量子カード配布 - 電気・情報系 - Tohoku University

論
文
量子カード 配布
小泉 康一† a)
水木 敬明††∗
西関 隆夫†
Quantum Card Dealing
Koichi KOIZUMI† a) , Takaaki MIZUKI††∗ , and Takao NISHIZEKI†
あらまし メンタルポーカープロトコルは,公開通信路を使ってカードゲームを行うためのプロトコルであり,
これまで数々のメンタルポーカープロトコルが考案されてきた.それらのプロトコルのほとんどは計算量的に安
全( 公平)であるが,情報理論的に安全というわけではない.一方,情報理論的に安全な秘密鍵を共有するため
の方法として,量子暗号がある.本論文では,量子暗号を利用したメンタルポーカープロトコル,すなわち量子
カード 配布を提案する.量子カード 配布を用いると,各プレーヤはいつでも新しいカード を受け取ることができ,
カード を配布されたプレーヤ以外の人はカード の内容を知ることができない.本プロトコルは情報理論的に安全
である.
キーワード
量子暗号,メンタルポーカー,カード 配布
通信路の使用を仮定するのではなく,物理的に盗聴不
1. ま え が き
可能な秘密通信路の使用を仮定すれば ,情報理論的に
「 電話でポーカーゲームができるか?」という問い
に始まり,これまで数々のいわゆるメンタルポーカー
安全なメンタルポーカープロトコルを構成できること
が知られている [1].
プロトコルが考案されてきた [1], [4], [5], [8], [12].メン
一般的に,電話やインターネットなどの公開通信路
タルポーカープロトコルを用いると,ゲームをするプ
においては,盗聴者の発見は不可能である.それに対
レ ーヤが 1 箇所に集まらなくても,電話や インター
して,量子通信路においては,量子暗号を用いること
ネットなどの公開通信路を使用してカード ゲームを公
により盗聴者の発見が可能であり,様々な量子暗号プ
平に行うことができる.例えば ,各々のプレーヤに 5
ロトコルが考案されている [2], [3], [9].量子暗号プロト
枚ずつカード を配布したり,ある特定のプレーヤに追
コルの最も代表的なものの一つは,1984 年に Bennett
加のカード を配布したりすることができる.ほとんど
と Brassard が開発した BB84 プロトコル [3] であり,
の メンタルポーカープ ロト コルは ,離散対数問題な
そのプロトコルを 2. で紹介する.また,近年,量子
どの数論的問題を利用しており,プロトコルの安全性
( 公平性)の根拠を数論的問題の難しさに置いている.
通信路及び量子暗号プロトコルの実用化に向けた実験
が急速に進んでいる [6], [10], [13].
したがって,ほとんどのメンタルポーカープロトコル
本論文では,量子暗号を利用したメンタルポーカー
は計算量的に安全であり,情報理論的に安全というわ
プロトコル,すなわち量子カード 配布を提案する.本
けではなく,盗聴者( 悪意のあるプレーヤ)の計算能
論文で提案する量子カード 配布のプロトコルは,BB84
力によっては安全ではなくなってしまう.なお,公開
プロトコルに基づいている.量子カード 配布を用いる
と,盗聴者( 悪意のあるプレーヤ)の発見が可能であ
†
り,情報理論的に安全なカード 配布を実現することが
東北大学大学院情報科学研究科,仙台市
Graduate School of Information Sciences, Tohoku University, 05 Aoba-yama, Aoba-ku, Sendai-shi, 980–8579 Japan
††
東北大学情報シナジーセンター,仙台市
n 人のプレーヤ P1 , P2 , . . . , Pn がいて,52 枚のカー
Information Synergy Center, Tohoku University, Aoba-
ドでゲームを行いたいとする.なお,本論文では便宜
yama, Aoba-ku, Sendai-shi, 980–8578 Japan
∗
できる.具体的には次のとおりである.デ ィーラ及び
科学技術振興事業団さきがけ研究 21
a) E-mail: koizumi@nishizeki.ecei.tohoku.ac.jp
電子情報通信学会論文誌
上カード の枚数を 52 と仮定するが,実際には任意の
枚数でよい.ディーラ及びプレーヤ P1 , P2 , . . . , Pn は
A Vol. J86–A No. 4 pp. 465–473 2003 年 4 月
465
電子情報通信学会論文誌 2003/4 Vol. J86–A No. 4
3. で述べるような量子通信路上に存在しているとする
(図 3 参照)
.このとき,本論文の量子カード 配布を用
信路をもつとする.なお,以下本論文では,公開通信
路においては,盗聴することは可能ではあるが,改ざ
いると次のことが可能である.
んやなりすましは不可能であると仮定する.
• 各プレーヤは好きなときに,デ ィーラから新し
いカード を 1 枚受け取ることができる.
