雑誌無償購読申込み 最新号 バックナンバー 広告資料請求 EDN Japanについて お問合せ
雑誌無償購読申し込み
メールニュースレター登録
登録内容変更
アナログ IC/ディスクリート
電源/電池/コントローラー
PLD / メモリー
組み込みシステム		 コンピュータ&ボード
EDA/IP/CAE/ソフトウェア
電子部品
計測器		 ディスプレイ
デジタル家電
通信・ネットワーク
カーエレクトロニクス/産業機器
EDN Japan 記事検索
検索方法の詳細
雑誌無償購読申込み ニュースレター登録 この記事に対する感想/ご意見
2006.4
究極のセキュリティ技術?
量子暗号

量子暗号は、アルゴリズムの複雑さではなく、量子力学理論と 単一光子の組み合わせを用いた物理学で安全性を実現する技術である。
Bill Schweber 前エグゼクティブエディタ
Advertisement
 データ通信の安全性が今、注目されている。ハッカーはオープンポートや秘密プログラム、その他様々な策略や偽名を使ってシステムにアクセスしようとしている。データのセキュリティを守る製品や戦略の導入は、組み込みシステムとエンタープライズシステムの両方で、現在最も優先すべき項目といえる。
 あらゆるシステムで昔から言われてきたもう1つの弱点は、ユーザーまたはシステムノードを接続する物理リンクである。専用チャンネルや物理的にセキュアなリンクなど、このリスクを最小限に抑えるいくつかの方法はあるが、一般にはRSA(Rivest/Shamir/ Adleman)アルゴリズムやワンタイムキーといった複雑な数学的アプローチに基づくデータ暗号化技術が使用されることが多い。物理的にセキュアなリンクというのは現実的にはまず不可能で、まずワイヤレスリンクが使用できない。暗号化されたデータは、確信的な盗聴者にかかれば簡単に解読されてしまう(コンピュータの処理能力が向上すれば、RSAアルゴリズムでさえ解読される可能性もある)。そしてワンタイムキーは、原則では絶対に安全だとされているものの、実際には深刻な実装上の問題がある(別掲記事「暗号の基本」を参照)。
 しかし、現在の手法は鍵の管理上の問題もなくワンタイムキーのセキュリティを実現していると思われ、この方法を用いれば絶対に安全なキー交換を行うこともできる。QC(quantum cryptography:量子暗号)ではリンクの基盤として光子とその量子状態を利用している。しばしば引用され、誤解されることも多い物理学者Werner Heisenberg氏の「不確定性原理」によってあらゆる盗聴テクニックを不可能にする*1)。IBM社研究員のCharles Bennett氏とモントリオール大学のGiles Brassard氏が量子暗号を発明したのは1980年代であったが、必要な光素子と、必要なパフォーマンスを備えた関連技術が実現するまでには多くの歳月がかかった。
 ボストン地域では、約19kmを超えるループに10のノードをもつQCシステムが2004年6月から稼動している。このシステムは、DARPA(米国防総省高等研究計画局)の2002年度助成プログラムの下、米BBN Technologies社(http://www.bbn.com)がいくつかの研究所や企業と協力して開発したものだ。BBN社は研究開発機関として、この技術の商用ライセンスを他の企業に供与することを目指している。一般的な商用化とはわけが違うものの、学究的計画や研究プロジェクトの範囲を超えている。このシステムは、24時間365日ひと時も休まずにフル稼働し、人の介入はほとんど必要としない。
 このQCシステムにはインターネットゲートウェイも組み込まれているため、このゲートウェイを超えてしまえばQCの効果が失われるものの、QCで暗号化されたノードを超えてリンクすることができる。BBN社には通信ネットワークを研究・開発してきた長い歴史がある。1960年代後半、Bolt Beranek and Newmanの名で知られていた同社は、インターネットの基盤となったARPAnet(Advanced Research Projects Agency network)の開発・展開を主導した。BBN社は物理学実験研究所というより電気通信・ネットワーキング分野の専門機関の側面をもつ。終始注意が必要で、時に再起動をも求められるような「気まぐれ」なシステムではなく、アップタイムがほぼ100%のシステムの開発を追求している。
 QC製品とサブシステムは、スイスのid Quantique社(http://www.idquantique.com)、米MagiQ Technologies社(http://www.magiqtech.com)、英QinetiQ Ltd社(http://www.qinetiq.com)をはじめとするベンダーから提供されている。


