量子スタートアップ 通信(量子安全通信)の帷[*0]
Ⅰ 全体整理
Ⅰ-1 DI-QKD
(1)耐量子暗号と量子暗号
耐量子暗号とは、古典コンピューターを使って生成可能でありながら、量子コンピューターでも解読困難と見做されている暗号。意地悪な見方をすると、計算機の演算処理能力(スピード)向上という潜在的な危険に、常に晒されている暗号といえる。難しい言葉を使えば、計算量的仮定の下での安全性が保証された暗号である。
一方、量子暗号(ここでは、量子鍵配送(QKD)システムと同義)の安全性は、計算機の演算処理能力とは無関係である。量子力学の根本原理(不確定性原理と量子複製不可能定理)によって、安全性を保証された暗号と説明される。量子複製不可能定理は、「2つの異なる量子状態が、複製及び配送可能となる必要十分条件」が、「量子状態同士が直交及び可換である」ことを教えてくれる。無条件安全性が保証された暗号とも表現される。
上記ステートメントを読む限り、量子暗号は絶対破れない究極の暗号だと思うだろう。しかし、魑魅魍魎跋扈する現実世界は、そう単純ではない。(もちろん、デコイ法等の議論ではない。)
(2) 理論的には不可能。でも、ハッキングされた?
QKDシステムは、理論的にはハッキング不可能なハズである。しかし実際に、ハッキングが実行されている。2010年までに2つの研究チームが、スイスのスタートアップ「ID Quantique」(2018年、韓国のSKテレコムが買収)のQKDデバイスを、その操作と理論上の説明の不一致を使用してハッキングすることに成功した、という[*1]。なぜそんなことが起こり得るのか? それは、通信ネットワークを構成する物理的な装置が、不完全だからである。もう少しスマートに表現すると、チャネルへの攻撃に対しては無条件安全でも、デバイスへの攻撃に対しては、その限りではない。先に述べた物理的装置には、デバイス―もっと分かりやすく言えば、スマホも含まれる。正確さを犠牲にして分かりやすく説明すれば、スマホ操作の結果が理論値とズレることを検知することで、量子暗号を破ることが可能ということである。
つまり、厳密に言えば、「不完全性のない理想的な物理的装置を使うという仮定の下でのみ、量子暗号は無条件安全」である。量子暗号は『条件付き無条件安全』という甚だ言語矛盾な状況にある。
実際の物理的装置には必ず、雑音、精度不足、電磁波漏れなどの不完全性が存在する。やっぱり、究極の暗号なんて、存在しないのか? と気落ちしてしまいそうになるが、解決策はある。しかし、事情は、やっぱり複雑である。
(3) 解決策
解決策は、装置無依存量子鍵配送(Device Independent Quantum Key Distribution:DI-QKD)と呼ばれる量子暗号である[*48]。難しい言葉を使えば、DI-QKDとは、「量子もつれ光子対の量子的な相関の度合いを監視することで、物理的装置に関する知識が得られない場合であっても、秘密鍵が得られる」QKDである。このDI-QKDを使えば、「受信器」のセキュリティ・ホールは、完全に塞ぐことができる、という[*2]。送信器が持つセキュリティ・ホールへの対策は、未だ完全ではないが、完全に塞ぐ目途は立っている。送信器からの、あらゆる情報漏れが、単一の式で表現できることがわかったからである。つまり未知のサイドチャネル攻撃†に晒されても、安全性を保証できる目途は立ったということである[*2]。
なお、量子鍵配送を行うためには、送信者と受信者の間で認証が確立していることが前提。第三者による受信者のなりすまし、に気がつかなければ、送信者は第三者との間で秘密鍵を共有してしまう。ここで、量子暗号のカテゴリ-では、例えばWegman-Carter認証という情報理論的安全性をもつ認証が使える(ので理論上では安全。ただし運用上の苦労はある)[*3]。また、耐量子暗号のカテゴリーでの認証技術(例えば、CRYSTALS-Dilithiumなど)を使うという手もある。
† 為念:古典コンピュータを使った暗号化スキームに対するサイドチャネル攻撃→「メモリなどのリソースに対する需要をスパイウェア等で測定することにより、暗号化スキームに携わっているサーバーを特定」+「サーバーにメッセージを送信し、応答を取得するのにかかる時間を測定すると、特定のビットが1であるか、0であるかが分かり」、「電力消費量によって暗号化方式が分かる」[*51]。
[参考Ø] アップルのMシリーズに対するサイドチャネル攻撃を、米国の研究者が発表(24年4月)[*90]。CPUに搭載しているDMP(Data Memory-Dependent Prefetcher)という、データを”先読み”するハードウェアを利用する。悪意のある入力を行うことで、所望のデータを”先読み”という形で、CPUから取り出すことができる(CPUのキャッシュメモリを監視することで、復元可能)。所望のデータとは、暗号鍵(秘密鍵)である。DMPはインテル製CPUにも存在するが、アップルMシリーズのDMPより堅牢だという。
[参考1] 東北大学及びNECは、「サイドチャネル攻撃から暗号モジュールを長期にわたって強固に保護する技術を開発した」と発表した(23年12月5日)[*57]。サイドチャネル攻撃に対して 100%安全な構成要素が無い状況であっても、暗号鍵を適切に交換すれば、現実的に十分な安全性を有する暗号モジュールを実現できることを明らかにした。
(4) 残念ながら問題は、残っている。
実際、細かい部分は残っているものの、DI-QKDは究極の暗号ということになる。しかし問題は、残っている。伝送距離である。あまりにも短い。加えて言えば、キーをより速く生成する方法も必要と考えられている。
米国物理学会のオンラインマガジンPhysicsは、22年7月27日、「中国、英国、ドイツの3つの研究グループが、DI-QKDの原理実証実験を独自に実施している」という内容の記事を掲載した[*1]。中国グループ(7月27日付けフィジカルレビューレターに掲載)は、光子。英グループ(同日ネイチャーに掲載)は、イオン。ドイツ・グループ(同日ネイチャーに掲載)は、中性原子(ルビジウム)を使用した。すべての実験で、伝送距離は1km未満だった。中国は20~220m、英は2m、ドイツは400mであった。
(5) 結論
QKDは無条件安全と考えられていたが、実際は、そうではない。そうは言っても、実際に攻撃するのは大変ですよ、という専門家の意見もある。しかし22年7月に発生したKDDIの通信障害を思い起こせば分かるように、小さな欠陥であっても、それが原因で発生する通信インフラの不具合は、社会に大きなネガティブインパクトを与える。QKDを安全な暗号システムと社会的にみなすことは難しいと考える。QKDと耐量子暗号を比較すれば、耐量子暗号がよりセキュアであるという判断は、十分合理的であるとも考える[cf. Appendix A]。
DI-QKDは、無条件安全と考えて良いだろうが、現状少なくとも伝送距離の点で、実用レベルではない。そうすると、現実解は、二つの暗号技術を組み合わせて、悪意ある攻撃から守るということになるのであろう。別の現実解(妥協案)としては、①一部のデバイス(コンポーネント)限定でDIなQKD(MDI-QKD、Appendix Bを参照)や、②特定のサイドチャネル攻撃に対して対策を施す[*12]というアプローチも存在する。尚、サイバーセキュリティ対策について殊更、量子暗号/耐量子暗号という区別をすることなく、量子技術を使った攻撃に対して安全な状態を量子セキュアと呼ぶ。
❚補 遺❚
❶ 伊スタートアップlevelQuantumは、DI-QKDに関する特許を出願していると該社サイト[*171]で喧伝している。Cバンド(1550nm)で動作し、既存の光ファイバーと完璧にマッチするらしい。製品は上市されていないようだし、誇大宣伝の一種か?
DI-QKDをアピールしているのは、levelQuantumくらい。MDI-QKDにしても、蘭Q*birdくらいしか見当たらない。東芝は、デコイBB84を貫くのだろうか?
❷ Q*birdは、EIC Accelerator2025の助成金を正式に締結したことを発表(26年1月12日)[*284]。€2.5milの助成金と€5milの株式投資を確保した。
Ⅰ-2 耐量子暗号
‖NISTが、耐量子暗号の最終的な承認済仕様をリリース‖→ 米国
❑ 格子暗号を多項式時間で解読したと主張する清華大の研究者による論文[*99]@4/10は、4/18に(予想通り)撤回された。
(1) ビジネス活動及び移行動向
1❚ PQC Coalitionー耐量子暗号連合
❶ 耐量子暗号(PQC)のより広範な理解と一般採用に向けた進歩を推進するために、技術者・研究者・専門家からなるコミュニティが PQC Coalitionを立ち上げた(23年9月)。創設メンバーには、IBM、マイクロソフト、MITRE[*49]、英PQShield、米SandboxAQ、加ウォータールー大が含まれる。PQC Coalition当初、次の4つのワークストリームに焦点を当てる。㊀PQC移行に関連する技術標準の推進、㊁教育と人材育成をサポートする技術資料の作成、㊂商品レベルの品質を有するオープンソースの耐量子暗号を生成・検証し、業界向けにサイドチャネル攻撃に耐性のある耐量子暗号を実装、㊃暗号化の俊敏性†を確保、する。
† 「組織内の暗号資産管理が、従来の暗号からPQCに、素早く移行できる状態」であれば、暗号化の俊敏性が確保されていることになる。
❷ 耐量子暗号移行ロードマップ[*207]を公開した(25年5月16日)。
2❚ Post-Quantum Cryptography Alliance
米Linux Foundationは、耐量子暗号の進歩と導入を推進するオープンで協力的なイニシアチブである「耐量子暗号アライアンス(PQCA)」の立ち上げを発表した(24年2月6日)[*68]。PQCA は、商用国家安全保障アルゴリズム・スイート2.0に関する米国国家安全保障局のサイバーセキュリティ勧告との連携をサポートするために、実稼働対応のライブラリとパッケージを求める組織やオープンソース・プロジェクトにとって中心的な基盤となることを目指している。創設メンバーは、アマゾン・ウェブ・サービス(AWS)、シスコ、グーグル、IBM、IntellectEU†1、Keyfactor†2、Kudelski IoT†3、NVIDIA、QuSecure†4、SandboxAQ、加ウォータールー大学。
NVIDIAは、このアライアンスに対して、cuPQCを展開することで貢献している。GPU上でcuPQCライブラリを使うことにより、代表的な耐量子暗号Kyberは、対CPU比で「500倍高速化」されるという[*104]。同アライアンスとは別枠で、英PQShield、加evolutionQが、製品開発プロセスにcuPQCを導入する計画を持つ。
†1 デジタル・ファイナンス企業
†2 セキュリティソフトウェア・プロバイダー。デジタル・トラスト・ベンダーという表現もある。
†3 IoTセキュリティ・プロバイダー
†4 米国のスタートアップ。耐量子暗号ソリューションQuProtect™を提供。【1】米国のパートを参照。
3❚ フランスのコンソーシアム
❶ RESQUE
仏のサイバープレーヤー4社・2機関🍞1は、耐量子暗号ソリューションを開発するために「RESQUEコンソーシアム」を設立した(24年3月15日)[*83]。仏政府とEUから€6milの資金提供を受ける。具体的には、ハイブリッド🍞2耐量子VPN及び、高性能H/Wセキュリティ・モジュール作成を目的とする。
❷ Hyperform
仏のサイバープレーヤー5社・3機関🍞3他は、エンド・ツー・エンドの量子安全ソリューションを設計するためにHyperformコンソーシアムを立ち上げた(24年5月28日)[*98]。仏政府とEUから€7.5mil以上の資金提供を受ける。特に、資金決済や認証のセキュリティ強化に注力するらしい。
🍞1 Thales(航空宇宙・防衛・交通システム・セキュリティ分野で、サービス提供する大手企業)、TheGreenBow(VPNプロバイダー)、CryptoExperts(耐量子暗号プロバイダー)、CryptoNext Security(同、下表参照)、ANSSI(首相府防衛・国家安全総局・国家情報システムセキュリティ庁)、INRIA(仏国立情報学自動制御研究所)。
🍞2 耐量子暗号の文脈では、既存の暗号(例えば、楕円曲線暗号)と耐量子暗号の両方を組み合わせて使用する、という意味。
🍞3 IDEMIA Secure Transactions(セキュア・ソリューション・プロバイダ:生体認証と暗号化強みを持つ)、CryptoNext Security、Atempo(データ保護ソリューション・プロバイダ)、Prim'X(暗号ソリューション・プロバイダ)、Synacktiv(企業が情報システムのセキュリティ・レベルを評価及び向上できるよう支援)、CEA Leti(仏原子力庁・電子情報技術研究所)、ANSSI、INRIA。
4❚ メタ(いわゆる、旧フェイスブック)
メタは、該社公式ブログに「社内インフラから、ユーザー向けアプリまで、ハイブリッド耐量子暗号への移行を開始した」と投稿した(24年5月22日)[*95]。TLS🛡1における鍵合意において、 X25519楕円曲線ディフィー・ヘルマン(ECDH)プロトコルは、事実上の標準である。X25519に、CRYSTALS-Kyberを追加するハイブリッド型に移行する。NIST(米国立標準技術研究所)が定めた耐量子暗号標準ドラフト🛡2では、安全性と実装の"重さ"のバランスをとった3種のKyber(Kyber512、Kyber768、Kyber1024)が存在する。メタは、ユーザー向けには768を、社内用には512を使用する。
🛡1 TLS:Transport Layer Security(トランスポート層セキュリティ)は、インターネットで広く採用されているセキュリティ・プロトコル。
🛡2 24年7月に、耐量子暗号・4種類がリリースされる予定。
5❚ Zoom Video Communications(ZVC)
ZVCは、コラボレーションプラットフォームZoom Workplaceに、耐量子暗号を導入したと発表(24年5月21日)[*96]。耐量子暗号は、Kyber768である(つまりメタと同じ選択)。
6❚ Lastwall
米とカナダにオフィスを持つサイバーセキュリティ企業Lastwallは、Quantum Shield™という製品を発表した(24年6月26日)[*102]。Quantum Shield™は、Webサイトへの接続時、TLS(上記🛡1参照)に耐量子暗号セキュリティを組み込む仕組みらしい。Quantum Shield™は、(AWSやAzureなどの)クラウドプロバイダーを通じて展開されるため、ユーザーは最小限の時間とリソース割り当てで、最新の状態を維持できる。耐量子暗号は、もちろんKyberベースである。
7❚ Eviden
仏Eviden🥖1は、耐量子暗号ベースのHSMアズ・ア・サービス「PQC HSMaaS」を発表した(24年10月8日)[*131]。HSM(Hardware Security Module)とは、「データの暗号化と復号、およびデジタル署名と証明書の作成に使用される鍵を生成、保護、管理することで暗号化プロセスをセキュアに保つ、強化された耐タンパ性機能付きハードウェア・デバイス」🥖2のことである。ザックリ言うと、「暗号鍵を保管する金庫」のようなもので、IoT製品のセキュリティ確保に有効とされる。耐タンパ性とは、「内部情報を不正に読み取られる・改ざんされることに対する耐性」のことである。
PQC HSMaaSは、ANSSI(Agence Nationale de la Sécurité des Systèmes d'Information)🥖3の最高セキュリティ資格に基づく、現在市場で入手可能な唯一のHSMらしい。(HSMaaSの場合)HSMは、データセンターにホストされる。
🥖1 高度なコンピューティング、セキュリティ、AI、クラウド、デジタルプラットフォームで世界をリードする地位を確立している、と自己紹介している。仏Atosグループからのスピンオフ企業。HSMの他主要ベンダーには、仏Thales、米エントラスト、独Utimacoなどがある。
🥖2 出所:https://www.entrust.com/ja/resources/learn/what-are-hardware-security-modules
🥖3 仏全国情報処理システム・セキュリティ庁。Anssiは、「行政機関と重要事業者(通信事業者、銀行など)」の保護を任務とする政府機関。出所:https://www.nict.go.jp/global/4otfsk000000osbq-att/4otfsk00001krwy4.pdf
8❚ Telefónica, S.A
米IBMとスペインの通信大手テレフォニカは、コラボレーション契約を発表(25年1月30日)[*160]。米国国立標準技術研究所(NIST)によって選定された耐量子暗号を使用したソリューションの開発・提供を目的とする。
9❚ Google Cloud
NISTが選定した耐量子暗号に準拠したデジタル署名のプレビュー版を利用できるようにした、と発表(25年2月21日)[*168]。CRYSTALS-Dilithiumベースとハッシュ関数ベース(SPHINCS+)の2方式に対応している。為念╏前者は、ML-DSA(Module-Lattice-Based Digital Signature Algorithm)に名称変更された。後者は、SLH-DSA(Stateless Hash-Based Digital Signature Algorithm)に名称変更された。
10❚ PQC4eMRTDプロジェクト
掲題プロジェクトが2025年2月28日、正式に開始された[*169]。EUのデジタル・ヨーロッパ・プログラムによって資金提供されるこのプロジェクトは、eMRTD向け耐量子暗号プロトコルの標準化及び推進を目的とする。eMRTD(電子機械可読旅行文書)は、非接触機能が付加されたIC入りパスポートの規格。独インフィニオンが主導し、仏タレス、仏CryptoNext Security(耐量子暗号ベンダー)、西バルセロナ・スパコンセンター、スロベニアのリュブリャナ大学などが参加する。
11❚ 英国立サイバーセキュリティ・センター(NCSC)
英政府通信本部(Government Communications HeadQuarters:GCHQ)の一部門であるNCSCは、耐量子(計算機)暗号への移行に向けたガイダンスを発表した(25年3月20日)[*178]。ガイダンスには、組織が2035年までに耐量子暗号に移行するための、3 段階のタイムラインが概説されている。
12❚ OpenSSH
OpenSSH 10.0が正式にリリースされ、耐量子セキュリティ強化に向けた多数のプロトコル変更等が行われた(25年4月9日)[*192]。同リリースでは、ハイブリッド・アルゴリズムがデフォルトとなる。ハイブリッドとは、ML-KEM(NIST標準化の耐量子暗号:格子暗号プロトコル)と従来のX25519🐾との組み合わせ。互換性とパフォーマンスを維持しながら、耐量子性を提供する。
🐾 Curve25519と呼ばれる楕円曲線を基にした楕円曲線暗号プロトコル。素数2255 − 19(におけるモンゴメリ曲線)を使用しているため、25519とナンバリングされている。
(2) 耐量子暗号に対するサイドチャネル攻撃
1⃣ CRYSTALS-Kyberに対するサイドチャネル攻撃
スウェーデン王立工科大学の研究者は、CRYSTALS-Kyberを実装したハードウェアに対する、最初のサイドチャネル攻撃を紹介した論文[*63]を発表した(23年7月16日)。Kyber-512の一次マスクFPGA実装に対する実用的なメッセージ(共有鍵)回復攻撃を、ハミング距離漏洩モデルに基づく「電力解析」を用いて実証している。この攻撃は、非カプセル化(decapsulation)の復号化ステップで呼び出される、マスクされたメッセージの復号化手順にある、脆弱性を悪用する。メッセージの復元は、深層学習に基づく手法を用いて実行される。同じ復号化プロセスを複数回繰り返すことで、完全な共有鍵回復の成功率を「99%まで高める」ことが可能、という。
(3) 日本における耐量子暗号
1⃣ 格子ベースのPQC評価
ソフトバンクと米サンドボックスAQ(Googleからスピンアウトした量子技術実装企業)は、量子セキュア通信の検証について、プレスリリースを発表した(23年2月27日)[*24]。データ通信インフラに暗号プロトコルを導入すると、通信に大きな負荷がかかる。このため、レイテンシーが発生し、品質低下・スループット低下を招く可能性がある。格子ベースの耐量子暗号は他の選択肢と比べ、そのような懸念に対して格段に優れている、と評価した。そして、格子ベースの耐量子暗号と既存の暗号プロトコルのハイブリッドが、ベストであると結論している。
2⃣ QFESTA
NTTと東京大学は、同種写像ベースの耐量子暗号QFESTA(Quaternion🐾1 Fast Encapsulation from Supersingular Torsion Attacks)を開発した、と発表(24年9月5日、論文は[*A-16])。QFESTAは、2023年に提案されたFESTAのバリアントである。FESTAは、SIDH(Supersingular Isogeny Diffie–Hellman key exchange)攻撃を使用して復号化する同種写像ベースの公開鍵暗号化プロトコル。FESTAの欠点は、「鍵生成と暗号化に、高次の同種写像計算が必要」なこと。一方、QFESTAで必要な同種写像計算は低次のみであり、「鍵生成・暗号化・復号(化)」にかかる計算時間が2倍以上短縮された。また、公開鍵と暗号文のデータサイズは、FESTAの約半分である。
本質的な違いは、FESTAでは、次数が"滑らかな整数である"という制約があるのに対して、QFESTAの次数は、"滑らかではない"こと。「同種写像の次数」は、同種写像ベースの暗号において、重要な概念であり、滑らかでない次数を計算することは、これまで困難とされてきた。4元数代数とSIDH 攻撃を使って、困難を克服した(らしい)。安全性に関しては、QFESTAは、選択平文攻撃に対する一方向性(OW-CPA)🐾2を満たしている。さらに、量子ランダム(復号)オラクル・モデルの下で、選択暗号文攻撃に対する識別不可能性(IND-CCA)🐾2を実現している。※一方向性は、暗号の安全性を定義するのに十分な概念とは言えない[*A-17]。
🐾1 Quaternionとは、4元数のことである。
🐾2 公開鍵暗号の安全性は, ❶攻撃者の解読目標への耐性、❷攻撃者の利用可能な環境、2つの独立な要素の組み合わせによって定義される[*A-17]。❶には、「一方向性(one-wayness:OW=完全解読不可)」、「識別不可能性(indistinguishability:IND)=いかなる部分解読も不可)」、「頑強性(non-malleability:NM)」などが存在する。❷には、「受動的攻撃(選択平文攻撃(chosen-plaintext attack:CPA)」、「非適応的選択暗号文攻撃(non-adaptive chosen-ciphertext attack or lunch-time attack:CCA1)」、「適応的選択暗号文攻撃(adaptive chosen-ciphertext attack:CCA2)」などがある。CCA1とCCA2は、区別せずにCCAと一括りにされることもある。
3⃣ NEDOのKプログラム
国立研究開発法人新エネルギー・産業技術総合開発機構(NRDO)は、経済安全保障重要技術育成プログラム(Kプログラム)の一環で、「先進的サイバー防御機能・分析能力強化」に関する研究開発3件に着手することを、24年7月に発表した[*154]。その内の2件「サイバー空間の情報を収集・調査する状況把握力の向上」と「サイバー攻撃から機器やシステムを守る防御力の向上」に、英PQShieldが参加していることを発表した(25年1月21日)[*155]。PQShieldは、㊀耐量子暗号(PQC)プリミティブ🐾3の設計及び、㊁非PQCプロトコルを米NISTの最新標準に合わせて更新できるようにするための新しいプロトコルを構築するタスク、に携わる(㊁は、産総研と共同で行う)。㊀及び㊁は2024年から2026年まで実行され、最終的な標準化文書は2026年に提供される。
🐾3 暗号における安全性を担保している数学的な背景(問題)をプリミティブと呼ぶ。例えば、素因数分解問題、離散対数問題やLWE(Learning with errors)問題がプリミティブに相当する。暗号として機能する仕組み(スキーム)と合わせることで、一連の取り決めである「暗号プロトコル」が構築される。
0⃣ NISTが、耐量子暗号の最終的な承認済仕様をリリース
❶ 24年8月13日に最終版がリリース。中身は、想定通り。鍵カプセル化(いわゆるKEM)は、CRYSTALS-KYBERベース一拓[*114](➡ML-KEMと改名:FIPS🦅1203)。デジタル署名は、「格子暗号ベースのCRYSTALS-Dilithium[*115](➡ML-DSAと改名:FIPS204)とFalcon(➡FN-DSAと改名)」及び、ハッシュ関数ベース(SPHINCS+)[*116](➡SLH-DSAと改名:FIPS205)の二拓。
❷ NISTは、ML-KEMのバックアップ暗号化システムとして、HQC(Hamming Quasi-Cyclic)を選択したことを発表した(25年3月11日)[*172]。NISTによる耐量子暗号選定の第4ラウンドに進出した「BIKE、Classic McEliece、HQC、SIKE🦅2」の中から選ばれている。HQCの解読困難性は、ML-KEMとは異なる数学に基づいており❚補足❚、もしもML-KEMに弱点が発見された場合にバックアップとして機能する。NISTは、HQCアルゴリズムを組み込んだ標準案を約1年以内に発表する予定で、最終的な標準は2027年になる見込み。なお、HQCは3602次元まで、KDDIによって解読されている(25年1月6日、発表[*173]は同月27日)。
米PQCベンダーのCommvaultは、PQCソリューション・プラットフォームにHQCを追加した、と発表(25年6月9日)[*211]。
🦅2 SIKEがノートPCで破られたことに関しては、こちらを参照。
❚補足❚
HQCは、ランダムな準巡回(Quasi-Cyclic)符号の復号の困難性に基づいている。格子暗号と(準)巡回符号に基づく暗号における解読困難性の数学的基盤は異なるが、構造は似ている(巡回符号の場合、パリティ検査行列という体裁で"無理やり"行列を作る)。符号語の巡回置換が再び符号語である線形符号は、巡回符号と呼ばれる。準巡回符号は、巡回符号の一般化であり、その定義はやや複雑である。符号長nの線形符号Cに対して、任意の符号多項式c(X)をs記号だけ巡回置換して得られるXsc(X)(mod Xs−1)が常にCの符号多項式であるような整数sが存在するとき、この符号Cを準巡回符号と呼ぶ。ハミングはハミング符号であることを指している。ハミング符号はハミング不等式を等式で満たす符号であり、ハミング不等式は誤り訂正符号における「符号距離と誤り訂正可能なビット数との関係式」である。参考資料⇒[*174]
1⃣ QuSecure
❶ 衛星を使った耐量子暗号通信を成功させた、と発表した(23年3月9日)[*29]。㊀自社サーバー→スターリンク端末、㊁スターリンク端末→スターリンク衛星、㊂スターリンク衛星→地上局、の全てを量子セキュアに繋いだ。
❷ 耐量子暗号通信に関して、AFWERX(米空軍研究所のイノベーションを促進するプログラム)から中小企業イノベーション研究(SBIR)契約を獲得した(24年1月)[*66]。これは米陸軍(23年、フーズⅡSBIR)、米政府(22年、フェーズⅢSBIR)に続くもの。
❸ すぐに運用可能なPQCプラットフォーム「QuProtect R3」のリリースを発表(25年9月17日)[*237]。QuProtect R3プラットフォームは、3つのモジュール「偵察(reconnaissance)モジュール、レジリエンス・モジュール、報告モジュール」を提供する:偵察モジュールは{最新システム、レガシー・システム、クラウドシステム}全体にわたる脆弱な暗号化を可視化する。レジリエンス・モジュールは最新システムとレガシー・システムの両方に対して、暗号化保護によってネットワークを強化し、暗号化方式を更新するための迅速な対応を可能にする。報告モジュールは、オンデマンドの可視性と制御によってコンプライアンスを効率化するように設計されており、CNSA 2.0やGDPRなどの規格に対応した暗号化部品表(CBOM)をワンクリックで生成できる。
2⃣ Qrypt
❶ 耐量子暗号通信に関して、AFWERX(及び空軍省)からSBIR契約(フェーズⅠ)を獲得した(24年1月)[*67]。
❷ 米空軍省(DAF)のChatOps🐾1データのプライバシーと暗号化に対処するため、Mattermost🐾2セキュアチャットの量子強化に焦点を当てたSBIRフェーズ1に選ばれたと発表(24年7月23日)[*105]。対象は、Mattermostの暗号化強化プラグイン開発。このプラグインは、ワンタイム・パッド(OTP)暗号を使用して、チャット・セッションを暗号化する。
🐾1 チャット・ベースでシステム運用を行う、という(ミニマルな)意味で捉えておく。
🐾2 チャットツールの一つ。使い方が、Slackに似ているらしい。米国空軍、米国宇宙軍、国防総省のPlatform Oneは全て、チャット通信に Mattermostを使用しているらしい。Platform Oneとは、「CI/CD†1 DevSecOps†2パイプラインをホストし、マイクロサービスをホスティングするためのセキュアなKubernetes†3プラットフォームを提供する、最新のクラウド時代のプラットフォーム」らしい。
