WO2023218575A1

WO2023218575A1 - 鍵交換システム、拠点装置、ｑｋｄ装置、方法、及びプログラム

Info

Publication number: WO2023218575A1
Application number: PCT/JP2022/019988
Authority: WO
Inventors: 優太郎清村; 盛知加良; 鉄太郎小林; 浩司千田; 勝行夏川; 篤谷口; 大介白井; 耕一高杉
Original assignee: 日本電信電話株式会社
Priority date: 2022-05-11
Filing date: 2022-05-11
Publication date: 2023-11-16

Abstract

本開示の一態様による鍵交換システムは、少なくとも誤り訂正が含まれる量子鍵配送プロトコルを実行する複数のＱＫＤ装置と、互いに暗号化通信を行う複数の拠点装置とが含まれる鍵交換システムであって、前記拠点装置は、前記ＱＫＤ装置から受信した情報に基づいて、他の拠点装置との間で暗号化通信を行うための暗号化鍵を生成するように構成されている鍵生成部、を有し、前記ＱＫＤ装置は、他のＱＫＤ装置との間で前記量子鍵配送プロトコルを実行し、乱数情報の暗号文から訂正鍵を生成するように構成されているＱＫＤ処理部と、前記量子鍵配送プロトコルにおける基底照合の結果を表す情報を前記拠点装置に送信するように構成されている第１の送信部と、を有する。

Description

鍵交換システム、拠点装置、ＱＫＤ装置、方法、及びプログラム

　本開示は、鍵交換システム、拠点装置、ＱＫＤ装置、方法、及びプログラムに関する。

　量子計算機の実用化により、既存暗号の安全性基盤となる数学的問題（素因数分解問題、離散対数問題）が現実的な時間で解けるようになることが知られている。このため、既存暗号であるＲＳＡ暗号や楕円曲線暗号が危殆化する恐れがあり、量子計算機でも解読できない暗号技術への移行が必要である。

　量子計算機でも解読できない暗号技術として、耐量子計算機暗号（ＰＱＣ：Post-Quantum Cryptography）や量子鍵配送（ＱＫＤ：Quantum Key Distribution）がある。ＱＫＤの代表的なプロトコルとしてＢＢ８４方式が知られている（例えば、非特許文献１）。ＢＢ８４方式は、１ビットの鍵情報を光子１個の偏光や位相で表現して伝送・共有する方式である。

C.H. Bennett, G. Brassard, "Quantum Cryptography: Public Key Distribution and Coin Tossing", Proceedings of IEEE International Conference on Computers Systems and Signal Processing, Bangalore India, pp 175-179, December 1984.

　しかしながら、従来のＢＢ８４方式では、光子の送受信を行うＱＫＤ装置が鍵情報を持っているため、ＱＫＤ装置が信頼できない場合、安全性が保証できないという問題点がある。

　本開示は、上記の点に鑑みてなされたもので、ＱＫＤプロトコルにより安全な鍵交換を行うことができる技術を提供することを目的とする。

　ＱＫＤプロトコルにより安全な鍵交換を行うことができる技術が提供される。

ＱＫＤプロトコルの一例を示す図である。鍵抽出の一例を示す図である。本実施形態に係る鍵交換システムの全体構成の一例を示す図である。本実施形態に係る鍵交換システムが実行する処理の一例を示すシーケンス図である。本実施形態に係る鍵交換システムの全体構成の応用例を示す図である。本実施形態に係る鍵交換システムが実行する処理の応用例を示すシーケンス図である。コンピュータのハードウェア構成の一例を示す図である。

　以下、本発明の一実施形態について説明する。

　＜ＱＫＤプロトコルによる鍵交換＞
　以下、ＱＫＤプロトコルの一例としてビット（０又は１）を偏光にエンコードするＢＢ８４方式を想定し、ＱＫＤプロトコルにより鍵交換を行う場合について、図１を参照しながら説明する。なお、ＢＢ８４方式の詳細については、例えば、上記の非特許文献１等を参照されたい。

