the security of practical quantum key...
TRANSCRIPT
1
The security of practical quantum key distribution
実用的な量子鍵配送の安全性
Valerio Scarani, Helle Bechmann-Pasquinucci, Nicolas J.Cerf, Miloslav Dusek, Norbert Lutkenhaus, Momtchil Peev
09-041-030 佐藤壮介
Review of Modern Physics, Vol. 81, p. 1301-1350 (2009)
2
発表の目的 “実用的な量子鍵配送の安全性”
理論的に安全性が証明された暗号通信
→量子鍵配送(QKD = Quantum Key Distribution)
“量子鍵配送(QKD)とは何か”を伝えること!
QKDの概要について書かれたレビュー論文
3
発表の流れ
● 背景
● 量子鍵配送(QKD)
● ・最初のQKDプロトコル”BB84”
● ・秘密鍵を抽出する”鍵蒸留”
● 盗聴攻撃”Photon Number Splitting Attack”
● 対策”デコイ法”
● まとめ
4
発表の流れ
● 背景
● 量子鍵配送(QKD)
● ・最初のQKDプロトコル”BB84”
● ・秘密鍵を抽出する”鍵蒸留”
● 盗聴攻撃”Photon Number Splitting Attack”
● 対策”デコイ法”
● まとめ
5
現代暗号
● 暗号の用途:電子化された情報の秘匿
● 安全性の根拠:解読に膨大な計算時間がかかる
計算量的安全性は,“計算機の能力向上”や
”効率的なアルゴリズムの開発”により破られる!
367 × 521 =191207 →簡単
191207 = 〇 × △ →時間がかかる
ex.素因数分解
バーナム暗号は理論的に安全!これは”共通鍵暗号”の一種
6
共通鍵での通信について
アリス(送信者) ボブ(受信者)
イブ(盗聴者)
もとの情報
イブは鍵の内容を知らないため,もとの情報がわからない
各桁の足し算が
偶数→ 0
奇数→ 1
平文 01110
+ 共通鍵 10100
↓ 暗号文 11010 暗号文 11010
共通鍵 10100 +
平文 01110 ↑
得られた情報 11010
7
バーナム暗号
①鍵は一回使ったら破棄(ワンタイム・パッド)
②鍵は秘密鍵(第三者に知られていない鍵)
③鍵の内容はランダムなビット列
④鍵の長さが送りたいデータの長さと同じ
これを満たすときの安全性は証明されている!
そもそも鍵はどのように共有すればいいのか?
→量子鍵配送(Quantum Key Distribution)
8
発表の流れ
● 背景
● 量子鍵配送(QKD)
● ・最初のQKDプロトコル”BB84”
● ・秘密鍵を抽出する”鍵蒸留”
● 盗聴攻撃”Photon Number Splitting Attack”
● 対策”デコイ法”
● まとめ
9
量子鍵配送(QKD)とは
● 秘密鍵を共有する方法
● → バーナム暗号を実現
● 量子の性質を利用
● 特徴:イブ(盗聴者)の存在を検知可能
最初のQKD:BB84
Bennet, Brassard(1984)
無条件安全性:イブの能力に依らない
10
BB84
4状態2基底を使用
単一光子の偏光状態とビット値を対応