「非直感」的な量子の概念

 QCシステムがどのように機能するのかを見ていく前に、量子原理について簡単に復習し、従来の信号や電力などと比較しながら概念をつかむのがよいだろう(別掲記事「違う角度から考える」参照)。QCシステムは、単一光子源と一対の偏光フィルタから始まる(図1)。光子の生成は容易なことではない。まず、1つの偏光フィルタ(直線フィルタ)が、垂直偏光または水平偏光をもつ光子だけを通過させる。もう1つのフィルタ(対角偏光フィルタ)は、水平方向または垂直方向に対する入射角度が±45°の光子だけを通過させる。基準とするフレームは任意である。1つの方向を水平と定義して、これを他の角度の基準方向として用いるだけでよい。
図1 BBNとDARPAが開発したQCシステム。ランダムな偏光方向をもつ光子を、偏光フィルタと偏光方向検出器で捕捉する。

 光源が生成する各光子を、送信者(関連文献で“Alice”と名付けられることが多い)が、任意に直線フィルタまたは対角フィルタのどちらかを通過させる。直線フィルタを使用する場合、Aliceは通過する光子が水平偏光か垂直偏光かを記録する。対角フィルタを使用する場合は、光子の偏光が右45°か左45°かを記録する。その後、1ビットのデータを表す1つの光子が光ファイバまたは自由空間を通して送られる。
 関連文献で一般に“Bob”と名付けられる受信者側では、入ってくる光子を直線フィルタと対角フィルタのどちらで観察するのかを任意に選択し、使用するフィルタと偏光値、つまり水平か垂直、あるいは45°か−45°を指定する。この値がビット値となる。Bobは入ってくるすべての光子に対してこの手順を繰り返す。その後、Bobはオープンで非セキュアなチャンネルを通じてAliceに連絡を取り、Bobが使用したフィルタのシーケンスを伝える。このシーケンスを使用してBobが記録したビット値「キュービット」は伝えない。
 AliceはBobに、Bobが使用したフィルタ方向のうちどれが正しかったのかをオープンチャンネルを介して伝える。Bobがビット値を伝えなかったので、Aliceはビット値に言及しない。AliceとBobは、メッセージを暗号化・解読するための鍵として正しかったモードのインスタンスを使用し、光子が正しいモードで観察されなかった位置は無視する。
 慣例的にEveと呼ばれている盗聴者についてはどうだろうか。Heisenbergの原理によると、Eveが直線モードと対角モードの両方で光子を同時に測定することは不可能である。さらに、Eveが勘に頼って間違ったモードで測定を行うと、その測定方法でビットがBobに再送信され、エラーとなる。AliceとBobは、選択したビットを比較して、それらのビット対についてエラーチェックを行うことで、盗聴があったことを検出できる。
 このQC手法はセキュアリンクのニーズに合致している。AliceからBobにセキュアキーを送信する場合にも、ワンタイムキーを作成してメッセージビットと一緒に送信する場合にもこの手法を利用できる。しかし制約はある。まず、光子の量子状態はあらゆる光または電気光学中継器・増幅器によって破壊されるため、干渉のない単一のリンク上でしか利用できない。電気通信用の標準的な低損失ファイバを利用するQCリンクは約100kmまで延長でき、受信側で慎重に焦点を合わせた望遠鏡を使用する自由空間リンクは夜間で20kmまで延長できる(太陽の光が影響することから日中の使用は難しい)。しかし研究者たちは、適切な光部品を使用すれば、低軌道衛星から地上基地局へのリンクを確立することは可能と考えている。
 2つ目は、一部の光部品の制約とプロトコルの複雑さにより、データレートが比較的低くなるということだ。QCを利用してセキュアキーを送信する場合、そのリンクで達成されるデータレートは約5Mビット/秒である。ワンタイムキーの場合は、鍵の要素が700ビット/秒で送信される。


