Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
量子暗号通信の研究動向
-ファイバ伝送系-
大阪大学
井上 恭
1
PIF/PN講演会(2019.2.26)
2
目次
1.イントロダクション(概況)
2.量子暗号(量子鍵配送:QKD)システムの構成/動作原理
BB84; 連続量QKD; 差動位相シフトQKD
3.システム性能
4.実装技術
5.実用化について
3
自己紹介
1984年:電電公社(NTT)入社、伝送システム研究所に配属
光通信(特にWDM関連)の研究に従事
1999年:NTT物性科学基礎研究所に異動
当初は光パラメトリック増幅の研究
途中で量子通信に転向
2005年:大阪大学工学研究科着任、現在に至る
当初は量子暗号の研究
現在は光通信と両面
量子暗号(量子鍵配送:Quantum Key Distribution)
光の量子力学的性質を利用して、
絶対に安全な 暗号通信用の秘密鍵(ランダムなビット列)を供給するシステム
◆秘密鍵のビット長が被暗号データのビット長と同じ、かつ、
秘密鍵は一回限りの使い捨て、
である暗号通信(one time pad)は絶対に安全であることが数学的に証明済。
◆ 「絶対に」:物理法則に反しないいかなる盗聴に対しても
4
アリス ボブ
QKDシステム
量子暗号研究の履歴書
1984年: Bennett & Brassard によって提案(BB84)
しばらくは目立たず
1994年:ショアの量子アルゴリズム登場
量子コンピュータによって公開鍵暗号が破られることが示される。
これを契機にQKD研究が活発化。
2000年頃:安全性に関する理論研究が進展
2000年代:室内QKD実験が進展
ベンチャー企業(MagQ, idQuant)による実機販売もちらほら
商用システムの話もちらほら
2010年頃:大規模コンソーシアムによりフィールド実験
現在に至るまで、各種フィールド実験の報告あり(特に中国)。
5
6
7
8Courtesy of 田島氏(NEC)
9Courtesy of 田島氏(NEC)
10
1.イントロダクション(概況)
2.量子暗号(量子鍵配送:QKD)システムの構成/動作原理
BB84; 連続量QKD; 差動位相シフトQKD
3.システム性能
4.実装技術
5.実用化について
量子鍵配送には大別して3タイプあり
単一光子ベースQKD(BB84)
連続変数QKD
差動位相シフトQKD
単一光子を送受信
QKDの原型であり保守本流
微弱コヒーレント光を送信/コヒーレント検波
微弱コヒーレント光を送信/単一光子検出
註:Y00(またはa)方式もあるが、タネ鍵を用いるため、ここでは除外11
12
位相エンコードBB84
qa = {0, p}{-p/2, p/2}
アリスボブ
位相変調
位相変調
-p/2 0 p/2 p 位相差 qa - qb
光子検出
qa
qb = {0, p/2}
基本構成
D1
D0
ボブの光子検出特性
光子検出確率
D0
D1
-p/2 D1/D2 D1
0 D0 D1/D2
p/2 D1/D2 D0
p D1 D1/D2
qa
qb 0 p/2
(I/Qを選択受信)(QPSK)
13
秘密鍵生成手順
(1) 光子送受信をまとまった回数行う。
(2) ボブは光子検出した時刻をアリスに通知。
(3) 光子検出スロットについて、アリス/ボブは下記の情報を互いに通知。
アリス:qaが{0, p}{-p/2, p/2}のどちらの組であるか(I変調かQ変調か)
ボブ:qbの値(I測定かQ測定か)
(4) [qb = 0, qa = {0, p}] または [qb = p/2, qa = {-p/2, p/2},] の場合、下記にてビット生成
D0 ⇒ビット「0」、D1⇒ビット「1」
(5) 誤り訂正/秘匿性増強(データ圧縮)を行い、秘密鍵生成。
実装例
アリス
ボブ0
位相変調レーザ 強度変調
減衰
p/2
微弱レーザ光(e.g., 0.1光子/パルス)を疑似単一光子として使用
