HTML5 Webook

25/72

1,2,3,4 を2次の多項式を用いて生成する。それら乱数と“0”のシェアをシェアサーバに伝送する。（３）データ復元フェーズ （reconstruction phase）ここでデータオーナーはパスワードを思い出し、それを とする。（３－１）データオーナーは4つあるシェアサーバの中から3つを選択する。例としてサーバ1～3（L=｛1, 2, 3｝）を選択したとする。（３－２）データオーナーはパスワード に対しシェア1 , 2 , 3 を1次の多項式を用いて生成する。（３－３）各シェアサーバに を送る。（３－４）データオーナーのサーバでは、データ復元に用いるシェアサーバの数が3以外であれば、その要求は不適切と判断し停止する。3であれば各シェアサーバは 個のデータブロックに対して を計算し、 （3）（ （ ））をデータオーナーのサーバに送る。（３－５）データオーナーはラグランジュ補間法で を求め、0 のデータブロックを求める。（３－６）データオーナーは00 からMACを計算し、その結果が と一致していれば秘密データの復元に成功したと判断する。そうでない場合は何らかの詐称がされたと判断し、先の組合せとは異なるシェアサーバの組合せで秘密データ復元を試みる。上記の手順において、仮に であったならば、秘密データは と によりマスクされ、一切の情報が漏れることはない。このように、伝送・保存・認証・復元が情報理論的に実現できる。図2にプロトコルの概要を示す。QKDネットワーク上での実証我々のスキームを実現するのにはQKDリンク及びそれらをネットワーク化した通信ネットワークが必須である。NICTでは2010年よりJGN [14]等の協力を頂きながらNICT本部（小金井）を中心とするTokyo QKD Network [14]を運用してきた。我が国のQKD装置の性能は世界最高性能を有するが、それでも信号の通信媒体が光子一つひとつであるため、伝送路の損失の影響を受けやすく、伝送距離・速度はファイバ50 km で1 Mbps程度である[7][8]。QKDのサービス範囲を広げるため、複数のQKDリンクを連結し、連結部分（ノードと定義）では鍵情報を通常のビットストリームとして保存している。このノードは厳格に安全性が保たれ、外部からこのビット情報を盗むことができないと仮定しているため“信頼できるノード（trusted node）”と定義している。鍵配送の伸長が必要な場合は、ノードに蓄積されている異なるQKDリンクの鍵を、排他的論理和を施しながらリレーすることにより実現している。このようなQKDネットワークを運用するには厳格な鍵管理を可能とするネットワークアーキテクチャが必要である。NICTでは2010年から、QKDネットワークアーキテクチャの開発[11][15]とQKDの鍵を利用した通信アプリケーション[16]の開発を進めている。我々の提案するネット3図2　パスワード秘密分散プロトコル概略213-2　QKDを用いた情報理論的安全なパスワード認証分散ストレージ