WO2006078033A1 - 量子鍵配送方法、通信システムおよび通信装置 - Google Patents

Abstract

　本発明にかかる量子鍵配送方法は、送信データと受信データのエラー確率を推定するエラー確率推定ステップと、誤り訂正情報に基づいて受信データの誤りを訂正する誤り訂正ステップと、送信データと誤り訂正後の受信データが一致しているかどうかを判定する一致判定ステップと、量子通信路を通して盗聴者にもれた情報量を推定する情報量推定ステップと、を含み、さらに、処理の過程で公開通信路を介して公開した情報量および量子通信路を通して盗聴者にもれた情報量の推定値に基づいてデータを圧縮し、圧縮後のデータを装置間で共有の暗号鍵とする。

Description

明 細 書

量子鍵配送方法、通信システムおよび通信装置

技術分野

[0001] 本発明は、高度に安全性の保証された共通鍵を生成することが可能な量子鍵配送 方法に関するものであり、特に、誤り訂正技術および秘匿性増強技術を適用すること によって、量子状態について送信機および受信機に誤差があるような現実的な実装 においても安全性を保証することのできる量子鍵配送方法および当該量子鍵配送を 実現可能な通信装置に関するものである。

背景技術

[0002] 以下、従来の量子暗号システムについて説明する。近年、高速大容量の通信技術 として光通信が広く利用されている力 このような光通信システムでは、光のオン zォ フで通信が行われ、オンのときに大量の光子が送信されているため、量子効果が直 接現れる通信系にはなって!/、な!/、。

[0003] 一方、量子暗号システムでは、通信媒体として光子を用い、不確定性原理等の量 子効果が生じるように 1個の光子で 1ビットの情報を伝送する。このとき、盗聴者が、そ の偏光，位相等の量子状態を知らずに適当に基底を選んで光子を測定すると、その 量子状態に変化が生じる。したがって、受信側では、この光子の量子状態の変化を 確認することによって、伝送データが盗聴された力どうかを認識することができる。

[0004] 図 9は、従来の偏光を利用した量子鍵配送の概要を示す図である。たとえば、水平 垂直方向の偏光を識別可能な測定器では、量子通信路上の、水平方向（0° )に偏 光された光と垂直方向（90° )に偏光された光とを正しく識別する。一方、斜め方向（ 45° , 135° )の偏光を識別可能な測定器では、量子通信路上の、 45° 方向に偏 光された光と 135° 方向に偏光された光とを正しく識別する。

[0005] このように、各測定器は、規定された方向に偏光された光については正しく認識で きるが、たとえば、斜め方向に偏光された光を水平垂直方向（0° , 90° )の偏光を 識別可能な測定器にて測定すると、水平方向と垂直方向に偏光された光をそれぞれ 50%の確率でランダムに識別することになる。すなわち、識別可能な偏光方向に対 応していない測定器を用いた場合には、その測定結果を解析しても、偏光された方 向を正しく識別することができない。

[0006] 図 9に示す従来の量子鍵配送では、上記不確定性 (ランダム性)を利用して、盗聴 者に知られずに送信者と受信者との間で鍵を共有する (たとえば、非特許文献 1参照 )。なお、送信者および受信者は、量子通信路以外に公開通信路を使用することが できる。

[0007] ここで、鍵の共有手順について説明する。まず、送信者は、乱数列（1, 0の列:送信 データ）を発生し、さらに送信コード（+：水平垂直方向に偏光された光を識別可能な 測定器に対応， X：斜め方向に偏光された光を識別可能な測定器に対応)をランダ ムに決定する。その乱数列と送信コードの組み合わせで、送信する光の偏光方向が 自動的に決まる。ここでは、 0と +の組み合わせで水平方向に偏光された光を、 1と + の組み合わせで垂直方向に偏光された光を、 0と Xの組み合わせで 45° 方向に偏 光された光を、 1と Xの組み合わせで 135° 方向に偏光された光を、量子通信路に それぞれ送信する (送信信号)。

[0008] つぎに、受信者は、受信コード（+：水平垂直方向に偏光された光を識別可能な測 定器， X：斜め方向に偏光された光を識別可能な測定器)をランダムに決定し、量子 通信路上の光を測定する (受信信号)。そして、受信コードと受信信号の組み合わせ によって受信データを得る。ここでは、受信データとして、水平方向に偏光された光と

+の組み合わせで 0を、垂直方向に偏光された光と +の組み合わせで 1を、 45° 方 向に偏光された光と Xの組み合わせで 0を、 135° 方向に偏光された光と Xの組み 合わせで 1を、それぞれ得る。

[0009] つぎに、受信者は、自身の測定が送信側と同一の基底を用いた測定力どうか、す なわち、正しい測定器で行われたものかどうかを調べるために、受信コードを、公開 通信路を介して送信者に対して送信する。受信コードを受け取った送信者は、測定 が正しい測定器で行われたものカゝどうかを調べ、その結果を、公開通信路を介して 受信者に対して返信する。

[0010] つぎに、受信者は、正 、測定器で受信した受信信号に対応する受信データだけ を残し、その他を捨てる。この時点で、残された受信データは送信者と受信者との間 で共有できている。

[0011] つぎに、送信者と受信者は、それぞれの通信相手に対して、共有データから選択し た所定数のデータを、公開通信路を経由して送信する。そして、受け取ったデータが 自身の持つデータと一致しているかどうかを確認する。たとえば、確認したデータの 中に一致しな 、データが 1つでもあれば、盗聴者が!/ヽるものと判断して共有データを 捨て、再度、鍵の共有手順を最初力 やり直す。一方、確認したデータがすべて一 致した場合には、盗聴者力 ^、ないと判断し、確認に使用したデータを捨て、残った共 有データを送信者と受信者の共有鍵とする。

[0012] 非特許文献1 : 86 ^1:1: .1"[. and Brassard.G. ： Quantum Cryptography ： Public Key Distribution andCoin Tossing, In Proceedings of IEEE Conference on し o mputers, System and SignalProcessing, Bangalore, India, pp.175- 179(DEC.1984 ).

発明の開示

発明が解決しょうとする課題

[0013] し力しながら、上記図 9に示す従来の量子鍵配送においては、誤り通信路を想定し ていないため、誤りがある場合には盗聴行為が存在したものとして上記共通データ（ 共通鍵)を捨てることとなり、伝送路によっては共通鍵の生成効率が非常に悪くなる、 という問題があった。また、送信機または受信機のどちらか一方に誤差が存在するよ うな場合には、安全性が保証されない、という問題もあった。

[0014] 本発明は、上記に鑑みてなされたものであって、極めて高い特性を持つ誤り訂正符 号を用 、て伝送路上におけるデータ誤りを訂正することにより高 、鍵生成効率を達 成しつつ、さらに、送信機または受信機の特性に関する情報を考慮して盗聴者に漏 れた情報量を見積もることにより、送信機および受信機に誤差があるような現実的な 実装にお!、ても高度に安全性の保証された量子鍵配送方法を得ることを目的とする 課題を解決するための手段

[0015] 上述した課題を解決し、目的を達成するために、本発明にかかる量子鍵配送方法 にあっては、基底およびデータに対応する 2つの乱数列によって規定された量子状 態を量子通信路上に送信する第 1の通信装置、および当該量子通信路上の量子状 態を乱数列により規定された基底を用いて測定することによりデータを得る第 2の通 信装置、にて実行され、送信側と同一の基底を用いた測定により得られたデータを受 信データとし、当該受信データに対応する乱数列を送信データとする量子鍵配送方 法において、前記送信データおよび前記受信データからそれぞれ所定数の同一位 置のデータを抽出し、抽出後の部分データの一致度 (エラー確率）に基づいて、鍵生 成に用いるデータにおけるエラー確率を推定するエラー確率推定ステップと、前記ェ ラー確率推定値と前記第 1の通信装置が備える量子状態生成器の特性に関する情 報に基づ 、て、量子通信路を通して盗聴者にもれた情報量を推定する情報量推定 ステップと、を含み、各通信装置は、前記盗聴者にもれた情報量の推定値に基づい て圧縮した後の送信データおよび受信データを各通信装置間で共有の暗号鍵とす ることを特徴とする。

[0016] つぎの発明に力かる量子鍵配送方法にぉ 、て、前記情報量推定ステップでは、前 記エラー確率推定値と、前記第 1の通信装置が備える量子状態生成器および前記 第 2の通信装置が備える量子状態測定器の特性と、に関する情報に基づいて、量子 通信路を通して盗聴者にもれた情報量を推定することを特徴とする。

[0017] つぎの発明にかかる量子鍵配送方法において、前記情報量推定ステップでは、第 1の通信装置が持つ送信データおよび第 2の通信装置が持つ受信データをそれぞ れ所定の数に分割し、当該分割データのそれぞれに対して盗聴者にもれた情報量 を推定することを特徴とする。

[0018] つぎの発明にかかる量子鍵配送方法においては、さらに、第 1の通信装置が持つ 送信データと第 2の通信装置が持つ受信データが一致しているかどうかを判定する ための所定の判定情報に基づ!、て判定処理を行!、、当該判定結果が不一致の場合 、前記各通信装置が持つデータを捨てる一致判定ステップ、を含み、前記一致判定 ステップでは、前記第 1の通信装置が、前記所定の判定情報として、「所定のランダ ム行列 X第 1の通信装置が持つ送信データ」の計算により特定ビット長の第 1の判定 情報を求め、当該第 1の判定情報を、公開通信路を介して前記第 2の通信装置に送 信し、前記第 2の通信装置が、前記所定の判定情報として、「所定のランダム行列 X 第 2の通信装置が持つ受信データ」の計算により前記第 1の判定情報と同一ビット長 の第 2の判定情報を求め、当該第 2の判定情報を、公開通信路を介して前記第 1の 通信装置に送信し、その後、前記第 1の通信装置が、前記判定処理として、前記第 1 の判定情報と前記第 2の通信装置から得られた第 2の判定情報とがー致しているか どうかを判定し、一方、前記第 2の通信装置が、前記判定処理として、前記第 2の判 定情報と前記第 1の通信装置から得られた第 1の判定情報とがー致しているかどうか を判定することを特徴とする。

[0019] つぎの発明にかかる量子鍵配送方法において、 2準位の量子系を前提とした場合 、前記情報量推定ステップでは、解析の比較的容易な近似プロトコル (性質のよい量 子状態を用いたプロトコル）と現実のプロトコル (現実の状況における送信誤差を含 む量子状態を用いたプロトコル)の変動距離の上限値を計算する第 1の工程と、前記 近似プロトコルにおいて、現実とは反対の基底を用いた場合に、前記エラー確率推 定値が真の値よりも小さく見積もられてしまう確率の上限値を計算する第 2の工程と、 送信データを条件とした場合の受信データおよび盗聴情報の条件付確率の上限値 を計算する第 3の工程と、前記第 2の工程にて得られる前記エラー確率推定値が真 の値よりも小さく見積もられてしまう確率の上限値、および前記第 3の工程にて得られ る条件付確率の上限値に基づ 、て、前記近似プロトコルにおける盗聴量を計算する 第 4の工程と、前記近似プロトコルにおける盗聴量、および前記第 1の工程にて得ら れる変動距離の上限値に基づいて、現実のプロトコルにおける盗聴量を計算し、そ の結果を、前記量子通信路を通して盗聴者にもれた情報量とする第 5の工程と、を含 むことを特徴とする。

[0020] つぎの発明にかかる量子鍵配送方法において、 2準位の量子系を前提とした場合 、前記情報量推定ステップでは、解析の比較的容易な近似プロトコル (性質のよい演 算子を用いたプロトコル）と現実のプロトコル (現実の状況における受信誤差を含む 測定に対応する演算子を用いたプロトコル)の変動距離の上限値を計算する第 1の 工程と、前記近似プロトコルにおいて、現実とは反対の基底を用いた場合に、前記ェ ラー確率推定値が真の値よりも小さく見積もられてしまう確率の上限値を計算する第 2の工程と、送信データを条件とした場合の受信データおよび盗聴情報の条件付確 率の上限値を計算する第 3の工程と、前記第 2の工程にて得られる前記エラー確率 推定値が真の値よりも小さく見積もられてしまう確率の上限値、および前記第 3のェ 程にて得られる条件付確率の上限値に基づ 、て、前記近似プロトコルにおける盗聴 量を計算する第 4の工程と、前記近似プロトコルにおける盗聴量、および前記第 1の 工程にて得られる変動距離の上限値に基づ 、て、現実のプロトコルにおける盗聴量 を計算し、その結果を、前記量子通信路を通して盗聴者にもれた情報量とする第 5の 工程と、を含むことを特徴とする。

[0021] つぎの発明に力かる量子鍵配送方法にぉ 、て、前記情報量推定ステップでは、前 記第 1の通信装置が備える量子状態生成器の特性に基づいて、または、前記第 1の 通信装置が備える量子状態生成器および前記第 2の通信装置が備える量子状態測 定器の特性に基づいて、鍵の持つ情報量を推定し、各通信装置は、前記鍵の持つ 情報量の推定値に基づ 、てそれぞれが持つデータを圧縮し、圧縮後のデータを各 通信装置間で共有の暗号鍵とすることを特徴とする。

[0022] つぎの発明にかかる量子鍵配送方法において、必ずしも 2準位とは限らない量子 系を前提とし、前記第 2の通信装置の観測値として「0」、「1」の他に「非検出」という 結果を想定し、さらに、全送信データを x[A]とし、当該 x[A]のうち第 2の通信装置で 検出できたデータ部分を x[D]とし、当該 x[D]のうち送信側と受信側で用いた基底 がー致した部分を x[C]とし、前記エラー確率推定ステップにて用いた部分データを x[R]とし、共有鍵生成用の部分データ (x[C]— x[R])を x[K]とした場合 (A、 D、 C 、 K、 Rはビット位置を示す部分集合に相当）、量子状態を、鍵の持つ情報量ができる だけ大きく見積もれるように、ヒルベルト空間上の第 1の密度演算子を含む部分 (部分 集合 Kのうちの部分 Lに相当）、第 2の密度演算子を含む部分 (部分集合 Kのうちの 部分 M (=K— L)に相当）に分解する第 1の工程と、前記部分 Mの持つ情報量を見 積もる第 2の工程と、前記部分 Lの持つ情報量を見積もる第 3の工程と、前記部分 M の持つ情報量と前記部分 Lの持つ情報量とを用いて前記部分 Kの持つ情報量を計 算する第 4の工程と、を含むことを特徴とする。

