡回符号および前記送信データに基づいて生成した誤り検出情報と、を公開通信路を介して前記受信側の通信装置に通知する情報通知ステップ（ステップ S 5， S 1 4に相当）と、前記受信側の通信装置が、前記パリティ検査行列と前記確率情報付きの受信データと前記誤り訂正情報と前記誤り検出情報に基づいて、前記送信データを推定する送信データ推定ステップ（ステップ S 1 5に相当）と、前記各通信装置が、公開された情報量に応じて送信データの一部を捨てて、残りの情報で暗号鍵を生成する喑号鍵生成ステップ（ステツプ S 6 , S 1 6に相当）と、を含むことを特徴とする。

この発明によれば、たとえば、確定的で特性が安定した「 I r r e g u 1 a r - L D P C符号」用のパリティ検査行列を用いて共有情報のデータ誤りを訂正し、さらに、巡回符号 C R Cを用いて共有情報（推定語）の誤り検出を行い、その後、公開された誤り訂正情報に応じて共有情報の一部を捨てることとした。図面の簡単な説明

第 1図は、本発明にかかる量子暗号システム（送信側および受信側の通信装置 ) の構成を示す図であり、第 2図は、量子鍵配送の概要を示すフローチャートであり、第 3図は、量子鍵配送の概要を示すフローチャートであり、第 4図は、有限ァフィン幾何に基づく「I r r e g u 1 a r— L D P C符号」の構成法を示すフローチャートであり、第 5図は、有限ァフィン幾何符号 A G ( 2 , 2²) のマトリクスを示す図であり、第 6図は、最終的な列の重み配分; I ( γ _;) と行の重み配分 p _uを示す図であり、第 7図は、巡回符号 C R C ( n X d行列）の一例を示す図であり、第 8図は、 m_Aのシンドローム S_Aおよび巡回符号シンドローム S _cの生成方法の概略構成を示す図であり、第 9図は、本実施の形態のシンドローム復号法を示すフローチャートであり、第 1 0図は、従来の偏光を利用した量子鍵配送の概要を示す図である。発明を実施するための最良の形態

以下に、本発明にかかる量子鍵配送方法の実施の形態を図面に基づいて詳細に説明する。なお、この実施の形態によりこの発明が限定されるものではない。また、以下では、例として偏光を利用する量子鍵配送について説明するが、本発明は、たとえば、位相を利用するもの，周波数を利用するもの等にも適用可能であり、どのような量子状態を利用するかについては特に限定しない。

量子鍵配送は、盗聴者の計算能力によらず、安全性の保証された鍵配送方式であるが、たとえば、より効率よく共有鍵を生成するためには、伝送路を通ることによって発生するデータの誤りを取り除く必要がある。そこで、本実施の形態では、極めて高い特性をもつことが知られている低密度パリティ検査 ( L D P C：： Low-Density Parity-Check) 符号を用いて誤り訂正を行う量子鍵配送について説明する。 '

第 1図は、本発明にかかる量子暗号システム（送信側および受信側の通信装置 ) の構成を示す図である。この量子暗号システムは、情報 m_aを送信する機能を備えた送信側の通信装置と、伝送路上で雑音等の影響を受けた情報 m_a、すなわち情報 m_bを受信する機能を備えた受信側の通信装置と、力ら構成される。

また、送信側の通信装置は、量子通信路を介して情報 m_aを送信し、公開通信路を介してシンドローム S_Aを送信し、これらの送信情報に基づいて暗号鍵（受信側との共通鍵）を生成する暗号鍵生成部 1と、暗号化部 2 1が暗号鍵に基づいて暗号化したデータを、送受信部 2 2が公開通信路を介してやりとりする通信部 2と、を備え、受信側の通信装置は、量子通信路を介して情報 m_bを受信し、公開通信路を介してシンドローム S_Aを受信し、これらの受信情報に基づいて暗号鍵（送信側との共通鍵）を生成する暗号鍵生成部 3と、暗号化部 4 2が暗号鍵に基づいて喑号化したデータを、送受信部 4 1が公開通信路を介してやりとりする通信部 4と、を備える。 .

上記送信側の通信装置では、量子通信路上に送信する情報 m_aとして、偏光フィルターを用いて所定の方向に偏光させた光を、受信側の通信装置に対して送信する。一方、受信側の通信装置では、水平垂直方向（0 ° ， 9 0 ° ) の偏光を識別可能な測定器と斜め方向（4 5 ° ， 1 3 5 ° ) の偏光を識別可能な測定器とを用いて、量子通信路上の、水平方向（0 ° ) に偏光された光と垂直方向（9 0 ° ) に偏光された光と 4 5 ° 方向に偏光された光と 1 3 5 ° 方向に偏光された光とを識別する。なお、各測定器は、規定された方向に偏光された光については正しく認識できるが、たとえば、斜め方向に偏光された光を水平垂直方向（0 ° , 9 0 ° ) の偏光を識別可能な測定器にて測定すると、水平方向と垂直方向に偏光された光をそれぞれ 5 0 %の確率でランダムに識別する。すなわち、識別可能な偏光方向に対応していない測定器を用いた場合には、その測定結果を解析しても、偏光された方向を正しく識別することができない。

