これからの社会や生活はよりネットワークに依存する時代となり、あらゆる情報を迅速かつ安全に送ることが求められます。一方で、圧倒的な計算能力を持つ量子コンピューターの登場により、暗号通信の安全性が脅かされつつあります。安全な暗号通信を行うために期待されているのが、量子力学の原理に基づき情報理論的に絶対に破られない「量子暗号通信」です。
東芝は、量子暗号通信の高速化や安定化を図る独自の技術開発を行い、世界をリードしています。この量子暗号通信技術について、複数回にわたり解説していきます。第1回は、量子暗号通信の原理と通信プロトコル「BB84」です。

情報通信ネットワーク（以下、ネットワーク）は、今や私たちの生活に欠かせないものとなりました。日常的に利用する電子マネーやクレジットカードはネットワークを介して決済され、家庭内にはテレビやエアコン、掃除機といった、スマートフォンなどと連携して操作したり機能を進化させたりできるスマート家電が普及しています。ビジネスの領域においては、製造業や農業などでセンサーを使ってデータを集め、品質や生産性の向上などに生かされています。

このように、さまざまな領域でIoT化が進み、私たちを取り巻く「モノ」のネットワーク化が加速していることから、今後、人間社会におけるネットワークへの依存度はますます高まっていくと考えられます。

ここで重要となるのが、ネットワークを流れる通信の安全性です。ネットワークには、個人や企業、国家などに関するあらゆる機密情報が流れています。通信の途中で情報が外部に漏えいして関係者に甚大な被害をもたらすことがないように、それらの情報は暗号化して守られています。

多くの暗号通信技術には複雑な数式が使われ、現在のコンピューターでは暗号の解読に膨大な時間がかかることから、通信の安全性が担保されています。

しかし、量子コンピューターの登場とその急速な進化により、この安全性が脅かされ始めています。

圧倒的な計算能力を持つ量子コンピューターは、社会を大きく変える機器として期待されています。世界各国における研究によりその実用化が進む一方で、量子コンピューターは、これまで解読するための計算に数千年から数万年かかるといわれていた暗号でも、瞬時に解読してしまう可能性があることがわかってきました。

暗号通信が簡単に破られてしまうと、大切な情報が漏えいしてしまう危険性があります。量子コンピューターの登場により、現在の暗号通信技術による安全性は不確実なものとなってしまったのです。

このような状況のなか、安全な通信を行うための新しい技術として注目されているのが、「量子暗号通信」です。

現在の暗号通信では、暗号を解くための秘密の「鍵」（暗号鍵）を、暗号アルゴリズムを使って隠してインターネットなどで送りますが、量子暗号通信では、暗号鍵を光の最小単位である光子（光の粒子）にのせて光ファイバーを使って送ります。隠された暗号鍵の抜き出し（暗号の解読）に時間がかかることから安全とされてきた現在の暗号通信とは異なり、量子力学の原理によって鍵の安全性が無条件に保証されている量子暗号通信は、今後どんなに高速な計算機が登場しても、暗号鍵が通信の途中で盗聴者に漏れることはありません（図1）。

量子暗号通信にはいくつかの方式（プロトコル）があり、その代表的な方式がBB84(*)＋デコイ方式です。東芝はこの方式を採用し、安全な通信を確保するソリューションを開発しています。

BB84方式では、暗号鍵の種となる「1」と「0」という1ビットの暗号鍵情報（ビット情報）を、偏光や位相といった光子の状態にエンコードして送信します。

ここでは、偏光にエンコードする場合について説明します（図2）。送信機は、「縦横偏光」と「斜め偏光」の2つの種類の偏光から「送信基底」を選びます。それぞれの送信基底に対して「1」と「0」の値（ビット情報）が割り当てられ、送信基底が縦横偏光の場合は「1」が横偏光、「0」が縦偏光となり、送信基底が斜め偏光の場合は「1」が右斜め偏光、「0」が左斜め偏光となります。送信機は送信基底とビット情報をランダムに選択し、その結果として選択される4つの偏光方向のいずれか1つに偏光させ、光子を送信します。一方、受信機は2種類の偏光からランダムに1つを選び、光子を受信します。ここで選んだ偏光の種類を「受信基底」といいます。光子を送受信した際、これら送信機と受信機の基底が一致したときのみ、受信機が受信した「1」あるいは「0」を正しいビット情報として暗号鍵の生成に使います。

