デコイ法によって実現可能な量子鍵配送システムの安全性評価

科研費特定領域研究「情報統計力学の深化と展開」平成18年度研究成果発表会

デコイ法によって実現可能な量子鍵配送システムの安全性評価

林 正人¹,富田 章久,廣嶋 透也, 長谷川 淳

独立行政法人 科学技術振興機構ERATO-SORST量子情報システムアーキテクチャ

1 Introduction

1984 年にBennett and Brassard[1]によって提案されたプロトコル(BB4プロトコル)による量子鍵配送 は，情報理論的安全性を保証するプロトコルとして，現在の計算量的安全性に基づく現代暗号の代替物とし て注目されている．そして，それを実現する量子通信路の実現に関しては，現在精力的に研究されている．

一方，BB84プロトコルそのものは，ノイズの無い量子通信路を用いた場合での安全性は自明に示せるもの の，現実の量子通信路には一定程度のノイズがあるため，ノイズに紛れた盗聴を考慮してその安全性を検 証する必要がある．ノイズを考慮した安全性はMayers[2]により示され，その後，その証明方法の改良がな されてきた．しかし，現実の量子通信ではノイズがあるのみならず，通信に用いる状態も単一光子でない場 合が多い．すなわち，送信状態が，真空状態，単一光子状態，多光子状態の混合状態で与えられ，送信者，

受信者には，個々のpulseでの光子数が特定できない．このような設定での安全性を保証するためにdecoy

法[8, 10, 11, 12]と呼ばれる方法が提案され，これを用いれば，一定の条件を満たす量子通信が可能であれ

ば，安全な通信が可能であることが示されている．

しかし，現在なされている研究の多くは，個別に扱った議論が多く，これらを単純に組み合わせること では，現実に作成した量子鍵配送装置がどの程度の安全性を保証するかわからない．すなわち，現実に実装 可能な量子鍵配送装置の安全性を定量的に評価する方法は未だ確立していない．一方で，現在使われてい る現代暗号については，その安全性の基準について厳しい議論を経ている．したがって，量子鍵配送装置の 実用化のためには，理論研究として，定量的な安全性基準を明示し，実装された量子鍵配送装置がそれを満 たすことを保証する方法を確立することが必要である．また，このような研究がなされないまま放置して おくと，量子鍵配送装置の実用化のための実験研究が全く実用に結び付かない可能性が高い．

量子鍵配送では，初期乱数生成後に，誤り訂正とprivacy増幅を経て最終鍵を生成することになってい る．誤り訂正については基本的に従来の古典誤り訂正符号の議論がそのまま使え，推定された誤り率に応 じた誤り訂正符号を用いれば十分である．一方，盗聴に対する安全性を保証するために必要な操作が，鍵の サイズを減少させるprivacy 増幅である．ここでは，privacy増幅のサイズと鍵サイズの減少率の２つのパ ラメータが最終鍵の盗聴情報量と関連している．この盗聴情報量が盗聴可能性を与える指標であり，この 値は安全性に対する定量的な基準値として考えられている．privacy増幅ではサイズや減少率は大きくする と，盗聴情報量を小さくすることができるが，サイズを大きくすると計算量が増え，同時にそれの実現に必 要な乱数の数が増加する．また，減少率を増やすと，最終鍵のサイズが小さくなってしまう．したがって，

量子鍵配送システムの実装に向けて必要な理論研究は，実用的に実現可能な量子鍵配送方式の下で，盗聴 情報量をある一定値以下に保つために，必要なprivacy増幅サイズと減少率の計算式の導出である．

これらの問題を解決するためには，次の3点の問題を解決する必要がある．1つ目は，実用的なプロト コルの下で有限サイズの誤り訂正，privacy増幅に対する盗聴情報量の評価である．現実の装置は無限長の 符号を実装することはできず，無限長での理論だけからは，現実の装置の安全性を保証することができな い．2つ目は，通信に用いられる量子状態が単一光子ではなく，コヒーレント光などのmulti-photon 状態

（真空状態，単一光子状態，多光子状態の混合状態）の場合での解析である．実用化を意識した多くの量子 鍵配送についての実験装置では，ほとんど，単一光子を用いておらず，多くの場合，弱コヒーレント光な

どのmulti-photon状態が用いられている．したがって，multi-photon状態の場合での解析が必要である．

3つ目は，真空状態，単一光子状態，多光子状態の割合が未知である場合が多く，この割合を特定する問題 である．現実の通信では通信路中での損失が多く，そのため，例え，送信状態でのこれらの割合が分かって いても受信状態の中でのこれらの比率は直ちには分からない．これを適切に推定する方法が必要である．

