論 文 量子カード 配布 小泉 康一† a) 水木 敬明††∗ 西関 隆夫† Quantum Card Dealing Koichi KOIZUMI† a) , Takaaki MIZUKI††∗ , and Takao NISHIZEKI† あらまし メンタルポーカープロトコルは,公開通信路を使ってカードゲームを行うためのプロトコルであり, これまで数々のメンタルポーカープロトコルが考案されてきた.それらのプロトコルのほとんどは計算量的に安 全( 公平)であるが,情報理論的に安全というわけではない.一方,情報理論的に安全な秘密鍵を共有するため の方法として,量子暗号がある.本論文では,量子暗号を利用したメンタルポーカープロトコル,すなわち量子 カード 配布を提案する.量子カード 配布を用いると,各プレーヤはいつでも新しいカード を受け取ることができ, カード を配布されたプレーヤ以外の人はカード の内容を知ることができない.本プロトコルは情報理論的に安全 である. キーワード 量子暗号,メンタルポーカー,カード 配布 通信路の使用を仮定するのではなく,物理的に盗聴不 1. ま え が き 可能な秘密通信路の使用を仮定すれば ,情報理論的に 「 電話でポーカーゲームができるか?」という問い に始まり,これまで数々のいわゆるメンタルポーカー 安全なメンタルポーカープロトコルを構成できること が知られている [1]. プロトコルが考案されてきた [1], [4], [5], [8], [12].メン 一般的に,電話やインターネットなどの公開通信路 タルポーカープロトコルを用いると,ゲームをするプ においては,盗聴者の発見は不可能である.それに対 レ ーヤが 1 箇所に集まらなくても,電話や インター して,量子通信路においては,量子暗号を用いること ネットなどの公開通信路を使用してカード ゲームを公 により盗聴者の発見が可能であり,様々な量子暗号プ 平に行うことができる.例えば ,各々のプレーヤに 5 ロトコルが考案されている [2], [3], [9].量子暗号プロト 枚ずつカード を配布したり,ある特定のプレーヤに追 コルの最も代表的なものの一つは,1984 年に Bennett 加のカード を配布したりすることができる.ほとんど と Brassard が開発した BB84 プロトコル [3] であり, の メンタルポーカープ ロト コルは ,離散対数問題な そのプロトコルを 2. で紹介する.また,近年,量子 どの数論的問題を利用しており,プロトコルの安全性 ( 公平性)の根拠を数論的問題の難しさに置いている. 通信路及び量子暗号プロトコルの実用化に向けた実験 が急速に進んでいる [6], [10], [13]. したがって,ほとんどのメンタルポーカープロトコル 本論文では,量子暗号を利用したメンタルポーカー は計算量的に安全であり,情報理論的に安全というわ プロトコル,すなわち量子カード 配布を提案する.本 けではなく,盗聴者( 悪意のあるプレーヤ)の計算能 論文で提案する量子カード 配布のプロトコルは,BB84 力によっては安全ではなくなってしまう.なお,公開 プロトコルに基づいている.量子カード 配布を用いる と,盗聴者( 悪意のあるプレーヤ)の発見が可能であ † り,情報理論的に安全なカード 配布を実現することが 東北大学大学院情報科学研究科,仙台市 Graduate School of Information Sciences, Tohoku University, 05 Aoba-yama, Aoba-ku, Sendai-shi, 980–8579 Japan †† 東北大学情報シナジーセンター,仙台市 n 人のプレーヤ P1 , P2 , . . . , Pn がいて,52 枚のカー Information Synergy Center, Tohoku University, Aoba- ドでゲームを行いたいとする.なお,本論文では便宜 yama, Aoba-ku, Sendai-shi, 980–8578 Japan ∗ できる.具体的には次のとおりである.デ ィーラ及び 科学技術振興事業団さきがけ研究 21 a) E-mail: koizumi@nishizeki.ecei.tohoku.ac.jp 電子情報通信学会論文誌 上カード の枚数を 52 と仮定するが,実際には任意の 枚数でよい.ディーラ及びプレーヤ P1 , P2 , . . . , Pn は A Vol. J86–A No. 4 pp. 465–473 2003 年 4 月 465 電子情報通信学会論文誌 2003/4 Vol. J86–A No. 4 3. で述べるような量子通信路上に存在しているとする (図 3 参照) .このとき,本論文の量子カード 配布を用 信路をもつとする.なお,以下本論文では,公開通信 路においては,盗聴することは可能ではあるが,改ざ いると次のことが可能である. んやなりすましは不可能であると仮定する. • 各プレーヤは好きなときに,デ ィーラから新し いカード を 1 枚受け取ることができる. • 各プレーヤは,自分以外のプレーヤが受け取っ Alice は 1 個の光子を送るとき,その光子に対し , 0 ,45◦ ,90◦ ,135◦ のうちいずれか一つの偏光方向 を与えることができる.