量子暗号

Posted on by admin

量子暗号は、幅広い暗号慣行とプロトコルをカバーする一般的な主題です。 最も注目すべきアプリケーションとプロトコルのいくつかを以下に説明します。

: 量子鍵分布

量子暗号の最もよく知られており、開発されたアプリケーションは、量子鍵分布(QKD)であり、EveがAliceとBobの間のすべての通信を盗聴することができたとしても、第三者(Eve)がその鍵について何も学ばずに、量子通信を使用して二者(AliceとBobなど)間の共有鍵を確立するプロセスである。 Eveが確立されている鍵に関する情報を学ぼうとすると、AliceとBobが気づく原因となる不一致が発生します。 鍵が確立されると、それは通常、古典的な技術を使用して暗号化された通信に使用されます。 例えば、交換された鍵は、対称暗号化(例えば、ワンタイムパッド)のために使用され得る。

量子鍵分布の安全性は、盗聴者の能力に制限を課すことなく数学的に証明することができ、古典的な鍵分布では不可能なものです。 量子力学の法則が適用され、AliceとBobがお互いを認証することができること、すなわちEveはAliceまたはBobを偽装することができないことなど、最小限の仮定が必要であるが、これは通常”無条件のセキュリティ”として記述されている。

QKDは一見安全ですが、そのアプリケーションは実用性の課題に直面しています。 これは、伝送距離とキー生成レートの制限によるものです。 進行中の調査および成長の技術はそのような限定のそれ以上の進歩を可能にした。 2018年、Lucamarini et al. 非可逆通信チャネルの速度損失スケーリングを克服できる双磁場QKD方式を提案した。 ツインフィールドプロトコルのレートは、リピータレスPLOBバウンドと呼ばれる損失チャネルの秘密鍵合意容量を340kmの光ファイバで克服することが示され、その理想的なレートはすでに200kmでこのバウンドを上回り、より高いリピータ支援秘密鍵合意容量のレート損失スケーリングに従うことが示された(詳細は図1を参照)。 このプロトコルは、今日の通信ですでに一般的に使用されている”550kmの標準光ファイバ”で最適なキーレートが達成可能であることを示唆しています。 理論的結果は,minderらによるレート損失限界を超えたQKDの最初の実験的実証において確認された。 2019年には、最初の効果的な量子中継器として特徴付けられています。 長距離で高レートを達成するという点で注目すべき開発の1つは、TF-QKDプロトコルのSENDING-not-sending(SNS)バージョンです。

Mistrustful quantum cryptographyEdit

mistrustful cryptographyでは、参加当事者はお互いを信頼していません。 たとえば、AliceとBobは、両方の関係者がいくつかのプライベート入力を入力する計算を実行するために協力しています。 しかし、アリスはボブを信用しておらず、ボブはアリスを信用していません。 したがって、暗号化タスクの安全な実装では、計算が完了した後、AliceがBobが不正行為をしていないことを保証し、BobがAliceが不正行為をしていないことを保証 ミストラスト暗号のタスクの例は、コミットメントスキームと安全な計算であり、後者はコイン反転と忘却の転送のさらなる例を含む。 鍵の配布は、信頼できない暗号化の領域に属していません。 Mistrustful quantum cryptographyは、量子システムを使用したmistrustful cryptographyの分野を研究しています。

量子物理学の法則だけに基づいて無条件のセキュリティを達成できる量子鍵分布とは対照的に、誤った暗号化のさまざまなタスクの場合、量子物理学の法則だけに基づいて無条件に安全なプロトコルを達成することは不可能であることを示すno-go定理が存在する。 しかし、プロトコルが量子力学だけでなく特殊相対性理論も利用する場合、これらのタスクのいくつかは無条件のセキュリティで実装することがで 例えば、無条件に安全な量子ビットの約束は、MayersとLoとChauによって不可能であることが示されました。 無条件に安全な理想的な量子コインの反転は、LoとChauによって不可能であることが示されました。 さらに、Loは、一対一の忘却転送や他の安全な二者計算のための無条件に安全な量子プロトコルが存在しないことを示した。 しかし、コイン反転とビットコミットメントのための無条件に安全な相対論的プロトコルは、Kentによって示されています。