これら3つの問題については，それぞれ部分的に解決されているものの，これら全てを解決した研究 はなされていない．現実の装置の安全性を確保するには，これらを同時に解決する必要がある．1点目の 問題については，現状では，多くの論文では無限に大きなサイズの符号を想定し，漸近達成可能な鍵生成 レートのみを扱い，有限長のサイズでの安全性を示してはいない．有限長のサイズについて議論している 論文はMayers[2], Inamori-L¨utkenhaus-Mayers(ILM)[3], S.Watanabe-R.Matsumoto-Uyematsu(WMU)[7], Renner-Gisin-Kraus(RGK)[6], Hayashi[13]に限られる．しかし，これらの研究の中で，2つ目の問題まで

1E-mail: [email protected]

考慮に入れているのは，ILM[3]のみであり，他は全て，単一光子の場合（もしくは，単一光子に近い場合）

を扱っている．ILM [3]はMayers[2]の手法を適用することにより，multi-photon状態の場合にも有限長の 場合での安全性評価を与えた．しかし，彼らの与えた有限長での公式は込み入っており，扱いにくい．彼ら は，漸近達成レートも導出しており，こちらの方は扱いやすい記述になっている．この漸近達成レートは Gottesman-Lo-L¨utkenhaus-Preskill (GLLP)[9]によっても，Shor-Preskill[4]の手法を拡張することで導出 されている．そして，3つ目の問題を解決する方法がHwang[8]により提案されたDecoy法である．この方 法では異なる強度の弱コヒーレント光を適切にまぜることで，各光子状態の損失の割合を推定することが できる．後に，Lo et al.[10, 11], Wang[12]らにより詳しく解析されたが，彼らは，GLLP[9]の議論を適用 することでDecoy法での漸近達成レートを導出しているのみであり，有限長での議論は扱っていない．し たがって，Decoy法を用いた場合，現実の装置でどれだけのprivacy 増幅を行なえばどれだけの安全性が 保てるか議論した論文は無い．さらに，ILM [3]，GLLP[9]によって導出された漸近レートは改善の余地が ある．事実，このレートは真空状態の取り扱いが不十分なため，その改善がLo[14]によって予想されてい る．この予想を用いて，Boileau-Batuwantudawe-Laflamme (BBL)[15]はdark count を考慮に入れるとさ らなる改善が可能との予想をしている．彼らは，その予想に基づいて，誤り訂正を送信者から受信者の向き に行なう場合と，受信者から送信者の向きに誤り訂正を行なう場合では最終鍵の生成レートが異なること を指摘している．

本稿ではこれらの問題を解決すべく以下の成果を得た．はじめに，有限長の符号のmulti-photon状態を 用いた場合での安全性評価を行なった．特に，ここでは，ILM [3]では考慮されなかった，真空状態，ダー クカウントの効果を採り入れることによって大幅に評価を改良した．そして，この議論を用いて，Lo[14]や

BBL[15]の予想を証明した．また，従来のdecoyの研究では，変化させる強度の数は真空も含め，2か3で

あったが，本稿では，初めて任意の場合を扱った．そして，その場合についての漸近レートの公式を導出 し，これまで十分に明らかにされなかった漸近レートの振舞についての性質を調べた．同時に，漸近レート のシンプルな近似式を導出した．さらに，先に述べた有限長の場合の議論に各光子状態の損失割合の推定 誤差を考慮して，有限長の符号から構成される現実に実装可能な量子鍵配送システムの安全性を定量的に 保証するために必要なprivacy 増幅サイズと減少率の計算式を導出した．

なお、現在，ここで導出したprivacy 増幅サイズと減少率の計算式を組み込んだdecoy法による量子鍵 配送システムの実証実験も我々のグループによって行なわれている．この実験で実証されるシステムは誤

り訂正とprivacy 増幅を備えた完全な量子鍵配送システムであり，初めて安全性を定量的に保証したシス

テムである．なお，decoy法を実現した実験が報告されているが，Zhao et al.(ZBXHL)[17]による実験は，

コヒーレント光の強度を2種類に変化させただけであり，誤り訂正，privacy増幅などの秘匿性確保のため に必要な処理は実現されていない．その後に，Yuan-Sharpe-Shields (YSS)[18]は誤り訂正，秘密増幅を備 えてコヒーレント光の強度を2種類に変化させる場合のdecoy法の量子鍵配送の実験を行なった．しかし，

ここで用いられた秘密増幅のサイズは漸近的な鍵生成レートを用いており，あくまでも無限大のサイズでし か有効にならない．したがって，彼らの実験で生成された最終鍵の安全性は不明である．

以下，本稿の構成を記す．始めに，Section 2ではこの論文で考えてるprotocolを記述した．特に，ここ では，privacy増幅のときに，減少させるbit数の決定に必要なパラメータを明確にした．また，Hayashi[13]