すなわち,x◦ の偏光方向を たカード の中身を知ることができない. もった光子のことを x◦ -偏光光子と呼ぶことにすると, • デ ィーラは,各プレーヤに配布したカード の中 身を知ることができない. 本論文の構成は次のとおりである.2. では BB84 プ ◦ Alice は 0◦ -偏光光子,45◦ -偏光光子,90◦ -偏光光子, 135◦ -偏光光子の 4 種類の光子を送ることができる. Alice が 0◦ -偏光光子あるいは 90◦ -偏光光子を送るこ ロトコルを紹介する.3. で量子カード 配布を説明し , とを,ベース+で送るという.Alice が 45◦ -偏光光子 光子の有無を測定したら偏光の情報を必ず壊す盗聴者 あるいは 135◦ -偏光光子を送ることを,ベース×で送 に対して安全な量子カード 配布プ ロトコルを与える. るという. 4. では,一般の盗聴者に対して安全な量子カード 配布 Bob は 1 個の光子を受け取るとき,ベース+かベー プロトコルを与える.最後に,5. で結論と未解決問題 ス×のいずれかを選択しなければ ならない.Bob は を述べる. 2. 準 選択したベースを光子受信系に設定してから光子を受 備 け取る.Alice と Bob のベースが一致しているとき, 本論文で 提案する 量子カード 配布は ,1984 年に Alice の送った x◦ -偏光光子は,Bob によってそのま ま x◦ -偏光光子として受け取られる.一方,Alice と Bennett と Brassard が提案した量子暗号プロトコル, BB84 プロトコル [3],に基づいている.本章では,そ より Alice の送った光子は,図 2 に示すとおり,50% Bob のベースが一致していないとき,不確定性原理に の BB84 プロトコルを簡単に紹介する. Alice と Bob がいて,秘密鍵を共有したいとしよう. BB84 プロトコルを使うと,Alice と Bob はランダム なビット列を共有することができる.また,BB84 プ ロトコルでは,もし Eve が Alice と Bob の共有する ビット列を盗聴しようとすると,Alice と Bob は盗聴 者 Eve の存在を発見することができる.後ろで述べる ように,BB84 プロトコルは光子の量子的性質を利用 している. 図 1 に BB84 プロトコルの装置構成を示す.Alice は光子送信系をもち,Bob は光子受信系をもち,光子 送信系と光子受信系は量子通信路( 光ファイバ )で結 ばれている.Alice は量子通信路を通して Bob に光子 を送ることができ,Bob は Alice から送られてきた光 子を受け取ることができる.また,Alice と Bob は, 図 1 のような量子通信路のほかに,電話などの公開通 図 1 量子暗号の装置構成 Fig. 1 Quantum cryptography system. 466 図2 Fig. 2 Alice の送信光子と Bob の受信光子 Bob’s measurement of each photon transmitted by Alice. 論文/量子カード 配布 の確率で 2 種類の光子のうちいずれか一つの光子とし ◦ の偏光方向を正しく読み取ることができ,そうでなけ て Bob に受け取られる.例えば ,Alice が 0 -偏光光 れば偏光方向の読み取りを誤る.Eve は盗聴が検出さ 子を送り,Bob がベース+で受け取るならば,100%の れないようにするため,Eve 自身が測定したすべての 確率で 0◦ -偏光光子として Bob に受け取られる.それ 光子の複製を,Bob に対して再送信しなければならな ◦ に対し ,Alice が 0 -偏光光子を送り,Bob がベース い.Alice が m 個の光子を送り,Eve がすべての光子 ×で受け取るならば ,それぞれ 50%の確率で 45◦ -偏 を盗聴して,Eve がすべての光子を Bob に再送信した 光光子か 135◦ -偏光光子として Bob に受け取られる. としよう.このとき Alice と Bob は,ベースの一致し 以上により BB84 プロトコルを説明する準備が整っ た約 m/2 個の光子を用いて秘密鍵を共有しようとす た.まず量子通信路を用いて次のステップ 1 及び 2 を る.m 個の光子について Alice と Bob のベースが一 行う. 致したとする.もし仮に盗聴者 Eve が存在しないなら ◦ ◦ 1. Alice は 4 種類の光子( 0 -偏光光子,45 -偏光 光子,90◦ -偏光光子,135◦ -偏光光子)からランダムに 一つを選び ,その光子を Bob に送る. 2. Bob はランダムにベース+あるいはベース×を ば ,m 個の光子すべてについて偏光方向が Alice と 選び ,選んだベースを設定して Alice からの光子を受 具体的には以下のとおりである.m 個の光子すべて け取る. について Alice と Bob のベースは一致していること 上のステップ 1,2 を任意の回数だけ繰り返す.