[0023] つぎの発明にかかる量子鍵配送方法は、 2つの非直交量子状態を用いる量子鍵配 送方式に対して適用可能とすることを特徴とする。 [0024] つぎの発明に力かる通信システムは、基底およびデータに対応する 2つの乱数列 によって規定された量子状態を量子通信路上に送信する第 1の通信装置と、当該量 子通信路上の量子状態を乱数列により規定された基底を用いて測定することにより データを得る第 2の通信装置と、から構成され、前記第 2の通信装置が、前記第 1の 通信装置と同一の基底を用いた測定により得られたデータを受信データとし、前記 第 1の通信装置が、当該受信データに対応する乱数列を送信データとする量子鍵配 送を実現する通信システムであって、前記第 1の通信装置は、前記送信データから 所定数の第 1の部分データを抽出し、一方で、前記第 2の通信装置から前記第 1の 部分データと同一位置の第 2の部分データ (前記受信データ力 抽出された部分デ ータ）を受信し、両方の部分データの一致度 (エラー確率）に基づいて、鍵生成に用 いるデータにおけるエラー確率を推定し、その後、前記エラー確率推定値と自装置 が備える量子状態生成器の特性に関する情報に基づいて、量子通信路を通して盗 聴者にもれた情報量を推定し、そして、当該盗聴者にもれた情報量の推定値に基づ いて圧縮した後の送信データを各通信装置間で共有の暗号鍵とする第 1の共有鍵 生成手段、を備え、前記第 2の通信装置は、前記第 2の部分データと前記第 1の通信 装置から受信した前記第 1の部分データとの一致度 (エラー確率）に基づいて、鍵生 成に用いるデータにおけるエラー確率を推定し、その後、前記エラー確率推定値と 前記第 1の通信装置が備える量子状態生成器の特性に関する情報に基づいて、量 子通信路を通して盗聴者にもれた情報量を推定し、そして、当該盗聴者にもれた情 報量の推定値に基づいて圧縮した後の受信データを各通信装置間で共有の暗号鍵 とする第 2の共有鍵生成手段、を備えることを特徴とする。

[0025] つぎの発明に力かる通信システムにおいて、前記第 1および第 2の共有鍵生成手 段は、前記エラー確率推定値と、前記第 1の通信装置が備える量子状態生成器およ び前記第 2の通信装置が備える量子状態測定器の特性に関する情報、に基づいて 、量子通信路を通して盗聴者にもれた情報量を推定することを特徴とする。

[0026] つぎの発明に力かる通信システムにおいて、前記第 1および第 2の共有鍵生成手 段は、さらに、第 1の通信装置が持つ送信データと第 2の通信装置が持つ受信デー タが一致しているかどうかを判定するための所定の判定情報に基づいて判定処理を 行い、当該判定結果が不一致の場合、前記各通信装置が持つデータを捨てる処理 を実行し、前記判定処理では、前記第 1の共有鍵生成手段が、前記所定の判定情 報として、「所定のランダム行列 X第 1の通信装置が持つ送信データ」の計算により 特定ビット長の第 1の判定情報を求め、当該第 1の判定情報を、公開通信路を介して 前記第 2の通信装置に送信し、前記第 2の共有鍵生成手段が、前記所定の判定情 報として、「所定のランダム行列 X第 2の通信装置が持つ受信データ」の計算により 前記第 1の判定情報と同一ビット長の第 2の判定情報を求め、当該第 2の判定情報を 、公開通信路を介して前記第 1の通信装置に送信し、その後、前記第 1の共有鍵生 成手段が、前記第 1の判定情報と前記第 2の通信装置から得られた第 2の判定情報 とが一致しているかどうかを判定し、一方、前記第 2の共有鍵生成手段が、前記第 2 の判定情報と前記第 1の通信装置から得られた第 1の判定情報とがー致しているか どうかを判定することを特徴とする。

つぎの発明に力かる通信装置にあっては、基底およびデータに対応する 2つの乱 数列によって規定された量子状態を量子通信路上に送信し、当該量子状態受信側 の通信装置において送信側と同一の基底を用いた測定により得られたデータ、に対 応する乱数列を第 1の送信データとする送信側の通信装置であって、たとえば、前記 第 1の送信データ力 所定数のビット位置のデータを抽出し、抽出後の部分データを 、公開通信路を介して前記受信側の通信装置に通知し、その後、前記受信側の通 信装置力も得られる同一ビット位置の部分データとの一致度 (エラー確率）に基づい て、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ以外 の残りのデータを第 2の送信データとするエラー確率推定機能と、所定の誤り訂正情 報を、公開通信路を介して前記第 2の通信装置に通知し、公開した誤り訂正情報の 量に応じて前記第 2の送信データを圧縮し、圧縮後のデータを第 3の送信データとす る誤り訂正機能と、前記第 3の送信データと受信側の通信装置から得られるデータと がー致して 、るかどうかを判定するための判定情報を、公開通信路を介して前記受 信側の通信装置に通知し、前記判定情報に基づく判定結果が不一致の場合、前記 第 3の送信データを捨て、一方、前記判定結果が一致の場合、公開した判定情報の 量に応じて前記第 3の送信データを圧縮し、圧縮後のデータを第 4の送信データとす る一致判定機能と、前記推定エラー確率および送信機または受信機の特性に関す る情報カゝら量子通信路を通して盗聴者にもれた情報量を推定する推定機能と、前記 盗聴者にもれた情報量の推定値に基づ!、て前記第 4の送信データを圧縮し、圧縮 後のデータを装置間で共有の暗号鍵とする共有鍵生成機能と、を有することを特徴 とする。

[0028] つぎの発明にかかる通信装置にあっては、量子通信路上の量子状態に対して乱数 列により規定された基底を用いて測定することにより得られたデータのうち、量子状態 送信側と同一の基底を用いた測定により得られたデータを第 1の受信データとする量 子状態受信側の通信装置であって、たとえば、前記第 1の受信データから所定数の ビット位置のデータを抽出し、抽出後の部分データを、公開通信路を介して光子送 信側の通信装置に通知し、その後、前記送信側の通信装置から得られる同一ビット 位置の部分データとの一致度 (エラー確率）に基づいて、鍵生成に用いるデータのェ ラー確率を推定し、さらに、公開した部分データ以外の残りのデータを第 2の受信デ ータとするエラー確率推定機能と、前記送信側の通信装置から得られる誤り訂正情 報に基づいて前記第 2の受信データの誤りを訂正し、前記送信側の通信装置により 公開された誤り訂正情報の量に応じて前記誤り訂正後の第 2の受信データを圧縮し 、圧縮後のデータを第 3の受信データとする誤り訂正機能と、前記第 3の受信データ と前記送信側の通信装置力 得られるデータとがー致しているかどうかを判定するた めの判定情報を、公開通信路を介して前記送信側の通信装置に通知し、前記判定 情報に基づく判定結果が不一致の場合、前記第 3の受信データを捨て、一方、前記 判定結果が一致の場合、公開した判定情報の量に応じて前記第 3の受信データを 圧縮し、圧縮後のデータを第 4の受信データとする一致判定機能と、前記推定エラー 確率および送信機または受信機の特性に関する情報カゝら量子通信路を通して盗聴 者にもれた情報量を推定する推定機能と、前記盗聴者にもれた情報量の推定値に 基づいて前記第 4の受信データを圧縮し、圧縮後のデータを装置間で共有の暗号 鍵とする共有鍵生成機能と、を有することを特徴とする。

[0029] つぎの発明に力かる通信装置にあっては、基底およびデータに対応する 2つの乱 数列によって規定された量子状態を量子通信路上に送信し、当該量子状態受信側 の通信装置において送信側と同一の基底を用いた測定により得られたデータ、に対 応する乱数列を第 1の送信データとする送信側の通信装置であって、前記第 1の送 信データ力も所定数のビット位置のデータを抽出し、抽出後の部分データを、公開通 信路を介して前記受信側の通信装置に通知し、その後、前記受信側の通信装置か ら得られる同一ビット位置の部分データとの一致度 (エラー確率）に基づいて、鍵生 成に用いるデータのエラー確率を推定し、さらに、公開した部分データ以外の残りの データを第 2の送信データとするエラー確率推定機能と、所定の誤り訂正情報を、公 開通信路を介して前記第 2の通信装置に通知し、公開した誤り訂正情報の量に応じ て前記第 2の送信データを圧縮し、圧縮後のデータを第 3の送信データとする誤り訂 正機能と、前記第 3の送信データと受信側の通信装置力 得られるデータとがー致し ているかどうかを判定するための判定情報を、公開通信路を介して前記受信側の通 信装置に通知し、前記判定情報に基づく判定結果が不一致の場合、前記第 3の送 信データを捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じ て前記第 3の送信データを圧縮し、圧縮後のデータを第 4の送信データとする一致 判定機能と、量子状態生成器の特性に基づいて、または、当該量子状態生成器およ び前記受信側の通信装置が備える量子状態測定器の特性に基づ!、て、鍵の持つ情 報量を推定する推定機能と、前記鍵の持つ情報量の推定値に基づ!、て前記第 4の 送信データを圧縮し、圧縮後のデータを装置間で共有の暗号鍵とする共有鍵生成 機能と、を有することを特徴とする。

つぎの発明にかかる通信装置にあっては、量子通信路上の量子状態に対して乱数 列により規定された基底を用いて測定することにより得られたデータのうち、量子状態 送信側と同一の基底を用いた測定により得られたデータを第 1の受信データとする量 子状態受信側の通信装置であって、前記第 1の受信データから所定数のビット位置 のデータを抽出し、抽出後の部分データを、公開通信路を介して光子送信側の通信 装置に通知し、その後、前記送信側の通信装置から得られる同一ビット位置の部分 データとの一致度 (エラー確率）に基づいて、鍵生成に用いるデータのエラー確率を 推定し、さらに、公開した部分データ以外の残りのデータを第 2の受信データとする エラー確率推定機能と、前記送信側の通信装置から得られる誤り訂正情報に基づ!ヽ て前記第 2の受信データの誤りを訂正し、前記送信側の通信装置により公開された 誤り訂正情報の量に応じて前記誤り訂正後の第 2の受信データを圧縮し、圧縮後の データを第 3の受信データとする誤り訂正機能と、前記第 3の受信データと前記送信 側の通信装置力 得られるデータとがー致しているかどうかを判定するための判定情 報を、公開通信路を介して前記送信側の通信装置に通知し、前記判定情報に基づ く判定結果が不一致の場合、前記第 3の受信データを捨て、一方、前記判定結果が 一致の場合、公開した判定情報の量に応じて前記第 3の受信データを圧縮し、圧縮 後のデータを第 4の受信データとする一致判定機能と、前記送信側の通信装置が備 える量子状態生成器の特性に基づいて、または、当該量子状態生成器および量子 状態測定器の特性に基づいて、鍵の持つ情報量を推定する推定機能と、前記鍵の 持つ情報量の推定値に基づ 、て前記第 4の受信データを圧縮し、圧縮後のデータ を装置間で共有の暗号鍵とする共有鍵生成機能と、を有することを特徴とする。 つぎの発明に力かる通信装置にあっては、データに対応する乱数列によって規定 された量子状態を量子通信路上に送信し、当該量子状態受信側の通信装置におけ る測定結果と一致も直交もしない量子状態、に対応する乱数列を第 1の送信データと する送信側の通信装置にであって、前記第 1の送信データ力 所定数のビット位置 のデータを抽出し、抽出後の部分データを、公開通信路を介して前記受信側の通信 装置に通知し、その後、前記受信側の通信装置から得られる同一ビット位置の部分 データとの一致度 (エラー確率）に基づいて、鍵生成に用いるデータのエラー確率を 推定し、さらに、公開した部分データ以外の残りのデータを第 2の送信データとする エラー確率推定機能と、所定の誤り訂正情報を、公開通信路を介して前記第 2の通 信装置に通知し、公開した誤り訂正情報の量に応じて前記第 2の送信データを圧縮 し、圧縮後のデータを第 3の送信データとする誤り訂正機能と、前記第 3の送信デー タと受信側の通信装置力 得られるデータとがー致しているかどうかを判定するため の判定情報を、公開通信路を介して前記受信側の通信装置に通知し、前記判定情 報に基づく判定結果が不一致の場合、前記第 3の送信データを捨て、一方、前記判 定結果が一致の場合、公開した判定情報の量に応じて前記第 3の送信データを圧 縮し、圧縮後のデータを第 4の送信データとする一致判定機能と、量子状態生成器 の特性に基づいて、または、当該量子状態生成器および前記受信側の通信装置が 備える量子状態測定器の特性に基づ!ヽて、鍵の持つ情報量を推定する推定機能と

、前記鍵の持つ情報量の推定値に基づいて前記第 4の送信データを圧縮し、圧縮 後のデータを装置間で共有の暗号鍵とする共有鍵生成機能と、を有することを特徴 とする。

[0032] つぎの発明にかかる通信装置にあっては、量子通信路上の量子状態に対して乱数 列により規定された基底を用いて測定することにより得られたデータのうち、送信側の 量子状態と一致も直交もしない測定結果、に対応するデータを第 1の受信データとす る量子状態受信側の通信装置であって、前記第 1の受信データから所定数のビット 位置のデータを抽出し、抽出後の部分データを、公開通信路を介して光子送信側の 通信装置に通知し、その後、前記送信側の通信装置から得られる同一ビット位置の 部分データとの一致度 (エラー確率）に基づいて、鍵生成に用いるデータのエラー確 率を推定し、さらに、公開した部分データ以外の残りのデータを第 2の受信データと するエラー確率推定機能と、前記送信側の通信装置力 得られる誤り訂正情報に基 づいて前記第 2の受信データの誤りを訂正し、前記送信側の通信装置により公開さ れた誤り訂正情報の量に応じて前記誤り訂正後の第 2の受信データを圧縮し、圧縮 後のデータを第 3の受信データとする誤り訂正機能と、前記第 3の受信データと前記 送信側の通信装置力 得られるデータとがー致しているかどうかを判定するための判 定情報を、公開通信路を介して前記送信側の通信装置に通知し、前記判定情報に 基づく判定結果が不一致の場合、前記第 3の受信データを捨て、一方、前記判定結 果が一致の場合、公開した判定情報の量に応じて前記第 3の受信データを圧縮し、 圧縮後のデータを第 4の受信データとする一致判定機能と、前記送信側の通信装置 が備える量子状態生成器の特性に基づいて、または、当該量子状態生成器および 量子状態測定器の特性に基づいて、鍵の持つ情報量を推定する推定機能と、前記 鍵の持つ情報量の推定値に基づ 、て前記第 4の受信データを圧縮し、圧縮後のデ ータを装置間で共有の暗号鍵とする共有鍵生成機能と、を有することを特徴とする。 発明の効果

[0033] この発明によれば、上記エラー確率推定ステップと誤り訂正ステップと一致判定ス テツプと情報量推定ステップとを実行し、さらに処理の過程で公開通信路を介して公 開した情報量および量子通信路を通して盗聴者にもれた情報量の推定値に基づい てデータを圧縮し、圧縮後のデータを装置間で共有の暗号鍵とすることとした。特に 、量子通信路を通して盗聴者にもれた情報量に関しては、送信機および受信機の特 性に基づいて推定することとした。これにより、現実的な実装においても、高度に安全 性の保証された共通鍵を効率良く生成することができる、という効果を奏する。

