【発明の詳細な説明】
量子暗号法発明の背景
この発明は量子暗号法(quantum cryptography: 量子暗号作成(解読)法)を
用いた通信システムに関する。
本願出願人の先行する出願PCT/GB93/02637及びPCT/GB9
3/02075に記述したように、量子暗号法は通信システムにおける伝送をそ
の後暗号化するか解読するのに使用するためのキーを配給するための技術である
。キーは単一フォトン信号の変調によって配給される。単一フォトン信号を傍受
する立ち聞きする者(eavesdropper;注:この明細書では辞書にならって者とす
る訳語を当てるが機械装置と解しても技術の論旨は変らないことを予めことわっ
ておく)は受領したデータの統計を混乱させるから、検出することができる。“
単一フォトン信号”という用語は必要とされる量子的性質をもつ信号を意味する
。たとえば、パラメトリックな下方変換によって真の単一フォトンが生成される
。この種の技術が初期の上述した応用で記述され、クレームされている。このよ
うな真の単一フォトンソースは、しかし、構築と信頼性のある運用をするのがむ
づかしいことが見出された。そこで一般にはレーザダイオード,LEDのような
“古典的な”ソースを採用して、この種のソースからの出力を厳格に減衰させて
所定の時間スロット中に一般には複数ではなく、かつ平均してみると1よりもは
るかに小さい数のフォトンがあるようにするのが好ましいとされる。発明の要約
この発明を第1の観点でとらえると、量子暗号法を用いた通信方法が用意され
、大きな減衰を与えられたソースからの単一フォトン信号を変調し、かつ変調さ
れた信号を検出する段階を含み、変調された信号を検出する段階は符号化した状
態に従って2つの枝に信号が分けられて、別な符号化した状態に対応している信
号は独立して検出され、さらに検出器の2つの枝での一致した信号の検出レート
が判断され、しきい値と比較されて、立ち聞きする者の存在を検知することを特
徴
とした方法となっている。
この発明は減衰したソースからの信号と、このようなソースからの信号を攻め
るのに必要な立ち聞き技術との特有の性質を使用して、立ち聞き者の検出に新し
い手法を与えるものである。これによって、この発明はこの出願人や他の者によ
って以前に提案された量子暗号法技術に対するセキュリティ(保安)の強化を与
えることができるものとし、加えて、この発明の手法なしには適切なセキュリテ
ィを提供することがないような、量子信号に対するある簡単化した符号化技術を
使用できるようにもしている。
高度の減衰を与えたソースが使用されるときは、所定の時間スロットの何れに
も1を越えたフォトンがほとんどあり得ないというのに十分なレベルに減衰が設
定される。これが達成されるためには、時間スロット当りのフォトンの平均数は
となる。
符号化したキーデータを傍受しようとした立ち聞き者はビームスプリッタを用
いてフォトンパワーの一部を分岐し、残りが受信機に伝送されるようにする。し
かしこれは、一般には分岐比が極めて小さい場合を除き、受信機における検出レ
ートを著しく減少させることに通じ、分岐比が極めて小さければ、立ち聞き者が
抽出できる有用なデータ量は極めて限られたものとなる。実際には、すべての実
チャンネルは有限量の損失があり、これは立ち聞き者が低損失チャンネルに代え
て自分の分岐損失を補償して、ビームスプリットという攻めの可能性を生じさせ
る。しかし、光ファイバはすでに理論的な最小損失を達成しており、もっと低損
失のチャンネルに代えるということは技術的に非常にむづかしく、特にキロメー
トルとかそれ以上の長さのチャンネルの代替はむづかしい。立ち聞き者は、代っ
て傍受/再送信という攻めを用いるかもしれない。その名称が意味するように、
これには立ち聞き者は非破壊的に到来信号を検出してから、受信機での検出のた
めに適切に変調された信号を再度送信することが含まれる。しかし、もとの強度
レベルが1よりもかなり低いときには、立ち聞き者が検出の度毎に応答して同じ
強度レベルでフォトン信号を再送信することは、受信機におけるカウントレート
を著しく低下させる。このことは次のように理解できる。すなわち立ち聞き者が
検出した信号フォトンを、(0.1の強度レベルの場合には10うち1の機会だ
けにおいて、)1フォトンを受信機で検出することとなる信号で置き換えること
である。
この過程の統計は後の理論的検討でより厳密に取扱い完全に記述する。
この受信機におけるカウントレートの減少を回避するために、立ち聞き者は、
送信する単一フォトン信号の強度を高めるかもしれない。上記の単純な理由づけ
によると、平均強度が1に等しくなるように増大して、受信機でのカウントレー
トの変動を除去することを期待することになる。実際には、有限効率の受信機と
いう場合であるから、立ち聞き者による増大強度の信号発生はこの発明では受信
機においてビームスプリッタでの一致のカウントが対応して増加する結果として
、検出することができる。
一致のレートを検出する段階には一対の単一フォトン検出器に接続された一致
ゲートを用いて実時間で一致信号を検出することが含まれる。しかし、好ましく