• 各プレーヤは,自分以外のプレーヤが受け取っ
Alice は 1 個の光子を送るとき,その光子に対し ,
0 ,45◦ ,90◦ ,135◦ のうちいずれか一つの偏光方向
を与えることができる.すなわち,x◦ の偏光方向を
たカード の中身を知ることができない.
もった光子のことを x◦ -偏光光子と呼ぶことにすると,
• デ ィーラは,各プレーヤに配布したカード の中
身を知ることができない.
本論文の構成は次のとおりである.2. では BB84 プ
◦
Alice は 0◦ -偏光光子,45◦ -偏光光子,90◦ -偏光光子,
135◦ -偏光光子の 4 種類の光子を送ることができる.
Alice が 0◦ -偏光光子あるいは 90◦ -偏光光子を送るこ
ロトコルを紹介する.3. で量子カード 配布を説明し ,
とを,ベース+で送るという.Alice が 45◦ -偏光光子
光子の有無を測定したら偏光の情報を必ず壊す盗聴者
あるいは 135◦ -偏光光子を送ることを,ベース×で送
に対して安全な量子カード 配布プ ロトコルを与える.
るという.
4. では,一般の盗聴者に対して安全な量子カード 配布
Bob は 1 個の光子を受け取るとき,ベース+かベー
プロトコルを与える.最後に,5. で結論と未解決問題
ス×のいずれかを選択しなければ ならない.Bob は
を述べる.
2. 準
選択したベースを光子受信系に設定してから光子を受
備
け取る.Alice と Bob のベースが一致しているとき,
本論文で 提案する 量子カード 配布は ,1984 年に
Alice の送った x◦ -偏光光子は,Bob によってそのま
ま x◦ -偏光光子として受け取られる.一方,Alice と
Bennett と Brassard が提案した量子暗号プロトコル,
BB84 プロトコル [3],に基づいている.本章では,そ
より Alice の送った光子は,図 2 に示すとおり,50%
Bob のベースが一致していないとき,不確定性原理に
の BB84 プロトコルを簡単に紹介する.
Alice と Bob がいて,秘密鍵を共有したいとしよう.
BB84 プロトコルを使うと,Alice と Bob はランダム
なビット列を共有することができる.また,BB84 プ
ロトコルでは,もし Eve が Alice と Bob の共有する
ビット列を盗聴しようとすると,Alice と Bob は盗聴
者 Eve の存在を発見することができる.後ろで述べる
ように,BB84 プロトコルは光子の量子的性質を利用
している.
図 1 に BB84 プロトコルの装置構成を示す.Alice
は光子送信系をもち,Bob は光子受信系をもち,光子
送信系と光子受信系は量子通信路( 光ファイバ )で結
ばれている.Alice は量子通信路を通して Bob に光子
を送ることができ,Bob は Alice から送られてきた光
子を受け取ることができる.また,Alice と Bob は,
図 1 のような量子通信路のほかに,電話などの公開通
図 1 量子暗号の装置構成
Fig. 1 Quantum cryptography system.
466
図2
Fig. 2
Alice の送信光子と Bob の受信光子
Bob’s measurement of each photon
transmitted by Alice.
論文/量子カード 配布
の確率で 2 種類の光子のうちいずれか一つの光子とし
◦
の偏光方向を正しく読み取ることができ,そうでなけ
て Bob に受け取られる.例えば ,Alice が 0 -偏光光
れば偏光方向の読み取りを誤る.Eve は盗聴が検出さ
子を送り,Bob がベース+で受け取るならば,100%の
れないようにするため,Eve 自身が測定したすべての
確率で 0◦ -偏光光子として Bob に受け取られる.それ
光子の複製を,Bob に対して再送信しなければならな
◦
に対し ,Alice が 0 -偏光光子を送り,Bob がベース
い.Alice が m 個の光子を送り,Eve がすべての光子
×で受け取るならば ,それぞれ 50%の確率で 45◦ -偏
を盗聴して,Eve がすべての光子を Bob に再送信した
光光子か 135◦ -偏光光子として Bob に受け取られる.
としよう.このとき Alice と Bob は,ベースの一致し
以上により BB84 プロトコルを説明する準備が整っ
た約 m/2 個の光子を用いて秘密鍵を共有しようとす
た.まず量子通信路を用いて次のステップ 1 及び 2 を
る.m 個の光子について Alice と Bob のベースが一
行う.
致したとする.もし仮に盗聴者 Eve が存在しないなら
◦
◦
1. Alice は 4 種類の光子( 0 -偏光光子,45 -偏光
光子,90◦ -偏光光子,135◦ -偏光光子)からランダムに
一つを選び ,その光子を Bob に送る.
2. Bob はランダムにベース+あるいはベース×を
ば ,m 個の光子すべてについて偏光方向が Alice と
選び ,選んだベースを設定して Alice からの光子を受
具体的には以下のとおりである.m 個の光子すべて
け取る.