図面の簡単な説明

[0034] [図 1]図 1は、本発明に力かる量子暗号システムにおける通信装置の構成を示す図で ある。

[図 2-1]図 2—1は、本発明の量子鍵配送を示すフローチャートである。

[図 2- 2]図 2— 2は、本発明の量子鍵配送を示すフローチャートである。

[図 3]図 3は、有限ァフィン幾何に基づく「Irregular— LDPC符号」の構成法の一例 を示すフローチャートである。

[図 4]図 4は、有限ァフィン幾何符号 AG (2, 2²)のマトリクスを示す図である。

[図 5]図 5は、シンドローム生成部にて生成した Sを示す図である。

A

[図 6-1]図 6— 1は、情報 M x (n— k)を示す図である。

PC

[図 6- 2]図 6— 2は、情報 M y(n—krを示す図である。

PC

[図 7-1]図 7—1は、送信データ を示す図である。

[図⁷ -2]図 7— 2は、受信データ を示す図である。

[図 8-1]図 8— 1は、送信側の通信装置にて生成した暗号鍵 rを示す図である。

[図 8-2]図 8— 2は、受信側の通信装置にて生成した暗号鍵 rを示す図である。

[図 9]図 9は、従来の偏光を利用した量子鍵配送の概要を示す図である。

符号の説明

[0035] 1, 3 暗号鍵生成部

2, 4 通信部

10, 30 パリティ検査行列生成部

11, 31 乱数発生部

12 光子生成部 13, 34 公開通信路通信部

14 シンドローム生成部

15, 35 共有鍵生成部

21, 42 暗号化部

22, 41 送受信部

32 光子受信部

33 シンドローム復号部

発明を実施するための最良の形態

[0036] 以下に、本発明にかかる量子鍵配送方法および通信装置の実施例を図面に基づ いて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。 実施例 1

[0037] 量子鍵配送は、盗聴者の計算能力によらず、安全性の保証された鍵配送方式であ る力 たとえば、より効率よく共有鍵を生成するためには、伝送路を通ることによって 発生するデータの誤りを取り除く必要がある。そこで、本実施例では、極めて高い特 性をもつことが知られて 、る低密度パリティ検査（LDPC： Low-Density

Parity-Check)符号を用いて誤り訂正を行う場合の量子鍵配送にっ ヽて説明する。

[0038] 図 1は、本発明にかかる量子暗号システムにおける通信装置 (送信機，受信機)の 構成を示す図である。この量子暗号システムは、情報 Xを送信する機能を備えた送信 側の通信装置と、伝送路上で雑音等の影響を受けた情報 x、すなわち、情報 yを受信 する機能を備えた受信側の通信装置と、を備えている。

[0039] また、送信側の通信装置は、量子通信路を介して情報 Xを送信し、さらに公開通信 路を介して送受信する情報および盗聴者にもれた情報量 (見積もり量）に基づ 、て暗 号鍵 (受信側との共通鍵)を生成する暗号鍵生成部 1と、暗号ィ匕部 21が暗号鍵に基 づいて暗号ィ匕したデータを、送受信部 22が公開通信路を介してやりとりする通信部 2と、を備え、受信側の通信装置は、量子通信路を介して情報 yを受信し、さらに公開 通信路を介して送受信する情報および盗聴者にもれた情報量 (見積もり値）に基づ いて暗号鍵 (送信側との共通鍵)を生成する暗号鍵生成部 3と、暗号ィ匕部 42が暗号 鍵に基づいて暗号ィ匕したデータを、送受信部 41が公開通信路を介してやりとりする 通信部 4と、を備えている。

[0040] また、上記暗号鍵生成部 1は、パリティ検査行列生成部 10と、乱数発生部 11と、光 子生成部 12と、公開通信路通信部 13と、シンドローム生成部 14と、共有鍵生成部 1 5と、を備え、上記暗号鍵生成部 3は、パリティ検査行列生成部 30と、乱数発生部 31 と、光子受信部 32と、シンドローム復号部 33と、公開通信路通信部 34と、共有鍵生 成部 35と、を備えている。なお、上記暗号鍵生成部 1および 3において用いる量子状 態は、光子の偏光に限定する必要はなぐ 2準位の量子系であればどのようなものを 用いてもよい。

[0041] 上記送信側の通信装置では、量子通信路上に送信する情報 Xとして、偏光フィルタ 一を用いて所定の方向に偏光させた光（図 9参照)を、受信側の通信装置に対して 送信する。一方、受信側の通信装置では、水平垂直方向（0° , 90° )の偏光を識 別可能な測定器と斜め方向 (45° , 135° )の偏光を識別可能な測定器とを用いて 、量子通信路上の、水平方向（0° )に偏光された光と垂直方向（90° )に偏光され た光と 45° 方向に偏光された光と 135° 方向に偏光された光とを識別する。なお、 各測定器は、規定された方向に偏光された光については正しく認識できる力 たとえ ば、斜め方向に偏光された光を水平垂直方向（0° , 90° )の偏光を識別可能な測 定器にて測定すると、水平方向と垂直方向に偏光された光をそれぞれ 50%の確率 でランダムに識別することになる。すなわち、識別可能な偏光方向に対応していない 測定器を用いた場合には、その測定結果を解析しても、偏光された方向を正しく識 別することができない。

[0042] 以下、上記量子暗号システムにおける各通信装置の動作、すなわち、本実施例に おける量子鍵配送について詳細に説明する。図 2は、本実施例の量子鍵配送を示 すフローチャートであり、詳細には、図 2—1は送信側の通信装置の処理を示し、図 2 2は受信側の通信装置の処理を示す。

[0043] まず、上記送信側の通信装置および受信側の通信装置では、パリティ検査行列生 成部 10, 30力 特定の線形符号のパリティ検査行列 H (n列 X k行)を求め、このパリ ティ検査行列 Hから「HG = 0」を満たす生成行列 G ( (n-k)列 X n行）を求め、さらに 、 G— G=I (単位行列）となる Gの逆行列 G— 列 X (n— k)行)を求める (ステップ S1 ,ステップ SI 1)。本実施例では、上記特定の線形符号として、シャノン限界に極めて 近 、優れた特性をもつ LDPC符号を用いた場合の量子鍵配送にっ 、て説明する。 なお、本実施例では、誤り訂正方式として LDPC符号を用いることとした力 これに限 らず、たとえば、ターボ符号等の他の線形符号を用いることとしてもよい。また、たとえ ば、後述する誤り訂正情報 (シンドローム）と情報 Xの線形性が確保されるのであれば 、どのような行列 Hを用いてもよい。

[0044] ここで、上記ノ^ティ検査行列生成部 10における LDPC符号の構成法について、 詳細には、有限ァフィン幾何に基づく「Irregular— LDPC符号」の構成法（図 2ステ ップ S1の一例）について説明する。図 3は、有限ァフィン幾何に基づく「Irregular— LDPC符号」の構成法の一例を示すフローチャートである。なお、パリティ検査行列 生成部 30については、ノ^ティ検査行列生成部 10と同様の処理を行うのでその説明 を省略する。また、本実施例における検査行列生成処理は、たとえば、設定されるパ ラメータに応じてノ^ティ検査行列生成部 10で実行する構成としてもよいし、通信装 置外部の他の制御装置 (計算機等)で実行することとしてもよ!/、。本実施例における 検査行列生成処理が通信装置外部で実行される場合は、生成済みの検査行列が通 信装置に格納される。以降の実施例では、パリティ検査行列生成部 10で検査行列 生成処理を実行する場合につ！ヽて説明する。

[0045] まず、パリティ検査行列生成部 10では、「Irregular— LDPC符号」用の検査行列 のベースとなる有限ァフィン幾何符号 AG (2, 2^s)を選択する（図 3、ステップ S21)。こ こでは、行の重みと列の重みがそれぞれ 2^sとなる。図 4は、たとえば、有限ァフィン幾 何符号 AG (2, 2²)のマトリクスを示す図（空白は 0を表す)である。つぎに、パリティ検 查行列生成部 10では、符号ィ匕率 rate (1—シンドローム長 Z鍵の長さ）を決定する（ ステップ S22)。

[0046] つぎに、ノ リティ検査行列生成部 10では、ガウス近似法（Gaussian Approximation )による最適化を用いて、符号化率 rateに基づぐ分割後（n列 X k行への分割）の列 の重み配分と行の重み配分とを求める（ステップ S23)。

[0047] 最後に、パリティ検査行列生成部 10では、上記で求めた重み配分に基づいて、有 限ァフィン幾何における行および列を分割して (ステップ S24)、 n列 X k行のノ リティ 検査行列 Hを生成する。このとき、本実施例における有限ァフィン幾何符号の分割処 理は、規則的に分割するのではなぐ各行または各列から「1」の番号をランダムに抽 出すること〖こより分割する。なお、この抽出処理は、ランダム性が保持されるのであれ ばどのような方法を用いてもよ!、。

[0048] たとえば、 AG (2, 2⁵)における 1列中の「1」の行番号が、

B (χ) = { 1 32 114 136 149 223 260 382 402 438 467 507 574 579 588 622

1

634 637 638 676 717 728 790 851 861 879 947 954 971 977 979 998} の場合、分割後の行列における 1〜4列目 R (n)は、 B (X)から「1」の番号がランダム m 1

に抽出され、たとえば、

R (η) = { 1 114 574 637 851 879 977 979}

1

R (n) = {32 136 402 467 588 728 861 971 }

2

R (n) = { 149 260 382 438 579 638 717 998}

3

R (n) = {223 507 622 634 676 790 947 954}

4

となる。

[0049] このように、本実施例では、図 3に示す上記有限ァフィン幾何に基づく「Irregular — LDPC符号」の構成法を実行することによって、確定的で特性が安定した「Irregul ar— LDPC符号」用の検査行列 H (n列 X k行)を生成する。

[0050] 上記のように、ノ^ティ検査行列 H,生成行列 G, G— G— G=I :単位行列）を生成 後、つぎに、送信側の通信装置では、乱数発生部 11が、乱数列（1, 0の列:送信デ ータ)を発生し、さらに送信コード（+：水平垂直方向に偏光された光を識別可能な測 定器に対応したコード， X：斜め方向に偏光された光を識別可能な測定器に対応し たコード）をランダムに決定する (ステップ S2)。一方、受信側の通信装置では、乱数 発生部 31が、受信コード（+：水平垂直方向に偏光された光を識別可能な測定器に 対応したコード， X：斜め方向に偏光された光を識別可能な測定器に対応したコード )をランダムに決定する (ステップ S 12)。

[0051] つぎに、送信側の通信装置では、光子生成部 12が、上記乱数列と送信コードの組 み合わせで自動的に決まる偏光方向で光子を送信する (ステップ S3)。たとえば、 0と +の組み合わせで水平方向に偏光された光を、 1と +の組み合わせで垂直方向に 偏光された光を、 0と Xの組み合わせで 45° 方向に偏光された光を、 1と Xの組み合 わせで 135° 方向に偏光された光を、量子通信路にそれぞれ送信する（送信信号）

[0052] 光子生成部 12により生成した光信号を受け取った受信側の通信装置の光子受信 部 32では、量子通信路上の光を測定する (受信信号)。そして、受信コードと受信信 号の組み合わせによって自動的に決まる受信データを得る (ステップ S 13)。ここでは 、受信データとして、水平方向に偏光された光と +の組み合わせで 0を、垂直方向に 偏光された光と +の組み合わせで 1を、 45° 方向に偏光された光と Xの組み合わせ で 0を、 135° 方向に偏光された光と Xの組み合わせで 1を、それぞれ得る。

[0053] つぎに、受信側の通信装置では、上記測定が送信側と同一の基底を用いた測定か どうか、すなわち、正しい測定器で行われたものかどうかを調べるために、乱数発生 部 31が、上記受信データに対応する受信コード (基底)および光子が検出できなか つた位置を、公開通信路を介して送信側の通信装置に対して送信する (ステップ S1 3)。受信コードを受け取った送信側の通信装置では、乱数発生部 11が、受信側に て光子を検出できた位置における測定が正しい測定器で行われたものかどうかを調 ベ、その調査結果を、公開通信路を介して受信側の通信装置に対して送信する (ス テツプ S3)。

[0054] そして、受信側の通信装置では、乱数発生部 31が、上記調査結果に基づいて正し い測定器で測定された受信データだけを残し、その他を捨てる (ステップ S 13)。また 、送信側の通信装置においても、乱数発生部 11が、受信側にて正しい測定器で測 定された受信データに対応する送信データだけを残し、その他を捨てる (ステップ S3 )。その後、残ったビットの位置の集合: Cに対応するデータ（送信データ x[C]および 受信データ y[C])をメモリ等に保存する (y[C]は伝送路上で雑音等の影響を受けた x[C]) ₀

[0055] つぎに、受信側の通信装置および送信側の通信装置では、上記送信データ x[C] と上記受信データ y[C]の一致度をチェックする (ステップ S4, S14)。具体的には、 まず、共有鍵生成部 15が、送信データ x[C]を読み出し、一致度チェックに用いるビ ット位置 (送信データ x[C]のビット位置の集合: C力 ランダムに抽出したビット位置 の部分集合: R)を、公開通信路を介して受信側の通信装置に対して送信する。なお 、上記部分集合 Rの公開は、受信側の通信装置で行うこととしてもよい。この時点で、 部分集合 Rが送信側と受信側で共有できている。そして、共有鍵生成部 15では、部 分集合 Rに対応する送信データ x[C]の一部分、すなわち、送信データ x[R]を、公 開通信路を介して受信側の通信装置に対して送信する。

[0056] 一方、受信側の通信装置の共有鍵生成部 35では、部分集合 Rに対応する受信デ ータ y[C]の一部分、すなわち、受信データ y[R]を、公開通信路を介して送信側の 通信装置に対して送信する。なお、部分集合: Rが公開されているので、残りの部分 集合: K ( = C R)に対応する送信データ X [K]および受信データ y [K]が共有鍵を 生成するためのデータとなる。また、本実施例では、たとえば、部分集合 Rを大きくと ると、一致度チェックの精度は向上する力 鍵長が短くなり、逆に、部分集合: Rを小 さくとると、一致度チェックの精度は低下するが、鍵長を長くとることができる。

[0057] その後、共有鍵生成部 15では、送信データ x[R]と受信側から送られてきた受信デ ータ y[R]とを比較する。たとえば、部分集合 Rの個数を n

Rとし (残りのビット位置の集 合の個数を nとする）、比較した結果一致しな力つたデータ数 (エラー数)を nとした

K e 場合の、受信データ y[R]のエラー確率 P =n Zn

R e Rを求める。一方、共有鍵生成部 3

5では、受信データ y[R]と送信側から送られてきた送信データ x[R]とを比較し、上 記同様、受信データ y[R]のエラー確率 P =n Znを求める。この時点では、エラー

R e R

確率 P

Rが送信側と受信側で共有できて!、る。

[0058] そして、共有鍵生成部 15では、一致度チェックの最終的な結果として、たとえば、 上記エラー確率 Pに基づいて、部分集合 Kにおけるエラー確率 Pの推定値 P+を下

R K

記（1)式により計算する。ここでは、セキュリティパラメータ δ を導入した。

[0059] このとき、エラー確率の推定値 Ρ+が真の値 Ρよりも小さく見積もられてしまう確率 Pr[

K

p+≤p ]の上限値 _ε は、セキュリティパラメータ δ を用いて、下記（2)式で与えられ

Κ ρ ρ

る。なお、下記上限値 ε は、推定値 Ρ+が真の値 Ρよりも小さく見積もられてしまう確

Ρ κ

率の上限値となっていればよぐその形は下記（2)式に限定しない。また、以下の ε についても同様である。 ε =exp (- 2n ( δ ) ²)≥Pr[P⁺≤P ] - -- (2)

p R p K

[0060] なお、エラー推定と誤り訂正を同時に行う場合は、たとえば、適切な線形符号の族 を構成し、追加シンドローム処理による適応的な復号を行う。このような場合、 P+およ び ε の計算式を下記（3)式と差し替える。

