Applied Cryptography Week 4 Cryptography and.NET 1 Applied Cryptography Week 4 Mike McCarthy.
Quantum Cryptography Using Any Two...
Transcript of Quantum Cryptography Using Any Two...
Quantum Cryptography Using Any Two Nonorthogonal States
平野研究室 11-041-020 河野 かおり
2つの互いに非直交な状態を用いた量子暗号
Charles H. Bennett. Physical Review Letters 68, 3121 (1992).
発表の流れ 1.B92プロトコルとは ・秘密鍵を用いた通信について ・B92プロトコルの鍵の共有方法 ・単一光子の偏光状態を用いたB92プロトコル ・B92プロトコルの鍵の共有方法(具体例)
2.B92プロトコルの安全性 ・Bobに届く状態が変化しない場合 ・通信路に損失がある場合
3.参照光を用いたB92プロトコル ・微弱レーザー光と参照光を送信する方法 ・なりすまし攻撃に対する安全性
4.まとめ 2
発表の流れ 1.B92プロトコルとは ・秘密鍵を用いた通信について ・B92プロトコルの鍵の共有方法 ・単一光子の偏光状態を用いたB92プロトコル ・B92プロトコルの鍵の共有方法(具体例)
2.B92プロトコルの安全性 ・Bobに届く状態が変化しない場合 ・通信路に損失がある場合
3.参照光を用いたB92プロトコル ・微弱レーザー光と参照光を送信する方法 ・なりすまし攻撃に対する安全性
4.まとめ 3
秘密鍵を用いた通信について
通信路 110
送信者 平文 100 秘密鍵 010 暗号文 110
盗聴者 暗号文 110 ※鍵がないため、解読できない。
受信者 平文 100 秘密鍵 010 暗号文 110
送信者と受信者だけが、鍵を持つと安全な通信を行うことができる。
秘密鍵の共有を実現する方法…….量子鍵配送 4
発表の流れ 1.B92プロトコルとは ・秘密鍵を用いた通信について ・B92プロトコルの鍵の共有方法 ・単一光子の偏光状態を用いたB92プロトコル ・B92プロトコルの鍵の共有方法(具体例)
2.B92プロトコルの安全性 ・Bobに届く状態が変化しない場合 ・通信路に損失がある場合
3.参照光を用いたB92プロトコル ・微弱レーザー光と参照光を送信する方法 ・なりすまし攻撃に対する安全性
4.まとめ 5
②2つの方法を用いて測定する
B92プロトコルの鍵の共有方法
非直交状態だと、
𝑢0 𝑢1 =𝑟 ≠0
2つの互いに非直交な状態を送信し、2つの方法で測定することで 鍵となるビット値を共有する
①2つの互いに非直交な状態を送信する
6
送信者 Alice |𝑢0
|𝑢1
𝑃0=1-|𝑢1 𝑢1|
受信者 Bob
𝑃1=1-|𝑢0 𝑢0|
ビット値 0
ビット値 1
ビット値 0
ビット値 1
③検出された場合をAliceに伝える
④どのビット値がBobに検出されたか分かる
AliceとBobでビット値を共有できる
AliceとBobが同じビット値を共有できる
𝑢0 𝑃0 𝑢0 =1-|𝑟|2
𝑢0 𝑃1 𝑢0 =0
𝑢1 𝑃0 𝑢1 =0
𝑢1 𝑃1 𝑢1 =1-|𝑟|2 |𝑢1 →𝑃1
|𝑢1 →𝑃0
|𝑢0 →𝑃1
|𝑢0 →𝑃0 1-|𝑟|2の確率で検出される
検出されない
1-|𝑟|2の確率で検出される
検出されない
7
Aliceが送信する状態
Bobの測定方法
𝑃1=1-|𝑢0 𝑢0|
𝑃0=1-|𝑢1 𝑢1|
