Direct and full-scale experimental verification toward ground-satellite quantum key distribution 地上衛星間の量子鍵配送に対する直接的かつ本格的な実験的検証

Direct and full-scale experimental

verifications towards

ground-satellite quantum key distribution

地上衛星間の量子鍵配送に対する 直接的かつ本格的な実験的検証

平野研究室 13-041-026 北村健登

Jian-Yu Wang, Bin Yang, Sheng-Kai Liao, Liang Zhang, Qi Shen, Xiao-Fang Hu, Jin-Cai Wu, Shi-Ji Yang, Hao Jiang, Yan-Lin Tang, Bo Zhong, Hao Liang, Wei-Yue Liu, Yi-Hua Hu, Yong-Mei Huang, Bo Qi, Ji-Gang Ren, Ge-Sheng Pan, Juan Yin, Jian-Jun Jia, Yu-Ao Chen, Kai Chen, Cheng-Zhi Peng and Jian-Wei Pan

Nature Photonics, 7, 387-393 (2013).

量子通信衛星「墨子(Micius)」を軌道に

• 2016年8月16日、中国は世界で初めて量子通信衛星を打ち 上げ、軌道に乗せることに成功した. • 2030年ごろに世界規模での量子通信の実現を目指している. （出典：新華社通信） ©新華社通信 http://news.xinhuanet.com/english/2016-08/16/c_135604287.htm 2

本論文の概要

©The Wall Street Journal

http://www.wsj.com/video/china-fights- hackers-with-quantum-physics/2E181928-40AB-49D7-8B28-FD147FAA0425.html • 自由空間（地上衛星間）での量子 鍵配送は距離の離れた地上での 通信を実行可能にする. • 地上衛星間で量子鍵配送を実現 するために技術的課題を実験的 に解決する必要がある. • 本論文では技術的課題を解決す る. 3

発表の流れ

1.

量子鍵配送について

量子鍵配送とは BB84プロトコル PNS攻撃・デコイ法

2.

実験方法

3.

実験結果

4.

まとめ

4

量子鍵配送

Quantum key distribution : QKD

• 量子鍵配送は、量子力学の原理に基づいた、無条 件に安全な通信を可能にする. 物理法則を拠り所としているため、現代暗号 と異なり完全に秘匿性を持つ秘密鍵を提供 できる. 5

BB84

• BennettとBrassardが1984年に発表した量子暗号方式. • 量子鍵配送では、正規ユーザーの送信者をAlice、受信 者をBob、盗聴者をEveという. 送信機 望遠鏡 望遠鏡 受信機 自 由 空 間 Alice Bob Eve 盗聴攻撃 6

BB84

単一光子のビット値（１または０）と偏光の対応.

4状態2基底を用いる.

bit 0 bit 1 z基底 水平偏光 |H＞ 垂直偏光 |V＞ ×基底 45°偏光 |D＞ 135°偏光 |A＞ ＜H|V＞=0 |D＞=2-1/2_{(|H＞+|V＞)} |A＞=2-1/2_{(|H＞−|V＞) 7}

PBS(polarizing beam splitter)

水平偏光を透過し、垂直偏光を反射する PBS PBS 水平偏光 垂直偏光 45°偏光や135°偏光 の光子は、反射か透過 は確率的 8

BB84

秘密鍵を生成する流れ

• Aliceは光子の偏光状態を4種類から１つをランダムに選びBobに 送信 • Bobは２つの基底のいずれかをランダムに選び、その基底で光子 の偏光の測定を行い、状態とビット値の対応関係を用いてビット値 を決定する • AliceとBobが異なる基底を選んだものを取り除き、シフト鍵を作る • Eveが攻撃を行った場合や検出器や通信路の不完全性で一致しな いbit値を取り除き、訂正済み鍵を作る • 訂正済み鍵は確率分布に偏りがある可能性や、Eveに情報が漏洩 をしている可能性考慮し、秘匿性増幅を行い、さらに短いbit列、秘 密鍵を作る 9

