初心者でもわかる!QKD(量子鍵配送)の基本
私たちはメッセージのやり取りをする際に、まずお互いの間で「鍵」を交換しています。
しかし、その鍵をこっそり盗み見ようとする人がいるかもしれません。
もし鍵を受け渡す途中で誰かが覗き見をしたらーー。
その瞬間に必ず気づける仕組み、それが QKD(量子鍵配送) です。
なぜQKDが必要なのか?
現在の暗号通信は、「鍵」の安全性に依存していますが、その鍵が次第に危うくなってきています。主な理由は以下の通りです。1
1. 鍵のライフサイクルが長く、複雑
暗号鍵は「作って使って終わり」ではありません。生成から廃棄までに複数の段階を経ます。この長いライフサイクルが、鍵が盗聴されるリスクを増やしています。
鍵の状態は大きく次の6つに分けられます。
(細かく知らなくてもQKDは十分に理解できるので、鍵のライフサイクルってめんどくさいんだな、と捉えてもらうだけでも大丈夫です。)
1.Pre-activation
- 鍵は生成済みだが、まだ使用許可されていない状態
- 所有証明[1]や鍵確認[2]は可能
- 利用可能になればActiveへ
- 不要と判断されればDestroyedへ
- 秘密性や完全性に擬似があると判断されればCompromisedへ
2.Active
- 実際に使用中の状態
- 暗号化や署名、復号などを実行できる。
- 使用終了後はDestroyedへ
- 問題が発覚すればCompromisedへ
- 一時的に使わない場合はSuspendedへ
- 保管だけする場合はDeactivatedへ
3.Suspended
- 一時的に使用を停止した状態
- 新たな暗号化や署名は禁止
- 復旧すればActiveへ
- 不要ならDestroyedへ
4.Deactivated
- 暗号保護には使わないが、処理のために保管だけしている状態
- 過去の署名検証や復号のために残される。
- 問題が発覚すればCompromisedへ
5.Compromised
- 機密性または完全性が侵害された、信頼できない状態
- 基本的に使用不可。早急に破棄される。
6.Destroyed
- 鍵は完全に破棄された状態
- 監査用メタデータ(鍵名、種別、履歴)は残る。
2.鍵配布・交換時の脆弱性
鍵は使う前に必ず相手と共有(配布・交換)しなければいけません。
しかし、この過程にも多くの危険があります。
- 輸送経路の傍受:平分や暗号保護なしで送ると、通信を盗聴される。
- 鍵保護の欠如:鍵自体を暗号化せず保存・送信すると、簡単に抜き取られる。
- 弱い乱数生成:予測可能な乱数から作られた鍵は簡単に破られる。
- 鍵管理の不備:利用期限や使用目的を曖昧にすると、漏洩や不正利用のリスク大。
- 共有範囲の過剰:多くのコピーや共有先があるほど、攻撃対象が広がる。
3.量子コンピュータによる解読の可能性
これまでの暗号は「解読に膨大な時間がかかるから安全」とされていました。
しかし、 量子アルゴリズム(Shorなど) の登場により、将来的には多くの暗号方式が破られる可能性があります。
- 量子コンピュータ耐性のない暗号方式は、将来的に安全でなくなる。
- 対応策として、対称鍵やハッシュ長を伸ばしても、計算コスト・管理の複雑化・互換性問題が残る。
4.将来の「保存してから解読」攻撃
今は解読できなくても、攻撃者が暗号化された通信を保存しておき、将来より強力な計算手段や鍵を入手してから解読する可能性があります。
QKDの仕組み
0.理解のための前提知識
ここでは、理解を深めるために重要な 光・光子の性質 について説明します。
すでにご存知の方は、QKDの概要にお進みください。
0.1 光の波としての性質
- 光速c = 波長λ x 振動数v
- 光のエネルギーは振動数の2乗に比例(
E = 2m (\pi v A)^2 - 光は互いに衝突せず、複数の波が同時に伝わることができ、 重ね合わせの原理 [3]が成り立つ。このため、光が重なり合うと、強め合ったり、弱め合ったりする現象(干渉)が起こる。
- 色、屈折、反射、回折、偏光と行った波の性質をもつ。
- 電場E・磁場Bの波で構成され、特定の振動数で特定の方向に進む光なら、電場、磁場、進行方向は全て垂直。
0.2 光の粒子(光子)としての性質
光は波としての性質を持つ一方で、光子という粒子としての性質を持っています。
- 光電効果[4]:金属などの物質に光を照射すると、光子が物質の電子にエネルギーを与え、電子を放出する現象。光のエネルギーは振動数に比例(
E = h v
- コンプトン効果:物質にX線を当てると、方向と波長が変わったX線が出てくる。
- ノークローン定理:同じ状態の光子を完全に複製することは不可能。
