量子情報科学研究所が 「量子暗号（BB84量子鍵配送）の無条件安全性理論」の欠陥を証明

単一光子などの微弱光を用いる量子暗号（BB84量子鍵配送）は理論的に無条件安全であると考えられていた。量子情報科学研究所は、量子鍵配送の安全性理論に用いられる評価法に欠陥があることを指摘し、暗号学の正当な評価法を導入し、それによる再評価を行った。その結果、BB84量子鍵配送は無条件安全性を達成することが不可能であることを証明した。この結果を、2012年5月18日（金）、電子情報通信学会情報セキュリテイ研究会と2012年8月15日（水）、米国の量子通信・量子イメージ国際会議の招待講演において発表する。

【今回の成果】

量子暗号として知られるBB84量子鍵配送の研究や開発は大きな関心を集め世界中で実施されている。しかし、その安全性を保証する理論は安全性を定量的に評価できる理論体系を持っていないことが近年指摘されていた。1984年の発表時には、完全理想モデルを想定し、そのシステムにおいて不確定性原理に基づく単一光子信号への反作用の検出によって盗聴行為を検知し、システムの無条件安全性を保証した。しかし、現実にはそのようなモデルは存在せず、盗聴行為と雑音との区別がつかないため、安全性の保証法は盗聴者に漏れたと推定される情報を符号の理論を駆使して無効にする方式に発展した。2007年に、その方式にも欠陥が見出され、識別不可能性評価が導入された。今回の研究によって、新しく導入されたその理論体系は数学的には矛盾が無いが、暗号学的な評価としては欠陥を持つことが証明された。さらに、原理的に解読不可能とされる定量的特性を実現することができない事も示された。

本結果を、以下において発表する。

1. 論文名“情報理論的安全な鍵共有の評価の不完全性について”
   2012年5月18日（金）、電子情報通信学会、情報セキュリテイ研究会、東京
2. 論文名　“Limit of security evaluation of quantum key distribution”
   2012年8月15日（水）、SPIE Conference on Quantum Communication and Quantum Imaging X (招待講演)、米国、San Diego.
   • 量子通信・量子イメージ国際会議のページへ

＜参考資料＞
【背景】BB84量子鍵配送の安全性保証原理の変遷過程は以下のようになっている。（表１）

第一世代 (不確定性原理)：

(a)完全な理想モデル（完全単一光子源、損失のない通信路、理想的な単一光子受信）の時の安全性は不確定性原理による信号への反作用によって、盗聴者を検知する。検知を受けて、全てを棄却し、通信を止めることによって安全性は保証される。(b) しかし以下のような問題が発生した：完全理想モデルは実現不可能である。

第二世代 (相互情報量評価)：

(a) 物理的に実現可能なモデル（現実モデル）では、不確定性原理による信号の反作用なのか雑音などによる変化なのか識別できない。これらの2つの効果を盗聴者へ漏れる情報の量として評価し、盗聴者への相互情報量が極めて小さいなら、無条件安全と定義した。ここでは不確定性原理は主役ではなく、安全性は誤り訂正符号や秘密増幅符号の能力に依存する。(b) しかし、以下のような問題が発生した：盗聴者への相互情報量をいくら小さくしても、BB84によって配送された鍵によるOne time pad暗号(鍵使い捨て暗号)などの安全性が保証できない事例が発見された。

第三世代 (識別不可能性評価)：

(a) BB84で配送された鍵の系列としての乱数性を保証すれば、相互情報量による評価の欠点が解消されるという理論が提案され、その乱数性の識別評価誤差が極めて小さいなら無条件安全と定義された。(b) しかし、以下のような問題が発生した：識別評価誤差が有限の数値（ゼロではない）のとき、その値が暗号学的にどのような意味があるのか不明。プロトコルが失敗する確率であるとの解釈があるが、失敗の確率という概念は暗号学的な安全性を意味しない。

第四世代 (鍵推定成功確率評価)：

暗号学的に安全性を評価する方法として、BB84で配送された鍵の推定成功確率がNorthwestern大学と玉川大学によって導入された。これは情報理論的安全性の原点であるShannonの概念の自然な一般化であり最終的評価基準となる。