TOP > 国内特許検索 > 量子鍵配送方法、通信システムおよび通信装置 > 明細書

明細書 :量子鍵配送方法、通信システムおよび通信装置

発行国 日本国特許庁(JP)
公報種別 特許公報(B2)
特許番号 特許第4862159号 (P4862159)
登録日 平成23年11月18日(2011.11.18)
発行日 平成24年1月25日(2012.1.25)
発明の名称または考案の名称 量子鍵配送方法、通信システムおよび通信装置
国際特許分類 H04L   9/12        (2006.01)
FI H04L 9/00 631
請求項の数または発明の数 18
全頁数 33
出願番号 特願2006-553998 (P2006-553998)
出願日 平成18年1月24日(2006.1.24)
国際出願番号 PCT/JP2006/301039
国際公開番号 WO2006/078033
国際公開日 平成18年7月27日(2006.7.27)
優先権出願番号 2005015466
2005188865
優先日 平成17年1月24日(2005.1.24)
平成17年6月28日(2005.6.28)
優先権主張国 日本国(JP)
日本国(JP)
審査請求日 平成20年11月27日(2008.11.27)
特許権者または実用新案権者 【識別番号】504202472
【氏名又は名称】大学共同利用機関法人情報・システム研究機構
発明者または考案者 【氏名】渡辺 曜大
個別代理人の代理人 【識別番号】100089118、【弁理士】、【氏名又は名称】酒井 宏明
審査官 【審査官】青木 重徳
参考文献・文献 特開2004-179889(JP,A)
特開2004-274459(JP,A)
国際公開第2004/030270(WO,A1)
Masato Koashi and John Preskill,“Secure quantum key distribution with an uncharacterized source”,Quantum Physics (quant-ph),[online],2002年12月21日,arXiv:quant-ph/0208155v2,p.1-4,[retrieved on 2011-07-01]. Retrieved from the Internet,URL,<http://arxiv.org/PS_cache/quant-ph/pdf/0208/0208155v2.pdf>
Daniel Gottesman, Hoi-Kwong Lo, Norbert Luetkenhaus, and John Preskill,“Security of quantum key distribution with imperfect devices”,Quantum Physics (quant-ph),[online],2004年 9月 3日,arXiv:quant-ph/0212066v3,p.1-22,[retrieved on 2011-07-01]. Retrieved from the Internet,URL,<http://arxiv.org/PS_cache/quant-ph/pdf/0212/0212066v3.pdf>
DOMINIC MAYERS,“Unconditional Security in Quantum Cryptography”,Quantum Physics (quant-ph),[online],2004年 9月29日,arXiv:quant-ph/9802025v5,[retrieved on 2011-07-01]. Retrieved from the Internet,URL,<http://arxiv.org/ftp/quant-ph/papers/9802/9802025.pdf>
渡辺曜大,松本渉,今井秀樹,“低密度パリティ検査行列を用いた量子鍵配送のための誤り訂正技術”,暗号と情報セキュリティシンポジウム(SCIS2003)講演論文集CD-ROM,日本,2003年 1月26日,15D 量子システム(2),15D-1
調査した分野 H04L 9/12
特許請求の範囲 【請求項1】
基底およびデータに対応する2つの乱数列によって規定された量子状態を生成する量子状態生成器を備え当該量子状態を量子通信路上に送信する第1の通信装置と、当該量子通信路上の量子状態を乱数列により規定された基底を用いて測定することによりデータを得る第2の通信装置と、から構成され、前記第2の通信装置が、前記第1の通信装置と同一の基底を用いた測定により得られたデータを受信データとし、前記第1の通信装置が、当該受信データに対応する乱数列を送信データとする量子鍵配送を実現する通信システムであって、前記量子状態を知らない盗聴者が任意に基底を選択して量子通信路上の量子状態を測定可能な通信システムによる、量子鍵配送方法において、
前記第1の通信装置が、前記送信データから所定数の第1の部分データを抽出し、一方で、前記第2の通信装置から前記第1の部分データと同一位置の第2の部分データ(前記受信データから抽出された部分データ)を受信し、両方の部分データの一致度(エラー確率)に基づいて、鍵生成に用いるデータにおけるエラー確率を推定する第1のエラー確率推定ステップと、
前記第2の通信装置が、前記第1の通信装置から前記第1の部分データを受信し、当該第1の部分データと前記第2の部分データとの一致度(エラー確率)に基づいて、鍵生成に用いるデータにおけるエラー確率を推定する第2のエラー確率推定ステップと、
前記第1の通信装置が、前記第1のエラー確率推定ステップにより得られたエラー確率推定値と、前記量子状態生成器の特性に関する情報とに基づいて、量子通信路を通して盗聴者にもれた情報量を推定する第1の情報量推定ステップと、
前記第2の通信装置が、前記第2のエラー確率推定ステップにより得られたエラー確率推定値と前記第1の通信装置が備える量子状態生成器の特性に関する情報とに基づいて、量子通信路を通して盗聴者にもれた情報量を推定する第2の情報量推定ステップと、
前記第1の通信装置が、前記第1の情報量推定ステップにより得られた盗聴者にもれた情報量の推定値に基づいて圧縮した後の送信データを、各通信装置間で共有の暗号鍵とする第1の共有鍵生成ステップと、
前記第2の通信装置が、前記第2の情報量推定ステップにより得られた盗聴者にもれた情報量の推定値に基づいて圧縮した後の受信データを、各通信装置間で共有の暗号鍵とする第2の共有鍵生成ステップと、
を含むことを特徴とする量子鍵配送方法。
【請求項2】
前記第1および第2の情報量推定ステップにおいては、前記エラー確率推定値と、前記第1の通信装置が備える量子状態生成器および前記第2の通信装置が備える量子状態測定器の特性に関する情報、に基づいて、量子通信路を通して盗聴者にもれた情報量を推定することを特徴とする請求項1に記載の量子鍵配送方法。
【請求項3】
前記第1の情報量推定ステップにおいては、第1の通信装置が持つ送信データ所定の数に分割し、当該分割データのそれぞれに対して盗聴者にもれた情報量を推定し、
前記第2の情報量推定ステップにおいては、第2の通信装置が持つ受信データを前記所定の数に分割し、当該分割データのそれぞれに対して盗聴者にもれた情報量を推定する、 ことを特徴とする請求項2に記載の量子鍵配送方法。
【請求項4】
さらに、第1の通信装置が持つ送信データと第2の通信装置が持つ受信データが一致しているかどうかを判定するための所定の判定情報に基づいて判定処理を行い、当該判定結果が不一致の場合、前記各通信装置が持つデータを捨てる一致判定ステップ、
を含み、
前記一致判定ステップでは、
前記第1の通信装置および前記第2の通信装置が、前記所定の判定情報のビット長α(αは前記送信データおよび前記受信データのビット長βよりも短いビット長)を決定し、いずれか一方の通信装置が、β列×α行のランダム行列を生成し、当該ランダム行列を、公開通信路を介して他方の通信装置に送信し、
前記第1の通信装置が、前記所定の判定情報として、「前記ランダム行列×第1の通信装置が持つ送信データ」の計算によりビット長αの第1の判定情報を求め、当該第1の判定情報を、公開通信路を介して前記第2の通信装置に送信し、
前記第2の通信装置が、前記所定の判定情報として、「前記ランダム行列×第2の通信装置が持つ受信データ」の計算により前記第1の判定情報と同一ビット長の第2の判定情報を求め、当該第2の判定情報を、公開通信路を介して前記第1の通信装置に送信し、
その後、前記第1の通信装置が、前記判定処理として、前記第1の判定情報と前記第2の通信装置から得られた第2の判定情報とが一致しているかどうかを判定し、
一方、前記第2の通信装置が、前記判定処理として、前記第2の判定情報と前記第1の通信装置から得られた第1の判定情報とが一致しているかどうかを判定することを特徴とする請求項1、2または3に記載の量子鍵配送方法。
【請求項5】
2準位の量子系を前提とした場合、
前記第1および第2の情報量推定ステップでは、
解析の比較的容易な近似プロトコル(性質のよい量子状態を用いたプロトコル)と現実のプロトコル(現実の状況における送信誤差を含む量子状態を用いたプロトコル)の変動距離の上限値を計算する第1の工程と、
前記近似プロトコルにおいて、現実とは反対の基底を用いた場合に、前記エラー確率推定値が真の値よりも小さく見積もられてしまう確率の上限値を計算する第2の工程と、
送信データを条件とした場合の受信データおよび盗聴情報の条件付確率の上限値を計算する第3の工程と、
前記第2の工程にて得られる前記エラー確率推定値が真の値よりも小さく見積もられてしまう確率の上限値、および前記第3の工程にて得られる条件付確率の上限値に基づいて、前記近似プロトコルにおける盗聴量を計算する第4の工程と、
前記近似プロトコルにおける盗聴量、および前記第1の工程にて得られる変動距離の上限値に基づいて、現実のプロトコルにおける盗聴量を計算し、その結果を、前記量子通信路を通して盗聴者にもれた情報量とする第5の工程と、
を含むことを特徴とする請求項1に記載の量子鍵配送方法。
【請求項6】
2準位の量子系を前提とした場合、
前記第1および第2の情報量推定ステップでは、
解析の比較的容易な近似プロトコル(性質のよい演算子を用いたプロトコル)と現実のプロトコル(現実の状況における受信誤差を含む測定演算子を用いたプロトコル)の変動距離の上限値を計算する第1の工程と、
前記近似プロトコルにおいて、現実とは反対の基底を用いた場合に、前記エラー確率推定値が真の値よりも小さく見積もられてしまう確率の上限値を計算する第2の工程と、
送信データを条件とした場合の受信データおよび盗聴情報の条件付確率の上限値を計算する第3の工程と、
前記第2の工程にて得られる前記エラー確率推定値が真の値よりも小さく見積もられてしまう確率の上限値、および前記第3の工程にて得られる条件付確率の上限値に基づいて、前記近似プロトコルにおける盗聴量を計算する第4の工程と、
前記近似プロトコルにおける盗聴量、および前記第1の工程にて得られる変動距離の上限値に基づいて、現実のプロトコルにおける盗聴量を計算し、その結果を、前記量子通信路を通して盗聴者にもれた情報量とする第5の工程と、
を含むことを特徴とする請求項2に記載の量子鍵配送方法。
【請求項7】
前記第1および第2の情報量推定ステップでは、前記第1の通信装置が備える量子状態生成器の特性に基づいて、または、前記第1の通信装置が備える量子状態生成器および前記第2の通信装置が備える量子状態測定器の特性に基づいて、鍵の持つ情報量を推定し、
各通信装置は、前記鍵の持つ情報量の推定値に基づいてそれぞれが持つデータを圧縮し、圧縮後のデータを各通信装置間で共有の暗号鍵とすることを特徴とする請求項1に記載の量子鍵配送方法。
【請求項8】
必ずしも2準位とは限らない量子系を前提とし、前記第2の通信装置の観測値として「0」、「1」の他に「非検出」という結果を想定し、さらに、全送信データをx[A]とし、当該x[A]のうち第2の通信装置で検出できたデータ部分をx[D]とし、当該x[D]のうち送信側と受信側で用いた基底が一致した部分をx[C]とし、前記エラー確率推定ステップにて用いた部分データをx[R]とし、共有鍵生成用の部分データ(x[C]-x[R])をx[K]とした場合(A、D、C、K、Rはビット位置を示す部分集合に相当)、
量子状態を、鍵の持つ情報量ができるだけ大きく見積もれるように、ヒルベルト空間上の第1の密度演算子を含む部分(部分集合Kのうちの部分Lに相当)、第2の密度演算子を含む部分(部分集合Kのうちの部分M(=K-L)に相当)に分解する第1の工程と、
前記部分Mの持つ情報量を見積もる第2の工程と、
前記部分Lの持つ情報量を見積もる第3の工程と、