BB84

秘密鍵を生成する流れ

• Aliceは光子の偏光状態を4種類から１つをランダムに選びBobに 送信 • Bobは２つの基底のいずれかをランダムに選び、その基底で光子 の偏光の測定を行い、状態とビット値の対応関係を用いてビット値 を決定する • AliceとBobが異なる基底を選んだものを取り除き、シフト鍵を作る • Eveが攻撃を行った場合や検出器や通信路の不完全性で一致しな いbit値を取り除き、訂正済み鍵を作る • 訂正済み鍵は確率分布に偏りがある可能性や、Eveに情報が漏洩 をしている可能性考慮し、秘匿性増幅を行い、さらに短いbit列、秘 密鍵を作る 10

BB84

Alice側

Bob Alice 量子チャネル Aliceが送るBit値 0 1 0 1 1 0 0 1 Aliceの基底 z z x x x z x z Aliceが送る状態 乱数を生成 …1 0 1 1 1 0 1 0… 基底を選ぶ …z x z x x x z z… Bit 0 Bit 1 z 基底 |H＞ |V＞ x 基底 |D＞ |A＞ 状態を準備 11

BB84

Bob側

Detector Detector PBS 半波長板 b=0 b=1 z 基底 × 基底 Bob ０ １ Alice 単一光子源 量子チャネル Bit値 基底 偏光 BS １ ０ z基底 x基底 偏光を-45°回 す 光子を50:50にラ ンダムに分ける Detector Detector 12 z z x x x z x z 0 1 0 1 1 1 0 1

BB84

Bob側

0 PBS b=0 b=1 z 基底 × 基底 Bob Alice 単一光子源 Bit値 基底 偏光 BS ０ １ ₁₃ 半波長板 z z x x x z x z 0 1 0 1 1 1 0 1

BB84

Bob側

PBS b=0 b=1 z 基底 × 基底 Bob BS v Bobが得る乱数 1 0 0 1 1 0 1 0 0 1 14 半波長板 PBS

BB84

秘密鍵を生成する流れ

• Aliceは光子の偏光状態を4種類から１つをランダムに選びBobに 送信 • Bobは２つの基底のいずれかをランダムに選び、その基底で光子 の偏光の測定を行い、状態とビット値の対応関係を用いてビット値 を決定する • AliceとBobが異なる基底を選んだものを取り除き、シフト鍵を作る • Eveが攻撃を行った場合や検出器や通信路の不完全性で一致しな いbit値を取り除き、訂正済み鍵を作る • 訂正済み鍵は確率分布に偏りがある可能性や、Eveに情報が漏洩 をしている可能性考慮し、秘匿性増幅を行い、さらに短いbit列、秘 密鍵を作る 15

BB84

• AliceとBobはお互いの基底を公開し、基底が一致するものを 残す. • 通信の過程で光子の状態が変化しなければ、AliceとBobが 同じ基底を選択した際には、両者のbit値は一致する. Aliceの基底 z x z x x x z z Aliceが送る乱数 1 0 1 1 1 0 1 0 Bobの基底 z z x z x x z x Bobが得る乱数 1 0 0 1 1 0 1 0 基底が同じ→乱数も一致する シフト鍵(sifted key）として共有する

Sifted key

1101

16

BB84

秘密鍵を生成する流れ

• Aliceは光子の偏光状態を4種類から１つをランダムに選びBobに 送信 • Bobは２つの基底のいずれかをランダムに選び、その基底で光子 の偏光の測定を行い、状態とビット値の対応関係を用いてビット値 を決定する • AliceとBobが異なる基底を選んだものを取り除き、シフト鍵を作る • Eveが攻撃を行った場合や検出器や通信路の不完全性で一致しな いbit値を取り除き、訂正済み鍵を作る • 訂正済み鍵は確率分布に偏りがある可能性や、Eveに情報が漏洩 をしている可能性考慮し、秘匿性増幅を行い、さらに短いbit列、秘 密鍵を作る 17

BB84

0 1 0 0 1 1 0 1 0 0 0 1 1 0 1 1 0 1 0 0 Aliceのsifted key Bobのsifted key 検出装置や通信路の不完全性により シフト鍵が一致しない 18