　図１では、データ送信側の拠点に存在する拠点装置（送信ノード）と、データ受信側の拠点に存在する拠点装置（受信ノード）との間で暗号化通信を行う場合を想定する。このとき、データ送信側の拠点にはＱＫＤ装置（送信ノード）が存在し、データ受信側の拠点にはＱＫＤ装置（受信ノード）が存在するものとする。拠点装置（送信ノード）と拠点装置（受信ノード）と間の暗号化通信に用いられる鍵（暗号化鍵）は、ＱＫＤ装置（送信ノード）とＱＫＤ装置（受信ノード）との間でＱＫＤプロトコルが実行されることで生成及び共有される。

　ＢＢ８４方式では、以下の手順１～手順７により鍵が生成及び共有される。以下のＢＢ８４方式の説明では、ＱＫＤ装置（送信ノード）を「送信者」、ＱＫＤ装置（受信ノード）を「受信者」と呼ぶ。

　手順１：送信者は、乱数情報（所定の長さのランダムなビット列）を生成する。

　手順２：送信者は、２つの基底（＋基底又は×基底）からランダムに基底を選択し、その基底に応じてビット列を光子の偏光に符号化（エンコード）する。このとき、送信者は、以下の表１により光子の偏光を符号化する。

　すなわち、＋基底を選択した場合、０を水平偏光、１を垂直偏光に符号化する。一方で、×基底を選択した場合、０を４５°偏光、１を１３５°偏光に符号化する。なお、光子は光源から出力される。

　手順３：送信者は、光伝送路により光子列を受信者に送信する。

　手順４：受信者は、２つの基底（＋基底又は×基底）からランダムに基底を選択し、光子を測定（つまり、選択した基底で光子をデコードし、光子検出器で光子を検出したか否かによりビット値を決定）する。

　手順５：受信者は、公開通信路によりどの基底により光子を測定したかを送信者に通知する。

　手順６：送信者は、自身が選択した基底と、受信者から通知された基底とが一致している部分（例えば、それらの基底が一致しているビット列の位置）を公開通信路により受信者に通知する。上記の手順５～手順６は基底照合とも呼ばれる。

　手順７：送信者及び受信者は、互いに選択した基底が一致している部分のビット列を抽出し、抽出したビット列に基づいて暗号化鍵（鍵情報）を生成する。例えば、図２に示すように、先頭のビットを０番目として、１番目、５番目、７番目、１０番目、１１番目のビットで送信者と受信者が選択した基底が一致している場合、ビット列「１１０００１０」が抽出され、このビット列に基づいて暗号化鍵（鍵情報）が生成される。なお、このビット列はふるい鍵とも呼ばれる。一般に、ふるい鍵が得られた後、このふるい鍵の一部をテストビットとして抜き出してビット誤り率から盗聴の有無を評価した上で、盗聴が無いと評価された場合に誤り訂正と秘匿性増強処理とが実行されて暗号化鍵（鍵情報）が生成される。

　これにより、ＱＫＤ装置（送信ノード）とＱＫＤ装置（受信ノード）との間で暗号化通信に用いられる暗号化鍵が共有され、拠点装置（送信ノード）と拠点装置（受信ノード）は、この暗号化鍵により暗号化通信を行うことができるようになる。

　上記で説明したように、ＢＢ８４方式等の従来のＱＫＤプロトコルではＱＫＤ装置が鍵情報を持つことになる。このため、ＱＫＤ装置が信頼できない場合、安全性が保証できないという問題点がある、そこで、以下では、ＱＫＤ装置に鍵情報を秘匿可能な鍵交換手法を提案する。なお、信頼できないＱＫＤ装置とは、例えば、鍵情報の漏洩等の恐れがあるＱＫＤ装置のことである。

　＜提案手法＞
　本提案手法では、ＱＫＤ装置に鍵情報を秘匿するために、拠点装置で秘密鍵ｓｋを生成し、ＱＫＤ装置で鍵情報を生成する際には当該秘密鍵ｓｋで暗号化された乱数情報を用いる。一方で、ＱＫＤ装置から鍵情報を受け取った拠点装置は、秘密鍵ｓｋで復号することで、暗号化通信に用いる暗号化鍵を得る。これにより、ＱＫＤ装置に鍵情報を秘匿することができる。