・ビット値が一致しない時 → 検出されない ・ビット値が一致する時 → 1-|𝑟|2の確率で検出される
8
𝑢0 𝑃0 𝑢0 =1-|𝑟|2
𝑢0 𝑃1 𝑢0 =0
𝑢1 𝑃0 𝑢1 =0
𝑢1 𝑃1 𝑢1 =1-|𝑟|2 |𝑢1 →𝑃1
|𝑢1 →𝑃0
|𝑢0 →𝑃1
|𝑢0 →𝑃0
Aliceが送信する状態
Bobの測定方法
𝑃1=1-|𝑢0 𝑢0|
𝑃0=1-|𝑢1 𝑢1|
1-|𝑟|2の確率で検出される
検出されない
1-|𝑟|2の確率で検出される
検出されない
= 𝑢0 (1−|𝑢1 𝑢1|) 𝑢0 = 𝑢0 𝑢0 - 𝑢0 𝑢1 𝑢0 𝑢1 =1-| 𝑢0 𝑢1 |2 =1-|𝑟|2
𝑢0 𝑃0 𝑢0
・ビット値が一致しない時 → 検出されない ・ビット値が一致する時 → 1-|𝑟|2の確率で検出される
AliceとBobが同じビット値を共有できる
𝑢0 𝑃0 𝑢0 =1-|𝑟|2
𝑢0 𝑃1 𝑢0 =0
𝑢1 𝑃0 𝑢1 =0
𝑢1 𝑃1 𝑢1 =1-|𝑟|2 |𝑢1 →𝑃1
|𝑢1 →𝑃0
|𝑢0 →𝑃1
|𝑢0 →𝑃0
検出されない
検出されない
9
Aliceが送信する状態
Bobの測定方法
𝑃1=1-|𝑢0 𝑢0|
𝑃0=1-|𝑢1 𝑢1|
1-|𝑟|2の確率で検出される
𝑢0 𝑃1 𝑢0 = 𝑢0 (1−|𝑢0 𝑢0|) 𝑢0 = 𝑢0 𝑢0 - 𝑢0 𝑢0 𝑢0 𝑢0 =1-| 𝑢0 𝑢0 |2 =0
1-|𝑟|2の確率で検出される
AliceとBobが同じビット値を共有できる
・ビット値が一致しない時 → 検出されない ・ビット値が一致する時 → 1-|𝑟|2の確率で検出される
𝑢0 𝑃0 𝑢0 =1-|𝑟|2
𝑢0 𝑃1 𝑢0 =0
𝑢1 𝑃0 𝑢1 =0
𝑢1 𝑃1 𝑢1 =1-|𝑟|2 |𝑢1 →𝑃1
|𝑢1 →𝑃0
|𝑢0 →𝑃1
|𝑢0 →𝑃0 1-|𝑟|2の確率で検出される
検出されない
1-|𝑟|2の確率で検出される
検出されない
10
Aliceが送信する状態
Bobの測定方法
𝑃1=1-|𝑢0 𝑢0|
𝑃0=1-|𝑢1 𝑢1|
AliceとBobが同じビット値を共有できる
・ビット値が一致しない時 → 検出されない ・ビット値が一致する時 → 1-|𝑟|2の確率で検出される
発表の流れ 1.B92プロトコルとは ・秘密鍵を用いた通信について ・B92プロトコルの鍵の共有方法 ・単一光子の偏光状態を用いたB92プロトコル ・B92プロトコルの鍵の共有方法(具体例)
2.B92プロトコルの安全性 ・Bobに届く状態が変化しない場合 ・通信路に損失がある場合
3.参照光を用いたB92プロトコル ・微弱レーザー光と参照光を送信する方法 ・なりすまし攻撃に対する安全性
4.まとめ 11
単一光子の偏光状態を用いたB92プロトコル
|𝑢0
ビット値 0
Alice Bob
送信する状態を単一光子の偏光状態で考える
12
偏光板で測定
1 2 の確率で 検出される
検出されない
𝑃0
𝑃1
|𝑢1
ビット値 1
Alice Bob
偏光板で測定 1 2 の確率で 検出される
検出されない
𝑃0
𝑃1
ビット値 0
ビット値 0
ビット値 1
ビット値 1
𝑢0 𝑢1 =𝑟=1
2
発表の流れ 1.B92プロトコルとは ・秘密鍵を用いた通信について ・B92プロトコルの鍵の共有方法 ・単一光子の偏光状態を用いたB92プロトコル ・B92プロトコルの鍵の共有方法(具体例)
2.B92プロトコルの安全性 ・Bobに届く状態が変化しない場合 ・通信路に損失がある場合
3.参照光を用いたB92プロトコル ・微弱レーザー光と参照光を送信する方法 ・なりすまし攻撃に対する安全性
4.まとめ 13