このように、光子の発見によって、従来の古典論だけでは説明できない現象が解明されました。古典論の光のエネルギーは振動数の2乗に比例するのに対し、光子のエネルギーは振動数に比例するという一見した矛盾は、膨大な数の光子が集まることで、光が波のように振る舞って見えていたと解釈することで解決されました。
※上記は量子の性質でもあるため、光子は量子の一種とされています。
0.3 単一光子の性質
単一光子とは、ごく短い時間だけ光が放たれる 「パルス」の中に、光子が厳密に一つだけ含まれている状態 を指します。この状態は、光を「シャワー」、光子を「水滴」と例えると、1回のシャワー(=パルス)で必ず1粒の水滴だけが落ちてくるような、理想的な状態です。
- 光の最小単位であり、量子ビット(0か1か、またはその重ね合わせ状態)という情報を運ぶための最小サイズの「運び屋」として機能
- 偏光や位相といった物理的性質に数学的に記述された量子状態を持たせることができる。量子状態は光子が量子ビットをどのように運んでいるかを表している。
- ごく短い時間枠(パルス)に光子が厳密に一つだけ存在するため、盗聴者が光子を分割・複製して情報を盗むことができない。
- 質量がなく、高速で移動するため、外部干渉に強い(ただし、光ファイバーや空気中では損失あり)。
0.4 多光子の特徴
多光子とは、ごく短い時間だけ光が放たれる 「パルス」の中に、光子が複数含まれている状態を指します。1回のシャワー(=パルス)で何粒もの水滴が一塊になって落ちてくるような状態です。
理想的な量子鍵配送では単一光子を使用しますが、現実の光源はランダムにこの多光子パルスを発生してしまいます。
- 多光子パルスは、たとえ一つのパルスに複数の光子が含まれていても、単一光子と同じ1ビットの量子ビットしか運ばない。パルス内の全ての光子が、同じ量子ビットを担っている状態。
この状態は、量子鍵配送の安全性を脅かす弱点です。なぜなら、盗聴者は多光子パルスから余分な光子を一つだけ抜き取って盗むことができるからです。盗聴者は、抜き取った光子を測定することで、パルスが運んでいた1ビットの量子ビットを完全に知ることができてしまいます。そして、受信者は送信された光子の数を知ることがは不可能なので、盗聴に気づくことはできません。
詳しくはPNS攻撃で説明しています。
0.5 量子信号の性質 ー 量子状態がもたらす安全性
量子信号とは、単一光子(または、複数の光子)が、光チャネル上を通って、量子ビットという情報を運んでいる状態を指します。その情報の安全性や性質は、光子の量子状態に由来する以下の特徴によって支えられています。
- 量子信号が持つ量子状態は、観測されるまで複数の状態が同時に存在する 「重ね合わせ」の状態 にある。この状態は、非常に不安定であり、受信者や盗聴者が(基底に沿って)測定をしようとした瞬間に、重ね合わせが崩壊し、ビット情報(0か1)が確定する。
- 量子信号が持つ未知の量子状態を、完全に複製することは不可能。(ノークローン定理)
- 量子状態は、外部からのわずかな観測や干渉に非常に敏感。測定しようとすれば、その痕跡が必ず残ってしまう。
- 伝送路の損失やノイズに弱く、これにより量子状態が劣化し、情報の信頼性が下がることがある。
0.6 量子もつれと量子ビットの関係
量子もつれとは、複数の量子ビットが個別に完全な状態を持たず、全体としてのみ定義される強い相関を持つ状態を指します。
この「もつれ」は、複数の量子ビットを連携させて、膨大な量の計算を同時に行うために不可欠な技術です。量子もつれがなければ、量子コンピューターの驚異的な計算能力は実現できません。
※QKDには、単一光子を用いて「重ね合わせの原理」「不確定性」を利用して盗聴を検知する方式と、量子もつれ状態を利用して盗聴を検知する方式があります。
詳しくは鍵生成の仕組みで説明しています。
| 用語 | 説明 | 役割・特徴 | 例(DVDと映画での例え) |
|---|---|---|---|
| 量子状態 | 光子などの物理的実体が持つ、観測されるまで確定しない情報の内容そのもの。光子の偏光や位相といった物理的状態を数学的に記述したもの。 | 測定されるまで複数の可能性が重なり合った「重ね合わせ」の状態にある。測定によってその状態が確定する。 | DVDディスクに記録された、再生するまで内容が確定しない「映画の映像と音声」そのもの。どのように表現されているかを知ることができる。 |
| 量子ビット (qubit) | 量子状態によって表現される、情報の最小単位。古典的なビット(0か1)とは異なり、「0」と「1」の重ね合わせ状態を持つことができる。 | 量子コンピュータや量子通信において、情報を格納・演算する際の基盤となる単位として機能する。 | 映画のタイトルやジャンルなど、映像内容を形式的に表現した「データの単位」。 |