以下、上記量子 B音号システムにおける各通信装置の動作、すなわち、本実施の形態における量子鍵配送について詳細に説明する。第 2図および第 3図は、本実施の形態の量子鍵酉己送の概要を示すフローチャートであり、詳細には、第 2図は送信側の通信装置の処理を示し、第 3図は受信側の通信装置の処理を示す。

まず、上記送信俱 ljの通信装置および受信側の通信装置では、パリティ検査行列生成部 1 0 , 3 0力特定の線形符号のパリティ検査行列 H ( n X k行列) を求め、このパリティ検査行列 Hから「H G = 0」を満たす生成行列 G ( ( n - k ) • X n行列) を求め、さらに、 G-¹ · G = I (単位行列) となる Gの逆行列 G-¹ (n X (n-k) 行列) を求める (ステップ S 1, ステップ S 1 1) 。本実施の形態では、上記特定の線形符号として、シャノン限界に極めて近い優れた特性をもつ LD PC符号を用いた場合の量子鍵配送について説明する。なお、本実施の形態では、誤り訂正方式として LD PC符号を用いることとしたが、これに限らず、たとえば、ターボ符号等の他の線形符号を用いることとしてもよレ、。また、たとえば、後述する誤り訂正情報（シンドローム）が適当な行列 Hと送信データ m_A (情報 m_aの一部）の積 Hm_Aで表される誤り訂正プロトコル（たとえば、従来技術にて説明した「伝送路上におけるデータ誤りを訂正可能な量子鍵配送」に相当する誤り訂正プロトコル）であれば、すなわち、誤り訂正情報と送信データ m_A の線形性が確保されるのであれば、その行列 Hをパリティ検查行列として用いることとしてもよレ、。

ここで、上記パリティ検查行列生成部 10における L D P C符号の構成法について、詳細には、有限ァフィン幾何に基づく「I r r e g u l a r— LDPC符号」の構成法（第 2図ステップ S 1の詳細）について説明する。第 4図は、有限ァフィン幾何に基づく「 I r r e g u 1 a r— LDP C符号」の構成法を示すフローチャートである。なお、パリティ検査行列生成部 30については、パリティ検査行列生成部 10と同様に動作するのでその説明を省略する。また、本実施の形態における検査行列生成処理は、たとえば、設定されるパラメータに応じてパリティ検査行列生成部 10で実行する構成としてもよいし、通信装置外部の他の制御装置（計算機等）で実行することとしてもよい。本実施の形態における検査行列生成処理が通信装置外部で実行される場合は、生成済みの検査行列が通信装置に格納される。以降の実施の形態では、パリティ検查行列生成部 10で上記処理を実行する場合について説明する。

まず、パリティ検査行歹 IJ生成部 10では、「I r r e g u l a r—LDPC符号」用の検査行列のベースとなる有限ァフィン幾何符号 AG (2， 2 ^s) を選択する（第 4図、ステップ S 21) 。ここでは、行の重みと列の重みがそれぞれ 2 ^s となる。第 5図は、たとえ f 、有限ァフィン幾何符号 AG (2， 2²) のマトリクスを示す図（空白は 0を表す）である。

つぎに、ノ、。リティ検査行列生成部 10では、列の重みの最大値 (2< _{Γ ι}≤ 2^s) を決定する（ステップ S 22) 。そして、符号ィヒ率 r a t e (1シンドローム長/鍵の長さ）を決定する（ステップ S 22) 。

つぎに、パリティ検査行列生成部 10では、ガウス近似法（Gaussian Approxi mation) による最適化を用いて、暫定的に、列の重み配分 λ (y ,) と行の重み配分 P _uを求める（ステップ S 23) 。なお、行の重み配分の生成関数 p (X) は p (X) = ^χ + ( 1 - p J x^uとする。また、重み uは u 2の整数であり、 p _uは行における重み uの割合を表す。

つぎに、パリティ検査行歹 U生成部 10では、有限ァフィン幾何の行の分割により構成可能な、行の重み {u, u+1} を選択し、さらに（1) 式を満たす分割係数 {b_u, b_u+J を求める（ステップ S 24) 。なお、 b_u， b_u+1は非負の整数とする。

b_u+b_u+1 (u+1) =2^S … (1)

具体的には、下記 (2) 式から b_uを求め、上記 (1) 式から b_u+1を求める。 uxb_u

arg-min (p_u - … （2)

2^s つぎに、パリティ検査行列生成部 10では、上記決定したパラメータ u, u + 1， b_u, b_u+1によって更新された行の重みの比率 , p_u+ を（3) 式により求める（ステップ S 25) 。

… （3)

つぎに、パリティ検査行列生成部 1 oでは、ガウス近似法による最適化を用いて、さらに上記で求めた u， u+ 1, _Pu一， _{P uH} "を固定のパラメータとして、暫定的に、列の重み配分； I (Ti) を求める (ステップ S 26) 。なお、重みは 2の整数であり、え (Yi) は列における重みの割合を表す。また、列数が 1以下となる重み（λ ≤ _{y i}/^_t, iは正の整数）を候補から削除する。ただし、 w_tは AG (2， 2^s) に含まれる 1の総数を表す。