B92プロトコルの鍵の共有方法(具体例)
量子状態 |𝑢0 |𝑢1 |𝑢0 |𝑢0 |𝑢1 |𝑢0 |𝑢1 |𝑢1 |𝑢0
Alice
測定 𝑃0 𝑃0 𝑃1 𝑃1 𝑃1 𝑃0 𝑃0 𝑃1 𝑃1
検出結果 ○ × × × × × × ○ ×
Bob
14
ビット値 0 1
①2つの互いに非直交な状態をランダムに送信する
②2つの方法をランダムに用いて測定する
③検出された場合をAliceに伝える
④どのビット値がBobに検出されたか分かる
AliceとBobでビット値を共有できる
B92プロトコルの鍵の共有方法(具体例)
量子状態 |𝑢0 |𝑢1 |𝑢0 |𝑢0 |𝑢1 |𝑢0 |𝑢1 |𝑢1 |𝑢0
Alice
測定 𝑃0 𝑃0 𝑃1 𝑃1 𝑃1 𝑃0 𝑃0 𝑃1 𝑃1
検出結果 ○ × × × × × × ○ ×
Bob
15
ビット値 0 1
検出されなかった
今回は、ビット値 0 1 を共有できる
1-|𝑟|2の確率で検出された
発表の流れ 1.B92プロトコルとは ・秘密鍵を用いた通信について ・B92プロトコルの鍵の共有方法 ・単一光子の偏光状態を用いたB92プロトコル ・B92プロトコルの鍵の共有方法(具体例)
2.B92プロトコルの安全性 ・Bobに届く状態が変化しない場合 ・通信路に損失がある場合
3.参照光を用いたB92プロトコル ・微弱レーザー光と参照光を送信する方法 ・なりすまし攻撃に対する安全性
4.まとめ 16
|𝑢0 |𝑢1 が互いに非直交だと、 𝑢0 𝑢1 ≠0……①
U |𝑢0 |𝑎 =|𝑢0 |𝑎
, U |𝑢1 |𝑎 =|𝑢1 |𝑎,,
𝑎| 𝑢0|𝑈
†𝑈|𝑢1 |𝑎 = 𝑎,| 𝑢0 𝑢1 |𝑎,, 𝑢0 𝑢1 = 𝑎, 𝑎,, 𝑢0 𝑢1
𝑎, 𝑎,, =1
よって、|𝑎, =|𝑎,,
Bobに届く状態が変化しない場合 Bobに届いた状態がAliceが送信した状態と変化していない場合、
安全に量子鍵配送が行える。
|𝑢0
|𝑢1
測定器 |𝑎
測定器 |𝑎
|𝑎,
|𝑎,,
|𝑢0
|𝑢1
盗聴者
盗聴者は、状態を変化させずに情報を得ることができないため、 安全に量子鍵配送が行える 17
通信路に損失がある場合
Alice Bob 透過率 1
|𝑢0
ビット値 0
1 ×1
2×
1
2=
1
4
盗聴者 Eve
𝑃0
Eveが透過率100%の通信路に置き換えてなりすまし攻撃をした場合
検出された時 →再送する 検出されなかった時 →再送しない
なりすまし攻撃をする
が届く
20
Aliceが送信した光子がBobに届く確率
・1 2 の確率で検出
・測定方法を1 2 の確率で選ぶ
通信路に損失がある場合
Alice Bob 透過率 1
|𝑢0
ビット値 0
盗聴者 Eve
・1 2 の確率で検出
・測定方法を1 2 の確率で選ぶ
𝑃0
検出された時 →再送する 検出されなかった時 →再送しない
なりすまし攻撃をする
が届く
Eveが透過率100%の通信路に置き換えてなりすまし攻撃をした場合
21
Aliceが送信した光子がBobに届く確率
1 ×1
2×
1
2=
1
4
Aliceが送信した光子がBobに届く確率
1 ×1
2×
1
2=
1
4
・1 2 の確率で検出
・測定方法を1 2 の確率で選ぶ
通信路に損失がある場合
Alice Bob 透過率 1
|𝑢0
ビット値 0
盗聴者 Eve
𝑃0
検出された時 →再送する 検出されなかった時 →再送しない
なりすまし攻撃をする
が届く
Eve=透過率25%の通信路
Eveがいることに気付かず 鍵を共有してしまうので、
安全ではない
22
なりすまし攻撃をされても
安全に通信を行うためにはどうしたらいいのか?
