JSTトッププレス一覧共同発表 >用語解説

<用語解説>

(注1)量子暗号
 量子暗号、特に量子暗号鍵配布は通信回線を用いて暗号鍵(乱数列)を他人に知られることなく共有する技術で、その安全性は極微の世界を支配する基本法則である量子力学によって保証されています。
 乱数の1ビットは1光子の量子状態として送られます。光子が1ビットあたり1つしかないため、盗聴者は情報を得るためにはその光子に何らかの操作を行わなければならなりません。量子力学の原理によりこのような操作は光子の状態を変えるため盗聴は受信誤りをもたらします。受信者は受信誤りが起きる確率(誤り率)の増加によって盗聴者の存在が検出することができ、また誤り率の大きさから盗聴されている可能性のある情報量の上限を推定できます(図1)。

(注2)光子
 現代物理学では光は波動と粒子の2面性を持つ存在と考えられています。光の粒子性のために、光を送るときの最小単位があり、これを光子といいます。光子としての性質は送る光を弱くしていったときに顕著に現れ、光子が1つしかない状態では量子力学的な性質が支配的になります。あらかじめ光子の状態について知識がない限り1回の測定で状態を完全に知ることはできません。2回以上測定するために光子の複製を作ろうとしても、元の状態と同じものは作れないことが証明されています。

(注3)誤り訂正
 伝送中に混入する雑音、盗聴、受信器の雑音などの理由によって送信者が送ったビット値と受信者が得たビット値が異なることがあります。誤り訂正によって送信者と受信者が持つビットの値を一致させます。誤り訂正はある長さのビット列のブロックを用いて、ブロックの中の誤りの位置を特定し訂正します。誤りの位置を特定するため、送信者と受信者の間で通信を行い、ブロック内の情報の一部を交換します。交換した情報は以後使えなくなるので誤り訂正後のビット数は元のビット数より小さくなります。残るビット数はブロックが大きいほど多くなり、無限に大きいブロックを使ったとき得られる値をシャノン限界といい、これに近づくほど良い誤り訂正の方法だといえます。現実には送受信者間の通信量や訂正に必要な計算時間も考慮して最適な誤り訂正方法が選ばれます。

(注4)秘密増幅
 暗号鍵の候補となる乱数列があるとき、この乱数列について盗聴者に漏洩している情報量がmビットと見積もられているとします。このとき、乱数列からランダムにm+sビット捨てることにより、残った乱数列(最終鍵)について盗聴者が持つ情報量は1/2sとなることが知られています。この操作を秘密増幅といいます。秘密増幅を行うには始めの乱数列について盗聴者に漏洩している情報量を知る必要があります。従来の暗号ではこの漏洩情報量mを見積もるのは不可能でしたが、量子暗号では見積もりが行えることが理論的に示されています。しかし、実際の量子暗号装置において、漏洩情報量mを正確に計算する方法はこれまでなく、今回初めて秘密増幅で捨てるビット数を決めることができるようになりました。今回の実験ではs=7と設定し、秘密増幅を行いました。このため、最終鍵について盗聴者が持つ情報量は128分の1になります(図4)。

(注5)ビットあたり128分の1以下の情報量
 盗聴者が得られる1ビットあたりの情報量から、盗聴者が正しい鍵を推定できる確率が計算できます。今回のs=7という設定ではこの確率は約55%で、全く情報量がない場合の50%よりやや大きくなっています。これでも例えば128ビットの暗号文(パスワードなど)を読み取ろうとするとき、鍵を盗聴できる確率は約10-33と非常に小さく事実上盗聴は不可能です。しかも、どのような方法を使っても、どのような技術的な進歩があっても盗聴は不可能です。また、鍵の生成レートを低速にすれば、さらに盗聴の確率を小さくすることも可能です。

(注6)最終鍵
 秘密増幅によって盗聴者が持つ情報が十分消去された乱数列を最終鍵とよび、最終鍵を使ってメッセージの暗号化と復号化を行います。

(注7)デコイ法
 本研究で得られた理論では盗聴者への情報漏洩量を推定するために、盗聴者の得られる情報量を、送信される光パルスに光子が0個の場合、1個含まれる場合、2個以上含まれる場合に分けて計算します。受信者が検出した鍵について情報漏洩量は、各々の場合に得られる情報量に、鍵が光子0個、1個、2個以上のどの場合に得られたかという割合を掛けることで得られます。これらの割合をここでは伝送パラメータと呼んでいます。つまり、情報漏洩量を知るには伝送パラメータの推定が必要で、この推定の精度が悪いと安全性を確保するために情報量を大きめにとることが必要になって、捨てなければならない鍵のビット数を増やさなければならなくなるため、最終鍵の生成レートが小さくなってしまいます。
 伝送パラメータは盗聴者の戦略によって決まり、盗聴者は鍵が光子0個、1個、2個以上のそれぞれの場合について、光子を受信者に送る割合と盗聴する割合(受信者に誤りを引き起こします)を自分が最も有利なように決定すると考えます。
 デコイ法は伝送パラメータを推定するために提案された方法で、何種類かの光の強度からランダムに選んだ強度で送信します。これによって含まれる光子数の割合の違う送信光パルスが得られます。各々の強度で光子が検出された確率(伝送レート)と誤り率を求めると、盗聴者の戦略と関連付けられることができ、伝送パラメータの推定に当たっての拘束条件が得られます。光の強度の種類が多いほど拘束条件が多くなって推定精度が上がるのですが、装置の制御や計算時間から数には制限されます。今回の研究成果で4種類(光を送らない+3種類の強度)を用いると十分良い推定ができることが見いだされました。

(注8)クロック周波数
 量子暗号装置における信号パルスの間隔の基準となるものがクロックで、クロック周波数の逆数が時間間隔になります。この装置では光パルスが毎秒6250万回、つまり16ns(1nsは10億分の1秒)間隔で送られます。