　以下、上記の提案手法によりＱＫＤの鍵情報を共有する鍵交換システムについて説明する。

　＜鍵交換システムの全体構成＞
　本実施形態に係る鍵交換システムの全体構成の一例について、図３を参照しながら説明する。

　図３に示すように、本実施形態に係る鍵交換システムには、複数の拠点装置１０と、複数のＱＫＤ装置２０とが含まれる。以下、データ送信側の拠点に存在する拠点装置１０を「拠点装置１０Ａ」、データ受信側の拠点に存在する拠点装置１０を「拠点装置１０Ｂ」とする。同様に、データ送信側の拠点に存在するＱＫＤ装置２０を「ＱＫＤ装置２０Ａ」、データ受信側の拠点に存在するＱＫＤ装置２０を「ＱＫＤ装置２０Ｂ」とする。なお、各拠点装置１０及び各ＱＫＤ装置２０は公開通信路によって通信可能に接続される共に、ＱＫＤ装置２０間は光伝送路によって接続される。

　拠点装置１０は、他の拠点に存在する拠点装置１０との間で暗号化通信を行う情報処理装置（コンピュータ）である。拠点装置１０は、拠点間通信処理部１０１と、秘密鍵共有処理部１０２と、乱数生成処理部１０３と、暗号化処理部１０４と、鍵生成処理部１０５とを有する。これら各部は、例えば、拠点装置１０にインストールされた１以上のプログラムが、ＣＰＵ（Central Processing Unit）等のプロセッサに実行させる処理により実現される。

　拠点間通信処理部１０１は、他の拠点に存在する拠点装置１０との間で暗号化通信及びその暗号化通信を行うための各種処理等を実行する。秘密鍵共有処理部１０２は、他の拠点に存在する拠点装置１０との間で秘密鍵ｓｋ（ストリーム暗号方式の秘密鍵）を生成及び共有するための処理を実行する。乱数生成処理部１０３は、所定の長さのランダムなビット列である乱数情報ｒを生成する。暗号化処理部１０４は、乱数情報ｒを秘密鍵ｓｋで暗号化した暗号文Ｃを生成する。鍵生成処理部１０５は、ＱＫＤ装置２０から受信した情報（ふるい鍵のビット番号、又は、当該ビット番号と後述する訂正鍵Ｃ'）を用いて、他の拠点に存在する拠点装置１０との間の暗号化通信に用いる暗号化鍵Ｄを生成する。以下、データｘを秘密鍵ｓｋで暗号化したものをＥｎｃ（ｘ；ｓｋ）とも表し、データｘ'を秘密鍵ｓｋで復号したものをＤｅｃ（ｘ'；ｓｋ）とも表す。また、以下、拠点装置１０Ａが有する拠点間通信処理部１０１、秘密鍵共有処理部１０２、乱数生成処理部１０３、暗号化処理部１０４及び鍵生成処理部１０５をそれぞれ「拠点間通信処理部１０１Ａ」、「秘密鍵共有処理部１０２Ａ」、「乱数生成処理部１０３Ａ」、「暗号化処理部１０４Ａ」及び「鍵生成処理部１０５Ａ」とする。同様に、拠点装置１０Ｂが有する拠点間通信処理部１０１、秘密鍵共有処理部１０２、乱数生成処理部１０３、暗号化処理部１０４及び鍵生成処理部１０５をそれぞれ「拠点間通信処理部１０１Ｂ」、「秘密鍵共有処理部１０２Ｂ」、「乱数生成処理部１０３Ｂ」、「暗号化処理部１０４Ｂ」及び「鍵生成処理部１０５Ｂ」とする。なお、拠点装置１０Ｂは、乱数生成処理部１０３Ｂ及び暗号化処理部１０４Ｂの少なくとも一方を有していなくてもよい。