量子通信路:イブ(盗聴者)は量子状態に作用することができる
例)光ファイバー,自由空間
古典通信路:イブは盗聴ができる
基底
ビット 0 1
垂直・水平
±45°
11
BB84(送信者アリス)
アリス
量子通信
1
偏光フィルター
ボブ
単一光子源
4状態から
ランダムに
偏光させる
= 0
= 1
12
BB84(受信者ボブ)
ボブ
基底一致
1
1
アリス
正しい偏光を受け取る
→正しいビット値を得る
ボブは2基底 からランダムに選ぶ
: or
: or
13
BB84(受信者ボブ)
ボブ(受信者)
基底不一致
1
アリス
0
1
偏光が変わってしまう
→正しいビット値を得られる確率1/2
ボブは2基底 からランダムに選ぶ
= 0
= 1
14
基底照合
古典通信 ※イブ盗聴可 お互いの基底を通知
基底が異なる場合は,そのデータを破棄する
アリスの
ビット列 1 0 0 1 1 0 1 1 0
光子の偏光
ボブの
ビット列 1 1 1 1 1 0 1 0 1
測定した基底
生鍵(Raw key)
15
一部のデータを突き合わせる 古典通信 ※イブ盗聴可
誤り率の見積もり
アリスの生鍵 1 0 1 0 1 1 1 0
ボブの生鍵 1 1 1 0 1 0 1 0
ビット列の誤り率を見積もる
装置の不完全さ,盗聴攻撃→ビット列に誤り
ふるい鍵(Sifted Key)
16
なりすまし攻撃(Intercept-resend attack)①
①アリスから来た光子を横取り
②+か×のどちらかの基底で適当に測定
③測定結果に合わせて,偏光させた光子をボブに送る
④基底照合を盗聴
②で正しい基底をたまたま選んだ場合
盗聴に気づかれず,正しいビット値を知ることができる
アリス
イブ
ボブ
1
17
なりすまし攻撃(Intercept-resend attack)②
①アリスから来た光子を横取り
②+か×のどちらかの基底で適当に測定
③測定結果に合わせて,偏光させた光子をボブに送る
②で基底を間違えた場合,ボブのビット列に誤りが入り込む
→アリスとボブの基底は一致しているのに,ビット値が異なる
アリス
イブ
ボブ
1 0
偏光が変わってしまった
18
BB84まとめ 単一光子の偏光状態にビット値を対応
①送信者アリスは4つの偏光状態からランダムに送信
②受信者ボブは2つの基底からランダムに測定
基底一致:正しくビット値を得る
基底不一致:確率1/2で正しくビット値を得る
③古典通信を通じて基底照合 → 生鍵
④誤り率の見積もり → ふるい鍵
アリスとボブはランダムなビット列(ふるい鍵)を共有できた
ふるい鍵から秘密鍵を抽出する必要がある
= 0
= 1
: or
: or
19
発表の流れ
● 背景
● 量子鍵配送(QKD)
● ・最初のQKDプロトコル”BB84”
● ・秘密鍵を抽出する”鍵蒸留”
● 盗聴攻撃”Photon Number Splitting Attack”
● 対策”デコイ法”
● まとめ
20
装置の不完全さ
・単一光子源は研究段階
→平均光子数 を1以下にした微弱なレーザー光
→出力される光子が複数個になる確率がある
光源
・光子が到着していないのに
誤って検出(ダークカウント)
・いったん光子を検出すると
次の光子を検出するまで少し時間が必要
光子検出器
・光の損失
・偏光が変わる
量子通信路
盗聴攻撃
伝送距離の低下
通信速度の低下
イブへの情報漏れ
ビット誤り
21
鍵蒸留
こうして秘密鍵を抽出できる!