ここ を思い出そう.1 光子当り 1/2 の確率で Alice と Eve では m 回繰り返したとする.m 回繰り返した後で, のベースが一致し,このとき Alice と Bob の観測する Bob で一致する.しかし,ここでは Eve が途中で光子 の盗聴及び再送信を行うため,Alice と Bob で偏光方 向が一致しない光子が確率的に存在することになる. Alice と Bob は,公開通信路を用いて各光子に使用し 偏光方向は一致する.同様に,1 光子当り 1/2 の確率 たベースをお互いに公開する.Alice と Bob は各光子 で Alice と Eve のベースが一致しない.Alice と Bob に対しランダムにベースを選択しているので,1/2 の のベースは一致しているので,Alice と Eve のベース 確率で Alice と Bob のベースは一致する.よって,平 が一致しないとき,むろん Eve と Bob のベースは一 均的には,約 m/2 個の光子についてベースが一致す 致しなく,不確定性原理により Alice と Bob の観測す ることになる.Alice と Bob は,ベースの一致してい る偏光方向は 1/2 の確率で一致し ,1/2 の確率で一致 なかった光子については無視して,ベースの一致して しない.したがって,Alice と Eve のベースが一致せ いた光子についてだけ 考える.ベースの一致し てい ず,しかも Alice と Bob の偏光方向が 一致し ない確 た光子については,Alice の送った光子の偏光方向と 率は 1/2 × 1/2 = 1/4 である.以上により,m 個の Bob の受け取った光子の偏光方向が一致し ているの 光子すべてについて,Alice と Bob の観測する偏光方 で,それらの光子の偏光方向によりビット列を共有す 向は 1/4 の確率で一致せず,3/4 の確率で一致する. ることができる.すなわち,0◦ -偏光光子及び 45◦ -偏 よって,プロトコル実行後に,Alice と Bob の間で共 光光子をビット値 0 とし ,90◦ -偏光光子及び 135◦ -偏 有されるビット列の各ビットについて,1/4 の確率で 光光子をビット値 1 とすることにより,Alice と Bob 両者の値が一致しない.そこで,Alice と Bob の共有 は約 m/2 の長さのランダ ムなビット列を共有するこ するビット列の数ビットを選んで,公開通信路でビッ とができる. ト値を比較する.ここでは k ビット選んだとする.こ 次に,盗聴者 Eve が存在する場合を考える.Eve が のとき,あるビット値が異なる場合は,量子通信路に 盗聴を行うためには,Alice が送った光子を量子通信路 盗聴者 Eve が存在することになる.盗聴者 Eve の存 の途中で盗聴し ,その光子の偏光方向を読み取る必要 在を発見することができる確率は,1 − ( 43 )k である. がある.Eve は,Alice がベース+とベース×のどちら を選んで光子を送っているのかわからないので,光子 を読み取る際に,Bob と同様にランダムにベースを選 択するしかない.よって,1 光子につき Eve が Alice 以上が BB84 プロトコルによる秘密鍵共有の方法で ある. 3. 量子カード 配布 と同じベースを選択する確率は 1/2 であり,Alice と 本章では,本論文の主な結果である量子カード 配布 異なるベースを選択する確率も 1/2 である.Eve が Alice と同じベースを選択すれば,Alice の送った光子 を与える.3.1 においてモデルと装置構成を説明し , 3.2 においてプロトコルを与える.3.3 では,盗聴者 467 電子情報通信学会論文誌 2003/4 Vol. J86–A No. 4 が光子の有無を測定したら偏光の情報を必ず壊す場合 には提案方式が安全であることを示す. 3. 1 モデルと装置構成 52 枚のカード が あるとする.デ ィーラ 及び n 人 のプレーヤ P1 , P2 , . . . , Pn がいるとする.π ∈R S52 をランダ ムな置換とする.ただし ,S52 は 52 次の対 称群を表す.プレーヤ P1 , P2 , . . . , Pn は π を知って いても知っていなくてもよいが ,デ ィーラは π を知 らないと する .図 3 (a) のよ うに ,デ ィーラ及びプ レ ーヤ P1 , P2 , . . . , Pn は 52 芯の 光ファイバ 通信路 で直列に接続されており,デ ィーラは 装置 I をもち, P1 , P2 , . . . , Pn−1 は装置 III をもち,Pn は装置 II を 図 3 量子カード 配布に使用する量子通信路 Fig. 3 Quantum card dealing system. もつ.また,ディーラと P1 との間に装置 IV が設置 されている.各装置の機能は次のとおりである. • 装置 I:52 芯のケーブルを使用して 52 個の光 子を同時に送信することができる.なお,52 個の光子 布と呼ぶ.