を用いて，このprotocolの下で平均phase errorによって安全性が評価できることを明記した．Section 3 では理想的なモデルを考え，真空状態，単一光子状態，多光子状態の割合が既知の場合での安全性の評価式 を与えた．Section 4ではSection 2でのprotocolで考え得るEveの attackについて考察した．Section 5 以下の部分は２つの部分に分かれる．前半では，統計揺らぎが無視できる場合を扱い，後半では，統計揺ら ぎを考慮した場合を扱った．もちろん，現実の装置での必要なprivacy増幅での減少bit数を求めるには，

後者の議論が必要であるが，残念なことに，この場合の議論ではシンプルな解析が困難である．そのため，

前半部では統計揺らぎが無視できる場合を仮定し，漸近的な最終鍵生成レートについて議論した．Section 5では統計揺らぎが無視できる場合での最終鍵生成レートを与えた．特に，ここでは変化させるコヒーレン ト光の強度の種類の数がk(任意の数)の場合を扱った．（先行研究[10, 11, 12]では，この種類の数が1と2 の場合のみ取り扱われている．）そして，Section 6ではkが無限に大きい場合でのレートの振舞について議 論した．しかし，Section 5で与えたレートの公式には最適化問題を含んでおり，よりシンプルな表式が望 まれる．Section 7では，盗聴者が居なかった場合に想定される自然なモデルの下で，鍵生成レートのシン プルな上限を導出した．また，状況によってはこの上限値は近似値としても，有効であり，Section 8では，

この近似の精度について議論した．この近似式は，これまでのDecoy法の論文で与えられた漸近最終鍵生 成レートの表式と比べ，極めてシンプルなものである．Section 9では，変化させるコヒーレント光の強度 の種類の数kが1,2,3,4の場合に数値的に検証した．

次に後半部分では，統計揺らぎを考慮して，Section 2で与えられたパラメータからprivacy増幅での 減少bit 数を計算する方法を導出した．始めに，Section 10では，この解析に必要な定数，確率変数を列 挙し，その分散，共分散を与えた．この値は後の計算に必要な情報である．Section 11ではEve の戦略と privacy増幅の減少bit 数の推定する方法について議論する．Section 12ではSection 11で与えたprivacy 増幅の時に必要な減少bit 数の推定値から統計揺らぎを考慮して，実装する装置に必要な秘密増幅での減

少 bit数を与える．Section 13ではSection 12で必要な統計揺らぎを導出する方法を与える．なお，今回 は紙数を考慮の上，証明は省略した．

2 ^変形 Decoy ^法の Protocol

コヒーレント光などの実現が容易な量子状態は個数状態確定状態ではない．例えば，コヒーレント状態は e^−|α|

2

2 P_∞

n=0√αⁿ

n!|niとなるが，実際には複素振幅をα=√µe^iθ とした場合，phaseθが確定せず，盗聴者 にも，これを同定することは難しいので，強度µにのみ依存した状態e^−µP_∞

n=0 µⁿ

n!|nihn|とみなすことが できる．したがって，|Hi状態を強度µのコヒーレント状態で送った場合，確率e^−µで真空状態が送られ，

確率e^−µµで1個の状態|Hiが送られ，確率e^{−µ µ}_n!ⁿ でn個の状態|Hi^⊗n が送られる．しかも，n個の状 態|Hi^⊗n が送られた場合(n≥2)，様々な盗聴が可能で，1個の状態|Hiを前提にした安全性の議論は適 用できない．さらに，通信の途中で高い確率で損失がおき，１個状態がそのまま，受信者に届くとは限ら ない．また，Aliceが送った状態が真空状態であるにも関わらず，通信路の途中で光子が混入し，Bob 側で 誤って検出される確率もある．また，受信者が受信した pulseが盗聴の危険の高いn個の状態によるもの であるか判断できない．また，盗聴者は非破壊な個数測定ができると仮定すると，盗聴者は自由に各個数状 態の損失をコントロールできるとする．各個数状態の損失の割合を推定するために，異なる強度のコヒーレ ント光をランダムに混ぜる．この方法を用いることで，それぞれの強度ごとの検出率から，各個数状態の損 失の割合が推定できる．ただし，無限個の個数状態の確率的な重ね会わせであるので，例え各強度ごとの検 出率に統計揺らぎが無くても，完全には各個数状態の損失の割合は推定できない．したがって，ランダムに 選ぶ強度の種類kを増やした方が，精度は向上する．また，盗聴者は非破壊な個数測定を持っていると仮 定するので，それぞれの異なる個数状態で異なるエラー率を実現できるとする．したがって，１個状態での それぞれ基底のエラー率を知るために，それぞれの強度と基底毎のエラー率を推定することも必要である．