前記部分Mの持つ情報量と前記部分Lの持つ情報量とを用いて前記部分Kの持つ情報量を計算する第4の工程と、
を含むことを特徴とする請求項7に記載の量子鍵配送方法。
【請求項9】
2つの非直交量子状態を用いる量子鍵配送方式に対して適用可能とすることを特徴とする請求項8に記載の量子鍵配送方法。
【請求項10】
基底およびデータに対応する2つの乱数列によって規定された量子状態を量子通信路上に送信する第1の通信装置と、当該量子通信路上の量子状態を乱数列により規定された基底を用いて測定することによりデータを得る第2の通信装置と、から構成され、前記第2の通信装置が、前記第1の通信装置と同一の基底を用いた測定により得られたデータを受信データとし、前記第1の通信装置が、当該受信データに対応する乱数列を送信データとする量子鍵配送を実現する通信システムにおいて、
前記第1の通信装置は、
前記送信データから所定数の第1の部分データを抽出し、一方で、前記第2の通信装置から前記第1の部分データと同一位置の第2の部分データ(前記受信データから抽出された部分データ)を受信し、両方の部分データの一致度(エラー確率)に基づいて、鍵生成に用いるデータにおけるエラー確率を推定し、その後、前記エラー確率推定値と自装置が備える量子状態生成器の特性に関する情報に基づいて、量子通信路を通して盗聴者にもれた情報量を推定し、そして、当該盗聴者にもれた情報量の推定値に基づいて圧縮した後の送信データを各通信装置間で共有の暗号鍵とする第1の共有鍵生成手段、
を備え、
前記第2の通信装置は、
前記第2の部分データと前記第1の通信装置から受信した前記第1の部分データとの一致度(エラー確率)に基づいて、鍵生成に用いるデータにおけるエラー確率を推定し、その後、前記エラー確率推定値と前記第1の通信装置が備える量子状態生成器の特性に関する情報に基づいて、量子通信路を通して盗聴者にもれた情報量を推定し、そして、当該盗聴者にもれた情報量の推定値に基づいて圧縮した後の受信データを各通信装置間で共有の暗号鍵とする第2の共有鍵生成手段、
を備えることを特徴とする通信システム。
【請求項11】
前記第1および第2の共有鍵生成手段は、前記エラー確率推定値と、前記第1の通信装置が備える量子状態生成器および前記第2の通信装置が備える量子状態測定器の特性に関する情報、に基づいて、量子通信路を通して盗聴者にもれた情報量を推定することを特徴とする請求項10に記載の通信システム。
【請求項12】
前記第1および第2の共有鍵生成手段は、
さらに、第1の通信装置が持つ送信データと第2の通信装置が持つ受信データが一致しているかどうかを判定するための所定の判定情報に基づいて判定処理を行い、当該判定結果が不一致の場合、前記各通信装置が持つデータを捨てる処理を実行し、
前記判定処理では、
前記第1の共有鍵生成手段および前記第2の共有鍵生成手段が、前記所定の判定情報のビット長α(αは前記送信データおよび前記受信データのビット長βよりも短いビット長)を決定し、いずれか一方の共有鍵生成手段が、β列×α行のランダム行列を生成し、当該ランダム行列を、公開通信路を介して他方の共有鍵生成手段に送信し、
前記第1の共有鍵生成手段が、前記所定の判定情報として、「前記ランダム行列×第1の通信装置が持つ送信データ」の計算によりビット長αの第1の判定情報を求め、当該第1の判定情報を、公開通信路を介して前記第2の通信装置に送信し、
前記第2の共有鍵生成手段が、前記所定の判定情報として、「前記ランダム行列×第2の通信装置が持つ受信データ」の計算により前記第1の判定情報と同一ビット長の第2の判定情報を求め、当該第2の判定情報を、公開通信路を介して前記第1の通信装置に送信し、
その後、前記第1の共有鍵生成手段が、前記第1の判定情報と前記第2の通信装置から得られた第2の判定情報とが一致しているかどうかを判定し、
一方、前記第2の共有鍵生成手段が、前記第2の判定情報と前記第1の通信装置から得られた第1の判定情報とが一致しているかどうかを判定することを特徴とする請求項10または11に記載の通信システム。
【請求項13】
基底およびデータに対応する2つの乱数列によって規定された量子状態を量子通信路上に送信し、当該量子状態受信側の通信装置において送信側と同一の基底を用いた測定により得られたデータ、に対応する乱数列を第1の送信データとする量子状態送信側の通信装置において、
前記第1の送信データから所定数のビット位置のデータを抽出し、抽出後の部分データを、公開通信路を介して前記受信側の通信装置に通知し、その後、前記受信側の通信装置から得られる同一ビット位置の部分データとの一致度(エラー確率)に基づいて、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ以外の残りのデータを第2の送信データとするエラー確率推定手段と、
所定の誤り訂正情報を、公開通信路を介して前記受信側の通信装置に通知し、公開した誤り訂正情報の量に応じて前記第2の送信データを圧縮し、圧縮後のデータを第3の送信データとする誤り訂正手段と、
前記第3の送信データと前記受信側の通信装置から得られるデータとが一致しているかどうかを判定するための判定情報を、公開通信路を介して前記受信側の通信装置に通知し、前記判定情報に基づく判定結果が不一致の場合、前記第3の送信データを捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じて前記第3の送信データを圧縮し、圧縮後のデータを第4の送信データとする一致判定手段と、
前記推定エラー確率および送信機または受信機の特性に関する情報から量子通信路を通して盗聴者にもれた情報量を推定する推定手段と、
前記盗聴者にもれた情報量の推定値に基づいて前記第4の送信データを圧縮し、圧縮後のデータを装置間で共有の暗号鍵とする共有鍵生成手段と、
を有することを特徴とする通信装置。
【請求項14】
量子通信路上の量子状態に対して乱数列により規定された基底を用いて測定することにより得られたデータのうち、当該量子状態送信側の通信装置と同一の基底を用いた測定により得られたデータを第1の受信データとする量子状態受信側の通信装置において、
前記第1の受信データから所定数のビット位置のデータを抽出し、抽出後の部分データを、公開通信路を介して前記送信側の通信装置に通知し、その後、前記送信側の通信装置から得られる同一ビット位置の部分データとの一致度(エラー確率)に基づいて、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ以外の残りのデータを第2の受信データとするエラー確率推定手段と、
前記送信側の通信装置から得られる誤り訂正情報に基づいて前記第2の受信データの誤りを訂正し、前記送信側の通信装置により公開された誤り訂正情報の量に応じて前記誤り訂正後の第2の受信データを圧縮し、圧縮後のデータを第3の受信データとする誤り訂正手段と、
前記第3の受信データと前記送信側の通信装置から得られるデータとが一致しているかどうかを判定するための判定情報を、公開通信路を介して前記送信側の通信装置に通知し、前記判定情報に基づく判定結果が不一致の場合、前記第3の受信データを捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じて前記第3の受信データを圧縮し、圧縮後のデータを第4の受信データとする一致判定手段と、
前記推定エラー確率および送信機または受信機の特性に関する情報から量子通信路を通して盗聴者にもれた情報量を推定する推定手段と、
前記盗聴者にもれた情報量の推定値に基づいて前記第4の受信データを圧縮し、圧縮後のデータを装置間で共有の暗号鍵とする共有鍵生成手段と、
を有することを特徴とする通信装置。
【請求項15】
基底およびデータに対応する2つの乱数列によって規定された量子状態を量子通信路上に送信し、当該量子状態受信側の通信装置において送信側と同一の基底を用いた測定により得られたデータ、に対応する乱数列を第1の送信データとする量子状態送信側の通信装置において、
前記第1の送信データから所定数のビット位置のデータを抽出し、抽出後の部分データを、公開通信路を介して前記受信側の通信装置に通知し、その後、前記受信側の通信装置から得られる同一ビット位置の部分データとの一致度(エラー確率)に基づいて、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ以外の残りのデータを第2の送信データとするエラー確率推定手段と、
所定の誤り訂正情報を、公開通信路を介して前記受信側の通信装置に通知し、公開した誤り訂正情報の量に応じて前記第2の送信データを圧縮し、圧縮後のデータを第3の送信データとする誤り訂正手段と、
前記第3の送信データと前記受信側の通信装置から得られるデータとが一致しているかどうかを判定するための判定情報を、公開通信路を介して前記受信側の通信装置に通知し、前記判定情報に基づく判定結果が不一致の場合、前記第3の送信データを捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じて前記第3の送信データを圧縮し、圧縮後のデータを第4の送信データとする一致判定手段と、
自装置が備える量子状態生成器の特性に基づいて、または、当該量子状態生成器および前記受信側の通信装置が備える量子状態測定器の特性に基づいて、鍵の持つ情報量を推定する推定手段と、
前記鍵の持つ情報量の推定値に基づいて前記第4の送信データを圧縮し、圧縮後のデータを装置間で共有の暗号鍵とする共有鍵生成手段と、
を有することを特徴とする通信装置。
【請求項16】
量子通信路上の量子状態に対して乱数列により規定された基底を用いて測定することにより得られたデータのうち、当該量子状態送信側の通信装置と同一の基底を用いた測定により得られたデータを第1の受信データとする量子状態受信側の通信装置において、
前記第1の受信データから所定数のビット位置のデータを抽出し、抽出後の部分データを、公開通信路を介して前記送信側の通信装置に通知し、その後、前記送信側の通信装置から得られる同一ビット位置の部分データとの一致度(エラー確率)に基づいて、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ以外の残りのデータを第2の受信データとするエラー確率推定手段と、
前記送信側の通信装置から得られる誤り訂正情報に基づいて前記第2の受信データの誤りを訂正し、前記送信側の通信装置により公開された誤り訂正情報の量に応じて前記誤り訂正後の第2の受信データを圧縮し、圧縮後のデータを第3の受信データとする誤り訂正手段と、
前記第3の受信データと前記送信側の通信装置から得られるデータとが一致しているかどうかを判定するための判定情報を、公開通信路を介して前記送信側の通信装置に通知し、前記判定情報に基づく判定結果が不一致の場合、前記第3の受信データを捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じて前記第3の受信データを圧縮し、圧縮後のデータを第4の受信データとする一致判定手段と、
前記送信側の通信装置が備える量子状態生成器の特性に基づいて、または、当該量子状態生成器および自装置が備える量子状態測定器の特性に基づいて、鍵の持つ情報量を推定する推定手段と、
前記鍵の持つ情報量の推定値に基づいて前記第4の受信データを圧縮し、圧縮後のデータを装置間で共有の暗号鍵とする共有鍵生成手段と、
を有することを特徴とする通信装置。
【請求項17】
データに対応する乱数列によって規定された量子状態を量子通信路上に送信し、当該量子状態受信側の通信装置における測定結果と一致も直交もしない量子状態、に対応する乱数列を第1の送信データとする量子状態送信側の通信装置において、
前記第1の送信データから所定数のビット位置のデータを抽出し、抽出後の部分データを、公開通信路を介して前記受信側の通信装置に通知し、その後、前記受信側の通信装置から得られる同一ビット位置の部分データとの一致度(エラー確率)に基づいて、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ以外の残りのデータを第2の送信データとするエラー確率推定手段と、
所定の誤り訂正情報を、公開通信路を介して前記受信側の通信装置に通知し、公開した誤り訂正情報の量に応じて前記第2の送信データを圧縮し、圧縮後のデータを第3の送信データとする誤り訂正手段と、
前記第3の送信データと前記受信側の通信装置から得られるデータとが一致しているかどうかを判定するための判定情報を、公開通信路を介して前記受信側の通信装置に通知し、前記判定情報に基づく判定結果が不一致の場合、前記第3の送信データを捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じて前記第3の送信データを圧縮し、圧縮後のデータを第4の送信データとする一致判定手段と、