Ρ

Ρ+=Ρ

R

ε =0 - (3)

Ρ

ただし、 R=K=C、 n =nである。

R K

[0061] つぎに、送信側の通信装置では、シンドローム生成部 14が、パリティ検査行列 H (n 列 X k行）と送信データ x[K]を用いて x[K]のシンドローム S =Ηχ[Κ]を計算し、そ

A

の結果を、公開通信路を介して受信側の通信装置に通知する (ステップ S5)。図 5は 、シンドローム生成部 14にて生成した Sを示す図である。この段階で、 x[K]のシンド

A

ローム S (kビット分の情報）は盗聴者に知られる可能性がある。一方、受信側の通信

A

装置では、公開通信路通信部 34にて x[K]のシンドローム Sを受信し、それをシンド

A

ローム復号部 33に通知する（ステップ S 15)。

[0062] シンドローム復号部 33では、予め生成しておいたパリティ検査行列 Hと受信データ y[K]を用いて y[K]のシンドローム S =Hy[K]を計算し、さらに、 x[K]のシンドロー

Β

ム Sと y[K]のシンドローム Sを用いてシンドローム S = S +Sを計算する。そして、

A B A B

シンドローム Sに基づいて送信データ x[K]を推定する。すなわち、誤り訂正後の受 信データ γ[ΚΓを求める（ステップ S16)。ここでは、

y[K] =x[K] +e (雑音等） …(

とし、下記（5)式に示すようにシンドローム Sを変形した後、シンドローム復号により e を求め、送信データを推定する。なお、下記（5)式中の +は排他的論理和を表す。

S = S +S

A B

= Hx[K] +Hy[K]

= H (x[K] +y[K])

= H (x[K] +x[K] +e)

=He - -- (5)

[0063] つぎに、受信側の通信装置では、共有鍵生成部 35が、上記ステップ S5およびステ ップ S 15の処理で公開された誤り訂正情報 (盗聴された可能性のある上記 kビット分 の情報： S )に応じて受信データ y[Krの一部を捨てて、（n—k)ビットの長さをもつ

A

受信データ y(n— k) 'を生成する (ステップ S17)。すなわち、共有鍵生成部 35では、 先に計算しておいた G—¹ (n X (n k) )を用いて下記（6)式により受信データ y (n—k) を生成する。

y(n-k) ' =G^_1y[K] ' · '· (6)

[0064] 一方、送信側の通信装置においても、共有鍵生成部 15が、公開された誤り訂正情 報 (盗聴された可能性のある上記 kビット分の情報: S )に応じて送信データ x[K]の

A

一部を捨てて、 n— kビットの長さを持つ送信データ X (n—k)を生成する (ステップ S6 )。すなわち、共有鍵生成部 15では、先に計算しておいた G— n X (n—k) )を用いて 下記（7)式により送信データ X (n—k)を生成する。

x(n-k) =G^_1x[K] - -- (7)

[0065] つぎに、送信側の通信装置および受信側の通信装置では、それぞれ送信データ X

(n—k)と受信データ y(n—krとが一致しているかどうかをチヱックする（ステップ S7 ,ステップ S18)。具体的には、まず、共有鍵生成部 15および 35が、セキュリティパラ メータ： sを決定する。このセキュリティパラメータ s (このステップで公開するビット長に 相当）は、システムが要求する安全性に応じて決定される値であり、固定値であれば 、両者が予め保存しておき、可変値であれば、その都度どちらか一方が他方に公開 することになる。このセキュリティパラメータ sが大きい場合には、鍵長が短くなるが安 全性が向上し、逆に、小さい場合には、安全性が低下するが鍵長を長くすることがで きる。

[0066] たとえば、どちらか一方の共有鍵生成部力 （n k)列 X s行のランダム行列 M を

PC

生成し、そのランダム行列 M を、公開通信路を介して他方の通信装置に送信する。

PC

この時点で、ランダム行列 M が送信側と受信側で共有できている。さらに、各共有

PC

鍵生成部では、それぞれ、ランダム行列 M から「M -G (M ) =0」を満たす (n—k

—s)列 X (n—k)行の生成行列 G (M (単

位行列）を満たす G (M )の逆行列 G— )を求める（G— )は (n— k)列 X (n

PC PC PC

k s)行の行列)。 [0067] そして、たとえば、共有鍵生成部 15では、「ランダム行列 M X送信データ x (n— k

PC

)」を計算し、セキュリティパラメータ sビット分の情報 M x (n— k)を、公開通信路を介

PC

して受信側の通信装置に送信する。図 6— 1は、情報 M x(n— k)を示す図である。

PC

一方、共有鍵生成部 35では、「ランダム行列 M X受信データ y (n— k) '」を計算し、

PC

セキュリティパラメータ sビット分の情報 M y(n— k) 'を、公開通信路を介して送信側

PC

の通信装置に送信する。図 6— 2は、情報 M y(n—k;rを示す図である。

PC

[0068] その後、共有鍵生成部 15では、受信側の通信装置から得られた情報 M y(n-k)

PC

'と上記計算結果である情報 M x (n-k)とが一致しているかどうかをチヱックする。

PC

そして、一致している場合は、下記（8)式を計算し、送信データ x (n— k)を圧縮する 。すなわち、圧縮後の (n k s)ビットの送信データ を得る。図 7— 1は、送信デー タ を示す図である。なお、一致しない場合は、送信データ x (n—k)を捨てる。 x' =G^_1 (M ) x (n-k) - -- (8)

PC

[0069] また、共有鍵生成部 35では、送信側の通信装置から得られた情報 M x(n— k)と

PC

上記計算結果である情報 M y(n—krとが一致しているかどうかをチェックする。そ

PC

して、一致している場合は、下記（9)式を計算し、受信データ y(n— k) 'を圧縮する。 すなわち、圧縮後の (n k s)ビットの受信データ を得る。図 7— 2は、受信デー タ を示す図である。なお、一致しない場合は、受信データ y(n— k) 'を捨てる。 y' =G^_1 (M )y(n-k) ' · '· (9)

PC

[0070] また、本実施例においては、上記チェックで一致しているにもかかわらず、誤り訂正 後の受信データ y(n k) 'と送信データ x (n k)がー致していない確率 ε は、 ε = 2— ^s - -- (10)

で表すことができ、 sが大きい場合には上記確率が下がり、 sが小さい場合には上記 確率が上がる。

[0071] つぎに、送信側の通信装置および受信側の通信装置では、量子通信路を通して 盗聴者にもれた情報量 (の上限値) Iを推定する (ステップ S8,ステップ S19)。ここで

E

は、送信側の通信装置と受信側の通信装置の両方で盗聴者にもれた情報量 I

E (量子 通信路を通してもれた情報量の見積もり値)を計算することとしてもよいし、または、送 信側の通信装置で Iを計算し、その結果を受信側に公開することとしてもよい。以下 では、特に、両方で I

Eを計算する場合について説明する。

[0072] 送信側の通信装置では、共有鍵生成部 15が、下記のように、前記エラー確率推定 値と送信側の通信装置が備える量子状態生成器の特性に関する情報に基づいて、 量子通信路を通して盗聴者にもれた情報量を計算する。まず、解析の比較的容易な 近似プロトコル (性質のよい量子状態が送信機力も出力されるプロトコル)を考え、現 実のプロトコルと近似プロトコルの測定結果の差 (変動距離)の上限値を計算する。さ らに、近似プロトコルにおいて、部分集合 Kに対応する位置に関して現実とは反対の 基底を用いた場合に、エラー確率の推定値が真の値よりも小さく見積もられてしまう 確率の上限値を計算する。加えて、部分集合 Kに対応する位置に関して、送信デー タを条件とした場合の、受信データおよび盗聴情報の条件付確率の上限値を計算 する。これらの値を用いて、最終的に盗聴者にもれた情報量の上限値を計算する。

[0073] ここで、量子通信路を通して盗聴者にもれた情報量の計算処理について説明する 。まず、実際に送信機から出力される 0° , 90° , 45° , 135° 方向に偏光された光 子の量子状態 (送信機誤差を含む送信状態)を P , p , p , と表す。この量

00 01 10 11

子状態 P , p , p ,

00 01 10 11は予め受信側の通信装置に対して公開しておく。ただし

、送信側の通信装置で I

Eを計算し、その結果を受信側に公開する場合には、量子状 態 p , p , p ,

00 01 10 11を公開する必要はない。

[0074] 送信機において、基底 0(0° , 90° 基底）および 1(45° , 135° 基底）が選択さ れる確率をそれぞれ P (0), p (1)と表す。また、送信機において、データ 0および 1 b b

が選択される確率をそれぞれ (0), p (1)と表す。送信機が理想的な場合、これら 4 つの値はすべて 1Z2となる。

[0075] 量子状態 σ , σ , σ , σ として、下記（11)式を満たし、かつ、下記（12)式中

00 01 10 11

の Δおよび Δを最小化するものを選ぶ。ただし、 Iは 2次元ヒルベルト空間上の単位

0 1

演算子を表す。

、σ ) = σ , ( σ ) = σ ， σ + σ =1

00 00 01 01 00 01

( σ )²= σ ， ( σ )²= σ ， σ + σ =1 ··* (11)

10 10 11 11 10 11

Δ =d((l/2) ρ -(1/2) σ )+d((l/2) ρ -(1/2) σ )

0 00 00 01 01

Δ =d((l/2) ρ -(1/2) σ )+d((l/2) ρ -(1/2) σ ) -(12)

なお、上記（11)式における d(A)は、演算子 Aのトレースノルムを表している。すなわ ち、 d(A)は下記（13)式で計算する。ただし、上付き文字の *は複素共役転置を表 す。

d(A)=Tr ( (A*A)) 〜（13)

[0076] 部分集合 Kにおいて用いられた基底に対応する nビットの乱数を aと表す。上記 Δ

K 0 および Δを用いて、量子状態 p , p , p , の代わりに量子状態 σ , σ , σ

1 00 01 10 11 00 01

, σ を用いた場合の測定結果の差 (変動距離)の上限値 ε を下記（14)式で計算

10 11 Κ

する。ただし、 ηは、 aの中の 0の数、 nは、 aの中の 1の数を表す。また、 ΔΚはビット

0 1

列 x[K]を生成する確率分布 p (χ[Κ])と一様分布との変動距離の上限値を表す。

X

ε =η Δ +η Δ + Δ ·'·(14)

Κ 0 0 1 1 κ

[0077] 前記ビット列 aをビットごとに反転させたものを と表す。確率分布 pにしたがってビ b

ット列 aが生成される確率を p (a)、ビット列 が生成される確率を p (a と表す。量 b b

子状態 P , p , p , の代わりに量子状態 σ , σ , σ , σ を用い、さらに、

00 01 10 11 00 01 10 11 基底 aの代わりに反転基底 を用いた場合に、対応するエラー確率の推定値 P+が真 の値 Pよりも小さく見積もられてしまう確率の上限値 ω を、下記（15)式により計算す

Κ Κ

る。

ω =2 ε p (a; / p (a ) (15)

K K b b

[0078] また、送信機から出力される基底 0(0° , 90° 基底）に対応する平均量子状態 p

0

、および基底 1(45° , 135° 基底）に対応する平均量子状態 p を、下記（16)式お

1

よび（17)式により計算する。

P =P (0) p +p (1) ー（16)

0 00 01

P =P (0) p +p (1) ー（17)

1 10 11

[0079] さらに、量子状態 σ , σ , σ , σ によって定まるパラメータ qを下記（18)式によ

00 01 10 11

り計算する。

q = max{Tr σ σ , Tr σ σ } ·'·、ι8)

00 10 00 11

これを用いて、部分集合 κに対応する位置に関して、送信データを条件とした場合の 、受信データおよび盗聴情報の条件付確率の上限値 π を下記（19)式により計算

Κ する。

_ nK(h(P+)+log(q)) · · · ( 19)

K

ただし、上記（19)式の中の logは底が 2の対数関数を表し、 h(p)は、下記（20)式で 計算する。

h(p) = -plog(p) (l-p)log(l-p) …（20)

[0080] 量子状態 σ , σ , σ , σ を用いたと仮定した場合の盗聴者にもれる盗聴量 I

00 01 10 11 Q を下記（20)式により計算する。ただし、 cは 0より大きな実数で、下記（21)式ができる だけ小さくなるものを選ぶものとする。

I =n +(l-l/c) (1ο₈(π )— 21og(l— ( (cco ))))

Q K K K

ー(21)

[0081] さらに、量子状態 p , p , p , を用いた現実の状況において盗聴者にもれ

00 01 10 11

る盗聴量 Iを下記（22)式により計算する。

E

I =1 + ε (3n -21og ε ) ·'·(22)

Ε Q Κ Κ Κ

[0082] 上記（22)式は、近似プロトコルにお ヽて盗聴者に漏れる盗聴量を Iとした場合の、

Q

現実のプロトコルにおける盗聴量の上限になっていればよぐ上記の形に限定しない

[0083] 現実の実装においては、送信機の特性が確率 1で特定できるとは限らない。たとえ ば、送信機が常に単一光子を出力できるとは限らない。そこで、送信機の特性を表 すパラメータの組 ， ρ (0), ρ (1), ρ (0), ρ (1)に注目し、 1— e

00 01 10 11 b b x x s 以上の確率でこれらのパラメータの組が集合 Sに含まれる状況を想定する。ここで、 セキュリティパラメータ δを用いて、ノ ラメータ e+を下記（24)式により計算する。

s

e⁺=e + δ ---(24)

このとき、部分集合 Κにおいて、送信機が想定外の状態を送信してしまう回数 ηが、 η s

+=e+nよりも小さくなつてしまう確率の上限 ε は、下記（25)式で計算できる。

K

ε =exp(-2n (δ )²)≥Pr[n≤n] ·'·(25)

s Κ s s

[0084] 部分集合 Kにお ヽて、送信機が想定外の状態を送信してしまう回数が、上記 ηであ ると仮定する。このとき、部分集合 Κにおいて送信機が想定どおりの状態を送信して いる位置に相当する部分集合をしとする。部分集合 Lの長さは η =η η+である。さ

L Κ らに、部分集合 Lにおいて用いられた基底に対応する nビットの乱数を aと表し、これ し し をビット毎に反転させたものを a を表す。（14)式の ε と同様に、 ε を下記（26)式

L K L

により計算する。ただし、 mは、 aの中の 0の数、 mは、 aの中の 1の数を表す。また

0 し 1 し

、 ALは部分集合 Lにおけるビット列 x[L]を生成する確率分布 p (x[L])と一様分布

X

との変動距離の上限値を表す。

:m Δ +m Δ + Δ ---(26)