BB84

0 1 0 0 1 1 0 1 0 0 0 1 1 0 1 1 0 1 0 0 Aliceのsifted key Bobのsifted key 検出装置や通信路の不完全性により シフト鍵が一致しない この誤りの割合を量子ビット誤り率

BB84

Aliceのsifted key Bobのsifted key 0 1 0 0 1 1 0 1 0 0 0 1 1 0 1 1 0 1 0 0 • シフト鍵から一部を選びbit値を比べる. • 誤り訂正を行い誤り箇所を見つけAliceと Bobで等しいbit列を共有する. 誤り率を推定する. 20

BB84

0 1 1 0 1 0 0 1 1 0 1 0 Aliceのreconciled key Bobのreconciled key

誤り訂正

誤り訂正を行いAliceとBobのbit値が等しい

訂正済み鍵（reconciled key）を得る

21

BB84

秘密鍵を生成する流れ

• Aliceは光子の偏光状態を4種類から１つをランダムに選びBobに 送信 • Bobは２つの基底のいずれかをランダムに選び、その基底で光子 の偏光の測定を行い、状態とビット値の対応関係を用いてビット値 を決定する • AliceとBobが異なる基底を選んだものを取り除き、シフト鍵を作る • Eveが攻撃を行った場合や検出器や通信路の不完全性で一致しな いbit値を取り除き、訂正済み鍵を作る • 訂正済み鍵は確率分布に偏りがある可能性や、Eveに情報が漏洩 をしている可能性考慮し、秘匿性増幅を行い、さらに短いbit列、秘 密鍵を作る 22

BB84

秘匿性増幅

訂正済み鍵とランダムな行列を掛け 訂正済み鍵より短い秘密鍵を作る.

秘密鍵(final key)

1 1 0 0 0 1 1 0 1 1 1 1 0 0 1 0 1 0 é ë ê ê ê ù û ú ú ú ´ 0 1 1 0 1 0 é ë ê ê ê ê ê ê ê ù û ú ú ú ú ú ú ú = 1 0 0 é ë ê ê ê ù û ú ú ú Eveは訂正済み鍵のbit値を全て 知っている訳ではないので秘密 鍵を知ることはできない. 23 訂正済み鍵

秘密鍵を作る流れ

0100110100 0110110100 011010 011010 100 100 誤り訂正 秘匿性増幅 ?1?0?? ??? 漏洩なし Bob Alice シフト鍵 シフト鍵 訂正済み鍵 秘密鍵 訂正済み鍵 秘密鍵 Eve 24 Eve

次にEveによる盗聴がある場合について

Eveが仕掛ける代表的な攻撃は以下の３つがある.

1)Beam Splitting Attack

2)Intercept-Resend Attack

3)Photon Number Splitting Attack （PNS攻撃）

以下ではその攻撃の１つである光子数分岐攻撃

（PNS攻撃）とそれに対する解決策であるデコイ法を

説明する.

PNS攻撃

BB84では１ビットを１光子に乗せることを想定している. しかし実際は、単一光子でなく光子数１個以下に相当するまで 光源強度を落としたレーザーパルス（弱コヒーレント光）で代用. その結果、時として真の単一光子でなく 複数個の光子を含むパルスが 発生することがある. Eveは複数個の光子を持つパルスから、光子 を盗んでしまう. 光子数分岐攻撃（Photon-Number-Splitting Attack: PNS攻撃）という. 26

PNS攻撃

Alice Eve Bob 通信路に損失があり、光子 数を数えられない時、Bob はPNS攻撃を検知できない ビーム・スプリッタ Eveは多光子パルスが来た際、光子を盗む 単一光子が来た際はブロックする 27

デコイ法

PNS攻撃を検知する方法としてデコイ法がある. • デコイ法では、Aliceは意図的に信号パルスの他に、 強度の異なるデコイ(囮)パルスにランダムに送信す る. • 本論文では (信号パルス):(デコイパルス)：(真空パルス)＝2:1:1 の割合. 信号パルスとデコイパルスの検出率を比べる ことでPNS攻撃を検知できる. 平均光子数 Signal state: µ=0.8 Decoy state: ν=0.27 28

デコイ法

Eveは信号光源からの多光子パルスとデコイパル

スは区別できない.