プレーヤ Pi にカード を 1 枚配布するには 各々に対して,4 種類の偏光方向のうちいずれか一つ 次のようにすればよい. を設定できる( 図 3 (b) 参照) . • 1 ≤ j ≤ i − 1 なる各プレーヤ Pj は,装置 III • 装置 II:52 芯のケーブルを使用して送られてき た 52 個の光子を,同時に読みとることができる.読 み取る際に,それぞれの 52 個の光子についてベース ディーラとプレーヤ Pi は装置 IV を介して直接結ばれ を設定できる( 図 3 (c) 参照) . た光子は,プレーヤ Pi においてはケーブル π(x) に • 装置 III:左右のケーブルをストレートに結線 する装置と,装置 II のど ちらかを随時選択して使用で きる装置である( 図 3 (d) 参照) . 届く. • 装置 IV:置換 π に対応して左右のケーブルを 置換するケーブル置換装置である( 図 3 (e) 参照) . ディーラは装置 IV にアクセスできず,π を知らない にして,時刻 1 から時刻 k までの間に,合計 52 k − 1 としてストレート 結線装置を選択する.したがって, るので,デ ィーラがケーブル x (1 ≤ x ≤ 52) に送っ • ディーラは,ランダムにカード 番号 c ∈R C と, 時刻 t ∈R {1, 2, · · · , k} を選ぶ.デ ィーラは次のよう 個の光子を装置 I を使って送信する. ( i ) 時刻 t 以外のとき とする.したがって,デ ィーラは,デ ィーラ側のケー 52 本のケーブルそれぞれに対し ,4 種類の光子からラ ブル番号とプレ ーヤ側のケーブ ル番号の対応がわか ンダ ムに一つを選び ,選んだ光子を送る.すなわち, らない.また,BB84 プロトコルと同様に,n 人のプ 合計 52 個のランダ ムな光子を同時に 52 芯を使って レーヤは,共通の公開通信路をもつとする. 送る. 3. 2 プロト コル 本節では,前節の装置構成を用いて量子カード 配布 ( ii ) 時刻 t のとき ケーブル c 以外の 51 本のケーブルそれぞれに対し , を実現するプロトコルを与える.なお,これからの議 4 種類の光子からランダムに一つを選び ,選んだ光子 論においては,すべての測定について量子的な損失が を送る.すなわち,合計 51 個のランダ ムな光子を同 全くないものとし ,理想的な状況で考える. ディーラはカード 番号の集合 C を準備する.C の初 期状態は,C = {1, 2, . . . , 52} である.また,デ ィー 時に 51 芯を使って送る.ケーブル c には光子を送ら ない. • プレーヤ Pi は,装置 II を使い,各時刻の各光 ラは配布カード 集合 U1 , U2 , . . . , Un を準備する.初期 子に対しランダムにベースを設定して,送られてきた 状態は,U1 = U2 = · · · = Un = ∅ である.セキュリ 52 k − 1 個の光子をすべて受け取る.プレーヤ Pi は, ティパラメータとして,自然数 k を選ぶ.k が大きい 時刻 t においてケーブル π(c) にだけ光子が送られな ほど 盗聴者を検出できる確率が 1 に近づく. かったことを知ることにより,カード π(c) を受け取っ 以下に本プロトコルを示す.これを k-量子カード 配 468 たとみなす. 論文/量子カード 配布 次に,悪意のあるプレーヤ Pj が不正をする次の二 つの場合を考える. 場合 1:Pj が自分の所持するカード の情報を改ざん する場合 任意のプレーヤ Pj による所持カード の改ざんにつ いて考える.各プレーヤに配布されたカード の内容は, 自分自身のみが知っており,所持するカード について の物理的な証拠は存在しない.そのため,プロトコル Fig. 4 図 4 カード 配布の例 An example of the execution of quantum card dealing. 実行中に,あるプレーヤが所持するカード の内容を公 表する必要が生じた場合,実際には配布されていない カード 番号を提示し ,不正にゲームを有利に進めるこ • ディーラは,カード π(c) をプレーヤ Pi に対し て配布したことを記憶するため,Ui := Ui ∪ {c} とす る.また,以後カード π(c) を配布しないようにする ため,C := C − {c} とする. 上のプロトコルを繰り返すことにより,ディーラは プレーヤにカード をランダムに配布することができる. 図 4 は,プレ イヤ P2 がカード を 1 枚受け取る場 合のプ ロト コルの実行例である.ケーブ ル置換装置 IV は π(2) = 4 なる置換 π に対応し ているとする. ディーラはケーブル(カード )番号 c = 2,時刻 t = 3 を選び ,この部分には光子を送らない.プレーヤ P2 とを考えるかもしれない.これを防ぐために,プロト コル終了後,すべてのプレーヤに配布されたカード の 内容を秘密にしておく必要がなくなった時点で,置換 π を公開し,ディーラは集合 U1 , U2 , . . . , Un を公開す る.各プレーヤは π と U1 , U2 , . . . , Un からすべての プレーヤに配布されたカード を知ることができる.も しプレーヤ Pi が不正なカード 番号を使用していた場 合,ここで発見できる.