　ＱＫＤ装置２０は、他の拠点に存在するＱＫＤ装置２０との間で光伝送路を介してＱＫＤプロトコル（例えば、ＢＢ８４方式等）を実行する情報処理装置（コンピュータ）である。ＱＫＤ装置２０は、ＱＫＤ処理部２０１を有する。ＱＫＤ処理部２０１は、例えば、ＱＫＤ装置２０にインストールされた１以上のプログラムが、ＣＰＵ等のプロセッサに実行させる処理により実現される。ＱＫＤ処理部２０１は、他の拠点に存在するＱＫＤ装置２０との間で光伝送路を介してＱＫＤプロトコル（誤り訂正等も含む）を実行し、誤り訂正後の鍵である訂正鍵Ｃ'を生成及び共有する。以下、ＱＫＤ装置２０Ａが有するＱＫＤ処理部２０１を「ＱＫＤ処理部２０１Ａ」、ＱＫＤ装置２０Ａが有するＱＫＤ処理部２０１を「ＱＫＤ処理部２０１Ｂ」とする。

　＜鍵交換システムが実行する処理＞
　本実施形態に係る鍵交換システムが実行する処理の一例について、図４を参照しながら説明する。なお、本実施形態に係る鍵交換システムが実行する処理は、事前の鍵共有（ステップＳ１０１）、ＱＫＤ鍵交換（ステップＳ１０２～ステップＳ１０９）、及び拠点間通信（ステップＳ１１０～ステップＳ１１５）に大別される。

　拠点装置１０Ａの秘密鍵共有処理部１０２Ａと拠点装置１０Ｂの秘密鍵共有処理部１０２Ｂは、ストリーム暗号方式の秘密鍵ｓｋを生成及び共有する（ステップＳ１０１）。

　拠点装置１０Ａの乱数生成処理部１０３Ａは、所定の長さのランダムなビット列である乱数情報ｒを生成する（ステップＳ１０２）。

　拠点装置１０Ａの暗号化処理部１０４Ａは、乱数情報ｒを秘密鍵ｓｋで暗号化した暗号文Ｃ、すなわちＣ＝Ｅｎｃ（ｒ；ｓｋ）を生成する（ステップＳ１０３）。なお、ｓｋはストリーム暗号方式の秘密鍵であるため、暗号文Ｃ＝Ｅｎｃ（ｒ；ｓｋ）は、具体的にはｒとｓｋの排他的論理和をとったものである。

　拠点装置１０Ａの拠点間通信処理部１０１Ａは、暗号文ＣをＱＫＤ装置２０Ａに送信する（ステップＳ１０４）。

　ＱＫＤ装置２０ＡのＱＫＤ処理部２０１Ａは、当該暗号文Ｃを符号化（例えば、これまでのエラーレート（ビット誤り率）に応じて符号化率を設定した上で符号化）し（ステップＳ１０５）、ＱＫＤ装置２０ＢのＱＫＤ処理部２０１Ｂとの間でＱＫＤプロトコル（誤り訂正等も含む）を実行して訂正鍵Ｃ'を生成及び共有する（ステップＳ１０６）。なお、符号化は、既存のＢＢ８４方式等と同様に、暗号文Ｃを表すビット列を光子の偏光（又は位相）に符号化すればよい。また、ＱＫＤ装置２０ＡのＱＫＤ処理部２０１ＡとＱＫＤ装置２０ＢのＱＫＤ処理部２０１Ｂは、既存のＢＢ８４方式等と同様に、基底照合によりふるい鍵を得た後にビット誤り率の計算及び盗聴有無の評価を行い、盗聴が無いと評価された場合に誤り訂正を行って訂正鍵Ｃ'を生成及び共有すればよい。ただし、誤り訂正には、符号化率を設定可能な手法（例えば、低密度パリティ検査符号（ＬＤＰＣ：Low Density Parity Check）等）を用いる。