: Quantum coin flipping

quantum key distributionとは異なり、quantum coin flippingは、お互いを信頼しない2人の参加者の間で使用されるプロトコルです。 参加者は量子チャネルを介して通信し、量子ビットの伝送を介して情報を交換する。 しかし、アリスとボブはお互いを信頼していないので、それぞれは他の人がカンニングすることを期待しています。 したがって、AliceもBobも、望ましい結果を生み出すために他のものよりも大きな利点を得ることができないようにするために、より多くの努力を費や 特定の結果に影響を与える能力はバイアスと呼ばれ、不正なプレイヤーのバイアスを減らすためのプロトコルの開発に重要な焦点があります。 量子コイン反転を含む量子通信プロトコルは、実用的な世界では実現が難しいと考えられるかもしれないが、古典的な通信よりも重要なセキュリティ上の利点を提供することが示されている。

コインフリッププロトコルは、一般的に次のように発生します:

  1. Aliceは基底(直線または対角)を選択し、その基底でBobに送信する光子の文字列を生成します。
  2. ボブは、直線または対角の基底で各光子をランダムに測定することを選択し、彼が使用した基底と測定値に注意します。
  3. ボブは、アリスが彼女の量子ビットを送信するために使用した基底を公に推測します。
  4. アリスは、彼女が使用した基礎を発表し、ボブに彼女の元の文字列を送信します。
  5. ボブはアリスの文字列を彼のテーブルと比較することによって確認する。 これは、BobがAliceの基底を使用して測定した値と完全に相関し、反対の値とは完全に相関していない必要があります。

チートは、あるプレイヤーが特定の結果に影響を与えようとしたり、特定の結果の確率を増やそうとしたときに発生します。 例えば、アリスはステップ4で、ボブが正しく推測したときに最初の基礎を誤って推測したと主張することによってカンニングすることができたが、アリスは反対の表でボブが測定したものと完全に相関する新しい量子ビットの文字列を生成する必要がある。 量子ビットの一致する文字列を生成する彼女のチャンスは、送信された量子ビットの数とともに指数関数的に減少し、ボブが不一致を指摘した場合、彼は彼女が嘘をついていたことを知るでしょう。 アリスはまた、状態の混合物を使用して光子の文字列を生成することができますが、ボブは彼女の文字列がテーブルの両側と部分的に(完全ではない)相関し、その過程で彼女が騙されたことを簡単に知ることができます。 また、現在の量子デバイスには固有の欠陥があります。 エラーと失われた量子ビットはBobの測定に影響を与え、Bobの測定テーブルに穴ができます。 測定の大幅な損失は、ステップ5でAliceの量子ビットシーケンスを検証するBobの能力に影響します。

アリスがカンニングするための理論的に確実な方法の一つは、アインシュタイン-ポドルスキー-ローゼン(EPR)パラドックスを利用することです。 つまり、それらが同じ基準で測定されている場合、それらは常に反対の偏光を有することが見出されるであろう。 AliceはEPRペアの文字列を生成し、ペアごとに1つの光子をBobに送信し、もう1つを自分自身に保存することができました。 ボブが彼の推測を述べるとき、彼女は反対の基礎の彼女のEPRの対の光子を測定し、ボブの反対のテーブルに完全な相関関係を得ることができる。 ボブは彼女が騙されたことを知らないだろう。 しかし、これには量子技術が現在持っていない能力が必要であり、実際には不可能です。 これを正常に実行するには、Aliceはすべての光子をかなりの時間保存し、ほぼ完璧な効率でそれらを測定できる必要があります。 これは、貯蔵中または測定中に失われた光子が、彼女が推測することによって埋めなければならないであろう彼女の弦に穴を生じるからである。 彼女が作る必要があるより多くの推測、より多くの彼女は不正行為のためのボブによる検出を危険にさらします。

