量子暗号通信の研究動向

-ファイバ伝送系-

大阪大学

井上 恭

1

PIF/PN講演会（2019.2.26）

2

目次

１．イントロダクション（概況）

２．量子暗号（量子鍵配送：QKD）システムの構成/動作原理

BB84； 連続量QKD； 差動位相シフトQKD

３．システム性能

４．実装技術

５．実用化について

3

自己紹介

1984年：電電公社（NTT）入社、伝送システム研究所に配属

光通信（特にWDM関連）の研究に従事

1999年：NTT物性科学基礎研究所に異動

当初は光パラメトリック増幅の研究

途中で量子通信に転向

2005年：大阪大学工学研究科着任、現在に至る

当初は量子暗号の研究

現在は光通信と両面

量子暗号（量子鍵配送：Quantum Key Distribution）

光の量子力学的性質を利用して、

絶対に安全な 暗号通信用の秘密鍵（ランダムなビット列）を供給するシステム

◆秘密鍵のビット長が被暗号データのビット長と同じ、かつ、

秘密鍵は一回限りの使い捨て、

である暗号通信（one time pad)は絶対に安全であることが数学的に証明済。

◆ 「絶対に」：物理法則に反しないいかなる盗聴に対しても

4

アリス ボブ

QKDシステム

量子暗号研究の履歴書

1984年： Bennett & Brassard によって提案（BB84）

しばらくは目立たず

1994年：ショアの量子アルゴリズム登場

量子コンピュータによって公開鍵暗号が破られることが示される。

これを契機にQKD研究が活発化。

2000年頃：安全性に関する理論研究が進展

2000年代：室内ＱＫＤ実験が進展

ベンチャー企業（MagQ, idQuant）による実機販売もちらほら

商用システムの話もちらほら

2010年頃：大規模コンソーシアムによりフィールド実験

現在に至るまで、各種フィールド実験の報告あり（特に中国）。

5

6

7

8Courtesy of 田島氏（NEC）

9Courtesy of 田島氏（NEC）

10

１．イントロダクション（概況）

２．量子暗号（量子鍵配送：QKD）システムの構成/動作原理

BB84； 連続量QKD； 差動位相シフトQKD

３．システム性能

４．実装技術

５．実用化について

量子鍵配送には大別して３タイプあり

単一光子ベースQKD（BB84)

連続変数QKD

差動位相シフトQKD

単一光子を送受信

QKDの原型であり保守本流

微弱コヒーレント光を送信/コヒーレント検波

微弱コヒーレント光を送信/単一光子検出

註：Y00（またはa）方式もあるが、タネ鍵を用いるため、ここでは除外11

12

位相エンコードBB84

qa = {0, p}{-p/2, p/2}

アリスボブ

位相変調

位相変調

-p/2 0 p/2 p 位相差 qa - qb

光子検出

qa

qb = {0, p/2}

基本構成

D1

D0

ボブの光子検出特性

光子検出確率

D0

D1

-p/2 D1/D2 D1

0 D0 D1/D2

p/2 D1/D2 D0

p D1 D1/D2

qa

qb 0 p/2

（I/Qを選択受信）（QPSK）

13

秘密鍵生成手順

(1) 光子送受信をまとまった回数行う。

(2) ボブは光子検出した時刻をアリスに通知。

(3) 光子検出スロットについて、アリス/ボブは下記の情報を互いに通知。

アリス：qaが{0, p}{-p/2, p/2}のどちらの組であるか（I変調かQ変調か）

ボブ：qbの値（I測定かQ測定か）

(4) [qb = 0, qa = {0, p}] または [qb = p/2, qa = {-p/2, p/2},] の場合、下記にてビット生成

D0 ⇒ビット「０」、D1⇒ビット「１」

(5) 誤り訂正/秘匿性増強（データ圧縮）を行い、秘密鍵生成。

実装例

アリス

ボブ0

位相変調レーザ 強度変調

減衰

p/2

微弱レーザ光（e.g., 0.1光子/パルス）を疑似単一光子として使用

14

BB84の安全性

アリス ボブ

イブ

ビームスプリット攻撃

盗聴者が光子を抜き出すと、ボブには何も届かない → 鍵ビットにはならず盗聴は無意味（疑似単一光子の場合は，イブ/ボブが共に光子検出する確率は：小 → 漏洩分は除外）

なりすまし攻撃

アリス

イブ

測定 ボブ送信

１回の測定で{0, p}{-p/2, p/2}は正しく識別できない → 誤信号を再送、生成鍵に誤り発生→ テストビット照合より漏えい量を検知 → 盗聴量分を鍵圧縮（秘匿性増強）