　ＱＫＤ装置２０ＡのＱＫＤ処理部２０１Ａは、上記のステップＳ１０６における基底照合により得られたふるい鍵のビット番号（言い換えれば、ＱＫＤ装置２０ＡとＱＫＤ装置２０Ｂの間で選択した基底が一致している部分のビット番号）を拠点装置１０Ａに送信する（ステップＳ１０７）。

　一方で、ＱＫＤ装置２０ＢのＱＫＤ処理部２０１Ｂは、上記のステップＳ１０６における基底照合により得られたふるい鍵のビット番号と、上記のステップＳ１０６で得られた訂正鍵Ｃ'とを拠点装置１０Ｂに送信する（ステップＳ１０８～ステップＳ１０９）。

　拠点装置１０Ａの鍵生成処理部１０５Ａは、上記のステップＳ１０２で生成した乱数情報ｒとＱＫＤ装置２０Ａから受信したビット番号とを用いて、鍵ｒ'を取得する（ステップＳ１１０）。すなわち、鍵生成処理部１０５Ａは、乱数情報ｒを表すビット列の中から、当該ビット番号のビット列を抽出し、この抽出したビット列を鍵ｒ'とする。

　拠点装置１０Ｂの鍵生成処理部１０５Ｂは、ＱＫＤ装置２０Ｂから受信した訂正鍵Ｃ'及びビット番号と秘密鍵ｓｋとを用いて、鍵ｒ'を取得する（ステップＳ１１１）。すなわち、鍵生成処理部１０５Ｂは、訂正鍵Ｃ'を秘密鍵ｓｋにより復号（つまり、Ｄｅｃ（Ｃ'；ｓｋ））した上で、復号後のビット列（つまり、Ｄｅｃ（Ｃ'；ｓｋ）を表すビット列）の中から、当該ビット番号のビット列を抽出し、この抽出したビット列を鍵ｒ'とする。なお、ｓｋはストリーム暗号方式の秘密鍵であるため、Ｄｅｃ（Ｃ'；ｓｋ）は、具体的にはＣ'とｓｋの排他的論理和をとったものである。

　拠点装置１０Ａの鍵生成処理部１０５Ａと拠点装置１０Ｂの鍵生成処理部１０５Ｂは、秘匿性増強処理に必要な情報を共有する（ステップＳ１１２）。なお、秘匿性増強処理とは１ビットを犠牲にすることで秘匿性を向上させるための処理であり、誤り訂正等と共に鍵蒸留とも呼ばれる。秘匿性増強処理は既存技術であるため、その詳細な説明は省略する。

　拠点装置１０Ａの鍵生成処理部１０５Ａは、鍵ｒ'に秘匿性増強処理を実施し、暗号化鍵Ｄを生成する（ステップＳ１１３）。これにより、拠点装置１０Ａは、暗号化通信に用いられる暗号化鍵Ｄを得ることができる。

　同様に、拠点装置１０Ｂの鍵生成処理部１０５Ｂは、鍵ｒ'に秘匿性増強処理を実施し、暗号化鍵Ｄを生成する（ステップＳ１１４）。これにより、拠点装置１０Ｂは、暗号化通信に用いられる暗号化鍵Ｄを得ることができる。

　以上により、拠点装置１０Ａの拠点間通信処理部１０１Ａと拠点装置１０Ｂの拠点間通信処理部１０１Ｂは暗号化鍵Ｄにより暗号化通信を行うことができる（ステップＳ１１５）。

　＜応用例＞
　以下、本実施形態の応用例の１つとして、ＱＫＤ装置２０間に中継装置３０が存在する場合について説明する。なお、以下では、上記の実施形態と同様の箇所についてはその説明を省略し、上記の実施形態との相違点に関してのみ説明する。

　・応用例における鍵交換システムの全体構成
　応用例における鍵交換システムの全体構成について、図５を参照しながら説明する。

　図５に示すように、応用例における鍵交換システムには、拠点装置１０Ａと拠点装置１０Ｂとの間に中継装置３０が存在する。中継装置３０は、拠点装置１０Ａと光伝送路によって接続されていると共に、拠点装置１０Ｂとも光伝送路によって接続されている。