つぎに、上記で求めた重み配分を満たし、かつ下記（4) 式を満たす、列の重み候補のセット {γい γ₂， ■-y_l (_{Ύ ι}≤ 2^s) } を選択する (ステップ S 2 7) 。そして、下記の（4) 式を満たさない列の重み _7iが存在する場合には、その列の重みを候補から削除する。

Yl 2。

al,l ^al,2 … ^al

12 2^s

a2,l ^a2.2 .·· ^a2 (4)

Ίί 9^S

なお、各 aは、列の重み 2^sを構成するための {γい γ₂, … γ に対する非負の整数となる係数を表し、 i , jは正の整数であり、は列の重みを表し、は列の最大重みを表す。

つぎに、パリティ検査行列生成部 1 0では、ガウス近似法による最適化を用いて、さらに上記で求めた u， u+ 1, _u' , p _u+1 'と {γい γ₂' … γ を固定パラメータとして、列の重み配分 L (YJ) と行の重み配分 p_uを求める（ステツプ S 28) 。

つぎに、パリティ検査行列生成部 1 0では、分割処理を行う前に、列の重み配分; と行の重み配分 _Puを調整する（ステップ S 29) 。なお、調整後の各重みの配分は、可能な限りガウス近似法で求めた値に近い値にする。第 6図は、ステップ S 29における最終的な列の重み配分; I (γ と行の重み配分 p_uを示す図である。なお、 n (7i) は、重み単位の総列数を表し、 n_uは重み単位の総行数を表す。

最後に、パリティ検査行列生成き 151 0では、有限ァフィン幾何における行および列を分割して（ステップ S 30) 、 nX kのパリティ検査列 Ηを生成する。本発明における有限ァフィン幾何符号の分割処理は、規則的に分割するのではなく、各行または各列から「1」をランダムに抽出する。なお、この抽出処理は、ランダム性が保持されるのであれ《rどのような方法を用いてもよい。

このように、本実施の形態では、上記有限ァフィン幾何に基づく「I r r e g u l a r— LDPC符号」の構成 (第 2図、ステップ S I) を実行することによって、確定的で特性が安定した「 I r r e g u 1 a r—LDPC符号」用の検査行列 H (nX k行列) を生成することができる。

上記のように、パリティ検査行列 H (nXk行列） , 生成行列 G， G-¹ (G— ¹ • G= I ：単位行列）を生成後、つぎに、送信側の通信装置では、受信側の通信装置が送信データ m_Aを正確に推定できない可能性（送信データ m_Aと後述する推定語 m_cがー致しない場合）があるので、特に、盗聴者の存在により誤判定の発生確率が高くなる場合があるので、このような誤判定確率を極力小さくするために、巡回符号生成部 16にて、誤り検出のための巡回符号 CRC (Cyclic Redundanc y check) を生成する (第 2図、ステップ S 2) 。ここでは、上記で生成したパリティ検査行列 Hとは別に、巡回符 CR C (n X d行列) を生成する。

ここで、上記巡回符号生成部 1 6における巡回符号 CRC (nX d行列）の構成法（第 2図ステップ S 2の詳細）について説明する。

たとえば、鍵長 nを n = 7とし、 GF (2) 上の原始多項式 g xを多項式表現したときの最大次数 dを d = 3とし、 3次の原始多項式 g Xを g x = x³+x + 1 (ベクトル表現： [101 1] ) とした場合（nX dの CRCを構成する場合）、 CRCの検査多項式 x^d— (x—¹) は下記（5) 式のように表すことができる。なお、多項式 H (X) は、 H (X ) = (xⁿ+ 1) Zg xである。

H ( x ) = (xⁿ+ 1) /g x = (x⁷+ 1) ノ (x³+x+ 1)

= x⁴+x²+x + l (ベクトル表現： [101 1 1] )

H (χ-¹) =χ-^¾+ x- ²+ x^-1+ 1

= x⁴+x³+x²+l (ベクトル表現： [1 1 101] ) x^H (x—¹) =x²X (x +x³+x²+ 1)

= x⁶+ x⁵+x +x² (ベクトル表現： [1 1 10100] )

… （5)

したがって、巡回符号 CRC (n X d行列）は、 CRCの検査多項式 ( X"¹) のべクトル表現： [1 1 10100] を巡回シフト（d = 3) した、第 7 図に示す nXdの行列となる。第 7図は、巡回符号 CRC (nX d行列）の一例を示す図である。

上記のように、巡回符号 CRC (nXk行列）を生成後、つぎに、送信側の通信装置では、乱数発生部 1 1が、乱数列 m_a (1, 0の列：送信データ）を発生し、さらに送信コード（+：水平垂直方向に偏光された光を識別可能な測定器に対応したコード， X ：斜め方向に偏光された光を識別可能な測定器に対応したコード）をランダムに決定する（第 2図、ステップ S 3)。一方、受信側の装置では、乱数発生部 31力受信コード（+：水平垂直方向に偏光された光を識別可能な測定器に対応したコード， X：斜め方向に偏光された光を識別可能な測定器に対応したコード）をランダムに決定する（第 3図、ステップ S 12) 。