について Alice と Bob のベースは一致していること
上のステップ 1,2 を任意の回数だけ繰り返す.ここ
を思い出そう.1 光子当り 1/2 の確率で Alice と Eve
では m 回繰り返したとする.m 回繰り返した後で,
のベースが一致し,このとき Alice と Bob の観測する
Bob で一致する.しかし,ここでは Eve が途中で光子
の盗聴及び再送信を行うため,Alice と Bob で偏光方
向が一致しない光子が確率的に存在することになる.
Alice と Bob は,公開通信路を用いて各光子に使用し
偏光方向は一致する.同様に,1 光子当り 1/2 の確率
たベースをお互いに公開する.Alice と Bob は各光子
で Alice と Eve のベースが一致しない.Alice と Bob
に対しランダムにベースを選択しているので,1/2 の
のベースは一致しているので,Alice と Eve のベース
確率で Alice と Bob のベースは一致する.よって,平
が一致しないとき,むろん Eve と Bob のベースは一
均的には,約 m/2 個の光子についてベースが一致す
致しなく,不確定性原理により Alice と Bob の観測す
ることになる.Alice と Bob は,ベースの一致してい
る偏光方向は 1/2 の確率で一致し ,1/2 の確率で一致
なかった光子については無視して,ベースの一致して
しない.したがって,Alice と Eve のベースが一致せ
いた光子についてだけ 考える.ベースの一致し てい
ず,しかも Alice と Bob の偏光方向が 一致し ない確
た光子については,Alice の送った光子の偏光方向と
率は 1/2 × 1/2 = 1/4 である.以上により,m 個の
Bob の受け取った光子の偏光方向が一致し ているの
光子すべてについて,Alice と Bob の観測する偏光方
で,それらの光子の偏光方向によりビット列を共有す
向は 1/4 の確率で一致せず,3/4 の確率で一致する.
ることができる.すなわち,0◦ -偏光光子及び 45◦ -偏
よって,プロトコル実行後に,Alice と Bob の間で共
光光子をビット値 0 とし ,90◦ -偏光光子及び 135◦ -偏
有されるビット列の各ビットについて,1/4 の確率で
光光子をビット値 1 とすることにより,Alice と Bob
両者の値が一致しない.そこで,Alice と Bob の共有
は約 m/2 の長さのランダ ムなビット列を共有するこ
するビット列の数ビットを選んで,公開通信路でビッ
とができる.
ト値を比較する.ここでは k ビット選んだとする.こ
次に,盗聴者 Eve が存在する場合を考える.Eve が
のとき,あるビット値が異なる場合は,量子通信路に
盗聴を行うためには,Alice が送った光子を量子通信路
盗聴者 Eve が存在することになる.盗聴者 Eve の存
の途中で盗聴し ,その光子の偏光方向を読み取る必要
在を発見することができる確率は,1 − ( 43 )k である.
がある.Eve は,Alice がベース+とベース×のどちら
を選んで光子を送っているのかわからないので,光子
を読み取る際に,Bob と同様にランダムにベースを選
択するしかない.よって,1 光子につき Eve が Alice
以上が BB84 プロトコルによる秘密鍵共有の方法で
ある.
3. 量子カード 配布
と同じベースを選択する確率は 1/2 であり,Alice と
本章では,本論文の主な結果である量子カード 配布
異なるベースを選択する確率も 1/2 である.Eve が
Alice と同じベースを選択すれば,Alice の送った光子
を与える.3.1 においてモデルと装置構成を説明し ,
3.2 においてプロトコルを与える.3.3 では,盗聴者
467
電子情報通信学会論文誌 2003/4 Vol. J86–A No. 4
が光子の有無を測定したら偏光の情報を必ず壊す場合
には提案方式が安全であることを示す.
3. 1 モデルと装置構成
52 枚のカード が あるとする.デ ィーラ 及び n 人
のプレーヤ P1 , P2 , . . . , Pn がいるとする.π ∈R S52
をランダ ムな置換とする.ただし ,S52 は 52 次の対
称群を表す.プレーヤ P1 , P2 , . . . , Pn は π を知って
いても知っていなくてもよいが ,デ ィーラは π を知
らないと する .図 3 (a) のよ うに ,デ ィーラ及びプ
レ ーヤ P1 , P2 , . . . , Pn は 52 芯の 光ファイバ 通信路
で直列に接続されており,デ ィーラは 装置 I をもち,
P1 , P2 , . . . , Pn−1 は装置 III をもち,Pn は装置 II を
図 3 量子カード 配布に使用する量子通信路
Fig. 3 Quantum card dealing system.
もつ.また,ディーラと P1 との間に装置 IV が設置
されている.各装置の機能は次のとおりである.
• 装置 I:52 芯のケーブルを使用して 52 個の光
子を同時に送信することができる.なお,52 個の光子
布と呼ぶ.プレーヤ Pi にカード を 1 枚配布するには
各々に対して,4 種類の偏光方向のうちいずれか一つ
次のようにすればよい.