自装置が備える量子状態生成器の特性に基づいて、または、当該量子状態生成器および前記受信側の通信装置が備える量子状態測定器の特性に基づいて、鍵の持つ情報量を推定する推定手段と、
前記鍵の持つ情報量の推定値に基づいて前記第4の送信データを圧縮し、圧縮後のデータを装置間で共有の暗号鍵とする共有鍵生成手段と、
を有することを特徴とする通信装置。
【請求項18】
量子通信路上の量子状態に対して乱数列により規定された基底を用いて測定することにより得られたデータのうち、送信側の量子状態と一致も直交もしない測定結果、に対応するデータを第1の受信データとする量子状態受信側の通信装置において、
前記第1の受信データから所定数のビット位置のデータを抽出し、抽出後の部分データを、公開通信路を介して前記量子状態の送信側の通信装置に通知し、その後、前記送信側の通信装置から得られる同一ビット位置の部分データとの一致度(エラー確率)に基づいて、鍵生成に用いるデータのエラー確率を推定し、さらに、公開した部分データ以外の残りのデータを第2の受信データとするエラー確率推定手段と、
前記送信側の通信装置から得られる誤り訂正情報に基づいて前記第2の受信データの誤りを訂正し、前記送信側の通信装置により公開された誤り訂正情報の量に応じて前記誤り訂正後の第2の受信データを圧縮し、圧縮後のデータを第3の受信データとする誤り訂正手段と、
前記第3の受信データと前記送信側の通信装置から得られるデータとが一致しているかどうかを判定するための判定情報を、公開通信路を介して前記送信側の通信装置に通知し、前記判定情報に基づく判定結果が不一致の場合、前記第3の受信データを捨て、一方、前記判定結果が一致の場合、公開した判定情報の量に応じて前記第3の受信データを圧縮し、圧縮後のデータを第4の受信データとする一致判定手段と、
前記送信側の通信装置が備える量子状態生成器の特性に基づいて、または、当該量子状態生成器および自装置が備える量子状態測定器の特性に基づいて、鍵の持つ情報量を推定する推定手段と、
前記鍵の持つ情報量の推定値に基づいて前記第4の受信データを圧縮し、圧縮後のデータを装置間で共有の暗号鍵とする共有鍵生成手段と、
を有することを特徴とする通信装置。
発明の詳細な説明 【技術分野】
【0001】
本発明は、高度に安全性の保証された共通鍵を生成することが可能な量子鍵配送方法に関するものであり、特に、誤り訂正技術および秘匿性増強技術を適用することによって、量子状態について送信機および受信機に誤差があるような現実的な実装においても安全性を保証することのできる量子鍵配送方法および当該量子鍵配送を実現可能な通信装置に関するものである。
【背景技術】
【0002】
以下、従来の量子暗号システムについて説明する。近年、高速大容量の通信技術として光通信が広く利用されているが、このような光通信システムでは、光のオン/オフで通信が行われ、オンのときに大量の光子が送信されているため、量子効果が直接現れる通信系にはなっていない。
【0003】
一方、量子暗号システムでは、通信媒体として光子を用い、不確定性原理等の量子効果が生じるように1個の光子で1ビットの情報を伝送する。このとき、盗聴者が、その偏光,位相等の量子状態を知らずに適当に基底を選んで光子を測定すると、その量子状態に変化が生じる。したがって、受信側では、この光子の量子状態の変化を確認することによって、伝送データが盗聴されたかどうかを認識することができる。
【0004】
図9は、従来の偏光を利用した量子鍵配送の概要を示す図である。たとえば、水平垂直方向の偏光を識別可能な測定器では、量子通信路上の、水平方向(0°)に偏光された光と垂直方向(90°)に偏光された光とを正しく識別する。一方、斜め方向(45°,135°)の偏光を識別可能な測定器では、量子通信路上の、45°方向に偏光された光と135°方向に偏光された光とを正しく識別する。
【0005】
このように、各測定器は、規定された方向に偏光された光については正しく認識できるが、たとえば、斜め方向に偏光された光を水平垂直方向(0°,90°)の偏光を識別可能な測定器にて測定すると、水平方向と垂直方向に偏光された光をそれぞれ50%の確率でランダムに識別することになる。すなわち、識別可能な偏光方向に対応していない測定器を用いた場合には、その測定結果を解析しても、偏光された方向を正しく識別することができない。
【0006】
図9に示す従来の量子鍵配送では、上記不確定性(ランダム性)を利用して、盗聴者に知られずに送信者と受信者との間で鍵を共有する(たとえば、非特許文献1参照)。なお、送信者および受信者は、量子通信路以外に公開通信路を使用することができる。
【0007】
ここで、鍵の共有手順について説明する。まず、送信者は、乱数列(1,0の列:送信データ)を発生し、さらに送信コード(+:水平垂直方向に偏光された光を識別可能な測定器に対応,×:斜め方向に偏光された光を識別可能な測定器に対応)をランダムに決定する。その乱数列と送信コードの組み合わせで、送信する光の偏光方向が自動的に決まる。ここでは、0と+の組み合わせで水平方向に偏光された光を、1と+の組み合わせで垂直方向に偏光された光を、0と×の組み合わせで45°方向に偏光された光を、1と×の組み合わせで135°方向に偏光された光を、量子通信路にそれぞれ送信する(送信信号)。
【0008】
つぎに、受信者は、受信コード(+:水平垂直方向に偏光された光を識別可能な測定器,×:斜め方向に偏光された光を識別可能な測定器)をランダムに決定し、量子通信路上の光を測定する(受信信号)。そして、受信コードと受信信号の組み合わせによって受信データを得る。ここでは、受信データとして、水平方向に偏光された光と+の組み合わせで0を、垂直方向に偏光された光と+の組み合わせで1を、45°方向に偏光された光と×の組み合わせで0を、135°方向に偏光された光と×の組み合わせで1を、それぞれ得る。
【0009】
つぎに、受信者は、自身の測定が送信側と同一の基底を用いた測定かどうか、すなわち、正しい測定器で行われたものかどうかを調べるために、受信コードを、公開通信路を介して送信者に対して送信する。受信コードを受け取った送信者は、測定が正しい測定器で行われたものかどうかを調べ、その結果を、公開通信路を介して受信者に対して返信する。
【0010】
つぎに、受信者は、正しい測定器で受信した受信信号に対応する受信データだけを残し、その他を捨てる。この時点で、残された受信データは送信者と受信者との間で共有できている。
【0011】
つぎに、送信者と受信者は、それぞれの通信相手に対して、共有データから選択した所定数のデータを、公開通信路を経由して送信する。そして、受け取ったデータが自身の持つデータと一致しているかどうかを確認する。たとえば、確認したデータの中に一致しないデータが1つでもあれば、盗聴者がいるものと判断して共有データを捨て、再度、鍵の共有手順を最初からやり直す。一方、確認したデータがすべて一致した場合には、盗聴者がいないと判断し、確認に使用したデータを捨て、残った共有データを送信者と受信者の共有鍵とする。
【0012】

【非特許文献1】Bennett,C.H. and Brassard,G. : Quantum Cryptography : Public Key Distribution andCoin Tossing, In Proceedings of IEEE Conference on Computers, System and SignalProcessing, Bangalore, India, pp.175-179(DEC.1984).
【発明の開示】
【発明が解決しようとする課題】
【0013】
しかしながら、上記図9に示す従来の量子鍵配送においては、誤り通信路を想定していないため、誤りがある場合には盗聴行為が存在したものとして上記共通データ(共通鍵)を捨てることとなり、伝送路によっては共通鍵の生成効率が非常に悪くなる、という問題があった。また、送信機または受信機のどちらか一方に誤差が存在するような場合には、安全性が保証されない、という問題もあった。
【0014】
本発明は、上記に鑑みてなされたものであって、極めて高い特性を持つ誤り訂正符号を用いて伝送路上におけるデータ誤りを訂正することにより高い鍵生成効率を達成しつつ、さらに、送信機または受信機の特性に関する情報を考慮して盗聴者に漏れた情報量を見積もることにより、送信機および受信機に誤差があるような現実的な実装においても高度に安全性の保証された量子鍵配送方法を得ることを目的とする。
【課題を解決するための手段】
【0015】
上述した課題を解決し、目的を達成するために、本発明にかかる量子鍵配送方法にあっては、基底およびデータに対応する2つの乱数列によって規定された量子状態を生成する量子状態生成器を備え当該量子状態を量子通信路上に送信する第1の通信装置と、当該量子通信路上の量子状態を乱数列により規定された基底を用いて測定することによりデータを得る第2の通信装置と、から構成され、前記第2の通信装置が、前記第1の通信装置と同一の基底を用いた測定により得られたデータを受信データとし、前記第1の通信装置が、当該受信データに対応する乱数列を送信データとする量子鍵配送を実現する通信システムであって、前記量子状態を知らない盗聴者が任意に基底を選択して量子通信路上の量子状態を測定可能な通信システムによる、量子鍵配送方法において、前記第1の通信装置が、前記送信データから所定数の第1の部分データを抽出し、一方で、前記第2の通信装置から前記第1の部分データと同一位置の第2の部分データ(前記受信データから抽出された部分データ)を受信し、両方の部分データの一致度(エラー確率)に基づいて、鍵生成に用いるデータにおけるエラー確率を推定する第1のエラー確率推定ステップと、前記第2の通信装置が、前記第1の通信装置から前記第1の部分データを受信し、当該第1の部分データと前記第2の部分データとの一致度(エラー確率)に基づいて、鍵生成に用いるデータにおけるエラー確率を推定する第2のエラー確率推定ステップと、前記第1の通信装置が、前記第1のエラー確率推定ステップにより得られたエラー確率推定値と、前記量子状態生成器の特性に関する情報とに基づいて、量子通信路を通して盗聴者にもれた情報量を推定する第1の情報量推定ステップと、前記第2の通信装置が、前記第2のエラー確率推定ステップにより得られたエラー確率推定値と前記第1の通信装置が備える量子状態生成器の特性に関する情報とに基づいて、量子通信路を通して盗聴者にもれた情報量を推定する第2の情報量推定ステップと、前記第1の通信装置が、前記第1の情報量推定ステップにより得られた盗聴者にもれた情報量の推定値に基づいて圧縮した後の送信データを、各通信装置間で共有の暗号鍵とする第1の共有鍵生成ステップと、前記第2の通信装置が、前記第2の情報量推定ステップにより得られた盗聴者にもれた情報量の推定値に基づいて圧縮した後の受信データを、各通信装置間で共有の暗号鍵とする第2の共有鍵生成ステップと、を含むことを特徴とする。
【発明の効果】
【0033】
この発明によれば、現実的な実装においても、高度に安全性の保証された共通鍵を効率良く生成することができる、という効果を奏する。
【図面の簡単な説明】
【0034】
【図1】図1は、本発明にかかる量子暗号システムにおける通信装置の構成を示す図である。
【図2-1】図2-1は、本発明の量子鍵配送を示すフローチャートである。
【図2-2】図2-2は、本発明の量子鍵配送を示すフローチャートである。
【図3】図3は、有限アフィン幾何に基づく「Irregular-LDPC符号」の構成法の一例を示すフローチャートである。
【図4】図4は、有限アフィン幾何符号AG(2,22)のマトリクスを示す図である。
【図5】図5は、シンドローム生成部にて生成したSAを示す図である。
【図6-1】図6-1は、情報MPCx(n-k)を示す図である。
【図6-2】図6-2は、情報MPCy(n-k)´を示す図である。
【図7-1】図7-1は、送信データx´を示す図である。
【図7-2】図7-2は、受信データy´を示す図である。
【図8-1】図8-1は、送信側の通信装置にて生成した暗号鍵rを示す図である。
【図8-2】図8-2は、受信側の通信装置にて生成した暗号鍵rを示す図である。
【図9】図9は、従来の偏光を利用した量子鍵配送の概要を示す図である。
【符号の説明】
【0035】
1,3 暗号鍵生成部
2,4 通信部
10,30 パリティ検査行列生成部
11,31 乱数発生部
