HTML5 Webook

34/72

化は、一見理想的な暗号技術である。しかし、盗聴者通信路で発生するエラーが主通信路で発生するそれよりも少ないといった、イブにとって有利な条件では機能しないという、実用上の問題を抱えている。対して、1993年に登場した秘密鍵共有[4][5]では、図2のように認証付き公開通信路の使用を許すことによって、イブが有利な条件で盗聴できたとしても鍵の生成を可能にしている。秘密鍵共有では、あらかじめアリスとボブが共有した相関を持つ乱数から、公開通信路を通した議論をとおして、秘密鍵の共有を行う。なお、乱数の共有の仕方によって秘密鍵共有というプロトコルをさらに2種に大別することができる。1つは、アリスとボブ（とイブ）がある共通の乱数源から生成された乱数を受信する情報源モデルである。電波無線通信における秘密鍵共有[7]–[12]はこちらに分類される。一方、アリスが乱数を用意して伝送する手法は通信路モデルと呼ばれる。光空間通信の豊富な帯域や見通し通信という特徴を取り入れて、大気の変調速度に律速されない高速な秘密鍵共有を行うためには、後者の通信路モデルが適している。以下では、単純な加法的ノイズを仮定して、通信路モデルに基づく秘密鍵共有の概説を行う。はじめに、アリスは長さn の乱数列nx を生成してボブとイブに伝送する。ボブとイブは主通信路と盗聴者通信路で発生した統計的に独立なノイズne 及びnd が加わった出力nnnexy 及び、nnndxz を得る。なお、 はビットごとの排他的論理和を表す。次に、アリスとボブは公開通信路を通して行う情報整合[32]というプロトコルを通して、互いの系列の間の食い違いを修正していく。ここでは特に、ボブが誤り訂正のための情報をアリスに送って、その情報を基にしてアリスがボブの系列を推定する、いわゆる後方情報整合に注目する。当然、イブも公開情報でやりとりされる情報を利用してボブの乱数列の推定を試みる。しかし、イブはアリスが送った乱数列を盗聴するという状況に着目すると、そのアリスの乱数列に更に独立なノイズが印加されたボブの系列の推定には、アリスよりもハンデを負うことになる。実際に、アリスとイブの乱数列をボブの乱数列　 で表すと、nnneyx 及び、nnnndeyz となる。すなわち、たとえイブがボブよりもノイズの少ない状況で盗聴を行ったとしても、後方情報整合によってイブに不利な状況を作り出すことができる。最後に、秘匿性増強[33] [34]によって、イブに漏洩したビットの分だけ乱数列を圧縮する操作を行う。これは、イブに漏えいした情報量を除去していると解釈できる。そのためには、出力から入力の推定が困難である一方向関数が利用される。なお、この秘密鍵共有を通して共有可能な鍵のレートは、RennerがQKDの文脈で行った安全性解析を援用することで求めることができる。Renner[35]は、任意の手法での情報整合と、ユニバーサル2ハッシュ関数[36]を用いた秘匿性増強を用いた場合に共有可能な鍵レートが)];();([max)(ZYIYXICxPKX と求めることができることを示した。ここで、前者が情報整合で共有できる情報量であり、後者が盗聴者に漏洩している、除去すべき情報量に対応している。このことは、LDPCのような実用化されている誤り訂正符号と、ユニバーサル2ハッシュ関数を利用することによって、実用的な秘密鍵共有プロトコルを構成することが可能であることを示している。光空間通信テストベッドによる通信路推定実験　　　　　　　以上に述べてきたように、物理レイヤ暗号の性能はワイヤタップ通信路符号化の場合には秘匿容量、秘密鍵共有の場合には秘密鍵容量（の下限）により測られる。そこで、アリスとボブはあらかじめ通信路の確率分布を推定しておき、そのデータから通信路の確率モデルを推定、再構成したうえでこれらの量を計算し、適切な符号の設計を行う。しかし、ここにはいくつかの困難が存在する。まず、大気中の屈折率は、温度変化に応じて時々刻々と変化している。この効果は大気のゆらぎと呼ばれ、受信強度の数ミリ秒スケールでの変化や、ビーム方向のズレなどを生じる。そのため、大気のゆらぎの効果を加味した性能評価は困難を伴う。加えて、イブの漏洩情報量の評価も、現実的には困難であるという問題がある。そこで、量子ICT先端開発センターでは、上記の問題について実験的なアプローチを行うために、図3に示すような電通大とNICTの2地点を結ぶ、7.8 kmの光空間通信テストベッドを構築した。このテストベッドでは、電通大のビル屋上にあるドームがアリスの役割をし、NICTビルの6階の受信システムをボブ、ny 4図2　秘密鍵共有の概要図アリス(送信者)主通信路盗聴者通信路ボブ(正規受信者)イブ(盗聴者)公開通信路30　　　情報通信研究機構研究報告 Vol. 63 No. 1 （2017）3　量子光ネットワーク技術