14
BB84の安全性
アリス ボブ
イブ
ビームスプリット攻撃
盗聴者が光子を抜き出すと、ボブには何も届かない → 鍵ビットにはならず盗聴は無意味(疑似単一光子の場合は,イブ/ボブが共に光子検出する確率は:小 → 漏洩分は除外)
なりすまし攻撃
アリス
イブ
測定 ボブ送信
1回の測定で{0, p}{-p/2, p/2}は正しく識別できない → 誤信号を再送、生成鍵に誤り発生→ テストビット照合より漏えい量を検知 → 盗聴量分を鍵圧縮(秘匿性増強)
抜き出し
15
その他一般
アリス
イブ
相互作用 ボブ
量子力学「複製不可定理(元の状態を変えずに全く同じコピーを生成することはできない)」
プローブ
完全な情報を得ることはできない。ボブの生成ビットに誤り発生 → テストビット照合により盗聴発見
16
連続量量子鍵配送(CV-QKD)
ボブ
基本構成
アリス
レーザ IQ変調
1光子レベル以下のパワーで送信
局発光
{0, p/2}Re[E]
Im[E]
I/Q成分を選択してコヒーレント受信
ボブの測定結果
pin-PD
受信信号レベル0
頻度
ビット「1」ビット「0」
閾値1閾値0
減衰
変調+
量子雑音
(変調による拡がりと量子雑音による拡がりは同程度)
ガウス状
秘密鍵生成手順
(1) ボブは受信信号が{閾値1以上ならビット「1」、閾値0以下ならビット「0」}を生成。
(2) ボブは{ビット生成したスロット & I/Qどちらで測定したか}をアリスに通知。
(3) アリスは当該スロットの変調信号が
{ゼロ以上ならビット「1」、ゼロ以下ならビット「0」}を生成。
(4) ボブの鍵ビットに合わせて、アリスの鍵ビットを誤り訂正
(5) 秘匿性増強(データ圧縮)を行い、秘密鍵生成。
実装例
ボブ
アリス
レーザ 変調
PBS
参照光
PBS
{0, p/2}
偏波回転
微弱信号光に対する位相同期は困難なので、局発光を偏波(or 時間)多重伝送17
18
CV-QKDの安全性
(アリス-ボブ相互情報量 IAB ) > (イブ-ボブ相互情報量 IEB )となっていることが安全性の根拠。
秘匿性増強によって、鍵ビット数を (IAB- IEB)倍に圧縮すれば、残った鍵は安全。
IAB > IEB である仕掛けは以下。
ボブはI/Qを選択受信
イブには選択権がないので、I/Q両方測定する必要あり。
すると、量子雑音限界の受信SNは3dB劣化。
イブ
局発光
信号光
90°ハイブリッドI
Q
19
ボブは閾値測定してビット生成
・ イブがビームスプリット攻撃をする場合:
ボブと同様に閾値測定しても、分岐光の量子雑音は無相関なので、
ボブと同じく閾値を超えるとは限らない → ボブと同じビットは得られない
イブ 量子雑音は無相関
信号レベル
信号レベル
頻度
頻度
・ イブがなりすまし攻撃をする場合:
測定値は量子雑音を含んでおり、それを光信号に変換すると、
さらに量子雑音が重畳されて、ボブのビット誤り増加 → 盗聴発覚
送信測定
イブ
(雑音増加)
20
差動位相シフト量子鍵配送(DPS-QKD)基本構成
D1
D0
アリス減衰
qa ={0, p}連続パルス列
ボブ
位相変調強度変調レーザ
… …
ボブの測定結果
< 1光子/パルス(e.g., 0.1)
光子検出
Dq ≡ qa(i+1) - qa(i) = 0 ⇒ D0で光子検出
Dq ≡ qa(i+1) - qa(i) = p ⇒ D1で光子検出
但し、 1光子/パルス未満なので、光子検出するのは稀かつランダム。
(1) 送受信後、ボブはアリスに光子検出時刻を通知。
(2) アリス/ボブは、光子検出スロットにつき、以下にてビット生成
アリス: Dq = 0 ⇒ビット「0」、 Dq = p⇒ビット「1」
ボブ:D0 ⇒ビット「0」、D1 ⇒ビット「1」
(3) 誤り訂正/秘匿性増強して秘密鍵生成。
秘密鍵生成手順
21
DPS-QKDの安全性
ビームスプリット攻撃
信号パルス列は1光子/パルス未満なので、
一部の位相差しか測定できず、また、どれが測定できるは不確定。