12 光子生成部
13,34 公開通信路通信部
14 シンドローム生成部
15,35 共有鍵生成部
21,42 暗号化部
22,41 送受信部
32 光子受信部
33 シンドローム復号部
【発明を実施するための最良の形態】
【0036】
以下に、本発明にかかる量子鍵配送方法および通信装置の実施例を図面に基づいて詳細に説明する。なお、この実施例によりこの発明が限定されるものではない。
【実施例1】
【0037】
量子鍵配送は、盗聴者の計算能力によらず、安全性の保証された鍵配送方式であるが、たとえば、より効率よく共有鍵を生成するためには、伝送路を通ることによって発生するデータの誤りを取り除く必要がある。そこで、本実施例では、極めて高い特性をもつことが知られている低密度パリティ検査(LDPC:Low-Density
Parity-Check)符号を用いて誤り訂正を行う場合の量子鍵配送について説明する。
【0038】
図1は、本発明にかかる量子暗号システムにおける通信装置(送信機,受信機)の構成を示す図である。この量子暗号システムは、情報xを送信する機能を備えた送信側の通信装置と、伝送路上で雑音等の影響を受けた情報x、すなわち、情報yを受信する機能を備えた受信側の通信装置と、を備えている。
【0039】
また、送信側の通信装置は、量子通信路を介して情報xを送信し、さらに公開通信路を介して送受信する情報および盗聴者にもれた情報量(見積もり量)に基づいて暗号鍵(受信側との共通鍵)を生成する暗号鍵生成部1と、暗号化部21が暗号鍵に基づいて暗号化したデータを、送受信部22が公開通信路を介してやりとりする通信部2と、を備え、受信側の通信装置は、量子通信路を介して情報yを受信し、さらに公開通信路を介して送受信する情報および盗聴者にもれた情報量(見積もり値)に基づいて暗号鍵(送信側との共通鍵)を生成する暗号鍵生成部3と、暗号化部42が暗号鍵に基づいて暗号化したデータを、送受信部41が公開通信路を介してやりとりする通信部4と、を備えている。
【0040】
また、上記暗号鍵生成部1は、パリティ検査行列生成部10と、乱数発生部11と、光子生成部12と、公開通信路通信部13と、シンドローム生成部14と、共有鍵生成部15と、を備え、上記暗号鍵生成部3は、パリティ検査行列生成部30と、乱数発生部31と、光子受信部32と、シンドローム復号部33と、公開通信路通信部34と、共有鍵生成部35と、を備えている。なお、上記暗号鍵生成部1および3において用いる量子状態は、光子の偏光に限定する必要はなく、2準位の量子系であればどのようなものを用いてもよい。
【0041】
上記送信側の通信装置では、量子通信路上に送信する情報xとして、偏光フィルターを用いて所定の方向に偏光させた光(図9参照)を、受信側の通信装置に対して送信する。一方、受信側の通信装置では、水平垂直方向(0°,90°)の偏光を識別可能な測定器と斜め方向(45°,135°)の偏光を識別可能な測定器とを用いて、量子通信路上の、水平方向(0°)に偏光された光と垂直方向(90°)に偏光された光と45°方向に偏光された光と135°方向に偏光された光とを識別する。なお、各測定器は、規定された方向に偏光された光については正しく認識できるが、たとえば、斜め方向に偏光された光を水平垂直方向(0°,90°)の偏光を識別可能な測定器にて測定すると、水平方向と垂直方向に偏光された光をそれぞれ50%の確率でランダムに識別することになる。すなわち、識別可能な偏光方向に対応していない測定器を用いた場合には、その測定結果を解析しても、偏光された方向を正しく識別することができない。
【0042】
以下、上記量子暗号システムにおける各通信装置の動作、すなわち、本実施例における量子鍵配送について詳細に説明する。図2は、本実施例の量子鍵配送を示すフローチャートであり、詳細には、図2-1は送信側の通信装置の処理を示し、図2-2は受信側の通信装置の処理を示す。
【0043】
まず、上記送信側の通信装置および受信側の通信装置では、パリティ検査行列生成部10,30が、特定の線形符号のパリティ検査行列H(n列×k行)を求め、このパリティ検査行列Hから「HG=0」を満たす生成行列G((n-k)列×n行)を求め、さらに、G-1・G=I(単位行列)となるGの逆行列G-1(n列×(n-k)行)を求める(ステップS1,ステップS11)。本実施例では、上記特定の線形符号として、シャノン限界に極めて近い優れた特性をもつLDPC符号を用いた場合の量子鍵配送について説明する。なお、本実施例では、誤り訂正方式としてLDPC符号を用いることとしたが、これに限らず、たとえば、ターボ符号等の他の線形符号を用いることとしてもよい。また、たとえば、後述する誤り訂正情報(シンドローム)と情報xの線形性が確保されるのであれば、どのような行列Hを用いてもよい。
【0044】
ここで、上記パリティ検査行列生成部10におけるLDPC符号の構成法について、詳細には、有限アフィン幾何に基づく「Irregular-LDPC符号」の構成法(図2ステップS1の一例)について説明する。図3は、有限アフィン幾何に基づく「Irregular-LDPC符号」の構成法の一例を示すフローチャートである。なお、パリティ検査行列生成部30については、パリティ検査行列生成部10と同様の処理を行うのでその説明を省略する。また、本実施例における検査行列生成処理は、たとえば、設定されるパラメータに応じてパリティ検査行列生成部10で実行する構成としてもよいし、通信装置外部の他の制御装置(計算機等)で実行することとしてもよい。本実施例における検査行列生成処理が通信装置外部で実行される場合は、生成済みの検査行列が通信装置に格納される。以降の実施例では、パリティ検査行列生成部10で検査行列生成処理を実行する場合について説明する。
【0045】
まず、パリティ検査行列生成部10では、「Irregular-LDPC符号」用の検査行列のベースとなる有限アフィン幾何符号AG(2,2s)を選択する(図3、ステップS21)。ここでは、行の重みと列の重みがそれぞれ2sとなる。図4は、たとえば、有限アフィン幾何符号AG(2,22)のマトリクスを示す図(空白は0を表す)である。つぎに、パリティ検査行列生成部10では、符号化率rate(1-シンドローム長/鍵の長さ)を決定する(ステップS22)。
【0046】
つぎに、パリティ検査行列生成部10では、ガウス近似法(Gaussian Approximation)による最適化を用いて、符号化率rateに基づく、分割後(n列×k行への分割)の列の重み配分と行の重み配分とを求める(ステップS23)。
【0047】
最後に、パリティ検査行列生成部10では、上記で求めた重み配分に基づいて、有限アフィン幾何における行および列を分割して(ステップS24)、n列×k行のパリティ検査行列Hを生成する。このとき、本実施例における有限アフィン幾何符号の分割処理は、規則的に分割するのではなく、各行または各列から「1」の番号をランダムに抽出することにより分割する。なお、この抽出処理は、ランダム性が保持されるのであればどのような方法を用いてもよい。
【0048】
たとえば、AG(2,25)における1列中の「1」の行番号が、
l(x)={1 32 114 136 149 223 260 382 402 438 467 507 574 579 588 622
634 637 638 676 717 728 790 851 861 879 947 954 971 977 979 998}
の場合、分割後の行列における1~4列目Rm(n)は、Bl(x)から「1」の番号がランダムに抽出され、たとえば、
1(n)={1 114 574 637 851 879 977 979}
2(n)={32 136 402 467 588 728 861 971}
3(n)={149 260 382 438 579 638 717 998}
4(n)={223 507 622 634 676 790 947 954}
となる。
【0049】
このように、本実施例では、図3に示す上記有限アフィン幾何に基づく「Irregular-LDPC符号」の構成法を実行することによって、確定的で特性が安定した「Irregular-LDPC符号」用の検査行列H(n列×k行)を生成する。
【0050】
上記のように、パリティ検査行列H,生成行列G,G-1(G-1・G=I:単位行列)を生成後、つぎに、送信側の通信装置では、乱数発生部11が、乱数列(1,0の列:送信データ)を発生し、さらに送信コード(+:水平垂直方向に偏光された光を識別可能な測定器に対応したコード,×:斜め方向に偏光された光を識別可能な測定器に対応したコード)をランダムに決定する(ステップS2)。一方、受信側の通信装置では、乱数発生部31が、受信コード(+:水平垂直方向に偏光された光を識別可能な測定器に対応したコード,×:斜め方向に偏光された光を識別可能な測定器に対応したコード)をランダムに決定する(ステップS12)。
【0051】
つぎに、送信側の通信装置では、光子生成部12が、上記乱数列と送信コードの組み合わせで自動的に決まる偏光方向で光子を送信する(ステップS3)。たとえば、0と+の組み合わせで水平方向に偏光された光を、1と+の組み合わせで垂直方向に偏光された光を、0と×の組み合わせで45°方向に偏光された光を、1と×の組み合わせで135°方向に偏光された光を、量子通信路にそれぞれ送信する(送信信号)。
【0052】
光子生成部12により生成した光信号を受け取った受信側の通信装置の光子受信部32では、量子通信路上の光を測定する(受信信号)。そして、受信コードと受信信号の組み合わせによって自動的に決まる受信データを得る(ステップS13)。ここでは、受信データとして、水平方向に偏光された光と+の組み合わせで0を、垂直方向に偏光された光と+の組み合わせで1を、45°方向に偏光された光と×の組み合わせで0を、135°方向に偏光された光と×の組み合わせで1を、それぞれ得る。
【0053】
つぎに、受信側の通信装置では、上記測定が送信側と同一の基底を用いた測定かどうか、すなわち、正しい測定器で行われたものかどうかを調べるために、乱数発生部31が、上記受信データに対応する受信コード(基底)および光子が検出できなかった位置を、公開通信路を介して送信側の通信装置に対して送信する(ステップS13)。受信コードを受け取った送信側の通信装置では、乱数発生部11が、受信側にて光子を検出できた位置における測定が正しい測定器で行われたものかどうかを調べ、その調査結果を、公開通信路を介して受信側の通信装置に対して送信する(ステップS3)。
【0054】
そして、受信側の通信装置では、乱数発生部31が、上記調査結果に基づいて正しい測定器で測定された受信データだけを残し、その他を捨てる(ステップS13)。また、送信側の通信装置においても、乱数発生部11が、受信側にて正しい測定器で測定された受信データに対応する送信データだけを残し、その他を捨てる(ステップS3)。その後、残ったビットの位置の集合:Cに対応するデータ(送信データx[C]および受信データy[C])をメモリ等に保存する(y[C]は伝送路上で雑音等の影響を受けたx[C])。
【0055】
つぎに、受信側の通信装置および送信側の通信装置では、上記送信データx[C]と上記受信データy[C]の一致度をチェックする(ステップS4,S14)。具体的には、まず、共有鍵生成部15が、送信データx[C]を読み出し、一致度チェックに用いるビット位置(送信データx[C]のビット位置の集合:Cからランダムに抽出したビット位置の部分集合:R)を、公開通信路を介して受信側の通信装置に対して送信する。なお、上記部分集合Rの公開は、受信側の通信装置で行うこととしてもよい。この時点で、部分集合Rが送信側と受信側で共有できている。そして、共有鍵生成部15では、部分集合Rに対応する送信データx[C]の一部分、すなわち、送信データx[R]を、公開通信路を介して受信側の通信装置に対して送信する。
【0056】
一方、受信側の通信装置の共有鍵生成部35では、部分集合Rに対応する受信データy[C]の一部分、すなわち、受信データy[R]を、公開通信路を介して送信側の通信装置に対して送信する。なお、部分集合:Rが公開されているので、残りの部分集合:K(=C-R)に対応する送信データx[K]および受信データy[K]が共有鍵を生成するためのデータとなる。また、本実施例では、たとえば、部分集合Rを大きくとると、一致度チェックの精度は向上するが、鍵長が短くなり、逆に、部分集合:Rを小さくとると、一致度チェックの精度は低下するが、鍵長を長くとることができる。
【0057】