つぎに、送信側の通信装置では、光子生成部 12力上記乱数列 m_aと送信コードの組み合わせで自動的に決まる偏光方向で光子を送信する（ステップ S 4) 。たとえば、 0と +の組み合わせで水平方向に偏光された光を、 1と +の組み合わせで垂直方向に偏光された光を、 0と Xの組み合わせで 45° 方向に偏光された光を、 1と Xの組み合わせで 135° 方向に偏光された光を、量子通信路にそれぞれ送信する（送信信号）。

光子生成部 12の光信号を受け取った受信側の通信装置の光子受信部 32では、量子通信路上の光を測定する（受信信号）。そして、受信コードと受信信号の組み合わせによって自動的に決まる受信データ m_bを得る（ステップ S 13) 。ここでは、受信データ m_bとして、水平方向に偏光された光と +の組み合わせで 0を、垂直方向に偏光された光と +の組み合わせで 1を、 45° 方向に偏光された光と Xの組み合わせで 0を、 135° 方向に偏光された光と Xの組み合わせで 0を、それぞれ得る。なお、受信データ m_bは、確率情報付きの硬判定値とする。

つぎに、受信側の通信装置では、上記測定が正しい測定器で行われたものかどうかを調べるために、乱数発生部 31力受信コードを、公開通信路を介して送信側の通信装置に対して送信する（ステップ S 1 3) 。受信コードを受け取った送信側の通信装置では、上記測定が正しい測定器で行われたものかどうかを調べ、その結果を、公開通信路を介して受信側の通信装置に対して送信する（ステップ S4) 。そして、受信側の通信装置および送信側の通信装置では、正しい測定器で受信した受信信号に対応するデータだけを残し、その他を捨てる (ステップ S 4, S 13) 。その後、残ったデータをメモリ等に保存し、その先頭から順に n ビットを読み出し、これを、正式な送信データ m_Aと受信データ m_B (m_Bは伝送路上で雑音等の影響を受けた m_A： _mB=m_A+ e (雑音等））とする。すなわち、ここでは、必要に応じてつぎの nビットを読み出して、送信データ m_Aと受信データ m_Bを生成する。本実施の形態では、残ったデータのビット位置が、送信側の通信装置と受信側の通信装置との間で共有できている。なお、 m_Bは、上記 m_b同様、確率情報付きの硬判定値である。

つぎに、送信側の通信装置では、シンドローム生成部 14が、パリティ検査行列 H ( n X k行列）と巡回符号 C R C (n X d行列）とを連結し、連結後の行列と送信データ m_Aとを用いて、 m_Aのシンドローム S_A=HXra_Aおよび巡回符号シンドローム S_c=CRCXm_Aを計算し、その結果を、公開通信路通信部 13，公開通信路を介して受信側の通信装置に通知する（ステップ S 5) 。第 8図は、 m_A のシンドローム S_Aおよび巡回符号シンドローム S_cの生成方法の概略構成を示す図である。この段階で、 m_Aのシンドローム S_A (kビット分の情報）および巡回符号シンドローム S _c ( dビット分の情報）は盗聴者に知られる可能性がある。一方、受信側の通信装置では、公開通信路通信部 34にて m_Aのシンドローム S_Aおよび巡回符号シンドロ一ム S_cを受信し、それをシンドローム復号部 33に通知する（ステップ S 14) 。

つぎに、シンドローム復号部 33では、本実施の形態のシンドローム復号法を用いて、元の送信データ m_Aを推定する（ステップ S 15) 。詳細には、雑音等による確率情報付きの硬判定値 m_Bの誤りを訂正することによつて推定後 m_cを生成し、推定後 m_cに誤りがなければそれを元の送信データ m_Aと判定する。ここでは、「S_A=Hm_c」を満たす m_cを確率情報付きの硬判定値 m_Bから推定し、その推定結果 m_cに誤りがなければそれを共有情報 m_Aとする。以下、本実施の形態のシンドローム復号法を詳細に説明する。

第 9図は、本実施の形態のシンドローム復号法を示すフローチャートである。なお、上記のように、 2元の n (列） Xk (行）の検查行列 Hを想定した場合、 i列（l≤ i≤n) j行（l^ j k) 目の要素をと表記する。また、受信データ m_Bを m_B= (m_B1, m_B2， …， m_Bn) とし、推定語（硬判定ィ直） m_cを m_c= ( m_cl， m_C2， ■·', m_Cn) とする。また、 m_Aのシンドローム S_Aを S_A= (S_Aい S^, ···, SJ 、また、通信路としては、条件付確率 P (m_B I m_c=m_A) で記述される無記憶通信路を想定する。

まず、シンドローム復号部 33では、初期設定として、 Η_υ·=1を満たす全ての列と行の組み合わせ（i , j ) の事前値を dij (0) = 1/2, (1) =1 Z2とする。 (0) は Hijが「0」である確率を表し、（^. (1) はが「1 」である確率を表す。そして、復号の反復回数を示すカウンタ値を 1 = 1 (ィテレーシヨン： 1回）とし、さらに、最大反復回数 1隨を設定する（ステップ S 3

