量子カード配布 - 電気・情報系 - Tohoku University

論
文
量子カード配布
小泉康一† a)
水木敬明††∗
西関隆夫†
Quantum Card Dealing
Koichi KOIZUMI† a) , Takaaki MIZUKI††∗ , and Takao NISHIZEKI†
あらましメンタルポーカープロトコルは，公開通信路を使ってカードゲームを行うためのプロトコルであり，
これまで数々のメンタルポーカープロトコルが考案されてきた．それらのプロトコルのほとんどは計算量的に安
全（公平）であるが，情報理論的に安全というわけではない．一方，情報理論的に安全な秘密鍵を共有するため
の方法として，量子暗号がある．本論文では，量子暗号を利用したメンタルポーカープロトコル，すなわち量子
カード配布を提案する．量子カード配布を用いると，各プレーヤはいつでも新しいカードを受け取ることができ，
カードを配布されたプレーヤ以外の人はカードの内容を知ることができない．本プロトコルは情報理論的に安全
である．
キーワード
量子暗号，メンタルポーカー，カード配布
通信路の使用を仮定するのではなく，物理的に盗聴不
1. まえがき
可能な秘密通信路の使用を仮定すれば，情報理論的に
「電話でポーカーゲームができるか？」という問い
に始まり，これまで数々のいわゆるメンタルポーカー
安全なメンタルポーカープロトコルを構成できること
が知られている [1]．
プロトコルが考案されてきた [1], [4], [5], [8], [12]．メン
一般的に，電話やインターネットなどの公開通信路
タルポーカープロトコルを用いると，ゲームをするプ
においては，盗聴者の発見は不可能である．それに対
レーヤが 1 箇所に集まらなくても，電話やインター
して，量子通信路においては，量子暗号を用いること
ネットなどの公開通信路を使用してカードゲームを公
により盗聴者の発見が可能であり，様々な量子暗号プ
平に行うことができる．例えば，各々のプレーヤに 5
ロトコルが考案されている [2], [3], [9]．量子暗号プロト
枚ずつカードを配布したり，ある特定のプレーヤに追
コルの最も代表的なものの一つは，1984 年に Bennett
加のカードを配布したりすることができる．ほとんど
と Brassard が開発した BB84 プロトコル [3] であり，
のメンタルポーカープロトコルは，離散対数問題な
そのプロトコルを 2. で紹介する．また，近年，量子
どの数論的問題を利用しており，プロトコルの安全性
（公平性）の根拠を数論的問題の難しさに置いている．
通信路及び量子暗号プロトコルの実用化に向けた実験
が急速に進んでいる [6], [10], [13]．
したがって，ほとんどのメンタルポーカープロトコル
本論文では，量子暗号を利用したメンタルポーカー
は計算量的に安全であり，情報理論的に安全というわ
プロトコル，すなわち量子カード配布を提案する．本
けではなく，盗聴者（悪意のあるプレーヤ）の計算能
論文で提案する量子カード配布のプロトコルは，BB84
力によっては安全ではなくなってしまう．なお，公開
プロトコルに基づいている．量子カード配布を用いる
と，盗聴者（悪意のあるプレーヤ）の発見が可能であ
†
り，情報理論的に安全なカード配布を実現することが
東北大学大学院情報科学研究科，仙台市
Graduate School of Information Sciences, Tohoku University, 05 Aoba-yama, Aoba-ku, Sendai-shi, 980–8579 Japan
††
東北大学情報シナジーセンター，仙台市
n 人のプレーヤ P1 , P2 , . . . , Pn がいて，52 枚のカー
Information Synergy Center, Tohoku University, Aoba-
ドでゲームを行いたいとする．なお，本論文では便宜
yama, Aoba-ku, Sendai-shi, 980–8578 Japan
∗
できる．具体的には次のとおりである．ディーラ及び
科学技術振興事業団さきがけ研究 21
a) E-mail: [email protected]
電子情報通信学会論文誌
上カードの枚数を 52 と仮定するが，実際には任意の
枚数でよい．ディーラ及びプレーヤ P1 , P2 , . . . , Pn は
A Vol. J86–A No. 4 pp. 465–473 2003 年 4 月
465
電子情報通信学会論文誌 2003/4 Vol. J86–A No. 4
3. で述べるような量子通信路上に存在しているとする
（図 3 参照）
．このとき，本論文の量子カード配布を用
信路をもつとする．なお，以下本論文では，公開通信
路においては，盗聴することは可能ではあるが，改ざ
いると次のことが可能である．
んやなりすましは不可能であると仮定する．
• 各プレーヤは好きなときに，ディーラから新し
いカードを 1 枚受け取ることができる．