†1 為念:Continuous Integration/ Continuous Delivery=継続的インテグレーション&継続的デリバリー。
†2 DevSecOpsのキモは、「(最後にセキュリティを組み込むのではなく、)プロセスの全ステップでセキュリティを組み込む」こと。全ステップには、(セキュリティが後回しにされがちな)テスト、デプロイが含まれる。
†3 為念:グーグルが開発した、コンテナの運用管理と自動化を行う、(コンテナ)オーケストレーション・ツール。
3⃣ EntropiQ
量子エントロピー†4・アズ・ア・サービス(QEaaS)の専門プロバイダーとして正式にサービスを開始した(25年4月30日)[*202]。QEaaSプラットフォームのテストとデモンストレーションを実施するために、Equinix†5およびGIS QSP†6と提携した(東京にあるEquinixの量子コンピューティングセンターでデモンストレーションが実施される予定)。
EntropiQは、諜報機関に精通したベテラン経営陣が率いているらしく、米In-Q-Tel(米CIAのベンチャーキャピタル)が投資している。
†4 暗号の文脈におけるエントロピーとは、乱数生成の元(シード)を意味する。量子エントロピーは、量子由来の(理想的な)ランダムネスを提供する、という意味合いを強調している(のであろう)。
†5 言わずと知れた、データセンター事業者最大手。
†6 GIS Quantum Solutions Practice(GIS QSP)は、高度なサイバー・セキュリティと重要インフラ保護のグローバルリーダーらしい。
(5) 欧州における耐量子暗号(通信)
1⃣ Vodafone⊕Sandbox
英ボーダフォンは米SandboxAQと連携し、VPN(仮想プライベートネットワーク)に接続したスマートフォンをテストベッドとして、耐量子暗号通信の実験を行った(23年7月5日)[*43]。具体的には、Webブラウジング、ソーシャルメディアとチャット、ビデオとオーディオ・ストリーミング、モバイルゲームを対象に、ネットワークパフォーマンスのテストとユーザーエクスペリエンスの評価を行った。その結果、サービスの品質には最小限の影響しか与えないという結論に達した。
2⃣ Arqit
❶ 英Arqit、英Ampliphae†1及び伊Athonet†2は、プライベート5Gネットワークに、量子安全セキュリティを提供するプロジェクトが正常に完了したと発表した(24年1月23日)[*65]。プロジェクトは23年12月に終了している。
†1 サイバーセキュリティ・ソリューション・プロバイダー
†2 プライベート・セルラーネットワーク技術プロバイダー。23年2月に、米HPE(ヒューレット・パッカード エンタープライズ)が買収した。
❷ 米ジュニパー・ネットワークス†3のファイアウォールと該社のQuantumCloud™を組み合わせたArqit SKA Platform™を使った、独伊間の量子安全VPN通信のPoC完了を発表した(24年5月)[*94]。QuantumCloud™は、顧客のデバイスにおいて、数量無制限で、耐量子暗号鍵を生成する鍵合意プラットフォーム。SKAはSymmetric Key Agreementの略。テレコムイタリア・スパークル†4と協業、Telsy†5がサポートした。
†3 スイッチ、ルーター等のネットワーク機器ベンダー。シスコ(Cisco)システムズのライバルと言われた時期もあった。24年1月、HPEが約140億ドル(40ドル/株)で買収すると発表。2024年末~2025年初頭に取引完了予定。
†4 元は、伊の通信会社テレコム・イタリアの海底ケーブル部門だった。伊・独・仏等において、インターネット接続サービスを提供するプロバイダー。テレコム・イタリアは、米KKRが固定電話部門を€2.2bilで買収することを承認(23年11月→取引完了は24年夏予定)。KKRはスパークルにも買収提案を行ったが、これは断られたらしい。
†5 サイバーセキュリティを専門とする、テレコム・イタリアのグループ企業。
3⃣ PQC ASTrAL
ESA(欧州宇宙機関)は、衛星通信アプリケーション向け耐量子暗号アルゴリズム・プロジェクトPQC ASTrALを実施している。量子セキュアという意味では(耐量子ではないが)、ESAが主導するIRIS2がEuroQCIの一環として、衛星QKDを担っている。ポーランドのAROBS Polskaは、PQC ASTrALの開発と実装主体として選ばれた(25年3月13日)[*179]。具体的には、暗号IPコア†6をホストするハードウェアとファームウェア、および関連ソフトウェアの開発を担当する。PQC ASTrALのソリューションは、国際セキュリティ標準に準拠するように設計されており、衛星搭載システムと他の宇宙船間のデータ転送を容易にする2つの高速航空宇宙通信プロトコルであるSpaceWire†7とSpaceFibre†8と互換性を持たせる。
†6 暗号におけるIPコアとは、暗号の解読困難性を担保する数学上の問題を指す。例えば格子暗号であれば、LWE(Learning with Errors)問題がIPコアに相当する。
†7 SpaceWireは、宇宙機(衛星)内で、搭載コンポ-ネント間のデータ通信を行うための通信I/Fおよび通信プロトコルの仕様。出所:http://shimafuji.co.jp/spacewire/explanation/spacewire.html
†8 SpaceFibre はESA向けに英STAR-ダンディー社と英ダンディー大学が共同で開発した、宇宙機(衛星)搭載型データリンク・ネットワーク技術。電気ケーブル・光ファイバーケーブルの双方で機能する。SpaceWireの次世代版という位置付けで、より高度なスループット・低質量を実現し、またQoS(Quality of Service)及びFDIR(Fault Detection,Isolation and Recovery)などを含む新しい機能が追加されている。出所:https://www.jepico.co.jp/media/space/a657
宇宙機(衛星)は、軌道上で故障が発生しても人が介入できない。従って、故障を自動的に処置をする耐故障性設計を行う必要がある。この耐故障設計において最も重要なものが、自動で異常を検知(Fault Detect)し、異常の影響が広がらないように分離(Isolate)し、異常状態から回復(Recovery)することである。つまりFDIRである。出所:https://www.sice.jp/ia-j/papers/10IA022.pdf
4⃣ IDEMIA Secure Transactions(IST)
仏IDEMIAグループのISTは、耐量子暗号用に設計された初のハードウェア・アクセラレータを発表した(25年3月18日)[*180]。米国立標準技術研究所(NIST)が定める耐量子セキュリティ標準への準拠を保証するが、Keccakベースなので、デジタル署名向けという理解で良いだろう(Keccakはハッシュ関数)。
5⃣ SEALSQ
❶ スイスのSEALSQは、米NIST標準の耐量子暗号をハードウェアレベルで直接統合した新しいセキュア・チップ「Quantum Shield QS7001」を発表した(25年10月20日)[*256]。正式な発売は、25年11月中旬予定。ML-KEM(←格子暗号)とML-DSA(←格子暗号ベースの耐量子暗号署名アルゴリズム)を統合した。最大10倍の性能向上と、サイドチャネル攻撃に対するセキュリティ強化を実現した、と主張。
❷ 仏Quobly(量子H/Wスタートアップ、モダリティ:シリコン・スピン)との協業を発表(25年11月21日)[*264]。将来の大規模量子システムに、初期設計段階から量子耐性セキュリティをネイティブに組み込む方法を探索することが、協業の目的。発想としては、面白い。
👉 SEALSQは、以下のような、拘束力のない覚書を締結したことを発表(26年1月14日)[*287]:まずは少数株投資を行い、その後、QUOBLYの過半数株を取得する可能性を視野に入れた独占交渉を行う。過半数株式への対価は、US$0.2bil。
❸ SEALSQ及びWISeSat.Space†12は、WISeSat衛星の打ち上げに成功したと発表(25年12月1日)[*273]。この衛星は、WISeSat.SpaceのセキュアIoTおよびサイバー・セキュリティに重点を置いた衛星群を拡張する。当該衛星群は2026年初頭から、耐量子鍵配送と軌道上からの安全なIoTデバイスのオンボーディングを支援することを目指している。
†12 IoTアプリケーションに特化した安全な衛星通信のための宇宙技術を開発する企業らしい。SEALSQの親会社であるWISeKeyインターナショナル・ホールディングの子会社(なので、SEALSQの兄弟会社)。
➍ 米EeroQへの戦略的投資を発表した(25年12月4日)[*274]。通常の場合、戦略的投資という業界用語は、(後の経営権獲得につながる)部分的買収の婉曲表現である。EeroQの量子ビットは、高純度超流動ヘリウムに満たされたシリコンウェハ-中(ヘリウム表面上)の電子スピンを使用する。ヘリウム表面上の電子の垂直運動=電子運動の“リュードベリ状態”を使用している。該社によると、量子ビットのコヒーレンス時間が長く(およそ10 秒)、ゲート操作が高速で、数千量子ビットに迅速にスケーリングできると主張。チップはCMOS型で、標準チップ製造プロセスと互換性がある。
❺ インドにおいて耐量子衛星プロジェクトにおける協業を推進すると発表(26年1月5日)[*282]。また、US$100mil規模のQuantumファンドを通じて、インドの量子スタートアップに戦略的投資を実行する。
6⃣ SECQAI
英SECQAIは、米NIST標準耐量子暗号アルゴリズム†9の高速化を可能とするH/Wデバイス、SE01「Q-Locked」CHERI ISA V9 TPMのテープアウトに成功したと発表(25年11月14日)[*262]。製品名の情報量が多すぎるが、CHERI ISA V9はザックり言うと、メモリ脆弱性に対応する規格である†10。TPM(Trusted Platform Module)は、耐量子暗号鍵の生成と保管+デバイスorシステムの認証、さらにTPM自身の内部整合性を確保する。なおTPMは、商用サーバー、AIインフラ、コンシューマー向けノートパソコン等々に対応する。
†9 FIPS 203、204、205に対応。
†10 CHERI=Capability Hardware Enhanced RISC Instructions。ISA=Instruction-Set Architectures(命令セット・アーキテクチャ)。CHERIプロジェクトは、システム・セキュリティを劇的に向上させるために、米SRIインターナショナルと英ケンブリッジ大学が共同で行ったプロジェクト。2010年以来、米DARPA等の資金で支援され、英Arm等がサポートしている。CHERIは、従来のISAを新しいアーキテクチャ機能で拡張し、きめ細かいメモリ保護を行うことで、メモリ脆弱性に対処する。CやC++など、歴史的にメモリ安全ではない(とされる)プログラミング言語で作成されたコードにも、メモリ安全性をもたらす。出所:https://www.cl.cam.ac.uk/research/security/ctsrd/cheri/
7⃣ Q-FENCE[*269],[*270]
ハイブリッド暗号†11でデジタル・インフラを保護するホライズン・ヨーロッパ・プロジェクト。25年11月1日から28年10月31日まで継続され、予算規模は€5.3mil。欧州各地の学術機関及び産業界から12のパートナーが結集し、アイルランドのサウスイースト工科大学ウォルトン研究所がプロジェクトを主導する。特徴的な点は、エネルギー効率が高いセキュリティ・モデルの確立を目指している点である。また、詐欺やマネーロンダリングをリアルタイムで検知するツールの開発・提供も行う、とする。
†11 現在使われている暗号+量子暗号+耐量子暗号
(6) 中国
1⃣ 耐量子デジタル署名
(潘建偉を含む)中国科学技術大学の研究者たちは、非対話型†1ゼロ知識証明を使用する認証(以下、NIZKP認証)のセキュリティホールを塞いだと主張する論文[*55]を発表した(23年11月2日、arXivには21年11月12日に論文[*56]が投稿されている)。NIZKP認証は、ランダム・オラクルの存在を仮定するが、ランダムオラクルは非現実的な量のランダム性を必要とするため、効率的に実装することはできない。そこで実際には、ランダム・オラクルの代わりに、ハッシュ関数が使用される。
ただ、ハッシュ関数は決定論的関数であり、決定論的関数から真の乱数を生成することは不可能である。つまり、NIZKP認証には、セキュリティホールが存在する。このセキュリティホールを塞ぐ方策として、以下の⓵と⓶を組み合わせたプロトコルを提案した:⓵デバイス非依存量子乱数生成装置。⓶耐量子暗号に基づくアルゴリズムで、デジタルメッセージに署名するタイムスタンプ・サーバー。
†1 非対話型とは、対話の必要がないという意味であるが、"暗号"の文脈では「認証プロセスが1回で完了する」ことを指す。もちろん対話型だと、認証プロセスが複数回必要となる。1回で済むので、脅威にさらされるリスクが低減するし、諸々のコストも削減される。
2⃣ 耐量子暗号の募集
中国暗号標準化技術委員会の取り決めに従い、商用暗号標準協会(ICCS)は、耐量子暗号(PQC)の提案を募集するグローバル プログラムを開始する、と発表した(25年2月5日)[*162]。なお中国では、2018年6月に中国暗号研究協会(CACR)が、PQCを公募している†2。
†2 出典:https://www8.cao.go.jp/cstp/stmain/pdf/20230314thinktank/seikabutsu/shiryou3-1-02.pdf。
Ⅰ-3 QKDに対する諸々の修正アイデア
(1) CV-QKD
デンマーク工科大学の研究者は、長距離CV-QKDを実現したと発表した(論文[*64]は、Science Advancesにて24年1月3日に公開)。従来の長距離CV-QKDは、非常に複雑な方式でしか実証されておらず、加えて、セキュリティ上の抜け穴があったため、応用の可能性が限られていた。[*64]では、100kmのファイバー・チャネル上で、局部発振器を用いた長距離CV-QKD実験を、総損失15.4㏈で報告している。この成果は、キャリア回復のための機械学習フレームワークと変調分散の最適化を通じて、位相雑音に起因する過剰雑音を制御することによって達成された。
[*78]では、位相相関が存在する前提で安全性を確保する、新しいアイデアが提案されている。
(3) Li-FiベースのQKD
ドイツは、QuINSiDa(Quantum-based Infrastructure Networks for Safety-Critical Wireless Data Communication)というプロジェクトを通じて、新しいQKDシステムを実用化しようとしている[*22]。QKDは、送信器及び受信器がサイドチャネル攻撃等に対して、セキュアでないことが問題である。QuINSiDaでは、送信器及び受信器をLiーFiベースとすることで、サイドチャネル攻撃(によって信号が漏れ出ること)から護るという発想である(ちなみに、米Quantum Computingは、送信器・受信器を"認証"する仕組みを取り入れることで、セキュリティホールを塞ぐ意向のようである)。独連邦教育研究省が€2milの資金を提供して、KEEQuant及びFraunhofer IPMS(フォトニック・マイクロシステム研究所)が主導する。プロジェクト期間は22年9月1日~25年8月31日の予定。
(4)☞ Appendix B QKDシステムの抜け穴を塞ぐ方法・補説
(5)☞ Appendix D Terra QuantumによるツインフィールドQKDの改善
👉 上記はザッくり言うと、「鍵生成割合34bps、通信距離1032kmを実現するQKDプロトコル(TQ-QKDプロトコル)の実装に成功した」という内容である(TQとは、もちろん、Terra Quantumを意味している)。Terra Quantum(テラ・クオンタム、以下、テラ)は、距離を1707kmに伸ばしたとする論文[*100]を発表した(24年5月22日)。ただし、鍵生成割合は0.9bps(1079kmだと168bps)。基本セットアップは同じであるが、相違点が2つある。1⃣QKDプロトコルの違いと、2⃣アドバンテージ蒸留の適用である。
1⃣ Quantum-protected Control-based Key Distribution
[*100]でのQKDは、Quantum-protected Control-based Key Distribution(QCKD)🛡1と呼ばれている。QCKDの中心的なアイデアは、「正当なユーザーが光ファイバー回線内のローカル信号漏洩を監視」し、「信号(量子状態)0から漏洩した状態と、信号1から漏洩した状態が、実質的に非直交であることを確認する」というものである。量子力学では、異なる非直交の量子状態を、誤りなく完全に識別することは不可能である。つまり、漏洩した状態が、0なのか1なのかを、"誤りなく完全に"識別することはできない。漏洩する状態の割合を、特定のしきい値以下にすることで、"誤りなく完全に"の但し書き部分が、不要になる🛡2。
2⃣ アドバンテージ蒸留
通信距離が1707kmの場合、ビット誤り率は34.0%に達するという。これ程高いビット誤り率だと、低密度パリティ検査(LDPC)符号に基づく標準的な誤り訂正と、プライバシー増幅🛡3では不十分であるため、アドバンテージ蒸留🛡4を採用している。アドバンテージ蒸留は、プライバシー増幅の前に行われる前処理という位置づけらしい。
アドバンテージ蒸留は、以下のようなステップで実行される🛡5:まず、正当なユーザーは、情報をいくつかのブロックに分割する。正当なユーザーは古典通信を通じて、廃棄ルールを共有する。廃棄ルールに従って、正当なユーザーは、ビット誤り率が高いビットを廃棄する。こうすることで、結果的に、鍵生成割合を高める。
🛡1 量子暗号の文脈では、Quantum Cryptography & Key DistributionやQuantum-Chaotic Key DistributionもQCKDと略される。
🛡2 ホレボー限界によって、盗聴者が取り出せる情報がゼロに近づく。1量子ビットから取り出せる情報量の上限が1ビットであることを、ホレボー限界という。
🛡3 プライバシー増幅(秘匿性増強とも呼ばれる)とは、リコンシル鍵において少数のビットを犠牲にすることにより、犠牲にしたビットに比べて指数関数的に(ビットを)増量して盗聴者に漏洩した情報を削減する手法。リコンシル鍵とは、誤り訂正処理の後、正当なユーザーが持つ、同一の鍵のこと。
出所)https://www.nict.go.jp/publication/shuppan/kihou-journal/kihou-vol51no1.2/03-07.pdf
🛡4 advantage distillation。正式な訳語はないと思われる。
🛡5 基本的なフレームワークは共通しているが、細かい箇所は、多種多様である。
(6) 不完全な単一量子光源を使っても。
0⃣ 改めて事前整理
量子暗号(QKD)の絶対安全性は、暗号鍵のキャリアとして単一光子🛡6(もしくは量子もつれ光子対🛡7)を使用しなければ、担保されない。しかし現実には、単一光子を発生させることは難しい。実際には、代わりに(止むを得ず)弱いコヒーレント光が使用される。なお、通信距離を伸ばすために、信号パルスの中に強度の異なるおとり(デコイ)パルスを、ある確率でランダムに混ぜ込んで送る🛡8。
🛡6 単一光子を使う場合が、BB84プロトコルである。
🛡7 量子もつれ光子対を使う場合が、BBM92プロトコル(あるいはE91プロトコル)である。
🛡8 この通信プロトコルが、デコイBB84である。
1⃣ 概要
イスラエルのエルサレム・ヘブライ大学及び米ロスアラモス国立研究所の研究者は、❶の性能>❷の性能を実験的に実証した論文[*230](以下、本論文)を発表した(論文@PRX Qunatum公開日25年8月21日)。ここで、❶は、”不完全な単一”量子光源を使ったデコイBB84プロトコルである。❷は、標準的なデコイBB84プロトコル ━ つまり、弱いコヒーレント光を使ったデコイBB84プロトコルである(⤴0⃣)。なお、❶のプロトコルは2種類(DTB🛡9とHP🛡10)提案されているが、❷を上回るのはDTBだけなので、HPには触れない。従って、❶=DTBである。
🛡9 Decoy state on a Truncated Fock Basis
🛡10 Heralded Purification
2⃣ 比較結果
性能は、最大安全伝送距離で評価する。ただし「最大許容チャネル損失が大きいと、最大安全伝送距離が長くなる」という関係を使って、実際には、最大許容チャネル損失(MCL)🛡11で性能を評価している。具体的な数値で言うと、❶が❷を、3dB以上上回る。
🛡11 最大暗号鍵生成速度を達成可能である、通信路における最大許容損失(単位:dB)。
3⃣ 不完全な単一量子光源
”不完全な単一”量子光源は、2光子放出までは許す🛡12。ここで重要なことは、(2個までの)放出光子数分布の確率を制御可能な光源を使用する、ということである。具体的には、半導体ナノ結晶量子ドット🛡13をベースとした、高効率かつ高速な「サブ・ポアソン分布🛡14」を持つ量子光源を使用する。
🛡12 2光子以上の放出が増加するにつれて、SKRとMCLは劇的に減少する。弱コヒーレント光では、光子が測定される個数は、ポアソン分布に従う。このため、2光子以上の確率が決してゼロにならない。
🛡13 もっと具体的には、ハイブリッド・ナノ・アンテナとプラズモニック・ナノコーンに結合した巨大コロイド・ナノ結晶量子ドット(gCQD)。
🛡14 光子数のゆらぎを表す分散が、光子数の平均に等しい場合が、ポアソン分布である。平均光子数よりも分散が小さい場合が、サブ・ポアソン分布である。
4⃣ DTBプロトコル・補足
標準的なデコイBB84プロトコルで量子セキュアであることを厳密に保証するには、無限のデコイ状態が必要である。対して、DTBプロトコルでは必要なデコイ状態は2つに過ぎない。DTBプロトコルではアリスは、信号パルスを異なる光子数分布を持つ2つのデコイ状態のいずれかにランダムに置き換えるのみで良い。
5⃣ まとめ
良い”不完全な単一”量子光源が作れるようになったので、デコイBB84プロトコルを上回るプロトコルが設計できた。
(7) その他
1⃣ W状態のもつれ測定
京都大学・広島大学の研究者は、W状態❚補足❚に対する量子もつれ測定方法を開発🐾1し、その実証に成功した(25年9月12日@Science Advances[*233])。測定識別忠実度は、0.871±0.039。具体的には、量子フーリエ変換を利用した測定を行う。原理的には、W状態を100%の効率で検出できる、とする。W状態は巡回対称性🐾2を持つため、離散フーリエ変換(の量子版である量子フーリエ変換)の利用が、make senseする。量子もつれを使ったQKD(BBM92プロトコル)や量子インターネットの実現につながることが期待される。測定型量子計算への影響は、上手くイメージできない(☞🐾3)。
🐾1 (量子トモグラフィーのような個別測定ではなく)一括測定で、多体量子もつれ状態であることを識別する測定方法を開発した、という意味。
🐾2 粒子(量子ビット)の置換(=巡回シフト)に対する対称性。3体のW状態の分子=|100⟩+|010⟩+|001⟩を見れば、イメージできるだろう(なお、分母は√3)。
❚補足[*234]❚
多体の2準位系(多量子ビット系)における量子もつれ状態の例として、GHZ(グリーンバーガー=ホーン=ツァイリンガー)状態が有名である。GHZ状態以外に、「W状態」という量子もつれ状態が存在する🐾3。GHZ状態は、W状態よりも「強い🐾4」量子もつれであるが、"粒子喪失に対する"耐性はW状態の方が高い。例えばW状態では、∀1つの量子ビットを観測しても、残りは多体量子もつれ状態として存続する(GHZ状態では、量子もつれが消滅する)。
🐾3 3体2準位系では、GHZ状態とW状態"のみ"が存在する。4体2準位系では少なくとも、GHZ状態、W状態及びクラスター状態が存在する。クラスター状態は、測定型量子計算に使われる"リソース状態"の一種である。リソース状態であるための必要十分条件は未解明(as of 2025年)のはずであり、W状態が測定型量子計算に使えるかは分からない。
🐾4 部分系の混合度、という尺度で測った場合。
2⃣ 最大規模のGHZ状態
米IBMは、超伝導量子ビット120個からなるGHZ状態の生成に成功した(@arXiv[*260]、25年10月10日)。測定された忠実度は、多粒子エンタングルメントを検証するために必要なしきい値0.5を上回った。
Ⅰ-4 量子安全直接通信(QSDC)
(0) 余談
マッキンゼー・デジタルのQuantum Technology Monitor(2024年4月)[*112]は、量子コミュニケーションのTechnological breakthroughsを、4つ上げている。そのうちの2つは、下記の(1)と(2)である。3つ目は、こちら。4つ目は、「中国とロシアの科学者たちは、これまでで最長の3,800キロメートルを超える量子通信を実証した」というもの(こちら)。個人的には、こちらの方がbreakthroughだと思っている。
(1) 韓国
広く知られている通りQKDは、2チャンネル方式である。送信者・受信者間で共有する暗号鍵は、量子的プロセスにより、安全であることが担保される。暗号鍵の運用には、ワンタイムパッド方式を採用する。送信者と受信者は、相互認証されていると仮定する。暗号文は、通常の通信経路で送信し、通常の方法で復号化する。暗号文の送信に量子力学は無関係である(が、安全性はワンタイムパッド方式が担保する)。QKDに対して、量子的プロセスで暗号文そのものを、量子安全な状態にして、送信する方法を量子安全直接通信(QSDC)という。これは、1チャネル方式となる。QSDCでも、送信者と受信者は、相互認証されていると仮定する。QSDCについては、[*72]などを参照。
韓国LGエレクトロニクスの研究者によると、「QSDCの実装は、単一光子検出器のデッドタイム†によって送信速度が制限されていた」。高性能な、超伝導ナノワイヤ単一光子検出器(SSPDあるいはSNSPD)でも10ナノ秒程度のデッドタイムが存在する。LGの研究者は、従前のQSDC(DL04プロトコル)における単一光子検出器の制限を超えて、プロトコルの伝送効率を向上させた、と発表した(24年1月9日@scientific reports[*73])。LGが開発した新しいプロトコルでは、時間状態と位相状態という2つの光学的自由度を利用して、符号化する。位相状態は、測定効率が低いので、盗聴者検出のみに使用される。時間状態は、量子ビット誤り率の推定とメッセージ送信の 2 つの目的に使用される。DL04プロトコルでは、量子状態は1つだけが使用されていた。
† 暗計数率(誤検出の割合)を抑制するために、アフターパルス(光子検出の文脈におけるノイズは、こう呼ばれる)の検出を回避する。アフターパルス検出回避のために、バイアスを一旦オフにして、一定時間後に再びオンにする。このバイアス・オフ時間を、つまり光子を検出できない時間を「デッドタイム」と呼ぶ。
(2) 中国
香港の珠海学院他[*75]の研究者は、長距離自由空間QSDC(LF-QSDC)プロトコルを提案した(24年2月14日@arXiv[*76])。QSDCの通信距離を伸ばすには、自由空間(≒大気)での通信が必要との認識下、自由空間通信に適応したプロトコルを提案している。LF-QSDCは、量子メモリー不要のDL04プロトコルに基づいている。LF-QSDCの特徴は、以下の3つに集約できるだろう:㊀低密度パリティ・チェック(LDPC)方式の量子誤り訂正符号を使用。㊁ビームのふらつきや大気の乱流などの課題に対処し、正確な位置合わせと安定化を保証するPAT(Pointing, Acquisition, and Tracking)技術の使用。㊂大気擾乱を緩和することを目的とした大気量子補正アルゴリズムの使用。
なお、Web3.0との融合を指向していると盛んに強調している。Web3.0時代の標準プルトコルを狙っているということだろうか。
Ⅰ-5 その他
(1) 令和6年9月25日、G7サイバー・エキスパート・グループ(Cyber Expert Group)は「量子コンピュータの登場に伴う機会とリスクに備えた計画に関するG7サイバー・エキスパート・グループによるステートメント」を公表した[*126]。量子技術リスクを軽減するための計画を策定すること等を推奨している[*127]。
(2) 米ノースウェスタン大学他†1は、高出力Cバンドの古典通信路(光ファイバー)を使った量子テレポーテーションを実証した、と主張する論文[*146]を発表した(@Optica、24年12月20日)。
❚背景❚
量子信号と古典信号は、波長分割多重化によって1つの光ファイバーを簡単に共有できる。問題は、高出力・古典光の非弾性散乱によるノイズ光子が、多くの場合、量子信号の検出を不明瞭にする可能性があることである。ノイズ光子の潜在的な発生源のうち、自発ラマン散乱(SpRS)†2は広帯域スペクトルのため最も支配的である。
❚成果❚
SpRSの影響を軽減し、高出力でも、高忠実度の量子テレポーテーションを実現した。高出力とは、(Cバンドの)送信電力が18.7dBm(74mW)であることを指している。高忠実度とは、平均忠実度90.8±0.8%を指している(古典限界2/3を超えている)。伝送距離は30.2kmで、伝送速度は400Gbps。