L

[0085] (15)式および（19)式の代わりに、 ωおよび π を下記（27)式および（28)式によ

L L

り計算する。ただし、 maxは、長さ nを固定した状況における、部分集合 Lに関する し し

最大化を表す。

ω =max {2 ε p (a )/p (a ')} ·'·(27)

し し し b し b し

_ nL(h((nK/nL)P+)+log(q)) · · · (2 ヽ

し

なお、上記 Lに関する最大化の計算が困難な場合は、最大値の代わりに上限値を用 いることとしてもよい。また、上記（28)式の中の関数 hへの入力「（n Zn )P+」に関し

K L

ては、部分集合 Lにおけるエラー確率の上限値になっていればよぐ上記の形に限 定しない。たとえば、部分集合 Kにおけるエラーの発生が、送信機が想定どおりに動 作するか否かと独立な場合は、入力を「P + (n Zn ) δ Zn

R R し P し」で置き換えてもよい。

[0086] (21)式および（22)式の代わりに、 I および I を下記（29)式および（30)式により

Q E

計算する。

I '=n +(l-l/c) (1ο₈(π )—21og(l—（ (cco ))))

Q L L L

ー(29)

I '=1 '+ ε (3n -21og ε ) ---(30)

E Q L L L

なお、上記（30)式は、部分集合 Lに関して、近似プロトコルの盗聴量の上限値が I '

Q

であるときの現実のプロトコルにおける盗聴量の上限になっていればよぐ上記の形 に限定しない。

[0087] さらに、盗聴者にもれる盗聴量 Iを下記（31)式により計算する。ただし、 I '=η+で

Ε

める。

I =1 '+Ι ' ·'·(31)

E E

なお、 I Ίま想定外の送信量子状態から盗聴者が得ることのできる情報量の上限に なっていればよい。

[0088] 最後に、上記（31)式の盗聴量 Iを集合 Sに関して最大化し、得られた最大値を求

E

める盗聴量とする。なお、上記 Sに関する最大化の計算が困難な場合は、最大値の 代わりに上限値を用いることとしてもょ 、。

[0089] つぎに、前記エラー確率推定値と送信側の通信装置が備える量子状態生成器およ び受信側の通信装置が備える量子状態測定器の特性に関する情報に基づいて、量 子通信路を通して盗聴者にもれた情報量を推定する場合について、以下に記す。ま ず、受信機が行う 0° , 90° , 45° , 135° 方向の測定 (受信機誤差を含む測定)に 対応する演算子を E , E , E , E と表す。また、送信機から出力される基底 0に対

00 01 10 11

応する平均量子状態および基底 1に対応する平均量子状態の完全混合状態からの 差異のトレースノルムの上限を、それぞれ▽および▽と表す。すなわち、▽および

0 1 0

Vに関して、下記（32)式および（33)式が成り立っているものとする。

1

d(p - (1/2)1)≤V 〜（32)

0 0

d(p - (1/2)1)≤V 〜（33)

1 1

[0090] さらに、測定に対応する演算子 F , F , F , F として、下記（34)式を満たし、力

00 01 10 11

つ、下記（35)式中の Δおよび Δを最小化するものを選ぶ。ただし、 Iは 2次元ヒル

0 1

ベルト空間上の単位演算子を表す。

(F )² = F , (F )² = F , F +F =1

00 00 01 01 00 01

(F )² = F , (F )² = F , F +F =1 ---(34)

10 10 11 11 10 11

Δ =d((l/2)E -(1/2)F )+d((l/2)E -(1/2)F )

0 00 00 01 01

Δ =d((l/2)E -(1/2)F )+d((l/2)E -(1/2)F )

1 10 10 11 11

ー(35)

[0091] 特に、上記 および Δカ^の場合は、前記▽および▽として、下記（36)式を満

0 1 0 1

たす Δを用いることができる。すなわち、 Δ =Δ =0の場合は、下記（36)式中の Δ ρ 0 1

を用いて、 V =V =Δとすることができる。

Ρ 0 1 ρ

d(p - )≤Δ ー（36)

0 1 ρ

[0092] (14)式、（18)式および（26)式の代わりに、 ε 、 qおよび ε を、下記（37)式、（38

K L

)式および（39)式により計算する。 ε =n ( Δ +▽ ) +n ( Δ +▽ ) + Δ - (37)

Κ 0 0 0 1 1 1 κ

q = max{TrF F , TrF F } •••(38)

00 10 00 11

ε =m ( Δ +▽ ) +m ( Δ +▽ ) + Δ •••(39)

[0093] 一般に、誤り訂正の特性は、符号長 (本実施例においては η )が長ければ長いほど

Κ

よい。一方、盗聴量 Iは、必ずしも ηが長ければよいというわけではない。そこで、誤

Ε Κ

り訂正のための符号長と盗聴量 Iの推定のためのビット列の長さを変えることによって

Ε

、より特性の高い量子鍵配送法を構成できる。すなわち、部分集合 Κを所定の数に 分割し、分割された部分集合それぞれに対して盗聴量 Iを計算するものとする。ここ

Ε

で、分割数は、各分割部分集合に対する盗聴量 Iの

Ε 合計ができるだけ小さくなるよう に適ふ。

[0094] なお、本実施例では、受信側の通信装置においても、上記と同様の処理で盗聴者 にもれた情報量 I

Εを計算する。

[0095] つぎに、送信側の通信装置および受信側の通信装置では、上記ステップ S8および ステップ S 19の処理で計算した情報量 Iに基づいて、送信データ および受信デー

Ε

タ の一部を捨てて、（n—k—s—T—v)ビット分の情報量を備えた暗号鍵 rを生成 する (ステップ S9,ステップ S20)。なお、共有鍵生成部 15および 35は、上記情報量 Iのマージンとして、セキュリティパラメータ: Vを決定する。このセキュリティパラメータ

E

Vは、システムが要求する安全性に応じて決定される値である。このセキュリティパラメ ータ Vが大きい場合には、鍵長が短くなるが安全性が向上し、逆に、小さい場合には

、安全性が低下するが鍵長を長くすることができる。また、上記 Tは、上記で求めた盗 聴者にもれた情報量 I以上の整数で最小のものを表す。

E

[0096] 具体的には、たとえば、共有鍵生成部 15が、 {0, l }ⁿ"^k"^s→{0, 1广 ^k— ^s— ^τ_νとなるュ- バーサル 'ハッシュ関数の族力もランダムに元 Ηを選ぶ。これは、たとえば、 Ηとして フルランク (rank (Η ) =n— k— s— T— v)のランダム行列をとってくることにより実現 できる。そして、ノ、ッシュ関数 Hを、受信側の通信装置に対して公開通信路を介して 送信する。なお、この処理は、受信側の通信装置の共有鍵生成部 35にて行うこととし てもよい。

[0097] そして、共有鍵生成部 15では、上記 を用いて下記 (40)式により暗号鍵 rを生成 する。図 8—1は、共有鍵生成部 15にて生成した暗号鍵 rを示す図である。送信側の 通信装置は、この暗号鍵 rを受信側の通信装置との共有鍵とする。

r=H x' - -- (40)

[0098] 一方、共有鍵生成部 35では、上記 Huを用いて下記 (41)式により暗号鍵 rを生成 する。図 8— 2は、共有鍵生成部 35にて生成した暗号鍵 rを示す図である。受信側の 通信装置は、この暗号鍵 rを送信側の通信装置との共有鍵とする。

r=H y' ー（41)

[0099] なお、上記では、ステップ S6, S17による圧縮およびステップ S9, S20による圧縮 を個別に行っているが、これに限らず、たとえば、 {0, i}ⁿ"^k"^s→{o, 1广 ^k— ^s— ^T— ^v— ^kとなるラ ンダム行列 Hを生成し、その後、上記 (40)式および (41)式を実行することとしてもよ い。

[0100] このように、本実施例お!/、ては、確定的で特性が安定した「Irregular LDPC符 号」用のパリティ検査行列を用いて共有情報のデータ誤りを訂正しつつ、上記ステツ プ S4および S14、ステップ S7および S18、ステップ S8および S19、を実行し、さらに 、上記処理の過程で公開通信路を介して公開した情報量および量子通信路を通し て盗聴者にもれた情報量の推定値に応じてデータを圧縮し、圧縮後のデータを装置 間で共有の暗号鍵とすることとした。これにより、高度に安全性の保証された共通鍵 を効率良く生成することができる。すなわち、成功確率が（1 ε ) (1 - ε ) (1 - ε ) p

以上で、かつ盗聴者にもれる情報量が（2"Vln2)以下の、量子鍵配送方法が実現 できる。ただし、想定外の送信状態を考えない場合は、 ε =0とする。

実施例 2

[0101] つづいて、実施例 2について説明する。実施例 2では、用いる量子状態を 2準位系 に限定せず、受信側の通信装置の観測値として「0」， 「1」の他に「非検出」という結 果もありうる状況を考える。そこで、全送信データを χ[Α]とし、そのうち、受信側で検 出できたデータ部分を x[D]とする。 x[C] , x[R] , x[K]は、これまでと同様とする。 送信側の通信装置および受信側の通信装置では、量子通信路を通して盗聴者にも れた情報を考慮した上での鍵 (送信データ x[K] )の持つ情報量 (の下限値) を推 定する (ステップ S8,ステップ S19に相当）。ここでは、送信側の通信装置と受信側の 通信装置の両方で鍵の持つ情報量 Rを計算することとしてもよいし、または、送信側 の通信装置で Rを計算し、その結果を受信側に公開することとしてもよい。以下では 、特に、両方で Rを計算する場合について説明する。

[0102] 実際に送信機から出力される 0° , 90° , 45° , 135° 方向に偏光された光子の 量子状態 (送信機誤差を含む送信状態)を P , p , p , と表す。ここで、各量

00 01 10 11

子状態はヒルベルト空間 H上の密度演算子になっているものとする。また、各量子状 態は、それぞれ確率 P , p , p , p p

00 01 10 11で出力されるものとする。この量子状態 ,

00 0

, ,

1 10 11は、予め受信側の通信装置に対して公開しておく。ただし、送信側の通 信装置で Rを計算し、その結果を受信側に公開する場合には、これらの値を公開す る必要はない。

[0103] 送信側の通信装置では、量子状態 p (i, jは 0もしくは 1)を下記 (42)式のように分 解する。

(0) (0) (1) (1)

P =P P +P Ρ · '· (42)

ただし、 ⁽⁰⁾, p ⁽¹⁾はヒルベルト空間 H上の密度演算子であり、下記 (43)式をみたす ものとする。

^ ^ (0) (0) (0) / (0) I (1)

0 p ^mm{p } , p =p / p , p +p = 1 · ' ·、43)

[0104] この分解は、鍵のもつ情報量 (レニーエントロピー) R_xができるだけ大きぐあるいは 、最終的な (圧縮後の)鍵のもつ情報量 (相互情報量)ができるだけ小さく見積もれる ように決定する。たとえば、 ^wはできるだけ >0· 2準位の量子 7状L "態¾ に近ぐ p 0)はできる だけ大きくなるように選ぶと、一般に Rを大きく見積もることができる。以下、送信機は 、確率 p.^(Q)で p .^(Q)を出力し、確率 p.⁽¹⁾で p を出力するものと考える。

(0)

[0105] X, Yは、 00, 01, 10, 11の 4つの値をとるものとする。上記量子状態 p ^wのスぺク トル分解を、

(0)

P ∑ λ (k ) I k > <k (44)

kX X X X X

とし、 μ を集合 {k }から集合 {k }への写像とする。

XY

[0106] さらに、 I φ 〉を適当なヒルベルト空間の元とする。ここで、 4行 4列のグラム行列 G kX を下記 (45)式により計算する。

G =∑ 〈k I k 〉〈φ I (k ) X (k ))

XY kX X XY kX kXY X X Y XY

ー(45)

ただし、 k = μ (k )である。 および I φ 〉は、鍵のもつ情報量 Rができるだ

XY XY X XY kX

け大きく見積もれるように選ぶ。

[0107] グラム行列 Gは、半正定値である力 4次の正方行列 Cが存在して下記 (46)式が 成り立つ。

G = C*C ---(46)

[0108] さらに、 Gの対角成分は 1であるから、行列 Cの列ベクトルは 4次元ヒルベルト空間 H 上の長さ 1の元とみなすことができる。そこで、 H上の量子状態 σ ' (Χ=00, 01, 1

4 4 X

0または 11)を下記 (47)式により定義する。

σ '= I C〉〈C I 〜(47)

X X X

ただし、 Cは行列 Cの第 X列を表すものとする。この σ 'の構成法より、 σ 'から ρ ⁽⁰⁾

X X X X

への完全正写像の存在が保証される。そこで、以下、 p σ

X ^(Q)の代わりに X 'が出力さ れるものと考える。

[0109] 4次元ヒルベルト空間 Ηの 2次元部分ヒルベルト空間を Ηとする。 σ (Χ=00, 01

4 2 X

, 10または 11)をヒルベルト空間 Η上の量子状態で下記 (48)式を満たすものとする

2

。ただし、 Iはヒルベルト空間 Η上の単位演算子を表す。

2

σ + σ =1, σ + σ =1 ·'·(48)

00 01 10 11

[0110] ヒルベルト空間 Ηおよび量子状態 σ は、下記 (49)式で定義される Δ (Χ=00, 0

2 X X

1, 10または 11)あるいはその上限を最小化するものを選ぶ。ただし、 d( p , σ )は p と σのトレース距離をあらわすものとする。

Δ =ά( σ ', σ ) ·'·(49)

X X X

なお、上式ではトレース距離を最小化することを考えたが、信頼度 (フィデリティ）を最 大化するものとしてもよい。また、たとえば /0 =∑ ^kZk！ )exp (— ） | k;X〉く k

X k

;X I (kは自然数)で与えられるとき、前記パラメータは下記（50)式のように選ぶこと ができる。

p (°)= σ '= σ = I 1;Χ〉〈1;Χ |

X X X p = μ exp (― μ )

x

μ ( I k;x〉く k;x

XY I )= I k;Y〉〈k;Y I

I >= I > 〜（50)

kX

[0111] 部分 Kのうち、 p ^(Q)が出力されている部分を L、 p ⁽¹⁾が出力されている部分を M、と する。部分 Mの長さの上限値 n 、部分 Mのもつ情報量 (の下限値) R^m を見積もり

+ [ ]

、これらの見積もりが誤ってしまう確率 (の上限値） ε を計算する。この計算は、たとえ

Ε

ば、以下のようにして行うことができる。

[0112] まず、 δ' (i=0, 1)を適当な正数とし、部分 Mの長さの上限値 n'

記（51)式により見積もる。

(1) (1) (1)、 / ( ヽ

P = (p P +P P ) / +P )

(1)

p =({n /n )— δ η

A )Ζ(Ρ χη )

i Κ D

η =max {η¹ } … (51)

+ M M

ただし、 η (i=0, 1)は a[K]における i( = 0もしくは 1)の数を表す。 η¹ , η¹ , n も同

K A D

様とする。なお、 maxは ρ¹ ≤1という条件のもとで、 Mに関して最大化するものとする

。また、受信者が攻撃者に取り込まれてしまっているような場合も想定して、前記（51 )式中の η¹を で置き換えることによって、さらに強い安全性を保証することが可能と