• 各プレーヤは，自分以外のプレーヤが受け取っ
Alice は 1 個の光子を送るとき，その光子に対し，
0 ，45◦ ，90◦ ，135◦ のうちいずれか一つの偏光方向
を与えることができる．すなわち，x◦ の偏光方向を
たカードの中身を知ることができない．
もった光子のことを x◦ -偏光光子と呼ぶことにすると，
• ディーラは，各プレーヤに配布したカードの中
身を知ることができない．
本論文の構成は次のとおりである．2. では BB84 プ
◦
Alice は 0◦ -偏光光子，45◦ -偏光光子，90◦ -偏光光子，
135◦ -偏光光子の 4 種類の光子を送ることができる．
Alice が 0◦ -偏光光子あるいは 90◦ -偏光光子を送るこ
ロトコルを紹介する．3. で量子カード配布を説明し，
とを，ベース＋で送るという．Alice が 45◦ -偏光光子
光子の有無を測定したら偏光の情報を必ず壊す盗聴者
あるいは 135◦ -偏光光子を送ることを，ベース×で送
に対して安全な量子カード配布プロトコルを与える．
るという．
4. では，一般の盗聴者に対して安全な量子カード配布
Bob は 1 個の光子を受け取るとき，ベース＋かベー
プロトコルを与える．最後に，5. で結論と未解決問題
ス×のいずれかを選択しなければならない．Bob は
を述べる．
2. 準
選択したベースを光子受信系に設定してから光子を受
備
け取る．Alice と Bob のベースが一致しているとき，
本論文で提案する量子カード配布は，1984 年に
Alice の送った x◦ -偏光光子は，Bob によってそのま
ま x◦ -偏光光子として受け取られる．一方，Alice と
Bennett と Brassard が提案した量子暗号プロトコル，
BB84 プロトコル [3]，に基づいている．本章では，そ
より Alice の送った光子は，図 2 に示すとおり，50%
Bob のベースが一致していないとき，不確定性原理に
の BB84 プロトコルを簡単に紹介する．
Alice と Bob がいて，秘密鍵を共有したいとしよう．
BB84 プロトコルを使うと，Alice と Bob はランダム
なビット列を共有することができる．また，BB84 プ
ロトコルでは，もし Eve が Alice と Bob の共有する
ビット列を盗聴しようとすると，Alice と Bob は盗聴
者 Eve の存在を発見することができる．後ろで述べる
ように，BB84 プロトコルは光子の量子的性質を利用
している．
図 1 に BB84 プロトコルの装置構成を示す．Alice
は光子送信系をもち，Bob は光子受信系をもち，光子
送信系と光子受信系は量子通信路（光ファイバ）で結
ばれている．Alice は量子通信路を通して Bob に光子
を送ることができ，Bob は Alice から送られてきた光
子を受け取ることができる．また，Alice と Bob は，
図 1 のような量子通信路のほかに，電話などの公開通
図 1 量子暗号の装置構成
Fig. 1 Quantum cryptography system.
466
図2
Fig. 2
Alice の送信光子と Bob の受信光子
Bob’s measurement of each photon
transmitted by Alice.
論文／量子カード配布
の確率で 2 種類の光子のうちいずれか一つの光子とし
◦
の偏光方向を正しく読み取ることができ，そうでなけ
て Bob に受け取られる．例えば，Alice が 0 -偏光光
れば偏光方向の読み取りを誤る．Eve は盗聴が検出さ
子を送り，Bob がベース＋で受け取るならば，100％の
れないようにするため，Eve 自身が測定したすべての
確率で 0◦ -偏光光子として Bob に受け取られる．それ
光子の複製を，Bob に対して再送信しなければならな
◦
に対し，Alice が 0 -偏光光子を送り，Bob がベース
い．Alice が m 個の光子を送り，Eve がすべての光子
×で受け取るならば，それぞれ 50％の確率で 45◦ -偏
を盗聴して，Eve がすべての光子を Bob に再送信した
光光子か 135◦ -偏光光子として Bob に受け取られる．
としよう．このとき Alice と Bob は，ベースの一致し
以上により BB84 プロトコルを説明する準備が整っ
た約 m/2 個の光子を用いて秘密鍵を共有しようとす
た．まず量子通信路を用いて次のステップ 1 及び 2 を
る．m 個の光子について Alice と Bob のベースが一
行う．
致したとする．もし仮に盗聴者 Eve が存在しないなら
◦
◦
1. Alice は 4 種類の光子（ 0 -偏光光子，45 -偏光
光子，90◦ -偏光光子，135◦ -偏光光子）からランダムに
一つを選び，その光子を Bob に送る．
2. Bob はランダムにベース＋あるいはベース×を
ば，m 個の光子すべてについて偏光方向が Alice と
