安全性を定量的に保証する量子暗号鍵配布システムを開発
(どんな環境でもあらゆる盗聴から守る暗号技術の実用化に期待)

2007年 1月17日
科学技術振興機構(JST)
日本電気株式会社(NEC)

JST(理事長 沖村憲樹)、日本電気株式会社(代表取締役執行役員社長 矢野薫、以下「NEC」)は、オフィスなどの実使用環境下で量子暗号(注1)通信で得られた伝送データから盗聴者への情報漏洩量を評価する技術を開発するとともに、安全性を定量的に保証できる暗号鍵を生成する量子暗号鍵配布システムを世界で初めて開発しました。
量子暗号は、計算機などの技術が進歩しても解読が不可能であることを保証できる暗号方式として注目されています(図1)。しかし、量子暗号におけるこれまでの安全性証明は、計算機資源に制約がないことや単一光子(注2)を発生する光源であることなど、実際の装置に用いた場合には適用できない理想的な条件を仮定しており、実システムにおける暗号鍵の安全性保証が課題となっていました。
今回、研究チームは、これらの理想条件が整わない場合でも、盗聴者に漏洩する情報量を推定できる理論を構築し、安全性を保証するソフトウェア(誤り訂正(注3)・秘密増幅(注4))を作成しました。さらに、秘密増幅に必要なパラメータを伝送データから自動的に抽出する方法を開発しました。これらの技術を用いて作られたシステムにより、光ファイバー20km伝送後に、盗聴者が得られる情報量が1ビットあたり128分の1 以下(注5)と、事実上盗聴が不可能であることが保証された最終鍵(注6)の生成に成功しました。
本研究成果は、現実の装置において安全性が定量的に保証された暗号鍵を世界で初めて実際に生成したものです。半導体レーザなど通常の光通信用デバイスを用いた実用的なシステムであっても安全な暗号鍵を高速に伝送できることが実証されたため、あらゆる盗聴に対して高度な安全性を有する都市圏光ファイバーネットワークシステムの実現に大きく貢献するものと期待されます。 本研究成果は、戦略的創造研究推進事業 発展研究(ERATO-SORST)「量子情報システムアーキテクチャ」(研究総括:今井浩 東京大学大学院情報理工学系研究科教授)が、量子暗号鍵の安全性理論に基づくソフトウェアと、独立行政法人 情報通信研究機構(理事長 長尾 真、以下「NICT」)が実施した委託研究である「量子暗号技術の研究開発」(2000～2005年度)において受託者の1つであるNECが開発した量子暗号装置をベースに開発したハードウェアによって実現したもので、1月23日に開催される「暗号と情報セキュリティシンポジウム(SCIS2007)」(主催:電子情報通信学会 情報セキュリティ研究専門委員会、場所:ハウステンボス)で発表されます。

<研究の背景>
現在広く用いられている暗号方式は、解読に必要な計算量が大きければ実用的に意味のある時間内には解読できないという理由をもって、安全性を保証しています。このような安全性を計算量的安全性と呼びますが、計算機ハードウェアや解読アルゴリズムの進歩によって計算速度が上がれば、解読されてしまう可能性があります。
計算量的安全性に対して、計算の資源に制限をつけない場合でも解読が不可能なことを、無条件安全といいます。無条件安全性が理論的に証明されれば、いかに技術が進歩しても安全性は失われません。量子暗号は、量子力学で不確定性原理と呼ばれる、単一光子などの極微の世界を支配する自然法則に基づき、単一光子の状態が測定前後で変化することを利用して盗聴を検出する新しい方式です。こうした普遍的な物理法則を利用した量子暗号は、無条件安全性を保証する暗号方式として注目されています。
しかしながら、これまでの量子暗号における安全性は、メモリやプロセッサといった計算機資源に制約がないことや、光源から送信されるパルスに含まれる光子が単一であるなど、量子暗号を行うのに理想的な条件を仮定したうえで保証されているに過ぎませんでした。
誤り訂正や秘密増幅は、乱数列をブロックに分けて、ブロックごとに処理します。計算機資源が無限であれば、無限に長いブロックを用いることができるので、誤り訂正や秘密増幅が効率よく行われることが知られています。しかし、無限に長いブロックを仮定することは理論上は可能であっても、現実にそのようなソフトウェアを組み込むことは不可能で、長さはかなり制限されてしまいます。このような場合に安全性を定量的に保証する理論はこれまで知られていませんでした。
また、現在試作されている量子暗号装置に用いられている半導体レーザ光源では、発生する光子は常に1個とは限らず、2個以上である可能性もあります。このような不完全性を利用した盗聴方法が提案されたため、単一光子を発生する光源の必要性が指摘されてきました。これに対しては光源の強度を変化させ、各々の強度における伝送レートと誤り率から伝送パラメータを推定する手法(デコイ法(注7))を用いると不完全な光源でも安全な暗号鍵が伝送できることが提案されています。しかし、これまでデコイ法で、推定における統計誤差まで取り込んで安全性を保証する理論はありませんでした。そのうえ、量子暗号装置がデコイ法を用いるには、送信するパルスごとに光の強度を変化させる必要があります。そのためには、長時間安定に動作する量子暗号装置が必要でした。
これらの理由により、量子暗号システムでは、実際に利用可能な有限の長さの暗号鍵の安全性について定量的に保証することが強く望まれているにもかかわらず、実現に至っていませんでした。