を設定できる( 図 3 (b) 参照)
.
• 1 ≤ j ≤ i − 1 なる各プレーヤ Pj は,装置 III
• 装置 II:52 芯のケーブルを使用して送られてき
た 52 個の光子を,同時に読みとることができる.読
み取る際に,それぞれの 52 個の光子についてベース
ディーラとプレーヤ Pi は装置 IV を介して直接結ばれ
を設定できる( 図 3 (c) 参照)
.
た光子は,プレーヤ Pi においてはケーブル π(x) に
• 装置 III:左右のケーブルをストレートに結線
する装置と,装置 II のど ちらかを随時選択して使用で
きる装置である( 図 3 (d) 参照)
.
届く.
• 装置 IV:置換 π に対応して左右のケーブルを
置換するケーブル置換装置である( 図 3 (e) 参照)
.
ディーラは装置 IV にアクセスできず,π を知らない
にして,時刻 1 から時刻 k までの間に,合計 52 k − 1
としてストレート 結線装置を選択する.したがって,
るので,デ ィーラがケーブル x (1 ≤ x ≤ 52) に送っ
• ディーラは,ランダムにカード 番号 c ∈R C と,
時刻 t ∈R {1, 2, · · · , k} を選ぶ.デ ィーラは次のよう
個の光子を装置 I を使って送信する.
( i ) 時刻 t 以外のとき
とする.したがって,デ ィーラは,デ ィーラ側のケー
52 本のケーブルそれぞれに対し ,4 種類の光子からラ
ブル番号とプレ ーヤ側のケーブ ル番号の対応がわか
ンダ ムに一つを選び ,選んだ光子を送る.すなわち,
らない.また,BB84 プロトコルと同様に,n 人のプ
合計 52 個のランダ ムな光子を同時に 52 芯を使って
レーヤは,共通の公開通信路をもつとする.
送る.
3. 2 プロト コル
本節では,前節の装置構成を用いて量子カード 配布
( ii ) 時刻 t のとき
ケーブル c 以外の 51 本のケーブルそれぞれに対し ,
を実現するプロトコルを与える.なお,これからの議
4 種類の光子からランダムに一つを選び ,選んだ光子
論においては,すべての測定について量子的な損失が
を送る.すなわち,合計 51 個のランダ ムな光子を同
全くないものとし ,理想的な状況で考える.
ディーラはカード 番号の集合 C を準備する.C の初
期状態は,C = {1, 2, . . . , 52} である.また,デ ィー
時に 51 芯を使って送る.ケーブル c には光子を送ら
ない.
• プレーヤ Pi は,装置 II を使い,各時刻の各光
ラは配布カード 集合 U1 , U2 , . . . , Un を準備する.初期
子に対しランダムにベースを設定して,送られてきた
状態は,U1 = U2 = · · · = Un = ∅ である.セキュリ
52 k − 1 個の光子をすべて受け取る.プレーヤ Pi は,
ティパラメータとして,自然数 k を選ぶ.k が大きい
時刻 t においてケーブル π(c) にだけ光子が送られな
ほど 盗聴者を検出できる確率が 1 に近づく.
かったことを知ることにより,カード π(c) を受け取っ
以下に本プロトコルを示す.これを k-量子カード 配
468
たとみなす.
論文/量子カード 配布
次に,悪意のあるプレーヤ Pj が不正をする次の二
つの場合を考える.
場合 1:Pj が自分の所持するカード の情報を改ざん
する場合
任意のプレーヤ Pj による所持カード の改ざんにつ
いて考える.各プレーヤに配布されたカード の内容は,
自分自身のみが知っており,所持するカード について
の物理的な証拠は存在しない.そのため,プロトコル
Fig. 4
図 4 カード 配布の例
An example of the execution of quantum card
dealing.
実行中に,あるプレーヤが所持するカード の内容を公
表する必要が生じた場合,実際には配布されていない
カード 番号を提示し ,不正にゲームを有利に進めるこ
• ディーラは,カード π(c) をプレーヤ Pi に対し
て配布したことを記憶するため,Ui := Ui ∪ {c} とす
る.また,以後カード π(c) を配布しないようにする
ため,C := C − {c} とする.
上のプロトコルを繰り返すことにより,ディーラは
プレーヤにカード をランダムに配布することができる.
図 4 は,プレ イヤ P2 がカード を 1 枚受け取る場
合のプ ロト コルの実行例である.ケーブ ル置換装置
IV は π(2) = 4 なる置換 π に対応し ているとする.