❚SpRSの影響を軽減する工夫❚
㊀ 量子光は、1290ナノ・メートル(Oバンド)の最適な量子チャネルに割り当てる。㊁ 狭帯域のスペクトル時間フィルタリングを使用して、相関のないSpRS光子の検出を拒否する。㊂ 自発的パラメトリック下方変換(SPDC)を使用して、強い時間相関を持つ光子ペアを生成し、4つの光子の同時検出によってノイズをさらに排除する。
❚量子テレポーテーション❚
「単一光子」及び「ベル状態光子対(ベルペア)」に対するベル状態測定介して実行された。単一光子は、偏光符号化された量子ビットを運ぶ"伝令付き†3"光子。単一光子とベルペアはそれぞれ、15.1kmの光ファイバーに伝送される。古典光は、30.2km全体に伝送される。
†1 米Ciena Corporation(自称→光伝送とルーティングのシステム、サービス、自動化ソフトウェアを提供するグローバルリーダー企業)、米NuCrypt(自称→もつれ光子の生成、伝送、測定が可能な量子光計測器の唯一の完全な製品ラインを販売している)。
†2 ファイバー内を伝搬する古典光(ポンプ光)は、ファーバーに衝突し、ファイバー分子あるいはファイバー原子に吸収される。光子を吸収し、高いエネルギー水準に励起さ(せら)れた分子あるいは原子は、エネルギーを光子として、"任意の方向に"放出する。これは、自発ラマン散乱(自然ラマン散乱あるいはストークス散乱)と呼ばれる。
†3 伝令付き(あるいは、条件付き。英語ではheralded)光子とは、ペアの1つが、他方(herald光子)の検出によって、その存在が分かる光子。量子テレポーテーションの文脈における「伝令」とは、テレポーテーションが成功したことを伝える、ことを意味する。
(3) ロシアによるQKD評価
ロシアはデコイBB84プロトコルを対象に、脆弱性をあぶり出した上で、その対応策を提示した論文を発表(24年10月12日)[*134]。結論としては、「脆弱性は全て回避した」であるが、そう単純でもない。詳細は、こちら。
(4) トルコの通信事業者Turkcell
1⃣ トルコの大手テクノロジー企業兼モバイル通信事業者TurkcellとID Quantique🐾1は、イスタンブールの光ファイバー・リンクを介した、世界初の大陸間QKDを成功裏に完了した、と発表(25年2月26日)[*164]。
🐾1 25年2月、米IonQ(トラップイオンH/W)による買収観測が流れた:⇒IonQがID Quantiqueの支配株を取得する最終合意に達したと発表(2月26日)[*165]➡5月6日、買収完了[*203]。(2018年韓国SKテレコムが買収したが、独立性を保つため、EU法人をID Quantique Europeとして分離(21年)、Nutshell Quantum-Safeと改名。2024年にID Quantiqueによって買い戻されていた)。
2⃣ ID Quantique及び米ジュニパー・ネットワークスと連携し、モバイル・バックホール🐾2・ネットワークを量子脅威から保護する概念実証を成功裏に完了したと発表(25年6月26日)[*218]。
🐾2 コアネットワーク(通信事業者のネットワークセンター)と基地局を結ぶ回線を、バックホール・ネットワークと呼ぶ。
米大手商業銀行JPモルガンチェース他🧼1は、「商用量子コンピューターを使用して、Certified Randomness(保証されたランダム性🧼2)を生成することに成功した」と発表した(25年3月26日@nature[*183])。Certified Randomnessを得るプロトコルを、Certified Randomnessプロトコル(以下、CRP)と呼ぶ。論文発表と併せて、JPモルガンチェースとクオンティニュアムが、それぞれブログを投稿している。JPモルガンチェースのブログ[*184]が分かり易い(ので、[*184]を参考に整理した)。
決定論的システムである古典コンピューターは、真のランダム性を作成することはできない。その結果、予測不可能な物理的ソース🧼3に由来するランダム性を出力する特殊なハードウェアに依存せざるをえなかった。そのような特殊ハードウェアに依存せざるを得ない状況の大きな課題は、「本当にランダムか?をテストする方法が存在しない」ことである。この課題は、信用できない相手との間で、ランダム性を使用するケースに、深刻な問題となる。当該ケースの代表例は、暗号通信であろう。
先のケースにおける先の課題は、ランダム性が、以下3つの条件を満たすことで解決される:
㊀ ランダム性が・・・検証可能な信頼できるソースから取得される。
㊁ ランダム性が・・・数学によって、厳密に証明される。
㊂ ランダム性が・・・悪意のある敵対者によって操作された可能性はない。
上記㊀~㊂を満たすランダム性を、Certified Randomnessと呼ぶ(らしい)🧼4。具体的に述べると、CRPでは、ランダム量子回路サンプリング🧼5(プログラム)を『コンピューター』に実行させ、その出力のランダム性を検証する。クオンティニュアムのH2量子コンピュータ(56量子ビット)は、RCSを約2秒で解いた。一方、スパコン🧼6は約100秒かかる。そこで、H2に2.5秒以内にRCSの出力を送信するように要求した。この時間内に送信が行われなければ、『コンピューター』が古典コンピューターであることがわかる。もちろん、2.5秒以内にデタラ目な出力を送信することもできるが、「RCSの出力値は、RCS固有の出力である」ため、デタラ目な出力は弾くことができる。これは、数学的に証明されている🧼7,🧼8。
CRPは微妙である。量子コンピューターと古典コンピューターの差が2秒と100秒で、その違いを利用するというのは、残念な感じが拭えない🧼9。ただ、その"わずかな"時間差を活用すれば、「量子コンピューターが悪意のある敵対者によって操作された」としても、出来ることは何もない、ということになる(のであろう)。
🧼1 米アルゴンヌ国立研究所、米オークリッジ国立研究所、米テキサス大学オースティン校、米クオンティニュアム(H/Wスタートアップ:トラップイオン)。
🧼2 正式な訳語は、おそらくない。
🧼3 マウスの動き、温度の変動、ラバランプの動き、宇宙線(ミューオン?)の検出など。
🧼4 Scott AaronsonとShih-Han Hung(ともに米テキサス大学オースティン校)が、2023年に発表した論文(https://dl.acm.org/doi/pdf/10.1145/3564246.3585145)で、提示した。
🧼5 ランダム量子回路サンプリング(RCS)は、物議を醸した量子超越(2019年、グーグル)に使われたプログラムである。当時、RCSに商業的価値はないと言われたが、晴れて、商業的価値が付与された。
🧼6 正確には、オークリッジ国立研究所でホストされているフロンティアを含む、4台のスパコンを使った。フロンティアは、世界初のエクサ級スパコンである。なお、(24年11月発表の)最新スパコン・ランキングでは、フロンティアは2位。1位はエル・キャピタン(米ローレンス・リバモア国立研究所が運営)。
🧼7 次のことが証明されている:送信相手のコンピューターから返送された数値が送信したRCSの出力であることを検証することが、数学的に可能である。
🧼8 RCSに固有の数値を出力する(RCSと出力に相関がある)ということは、RCSを解析すれば、この仕組みを(理屈上)欺けることになるが、それにも十分長い時間を要することも数学的に証明されているのだろう。
🧼9 スパコンに、NVIDIAの最新GPU「Blackwell」を多数並列接続させると、ゼタFLOPSが可能である。オラクルは2024年(すでに過去!)、ゼタ級クラウド・コンピューティングを発表しており、最大2.4ゼタFLOPSの性能がある。(カタログ値に基づく)机上の計算であるが、エクサ級4台であっても2.4ゼタFLOPSは、約600倍速いことになる。つまり、古典コンピューターは、1/6秒で解けるという結論になる。
2⃣ 豪Quantum Brilliance(QB)、独CyberSeQ、LuxProvide(ルクセンブルク)
QBを含む3社は、耐量子暗号(PQC)に準拠した量子セキュア暗号化手法に関する協業に関する基本合意書を発表した(25年10月1日)[*252]。QBの量子プロセッサ(モダリティ:ダイヤモンドNVセンター)を使ってCertified Randomnessを生成する。CyberSeQが、LuxProvideが運用するMeluXinaスパコンを使って、PQCの評価を行う。
CyberSeQは、AIと量子コンピューティングを活用したサイバーセキュリティ・ソリューション・プロバイダー。主力製品Infralyticsは、クラウド・インフラストラクチャ向けのリアルタイム脅威検知、リスク評価、コンプライアンス監視を提供する。
(6) マルチパーティ・コンピューティング
1⃣ Partisia†1(デンマーク)、Squareroot8 Technologies†2(シンガポール)及びNuSpace†3(シンガポール)は、「衛星を用いた秘匿マルチパーティ・コンピューティング(MPC)を実行するための、量子耐性ソリューションを提供することを目指して」、基本合意書を締結したことを発表(25年4月14日)[*196]。MPCは、秘密計算の一種で、複数のサーバーに分散させた暗号化データを暗号化したまま計算する、という計算手法である。Partisiaの取り組みは、本物データと事前処理不要の「偽データ」を混ぜることによって、事前処理に要する時間を削減するところに特徴がある。
MPCは、日本も強みを持っている分野と思われる。代表的なプレイヤーとして、NECやNTT、産総研発スタートアップのゼムテック、(三井物産が担いでいる?)EAGLYSなどがある。
†1 秘匿マルチパーティ計算とブロックチェーン技術を融合した商用アプリケーションにおけるパイオニアらしい(https://exp.ceatec.com/related/ceatecnews2023_vol52/)。
†2 情報セキュリティ向けの量子通信製品とサービスを開発・提供する企業。具体的には、量子乱数生成器、QKD関連商品を開発・提供している。社名は、CHSH型ベルテストの量子限界が√8であることに由来している。シンガポール国立大学量子技術センターのスピンオフ・スタートアップ。
†3 2018年に設立されたNuSpaceは、(アジア太平洋地域における)小型衛星サービス・プロバイダーである。具体的には、Satellite-As-A-Service(SatAAS)と衛星ベースのIoT接続サービスを提供している。
2⃣ PartisiaとSquareroot8は、共同開発した耐量子セキュリティ製品「FracQtion」の発売を発表(25年9月29日)[*246]。
(7) プロジェクト・イレブン
1⃣ ショアのアルゴリズムを使って楕円曲線暗号を最初に解読したチームに懸賞金1ビットコインを提供すると発表した[*197]。期間は2025年4月16日~2026年4月5日。古典ハイブリッド等は、ご法度。量子100%で解読することが求められている。正体は良く分からない。暗号学、量子コンピューティング、ビットコイン各分野の専門家による有志連合のようなものだろうか?
2⃣ シードラウンドで、US$6milを調達したことを発表(25年6月18日)[*215]。ビットコインの所有権を証明する、世界初の耐量子暗号yellowpagesを提供しているらしい。yellowpagesは、無料で使えるらしい。
3⃣ シリーズAで、US$20milを調達したことを発表(26年1月14日)[*286]。
(8) Naorisプロトコル
Naorisプロトコルという組織(2017年設立)は、耐量子ブロックチェーン・イニシアチブというパイロット・プロジェクトを実行しているらしい。そして、組織と同名のNaorisプロトコルは、ブロックチェーンを耐量子暗号で保護するプラットフォーム(インフラストラクチャ)らしい。従来のブロックチェーン・レイヤー(L0、L1、L2)の下位レイヤーであるサブ・ゼロレイヤーで動作するところに特徴があるらしい。Naorisプロトコルにおける耐量子暗号は、NIST(米国立標準技術研究所)標準に準拠した耐量子暗号に加えて、ETSI(欧州電気通信標準化機構)標準に準拠した耐量子暗号を含む。
米国証券取引委員会(SEC)暗号資産タスクフォース宛てに、独立系アナリストが作成したとされる報告書「耐量子金融インフラ・フレームワーク(PQFIF)」[*251]に、Naorisプロトコルは、BTQ Technologiesとともに、取り上げられている。
(9) 01 Quantum
1⃣ 加スタートアップ01 Quantumは、耐量子セキュリティシステムQuantum DeFi Wrapperの米国特許出願を発表した(25年12月2日)[*272]。Quantum DeFi Wrapperは、既存のブロックチェーン基盤を変更することなく、分散型金融(DFI)事業とカストディアン・ウォレット🐾1を保護するよう設計されている。スマート・コントラクト🐾2内に耐量子暗号「サーキット・ブレーカー」を使用し、耐量子認証が満たされない場合にアクティビティを停止することで不正アクセスを防止する。
🐾1 暗号資産取引所などの第三者(カストディアン)がユーザーの秘密鍵を保管・管理するウォレット(財布→保管場所)を指す。
🐾2 暗号資産の文脈におけるスマート・コントラクトとは、事前指定された規則に従い、ブロックチェーン上で自動的に動作するプログラムを指す。
2⃣ 加のグリーン・エネルギー・プロバイダーBullfrog Powerの環境トークンに耐量子署名技術を提供することを発表(25年12月9日)[*277]。Bullfrogの環境トークン環境は、「企業の環境影響に関する長期的なトレーサビリティと強化された報告機能を提供する独自のデジタル記録」と説明されている。25年12月3日に、パイロットプログラムの開始が発表された[*278]。量子脅威から環境データを保護する取り組み、と説明されている。
3⃣ 日立ソリューションズ・クリエイトが、01 Quantumの耐量子暗号を組み込んだリモートアクセス・システム「DoMobile Ver.5」の提供を開始した(26年1月15日)[*288]。
Ⅱ 個別整理
【0】日本
H/W同様、スタートアップのプレゼンスはない。耐量子暗号については、日本はもともと、米NISTの耐量子暗号標準化に参加していない("新しい"耐量子デジタル署名方式標準化には参加。こちらを参照)。そのため、4回目の選考結果(22年7月)において、CRYSTALS-KYBERが選定されたことは影響しない。
2010年から情報通信研究機構(NICT)が、東京100km圏内で「Tokyo QKD Network」という量子暗号通信のテストベッドを長期運用している。参加機関は、国内がNEC、三菱電機、NTT。海外が、東芝欧州研(英)、ID Quantique(スイス)、ウィーン大学(墺)。また、東芝と東北大学東北メディカル・メガバンク機構などは20年に、大容量のゲノム解析データを7km離れた拠点に量子暗号通信を使ってリアルタイムに伝送する実証を実施している。
(0) 総務省及びNICT(国立研究開発法人情報通信研究機構)
1⃣ 「総務省が2025年にも、量子暗号通信の実用化支援を始める」と新聞報道された(24年10月8日)。総務省の文書であれば、「令和6年度事前事業評価書(令和6年8月)」[*129]がある。あくまで、BB84に拘るのだろうか?
2⃣ 異なる2つのQKD信号(⤵㊀)を、IOWNのオール光ネットワーク向けのシステム環境で多重伝送(⤵㊁)し、鍵生成(⤵㊂)を行う実証実験に成功した(25年7月28日)[*225]。
㊀ QKD方式として、東芝がBB84方式を、NECがCV方式を採用した。
㊁ 同一のファイバにおいて、CバンドおよびLバンドの波長帯全域に光出力+17dBmで、伝送速度47.2Tbpsに相当するダミーのデータ通信用光信号とQKD信号を多重化し、それぞれの信号の波長が干渉し合わないように波長を割り当てる制御をして、25kmの伝送を行った。
㊂ ㊁の条件下で、8時間連続で2つの異なるQKD方式(⤴㊀)による同時鍵生成に成功した。
(1) 東芝
1⃣ 量子暗号では、東芝が海外でも、一定のプレゼンスを示している。東芝のプロトコルは、現行世代の標準形式である、デコイBB84方式[*4]。なお、BB84という名称の由来は、以下の通り:IBMのチャールズ・ベネットと加モントリオール大学のジル・ブラッサールが、1984年に世界で初めてQKDプロトコルを発表した。そのプロトコルを、極めてシンプルにBB84と名付けた。ベネットとブラッサールは(D.ドイチェ、P.ショアと共に)、2022年の基礎物理学部門ブレークスルー賞を受賞した。
東芝は、独自の量子暗号鍵配信プロトコルであるツインフィールドQKD[*5]に加え、「補正用の参照信号を乗せた光信号で量子暗号鍵を乗せた光子の減衰を補償する」ことで、量子暗号通信の距離を600km以上に伸ばしている[*6]。
2⃣ 東芝(ヨーロッパ)と仏の通信事業者オレンジは共同で、「高いセキュア・ビット・レート(SBR)で、古典信号と量子信号が共存しながら、最大 70kmの距離で暗号鍵を配信できることを実証した」と発表した(23年6月6日)[*38]。量子チャネルはOバンド(1310nm)、(古典チャネルである、高密度波長分割多重(DWDM))データチャネルはCバンド、というところがポイント。量子チャネルはOバンド(もしくはTバンド)、DWDMデータチャネルはC若しくはLバンドで多重化することが、理想的とされている。
3⃣ ソフトバンクと東芝デジタルソリューションズは、QKDと光無線通信との統合を実証することに成功したと発表した(24年3月19日)[*87]。
4⃣ 東芝(ヨーロッパ)とSingle Quantum†は、QKDの長距離展開テストと検証を行い、伝送距離を最大300km以上まで延長した、と発表した(24年4月22日)[*88]。TF-QKDではないということか?
† Single Quantumは、2012年にオランダのデルフトで設立された。超伝導ナノワイヤ単一光子検出器を欧州で最初に開発・商品化した。
5⃣ 仏QuantonationのファンドQuantonation Ⅱに出資すると発表した(24年7月26日)[*107]。「量子コンピュータ、量子センサー、量子暗号通信装置などの主要技術領域におけるスタートアップ企業との連携や業界の最新情報を得るとともに、協業機会の創出や当社の量子関連事業拡大につなげていく」とする。
6⃣ KDDI総合研究所と東芝デジタルソリューションズは、「QKDの暗号鍵をCバンドに、大容量データ信号をOバンドに割り当て、1心の光ファイバーで多重伝送する技術を開発した」と発表(25年3月26日)[*185]。定量的に言うと、暗号鍵と33.4Tbpsのデータ信号を、80km伝送することに成功した。
7⃣ ツイン・フィールドQKDで「鍵生成速度110bps、量子暗号通信距離254km」を実現した、と発表した(論文[*198]@nature発表は25年4月23日)。ツイン・フィールドQKDなのでプロトコルは、BB84。特殊なハードウェアを使用することなく実現した。また、最大規模のMDI-QKDを実現した、とも主張している。ちなみに、スイス・テラクォンタムは、(特殊なハードウェアを使用して)「鍵生成速度34bps、量子暗号通信距離1032km」を、23年6月に達成している(☞Appendix D)。
(2) NEC(日本電気)
1⃣ NECは、学習院大学と協働で次世代型のCV-QKDを研究している。CV-QKDの(無条件)安全性は、2021年に東京大学が証明したようだ[*10]。NECは、秘密計算の取り組みも進めている。例:三菱重工業と共同で取り組むセキュアなログ分析システムの研究。
2⃣ 米Quantinuum及び三井物産(=Quantinuumの代理店)と共同で、量子トークンの発行と償還を実行する実証実験に成功した(24年11月18日発表[*143])。NECが提供する(CV-)QKDシステムと、10kmの光ファイバーを利用して行われた。
(3) 金融
野村證券、NICT、東芝、NECは共同で、金融分野における量子暗号通信の適用可能性について、国内で初めての検証を実施した。その結果、①量子暗号通信を適用しても従来のシステムと比較して遜色のない通信速度が維持できること、②大量の株式取引が発生しても暗号鍵を枯渇させることなく高秘匿・高速暗号通信が実現できること、が確認できたと発表した(22年1月)[*7]。
(4) 単一量子光源/単一光子検出器、量子インターネット、衛星QKD
1⃣ 単一量子光源/単一光子検出器
━単一量子光源|カーボンナノチューブ━
❹ 理研・筑波大・東大・慶大は、カーボンナノチューブとセレン化タングステン(遷移金属ダイカルコゲナイドの一種)を使用して、量子光源を作成した(24年4月10日)[*89]。室温・通信波長帯で、単一光子を発生する。
❼ 京大は、2セレン化タングステンを使用した単一量子光源(参考⤴➍)において、単一光子発生効率を上げることに成功した(25年6月12日)[*214]。1テスラ以下の比較的弱い磁場を印加することで、発生効率を上げることが可能であることを示した。
❽ 理研は、カーボンナノチューブを使った単一量子光源の製造技術において、大幅な進歩があったと発表(25年8月28日)[*228]。今後、単一光子放出の純度向上が期待できる。
━単一量子光源|その他━
❶ 東京工業大学は、ダイヤモンド中のスズー空孔(SnV)中心から、「同⼀な光子(光子が、同じ発光波長、発光線幅、偏光を有する状態)」を生成することに成功した、と発表した(23年2月24日)[*25]。SnV中心は、SiやGeを用いた量子光源よりも、高温で量子状態を保存する特性に優れる、とする。
💡アップデート💡 東工大は、鉛-空孔(PbV)中心で、発光線幅の物理限界である「自然幅」に近い発光を得ることに成功した、と発表した(24年2月16日)[*69]。
❷ 東京理科大学・沖縄科学技術大学院大学は、イッテルビウム・イオン(Yb3+イオン)添加した光ファイバ材料を使用する単一光子光源を発明し『室温』において、単一光子を直接発生させられることを実験的に示した(23年11月2日)[*52]。
💡アップデート💡 より効率的な伝送を可能にした、と発表(プレスリリース[*254]、25年10月16日)。上記結果は、生成した単一光子を1度光ファイバーの外部に取り出し、再度光ファイバーに接続して導波させる必要があった。今回の研究では、光子を光ファイバーの外部に取り出す必要がない。
❺ ホンダ・リサーチ・インスティチュートUSA(及び米モンタナ州立大学、コロンビア大学)は、単一原子層のナノリボンを使った量子光源を作成した(25年1月28日)[*157]。ナノリボンは、2硫化モリブデンや2セレン化タングステンなどの材料から作成した。どちらも、遷移金属ダイカルコゲナイドである。単一光子純度は、論文[*158]ではおよそ90%となっている。プレスリリース[*157]によると、「その後の共同研究で、95%以上に向上させることができた(論文[*158]は24年11月21日公開)」。量子暗号では複数光子の生成頻度によって安全に通信可能な通信路損失の上限値が決まるため、光源からいかに高純度の単一光子を生成できるかが鍵となる[*159]。ただし、[*159]を読む限り、95%であっても、称賛するような数値ではないようである。
❻ 大阪大学及び豊田中央研究所は、絶縁膜/炭化ケイ素(SiC)界面発光中心のエネルギー準位を解明することに成功した、と発表(25年2月28日)[*170]。固体中の発光中心は、単一量子光源として機能する。絶縁膜/SiC界面発光中心は、ダイヤモンドNV中心よりも強い発光を示す。
━単一光子検出器━
❸ 情報通信研究機構(NICT)は、新しい超伝導ナノワイヤ単一光子検出器(SNSPD)を開発した、と発表した(23年10月)[*53]。超伝導ワイドストリップ光子検出器(SWSPD)と呼称している。SNSPDと比べると、ナノ加工技術不要(つまり低コストで)、偏光依存性無し(つまり、安い光ファイバーと接続できる)。通信波長帯(1,550nm)における検出効率は78%で、SNSPD(81%)にやや劣る。タイミングジッタは28ピコ秒で、SNSPD(68ピコ秒)よりも優れる。なお、NICTは、超伝導ナノワイヤ単一光子検出器を、超伝導ナノストリップ光子検出器と呼んでいる。略称は、SNSPDで同じ。また、SNSPDはSSPD(Superconducting Single Photon Detector)とも略される(ので、やや煩わしい)。
2⃣ 量子インターネット
❶ 横浜国立大学は、量子中継器用光源ー量子メモリ間の長距離(10km)伝送に成功した、と発表した(23年2月28日)[*26]。㊀光共振器を用いた"通信波長"量子光源、㊁周波数多重を可能にする、レアアース・ベースの量子メモリ、㊂通信波長ー量子メモリ波長間の波長変換及び遷移周波数を常時安定化するシステム、を開発したことで達成した。量子インターネットにつながる重要なマイルストーンである。
❷ 横浜国立大学は、量子インターネット上でのアプリケーション実装に適した2量子間もつれ生成の効率的手法を開発した、と発表(報道解禁は、24年11月15日19時)[*144]。具体的には、位相制御の難易度を軽減した、1光子干渉による量子もつれ†1を用いた量子中継の手法を開発した。多重化技術がカギとなった。
†1 単一光子のみを共有する量子もつれ。
❸ 東北大学・情報通信研究機構(NICT)は、低損失かつ偏光無依存の量子もつれ光子ルーターを開発した、と発表(プレスリリース[*240]25年9月24日、論文[*241]発表は9月3日)。開発されたルーターを使って、量子もつれ光子のルーティングを実証した。具体的には、2光子NOON状態†4のルーティングにおいて、NOON状態が維持されていることを確認した。明瞭度†5は97%であった。量子インターネットにもルーターは必要。
†4 2光子NOON状態は、光路A(に光子が存在する状態)と光路B(に光子が存在する状態)の量子もつれ状態。多光子NOON状態を考えることができる。参考:
†5 光量子通信の文脈で明瞭度と言えば、通常は、光子の区別不可能性を評価する指標が該当する。ただし本研究における明瞭度は、単純に、光学干渉計の性能指標である(明瞭度97%は、干渉計の性能が良いことを示している)。開発されたルーターは、電気光学スイッチと光学干渉計で構成されている。
➍ 横浜国立大学・ソニー・(横国大発スタートアップ)LQUOMは、高い周波数分解能を有する、単一光子シングルショット分光システムを開発したと発表(プレスリリース25年9月25日、論文@Optics Express[*245]発表2025年9月18日)。周波数多重量子中継の実現に向けた一歩。
3⃣ 衛星QKD
情報通信研究機構、東京大学他は、「低軌道衛星ー地上局間での(量子)暗号鍵共有技術の検証に成功した」と発表した[*33](23年3月)→実施したことは、「地上間」での光伝送模擬の実証。低軌道衛星と地上局で想定される伝送条件よりも厳しい伝送損失において、10Gクロックの微弱光信号パケットの受信が確認できた、とする→弱コヒーレント光ベースのQKD(BB84)。エンタングルド光子を使った衛星QKD(BBM92)は、EU×カナダのHyperSpaceプロジェクト及びシンガポールのSpeQtral(コラボ多数)が取り組みを進めている。
👉続報 低軌道上の国際宇宙ステーション(ISS)と地上局との間で、光通信を行った。1回の上空通過で100万ビット以上の秘密鍵を生成できた、とする[*84]。→BB84プロトコルであれば、「原理的に無条件安全性を実現することができない」†2。
†2 例えば、https://www.tamagawa.jp/research/quantum/journal/pdf/2012_01-20130326-01.pdf
4⃣ 量子インターコネクト
三菱電機株式会社は、米クオンティニュアム(トラップイオンH/W)、慶應義塾大学、ソフトバンク株式会社、三井物産株式会社、横浜国立大学、LQUOM†3と7者共同で、量子インターコネクトの共同研究契約を締結した、と発表(25年2月27日)[*166]。インターコネクトの射程は、同一サイト内及び都市間。量子インターコネクトについては、こちらを参照。
†3 横浜国立大学発スタートアップ。量子中継器の開発に必要な全ての要素技術を保有している、と主張。https://lquom.com/
(5) その他
1⃣ 量子コードの難読化
NTTは、疑似確定的量子回路という量子回路のクラスに対して、暗号学的に安全なプログラム難読化手法を初めて実現した、と発表した[*39](23年6月20日、arXivへの論文[*40]投稿は4月20日)。この量子回路は、BQP問題(※)の内、答えがyesかnoのどちらかに決まる問題を解くことができるらしい(従って、物理系のシミュレーションは含まれない(はず))。平たく言うと(古典コードと同様に、)リバース・エンジニアリング等で解読されない「難読化」が、”実用的”な量子計算コードでも、可能であることが証明された。
ただし、量子コンピュータでも、誤差付き多元連立一次方程式は効率的に解けないこと(LWE問題の困難性)を仮定している。この仮定は、格子暗号が耐量子であることの理論的前提でもあり、妥当な仮定と考えられる。また、古典回路に対する耐量子仮想ブラックボックス(VBB)難読化の量子困難性も仮定しているが、LWE(問題の困難性)を前提とすれば、耐量子VBB難読化は自然に導かれると思われる(少なくとも、独立した仮定ではないと思われる)。
※BQP問題は、古典コンピュータでは指数時間を要するが、量子コンピュータなら多項式時間で解ける問題。
2⃣ 完全準同型暗号(FHE:Fully Homomorphic Encryption)