<本研究の成果>
本研究は、JST戦略的創造研究推進事業 発展研究(ERATO-SORST)「量子情報システムアーキテクチャ」において、量子暗号鍵の安全性理論に基づくソフトウェアと、NICTが実施した委託研究「量子暗号技術の研究開発」(2000～2005年度)において受託者の1つであるNECが開発した量子暗号装置をベースに開発したハードウェアによって実現したもので、成果は以下の通りです。

1)	安全性を満たすために秘密増幅の過程で捨てるべき暗号鍵の情報量を計算する理論の構築: 暗号鍵を使う際、暗号通信に要求される安全性の程度から最終鍵に関して盗聴者が得る情報量の上限値を設定します。この設定値を満たすため秘密増幅で捨てるビット数を決めますが、そのためには漏洩情報量の推定が必要です。光源が不完全である(送信される光パルスに光子がなかったり2個以上含まれたりすることがある)場合に、量子暗号が伝送される際に鍵情報が漏洩する事象を詳細に解析することにより、情報量の上限値を設定するために秘密増幅の過程で捨てるべき暗号鍵の情報量(ビット数)の計算に関する理論を構築しました。この理論では受信器の雑音や伝送する間の損失など現実的に発生すると考えられる影響についても考慮されています。
2)	光パルスにおける光子の頻度を推定する手法の構築: 本研究の理論では、送信される光パルスに光子がない場合、1個含まれる場合、2個以上含まれる場合のそれぞれの頻度が、計算に必要となります。レーザを光源として用いた場合、デコイ法によりレーザの強度を何通りかに変化させて、各々の強度で得られた伝送レートと誤り率から、これらの頻度を推定することができます。本研究では、4通り以上の光強度(0を含む)を用いて従来よりも正確な推定を行う手法を開発しました。このことにより、秘密増幅の過程で捨てるべき暗号鍵のビット数を従来の推定法を使うよりも少なくすることができます。この手法では、従来無視されていた測定値に含まれる統計誤差まで考慮しています。
3)	誤り訂正と秘密増幅を行うソフトウェアの実装: 本研究の理論に基づいて、誤り訂正と秘密増幅を行うソフトウェアを実装しました。高速かつ効率の良い処理が行えるようにアルゴリズムが設計されています。
4)	光パルスに含まれる光子数の割合を推定する量子暗号装置の開発: 強度0を含む4通りの光強度を、62.5MHz(毎秒6250万パルス)で送出されるパルスごとにランダムに変化させ、各々の光強度での伝送レートと誤り率を算出し、これから光子が検出されたときに送信器側でそのパルスに含まれていた光子数の割合を自動的に推定する量子暗号装置ハードウェアを開発しました。この際、パラメータを精度よく推定するためには、量子暗号装置の安定動作が必要不可欠です。このため、NICTが委託した委託研究「量子暗号技術の研究開発」(2000～2005年度)において受託者の1つであるNECが開発した長時間安定動作が可能な量子暗号装置(2005年5月31日プレスリリース「商用光ファイバーを用いて世界最速の量子暗号鍵生成に成功〜実使用環境における実証実験に成功し実用化に大きく前進〜」)をベースとして開発し、活用しました。
5)	漏洩情報量の上限を保証した最終鍵の生成: 開発した量子暗号装置とソフトウェア実装したコンピュータによるシステムを用いて、通常のオフィス環境で量子暗号生成実験を行いました(図2)。実用的な伝送距離である20kmの光ファイバー伝送後、漏洩した情報量の上限が1ビットあたり128分の1であることが保証された最終鍵を毎秒2000ビットで生成することができました(図3)。