「重ね合わせの原理」「不確定性」を利用して検知する場合
1.QKDの概要
QKD(Quantum Key Distribution)は、量子力学の原理を利用して、安全に暗号鍵を共有する技術です。
従来の暗号は、数学的に解くのが非常に難しい計算問題を利用して安全性を保ちましたが量子コンピュータの登場によって破られる可能性があります。
一方、QKDは物理法則そのものに基づくため、計算能力に関係なく安全性を保証することができます。
補足:QKDは量子鍵配送と呼ばれていますが、ここで注意しなければいけないのは「量子鍵 配送」ではなく、「量子 鍵配送」であることです。量子鍵を運んでいるわけではなく、量子の性質を利用して鍵を運んでいます。
 |
 |
量子力学の原理と安全性
QKDが安全なのは、光子の量子状態に情報を載せて送るからです。
量子状態には次のような特徴があります。
- 重ね合わせ:複数の状態が同時に存在できる。
- 測定による変化:観測されると状態が必ず変わる。
- 複製不可能:全く同じ量子状態を完全にコピーすることはできない。(ノークローン定理)
これらの性質により、もし盗聴者が暗号鍵を盗もうと光子を測定すると、その影響が必ず残り受信者側で検知できます。
2.QKDプロトコルの動作原理(BB84) 2
BB84プロトコルは、1984年にBennettとBrassardが提案した、暗号学的な量子通信を利用する鍵配送プロトコルです。
送信者(Alice)と受信者(Bob)が安全な共通鍵を作る手順を、量子状態を使って実現します。
1.Aliceは鍵ビット0,1からなる乱数列と基底[5]を偏光や位相によって量子ビットに符号化(=エンコード)し、光ファイバー(光チャネルとして使用)を通してBobに送ります。
2.Bobは受け取った光子を、ランダムに選んだ基底で光子を測定し、0,1のビットを読み取ります。
3.双方の基底情報を比較し、一致した基底のみを鍵候補と残します。
4.鍵候補の一部を選び、Aliceの送ったビットとBobの測定結果のビットを比較して盗聴がないことを確認し、安全な共通鍵を作ります。
5.Bob側で安全なビット列をAlice側のビット列に反映させ、双方が共通鍵を持てるようになります。
詳しくは次で説明します。
3.QKDリンクの構成ブロック(BB84)
QKDリンクは、大きく三つのブロックから構成されています。
- 量子通信ブロック:光子を介して、送信者(Alice)と受信者(Bob)の間で光子を介して量子ビットを物理的に共有する。
- 鍵蒸留ブロック:量子通信で得られたビット列から、安全な共通鍵を抽出する。
- 制御ブロック:量子通信ブロックと鍵蒸留ブロックをつなぎ、同期信号の生成・基底の選択・光強度の制御などを行う。
この図はNICT(情報通信研究機構)の量子暗号通信に関する資料を参考に作成しました。
※これ以降は、送信者をAlice、受信者をBob、盗聴者をEveと呼ぶこととします。
3.1 量子通信ブロック
量子通信ブロックの目的は、送信したい古典情報(鍵ビット・基底)を、量子ビットに符号化し、光子に乗せて安全に送信することです。ここでは、どのように量子ビットに変換するかが重要なポイントとなります。
量子ビットの符号化には、主に以下の方式があります。
これらの方式は、それぞれ異なる物理量を利用して情報を表現し、量子状態の種類を決定します。
| 符号化方式 | 内容 | 特徴 |
|---|---|---|
| 偏光符号化 | 光の偏光状態(水平/垂直、45°/135°など)を利用 | 自由空間通信に適するが光ファイバー中の偏光揺らぎに弱い |
| 位相符号化 | 光パルス間の位相差(0,π、π/2など)を利用 | 光ファイバー伝送に適し、干渉計を用いて情報を制御・測定する |
| タイムビン符号化 | 光子の到着時間(早い/遅い)を利用 | 光ファイバー伝送に強く、長距離通信でよく使われる |
すなわち、符号化方式により、量子状態の種類も決定されます。
ここでは、代表的なタイムビン符号化方式を例に、送信から受信までの流れを説明します。
- 構成要素
- 送信側
- 光源:レーザー光を出す装置。
- 位相乱雑化器:レーザー光の波のタイミングをランダムにずらす装置。
- エンコーダ:鍵ビット(0か1)を光子の状態に変換する装置。
- 量子通信路:情報を運ぶ光ファイバー。
- 受信側
- デコーダ:送られてきた光子の状態を読み取り、鍵ビットに戻す装置。
- 光子検出器:光子を検出するセンサー。
- 送信側
送信側の動作
1.光の準備