秘密計算ソフトウェアData Armorを開発・提供している日本企業EAGLYSは、米Quantinuumの暗号鍵生成サービスQuantum Originを使って、Data Armorを量子セキュアにしたと発表した(23年12月13日)[*58]。Data Armorは、格子暗号ベースの(LWEの解読困難性を前提として、安全性が保証された)FHEを使った秘密計算を実行できる。秘密計算とは、暗号化したデータを復号することなく、そのまま実行する計算を指す。FHEを使うと、任意の計算(加減乗除)が可能となる(準同型暗号では、加算のみあるいは乗算のみ可能、という制限が課される)[*59]。Quantum Originは、Quantinuumのイオントラップ型量子コンピュータを使用して「真に予測不可能な」量子強化型秘密鍵を生成するサービスである。
EAGLYSは三井物産とパートナーであり、三井物産は米Quantinuumの日本代理店である。
❚参考❚ FHEは、演算処理に要する時間が長い。そこでアクセラレーターの出番となる。FHEアクセラレーターの米Niobium Microsystemsは、シード資金でUS$5.5milを調達したと発表(24年5月7日)[*109]。Niobiumのチップは、標準的なCPUと比較してFHEを1,000~5,000倍高速化するという[*110]。
👉 US$23milを調達したとの報道あり(25年12月3日)[*271]。
3⃣ ICカード
TOPPANデジタル、情報通信研究機構及び加ISARAは、耐量子暗号署名アルゴリズムと現行暗号署名アルゴリズムの両方に対応可能なICカードシステム「SecureBridge™」を開発したと発表(24年10月7日)[*130]。耐量子暗号署名アルゴリズムは、格子暗号ベースのML-DSA(Module-Lattice-Based Digital Signature Algorithm)。現行暗号署名アルゴリズムは、ECC(楕円曲線暗号)ベースのECDSA(Elliptic Curve Digital Signature Algorithm)。加ISARAは、(キーボード付きスマホのブラックベリーを開発していた)RIMのセキュリティ部門幹部が設立した企業。
4⃣ 量子セキュアに量子計算機を接続
量子セキュア・クラウドに量子コンピューターを接続した、と発表(25年3月13日)[*176]。量子セキュア・クラウドは、NICTの東京QKDネットワーク上に構築されている。量子コンピューターは、理研が中心となって開発した国産機(モダリティ:超伝導)。
5⃣ 情報通信研究機構は、単一光子間の和周波発生を用いた量子もつれ交換に成功した、と発表(25年10月8日)[*250]。DI-QKDの実現に繋がる成果。「高速量子もつれ光源、低ノイズ超伝導単一光子検出器、高効率非線形光学結晶」の合わせ技で実現させた。
6⃣ NTTリサーチ・米コーネル大学・米スタンフォード大学は、単一チップ上で複数の『非線形』光学機能を切り替えることができる世界初の「プログラマブル『非線形』フォトニック導波路」を開発したと発表(@nature[*253]、25年10月8日)。同一デバイスでありながら、異なる光パターンにより異なる『非線形』光学機能が利用可能になる。電界誘起非線形性を利用してプログラム可能な『非線形』性を実現した。量子の文脈では、量子もつれ状態にある光子の波長を調整できる量子光源に応用できる。波長調整できれば、量子ネットワークにおける波長分割多重化が可能になり、通信速度が向上する。
【1】米国
H/W、S/Wとは様相が異なる。国が前面に出てくるし、パートナーとして国立研究所が頻出する。資金調達も投資家からは少なく、公金が多い印象。そもそもの買収を阻止するため、IPOが想定されていないと思われる。なお、耐量子暗号に携わる企業、量子暗号に携わる企業が、明確に分かれている。
(1)QKDプロジェクト
●米国のQKDプロジェクト1・・・2005年には、DARPAの支援を受けたプロジェクトが、世界初の都市圏QKDネットワークをボストン地区に構築している。鍵生成割合†1は約10 kmの敷設ファイバー上で、1kbps程度であった。
●米国のQKDプロジェクト3・・・2018年、Quantum Xchange社の金融向け耐量子ネットワークで、東芝の量子暗号通信を実験した。通信距離は32km(ニューヨーク州-ニュージャージー州間)。1本の光ファイバーで、量子鍵配送とデータ通信の両方を実現した。
●米国のQKDプロジェクト4・・・2022年2月には、量子保護ブロックチェーン・アプリケーションの実証実験が行われた。参加者は、JPモルガン・チェース、東芝、シエナ。最大100㎞の距離で、実用レベルの伝送速度(800Gbps)で暗号通信が可能であることを確認した、とする。
●米国のQKDプロジェクト6・・・2025年12月、米Quantum Corridor†5は、イリノイ州とインディアナ州の(ティア3†6)データセンターを接続している、稼働中の都市間光ファイバーネットワーク上で、量子暗号通信のPoC(Proof of Concept:概念実証)に成功したことを発表(12月9日。プレスリリースは[*279]、ホワイトペーパーは[*280])。東芝のQKDシステムを使った(ので、プロトコルはBB84である)。具体的には、PoCで以下㊀及び㊁を実証した。QKDシステムの実用化に向けて、大きく前進した、とする。
†5 最先端のコヒーレント光ネットワーク技術企業、と自己紹介されている。量子技術に特化した米国31の地域イノベーション技術ハブの一つである「シカゴ・クオンタム・エクスチェンジ」が主導する、(産業界・学界・政府・非営利団体のステークホルダーからなる連合体である)Bloch Tech Hubのメンバー。
†6 4段階あるグレードの、上から2番目のグレード(ティア)。複数の電力/冷却経路があり、データセンターをオフラインにすることなく更新やメンテナンスが行えるシステムを完備している。
㊀ 13.55マイル(21.8km)の光ファイバー接続を介した量子リンクは、1週間以上にわたりアクティブで完全に稼働していた。収集されたデータは、多少の乱れはあったものの、QKDリンクは1,500kbpsをはるかに超える速度で安全鍵を安定的に配送し続けたことを示した。これは、安全鍵や乱数を必要とする多くの機能を実行するのに十分な速度である。
㊁ 一般的に商用利用されている光ファイバーに、ETSI QKD 014標準インターフェース†7を統合した(問題なく機能することを確認した)。
†7 東芝が、欧州電気通信標準化機構(ETSI)に提案したインターフェース規格。2019年2月に成立した。同規格では、3つの種類のAPIを定め、アプリケーションはこれらのAPIを適切な手順で使用することで鍵を共有できる。これらのAPIは、通信プロトコルとしてHTTPSを、データ構造としてはJSONを採用している。出所:https://www.global.toshiba/jp/company/digitalsolution/articles/tsoul/tech/t0203.html
👉 IonQは、宇宙における量子技術の開発と展開を推進するため、米エネルギー省と覚書を締結したことを発表(25年9月17日)[*236]。
†2 米サンフランシスコに拠点を持つ衛星スタートアップ企業。設立は、2016年。米国初となる商用SAR(合成開口レーダー)衛星の開発・運用を行う。出所:https://www.jstage.jst.go.jp/article/rssj/42/3/42_42.238/_pdf/-char/ja
●米国のQKDプロジェクト(衛星2)・・・英Colt Technology Services†3、米ハネウェル、フィンランド・ノキアは、宇宙インフラを用いた耐量子暗号技術の試験に向けた提携を発表した(25年6月2日)[*212]。低軌道(LEO)衛星を用いた超長距離QKDの評価を目的とする。時間軸は以下の通り:2026年第3四半期には、ハネウェルのQEYSSat衛星†4を活用した宇宙ベースのQKD実証プラットフォームを構築。QKD衛星の打ち上げを通じて提供される商用サービスの開始時期は、2027年第3四半期を目標としている。
†3 1992年に創業したグローバル・デジタル・インフラ企業で、非公開企業。40カ国以上で事業展開しており、従業員数は6,000人を超えている。
†4 量子暗号化および科学衛星。
0⃣ シカゴ大学プリツカー分子工学部
1⃣ Aliro Technologies
❶ 22年10月25日、包括的なエンド2エンドのエンタングルメント・ベースの量子ネットワーク・ソリューションAliroNet™の提供を発表した。AliroNet™は、①従来の古典的なネットワークおよび既存のファイバー設備と連携して動作し量子セキュアな通信を可能にする、②単一の場所内orより大きな地理的場所にある量子コンピューターの相互接続を可能にする、③分散型量子センサー・ネットワークの実装を可能にする、と主張している。
AliroNetには、a)量子ハードウェアと光ファイバーをエミュレートする「Aliroシミュレータ」、b)プロトコルの調整、相互運用性と統合のテスト、デバッグを行う「AliroオーケストレータとAliroコントローラ」、c)オペレーティングシステムである「AlirOS」が含まれる。AliroNet の価格は US$100,000から設定されている。 価格は、サポートされるノード数、通信キュービットの量、ネットワーク忠実度要件などの量子ネットワーク・パラメーターに基づいて変動する。
❷ 米空軍研究所(AFRL)との契約を発表した(24年9月10日)[*121]。『エンタングルメント・ベース』のネットワークをモデル化できる多用途のモジュール式量子ネットワーク・シミュレーターであるAliroシミュレータを提供する。AFRL は、量子コンピューターを異種量子ビット・プラットフォームでネットワーク化する作業を含む『エンタングルメント・ベース』の量子ネットワーク・インフラストラクチャをシミュレート、テスト、運用できるようになる。
❸ 量子ネットワークH/Wデバイス、オーケストレーション、制御、データプレーン🦅1操作用の包括的なソフトウェアを組み合わせた AliroNet® Quickstart の提供開始を発表した(24年10月15日)[*133]。AliroNet Quickstartは、公開鍵の共有を排除し、共有鍵を生成するエンタングルメント・ベースの方法に置き換えることで、量子安全通信を実現する。
🦅1 制御情報とデータ伝送路が分かれているような機器やネットワークにおける、データ伝送経路を「データプレーン」と呼ぶ。
➍ 量子もつれベース(つまり、BBM92プロトコルもしくはE91プロトコル)の量子ネットワークであるQuantum-Powered Security™ソリューションの初の実稼働導入を発表した(25年4月23日)[*200]。Quantum-Powered Security™ソリューションは、市販の光子コンポーネントと検出器を利用し、量子プロセッサとは独立して動作する。
❺ 自社(Aliro)のソフトウェア・スタックが50台以上の量子ネットワーク・デバイスをサポートするというマイルストーンを達成したことを発表(25年9月16日)[*239]。当該ソフトウェアは、Single Quantum🦅2、Cisco、Qunnect、IonQ、Keysight🦅3といったハードウェアメーカーのデバイスをサポートし、マルチベンダー互換性を確保している。
🦅2 超伝導ナノワイヤ単一光子検出器を開発・提供しているオランダ企業。2012年設立。
🦅3 キーサイト自体は様々な商品を扱っているが、量子の文脈では、量子制御システムを扱っている。産総研のG-QuAT(量子・AI融合技術ビジネス開発グローバル研究センター)にも、量子制御システムを提供している。
2⃣ 米ストーニーブルック大学(SUNY)
SUNYは米ブルックヘブン国立研究所と共同で、市販の光ファイバーを用いて物理的に接続された5つのノードからなる量子ネットワークを構築する。これは、量子インターネットのテストベッドである。ロングアイランド投資ファンドからUS$6.5milのgrantを受け取った(22年12月)。
3⃣ Qunnect
❶ Qunnectは、量子(エンタングルメント)ネットワーキングのテストベッドであるGothamQを、ブルックリンからマンハッタンまで拡大する新しいファイバーループの建設を発表した(23年1月)。GothamQ量子ネットワークはQunnectのCarina(☞❸を参照)を使って構築されている。QubitekkのEPB Quantum Network℠との相互運用性検証を開始した(23年12月19日)[*61]。
GothamQの成果を発表(24年4月15日@arXiv[*85])。量子インターネットを、24時間365日使用できる道を切り開いた、と主張。👉下表・Qunnectの箇所を参照。
❷ ドイツテレコム(イノベーション・ラボラトリーズ、T-Labs)と共同で、量子ネットワークに関して、以下の成果㊀、㊁を達成したことを発表した。(25年4月15日)[*193]。
㊀ 30kmの商用光ファイバーを使って、17日間にわたり、偏光もつれ光子を99%の忠実度で配送することに成功。
㊁ 偏光もつれ光子が、古典データ・ラフィックと共存しながら、合計82キロメートルに及ぶ複数の経路に動的にルーティングされた。忠実度は92%以上。
古典データはCバンド、もつれ光子はOバンドを使った。上記の量子(エンタングルメント)ネットワークは、BearlinQ量子ネットワークと呼ばれており、Carina(☞❸を参照)を使って構築されている。
❸ 米モンタナ州立大学が、量子エンタングルメント・ネットワークを構築したと発表(25年9月9日)[*231]。Carinaを使って構築された。Carinaは、㊀原子ベースの量子もつれ光子発生器、㊁高解像度時間タグ付け機能を備えた単一光子計数検出器、㊂適応型偏光補正、エンタングルメント検証及びオーケストレーションを、単一のラックマウント・ユニットに統合した製品スイート。
4⃣ アルゴンヌ国立研究所(ANL)
ANLは、米エネルギー省が支援する量子ネットワーキング・プロジェクトの一つInterQnetを主導する。プロジェクト期間は3年で、資金はUS$9mil。エネルギー省フェルミ国立加速器研究所、ノースウェスタン大学、シカゴ大学、イリノイ大学アーバナシャンペーン校と協力する。InterQnetは、量子ネットワークを現在の都市規模からスケールアップすることを目指す。量子中継器については、下記参照。
5⃣ QUANT-NETコンソーシアム
米ローレンス・バークレー国立研究所、米カリフォルニア大学バークレー校、米カリフォルニア工科大学と墺インスブルック大学は共同で、量子インターネットのハードウェア候補およびソフトウェア技術のロードテストを行っている。捕捉イオンと光子を使う。カルシウム・イオンから放出される854nmの光子は、1550nmの通信Cバンドに変換されて、光ファイバーで伝送される。
6⃣ オークリッジ国立研究所(ORNL)
商用電力会社EPB❚補足と更新❚・テネシー大学チャタヌーガ校・Qubitekk🦅2と協力し、距離約0.5マイル(800メートル程度)✖ダウンタイムなしで30時間以上、商用ネットワーク上で偏光エンタングルメント配送に成功した、と発表(25年1月13日)[*147]。雑音等の影響が不可避である商用の古典通信路(光ファイバー網)において、偏光エンタングルメント配送を安定かつ忠実に行うことは、難しい。今回、自動偏光補償器(APC)を使用して、風・湿気や温度変化等の外部要因によって光ファイバーに引き起こされるデータ干渉を軽減した。(配送された)偏光は、レーザーによって生成された参照信号を使用して、継続的にヘテロダイン検出器でチェックされた。
🦅2 25年1月6日、米IonQによる買収が完了した(24年11月6日に買収を発表)。IonQは、トラップイオン方式の量子コンピューターを開発している"上場"企業(ニューヨーク証券取引所NYSEに上場)であるが、事業領域を拡大している。
❚補足と更新❚
EPBは2016年以降、ORNL・ロスアラモス国立研究所・Qubitekkと共同で「スマート・グリッド(電力網)の量子保全(Quantum Ensured Defence)」に取り組んできた。これは、量子技術を応用して第三者による侵入から電力網を保護することを目指した取り組みであり、米国初の商用量子ネットワークEPB Quantum Network®の立ち上げにつながった。その一方で、ORNLは米IonQと「量子技術が、エネルギー・グリッド近代化に、どのように使用できるか?」を調査した(24年4月~)。両者の繋がりは、IonQによるQubitekkの買収をもたらした(25年1月買収完了)。
さらに、EPBはIonQと共同で、「量子コンピューティングと量子ネットワークへの商用アクセスを提供する」ため、EPB Quantumセンターを立ち上げた(25年4月)。このセンターは(ORNLとIonQの調査事業を引き継いで)、エネルギー・グリッド近代化に有用な、量子(技術を適用した)アプリケーションの開発を行う。量子演算能力をもたらすH/Wには、IonQのForteエンタープライズ量子コンピューターが採用される(26年初頭稼働予定)。量子コンピューティング・リソースを強化するために、NVIDIA DGXシステムが導入された(25年9月17日)[*235]。
7⃣ HRL研究所🦅3とボーイング
Q4S衛星に搭載する量子通信コンポーネントの構築と技術検証を完了したことを発表(25年4月16日)[*194]。Q4Sは2026年に打ち上げ予定で、衛星間量子インターネットの構築を目指している。量子もつれ交換によって、量子もつれ配送を実現する。1秒間に2,500光子対を(決定論的に)発生させる単一光子光源で、平均単一光子忠実度0.8~0.9🦅4を達成した。
🦅3 ヒューズ航空機の研究部門が前身。現在、ゼネラル・モーターズ(GM)とボーイングが所有。シリコン・スピン量子ビットを使った量子プロセッサの研究開発も行っている。
🦅4 古典限界は、0.667(=2/3)。
8⃣ DARPAのQuANET
QuANET(Quantum-Augmented Network)は、「量子ネットワークと古典ネットワークのアプローチを統合することで、量子物理学に基づくセキュリティ機能を提供できる可能性を探求」するプログラムである。古典接続と量子接続の両方を使用して、メッセージがネットワーク全体に途切れることなく伝送された。量子情報はスクイーズド光に符号化された。最初に5分かかった送信がリアルタイム最適化により、0.7ミリ秒(→6.8Mbps)にまで短縮された(25年8月7日@[*226])。
9⃣ 米ペンシルベニア大学🦅5
約1kmの商用光ファイバー上でIPプロトコルを使って、「古典信号と量子信号」を送受信できることを初めて実験的に実証した、と論文[*229]@Scienceで発表した(25年8月28日)。量子信号は、量子もつれを形成した粒子ペアによって運ばれる。伝送路への様々な擾乱が量子信号に与えた影響は、擾乱が古典信号に与えた影響から推定する。つまり、量子信号は測定しない(ので、量子もつれは壊れない)。推定した量子信号への影響に基づいて、受信後、量子誤り訂正を施す。その方法で、97%以上の伝送忠実度を維持した。
🦅5 普通のビジネスマンには、ウォートン・ビジネス・スクールで有名。
(3)量子メモリ・量子中継器
1⃣ 量子メモリ・量子中継器(リピータ)を開発しているmemQが、US$2milのシード資金を調達したと発表した(23年2月)[*21]。memQは、シカゴ大学からのスピンアウト企業で、2021年創業。アルゴンヌ国立研究所のプログラムを通じて、米エネルギー省から(株式持ち分を希薄化しない)資金提供を受けていた。シカゴのDuality Quantum Acceleratorでインキュベート中。memQは、①スケーラブル(すなわちオンチップ)というニーズに応えるため、SOI(Silicon on Insulator)プラットフォーム上にオンチップ量子中継器を構築することで、シリコン・フォトニクスと統合する。そして、②既存の光ファイバーネットワークとの接続を鑑み、光通信波長で動作する希土類(エルビウム)ベースの量子中継器を開発している。
量子メモリについては、Appendix C【3】(8)も参照。
2⃣ プリンストン大の研究者は、㊀通信帯域で、㊁識別不可能な光子を発生させる、エルビウムイオン(Er3+)を使った量子中継器を開発したと発表した(nature論文[*46]は23年8月30日、arXiv[*47]では23年1月9日)。エルビウムイオンが、タングステン酸カルシウム(CaWO4)結晶にドープされているところがポイント。36kmの遅延線(ディレイライン)後に測定された鮮明度(可視度)は80%。今後、エルビウムイオンのスピンにおける量子状態の保存時間を改善する必要が認識されている。
3⃣ MITリンカーン研究所が、MIT及びハーバード大と協力して開発した量子中継器は、ダイヤモンドのシリコン空孔(SiV)センターを用いる。多くの研究開発では、NVセンター(窒素と空孔からなる格子欠陥)を使っている。量子メモリ(⋍量子中継器)から読み取られた量子ビットは、送信した量子ビットと 87.5% の忠実度で一致する、という[*50]。
👉 ハーバード大・MIT及びAWSの研究チームは、ダイヤモンドのシリコン空孔(SiV)センターを使った量子中継器間で、エンタングルメントの生成を実証したと発表(24年5月15日@nature[*91])。既存の光ファイバーで接続された量子中継器は、35km離れている。忠実度は、0.697。光通信量子ビットから通信周波数(1,350 nm:Oバンド)への効率的な双方向量子周波数変換を行っている。
4⃣ アルゴンヌ国立研究所が主導するInterQnetで用いる量子中継器の候補には、「イッテルビウム原子、エルビウムイオン」をベースにした量子中継器が含まれている。
5⃣ ストーニーブルック大学及び(米スタートアップの)Qunnect他は、室温で動作する量子メモリ(≒量子中継器)の出力において、HOM(Hong-Ou-Mandel)鮮明度43%が得られた、と発表した(24年1月15日@npj quantum information[*70])。HOM鮮明度(visibility:可視度、明瞭度とも呼ばれる)は、光子の区別不可能性を評価するための標準基準として使用される(1に近い方が良い)。43%自体は低い!が、「メモリからの出力」かつ「室温」というところがミソ。特許も取得済という。
6⃣ NASA
NASA(米航空宇宙局)グレン研究センターは、Infleqtion(中性原子方式H/Wスタートアップ)と共同で、量子メモリを開発した、と発表(24年7月31日)[*111]。
7⃣ 米カリフォリニア工科大学の研究者は、超伝導量子ビットとナノ機械共振器を結合(強結合)させた量子メモリを開発した、と発表(25年8月13日@nature physics、24年12月11日@arXiv[*227])。
8⃣ 米パデュー大学は、炭素13欠陥をもつ六方晶窒化ホウ素(hBN)を作成した(論文@nature[*244]発表、25年7月9日)。炭素13核スピンは、(室温で)長いコヒーレント時間を持ち、量子メモリとして有望とする。
(4)単一量子光源/単一光子検出器
1⃣ 光源
❶ 米カリフォルニア大学サンタバーバラ校及び、日本の物質・材料研究機構の研究者は、新しい単一量子光源を開発した。その成果は、米化学会発行のジャーナルNano Lettersに掲載された(22年11月1日)[*23]。窒化ケイ素製のマイクロリング共振器内に、六方晶窒化ホウ素を正確に配置して作られたエミッターは、室温で抽出効率46%を達成した。従来は、20~30%であったため、大きく改善した。ただし、目標は99%以上なので、先は長い。
❷ 米テキサス大学ダラス校の研究者は、遷移金属ダイカルコゲナイド(TMD)を単一量子光源の有力候補として提案した(論文[*34]の公開は22年12月)。ダイヤモンドNVセンター、六方晶窒化ホウ素(hBN)、希土類(エルビウム)ベースの量子ビットと比較して、「光発振強度が適度、通信波長で動作可能、核スピンノイズが低い」という強みがあると主張している。なお、単層TMDはバレー自由度とスピン自由度が結合しており、バレー(軌道角運動量の一種)を介したスピン制御が可能と期待される。このため、新しい量子コンピュータ・モダリティとも目されている。シリコンにおける、スピン・バレー結合を用いたスピン制御は、米ロチェスター大や豪スタートアップDiraqが手掛けている。
❸ マサチューセッツ工科大学の研究者は、セシウム(Cs)、鉛(Pb)、臭素(Br)からなる無機ハロゲン化鉛ペロブスカイトCsPbBr3ナノ結晶を使用した量子光源を開発した(論文[*42]は23年6月22日付け)。この光源が、ホン・オウ・マンデル(HOM)効果を示すか試した。その結果、鮮明度(visibility、可視度ともいう)が最大0.56±0.12であった(鮮明度は、量子性の指標で、0%は古典的粒子を意味する)。現状、性能は高くないが、CsPbBr3は溶液ベースの方法を使用して大量に製造できる。このため、拡張性と再現性が高いと主張している。
❹ ロスアラモス国立研究所他は、室温での単一量子光源と光ファイバーとの統合に大きな進歩があった、と発表した(24年1月2日@NANO Letters[*71])。低い開口数(0.5)で約70%の前方収集効率を示した。つまり、コンパクトな光学素子を使用しながら、多く(70%)の光子を送信できることを意味する。金属ー誘電体ハイブリッド・ブルズアイ†アンテナの実装によって実現した、とする。このアンテナは、コロイド量子ドット若しくは、シリコン空孔中心を含むナノダイヤモンドのいずれかで作製する。
† 日本語で説明すると「弓矢の的」。ここでは、⦿のような構造をしていることを意味している。直訳では「雄牛の目」。弓兵の訓練において、弓矢の的の中心に、雄牛の目のような紅い丸を描いた事に由来するらしい(https://mmsdf.sakura.ne.jp/public/glossary/pukiwiki.php?%A5%D6%A5%EB%A5%BA%A5%A2%A5%A4)。
❺ Icarus Quantumは、米国立標準技術研究所(NIST)からUS$0.4milの中小企業革新研究(SBIR)フェーズII助成金を受賞した(26年1月9日)[*285]。該社はNISTのスピンアウト・スタートアップで22年に設立された。ヒ化インジウム(InAs)を使った半導体量子ドットを使った決定論的量子もつれ光子源を開発している。自社の光子源は、量子もつれ光子対の発生効率が70%を超えると主張している(確率的量子もつれ光子源の効率は、1%程度とする)。
2⃣ 検出器
米トーマス・ジェファーソン国立加速器機関のエンジニアは、検出器あたり約35個の光子を検出できた(論文[*36]の発表は22年12月19日)。
(5)その他
0⃣ QED-Cレポート
QED-C(The Quantum Economic Development Consortium)†は、24年7月29日に公開したレポートQuantum Technology for Securing Financial Messaging[*106]にて、金融業界のセキュリティ向上のために、3つの推奨事項を提案した。
① 米連邦政府は、助成金を提供することで、耐量子暗号アルゴリズムへの移行を支援する必要がある。
② 金融機関は、量子ネットワークと量子セキュリティの専門家を雇う必要がある。
③ 「量子鍵配送 + 耐量子暗号」の組み合わせアプローチを検討する必要がある。
† QED-Cは2018年12月にトランプ大統領により署名・公布された国家量子イニシアチブ法の一環としてNIST(米国立標準技術研究所)の支援を受けて設立された。この法によりNISTはコンソーシアムを招集し、量子情報科学技術産業の発展を支える、将来の測定法、標準、サイバーセキュリティ、その他のニーズを特定することができる。出所:https://crds.jst.go.jp/dw/20201112/2020111225021/
1⃣ ヘテロジニアス量子ネットワーキング・プロジェクト
ヘテロジニアス量子ネットワーキング・プロジェクトを主導するロチェスター工科大学は、Northeast Regional Defense Technology Hub(NORDTECH)🐾1からUS$3.97milを授与された[*124]。米空軍研究所、イェール大学、デューク大学、NY Creates🐾2、AIM Photonics🐾3と協業する。同プロジェクトの具体的なゴールは、「フォトニック・チップを通じて、トラップイオン・ベースの量子ビットと光子ベースの量子ビットを高速でリンクすることを目的とした、量子ネットワークを開発する」ことである。US$3.97milは(当初)4年間に対する金額で、研究が成果を上げれば、さらにUS$10milを獲得する可能性がある。
🐾1 NORDTECHは、全国に8か所ある「マイクロエレクトロニクス・コモンズ地域イノベーション・ハブ」の1つで、ニューヨーク州およびその周辺の官民専門家の地域連合体。創設メンバーは、NY CREATES、アルバニー大学ナノテクノロジー・科学・工学部、コーネル大学、レンセラー工科大学、IBM。マイクロエレクトロニクス・コモンズは、米CHIPS法によって助成され、米国防総省が管理する「マイクロエレクトロニクス・インフラ関連の投資、施設、企業、製造業者間のネットワーク」である。マイクロエレクトロニクス・コモンズは、主要技術分野に特化した”地域技術ハブ”を作ることにより、研究アイデアとそのアイデアの実現との間のギャップを埋める。
