quantum key distribution with hacking countermeasures and

Quantum key distribution with hacking countermeasures and long term field trial

A.R. Dixon, J. F. Dynes, M. Lucamarini, B. Fröhlich, A.W. Sharpe,

A.Plews, W. Tam, Z. L. Yuan, Y. Tanizawa, H. Sato, S. Kawamura,

M. Fujiwara, M. Sasaki & A. J. Shields

15041048田邉弘行

Scientific Reports volume 7, Article number: 1978 (2017）

量子鍵配送におけるハッキング対策と長期実地試験

論文の概要•全長45kmの東京都内のネットワークにて2.5か月間、

QKDシステムの実地試験を行った

•複数の盗聴攻撃に対する対策をQKDシステムに組み込み実験を行った

•地上での安定した動作を実現するためのシステムを搭載した

•盗聴対策、安定化システムを組み込み、平均200kbit/sを超える安定した鍵生成率を持つ量子鍵配送を実証した

2

3

1．量子鍵配送について・QKDの基本構造・BB84プロトコル

2．実験概要・実験方法と実験装置

3．盗聴攻撃と対策・PNS攻撃・トロイの木馬攻撃・ブラインド攻撃

4．安定化システム5．実験結果6．まとめ

発表の流れ

4





発表の流れ

量子鍵配送(Q K D )とは

5

Alice(送信者) Bob(受信者)

秘密鍵(ランダムなビット列)

秘密鍵(ランダムなビット列)

Eve(盗聴者)

秘密鍵の共有方法：量子鍵配送(QKD)

目的：秘匿性が保証された秘密鍵を二者(Alice,Bob)に供給

特徴：安全性は量子力学の原理に基づいて保証されている。

前提：盗聴者(Eve)は物理法則に反しない限り何でもできるとする。

量子暗号

6





発表の流れ

BB84プロトコル単一光子の４状態にビット値を乗せる量子鍵配送方式

7

ビット値 0 1 0 1

基底 Z基底 X基底

相対位相 0 𝝅𝝅

𝟐

𝟑𝝅

𝟐

位相変調方式(本実験で採用)偏光状態方式(威德の発表にて紹介)

ビット値 0 1 0 1

基底

Z基底 X基底

偏光状態

φ基準

BB84プロトコル(位相変調方式)

8

AliceBobへ

レーザー光源

BS

PBS

Δt遅延

Δt𝝋𝒂

𝛗𝒂 = 𝟎,𝝅

𝟐, 𝝅,

𝟑𝝅

𝟐

・位相変調𝛗𝒂 = 𝟎,𝝅

𝟐, 𝝅,

𝟑𝝅

𝟐をランダムに行う

・位相変調したパルスと遅延させたパルスをBobに送る

50

50

位相変調器

エンコード(符号化)𝝋𝒂

𝝋𝒂 𝝋𝒂


9

BobAliceから

BSPBS

Δt遅延

Δt

𝝋𝒃𝝋𝒂

𝛗𝒃 = 𝟎,𝝅

𝟐

検出器[1]

検出器[0]

・Aliceで位相変調されなかったパルスを𝝋𝒃 = 𝟎,𝝅

𝟐にランダムに

変調する・ 𝝋𝒂 , 𝝋𝒃に変調された二つの波を同時に検出器に入射する

位相変調器

エンコード(符号化)


検出器[1]

検出器[0]

BS

𝐸1 =E

2eiφa − eiφb

𝐸0 =E

2eiφa + eiφb

𝜑 = 𝜑𝑏 − 𝜑𝑎とする

E12 = E 2 1 − 𝑐𝑜𝑠𝜑

E02 = E 2 1 + 𝑐𝑜𝑠𝜑

２乗

Eeiφa

Eeiφb

𝐸1

𝐸0

10

Aliceのビット値は０、基底はXの時(𝝋𝒂＝𝝅

𝟐)