選び，選んだベースを設定して Alice からの光子を受
具体的には以下のとおりである．m 個の光子すべて
け取る．
について Alice と Bob のベースは一致していること
上のステップ 1，2 を任意の回数だけ繰り返す．ここ
を思い出そう．1 光子当り 1/2 の確率で Alice と Eve
では m 回繰り返したとする．m 回繰り返した後で，
のベースが一致し，このとき Alice と Bob の観測する
Bob で一致する．しかし，ここでは Eve が途中で光子
の盗聴及び再送信を行うため，Alice と Bob で偏光方
向が一致しない光子が確率的に存在することになる．
Alice と Bob は，公開通信路を用いて各光子に使用し
偏光方向は一致する．同様に，1 光子当り 1/2 の確率
たベースをお互いに公開する．Alice と Bob は各光子
で Alice と Eve のベースが一致しない．Alice と Bob
に対しランダムにベースを選択しているので，1/2 の
のベースは一致しているので，Alice と Eve のベース
確率で Alice と Bob のベースは一致する．よって，平
が一致しないとき，むろん Eve と Bob のベースは一
均的には，約 m/2 個の光子についてベースが一致す
致しなく，不確定性原理により Alice と Bob の観測す
ることになる．Alice と Bob は，ベースの一致してい
る偏光方向は 1/2 の確率で一致し，1/2 の確率で一致
なかった光子については無視して，ベースの一致して
しない．したがって，Alice と Eve のベースが一致せ
いた光子についてだけ考える．ベースの一致してい
ず，しかも Alice と Bob の偏光方向が一致しない確
た光子については，Alice の送った光子の偏光方向と
率は 1/2 × 1/2 = 1/4 である．以上により，m 個の
Bob の受け取った光子の偏光方向が一致しているの
光子すべてについて，Alice と Bob の観測する偏光方
で，それらの光子の偏光方向によりビット列を共有す
向は 1/4 の確率で一致せず，3/4 の確率で一致する．
ることができる．すなわち，0◦ -偏光光子及び 45◦ -偏
よって，プロトコル実行後に，Alice と Bob の間で共
光光子をビット値 0 とし，90◦ -偏光光子及び 135◦ -偏
有されるビット列の各ビットについて，1/4 の確率で
光光子をビット値 1 とすることにより，Alice と Bob
両者の値が一致しない．そこで，Alice と Bob の共有
は約 m/2 の長さのランダムなビット列を共有するこ
するビット列の数ビットを選んで，公開通信路でビッ
とができる．
ト値を比較する．ここでは k ビット選んだとする．こ
次に，盗聴者 Eve が存在する場合を考える．Eve が
のとき，あるビット値が異なる場合は，量子通信路に
盗聴を行うためには，Alice が送った光子を量子通信路
盗聴者 Eve が存在することになる．盗聴者 Eve の存
の途中で盗聴し，その光子の偏光方向を読み取る必要
在を発見することができる確率は，1 − ( 43 )k である．
がある．Eve は，Alice がベース＋とベース×のどちら
を選んで光子を送っているのかわからないので，光子
を読み取る際に，Bob と同様にランダムにベースを選
択するしかない．よって，1 光子につき Eve が Alice
以上が BB84 プロトコルによる秘密鍵共有の方法で
ある．
3. 量子カード配布
と同じベースを選択する確率は 1/2 であり，Alice と
本章では，本論文の主な結果である量子カード配布
異なるベースを選択する確率も 1/2 である．Eve が
Alice と同じベースを選択すれば，Alice の送った光子
を与える．3.1 においてモデルと装置構成を説明し，
3.2 においてプロトコルを与える．3.3 では，盗聴者
467
電子情報通信学会論文誌 2003/4 Vol. J86–A No. 4
が光子の有無を測定したら偏光の情報を必ず壊す場合
には提案方式が安全であることを示す．
3. 1 モデルと装置構成
52 枚のカードがあるとする．ディーラ及び n 人
のプレーヤ P1 , P2 , . . . , Pn がいるとする．π ∈R S52
をランダムな置換とする．ただし，S52 は 52 次の対
称群を表す．プレーヤ P1 , P2 , . . . , Pn は π を知って
いても知っていなくてもよいが，ディーラは π を知
らないとする．図 3 (a) のように，ディーラ及びプ
レーヤ P1 , P2 , . . . , Pn は 52 芯の光ファイバ通信路
で直列に接続されており，ディーラは装置 I をもち，
P1 , P2 , . . . , Pn−1 は装置 III をもち，Pn は装置 II を
図 3 量子カード配布に使用する量子通信路
Fig. 3 Quantum card dealing system.