出典:https://crds.jst.go.jp/dw/20230106/2023010634045/、https://crds.jst.go.jp/dw/20231017/2023101736790/、https://www.nordtechub.org/
🐾2 NY CREATESは、ニューヨーク州のハイテク経済を成長させるために、産業指向の研究開発プロジェクトや経済発展プロジェクトを率いる目的で、ニューヨーク州経済開発公社とニューヨーク州立大学の間で結ばれたパートナーシップ。出典:https://jp.newsroom.ibm.com/2019-02-13-Governor-Cuomo-Announces-IBM-Investment-To-Create-Artificial-Intelligence-Hardware-Center-At-SUNY-Poly-Albany-Campus
🐾3 フォトニクス製造の強化、計算や通信のパフォーマンス向上を目的に米国国防総省(DoD)の後援で設立された米国の公共-民間コンソーシアム。ニューヨーク州立大学工科大学(SUNY Polytechnic Institute)が主導している。出典:https://news.mynavi.jp/techplus/article/20230106-2555360/
2⃣ IonQ
❶ 地上局と無人航空システム間の量子通信
米IonQ及び同社子会社のQubitekkは、米空軍研究所(AFRL:the Air Force Research Laboratory)とのプロジェクトを発表した(25年1月13日)[*148]。規模は、US$21.1mil。Innovare Advancement Center🐾4で量子ネットワーク・インフラを構築すること、地上局と無人航空システム間で量子安全な通信を構築すること、が柱。
🐾4 ARFL情報局が、ニューヨーク州立大学他と提携して設立した、基礎科学とイノベーションのためのオープン・キャンパスらしい。量子情報科学のオープンイノベーションを促し、空軍に役立つ技術があれば掬い上げるということだろう。出典:https://www.nttdata-strategy.com/knowledge/reports/2022/0301/
❷ 量子インターネット、分散型量子コンピューティング
トラップイオン量子システムで使用される可視光を通信波長に変換することに成功した、と発表(25年9月23日)[*243]。量子インターネット、分散(型)量子コンピューティングの実現に向けたステップの一つ。AFRLの支援を受けている。
❸ 光リンク
米Skyloom Globalの買収契約を締結した(25年11月17日発表、[*263])。2017年に設立されたSkyloomは、米宇宙開発庁(SDA)認定の光通信端末(OCT)を使った衛星間及び衛星・地上局間のレーザー通信における高性能プロバイダー。この買収で取得する高帯域幅光リンクは、定性的に言うと、「量子セキュア通信、次世代量子ネットワーク、分散型量子エンタングルメント・インフラ」のバックボーンを形成するという意味で、既存事業に貢献する。定量的に言えば、データ・スループットが最大500%向上し、重要なアプリケーションのレイテンシが数時間から1時間未満に短縮される。
3⃣ エンタングルメントの多重化
カリフォルニア工科大学は、エンタングルメント多重化を実証した論文[*167]を公開した(25年2月26日@nature)。複数の量子ビットがエンタングルされた光子を同時に放出および受信できる。主な技術革新は、異なる原子間の周波数変動を補正し、光学的変動に対して堅牢なエンタングルメントを保証する「量子フィードフォワード・プロトコル」である。ハードウェアは、イッテルビウム・イオンと光共振器というセットアップ。エンタングルメント多重化は、ネットワークに以下のような利点をもたらす。
㊀ エンタングルメントをより効率的に生成でき、量子通信の帯域幅を効果的に増やすことができる。
㊁ 多重化による冗長性により、量子ネットワークの安定性が向上し、エラーや中断に対する耐性が高まる。
4⃣ 量子乱数生成器(QRNG)
クオンティニュアムは、同社のQRNGであるQuantum Originが、米国標準技術研究所の認証を受けたことを発表した(25年4月2日)[*186]。
5⃣ 原子力発電所×QKD
米パデュー大学、東芝(UK,US)及び米オークリッジ国立研究所は、原子炉システムにQKDを適用した検証結果を発表した(25年5月29日@arXiv[*209])。ここで言及している原子炉は、SMR=小型モジュール炉(あるいはモジュール式マイクロ炉)である。SMRは、遠隔監視+(可能な限り)自動運転という枠組みを志向している。しかし、この枠組みはサイバー攻撃に対して脆弱であるため、QKDを使って量子セキュアな通信を確保したい、というニーズが発生する。QKDプロトコルは、デコイBB84である。
原子力発電には、以下のような特徴がある:㊀(24時間365日の)連続運転が最優先であり、これは安全システム以外の(通信モジュールなどの)システムも遵守すべき原則である。㊁データの不連続性を一切許容しないため、タイムリーでリアルタイムな運用が不可欠である。つまり、㊀、㊁を制約条件とした上で、QKDの検証を行う必要がある。検証用テストベッドは、以下の通り:東芝の長距離QKDシステム(プロトコルはデコイBB84)とパデュー大学の原子炉(PUR-1)を連携させ、暗号化された原子炉データを、リアルタイムで交換するためのテストベッドを構築した。このテストベッドを機能(モジュール)で分けると、QKDモジュールと暗号モジュールに分けられる。原子炉データとして(ドメイン知識を使用して)、67個の変数がコア変数として選択された(実際には、タイムスタンプを含めて68個がコア変数とされた)。取捨選択しない変数としては、プログラマブル・ロジック・コントローラ(PLC)の制限により2,000個とした。原子炉データを暗号化するスキームとしては、ワンタイムパッド(OTP)を採用する。OTPは情報理論的安全性が保証されている。しかしOTP では、通信の当事者が、暗号化されたデータと同じサイズの『継続的に更新される真にランダムな秘密鍵にアクセスできる』必要がある。この要件は、未使用の秘密鍵を2者間でリアルタイムに配送する必要があるため、簡単に実装できない。そこで、QKDの出番というわけである。
検証結果は、以下の通りである。
① 68個のコア変数の場合、最大でチャネル長約135kmのOTPセキュア通信(ただし、データのサンプリング率は1Hz)が実現された(サンプリング率10Hzだと、約105km)。2,000変数だと82km。
② QKDはチャネル長54kmで、320kbpsの安定した秘密鍵生成速度と、3.8%の量子ビット誤り率を維持した。
③ 68個のコア変数かつサンプリング率1Hzの場合、約40分のリードタイムが必要。これはQKDシステムに不具合が生じて、再始動させる場合に問題となる。㊁からデータの不連続性は許容されないので、QKDが使えない間(先の例では40分)は他の暗号方式(従来の暗号若しくは耐量子暗号)を使うことになる。
④ 68個×サンプリング率20Hzにすると、チャネル長は約90km(1Hzは、約135km)、リードタイムは8分になる。
⑤ 68個のコア変数の場合、QKDモジュールの遅延時間は平均248ミリ秒(1データサイクル当たり)。暗号モジュールの遅延時間は平均145ミリ秒(同)。
なお、原子炉システムにQKDを適用する場合に注意すべき点がある。それは、放射線環境がQKDの性能に影響を与えるかどうか(定性的・定量的に)不明なことである。必ずしも明示されていないが、影響はない、という結論なのだろう。
1⃣ BTQ Technologies
❶ 韓国の男性ヒップホップグループと名前が似ている、(スイスとオーストリアに囲まれた小国)リヒテンシュタイン公国にあるBTQがユニーク(☛カナダに本社移転。23年2月、カナダ(Cboeカナダ)で市場取引開始。23年3月、フランクフルト証券取引所で市場取引開始。25年9月、米NASDAQで市場取引開始)。BTQは、量子コンピューターによってブロックチェ-ンのセキュリティが脅かされることを念頭に、耐量子インフラ構築を目指している。22年9月、台湾の工業技術研究院(ITRI)との協業を発表した。インメモリーコンピューティング用の半導体チップを共同開発するようである。
❷ 24年7月19日、スイスのID Quantique(IDQ)と基本合意書を締結(各ニュースサイトでの報道[*108]は、7月31日)。IDQの量子乱数生成器とBTQの耐量子暗号を組み合わせた、耐量子認証システムの開発に向けた共同研究、開発、相互協力を行う。
❸ 米Radical Semiconductorの技術資産ポートフォリオ全体の買収したと発表(24年9月24日)[*125]。Radicalは、耐量子暗号用アクセラレータのアーキテクチャ「CASHアーキテクチャ」を開発しているスタートアップ。スタンフォード大卒業生が設立した。CASHアーキテクチャは、「スマートカード、IoT デバイス、モバイル、その他のアプリケーションへの耐量子暗号導入を促進する」、とする。
➍ Cimtech Technology(台湾)から、インメモリー・コンピューティングに関するIPを買収したと発表(25年1月15日)[*151]。この場合のIPとは、(半導体業界における意味と同じ)「回路設計データ」。ゼロ知識証明(を使った認証)、準同型暗号(を使った秘密計算)、耐量子暗号等に必要な計算を高速化することが、IP買収の目的。
❺ 仏量子S/WスタートアップのQPerfectに投資したと報道された(25年4月9日)[*187]。プレマネー€10milに対して、€2milを投資して、16.67%の株式を取得した。なお、当該投資には、12か月以内に全株式を取得できるオプションが付いている。
2023年に設立されたQPerfectは、仏ストラスブール大とCNRS(仏国立科学 研究センター)のスピンオフ。「テンソルネットワークを含む量子多体系シミュレーション並びに、量子誤り訂正のシミュレーションに関する専門知識」を有するとされている。主要商品として、量子アルゴリズムを開発および実行できる大規模量子回路シミュレーター(仮想量子コンピュータ)MIMIQを開発・提供している。
❻ 仏量子H/WスタートアップQuandela(モダリティ:光)と協業することを発表(25年5月22日)[*206]。協業は、BTQの量子サンプリング・プルーフ・オブ・ワーク(QSPoW)プロトコルを中心に展開される。QSPoWは、暗号資産のマイニングに使われるアルゴリズムPoWの量子版である。ボソン・サンプリングを使うことで、安全性とエネルギー効率が向上できると期待されている。PoWにボソン・サンプリングが適用できること自体は、BTQが24年3月13日に該社ブログ(https://btq.com/blog/quantum-energy-advantage)に投稿している。
❼ 量子(サンプリング)プルーフ・オブ・ワーク(QPoW)シミュレータをリリースした(25年7月8日)[*221]。
❽ Proof-of-Consensus(PoC)と呼ばれるコンセンサス・アルゴリズムに基づくブロックチェーン・コンセンサス・フレームワークLéonneを開発した(25年7月15日)[*223]。PoCでは、ネットワーク参加者が合意(コンセンサス)形成に参加する。仮想通貨をステークした量に応じて、合意形成における影響力を増やすことが可能。
❾ BTQの量子セキュア・ステーブルコイン・ネットワーク(QSSN)が、米国の耐量子金融インフラ・フレームワーク(PQFIF)🍁1において、耐量子トークン化預金🍁2のモデルとして取り上げられた🍁3ことを発表した(25年9月10日)[*232]。QSSNは、ユーザーのワークフローを中断することなく、ステーブルコインとトークン化預金を量子脅威から保護するように設計されている。
🍁1 米国証券取引委員会(SEC)暗号資産タスクフォースが提案した、量子脅威からデジタル資産を守るためのフレームワーク。同名の報告書[*251](日付は25年9月3日)が公開されている→当該報告書は、独立系のアナリストが作成したらしい。
🍁2 暗号資産で用いられているブロックチェーン技術等を活用して、デジタル化した預金。法的には銀行預金と同一、と整理されている。日本でも検討が始まっている(例えば、ゆうちょ銀行は26年度にも取り扱い開始を検討、と報道(25年9月1日)された)。
🍁3 原語(英語)では、be highlighted(正確には、has been highlighted)。
❿ ビットコインの耐量子実装に成功したと発表(25年10月16日)[*255]。ECDSA🍁4署名を、米NISTが認定する耐量子デジタル署名「ML-DSA」🍁5に置き換えた。
🍁4 Elliptic Curve Digital Signature Algorithm=楕円曲線デジタル署名アルゴリズム。つまり、楕円曲線暗号ベースのデジタル署名。
🍁5 格子暗号ベースのデジタル署名。
⓫ 25年6月に戦略的パートナーシップを締結(=少数株主持ち分以外を買収)していた仏QPerfectを完全買収(25年11月11日)[*261]。少数株主持ち分を€2milで買い取った。QPerfectは、テンソルネットワークを含む量子多体系シミュレーション並びに、量子誤り訂正のシミュレーションに関する専門知識を有する、とされる仏ストラスブール大とCNRS(仏国立科学 研究センター)のスピンオフ・スタートアップ。設立は2023年。具体的には、MIMIQと量子論理ユニット(QLU)を開発している。MIMIQは、中性原子方式のQPU向けに量子アルゴリズムを開発および実行できる大規模量子回路シミュレーター(仮想中性原子方式量子コンピューター)。QLUは、中性原子方式QPUの制御ユニットという位置づけで、コンパイラと量子誤り訂正プラットフォーム(≒量子誤り訂正プロトコルを実装したH/W)を含む。
BTQの量子セキュア関連製品の開発を加速するために、QPerfectの知見を活用することが買収の目的とされる。
⓬ 韓国のフルスタック・セキュリティ企業Keypairへの戦略的投資を発表(25年12月18日)[*281]。Keypairの既存および将来の耐量子暗号(PQC)関連知的財産を共同所有し、次世代のPQC対応ハードウェア・ベースのセキュリティ技術を共同開発する。
⓭ ビットコイン・クオンタム・テストネットの立ち上げを発表した(26年1月12日)[*283]。ECDSA署名をML-DSA署名に置き換える「耐量子」化が、ソフト・フォーク(つまり互換性を保ったアップグレード)で可能なことを実証する”実験場”を立ち上げた、という理解で良いだろう。
2⃣ ヘリオットワット大学(スコットランド・エジンバラにある公立大学)・ジュネーブ大学(スイス)の研究者は、多次元(53次元)でエンタングルした光子を使用することにより、エンタングルメントの堅牢性を向上させることができたと発表した(22年11月)[*14]。白色雑音の36%で、79kmの光ファイバーに相当する損失とノイズ条件を通して、絡み合った光子をsteering[*15]することができた。量子インターネットの実現には、エンタングルメント・ベースの通信が必須である。また、MDI-QKDも実現できる。
3⃣ Welinq
中性原子技術に基づく量子インターコネクトを開発する仏スタートアップ。具体的には、中性原子ベースの量子メモリによって同期された光子を用いて量子情報を共有し、QPU間の量子もつれを作る。ソルボンヌ大学、仏国立科学研究センター、パリ・シアンス&レットゥル大学及びコレージュ・ド・フランスの研究成果を使用している。量子インターコネクトは、量子インターネット・量子通信のみならず、誤り耐性量子コンピュータの実現にも不可欠だと広く認識されている。
24年末までに、量子メモリの産業用プロトタイプを開発する予定(25年1月時点で、開発は済んでいない様子)。プレシードラウンドで、€5milの資金調達を完了した(23年1月)。分散量子計算用コンパイラであるaraQneを発表(25年1月14日)[*149]。
|為参考| シスコ(Cisco Quantum Labs)は、ネットワーク対応型の分散型量子コンパイラをリリースした(25年9月25日)[*248]。複数の量子プロセッサ間での量子状態転送を容易にするために、量子もつれの生成と配送を、分割及びスケジュールするらしい。
4⃣ 墺科学アカデミー量子光学・量子情報学研究所と墺インスブルック大学の研究者は、230m離れた(光キャビティ内にトラップされた)イオンを510mの光ファイバーで繋いで、イオンをエンタングルさせることに成功した、と報告した(Physical Review Lettersにて23年2月2日公開)[*19]。イオンとエンタングルさせた光子を、光ファイバーで他方に送り、光子同士を相互作用させることで、イオン間にエンタングルメントを生成した。量子インターネットを出口として想定しているようである。量子インターコネクト技術であるから、量子コンピュータのスケールアップにも資する。
5⃣ 英リーズ大学のスピンアウト・スタートアップCavero Quantum(2020年11月設立)が、£2.2milを調達したと発表(24年6月26日)[*103]。「QKDの安全性とソフトウェアの柔軟性と容易性を組み合わせる」ことで、「難しい数学の問題に基づかず、鍵のサイズが小さく、RSAやAESの鍵をシームレスに置き換えることができる」と主張している。耐量子暗号でないことは確かであろう。
6⃣ スイスのTerra Quantumは、米空軍省向け「耐量子ネットワーク」開発の実現可能性を研究するプロジェクトにおいてSBIR契約を獲得した(24年8月6日)[*113]。このプロジェクトでは、耐量子暗号・量子鍵配送(QKD)・量子乱数生成器を使用して、「送信データの不正傍受を物理的に不可能にできるか?」を確認する。
7⃣ 英PQShield
❶ 米SiFiveのプロセッサ・ファミリを耐量子暗号化するために、SiFiveと提携したことを発表(24年8月28日)[*118]。SiFiveは、RISC-VプロセッサIP(Intellectual Property)コアのプロバイダ。
❷ 耐量子暗号に準拠したシリコン・テスト・チップを開発したと発表した(24年8月30日)[*119]。このテストチップにより、電力使用率、パフォーマンス、及びサイド・チャネル解析対策等の領域を深く掘り下げることができる、と主張。
❸ スペインQuSideが提供する量子乱数生成器と、該社の耐量子暗号ソリューションとの統合を発表[*128]。
➍ 耐量子暗号(PQC)実装を提供する包括的な製品ライン「UltraPQ-Suite」の発売を発表した(25年4月25日)[*199]。UltraPQ-Suiteは、超高速(PQPerform-Lattice)、超セキュア(PQPlatform-TrustSys)、超小型(PQCryptoLib-Embedded)という3つの柱で構成。超セキュアとは、「高度なサイドチャネル攻撃、フォールト・インジェクション攻撃🦁1への耐性を備えている」ことを意味する。超小型とは、「メモリ制約のある組み込みシステムや、IoTデバイス」を対象としていることを意味する。
🦁1 Fault Injection 攻撃(Attack):誤った情報(fault)を悪意を持って(婉曲表現を使うと、意図的に)、稼働中のデバイスに注入することで、誤動作を引き起こす攻撃。誤動作の結果、引き出される情報から、セキュリティが破られることもある(つまり、2段構えの初段というケースあり)。
❺ 英国家サイバーセキュリティセンターが運営するプログラム「Assured Cyber Security Consultancy(ACSC)」のプロバイダーに選定された、と発表(25年9月15日)[*238]。ACSCは、英国における耐量子暗号への移行支援を目的とするプログラムである。
❻ 米政府向けITソリューション・プロバイダーCarahsoft Technologyとのパートナーシップを発表(25年10月30日)[*257]。Carahsoftが、PQShieldの耐量子暗号製品を米政府関係各所に導入することで、NSM-10🦁2、CNSA2.0🦁3への対応を実現する。
🦁2 2022年5月4日にホワイトハウスから発表された文書。NSM-10は、2035年までに、米国が耐量子暗号へ移行する必要がある、と表明する。
🦁3 米国国家安全保障局(NSA)は、国家機密の保護に用いる暗号アルゴリズム・セットを規定して公布している。従前は、2015年にアップデートされた、商用国家安全保障アルゴリズム・スイート(CNSA)であった。2022年に、一部を耐量子暗号に置き換えた、CNSA2.0を公布した。
8⃣ Wultra
チェコのサイバーセキュリティのスタートアップ。€3milの資金調達を発表した(25年1月15日)[*150]。金融機関向けの耐量子認証システムを開発している。Raiffeisen Bank International†1、Erste Digital†2、OTP Bank†3、Global Payments†4などの顧客を抱えている、という。
†1 オーストリアに本拠を置く大手法人向け投資銀行で、中東欧地域に事業展開している。
†2 Erste Digitalは、ErsteグループのDXを推進するグループ会社(といったところ)。Ersteグループは、オーストリアの総合金融機関。
†3 ハンガリーを拠点とする商業銀行。
†4 米国の決済テクノロジー企業。
(1)QKDプロジェクト
※ Terra QuantumによるツインフィールドQKDの改善(23年6月)は、Appendix Dを参照。
ちなみに、2000年代初期に、QKDシステムを提供していたフランスのスタートアップSmartQuantumは、2010年に破産申請している。
1⃣ EU
●EUとカナダのQKDプロジェクト(衛星)・・・EUとカナダから8つの組織(独1、仏1、伊2、墺1、加3)が参加する、期間3年のHyperSpaceプロジェクトを立ち上げた。同プロジェクトの目標は「複数の方法を使って、カナダとヨーロッパにある量子地上局間で、エンタングルド光子を配送できる」大西洋横断量子衛星リンクの実現可能性を実証することである[*9]。複数の自由度(周波数、時間、偏光)でエンタングルした光子を送信することにより、光子損失の問題に対処する。独フラウンホーファー応用光学・精密機械工学研究所が主導する。このプロジェクトは、欧州委員会とカナダ自然科学工学研究評議会から€2.8milの共同出資を受けている。
●EUのQKDプロジェクト(衛星1)・・・Security And cryptoGrAphicミッション(SAGA),Scylight|IRIS2
❚EUのQKDプロジェクト(衛星1)・・・1❚
欧州宇宙機関(ESA)と欧州委員会(European Commission:EC)は、EuroQCIに関する協力関係を強化することを発表した(25年1月30日)[*161]。EuroQCIは、欧州全土で量子通信インフラを構築する計画(期間2021~2027年予定)。
[背景] 汎欧州量子通信インフラストラクチャの構築に向けた合意が、2019年4月、ESAとECとの間で結ばれた。同インフラの宇宙パートは、Security And cryptoGrAphicミッション(SAGA)と呼ばれ、ESAが主体として選ばれた†1。SAGAとは別に、ESAは2017年から「衛星通信のための革新的な光学技術の開発から新市場獲までを支援する」Scylightというプログラムを実施していた†2。Scylightプログラムには、衛星を使った量子暗号技術の開発・実証が含まれていた(※SAGAとScylightは統合していると思われる)。Scylightプログラムに従って、ESAは22年9月22日、2024年にQKD衛星(低軌道衛星Eagle-1)を開発・打ち上げることを発表した(☞26年打ち上げに変更→26年に間に合わないかも、と言われているas of 25年12月)。QKDペイロード、地上光学ステーション、スケーラブルな量子運用ネットワーク及び、量子通信インフラストラクチャとのインターフェース・システム等を開発する。
汎欧州量子通信インフラストラクチャの構築に向けた合意は、EuroQCIという名称で進められていると思うが、EuroQCIの宇宙部門(つまり衛星を使った量子通信)は、IRIS2(Infrastructure for Resilience, Interconnectivity and Security by Satellite)と呼ばれるプロジェクトとして展開される(EUの資金が投下される)。IRIS2は、ヒスパサット†3が参加するコンソーシアムによって開発され、ヒスパサットとタレス・アレニア・スペース†4が予備調査に貢献した。SAGAとScylightが、IRIS2に統合され、その上で、ESAが主導するという座組になるのだろう☞下記❚2❚参照。
†1 地上パートは、ECの「コミュニケーションネットワーク・コンテンツと技術総局(DG-Connect)」が主体として選ばれた。総局(Directorate General)とは、国における省庁の役割を担うECの行政単位である。
†2 出所:https://www8.cao.go.jp/space/comittee/27-kiban/kiban-dai46/pdf/siryou2-1-3.pdf
†3 レデイアの衛星サービス事業者。レデイアは、スペインの電力・電気通信会社。衛星および光ファイバーを 通じて、通信ネットワークの保守・運営に従事する。出典:https://www.bloomberg.co.jp/quote/REE:SM。QKD-GEOミッションでは、静止軌道ミッションの設計と事業計画の定義を担当し、実際の使用事例を分析する。
†4 仏タレス(67%)と伊レオナルド(33%)の合弁会社。欧州最大の人工衛星開発企業。
❚EUのQKDプロジェクト(衛星1)・・・2❚
IRIS2自体は、「地球上どこでも安全・高速に接続できる宇宙基盤の衛星通信ネットワークをEUとして構築する」ことを目的としている。その一環として、低軌道衛星を使った衛星QKDの実証を担う[https://www.eu.emb-japan.go.jp/files/100560750.pdf]。
ESAはヒスパサットと、Q-Designの初期フェーズの開発に関する契約を締結したことを発表した(25年6月18日)[*217]。Q-Designは、ESAが低軌道衛星Eagle-1を使って行う低軌道QKDと、ヒスパサット(と仏タレス・アレニア・スペース)が行う静止軌道QKDを統合したプロジェクト。Q-Designは、ユーザーがそれぞれの状況に応じて、低軌道か静止軌道のいずれかを介して、安全に秘密鍵を交換できるQKDサービスの設計を可能にする、という触れ込み。Q-Designは、ARTES-4Sプログラム†12に基づき、スペイン宇宙庁の資金提供を受けて、開発される。プロジェクトメンバーは、(ESAとヒスパサットを含めて)15組織†13に及ぶ。
†12 ESAによるプログラムARTES4.0における、安全とセキュリティのための宇宙システム(Space Systems for Safety & Security)・プログラムライン。このプログラムラインは、「革新的で安全な衛星通信システムと、それらを公共および民間の地上ネットワークに統合することで、社会の安全、強靭性、セキュリティを強化する」ことに取り組んでいる。ARTES4.0(Advanced Research in TElecommunications Systems:通信システム先端研究)は、ESAによる衛星通信分野における技術開発の主要プログラムである。ARTES4.0は、様々なプログラムラインを通じて、欧州およびカナダの産業界が、最先端の研究開発を通じて、経済全体を刺激し、あらゆる産業において新たな事業と雇用を創出する革新的なコンセプトを探求することを可能にする(らしい)。
†13 衛星プロバイダー×3=SES(ルクセンブルク)、独S4(Smart Small Satellite Systems)、SpeQtral(シンガポール)。メーカー×3=仏タレス・アレニア・スペース、西GMV、西Indra。学術機関×2=西ICFO(光科学研究所)、西マドリード工科大学。インフラ事業者×2=西セルネックス、西テレフォニカ。金融機関エンドユーザー×2=西BBVA、西サンタンデール銀行。認証機関×1=西CCN-CNI。為念:西=スペイン。
❚EUのQKDプロジェクト(衛星1)・・・3❚
SAGAミッションがフェースB2に入り、タレス・アレニア・スペースが主導するコンソーシアムが当該フェーズの設計契約を€50milで獲得した(25年10月1日)[*249]。当該フェーズでは、ミッションとコンポーネントの具体化、プロトタイプ・ソリューションの開発及び試験、並びに重要技術の実証を行う。
●EUのQKDプロジェクト(衛星2)・・・タレス・アレニア・スペースはTeQuantSプロジェクトのリーダーとしての契約を、ESAと締結した。2026年末までに衛星を使ったQKDシステム構築を目指す。TeQuantSプロジェクトは、サイバーセキュリティ用途と将来の量子情報ネットワークに向けた量子技術の開発を意図しており、フランスの宇宙機関CNESとオーストリアの宇宙機関ALRが支援している。
●EUのQKDプロジェクト(衛星3・コンステレーション)・・・QUBEプロジェクトの一環として、独テレマティクスセンターが設計したQKD用キューブサットが、24年8月16日に打ち上げられた[*117]。米スペースXのファルコン9が使われた。QUBEプロジェクトの主な目的は、キューブサット†5規模でのQKD(衛星コンステレーションによるQKD)による安全な通信リンクの実現可能性を探ることである。そのために、暗号鍵の交換に使用できる符号化された量子情報を含む、減衰の大きい光パルスをダウンリンクするためのキューブサットを開発して打ち上げる。当該キューブサットには、正確な指向†6のための高度なリアクション・ホイール†7と、量子通信実験に不可欠なDLR-OSIRIS†8が装備されている。