光子を1個だけ取り出す

図2 米BBN社のHenry Yeh氏(向かって左)とChip Elliott氏(右)。DARPAが援助するQCプロジェクトのリーダーを務める。
  QCシステムの実装には多くの機能ブロックと機器が必要になる。そのほとんどは標準的なものだが、例外もある。BBN社の主席技師を務めるChip Elliott氏とプログラムマネジャーのHenry Yeh氏は、他のスタッフとともに大変な労力をかけてシステムの実装に取り組んだ(図2)。
 現在、このQCシステムのノードはBBN社、ハーバード大学、ボストン大学フォトニクスセンターにあり、商用ダークファイバが未使用の状態で既に約19kmにわたって敷設されている。BBN社はNIST(米国標準技術局、http://www.nist.gov)の技術者とともに、BBN社から隣接ビルへの自由空間リンクも開発した(図3)。このシステムは単なるポイントツーポイントの単一プロトコルトポロジではない。各ノードにはQCを利用してデータを捕捉、復元、再暗号化、再伝送するための電気光学中継器があり、異なるデータプロトコルが使用される。
図3 このQCシステムのノードは、マサチューセッツ州ケンブリッジ市内の2カ所(「Alice」と「Bob」の拠点であるBBN社と「Anna」のハーバード大学)、そしてボストン市内のボストン大学(Boris)にある。
図4 既知の量子状態をもつ単一光子を発生させるために、レーザー光で非線形結晶を励起し、同じ量子状態をもつ光子対を生成する。
 QCシステムには、単一光子源とそれに対応する単一光子検出器が不可欠である。BBN社のシステムには単一光子を生成するための方法が2つある。1つは、レーザーを使用してその出力をフィルタリングする方法であり、もう1つは量子もつれ光子を発生させる方法である。1つ目の方法では、フィルタがレーザー出力を著しく減衰させるか、位相変調パスがフィルタとして機能し、光子を分離させる。このレーザー光をフィルタリングする方法は、原理としては量子もつれ光子の方法よりも簡単だが、厳密に1つの光子だけを通過させるのは難しい。フィルタを通過して減衰した出力は、1個、2個、あるいは3個の光子で構成されている可能性もある。量子の世界では、光子の数は確率論では受け入れられない正確さを暗示しているのだ。
 量子もつれ光子を利用する方法では、レーザー光を非線形結晶にあてる*2)(図4)。入射する光子が結晶を励起し、これによって反対の方向性をもつが量子状態が同じ光子対が生成され、放出される。この光子対を、量子もつれ光子と呼ぶ。この方法には、なんらかの光フィルタリングと特殊な鏡も利用される。BBN社も利用しているこのシステムの利点は、光子対の一方を観察することで、その対についての情報が分かることである。BBN社のElliott氏は、RFや電気通信分野のエンジニアには分からなくても、量子物理学の研究者たちには聞きなれたこの言葉でポイントを突いている。「何かを見るときは十分に気をつけることだ。一瞬の行動がすべてを決定する」。


意外に容易な、光子の生成

 単一光子の生成は難しく思えるかもしれないが、その補完的な課題に比べればまだましである。「単一光子検出器はまさに悪夢だ」とElliott氏がいうように、現在の検出器はシステムの実装を難しくする要因となっているのだ。広く普及しているシリコンベースの検出器は、自由空間リンクの可視光子波長の検出に適しているが、ノイズを減らすためには−40℃まで冷却しなくてはならない。
 BBN社のシステムでは、ファイバを利用したQCリンクに、−50℃に冷却されたInGaAs/InP(インジウム−ガリウムヒ化物/インジウム燐単結晶)光検出器を利用している。残念ながら、この検出器は量子効率が低く、照射される光子の10〜20%しか電気パルスに変換できない。Elliott氏のチームは、パフォーマンスを上げるために2〜4Kで動作する、窒化ニオブを使用する超電導検出器を作製している。このタイプの検出器では、入射する光子がその超電導モードから結晶にぶつかり、その結果結晶から電気信号が生成される。InGaAs/InP検出器の動作周波数が数MHzであるのに対し、これらの検出器は10GHz〜100GHzで動作することが可能なため、システム全体のスループットに対する1つのボトルネックが解消される。検出器を数Kまで冷却しなくてはならないが、これは大した問題ではない。「驚いたことに、2万米ドルも出せばかなり良い冷却装置を入手できる」とElliott氏は言う。
 光子の検出に使用される結晶も確かに重要だが、それだけでは機能しない。単一光子検出器はラックマウント型のシャーシに他の電子部品が組み込まれたもので(図5)、DARPA量子ネットワークはこのような手製の装置をIBM社アルマデン研究所(カリフォルニア州サンノゼ)で12台作製した。そのうちの6台はBBN社にある。2005年10月、IBM社はQCの商用化を促すため、この技術を米Princeton Lightwave社(http://www.princetonlightwave.com)にライセンス供与した。
図5 IBM社アルマデン研究所で作製された単一光子検出器。光検出器フロントエンド(a)と、数多くの電子素子(b)で構成されている。