1)

つぎに、シンドローム復号部 33では、 j

を満たす全ての列と行の組み合わせ（ i， j ) について外部値 _rij (0) と _rij (1) を更新する（ステップ S 32) 。本実施の形態においては、たとえば、 j (1≤ j≤k) 番目のシンドローム S_Ajが「0」の場合、更新式（6) , 更新式 (7) を用いて外部値 _{r ij} (0) と； (1) を更新する。 r_ir (0) = Kx∑(nqi'j(m_ci')P(m_Bi,|m_ci,))

M_ci, e 0,1

… （6)

∑M_ci, = 0

i'eA(i)\j r_ir (l) = Kx∑(Π (∞_α.)Ρ(πι ,|πι_α,))

M_ci, 60,1

… （7)

∑M_ci,=l

i'eA(i)\j

—方、 j (1≤ j≤k) 番目のシンドローム S_Ajが「lj の場合は、更新式 ( 8) , 更新式（9) を用いて外部値 _{r ij} (0) と _{r ij} (1) を更新する。

% ( ) = Κχ Σ(Π (m_Ci')P(m_Bi, |m_Ci,))

… （8)

∑M_Ci, = 1

i'eB(j)\i r_ir(i) ∑(nqi'j(^m _Ci ^p(^m _Bi'l^m _ci'》

M_ci, E 0,1

… （9)

∑M_ci, = 0

i'eB(j)\i なお、上記は、「」. (0) + r_u (1) =1」が成り立つように規定された値（正規化するための値）とする。また、上記 P (m_B I m_c) は、条件付確率、すなわち、推定語 m_cが「0」または「1」の場合における受信データ m_Bの確率を表す。また、上記部分集合 A ( i ) は、検査行列 Hの i列目において「1」が立っている行インデックスの集合を表し、部分集合 B ( j ) は、検査行列 Hの j 行目において「1」が立っている列インデックスの集合を表す。上記更新処理を具体的に記載すると、たとえば、 S_Aj= 0， j =1, かつ =1を満たす全ての列と行の組み合わせ力 S ( i , 1) = (3, 1) (4， 1) ( 5， 1) の場合、式（6) ，式（7) が適用され、外部値 r₃₁ (0) , r₃₁ (1) が式（10) , 式 (1 1) のように更新される。すなわち、 H₃₁以外の H₄₁， H₅₁ を用いて、外部値 r₃₁ (0) ， r₃₁ (1) を更新する。ここでは、検査行列 Hの 3 列 1行目が「0」である確率と「1」である確率をそれぞれ求めている。 r₃₁(0) = Kx{q₄i(m_C4 =0) P(m_B4|m_C4 = 0)

xq5l(^mC5 ⁼⁰)^p(m_B5|^mC5 =0)

(10)

+ Q41 (^mC4 = 1) P(m_B4 c4 = 1)

xq51(^mC5 =l)P(m_B5|mc5 =1)}

r₃₁(l) = Kx{q₄₁(m_C4 =1) P(m_B4|m_C4 = 1)

xq51(^mC5 ⁼⁰)^P(^mB5|^mC5 =°)

(11)

+ q4l(^mC4 = 0) P(m_B4 |m_C4 = 0)

xq51(^mC5 =1) P(m_B5|m_C5 =1)} つぎに、シンドローム復号部 33では、 i =l, 2 nの I噴に、 H を満たす全ての列と行の組み合わせ（ i， j )

(0) と q_tj (1) を更新する（ステップ S 33) 。この更新処理は、式（12) ，式（13 ) にて表すことができる。

q ¹ π '(ι) ... ₍₁₃₎

j'=A(i)\j なお、上記 'は、「q_u (0) =1」が成り立つように規定された値（正規化するための値）とする。

上記更新処理を具体的に記載すると、たとえば、 i = 3，かつ H_u= 1を満たす全ての列と行の組み合わせが（3, j ) = (3， 1) (3, 2) (3， 3) の場合、式（1 2) , 式（1 3) が適用され、事前値 q₃₁ (0) , q₃₁ (D が式（ 14) ，式（1 5) のように更新される。すなわち、 H₃₁以外の H₃₂， H₃₃を用いて、事前値 q₃₁ (0) ， q₃₁ (1) を更新する。 ς₃₁(0) = Κ·χ{Γ3₂(0)χΓ33(0)} … (14) ς₃₁(1) = Κ*χ{Γ32(1)χΓ₃3(1)} … （1 5) つぎに、シンドローム復号部 3 3では、事後確率（条件付確率 X事前値） Qi (0)， (1) を求め、この事後確率から一時推定語 m_c一 = (m_cl ' , m_C2 ' , …， m_Cn') を求める（ステップ S 34) 。すなわち、式（1 6) ，式（1 7) の計算結果に基づいて、式（1 8) における一時推定語を得る。ここでは、ィテレーション 1回毎に判定処理を行う。

… （1 6)

j'eA(i)

… （1 7)

j'eA(i)

なお、上記 K— 一は、「Qi (0) +Qi (1) = 1」が成り立つように規定された値（正規化するための値）とする。また、条件付確率 P (m_B I m_c=0) は、式（19) ，式（20) のように定義され pはビット誤り率を表す。