†5 小型の人工衛星。QUBEは3U、つまり10cm x 10cm x 30cmの衛星。
†6 指向と姿勢は、いずれも宇宙機の座標系の向きに関する性質であるが、異なる座標系と性質に対して定義されていて、通常、一致しない。指向は、ミッション機器の向きを表す概念で、ミッションの基準座標系により規定される。ミッションの基準座標系の例としては、観測センサの視線ベクトルが挙げられる。一方、姿勢は、衛星全体の向きを表す概念で、通常、姿勢決定基準座標系により規定される。姿勢決定基準座標系の例としては、恒星センサを基準とした座標系や機体固定座標系などが挙げられる。指向と姿勢の差は、主にアライメントと高周波振動、および座標変換である。
出典:宇宙航空研究開発機構、指向管理標準(平成26年3月17日制定)、https://sma.jaxa.jp/TechDoc/Docs/JAXA-JERG-2-153.pdf
†7 人工衛星の姿勢制御装置に使われている部品の一つ。ローテティング・マスをモーターで加減速し、角運動量を変化させることによりトルクを発生させる。通常、3~4のリアクション・ホイールを搭載することで3軸姿勢制御を行う。出典:https://www.jstage.jst.go.jp/article/jjspe/86/12/86_938/_pdf
†8 OSIRIS=Optical Space Infrared Downlink System、日本語では「光赤外高速通信回線システム」と呼ばれる(https://www.nict.go.jp/press/2021/03/25-1.html)。DLRは、独航空宇宙センター。
●EUのQKDプロジェクト(衛星4)・・・タレス・アレニア・スペースと、ヒスパサットは、スペインの静止軌道からのQKDシステムである「QKD-GEOプロトタイプ」の開発、製造、検証、および妥当性確認フェーズの開始を発表した(25年1月21日)[*153]。PERTE Aeroespacial†9から資金提供されるプロジェクトであり、期間は24か月で、予算は€135mil。契約はCDTI†10によって管理される。現在『静止軌道から運用されている』QKDシステムは世界に存在しない。
静止ペイロードは、高精度望遠鏡とその指向機構および統合電子機器、量子乱数発生器、偏光もつれ光子の生成源、レーザー・ビーコン、及び暗号鍵を生成して通信プロトコルを実装するプロセッサで構成されている。地上セグメントは、宇宙から送信された光子を受信して暗号鍵を復元する望遠鏡を備えた光学ステーションと、すべてのシステム活動を組織および制御して宇宙セグメントとユーザーインタラクションの両方の円滑な機能を確保する運用センターで構成されている。
†9 PERTEとは、スペインの戦略的復興・変革プロジェクト。復興とは、「新型コロナウイルスによる危機からの復興」を意味しているらしい。優先順位が高い&複雑なプロジェクトや、失敗の可能性が高いプロジェクト、外部性が大きいプロジェクト、民間セクターのイニシアティブや投資能力が不十分なプロジェクトを推進・調整するためのメカニズムとして考案された。12の(サブ)プロジェクトが承認されている。その一つが、PERTE Aeroespacialである。PERTE Aeroespacialは、航空分野では、バリューチェーン全体に波及効果をもたらすR&D&I活動に資金を提供する。宇宙分野では、新たな革新的・産業的能力を生み出し、環境と地域統合に関連するサービスを提供する宇宙技術プログラムの確立を目指している。
†10 スペイン政府・技術開発イノベーションセンター(CDTI)は、スペイン経済・競争力省の管轄の基に、スペイン企業の技術開発活動を財政的に支援する公的機関。出典:https://www.nedo.go.jp/activities/AT1_00469.html
●EUのQKDプロジェクト1・・・2008年には、欧州連合の研究開発プロジェクトが、ウィーン市内に6地点を結んだ都市圏QKDネットワークを構築した。鍵生成割合は、約30 kmの敷設ファイバー上で1 kbps程度。2019年に欧州各国参画のテストベッド構築プロジェクトOpenQKDが始動(2022年に終了予定)。
●EUのQKDプロジェクト2・・・アイルランドQCI(量子コミュニケーション・インフラストラクチャ)は、首都ダブリンからウォーターフォードを経由してコークまでの主要なネットワークバックボーンに沿って、QKDインフラストラクチャを確立する、と発表(22年12月)。アイルランドQCIは、EU全体のQCIプログラム(EuroQCI)の一部で、€10milのプロジェクトである。→EuroQCIの地上部門(つまり地上局間の量子安全通信)は、各国で行うことになっている。その後、mergeする。
●EUのQKDプロジェクト3・・・フランス企業Exailが主導し、仏タレス、パリ・サクレー大学とソルボンヌ大学が参加する仏QKDプロジェクト、QKISSが23年1月からスタートした。QKISSは、CV(連続可変)-QKDである。従って、既存の光通信インフラをそのまま用いるQKD。→EU全体のQKDネットワークにmergeされる(衛星QKD含む)。
●EUのQKDプロジェクト4・・・スペインLuxQuanta🐄1が主導するQUARTERプロジェクトも、CV-QKDである。☛24年3月5日、(欧州イノベーション評議会アクセラレータープログラムから)€2.5milの助成金を獲得[*79]。
🐄1 西GMVとの戦略提携を発表(25年11月4日)[*259]。量子セキュア通信における欧州の主権を強化することを目的とする。GMVは、サイバーセキュリティ・宇宙・防衛分野におけるスペインのリーディング企業。ガリレオ(EU独自のGPSシステム)等の宇宙ミッションにおける、暗号化及び暗号鍵管理システムの運用に関する豊富な経験を有する。
●EUのQKDプロジェクト5・・・スペインでは、マドリッドQCI(MadQCI)も展開されている❚追記❚。→EU全体のQKDシステムとmerge(衛星QKD含む)。
●EUのQKDプロジェクト6・・・独Quantum Optics Jenaは(独Adva Network Securityと共同で)、データセンター間の通信で、エンタングルメント・ベースのQKD(BBM92プロトコル)を実証した、と発表(23年6月)。Quantum Optics Jenaのエンタングルド光子ペア生成源には、自由空間用、Oバンド用、Cバンド用がある。
●EUのQKDプロジェクト7・・・ラトビアは、国家的な量子通信インフラシステムとネットワークの形成に向けた作業を開始すると発表した(23年10月)。EuroQCIの一部として実施されていると思われる(ラトビアは21年2月から参加)。特徴的なのは『無線通信システム』を含む既存のネットワークにQKDネットワークを統合した場合の調査を実施することである。様々な外部要因の影響下における、様々な技術の無線機器間の通信についてシミュレーションを実施する。こうすることで、どの技術と周波数帯域が、外部要因や妨害に最も耐えられるかを特定する予定である。金融とヘルスケアを、重要セクターと捉えている。25年末までに公共部門の機関、企業、個人が安全に使用できるようになる予定。
●EUのQKDプロジェクト8・・・フィンランドの通信インフラ開発ベンダーであるノキアは、ギリシャで量子安全ネットワーク(QSN)の概念実証(PoC)を成功裡に完了したと発表した(23年12月)。QSNはQKDシステムを採用して量子安全性を担保したネットワークであるが、QKDシステムに不具合が発生した場合には、耐量子暗号に切り替える仕組み。
●EUのQKDプロジェクト9・・・米IonQは子会社ID Quantique(QKDプロバイダー)を通じて、スロバキアに、量子通信ネットワークの運用開始(デプロイメント)を発表(25年12月8日)[*275]。EuroQCIの一部(つまり、EU全体の量子コミュニケーション・インフラストラクチャの一部)になると思われる。ブラティスラバ首都圏において、大統領府、国家安全保障局施設など、スロバキアの高位機関を安全に相互接続する。
仏の量子セキュア・ネットワーク╏ オレンジ・ビジネス†11と東芝ヨーロッパは提携し、仏パリで商用量子セキュア通信ネットワークサービスを開始した(25年6月11日)[*213]。東芝のQKDと耐量子暗号を組み合わせて、量子セキュア通信を実現した。
†11 仏の携帯電話会社オレンジのエンタープライズ・ソリューション事業部門。顧客に、マネージド・ネットワークサービス、クラウド・インフラストラクチャ、サイバーセキュリティサービス等を提供している。オレンジは元々英国の携帯電話事業者であったが、独マンネスマンが1999年に買収。マンネスマンは翌2000年、英ボーダフォンに敵対的買収された(金額はおよそ20兆円。2025年6月現在まで、M&A史上最高額の敵対的買収案件)。その結果、ボーダフォンは英国で携帯電話事業免許を二重に保有することなり、EU規則に反することから、オレンジを売却した。売却先が、仏の国営キャリア、フランス・テレコムであった(買収金額は、およそ4兆6千億円)。
[*120]は、次のように批判する:現在のQKDネットワークは、秘密鍵を可能な限り高速で転送することにほぼ専ら焦点を当てている。その結果、量子チャネルへのペナルティを回避するために設計された、大部分が固定されたアドホックな、論理的および物理的に分離されたインフラストラクチャとして構築されている。このアーキテクチャは、スケーラブルでも費用対効果が高くもなく、将来の実際の展開は大きく異なるであろう。
対してMadQCIは、1⃣「柔軟性、アップグレード性、及びセキュリティと通信ネットワーク・エコシステムへの QKD の統合を容易にするために特別に設計された分散コンポーネントと最新のパラダイムに基づいている」。そして、これらの基本的なアイデアは、2⃣「複数メーカーによる多数のQKDシステム」を実際のマルチ・テナント通信ネットワークに展開し、生産施設にインストールして、商用トラフィックとインフラストラクチャを共有することでテストされた(期間は、約3年)。テスト期間に、85,000を超えるユースケース・インスタンスが実行され、「現行のQKDネットワークで、商業的に要求される水準を満たす」結果が得られたとする。
1⃣に関しては、ソフトウェア定義ネットワーク(SDN)パラダイムによって実現している。物理的インフラストラクチャは、テレフォニカ(スペイン最大の通信業者)とRedIMadrid(マドリード地域のプロバイダ)の光ファイバーネットワークである。2⃣に関しては、QKDシステムは4社の異なるシステムが使用されている:❶AIT🐮1のCV-QKD🐮2、❷ファーウェイ🐮3のCV-QKD、❸ID Quantique🐮4のDV-QKD🐮5、❹東芝のDV-QKD。
❶と❷の通信バンドは、量子チャネル・古典チャネルともに、Cバンド。❸と❹は量子チャネルがOバンドで、古典チャネルはCバンド。❷は、コヒーレント状態のガウシアン変調とヘテロダイン・コヒーレント検出によって秘密鍵を生成する。❸のプロトコルは、COW🐮6。❹のプロトコルは、デコイBB84(正確には、東芝独自のT12プロトコル)。
🐮1 オーストリア工科大学。
🐮2 連続量量子鍵配送。
🐮3 一応、ファーウェイのドイツ法人ということらしい。
🐮4 2018年、韓国SKテレコムに買収されている。
🐮5 離散量量子鍵配送。使われたのは、Cerberis 3で、現行製品Cerberis XGの1世代前の製品。
🐮6 Coherent One Way(COW)は、連続するパルス間の位相ランダム化を必要とせず、より単純なデコイ・メカニズムを使用する。これにより、準備と検出のための光学系の複雑さが軽減される。COW プロトコルに対する”最近”発見された攻撃への対策を含む、最新版ソフトウェアを、MadQCIでは実装したらしい。
2⃣ 英国
ケンブリッジ大学の研究者は、ガウス変調コヒーレント状態(GMCS)を使用した連続可変量子鍵配布において、25kmの伝送距離で、5Mbpsという秘密鍵生成割合を達成した、と発表した(23年12月6日@Scientific Reports[*60])。
●英国のQKDプロジェクト(衛星)1・・・住友商事がパートナーシップを結んでいる英Arkitが、23年にも衛星QKDを実用化する、と目されている。→22年12月計画廃止を発表。
●英国のQKDプロジェクト(衛星)2・・・英ヨーク大が主導するプログラムthe Quantum Communications Hubは、量子QKD用の衛星システムプロバイダーとして蘭ISISPACEを選んだと発表(22年11月10日)。24年初頭に軌道上デモンストレーションが開始される予定(25年時点で未実施?) ➡ ヘリオット・ワット大学に移管か?
●英国のQKDプロジェクト(衛星)3・・・RAL Space(宇宙プロジェクトに関する英国の国立研究所)は、シンガポールのSpeQtralと協業している。衛星プロバイダーは、蘭ISISPACE。衛星Speqtreを24年に打ち上げる予定 →25年後半に延期 →打ち上げ及び軌道投入成功を発表(25年11月28日)[*268]。量子通信実験は2026年初頭に開始される予定。
●英国のQKDプロジェクト(衛星)4・・・英スタートアップのクラフト・プロスペクトは、「衛星にデータを飛ばし、衛星で処理を行って、結果を地上に戻す(レスポンシブ・オペレーション)」の必須な1ピースとして、衛星QKDを提供する予定。
●英国のQKDプロジェクト(衛星)5・・・単一光子を介して暗号鍵を交換する量子セキュアプロトコルを用いた宇宙(衛星)・地上局間光リンクのテストベッドが、ヘリオット・ワット大学にて、正式にオープンした(25年5月2日)[*201]。地上局はヘリオット・ワット大学のダークファイバー・ネットワークに直接統合されており、実世界の条件下で、通信技術を試験するための「リビング・ラボ」として機能する。
●英国のQKDプロジェクト・・・2018年、British Telecomが同国初の量子暗号通信網をケンブリッジ-イプスウィッチ(サフォーク州の州都)間に構築。3拠点からなるリングネットワークを設置した。通信距離は、各10km程度。東芝が参画している。
❚ QLAS ❚
量子リンク保証システム(QLAS:The Quantum Link Assurance System)は、イノベートUKが資金提供するプロジェクトである。英Aegiqが主導することが報道された(例えば、[*145])。目的は、「光ファイバーベースのQKDの商用導入における、重要な運用上の障害を解決する」ことである。具体的に述べれば、QLASは、ソフトウェア定義ネットワーク(SDN)アプローチに従い、標準の光ファイバー通信ネットワークにシームレスに適合するように設計されている。問題意識及びアプローチは、スペインのMadQCIと同じである。
❚ The Integrated Quantum Networks Hub(IQN Hub) ❚
❶ IQN Hubプロジェクトが25年4月9日、正式にスタート♌0した[*190]。英ヘリオット・ワット大学が主導し、EPSRC♌1からの資金£42mil他によって支えられている同プロジェクトは、英国主要12大学♌2+国立研究所×2♌3+40を超える産業界パートナーの専門知識を結集し。ゴールを達成する:ゴール=英国内外において、安全かつスケーラブルな量子通信インフラの導入に必要な革新的な技術・プロトコル・業界標準を開発する。
射程は、量子セキュア通信・分散型量子コンピューティング・超高感度量子センサーネットワークに及ぶ。量子セキュア通信の対象は、地上通信と宇宙通信の両方で、地上通信のサイズ感は、大陸間を含む。IQN Hubの射程は、「2035年までに、英国が世界最先端の量子ネットワーク・インフラを展開するという野心的な目標」と整合している。
♌0 これに先立ち、ブリストル大学とケンブリッジ大学の研究チームは、「410kmを超える光ファーバー上で2種類のQKD方式を採用し、安全なデータ転送を実現した」と発表(25年4月8日)[*195]。2種類のQKDとは、BB84とBBM92を指すと思われる。複数プロトコル×長距離は、世界初とされる。この成果も、IQN Hubに引き継がれる。
♌1 英国科学技術研究委員会
♌2 ブリストル大学、ケンブリッジ大学、グラスゴー大学、エディンバラ大学、インペリアル大学、オックスフォード大学、クイーンズ・ベルファスト大学、シェフィールド大学、サウサンプトン大学、ストラスクライド大学、ウォーリック大学、ヨーク大学。
♌3 国立物理学研究所、STFC RALスペース。STFCは、英国の科学技術施設会議。RALスペースは、「宇宙及び地上ベースの宇宙プロジェクト」に取り組む国立研究所(らしい)。QKDキューブサットの開発を(シンガポールと共同で)行っており、量子通信技術を積極的に開発している[*191]らしい。
❷ 2つのサブ・ネットワーク間で、量子もつれの配送(ルーティング)やテレポーテーション(量子もつれ交換)が可能であることを実証した(25年11月26日、@nature photonics[*266])。これまで、単一ネットワークに接続した複数ユーザーに量子もつれを同時配送する実験は成功していた。サブ・ネットワーク同士をつないで、複数ユーザー(今回は4ユーザー×4ユーザー)間で、量子もつれの同時配送及び同時交換を成功させたのは、世界初とする。実験室スケールであるものの、市販の光ケーブルで量子ネットワークを構築している。量子インターネット、分散型量子コンピューティング♌4の実現に資する。
♌4 量子もつれで繋いだQPUを使った、量子計算を意味する。
3⃣ スイス
スイス企業ID Quantiqueの親会社である米IonQは、スイスの著名なパートナーと協力し、ジュネーブ市内に都市規模の量子ネットワーク「ジュネーブ量子ネットワーク(GQN)」を構築した(25年11月5日)[*258]。スイス側のパートナーは次の通り:ジュネーブ大学、CERN(欧州原子核研究機構)、ロレックス社、HEPIA(ジュネーブ造園・工学・建築大学)、およびジュネーブ州情報システム・デジタル技術局(OCSIN)。
(2)量子インターネット・プロジェクト
〖基礎論〗
独パーダーボルン大学と伊ローマ・ラ・サピエンツァ大学は、(人工物である以上、当然に)光学特性が異なる2つの半導体量子ドット(QD)によって生成された光子間の量子テレポーテーションを実証した(@nature communications[*276]、25年11月17日)。現実の通信環境を鑑み、光ファイバー+(270mの)自由空間、というセットアップで実証した。2つの決定論的QDソース間の「エンタングルメント・スワッピング」の実証➡「量子インターネット」への道を開く成果。技術的には、2つの工夫を凝らした:㊀GaAsで作成したQDの電子構造を精密に制御し、高忠実度の量子もつれ光子対を生成するために必要な、極めて低い微細構造分裂を実現。㊁磁場を用いて発光波長を調整し、超伝導ナノワイヤ単一光子検出器(SNSPD)を用いて、正確な時間的事後選択を行うことで、光子の識別が不可能になるように設計した。その結果、82±1%というテレポーテーション忠実度を達成できた。
○CERN
蘭Single Quantumの超伝導ナノワイヤ単一光子検出器(SNSPD)、米Qunnectの量子もつれ源を使った、量子ネットワーク・ラボの開設を発表(25年9月24日)[*242]。White Rabbitの時刻同期技術を統合し、遠隔ノード間でナノ秒未満の同期を実現した。
〇オランダの(量子インターネットを見据えた)QKDプロジェクト・・・
1⃣ 2022年7月、蘭QuTech(Q*bird)は、プロバイダーである蘭Eurofiber及び米ジュニパー・ネットワークと協力して、量子セキュアなネットワークのテストベッドを開設した。量子インターネットの実現をゴールに、まずはポイントtoポイント通信を超えてQKDを拡張するため、MDI-QKD(Appendix Bを参照)を導入。22年10月には、MDI-QKDシステムをロッテルダム港の通信システムに導入した。
2⃣ Q*birdは蘭ロッテルダム港とのパートナーシップを開始した、と発表(24年5月14日。今更?)[*92|修正→*139]。併せて該社のQKDソリューション「Falqon®」が、数か月以内に上市されることを発表❚補足❚。24年5月24日、€2.5milを調達したと発表[*97]
❚補足❚Falqon®シリーズ
㈠ いつのまにかリリースされていた(https://q-bird.com/products/)。Falqon®シリーズは、ユーザーノード(MQT4000)、量子光スイッチ(MQS4000)、中央ハブ(MQX4000)の3つの主要要素で構成される。多数のユーザーノードを1つの中央ハブに接続されるというネットワーク・アーキテクチャを採用している。同じハブに接続されたノードの各ペアは、ネットワーク内の他の全デバイスから秘密にされたQKD鍵を生成できる。Falqonは、「マルチポイントからマルチポイント」への"スケーラブルな"QKDネットワーク構築が可能となるように設計されている。
具体的に言うと、各ユーザーノードは、光ファイバーのペアを介して中央ハブに直接接続され、ネットワーク内の他ユーザー・ノードと量子鍵を生成できる。量子光スイッチは、ネットワークの周囲に配置して光ファブリックを形成し、量子ビットを宛先に転送できる。中央ハブは、ユーザー・ノード間の量子接続を確立するためだけに存在し、多数のユーザー・ノードとデバイス間のマルチポイントtoマルチポイント・ネットワークを形成する。
㈡ Q*birdのMDI-QKD技術(Falqon®)は、ロッテルダム港以外にも展開されている:㊀マドリード都市圏ネットワーク(UPM):スペイン初のマルチノードMDI量子ネットワーク。㊁ベネルクス国境MDI-QKDリンク:ベルギーとルクセンブルク間に初の国境を越えたMDI-QKD接続が展開され、132kmの安全な量子リンクが実現。㊂Eurofiber QUESTプロジェクト:蘭主要データセンターにMDI-QKDを展開。
◎量子インターネット1・・・EU
1⃣ EUが資金を提供するQNETWORKは、マルチノード量子もつれベースの量子ネットワーク実現を目指している。ネットワークには、単一光子リンクで接続されたスピンノードがある。各スピンノードは、ダイヤモンドNVセンターで構成される。QNETWORKの研究者は、忠実度約71%で、非隣接ノード間の量子テレポーテーションを成功させた[*11]。
2⃣ EUから資金提供を受けて、LaiQaプロジェクト(2024年初めから3年間)が開始されると発表された(23年9月)。同プロジェクトは、量子通信の確立に必要な技術的構成要素をさらに進化させることを目的としている。具体的には、量子光源や量子メモリ、補償光学システム、並びにシステム・アーキテクチャを最適化するソフトウェア・コンポーネントなどである。また、衛星QKDの実証も行い、仕様標準を提案する予定。プロジェクト・リーダーは、通信コンピュータシステム研究所(ギリシャ)。メンバーは、TNO(蘭)、QTLabs(墺)、QSSYS(独)、蘭アイントホーフェン工科大学、アテネ国立天文台、アテネ大学、タレス・アレニア・スペース伊。
◎量子インターネット2・・・オランダ
1⃣ Quantum Internet Alliance(QIA)
① EUが資金を提供し、蘭デルフト工科大学が主導するQIA(Quantum Internet Alliance)は†1量子プロセッサ(モダリティとして、トラップイオン、ダイヤモンドNVセンター、中性原子の3種類を想定)を含む2つの大都市圏ネットワークを構築し、量子中継器(希土類添加結晶ベースのメモリ、原子ガス、量子ドットを想定)を用いて長距離ファイバーバックボーンで接続することを目標としている。
†1 デルフト工科大学以外のメンバーは、蘭QuTech、墺インスブルック大学、仏INRIA(国立情報学自動制御研究所)、および仏CNRS(国立科学研究センター)。
② プラットフォーム(モダリティ)に依存しない高レベル・ソフトウェアで、量子プロセッサ上の量子ネットワーク アプリケーションを実行できるアーキテクチャの設計と実装について、論文[*175]発表した(natureにて25年3月12日公開)。アーキテクチャを量子ネットワーク・オペレーティング・システム「QNodeOS」として実装し、ダイヤモンドNVセンターに基づく2 つの量子ネットワーク・ノード上で、クライアントからサーバーへの委任計算などのテスト・プログラムを実行した。専用ドライバーを追加することで、他モダリティ(トラップイオン40Ca+)との間でも計算可能である。
2⃣ 蘭QuTech・TNO他†2から成る研究チームは、ダイヤモンドNVセンターを使った量子中継器間でエンタングルメントの生成を実証したと発表(24年4月4日@arXiv[*92])。既存の光ファイバーで接続された量子中継器は、25km離れている。忠実度は、0.534。
†2 英Element Six Innovation(合成ダイヤモンド製造)、独フラウンホーファー・レーザー技術研究所、独アーヘン工科大学、独TOPTICA Photonics(レーザーシステムの開発・製造)。
3⃣ QuTech・デルフト工科大学は、異種量子ビット間で量子情報転送を可能にするインターフェイスを実現したと発表した(24年11月2日@npj quantum information[*140])。具体的には、「795nmフォトニック量子ビット」を「ダイヤモンドNVセンター量子ビット」に量子テレポーテーションした。量子中継器(ダイヤモンドNVセンター)と量子サーバー(フォトニック量子ビット)とを繋ぐイメージ。テレポーテ-ションの忠実度が古典限界を上回っていることをもって、量子性の検証とした。
◎量子インターネット3・・・ドイツ
1⃣ 量子リンク拡張プロジェクト(Q.Link.X)は、産学から24の研究パートナーが参加する3年間(2019~2021年)のドイツの量子インターネット・プロジェクト。ドイツ連邦教育研究省が合計€14.8milを投資する。長期目標は、物理的に安全な「ファイバーベース」のネットワークを構築すること。具体的には、3つの技術プラットフォーム「ダイヤモンドNVセンター、半導体量子ドット、中性原子・トラップイオン」をベースに量子中継器を開発することが目標である。
2⃣ ドイツテレコムは、ベルリンに量子研究所を開設した(23年9月)。量子もつれを使用した通信ネットワーク(平たく言うと、量子インターネット)の開発が目的とされている。ベルリン工科大学、ドレスデン工科大学、ミュンヘン工科大学、フラウンホーファー・ハインリッヒ・ヘルツ通信技術研究所他と協力する。
◎量子インターネット4・・・フランス
2017年に設立された仏スタートアップVeriQloudは、€1.9milを調達したと発表した(23年5月)。VeriCloudは、秘密分散によって、量子インターネット(trustedノード量子暗号ネットワーク)のノード(中継器)が、必ずしもセキュアでないという問題を回避する。該社のソリューションQlineは、複数秘密分散法ベースと思われる(つまり、量子複数秘密分散法ベースではないと思われる)。
◎量子インターネット・・・衛星1
TNO(オランダ応用科学研究機構)は、衛星を使った量子インターネットを実現させるため、Qu-STAR という新しいプロジェクトを立ち上げた(24年9月16日)[*123]。エアバス中央研究所と協力している。
(3)単一量子光源/単一光子検出器
1⃣ 光源
❶ 英Aegiqが開発している、六方晶窒化ホウ素hBNベースの単一量子光源は、豪シドニー工科大学も研究しており、(室温で)毎秒1000万個の単一光生成を目指している。
Aegiqは、独Pixel Photonicsと、覚書(MoU)を締結した(25年7月24日)[*224]。スケーラブルな量子コンピューティング・スタックを構築することを目的とする。Pixelは、導波路一体型超伝導ナノワイヤ単一光子検出器(WI-SNSPD)を開発している。
❷ ドイツ研究センターヘルムホルツ協会ドレスデン・ローゼンドルフ研究所(HZDR)、ドレスデン工科大学、ライプニッツ協会結晶栽培研究所(IKZ)の物理学者たちは、「決定論的な単一光子発生源を、スケーラブルな方法かつ約50nmの精度で、シリコン中に作製した」と発表した(23年2月25日)[*27]。スケーラブルとは、現在の半導体工場で生産可能という意味である。また、"通信波長"光源であるから、既存の光通信インフラへ組み込みことが可能である。
❸ 独ドレスデン・ロッセンドルフ研究所(HZDR)は、光ファイバー・ネットワークと互換性のある単一光子源を開発したと発表している(22年7月15日)[*30]。金属支援化学エッチングを用いて、シリコンチップ上にシリコン・ナノピラーを製造。このナノピラーに炭素イオンを衝突させ、ピラーに埋め込まれた光子源を生成した。単一光子源から単一光子検出器まで、全基本構成要素を1チップに統合し、光ファイバーを介して多数のチップを接続して、モジュール式の量子ネットワークを形成することが目標という。
❹ 独ライプニッツ大学ハノーバー校、蘭トゥウェンテ大学、蘭スタートアップQuiX Quantumは、チップ上に完全統合したエンタングル量子光源を開発した(nature photonicsで論文[*35]が公開されたのは23年4月17日)。インジウムリン製レーザー、バーニア(Vernier)効果を利用した可変ノイズ抑制フィルター、窒化ケイ素製の共振器を組み合わせ、1つのチップにまとめた。自然放出4波混合(SFWM)プロセスで、通信波長帯において、高次元周波数ビンもつれ量子状態を直接生成し、忠実度は最大99%。光源サイズを1/1000以下にした、と主張している。