以下では，本論文で扱うprotocolを扱う．あらかじめ，符号のサイズnを固定する．１つのサイズnの 符号を生成するために，伝送するpulseの数N もあらかじめ固定する．そして，k種類の強度µ1< . . . < µk

を用いるとすると，真空状態や，基底の選び方を考慮して，全体で2k+ 1種類のpulseを送ることになる．

そのため，2k+ 1種類のpulseを選択する確率p˜0, . . . ,p˜2k もあらかじめ固定しておく．ここで，強度0の pulseは確率p˜0 で生成し，強度µi で ×基底のpulseは確率p˜i で生成し，強度µi で +基底の pulseは 確率p˜k+i で生成するとする．特に，最終鍵の生成に使う強度µi0 の生成確率，p˜i0, ˜pk+i0 は大きめに取っ ておくこととする．

その他，ノイズがない場合での+基底及び×基底の誤り率pS,˜pS 及び，1 pulseあたりのダークカウ ントが発生する確率pDを事前に調べておく．

1. 一定の時間内において，Aliceはランダムに2k+ 1種類のpulseを送る．そして，その時間内に，pulse i を送った数をAi とする．

2. Aliceはどのpulseでどの強度とどの基底で信号を送ったか公開通信路を用いてBobに知らせる．

3. それぞれの種類i= 0, . . . ,2k毎にBobが受け取ったpulseの数C0, . . . , C2k を記録する．次に，種類 i= 1, . . . ,2kで Bobが検出したpulse について，Bob の測定基底を公開し，基底が一致したpulse の数E1, . . . , E2k を記録する．

4. 種類 i=i0, i0+k の pulse のうちから，それぞれ，nbit づつランダムに選んで抜き出し，残りの Ei0−nbitとEi0+k−nbitの情報を互いに公開し，それぞれでエラーの起きたビット数Hi0,Hi0+k

を記録する．Ei0≤nまたはEi0+k≤nであれば，以下のプロトコルを中止し，再度，始めからやり 直す．

5. 種類i6= 0, i0, i0+kの基底が一致した全ての pulse の情報を互いに公開し，それぞれでエラーの起 きたビット数 Hi を記録する．

6. これらの情報から，誤り訂正時の符号化率η(_E^{Hi0 +k}

i0+k−n),η(_E^H_iⁱ⁰

0−n),及び，秘密増幅のサイズ m(A, ~~ µ, pS, pD;C, ~~ E, ~H), ˜m(A, ~~ µ,p˜S, pD;C, ~~ E, ~H)を計算する．そして，

nη(_E^H_i^{i0 +k}

0+k−n)≤m(A, ~~ µ, pS, pD;C, ~~ E, ~H)またはnη(_E^H_iⁱ⁰

0−n)≤m(˜ A, ~~ µ,p˜S, pD;C, ~~ E, ~H)であれば以下 のプロトコルを中止し，再度，始めからやり直す．

7. +基底のnbitの情報について，エラー率 _E^{Hi0 +k}

i0+k−n を元に，誤りがほとんどないnη(_E^H_i^i0+k

0+k−n) bitの 情報を共有する．

8. この情報についてm(A, ~~ µ, pS, pD;C, ~~ E, ~H) bit減らす秘密増幅を行なう．したがって，

nη(_E^{Hi0 +k}

i0+k−n)−m(A, ~~ µ, pS, pD;C, ~~ E, ~H) bitの情報を得ることになる．

9. ×基底の nbitの情報について，エラー率 _E^Hi0

i0−n を元に，誤りがほとんどないnη(_E^Hi0

i0−n) bitの情 報を共有する．

10. この情報についてm(˜ A, ~~ µ,p˜S, pD;C, ~~ E, ~H) bit減らす秘密増幅を行なう．したがって，

nη(_E^Hi0

i0−n)−m(˜ A, ~~ µ,p˜S, pD;C, ~~ E, ~H) bitの情報を得ることになる．

誤り訂正(7., 9.) 上の7.と9.では誤り訂正として，AliceとBob のnbit sequence X, X⁰ から誤りの少 ないmbit sequenceを生成する以下の2種のprotocolのうちのどちらかを行なうとする．

順方向誤り訂正 あらかじめ，n×mのbinary matrix Meを準備し，AliceとBobで共有しておく．

Aliceはmbit の乱数Z を発生させ，M_eZ+X を Bobに送り，BobはMeZ+X−X⁰ に対 して誤り訂正符号Meの通常の復号化を施し，Z⁰ を得る．

逆方向誤り訂正 Bob はkbitの乱数Z⁰を発生させ，MeZ⁰+X⁰を Aliceに送り，AliceはMeZ⁰+ X⁰−X に対して誤り訂正符号Me の通常の復号化を施し，Z を得る．