AliceとBobは検出率を観測することでPNS攻撃を検

知できる.

3つのパルスの検出率を比べると 信号パルスの検出率とデコイパルスの検出率が 異なる. 29

PNS攻撃・デコイ法まとめ

• 現実の光子源は光子が複数存在するパルスを

出すことがある.

• Eveは多光子パルスから光子を盗むことでbit値

を知ることができる.（PNS攻撃）

• 信号パルスと強度の異なるデコイパルスを送り、

検出率を比べることでPNS攻撃を検知できる.

(デコイ法)

30

本論文で行う３つの実験

衛星を用いる量子通信の３つの技術的課題 • 衛星は地上局に対し、急速な相対角運動を持つ. • 衛星は予期しないランダムな運動をする. • 大気による損失がある. 最大角速度20mrad/s 最大角加速度0.23mrad/s2 直径〜1mの望遠鏡を装備した地球低軌道衛星（low Earth orbit satellite: LEOS)と地上局の通信路で〜30-50dBの損失

ランダムな動きと姿勢変動

本論文で行う３つの実験

衛星を用いる量子通信の３つの技術的課題を解決するために （実験１）衛星は地上局に対し、急速な相対角運動を持つ  Alice側の回転盤が回ることで、衛星が地球を回るシュミ レーションをした. （実験２）衛星は予期しないランダムな運動をする  Alice側の装置を熱気球に乗せ、ランダムな運動をさせる. （実験３）大気による損失がある  高い損失のある長距離自由空間での実験. （通信距離96km） 32

実験方法

The QKD receiver and transmitter terminal

The receiver terminal

Primary mirror

Optical box

Primary mirror

Turntable

実験方法

捕捉・追尾・指向

（acquisition, tracking and pointing: ATP）

• 高度400km-800kmの地球低軌道衛星（LEOS）は地上 局に対して大きな角速度・角加速度を持っており、数 μradの精度で捕捉追尾する必要がある.

• 本論文ではAliceとBob間での追尾の誤差を観測した.

Earth 地球低軌道衛星 _{（low Earth orbit}

satellite :LEOS） 〜400-800km

LEOS

実験方法

捕捉・追尾・指向(ATP)

The receiver terminal The transmitter terminal AliceとBobはお互いに角度の広い光（ビーコン）で追尾する. 粗追尾（Coarse tracking） 671nm 532nm 通信光 850nm 100MHz AliceとBobがお互いに角度が狭い光を用いて高速で追尾する. 精追尾（Fine tracking）

実験方法

捕捉・追尾・指向(ATP)

The receiver terminal The transmitter terminal

671nm 36 532nm 追尾 送信機 受信機 粗追尾 追尾範囲 方位角: ±45° 仰角: ±70° 方位角: ±5° 仰角: ±5° 精追尾 追尾範囲 ±0.7mrad ±0.7mrad 通信光 850nm 100MHz

実験方法（実験１）

verification for a moving platform

この実験は衛星が軌道を回るシュミレーションとして行われた. 青海湖 Alice Bob 最大角速度 [mrads-1_] 最大角加速度 [mrads-2_] 本論文 （実験１） 21 20 典型的な LEOS 8.7 0.23 Turntable Primary mirror 40km 37

実験結果（実験１）

粗追尾は200μrad、 精追尾は5μradより低い値 典型的なLEOSが求める 10μradより小さい値で 精追尾できた 回転盤の実験での追尾誤差 Coar se tr ack ing err or (μ rad ) Fine tr ack ing err or ( μ rad ) Time (s) Time (s) 38

この実験は送信機を熱気球に乗せることで、衛星のランダムな 動きより厳しい、回転・急な揺れ・振動がある条件の下で追尾 誤差を測定. 熱気球の動きによって 平均角速度は10.5mrads-1 平均角加速度は1.7mrads-2 となる. 青海湖 Alice Bob 20km

実験方法（実験２）

verification for a floating platform

実験結果（実験２）

精追尾の際、熱気球のランダムな動きで追尾から外 れることがあるが（左図 beacon lost）、熱気球を再び 捕まえ〜3-5sec.以内に再び鍵を生成できる 熱気球を用いた実験での追尾誤差 Fine tr acki n g e rr or ( μr ad ) Fine tr ack ing err or o ver a long ti me Time (s) _{Time (s)} Beacon lost 40