Eveが透過率100%の通信路に置き換えてなりすまし攻撃をした場合
発表の流れ 1.B92プロトコルとは ・秘密鍵を用いた通信について ・B92プロトコルの鍵の共有方法 ・単一光子の偏光状態を用いたB92プロトコル ・B92プロトコルの鍵の共有方法(具体例)
2.B92プロトコルの安全性 ・Bobに届く状態が変化しない場合 ・通信路に損失がある場合
3.参照光を用いたB92プロトコル ・微弱レーザー光と参照光を送信する方法 ・なりすまし攻撃に対する安全性
4.まとめ 23
24
PSA
レーザー
PSB
検出器 Fiber
UBS
mirror
Alice Bob
・ UBS →Unsymmetric Beam Splitter →反射率が高く、透過率が低い
・ PSA,PSB→位相変調器
2つの非直交状態を表す微弱レーザー光と 参照光を送信する方法
UBS UBS UBS
微弱なレーザー光と参照光を送信する方法
25
PSA
強度 𝐼 110𝐼 9
10𝐼
910
𝐼
910𝐼
92
102𝐼 1102𝐼
レーザー
Alice 反射率
透過率
910
110
UBS
位相変調器 |𝑢0 → 0° |𝑢1 →180°
∆𝑡 Bob
Fiber UBS
mirror
UBS
参照光
微弱なレーザー光と参照光を送信する方法
26
PSB
92
102𝐼′ 1102𝐼′
∆𝑡
Bob
Fiber
UBS
mirror
9103𝐼′
93
103𝐼′
9103𝐼′
93
103𝐼′
93
103𝐼′
9103𝐼′
1103𝐼′
92
103𝐼′ 位相変調器 𝑃0→ 0° 𝑃1→180°
∆𝑡 ∆𝑡
UBS
微弱なレーザー光と参照光を送信する方法
通信路の透過率 η
I’= 𝜂I よって
1104𝐼′
92
104𝐼′
92
104𝐼′ 94
104𝐼′
27
PSB
Bob
UBS
mirror
9103𝐼′
93
103𝐼′
9103𝐼′
93
103𝐼′
93
103𝐼′
9103𝐼′
∆𝑡 ∆𝑡
1103𝐼′
92
103𝐼′ 1
104𝐼′ 92
104𝐼′
92
104𝐼′ 94
104𝐼′
UBS
微弱なレーザー光と参照光を送信する方法
92
102𝐼′ 1102𝐼′
∆𝑡
Fiber
相対位相差0°
相対位相差180°
位相変調器 𝑃0→ 0° 𝑃1→180°
Alice Bob
PSA 量子状態 PSB 測定方法 検出器 bit 検出されるパルス
0° |𝑢0 0° 𝑃0 ○ 0
0° |𝑢0
180° 𝑃1 - -
180° |𝑢1
0° 𝑃0 - -
180° |𝑢1
180° 𝑃1 ○ 1
弱め合うため 検出されない
28
微弱なレーザー光と参照光を送信する方法
なりすまし攻撃に対する安全性
29
Alice Bob 盗聴者 Eve
盗聴者の攻撃として
検出された時 → 再送する 検出されなかった時 → 再送しない
Bobに再送しない場合、参照光はどうするのか?
なりすまし攻撃をする
参照光を再送しない場合、 強度が非常に強い光が届かないため、 盗聴にすぐに気付くことができる。
30
参照光のみ再送する
PSB
92
102𝐼′
Alice
Eve
Bob
検出器
93
103𝐼′
93
103𝐼′
93
103𝐼′ 94
104𝐼′ 92
104𝐼′ 92
103𝐼′
参照光だけが届く場合でも、信号光が半分の強度で 検出されてしまう
Eve → 検出されなかった時 ビット値が一致しない場合でも
検出されてしまう。
ビットのくい違いが生じる
ビットの誤りが増える
∆𝑡 UBS UBS
なりすまし攻撃に対する安全性
31
Alice Bob 盗聴者 Eve
盗聴者の攻撃として
検出された時 → 再送する 検出されなかった時 → 再送しない
Bobに再送しない場合、参照光はどうするのか?