D C

なる。

[0113] この見積もりが誤ってしまう確率の上限値を、下記（52)式で計算する。なお、下記 上限値 ε ¹は、この見積もりが誤ってしまう確率の上限値となっていればよぐその形 は下式に限定しない。

E

ε ¹ = exp(-ri DCBW /r ) | (B^ /r - h^x ' )))

A A A A

-(52)

ただし、 expは 2のべき乗関数、 Dは相対エントロピー、 Bはべルヌーィ分布を表して いる。

[0114] T (i, jは 0もしくは 1)をヒルベルト空間 H上の演算子で、下記（53)式を満たすもの とする。ただし、 Iはヒルベルト空間 H上の単位演算子を表す。

0≤Τ , Τ +Τ ≤1 ---(53) これにより、 は部分 Mにおいて基底が i( = 0もしくは 1)の場合に、送信量子状態が P ^α)であるか p ^α)であるかを識別するための測定演算子と考えることができる。この i0 il

識別が成功する確率の最大値 ^を下記（54)式で計算する。

M

(M)― ·、 (1) / / (1)」 ·、 (1K

p — p p / p +p p )

=sup {(∑Trp^(M)p ^G)T)/(∑ Trp ^(M)p ⁽¹⁾T ) }

, T j ij ij ij k,l ik ik U

•••(54)

ただし、 supは下記（55)式を満たすという条件のもとで Tに関して最大化するものと

T

する。

(∑ Trp^(M)p ⁽¹⁾T)≥pi 〜（55)

jl ij ij il

[0115] 部分 Mのもつ情報量の下限値 R を下記（56)式により計算する。

x[ ]

R =— n logs — n logs … (5Ό)

x[ ]

[0116] つぎに、部分 Lのもつ情報量 (レニー ·エントロピー）を見積もる。そのために、まず、 部分 Lにおけるエラー確率を推定する。 δをセキュリティパラメータとし、推定値 Ρ+と

Ρ

して下記（57)式を用いる。

Ρ+=(η Ρ +η

K R C δ η° (1— s° ) n¹ (1-s¹ ))/n -(57)

ρ L

[0117] このとき、エラー確率の推定値 P+が真の値 Pよりも小さく見積もられてしまう確率 Pr[ し

P >P+]の上限値 ε は、下記（58)式で与えられる。なお、下記上限値 ε は、推定 ρ ρ 値 Ρ+が真の値 Ρよりも小さく見積もられてしまう確率の上限値となっていればよぐそ し

の形は下式に限定しない。

ε =n exp(-n D(B(P ) | (B(P + δ )))≥Pr[P >P+]

p R R R R p L

•••(58)

[0118] 量子状態 σ 'の代わりに量子状態 σ を用いる近似プロトコルを考える。この近似

X X

プロトコルにおいて、部分 Lのもつ情報量を見積もる。そのため、まず部分 Lにおいて 基底 a [L]の代わりにその反転基底 a〜 [L]を用いた場合に、上記推定値 P+が真の値 Pよりも小さく見積もられてしまう確率を見積もる。いま、 σ 'および σ 'を下記（59)

Κ 0 1

式で与えられる基底に関する平均量子状態とする。

σ '=(σ '+ σ

0 00 011/2

σ '=(σ '+ σ Ί/2 ·'·(59) [0119] さらに、 υを基底 a[L]に対応する平均量子状態 σ ,と反転基底 a〜[L]に対応す a[L]

る平均量子状態 σ 'の間のトレース距離の上限値とする。すなわち、 "は下記（60 a L]

)式を満たすものとする。

ά(σ ', σ ')≤ υ ·'·(60)

a[L] a~[L]

[0120] これを用いて、上記推定値 P+が真の値 Pよりも小さく見積もられてしまう確率の上限

K

値は下記（61)式のように計算できる。

Pr[P >Ρ+]≤ ε + ε + v ---(61)

L p E

[0121] 正規プロトコルにおいて送信，受信，盗聴情報の従う確率分布と、近似プロトコルに おいて送信，受信，盗聴情報の従う確率分布と、の変動距離を見積もる。そのため、 下記 (62)式をみたす上限値てを計算する。

∑ (l/2^nL)d(a ', σ )≤ τ …（62)

x[L] a L]，x[L] a L」，x[L」

[0122] 上限値 τは、たとえば、 fを量子状態の間の信頼度 (フィデリティ）とするとき、下記（ 63)式により計算することができる。

f =ί(σ ', σ )

X X X

f =min{f ， f }

0 00 01

f =min{f ， f }

1 10 11

T =^(l-(f )²ⁿ°(f )^2nl) 〜（63)

0 1

ただし、 n , nは、ビット列 a〜[L]における 0の数、 1の数をそれぞれ表している。

0 1

[0123] 近似プロトコルにおいて、反転基底 a〜[L]を用いた場合に上記推定値 P+が真の値 Pよりも小さく見積もられてしまう確率の上限値は、下記 (64)式のように計算できる。

K

Pr[P⁺≤P ]≤ 8 + 8 + ν + τ ·'·(64)

Κ ρ Ε

[0124] つぎに、ヒルベルト空間 Η上の射影演算子 Ρ , Ρ , Ρ , Ρ を下記（65)式により

2 00 01 10 11

計算する。

Ρ ={ σ σ >0}

00 00 01

Ρ ={ σ σ >0}

01 01 00

Ρ ={ σ σ >0}

10 10 11

Ρ ={ σ — σ >0} ---(65)

11 11 10

[0125] さらに、量子状態 σ および σ の識別に成功する確率の最大値 s ,量子状態 σ および σ の識別に成功する確率の最大値 sを下記（66)式により計算する。

11 1

s =1/2 + ά(σ ， σ )

0 00 01

s =1/2 + ά(σ ， σ ) ·'·(66)

1 10 11

[0126] いま、量子状態 σ が与えられ、 x[L]を上記射影演算子を用いて推定すること a~[L],x[L]

を考える。推定値 (x[L]に対応するビット列）に kビットの誤りを許すことにした場合の 推定誤り確率の上限値を ε とする。 ε は、たとえば、下記 (67)式により計算すること k k

ができる。

ε = (2^nL-2^{nLh(k nL)}/2/^n ) (s )ⁿ°(s )^nl((l-s )/s )^k

k し 0 1 m m

s =min{s， s } ··* (67)

m 0 1

[0127] これらの値を用いて、パラメータ ωを下記（68)式により計算する。

し

ω = ε + ν + τ + ε 2^nLh(P+) …（68)

L p k

[0128] もし、 s力^の場合は、下記（69)式の値を用いて以下の計算を行う。

m

ω = ε + ε + + て

し ρ Ε

k=0 ·'·(69)

[0129] パラメータ q， qを下記（70)式により計算する。

0 1

q =max{Tr σ Ρ , Tr σ Ρ , Tr σ Ρ , Tr σ Ρ }

0 00 10 00 11 01 10 01 11

q =max{Tr σ Ρ , Tr σ Ρ , Tr σ Ρ , Tr σ Ρ } ··* (70)

1 10 00 10 01 11 00 11 01

[0130] これを用いて、パラメータ π を下記（71)式により計算する。

し

nLh(P*)+n01og(qO)+nllog(ql))

π =Ζ

し

P*=P⁺+(k/n ) ー（71)

し

[0131] cを正数とすれば、反対基底を用いた場合の受信データおよび盗聴情報を条件と した場合の送信データの条件付確率 p , に関して、マルコフの不等式より下記（72) x|yz

式が成り立つ。

Pr[p, >Π ]≤(l/c)

x|yz L

Π = π Z(l— （cco ))² ---(72)

し し し

ここで正数 cは、鍵のもつ情報量 (レニーエントロピー) Rができるだけ大きぐあるい は、最終的な (圧縮後の)鍵のもつ情報量 (相互情報量)ができるだけ小さく見積もれ るように決定する。 前記（62)式および（72)式を用いて、適当〖こ R^m および ε を選ぶことによって、 x[L] L

部分 Lのもつ情報量 R に関する下記（73)式の形の条件式を導出する。

x[L]

Pr[R >R^m ]≤ ε …（73)

x[L] x[L] L

たとえば、 τ =0の場合、 R^m および ε は下記（74)式のようにとることができる。

x[L] L

1/c (74)

L

[0133] さらに、部分 Kのもつ情報量の下限値を下記（75)式により計算する。

R =R =min (R^m +R^m ) 〜（75)

x x[K] M x[L] x[M]

ただし、 minは ≤n (i=0, 1)という条件のもとで Mに関して最小化するものと

+

する。

[0134] つぎに、受信機側の装置の特性を用いて鍵の持つ情報量 Rを計算する手順を示 す (ステップ S8,ステップ S19に相当）。実際に送信機から出力される 0° , 90° , 45 ° , 135° 方向に偏光された光子の量子状態 (送信機誤差を含む送信状態)を p

00

, β , β , β

01 10 11と表す。また、各量子状態は、それぞれ確率 ρ , ρ , ρ , ρ

00 01 10 11で出力 されるものとする。さらに、実際に受信機が行う 0° , 90° , 45° , 135° 方向の測定 (受信機誤差を含む測定)に対応する演算子を Ε , Ε , Ε , Ε と表す。ここで、各

00 01 10 11

演算子は、ヒルベルト空間 Η上の密度演算子になっているものとする。この演算子 Ε

00

, Ε , Ε , Ε は、予め送信側の通信装置に対して公開しておく。また、量子状態 ρ

01 10 11 0

, β , β , β

0 01 10 11は、予め受信側の通信装置に対して公開しておく。ただし、送信側 の通信装置で Rを計算し、その結果を受信側に公開する場合には、これらの値 (量 子状態)を公開する必要はな!/、。

[0135] 送信側の通信装置では、量子状態 p (i, jは 0もしくは 1)を下記（76)式のように分 解する。

(0) (0) (1) (1) _{( Γ7}。ヽ

Ρ =Ρ 十 Ρ /0 · " (,76)

ただし、 ⁽⁰⁾, ρ ⁽¹⁾はヒルベルト空間 Η上の密度演算子であり、下記（77)式をみたす ものとする。ただし、ヒルベルト空間 Ηに対して、 S (H)は H上の量子状態からなる集 合を表すものとする。

0く p ≤min{p } (o) (o)

p 一— ρ /んρ

i]

_Pij ⁽⁰⁾+_Pij ⁽¹⁾=i

(⁰⁾eS(H⁽⁰⁾)

dimH⁽⁰⁾=2 ---(77)

この分解は、鍵のもつ情報量 Rができるだけ大きぐあるいは、最終的な (圧縮後の )鍵のもつ情報量ができるだけ小さく見積もれるように決定する。以下、送信機は、確 率 p^(Q)で p ^(Q)を出力し、確率 p⁽¹⁾で p ⁽¹⁾を出力するものと考える。

[0136] 上記と同様に、 Xは 00， 01， 10， 11の 4つの値をとるものとする。 P (°)を H (°)への射

X X

影演算子とする。これを用いて H ^(Q)上の演算子 F を下記 (78)式により定義する。

X X

F '=Ρ (°)Ε Ρ (°) 〜（78)

X X X X

[0137] さらに、ヒルベルト空間 Ηの 2次元部分ヒルベルト空間を Ηとする。 F (Χ=00, 01，

2 X

10または 11)をヒルベルト空間 Η上の演算子で下記（79)式を満たすものとする。た

2

だし、 Iはヒルベルト空間 Η上の単位演算子を表す。

2

F +F =1

00 01

F +F =1 ·'·(79)

10 11

[0138] ヒルベルト空間 Ηおよび演算子 Fは、下記（80)式で定義される Δ (Χ=00, 01，

2 X X

10または 11)あるいはその上限を最小化するものを選ぶ。

Δ =d(F F ) ---(80)

X X X

[0139] いま、 p (^Q)および p (^Q)を下記 (81)式で与えられる基底に関する平均量子状態とする

⁽⁰⁾+p ⁽⁰⁾)/2

01

⁽⁰⁾+p ⁽⁰⁾)/2 〜(81)

[0140] さらに、 υを基底 a [L]に対応する平均量子状態 p ^(Q)と反転基底^ [L]に対応す

(0)

る平均量子状態 p ^の間のトレース距離の上限値とする。すなわち、 Vは下記 (8

~[L]

2)式をみたすものとする。

d( p (。)， p ⁽⁰⁾)≤ V 〜(82)

[L] ~[L]

[0141] 以下、 Pを Eに、 σを Fに置き換えて、上記（63)式から（75)式までを計算し、部分

Κのもつ情報量の下限値 Rを求める。 [0142] つぎに、 2つの非直交量子状態をもち 、る量子鍵配送方式 (B92プロトコル)を考え る。このプロトコルでは、ステップ S2,ステップ S3,ステップ S12,ステップ S13を以下 で置き換える。まず、送信機側では、長さ nのランダムなビット列 x[A]を用意し、ビッ

A

ト 0に 0° に偏光された光を、ビット 1に 45° に偏光された光を、対応させる (ステップ S2)。この対応関係に基づいて、送信機側は受信側に光子を送信する (ステップ S3) 。受信機側でも、長さ nのランダムなビット列 a[A]を用意し、ビット 0に水平垂直方向

A

(0° , 90° )の偏光を識別可能な測定器を、ビット 1に斜め方向（45° , 135° )の 偏光を識別可能な測定器を、対応させる (ステップ S 12)。この対応関係に基づいて 、受信機側は、受信側から送られてきた光子を測定する (ステップ S 13)。なお、鍵生 成の効率をよくするため、本実施例では、 45° 偏光を用いたが、 0° と直交しない偏 光であればよい。

[0143] 受信側で検出できた部分を Dとする。受信側で 90° もしくは 135° の結果が得られ た場合、受信データをそれぞれ 1, 0とする。それ以外の場合、データを捨てる。 Dの うち、捨てられずに残った部分を Cとする。受信側で得られたデータを y[C]とする (ス テツプ S13)。部分 Cの位置に対応する送信データを x[C]とする (ステップ S3)。

[0144] ステップ S4からステップ S7まで、ステップ S14からステップ S18までは、これまでと 同様に行う。

[0145] 送信側の通信装置および受信側の通信装置では、量子通信路を通して盗聴者に もれた情報を考慮した上での鍵 (送信データ x[K])のもつ情報量 (の下限値) Rを推 定する (ステップ S8,ステップ S19に相当）。ここでは、送信側の通信装置と受信側の 通信装置の両方で鍵のもつ情報量 Rを計算することとしてもよいし、または、送信側 の通信装置で Rを計算し、その結果を受信側に公開することとしてもよい。以下では 、特に、両方で Rを計算する場合について説明する。

[0146] 実際に送信機から出力される 0° , 45° 方向に偏光された光子の量子状態 (送信 機誤差を含む送信状態)を Ρ , と表す。ここで、各量子状態は、ヒルベルト空間 Η

0 1

上の密度演算子になっているものとする。また、各量子状態は、それぞれ確率 ρ , ρ

0 1 で出力されるものとする。この量子状態 ρ , は、予め受信側の通信装置に対して

0 1

公開しておく。ただし、送信側の通信装置で Rを計算し、その結果を受信側に公開 する場合には、これらの値を公開する必要はない。

[0147] 送信側の通信装置では、量子状態 p (iは 0もしくは 1)を下記（83)式のように分解 する。

(0) (0)ι (1) (1)

P . = P. P . 十 P. P .