もつ．また，ディーラと P1 との間に装置 IV が設置
されている．各装置の機能は次のとおりである．
• 装置 I：52 芯のケーブルを使用して 52 個の光
子を同時に送信することができる．なお，52 個の光子
布と呼ぶ．プレーヤ Pi にカードを 1 枚配布するには
各々に対して，4 種類の偏光方向のうちいずれか一つ
次のようにすればよい．
を設定できる（図 3 (b) 参照）
．
• 1 ≤ j ≤ i − 1 なる各プレーヤ Pj は，装置 III
• 装置 II：52 芯のケーブルを使用して送られてき
た 52 個の光子を，同時に読みとることができる．読
み取る際に，それぞれの 52 個の光子についてベース
ディーラとプレーヤ Pi は装置 IV を介して直接結ばれ
を設定できる（図 3 (c) 参照）
．
た光子は，プレーヤ Pi においてはケーブル π(x) に
• 装置 III：左右のケーブルをストレートに結線
する装置と，装置 II のどちらかを随時選択して使用で
きる装置である（図 3 (d) 参照）
．
届く．
• 装置 IV：置換 π に対応して左右のケーブルを
置換するケーブル置換装置である（図 3 (e) 参照）
．
ディーラは装置 IV にアクセスできず，π を知らない
にして，時刻 1 から時刻 k までの間に，合計 52 k − 1
としてストレート結線装置を選択する．したがって，
るので，ディーラがケーブル x (1 ≤ x ≤ 52) に送っ
• ディーラは，ランダムにカード番号 c ∈R C と，
時刻 t ∈R {1, 2, · · · , k} を選ぶ．ディーラは次のよう
個の光子を装置 I を使って送信する．
（ i ）時刻 t 以外のとき
とする．したがって，ディーラは，ディーラ側のケー
52 本のケーブルそれぞれに対し，4 種類の光子からラ
ブル番号とプレーヤ側のケーブル番号の対応がわか
ンダムに一つを選び，選んだ光子を送る．すなわち，
らない．また，BB84 プロトコルと同様に，n 人のプ
合計 52 個のランダムな光子を同時に 52 芯を使って
レーヤは，共通の公開通信路をもつとする．
送る．
3. 2 プロトコル
本節では，前節の装置構成を用いて量子カード配布
（ ii ）時刻 t のとき
ケーブル c 以外の 51 本のケーブルそれぞれに対し，
を実現するプロトコルを与える．なお，これからの議
4 種類の光子からランダムに一つを選び，選んだ光子
論においては，すべての測定について量子的な損失が
を送る．すなわち，合計 51 個のランダムな光子を同
全くないものとし，理想的な状況で考える．
ディーラはカード番号の集合 C を準備する．C の初
期状態は，C = {1, 2, . . . , 52} である．また，ディー
時に 51 芯を使って送る．ケーブル c には光子を送ら
ない．
• プレーヤ Pi は，装置 II を使い，各時刻の各光
ラは配布カード集合 U1 , U2 , . . . , Un を準備する．初期
子に対しランダムにベースを設定して，送られてきた
状態は，U1 = U2 = · · · = Un = ∅ である．セキュリ
52 k − 1 個の光子をすべて受け取る．プレーヤ Pi は，
ティパラメータとして，自然数 k を選ぶ．k が大きい
時刻 t においてケーブル π(c) にだけ光子が送られな
ほど盗聴者を検出できる確率が 1 に近づく．
かったことを知ることにより，カード π(c) を受け取っ
以下に本プロトコルを示す．これを k-量子カード配
468
たとみなす．
論文／量子カード配布
次に，悪意のあるプレーヤ Pj が不正をする次の二
つの場合を考える．
場合 1：Pj が自分の所持するカードの情報を改ざん
する場合
任意のプレーヤ Pj による所持カードの改ざんにつ
いて考える．各プレーヤに配布されたカードの内容は，
自分自身のみが知っており，所持するカードについて
の物理的な証拠は存在しない．そのため，プロトコル
Fig. 4
図 4 カード配布の例
An example of the execution of quantum card
dealing.