ディーラはケーブル(カード )番号 c = 2,時刻 t = 3
を選び ,この部分には光子を送らない.プレーヤ P2
とを考えるかもしれない.これを防ぐために,プロト
コル終了後,すべてのプレーヤに配布されたカード の
内容を秘密にしておく必要がなくなった時点で,置換
π を公開し,ディーラは集合 U1 , U2 , . . . , Un を公開す
る.各プレーヤは π と U1 , U2 , . . . , Un からすべての
プレーヤに配布されたカード を知ることができる.も
しプレーヤ Pi が不正なカード 番号を使用していた場
合,ここで発見できる.以上のようにすれば ,プレー
ヤ Pi のカード 番号の改ざんによる不正を検知できる.
場合 2:Pj が他のプレーヤ Pi に配布されたカード
を盗聴する場合
は光子測定によりケーブル 4 を使用して送られた光子
前節で説明した k -量子カード 配布により,プレー
数が他のケーブルの光子数より 1 個だけ少ないことを
ヤ Pi がカード を 1 枚受け取ったとする.まず,悪意
知る.これにより,プレーヤ P2 にはカード 4 が配布
のあるプレーヤ Pj (j ≤ i − 1) が,プレーヤ Pi に配
されたことになる.
デ ィーラ及び 各プ レ ーヤが 不正を 行わな いと き ,
布されたカード を盗聴により不正に知ろうとしても,
そのようなプレーヤ Pj の存在を圧倒的確率で検出で
ディーラは置換 π を知らないので,プレーヤに配布さ
きることを示す.悪意のあるプレーヤ Pj は,正規の
れるカード の中身 π(c) を知ることはできない.また,
プレ ーヤ Pi と同様にして 52 k − 1 個の光子を受信
プレーヤも,自分に配布されたカード 以外については
し,どのケーブルに k − 1 個の光子が送られたかを調
知ることができない.次節では,プレーヤが不正を行
べた後,光子を再送することにより,Pi のカード を知
う場合について考える.
ることができる.これを攻撃 1 と呼ぶ.この攻撃を防
3. 3 安 全 性
ぐことはできないが ,1 に近い確率で検出することが
本節では,k-量子カード 配布の安全性を示す.
可能である.以下にその方法を述べる.
最初に,本プロトコルに対する結託攻撃について考
察する.まず,デ ィーラと任意のプレーヤが結託する
場合,本プ ロトコルは安全ではなくなる.なぜなら,
1. ディーラとプレーヤ Pi は,光子の送受信の後,
すべての光子について選択したベースを公表する.
2. 次に,2 人はベースが一致した光子について送
ディーラが π を知っている場合,ディーラは自身のも
信時の偏光方向と受信した偏光方向が一致しているか
つケーブルとカード の対応を知ることができるためで
ど うかを確認する.
ある.結託したプレーヤが π をディーラに知らせるこ
このとき,偏光方向の異なる光子が一つでも存在し
とにより,希望するカード を自由に請求することが可
た場合,盗聴されていたことになる.なぜなら,盗聴
能になる.よって,本プロトコルにおいてはデ ィーラ
者がいない場合,送受信ベースの同じ 光子の偏光方向
と任意のプレーヤの結託はないと仮定する必要がある.
は確実に一致するからである.次の定理が成立する.
469
電子情報通信学会論文誌 2003/4 Vol. J86–A No. 4
[ 定理 1 ] k-量子カード 配布に対して攻撃 1 が行われ
たとき,確率 1 −
( 78 )52 k−1
で攻撃を検出できる.
かる.
最後に,盗聴者 Pj が偏光を乱すことなく光子の個
( 証明) デ ィーラとプレーヤ Pi のベースが一致する
数を測定できる( 量子非破壊測定ができる)場合には
確率は 1 光子につき 1/2 である.盗聴者の選択した
上のプロトコルは安全ではないことを示そう.量子非
ベースは,デ ィーラの選択したベースと異なっていな
破壊測定を行うことができる盗聴者 Pj (j ≤ i − 1) が,
ければ盗聴検出ができない.盗聴者の選択したベース
Pi に送られたカード を盗聴により不正に知ろうとし
が異なる確率は 1 光子につき 1/2 である.ディーラと
たとする.量子非破壊測定とは,光子を測定するとき,
Pi のベースが一致し ,盗聴者のベースが一致してい
光子の状態を変えずに測定する方法のことをいう.量
ないとする(このようなことが起こる確率は 1 光子当
子非破壊測定を行うことにより,偏光を変えることな
り 1/4 である)
.盗聴者は,プレーヤ Pi に対して光
く光子数を測定できることが 知られている [7].k-量
子を再送しなければならないが,盗聴者と Pi のベー
子カード 配布において量子非破壊測定を行うことがで
スが一致していないため,デ ィーラと Pi の偏光方向
きる盗聴者は,何の副作用もなくカード 情報を得るこ
は 1/2 の確率で一致し,1/2 の確率で一致しない.す
とができてし まう.なぜなら,本プロトコルにおいて
なわち,このとき 1/2 の確率で盗聴者の存在を検出で
カード 情報は光子数にのみ符号化されているためであ
きる.以上により,1 個の光子の送受信の結果から盗
る.すなわち,量子非破壊測定を行うことができる盗
聴者に対して,k-量子カード 配布は全く安全ではない.