0<p⁽⁰⁾≤min{p}

(0) 0) ん

p 一 (

— p /p

(0) (1) -.

p +p =丄 "-(83)

[0148] この分解は、鍵のもつ情報量 Rができるだけ大きく見積もれるように決定する。たと えば、 d(p ^G) p p ⁽¹⁾ はできるだけ小さぐ p ^ω+ρ ("はできるだけ大きくなるよ

0 0 1 1 0 1

うに選ぶと、一般に Rを大きく見積もることができる。以下、送信機は、確率 で p ⁽⁰⁾ を出力し、確率 で p ⁽¹⁾を出力するものと考える。

[0149] X, Yは 0, 1の 2つの値をとるものとする。上記量子状態 p ^(Q)のスペクトル分解を

X

P ⁽⁰⁾=∑ λ (k )

X kX X X I k > <k

X X I 〜(84)

とし、 を集合 {k }から集合 {k }への写像とする。さらに、 〉を適当なヒルべ

XY X Y I φ

kX

ルト空間の元とする。ここで、 2行 2列のグラム行列 Gを下記（85)式により計算する。

G =∑ 〈k

XY kX X I k 〉〈φ

XY kX I (k ) X (k ))

kXY X X Y XY

ー(85)

ただし、 k =μ (k )である。 および I φ 〉は、鍵のもつ情報量 Rができるだ

XY XY X XY kX

け大きく見積もれるように選ぶ。

[0150] グラム行列 Gは、半正定値であるから 2次の正方行列 Cが存在して下記（86)式が 成り立つ。

G = C*C ---(86)

[0151] さらに、 Gの対角成分は 1であるから、行列 Cの列ベクトルは 2次元ヒルベルト空間 H 上の長さ 1の元とみなすことができる。そこで、 H上の量子状態 σ , σ , σ , σ

2 2 00 01 10 11 を下記 (87)式により定義する。ただし、 Iはヒルベルト空間 Η上の単位演算子を表す

2 σ = I C〉〈C I σ =

11 I C〉〈C

1 1 I

σ =1- σ -·*(87)

10 11

[0152] ここで、 Cは行列 Cの第 X列をあらわすものとする。この σ の構成法より、 σ 力ら

X ΧΥ XX

p ^(Q)への完全正写像の存在が保証される。そこで、以下、 p ^(Q)の代わりに σ が出

X X XX

力されるものと考える。

[0153] 部分 Κのうち、 p ^(Q)が出力されている部分を L、 p ⁽¹⁾が出力されている部分を M、と する。部分 Mの長さの上限値 n ，部分 Mのもつ情報量 (の下限値) R を見積もり、

+ x[ ] これらの見積もりが誤ってしまう確率 (の上限値） ε を計算する。この計算は、たとえ

Ε

ば、以下のようにして行うことができる。まず、 δ を適当な正数とし、部分 Μの長さの し

上限値 η を下記 (88)式により見積もる。

+

(1) (1) ,_ (1)

=ρ ρ +ρ ρ

η =max {η } … (88)

+ M M

なお、 maxは ≤1という条件のもとで、 Mに関して最大化するものとする。

[0154] この見積もりが誤ってしまう確率の上限値を、下記 (89)式で計算する。

ε =n exp (— n D(B(n /n ) | (B(n /n - δ )))

E A A M A M A M

•••(89)

[0155] T_;(iは 0もしくは 1)をヒルベルト空間 H上の演算子で、下記（90)式を満たすものと する。ただし、 Iはヒルベルト空間 H上の単位演算子を表す。

0≤T, T +T≤I ---(90)

i 0 1

これにより、 Tは部分 Mにおいて、送信量子状態が p ^α)であるか p ^α)であるかを識 i 0 1

別するための測定演算子と考えることができる。この識別が成功する確率の最大値を 下記（91)式で計算する。

(M) (1) / ^ (1) , ^ (1)、

p -PP / (p p +p p )

i i i 0 0 1 1

s =max {(∑ Trp^(M)p ⁽¹⁾T)/(∑ Trp ^(M) p ⁽¹⁾T ) } "-(91)

M, T i i i i i,j i i j

ただし、 maxは下記（92)式を満たすという条件のもとで Tに関して最大化するもの

T

とする。

(∑ Trp^(M)p ⁽¹⁾T)≥p ー（92) [0156] これを用いて、部分 Mのもつ情報量の下限値 R を下記（93)式により計算する。

x[M]

R =-n logs ---(93)

x[M] M M

[0157] 上記（57)式から（75)式までを計算し、部分 Kのもつ情報量の下限値 1^を求める。

ただし、下記（94)式中のパラメータに関しては同式中の値を用いるものとする。

σ = σ , σ = σ , σ = σ , σ = σ

00 00 01 01 10 10 11 11

Δ =0, ν =0, τ =0, ε =0, k = 0 ·'·(94)

X k

[0158] つぎに、 2つの非直交量子状態をもち 、る量子鍵配送方式 (B92プロトコル）にお 、 て、受信機側の装置の特性を用いて鍵の持つ情報量 Rを計算する手順を示す (ステ ップ S8,ステップ S19に相当）。実際に送信機から出力される 0° , 45° 方向に偏光 された光子の量子状態 (送信機誤差を含む送信状態)を P , と表す。また、各量

0 1

子状態はそれぞれ確率 P , pで出力されるものとする。さらに、実際に受信機が行う 0

0 1

° , 45° 方向の測定 (受信機誤差を含む測定)に対応する演算子を Ε , Εと表す。

0 1 ここで、各演算子は、ヒルベルト空間 Η上の密度演算子になっているものとする。この 演算子 Ε , Εは、予め送信側の通信装置に対して公開しておく。また、量子状態 ρ

0 1 0

, は、予め受信側の通信装置に対して公開しておく。ただし、送信側の通信装置 で Rを計算し、その結果を受信側に公開する場合には、これらの値 (量子状態)を公 開する必要はない。

[0159] 送信側の通信装置では、量子状態 p (iは 0もしくは 1)を下記（95)式のように分解 する。

p =p^{( (0)}+D⁽¹⁾p ⁽¹⁾ 〜(95)

ただし、 ⁽⁰⁾, はヒルベルト空間 H上の密度演算子であり、下記（96)式をみたす ものとする。ただし、ヒルベルト空間 Hに対して、 S(H)は H上の量子状態からなる集 合を表すものとする。

0<p⁽⁰⁾≤min{p }

(0)一 (0) ん

P — P ZP

1] 1]

(0)

p +P — 1

1] 1]

p ⁽⁰⁾eS(H⁽⁰⁾) 〜（96)

[0160] この分解は、鍵のもつ情報量 Rができるだけ大きく見積もれるように決定する。以下 、送信機は確率 Pi^(Q)で p を出力し、確率 _Pi ⁽¹⁾で を出力するものと考える。

[0161] Xは 0, 1の 2つの値をとるものとする。 P ^(Q)を H ^(Q)への射影演算子とする。これを用

X X

いて H ^(Q)上の演算子 Fを下記（97)式により定義する。

X X

F = P ⁽⁰⁾E P ⁽⁰⁾ 〜（97)

X X X X

[0162] 以下、 pを Eに、 σを Fに置き換えて、上記（57)式から（75)式までを計算し、部分 Κのもつ情報量の下限値 Rを求める。ただし、上記（88)式から（94)式までの中に記 されるパラメータに関しては当該式中の値を用いるものとする。

[0163] なお、本実施例では、受信側の通信装置にお!、ても、上記ステップ S8と同様の処 理で鍵の持つ情報量 Rを計算する。

[0164] 情報量 Iの代わりに情報量 (n -R )を用いて、上記ステップ S9,ステップ S 20と同

Ε Κ

様の手順で鍵を圧縮する。

[0165] このように、本実施例お!/、ては、確定的で特性が安定した「Irregular— LDPC符 号」用のパリティ検査行列を用いて共有情報のデータ誤りを訂正しつつ、上記ステツ プ S4および S 14、ステップ S7および S 18、ステップ S8および S 19、を実行し、さらに 、上記処理の過程で公開通信路を介して公開した情報量および量子通信路を通し て盗聴者にもれた情報量の推定値に応じてデータを圧縮し、圧縮後のデータを装置 間で共有の暗号鍵とすることとした。これにより、高度に安全性の保証された共通鍵 を効率良く生成することができる。すなわち、成功確率が 1— ε - ε - ε — ε

E p k c以 上で、かつ盗聴者にもれる情報量が（2^71112) +n e以下の、量子鍵配送方法が し し

実現できる。なお、 Inは、底が自然対数 eの対数関数を表している。

産業上の利用可能性

[0166] 以上のように、本発明にかかる量子鍵配送方法および通信装置は、高度に安全性 の保証された共通鍵を生成する技術として有用であり、特に、盗聴者が存在する可 能性のある伝送路上の通信に適して 、る。

Claims

請求の範囲

[1] 基底およびデータに対応する 2つの乱数列によって規定された量子状態を量子通 信路上に送信する第 1の通信装置、および当該量子通信路上の量子状態を乱数列 により規定された基底を用いて測定することによりデータを得る第 2の通信装置、にて 実行され、送信側と同一の基底を用いた測定により得られたデータを受信データとし 、当該受信データに対応する乱数列を送信データとする量子鍵配送方法にぉ ヽて、 前記送信データおよび前記受信データ力 それぞれ所定数の同一位置のデータ を抽出し、抽出後の部分データの一致度 (エラー確率）に基づいて、鍵生成に用いる データにおけるエラー確率を推定するエラー確率推定ステップと、

前記エラー確率推定値と前記第 1の通信装置が備える量子状態生成器の特性に 関する情報に基づ!、て、量子通信路を通して盗聴者にもれた情報量を推定する情 報量推定ステップと、

を含み、

各通信装置は、前記盗聴者にもれた情報量の推定値に基づ 、て圧縮した後の送 信データおよび受信データを各通信装置間で共有の暗号鍵とすることを特徴とする 量子鍵配送方法。

[2] 前記情報量推定ステップにおいては、前記エラー確率推定値と、前記第 1の通信 装置が備える量子状態生成器および前記第 2の通信装置が備える量子状態測定器 の特性に関する情報、に基づいて、量子通信路を通して盗聴者にもれた情報量を推 定することを特徴とする請求項 1に記載の量子鍵配送方法。

[3] 前記情報量推定ステップにおいては、第 1の通信装置が持つ送信データおよび第 2の通信装置が持つ受信データをそれぞれ所定の数に分割し、当該分割データの それぞれに対して盗聴者にもれた情報量を推定することを特徴とする請求項 2に記 載の量子鍵配送方法。

[4] さらに、第 1の通信装置が持つ送信データと第 2の通信装置が持つ受信データが 一致して 、るかどうかを判定するための所定の判定情報に基づ 、て判定処理を行 ヽ 、当該判定結果が不一致の場合、前記各通信装置が持つデータを捨てる一致判定 ステップ、 を含み、

前記一致判定ステップでは、

前記第 1の通信装置が、前記所定の判定情報として、「所定のランダム行列 X第 1 の通信装置が持つ送信データ」の計算により特定ビット長の第 1の判定情報を求め、 当該第 1の判定情報を、公開通信路を介して前記第 2の通信装置に送信し、 前記第 2の通信装置が、前記所定の判定情報として、「所定のランダム行列 X第 2 の通信装置が持つ受信データ」の計算により前記第 1の判定情報と同一ビット長の第 2の判定情報を求め、当該第 2の判定情報を、公開通信路を介して前記第 1の通信 装置に送信し、

その後、前記第 1の通信装置が、前記判定処理として、前記第 1の判定情報と前記 第 2の通信装置から得られた第 2の判定情報とがー致しているかどうかを判定し、 一方、前記第 2の通信装置が、前記判定処理として、前記第 2の判定情報と前記第 1の通信装置力 得られた第 1の判定情報とがー致しているかどうかを判定することを 特徴とする請求項 1、 2または 3に記載の量子鍵配送方法。

[5] 2準位の量子系を前提とした場合、

前記情報量推定ステップでは、

解析の比較的容易な近似プロトコル (性質のよ!、量子状態を用いたプロトコル)と現 実のプロトコル (現実の状況における送信誤差を含む量子状態を用いたプロトコル） の変動距離の上限値を計算する第 1の工程と、

前記近似プロトコルにおいて、現実とは反対の基底を用いた場合に、前記エラー確 率推定値が真の値よりも小さく見積もられてしまう確率の上限値を計算する第 2のェ 程と、

送信データを条件とした場合の受信データおよび盗聴情報の条件付確率の上限 値を計算する第 3の工程と、

前記第 2の工程にて得られる前記エラー確率推定値が真の値よりも小さく見積もら れてしまう確率の上限値、および前記第 3の工程にて得られる条件付確率の上限値 に基づ!/、て、前記近似プロトコルにおける盗聴量を計算する第 4の工程と、 前記近似プロトコルにおける盗聴量、および前記第 1の工程にて得られる変動距離 の上限値に基づいて、現実のプロトコルにおける盗聴量を計算し、その結果を、前記 量子通信路を通して盗聴者にもれた情報量とする第 5の工程と、

を含むことを特徴とする請求項 1に記載の量子鍵配送方法。

[6] 2準位の量子系を前提とした場合、

前記情報量推定ステップでは、

解析の比較的容易な近似プロトコル (性質のよい演算子を用いたプロトコル)と現実 のプロトコル (現実の状況における受信誤差を含む測定演算子を用いたプロトコル） の変動距離の上限値を計算する第 1の工程と、

前記近似プロトコルにおいて、現実とは反対の基底を用いた場合に、前記エラー確 率推定値が真の値よりも小さく見積もられてしまう確率の上限値を計算する第 2のェ 程と、

送信データを条件とした場合の受信データおよび盗聴情報の条件付確率の上限 値を計算する第 3の工程と、

前記第 2の工程にて得られる前記エラー確率推定値が真の値よりも小さく見積もら れてしまう確率の上限値、および前記第 3の工程にて得られる条件付確率の上限値 に基づ!/、て、前記近似プロトコルにおける盗聴量を計算する第 4の工程と、 前記近似プロトコルにおける盗聴量、および前記第 1の工程にて得られる変動距離 の上限値に基づいて、現実のプロトコルにおける盗聴量を計算し、その結果を、前記 量子通信路を通して盗聴者にもれた情報量とする第 5の工程と、

を含むことを特徴とする請求項 2に記載の量子鍵配送方法。

[7] 前記情報量推定ステップでは、前記第 1の通信装置が備える量子状態生成器の特 性に基づいて、または、前記第 1の通信装置が備える量子状態生成器および前記第 2の通信装置が備える量子状態測定器の特性に基づ 、て、鍵の持つ情報量を推定 し、

各通信装置は、前記鍵の持つ情報量の推定値に基づ!、てそれぞれが持つデータ を圧縮し、圧縮後のデータを各通信装置間で共有の暗号鍵とすることを特徴とする 請求項 1に記載の量子鍵配送方法。