以上のようにすれば ,プレー ヤ Pi のカード 番号の改ざんによる不正を検知できる. 場合 2:Pj が他のプレーヤ Pi に配布されたカード を盗聴する場合 は光子測定によりケーブル 4 を使用して送られた光子 前節で説明した k -量子カード 配布により,プレー 数が他のケーブルの光子数より 1 個だけ少ないことを ヤ Pi がカード を 1 枚受け取ったとする.まず,悪意 知る.これにより,プレーヤ P2 にはカード 4 が配布 のあるプレーヤ Pj (j ≤ i − 1) が,プレーヤ Pi に配 されたことになる. デ ィーラ及び 各プ レ ーヤが 不正を 行わな いと き , 布されたカード を盗聴により不正に知ろうとしても, そのようなプレーヤ Pj の存在を圧倒的確率で検出で ディーラは置換 π を知らないので,プレーヤに配布さ きることを示す.悪意のあるプレーヤ Pj は,正規の れるカード の中身 π(c) を知ることはできない.また, プレ ーヤ Pi と同様にして 52 k − 1 個の光子を受信 プレーヤも,自分に配布されたカード 以外については し,どのケーブルに k − 1 個の光子が送られたかを調 知ることができない.次節では,プレーヤが不正を行 べた後,光子を再送することにより,Pi のカード を知 う場合について考える. ることができる.これを攻撃 1 と呼ぶ.この攻撃を防 3. 3 安 全 性 ぐことはできないが ,1 に近い確率で検出することが 本節では,k-量子カード 配布の安全性を示す. 可能である.以下にその方法を述べる. 最初に,本プロトコルに対する結託攻撃について考 察する.まず,デ ィーラと任意のプレーヤが結託する 場合,本プ ロトコルは安全ではなくなる.なぜなら, 1. ディーラとプレーヤ Pi は,光子の送受信の後, すべての光子について選択したベースを公表する. 2. 次に,2 人はベースが一致した光子について送 ディーラが π を知っている場合,ディーラは自身のも 信時の偏光方向と受信した偏光方向が一致しているか つケーブルとカード の対応を知ることができるためで ど うかを確認する. ある.結託したプレーヤが π をディーラに知らせるこ このとき,偏光方向の異なる光子が一つでも存在し とにより,希望するカード を自由に請求することが可 た場合,盗聴されていたことになる.なぜなら,盗聴 能になる.よって,本プロトコルにおいてはデ ィーラ 者がいない場合,送受信ベースの同じ 光子の偏光方向 と任意のプレーヤの結託はないと仮定する必要がある. は確実に一致するからである.次の定理が成立する. 469 電子情報通信学会論文誌 2003/4 Vol. J86–A No. 4 [ 定理 1 ] k-量子カード 配布に対して攻撃 1 が行われ たとき,確率 1 − ( 78 )52 k−1 で攻撃を検出できる. かる. 最後に,盗聴者 Pj が偏光を乱すことなく光子の個 ( 証明) デ ィーラとプレーヤ Pi のベースが一致する 数を測定できる( 量子非破壊測定ができる)場合には 確率は 1 光子につき 1/2 である.盗聴者の選択した 上のプロトコルは安全ではないことを示そう.量子非 ベースは,デ ィーラの選択したベースと異なっていな 破壊測定を行うことができる盗聴者 Pj (j ≤ i − 1) が, ければ盗聴検出ができない.盗聴者の選択したベース Pi に送られたカード を盗聴により不正に知ろうとし が異なる確率は 1 光子につき 1/2 である.ディーラと たとする.量子非破壊測定とは,光子を測定するとき, Pi のベースが一致し ,盗聴者のベースが一致してい 光子の状態を変えずに測定する方法のことをいう.量 ないとする(このようなことが起こる確率は 1 光子当 子非破壊測定を行うことにより,偏光を変えることな り 1/4 である) .盗聴者は,プレーヤ Pi に対して光 く光子数を測定できることが 知られている [7].k-量 子を再送しなければならないが,盗聴者と Pi のベー 子カード 配布において量子非破壊測定を行うことがで スが一致していないため,デ ィーラと Pi の偏光方向 きる盗聴者は,何の副作用もなくカード 情報を得るこ は 1/2 の確率で一致し,1/2 の確率で一致しない.す とができてし まう.なぜなら,本プロトコルにおいて なわち,このとき 1/2 の確率で盗聴者の存在を検出で カード 情報は光子数にのみ符号化されているためであ きる.以上により,1 個の光子の送受信の結果から盗 る.すなわち,量子非破壊測定を行うことができる盗 聴者に対して,k-量子カード 配布は全く安全ではない. 聴者の検出を 1/8 の確率で行うことができる. 盗聴者が 1 枚のカード を完全に盗聴するためには, しかし ,現在用いられているフォトンデ ィテクタによ 52 k − 1 個の光子をすべて読み取る必要がある.この る “stop and resend” 方式等の光子数測定法では,光 とき,盗聴が検出されない確率は, 子の有無を測定したら偏光の情報が壊れてしまうため, 52 k−1 本プロトコルは量子非破壊測定ができない盗聴者に対 7 8 しては有効である. である.