量子情報：北海道大学大学院情報科学研究科情報エレクトロニクス専攻先端エレクトロニクス講座

　現代では多くの情報が電子的に伝送されています．この中には重要度の高いものが含まれ，手間と資金をかけた盗聴が引き合うものになりつつあります．重要な情報を守るためには暗号化が必須ですが，極めて重要な情報については長期間暗号が陳腐化しないことも望まれています．
量子暗号は量子力学的な状態の性質を利用して，情報理論的な安全性が証明可能な暗号を提供するものです．量子暗号の中でもっとも研究が進んでいるのは，量子暗号鍵配付(QKD)というもので，離れた2者が通信によって情報理論的に安全な乱数を共有するプロトコルです．情報理論的安全というのは，解読に時間がかかるから安全というものではなく（普通使われている暗号は全てこの類です．だから，計算機の技術が進歩したり量子計算機ができてしまったりすると困ったことになるわけです)盗聴者が鍵について得られる情報量の上限が情報理論的に定められるものです．QKDで得られた乱数を鍵として使い捨て暗号化することにより秘匿通信が実現できます．QKDの技術開発は実用的なシステムが作れるくらいまで進歩していて，昨年10月には多地点QKDネットワークもデモンストレーションされています．
2011年度からNICTの新た委託研究として「セキュアフォトニックネットワーク技術の研究開発 」が開始され，実用的なネットワーク技術の開発，実際のシステムにおける安全性の保証について研究が始まります．当研究室もネットワークインテグレーションや安全性の実験的な保証の研究でこれに参画します．この委託研究についてはProject UQCCのサイトをご覧ください．

QKDで暗号鍵を作るには量子通信と鍵蒸留の2つのプロセスが必要になります． 前者では光子の量子状態で表現された乱数ビット（鍵）が伝送され，後者で安全性が保証された最終鍵が生成されます．鍵蒸留プロセスでは本質的には量子計算をしているのですが，QKDの安全性の保証に使うためには幸いにも古典的な誤り訂正と秘匿性増強でよいということが示されています．QKDに対する盗聴は図に示すように行われます．送信者(Alice)は乱数列を単一光子の状態にエンコードして量子通信路を通して受信者(Bob)に送ります．盗聴者(Eve)は送られている光子の状態を知るために自分の持っている状態に量子通信路の中の光子の状態をコピー（受信者に光子を送らないと都合が悪いので取って知らん顔というわけにはいかないので）します．ところが，量子力学の法則により完全なコピーは作れないので，Eveの状態が元の状態に近いほどBobの状態が崩れてしまいます．これは、Bobの受信結果に誤りが増えることになります．このことを逆に使うと量子通信の結果から盗聴の度合いを推定できることになります．このように量子通信の結果から，盗聴者がどれだけ送られた状態を再現できるかを知ることができるのがQKDの特徴です．そこで秘匿性増強ではそれに見合った分だけ鍵の一部をランダムに捨てて，盗聴者が持っている状態が無情報の状態と区別できないようにします．

量子通信を使わなくとも情報理論的に安全な乱数の共有は可能ですが，盗聴者の能力を限定する必要があります．QKDではそのような仮定は不要で，非直交状態の完全な測定ができないという量子力学の法則が盗聴者の能力に限界を与えています．
さて，QKDの安全性について過去いくつかの疑念が提出されてきました．広く認められたQKDの安全性証明ではAliceが単一光子を送ることとBobが光子数を判別できることが仮定されていました．実用的な単一光子光源はまだ実現されていないため，QKDの実験ではレーザ光を弱めて、1パルスに2個以上の光子が含まれる確率を1/10以下にして行っていました．ところが，送信光パルスに光子が2個以上あると盗聴者の測定が改善されるため最終鍵のレートが小さくなることが指摘されました．ファイバの損失のため，パルスの中の光子数を測定し2個以上あるものだけを選んで盗聴することが可能になります（損失で光子が失われたのか，Eveに捨てられたのか区別がつかない）．現在のやり方では2光子以上含まれる確率が0ではないため，長距離におけるQKDの実現が危惧され増した．パルスの強度を変えて光子検出率と誤り率を測定することで伝送路パラメータの推定を精度よく行うとパルスに2光子以上含まれていることの影響を抑えられるいうことが提案され（デコイ法），200km以上のQKDが可能とされています．
また，QKDは乱数鍵しか与えないため暗号通信には他のプロトコルが必要になり、盗聴者が他のプロトコルから得た情報でQKDにおける測定を改善する可能性も考えられました．この問題は，QKDで盗聴者のもつ情報を従来の古典的な相互情報量ではなく量子力学的な状態間の判別可能性で評価することにより解決されました （わたしたちが2007年に行った安全性保証付きのQKD実験ではこの評価法が使われています．） 量子力学的な判別可能性はあらゆる物理的に可能な操作では改善されないことが証明されていますので盗聴者がいくらがんばってもQKDの安全性には影響を及ぼせないのです．これは現代暗号で最近導入された概念である composabilityがQKD（BB84プロトコル）でも成立することを示しています．以上のことから，QKDの安全性はBB84プロトコルについては確立されたと考えてよいでしょう．最近，QKD装置の盗聴が報告がされていますが，これは正しくない実装をすると安全性は保証されないという事実を示したものです．もちろん，正しい実装の定義と試験方法を今後確立していく必要があります．
QKDは現在，損失10dB(約50km相当)で伝送後，最終鍵レート1Mbpsを達成できるレベルにあり，環境の変化に対しても安定なシステムが作られています．下にNECが開発した現在最先端のシステムを示します．今後試験運用を通じて実用性を高めていくことが期待されます．さらに今後の研究課題としては，フォトニックネットワークへの統合，情報理論的に安全なアプリケーションの拡大，量子プロトコル・量子ネットワークへの展開などを考えています．