その後、共有鍵生成部15では、送信データx[R]と受信側から送られてきた受信データy[R]とを比較する。たとえば、部分集合Rの個数をnRとし(残りのビット位置の集合の個数をnKとする)、比較した結果一致しなかったデータ数(エラー数)をneとした場合の、受信データy[R]のエラー確率PR=ne/nRを求める。一方、共有鍵生成部35では、受信データy[R]と送信側から送られてきた送信データx[R]とを比較し、上記同様、受信データy[R]のエラー確率PR=ne/nRを求める。この時点では、エラー確率PRが送信側と受信側で共有できている。
【0058】
そして、共有鍵生成部15では、一致度チェックの最終的な結果として、たとえば、上記エラー確率PRに基づいて、部分集合Kにおけるエラー確率PKの推定値P+を下記(1)式により計算する。ここでは、セキュリティパラメータδpを導入した。
+=PR+(nR+nK)δp/nK …(1)
【0059】
このとき、エラー確率の推定値P+が真の値PKよりも小さく見積もられてしまう確率Pr[P+≦PK]の上限値εpは、セキュリティパラメータδpを用いて、下記(2)式で与えられる。なお、下記上限値εpは、推定値P+が真の値PKよりも小さく見積もられてしまう確率の上限値となっていればよく、その形は下記(2)式に限定しない。また、以下のεsについても同様である。
εp=exp(-2nR(δp2)≧Pr[P+≦PK] …(2)
【0060】
なお、エラー推定と誤り訂正を同時に行う場合は、たとえば、適切な線形符号の族を構成し、追加シンドローム処理による適応的な復号を行う。このような場合、P+およびεpの計算式を下記(3)式と差し替える。
+=PR
εp=0 …(3)
ただし、R=K=C、nR=nKである。
【0061】
つぎに、送信側の通信装置では、シンドローム生成部14が、パリティ検査行列H(n列×k行)と送信データx[K]を用いてx[K]のシンドロームSA=Hx[K]を計算し、その結果を、公開通信路を介して受信側の通信装置に通知する(ステップS5)。図5は、シンドローム生成部14にて生成したSAを示す図である。この段階で、x[K]のシンドロームSA(kビット分の情報)は盗聴者に知られる可能性がある。一方、受信側の通信装置では、公開通信路通信部34にてx[K]のシンドロームSAを受信し、それをシンドローム復号部33に通知する(ステップS15)。
【0062】
シンドローム復号部33では、予め生成しておいたパリティ検査行列Hと受信データy[K]を用いてy[K]のシンドロームSB=Hy[K]を計算し、さらに、x[K]のシンドロームSAとy[K]のシンドロームSBを用いてシンドロームS=SA+SBを計算する。そして、シンドロームSに基づいて送信データx[K]を推定する。すなわち、誤り訂正後の受信データy[K]´を求める(ステップS16)。ここでは、
y[K]=x[K]+e(雑音等) …(4)
とし、下記(5)式に示すようにシンドロームSを変形した後、シンドローム復号によりeを求め、送信データを推定する。なお、下記(5)式中の+は排他的論理和を表す。
S=SA+SB
=Hx[K]+Hy[K]
=H(x[K]+y[K])
=H(x[K]+x[K]+e)
=He …(5)
【0063】
つぎに、受信側の通信装置では、共有鍵生成部35が、上記ステップS5およびステップS15の処理で公開された誤り訂正情報(盗聴された可能性のある上記kビット分の情報:SA)に応じて受信データy[K]´の一部を捨てて、(n-k)ビットの長さをもつ受信データy(n-k)´を生成する(ステップS17)。すなわち、共有鍵生成部35では、先に計算しておいたG-1(n×(n-k))を用いて下記(6)式により受信データy(n-k)´を生成する。
y(n-k)´=G-1y[K]´ …(6)
【0064】
一方、送信側の通信装置においても、共有鍵生成部15が、公開された誤り訂正情報(盗聴された可能性のある上記kビット分の情報:SA)に応じて送信データx[K]の一部を捨てて、n-kビットの長さを持つ送信データx(n-k)を生成する(ステップS6)。すなわち、共有鍵生成部15では、先に計算しておいたG-1(n×(n-k))を用いて下記(7)式により送信データx(n-k)を生成する。
x(n-k)=G-1x[K] …(7)
【0065】
つぎに、送信側の通信装置および受信側の通信装置では、それぞれ送信データx(n-k)と受信データy(n-k)´とが一致しているかどうかをチェックする(ステップS7,ステップS18)。具体的には、まず、共有鍵生成部15および35が、セキュリティパラメータ:sを決定する。このセキュリティパラメータs(このステップで公開するビット長に相当)は、システムが要求する安全性に応じて決定される値であり、固定値であれば、両者が予め保存しておき、可変値であれば、その都度どちらか一方が他方に公開することになる。このセキュリティパラメータsが大きい場合には、鍵長が短くなるが安全性が向上し、逆に、小さい場合には、安全性が低下するが鍵長を長くすることができる。
【0066】
たとえば、どちらか一方の共有鍵生成部が、(n-k)列×s行のランダム行列MPCを生成し、そのランダム行列MPCを、公開通信路を介して他方の通信装置に送信する。この時点で、ランダム行列MPCが送信側と受信側で共有できている。さらに、各共有鍵生成部では、それぞれ、ランダム行列MPCから「MPC・G(MPC)=0」を満たす(n-k-s)列×(n-k)行の生成行列G(MPC)を求め、さらに、G-1(MPC)・G(MPC)=I(単位行列)を満たすG(MPC)の逆行列G-1(MPC)を求める(G-1(MPC)は(n-k)列×(n-k-s)行の行列)。
【0067】
そして、たとえば、共有鍵生成部15では、「ランダム行列MPC×送信データx(n-k)」を計算し、セキュリティパラメータsビット分の情報MPCx(n-k)を、公開通信路を介して受信側の通信装置に送信する。図6-1は、情報MPCx(n-k)を示す図である。一方、共有鍵生成部35では、「ランダム行列MPC×受信データy(n-k)´」を計算し、セキュリティパラメータsビット分の情報MPCy(n-k)´を、公開通信路を介して送信側の通信装置に送信する。図6-2は、情報MPCy(n-k)´を示す図である。
【0068】
その後、共有鍵生成部15では、受信側の通信装置から得られた情報MPCy(n-k)´と上記計算結果である情報MPCx(n-k)とが一致しているかどうかをチェックする。そして、一致している場合は、下記(8)式を計算し、送信データx(n-k)を圧縮する。すなわち、圧縮後の(n-k-s)ビットの送信データx´を得る。図7-1は、送信データx´を示す図である。なお、一致しない場合は、送信データx(n-k)を捨てる。
x´=G-1(MPC)x(n-k) …(8)
【0069】
また、共有鍵生成部35では、送信側の通信装置から得られた情報MPCx(n-k)と上記計算結果である情報MPCy(n-k)´とが一致しているかどうかをチェックする。そして、一致している場合は、下記(9)式を計算し、受信データy(n-k)´を圧縮する。すなわち、圧縮後の(n-k-s)ビットの受信データy´を得る。図7-2は、受信データy´を示す図である。なお、一致しない場合は、受信データy(n-k)´を捨てる。
y´=G-1(MPC)y(n-k)´ …(9)
【0070】
また、本実施例においては、上記チェックで一致しているにもかかわらず、誤り訂正後の受信データy(n-k)´と送信データx(n-k)が一致していない確率εcは、
εc=2-s …(10)
で表すことができ、sが大きい場合には上記確率が下がり、sが小さい場合には上記確率が上がる。
【0071】
つぎに、送信側の通信装置および受信側の通信装置では、量子通信路を通して盗聴者にもれた情報量(の上限値)IEを推定する(ステップS8,ステップS19)。ここでは、送信側の通信装置と受信側の通信装置の両方で盗聴者にもれた情報量IE(量子通信路を通してもれた情報量の見積もり値)を計算することとしてもよいし、または、送信側の通信装置でIEを計算し、その結果を受信側に公開することとしてもよい。以下では、特に、両方でIEを計算する場合について説明する。
【0072】
送信側の通信装置では、共有鍵生成部15が、下記のように、前記エラー確率推定値と送信側の通信装置が備える量子状態生成器の特性に関する情報に基づいて、量子通信路を通して盗聴者にもれた情報量を計算する。まず、解析の比較的容易な近似プロトコル(性質のよい量子状態が送信機から出力されるプロトコル)を考え、現実のプロトコルと近似プロトコルの測定結果の差(変動距離)の上限値を計算する。さらに、近似プロトコルにおいて、部分集合Kに対応する位置に関して現実とは反対の基底を用いた場合に、エラー確率の推定値が真の値よりも小さく見積もられてしまう確率の上限値を計算する。加えて、部分集合Kに対応する位置に関して、送信データを条件とした場合の、受信データおよび盗聴情報の条件付確率の上限値を計算する。これらの値を用いて、最終的に盗聴者にもれた情報量の上限値を計算する。
【0073】
ここで、量子通信路を通して盗聴者にもれた情報量の計算処理について説明する。まず、実際に送信機から出力される0°,90°,45°,135°方向に偏光された光子の量子状態(送信機誤差を含む送信状態)をρ00,ρ01,ρ10,ρ11と表す。この量子状態ρ00,ρ01,ρ10,ρ11は予め受信側の通信装置に対して公開しておく。ただし、送信側の通信装置でIEを計算し、その結果を受信側に公開する場合には、量子状態ρ00,ρ01,ρ10,ρ11を公開する必要はない。
【0074】
送信機において、基底0(0°,90°基底)および1(45°,135°基底)が選択される確率をそれぞれpb(0),pb(1)と表す。また、送信機において、データ0および1が選択される確率をそれぞれpx(0),px(1)と表す。送信機が理想的な場合、これら4つの値はすべて1/2となる。
【0075】
量子状態σ00,σ01,σ10,σ11として、下記(11)式を満たし、かつ、下記(12)式中のΔ0およびΔ1を最小化するものを選ぶ。ただし、Iは2次元ヒルベルト空間上の単位演算子を表す。
(σ002=σ00,(σ012=σ01,σ00+σ01=I
(σ102=σ10,(σ112=σ11,σ10+σ11=I …(11)
Δ0=d((1/2)ρ00-(1/2)σ00)+d((1/2)ρ01-(1/2)σ01
Δ1=d((1/2)ρ10-(1/2)σ10)+d((1/2)ρ11-(1/2)σ11
…(12)
なお、上記(11)式におけるd(A)は、演算子Aのトレースノルムを表している。すなわち、d(A)は下記(13)式で計算する。ただし、上付き文字の*は複素共役転置を表す。
d(A)=Tr(√(A*A)) …(13)
【0076】
部分集合Kにおいて用いられた基底に対応するnKビットの乱数をaと表す。上記Δ0およびΔ1を用いて、量子状態ρ00,ρ01,ρ10,ρ11の代わりに量子状態σ00,σ01,σ10,σ11を用いた場合の測定結果の差(変動距離)の上限値εKを下記(14)式で計算する。ただし、n0は、aの中の0の数、n1は、aの中の1の数を表す。また、ΔKはビット列x[K]を生成する確率分布pX(x[K])と一様分布との変動距離の上限値を表す。
εK=n0Δ0+n1Δ1+ΔK …(14)
【0077】
前記ビット列aをビットごとに反転させたものをa´と表す。確率分布pbにしたがってビット列aが生成される確率をpb(a)、ビット列a´が生成される確率をpb(a´)と表す。量子状態ρ00,ρ01,ρ10,ρ11の代わりに量子状態σ00,σ01,σ10,σ11を用い、さらに、基底aの代わりに反転基底a´を用いた場合に、対応するエラー確率の推定値P+が真の値PKよりも小さく見積もられてしまう確率の上限値ωKを、下記(15)式により計算する。
ωK=2εKb(a)/pb(a´) …(15)
【0078】
また、送信機から出力される基底0(0°,90°基底)に対応する平均量子状態ρ0、および基底1(45°,135°基底)に対応する平均量子状態ρ1を、下記(16)式および(17)式により計算する。
ρ0=px(0)ρ00+px(1)ρ01 …(16)
ρ1=px(0)ρ10+px(1)ρ11 …(17)
【0079】
さらに、量子状態σ00,σ01,σ10,σ11によって定まるパラメータqを下記(18)式により計算する。
q=max{Trσ00σ10,Trσ00σ11} …(18)
これを用いて、部分集合Kに対応する位置に関して、送信データを条件とした場合の、受信データおよび盗聴情報の条件付確率の上限値πKを下記(19)式により計算する。
πK=2nK(h(P+)+log(q)) …(19)