<今後の展開>
本量子暗号システムは、現実の装置において安全性が定量的に保証された暗号鍵を生成することに世界で初めて成功しました。今回確立した理論が対象とする盗聴方法の制約はないことから、あらゆる盗聴に対して高度な安全性を有する都市圏光ファイバーネットワークシステムの実現に大きく貢献するものと期待されます。今後、システムの低雑音化を進めることにより、鍵生成の効率の向上が期待できます。また、ソフトウェアで処理している部分を専用の演算装置等によって演算することで、さらに高速な鍵生成が可能になります。このたびの成果を活用し、量子暗号システムの早期の実用化に向けて、研究開発を一層進めてまいります。

<参考図>

送信者が送った光子が伝送路(光ファイバーなど)を通るとき、次の4つの可能性が考えられます。A.盗聴を受けずに受信者に検出される、B.伝送中に消滅する、C.盗聴者が盗む、D.盗聴者が操作した後で受信者に検出される。このうち、Aは安全な鍵生成に用いることができます。B・Cは受信者に届かないため暗号鍵には使われないので、たとえ盗聴者が持っていても意味がありません。Dでは盗聴が検知され、盗聴された可能性のある情報量の上限が見積もられます。受信者は送信者に光子の伝送が終わった後で、何番目のビットで光子が検出したかを連絡し、鍵生成に利用できるビットを決めます。さらに誤り訂正と秘密増幅といった操作を行って最終的に利用する鍵(最終鍵)を得ます。

通常のオフィス環境(本プロジェクトセミナー室)で光ファイバー20kmを伝送しました。装置は、NEC製量子暗号装置(クロック周波数注8 62.5MHz)をパルスごとに光強度を変えて送信できるように改造したものを使用しました。その結果、ビットあたり漏洩情報量1/128ビット以下の最終鍵を毎秒2000ビット生成することに成功しました。

図2に示したシステムで、約15秒を1シーケンスとして40シーケンスにわたって量子暗号鍵生成実験を行いました。各シーケンスでは平均して毎秒約2000ビットで安全性が保証された最終鍵が生成されました。

送信者は情報量Aの鍵を送りましたが、受信者が得る情報量Bは雑音や盗聴行為によって元よりも少なくなっています。盗聴者が得る情報量がm以下であるとき、安全パラメータをsとしてm+sビット分、ランダムにビットを捨てた場合、盗聴者が最終鍵について得る情報量は1/2s以下になります。

以上

<用語解説>

(注1) 量子暗号

量子暗号、特に量子暗号鍵配布は通信回線を用いて暗号鍵(乱数列)を他人に知られることなく共有する技術で、その安全性は極微の世界を支配する基本法則である量子力学によって保証されています。
乱数の1ビットは1光子の量子状態として送られます。光子が1ビットあたり1つしかないため、盗聴者は情報を得るためにはその光子に何らかの操作を行わなければならなりません。量子力学の原理によりこのような操作は光子の状態を変えるため盗聴は受信誤りをもたらします。受信者は受信誤りが起きる確率(誤り率)の増加によって盗聴者の存在が検出することができ、また誤り率の大きさから盗聴されている可能性のある情報量の上限を推定できます(図1)。

(注2) 光子

現代物理学では光は波動と粒子の2面性を持つ存在と考えられています。光の粒子性のために、光を送るときの最小単位があり、これを光子といいます。光子としての性質は送る光を弱くしていったときに顕著に現れ、光子が1つしかない状態では量子力学的な性質が支配的になります。あらかじめ光子の状態について知識がない限り1回の測定で状態を完全に知ることはできません。2回以上測定するために光子の複製を作ろうとしても、元の状態と同じものは作れないことが証明されています。

(注3) 誤り訂正

伝送中に混入する雑音、盗聴、受信器の雑音などの理由によって送信者が送ったビット値と受信者が得たビット値が異なることがあります。誤り訂正によって送信者と受信者が持つビットの値を一致させます。誤り訂正はある長さのビット列のブロックを用いて、ブロックの中の誤りの位置を特定し訂正します。誤りの位置を特定するため、送信者と受信者の間で通信を行い、ブロック内の情報の一部を交換します。交換した情報は以後使えなくなるので誤り訂正後のビット数は元のビット数より小さくなります。残るビット数はブロックが大きいほど多くなり、無限に大きいブロックを使ったとき得られる値をシャノン限界といい、これに近づくほど良い誤り訂正の方法だといえます。現実には送受信者間の通信量や訂正に必要な計算時間も考慮して最適な誤り訂正方法が選ばれます。