は、この段階は異なる時間に対して記録したデータを処理することによって、単
一フォトンの検出後に実行されるのがよい。この場合は、異なる分岐からの信号
が異なる検出器でそれぞれ記録されるか、代って単一の検出器を使うのであれば
、別の分岐からの信号は枝の一方に導入された遅延によって時間領域では分けら
れているようにする。
二つの分岐の間で変調された信号を分け、かつ一致信号のレートの検出する段
階は、異なる基礎を用いて変調され検出されたと判断された単一フォトン信号に
対して実行される。
後述するように4状態暗号プロトコルで異なる変調と検出の基礎が使用される
場合は、これがビームスプリッタで行われる測定と正しく等価なものである。し
たがって信号は一致検出に使用してもよい。
代って、単一フォトン信号は2つの非直交状態で成る基礎を用いて変調するこ
とができ、一致のレートを検出する段階は、送信機において既知の状態で符号化
されたと受信機で判断される信号と関係づけて実行される。
後に詳述するように、この発明は2つの非直交状態を用いて量子暗号法を著し
く強化するために使用できる。ここで提案する二状態機構は単一フォトンパルス
の非常に短い時間内に伝送される多フォトン基準パルスを使用することを必要と
する。しかし、短い時間目盛上で第2のパルスを検出することは重大な実用上の
問題をもたらし、その理由は適切なフォトン検出器が関係する一般には1μsと
いうむだ時間(dead time)にある。この発明では一致検出を使用することによっ
て、二状態機構を基準パルスの伝送と検出を必要とせずに安心なものとする。
この発明は点と点とを結ぶリンクでの使用に限定されず、各種の網トポロジィ
でも使用でき、その中には、分岐したすなわち星状トポロジィ、ループ・バック
すなわちリングトポロジィなど後述するもの、また本願と共に未決の国際出願P
CT/GB94/01953及びPCT/GB94/01952で記述され、ク
レームされているものを含んでいる。
現行の技術を用いると、量子化法は30kmという長さの光ファイバリンク上での
実現に成功しており[C.Marand and P.D.Townsend,Optics Letters,vol.20 Aug
15,1995]、したがってLAN、キャンパス中の網及びMAN(首都圏網;Metro
politan Area Networks)を含む広い範囲の産業上の応用に適したものである。
また、たとえば大規模光通信網において2つの核となるサーバ間での保安リンク
用としても使用できる。
この発明を第2の観点でとらえると、量子暗号法で使用するための通信システ
ムが用意されており、その構成は、高度に減衰された光ソースを含む送信機(T
)と、1又は複数の受信機(R1−R3)と、該送信機を該受信機の各々にリン
クしている網とで成り、該受信機には異なる符号化された状態に対応している受
信機の分岐内で一致信号の検出のレートを判断して、その検出のレートをしきい
値と比較し、立ち聞き者のいることを検出するための手段を備えることを特徴と
している。図面の簡単な説明
この発明を実施するシステムを例をあげて、添付の図面を参照して次に詳述す
る。
図1はこの発明を実施する点と点との間のシステムの模式図である;
図2は受信機検出器効率の関数として、立ち聞きする者の伝送強度nをプロッ
トした;
図3は立ち聞きする者の有無の場合の一致検出確率を示す;
図4はこの発明を実施するシステムの詳細図である;
図5は複数アクセスリングトポロジィを用いた別の実施例を示す;
図6は複数アクセストポロジィのさらに別な実施例を示す;
図7は平均フォトン数の関数として一致検出を示した実験データのプロットで
ある;
図8は液晶偏波変調器の模式図である。実施例についての記載
量子暗号法を用いたキーを分配するために構成された光通信システム1は送信
機2と受信機3と、かつ受信機は、例えば光ファイバリンクである伝送媒体によ
って接続されて成る。送信機2内の偏波変調器(ポラリゼーション・モジュレー
タ)5は送出する単一フォトン信号を乱数発生器(RNG)6からのデータ流に
応答してランダムに符号化する。受信機内の別な乱数発生器(RNG)7も同じ
様にその偏波変調器8を制御する。受信機の偏波変調器からの出力はポラライザ
に進み、そこでは光信号をその偏波状態に依って、2つの単一フォトン検出器(
APD)10,11の第1又は他方へ向ける。単一フォトン検出器11,10の出力は一
致カウンタ12によって監視される。
単一フォトンソース2は減衰された古典的なソースであり、コヒーレントのも
のでもインコヒーレントのものでもよい。後に詳述するが、この種のソースで作
られる信号の統計について探究がされ、媒体4上を伝送される変調された信号を
傍受する立ち聞き者の検出に機能することが判明している。特に、一致検出レー
トの上昇が傍受/再送信の仕掛け(アタック)が生じたときに検出される。図7
は図1に示したようなシステムの系統でのこの効果を実験的に示したものである
。この実験は立ち聞きする者(送信機)と受信機との間の通信リンクすなわち仕
掛け(アタック)の再送信部を表わすために使用される。その機構は乱数発生器