ただし、上記(19)式の中のlogは底が2の対数関数を表し、h(p)は、下記(20)式で計算する。
h(p)=-plog(p)-(1-p)log(1-p) …(20)
【0080】
量子状態σ00,σ01,σ10,σ11を用いたと仮定した場合の盗聴者にもれる盗聴量IQを下記(20)式により計算する。ただし、cは0より大きな実数で、下記(21)式ができるだけ小さくなるものを選ぶものとする。
Q=nK+(1-1/c)(log(πK)-2log(1-(√(cωK))))
…(21)
【0081】
さらに、量子状態ρ00,ρ01,ρ10,ρ11を用いた現実の状況において盗聴者にもれる盗聴量IEを下記(22)式により計算する。
E=IQ+εK(3nK-2logεK) …(22)
【0082】
上記(22)式は、近似プロトコルにおいて盗聴者に漏れる盗聴量をIQとした場合の、現実のプロトコルにおける盗聴量の上限になっていればよく、上記の形に限定しない。
【0083】
現実の実装においては、送信機の特性が確率1で特定できるとは限らない。たとえば、送信機が常に単一光子を出力できるとは限らない。そこで、送信機の特性を表すパラメータの組ρ00,ρ01,ρ10,ρ11,pb(0),pb(1),px(0),px(1)に注目し、1-es以上の確率でこれらのパラメータの組が集合Sに含まれる状況を想定する。ここで、セキュリティパラメータδsを用いて、パラメータe+を下記(24)式により計算する。
+=es+δs …(24)
このとき、部分集合Kにおいて、送信機が想定外の状態を送信してしまう回数nsが、n+=e+Kよりも小さくなってしまう確率の上限εsは、下記(25)式で計算できる。
εs=exp(-2nK(δs2)≧Pr[n+≦ns] …(25)
【0084】
部分集合Kにおいて、送信機が想定外の状態を送信してしまう回数が、上記n+であると仮定する。このとき、部分集合Kにおいて送信機が想定どおりの状態を送信している位置に相当する部分集合をLとする。部分集合Lの長さはnL=nK-n+である。さらに、部分集合Lにおいて用いられた基底に対応するnLビットの乱数をaLと表し、これをビット毎に反転させたものをaL´を表す。(14)式のεKと同様に、εLを下記(26)式により計算する。ただし、m0は、aLの中の0の数、m1は、aLの中の1の数を表す。また、ΔLは部分集合Lにおけるビット列x[L]を生成する確率分布pX(x[L])と一様分布との変動距離の上限値を表す。
εL=m0Δ0+m1Δ1+ΔL …(26)
【0085】
(15)式および(19)式の代わりに、ωLおよびπLを下記(27)式および(28)式により計算する。ただし、maxLは、長さnLを固定した状況における、部分集合Lに関する最大化を表す。
ωL=maxL{2εLb(aL)/pb(aL´)} …(27)
πL=2nL(h((nK/nL)P+)+log(q)) …(28)
なお、上記Lに関する最大化の計算が困難な場合は、最大値の代わりに上限値を用いることとしてもよい。また、上記(28)式の中の関数hへの入力「(nK/nL)P+」に関しては、部分集合Lにおけるエラー確率の上限値になっていればよく、上記の形に限定しない。たとえば、部分集合Kにおけるエラーの発生が、送信機が想定どおりに動作するか否かと独立な場合は、入力を「PR+(nR/nL)δP/nL」で置き換えてもよい。
【0086】
(21)式および(22)式の代わりに、IQ´およびIE´を下記(29)式および(30)式により計算する。
Q´=nL+(1-1/c)(log(πL)-2log(1-(√(cωL))))
…(29)
E´=IQ´+εL(3nL-2logεL) …(30)
なお、上記(30)式は、部分集合Lに関して、近似プロトコルの盗聴量の上限値がIQ´であるときの現実のプロトコルにおける盗聴量の上限になっていればよく、上記の形に限定しない。
【0087】
さらに、盗聴者にもれる盗聴量IEを下記(31)式により計算する。ただし、IM´=n+である。
E=IE´+IM´ …(31)
なお、IM´は想定外の送信量子状態から盗聴者が得ることのできる情報量の上限になっていればよい。
【0088】
最後に、上記(31)式の盗聴量IEを集合Sに関して最大化し、得られた最大値を求める盗聴量とする。なお、上記Sに関する最大化の計算が困難な場合は、最大値の代わりに上限値を用いることとしてもよい。
【0089】
つぎに、前記エラー確率推定値と送信側の通信装置が備える量子状態生成器および受信側の通信装置が備える量子状態測定器の特性に関する情報に基づいて、量子通信路を通して盗聴者にもれた情報量を推定する場合について、以下に記す。まず、受信機が行う0°,90°,45°,135°方向の測定(受信機誤差を含む測定)に対応する演算子をE00,E01,E10,E11と表す。また、送信機から出力される基底0に対応する平均量子状態および基底1に対応する平均量子状態の完全混合状態からの差異のトレースノルムの上限を、それぞれ▽0および▽1と表す。すなわち、▽0および▽1に関して、下記(32)式および(33)式が成り立っているものとする。
d(ρ0-(1/2)I)≦▽0 …(32)
d(ρ1-(1/2)I)≦▽1 …(33)
【0090】
さらに、測定に対応する演算子F00,F01,F10,F11として、下記(34)式を満たし、かつ、下記(35)式中のΔ0およびΔ1を最小化するものを選ぶ。ただし、Iは2次元ヒルベルト空間上の単位演算子を表す。
(F002=F00,(F012=F01,F00+F01=I
(F102=F10,(F112=F11,F10+F11=I …(34)
Δ0=d((1/2)E00-(1/2)F00)+d((1/2)E01-(1/2)F01
Δ1=d((1/2)E10-(1/2)F10)+d((1/2)E11-(1/2)F11
…(35)
【0091】
特に、上記Δ0およびΔ1が0の場合は、前記▽0および▽1として、下記(36)式を満たすΔpを用いることができる。すなわち、Δ0=Δ1=0の場合は、下記(36)式中のΔpを用いて、▽0=▽1=Δpとすることができる。
d(ρ0-ρ1)≦Δp …(36)
【0092】
(14)式、(18)式および(26)式の代わりに、εK、qおよびεLを、下記(37)式、(38)式および(39)式により計算する。
εK=n0(Δ0+▽0)+n1(Δ1+▽1)+ΔK …(37)
q=max{TrF0010,TrF0011} …(38)
εL=m0(Δ0+▽0)+m1(Δ1+▽1)+ΔL …(39)
上記εK、qおよびεLを用いて、(22)式もしくは(31)式と同様に盗聴量IEを計算する。
【0093】
一般に、誤り訂正の特性は、符号長(本実施例においてはnK)が長ければ長いほどよい。一方、盗聴量IEは、必ずしもnKが長ければよいというわけではない。そこで、誤り訂正のための符号長と盗聴量IEの推定のためのビット列の長さを変えることによって、より特性の高い量子鍵配送法を構成できる。すなわち、部分集合Kを所定の数に分割し、分割された部分集合それぞれに対して盗聴量IEを計算するものとする。ここで、分割数は、各分割部分集合に対する盗聴量IEの合計ができるだけ小さくなるように選ぶ。
【0094】
なお、本実施例では、受信側の通信装置においても、上記と同様の処理で盗聴者にもれた情報量IEを計算する。
【0095】
つぎに、送信側の通信装置および受信側の通信装置では、上記ステップS8およびステップS19の処理で計算した情報量IEに基づいて、送信データx´および受信データy´の一部を捨てて、(n-k-s-T-v)ビット分の情報量を備えた暗号鍵rを生成する(ステップS9,ステップS20)。なお、共有鍵生成部15および35は、上記情報量IEのマージンとして、セキュリティパラメータ:vを決定する。このセキュリティパラメータvは、システムが要求する安全性に応じて決定される値である。このセキュリティパラメータvが大きい場合には、鍵長が短くなるが安全性が向上し、逆に、小さい場合には、安全性が低下するが鍵長を長くすることができる。また、上記Tは、上記で求めた盗聴者にもれた情報量IE以上の整数で最小のものを表す。
【0096】
具体的には、たとえば、共有鍵生成部15が、{0,1}n-k-s→{0,1}n-k-s-T-vとなるユニバーサル・ハッシュ関数の族からランダムに元Huを選ぶ。これは、たとえば、Huとしてフルランク(rank(Hu)=n-k-s-T-v)のランダム行列をとってくることにより実現できる。そして、ハッシュ関数Huを、受信側の通信装置に対して公開通信路を介して送信する。なお、この処理は、受信側の通信装置の共有鍵生成部35にて行うこととしてもよい。
【0097】
そして、共有鍵生成部15では、上記Huを用いて下記(40)式により暗号鍵rを生成する。図8-1は、共有鍵生成部15にて生成した暗号鍵rを示す図である。送信側の通信装置は、この暗号鍵rを受信側の通信装置との共有鍵とする。
r=Hux´ …(40)
【0098】
一方、共有鍵生成部35では、上記Huを用いて下記(41)式により暗号鍵rを生成する。図8-2は、共有鍵生成部35にて生成した暗号鍵rを示す図である。受信側の通信装置は、この暗号鍵rを送信側の通信装置との共有鍵とする。
r=Huy´ …(41)
【0099】
なお、上記では、ステップS6,S17による圧縮およびステップS9,S20による圧縮を個別に行っているが、これに限らず、たとえば、{0,1}n-k-s→{0,1}n-k-s-T-v-kとなるランダム行列Huを生成し、その後、上記(40)式および(41)式を実行することとしてもよい。
【0100】
このように、本実施例おいては、確定的で特性が安定した「Irregular-LDPC符号」用のパリティ検査行列を用いて共有情報のデータ誤りを訂正しつつ、上記ステップS4およびS14、ステップS7およびS18、ステップS8およびS19、を実行し、さらに、上記処理の過程で公開通信路を介して公開した情報量および量子通信路を通して盗聴者にもれた情報量の推定値に応じてデータを圧縮し、圧縮後のデータを装置間で共有の暗号鍵とすることとした。これにより、高度に安全性の保証された共通鍵を効率良く生成することができる。すなわち、成功確率が(1-εp)(1-εs)(1-εc)以上で、かつ盗聴者にもれる情報量が(2-v/ln2)以下の、量子鍵配送方法が実現できる。ただし、想定外の送信状態を考えない場合は、εs=0とする。
【実施例2】
【0101】
つづいて、実施例2について説明する。実施例2では、用いる量子状態を2準位系に限定せず、受信側の通信装置の観測値として「0」,「1」の他に「非検出」という結果もありうる状況を考える。そこで、全送信データをx[A]とし、そのうち、受信側で検出できたデータ部分をx[D]とする。x[C],x[R],x[K]は、これまでと同様とする。送信側の通信装置および受信側の通信装置では、量子通信路を通して盗聴者にもれた情報を考慮した上での鍵(送信データx[K])の持つ情報量(の下限値)Rxを推定する(ステップS8,ステップS19に相当)。ここでは、送信側の通信装置と受信側の通信装置の両方で鍵の持つ情報量Rxを計算することとしてもよいし、または、送信側の通信装置でRxを計算し、その結果を受信側に公開することとしてもよい。以下では、特に、両方でRxを計算する場合について説明する。
【0102】
実際に送信機から出力される0°,90°,45°,135°方向に偏光された光子の量子状態(送信機誤差を含む送信状態)をρ00,ρ01,ρ10,ρ11と表す。ここで、各量子状態はヒルベルト空間H上の密度演算子になっているものとする。また、各量子状態は、それぞれ確率p00,p01,p10,p11で出力されるものとする。この量子状態ρ00,ρ01,ρ10,ρ11は、予め受信側の通信装置に対して公開しておく。ただし、送信側の通信装置でRxを計算し、その結果を受信側に公開する場合には、これらの値を公開する必要はない。
【0103】
送信側の通信装置では、量子状態ρij(i,jは0もしくは1)を下記(42)式のように分解する。
ρij=pij(0)ρij(0)+pij(1)ρij(1) …(42)
ただし、ρij(0),ρij(1)はヒルベルト空間H上の密度演算子であり、下記(43)式をみたすものとする。
0<p(0)≦min{pij},pij(0)=p(0)/pij,pij(0)+pij(1)=1 …(43)
【0104】
この分解は、鍵のもつ情報量(レニーエントロピー)Rxができるだけ大きく、あるいは、最終的な(圧縮後の)鍵のもつ情報量(相互情報量)ができるだけ小さく見積もれるように決定する。たとえば、ρij(0)はできるだけ2準位の量子状態に近く、pij(0)はできるだけ大きくなるように選ぶと、一般にRxを大きく見積もることができる。以下、送信機は、確率pij(0)でρij(0)を出力し、確率pij(1)でρij(1)を出力するものと考える。