光源から出力されたレーザー光は、まず位相乱雑化器[6]を通過します。これは、レーザー光のパルスが持つ波の振動タイミング(位相)を意図的にランダムにずらすためのものです。これによって、後で行われる盗聴を防ぐための準備が整います。
2.パルスをペアにする
位相がランダム化された光は、エンコーダ内の非対称干渉計という装置に入ります。この干渉計は、光を二つの経路に分けます。一つは、短い経路、もう一つは長い経路です。この結果、時間的に少しずれた二つの光のパルス(パルスペア) が生成されます。これが、情報を載せるための「タイムビン」となります。
3.ビット情報を光に載せる(タイムビン符号化)
生成されたパルスペアは、光の波の位相を変える「光変調器」を通過します。ここで制御ブロックの乱数源Aから提供された鍵ビットと基底の情報に応じて、二つのパルスの位相を調整します。この操作によって、鍵ビットと基底が光子の状態に変換されます。これが「タイムビン符号化」された量子ビットです。
(タイムビン方式の場合)
- Z基底の場合:「早い/遅い」という時間差で符号化
- X基底の場合:「位相差」で符号化
4.盗聴対策(デコイ法)
次に、この量子ビットは二つ目の光変調器に入ります。ここでは、デコイ法という技術が使われます。これは、パルス内の光子の数をランダムに変えること(=光の強度を変える)で、盗聴者が「鍵」の情報を運ぶ本物のパルスを特定できないようにするものです。
5. 送信
最後に、光の強度が非常に弱く調整されます。これは、一つのパルスに複数の光子が含まれる可能性をできる限り減らすためです。多光子状態は、PNS攻撃という盗聴リスクに繋がるためです。こうして、微弱な光のパルスとして調整された「タイムビン信号」が、光ファイバーを通してBobに送られます。
PNS攻撃
パルスの中に複数の光子を含む「多光子パルス」をを狙った攻撃手法です。
それぞれの光子は全て同じ1ビットの量子ビットの情報を持っていること、BobはAliceが送った光子の数を知ることができないことを利用しています。
攻撃の流れ
1.Eveが多光子パルスを傍受
- Eveは通信路を監視し、多光子パルスが送られてきたことを検知します。
- この時点では、光子の数を認識するだけ、量子状態を測定[7]していないため、量子状態は壊れません。
2.Eveが光子を分割
- 例えば、2個の光子が含まれるパルスを受け取った場合、Eveはそのうち1個を自分の元に残し、もう1個をBobに送り返します。
3.Eveが残した光子を測定
- Eveは残した光子の状態を測定して情報を盗みます。
- この時、盗聴の痕跡が残らないため、Bobは盗聴されたことに気が付くことはできません。
受信側の動作
1.パルスの受信
Bobは、Aliceから送られてきた微弱な光のパルスを受け取ります。この時点では、パルスがどのタイミングに光子を含むか、またその位相はどのような状態か、という情報はまだ確定していません。
タイムビン符号化方式のため、届いた光子は、時間的にずれた二つのパルスの重ね合わせの状態です。
2.測定方法のランダムな選択
Bobは、Aliceとは独立して、二つの基底(Z基底、X基底)のうち、どちらか一方をランダムに選択します。これは、Aliceがどの基底を選んだかを知らないためです。このランダムな選択が、盗聴者が情報を予測して盗むことを防ぐ上で重要です。
- Z基底の場合(タイムビン測定):光子は「早いパルス」と「遅いパルス」のどちらに入っているかを測定
- X基底の場合(位相):二つのパルスの間の「位相差」を測定
3.光子の測定
選択した基底に応じて、光子の状態を測定します。
-
Z基底を選択した場合
- 光子を非対称干渉計を通さずに、直接シングルフォトン検出器に送り、光子が検出された時間を測定します。検出器は、光子が到着した時間を測定することで、光子が「早いパルス」と「遅いパルス」のどちらにあったかを確定させます。
-
X基底を選択した場合:
- 光子を非対称干渉計に通します。この干渉計は、時間的にずれて届いたパルスを再び一つに重ね合わせ、光子自身と干渉させます。この干渉によって、送信者が符号化した位相差の情報が、光が強め合うか弱め合うかのパターンとして現れます。干渉計を通過した光は、最後にシングルフォトン検出器に送られ、光子が強め合った経路と弱め合った経路のどちらで検出されたかを測定します。この測定結果がビット情報として確定します。
※送信側と受信者側では、非対称干渉計は全く異なる役割を果たしています。
3.2 鍵蒸留ブロック
鍵蒸留ブロックの目的は、お互いのビット列を比較し、盗聴やノイズに誤りを取り除き、安全な暗号鍵を作成することです。このプロセスは、盗聴者が監視することができる公開通信路を介して行われます。