アリス ボブ
… …イブ
測定… …
ボブと同じスロットの位相差を測定するとは限らない
22
なりすまし攻撃
測定
イブ
アリス
一部の位相差しか測定できない
測定できたパルスのみ送信
ボブ
送信
(長経路)
(短経路)
D1
D0
ランダムにD0/D1で光子検出
ビット誤り→ 盗聴発覚
微弱コヒーレントパルス列は観測によって状態が変わることを利用。
単一光子のヤングのダブルスリット干渉において、
どちらのスリットを通ったか観測すると干渉縞が消えるのと類似。
要するに、
23
1.イントロダクション(概況)
2.量子暗号(量子鍵配送:QKD)システムの構成/動作原理
BB84;連続量QKD;差動位相シフトQKD
3.システム性能
4.実装技術
5.実用化について
24
QKDのシステム性能
性能指数は秘密鍵ビット生成レートと伝送距離
鍵ビットレートを決める要因は、 伝搬損失; ビット誤り率; 盗聴量
伝搬損失
QKD信号光は1光子/パルス以下であることが必須。なので、
・送信光レベルを上げることは不可
・光増幅は不可
ボブの受信光子数は伝送距離とともに減少 ⇒ 鍵ビットレート減少
伝送距離
鍵ビットレート
(対数)
25
ビット誤り率
QKD伝送では、装置の不完全性(e.g., 受信器雑音)により、ビット誤り発生。
ビット生成後に誤り訂正
例えば、ビット列をブロックに区切り、各ブロックのパリティをアリス/ボブで交換。
誤り訂正情報は一般通信経路(古典チャネル)で送受信
誤り訂正情報が盗聴される可能性あり
誤り訂正に用いたビット数分だけ、生成ビット列を圧縮(秘匿性増強)。
つまり、
‥1011001110101110100011101100‥1 0 0 1
ビット誤り率:大 ⇒ 誤り訂正情報量:大 ⇒ 鍵ビット数:小
26
盗聴量
QKD伝送では、一部盗聴は不可避(e.g., ビームスプリット攻撃)。
アリス
レーザ
減衰
微弱レーザ光を送信
ボブ
イブ
測定
変調
微弱レーザ光には、ポワソン分布に従う確率で、1パルスあたり2光子以上存在する。
イブ/ボブともに光子検出する場合あり
盗聴成功
盗聴された分だけ、生成ビット列を圧縮。つまり、
盗聴量:大 ⇒ 鍵ビット数:小
27
盗聴量は鍵生成の仕方(プロトコル)に依る。
よって、いかに盗聴量が少ないプロトコルとするかが研究課題。
伝送距離鍵ビットレー(対数)
デコイBB84(平均光子数を変調して光子数分岐攻撃を防御)
オリジナルBB84
上記要因により伝送距離制限
28
1.イントロダクション(概況)
2.量子暗号(量子鍵配送:QKD)システムの構成/動作原理
BB84;連続量QKD;差動位相シフトQKD
3.システム性能
4.デバイス技術
QKDシステムで使用するデバイスは概ね光通信用と同じ
唯一の違いは光検出器(光子検出 or 超微弱光コヒーレント検波)
5.実用化について
29
光子検出器
APDに高電圧(>ブレークダウン電圧)を印加するのが一般的
1光子により励起された電子を巨視的数まで増倍
ただし印加しっぱなしだと壊れるので、ゲートモード動作
性能指数は、
量子効率:1光子入力に対しアバランシェ電流が発生する確率 ⇒ ビット生成率
ダークカウント:光子未入力時に起こるカウント ⇒ ビット誤り
アフターパルス:正規のアバランシェに続けて起こる誤カウント ⇒ ビット誤り
時間
印加電圧
ブレークダウン電圧
30
量子効率
(電子励起確率by1光子)×(巨視的数までアバランシェ増幅される確率)
高印加電圧ほどよい
但し、誤カウントとのトレードオフ
ダークカウント
熱振動により電子が自発的に励起 → アバランシェ増倍
なので、APDを冷却して使用(マイナス数十度、ペルチェ冷却の限界近辺)
31
アフターパルス-
+ --
+
++
-
電子が不純物準位に捕獲
光子入射によるアバランシェ増倍
-
熱的に励起
次の高電圧印加時にアバランシェ増倍
誤カウント
時間
印加電圧
カウント確率
捕獲電子は時間とともに価電子帯に緩和
正規
a,p.a,p.