実行中に，あるプレーヤが所持するカードの内容を公
表する必要が生じた場合，実際には配布されていない
カード番号を提示し，不正にゲームを有利に進めるこ
• ディーラは，カード π(c) をプレーヤ Pi に対し
て配布したことを記憶するため，Ui := Ui ∪ {c} とす
る．また，以後カード π(c) を配布しないようにする
ため，C := C − {c} とする．
上のプロトコルを繰り返すことにより，ディーラは
プレーヤにカードをランダムに配布することができる．
図 4 は，プレイヤ P2 がカードを 1 枚受け取る場
合のプロトコルの実行例である．ケーブル置換装置
IV は π(2) = 4 なる置換 π に対応しているとする．
ディーラはケーブル（カード）番号 c = 2，時刻 t = 3
を選び，この部分には光子を送らない．プレーヤ P2
とを考えるかもしれない．これを防ぐために，プロト
コル終了後，すべてのプレーヤに配布されたカードの
内容を秘密にしておく必要がなくなった時点で，置換
π を公開し，ディーラは集合 U1 , U2 , . . . , Un を公開す
る．各プレーヤは π と U1 , U2 , . . . , Un からすべての
プレーヤに配布されたカードを知ることができる．も
しプレーヤ Pi が不正なカード番号を使用していた場
合，ここで発見できる．以上のようにすれば，プレー
ヤ Pi のカード番号の改ざんによる不正を検知できる．
場合 2：Pj が他のプレーヤ Pi に配布されたカード
を盗聴する場合
は光子測定によりケーブル 4 を使用して送られた光子
前節で説明した k -量子カード配布により，プレー
数が他のケーブルの光子数より 1 個だけ少ないことを
ヤ Pi がカードを 1 枚受け取ったとする．まず，悪意
知る．これにより，プレーヤ P2 にはカード 4 が配布
のあるプレーヤ Pj (j ≤ i − 1) が，プレーヤ Pi に配
されたことになる．
ディーラ及び各プレーヤが不正を行わないとき，
布されたカードを盗聴により不正に知ろうとしても，
そのようなプレーヤ Pj の存在を圧倒的確率で検出で
ディーラは置換 π を知らないので，プレーヤに配布さ
きることを示す．悪意のあるプレーヤ Pj は，正規の
れるカードの中身 π(c) を知ることはできない．また，
プレーヤ Pi と同様にして 52 k − 1 個の光子を受信
プレーヤも，自分に配布されたカード以外については
し，どのケーブルに k − 1 個の光子が送られたかを調
知ることができない．次節では，プレーヤが不正を行
べた後，光子を再送することにより，Pi のカードを知
う場合について考える．
ることができる．これを攻撃 1 と呼ぶ．この攻撃を防
3. 3 安全性
ぐことはできないが，1 に近い確率で検出することが
本節では，k-量子カード配布の安全性を示す．
可能である．以下にその方法を述べる．
最初に，本プロトコルに対する結託攻撃について考
察する．まず，ディーラと任意のプレーヤが結託する
場合，本プロトコルは安全ではなくなる．なぜなら，
1. ディーラとプレーヤ Pi は，光子の送受信の後，
すべての光子について選択したベースを公表する．
2. 次に，2 人はベースが一致した光子について送
ディーラが π を知っている場合，ディーラは自身のも
信時の偏光方向と受信した偏光方向が一致しているか
つケーブルとカードの対応を知ることができるためで
どうかを確認する．
ある．結託したプレーヤが π をディーラに知らせるこ
このとき，偏光方向の異なる光子が一つでも存在し
とにより，希望するカードを自由に請求することが可
た場合，盗聴されていたことになる．なぜなら，盗聴
能になる．よって，本プロトコルにおいてはディーラ
者がいない場合，送受信ベースの同じ光子の偏光方向
と任意のプレーヤの結託はないと仮定する必要がある．
は確実に一致するからである．次の定理が成立する．
469
電子情報通信学会論文誌 2003/4 Vol. J86–A No. 4
［定理 1 ］ k-量子カード配布に対して攻撃 1 が行われ
たとき，確率 1 −
( 78 )52 k−1
で攻撃を検出できる．
かる．
最後に，盗聴者 Pj が偏光を乱すことなく光子の個
（証明）ディーラとプレーヤ Pi のベースが一致する
数を測定できる（量子非破壊測定ができる）場合には
確率は 1 光子につき 1/2 である．盗聴者の選択した
上のプロトコルは安全ではないことを示そう．量子非
ベースは，ディーラの選択したベースと異なっていな
破壊測定を行うことができる盗聴者 Pj (j ≤ i − 1) が，
ければ盗聴検出ができない．盗聴者の選択したベース
Pi に送られたカードを盗聴により不正に知ろうとし
が異なる確率は 1 光子につき 1/2 である．ディーラと
たとする．量子非破壊測定とは，光子を測定するとき，
Pi のベースが一致し，盗聴者のベースが一致してい
光子の状態を変えずに測定する方法のことをいう．量
ないとする（このようなことが起こる確率は 1 光子当
子非破壊測定を行うことにより，偏光を変えることな
り 1/4 である）
．盗聴者は，プレーヤ Pi に対して光
く光子数を測定できることが知られている [7]．k-量