よって,1 枚のカード を配布するときの盗聴 者検出確率は, 52 k−1 1− 本章では,盗聴者が量子非破壊測定できる場合でも 7 8 である. 4. 盗聴者が量子非破壊測定できる場合の プロト コル 安全に量子カード 配布を行うことができるプロトコル を与える.4.1 において装置構成について説明し,4.2 ✷ において本章のプロトコルを具体的に与える.そのプ 定理 1 により,セキュリティパラメータ k を大きく ロトコルでは,カード の情報を偏光方向に符号化する することで,圧倒的確率で攻撃 1 を検出できることが ことにより,量子非破壊測定による攻撃を不可能にす わかる. る.更に,秘密分散法を利用することによりカード 情 次に,プレ ーヤ Pj がある特定のカード x がだれ かに配布されたかど うかを不正に知りたい場合を考え る.盗聴者 Pj は,カード 内容の完全な盗聴ではなく, カード x が配布されているかど うかを調べたいので, すべての光子を調べる必要はなく,x に対応するケー 報の盗聴行為を困難にする.最後に,4.3 において本 章のプロトコルの安全性について述べる. 4. 1 準 備 本章のプロトコルにおける装置構成は,基本的に図 3 の k-量子カード 配布と同じ構成を使用する.ただし, ブルのみを使用して光子の送受信を行うだけでよい. 装置 IV を設置する代わりに,あらかじめすべてのプ これを攻撃 2 と呼ぶ.このとき,盗聴者に読み取られ レーヤで π ∈R S52 を共有しておく.このときデ ィー る光子数は,k − 1 または k である.したがって,次 ラは π を知らないものとする. の定理が直ちに成立する. また,k-量子カード 配布と同様に,デ ィーラはカー [ 定理 2 ] k-量子カード 配布に対して攻撃 2 が行われ ド 番 号 の 集 合 C を 準 備 す る .C の 初 期 状 態は , たとき,確率 1 − ( 78 )k−1 以上で攻撃を検出できる. C = {1, 2, . . . , 52} であ る.セキュリティパラ メー タとして,自然数 k を選ぶ.k が大きいほど 盗聴者を 検出できる確率が 1 に近づく. 定理 1 及び定理 2 により,セキュリティパラメータ k が大きいほど ,盗聴者の検出が容易になることがわ 470 論文/量子カード 配布 4. 2 プロト コル 本章のプ ロトコルでは,52 枚のカード を符号化す 表 1 時刻 t に送る光子の偏光方向の選択 Table 1 A choice of photons’ polarization at time t. るために秘密分散法を利用する.秘密分散法とは,秘 密情報 c を k 個の分散情報 ei (i = 1, 2, . . . , k) に符号 化し,ei のうちの任意の l 個の分散情報を集めること ができれば,もとの秘密情報 c を完全に復元すること ができるが,どの l − 1 個の分散情報からでも,もと の秘密情報 c について全く情報が得られない系のこと をいう.このような特徴をもつ秘密分散法のことを, (l, k) しきい値秘密分散法という [11]. 定したベースでランダムに読み取ることになる. ( iv ) プレーヤ Pi は,すべてのケーブルの偏光方 向を比較して,ただ一つのみ偏光方向の異なる光子の デ ィーラは ,カード を 1 枚配布するご とに ,(l, k) 送られたケーブルを探す.デ ィーラとプレーヤ Pi の しきい値秘密分散法を用いて c を符号化する.本節の ベースが一致していた場合は,確実にケーブル et の プロトコルを用いてプレーヤ Pi にカード を 1 枚配布 光子のみ偏光方向が 異なるはずである.このときプ するには次のようにすればよい. レーヤ Pi は,分散情報 et を得る.偏光方向の異なる ( 1 ) 1 ≤ j ≤ i − 1 なる各プレーヤ Pj は,装置 光子の送られたケーブルが 2 本以上存在した場合は, III としてストレート結線装置を選択する. ( 2 ) デ ィーラは,ランダ ムにカード 番号 c ∈R C を選び ,c を (l, k) し きい値秘密分散法を用いて,k ディーラとベースが一致しなかったことを知り,et を 個の分散情報 e1 , e2 , . . . , ek に 符号化する.ここで , ベースをディーラに公開通信路で伝える.ディーラは, e1 , e2 , . . . , ek ∈ C である.すべてのプレーヤは,l 個 以上の分散情報を得ることができれば ,c を復元で ベースとを比較し,一致した時刻の個数を調べる.一 きる. ( 3 ) デ ィーラは k 個の 分 散情報をプ レ ーヤ Pi 得ることができない. ( 4 ) プレ ーヤ Pi は ,各時刻に選択し た k 個の 受け取ったプレーヤ Pi のベースと,自分の選択した 致し たベースの個数が l 以上の場合,デ ィーラはプ レーヤ Pi が分散情報を l 個以上得たことを知る.そ に 送るために ,時刻 1 から 時刻 k まで の 間に ,合 の後,デ ィーラはベースの一致したすべての時刻をプ 計 52k 個の光子を装置 I を使って送信する.