　・応用例における鍵交換システムが実行する処理
　応用例における鍵交換システムが実行する処理について、図６を参照しながら説明する。本応用例では、図６のステップＳ２０５～ステップＳ２０６の処理のみが、図４で説明したシーケンス図と異なる。そこで、以下では、ステップＳ２０５～ステップＳ２０６の処理のみ説明する。

　ＱＫＤ装置２０ＡのＱＫＤ処理部２０１Ａは、当該暗号文Ｃを符号化（例えば、これまでのエラーレート（ビット誤り率）に応じて符号化率を設定した上で符号化）し（ステップＳ２０５）、ＱＫＤ装置２０ＢのＱＫＤ処理部２０１Ｂとの間で、中継装置３０を介して、ＱＫＤプロトコル（誤り訂正等も含む）を実行して訂正鍵Ｃ'を生成及び共有する（ステップＳ２０６）。なお、符号化は、既存のＢＢ８４方式等と同様に、暗号文Ｃを表すビット列を光子の偏光（又は位相）に符号化すればよい。また、ＱＫＤ装置２０ＡのＱＫＤ処理部２０１ＡとＱＫＤ装置２０ＢのＱＫＤ処理部２０１Ｂは、既存のＢＢ８４方式等と同様に、基底照合によりふるい鍵を得た後にビット誤り率の計算及び盗聴有無の評価を行い、盗聴が無いと評価された場合に誤り訂正を行って訂正鍵Ｃ'を生成及び共有すればよい。ただし、誤り訂正には、符号化率を設定可能な手法（例えば、低密度パリティ検査符号（ＬＤＰＣ等）を用いる。

　＜各装置のハードウェア構成＞
　拠点装置１０、ＱＫＤ装置２０及び中継装置３０は、例えば、図７に示すコンピュータ５００のハードウェア構成により実現することができる。

　図７に示すコンピュータ５００は、入力装置５０１と、表示装置５０２と、外部Ｉ／Ｆ５０３と、通信Ｉ／Ｆ５０４と、ＲＡＭ（Random Access Memory）５０５と、ＲＯＭ（Read Only Memory）５０６と、補助記憶装置５０７と、プロセッサ５０８とを有する。これらの各ハードウェアは、それぞれがバス５０９を介して通信可能に接続されている。

　入力装置５０１は、例えば、キーボード、マウス、タッチパネル、物理ボタン等である。表示装置５０２は、例えば、ディスプレイ、表示パネル等である。なお、コンピュータ５００は、例えば、入力装置５０１及び表示装置５０２の少なくとも一方を有していなくてもよい。

　外部Ｉ／Ｆ５０３は、記録媒体５０３ａ等の外部装置とのインタフェースである。コンピュータ５００は、外部Ｉ／Ｆ５０３を介して、記録媒体５０３ａの読み取りや書き込み等を行うことができる。記録媒体５０３ａとしては、例えば、フレキシブルディスク、ＣＤ（Compact Disc）、ＤＶＤ（Digital Versatile Disk）、ＳＤメモリカード（Secure Digital memory card）、ＵＳＢ（Universal Serial Bus）メモリカード等が挙げられる。

　通信Ｉ／Ｆ５０４は、コンピュータ５００を通信ネットワークに接続するためのインタフェースである。ＲＡＭ５０５は、プログラムやデータを一時保持する揮発性の半導体メモリ（記憶装置）である。ＲＯＭ５０６は、電源を切ってもプログラムやデータを保持することができる不揮発性の半導体メモリ（記憶装置）である。補助記憶装置５０７は、例えば、ＨＤＤ（Hard Disk Drive）、ＳＳＤ（Solid State Drive）、フラッシュメモリ等のストレージ装置（記憶装置）である。プロセッサ５０８は、例えば、ＣＰＵ等の演算装置である。