と変調器とを静的な偏波制御器で置き代えることによって単純化されており、し
たがって、送信機に到達するフォトンの偏波状態は一定であり、円偏波(右又は
左)もしくは対角線形(+45°又は−45°)状態のいずれかが選択される。
受信機のポラライザの配向は垂直(0°)線形状態が検出器1に向い、水平(9
0°)
線形状態が検出器2に向うようにしている。この場合、実験は量子キー伝送の一
部を連続的にシミュレートしたもので、立ち聞きする者は受信機として別な基盤
を選んでおり、したがって一致計数は有限の確率をもつものとなっている。図7
は一致する事象の数(検出器1と検出器2の計数)に対する単一事象の数(検出
器1のみの計数)の比が、立ち聞きする者が再送出パルス内のフォトンの平均数
nを増大させるとともにどのように変わるかを示している。n=0.1に対して
2×10-3台の比がn=1に対しては2×10-2に上昇している。直線は後述の
式8のプロットであり、η=3.5×10-2,T=1の値をあてている。これら
はそれぞれゲルマニウムAPDの検出効率と、光ファイバチャンネルの伝送効率
とについての実験的に測定した値である。すでに述べたように、合法的な送信機
と立ち聞きする者との間のチャンネルが無損失であって、かつ立ち聞きする者が
完全に効率的な検出器(η=1)を所有したとしても、たとえば仮に立ち聞きす
る者と送信機とが共にn=0.1パルスを用いたとすると、受信機における計数
比は非常に低い。この結果、立ち聞きする者は単一の計数レートをほぼ一定に保
験データはこの場合一致計数比が顕著に増大することを示しており、これが立ち
聞きする者の存在がはっきりわかるようにする。
図4はこの発明を実施するシステムのさらに詳細を示す。送信機1はパルス半
導体レーザとして、例えばDFBレーザを含む。適切なデバイスの一例は日立の
シリーズHL1361 DFBレーザダイオードで、1290−1330nmに
おいて5mWの光パワーで動作する。現在の例では、この機構は光ファイバ応用
形式(図4)で実現され、ここでは量子チャンネルと公衆チャンネルの両方が送
信機1を受信機にリンクする伝送ファイバ3上で伝送される。送信機ではパルス
半導体レーザ48が光源(ソース)となっている。レーザ48と、位相変調器41のた
めの変調器ドライバ49とはマイクロプロセッサ50によって制御される。受信機2
にはそれ自身のローカル制御マイクロプロセッサ54があり、変調器ドライバ52を
介してその位相変調器42を制御する。受信機制御プロセッサは2つの検出器43,
44のために検出器バイアス供給源53も制御する。送信機と受信機との両方では、
信号経路の分岐として溶融ファイバ50/50カップラが使用されている。適切
なカップラがモデルP2S13AA50としてSIFAMから市販されている。
データの符号化(エンコード)とデコード用に適した変調器41,42はリチウム
・ナイオベートもしくは半導体位相変調器で、例えば100MHzで動作するも
のである。代って、液晶偏波変調器を使用できる。図8の例では、スタックが2
つのキラル・スメチック−CセルS1,S2で構成されている。各セルは一対の
ガラス基板g1,g2で成り、各基板上にはInTiO電極Eが形成されている
。ポリイミドのコーティングで一方向にこすられたものが各電極上に形成されて
いる。基板の上と下とのこする方向は通常は反対向きとして、液晶分子の僅かな
表面のプレチルト(前もってあった傾き)から生ずる、たまっているスプレー弾
性エネルギーを最小とするようにしている。ポリイミド整列層が望ましいが、他
の平面整列材も使用可能で、例えば、こすったナイロン、こすったポリビニル・
アルコール、もしくは斜め蒸着した酸化シリコン又はフッ化マグネシウムが使え
る。全体的な性能で最良のものは現在のところバランスのとれたポリイミドであ
る。図8の構造に代るものとしては、単一の両サイドをもつ基板でS1の上側基
板と、S2の下側基板とを置換えてもよい。スペーサSPは基板を分けて、体積
を規定し、そこの中に液晶材料を閉じ込める。スペーサ材料は周辺に配置するか
、恐らくはセル全体に無作為に分散して配置することができる。接着性のシール
を基板の1つに施してセルの横方向の境界を定める。シールは毛細管(キャピラ
リィ)による充填ができるように1又は複数の隙間を備えることになる(隙間が
1つだけのときは真空充填となる)。各種の強誘電体液晶(FELC)と液晶混
合物が市販されており、この種のデバイスで使用でき、例えば適切な材料はMer
ckからのZLI−4318がある。入手できる強誘電体混合物の全リストは、M
erck Ltd,Merck House,Poole,Dorset,BH15 1TD,U.K.から得ることができる。
各セル内のガラス基板間の間隔は一般には1.5ないし2μmの範囲である。
各セルの厚さと液晶の屈折率異方性とは入力ビームの波長において、例えば半波
長板とか1/4波長板として機能するように選ばれる。この例では、液晶材料は
一般的な複屈折率0.15をもつとしている。従って、波長830nmの動作で
は、半波長板としての動作に対して、セルは厚さ2.8μmを持つようにされ、