聴者の検出を 1/8 の確率で行うことができる.
盗聴者が 1 枚のカード を完全に盗聴するためには,
しかし ,現在用いられているフォトンデ ィテクタによ
52 k − 1 個の光子をすべて読み取る必要がある.この
る “stop and resend” 方式等の光子数測定法では,光
とき,盗聴が検出されない確率は,
子の有無を測定したら偏光の情報が壊れてしまうため,
52 k−1
本プロトコルは量子非破壊測定ができない盗聴者に対
7
8
しては有効である.
である.よって,1 枚のカード を配布するときの盗聴
者検出確率は,
52 k−1
1−
本章では,盗聴者が量子非破壊測定できる場合でも
7
8
である.
4. 盗聴者が量子非破壊測定できる場合の
プロト コル
安全に量子カード 配布を行うことができるプロトコル
を与える.4.1 において装置構成について説明し,4.2
✷
において本章のプロトコルを具体的に与える.そのプ
定理 1 により,セキュリティパラメータ k を大きく
ロトコルでは,カード の情報を偏光方向に符号化する
することで,圧倒的確率で攻撃 1 を検出できることが
ことにより,量子非破壊測定による攻撃を不可能にす
わかる.
る.更に,秘密分散法を利用することによりカード 情
次に,プレ ーヤ Pj がある特定のカード x がだれ
かに配布されたかど うかを不正に知りたい場合を考え
る.盗聴者 Pj は,カード 内容の完全な盗聴ではなく,
カード x が配布されているかど うかを調べたいので,
すべての光子を調べる必要はなく,x に対応するケー
報の盗聴行為を困難にする.最後に,4.3 において本
章のプロトコルの安全性について述べる.
4. 1 準
備
本章のプロトコルにおける装置構成は,基本的に図
3 の k-量子カード 配布と同じ構成を使用する.ただし,
ブルのみを使用して光子の送受信を行うだけでよい.
装置 IV を設置する代わりに,あらかじめすべてのプ
これを攻撃 2 と呼ぶ.このとき,盗聴者に読み取られ
レーヤで π ∈R S52 を共有しておく.このときデ ィー
る光子数は,k − 1 または k である.したがって,次
ラは π を知らないものとする.
の定理が直ちに成立する.
また,k-量子カード 配布と同様に,デ ィーラはカー
[ 定理 2 ] k-量子カード 配布に対して攻撃 2 が行われ
ド 番 号 の 集 合 C を 準 備 す る .C の 初 期 状 態は ,
たとき,確率 1 − ( 78 )k−1 以上で攻撃を検出できる.
C = {1, 2, . . . , 52} であ る.セキュリティパラ メー
タとして,自然数 k を選ぶ.k が大きいほど 盗聴者を
検出できる確率が 1 に近づく.
定理 1 及び定理 2 により,セキュリティパラメータ
k が大きいほど ,盗聴者の検出が容易になることがわ
470
論文/量子カード 配布
4. 2 プロト コル
本章のプ ロトコルでは,52 枚のカード を符号化す
表 1 時刻 t に送る光子の偏光方向の選択
Table 1 A choice of photons’ polarization at time t.
るために秘密分散法を利用する.秘密分散法とは,秘
密情報 c を k 個の分散情報 ei (i = 1, 2, . . . , k) に符号
化し,ei のうちの任意の l 個の分散情報を集めること
ができれば,もとの秘密情報 c を完全に復元すること
ができるが,どの l − 1 個の分散情報からでも,もと
の秘密情報 c について全く情報が得られない系のこと
をいう.このような特徴をもつ秘密分散法のことを,
(l, k) しきい値秘密分散法という [11].
定したベースでランダムに読み取ることになる.
( iv ) プレーヤ Pi は,すべてのケーブルの偏光方
向を比較して,ただ一つのみ偏光方向の異なる光子の
デ ィーラは ,カード を 1 枚配布するご とに ,(l, k)
送られたケーブルを探す.デ ィーラとプレーヤ Pi の
しきい値秘密分散法を用いて c を符号化する.本節の
ベースが一致していた場合は,確実にケーブル et の
プロトコルを用いてプレーヤ Pi にカード を 1 枚配布
光子のみ偏光方向が 異なるはずである.このときプ
するには次のようにすればよい.
レーヤ Pi は,分散情報 et を得る.偏光方向の異なる
( 1 ) 1 ≤ j ≤ i − 1 なる各プレーヤ Pj は,装置
光子の送られたケーブルが 2 本以上存在した場合は,
III としてストレート結線装置を選択する.