ふるい鍵に対して,古典情報理論的な処理をする
①誤り訂正
アリスとボブのビットの食い違いを訂正する
②秘匿性増強
イブに漏れたと思われる情報を消去する
22
アリス
ボブ
1 0 1 1 0 0 1 0
1 1 0 0 0 0 1 0 0 1 0 0 1 1 0 1
1 1 0 0 1 1 1 0
誤り訂正の一例
共有ビットを短くすることで,ビットの食い違いを訂正
23
0 0 1 0 1 1 0 0 1 1 1 0 1 0 1 1 アリス
0 0 1 0 0 1 0 0 1 1 0 1 1 1 0 0 ボブ
ビット列を足し合わせて 偶数→0 奇数→1
適当な個数のグループに分割する
1 1 1 0 パリティ
0 1 1 1 パリティ パリティの等しいグループは先頭のビットを廃棄する
パリティの異なるグループはさらに処理を続ける パリティの異なるグループはさらに処理を続ける
誤り訂正の一例 ビットの食い違いを訂正
24
0 0 1 0 1 1 0 0 1 1 1 0 1 0 1 1 アリス
0 0 1 0 0 1 0 0 1 1 0 1 1 1 0 0 ボブ
1 0 1 1 パリティ
1 1 0 1 パリティ
ビット列を短くする代わりに,誤りを訂正できた 「01000111」を共有
誤り訂正の一例 ビットの食い違いを訂正
25
アリス
ボブ
1 1 0 0 0 1 1 0 0 1 0 1 1 0 1 0 0 0 1 1
1 1 0 0 0 1 1 0 0 1 0 1 1 0 1 0 0 0 1 1
1 1 0 0 1 0 1 1 0 1 0 0 0 1 1
1 1 0 0 1 0 1 1 0 1 0 0 0 1 1
0 1 1 0
0 0 1 1
秘密鍵
秘密鍵
この方法では,イブは1ブロックのビット値すべてを知っていないと,秘密鍵を得ることはできない
秘匿性増強の一例
共有ビットを短くすることで,イブに漏れた情報を消去する
この例では鍵の長さが1/5になってしまった
26
量子鍵配送(QKD)まとめ
BB84:ランダムなビット列の共有
装置の不完全さ,盗聴攻撃
→ビット誤り,イブへの情報の漏れ
鍵蒸留:秘密鍵の抽出
①誤り訂正:ビットの食い違いを訂正
②秘匿性増強:イブに漏れた情報を消去
こうして秘密鍵を共有できる! バーナム暗号の実現
27
発表の流れ
● 背景
● 量子鍵配送(QKD)
● ・最初のQKDプロトコル”BB84”
● ・秘密鍵を抽出する”鍵蒸留”
● 盗聴攻撃”Photon Number Splitting Attack”
● 対策”デコイ法”
● まとめ
28
装置の不完全さ
・単一光子源は研究段階
→平均光子数 を1以下にした微弱なレーザー光
→出力される光子が複数個になる確率がある
光源
・光子が到着していないのに
誤って検出(ダークカウント)
・いったん光子を検出すると
次の光子を検出するまで少し時間が必要
光子検出器
・光の損失
・偏光が変わる
量子通信路
盗聴攻撃
伝送距離の低下
通信速度の低下
イブへの情報漏れ
ビット誤り
29
装置の不完全さ
・単一光子源は研究段階
→平均光子数 を1以下にした微弱なレーザー光
→出力される光子が複数個になる確率がある
光源
・光子が到着していないのに
誤って検出(ダークカウント)
・いったん光子を検出すると
次の光子を検出するまで少し時間が必要
光子検出器
・光の損失
・偏光が変わる
量子通信路
盗聴攻撃
伝送距離の低下
通信速度の低下
イブへの情報漏れ
ビット誤り
30
Photon Number Splitting(PNS) Attack①
アリス
イブ
ボブ
①イブはアリスが送信したパルスの光子数を調べる
②(a)単一光子パルスの場合:一部になりすまし攻撃, 残りは捨てる
(b)多光子パルスの場合:光子を抜き取り保存
③アリスとボブの基底照合を盗聴してから,保存していた光子を正 しい基底で測定する
31
Photon Number Splitting(PNS) Attack②
ボブ
信号パルス:100
検出したパルス:10
検出率:0.1 ・実際の通信路には損失がある
・アリスとボブは光子数を数えられない
アリス
無条件安全性:イブの技術や計算能力に制限を置かずに安全
イブは
・無損失の通信路を用意できる
・光子数をカウントできる
32
Photon Number Splitting(PNS) Attack③
アリス
ボブ
信号パルス数:100
多光子パルス数:20
検出パルス数:10
検出率:0.1
イブ
①多光子パルスから光子を取り出す
②ボブに送るパルス数は検出率0.1に合わせる
多光子パルス:20
(ボブの検出パルス数)<(多光子パルス数) のとき
イブは全てのビット値を得る
無損失の通信路 無損失の通信路
伝送距離を伸ばす→検出率が低くなる
→ボブの検出するパルス数が減少→PNS attackされやすい
→10
長距離での安全な通信が行えなくなる
33
発表の流れ
● 背景
● 量子鍵配送(QKD)
● ・最初のQKDプロトコル”BB84”
● ・秘密鍵を抽出する”鍵蒸留”
● 盗聴攻撃”Photon Number Splitting Attack”
● 対策”デコイ法”
● まとめ
34
デコイ法①
※デコイ=おとり
平均光子数
デコイパルス≠信号パルス
アリス
信号パルスとデコイパルスをランダムに送る
35
デコイ法②
平均光子数
デコイパルス>信号パルス
アリス
イブ
ボブ
最後にアリスはボブにどれが”信号”と”デコイ”が知らせる
ボブは,それぞれの検出率とビット誤り率を算出
信号 :検出率低
デコイ:検出率高
イブがいる時は,検出率と誤り率の値がイブがいない時と異なる
単一光子パルス:一部はなりすまし攻撃,残りは破棄
多光子パルス:光子を抜き取ってボブへ送信
PNS Attackに気づく事ができる!