1/4波長板ではその厚さの半分のセルを使用する。
液晶材料が異なる複屈折をもつときは、セルの厚さはそれに応じた寸法とする
。選ばれたFELC材料は複屈折として0.5という大きな値をもつことができ
る。しかし、より一般的には、FELCは589nmで0.15−0.13の範
囲の複屈折を有する。電界が電極を用いて各セルに対して印加されるときは、セ
ル内の結晶分子は特性チルト角θに傾く。印加された電界の極性を変えると分子
は角度2θにわたって回転する。このセルは双安定デバイスとして機能し、これ
ら2つの安定配向状態間で電界による切換え(スイッチング)が行われる。強誘
電体キラルスメチックC材料は、分子の長手方向に対して90°に近い角度で強
い自発性(スポンタネアス)分極を示す。この自発性分極が電界と相互作用をす
る。材料の表面安定度とカイラリティ(キラル度)とは、自発性分極が切換え(
スイッチング)の際に反転するときに、印加された電界に直交する面内で+θか
ら−θへ層チルトが回転する。層チルトの大きさは電界によって変わらないで、
回転の向きだけが変わる。理解しておきたいことは、分子の長手方向軸が電界と
一致するという傾向はなく、言い換えれば分子はセルの壁に対して傾くことがな
いことである。層チルトは常に電界方向に沿った面内で生ずる。双安定FEスイ
ッチングは一般に+/−50Vμm-1以上で破壊前の電圧で観測することができ
る。
適切な単一フォトン検出器は例えば半導体アバランシェ・フォトダイオード(
APD)で、B.F.Levin,C.G.Bethea and J.C.Campbell,Electronics Letters,20
596(1984)に記述されているようなものである。これらは逆ブレークダウンを
越えてバイアスさわ、RGW Brown,KD Ridley and JGRarity;Appl.Opt.25 4122(19
86),及びAppl.Opt.26,2383(1987)で論じられているように、受動もしくは能動
クエンチングを備えたGeiger モードで動作する。キー分布プロトコルは各受領
されたフォトンが与えられたクロック周期と関係していること、及びいずれのA
PDが検出したかによって0又は1として識別されることを要求する。これらの
機能は時間間隔アナライザ45(例えば Hewlett-Packard 53310A)によって実行
される。このデバイスへの開始信号は回路46による処理の後のAPD出力によっ
て用意される。回路46は各出力と直列に接続された増幅器兼弁別器と弁別器(例
えばLecroy 612A,821 及び 622)に接続されたORゲートとで成る。停止信号は
後述のクロック再生器で作られる。検出過程はP.D.Townsend,J.G.Rarity an
d P.R.Tapster,Electronics letters,29,634(1993)及び29,1291(1993)に記述さ
れている。SPCM−100−PQ(GE Canada Electro Optics)のようなシリ
コンAPDは400−1060nm波長範囲で使用でき、ゲルマニウム又はIn
GaAsデバイスでNDL5102PとかNDL5500P(NEC)のような
ものは100−1550nm範囲で使用できる。
上述のように、理想的には、量子チャンネルはたかだか1つのフォトンを含む
パルスを使用する。この状態は減衰器55をレーザ源と一線に接続し、強度をパル
ス当りのフォトン平均数nが約0.1のレベルとなるように減少させて近似される
。
図4に示すように、代わりの機械的に切換えする経路56がレーザからの出力用
に用意されていて、減衰器すなわち単一フォトンソースのバイパスとなっている
。スイッチは例えばJDS−Fitel SW12である。これは量子チャンネルと同
じ波長での公衆チャンネルを提供するが、明るい多フォトンパルスを用いるもの
である。これらのパルスの大きな強度は単一フォトン検出器には飽和と電流加熱
との効果を生じさせる。これが生じないようにするために、APD上の逆バイア
スは破壊の十分下となるように減らされていて、デバイスが標準のアナログモー
ドでは大幅に感度が減った状態で動作するようにしている。代って、APDは電
子機械的光スイッチ手段によって絶縁され、送信機で使われているのと同様とす
るか、あるいは電子光学スイッチを用いて、それが多フォトンパルスがp−i−
nフォトダイオードのような追加の標準検出器に進む経路を作るようにする。あ
るいはこれと違って、公衆チャンネルを別の波長で符号化して同じファイバ伝送
リンクを作って伝播させてもよい。この場合には、公衆チャンネルは波長敏感性
カップラを用いる標準検出器に進む経路をとる。量子チャンネル波長で別な絶縁
をするのに波長選択性フィルタという手段によってもよい。
このチャンネルはパルス当り多数のフォトンで動作するから、その性質は古典
的なもので、従って、立ち聞きする者によるアタックができるように開かれたも
のである。このチャンネルは符号化プロトコルに対する公衆チャンネルを提供す
る。送信機と受信機とはこの公衆チャンネルで通信して、与えられた信号パルス