( 2 ) デ ィーラは,ランダ ムにカード 番号 c ∈R C
を選び ,c を (l, k) し きい値秘密分散法を用いて,k
ディーラとベースが一致しなかったことを知り,et を
個の分散情報 e1 , e2 , . . . , ek に 符号化する.ここで ,
ベースをディーラに公開通信路で伝える.ディーラは,
e1 , e2 , . . . , ek ∈ C である.すべてのプレーヤは,l 個
以上の分散情報を得ることができれば ,c を復元で
ベースとを比較し,一致した時刻の個数を調べる.一
きる.
( 3 ) デ ィーラは k 個の 分 散情報をプ レ ーヤ Pi
得ることができない.
( 4 ) プレ ーヤ Pi は ,各時刻に選択し た k 個の
受け取ったプレーヤ Pi のベースと,自分の選択した
致し たベースの個数が l 以上の場合,デ ィーラはプ
レーヤ Pi が分散情報を l 個以上得たことを知る.そ
に 送るために ,時刻 1 から 時刻 k まで の 間に ,合
の後,デ ィーラはベースの一致したすべての時刻をプ
計 52k 個の光子を装置 I を使って送信する.時刻 t
レーヤ Pi に伝える.一致したベースの個数が l 未満
(t = 1, 2, . . . , k) に分散情報 et を送るために,ディー
ラとプレーヤ Pi は時刻 t に次のようにして光子を送
の場合は,プロトコルを( 2 )からやり直す(ただし ,
受信する.
k 及び l を適切に選択することにより,このような
「やり直し 」が発生する確率を小さくできる)
.
( i ) デ ィーラは,+か×かいずれかのベースをラ
( 5 ) プレーヤ Pi は,ディーラとベースの一致し
ンダムに一つ選ぶ.更に,ランダムに a ∈R {0, 1} を
た時刻で得た l 個以上の分散情報から,秘密分散法を
決める.
( ii ) デ ィーラは,すべてのケーブルに同時に光子
を送る.ただし ,ケーブル et 以外のすべてのケーブ
ルには同じ 偏光方向をもった光子を送るが,ケーブル
用いて c を復元する.このとき,プレーヤ Pi はカー
ド π(c) を受け取ったとみなす.
( 6 ) デ ィーラは,以後カード π(c) を配布しない
ようにするため,C := C − {c} とする.
et に送る光子の偏光方向とは異なるようにする.各
上のプロトコルを繰り返すことにより,デ ィーラは
ケーブルに送る光子の偏光方向は,
( i )でディーラの
プレーヤにカード をランダムに配布することができる.
選択したベースと値 a から,表 1 のように決める.
( iii ) プレ ーヤ Pi は ,ランダ ムにベースを選び ,
4. 3 プロト コルの安全性
本章のプロトコルの安全性を示そう.k-量子カード
装置 II を使い,すべてのケーブルに同じベースを設定
配布と同様,ディーラとプレーヤの結託はないものと
して,送られてきた k 個の光子をすべて受け取る.こ
する.
のとき,デ ィーラとプレーヤ Pi のベースが一致して
本章のプロトコルでは,送る情報を光子の偏光方向
いた場合は,送られたすべての光子の偏光方向を確実
に符号化しているため,たとえ盗聴者が量子非破壊測
に読み取ることになり,ベースが異なっていた場合は,
定を用いて光子数を測定したとしても何の情報も漏れ
送られたすべての光子の偏光方向をプレーヤ Pi の設
ない.よって,本章のプロトコルは量子非破壊測定に
471
電子情報通信学会論文誌 2003/4 Vol. J86–A No. 4
よる攻撃に対して安全である.
[2]
two nonorthogonal states,” Phys. Rev. Lett., vol.68,
次に,以下の場合を考える.本章の量子カード 配布
により,プレーヤ Pi がカード を 1 枚受け取ったとす
る.悪意のあるプレーヤ Pj (j ≤ i − 1) は,正規のプ
C.H. Bennett, “Quantum cryptography using any
pp.3121–3124, 1992.
[3]
C.H. Bennett and G. Brassard, “Quantum cryptography: Public key distribution and coin tossing,” Proc.
レーヤ Pi と同様にして 52 k 個の光子を受信し,分散
IEEE International Conference on Computers, Sys-
情報を l 個以上読み取ろうとする.これを攻撃 3 と呼
tems and Signal Processing, pp.175–179, Bangalore,
ぶ.この攻撃を防ぐことはできないが,次のようにす
India, 1984.
[4]
C. Crepéau, “A zero-knowledge poker protocol that
れば高い確率で検出することが可能である.
achieves confidentiality of players’ strategy or how to
• デ ィーラとプレーヤ Pi は,ベースが一致した
すべての時刻 t について,ケーブル et の偏光方向を
achieve an electronic poker face,” Proc. CRYPTO’86,
比較し ,2 人の偏光方向が一致しているかど うかを確
Lecture Notes in Compute Science, vol.263, pp.239–
247, 1986.