- 構成要素
- 送信側、受信側
- 鍵蒸留装置:生鍵の生成、誤り訂正、秘匿性増強などの処理を行う
- 公開通信路:鍵の比較や誤り訂正に必要な情報をやり取りするための、盗聴者が傍受できることを前提とした通信路
- 送信側、受信側
1.生鍵の生成
Aliceは量子信号を送信する際に使用した乱数列を、Bobは受信した量子信号の測定結果をそれぞれ自らの鍵蒸留装置に記録します。制御ブロックからの同期信号によって、対応するビット列を生成することができます。このビット列を「生鍵」と言います。
2.ふるい鍵の抽出
公開通信路を介して、AliceとBobはどのパルスでどの基底(Z基底、X基底)を選択したかを互いに知らせ合います。その結果、基底が一致したパルスに対応するビット列のみを抽出します。この過程で得られた、基底が一致したビット列を「ふるい鍵」と言います。基底が一致しなかったビット列は破棄されます。
3.誤り率の評価
ふるい鍵から一部のビットをテストビットとして抜き出し、公開鍵通信路でビットの値を比較します。このテストビットの不一致率を計算し、「量子ビット誤り率」とします。この値が事前に定めた閾値よりも大きい場合、盗聴があったと判断し、鍵全体を廃棄します。閾値よりも小さい場合は、盗聴がない、または許容範囲内のノイズであると判断し、次のステップに進みます。
※ビットの誤りは、盗聴以外にも、量子通信路上での伝送エラー、変調、光子検出器の雑音からも起こります。装置の不完全性によるビットの誤りか盗聴によるビットの誤りかを判断することは現状不可能であるため、全て盗聴に起因するものとみなしています。
4.誤り訂正
ふるい鍵に残った誤りをを訂正します。AliceとBobは、公開鍵通信路を介して誤り訂正に必要な情報をやり取りし、両者のビット列を完全に一致します。この際、鍵そのものの情報を送信するわけではなく、あくまで「どのビットが間違っているか」を示す情報だけを交換します。
5.秘匿性増強
誤り訂正の過程で、Eveがわずかに情報を得ている可能性があります。このリスクを取り除くため、最終的に残った鍵をわずかに安全で短い鍵に圧縮します。その結果、Eveが得たわずかな情報は無意味になり、安全な暗号鍵が生成されます。
3.3 制御ブロック
制御ブロックの目的は、量子通信ブロックと鍵蒸留ブロックを同期させ、全体を統括することです。
1.乱数列の生成と同期
量子通信ブロックで光子の符号化に使用する乱数(鍵ビットと基底)と、鍵蒸留ブロックで鍵を生成する際に使用する乱数を生成し、送受信者間で同期させます。
2.エンコーダとデコーダの制御
乱数列の情報に基づいて、送信者側のエンコーダと受信者側のデコーダを制御します。例えば、受信したパルスをZ基底の測定回路に振り分けるようにデコーダに命令したりします。
3.タイミングの同期
AliceからBobへ光子がいつ送信され、いつ受信されたかというタイミング情報を管理し、両者の間で正確に同期をとります。これにより、鍵蒸留ブロックでAliceとBobが互いのビット列を付き合わせる際に対応関係を正確に特定できます。
4.鍵蒸留ブロックへのデータ供給
Bobの光子検出器から得られた測定結果や、AliceとBobが符号化・測定に用いた乱数列の情報などを、鍵蒸留ブロックに送ります。
ここまでの内容を踏まえて、改めて全体像をご覧ください
代表的なプロトコル 3
これまで紹介してきたBB84プロトコルはQKDの分野で非常に有名ですが、他にも様々なプロトコルが存在します。しかし、現時点で完璧なプロトコルはまだ開発されておらず、利便性(通信距離、コスト、通信速度など)と安全性のバランスをどう取るかが重要な課題です。そのため、より良いバランスを求めて、現在もプロトコルの研究開発が続けられています。
QKDプロトコルを分類する主な方法は、以下の二つです。
1.鍵生成の仕組み
- P&M(Prepare & Measure)スキーム:Aliceが量子状態を「準備」し、Bobがそれを「測定」することで鍵を共有する方式。代表的なプロトコルにBB84やB92がある。
- EB(Entanglement-Based)スキーム:量子もつれ状態を利用して鍵を生成する方式。第三者(中央局)が量子もつれを生成し、それをAliceとBobに分配する。もつれたペアの一方を測定すると、もう一方の状態も確定する性質を利用。代表的なプロトコルにE91やBBM92がある。
| スキーム | メリット | デメリット | 代表的なプロトコル |
|---|---|---|---|
| P&M(準備・測定) | • シンプルさ: 実装が比較的容易 • 効率性: 鍵生成の効率が高い • 安定性: 盗聴者がいない環境でエラー検出が容易 |