時刻 t レーヤ Pi に伝える.一致したベースの個数が l 未満 (t = 1, 2, . . . , k) に分散情報 et を送るために,ディー ラとプレーヤ Pi は時刻 t に次のようにして光子を送 の場合は,プロトコルを( 2 )からやり直す(ただし , 受信する. k 及び l を適切に選択することにより,このような 「やり直し 」が発生する確率を小さくできる) . ( i ) デ ィーラは,+か×かいずれかのベースをラ ( 5 ) プレーヤ Pi は,ディーラとベースの一致し ンダムに一つ選ぶ.更に,ランダムに a ∈R {0, 1} を た時刻で得た l 個以上の分散情報から,秘密分散法を 決める. ( ii ) デ ィーラは,すべてのケーブルに同時に光子 を送る.ただし ,ケーブル et 以外のすべてのケーブ ルには同じ 偏光方向をもった光子を送るが,ケーブル 用いて c を復元する.このとき,プレーヤ Pi はカー ド π(c) を受け取ったとみなす. ( 6 ) デ ィーラは,以後カード π(c) を配布しない ようにするため,C := C − {c} とする. et に送る光子の偏光方向とは異なるようにする.各 上のプロトコルを繰り返すことにより,デ ィーラは ケーブルに送る光子の偏光方向は, ( i )でディーラの プレーヤにカード をランダムに配布することができる. 選択したベースと値 a から,表 1 のように決める. ( iii ) プレ ーヤ Pi は ,ランダ ムにベースを選び , 4. 3 プロト コルの安全性 本章のプロトコルの安全性を示そう.k-量子カード 装置 II を使い,すべてのケーブルに同じベースを設定 配布と同様,ディーラとプレーヤの結託はないものと して,送られてきた k 個の光子をすべて受け取る.こ する. のとき,デ ィーラとプレーヤ Pi のベースが一致して 本章のプロトコルでは,送る情報を光子の偏光方向 いた場合は,送られたすべての光子の偏光方向を確実 に符号化しているため,たとえ盗聴者が量子非破壊測 に読み取ることになり,ベースが異なっていた場合は, 定を用いて光子数を測定したとしても何の情報も漏れ 送られたすべての光子の偏光方向をプレーヤ Pi の設 ない.よって,本章のプロトコルは量子非破壊測定に 471 電子情報通信学会論文誌 2003/4 Vol. J86–A No. 4 よる攻撃に対して安全である. [2] two nonorthogonal states,” Phys. Rev. Lett., vol.68, 次に,以下の場合を考える.本章の量子カード 配布 により,プレーヤ Pi がカード を 1 枚受け取ったとす る.悪意のあるプレーヤ Pj (j ≤ i − 1) は,正規のプ C.H. Bennett, “Quantum cryptography using any pp.3121–3124, 1992. [3] C.H. Bennett and G. Brassard, “Quantum cryptography: Public key distribution and coin tossing,” Proc. レーヤ Pi と同様にして 52 k 個の光子を受信し,分散 IEEE International Conference on Computers, Sys- 情報を l 個以上読み取ろうとする.これを攻撃 3 と呼 tems and Signal Processing, pp.175–179, Bangalore, ぶ.この攻撃を防ぐことはできないが,次のようにす India, 1984. [4] C. Crepéau, “A zero-knowledge poker protocol that れば高い確率で検出することが可能である. achieves confidentiality of players’ strategy or how to • デ ィーラとプレーヤ Pi は,ベースが一致した すべての時刻 t について,ケーブル et の偏光方向を achieve an electronic poker face,” Proc. CRYPTO’86, 比較し ,2 人の偏光方向が一致しているかど うかを確 Lecture Notes in Compute Science, vol.263, pp.239– 247, 1986. [5] 認する. tion and how to play mental poker keeping secret all partial information,” Proc. Fourteenth Annual ACM このとき,偏光方向の異なる光子が一つでも存在し Symposium on Theory of Computing, pp.365–377, た場合,盗聴されていたことになる.