Quantum commitmentEdit

quantum coin-flippingに加えて、不信な当事者が関与している場合には、quantum commitmentプロトコルが実装されます。 約束スキームは、当事者AliceがAliceがその値を変更できないように特定の値を修正する(”コミット”する)ことを可能にすると同時に、受信者BobがAliceがそれを明ら このようなコミットメントスキームは、暗号プロトコル(量子コイン反転、ゼロ知識証明、安全な二者計算、忘却転送など)で一般的に使用されています。

量子設定では、それらは特に有用です: CrépeauとKilianは、コミットメントと量子チャネルから、いわゆる忘却転送を実行するための無条件に安全なプロトコルを構築できることを示した。 一方、Oblivious transferは、ほぼすべての分散計算を安全な方法で実装できるようにすることがKilianによって示されていました(いわゆるsecure multi-party computation)。 (ここでは少し不正確であることに注意してください:CrépeauとKilianの結果は、コミットメントと量子チャネルが与えられた場合、安全なマルチパーティ計算を実 これは、結果が”合成可能性”を保証するものではないため、つまり、それらを一緒に接続すると、セキュリティが失われる可能性があるためです。

残念ながら、初期の量子コミットメントプロトコルに欠陥があることが示されました。 実際、メイヤーズは、(無条件に安全な)量子コミットメントは不可能であることを示しました:計算上無制限の攻撃者は、任意の量子コミットメントプロトコルを破ることができます。

しかし、メイヤーズの結果は、量子通信を使用しない約束プロトコルに必要な仮定よりもはるかに弱い仮定の下で、量子約束プロトコル(したがって、安全なマルチパーティ計算プロトコル)を構築する可能性を排除するものではない。 以下に説明する有界量子ストレージモデルは、量子通信を使用してコミットメントプロトコルを構築できる設定の例です。 2013年のブレークスルーは、量子論と相対性理論を活用することにより、情報の”無条件の”セキュリティを提供し、これは初めて地球規模で実証されました。 より最近では、Wang e t a l.、”無条件の隠蔽”が完璧である別のコミットメントスキームを提案しました。

物理的に不可能な関数は、暗号化約束の構築のためにも利用することができます。

Bounded-and noisy-quantum-storage modelEdit

無条件に安全な量子コミットメントと量子忘却転送(ot)プロトコルを構築する一つの可能性は、bounded quantum storage model(BQSM)を使用することです。 このモデルでは、敵が格納できる量子データの量は、既知の定数Qによって制限されると仮定されていますが、敵が格納できる古典的な(すなわち非量子)データの量に制限は課されません。

BQSMでは、コミットメントと忘却の転送プロトコルを構築することができます。 根本的なアイデアは次のとおりです: プロトコルの当事者は、Q量子ビット(quantum bits)よりも多くを交換します。 不正な当事者でさえ、その情報をすべて保存することはできない(敵の量子メモリはQ量子ビットに制限される)ので、データの大部分は測定されるか、ま 不正な当事者にデータの大部分を測定させることで、プロトコルが不可能な結果を回避することができ、コミットメントと忘却の転送プロトコルを実

Damgård、Fehr、Salvail、Schaffnerによって提示されたBQSMのプロトコルは、正直なプロトコル参加者が量子情報を格納することを前提としていません。 このように、これらのプロトコルは、少なくとも原理的には、今日の技術で実現することができる。 通信の複雑さは、敵の量子メモリ上の束縛Qよりも大きな一定の要因に過ぎません。

BQSMの利点は、敵の量子メモリが制限されているという仮定が非常に現実的であることです。 今日の技術では、十分に長い時間にわたって単一の量子ビットでさえ確実に記憶することは困難である。 (”十分に長い”という意味は、プロトコルの詳細に依存します。 プロトコルに人工的な一時停止を導入することにより、敵が量子データを格納するために必要な時間を任意に大きくすることができる。)