アフターパルス確率は時間とともに減少
ゲートパルス間隔制限⇒ゲート周波数制限⇒ 鍵ビットレート制限
32
量子効率:5 - 25 %
ダークカウント率:1 - 5 kcps
ゲート周波数:< 100 MHz
32
量子効率
量子効率:12 - 28 %
ダークカウント率:1 - 1000 cps
デッドタイム:2 - 100 ms ダークカウント率
Free running type
33
34
高性能単一光子検出器として超伝導素子検出器もあり
超伝導素子に光子入射 → 光子吸収 → 発熱 → 超伝導状態変化 → 出力信号
35
量子効率:80 %
暗電流率:< 300 Hz
デッドタイム:< 10 ns
ゲート動作不要
液体ヘリウム温度で動作
36
コヒーレント検波検出 for CV-QKD
局発光
pin-PD
受信信号光
CV-QKDはコヒーレント検波なので、特別なデバイスは不要
但し、量子雑音限界(に近い)の受信が必要
超低雑音な電気アンプが必要
動作速度制限
鍵ビット率制限
37
乱数発生器
真に安全なためには真性乱数発生器が必要
アリス
ボブ位相変調光源
減衰{0, p}{-p/2, p/2}
乱数
物理現象を利用した乱数発生器が様々に開発
単一光子のビームスプリッタ透過/反射
光カオス
自然放出光雑音
回路雑音(ショット雑音、熱雑音)
LD
ミラー
BS
38
時刻同期
アリス ボブ
ボブが光子検出するのは稀かつランダム ⇒ アリス/ボブ間の時刻同期が必要
QKD信号とクロック信号をWDM伝送
CLKパルス
WDM WDM
QKD受信
CLK受信
その他
変調レベル安定化、誤り訂正プロトコル、各種データ処理、等々
Courtesy of 田島氏(NEC)39
40Courtesy of 田島氏(NEC)
41
1.イントロダクション(概況)
2.量子暗号(量子鍵配送:QKD)システムの構成/動作原理
BB84;連続量QKD;差動位相シフトQKD
3.システム性能
4.実装技術
5.実用化について
42
実用化への課題
すぐにでも実用化されそう。が、買い手がいないのが現状。
(ここからは完全な私見です)
◆安全性を保障しているのは伝送路のみ
◆性能(鍵ビットレート、伝送距離)が力不足
◆高価
◆専用ファイバが必要(通常信号光とのWDM伝送不可)
◇ main playerは物理学者(量子力学的現象を何かに使えたらいいな)
◇絶対安全性がなにより大事(現実性は問わない)
◇コスト意識 or 費用対効果という発想が無い
(根っこにあるのは)
43
量子力学の不思議な現象(重ね合わせ状態)
光子のダブルスリット干渉(シュレディンガーの猫)
これをシステム応用できないかしら
減衰
(どっちを通るか観測)
44
QKDが想定する盗聴法
ビームスプリット攻撃
アリス ボブ
量子メモリイブ
測定
BS
盗聴者は、物理法則に反しない限り、あらゆる手段を用いることができる。
それでも安全なのがQKD(絶対安全性 or 無条件安全性)。
無損失伝送路
ビームスプリットによるボブの受信光パワー減少を無損失伝送路で補償
(イブはボブの光子検出器の量子効率を100%に変更できる、とする場合もある)
45
光子数分岐攻撃
アリス ボブ
量子メモリ
イブ
測定
光子抽出
無損失
①量子非破壊測定により光子数を計測
②光子数≧ 2の場合、1光子だけ抜き出し量子メモリへ
光子数 = 1 の場合はブロック
③残りの光子はボブへ無損失伝送
④ボブの受信条件を盗聴後、同じ条件で保存していた光子を測定。
光子数計測
この盗聴法の防御策として「デコイBB84」が考え出され(p. 27)、標準的に用いられている。
46
量子もつれ攻撃
アリス ボブ
イブ相互作用
(ユニタリー変換)
プローブ
①伝送光子とプローブ状態を相互作用(もつれ)させて保存
やり方は問わない。ユニタリー変換過程であれば何でも可。
②ボブの受信条件を盗聴後、それに基づきプローブ状態を測定。
47
通常伝送光との波長多重
実システム導入のためには、波長多重で既設の光伝送系に重ねたい。
QKD
Tx
通常信号光
..filter
..
QKD
Rx
filter
C-chs.
....Q-ch.
ll
がしかし、
通常信号光からのラマン散乱光が障害。
QKD光を1.3mmとする手もあるが、QKD距離縮小
48
量子中継伝送
アリス ボブ
中継ノード
量子もつれ光源
量子中継により伝送距離拡大の試みあり
アリス ボブ
中継ノード
Bell測定
伝送距離鍵ビットレー(対数)
無中継
(同期をとるのが大変)
但し、
鍵生成レートは下がる一方。
49
まとめ
ただし使い道が課題
(もともとが極限追求, i.e.,現実は考えない,
理学部的研究)
量子暗号技術はほぼ実用化レベルの域