P(m_Bi'|m_ci, =1) … （20)

つぎに、シンドローム復号部 33では、一時插定語 m が送信データ m_Aといえるかどうかを検査する (ステップ S 35) 。ここでは、たとえば、 m_c一 = (m _c ， m_C2' , ···, m_Cn' ) 力 S 「m XH^T=S_A」という条件を満たしていれば（ステップ S 36、 Ye s) 、当該 m を推 ¾|¾ _c= (m_ci, m_C2， ···, m_Cn) として出力する。

一方、上記条件を満たさない場合で、かつ 1 < 1 _maxの場合は（ステップ S 36、 No) 、カウンタ値 1をインクリメントし、ステップ S 32の処理を上記更新された値を用いて再度実行する。以降、上記条件を満たすまで（1く l_maxの範囲で ) 、更新された値を用いてステップ S 32〜S 3 6の処理を繰り返し実行する。つぎに、シンドローム復号部 33では、上記插定語 m_c= (m_cl, m_C2, …， m_Cn ) と、受信データ m_B= (m_B1, m_B2, ···, m_Bn) と、を比較（EX OR) し、エラ一ベクトル（受信データ m_B==m_A+e (雑音等）の eに相当）を出力する（ステップ S 37) 。

つぎに、シンドローム復号部 33では、「H X m_c= S_A」を満たす推定後 m_cが複数個存在すること（Hと S_Aを固定した場合の nx_cのェント口ピーは 2 ⁿ— ^k個となる ) が原因で誤判定が発生し、送信データ m_Aを正確に推定できない可能性（送信データ m_Aと上記で正しいと判定した推定語 m_cが一致しない場合）があることから、上記推定語 m_cの誤り検出を行う（ステップ S 38) 。ここでは、上記ステップ S 14にて受信した巡回符号シンドローム S_c=CRCXm_Aと、式（21) に示す推定巡回符号シンドローム S_c'と、を比較し、 S_C=S であれば、推定語 m_c に誤りがないと判断し、上記推定語 m_c= (m_cl, m_C2, ···, m_Cn) を元の送信データ m_A= (m_A1, m_A2, ···, m_An) として出力し、第 9図に示すアルゴリズムを終了する。一方で、 S_C≠S であれば、推定語 m_cに誤りがあると判断し、この推定語 m_cを捨てる。

S_c = r e m { _c/ g x) ··■ (2 1)

ただし、上記 r emは、 GF (2) 上の除算 m_cZ g xの剰余を表す。

このように、上記本実施の形態の量子鍵酉己送で採用するシンドローム復号法においては、従来技術にて記載した誤り訂正で発生していた「エラービットを特定するための膨大な回数のパリティのやりとり (二分探索) 」を排除し、極めて高い特性（誤り訂正能力）をもつ LD PC符号用のパリティ検査行列を用いて誤り訂正を行うこととした。これにより、短時間で伝送路上におけるデータ誤りを訂正しつつ、高度に安全性の保証された共通鏈を生成することができる。

また、本実施の形態では、送信側の通信装置が生成した巡回符号シンドローム S_cと、推定語 m_cに基づいて生成した推定巡回符号シンドローム S と、を比較し、推定語 m_cの誤り検出を行うこととした。これにより、受信データ; m_Bから判定した推定語 m_cの誤判定確率を大幅に低'减することができる。すなわち、元の送信データ m_Aを高精度に推定できる。

なお、本実施の形態においては、受信データ m_Bおよび m_bを確率情報付きの硬判定値としたが、これに限らず、たとえば、軟判定値としてもよい。

上記のように送信データ m_Aを推定後、最後に、受信側の通信装置では、共有鍵生成部 3 5が、公開された誤り訂正情報（盗聴された可能性のある上記 kビット分の情報： S_A) に応じて共有情報（m_A) の一部を捨てて、 n— kビト分の情報量を備えた暗号鏈 rを生成する（第 3図、ステップ S 1 6) 。すなわち、共有鍵生成部 3 5では、先に計算しておいた G—¹ (n X (n-k) ) を用いて下記 ( 2 2) 式により喑 1~を生成する。受信個 jの通信装置は、この暗を送信側の通信装置との共有鍵とする。

r =G一¹ m, ··· (22) 一方で、送信側の通信装置においても、共有鍵生成部 15が、公開された誤り訂正情報（盗聴された可能性のある上記 kビット分の情報： S_A) に応じて共有情報（m_A) の一部を捨てて、 n— kビット分の情報 *を備えた暗号鍵 rを生成する (第 2図、ステップ S 6) 。すなわち、共有鍵生成部 15では、先に計算しておいた G-¹ (n X (n-k) ) を用いて上記（22) 式により暗号鍵 rを生成する (ステップ S 6) 。送信側の通信装置は、この暗号鍵 rを受信側の通信装置との • 共有鍵とする。