なお，この方法を用いることで，twirlingを行なうことになるので，実質的にAliceから Bobへの

（逆方向の場合はBob からAlice） channelはPauli channelとみなすことができる[13]．

privacy 増幅(8., 10.) 上の8.と10.でのprivacy増幅として，nbitの情報Z から，以下の方法でn−m bit の情報を生成することにする．(n−m)×nの binary matrixMp を以下の条件を満たすように ランダムに選ぶことにする．すなわち，全ての 0ではないnbit sequence X について，MpX が 0 になる確率は ^2n−m₂n−⁻1¹ 以下であるとする．このようなMpの選び方はuniversal2 hash functionと呼 ばれ，様々な構成方法が知られている．そして，nbitの情報Z からn−mbitの情報MpZ を生成 する．

このようなプロトコルについて以下の定理が成立する．

Theorem 1 (Hayashi[13](Lemma 6)) 誤り訂正の後のプライバシー増幅を，phase informationに関す るランダム符号化にみなすとする．そして，Eve の支配下にない系に関する任意の物理操作が可能な受信

者(順方向誤り訂正の場合はBob,逆方向誤り訂正の場合はAlice) による任意のphase informationに関す

る復号の下で平均Phase error 確率Pph と盗聴情報量 IE の期待値との間に以下の関係式が成り立つ．

EIE ≤h(EPph) +kEPph (1)

ただし，kは伝送するbit 数であり，h(x)は以下で定義される．

h(x) :=

−xlog₂x−(1−x) log₂(1−x) if 0≤x≤1/2

1 if 1/2< x≤1 (2)

したがって，1 bit あたりの盗聴情報量IE は以下で評価できる．

EIE

k ≤h(EPph)

k + EPph (3)

すなわち，本質的には，上限は Pph であると考えることができる．

ここで，privacy 増幅の方法について触れておく必要がある．ここでは，universal2 hash functionを用 いたprivacy増幅を考えている．しかし，多くの従来研究[2, 3, 7]では，privacy増幅に用いる行列Mp を 一様に選択する方法を基に安全性を解析している．後者では行列の全成分に対応する乱数が必要であるが，

前者ではその一部の乱数だけで実現可能である．したがって，前者による解析の方がより望まれる．前者 に基づく解析は，本稿の他にはRGK[6], Hayashi[13]によってなされているのみであり，これらの論文は，

single photonのみを扱っているので，この論文の議論には適用できない．

3 ^{理想的モデル}

以下，後の議論のために単純化された理想的なモデルを考えることにする．Bob はJ =P5

o=0J^o 個の以 下の６種類の pulseを Aliceから受け取るとする．そして，Aliceと Bobには，それぞれの pulseがどの 種類であるが全く分からないとする．しかし，全部でJ 個のpulse のうち，個々の種類のpulse の個数は AliceもBob も知っているとする．

o= 0,J⁰: Aliceでのpulse発生時の状態が，0光子状態であり，受信器内部でのダークカウントによらず 検出されたpulse数．

o= 1,J¹: Aliceでのpulse発生時の状態が，1光子状態であり，受信器内部でのダークカウントによらず 検出されたpulse数．

o= 2,J²: Aliceでのpulse発生時の状態が，2光子以上ある状態であり，受信器内部でのダークカウント によらず検出されたpulse数．

o= 3,J³: Aliceでのpulse発生時の状態が，0光子状態であり，受信器内部でのダークカウントによって 検出されたpulse数．

o= 4,J⁴: Aliceでのpulse発生時の状態が，1光子状態であり，受信器内部でのダークカウントによって 検出されたpulse数．

o= 5,J⁵: Aliceでのpulse発生時の状態が，2光子以上ある状態であり，受信器内部でのダークカウント によって検出されたpulse数．

さらに，種類o= 1の平均phase error率 r¹ も分かっているとする．そして，Eve には以下のattackが 許されているとする．Eveは0光子状態，1光子状態，2光子状態，. . .,n光子状態を区別することが可能 である．そして，1光子状態については，平均phase error率をr¹ に保つ範囲で任意の攻撃が可能である．

しかし，Eveはダークカウントはコントロールできないとする．したがって，Eveは0光子状態について はAliceのbitについて情報を得ることができず，dark countについてはBobの受信bitについては全く 情報を得ることができない．

すると、以下の定理が成り立つ。

Theorem 2 誤り訂正の後のプライバシー増幅を，phase information に関するランダム符号化とみなすと する．

順方向に誤り訂正を行なった場合，以下の条件を満たすphase informationについの誤り訂正が存在す

る．平均Phase error 確率Pph,f は以下のように評価できる．

Pph,f ≤2^{J1h(r1)+J2+J4+J5−m}. (4) ただし，mプライバシー増幅によって減少した bit の長さである．そのphase information についの誤り 訂正はJ⁰, . . . , J⁵ に対応するbitの位置に依存するがr¹ に依存しない．