　本実施形態に係る拠点装置１０、ＱＫＤ装置２０及び中継装置３０は、例えば、図７に示すコンピュータ５００のハードウェア構成を有することにより、上述した各種処理を実現することができる。なお、図７に示すコンピュータ５００のハードウェア構成は一例であって、コンピュータ５００のハードウェア構成はこれに限られるものではない。例えば、コンピュータ５００は、複数の補助記憶装置５０７や複数のプロセッサ５０８を有していてもよいし、図示したハードウェアの一部を有していなくてもよいし、図示したハードウェア以外の様々なハードウェアを有していてもよい。

　＜まとめ＞
　以上のように、本実施形態に係る鍵交換システムでは、秘密鍵ｓｋを拠点装置１０間で共有すると共にその秘密鍵ｓｋにより乱数情報を暗号化した上で、この暗号化後の乱数情報を用いてＱＫＤ装置２０間でＱＫＤプロトコル（誤り訂正等も含む）を実行する。これにより、各拠点装置１０は、その誤り訂正により得られた訂正鍵Ｃ'から暗号化鍵Ｄ（ＱＫＤの鍵）を得ることができる。このとき、ＱＫＤ装置２０では暗号化された乱数情報から訂正鍵Ｃ'が生成されるため、ＱＫＤ装置２０に乱数情報（鍵情報）を秘匿することができる。このため、例えば、ＱＫＤ装置２０が信頼できない場合であっても、システム全体としての安全性を高めることができる。

　＜秘密鍵ｓｋの共有＞
　上記の実施形態では拠点装置１０Ａと拠点装置１０Ｂの間で秘密鍵ｓｋを共有する方法に関しては特に限定しておらず、既存の鍵カプセル化メカニズム（ＫＥＭ：Key Encapsulation Mechanism）等を用いてもよいが、例えば、格子暗号の一種であるＮＴＲＵ等といった耐量子計算機暗号のＫＥＭを用いることで、量子計算機に対しても鍵共有を行うことができる。

　本発明は、具体的に開示された上記の実施形態に限定されるものではなく、請求の範囲の記載から逸脱することなく、種々の変形や変更、既知の技術との組み合わせ等が可能である。

　１０　　　　拠点装置
　２０　　　　ＱＫＤ装置
　３０　　　　中継装置
　１０１　　　拠点間通信処理部
　１０２　　　秘密鍵共有処理部
　１０３　　　乱数生成処理部
　１０４　　　暗号化処理部
　１０５　　　鍵生成処理部
　２０１　　　ＱＫＤ処理部
　５００　　　コンピュータ
　５０１　　　入力装置
　５０２　　　表示装置
　５０３　　　外部Ｉ／Ｆ
　５０３ａ　　記録媒体
　５０４　　　通信Ｉ／Ｆ
　５０５　　　ＲＡＭ
　５０６　　　ＲＯＭ
　５０７　　　補助記憶装置
　５０８　　　プロセッサ
　５０９　　　バス