[5]
認する.
tion and how to play mental poker keeping secret all
partial information,” Proc. Fourteenth Annual ACM
このとき,偏光方向の異なる光子が一つでも存在し
Symposium on Theory of Computing, pp.365–377,
た場合,盗聴されていたことになる.なぜなら,盗聴
者がいない場合,送受信ベースの同じ 光子の偏光方向
1982.
[6]
は確実に一致するからである.
mental realization of quantum cryptosystem,” IEICE
Trans. Fundamentals, vol.E85-A, no.1, pp.149–157,
とで,高い確率で攻撃 3 を検出できることがわかる.
Jan. 2002.
[7]
す び
T. Hasegawa, T. Nishioka, H. Ishizuka, J. Abe, K.
Shimizu, M. Matsui, and S. Takeuchi, “An experi-
よって,セキュリティパラメータ k を大きくするこ
5. む
S. Goldwasser and S. Micali, “Probabilistic encryp-
N. Imoto, H.A. Haus, and Y. Yamamoto, “Quantum
nondemolition measurement of the photon number
via the optical Kerr effect,” Phys. Rev. A, vol.32,
本論文では,メンタルポーカープロトコルと量子暗
号の融合ともいうべき,量子カード 配布を提案した.
pp.2287–2292, 1985.
[8]
K. Kurosawa, Y. Katayama, and W. Ogata, “Reshuf-
量子カード 配布により複数人のプレーヤに対してカー
flable and laziness tolerant mental card game proto-
ド を安全に配布することができ,公平なカード ゲーム
col,” IEICE Trans. Fundamentals, vol.E80-A, no.1,
を行うことができる.本方式は,情報理論的に安全で
pp.72–78, Jan. 1997.
[9]
S.J.D. Phoenix, S.M. Barnett, P.D. Townsend, and
あり,悪意のあるプレーヤが無制限の計算能力をもっ
K.J. Blow, “Multi-user quantum cryptography on op-
ていても安全である.
tical networks,” J. Modern Optics, vol.42, pp.1155–
4. のプロトコルは,その装置構成においてケーブル
の本数を 52 としたが,時分割による光子送受信を用
いることにより,ケーブル 1 本でも実行可能である.
1163, 1995.
[10]
H. Zbinden, “Automated ‘plug & play’ quantum key
distribution,” Electron. Lett., vol.34, pp.2116–2117,
1998.
本論文では,デ ィーラの存在を仮定したが,デ ィー
ラを必要としないプロトコルを考案することが残され
た課題である.また,本論文では光子検出効率を 1 と
[11]
A. Shamir, “How to share a secret,” Commun. ACM,
[12]
A. Shamir, R.L. Rivest, and L.M. Adleman, “Mental
no.22, pp.612–613, 1979.
仮定したが,この数値は現実的ではない.光子検出効
poker,” in Mathematical Gardner, ed. D.E. Klarner,
Wadsworth International, pp.37–41, 1981.
率が低い場合でも成立するプロトコルの考案も残され
[13]
た課題である.
謝辞 本研究に関して,有益な御助言を頂いた東北
大学大学院静谷啓樹教授,徳山豪教授及び小澤正直教
授に感謝致します.また,査読者から有益な意見を頂
いたことに謝意を表します.なお,本研究の一部は国
際コミュニケーション基金から援助を受けた.
文
[1]
献
I. Bárány and Z. Fǔredi, “Mental poker with three or
more players,” Inf. Control, vol.59, pp.84–93, 1983.
472
G. Ribordy, J.D. Gautier, N. Gisin, O. Guinnard, and
竹内繁樹,“量子計算と量子情報通信—何が可能になるの
か,
” 信学誌,vol.84, no.1, pp.17–25, 2001.
( 平成 14 年 5 月 16 日受付,10 月 21 日再受付,
11 月 29 日最終原稿受付)
論文/量子カード 配布
小泉
康一 ( 学生員)
平 12 東北大・工・電子卒.現在,同大大
学院博士後期課程在学中.量子暗号,カー
ド 配布による安全な鍵共有に関する研究に
従事.
水木
敬明 ( 正員)
平 7 東北大・工・情報卒.平 12 同大大
学院博士課程了.博士( 情報科学 )
.同年
同大助手.現在同助教授.情報理論的に安
全な鍵共有に関する研究に従事.科学技術
振興事業団さきがけ研究 21 研究員.
西関
隆夫 ( 正員)
昭 44 東北大・工・通信卒.昭 49 同大大
学院博士課程了.工博.同年同大助手.現
在同教授.アルゴ リズム,暗号理論,計算
幾何学,グラフ描画,グラフ理論の研究と
教育に従事.IEEE Fellow,ACM Fellow,
情報処理学会,日本応用数理学会各会員.
473