子を再送しなければならないが，盗聴者と Pi のベー
子カード配布において量子非破壊測定を行うことがで
スが一致していないため，ディーラと Pi の偏光方向
きる盗聴者は，何の副作用もなくカード情報を得るこ
は 1/2 の確率で一致し，1/2 の確率で一致しない．す
とができてしまう．なぜなら，本プロトコルにおいて
なわち，このとき 1/2 の確率で盗聴者の存在を検出で
カード情報は光子数にのみ符号化されているためであ
きる．以上により，1 個の光子の送受信の結果から盗
る．すなわち，量子非破壊測定を行うことができる盗
聴者に対して，k-量子カード配布は全く安全ではない．
聴者の検出を 1/8 の確率で行うことができる．
盗聴者が 1 枚のカードを完全に盗聴するためには，
しかし，現在用いられているフォトンディテクタによ
52 k − 1 個の光子をすべて読み取る必要がある．この
る “stop and resend” 方式等の光子数測定法では，光
とき，盗聴が検出されない確率は，
子の有無を測定したら偏光の情報が壊れてしまうため，
52 k−1
本プロトコルは量子非破壊測定ができない盗聴者に対
7
8
しては有効である．
である．よって，1 枚のカードを配布するときの盗聴
者検出確率は，
52 k−1
1−
本章では，盗聴者が量子非破壊測定できる場合でも
7
8
である．
4. 盗聴者が量子非破壊測定できる場合の
プロトコル
安全に量子カード配布を行うことができるプロトコル
を与える．4.1 において装置構成について説明し，4.2
✷
において本章のプロトコルを具体的に与える．そのプ
定理 1 により，セキュリティパラメータ k を大きく
ロトコルでは，カードの情報を偏光方向に符号化する
することで，圧倒的確率で攻撃 1 を検出できることが
ことにより，量子非破壊測定による攻撃を不可能にす
わかる．
る．更に，秘密分散法を利用することによりカード情
次に，プレーヤ Pj がある特定のカード x がだれ
かに配布されたかどうかを不正に知りたい場合を考え
る．盗聴者 Pj は，カード内容の完全な盗聴ではなく，
カード x が配布されているかどうかを調べたいので，
すべての光子を調べる必要はなく，x に対応するケー
報の盗聴行為を困難にする．最後に，4.3 において本
章のプロトコルの安全性について述べる．
4. 1 準
備
本章のプロトコルにおける装置構成は，基本的に図
3 の k-量子カード配布と同じ構成を使用する．ただし，
ブルのみを使用して光子の送受信を行うだけでよい．
装置 IV を設置する代わりに，あらかじめすべてのプ
これを攻撃 2 と呼ぶ．このとき，盗聴者に読み取られ
レーヤで π ∈R S52 を共有しておく．このときディー
る光子数は，k − 1 または k である．したがって，次
ラは π を知らないものとする．
の定理が直ちに成立する．
また，k-量子カード配布と同様に，ディーラはカー
［定理 2 ］ k-量子カード配布に対して攻撃 2 が行われ
ド番号の集合 C を準備する．C の初期状態は，
たとき，確率 1 − ( 78 )k−1 以上で攻撃を検出できる．
C = {1, 2, . . . , 52} である．セキュリティパラメー
タとして，自然数 k を選ぶ．k が大きいほど盗聴者を
検出できる確率が 1 に近づく．
定理 1 及び定理 2 により，セキュリティパラメータ
k が大きいほど，盗聴者の検出が容易になることがわ
470
論文／量子カード配布
4. 2 プロトコル
本章のプロトコルでは，52 枚のカードを符号化す
表 1 時刻 t に送る光子の偏光方向の選択
Table 1 A choice of photons’ polarization at time t.
るために秘密分散法を利用する．秘密分散法とは，秘
密情報 c を k 個の分散情報 ei (i = 1, 2, . . . , k) に符号
化し，ei のうちの任意の l 個の分散情報を集めること
ができれば，もとの秘密情報 c を完全に復元すること
ができるが，どの l − 1 個の分散情報からでも，もと
の秘密情報 c について全く情報が得られない系のこと
をいう．このような特徴をもつ秘密分散法のことを，
(l, k) しきい値秘密分散法という [11]．
定したベースでランダムに読み取ることになる．
（ iv ）プレーヤ Pi は，すべてのケーブルの偏光方
向を比較して，ただ一つのみ偏光方向の異なる光子の
ディーラは，カードを 1 枚配布するごとに，(l, k)
送られたケーブルを探す．ディーラとプレーヤ Pi の
しきい値秘密分散法を用いて c を符号化する．本節の
ベースが一致していた場合は，確実にケーブル et の
プロトコルを用いてプレーヤ Pi にカードを 1 枚配布
光子のみ偏光方向が異なるはずである．このときプ
するには次のようにすればよい．
レーヤ Pi は，分散情報 et を得る．偏光方向の異なる
（ 1 ） 1 ≤ j ≤ i − 1 なる各プレーヤ Pj は，装置
光子の送られたケーブルが 2 本以上存在した場合は，
III としてストレート結線装置を選択する．
（ 2 ）ディーラは，ランダムにカード番号 c ∈R C
を選び，c を (l, k) しきい値秘密分散法を用いて，k