[8] 必ずしも 2準位とは限らない量子系を前提とし、前記第 2の通信装置の観測値とし て「0」、「1」の他に「非検出」という結果を想定し、さらに、全送信データを x[A]とし、 当該 x[A]のうち第 2の通信装置で検出できたデータ部分を x[D]とし、当該 x[D]の うち送信側と受信側で用いた基底が一致した部分を x[C]とし、前記エラー確率推定 ステップにて用いた部分データを x[R]とし、共有鍵生成用の部分データ (x[C] -x[ 尺])を [1^]とした場合(ん D、 C、 K、 Rはビット位置を示す部分集合に相当）、 量子状態を、鍵の持つ情報量ができるだけ大きく見積もれるように、ヒルベルト空間 上の第 1の密度演算子を含む部分 (部分集合 Kのうちの部分 Lに相当）、第 2の密度 演算子を含む部分 (部分集合 Kのうちの部分 M (=K— L)に相当）に分解する第 1の 工程と、

前記部分 Mの持つ情報量を見積もる第 2の工程と、

前記部分 Lの持つ情報量を見積もる第 3の工程と、

前記部分 Mの持つ情報量と前記部分 Lの持つ情報量とを用いて前記部分 Kの持 つ情報量を計算する第 4の工程と、

を含むことを特徴とする請求項 7に記載の量子鍵配送方法。

[9] 2つの非直交量子状態を用いる量子鍵配送方式に対して適用可能とすることを特 徴とする請求項 8に記載の量子鍵配送方法。

[10] 基底およびデータに対応する 2つの乱数列によって規定された量子状態を量子通 信路上に送信する第 1の通信装置と、当該量子通信路上の量子状態を乱数列により 規定された基底を用いて測定することによりデータを得る第 2の通信装置と、力 構 成され、前記第 2の通信装置が、前記第 1の通信装置と同一の基底を用いた測定に より得られたデータを受信データとし、前記第 1の通信装置が、当該受信データに対 応する乱数列を送信データとする量子鍵配送を実現する通信システムにおいて、 前記第 1の通信装置は、

前記送信データから所定数の第 1の部分データを抽出し、一方で、前記第 2の通信 装置力 前記第 1の部分データと同一位置の第 2の部分データ (前記受信データか ら抽出された部分データ）を受信し、両方の部分データの一致度 (エラー確率）に基 づいて、鍵生成に用いるデータにおけるエラー確率を推定し、その後、前記エラー確 率推定値と自装置が備える量子状態生成器の特性に関する情報に基づいて、量子 通信路を通して盗聴者にもれた情報量を推定し、そして、当該盗聴者にもれた情報 量の推定値に基づいて圧縮した後の送信データを各通信装置間で共有の暗号鍵と する第 1の共有鍵生成手段、

を備え、

前記第 2の通信装置は、

前記第 2の部分データと前記第 1の通信装置から受信した前記第 1の部分データと の一致度 (エラー確率）に基づいて、鍵生成に用いるデータにおけるエラー確率を推 定し、その後、前記エラー確率推定値と前記第 1の通信装置が備える量子状態生成 器の特性に関する情報に基づいて、量子通信路を通して盗聴者にもれた情報量を 推定し、そして、当該盗聴者にもれた情報量の推定値に基づいて圧縮した後の受信 データを各通信装置間で共有の暗号鍵とする第 2の共有鍵生成手段、

を備えることを特徴とする通信システム。

[11] 前記第 1および第 2の共有鍵生成手段は、前記エラー確率推定値と、前記第 1の通 信装置が備える量子状態生成器および前記第 2の通信装置が備える量子状態測定 器の特性に関する情報、に基づいて、量子通信路を通して盗聴者にもれた情報量を 推定することを特徴とする請求項 10に記載の通信システム。

[12] 前記第 1および第 2の共有鍵生成手段は、

さらに、第 1の通信装置が持つ送信データと第 2の通信装置が持つ受信データが 一致して 、るかどうかを判定するための所定の判定情報に基づ 、て判定処理を行 ヽ 、当該判定結果が不一致の場合、前記各通信装置が持つデータを捨てる処理を実 行し、

前記判定処理では、

前記第 1の共有鍵生成手段が、前記所定の判定情報として、「所定のランダム行列 X第 1の通信装置が持つ送信データ」の計算により特定ビット長の第 1の判定情報を 求め、当該第 1の判定情報を、公開通信路を介して前記第 2の通信装置に送信し、 前記第 2の共有鍵生成手段が、前記所定の判定情報として、「所定のランダム行列 X第 2の通信装置が持つ受信データ」の計算により前記第 1の判定情報と同一ビット 長の第 2の判定情報を求め、当該第 2の判定情報を、公開通信路を介して前記第 1 の通信装置に送信し、

その後、前記第 1の共有鍵生成手段が、前記第 1の判定情報と前記第 2の通信装 置力 得られた第 2の判定情報とがー致しているかどうかを判定し、

一方、前記第 2の共有鍵生成手段が、前記第 2の判定情報と前記第 1の通信装置 から得られた第 1の判定情報とがー致しているかどうかを判定することを特徴とする請 求項 10または 11に記載の通信システム。

基底およびデータに対応する 2つの乱数列によって規定された量子状態を量子通 信路上に送信し、当該量子状態受信側の通信装置において送信側と同一の基底を 用いた測定により得られたデータ、に対応する乱数列を第 1の送信データとする量子 状態送信側の通信装置において、

前記第 1の送信データ力 所定数のビット位置のデータを抽出し、抽出後の部分デ ータを、公開通信路を介して前記受信側の通信装置に通知し、その後、前記受信側 の通信装置力 得られる同一ビット位置の部分データとの一致度 (エラー確率）に基 づいて、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ 以外の残りのデータを第 2の送信データとするエラー確率推定機能と、

所定の誤り訂正情報を、公開通信路を介して前記第 2の通信装置に通知し、公開 した誤り訂正情報の量に応じて前記第 2の送信データを圧縮し、圧縮後のデータを 第 3の送信データとする誤り訂正機能と、

前記第 3の送信データと受信側の通信装置力 得られるデータとがー致しているか どうかを判定するための判定情報を、公開通信路を介して前記受信側の通信装置に 通知し、前記判定情報に基づく判定結果が不一致の場合、前記第 3の送信データを 捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じて前記第 3 の送信データを圧縮し、圧縮後のデータを第 4の送信データとする一致判定機能と、 前記推定エラー確率および送信機または受信機の特性に関する情報から量子通 信路を通して盗聴者にもれた情報量を推定する推定機能と、

前記盗聴者にもれた情報量の推定値に基づいて前記第 4の送信データを圧縮し、 圧縮後のデータを装置間で共有の暗号鍵とする共有鍵生成機能と、

を有することを特徴とする通信装置。 [14] 量子通信路上の量子状態に対して乱数列により規定された基底を用いて測定する ことにより得られたデータのうち、量子状態送信側と同一の基底を用いた測定により 得られたデータを第 1の受信データとする量子状態受信側の通信装置において、 前記第 1の受信データ力 所定数のビット位置のデータを抽出し、抽出後の部分デ ータを、公開通信路を介して光子送信側の通信装置に通知し、その後、前記送信側 の通信装置力 得られる同一ビット位置の部分データとの一致度 (エラー確率）に基 づいて、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ 以外の残りのデータを第 2の受信データとするエラー確率推定機能と、

前記送信側の通信装置から得られる誤り訂正情報に基づいて前記第 2の受信デー タの誤りを訂正し、前記送信側の通信装置により公開された誤り訂正情報の量に応じ て前記誤り訂正後の第 2の受信データを圧縮し、圧縮後のデータを第 3の受信デー タとする誤り訂正機能と、

前記第 3の受信データと前記送信側の通信装置から得られるデータとがー致して Vヽるかどうかを判定するための判定情報を、公開通信路を介して前記送信側の通信 装置に通知し、前記判定情報に基づく判定結果が不一致の場合、前記第 3の受信 データを捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じて 前記第 3の受信データを圧縮し、圧縮後のデータを第 4の受信データとする一致判 定機能と、

前記推定エラー確率および送信機または受信機の特性に関する情報から量子通 信路を通して盗聴者にもれた情報量を推定する推定機能と、

前記盗聴者にもれた情報量の推定値に基づいて前記第 4の受信データを圧縮し、 圧縮後のデータを装置間で共有の暗号鍵とする共有鍵生成機能と、

を有することを特徴とする通信装置。

[15] 基底およびデータに対応する 2つの乱数列によって規定された量子状態を量子通 信路上に送信し、当該量子状態受信側の通信装置において送信側と同一の基底を 用いた測定により得られたデータ、に対応する乱数列を第 1の送信データとする送信 側の通信装置において、

前記第 1の送信データ力 所定数のビット位置のデータを抽出し、抽出後の部分デ ータを、公開通信路を介して前記受信側の通信装置に通知し、その後、前記受信側 の通信装置力 得られる同一ビット位置の部分データとの一致度 (エラー確率）に基 づいて、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ 以外の残りのデータを第 2の送信データとするエラー確率推定機能と、

所定の誤り訂正情報を、公開通信路を介して前記第 2の通信装置に通知し、公開 した誤り訂正情報の量に応じて前記第 2の送信データを圧縮し、圧縮後のデータを 第 3の送信データとする誤り訂正機能と、

前記第 3の送信データと受信側の通信装置力 得られるデータとがー致しているか どうかを判定するための判定情報を、公開通信路を介して前記受信側の通信装置に 通知し、前記判定情報に基づく判定結果が不一致の場合、前記第 3の送信データを 捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じて前記第 3 の送信データを圧縮し、圧縮後のデータを第 4の送信データとする一致判定機能と、 量子状態生成器の特性に基づいて、または、当該量子状態生成器および前記受 信側の通信装置が備える量子状態測定器の特性に基づ!、て、鍵の持つ情報量を推 定する推定機能と、

前記鍵の持つ情報量の推定値に基づ!/、て前記第 4の送信データを圧縮し、圧縮 後のデータを装置間で共有の暗号鍵とする共有鍵生成機能と、

を有することを特徴とする通信装置。

[16] 量子通信路上の量子状態に対して乱数列により規定された基底を用いて測定する ことにより得られたデータのうち、量子状態送信側と同一の基底を用いた測定により 得られたデータを第 1の受信データとする量子状態受信側の通信装置において、 前記第 1の受信データ力 所定数のビット位置のデータを抽出し、抽出後の部分デ ータを、公開通信路を介して光子送信側の通信装置に通知し、その後、前記送信側 の通信装置力 得られる同一ビット位置の部分データとの一致度 (エラー確率）に基 づいて、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ 以外の残りのデータを第 2の受信データとするエラー確率推定機能と、

前記送信側の通信装置から得られる誤り訂正情報に基づいて前記第 2の受信デー タの誤りを訂正し、前記送信側の通信装置により公開された誤り訂正情報の量に応じ て前記誤り訂正後の第 2の受信データを圧縮し、圧縮後のデータを第 3の受信デー タとする誤り訂正機能と、

前記第 3の受信データと前記送信側の通信装置から得られるデータとがー致して Vヽるかどうかを判定するための判定情報を、公開通信路を介して前記送信側の通信 装置に通知し、前記判定情報に基づく判定結果が不一致の場合、前記第 3の受信 データを捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じて 前記第 3の受信データを圧縮し、圧縮後のデータを第 4の受信データとする一致判 定機能と、

前記送信側の通信装置が備える量子状態生成器の特性に基づいて、または、当 該量子状態生成器および量子状態測定器の特性に基づ 、て、鍵の持つ情報量を 推定する推定機能と、

前記鍵の持つ情報量の推定値に基づ!/、て前記第 4の受信データを圧縮し、圧縮 後のデータを装置間で共有の暗号鍵とする共有鍵生成機能と、

を有することを特徴とする通信装置。

データに対応する乱数列によって規定された量子状態を量子通信路上に送信し、 当該量子状態受信側の通信装置における測定結果と一致も直交もしない量子状態 、に対応する乱数列を第 1の送信データとする送信側の通信装置において、 前記第 1の送信データ力 所定数のビット位置のデータを抽出し、抽出後の部分デ ータを、公開通信路を介して前記受信側の通信装置に通知し、その後、前記受信側 の通信装置力 得られる同一ビット位置の部分データとの一致度 (エラー確率）に基 づいて、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ 以外の残りのデータを第 2の送信データとするエラー確率推定機能と、

所定の誤り訂正情報を、公開通信路を介して前記第 2の通信装置に通知し、公開 した誤り訂正情報の量に応じて前記第 2の送信データを圧縮し、圧縮後のデータを 第 3の送信データとする誤り訂正機能と、

前記第 3の送信データと受信側の通信装置力 得られるデータとがー致しているか どうかを判定するための判定情報を、公開通信路を介して前記受信側の通信装置に 通知し、前記判定情報に基づく判定結果が不一致の場合、前記第 3の送信データを 捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じて前記第 3 の送信データを圧縮し、圧縮後のデータを第 4の送信データとする一致判定機能と、 量子状態生成器の特性に基づいて、または、当該量子状態生成器および前記受 信側の通信装置が備える量子状態測定器の特性に基づ!、て、鍵の持つ情報量を推 定する推定機能と、

前記鍵の持つ情報量の推定値に基づ!/、て前記第 4の送信データを圧縮し、圧縮 後のデータを装置間で共有の暗号鍵とする共有鍵生成機能と、

を有することを特徴とする通信装置。

[18] 量子通信路上の量子状態に対して乱数列により規定された基底を用いて測定する ことにより得られたデータのうち、送信側の量子状態と一致も直交もしない測定結果、 に対応するデータを第 1の受信データとする量子状態受信側の通信装置において、 前記第 1の受信データ力 所定数のビット位置のデータを抽出し、抽出後の部分デ ータを、公開通信路を介して光子送信側の通信装置に通知し、その後、前記送信側 の通信装置力 得られる同一ビット位置の部分データとの一致度 (エラー確率）に基 づいて、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ 以外の残りのデータを第 2の受信データとするエラー確率推定機能と、

前記送信側の通信装置から得られる誤り訂正情報に基づいて前記第 2の受信デー タの誤りを訂正し、前記送信側の通信装置により公開された誤り訂正情報の量に応じ て前記誤り訂正後の第 2の受信データを圧縮し、圧縮後のデータを第 3の受信デー タとする誤り訂正機能と、

前記第 3の受信データと前記送信側の通信装置から得られるデータとがー致して Vヽるかどうかを判定するための判定情報を、公開通信路を介して前記送信側の通信 装置に通知し、前記判定情報に基づく判定結果が不一致の場合、前記第 3の受信 データを捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じて 前記第 3の受信データを圧縮し、圧縮後のデータを第 4の受信データとする一致判 定機能と、

前記送信側の通信装置が備える量子状態生成器の特性に基づいて、または、当 該量子状態生成器および量子状態測定器の特性に基づ 、て、鍵の持つ情報量を 推定する推定機能と、

前記鍵の持つ情報量の推定値に基づ!/、て前記第 4の受信データを圧縮し、圧縮 後のデータを装置間で共有の暗号鍵とする共有鍵生成機能と、

を有することを特徴とする通信装置。