に対してどのエンコード/デコード・アルファベットが使われたかについての情
報を交換する。このデータを基に、受信機で受信した信号の統計が解析できて、
キーがセキュリティを保って受信されたかどうか、すなわち立ち聞きするものが
キーのいずれかの部分を傍受してしまったかを判断する。
プロトコルについての公衆段階での利用に加えて、公衆チャンネルは伝送シス
テムの校正にも使用される。長距離光ファイバリンクで例えば50kmといったもの
の上では、温度変動といった、光ファイバに対する避けることができない効果が
原因して、送信されたパルスの偏波と位相との両方が時間とともにゆっくりとラ
ンダムに変わることがある。校正段階は、我々の上記引用国際出願PCT/GB
93/02637で記述したように、こういった変動を補正することが可能であ
る。
図6はこの発明で使用するためのマルチ・アクセス網を示す。図6の例では2
つの受信機しか示していないが、実際にはもっと多数の受信機を採用した網がし
ばしば使われる。その数の選び方は使用分野によって変る。単一の場所での局地
的な施設では網は10の受信機又は端末だけで構成されることになろう。これに
対して、公衆網では数十から百以上といった受信機が網に接続され、単一のサー
バから分配された量子キーを受領することになる。多数の異なる構成のうちのど
の1つも網に対して使用でき、例えばトリー、バス、リング、スターといった構
成の網でも、またその組合せの網にも使用できる。
図6は2つの受信機と1つの送信機とを含む放送網の特殊例を示す。送信機は
利得切換えつき半導体レーザ69で上述した形式のものと、減衰器又は強度変調器
67と、偏波変調器68と、制御電子回路70とで成る。受信機内の単一フォトン検出
器は上述の第1実施例で記述したのと同じデバイスでよい。各受信機にはマイク
ロプロセッサ制御部62があり、それがAPDの出力を弁別器/増幅器回路63を経
て受領する。制御部62は電子フィルタ64とローカル発振器65とともに、APDバ
イアス供給源66も制御する。電子フィルタ64はAPDによる信号出力の周波数ス
ペクトラムの第1高周波を絶縁するもので、これは網を経由して受領した同期パ
ルスに応答して行われる。電子フィルタはローカル発振器65をロックするパルス
周波数で正弦波を発生する。ローカル発振器65の出力は制御部62で受領されて、
量子伝送の間にタイミング基準を送出する。
図5はさらに別な実施例でリング・トポロジィを使用したものを示す。このシ
ステムは送信機/交換機Tを備え、それが3つの受信機R1−R3に接続され、
その間にリングトポロジィを有する受動光網Nが介在する。送信機Tには量子チ
ャンネルソース71(量子暗号法によるキーを確立する際に使用される)とともに
、通常の強度変調されたソース(通常のトラヒックを搬送するとともに校正の際
には多フォトン信号を出力する)とがある。量子チャンネルソース71と標準のソ
ース74とは異なる周波数それぞれλq、とλsとで動作する。量子ソース1からの
出力は切換え可能な減衰器79と、ポラライザ兼バンドパスフィルタ78(量子チャ
ンネル波長λqと同調している)とを通って進む。
各受信機またはノードは、第1の多フォトン検出器75でチャンネルλs上の信
号用のものと、量子チャンネル波長λqでの多フォトンタイミング信号用検出器8
0と、変調器72(この例では偏波変調器)とで構成される。クロック検出器80は
ファイバカップラ81によって網Nに接続されており、λqでの弱いタップが作ら
れている。これらのタップは低い結合度(例えば1%台)をもち、量子チャンネ
ル内で余分な減衰が導入されないようにしている。代って、別な波長λcを校正
信号用に使うのであれば、WDM(波長分割多重)カップラで有限の結合度をλc
でもち、かつ理想的にはλqで零結合度をもつものが採用できる。信号波長用の
検出器75はWDMカップラ77によって網に接続される。WDMカップラはファイ
バカップラであり、波長依存結合特性をもつ。この例ではWDMカップラは量子
チャンネルに対しては直接透過形経路を作り、ループからの結合度はλqでは小
さいが、信号波長λsでは結合度がもっと大きな値Fsとなっている。
減衰したコヒーレントもしくはインコヒーレント光源でこの発明で使用した形
式のものは、一般にそれぞれnフォトン状態の重畳もしくは統計的混合(statist
ical mixtures)であってポアッソン統計に従うもの(このことは量子暗号機構の
動作上非常に重要なこととは言えないことではある)を作り出す。その結果、光
源がnフォトンを含む光パルスを生成する確率は式(1)で与えられる。
図1に示した形式の、典型的な受信機は、アバランシェ・フォトダイオード(
APD)のような検出器で単一フォトンレベルで感度を持つようにするために
ブレークダウンを越えて逆バイアスされたものを備えている。到来する光パルス
がこの種のAPD内でn光電子を生成する確率は式(2)で与えられ、
ここでηはAPDの量子効率であり、Tは伝送割合もしくは量子チャンネルの係
数である。P.D.Townsend and I.Thompson,Journal of Modern Optics Vol.41,p.