抜き出し

15

その他一般

アリス

イブ

相互作用 ボブ

量子力学「複製不可定理（元の状態を変えずに全く同じコピーを生成することはできない）」

プローブ

完全な情報を得ることはできない。ボブの生成ビットに誤り発生 → テストビット照合により盗聴発見

16

連続量量子鍵配送（ＣＶ－ＱＫＤ）

ボブ

基本構成

アリス

レーザ IQ変調

１光子レベル以下のパワーで送信

局発光

{0, p/2}Re[E]

Im[E]

I/Q成分を選択してコヒーレント受信

ボブの測定結果

pin-PD

受信信号レベル0

頻度

ビット「１」ビット「0」

閾値１閾値0

減衰

変調+

量子雑音

（変調による拡がりと量子雑音による拡がりは同程度）

ガウス状

秘密鍵生成手順

(1) ボブは受信信号が｛閾値１以上ならビット「１」、閾値０以下ならビット「０」｝を生成。

(2) ボブは｛ビット生成したスロット ＆ I/Qどちらで測定したか｝をアリスに通知。

(3) アリスは当該スロットの変調信号が

｛ゼロ以上ならビット「１」、ゼロ以下ならビット「０」}を生成。

(4) ボブの鍵ビットに合わせて、アリスの鍵ビットを誤り訂正

(5) 秘匿性増強（データ圧縮）を行い、秘密鍵生成。

実装例

ボブ

アリス

レーザ 変調

PBS

参照光

PBS

{0, p/2}

偏波回転

微弱信号光に対する位相同期は困難なので、局発光を偏波（or 時間）多重伝送17

18

CV-QKDの安全性

（アリス-ボブ相互情報量 IAB ） > （イブ-ボブ相互情報量 IEB ）となっていることが安全性の根拠。

秘匿性増強によって、鍵ビット数を (IAB－ IEB）倍に圧縮すれば、残った鍵は安全。

IAB > IEB である仕掛けは以下。

ボブはI/Qを選択受信

イブには選択権がないので、I/Q両方測定する必要あり。

すると、量子雑音限界の受信SNは3dB劣化。

イブ

局発光

信号光

90°ハイブリッドI

Q

19

ボブは閾値測定してビット生成

・ イブがビームスプリット攻撃をする場合：

ボブと同様に閾値測定しても、分岐光の量子雑音は無相関なので、

ボブと同じく閾値を超えるとは限らない → ボブと同じビットは得られない

イブ 量子雑音は無相関

信号レベル

信号レベル

頻度

頻度

・ イブがなりすまし攻撃をする場合：

測定値は量子雑音を含んでおり、それを光信号に変換すると、

さらに量子雑音が重畳されて、ボブのビット誤り増加 → 盗聴発覚

送信測定

イブ

（雑音増加）

20

差動位相シフト量子鍵配送（DPS－ＱＫＤ）基本構成

D1

D0

アリス減衰

qa ={0, p}連続パルス列

ボブ

位相変調強度変調レーザ

… …

ボブの測定結果

< １光子/パルス（e.g., 0.1）

光子検出

Dq ≡ qa(i+1) － qa(i) = 0 ⇒ D0で光子検出

Dq ≡ qa(i+1) － qa(i) = p ⇒ D1で光子検出

但し、 １光子/パルス未満なので、光子検出するのは稀かつランダム。

(1) 送受信後、ボブはアリスに光子検出時刻を通知。

(2) アリス/ボブは、光子検出スロットにつき、以下にてビット生成

アリス： Dq = 0 ⇒ビット「０」、 Dq = p⇒ビット「1」

ボブ：D0 ⇒ビット「０」、D1 ⇒ビット「１」

(3) 誤り訂正/秘匿性増強して秘密鍵生成。

秘密鍵生成手順

21

DPS-QKDの安全性

ビームスプリット攻撃

信号パルス列は1光子/パルス未満なので、

一部の位相差しか測定できず、また、どれが測定できるは不確定。

アリス ボブ

… …イブ

測定… …

ボブと同じスロットの位相差を測定するとは限らない

22

なりすまし攻撃

測定

イブ

アリス

一部の位相差しか測定できない

測定できたパルスのみ送信

ボブ

送信

（長経路）