ディーラとベースが一致しなかったことを知り，et を
個の分散情報 e1 , e2 , . . . , ek に符号化する．ここで，
ベースをディーラに公開通信路で伝える．ディーラは，
e1 , e2 , . . . , ek ∈ C である．すべてのプレーヤは，l 個
以上の分散情報を得ることができれば，c を復元で
ベースとを比較し，一致した時刻の個数を調べる．一
きる．
（ 3 ）ディーラは k 個の分散情報をプレーヤ Pi
得ることができない．
（ 4 ）プレーヤ Pi は，各時刻に選択した k 個の
受け取ったプレーヤ Pi のベースと，自分の選択した
致したベースの個数が l 以上の場合，ディーラはプ
レーヤ Pi が分散情報を l 個以上得たことを知る．そ
に送るために，時刻 1 から時刻 k までの間に，合
の後，ディーラはベースの一致したすべての時刻をプ
計 52k 個の光子を装置 I を使って送信する．時刻 t
レーヤ Pi に伝える．一致したベースの個数が l 未満
(t = 1, 2, . . . , k) に分散情報 et を送るために，ディー
ラとプレーヤ Pi は時刻 t に次のようにして光子を送
の場合は，プロトコルを（ 2 ）からやり直す（ただし，
受信する．
k 及び l を適切に選択することにより，このような
「やり直し」が発生する確率を小さくできる）
．
（ i ）ディーラは，＋か×かいずれかのベースをラ
（ 5 ）プレーヤ Pi は，ディーラとベースの一致し
ンダムに一つ選ぶ．更に，ランダムに a ∈R {0, 1} を
た時刻で得た l 個以上の分散情報から，秘密分散法を
決める．
（ ii ）ディーラは，すべてのケーブルに同時に光子
を送る．ただし，ケーブル et 以外のすべてのケーブ
ルには同じ偏光方向をもった光子を送るが，ケーブル
用いて c を復元する．このとき，プレーヤ Pi はカー
ド π(c) を受け取ったとみなす．
（ 6 ）ディーラは，以後カード π(c) を配布しない
ようにするため，C := C − {c} とする．
et に送る光子の偏光方向とは異なるようにする．各
上のプロトコルを繰り返すことにより，ディーラは
ケーブルに送る光子の偏光方向は，
（ i ）でディーラの
プレーヤにカードをランダムに配布することができる．
選択したベースと値 a から，表 1 のように決める．
（ iii ）プレーヤ Pi は，ランダムにベースを選び，
4. 3 プロトコルの安全性
本章のプロトコルの安全性を示そう．k-量子カード
装置 II を使い，すべてのケーブルに同じベースを設定
配布と同様，ディーラとプレーヤの結託はないものと
して，送られてきた k 個の光子をすべて受け取る．こ
する．
のとき，ディーラとプレーヤ Pi のベースが一致して
本章のプロトコルでは，送る情報を光子の偏光方向
いた場合は，送られたすべての光子の偏光方向を確実
に符号化しているため，たとえ盗聴者が量子非破壊測
に読み取ることになり，ベースが異なっていた場合は，
定を用いて光子数を測定したとしても何の情報も漏れ
送られたすべての光子の偏光方向をプレーヤ Pi の設
ない．よって，本章のプロトコルは量子非破壊測定に
471
電子情報通信学会論文誌 2003/4 Vol. J86–A No. 4
よる攻撃に対して安全である．
[2]
two nonorthogonal states,” Phys. Rev. Lett., vol.68,
次に，以下の場合を考える．本章の量子カード配布
により，プレーヤ Pi がカードを 1 枚受け取ったとす
る．悪意のあるプレーヤ Pj (j ≤ i − 1) は，正規のプ
C.H. Bennett, “Quantum cryptography using any
pp.3121–3124, 1992.
[3]
C.H. Bennett and G. Brassard, “Quantum cryptography: Public key distribution and coin tossing,” Proc.
レーヤ Pi と同様にして 52 k 個の光子を受信し，分散
IEEE International Conference on Computers, Sys-
情報を l 個以上読み取ろうとする．これを攻撃 3 と呼
tems and Signal Processing, pp.175–179, Bangalore,
ぶ．この攻撃を防ぐことはできないが，次のようにす
India, 1984.
[4]
C. Crepéau, “A zero-knowledge poker protocol that
れば高い確率で検出することが可能である．
achieves confidentiality of players’ strategy or how to
• ディーラとプレーヤ Pi は，ベースが一致した
すべての時刻 t について，ケーブル et の偏光方向を
achieve an electronic poker face,” Proc. CRYPTO’86,
比較し，2 人の偏光方向が一致しているかどうかを確
Lecture Notes in Compute Science, vol.263, pp.239–
247, 1986.