2425,1994 で論じられているように、光パルス継続時間は一般にはAPDの不感
度時間(デッドタイム)よりもずっと短くなるように選ばれる。したがって、A
PDは光パルス当りたかだか1電圧パルスを生じ得るのであって、これが生じる
確率は式(3)で与えられる。
この結果、受信機の計数レートは式(4)となり、
ここでRtは送信機内の減衰した光源がパルスを受けるレートすなわち時間スロ
ット周波数である。式(4)から、n<<1でη=T=1であれば、
であるから、受信機の計数レートは理想的なシステムであっても時間スロットレ
ートよりも常に小さくなる。新しい検出機構の動作を説明するために、一般化さ
れた受信機を考えることとし、そこでは量子チャンネルの出力が2つの岐路に分
けられ、各々が単一フォトン検出器で監視される。このような分岐は例えばファ
イバカップラという手段で実現できるが、図1で示した受信機はこの機能をも実
行することを後に示す。分岐比β:(1−β)をもつファイバカップラの例をと
るとし、上述の経過をとるときは、βアーム検出器に対する計数レートは次のよ
うになる。
βを(1−β)で置き換えた同様の表示が他の検出器に対する計数レートとし
て得られる。2つの検出器が適切な一致検出回路によって接続されると、一致計
数レートは次のようになる。
β=0.5の特別な場合には、一致レートは単一のレートによって便利となる
ように正規化されて、次の比を与え、
1の場合には、この確率はC=0.05と小さく、減衰したパルスは全体として
は分割することができない粒子のように振舞う。真の単一フォトンに対しては、
分割は生じ得ないから一致レートは零である。
ここで量子チャンネル上の立ち聞きする者と、採用することができる2つの形
式の測定戦略について考察することとする。第1の戦略では、立ち聞きする者が
“ビームスプリッタ・アタック”を実行することを試みるとし、ここでは減衰し
た光パルスを分割することが試みられる。この方法では、測定がパルスの一方の
半分について実行され、他の半分は立ち聞きする者の存在に気付いていない受信
者への伝播のために残しておく。しかし、上述のように、減衰したコヒーレント
パルスはこのような分割はむづかしく、パルスの小部分だけ、従ってそれが搬送
しているキービットが立ち聞きするものに漏れることになる。それにも拘らず、
Bennett et al.J.Crypt.1992 で論じられているように、量子暗号法プロトコル
の誤り補正及びプライバシィ増幅段階の間に立ち聞きする者へ漏れた全情報を計
算するときにはこの一部分を勘定に入れることが重要とされる。別な重要考慮事
項として、立ち聞きする者のビームスプリッタアタックでは受信機の計数レート
を低減させることが避けられないことである。例えば、分割されていったパワー
割合が(1−β)であると、受信した計数レートは式(6)で与えられ、式(4
)と比較すると指数に現れる割合βだけ減少することが分かる。明らかに(1−
β)が大きいと、受信機は計数レートの大きな減少を蒙り、立ち聞きする者の存
在の
警報を受ける。立ち聞きする者に対して敏感な戦略として、伝送ソースから予期
されるパワーのゆらぎを越えない程度だけ受信機における計数レートを減少させ
ることがある。例えば、この種の時間的なパワー変動が例えば、実用上すぐに得
ることができる値である±10%以下に維持できれば、立ち聞きする者は警報の
設定を回避するためには、(1−β)≦0.1を使わなければならない。しかし
、立ち聞きする者への情報の漏れの計算では、もっと保守的な見積もりである(
1−β)=1を通常は使用している(Bennett et al.J.Crypt.1992)。これは無
損失もしくは低損失チャンネルを挿入することによって、ビームスプリットアタ
ックを補償する可能性を勘定に入れている。上述のようにこの種のアタックには
厳しい技術的な困難があるが、それでもなお、絶対的に最悪な場合を代表してお
り、したがって得られるキーの秘密性を非常に安全に見積ることができる。第2
の形式の立ち聞きする者のアタックは“傍受/再送信(インターセプト/リセン
ド)”と呼ばれるものであり、受信者の計数レート変化に対する監視能力が極め
て重要であり、これから論ずるように基本的な方法として現在の発明を支えてい
る。
傍受/再送信では、立ち聞きするものがチャンネルに割込んで測定を試みてか
ら、次々にキーデータのコピィを送るものである。無論、量子暗号法プロトコル
は立ち聞きする者による測定が発生せざるを得ないキー内の誤りを検出するよう
に設計されている。しかしながら、現在の発明は、実用化システムで使用される
減衰したコヒーレント状態の性質を探究することによって、この検出確率を著し
く改善している。特に、式(4)との類推によって、立ち聞きする者の計数レー
トは次のようになる。
ここでは添字t,e,rを使って、送信機、立ち聞きする者、受信機をそれぞれ