海北 海南 96km 50dBの損失のある 自由空間での 量子鍵配送 青海湖 損失の原因 96kmの通信のため22dB 大気による減衰の8dB 光学系による減衰の17.5dB 大気の乱れの影響2-5dB Alice Bob

実験方法（実験３）

verification for a high-loss environment

©2016 TerraMetrics

実験結果

実験１ 実験２ 実験３ N, 全パルス数; 42 N 2.7×1010 _3.15×1010 _1.59×1011 Q_µ 5.34×10-5 5.90×10-5 4.41×10-6 Q_ν 2.17×10-5 _2.42×10-5 _2.36×10-6 Y₀ 3.00×10-6 _2.69×10-6 _4.30×10-7 E_µ 2.73% 2.35% 4.04% R_µ 6.38×10-6 _1.08×10-5 _1.92×10-6 K_µ/T 159.41bps 268.87 bps 48.03bps Q_μ,信号パルスのカウントレート; Q_ν, デコイパルスのカウントレート; Y₀, 真空パルスのカウントレート; E_μ, 信号のQBER; R_μ, 秘密鍵の生成率; K_μ/T, 1秒あたりの鍵生成率

まとめ

• 典型的な地球低軌道衛星（LEOS）よりも厳しい条件で３ つの実験を行い、地上衛星間での量子鍵配送における ３つの技術的課題が解決できることを示した. • 本論文は地上衛星間での量子鍵配送に向けた最初の 直接的かつ本格的な実験的検証である. • 中国は2016年8月16日、量子通信衛星「墨子(Micius)」を 打ち上げ軌道に乗せることに成功し、2030年までに世 界規模での量子通信の実現を目指す. 43

Optional slides

Error Correction

パリティ検査法

具体的には_x=x1x2…xkの情報ビットの最後に1bitの検査 bit(check bit)を付与した長さn=k+1の符号列を送る.

パリティ検査法（Parity check procedure）

bit列をいくつかのブロックに分け、そのブロック中 のbit値の合計が偶数か奇数かを予め決めて通信

することでで誤りを検出する方法

Error Correction

パリティ検査法

s = x₁ Å x₂ żŠx_k Åc = 0

偶数パリティ検査法

偶数パリティ検査法では、

となるような検査ビットcを付与する.

x₁ x₂ x₃ … x_k x₁ x₂ x₃ … x_k c 46

パリティチェック

Aliceのsifted key Bobのsifted key 0 1 0 0 1 1 0 1 0 0 0 1 1 0 1 1 0 1 0 0 s=0 s=0 s=1 s=0 パリティの 値が異なる 誤りが存在する 場所がわかる

Error Correction

パリティ検査法

47

Error Correction

パリティ検査法

パリティチェック

Aliceのsifted key Bobのsifted key 0 1 0 0 1 1 0 1 0 0 0 1 1 0 1 1 0 1 0 0 s=0 s=0 s=1 s=0 48

Error Correction

パリティ検査法

パリティチェック

Aliceのsifted key Bobのsifted key 0 1 0 0 1 1 0 1 0 0 0 1 1 0 1 1 0 1 0 0 s=0 s=0 s=1 s=0 AliceとBob二人の 鍵は等しくなる 011010 49

Experimental setup

Transmitter

_{Free space} 532LD GPS PC Alice control RNG + - V H 51 MIR MIR MIR CMOS DM BS BS PBS PBS HWP ATT MON CMOS

Red line: light at 850nm Green line: light at 532nm Violet line: light at 671nm FSM: fast steering mirror DM: dichroic mirror

Receiver

PC GPS Bob electronics 52 CMOS CMOS 671LD MIR MIR FSM BS BS PBS PBS HWP DM 532D APD APD APD APD IF

Red line: light at 850nm Green line: light at 532nm Violet line: light at 671nm FSM: fast steering mirror DM: dichroic mirror

532D: 532nm detector

APD: avalanche photodiode Free