❺ デンマークのスタートアップSparrow Quantumは、「インジウムヒ素/ガリウムヒ素」量子ドットによる、決定論的なオンチップ単一量子光源を開発している。ただし、発生させる光子の波長は920~980nmであり、通信波長帯ではない。➡通信波長帯Oバンド(1260~1360nm)の量子トランシーバーを開発する(③)。
❚Sparrow Quantum補足❚
① 23年5月、シード・ラウンドで€4.1milを調達したことを発表[*188]。
② 25年4月、シリーズAで€21.5milを調達したことを発表[*189]。→25年12月、€27.5milでシリーズAを完了したと発表[*267]。
③ 決定論的単一量子光子源に基づく量子トランシーバーを開発するプロジェクトQTRAINを立ち上げた(25年11月24日発表[*265])。波長はOバンド。2027年1月までに開発することが目標で、物理的フットプリントを50%・消費電力を60%削減する。蘭Single Quantum🐾1、独Refined Laser Systems🐾2、そして独ルール大学ボーフム🐾3と協業する。
🐾1 単一光子検出器及び、単一量子光子源と単一光子検出器を収容するクライオスタットを製造する。
🐾2 量子ドットの励起に必要なレーザーを提供。ちなみにレーザーは、120MHzの周波数でパルスを放射する。
🐾3 独最大の研究大学の一つ(らしい)。量子ドットを生成する。
❻ 独マックスプランク量子光学研究所と独ミュンヘン工科大学の研究者は、新しい単一量子光源を開発した(論文[*41]が公開されたのは、23年6月20日)。エルビウムをドープしたシリコンと、シリコン共振器を統合した。光ファイバーの損失が最小限に抑えられる光通信のメインバンド(Cバンド、正確には1536nmの波長)で単一光子を生成する。共振器を構築するために、ナノメートルサイズの穴をシリコン内に配置した。マイナス265℃の"高温"でも、優れた光学特性を示す、とする。
2⃣ 検出器
❶ スイスのID Quantique(ジュネーブ大学発スタートアップ)とジュネーブ大学は、検出速度が従来比20倍の検出器を開発したと発表した(23年3月)[*31]。具体的には、14本のナノワイヤを組み込んだ超伝導ナノワイヤ単一光子検出器(SNSPD)である。10kmの光ファイバーケーブルで秘密鍵生成割合64Mbps、102.4kmで3Mbpsを達成した。実用的には、6Mbps以上が要求されているという。
【3】カナダ・豪州・その他
(0) QKDプロジェクト及び量子インターネット
❚加❚
108頁に及ぶQEYSSatミッションのホワイトペーパー[*101]は、量子インターネット・衛星QKD等について、非常に参考になる資料である。
●カナダのQKDプロジェクト・・・2022年6月、ケベック州でQKDシステムを採用した量子通信ネットワークの立ち上げを発表した。予算は、375万カナダドル。主体は非営利組織Numanaで、通信会社のベルカナダ及び、スイスのID Quantiqueが協力している。
●カナダのQKDプロジェクト(衛星1)・・・HyperSpaceプロジェクトは、EUを参照。
●カナダのQKDプロジェクト(衛星2・コンステレーション)・・・QEYSSatミッション:カナダ宇宙庁の資金提供を受け、量子暗号化および科学衛星(QEYSSat)の打ち上げが2025年に予定されている(☞カナダ国立研究機構🍁4のサイト(as of 25年7月)によれば、26年に延期されている)。QEYSSatは、地上局・衛星間通信用量子リンク及び、QKD研究用技術実証プラットフォームという位置づけ。米Loft Orbital🍁1が衛星の手配・運用を担う。ゴールは、カナダ全土にわたる量子インターネットの構築である。量子インターネットは、QKDのみならず分散量子コンピューティング、量子センシングのバックボーンとなる想定。
🍁4 1916年に設立されたカナダ最大の研究技術組織。産業研究支援プログラムを通じて、ビジネス・イノベーションを促進し、アイデアを市場投入(マネタイズ)するための支援も行っている。出所:https://rd20.aist.go.jp/ja/interview/2025/0926/
🍁1 ロケット及び人工衛星の手配、打ち上げ後の人工衛星運用までを一元的に受託する、衛星開発手配企業。2017年に米サンフランシスコで設立された。
◎カナダの量子インターネット・・・加Telus(テルス・コーポレーション)🍁2とPhotonic🍁3は、カナダにおける量子インターネット開発を加速するために提携した、と発表(24年10月28日)[*138]。テルスはブリティッシュ・コロンビア州にある30kmの専用光ファイバーネットワークへのアクセスをPhotonicに提供する。
🍁2 加の上場持株会社で、ブリティッシュ・コロンビア州バンクーバーに本社を置くコングロマリット。テルス・コミュニケーションは電話、テレビ、データ、インターネット・サービスを提供。テルス・モビリティは、ワイヤレス・サービスを提供している。
🍁3 シリコン中の欠陥=T中心を量子ビットとする量子コンピューターを開発する加スタートアップ。23年11月には米マイクロソフトなどから1億ドルを調達した。T中心は、光ファイバー・ケーブルが使用するのと同じ波長で光を放出することができる。つまり、量子インターネットも射程に収める。
❚豪州❚
●豪州のQKDプロジェクト・・・英ArqitのQuantumCloud™を使った量子セキュアな通信サービスが、豪州のプロバイダーAUCloudを通じて、豪州市場に導入された(22年10月10日)。米英豪(AUKUS)三国間安全保障協定によって促進された、緊密な協力のデモンストレーションとの位置づけである。
❚シンガポール❚
●シンガポールのQKDプロジェクト(衛星2)・・・SES🐾1とSpeQtral は、アジアとヨーロッパ間の長距離衛星ベースの量子鍵配布(QKD)を確立するための相互運用可能な光地上局(OGS)を開発するための覚書(MoU)に署名した(25年3月28日)[*182]。SESとSpeQtralは、両者が所有する現在および将来のQKD衛星を接続できるようになる。
🐾1 人工衛星を保有し、衛星通信及び放送サービスを行う多国籍企業。ルクセンブルクに本拠を置く。欧州衛星会社(Société Européenne des Satellites)として、1985年に設立。2006年、SESに改名した。
●シンガポールのQKDプロジェクト2・・・SPTelとSpeQtralは、SPTelの光ファイバーネットワーク上に量子セキュアネットワークを構築する初期試験に成功したと発表(24年11月10日)[*141]。1550nm(Cバンド)で送信するDWDM(高密度波長分割多重)データをQKDシステムで保護することで、量子セキュアなネットワークを構築している。伝送距離は55km。QKDシステムは、東芝が提供した。SPTelは、SPグループとSTエンジニアリングの合弁会社。SP(シンガポール・パワー)グループは、シンガポール公益事業庁の電気・ガス部門の事業を継承した政府系電力供給会社。STエンジニアリングは、航空宇宙、スマートシティ、防衛、公共セキュリティのセグメントにわたる多様な事業ポートフォリオを持つグローバルなテクノロジー、防衛、エンジニアリング・グループ。SPTelは、SPグループが持つ電力ネットワーク・ケーブルに沿って光ファーバーを敷設している。
●シンガポールのQKDプロジェクト1・・・シンガポール量子技術研究所、Horizon Quantum ComputingおよびNational Quantum-Safe Network(NQSN)は、米AWSと協力して、QKDトライアルを成功裏に実行したと報告した(23年3月)[*28]。3km 離れた建物で2つのQKDデバイスを接続することに成功した。Horizonは、古典コンピュータ用コードを量子コンピュータ用に変換するコンパイラを開発しているシンガポールのスタートアップ。NQSNは、シンガポール国立研究財団が支援・量子工学プログラムが主導するする3年間のイニシアチブ。量子セキュア通信の構築を目指し、QKDシステムや耐量子暗号の調査等も行っている。
●シンガポールのQKDプロジェクト(衛星1)・・・現地のスタートアップSpeQtralが、24年に衛星(SpeQtral-1)を打ち上げる。シンガポール・宇宙技術産業局(OSTIn)のサポートを受けて、大陸(シンガポールー欧州)間のアウトバウンド通信で、共通鍵配送実験を行う予定。(バックグラウンドノイズが大きい)昼光環境でのQKD動作を、可能にしていると見られる。
❚韓国❚
●韓国のQKDプロジェクト1・・・韓国KTは、2022年3月28日、QKDの実証実験に関する2つのプロジェクトを実施すると発表した。東芝及び、東芝デジタルソリューションズが参画している。1つは長距離ハイブリッド量子暗号通信ネットワークにおけるサービス品質を測定するプロジェクト。もう1つは、テストベッドを構築するプロジェクト。
●韓国のQKDプロジェクト2・・・KTは、セキュアな通信機能強化を目的としたQKD技術の導入・展開に関して、イスラエルのHEQA Securityと協業することを発表(25年6月18日)[*219]。HEQA Securityについては、https://israel-keizai.org/business/heqa-security/を参照。
❚印度❚
●インドのQKDプロジェクト(衛星)・・・2023年7月10日、インド宇宙研究機関は、独自のQKD衛星を打ち上げる予定があることを発表した。
👉 1km以上の距離に及ぶ自由空間QKDを実現した、と発表(25年6月16日)[*216]。量子もつれを使った(ので、通信プロトコルとしてはBBM92かE91のはず)。秘密鍵生成割合(key rate:KR)は、約240bps。量子ビット誤り率(QBER)は約7%。光ファイバーだとKRは、106bpsのレベルである(いずれにしても、240bpsでは実用レベルにない)。QBERは、特別悪い水準ではない(おそらく、10%未満なら大丈夫のはず)。
❚イスラエル❚
◇イスラエルの量子衛星通信・・・テルアビブ大学超小型衛星・新宇宙センターは、米スペースXのファルコン9ロケットでマイクロ衛星TAU-SAT3を打ち上げた(23年1月)。高度550kmの地球周回軌道と光学地上局間で量子通信を行う。
(1)インド
1⃣ スタートアップと直接の関連性はないが、インド工科大学カーンプル校の量子光学・量子もつれ研究所の研究者は、面白い発見をしている(論文[*17]を22年8月に投稿している)。それは、以下のような内容である:❶(連続可変)角度・軌道角運動量による光子対のエンタングルメントは、❷(連続可変)位置・運動量エンタングルメントと、異なる振る舞いを示す。数cmの伝搬でエンタングルメントが消失することは❶、❷共通。しかし、光子が光源から遠ざかり続けると、❶はエンタングルメントが復活する。
光子の軌道角運動量については、こちらを参照。
2⃣ Quan2D Technologiesというスタートアップが、超伝導ナノワイヤ単一光子検出器(SSPDあるいはSNSPD)を開発しているらしい。
(2) カナダ
1⃣ Quantropi
耐量子デジタル署名として、NISTファイナリストに加えて、多変量多項式公開鍵デジタル署名(MPPK DS)を提供している。ブロックチェーンを意識してのことである。多変量多項式方式は他方式に比べて、サイズが小さく、高速処理が可能である。しかし、同方式のデジタル署名であるRainbowは(暗号鍵方式SIKEに先んじて、同じように)、ノートパソコンで"解読"されてしまった。新たな方式を採用するのだろうか?
2⃣ Quantum eMotion(QeM)
❶ 量子乱数生成器をベースとしたサイバーセキュリティ・ソリューションを提供するQuantum eMotionは、The Platform for Digital and Quantum Innovation(PINQ²)†1との戦略的パートナーシップを発表した(24年3月18日)[*80]。パートナーシップの目的は、Quantum eMotionが使用しているKyberアルゴリズムと量子乱数生成器を徹底的に調査し、評価すること。
†1 ケベック州経済・イノベーション・エネルギー省と加シャーブルック大学によって、2021年に設立されたNPO。PINQ²は、量子コンピューティングの研究とアプリケーション開発を加速するため、IBMと23年に提携している。
❷ 量子ベースのブロックチェーン・ウォレットQaaSは、従来型ウォレットと比べて優れていると主張する論文[*156]を発表した(25年1月21日)。
従来型ブロックチェーン・ウォレットには、非決定性(ND)ウォレットと階層型決定性(HD)ウォレットという2つの主要方式が存在する。NDウォレットは、より良い資金分配を提供する一方、バックアップの複雑さとメモリ使用量に問題がある。HDウォレットは、バックアップ・プロセスを単純化するが、権限昇格†2や総当たり攻撃に弱い。さらに、これらのウォレットで使用される決定論的擬似乱数アルゴリズムは、予測可能であるため、脆弱である。
QaaSは、量子乱数生成器(QRNG)を暗号鍵生成に活用しながら、HDとNDの両方の鍵生成アーキテクチャを利用する「ユーザー行動に基づく」ハイブリッド・ウォレットである。QaaSは、「ユーザーの行動を学習して、適当な鍵生成スキームを選択する」深層学習によって最適化される。最適化とは主に、セキュリティの堅牢性、計算速度及び、メモリ使用率のバランスをとるという意味で用いられている。
イーサリアムに実装し評価した結果、「QaaSは、HDウォレットと比較して、同程度のメモリ・リソースを消費しながら、リスクを最大98%削減できた」とする。
†2 システムに対する継続的な一連の取り組みにより、より機密性の高いシステムへのアクセス権限等を獲得して、より重大な攻撃を実行可能にする攻撃方法を指す(らしい)。
❸ 私募により、C$6mil(US$4.22mil)を調達したと発表(25年2月20日)→C$10milに拡大[*163]。
❹ 台湾のJmem Technologyと、量子耐性を持つシステムオンチップ(SoC)の共同開発に向けた戦略的提携を発表した(25年9月29日)[*247]。このSoCは、QeMの量子乱数生成器(QRNG)と、Jmem Tekの物理的複製不可能関数(PUF)、そしてNIST準拠の耐量子暗号モジュールを統合する。QeMのQRNGは電子ベースであり光ベースのQRNGに比べて、小型化が可能とされる。
3⃣ Quantum Bridge
カナダ政府の調達プログラムに承認されたことを発表(24年9月11日)[*122]。該社のSDS(Symmetric-Key Distribution System:対称鍵配送システム)が対象。SDSは、DSKE(分散対称鍵交換)と耐量子暗号を組み合わせたソリューション。DSKEは、下表の該社欄を参照。
4⃣ QEYnet
衛星QKD技術を対象として、カナダ宇宙庁から、C$1.4mil(140万カナダドル)の資金を獲得したことを発表(25年1月20日)[*152]。具体的には、以下を行う:
㊀ 衛星デプロイ後に暗号鍵を安全に更新する機能の開発
㊁ 地上拠点間で暗号鍵を量子安全に送信するデモンストレーション
㊂ 実際の運用状況における技術フレームワークの評価
(3) シンガポール
1⃣ SpeQtral
❶ 米Antarisと提携して、政府・民間事業者向けにQKD用衛星を製作、提供、展開することを発表した(24年3月19日)[*81]。Antarisは、衛星の設計、シミュレーション、運用を可能にするデジタル・プラットフォームを提供している。つまり、衛星を軌道投入する前に、様々な検証が可能となる。
❷ 仏伊タレス・アレニア・スペースと、宇宙-地球間における量子通信の開発と実証における戦略的パートナーシップを拡大する新たな協力契約を締結したことを発表した(25年7月3日)[*220]。
2⃣ シンガポール・テレコム(Singtel)は、ネットワーク・インフラストラクチャの安全性を高めたことを発表(24年11月11日)[*142]。耐量子暗号とQKDシステムを併用するハイブリッドタイプの量子セキュア・ネットワークを構築した。耐量子暗号は、NISTが定めたML-KEM(旧Crystals-Kyber)。QKDシステムは、ID Quantique(スイス。親会社は、韓国SKテレコム)が提供する。
【4】中国
(1)QKDプロジェクト
1⃣ 清華大学・中国科学技術大学(潘建偉)グループは、新しいMDI-QKDを発表した(23年1月Physical Review Letters)[*20]。MDI-QKDは、下部Appendix Bを参照。新たに提案されたMDI-QKDは、モードペアリングQKD(MP-QKD)と呼ばれている。MP-QKDは、東芝が開発した(通信距離を大幅に伸ばせる)ツインフィールドQKD(TF-QKD)とは異なり、複雑な位相同期技術が不要である。位相を同期させる代わりに、レーザーの周波数差を最尤推定する。そもそも、TF-QKDはMDIではない(もちろんDIでもない)ので、安全性は低い。またMP-QKDは、市販のレーザーで実現できるとする。さらに、MP-QKDは、従来のMDI-QKDに比べて、鍵生成割合が速い(2次関数的に向上)とする。
中国の国内メディアによれば、潘建偉他は、10kmの標準光ファイバーで115.8 Mbpsで秘密鍵を生成できるQKDシステムを開発した(23年3月)[*32]。
2⃣ 香港で発行されている日刊英字新聞サウスチャイナ・モーニング・ポストは、「中電信量子集団が、1,000km以上の地域間量子暗号通話に成功したと発表」と報道した(25年5月18日付け)[*205]。中電信量子集団は、中国通信(チャイナ・テレコム)の量子技術開発子会社。量子暗号通信は、QKDと耐量子暗号を組み合わせた暗号通信である。
●中国のQKDプロジェクト(衛星)1・・・2017年、世界初の衛星-地上間でのQKD(距離1,200km、1kbps)に成功(衛星・墨子号)。2018年、世界最大の量子暗号ネットワークを構築。新華社通信、中国工商銀行、国家電網公司などが利用。22年9月、衛星QKDシステムの重さを半分にしたと発表した[*8]。昼光環境でのQKD動作を、可能にしているようである。墨子衛星と「北京、済南、威海、麗江、漠河」にある地上局との間で、量子通信のデモンストレーションが可能のようである。
❚update!❚
シンガポール国立大学の研究者は、QKDを使った衛星(墨子号)・地上局間の量子暗号通信が解読可能である、と発表した(25年5月10日@arXiv)[*208]。プロトコルは(東芝も推している)デコイBB84。デコイBB84の安全性は、信号とデコイとが識別不能であることを前提としているが、両者の到着時間には最大312±20ピコ秒の遅延が存在した。このため、信号とデコイは98.7%の精度で識別可能と判断された。なお、これはサイドチャネル攻撃ではない。
考察すべきポイントは、以下のようにまとめられるだろう:そもそもエンジニアリング的に、信号とデコイをより精確に同期させることが本当に可能なのか(同期ズレをパルスの持続時間⋍200ピコ秒を大きく下回る水準にできるか)。経年劣化の影響を過小評価していたのか(データ取得期間=2021年10月~2022年3月)。宇宙環境の影響を過小評価していたのか。仮にそうだとして、その影響を加味した上で、大きな同期ズレが発生しないように出来るのか。無条件にQKDが絶対に安全であると考えるのは、危ない。
●中国のQKDプロジェクト(衛星)3・・・墨子号は衛星量子通信の実現可能性を示したが、コンステレーションへのスケールアップは困難である。具体的には、小型軽量の衛星🐼1、ポータブル地上局🐼2が必要である。中国の研究者は、ポータブル地上局を使用して宇宙から地上へのQKDを実行できる量子マイクロ衛星の開発について報告した(24年8月20日@arXiv[*118])。衛星(済南1号🐼3)の重量は22.7kg(墨子号250kg)に削減され、小型化を実現。地上局は、約100 kg(墨子号約13,000kg)と"ポータブル"になった。この衛星と地上局を使って、リアルタイムでの鍵蒸留🐼4と安全な通信🐼5を実証。1回の衛星通過で最大59万ビットの鍵共有を実現した。
👉 衛星コンステレーションによるQKDは、独QUBEプロジェクト、加QEYSSatミッションなどが知られている(シンガポールも他国と共同で準備している?)。しかし、中国が、大きくリードしているように見受けられる。
🐼1 コンパクトなQKD光源、APT(捕捉・指向🛡1・追尾)システムの軽量化で実現。QKD光源は、レーザーダイオード(LD)を1つだけ使用。なお、単一LDを使用しシングルモードファイバー(SMF)を介して出力することで、空間・時間・周波数等にわたる固有の均一性が保証され、潜在的なサイドチャネル情報漏洩のリスクを効果的に軽減できる、とする。APTシステムは軽量ながら、9〜10 μradの発散角、および 〜μrad の追尾精度を達成。
🛡1 指向は、ミッション機器の向きを表す概念。姿勢は、衛星全体の向きを表す。
🛡2 ビームの拡がりの程度を表すパラメータ。
🐼2 光・機械一体型設計により達成した、とする。
🐼3 2022年7月27日、高度500kmの太陽同期軌道に打ち上げられた。太陽同期軌道は、衛星と太陽の位置関係が常に一定で、太陽条件が同一の軌道。地球観測衛星の軌道には、太陽同期準回帰軌道が主に利用されている(準回帰軌道は、一定の周期で同一時刻、同一地点の飛行が可能となる軌道)。
🐼4 安全な鍵の抽出には、鍵蒸留のための一連の古典的な通信が必要。従来は、主にマイクロ波通信によって実現されていた。マイクロ波通信は、帯域幅と通信時間が限られているため、安全な鍵の蒸留に長い時間遅延が発生していた。この研究では、衛星・地上局間の双方向光通信を使用。
🐼5 プロトコルはデコイBB84。今後、ツインフィールドQKDやDI-QKD(装置無依存量子鍵配送)の実現可能性を探る、としている。
●中国のQKDプロジェクト(衛星)4・・・中国から南アフリカに及ぶ12,800kmの距離で、量子通信(衛星QKD)を確立すること(量子鍵配送実験)に成功した、と報道された(25年3月13日)[*177]。3月19日にはnatureにてnews記事[*181]が掲載。使われたのは、洛南1号(上記、●中国のQKDプロジェクト(衛星)3を参照)。
(2)量子インターネット・プロジェクト
潘建偉グループは、中性原子(ルビジウム)を使った量子中継器間で、エンタングルメントの生成を実証したと発表(24年5月15日@nature[*93])☚米ハーバード大の発表と同じ日付け。既存の光ファイバーで接続された量子中継器は、12.5km離れている(ハーバード大は35km)。エンタングルメント・スワッピングを使用して、29年末までに、距離を1,000kmまで伸ばせると主張している。
1⃣ 量子テレポーテーション
2017年に、衛星(墨子号)を使って、量子テレポーテーションを成功させている[*44]。
電子科技大学と中国科学院上海マイクロシステム・情報技術研究所は、大都市ファイバーネットワークを使った"高速"量子テレポーテーションを実行した(論文[*45]発表は23年5月10日)。テレポーテーション速度は7.1±0.4Hzで、64kmのファイバーチャネルで伝送した。平均単一光子忠実度は、≥90.6±2.6%を達成した(古典限界は66.7%)。
2⃣ 量子メモリー
❶ 南京大学他の研究者は、エルビウムイオン(167Er3+)をドープしたY2SiO5が、通信波長のもつれ光子を保存した、と報告した(23年11月1日に論文[*54]公開@nature communication)。保存時間は1.936μs。エルビウムをイッテルビウム(171Yb3+)に置き換えることで、より長い保存時間とオンデマンド読み出しが可能になると見込まれている。なお、Y2SiO5は、優れた光学特性を持つ材料として、標準的に使用されている。
❷ 中国科学技術大学の研究者は、光渦(光の軌道角運動量)を使って符号化することで、25次元ヒルベルト空間において、忠実度84.2%±0.6%の量子メモリを実現したと発表した(23年12月15日@Physical Review Letters[*82])。記憶媒体は冷却原子(ルビジウム原子)を使用。
(3)単一量子光源/単一光子検出器
❶ 中国(中国科学技術大学他)の研究者(及び独の共同研究者)は、高性能の単一量子光源を開発したと発表した(22年12月)[*16]。量子ドットで、決定論的に単一光子を生成する。量子周波数変換を使用して、光ファイバー伝送に適した通信波長帯にシフトする。量子干渉の鮮明度(visibility)は最大93%、伝送距離は300kmで600kmまで延伸できると主張。鮮明度は量子性の指標で、0%は古典的粒子を意味する。
❷ 中国のメディアは、「電子科技大学、清華大学、上海マイクロシステム信息技術研究所の研究者が、窒化ガリウムを使った量子光源を開発した」と報道した(24年4月20日)[*86]。
(4)現行暗号の解読
中国の科学者が「中国コンピュータージャーナル」に投稿した論文[*132](中国語!)は、「量子アニーラ(D-Waveのマシン)でAES256が効率的に解けるかもしれない」と警告しているらしい。正確には[*132]は、SPN(Substitution-Permutation Network)構造🐼1のブロック暗号である「Present🐼2、Gift🐼3」を解読したらしい。暗号解読問題をQUBO問題に変換することで、量子アニーラで効率的に解いたらしい。AESは、SPN構造を持つ代表的なブロック暗号であるから、(解読の困難さは大きく異なるので、やや飛躍しているが)解読される可能性はある、ということであろう。
👉 Forbesは”Debunking Hype: China Hasn't Broken Military Encryption With Quantum”という記事を公開した(24年10月16日)[*135]。解読したサイズとAES256のサイズは大きく異なるので、この研究成果は、現行暗号に脅威を及ぼさない、という内容。
🐼1 SPN構造は、Substitution(Sボックスとも呼ばれる。日本語では、換字処理と呼ばれる)と呼ばれる変換とPermutation(日本語では、転置処理と呼ばれる)と呼ばれる変換を組み合わせたものである。Substitutionは通常、非線形変換で、ソフトウェアではテーブル参照で実装されることが多い。Permutationは、複数のSubstitutionからの出力を入力とする置換処理で、Substitutionからの出力結果を拡散する役割を担っている。なお、ブロック暗号の代表的な構造として、Feistel構造(DESはこれ)とSPN構造がある。出所:https://www.ieice-hbkb.org/files/01/01gun_03hen_01.pdf
🐼2 PRESENTは2007年に発表された、軽量暗号の先駆となるブロック暗号。PRESENTは、標準暗号AESでは不可能なRFIDタグに実装可能なレベルの回路規模を実現した。出所:https://jpn.nec.com/techrep/journal/g17/n01/170114.html
🐼3 GIFTは、2017年に提案された軽量ブロック暗号。出所:https://www.ieice.org/tokyo/gakusei/activity/kenkyuu-happyoukai/happyou-ronbun/24/pdf/113.pdf
❚為念参考❚
(ややこしいことに中国ではなく台湾の)清華大学の研究者は、「単一光子波束に、32のタイムビン・モードを符号化し操作することにより、単一光子でショアのアルゴリズムを実装した」と発表している(24年9月3日@Physical Review Applied)[*136]。高次元であれば単一光子であっても、誤り耐性量子コンピューターが必要と言われるショアのアルゴリズムを実装できる、という驚くべき成果。もちろん因数分解した整数は小さい(具体的には、15)。しかし、市販の(40GHz帯域幅の)電気光学変調器を使って、「時間的に長い単一光子に、5,000個を超えるタイムビン・モードを符号化することが可能」とする。もちろん数が増えると操作は困難になるが(ノイズも考慮すべき?)、このアプローチは、AES256を解くまで、どれだけ離れているのだろうか。
ハードウェアは
22年7月30日、暗号コミュニティに衝撃が走った。「耐量子暗号」が、ノートパソコンで解読されたからだ。それは、「既存の暗号(RSA暗号)が、量子コンピュータからの解読攻撃に対して、極めて脆弱である」ことを懸念する米政府の意向を受けて、米国立標準技術研究所(NIST)が、耐量子暗号の標準方式を選定した、わずか3週間後というタイミングであった。公開鍵暗号/鍵共有のカテゴリー(1方式)、デジタル署名のカテゴリー(3方式)が選定されたのは、同月5日であった。ちなみに、ショアのアルゴリズムを使用して、RSA2048を破る計算能力に到達する量子コンピューターをCRQC(Cryptanalytically Relevant Quantum Computer)と呼ぶことがある。
ベルギーにあるルーヴェン・カトリック大学の研究者は、Cryptology ePrint Archiveに投稿した論文で、「耐量子暗号を、わずか1時間で解読した」と主張した。もう少し正確に言うと、セキュリティ レベル 1(NISTの最低必要セキュリティ・レベル)である SIKEp434 に対して、効率的な「鍵回復攻撃」(=暗号鍵の推定方法)を約 1 時間で発見できた、と主張した。しかも、使ったマシンは、量子コンピュータどころか、シングルコア・プロセッサのノートパソコンであった。加えて、8月8日には、別の研究者(ブリストル大学)が、新たな攻撃方法を発表した。
(2) 耐量子暗号は、大丈夫か?