特定するパラメータを表わしている。もし立ち聞きする者が、到来するパルスの
トは次のようになる。
信機における計数レートに著しい減少を導く。
は受信者に警報を送ることになる。この結果、立ち聞きする者は受信機の計数レ
ートが一定に保たれるような(上述した通り、少なくとも光源のパワーゆらぎの
次式が見出される。
完全なシステムとしてηe=ηr=Te=Tr=1に対しては、もし立ち聞きする
者が受信機に向けて送られた各パルスがはっきりと検出されることを保証し
(12)はもっと実際的な検出器効率(<80%)に対して、立ち聞きする者は
すでに見たように減衰したコヒーレントパルスの平均フォトン数が増大すると
、2つに分けることは簡単になる。その結果、上述の形式のビームスプリッタ測
定を受信機が実行するときは、一致検出のレートは立ち聞きする者の存在で大幅
に増大する。図3は式(8)で定義された、正規化した一致確率を、立ち聞きす
る
チャンネルは無損失と仮定され、受信機と立ち聞きする者との検出器効率はそれ
層顕著になることが分かる。従って、この技術は立ち聞きする者の検出確率を大
きくするのに魅力的である。しかし、50:50カップラ又はビームスプリッタ
を用いる一致測定は、量子キー分配が行われている間に通常実行される測定とは
別個に実行されなければならないとされる。これは受信機の設計を複雑にするし
、潜在的なキービットを無駄にすることにもなる。これに代って、我々の提案は
Bennett /Brassardの4状態暗号法機構で通常は無視されてきたデータを使うと
いうものである。例えば、図1に示した実験的機構の場合には、ランダムなキー
シーケンスが、送信機Tと受信機R内の変調器を用いて減衰した光パルスの偏波
を符号化することによりチャンネル上を伝送される。Tは二値ディジット(0,
1)に対して2つの異なる表現、すなわち(0°,90°)と(−45°,+4
5°)を用い、キー伝送の間に両者間をランダムに切換える。Rもまたランダム
かつ独立に0°と−45°とのポラライザ測定角度間の切換えをする。伝送後は
、Rは公衆チャンネルを用いて、Tに対して、どのビット期間内にあるフォトン
が受領され、かつどのポラライザ測定角が使用されたかを告げるが、その結果、
すなわちフォトンが0又は1出力ポートで検出されたかどうかは告げない。次に
Tは送られかつ測定された偏波角度がΔθ=0°又は90°違っているようなビ
ット期間を公開し、データのこの半分だけが保存される。(送信偏波角と測定偏
波角との差Δθの値が0°か90°かであるビット期間を公開して特定し、これ
らのビット期間からのデータだけを送信機と受信機によって保存する。)これら
の場合に対しては、フォトンは理想的には正しいポラライザ出力ポートで観測さ
れる単位確率(1)を有しており、その結果、送信され受信されたビットシーケ
ンスは同じものとなるはずである。もし、立ち聞きする者が傍受をしてキーを再
送しようとすると、これらの最終の共用ストリングは一般には約25%の実質的
な誤り率をもつことになり[Bennett et al,J.Crypt 1992]、TとRとはそのデー
タのランダムサブセットを公然と比較することによりそれをチェックし、その後
捨てることとする。この誤りは立ち聞きする者が知らずに、例えばΔθ=±45
°のようなチャンネル上での間違った測定をした場合などで発生する。この場合
、測定の結果は蓋然性があり、パルスは0としてもあるいは1としても等しく登
録されることになろう。これは立ち聞きする者がときに間違ったビットで送信し
、それによってTとRとが完全な一致を予期している場合に誤りを生じさせる。
一致検出機構に話を戻すとし、Δθ=±45°での偏波測定は50:50ビー
ムスプリッタでの測定と正式には等価である。これはポラライザの各出力ポート
に対する透過確率がこの場合は50%に等しいからである。他の符号作成原理は
異なる分割比を与え、例えば4状態機構で(0°,90°)(−22.5°,+
67.5°)を使用するものは受信機で15:85ビームスプリッタと等価であ
対しては依然として大きな値である。この結果、Rはデータの排除された部分を
とることができ、同じ時間スロット内で0及び1検出器の両方がある計数を登録
した一致事象を探すことができる。この一致レートは立ち聞きする者がいないと
立ち聞きする者が居て、受領した計数レートが既知のシステムパラメータから予
増加することになる。以上を要約すると、このシステムの使用者は標準プロトコ
ルの範囲で集められ、しかし使われていない、データについて追加の解析を実行
するだけで、立ち聞きする者を検知する使用者の能力を高めることができる。こ
の技術は実際のシステムで使用されている減衰したコヒーレント状態の性質を活
用し、余分な部品や装置を必要としない。
上述の例は4状態符号化を使っているが、他の機構も使用できる。