Claims

　少なくとも誤り訂正が含まれる量子鍵配送プロトコルを実行する複数のＱＫＤ装置と、互いに暗号化通信を行う複数の拠点装置とが含まれる鍵交換システムであって、
　前記拠点装置は、
　前記ＱＫＤ装置から受信した情報に基づいて、他の拠点装置との間で暗号化通信を行うための暗号化鍵を生成するように構成されている鍵生成部、を有し、
　前記ＱＫＤ装置は、
　他のＱＫＤ装置との間で前記量子鍵配送プロトコルを実行し、乱数情報の暗号文から訂正鍵を生成するように構成されているＱＫＤ処理部と、
　前記量子鍵配送プロトコルにおける基底照合の結果を表す情報を前記拠点装置に送信するように構成されている第１の送信部と、を有する鍵交換システム。
　前記複数の拠点装置のうちデータ送信側の拠点に存在する拠点装置は、
　データ受信側の拠点に存在する拠点装置との間で秘密鍵を共有するように構成されている秘密鍵共有部と、
　所定の長さのランダムなビット列である乱数情報を生成するように構成されている乱数生成部と、
　前記秘密鍵により前記乱数情報を暗号化した暗号文を生成するように構成されている暗号化部と、
　前記暗号文を、データ送信側の拠点に存在するＱＫＤ装置に送信するように構成されている第２の送信部と、を更に有し、
　前記データ送信側の拠点に存在する拠点装置が有する前記鍵生成部は、
　前記基底照合の結果と前記乱数情報に基づいて前記暗号化鍵を生成するように構成されている請求項１に記載の鍵交換システム。
　前記複数のＱＫＤ装置のうちデータ受信側の拠点に存在するＱＫＤ装置が有する前記第１の送信部は、
　前記基底照合の結果を表す情報と前記訂正鍵とを、前記データ受信側の拠点に存在する拠点装置に送信するように構成されており、
　前記データ受信側の拠点に存在する拠点装置が有する前記鍵生成部は、
　前記基底照合の結果と前記訂正鍵と前記秘密鍵とに基づいて前記暗号化鍵を生成するように構成されている請求項２に記載の鍵交換システム。
　前記秘密鍵はストリーム暗号方式の鍵であり、
　前記秘密鍵共有部は、
　前記データ受信側の拠点に存在する拠点装置との間で、耐量子計算機暗号に基づく鍵カプセル化メカニズムにより前記秘密鍵を共有するように構成されている請求項２又は３に記載の鍵交換システム。
　少なくとも誤り訂正が含まれる量子鍵配送プロトコルを実行する複数のＱＫＤ装置と、互いに暗号化通信を行う複数の拠点装置とが含まれる鍵交換システムにおける前記拠点装置であって、
　自身がデータ送信側の拠点に存在する場合、データ受信側の拠点に存在する拠点装置との間で秘密鍵を共有するように構成されている秘密鍵共有部と、
　自身がデータ送信側の拠点に存在する場合、所定の長さのランダムなビット列である乱数情報を生成するように構成されている乱数生成部と、
　自身がデータ送信側の拠点に存在する場合、前記秘密鍵により前記乱数情報を暗号化し、前記量子鍵配送プロトコルに用いられる暗号文を生成するように構成されている暗号化部と、
　自身がデータ送信側の拠点に存在する場合、前記暗号文を、データ送信側の拠点に存在するＱＫＤ装置に送信するように構成されている第１の送信部と、
　前記ＱＫＤ装置から受信した情報に基づいて、他の拠点装置との間で暗号化通信を行うための暗号化鍵を生成するように構成されている鍵生成部と、
　を有する拠点装置。
　少なくとも誤り訂正が含まれる量子鍵配送プロトコルを実行する複数のＱＫＤ装置と、互いに暗号化通信を行う複数の拠点装置とが含まれる鍵交換システムにおける前記ＱＫＤ装置であって、
　他のＱＫＤ装置との間で前記量子鍵配送プロトコルを実行し、乱数情報の暗号文から訂正鍵を生成するように構成されているＱＫＤ処理部と、
　前記量子鍵配送プロトコルにおける基底照合の結果を表す情報を前記拠点装置に送信するように構成されている第１の送信部と、
　を有するＱＫＤ装置。
　少なくとも誤り訂正が含まれる量子鍵配送プロトコルを実行する複数のＱＫＤ装置と、互いに暗号化通信を行う複数の拠点装置とが含まれる鍵交換システムに用いられる方法であって、
　前記拠点装置が、
　前記ＱＫＤ装置から受信した情報に基づいて、他の拠点装置との間で暗号化通信を行うための暗号化鍵を生成する鍵生成手順、を実行し、
　前記ＱＫＤ装置が、
　他のＱＫＤ装置との間で前記量子鍵配送プロトコルを実行し、乱数情報の暗号文から訂正鍵を生成するＱＫＤ処理手順と、
　前記量子鍵配送プロトコルにおける基底照合の結果を表す情報を前記拠点装置に送信する第１の送信手順と、を実行する方法。
　コンピュータを、請求項１に記載の鍵交換システムに含まれる拠点装置又はＱＫＤ装置として機能させるプログラム。