 ファイバを利用したQCリンクでもう1つの鍵を握るのは、光位相の調整とマッチングを行う干渉計である。1台がBBN社に、もう1台がハーバード大学に置かれている。光の波長が、波長の数分の1未満の誤差で一致している必要があり、厳しい要件が設定されている。現在の設計では、慎重に制御されている標準的な電源が、干渉計に組み込まれているニオブ酸リチウム位相変調器に微小な電圧差をかけ、その圧電効果が結晶の大きさを変化させる仕組みになっている(以前圧電アクチュエータに使用されていた手法の改善版であり、よりシンプルになっている)。干渉計全体は、ホーム・ディーポー(米国の日用品店)で購入できるような厚さ8cm弱の発泡ポリスチレンでできた完全遮光ボックスで覆われている。これは熱作用を最小限に抑えるためQCリンクを完全防護する方法の1つにすぎない(図6)。
図6 AliceとBobの間のリンクは、光源、遅延線、位相シフタ、カプラ、スプリッタ、光ファイバなど、すべて光素子、電気素子、電気光学素子で構成されている。光ファイバには、偏波面保存ファイバと非偏波面保存ファイバの両方が使用されている。

 単一光子源とその検出器も、干渉計やそのボックスと同じようにカスタムメイドである。残りのほとんどは、電子または光の標準的なテスト、測定、処理機器である。「残りは電気通信機器だ。高速でしかも安い」とElliott氏はいう。さらに、「これらの機器のほとんどは市販品だ。誰でもクレジットカードで購入して自宅で組み立てられるだろう」とも付け加える。設計と実装には数え切れないほどのIP(知的財産)が必要であるからやや大げさだが、この言葉からはQCシステムに手頃な価格で高性能の電気・光通信機器がいかに活用されているかを伺い知ることができる。
 システムは全体的に複雑ではあるものの、自ら自動キャリブレーション、起動モード、自己テストモードを実行するほか、連続データスループットをサポートしている。コールドスタートからの場合は、QCリンク全体が使用可能になるまで30秒とかからず(コントローラとして使用される各種パソコンのOSとドライバの起動時間を除く)、この時間のほとんどが干渉計の調整に使われる。次のステップは、パソコンの使用範囲を減らしてFPGAにできるだけ多くの制御機能を組み込み、システムをより小さく、安く、ハードウエアベースにすることだとElliott氏は述べている。
 