（短経路）

D1

D0

ランダムにD0/D1で光子検出

ビット誤り→ 盗聴発覚

微弱コヒーレントパルス列は観測によって状態が変わることを利用。

単一光子のヤングのダブルスリット干渉において、

どちらのスリットを通ったか観測すると干渉縞が消えるのと類似。

要するに、

23

１．イントロダクション（概況）

２．量子暗号（量子鍵配送：QKD）システムの構成/動作原理

BB84；連続量QKD；差動位相シフトQKD

３．システム性能

４．実装技術

５．実用化について

24

QKDのシステム性能

性能指数は秘密鍵ビット生成レートと伝送距離

鍵ビットレートを決める要因は、 伝搬損失； ビット誤り率； 盗聴量

伝搬損失

QKD信号光は１光子/パルス以下であることが必須。なので、

・送信光レベルを上げることは不可

・光増幅は不可

ボブの受信光子数は伝送距離とともに減少 ⇒ 鍵ビットレート減少

伝送距離

鍵ビットレート

（対数）

25

ビット誤り率

QKD伝送では、装置の不完全性（e.g., 受信器雑音）により、ビット誤り発生。

ビット生成後に誤り訂正

例えば、ビット列をブロックに区切り、各ブロックのパリティをアリス/ボブで交換。

誤り訂正情報は一般通信経路（古典チャネル）で送受信

誤り訂正情報が盗聴される可能性あり

誤り訂正に用いたビット数分だけ、生成ビット列を圧縮（秘匿性増強）。

つまり、

‥1011001110101110100011101100‥1 0 0 1

ビット誤り率：大 ⇒ 誤り訂正情報量：大 ⇒ 鍵ビット数：小

26

盗聴量

QKD伝送では、一部盗聴は不可避（e.g., ビームスプリット攻撃）。

アリス

レーザ

減衰

微弱レーザ光を送信

ボブ

イブ

測定

変調

微弱レーザ光には、ポワソン分布に従う確率で、１パルスあたり２光子以上存在する。

イブ/ボブともに光子検出する場合あり

盗聴成功

盗聴された分だけ、生成ビット列を圧縮。つまり、

盗聴量：大 ⇒ 鍵ビット数：小

27

盗聴量は鍵生成の仕方（プロトコル）に依る。

よって、いかに盗聴量が少ないプロトコルとするかが研究課題。

伝送距離鍵ビットレー（対数）

デコイBB84（平均光子数を変調して光子数分岐攻撃を防御）

オリジナルBB84

上記要因により伝送距離制限

28

１．イントロダクション（概況）

２．量子暗号（量子鍵配送：QKD）システムの構成/動作原理

BB84；連続量QKD；差動位相シフトQKD

３．システム性能

４．デバイス技術

QKDシステムで使用するデバイスは概ね光通信用と同じ

唯一の違いは光検出器（光子検出 or 超微弱光コヒーレント検波）

５．実用化について

29

光子検出器

APDに高電圧（＞ブレークダウン電圧）を印加するのが一般的

1光子により励起された電子を巨視的数まで増倍

ただし印加しっぱなしだと壊れるので、ゲートモード動作

性能指数は、

量子効率：１光子入力に対しアバランシェ電流が発生する確率 ⇒ ビット生成率

ダークカウント：光子未入力時に起こるカウント ⇒ ビット誤り

アフターパルス：正規のアバランシェに続けて起こる誤カウント ⇒ ビット誤り

時間

印加電圧

ブレークダウン電圧

30

量子効率

（電子励起確率by１光子）×（巨視的数までアバランシェ増幅される確率）

高印加電圧ほどよい

但し、誤カウントとのトレードオフ

ダークカウント

熱振動により電子が自発的に励起 → アバランシェ増倍

なので、APDを冷却して使用（マイナス数十度、ペルチェ冷却の限界近辺）

31

アフターパルス－

＋ －－

＋

＋＋

－

電子が不純物準位に捕獲

光子入射によるアバランシェ増倍

－

熱的に励起

次の高電圧印加時にアバランシェ増倍

誤カウント

時間

印加電圧

カウント確率

捕獲電子は時間とともに価電子帯に緩和

正規

a,p.a,p.