(注4) 秘密増幅 (図4)

暗号鍵の候補となる乱数列があるとき、この乱数列について盗聴者に漏洩している情報量がmビットと見積もられているとします。このとき、乱数列からランダムにm+sビット捨てることにより、残った乱数列(最終鍵)について盗聴者が持つ情報量は1/2sとなることが知られています。この操作を秘密増幅といいます。秘密増幅を行うには始めの乱数列について盗聴者に漏洩している情報量を知る必要があります。従来の暗号ではこの漏洩情報量mを見積もるのは不可能でしたが、量子暗号では見積もりが行えることが理論的に示されています。しかし、実際の量子暗号装置において、漏洩情報量mを正確に計算する方法はこれまでなく、今回初めて秘密増幅で捨てるビット数を決めることができるようになりました。今回の実験ではs=7と設定し、秘密増幅を行いました。このため、最終鍵について盗聴者が持つ情報量は128分の1になります。

(注5) ビットあたり128分の1以下の情報量

盗聴者が得られる1ビットあたりの情報量から、盗聴者が正しい鍵を推定できる確率が計算できます。今回のs=7という設定ではこの確率は約55%で、全く情報量がない場合の50%よりやや大きくなっています。これでも例えば128ビットの暗号文(パスワードなど)を読み取ろうとするとき、鍵を盗聴できる確率は約10-33と非常に小さく事実上盗聴は不可能です。しかも、どのような方法を使っても、どのような技術的な進歩があっても盗聴は不可能です。また、鍵の生成レートを低速にすれば、さらに盗聴の確率を小さくすることも可能です。

(注6) 最終鍵

秘密増幅によって盗聴者が持つ情報が十分消去された乱数列を最終鍵とよび、最終鍵を使ってメッセージの暗号化と復号化を行います。

(注7) デコイ法

本研究で得られた理論では盗聴者への情報漏洩量を推定するために、盗聴者の得られる情報量を、送信される光パルスに光子が0個の場合、1個含まれる場合、2個以上含まれる場合に分けて計算します。受信者が検出した鍵について情報漏洩量は、各々の場合に得られる情報量に、鍵が光子0個、1個、2個以上のどの場合に得られたかという割合を掛けることで得られます。これらの割合をここでは伝送パラメータと呼んでいます。つまり、情報漏洩量を知るには伝送パラメータの推定が必要で、この推定の精度が悪いと安全性を確保するために情報量を大きめにとることが必要になって、捨てなければならない鍵のビット数を増やさなければならなくなるため、最終鍵の生成レートが小さくなってしまいます。
伝送パラメータは盗聴者の戦略によって決まり、盗聴者は鍵が光子0個、1個、2個以上のそれぞれの場合について、光子を受信者に送る割合と盗聴する割合(受信者に誤りを引き起こします)を自分が最も有利なように決定すると考えます。
デコイ法は伝送パラメータを推定するために提案された方法で、何種類かの光の強度からランダムに選んだ強度で送信します。これによって含まれる光子数の割合の違う送信光パルスが得られます。各々の強度で光子が検出された確率(伝送レート)と誤り率を求めると、盗聴者の戦略と関連付けられることができ、伝送パラメータの推定に当たっての拘束条件が得られます。光の強度の種類が多いほど拘束条件が多くなって推定精度が上がるのですが、装置の制御や計算時間から数には制限されます。今回の研究成果で4種類(光を送らない+3種類の強度)を用いると十分良い推定ができることが見いだされました。

(注8) クロック周波数

量子暗号装置における信号パルスの間隔の基準となるものがクロックで、クロック周波数の逆数が時間間隔になります。この装置では光パルスが毎秒6250万回、つまり16ns(1nsは10億分の1秒)間隔で送られます。

 

<発表課題名>
「デコイ法による現実的な設定の下での安全な量子鍵配送実験」
発表日:平成19年1月23日(火)
会場:ハウステンボス・ユトレヒト(長崎県佐世保市 ハウステンボス町1-1)

 

<研究領域等>
戦略的創造研究推進事業 発展研究(ERATO-SORST)
研究課題:「量子情報システムアーキテクチャ」
研究総括:今井 浩 東京大学大学院情報理工学系研究科教授
研究期間:平成17年度～平成20年度

NEC 研究企画部 企画戦略グループ
http://www.nec.co.jp/contact/