• 安全性: サイドチャネル攻撃などに対してEBより脆弱 • デバイス依存: 送信・受信デバイスを完全に信頼する必要 |
BB84, B92 |
| EB(エンタングルメントベース) | • 安全性: もつれ状態の破壊で盗聴検出が容易 • デバイス独立性: ソースを第三者が管理でき、送受信デバイスへの依存が軽減 |
• 複雑さ: もつれ光子の生成・維持が難しい • 効率性: 一般にP&Mより低い |
E91, BBM92 |
両者の方式を組み合わせた、Twin-Fieldプロトコルなどの開発も行われています。
2.利用する量子状態の種類
- 離散変数系(DV-QKD):光子の離散状態(偏光、位相、タイムビン)で情報をエンコードする方式。代表的なプロトコルにBB84やB92、E91がある。
- 連続変数系(CV-QKD):光の振幅・位相といった連続値で情報をエンコードする方式。代表的なプロトコルにGG02、CV-BB84がある。
- 分散位相参照(DPR):連続する光パルスの相対的な位相差を利用して情報をエンコードする方式。代表的なプロトコルにCOWやDPSがある。
| ファミリー | メリット | デメリット | 代表的なプロトコル |
|---|---|---|---|
| 離散変数 (DV) | • 安定性: 量子ビット(偏光など)のON/OFFや特定状態を扱うため、ノイズ耐性が比較的高い • 確立された技術: 長年の研究で多くのプロトコルが確立 |
• 複雑な機器: 単一光子検出器(SPADなど)が必要で高コスト • 効率性: 光子損失が鍵生成速度に大きく影響 |
BB84, B92,E91, SARG04, デコイ状態 |
| 連続変数 (CV) | • 安価な機器: 単一光子検出器が不要、ホモダイン検出[8]など既存通信機器が利用可能 • 高速度: 高い鍵レートを実現しやすい |
• ノイズ耐性: 熱雑音やチャネル雑音の影響を受けやすい • 実装の難易度: 高精度な量子状態制御が必要 |
GG02, CV-BB84, 変調コヒーレント状態 |
| 分散位相参照 (DPR) | • 安価な機器: 高価な装置不要 • 安定性: 光路中の揺らぎに強い |
• 安全性: 位相リマッピング攻撃など特定の攻撃に弱い可能性 • 技術課題: 位相の安定保持が難しい |
COW(Coherent One Way), DPS(Differential Phase Shift) |
3.より高度な安全性を追求するプロトコル 4
-
MDI-QKD(Measurement Device Independent QKD):鍵を生成する際に、検出器が完璧に機能することを前提にしないプロトコル。これにより、検出器に存在する可能性のある欠陥や弱点を悪用するサイドチャネル攻撃(装置の物理的な特性を突く攻撃)のリスクを減らすことができる。CVを採用したCV-MDI-QKDは、検出器の不完全性への耐性と高い伝送速度と効率を実現する手法で実用性の向上を目指している。
-
DI-QKD(Device Independent QKD):鍵を生成する際に、デバイスが(送信側も受信側も)完璧に機能することを前提にしないプロトコル。MDI-QKDよりもさらに厳格なセキュリティを目指したもの。これは、究極的な安全性目標の一つであるが、現状は実験的な段階。
QKDの実用化に向けて
ここまでで、QKD(正確には単一QKDリンク)の仕組みついて説明してきました。しかし、これを実用化するには大きな課題があります。単一QKDリンクは長距離配送が難しく、実際に現在の標準的な光ファイバーを用いると、約50kmごとに信号が弱まり、鍵の生成速度が大幅に低下します。そのため、単一のQKDリンクだけでは、世界規模での通信はできません。この課題を解決するためには、量子的な情報を配送することができるネットワークの構築が不可欠です。ここでは、QKDを長距離で配送するための現在開発されている方法を三つ紹介します。
1.QKDを長距離配送する三つの方法
1.1 鍵リレー方式
鍵リレー方式は、古典的な通信技術でいう中継局のように、信頼できるノード(トラステッドノード) を直列につなぐことで長距離配送を可能にする手法です。
この方式では、各ノードが量子的な情報を一旦受信し、それを古典的な情報 として復号化します。そして、次のノードに送るために、その古典的な情報を再び量子的な情報へと変換します。このため、途中の全てのノードが安全で信頼できる という前提が必要不可欠です。5
- 現状:
- 実用例:東京QKDネットワーク、北京-上海QKDネットワーク
- 具体的な応用:東京QKDネットワークでは、電子カルテと金融取引データを量子暗号で安全に送受信することに成功6