Aliceの基底 x x

φa𝝅

𝟐

𝝅

𝟐

Bobの基底 x z

φb

𝝅

𝟐0

φ 0−𝝅

𝟐

E12 0 𝑬 𝟐

E02 𝟐 𝑬 𝟐 𝑬 𝟐

① ②

ビット値 0 ―

① Bobの基底もX基底の場合

② Bobの基底がZ基底の場合

𝐸02 = 2 𝐸 2

𝐸12 = 0

E12 = E 2

E02 = E 2

Bobが得るビットは0

確率½で１か０

BB84プロトコル

11

相対位相とボブが得るビット値

Alice、Bobの相対位相とボブが得るビット値を一覧にすると以下の表のようになる

AliceとBobの選択基底が一致している時のみ、確実に同じビット値を共有できる

このように基底の一致するビット値のみを残すことで、等しいビット値を共有することができるこの操作を繰り返し行うことによって、共通のビット列を共有することができる

Bob Z基底Ｘ基底

Alice 0 π/2

基底ビット値

Z 0 0 0 0or1

Ｘ０ π/2 0or1 0

Z １ π 1 0or1

Ｘ１ 3π/2 0or1 1

𝝋𝒂

𝝋𝒃

量子鍵配送についてのまとめ

• QKDは量子力学に基づいて安全性が保証された、秘密鍵の配送法

• BB84プロトコルでは二つの基底を用いて１ビットの乱数を送信し、受信者も二つの基底のどちらかをランダムに選んで測定する。

•今回の実験で用いた位相変調方式について説明した

12

13





発表の流れ

実験概要全長45㎞のファイバーで構成された、東京都内の通信ネットワークを用いて実証試験を行った

45㎞トータルの損失は14.5dBであり、1550nmのレーザーを用いて、1GHzで稼働する

ファイバーの半分は地下に、もう半分は地上で電柱に吊り下げられている地上のファイバーは温度変化や風の影響を受ける

14

環境変化に対する安定化システム

3つの一般的な盗聴攻撃への対策

を実装した

実験装置(Alice側)

15

A :可変光アテネーターI :光アイソレーター

F :狭帯域光フィルター

集積回路

レーザー強度変調器 PBSBS

位相変調器

A I F

実験装置(Bob側)

16

MD：モニタリング検出器EPC：偏光コントローラーFS：ファイバーストレッチャー

集積回路

PBS BS

位相変調器

FS

EPC

MD

APDBS SD

APD：アヴァランシェフォトダイオードSD：自己差分回路

APD(アヴァランシェフォトダイオード)

17

APDに電場が印加されている間に光が入射すると、印加電圧に応じて、増幅した電気信号を出力する

降伏電圧以上の電圧をかけるとAPDの増幅率が発散するこのことを利用して、単一光子を検出する

光子の検出と関係の無いアフターパルスが発生してしまう

信号増幅機能を持ったフォトダイオード

降伏電圧

APDと自己差分回路

18Appl. Phys. Lett. 91, 41114 (2007).

信号の振幅

信号の振幅

信号の振幅

信号の振幅

検出器

降伏電圧よりも高い電圧をAPDに印加する(ガイガーモード)

電圧を矩形波に乗せて印加する

矩形信号に対するAPDの応答信号50:50に分割する片方の信号を1クロック分ずらし、元の信号との差をとる

こうして微弱な信号でも検出できる信号の電流が小さくなるのでアフターパルスを低減できる

19





発表の流れ

盗聴攻撃

今回の実験で考慮した盗聴攻撃

• PNS攻撃(光子数分岐攻撃)

• トロイの木馬攻撃

• ブラインド攻撃

20

盗聴者は装置の不完全さを突いた攻撃を仕掛けてくる今回は次のような三つの盗聴攻撃を想定し、対策を施した

PhotonNumberSplitting攻撃(光子数分岐攻撃)

QKDシステムの理論モデルにおいては単一光子を用いるが

実際には弱めたコヒーレント光を用いる

量子揺らぎによって、2光子発生の確率がある

21

Eve

Eveに盗聴されても気づけない

BobAlice

BobAlice

Eve

PNS攻撃

22

Alice Bob

Eve

光子数測定(非破壊)

レーザー光源

強度変調器

光子分岐

保存

測定

無損失伝送検出器

古典通信路

①Aliceからのパルスの光子数を非破壊で測定する②2光子のパルスから1光子だけ分岐し、1光子はBobへ送る③分岐した光子は保存する④Alice-Bobの基底情報を盗聴する⑤盗聴した基底状態に基づいて保存しておいた光子を測定する

PNS攻撃対策：デコイ法

23

Alice BobEve

レーザー光源

光子分岐無損失伝送検出器

強度変調器を用いてランダムに平均光子数の異なるパルス(デコイパルス)を混ぜる

強度変調器

𝒏𝟎

𝒏𝟏

今回の実験では以下の設定でPNS攻撃対策を行った

パルスの種類平均光子数[個/パルス]

送信した割合

信号パルス 0.4 約98%

デコイパルス 0.1 約1%

バキュームパルス 0.0007 1%以下

トロイの木馬攻撃(Troyjan horse attack)

24

EveはAliceの位相変調器にパルスを送り込む送り込まれたパルスによって、位相変調された後方散乱光が発生するこの後方散乱光を検出器で読み取り、Aliceの基底情報𝛗𝐚を読み取る

Aliceレーザー光源

位相変調器

Eve

検出器

レーザー光源

変調器ห𝒆𝒊𝝋𝒂 𝝁𝒐𝒖𝒕⟩

ȁ 𝝁𝒊𝒏⟩ Bob

γ：optical isolation

トロイの木馬攻撃対策(光学素子)

25

Aliceレーザー光源

PM

R

Eve

A I Fレーザー光源

A：アテネーターI：アイソレーターF：波長フィルター

Figure7

点線より左側の光学素子の反射率R(約𝟏𝟎−𝟒 )を含めて、トロイの木馬攻撃による情報漏洩の可能性を無視できるほど(約𝟏𝟎−𝟐𝟎 )の往復減衰を達成

EVEからのパルスを防ぐ三つの光学素子

(a)アイソレーターの光学特性

(b)波長フィルターの光学特性

アイソレーター：Eve側から来る光に対して約𝟏𝟎−𝟔の減衰を与える波長フィルター：1550nm以外の波長には約𝟏𝟎−𝟖の減衰を与えるアテネーター：両方向からの光に𝟏𝟎−𝟒の減衰を与える

n=1

𝜸 = 𝑭𝟐 × 𝑰𝒏 × 𝑨𝟐 × 𝑹

ガイガーモードAPDに、ある一定以上の強さの連続光を照射すると、単一光子の入射に応答しなくなる

そして、パルス光を追加的に照射すると、そのパルス光強度に線形に応答するようになる(リニアモード)