36
デコイ法③ ふるい鍵に対して,鍵蒸留を行って秘密鍵を抽出
微弱なレーザー Lo
g 1
0G
デコイ法で,秘密鍵が得られる伝送距離が伸びた
通信距離
デコイなし・・・40km未満
デコイ・・・(理論的に)145kmを達成
最終鍵生成率G: 1パルスから得られる秘密鍵の割合
M.Koashi, quant-ph/0609180v1
ダークカウント率d=1.7×10^6, 損失:0.2dm/km
37
発表の流れ
● 背景
● 量子鍵配送(QKD)
● ・最初のQKDプロトコル”BB84”
● ・秘密鍵を抽出する”鍵蒸留”
● 盗聴攻撃”Photon Number Splitting Attack”
● 対策”デコイ法”
● まとめ
38
まとめ
・現代暗号はいつか解読される危険がある
・バーナム暗号は安全性が証明されている
・実現する手段が,量子鍵配送(QKD)
・BB84:ランダムなビット列を共有
・鍵蒸留:秘密鍵を抽出
・装置の不完全さにより安全性が低下
・Photon Number Splitting Attack
・デコイ法
39
おわり
40
質問対策
41
BB84(Eve)
アリス
ボブ
イブ
コピー
アリスの送信した偏光状態の光子のコピーがほしい
量子クローン禁止定理(no-cloning theorem)
「未知の量子状態を複製することはできない」
イブに気づかない イブは偏光状態を知らない
42
この方法の特徴
・1グループの中に誤りが奇数個の場合は検知可能
・偶数個の場合は検知できない
得られたビットをランダムにシャッフルして同様の操作を行う
すべてのパリティが一致している状況が複数回連続
→誤りはすべて訂正されたとみなす
誤り訂正の一例
43
盗聴者発見の確率(BB84) 盗聴者を発見できる確率PDを求める。
1ビットに対して
イブの存在を検知できない確率は 1
2
①イブとアリスが同じ基底を選ぶ
→ボブは正しいビットを得る
②イブがアリスと異なる基底を選ぶ
→ボブが偶然正しいビットを得る
1
2×1
2=1
4
イブの存在を検知できない確率
1
2+1
4=3
4
𝑃𝐷 = 1 −3
4
𝑛
nビットのデータの値に対して
盗聴者を発見できる確率
44
コヒーレント状態の光子数分布
確率
光子数
平均光子数μ=1.0
デコイ
平均光子数μ=0.3
信号
レーザー光の光子数分布はポアソン分布に従う
パルスにn個の光子数が含まれる確率
P(n)= μ e
-μ n
n! PNS attackでは、Eveは
・単一光子パルスを捨てる
・複数光子パルスから光子を分割
よって、光子数分布が乱される
45
QKDについて 他のプロトコル
B92、BBM92、E91、Y00など
構成
一方向、プラグアンドプレイ(往復)
符号化の方法
偏光、位相、time-binなど
様々な方式が考案され、社会への応用が目指されている。