【0105】
X,Yは、00,01,10,11の4つの値をとるものとする。上記量子状態ρx(0)のスペクトル分解を、
ρx(0)=ΣkXλX(kX)|kX〉〈kX| …(44)
とし、μXYを集合{kX}から集合{kY}への写像とする。
【0106】
さらに、|φkX〉を適当なヒルベルト空間の元とする。ここで、4行4列のグラム行列Gを下記(45)式により計算する。
XY=ΣkX〈kX|kXY〉〈φkX|φkXY〉√(λX(kX)λY(kXY))
…(45)
ただし、kXY=μXY(kX)である。μXYおよび|φkX〉は、鍵のもつ情報量Rxができるだけ大きく見積もれるように選ぶ。
【0107】
グラム行列Gは、半正定値であるから4次の正方行列Cが存在して下記(46)式が成り立つ。
G=C*C …(46)
【0108】
さらに、Gの対角成分は1であるから、行列Cの列ベクトルは4次元ヒルベルト空間H4上の長さ1の元とみなすことができる。そこで、H4上の量子状態σX´(X=00,01,10または11)を下記(47)式により定義する。
σX´=|CX〉〈CX| …(47)
ただし、CXは行列Cの第X列を表すものとする。このσX´の構成法より、σX´からρX(0)への完全正写像の存在が保証される。そこで、以下、ρX(0)の代わりにσX´が出力されるものと考える。
【0109】
4次元ヒルベルト空間H4の2次元部分ヒルベルト空間をH2とする。σX(X=00,01,10または11)をヒルベルト空間H2上の量子状態で下記(48)式を満たすものとする。ただし、Iはヒルベルト空間H2上の単位演算子を表す。
σ00+σ01=I,σ10+σ11=I …(48)
【0110】
ヒルベルト空間H2および量子状態σXは、下記(49)式で定義されるΔX(X=00,01,10または11)あるいはその上限を最小化するものを選ぶ。ただし、d(ρ,σ)はρとσのトレース距離をあらわすものとする。
ΔX=d(σX´,σX) …(49)
なお、上式ではトレース距離を最小化することを考えたが、信頼度(フィデリティ)を最大化するものとしてもよい。また、たとえばρX=Σk(μk/k!)exp(-μ)|k;X〉〈k;X|(kは自然数)で与えられるとき、前記パラメータは下記(50)式のように選ぶことができる。
ρX(0)=σX´=σX=|1;X〉〈1;X|
X(0)=μexp(-μ)
μXY(|k;X〉〈k;X|)=|k;Y〉〈k;Y|
|φkX〉=|φ〉 …(50)
【0111】
部分Kのうち、ρij(0)が出力されている部分をL、ρij(1)が出力されている部分をM、とする。部分Mの長さの上限値nM+、部分Mのもつ情報量(の下限値)Rmx[M]を見積もり、これらの見積もりが誤ってしまう確率(の上限値)εEを計算する。この計算は、たとえば、以下のようにして行うことができる。
【0112】
まず、δiM(i=0,1)を適当な正数とし、部分Mの長さの上限値niM+(i=0,1)を下記(51)式により見積もる。
i(1)=(pi0i0(1)+pi1i1(1))/(pi0+pi1
iM=((niM/niA)-δiM)/(pi(1)iK/niD
iM+=maxM{niM} …(51)
ただし、niK(i=0,1)はa[K]におけるi(=0もしくは1)の数を表す。niA,niD,niMも同様とする。なお、maxMはpiM≦1という条件のもとで、Mに関して最大化するものとする。また、受信者が攻撃者に取り込まれてしまっているような場合も想定して、前記(51)式中のniDをniCで置き換えることによって、さらに強い安全性を保証することが可能となる。
【0113】
この見積もりが誤ってしまう確率の上限値を、下記(52)式で計算する。なお、下記上限値εiMは、この見積もりが誤ってしまう確率の上限値となっていればよく、その形は下式に限定しない。
εE=ε0M+ε1M
εiM=niAexp(-niAD(B(niM/niA)|(B(niM/niA-δiM)))
…(52)
ただし、expは2のべき乗関数、Dは相対エントロピー、Bはベルヌーイ分布を表している。
【0114】
ij(i,jは0もしくは1)をヒルベルト空間H上の演算子で、下記(53)式を満たすものとする。ただし、Iはヒルベルト空間H上の単位演算子を表す。
0≦Tij,Ti0+Ti1≦I …(53)
これにより、Tijは部分Mにおいて基底がi(=0もしくは1)の場合に、送信量子状態がρi0(1)であるかρi1(1)であるかを識別するための測定演算子と考えることができる。この識別が成功する確率の最大値siMを下記(54)式で計算する。
ij(M)=pijij(1)/(pi0i0(1)+pi1i1(1)
iM,=supT{(ΣjTrpij(M)ρij(1)ij)/(Σk,lTrpik(M)ρik(1)il)}
…(54)
ただし、supTは下記(55)式を満たすという条件のもとでTに関して最大化するものとする。
(ΣjlTrpij(M)ρij(1)il)≧piM …(55)
【0115】
部分Mのもつ情報量の下限値Rx[M]を下記(56)式により計算する。
mx[M]=-n0Mlogs0M-n1Mlogs1M …(56)
【0116】
つぎに、部分Lのもつ情報量(レニー・エントロピー)を見積もる。そのために、まず、部分Lにおけるエラー確率を推定する。δpをセキュリティパラメータとし、推定値P+として下記(57)式を用いる。
+=(nKR+nCδp-n0M(1-s0M)-n1M(1-s1M))/nL …(57)
【0117】
このとき、エラー確率の推定値P+が真の値PLよりも小さく見積もられてしまう確率Pr[PL>P+]の上限値εpは、下記(58)式で与えられる。なお、下記上限値εpは、推定値P+が真の値PLよりも小さく見積もられてしまう確率の上限値となっていればよく、その形は下式に限定しない。
εp=nRexp(-nRD(B(PR)|(B(PR+δp)))≧Pr[PL>P+
…(58)
【0118】
量子状態σX´の代わりに量子状態σXを用いる近似プロトコルを考える。この近似プロトコルにおいて、部分Lのもつ情報量を見積もる。そのため、まず部分Lにおいて基底a[L]の代わりにその反転基底a~[L]を用いた場合に、上記推定値P+が真の値PKよりも小さく見積もられてしまう確率を見積もる。いま、σ0´およびσ1´を下記(59)式で与えられる基底に関する平均量子状態とする。
σ0´=(σ00´+σ01´)/2
σ1´=(σ10´+σ11´)/2 …(59)
【0119】
さらに、υを基底a[L]に対応する平均量子状態σa[L]´と反転基底a~[L]に対応する平均量子状態σa~[L]´の間のトレース距離の上限値とする。すなわち、υは下記(60)式を満たすものとする。
d(σa[L]´,σa~[L]´)≦υ …(60)
【0120】
これを用いて、上記推定値P+が真の値PKよりも小さく見積もられてしまう確率の上限値は下記(61)式のように計算できる。
Pr[PL>P+]≦εp+εE+υ …(61)
【0121】
正規プロトコルにおいて送信,受信,盗聴情報の従う確率分布と、近似プロトコルにおいて送信,受信,盗聴情報の従う確率分布と、の変動距離を見積もる。そのため、下記(62)式をみたす上限値τを計算する。
Σx[L](1/2nL)d(σa~[L],x[L]´,σa~[L],x[L])≦τ …(62)
【0122】
上限値τは、たとえば、fを量子状態の間の信頼度(フィデリティ)とするとき、下記(63)式により計算することができる。
X=f(σX´,σX
0=min{f00,f01
1=min{f10,f11
τ=√(1-(f02n0(f12n1) …(63)
ただし、n0,n1は、ビット列a~[L]における0の数、1の数をそれぞれ表している。
【0123】
近似プロトコルにおいて、反転基底a~[L]を用いた場合に上記推定値P+が真の値PKよりも小さく見積もられてしまう確率の上限値は、下記(64)式のように計算できる。
Pr[P+≦PK]≦εp+εE+υ+τ …(64)
【0124】
つぎに、ヒルベルト空間H2上の射影演算子P00,P01,P10,P11を下記(65)式により計算する。
00={σ00-σ01>0}
01={σ01-σ00>0}
10={σ10-σ11>0}
11={σ11-σ10>0} …(65)
【0125】
さらに、量子状態σ00およびσ01の識別に成功する確率の最大値s0,量子状態σ10およびσ11の識別に成功する確率の最大値s1を下記(66)式により計算する。
0=1/2+d(σ00,σ01
1=1/2+d(σ10,σ11) …(66)
【0126】
いま、量子状態σa~[L],x[L]が与えられ、x[L]を上記射影演算子を用いて推定することを考える。推定値(x[L]に対応するビット列)にkビットの誤りを許すことにした場合の推定誤り確率の上限値をεkとする。εkは、たとえば、下記(67)式により計算することができる。
εk=(2nL-2nLh(k/nL)/2/√nL)(s0n0(s1n1((1-sm)/smk
m=min{s0,s1} …(67)
【0127】
これらの値を用いて、パラメータωLを下記(68)式により計算する。
ωL=εp+υ+τ+εknLh(P+) …(68)
【0128】
もし、smが0の場合は、下記(69)式の値を用いて以下の計算を行う。
ωL=εp+εE+υ+τ
k=0 …(69)
【0129】
パラメータq0,q1を下記(70)式により計算する。
0=max{Trσ0010,Trσ0011,Trσ0110,Trσ0111
1=max{Trσ1000,Trσ1001,Trσ1100,Trσ1101} …(70)
【0130】
これを用いて、パラメータπLを下記(71)式により計算する。
πL=2nLh(P*)+n0log(q0)+n1log(q1))
*=P++(k/nL) …(71)
【0131】
cを正数とすれば、反対基底を用いた場合の受信データおよび盗聴情報を条件とした場合の送信データの条件付確率px|yzに関して、マルコフの不等式より下記(72)式が成り立つ。
Pr[px|yz>ΠL]≦(1/c)
ΠL=πL/(1-√(cωL))2 …(72)
ここで正数cは、鍵のもつ情報量(レニーエントロピー)Rxができるだけ大きく、あるいは、最終的な(圧縮後の)鍵のもつ情報量(相互情報量)ができるだけ小さく見積もれるように決定する。
【0132】
前記(62)式および(72)式を用いて、適当にRmx[L]およびεLを選ぶことによって、部分Lのもつ情報量Rx[L]に関する下記(73)式の形の条件式を導出する。
Pr[Rx[L]>Rmx[L]]≦εL …(73)
たとえば、τ=0の場合、Rmx[L]およびεLは下記(74)式のようにとることができる。
mx[L]=-logΠL
εL=1/c …(74)
【0133】
さらに、部分Kのもつ情報量の下限値を下記(75)式により計算する。
x=Rx[K]=minM(Rmx[L]+Rmx[M]) …(75)
ただし、minMはniM≦niM+(i=0,1)という条件のもとでMに関して最小化するものとする。
【0134】
つぎに、受信機側の装置の特性を用いて鍵の持つ情報量Rxを計算する手順を示す(ステップS8,ステップS19に相当)。実際に送信機から出力される0°,90°,45°,135°方向に偏光された光子の量子状態(送信機誤差を含む送信状態)をρ00,ρ01,ρ10,ρ11と表す。また、各量子状態は、それぞれ確率p00,p01,p10,p11で出力されるものとする。さらに、実際に受信機が行う0°,90°,45°,135°方向の測定(受信機誤差を含む測定)に対応する演算子をE00,E01,E10,E11と表す。ここで、各演算子は、ヒルベルト空間H上の密度演算子になっているものとする。この演算子E00,E01,E10,E11は、予め送信側の通信装置に対して公開しておく。また、量子状態ρ00,ρ01,ρ10,ρ11は、予め受信側の通信装置に対して公開しておく。ただし、送信側の通信装置でRxを計算し、その結果を受信側に公開する場合には、これらの値(量子状態)を公開する必要はない。
【0135】
送信側の通信装置では、量子状態ρij(i,jは0もしくは1)を下記(76)式のように分解する。
ρij=pij(0)ρij(0)+pij(1)ρij(1) …(76)
ただし、ρij(0),ρij(1)はヒルベルト空間H上の密度演算子であり、下記(77)式をみたすものとする。ただし、ヒルベルト空間Hに対して、S(H)はH上の量子状態からなる集合を表すものとする。
0<p(0)≦min{pij