- 課題:
- ノードの信頼性:全てのノードが絶対に安全であるという前提に依存している。
- 人為的なリスク:鍵の中継プロセスに人の手が加わる可能性がある。
- 展望:
- 将来的には、トラステッドノードを統合的に管理・監視できるシステムを構築7
- 後述する量子中継方式や衛星QKDとのハイブリッド
1.2 量子中継方式
量子中継方式は、量子メモリと量子演算機能を備えた量子中継器をつなぎ、エンドツーエンドで量子もつれを確立することで長距離配送を可能にする手法です。
この方式では、量子中継器間で量子もつれを生成し、それを保持したまま、もつれを「つなぎかえ」(スワップ)ながらネットワークを拡張していきます。8 これにより、トラステッドノードのように途中で情報を符号化することなく、送信者から受信者まで完全に量子的な状態を維持したまま情報を伝送できます。
-
現状・課題:
- 完全な量子中継は実現できていない。
- 個別の技術、もつれ生成やもつれスワップのデモは成功 9
-
展望:
- 実用レベルで高性能な量子メモリの開発
- 量子中継方式や衛星QKDとのハイブリッド
1.3 衛星QKD
衛星QKDは、光ファイバーではなく衛星を経由して鍵を配送する方式です。この方法では、量子信号が真空の宇宙空間を通るため、光ファイバーのような信号の減衰がなく、長距離の中継が不要になります。
現在、衛星QKDは「鍵配送のための空間チャネル」であり、まだ完全な量子ネットワークではありません。一般的に、衛星が量子ビットを生成し、それを複数の地上局に送ることで、安全な暗号鍵を長距離で共有します。10
-
現状:
- 中国は正解初の量子通信衛星「墨子(Micius)」打ち上げ、その後「済南-1」を用いてリアルタイムのQKDに成功。11
-
課題:
- 高コスト:衛星の打ち上げや運用には莫大な費用がかかるため、コストの低減が大きな課題。
- 天候依存:宇宙空間では減衰がないが、衛星から地上局に送る際に大気圏を通過するため、天候の影響を受けやすく、通信が不安定。
-
展望:
- セキュリティ強化:鍵リレー方式のように途中で盗聴されるリスクがないため、セキュリティを誇る通信網を構築することが理論的には可能。
- グローバル化:世界中のどこからでも衛星を介して通信できるため、グローバルな量子通信ネットワークとして期待されている。
2.実用化の現状
-
量子セキュアクラウド:QKDネットワークを基盤とした、次世代のセキュアなクラウド環境。このサービスでは、QKDで生成された量子鍵を使用してデータを暗号化し、複数の場所に分散して保存する 「分散ストレージ」 を利用する。12
- QKDネットワークと量子コンピュータ互いに接続することに成功し、量子コンピュータ間の通信に量子暗号技術が利用が可能。13
-
量子鍵と大容量のデータの同時伝送14
- 単一光ファイバー上で、量子鍵と30Tbpsの古典データを80kmで同時伝送に成功。
- 従来のQKDシステムでは、QKD専用の光ファイバーが必要であり、導入・運用コストが課題になっていたが、この課題を克服する可能性を秘めている。
3.実用化に向けた課題
- コスト:専用装置・光ファイバーの高コスト
- インフラ:都市間・国家間の広域ネットワークの構築
- 技術:
- 量子メモリの性能不足
- 量子インタフェース未成熟
- 運用:トラステッドノードの物理的セキュリティ、鍵更新頻度
4.今後の展望と応用例 15
-
4.1 社会実装の方向性
- 高セキュリティ基盤:行政・外交・金融データ
- 衛星QKDネットワーク:国家間通信
- 量子セキュアクラウド:医療データ・ゲノム情報保管、複雑なデータの管理・保存
-
4.2 QKDを活用した新しいプロトコル
- 量子認証:量子力学の原理を利用して、通信相手が本物であることを証明する技術。
- 量子署名:メッセージの改ざんを量子力学的に検知と送信者認証を可能にする技術。
- ノートラストデバイスプロトコル(DI-QKD)
- 量子秘密分散(Quantum Secret Sharing):秘密情報を量子状態や量子力学の性質を利用して複数人に配布することで、各個人は自分の分だけでは内容を知ることができない。
- メッセージの直接量子符号化( Quantum Secure Direct Communications):鍵の生成・配布を介さず、量子チャネルを使用してメッセージ自体を直接量子状態に符号化し、安全に送信する技術。
- 双方向量子通信プロトコル(Quantum Dialogue ):従来のQKDによる一方向のみメッセージやり取りではなく、双方向かつ安全にやり取りする技術。