なお、本実施の形態においては、さらに、正則なランダム行列 Rを用いて上記共有鍵を並べ替える構成としてもよい。これにより、秘匿性を増強させることができる。具体的には、まず、送信側の通信装置が、正則なランダム行列 R ( (n -k) X (n-k) ) を生成し、さらに、当該 Rを、公開通信路を介して受信側の通信装置に通知する。ただし、この処理は、受信側の通信装置で行うこととしてもよい。その後、送信側および受信ィ則の通信装置が、先に計算しておいた G—¹ (nX (n-k) ) とランダム行列 Rを用いて下記（23) 式により暗号鍵 rを生成する。

r =RG一¹ m_A ··■ (2 3)

以上、本実施の形態おいては、確定的で特性が安定した「 I r r e g u 1 a r -LDPC符号」用のパリティ検査行列を用いて共有情報のデータ誤りを訂正し、さらに、巡回符号 CRCを用いて共有' I"青報（推定語）の誤り検出を行い、その後、公開された誤り訂正情報に応じて共有情報の一部を捨てる構成とした。これにより、エラービットを特定/訂正するための膨大な回数のパリティのやりとりがなくなり、誤り訂正情報を送信するだけで誤り訂正制御が行われるため、誤り訂正処理にかかる時間を大幅に短縮できる。

また、本実施の形態においては、送信側の通信装置が生成した誤り検出情報を用いて、受信側の通信装置が推定語の誤り検出を行うこととした。これにより、推定語の誤判定確率を大幅に低減することができ、元の送信データを高精度に推定できる。また、本実施の形態においては、公開された情報に応じて共有情報の一部を捨てているので、高度に安全性の保証された共通鍵を生成することができる。

なお、本実施の形態では、 HG = 0を満たす生成行列 G ( (n-k) X n) から、 G-^ G- I (単位行列）となる逆行列 G—¹ (n X (n-k) ) を生成し、当該逆行列 G—¹を用いて共有情報 (n) の一部（k) を捨てて、 n— kビット分の情報量を備えた喑" ¾rを生成することとしたが、これに限らず、共有情報 (n ) の一部を捨てて、 m (m≤n-k) ビット分の情報量を備えた暗号鍵 rを生成することとしてもよい。具体的にいうと、 n次元べクトルを m次元べクトルに写す写像 F (·) を想定する。 F ( ·) は、共有鍵の安全性を保証するために、「任意の m次元べクトル Vに対して、写像 Fと生成行列 Gの合成写像 F · Gにおける逆像（F · G) ¹ (V) の元の個数が Vによらず一定 (2 "+っである」、という条件を満たす必要がある。このとき、共有鍵 rは、 r=F (m_A) となる。 ' また、本実施の形態においては、ステップ S 6, S 16の処理で、生成行列 G- ¹を用いずに、パリティ検査行列 Hの特性を用いて共有情報の一部を捨てる構成としてもよい。具体的には、まず、共有鍵生成咅 |515, 35力上記ステップ S 1， S 1 1で生成したパリティ検査行列 Hの列に対してランダム置換を行う。そして、通信装置間で捨てるビットに関する情報を、么開通信路を介して交換する。たとえば、元の有限ァフィン幾何 AG (2， 2^s) の 1列目の中から特定の「1」を選び、その位置を、公開通信路を介して交換する。その後、共有鍵生成部 15， 3 5が、上記置換後のパリティ検査行列から上記「1」に対応する分割後の位置、および巡回シフトされた各列における上記「 1」に対応する分割後の位置を特定し、その特定した位置に対応する共有情報 m_A内のビットを捨てて、残りのデータを暗号鍵 rとする。これにより、複雑な生成行列 G， G—¹の演算処理を削除することができる。産業上の利用可能性

以上のように、本発明にかかる量子鍵配送方法および通信装置は、高度に安全性の保証された共通鍵を生成する技術として有用であり、特に、盗聴者が存在する可能性のある伝送路上の通信に適している。

Claims

1 . 暗^ の元となる乱数列を所定の量子状態で量子通信路上に送信する送信側の通信装置と、当該量子通信路上の光子を測定する受信側の通信装置、で構成された量子暗号システムにおける量子鍵配送方法にぉレ、て、

各通信装置が、同一のパリテ一 αィ検査行歹 ϋ (要素が「ο」または「1」の行列) 青

を生成する検査行列生成ステツプと求、

2

前記送信側の通信装置が、誤り検出の 3のための巡回符号（C R C ： Cyclic Redun dancy check) を生成する巡回符号生成ステップと、

前記受信側の通信装置が、光方向を正しく識別囲可能な測定器で測定した結果として得られた確率情報付きの受信データを保持し、前記送信側の通信装置が、前記受信データに対応する送信データほ L数列の一部）を保持する送受信ステップと、

前記送信側の通信装置が、前記パリティ検查行列および前記送信データに基づいて生成した誤り訂正情報と、前記巡回符号および前記送信データに基づいて生成した誤り検出情報と、を公開通信路を介して前記受信側の通信装置に通知する情報通知ステップと、

前記受信側の通信装置が、前記パリティ検査行列と前記確率情報付きの受信データと前記誤り訂正情報と前記誤り検出倩報に基づいて、前記送信データを推定する送信データ推定ステップと、 ' 前記各通信装置が、公開された情報量に応じて送信データの一部を捨てて、残りの情報で暗号鍵を生成する暗号鍵生成ステツプと、