近年、Bermett[Phys.Rev.Lett.,68,3121(1992)]は量子暗号法機構を開発し、
そこでは上述の例のような2つのベースで各々が2つの直交状態を含むものでは
なく、たった2つの非直交状態を使っている。ここではBennett によって考察さ
れたものよりももっと簡単でかつもっと実用的な特殊例を参照して、この機構の
動作を記述していく。もっとも重要なことは、一致検出技術がこの簡単にした機
構に保安状態を与えるために使用できることであり、これなしでは立ち聞きする
者に対して無防備となってしまうことである。
位相符号化機構の例について述べることとするが、この機構では二値ディジッ
ト0と1とがそれぞれ位相シフト0°と90°とで表わされる。このような機構
は図4に示したのと同一の機構で実現することができる。キー分配は各パルスを
この2つの位相シフトのうちの1でランダムに変調する送信機、各到来パルスの
測定のために2つの位相シフトの1をランダムに選ぶ受信機とを伴って進られる
。送信機と受信機との位相シフトの差が(φt−φr)=0°のときは、単一フォ
トン干渉は一方の出力ポートで完全に建設的であって、これをCとラベルを付け
、また他方の出力ポートでは完全に破壊的でこれをDとラベルを付ける。この場
合にはフォトンは干渉計内の最終カップラで決定論的に振舞い、常にCで検出さ
れる。(フォトンが検出される出力ポートは4状態機構のようにビットを決定せ
ず、したがって、0と1からCとDへのラベル付け機構で変わることはない)。
(φt−φr)=±90°の他の場合には、フォトンは最終カップラで確率論的に
振舞いC又はDで等しく検出されそうである。その結果、平均して受信機の検出
の3/4がCポートで、1/4がDポートで生ずることになる。前のデータは無
視され、後のものがキーを生成するのに用いられる。受信機は公衆チャンネルを
用いてD事象が生じたのはどの時間スロットであったかを送信機に告げる。この
時点で、RとTとは共用キーを所有することになるが、その理由は、受信機はあ
るフォトンが(φt−φr)=±90°のときにDでだけ観測されたことを知り、
したがってφrの知識からφtを計算することができ、さらにビットが分るからで
ある。
もちろんこれは立ち聞きする者が伝送チャンネル上に居らず、理想的な無雑音
の場合に限られる。実際のシステムでは、送信機と受信機とはチャンネル上で連
続的に立ち聞き行為があることを示すほどにエラーレート(誤り率)が高くない
ことをチェックする必要があり、その上で、通常の方法で共有するビットシーケ
ンスについて誤り補正とプライバシィ増幅とを実行することになる[Bennett et
al,J.Crypt.,5, 3(1992)]。これまで記述してきたように、現用の機構は簡単な
2レベル変調機構を必要とするというだけの利点があるが、特定の形式の傍受/
再送信アタックに対しては無防備である。特に、もし、立ち聞きする者が受信機
と同じ装置と位相シフトとを用いてチャンネル上で測定を実行すると、確率論的
な結果すなわち立ち聞きする者のDポートでの検出は受信者と同様に立ち聞きす
る者が送信機によってどのビットが送られたかを明白に計算することができる。
その結果、もし立ち聞きする者がこのような瞬間だけ(4のうちほぼ1)、十分
に平均フォトン数を増してパルスを再送信すると、受信者は誤り率が増えたのか
、
検出レートが減ったのかが分らない。もとのBennett 機構では、この種のアタッ
クは新しい基準パルス技術の使用によって回避していた。しかし、これには単一
フォトン検出器を受信機において、信号フォトン到着後短時間で第2のパルスを
検出する必要があり、これは実際のシステムではこの種の検出器が関係する不感
度時間(一般には約1μs)の故に実用的ではない。
これに代って、我々はこのような立ち聞き戦略を検出するために上述したよう
な一致技術を用いている。ここでは受信機はD事象が記録された時間スロットで
、Cポートでも検出が生じているかどうかを見るチェックを行なう。すでに述べ
たように、受信側での測定はこの場合、ビームスプリッタ測定と等価であり、一
致事象の確率は、立ち聞きする者によってパルスのフォトン数が増大されていれ
ばぐんと大きくなる。4状態機構では、立ち聞きする者は受信機の計数レートを
維
ければならない。その理由は検出されたパルスの4つのうちの1だけが受信機に
送られることによる。
─────────────────────────────────────────────────────
フロントページの続き
(31)優先権主張番号 95301050.1
(32)優先日 1995年2月20日
(33)優先権主張国 欧州特許機構(EP)
(81)指定国 EP(AT,BE,CH,DE,
DK,ES,FR,GB,GR,IE,IT,LU,M
C,NL,PT,SE),AU,CA,JP,KR,N
Z,US