連続光がAPDに入射し、APDがリニアモードになってしまうことをブラインド化と呼ぶ

この現象を用いた盗聴攻撃をブラインド攻撃と呼ぶ

26

ブラインド攻撃

APD SD

ブラインド攻撃(Blinding attack)

27

APD:アバランシェフォトダイオードSD:自己差分回路FM：ファラデーミラー

EVEはをBobに入射することによってAPDをブラインド化するEVEはBob‘と同じ基底をAlice’で選択し、Bobに送り込むブラインド化されたAPDは強度の高い光が閾値を超えると0、1の信号を発信するこれにより、BobはEveと同じ基底を選択した場合にのみビット値を検出することができるすなわち、Bobが用いるビット値はEveがすべて知ることとなる

Nat. Phot. 4, 5–689 (2010).

Eve

位相変調器検出器

Bob

FM

検出器

同一の基底を選択

APD SD

検出器

ブラインド化される

連続光を入射

強度変調器

位相変調器

位相変調器光

増幅器

ブラインドレーザー

ブラインド攻撃対策(モニタリング)

28

Bob

光モニター

位相変調器

APD

APD

温度モニター

SD

SD

1%の光をモニタリング

APDの温度をモニタリング

通常用いられるパルスよりも強度が高い連続光は、APDの温度上昇を引き起こすパルスの入射強度やAPDの温度に異常が見られた場合、QKDシステムを停止する

ただし全てのブラインド攻撃を防げる保証はない

99%

1%

29





発表の流れ

安定化システム地上での実地試験に当たって温度変化や風による変動などの環境変化を考慮する必要があった

環境変化によってファイバーの膨張、収縮などが引き起こされる

そのため、

・ファイバーの経路長の変化

・ファイバー内の複屈折率の変化によるパルスの偏光回転

・パルスの到着時間の変化

以上のようなQKDシステムへの影響が考えられる

これらは鍵生成率の低下の原因になる

環境変化の影響を抑える安定化システムを導入30

安定化システム①１.経路長の変化に対する安定化

同一の経路長を維持するためにBob側にファイバーストレッチャーが組み込まれている

パルスを置き換えたフィードバック信号をおくり、その信号に基づいて経路長の調整を行う

31

安定化システム②2.偏光の回転に対する安定化

AliceでΔt遅延したパルスとBobでΔt遅延するパルスが反対のパルスになるように偏光を用いている

この偏光が回転してしまうと、検出器に同時に到着するパルスが減り、鍵生成率の低下を招く

これを防ぐために、Bobは偏光コントローラー(EPC)を用いる

偏光コントローラーは検出器の検出率からのフィードバック信号に基づいて動作する

32

3.光子の到着時間の変化に対する安定化

検出器はパルスの到着にあわせて、電場を印加し検出している

検出のタイミングとパルスの到着のタイミングがずれると検出率が低下する

33

検出率に基づいて受信機のクロック遅延を調整し、光子パルスの到着のタイミングを合わせる

安定化システム③

PID制御アルゴリズム

34

平均からのQBER変動ヒストグラム

環境変化による影響や検出装置、通信路の不完全性から、AliceとBobのシフト鍵のビット値に食い違いが生じるこの誤りの割合のことをQBERと呼ぶ

QBER(量子ビット誤り率)

PID制御とは現在値と目標値の偏差に比例した出力を出す比例動作(P動作)偏差の積分に比例する出力を出す積分動作(I動作)偏差の微分に比例する出力を出す微分動作(D動作)これらの和を出力し目標値に向かって制御すること

安定化システムにPID制御にアルゴリズムを採用し、QBERの変動が抑えられた

QBERの変動(％)

急激な環境変化に対応するため、安定化システムに用いるアルゴリズムを開発し、用いた

目標:QBERを低く保ちたい、QBER平均からの変動を抑えたい

35





発表の流れ

結果

36

QKDシステムの77日間のパフォーマンス

秘密鍵生成率、シフト鍵生成率、QBERのどれも揺らぎが少なく安定した結果が得られた

37





発表の流れ

まとめ

•位相変調方式のBB84 プロトコルを用いた

• QKDシステムにPNS攻撃、トロイの木馬攻撃、ブラインド攻撃に対する対策を施した

•安定化システムを用いて、環境変化にさらされる地上での運用においても安定した鍵生成率を実現した

•盗聴対策、安定化システムを組み込み、全長45kmの通信ネットワークにおいて、2.5か月の間200kbit/sを超える速さの安定した量子鍵配送を実証した

38

quantum key distribution with hacking countermeasures and

Documents