逆方向に誤り訂正を行なった場合，以下の条件を満たすphase informationについての誤り訂正が存在 する．平均Phase error 確率Pph,r は以下のように評価できる．

Pph,r≤2^{J1h(r1)+J0+J2−m}. (5)

そのphase information についの誤り訂正はJ⁰, . . . , J⁵ に対応するbit の位置に依存するが，r¹ に依存し ない．

それゆえ，順方向の場合，プライバシー増幅のサイズmをJ¹h(r¹) +J²+J⁴+J⁵ より少し大きめに 選べば，漸近的には安全であることが分かる．この量をEve があらかじめ所有している情報量とみなすこ とができるので，以下では，J¹h(r¹) +J²+J⁴+J⁵=J−J¹(1−h(r¹))−(J⁰+J³)を順方向でのEveの 初期情報量とよぶことにする．同様の理由でJ¹h(r¹) +J⁰+J²=J−J¹(1−h(r¹))−(J³+J⁴+J⁵)を 逆方向でのEveの初期情報量とよぶことにする．したがって，J :=P5

i=0Jiとすると，漸近的な鍵の受信 ビットに対する生成率は，順方向と逆方向の誤り訂正に漸近的にShannon rateを達成するものを用いると

J¹(1−h(r¹)) +J⁰+J³

J −h(ra) (6)

J¹(1−h(r¹)) +J³+J⁴+J⁵

J −h(ra) (7)

となる．ただし，ra は受信ビットの平均誤り率である．

4 Eve ^の Attack

次に，Section 2の protocolでのEve のとり得るattack を明示し，漸近的に達成可能な鍵生成レートと，

秘密増幅時に減らすbit 数について考察する．なお，簡単のため以下では，+基底からの最終鍵生成のみ を扱うとする．また，各強度の検出率と誤り率には統計揺らぎは無いとする（統計揺らぎがある場合につい てはSection 10で扱う．）

Eveは 0光子状態，1光子状態，2光子状態，. . ., n光子状態を区別することが可能とする．そして，

通信路の途中での損失を個数に応じて，自由に決めることができるとする．Eveはダークカウントをコン トロールすることはできず，ダークカウントについての情報は得られないとする．なお，正確にはEveが コントロールできるのは，ダークカウント以外の要因による各個数の光子状態の検出率であるが，簡単の ため，各個数の光子状態の検出率と呼ぶことにする．

さらに，Eveは検出器，変調器内部でのエラーをコントロールできないとする．なお，n光子状態(n≥2) については+基底の平均状態と，×基底の平均状態が完全には一致しない．したがって，これらをEveが 区別できる可能性がある．以下では，Eveの能力を強めに見積もって，さらに，2光子以上の状態について は Eveは+基底の平均状態と，×基底の平均状態を区別できるとして解析する．したがって，同じ強度 の光子であっても，+基底と×基底の場合で検出率が異なる場合がある．

従って，強度µの光子から最終鍵を生成する場合，(6)，(7)を適用すると，Eveの初期情報量は以下の ように計算できる．

n(1−P_µ¹q¹(1−h(r¹))

pµ,+ −P_µ⁰p0

pµ,+) (8)

n(1−P_µ¹q¹(1−h(r¹)) pµ,+ − pD

pµ,+

). (9)

(8)は順方向の場合で，(9)は逆方向の場合である．ここで，pµ,+ は強度µの + 基底の光子の検出率で，

P_µ⁰,P_µ¹ は強度µの光子の0個光子状態，1個光子状態の生成率であり，それぞれ，e^−µ,e^−µµである．ま た，p0 は真空状態の検出率である．（この量は，真空状態の伝送を混ぜることで推定できる．）pD は１パル スあたりダークカウントが起きる割合であり，これはあらかじめ調べておくことにする．そして，q¹ は１ 個光子状態がダークカウント以外の理由で，Bob によって受信される確率で，r¹ はその場合での ×基底 での通信路中での誤り確率である．したがって，q¹,r¹ を推定することが必要である．

なお，検出率pµ,+ を考慮に入れると，+基底の強度µのコヒーレント光1 pulseあたりの最終鍵の生 成率は，Shannon限界を達成する誤り訂正符号を仮定した場合，順方向，逆方向それぞれの場合で，

1

2 P_µ¹q¹(1−h(r¹)) +P_µ⁰p0−pµ,+h(sµ,+) 1

2 P_µ¹q¹(1−h(r¹)) +pD−pµ,+h(sµ,+)

となる．よって，BBL[15]によって予想された値を得る．ただし，sµ,+ は強度 µの +基底の光子の誤り 率である．したがって，^Pµ0₂^p0 と^p₂^D の差が誤り訂正符号を順方向と逆方向に行なった場合での差を表す．