ij(0)=p(0)/pij
ij(0)+pij(1)=1
ρij(0)∈S(Hij(0)
dimHij(0)=2 …(77)
この分解は、鍵のもつ情報量Rxができるだけ大きく、あるいは、最終的な(圧縮後の)鍵のもつ情報量ができるだけ小さく見積もれるように決定する。以下、送信機は、確率pij(0)でρij(0)を出力し、確率pij(1)でρij(1)を出力するものと考える。
【0136】
上記と同様に、Xは00,01,10,11の4つの値をとるものとする。PX(0)をHX(0)への射影演算子とする。これを用いてHX(0)上の演算子FX´を下記(78)式により定義する。
X´=PX(0)XX(0) …(78)
【0137】
さらに、ヒルベルト空間Hの2次元部分ヒルベルト空間をH2とする。FX(X=00,01,10または11)をヒルベルト空間H2上の演算子で下記(79)式を満たすものとする。ただし、Iはヒルベルト空間H2上の単位演算子を表す。
00+F01=I
10+F11=I …(79)
【0138】
ヒルベルト空間H2および演算子FXは、下記(80)式で定義されるΔX(X=00,01,10または11)あるいはその上限を最小化するものを選ぶ。
ΔX=d(FX´,FX) …(80)
【0139】
いま、ρ0(0)およびρ1(0)を下記(81)式で与えられる基底に関する平均量子状態とする。
ρ0(0)=(ρ00(0)+ρ01(0))/2
ρ1(0)=(ρ10(0)+ρ11(0))/2 …(81)
【0140】
さらに、υを基底a[L]に対応する平均量子状態ρa[L](0)と反転基底a~[L]に対応する平均量子状態ρa~[L](0)の間のトレース距離の上限値とする。すなわち、υは下記(82)式をみたすものとする。
d(ρa[L](0),ρa~[L](0))≦υ …(82)
【0141】
以下、ρをEに、σをFに置き換えて、上記(63)式から(75)式までを計算し、部分Kのもつ情報量の下限値Rxを求める。
【0142】
つぎに、2つの非直交量子状態をもちいる量子鍵配送方式(B92プロトコル)を考える。このプロトコルでは、ステップS2,ステップS3,ステップS12,ステップS13を以下で置き換える。まず、送信機側では、長さnAのランダムなビット列x[A]を用意し、ビット0に0°に偏光された光を、ビット1に45°に偏光された光を、対応させる(ステップS2)。この対応関係に基づいて、送信機側は受信側に光子を送信する(ステップS3)。受信機側でも、長さnAのランダムなビット列a[A]を用意し、ビット0に水平垂直方向(0°,90°)の偏光を識別可能な測定器を、ビット1に斜め方向(45°,135°)の偏光を識別可能な測定器を、対応させる(ステップS12)。この対応関係に基づいて、受信機側は、受信側から送られてきた光子を測定する(ステップS13)。なお、鍵生成の効率をよくするため、本実施例では、45°偏光を用いたが、0°と直交しない偏光であればよい。
【0143】
受信側で検出できた部分をDとする。受信側で90°もしくは135°の結果が得られた場合、受信データをそれぞれ1,0とする。それ以外の場合、データを捨てる。Dのうち、捨てられずに残った部分をCとする。受信側で得られたデータをy[C]とする(ステップS13)。部分Cの位置に対応する送信データをx[C]とする(ステップS3)。
【0144】
ステップS4からステップS7まで、ステップS14からステップS18までは、これまでと同様に行う。
【0145】
送信側の通信装置および受信側の通信装置では、量子通信路を通して盗聴者にもれた情報を考慮した上での鍵(送信データx[K])のもつ情報量(の下限値)Rxを推定する(ステップS8,ステップS19に相当)。ここでは、送信側の通信装置と受信側の通信装置の両方で鍵のもつ情報量Rxを計算することとしてもよいし、または、送信側の通信装置でRxを計算し、その結果を受信側に公開することとしてもよい。以下では、特に、両方でRxを計算する場合について説明する。
【0146】
実際に送信機から出力される0°,45°方向に偏光された光子の量子状態(送信機誤差を含む送信状態)をρ0,ρ1と表す。ここで、各量子状態は、ヒルベルト空間H上の密度演算子になっているものとする。また、各量子状態は、それぞれ確率p0,p1で出力されるものとする。この量子状態ρ0,ρ1は、予め受信側の通信装置に対して公開しておく。ただし、送信側の通信装置でRxを計算し、その結果を受信側に公開する場合には、これらの値を公開する必要はない。
【0147】
送信側の通信装置では、量子状態ρi(iは0もしくは1)を下記(83)式のように分解する。
ρi=pi(0)ρi(0)+pi(1)ρi(1)
0<p(0)≦min{pi
i(0)=p(0)/pi
i(0)+pi(1)=1 …(83)
【0148】
この分解は、鍵のもつ情報量Rxができるだけ大きく見積もれるように決定する。たとえば、d(p0(1)ρ0(1),p1(1)ρ1(1))はできるだけ小さく、p0(1)+p1(1)はできるだけ大きくなるように選ぶと、一般にRxを大きく見積もることができる。以下、送信機は、確率pi(0)でρi(0)を出力し、確率pi(1)でρi(1)を出力するものと考える。
【0149】
X,Yは0,1の2つの値をとるものとする。上記量子状態ρX(0)のスペクトル分解を
ρX(0)=ΣkXλX(kX)|kX〉〈kX| …(84)
とし、μXYを集合{kX}から集合{kY}への写像とする。さらに、|φkX〉を適当なヒルベルト空間の元とする。ここで、2行2列のグラム行列Gを下記(85)式により計算する。
XY=ΣkX〈kX|kXY〉〈φkX|φkXY〉√(λX(kX)λY(kXY))
…(85)
ただし、kXY=μXY(kX)である。μXYおよび|φkX〉は、鍵のもつ情報量Rxができるだけ大きく見積もれるように選ぶ。
【0150】
グラム行列Gは、半正定値であるから2次の正方行列Cが存在して下記(86)式が成り立つ。
G=C*C …(86)
【0151】
さらに、Gの対角成分は1であるから、行列Cの列ベクトルは2次元ヒルベルト空間H2上の長さ1の元とみなすことができる。そこで、H2上の量子状態σ00,σ01,σ10,σ11を下記(87)式により定義する。ただし、Iはヒルベルト空間H2上の単位演算子を表す。
σ00=|C0〉〈C0
σ01=I-σ00
σ11=|C1〉〈C1
σ10=I-σ11 …(87)
【0152】
ここで、CXは行列Cの第X列をあらわすものとする。このσXYの構成法より、σXXからρX(0)への完全正写像の存在が保証される。そこで、以下、ρX(0)の代わりにσXXが出力されるものと考える。
【0153】
部分Kのうち、ρi(0)が出力されている部分をL、ρi(1)が出力されている部分をM、とする。部分Mの長さの上限値nM+,部分Mのもつ情報量(の下限値)Rx[M]を見積もり、これらの見積もりが誤ってしまう確率(の上限値)εEを計算する。この計算は、たとえば、以下のようにして行うことができる。まず、δLを適当な正数とし、部分Mの長さの上限値nM+を下記(88)式により見積もる。
(1)=p00(1)+p11(1)
M=((nM/nA)-δM)/(p(1)K/nC
M+=maxM{nM} …(88)
なお、maxMはpM≦1という条件のもとで、Mに関して最大化するものとする。
【0154】
この見積もりが誤ってしまう確率の上限値を、下記(89)式で計算する。
εE=nAexp(-nAD(B(nM/nA)|(B(nM/nA-δM)))
…(89)
【0155】
i(iは0もしくは1)をヒルベルト空間H上の演算子で、下記(90)式を満たすものとする。ただし、Iはヒルベルト空間H上の単位演算子を表す。
0≦Ti,T0+T1≦I …(90)
これにより、Tiは部分Mにおいて、送信量子状態がρ0(1)であるかρ1(1)であるかを識別するための測定演算子と考えることができる。この識別が成功する確率の最大値を下記(91)式で計算する。
i(M)=pii(1)/(p00(1)+p11(1)
M,=maxT{(ΣiTrpi(M)ρi(1)i)/(Σi,jTrpi(M)ρi(1)j)} …(91)
ただし、maxTは下記(92)式を満たすという条件のもとでTに関して最大化するものとする。
(ΣijTrpi(M)ρi(1)j)≧pM …(92)
【0156】
これを用いて、部分Mのもつ情報量の下限値Rx[M]を下記(93)式により計算する。
x[M]=-nMlogsM …(93)
【0157】
上記(57)式から(75)式までを計算し、部分Kのもつ情報量の下限値Rxを求める。ただし、下記(94)式中のパラメータに関しては同式中の値を用いるものとする。
σ00´=σ00,σ01´=σ01,σ10´=σ10,σ11´=σ11
ΔX=0,υ=0,τ=0,εk=0,k=0 …(94)
【0158】
つぎに、2つの非直交量子状態をもちいる量子鍵配送方式(B92プロトコル)において、受信機側の装置の特性を用いて鍵の持つ情報量Rxを計算する手順を示す(ステップS8,ステップS19に相当)。実際に送信機から出力される0°,45°方向に偏光された光子の量子状態(送信機誤差を含む送信状態)をρ0,ρ1と表す。また、各量子状態はそれぞれ確率p0,p1で出力されるものとする。さらに、実際に受信機が行う0°,45°方向の測定(受信機誤差を含む測定)に対応する演算子をE0,E1と表す。ここで、各演算子は、ヒルベルト空間H上の密度演算子になっているものとする。この演算子E0,E1は、予め送信側の通信装置に対して公開しておく。また、量子状態ρ0,ρ1は、予め受信側の通信装置に対して公開しておく。ただし、送信側の通信装置でRxを計算し、その結果を受信側に公開する場合には、これらの値(量子状態)を公開する必要はない。
【0159】
送信側の通信装置では、量子状態ρij(iは0もしくは1)を下記(95)式のように分解する。
ρi=pi(0)ρi(0)+pi(1)ρi(1) …(95)
ただし、ρi(0),ρi(1)はヒルベルト空間H上の密度演算子であり、下記(96)式をみたすものとする。ただし、ヒルベルト空間Hに対して、S(H)はH上の量子状態からなる集合を表すものとする。
0<p(0)≦min{pij
ij(0)=p(0)/pij
ij(0)+pij(1)=1
ρi(0)∈S(Hi(0)) …(96)
【0160】
この分解は、鍵のもつ情報量Rxができるだけ大きく見積もれるように決定する。以下、送信機は確率pi(0)でρi(0)を出力し、確率pi(1)でρi(1)を出力するものと考える。
【0161】
Xは0,1の2つの値をとるものとする。PX(0)をHX(0)への射影演算子とする。これを用いてHX(0)上の演算子FXを下記(97)式により定義する。
X=PX(0)XX(0) …(97)
【0162】
以下、ρをEに、σをFに置き換えて、上記(57)式から(75)式までを計算し、部分Kのもつ情報量の下限値Rxを求める。ただし、上記(88)式から(94)式までの中に記されるパラメータに関しては当該式中の値を用いるものとする。
【0163】
なお、本実施例では、受信側の通信装置においても、上記ステップS8と同様の処理で鍵の持つ情報量Rxを計算する。
【0164】
情報量IEの代わりに情報量(nK-Rx)を用いて、上記ステップS9,ステップS20と同様の手順で鍵を圧縮する。
【0165】
このように、本実施例おいては、確定的で特性が安定した「Irregular-LDPC符号」用のパリティ検査行列を用いて共有情報のデータ誤りを訂正しつつ、上記ステップS4およびS14、ステップS7およびS18、ステップS8およびS19、を実行し、さらに、上記処理の過程で公開通信路を介して公開した情報量および量子通信路を通して盗聴者にもれた情報量の推定値に応じてデータを圧縮し、圧縮後のデータを装置間で共有の暗号鍵とすることとした。これにより、高度に安全性の保証された共通鍵を効率良く生成することができる。すなわち、成功確率が1-εE-εp-εk-εc以上で、かつ盗聴者にもれる情報量が(2-v/ln2)+nLL以下の、量子鍵配送方法が実現できる。なお、lnは、底が自然対数eの対数関数を表している。
【産業上の利用可能性】
【0166】
以上のように、本発明にかかる量子鍵配送方法および通信装置は、高度に安全性の保証された共通鍵を生成する技術として有用であり、特に、盗聴者が存在する可能性のある伝送路上の通信に適している。
図面
【図1】
0
【図2-1】
1
【図2-2】
2
【図3】
3
【図4】
4
【図5】
5
【図6-1】
6
【図6-2】
7
【図7-1】
8
【図7-2】
9
【図8-1】
10
【図8-2】
11
【図9】
12