[5]
認する．
tion and how to play mental poker keeping secret all
partial information,” Proc. Fourteenth Annual ACM
このとき，偏光方向の異なる光子が一つでも存在し
Symposium on Theory of Computing, pp.365–377,
た場合，盗聴されていたことになる．なぜなら，盗聴
者がいない場合，送受信ベースの同じ光子の偏光方向
1982.
[6]
は確実に一致するからである．
mental realization of quantum cryptosystem,” IEICE
Trans. Fundamentals, vol.E85-A, no.1, pp.149–157,
とで，高い確率で攻撃 3 を検出できることがわかる．
Jan. 2002.
[7]
すび
T. Hasegawa, T. Nishioka, H. Ishizuka, J. Abe, K.
Shimizu, M. Matsui, and S. Takeuchi, “An experi-
よって，セキュリティパラメータ k を大きくするこ
5. む
S. Goldwasser and S. Micali, “Probabilistic encryp-
N. Imoto, H.A. Haus, and Y. Yamamoto, “Quantum
nondemolition measurement of the photon number
via the optical Kerr effect,” Phys. Rev. A, vol.32,
本論文では，メンタルポーカープロトコルと量子暗
号の融合ともいうべき，量子カード配布を提案した．
pp.2287–2292, 1985.
[8]
K. Kurosawa, Y. Katayama, and W. Ogata, “Reshuf-
量子カード配布により複数人のプレーヤに対してカー
flable and laziness tolerant mental card game proto-
ドを安全に配布することができ，公平なカードゲーム
col,” IEICE Trans. Fundamentals, vol.E80-A, no.1,
を行うことができる．本方式は，情報理論的に安全で
pp.72–78, Jan. 1997.
[9]
S.J.D. Phoenix, S.M. Barnett, P.D. Townsend, and
あり，悪意のあるプレーヤが無制限の計算能力をもっ
K.J. Blow, “Multi-user quantum cryptography on op-
ていても安全である．
tical networks,” J. Modern Optics, vol.42, pp.1155–
4. のプロトコルは，その装置構成においてケーブル
の本数を 52 としたが，時分割による光子送受信を用
いることにより，ケーブル 1 本でも実行可能である．
1163, 1995.
[10]
H. Zbinden, “Automated ‘plug & play’ quantum key
distribution,” Electron. Lett., vol.34, pp.2116–2117,
1998.
本論文では，ディーラの存在を仮定したが，ディー
ラを必要としないプロトコルを考案することが残され
た課題である．また，本論文では光子検出効率を 1 と
[11]
A. Shamir, “How to share a secret,” Commun. ACM,
[12]
A. Shamir, R.L. Rivest, and L.M. Adleman, “Mental
no.22, pp.612–613, 1979.
仮定したが，この数値は現実的ではない．光子検出効
poker,” in Mathematical Gardner, ed. D.E. Klarner,
Wadsworth International, pp.37–41, 1981.
率が低い場合でも成立するプロトコルの考案も残され
[13]
た課題である．
謝辞本研究に関して，有益な御助言を頂いた東北
大学大学院静谷啓樹教授，徳山豪教授及び小澤正直教
授に感謝致します．また，査読者から有益な意見を頂
いたことに謝意を表します．なお，本研究の一部は国
際コミュニケーション基金から援助を受けた．
文
[1]
献
I. Bárány and Z. Fǔredi, “Mental poker with three or
more players,” Inf. Control, vol.59, pp.84–93, 1983.
472
G. Ribordy, J.D. Gautier, N. Gisin, O. Guinnard, and
竹内繁樹，“量子計算と量子情報通信—何が可能になるの
か，
” 信学誌，vol.84, no.1, pp.17–25, 2001.
（平成 14 年 5 月 16 日受付，10 月 21 日再受付，
11 月 29 日最終原稿受付）
論文／量子カード配布
小泉
康一（学生員）
平 12 東北大・工・電子卒．現在，同大大
学院博士後期課程在学中．量子暗号，カー
ド配布による安全な鍵共有に関する研究に
従事．
水木
敬明（正員）
平 7 東北大・工・情報卒．平 12 同大大
学院博士課程了．博士（情報科学）
．同年
同大助手．現在同助教授．情報理論的に安
全な鍵共有に関する研究に従事．科学技術
振興事業団さきがけ研究 21 研究員．
西関
隆夫（正員）
昭 44 東北大・工・通信卒．昭 49 同大大
学院博士課程了．工博．同年同大助手．現
在同教授．アルゴリズム，暗号理論，計算
幾何学，グラフ描画，グラフ理論の研究と
教育に従事．IEEE Fellow，ACM Fellow，
情報処理学会，日本応用数理学会各会員．
473

Download Report