ここで，Aliceによる１光子状態生成時によるbit errorを考慮すれば、順方向に誤り訂正を行った場合 に，よりタイトな評価が可能であり、漸近レートが改良されることが知られている[6]．どうように，Bob の受信時でのbit errorを考慮すれば，逆方向に誤り訂正を行った場合でのタイトな評価が可能である．し かし，ここでの設定では，１光子状態伝送時に，Aliceによる１光子状態生成時，もしくは，Bobによる受 信時のどちらかでbit errorが起きる確率をp˜S とおいている。事実，実験装置によっては，このように，ど

ちらかでbit errorが起きる確率を求めることはできるが，それぞれ場合での bit error 確率を求めること

が難しい場合が多い．それゆえ，今回は，それらを考慮しない議論を行うことにした．

5 統計揺らぎが無い場合での最終鍵生成レート

Section 3の議論より，統計揺らぎが無い場合ではq¹, r¹ を推定すれば，privacy 増幅時に減少させるbit 数が分かる．これらは，他の強度µ1, . . . , µk のコヒーレント光を混ぜ，それらの検出率と誤り率から推定 することになる．なお，この中に鍵生成に用いる強度µi0 も含まれているとする．この場合，推定のために 用いられる情報は，真空状態の検出率p0, 強度µ1, . . . , µk の×基底の検出率 p1, . . . , pk と+基底の検出 率 pk+1, . . . , p2k, さらに, 強度µ1, . . . , µk の ×基底の誤り率 s1, . . . , sk と + 基底の検出率sk+1, . . . , s2k

である．

このうち，q¹の推定に用いられる情報はp0, p1, . . . , p2kである．しかし，光子の個数の種類が無限である ためEveがコントロールできるパラメータは無限である．１つの方法は，k+ 1個以上ある光子状態の検出 率については0と1の間の任意の値を取り得るとして扱う方法である．すなわち，k+ 1個以上ある光子状 態の検出率について任意性があることになる．この場合，この部分の確率が小さい方がより正確な推定が可 能となる．この部分の確率をより少なくする方法として以下の方法を考える．最初に，e^−µiP∞

n=0 µⁿ_i

n!|nihn| の展開として，以下の展開を考える．

Theorem 3 ρi (i= 2, . . . , k+ 1)を ρi := 1

Ci

X∞

n=i

γi,n

n! |nihn|,

γl,n:=

l−1

X

j=1

(µl−1−µl−2)· · ·(µl−1−µ1)µ²_l−1µⁿ_j⁻² (µj−µ_l−1)· · ·(µj−µj+1)(µj−µ_j−1)· · ·(µj−µ1) Ci :=

∞

X

n=i

γi,n

n!

で定義したとき，

e^−µi

∞

X

n=0

µⁿ_i

n! =e^−µi

|0ih0|+µi|1ih1|

+

i+1

X

n=2

µ²_i(µi−µ1)· · ·(µi−µ_n−2)

µ²_n−1(µn−1−µ1)· · ·(µn−1−µn−2)Cnρn

(10)

が成り立つ．さらに，µ1< µ2<· · ·< µk の場合には，行列 ρ2, . . . .ρk+1 は全て半正定値になる．

例えば，C2,C3, C4,C5は以下のように計算できる．

C2=e^µ1−1−µ1, (11)

C3=e^µ2−1−µ2−µ²₂ 2 −µ²₂

µ²₁(e^µ1−1−µ1−µ²₁

2) (12)

C4=(e^µ3−1−µ3−µ²₃ 2 −µ³₃

6)−µ²₃(µ3−µ1)

µ²₂(µ2−µ1)(e^µ2−1−µ2−µ²₂ 2 −µ³₂

6) +µ²₃(µ3−µ2)

µ²₁(µ2−µ1)(e^µ1−1−µ1−µ²₁ 2 −µ³₁

6) (13)

C5=(e^µ4−1−µ4−µ²₄ 2 −µ³₄

6 −µ⁴₄

24)−µ²₄(µ4−µ2)(µ4−µ1)

µ²₃(µ3−µ2)(µ3−µ1)(e^µ3−1−µ3−µ²₃ 2 −µ³₃

6 −µ⁴₃ 24) +µ²₄(µ4−µ3)(µ4−µ1)

µ²₂(µ3−µ2)(µ2−µ1)(e^µ2−1−µ2−µ²₂ 2 −µ³₂

6 −µ⁴₂ 24)

−µ²₄(µ4−µ3)(µ4−µ2)

µ²₁(µ3−µ1)(µ2−µ1)(e^µ1−1−µ1−µ²₁ 2 −µ³₁

6 −µ⁴₁

24). (14)

Theorem 3で与えられた展開方法に基づいて，Eveに対してより弱い仮定を考える．すなわち，この仮

定では先に考えた仮定よりもEveは強力なattackが可能となる．Eveは真空状態，１個状態に加え，k種 類の状態ρ2, . . . , ρk+1 の識別が可能とする．さらに，これらk種類の状態については+基底の平均状態と

×基底の平均状態についても識別が可能とする．これらについて以下のようにラベルを張ることにする．

j= 0: 真空状態 j= 1: 1光子状態

j= 2, . . . , k+ 1: ×基底の平均状態のρ2, . . . , ρk+1. j=k+ 2, . . . ,2k+ 1: +基底の平均状態のρ2, . . . , ρk+1.