アフターパルス確率は時間とともに減少

ゲートパルス間隔制限⇒ゲート周波数制限⇒ 鍵ビットレート制限

32

量子効率：5 - 25 %

ダークカウント率：1 - 5 kcps

ゲート周波数：< 100 MHz

32

量子効率

量子効率：12 - 28 %

ダークカウント率：1 - 1000 cps

デッドタイム：2 - 100 ms ダークカウント率

Free running type

33

34

高性能単一光子検出器として超伝導素子検出器もあり

超伝導素子に光子入射 → 光子吸収 → 発熱 → 超伝導状態変化 → 出力信号

35

量子効率：80 %

暗電流率：< 300 Hz

デッドタイム：< 10 ns

ゲート動作不要

液体ヘリウム温度で動作

36

コヒーレント検波検出 for CV-QKD

局発光

pin-PD

受信信号光

CV-QKDはコヒーレント検波なので、特別なデバイスは不要

但し、量子雑音限界（に近い）の受信が必要

超低雑音な電気アンプが必要

動作速度制限

鍵ビット率制限

37

乱数発生器

真に安全なためには真性乱数発生器が必要

アリス

ボブ位相変調光源

減衰{0, p}{-p/2, p/2}

乱数

物理現象を利用した乱数発生器が様々に開発

単一光子のビームスプリッタ透過/反射

光カオス

自然放出光雑音

回路雑音（ショット雑音、熱雑音）

LD

ミラー

BS

38

時刻同期

アリス ボブ

ボブが光子検出するのは稀かつランダム ⇒ アリス/ボブ間の時刻同期が必要

QKD信号とクロック信号をWDM伝送

CLKパルス

WDM WDM

QKD受信

CLK受信

その他

変調レベル安定化、誤り訂正プロトコル、各種データ処理、等々

Courtesy of 田島氏（NEC）39

40Courtesy of 田島氏（NEC）

41

１．イントロダクション（概況）

２．量子暗号（量子鍵配送：QKD）システムの構成/動作原理

BB84；連続量QKD；差動位相シフトQKD

３．システム性能

４．実装技術

５．実用化について

42

実用化への課題

すぐにでも実用化されそう。が、買い手がいないのが現状。

（ここからは完全な私見です）

◆安全性を保障しているのは伝送路のみ

◆性能（鍵ビットレート、伝送距離）が力不足

◆高価

◆専用ファイバが必要（通常信号光とのWDM伝送不可）

◇ main playerは物理学者（量子力学的現象を何かに使えたらいいな）

◇絶対安全性がなにより大事（現実性は問わない）

◇コスト意識 or 費用対効果という発想が無い

（根っこにあるのは）

43

量子力学の不思議な現象（重ね合わせ状態）

光子のダブルスリット干渉（シュレディンガーの猫）

これをシステム応用できないかしら

減衰

（どっちを通るか観測）

44

QKDが想定する盗聴法

ビームスプリット攻撃

アリス ボブ

量子メモリイブ

測定

BS

盗聴者は、物理法則に反しない限り、あらゆる手段を用いることができる。

それでも安全なのがＱＫＤ（絶対安全性 or 無条件安全性）。

無損失伝送路

ビームスプリットによるボブの受信光パワー減少を無損失伝送路で補償

（イブはボブの光子検出器の量子効率を100％に変更できる、とする場合もある）

45

光子数分岐攻撃

アリス ボブ

量子メモリ

イブ

測定

光子抽出

無損失

①量子非破壊測定により光子数を計測

②光子数≧ 2の場合、１光子だけ抜き出し量子メモリへ

光子数 = 1 の場合はブロック

③残りの光子はボブへ無損失伝送

④ボブの受信条件を盗聴後、同じ条件で保存していた光子を測定。

光子数計測

この盗聴法の防御策として「デコイBB84」が考え出され（p. 27）、標準的に用いられている。

46

量子もつれ攻撃

アリス ボブ

イブ相互作用

（ユニタリー変換）

プローブ

①伝送光子とプローブ状態を相互作用（もつれ）させて保存

やり方は問わない。ユニタリー変換過程であれば何でも可。

②ボブの受信条件を盗聴後、それに基づきプローブ状態を測定。

47

通常伝送光との波長多重

実システム導入のためには、波長多重で既設の光伝送系に重ねたい。

QKD

Tx

通常信号光

..filter

..

QKD

Rx

filter

C-chs.

....Q-ch.

ll

がしかし、

通常信号光からのラマン散乱光が障害。

QKD光を1.3mmとする手もあるが、QKD距離縮小

48

量子中継伝送

アリス ボブ

中継ノード

量子もつれ光源

量子中継により伝送距離拡大の試みあり

アリス ボブ

中継ノード

Bell測定

伝送距離鍵ビットレー（対数）

無中継

（同期をとるのが大変）

但し、

鍵生成レートは下がる一方。

49

まとめ

ただし使い道が課題

（もともとが極限追求, i.e.,現実は考えない,

理学部的研究）

量子暗号技術はほぼ実用化レベルの域