BQSMの拡張は、Wehner、Schaffner、Terhalによって導入されたnoisy-storageモデルです。 敵対者の量子メモリの物理的サイズの上限を考慮する代わりに、敵対者は任意のサイズの不完全な量子記憶装置を使用することが許される。 不完全性のレベルはノイズの多い量子チャネルによってモデル化されます。 十分に高いノイズレベルの場合、BQSMと同じプリミティブを達成することができ、bqsmはノイズの多いストレージモデルの特別なケースを形成します。

古典的な設定では、敵が保存できる古典的な(非量子的な)データの量に限界を仮定すると、同様の結果が得られます。 しかし、このモデルでは、正直な当事者も大量のメモリ(すなわち、敵のメモリバインドの平方根)を使用しなければならないことが証明されました。 このため、これらのプロトコルは現実的なメモリ境界では実用的ではありません。 (ハードディスクのような今日の技術では、敵は大量の古典的なデータを安価に保存できることに注意してください。)

位置ベースの量子暗号編集

位置ベースの量子暗号の目標は、プレイヤーの地理的位置を(唯一の)資格情報として使用することです。 たとえば、受信側がその特定の位置にいる場合にのみ読み取ることができるという保証を付けて、指定された位置にあるプレイヤーにメッセージを送 位置検証の基本的なタスクでは、プレイヤー、アリスは、彼女が特定のポイントに位置していることを(正直な)検証者に納得させたいと考えています。 Chandranらによって示されている。 古典的なプロトコルを使用したその位置検証は、共謀している敵(証明者の主張された位置を除くすべての位置を制御する)に対して不可能です。 敵の様々な制限の下で、スキームが可能です。

‘quantum tagging’という名前の下で、最初の位置ベースの量子スキームが2002年にKentによって調査されました。 米国特許は2006年に付与されました。 位置検証に量子効果を使用するという概念は、2010年に科学文献に初めて登場しました。 位置検証のためのいくつかの他の量子プロトコルが2010年に提案された後、Buhrman et al. 一般的な不可能な結果を主張した: 膨大な量の量子もつれを使用して(彼らは正直なプレイヤーが動作する量子ビットの数で、EPRペアの二重指数関数的な数を使用しています)、共謀敵は常に彼らが主張された位置にあるかのように検証者に見えるようにすることができます。 しかし、この結果は、有界またはノイズの多い量子記憶モデル(上記参照)における実用的なスキームの可能性を排除するものではない。 その後、BeigiとKönigは、位置検証プロトコルに対する一般的な攻撃に必要なEPRペアの量を指数関数的に改善しました。 彼らはまた、特定のプロトコルが、線形量のEPRペアのみを制御する敵に対して安全であることを示した。 時間-エネルギー結合のために,量子効果による形式的無条件位置検証の可能性は未解決の問題であると主張した。 位置ベースの量子暗号の研究は、多くのEPRペアが同時にポートとして使用される量子テレポーテーションのより高度なバージョンであるポートベースの量子テレポーテ

Device-independent quantum cryptographyEdit

Main article:Device-independent quantum cryptography

使用される量子デバイスが真実であることを信頼することにセキュリティが依存しない場合、量子暗号プロトコルはデバイ したがって、このようなプロトコルのセキュリティ分析では、不完全な、あるいは悪意のあるデバイスのシナリオを考慮する必要があります。 MayersとYaoは、内部動作が入出力統計によって一意に決定できる「自己テスト」量子装置を使用して量子プロトコルを設計するという考えを提案しました。 その後、Roger Colbeckは論文の中で、デバイスの正直さをチェックするためのベルテストの使用を提案しました。 それ以来、Bellテストを実行する実際のデバイスが実質的に”ノイズが多い”、すなわち理想的ではない場合でも、無条件の安全でデバイスに依存しないプ これらの問題には、量子キー分布、ランダム性展開、およびランダム性増幅が含まれる。

2018年、Arnon-Friedmanらによって行われた理論的研究。 漸近的等分性の拡張であるエントロピー蓄積定理(EAT)と呼ばれるエントロピーの性質を利用することで、デバイス独立プロトコルのセキュリティを保証できることを示唆している。

コメントを残す

メールアドレスが公開されることはありません。