を含むことを特徴とする量子鍵配送方 fe 2 . 前記送信データ推定ステップにあっては、

初期設定として、前記パリティ検査行歹 ϋ内の要素「1」に対応する事前値を設定する初期設定ステップと、前記誤り訂正情報に応じて、前記パリティ検査行列内の要素「1」に対応する外部値を、同一行における他の要素「1」に対応する事前値および前記確率情報を用、て更新する処理、を行単位に実行する外部値更新ステツプと、

前記パリティ検査行列内の要素「1」に対応する事前値を、同一列における他の要素「1」に対応する前記更新後の外部値を用いて更新する処理、を列単位に実行する事前ィ直更新ステツプと、

前記確率情報および前記更新後の事前値に基づいて事後確率を算出し、当該事後確率から一時推定語を求める（硬判定）一時推定ステップと、

前記一時推定語が前記パリティ検査行列との間に確立されている所定の条件を満たす場合に、前記誤り検 ίϋ情報を用いて当該一時推定語の誤り検出を行い、誤りがなければ当該一時推定語を元の送信データと判定し、前記所定の条件を満たさない場合に、当該条件を満たすまで前記更新後の値を用いて、前記外部値更新ステップ、前記事前値更新ステップぉよび前記一時推定ステツプを繰り返し実行する送信データ推定ステップと、

を含むことを特徴とする請求の範囲第 1項に記載の量子鍵配送方法。

3 . 前記送信データ推定ステツプにあっては、

前記誤り検出情報と、前記一時推定語を用レヽて生成した推定誤り検出情報と、を比較し、一致していれば前記一時推定語に誤りがないと判断し、一致していなければ前記一時推定語に誤りがあると判断することを特徴とする請求の範囲第 2 項に記載の量子鍵配送方法。

4 . 量子鍵配送により装 g間で暗号鍵を共有する量子暗号システムを構成し、かつ暗号鍵の元となる乱数列を所定の量子状態で量子通信路上に送信する通信装置において、

暗号鍵を共有する相手側装置と同一のパリティ検査行列を生成するパリティ検査行列生成手段と、誤り検出のための巡回符号（C R C： Cyclic Redundancy check) を生成する巡回符号生成手段と、

光方向を正しく識另リ可能な測定器で測定した結果として得られる相手側装置の受信データに対応する送信データ（乱数列の一部）および前記パリティ検査行列に基づいて生成した誤り訂正情報と、前記送信データおよび前記巡回符号に基づいて生成した誤り検出情報と、を公開通信路を介して前記相手側装置に通知する情報通知手段と、

公開された情報量に応じて前記送信データの一部を捨てて、残りの情報で暗号鍵を生成する暗号鍵生成手段と、

を備えることを特徴とする通信装置。

5 . 量子鍵配送により装置間で暗号鍵を共有する量子暗号システムを構成し、かつ量子通信路上の光子（暗号鏈の元となる乱数列）を測定する通信装置において、

暗号鍵を共有する†目手側装置と同一のパリティ検査行列（要素が「0」または「1 J の行列) を生成するパリティ検査行列生成手段と、

誤り検出のための巡回符号（C R C： Cyclic Redundancy check) を生成する巡回符号生成ステップと、

前記パリティ検查行列、光方向を正しく識別可能な測定器で測定して得られた確率情報付きの受信データ、相手側装置から公開通信路を介して受信した誤り訂正情報および誤り検出情報に基づいて、元の送信データを推定する送信データ推定手段と、

公開された情報量に応じて前記送信データの一部を捨てて、残りの情報で暗号鏈を生成する喑生成手段と、

を備えることを特 ί敷とする通信装置。

6 - 前記送信データ推定手段は、初期設定として、前記パリティ検査行列内の要素「1」に対応する事前値を設定し、

つぎに、前記誤り訂正情報に応じて、前記パリティ検查行列内の要素「1」に対応する外部値を、同一行における他の要素「1」に対応する事前値および前記確率情報を用いて更新する処理、を行単位に実行し、

つぎに、前記パリティ検査行列内の要素「1」に対応する事前値を、同一列における他の要素「1」に対応する前記更新後の外部値を用いて更新する処理、を列単位に実行し、

つぎに、前記確率情報および前記更新後の事前値に基づいて事後確率を算出し、当該事後確率から一 B 推定語を判定し、

つぎに、前記一時推定語が前記パリティ検査行列との間に確立されている所定の条件を満たす場合に、前記誤り検出情報を用いて当該一時推定語の誤り検出を行い、誤りがなければ当該一時推定語を元の送信データと判定し、前記所定の条件を満たさない場合に、当該条件を満たすまで前記更新後の値を用いて、前記行単位の処理、前記列単位の処理および前記一時推定語判定処理を繰り返し実行することを特徴とする請求の範囲第 5項に記載の通信装置。

7 . 前記送信データ推定手段は、

前記誤り検出情報と、前記一時推定語を用いて生成した推定誤り検出情報と、を比較し、一致していれば前記一時推定語に誤りがないと判断し、一致していなければ前記一時推定語に誤りがあると判断することを特徴とする請求の範囲第 6 項に記載の通信装置。