なりすまし攻撃をする
再送する場合
ビット値の誤りが増えるので、盗聴に気付く
再送しない場合
強度が強い光が届かないので、盗聴に気付く
なりすまし攻撃に対する安全性
まとめ ・B92プロトコルとは、2つの非直交状態を用いる量子鍵配送 ・Bobに届いた状態が、 Aliceの送信した状態と変化していない場合 Eveは盗聴できない ・なりすまし攻撃された場合 ・単一光子の偏光状態を用いた方法では、 安全に量子鍵配送を行うことができない ・参照光を用いる方法であれば、 安全に量子鍵配送を行うことができる
32
送信者 Alice |𝑢0
|𝑢1
𝑃0=1-|𝑢1 𝑢1| 受信者 Bob
𝑃1=1-|𝑢0 𝑢0|
|𝑢0
|𝑢1
測定器 |𝑎 |𝑎, |𝑎,,
|𝑢0
|𝑢1
−α α = 𝑒−α 2
2 −α∗ 𝑛
𝑛! 𝑛|𝑒−
α 2
2 𝛼𝑚
𝑚!|𝑚
= 𝑒− 𝛼 2 (−𝛼∗)𝑛𝛼𝑚
𝑛! 𝑚!𝑛 𝑚
= 𝑒− 𝛼 2 (− 𝛼 2)𝑛
𝑛!
= 𝑒−2 𝛼 2
34
何故微弱なレーザー光が非直交状態だとみなせるのか
非直交状態を偏光状態に対応させる
2つの非直交状態に対して 垂直な状態を用意する。
非直交状態を表す |𝑢0 |𝑢1
対応するビット 0 1
対応させる偏光状態 | ↕ |⤢
Alice
Bob 測定基底 𝑃0=1-|𝑢1 𝑢1| 𝑃1=1-|𝑢0 𝑢0|
偏光状態 |⤡ ⤡| |↔ ↔|
|↔ ↔|+|↕ ↕|=1 |⤡ ⤡|+|⤢ ⤢|=1
𝑃0=1-|𝑢1 𝑢1| =|⤡ ⤡|+|⤢ ⤢|-|⤢ ⤢|
=|⤡ ⤡|
𝑃1=1-|𝑢0 𝑢0| =|↔ ↔|+|↕ ↕|-|↕ ↕| =|↔ ↔|
|𝑢0⊥ |𝑢1⊥
| ↔ |⤡
Bobの 測定基底を 偏光状態で 表すと…….
36
B92プロトコルの方法④
|𝑢0 →𝑃0 |𝑢1 →𝑃1 で測定した。
もし盗聴者が存在しなければ、検出できた結果には完全に
という相関があるべき。
検出できている結果のうち、 一致していると確かめた一部を捨てる。
残りを使って最終鍵を作る。
得られたビット値は AliceとBobで一致している。
37
微弱なコヒーレント光と非直交について
|𝛼 = 𝑒− 𝛼 2
2 𝛼𝑛
𝑛!∞𝑛=0 |𝑛
≅ 1 −𝛼 2
2|0 + 𝛼|1 +
𝛼2
2|2 +○ 𝛼3
平均光子数 𝛼 2 ≪ 1 微弱なコヒーレント光 (レーザー光)
−𝛼 𝛼 ≅1−2 𝛼2
≅ 𝑒−2 𝛼2
≠ 0
微弱なレーザー光だと非直交状態だとみなせる。
|𝛼 ,|−𝛼 →|𝑢0 ,|𝑢1
コヒーレント状態を表す式
𝑢0 𝑢1 ≠0 非直交状態だと
38
盗聴ができてしまう場合の例
状態が変化してしまう方法でも盗聴ができてしまう場合がある
|𝑢0
|𝑢1
0
1
Alice 𝑃0
𝑃0
𝑃1
𝑃1
|𝑢0
|𝑢1
0
1
盗聴者
再送しない
Bob
0 |𝑢0
1 |𝑢1
もともとの
検出確率で、検出される
強い光で送信して、 Bobに必ず検出させる 39
盗聴者とB92プロトコル①
非直交状態を用いる理由…….
2つの非直交状態を用いるとコピーできないという性質。
2つの非直交状態ではコピーできない証明
|ψ ⊗|𝑠 |Ψ を|𝑠 にコピーすることを考える
U |ψ ⊗|𝑠 =|ψ ⊗|ψ |ψ を|𝑠 にコピーしたとする…①
U |∅ ⊗|𝑠 =|∅ ⊗|∅ |∅ を|𝑠 にコピーしたとする…②
40