HTML5 Webook

18/72

の制御ブロックの乱数源Aから提供される乱数列に応じて、それぞれの電極でビット情報と基底情報に対応する位相ϕ1、ϕ2の変調を受けてから合波されタイムビン信号となって出力される。下記に状態を式にて記述する。00ZFS （3）10ZFS （4）44022iiYFSee （5）44022iiYFSee （6）ここで、¦ΨZ0⟩、¦ΨZ1⟩はZ基底、¦ΨY0⟩、¦ΨY1⟩はY基底に対応する状態である。これらの4つの状態は、先に説明した偏光モードでのZ基底、X基底とQKDに関する機能上、全く等価な効果を持っている。基底にYと命名している理由は変調器を構成する際の印加電圧の便宜上の表現によるためである。その後、タイムビン信号は2つめの2重駆動型光変調器に入力され、要件（iii）「デコイ法」に従って複数種類の強度のどれかにランダムに変調されてから、次に減衰器を通り微弱な光パルスに成形され、最後に量子通信路の光ファイバーへ入力される。デコイ法の一例として、信号強度を¦α¦2 =0.5光子／タイムビン、デコイ強度を¦α¦2 =0.2光子／タイムビンと¦α¦2 =0光子／タイムビン（真空状態）の2種類に設定する例などがある。現実のレーザ光では2光子以上がパルス内に含まれる確率を完全に消し去ることはできない。したがって、タイムビンパルス内に2光子以上を含む状態もわずかながら残ってしまう。そうすると、イブが光子を1個抜き取り、残りの光子をボブへそのままの状態で送るという、いわゆる光子数分離攻撃が可能になる。この場合、基底とビットの内容は変化しないのでビット誤りは全く生じない。したがって、盗聴も検知できなくなる。デコイ法はこのような攻撃への耐性を高め、伝送距離を伸延する効果がある。光源の光子数分布が既知である場合、異なる信号強度が混ざった信号の検出率、誤り率は伝送路のロスにより一意に決まるが、先に述べた多光子状態を抜き取る攻撃があった場合、その比率が変化し、盗聴者に漏れた情報量を推定することができる。詳細は文献に譲る[24][25]。・鍵蒸留ブロック鍵蒸留ブロックは、送受信者の鍵蒸留装置とそれらをつなぐ公開通信路からなる。制御ブロックの乱数源A、Bからは、エンコーダとデコーダに提供したものと同じ乱数列が、それぞれアリスとボブの鍵蒸留装置に提供される。また、光子検出器からの検出信号が制御ブロックを経由してボブの鍵蒸留装置に提供される。ボブの検出信号とそれに対応するアリスの乱数列のデータを突き合わせて並べたものを『生鍵』と呼ぶ。乱数列、検出信号のやり取りの際にも同期信号により時刻同期を行う。このようにして共有された生鍵に、これから述べるような鍵蒸留処理を施して最終的な暗号鍵を抽出する。図4に、鍵蒸留処理の大まかな流れをまとめる（BB84プロトコルの例に準拠している）。光子伝送の後、アリスとボブには膨大な生鍵のデータが蓄積される。そのデータをできるだけ大きなブロック、例えば、百万ビット程度のブロックにまとめ、そのブロック単位で図4の鍵蒸留処理を行う。ふるい鍵の一部を公開ビット誤り率PBを計算送信機受信機光子伝送基底照合基底照合誤り訂正誤り訂正秘匿性増強秘匿性増強ふるい鍵ふるい鍵暗号鍵暗号鍵生鍵テストビットテストビット誤り訂正後の鍵誤り訂正後の鍵犠牲ビット位相誤り率の推定生鍵漏洩情報PB＜Pthなら処理を継続PB＞Pthなら盗聴があったと判断し、ふるい鍵を破棄図4　鍵蒸留処理の流れ14　　　情報通信研究機構研究報告 Vol. 63 No. 1 （2017）3　量子光ネットワーク技術