例えば、送信機と受信機が縦横偏光という同じ基底を選んでかつ、受信機が横偏光を通すフィルターを用いた場合、送信機が「1」を表す横偏光を送信するとフィルターを通り抜けた光子が受信機に届きます。一方で、「0」を表す縦偏光が送信された場合は、光子がフィルターを通り抜けられません。つまり、受信機が光子を受信したかどうかで、送信機から横偏光と縦偏光のどちらの光子が送信されたのかがわかり、「1」と「0」を正しく判断できるのです。

また、送信機と受信機の基底が異なる場合、例えば、送信機が斜め偏光で送信して受信機が横偏光を通すフィルターで受信すると、フィルターを通り抜けられるのは斜め偏光の光の一部だけです。光子は分割できない最小単位であることから、光子がフィルターを通り抜けられる場合と通り抜けられない場合がランダムに発生するため、受信機が光子を受信したかどうかでビット情報を判断すると、「1」と「0」をランダムに受信することになります。

つまり、送信機と受信機の基底が一致した場合のみが正しいビット情報を得られ、一致しない場合はランダムな結果となります。そこで、光子を送受信した後に、この基底の情報を送信機と受信機の間で照合し、基底が一致したビット情報だけを暗号鍵の生成に用いるのです。

このBB84方式により、盗聴者を確実に検出する仕組みを説明します。

盗聴されたことを確実に検出することで、盗聴されていないことが保証されたビット情報だけを暗号鍵として用いることができ、通信の安全性が確保できます。

光の最小単位である光子は分割できないことから、送っている途中の光子が盗聴者に抜き取られた場合は、受信機に届く光子の数が減るという光子の特性があります。そこで盗聴者が、抜き取った光子の数と同じ数の光子を戻そうとしても、送信基底がわからないため、送信機が選択した送信基底と常に一致させることはできません。さらに量子力学的に、光子は観察すると状態が変化してしまう特性を持つことから、盗聴者が戻す光子は状態が変化してしまいます。

これらのことから、たとえ送信機と受信機の基底が一致していても、受信機ではビットの不一致が発生するため、ビットの誤り率の変化（ビット不一致の確率）をみることで、盗聴の有無を確実に検出することができます（図3）。

これまでの説明の通り、量子力学の原理により安全性が保証されている量子暗号通信ですが、実装上の課題はあります。現在、実用可能な光源では、確率的に複数の光子が同時に送られてしまうことがあります。同じビット情報をのせた光子を同時に複数送ってしまうと、その中から1つの光子だけを抜き取られた場合に盗聴に気づけない、ということが起こりえるのです。

この課題について、「デコイ信号」というおとりの信号を混ぜて解決しています。デコイ信号は、ビット情報を持たない、抜き取りを検出することに特化した信号です。盗聴者からは、ビット情報をのせた光子との見分けがつかないため、同時に送られた複数の光子の中から1つの光子だけを抜き取れたとしても、一緒にデコイ信号からも光子を抜き取ってしまいます。このデコイ信号の働きにより、盗聴者の存在を検出することができるのです。

東芝では、BB84＋デコイ方式にいくつかの独自の技術を加え、高い性能を持つ量子暗号通信を実現しています。例えば、ノイズ除去技術による光子の検出率の向上や、巨大な行列演算の並列化により暗号鍵を生成する技術で、鍵の配送速度を高速化しています。

また、量子暗号通信を実用的な環境で利用するには、光子の送受信の安定化が重要です。光子は非常に微弱な光であり、光ファイバーの中を伝搬している際にその周辺の温度変化や光ファイバー自体の振動などの影響を受けて、位相や偏光が変化してしまいます。これでは受信機に正しいビット情報が送られません。そこで東芝は、この送受信を継続的に安定させる新しい技術を開発し、量子暗号通信における大きな課題を解決しています。

今後はさらに、これらの強みにネットワーク化やプラットフォーム化の技術を組み合わせていくことで、これから大きく立ち上がる可能性が見込まれる量子鍵配信サービス市場のメインプレーヤーになることを、東芝は目指していきます。

今回は、連載の第1回として、量子暗号通信の原理と代表的な通信プロトコル「BB84」について解説しました。次回からは、東芝が20年にわたり研究を重ね、その実用化において重要となる独自の技術について、ご紹介していきます。

* Bennett and Brassard, Proceedings of IEEE International Conference on Computers Systems and Signal Processing, pp 175-179, 1984.

• 量子暗号通信