そして，この設定ではEveの戦略は，それぞれのj状態をBobに（ダークカウント以外の要因で）検出させ たる確率q^jの選択と，j= 1,2, . . . , k+ 1状態のphase error確率r¹, r², . . . , r^k+1 とj= 1, k+ 2, . . . ,2k+ 1 状態のbit error確率r˜¹,˜r², . . . ,r˜^k+1 で記述される．

したがって，Theorem 3より，各種類毎のAliceの送信器での状態生成確率は以下の行列(P_k:i^j )i=0,...,2k,j=0,...,2k+1

で表すことができる．

Pk :=





1 0 0 0

Y Z X 0

Y Z 0 X





なお，k次のベクトル Y, Z 及びk×kのX行列の各成分は以下で定義される．

Yi:=e^−µi Zi:=µie^−µi X_i^j:=

( _µ2

i(µi−µ1)···(µi−µj−1)

µ²_j(µj−µ1)···(µj−µj−1)e^−µiCj+1 j = 1, . . . , i

0 j =i+ 1, . . . , k

ただし，i= 1, . . . , kである．

例えば，k= 1,2,3の場合は以下のように計算できる．

P1=





1 0 0 0

e^−µ1 µ1e^−µ1 C2e^−µ1 0 e^−µ1 µ1e^−µ1 0 C2e^−µ1



,

P2=















1 0 0 0 0 0

e^−µ1 µ1e^−µ1 C2e^−µ1 0 0 0 e^−µ2 µ2e^−µ2 C2µ²₂

µ²₁e^−µ2 C3e^−µ2 0 0 e^−µ1 µ1e^−µ1 0 0 C2e^−µ1 0 e^−µ2 µ2e^−µ2 0 0 C2µ²₂

µ²₁e^−µ2 C3e^−µ2













 ,

P3=



























1 0 0 0 0 0 0 0

e^−µ1 µ1e^−µ1 C2e^−µ1 0 0 0 0 0

e^−µ2 µ2e^−µ2 C2µ²₂

µ²₁e^−µ2 C3e^−µ2 0 0 0 0

e^−µ3 µ3e^−µ3 C2µ²₃

µ²₁e^−µ3 C3µ²₃(µ3−µ1)

µ²₂(µ2−µ1)e^−µ3 C4e^−µ3 0 0 0

e^−µ1 µ1e^−µ1 0 0 0 C2e^−µ1 0 0

e^−µ2 µ2e^−µ2 0 0 0 C2µ²₂

µ²₁e^−µ2 C3e^−µ2 0

e^−µ3 µ3e^−µ3 0 0 0 C2µ²₃

µ²₁e^−µ3 C3µ²₃(µ3−µ1)

µ²₂(µ2−µ1)e^−µ3 C4e^−µ3



























以下では，各pulse毎の検出率p0, . . . , p2kと各pulse毎のerror率s1, s2, . . . sk 与えられた場合に，q¹, r¹ を求める方法を考える．このとき，以下の式が成り立つ．

pi=

2k+1

X

j=0

P_i^jq^j+pD, (i= 0, . . . ,2k) (15)

sipi=P_i¹q¹r¹⁰+

k+1

X

j=2

P_i^jq^jr^j+1

2(P_i⁰q⁰+pD), (i= 1,2, . . . , k) (16) となることから，q⁰=p0−pDとなる．なお，r¹⁰= (1−pS)r¹+pS(1−r¹)である．しかし，行列P_i^j が逆 行列を持たないことから，これらは一意には決まらない．特に，Eveの初期情報量はq¹(1−h(r¹))の単調減 少関数であるので，~pk = (p1, . . . , pk)と~sk = (s1, . . . , sk)が与えられた場合でのこの量の最小値I(~pk, ~sk) を求めることにする:

I(~pk, ~sk) := min

~

q,~r:1≥q^j≥0 (j=0,...,2k+1),1≥r¹,...,r^k+1≥0q¹(1−h(r¹)). (17) 例えば，k種の強度を用いた場合と，k+ 1種の強度を用いた場合では，以下の不等式が成り立つ．

I(~pk, ~sk)≤I(~pk+1, ~sk+1). (18)