暗号の基本

 暗号は、秘密の情報を他人に見られないように伝達するという、最も古くからある社会のニーズの1つを満たすものである。古代のギリシャ人、ローマ人、エジプト人も基本的な暗号技術を用いていたが、その研究は今日さらに重要なものとなり、進歩を遂げている*A)
 メッセージを暗号化する1つの方法としては、慣例的にAliceと呼ばれる送信者が、平文から暗号文に変換するときの基底として、暗号化アルゴリズム内で鍵(秘密の特殊文字列)を使用する。受信者のBobは同じ鍵を持っており、プロセスを逆に実行する解読アルゴリズムにその鍵を使用する。鍵を持っていない盗聴者Eveは、既存の文字列を使用したり、メッセージを特定のイベントに関連付けるなどの手法で繰り返される文字列とパターンを探し、メッセージを解読する可能性がある。これらの方法のほとんどは相当な処理能力を必要とし、鍵を長くするほどタスクが著しく複雑なものとなる。今日では、ほとんどのアプリケーションで128ビットまでの鍵が使用されている。
 鍵方式のシステムの問題は、鍵の長さもアルゴリズムの複雑さも、ハッカーによる解読を阻止したり遅らせるには不十分であるということだ。さしせまった課題として、正当なユーザーの間で鍵そのものをどのように暗号化して伝送するのかということと、その鍵を露出や破損からどのように保護するのかということが挙げられる。1970年代に開発され、広く普及しているRSA(Rivest/Shamir/Adleman)アルゴリズムは、違うアプローチをとることでこの問題を解決している。このアルゴリズムでは、秘密鍵と公開鍵を組み合わせた非常に大きな数の素因数分解の複雑さを利用している。したがって、RSAアルゴリズムで分かっている唯一の弱点は、将来強力なコンピュータが登場してひたすら計算を続ければ、解読できてしまう可能性があることだ。
 本当に解読不可能と考えられている暗号方式にワンタイムパッドがある。鍵に使用される文字列が、簡単に破けるメモパッドに書かれることが多いことからこう名付けられた。この手法では、メッセージと同じ長さの任意の暗号鍵を使用して、メッセージの1ビットまたは1文字ごとに、鍵の1ビットまたは1文字を割り当てる。暗号化アルゴリズムと解読処理にはこの鍵のビットまたは文字が使用される。この手法の暗号化と解読は比較的シンプルで、ユーザーが自分の手を使って解読することすら可能だ(これは実世界では大きな利点である)。AliceとBobは同じ文字列を知っていて、他の誰もそれを知らず、その鍵を再び使用する者は誰もいない。この特徴はワンタイムパッドの強みでもあり、弱みでもある。暗号鍵を管理したり、伝達したり、セキュリティを確保することが物理的に困難だからだ。しかし、電子の動きによって生成されるノイズを利用したデータなど、ユーザーは乱数文字列を作成する様々な方法を使用して、ワンタイムパッドを上手く利用している。

*A)Singh, Simon, The Code Book: The Science of Secrecy from Ancient Egypt to Quantum Cryptography, Doubleday(Random House), 1999.

▲本文へ戻る

違う角度から考える

 信号電力、減衰量、計器を用いた測定について常日頃から考えをめぐらせている技術者にとって、光子の量子世界はまったく未知の領域に思えるかもしれない。光技術の技術者が信号のエネルギーまたは電力の減衰について話すとき、そのプロセスは一般的な電圧・電流信号の場合とまったく異なる。光子のエネルギーのみが光の波長または周波数を形成するため、光のエネルギーまたは電力を減衰するには光子の数を減らすしかない。
 1個の光子は、偏光や特性などのいくつかの量子状態によって定義される。光子のような粒子の位置と量子状態の両方を同時に決定することはできないというHeisenbergの不確実性原理にしたがえば、光子の量子状態を測定するという基本的動作によってこれらのパラメータの値が変わる可能性すらある。つまり、測定という動作が、測定する粒子に影響を及ぼすのだ。量子物理学の世界は、「確実」や「絶対」とは無縁だ。光子がどこに存在し、どのようなパラメータをもっているかを確率で判断することになる。回路やシステムが使用される、十分に定義された測定可能な世界とは対照的といえる。
▲本文へ戻る

用語解説 / 会社情報
*1)
Stix, Gary, "Best-kept secrets: Quantum cryptography has marched from theory to laboratory to real products," Scientific American, January 2005, http://www.sciam.com.
▲本文へ戻る
*2)
Schweber, Bill, "Going nonlinear can be a good thing," EDN, Sept 18, 2003, pg 36.
▲本文へ戻る

雑誌無償購読申込み ニュースレター登録 この記事に対する感想/ご意見
Reed Electronics Group
Electronic BUSINESS Japan | Design News Japan | Semiconductor INTERNATIONAL | DETAIL JAPAN
EDN Japanについて | 広告掲載について | サイトマップ | お問合せ
 Copyright (C) 2000-2007 Reed Business Information Japan K.K. 
個人情報に関する方針 | 著作権・リンクについて | 会社情報