なぜなら,盗聴 者がいない場合,送受信ベースの同じ 光子の偏光方向 1982. [6] は確実に一致するからである. mental realization of quantum cryptosystem,” IEICE Trans. Fundamentals, vol.E85-A, no.1, pp.149–157, とで,高い確率で攻撃 3 を検出できることがわかる. Jan. 2002. [7] す び T. Hasegawa, T. Nishioka, H. Ishizuka, J. Abe, K. Shimizu, M. Matsui, and S. Takeuchi, “An experi- よって,セキュリティパラメータ k を大きくするこ 5. む S. Goldwasser and S. Micali, “Probabilistic encryp- N. Imoto, H.A. Haus, and Y. Yamamoto, “Quantum nondemolition measurement of the photon number via the optical Kerr effect,” Phys. Rev. A, vol.32, 本論文では,メンタルポーカープロトコルと量子暗 号の融合ともいうべき,量子カード 配布を提案した. pp.2287–2292, 1985. [8] K. Kurosawa, Y. Katayama, and W. Ogata, “Reshuf- 量子カード 配布により複数人のプレーヤに対してカー flable and laziness tolerant mental card game proto- ド を安全に配布することができ,公平なカード ゲーム col,” IEICE Trans. Fundamentals, vol.E80-A, no.1, を行うことができる.本方式は,情報理論的に安全で pp.72–78, Jan. 1997. [9] S.J.D. Phoenix, S.M. Barnett, P.D. Townsend, and あり,悪意のあるプレーヤが無制限の計算能力をもっ K.J. Blow, “Multi-user quantum cryptography on op- ていても安全である. tical networks,” J. Modern Optics, vol.42, pp.1155– 4. のプロトコルは,その装置構成においてケーブル の本数を 52 としたが,時分割による光子送受信を用 いることにより,ケーブル 1 本でも実行可能である. 1163, 1995. [10] H. Zbinden, “Automated ‘plug & play’ quantum key distribution,” Electron. Lett., vol.34, pp.2116–2117, 1998. 本論文では,デ ィーラの存在を仮定したが,デ ィー ラを必要としないプロトコルを考案することが残され た課題である.また,本論文では光子検出効率を 1 と [11] A. Shamir, “How to share a secret,” Commun. ACM, [12] A. Shamir, R.L. Rivest, and L.M. Adleman, “Mental no.22, pp.612–613, 1979. 仮定したが,この数値は現実的ではない.光子検出効 poker,” in Mathematical Gardner, ed. D.E. Klarner, Wadsworth International, pp.37–41, 1981. 率が低い場合でも成立するプロトコルの考案も残され [13] た課題である. 謝辞 本研究に関して,有益な御助言を頂いた東北 大学大学院静谷啓樹教授,徳山豪教授及び小澤正直教 授に感謝致します.また,査読者から有益な意見を頂 いたことに謝意を表します.なお,本研究の一部は国 際コミュニケーション基金から援助を受けた. 文 [1] 献 I. Bárány and Z. Fǔredi, “Mental poker with three or more players,” Inf. Control, vol.59, pp.84–93, 1983. 472 G. Ribordy, J.D. Gautier, N. Gisin, O. Guinnard, and 竹内繁樹,“量子計算と量子情報通信—何が可能になるの か, ” 信学誌,vol.84, no.1, pp.17–25, 2001. ( 平成 14 年 5 月 16 日受付,10 月 21 日再受付, 11 月 29 日最終原稿受付) 論文/量子カード 配布 小泉 康一 ( 学生員) 平 12 東北大・工・電子卒.現在,同大大 学院博士後期課程在学中.量子暗号,カー ド 配布による安全な鍵共有に関する研究に 従事. 水木 敬明 ( 正員) 平 7 東北大・工・情報卒.平 12 同大大 学院博士課程了.博士( 情報科学 ) .同年 同大助手.現在同助教授.情報理論的に安 全な鍵共有に関する研究に従事.科学技術 振興事業団さきがけ研究 21 研究員. 西関 隆夫 ( 正員) 昭 44 東北大・工・通信卒.昭 49 同大大 学院博士課程了.工博.同年同大助手.現 在同教授.アルゴ リズム,暗号理論,計算 幾何学,グラフ描画,グラフ理論の研究と 教育に従事.IEEE Fellow,ACM Fellow, 情報処理学会,日本応用数理学会各会員. 473
© Copyright 2024 Paperzz