- 半量子鍵配送(Semi-Quantum Key Distribution):QKDにおいて、一方だけが完全な量子能力を持ち、もう片方は限定的な量子操作しかできない状態でも、安全に鍵を共有できるプロトコル。
まとめ
QKDは、量子コンピュータ時代における長期的な安全性を確保するための鍵配送技術として重要です。プロトコルや実証実験は進んでいますが、長距離配送やネットワーク化、リアルタイム通信、コスト低減が課題として残ります。今後は、量子中継や衛星QKDの導入、既存通信との統合により、グローバルな量子セキュア通信基盤の実現が期待されています。
参考文献:
- https://nvlpubs.nist.gov/nistpubs/specialpublications/nist.sp.800-57pt1r5.pdf
- https://www.nict.go.jp/publication/shuppan/kihou-journal/houkoku-vol63-1/K2017Q-03-01.pdf
- https://arxiv.org/pdf/2506.02028
- https://arxiv.org/pdf/2501.09818
- https://www.nict.go.jp/quantum/about/crypt.html
- https://jpn.nec.com/press/202010/20201022_01.html
- https://www.global.toshiba/jp/technology/corporate/rdc/rd/topics/24/2409-02.html
- https://journal.ntt.co.jp/article/21666
- https://www.nature.com/articles/s42005-024-01849-6
- https://www.nict.go.jp/press/2024/04/18-1.html
- https://innovatopia.jp/spacetechnology/spacetechnology-news/49952/
- https://www.nict.go.jp/quantum/about/crypt.html
- https://www.nict.go.jp/press/2025/03/13-1.html
- https://www.global.toshiba/jp/news/digitalsolution/2025/03/news-20250326-01.html
- https://www2.nict.go.jp/idi/common/pdf/NICT_QN_WhitePaperJP_v1_0.pdf
-
所有証明(Proof of Possession):主に公開鍵暗号方式で使用され、公開鍵に対応する秘密鍵を、その所有者が実際に保持していることを確認するための検証プロセス。公開鍵が本当にその所有者によって管理されていることを保証し、不正な証明書や鍵のなりすましを防ぐ。 ↩︎
-
鍵確認(Key Confirmation):主に共通鍵を共有するプロトコルで使われ、両者が本当に同じ共通鍵を持っているかを確認する。 ↩︎
-
重ね合わせの原理:複数の波や信号が空間のある一点で重なり合う時、その点での状態は、それぞれの波や信号が単独で存在した場合の状態の和で表されるという原理。 ↩︎
-
光電効果:金属に振動数vの光が照射されると、光子は金属中の電子に衝突し、エネルギーを電子に与える。電子は受け取ったエネルギーhv(=E)を使用して、金属の束縛から脱出しようとする。光子から受け取ったエネルギーが仕事関数W(金属表面から飛び出すために必要なエネルギー)よりも大きい場合、金属表面から飛び出すことができる。光電子(金属表面から飛び出した電子)のエネルギーは、光子のエネルギーから仕事関数を差し引いた値になる。(E'=hv-W) ↩︎
-
基底:光子の偏光状態を測定・符号化する際の基準となる「測定の向き」のことを指す。BB84プロトコルでは、Z基底(直交基底) と X基底(斜め基底) の2種類の基底が使用される。 ↩︎
-
位相乱雑化:レーザー光の複数のパルスは、通常は同じタイミングで振動する傾向がある。これをわざとバラバラにすることで、盗聴者にパルスの情報を読み取られにくくする技術。 ↩︎
-
測定:量子力学でいう「測定」とは、重ね合わせの状態にある量子系を、特定の基底に沿って観測し、その状態を確定させる行為を指す。 ↩︎
-
ホモダイン検出:Aliceが送信した量子信号の信号光」と強い参照光(局部発振器)を干渉させ、その差分信号から光の振幅や位相を高精度に測定する方法。 ↩︎
Discussion