ウォータールー大学の教授で SIKEの共同発明者であるDavid Jao(カナダの量子セキュリティ企業、evolutionQのChief Cryptographerでもある)は、なかなか恐ろしい発言をしている:「暗号学者にはよく理解されていない、深い数学がたくさんあります。私は、暗号の研究をしているが、必要なほど数学を理解していない、多くの研究者のカテゴリーに自分自身をまとめています。そのため、既存の理論的な数学がこれらの新しい暗号システムに、適用可能であることを認識している人が必要な場合があります。」[*A-1]
普通の感覚だと、「耐量子暗号 オワタw」であろうが、それはオーバーリアクションだと考える。
なぜなら、そもそもSIKEは、標準選定された暗号方式ではない(選定されたのは、CRYSTALS-KYBER(クリスタルスーケイバー))。当然、安全性の根拠とする数学的構造は、全く異なる。 SIKEは、2つの超特異楕円曲線の間に定義される、同種写像を探索する問題の困難性を、安全性の根拠としている。CRYSTALS-KYBERは、Module-LWE問題の計算困難性を安全性の根拠としている[*A-2]。
そして、SIKEは、安全性に疑問ありと考えられていた。実際、NISTが公表したStatus Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process[*A-3]には、SIKEが「補助点情報を利用した攻撃に対して、脆弱である」ことを指摘している†。ゆえに、代替方法という位置づけであった(第3ラウンドのスタート時点2020年7月で、代替方法)。ただNISTは、鍵のサイズと暗号文のサイズが小さいことから、SIKE を魅力的と考えていたようである。
ちなみに、CRYSTALS-KYBERが依拠する格子暗号は、長年にわたり堅牢であることを証明しているため、同レポートは、信頼を置いている。ただし、「格子暗号にも、未解決問題は存在しており、それらが全て解決した場合は、CRYSTALS-KYBERのセキュリティレベルは低下するだろう」とも書いている。
† あくまで、"補助点付き"同種写像問題を探索する問題の困難性に依拠する耐量子暗号が、補助点情報を利用した攻撃に対して脆弱であることに注意。同種写像ベースの全ての暗号が、補助点攻撃に対して脆弱なわけではない=同種写像ベースの全暗号が短時間で解読できるわけではない。
(3) 教訓
NISTは、SIKEがねじれ点(補助点)攻撃に脆弱であることを知っていたが、想定していたのは、量子攻撃であった。それらの量子攻撃に対して、対策が立てられているから、大丈夫という判断であった。
ルーヴェン・カトリック大学の攻撃も、ブリストル大学の攻撃も、補助点情報を利用するようであるが、それらは、古典攻撃である。David Jaoも、「攻撃は本当に予想外」と発言している[*A-1]。種数2の曲線と、種数1の曲線(楕円曲線)間を接続するという攻撃であるらしい。
教訓は、古典アルゴリズムを過小評価してはいけないということであろう(それは、暗号・セキュリティ分野に限定されない)。古典アルゴリズム、量子インスパイヤード・アルゴリズム、量子古典ハイブリッド・アルゴリズム、といった幅広い研究チームを構築し、研究することが肝要と思われる。
ちなみに、ルーヴェン・カトリック大学は、NISTによる標準選定には漏れたが、(格子暗号に属する)耐量子暗号SABERを考案・提案している。
[参 考]
NISTは、耐量子暗号選定第3ラウンドで、耐量子デジタル署名用に3つの格子ベース・アルゴリズムを選択した。格子ベース・アルゴリズムに共通の弱点が見つかった場合に備えて、他アルゴリズムも準備する意向であったが、その候補には致命的な欠陥が見つかった。そこで、2023年6月1日を期限として新たな募集を行ない、23年8月現在、40件の候補を精査している。候補は、次のようなカテゴリーに分類される。
(誤り訂正)符号ベース 5件
同種写像ベース♭ 1件
MPC-in-the-Headベース※ 7件
多変数多項式ベース† 11件
対称鍵(共通鍵)ベース 4件
格子ベース 7件 ・・・格子ベース以外で募集したのに💦
その他 5件 ・・・ハッシュ関数ベースなど?
♭ Pros:データサイズが小さい。Cons:計算コストが大きい。応用、高機能化に弱い。[*A-13]
※ MPCは、(秘匿)マルチパーティー計算(Multi Party Computation)を指す。MPC-in-the-Headは、MPCを使ったゼロ知識証明である。in-the-Headとは、文字通り、ゼロ知識証明における証明者(prover)の"頭の中で"という意味(のよう)である[*A-14]。
† Pros:データサイズ(署名長)が小さい。効率的な実装が可能。Cons:多くの⽅式で安全性証明が存在しない! 公開鍵、秘密鍵のサイズが大きい。[*A-15]
(誤り訂正)符号ベース 6件━━━━━>CROSS、LESSの2件
同種写像ベース♭ 1件━━━━━━━>SQIsignの1件
MPC-in-the-Headベース 7件━━━━>MIRA、MiRitH、MQOM、PERK、RYDE、SDitHの"5件"(MIRAとMiRitHは、Mirathに)
多変数多項式ベース 10件 ━━━━━>MAYO、QR-UOV†、SNOVA、UOVの4件
対称鍵(共通鍵)ベース 4件━━━━━>FAESTの1件
格子ベース 7件 ━━━━━━━━━>HAWKの1件
その他 5件 ━━━━━━━━━━━>0件
† QR-UOVを改良し、コンパクトさと効率性を両立した新たな仕様を公開すると発表(25年1月20日)[*A-20]。QR-UOVは日本発のデジタル署名方式で、UOVの改良版。剰余環を使って公開鍵を表現することで、安全性を犠牲にせず、鍵のサイズを削減している。
QKDシステムに存在する抜け穴を防ぐ方法は、4つ存在する[*A-4]。
(1)QKDシステムの抜け穴は、システムを構成する物理的な装置(コンポーネント)が数学理論的に完全な動作をしないために生じるのだった。そこで、全コンポーネントに対する実際の正確な数学的モデルを取得し、そのモデルを基にセキュリティを構成すれば抜け穴は塞げるはず。しかしQKDコンポーネントは複雑であり、このアプローチを実際に実現することは非常に困難である。
(2)2つ目のアプローチは、アドホックな解決策である。既知のハッキング戦略に対する対抗策を備えておくという方法で、無条件安全の名に全く相応しくない。
(3)3番目のアプローチが、冒頭Ⅰに示したDI-QKDである。ちなみに、DI-QKDが無条件安全であるためには、4つの前提条件が必要である:①真にランダムな乱数生成器、②量子鍵配送後の(古典的な)処理が信頼できること、③通信相手の認証に問題がないこと、④測定機器から(望まない)情報漏れが生じないこと。DI-QKDの欠点は、前述の通り{1}伝送距離が短すぎるということ、{2}鍵生成割合が遅いこと、である。
(4)そこで、4番目のアプローチが登場する。Measurement DI-QKD(MDI-QKD)である。MDI-QKDは、測定コンポーネント限定であるが、あらゆるサイドチャネル攻撃を防げる。そして、鍵生成割合が高速で、長距離配送を可能にする。QKDとDI-QKDの間をつなぐ技術と言える。
【2】MDI-QKDの進化過程[*A-12]:MDI-QKD → TF-QKD → PMP-QKD
MDI-QKD は、AとBが送信した光子が、Cにおいて同時検出されることを前提としている。別の表現を使うと、(AとBが送信した)光子は、2 つの隣接する時間ビンに到着する場合にのみ使用できる。しかし、光子の損失やその他の影響により、上記前提が満たされることは困難である。このMDI-QKDの課題に対処するために、ツインフィールド QKD(TF-QKD)が提案された。しかしTF-QKDにも、位相ロックという課題がある。
位相ロックとは、「2 つの離れた独立した光源によって生成される場が、あらゆる面で完全に同一でなければならない」という縛りである。位相ロックは、複雑なハードウェアとプロトコルでのみ実現できる。通常、共通の光周波数を長距離にわたって配布する必要があり、スキームは複雑なままである。
MDI-QKDと TF-QKDの長所を組み合わせた新しいプロトコルが、中国の研究者によって2022年に提案された「ポスト測定ペアリングQKD(PMP-QKD)」である。MDI-QKD では、光子は 2 つの隣接する時間ビンに到着する場合にのみ使用できたが、PMP-QKD では、その条件が次のように緩和されている:(AとBが送信した)光子は、「ペアリング ウィンドウ」内に到着すれば良い。このペアリング ウィンドウが、十分に長い場合、使用可能なフォトンの数は、PLOB 境界で設定された数よりも大きくなる。
2023年、中国の研究チーム(北京量子信息科学研究院と中国科学院のグループ)が、この PMP-QKDを実験的に実証した。使用された重要なトリックは、2 つの独立したレーザーの波長の差を安定かつ予測可能にし、相対的な安定性を高めることであった。結果として、ペアリング ウィンドウの幅を広げることに成功した。 北京量子信息科学研究院のグループは、距離413kmと508kmで、約509ビット/秒と42ビット/秒の速度を達成し、PLOB限界を超えた。
ここでは、量子通信のみを取り上げる。量子コンピュータについては、量子スタートアップ ハードウェアのAppendix Cを参照。なお量子通信は、量子コンピュータに比べて、全体的に記述が詳細である。
【1】量子ネットワークのアプリケーション
本資料では、以下(1)~(3)で示すような、今後10~15年間に技術的なインパクトのある量子通信システム(量子ネットワーク)のアプリケーションを特定しており、参考になる。
(0) 量子通信とは
本資料では、以下のように定義している:量子通信とは、単一光子ともつれ合った光子をネットワーク(量子ネットワーク)を介して交換し、その光子に情報を符号化したり測定したりすることである。このような量子通信は、分散量子計算、分散量子センシング、量子安全通信など、様々な応用が期待されている。量子ネットワークの最適な構成は、その用途によって異なる。例えば、ファイバーと市販の高速光変調・多重化システム用エレクトロニクスを使ってポイント・ツー・ポイントの量子暗号システムを構築するのと、ファイバー接続の希土類添加結晶をベースにしたメモリ付き量子中継器を使って長距離の量子コンピュータ・インターネットを構築するのでは、全く異なる作業となるであろう。
(1) 量子鍵配送(QKD)
QKDは量子通信の応用の中で最もよく研究されている。政府への影響については、米国・国家安全保障局(NSA)が、現在のQKDの実用性には大きなギャップがある(特に、DoS攻撃に対する脆弱性、耐量子セキュリティプロトコルに照らした場合、潜在的に無価値である)と公表したことから、低いと考えられている(DI-QKDは言うまでもなく、エンタングルメント・ベースであるMDI-QKDが実用されれば、その限りではない)。
しかし、企業や通信事業者レベルのネットワーク・コンポーネントが DoS攻撃に対する追加の保護を提供するため、民間企業における QKD の影響は政府機関よりも強い可能性がある。ポイント・ツー・ポイントの短距離(200km未満)QKDの成熟度は高いが、量子中継器を使用した量子安全距離の延長はまだ初期段階である。
(2) 量子拡張型古典通信
将来の古典・量子ハイブリッドネットワークでは、古典的なメッセージの送信や処理に、エンタングルメントの共有によってもたらされる、非局所的な協調を利用することができるかもしれない。このような利点を実現するためには、古典と量子のハードウェア間の、高忠実度の相互接続が不可欠となる。
(3) QKDを超える認証とセキュリティ
QKDに関連するプロトコルは、盗聴者が暗号文を保存し、後で復号化する問題に対処できるような、信頼性の高い認証プロセスの開発に拍車をかけている。敵対者の存在は、チャネル・トモグラフィー技術やデバイスに依存しない処理によって、古典的な方法よりもQKDのような方法を用いた方が容易に検出できる可能性がある。量子暗号の概念や量子秘密分散法(※)は、プライベートなデータベースクエリから量子デジタル署名、検証可能なランダムネス・ビーコン、量子ビザンチン認証プロトコルまで、量子ネットワークで実装すれば価値を提供できる可能性がある。
また、量子安全投票は、政府/公的機関の投票や、商業的な文脈での入札に大きな影響を与える可能性がある。この分野は、初期段階での試験運用が可能である。これらのアプリケーションはすべて、使用可能な量子メモリと、高速かつ高忠実度のエンタングルメント移動機能の開発から、大きな恩恵を受けることになる。
※ 分散情報として、量子状態を利用した秘密分散法。秘密情報は、古典的なデジタル情報と量子状態の二つがあるが、ここでは、文脈から後者と考えられる。
【2】今後10年間の課題
本資料では、(時系列で重要な順に)7つの課題及び量子通信の課題、があげられている。
(1) 近い将来、商業、政府and/or科学界で必要とされる明確なアプリケーションを提供すること
【1】(1)~(3)で挙げたアプリケーションは、量子通信が未熟であるため、10 年後のタイムスケールでは、関連する技術に制限される可能性がある。そのため、量子ネットワークの並列開発は、10年以内のタイムスケールにおいて、商業的・政府的関心を維持するために、より明確な目的を持つ必要がある。もし、10年以内に実現可能なアプリケーションを特定することができれば、より多くの産業投資により、現在知られている長期的なアプリケーションを実用化することが可能になる。
(2) 可視光、近赤外線、光通信波長の光子ベースの量子ビットに対応する重要な量子コンポーネントの開発
この「必須」課題は、主要指標において”10 倍以上”の改善を必要とする。最も顕著な例は、量子メモリであり、タイプに応じて、コヒーレント蓄積時間や光結合の忠実度や速度において、桁外れの改善を必要とする。量子光源、量子トランスデューサ、量子多重化機能、量子ルーティング機能なども、その一例である。他の多くの光通信コンポーネント(例えば、カプラ)は、ほぼ成熟しているが、量子通信の文脈で使用するためには、工学的な改善が必要である。
(3) 量子中継器を用いた量子通信を実証し、直接伝送を超える成功確率を達成すること
量子中継器[*A-7]は、直接伝送を超える速度でエンタングルメントを移動できることが大きな特徴である。そのためには、量子中継器を利用した方が成功確率が高くなることが重要である。このような「原理検証」はまだ行われていないが、量子メモリでの予備的な結果は有望であり、プロトタイプの実用化は、これまで実現されていない複数の相互作用するコンポーネントの組み合わせが必要なため、非常に有益である。
(4) 量子中継器を用いた長距離(都市間)エンタングルメント移動の実証
メモリや処理ノードに長い遅延がある場合など、構成要素の制限により試行率を下げなければならない場合、高い成功確率の利点は失われる。そのため、量子中継器を用いない場合よりも高い確率で長距離エンタングルメント移動ができることを、実証することが重要な課題となっている。例えば、蘭デルフト工科大学の最近の実験では、量子通信速度は量子中継器を用いない方法(より短い光子波束を用いるため、高い繰り返し周波数が可能)よりもはるかに低かった。物理的距離を実際に横断し、中継器の実用的な利点を示す速度で、量子中継器対応ネットワークコンセプトを証明することが、依然として未決課題となっている。エンタングルメント移動の速度で真の優位性を得るには(1回あたりの効率だけでなく)、光源、中継器、検出器側で大量の多重化が必要である。
(5) マルチノード量子ネットワークアーキテクチャの開発(最適化、標準化)
実際のアーキテクチャがなければ、構成要素の評価指標は不明確である。効果的な計画のためにはリソース要件が必要である。競合する要素技術をベンチマークするためにはターゲットが必要である。そして、将来のスケーリングを考慮した標準化を確立する必要がある。異なるスケールのアーキテクチャは本質的に異なるため、アーキテクチャ開発の成功は多層的である。実際、下記(6)と(7)のためには、複数のネットワークアーキテクチャと単一のネットワークアーキテクチャが必要であろう。
(6) 都市間における均質なマルチノード量子ネットワークの実証
これは、米エネルギー省の量子インターネットのマイルストーン3「 Intercity Quantum Communication using Entanglement Swapping[*A-8]=エンタングルメント・スワッピング(量子エンタングルメントの量子テレポーテーション)を用いた都市間量子通信」に類似している。 都市間規模の量子ネットワークに到達するには、全システムリンクで距離を有意に延長し、それによって 量子インターネットの可能性を実証することが必要である。都市間規模の量子ネットワークの重要な特徴は、相当な距離/エリアを越えて、多くのノードに対してエンタングルメント可能な、量子中継器ベースの通信原理を証明する必要があること。
(7) 州間規模での非均質量子インターネット網の実証
これは、米エネルギー省の量子インターネットのマイルストーン4「Interstate Quantum Entanglement Distribution using Quantum Repeaters[*A-9]=量子中継器を用いた州間量子エンタングルメント移動」に類似している。将来の量子インターネットが州間スケールで "均質 "であることを期待することはできない。州間の規模になると、量子ネットワークシステムには、中継器、不均質耐性スケーラブル・アーキテクチャ、標準規格、国家インフラが確実に必要になる。このような "インターネット"は、人工衛星の利用を含むかもしれない。真の”システム”デモは、インターネットのように、 "ネットワークのネットワーク "を含むだろう。
(8) 量子通信の課題
1⃣ ファイバーベースの量子ネットワークシステム
量子通信の課題は、ネットワークに対するシステム要件に関わるものである。量子ネットワークシステムは、既存の通信システムと同じか類似のインフラストラクチャに収容することが最も現実的である。この実用的なシステムアプローチは、特にファイバーベースの量子ネットワークシステムにとって望ましいが、多くの技術的および基礎科学的な問題を提起する。運用は、既存の商業的に敷設されたシングルモード・ファイバー上で行う必要がある。システム内のいくつかのコンポーネントが極低温要件を組み込んでいたとしても、室温動作のシステムが主に好まれるだろう。
これらの要件を維持するためには、インラインアンプ(ILA)サイトやファイバーハットに設置される可能性のある量子中継器は、その過酷な環境のために厳しい条件を課される。ミリケルビン領域ではなく、商業的に広く利用されているクライオ・コンプレッサー技術で動作する範囲(4~80ケルビン)で動作する合理的なサイズの低温システムは、十分に実用的と考えられるが、許容できる設置面積と電力消費に関するエンジニアリングの考慮は、どのアプローチでも評価される必要がある。
この要件は、環境に依存する。たとえば,量子中継器の場合,ILA ステーションの厳しい要件を満たすには,19 インチラックに 2U の設置面積と100Wの消費電力が必要になる場合がある。
都市圏、大陸横断、海洋横断のネットワークは、通信事業者や企業などがすでに展開している広大な地理空間光データネットワークを利用することになる。
これらのネットワークに関するシステムレベルの重要な問題や検討事項は、以下の通りである。通信事業者や企業などが既に導入している光データネットワークに、量子通信システムを適応させるためには、これらの要件を満たす必要がある。
❶ 量子中継器なしで運用するためには、最低100kmの到達距離が必要である。
❷ 量子チャネルは O バンド(1260-1360nm)、DWDM(高密度波長分割多重)データチャネルは C バンド(1530-1565nm)と L バンド(1565-1625nm)で多重化することが理想的。量子チャネルのための特別なステーションがないため、量子中継器は通常のDWDMデータチャネル機器を収容する同じILAステーションに配置されるべきである。
❸ 量子中継器では、偏波モード分散、偏波依存性損失、偏波状態の揺らぎ、分散、ラマン散乱、非線形光学効果などのチャネル劣化要因に対する耐性が重要視される。
2⃣ 衛星ベースの量子ネットワークシステム
衛星ベースの量子ネットワークシステムは、多くの理由から、既存のファイバーネットワークに代わる魅力的な選択肢となるが、そこに至るには、❶移動するプラットフォームの同期を改善し(移動プラットフォーム間での真のテレポーテーションや、エンタングルメント・スワッピングは実証されていない)、❷従来採用されてきた光学部品のサイズ・重量・消費電力(Size,Weight and Power、いわゆるSWaP)を大幅に削減することが必要となる。
【3】今後必要となる技術開発
本資料では、(課題によっては)具体的な数値も示しつつ、掲題につき15項目をあげている。
(1) 極低温単一光子検出器
超伝導ナノワイヤ単一光子検出器(SNSPD)は、すでに効率とダークカウント(日本語では、暗計数率:誤検出の割合)において高い性能を実証している。現在の仕様は、以下の通り:臨界温度は1~4ケルビン。臨界電流は1µA超。 ダークカウントは、毎秒100回未満。タイミング・ジッタは(概ね)10ピコ秒。これらの検出器には光子数分解機能があり、いくつかのプロトコルには有効である。検出器のデッドタイムを現在よりも短くすることで、より少ない検出器とスイッチング回数で、ハードウェアを簡素化することができる。性能の向上は、ナノスケールの超伝導材料研究の進展に依存する。広く普及させるには、極低温工学の改善とコスト競争力が必要である。
(2) 半導体単一光子アバランシェ・ダイオード(SPADs)
SiベースのSPADの光子検出効率は40~70% (550-800 nm)を超え、タイミング・ジッタは50 ピコ秒以下、ダークカウントは100 cps未満(cpsはcount per second:回/秒)、飽和率は150 Mcps超、すべて室温で実証されている。SPADの課題(および研究ニーズ)は、上記の仕様を満たすシリコンデバイスでは全く効果がない、赤外O-バンドおよびC-バンドの光通信波長での効率的な検出である。SPADの通信用への成熟には、新材料の研究、ジッタやアフターパルス(光子が検出されないのに、出力パルスが放出されること。いわゆる誤検出)を減らすための電子ドライバの研究、高効率の波長変換の研究などが必要である。光子検出効率>80% とタイミングジッタ <50ピコ秒という目標は妥当なものである。
(3) エンタングル/ハイパーエンタングル光子対光源
非線形光学プロセスを用いたエンタングル光子源は、現在、商業製品となっている。しかし、高度に多重化された光源の実証が必要である。95%を上回る忠実度/スペクトル純度かつマルチペアイベント(複数光子対生成確率)5%未満で、生成速度が107/秒を越えるか、もしくは決定論的に生成されれば、採用が大幅に加速される(※)。
また、波長と帯域幅が異なるため、既存の光源とメモリはほとんど互換性がなく、量子変換が必要である。さらに、スケーリングや集積化も必要であり、これらには非線形材料の進歩やアクティブレーザーの集積化が必要である。また、多自由度にわたる高次元のエンタングルメントやハイパーエンタングルメントの最適化されたソースも必要である→ヘリオットワット大学(スコットランド・エジンバラにある公立大学)・ジュネーブ大学(スイス)の研究者は、多次元(53次元)でエンタングルした光子を使用することにより、エンタングルメントの堅牢性を向上させることができたと発表した(22年11月)[*14(再)]。白色雑音の36%で、79kmの光ファイバーに相当する損失とノイズ条件を通して、絡み合った光子をsteering[*15(再)]することができた。
※ 量子暗号では、1パルスが複数の光子を含むと盗聴される可能性が生じる。
(4) 超低損失光チャネル
超低損失光チャネル の研究は、光通信用波長での石英ファイバの成功の結果、ファイバ側ではほとんど静かな状態である(超低損失ファイバ [0.142dB/km]や、量子中継器を使わない通信用のフッ化物超低損失ファイバの開発といった例外はある)。多くのシステムでは、損失は相互接続と光カプラーによる挿入損失によって制限される。大幅な開発は、挿入損失を下げる(~10 倍)ための手頃で生産性の高い経路によって促進されるであろう。
(5) 空間と地上の接続
研究ニーズとしては、低 SWaP の堅牢な光源と検出器の改良、時間同期システム、量子メモリ、(テレポーテーションとエンタングルメント・スワッピングの成功率を向上させる)自由空間補償光学法の改良が挙げられる。また、超伝導ナノワイヤ検出器など、飛行に耐えうる極低温装置も必要とされるかもしれない。実用性の明確な指標は、モバイルプラットフォーム間や宇宙から地上へのチャンネルを介した真のテレポーテーション/エンタングルメント・スワッピングなどの、パイロット研究の成功によって示されるだろう。
(6) 古典的なネットワーキング、同期、完全なサイバーセキュリティプロトコルとの統合
量子インターネットは、古典的なネットワークと量子チャネルの両方が存在するハイブリッドなネットワークとなる。商業的な採用は、量子通信と古典的なプロトコルの明確な相互作用に依存する(例えば、ルーティングは古典的なチャネルで処理される可能性あり)。企業や通信事業者は、量子ネットワークのすべてのコンポーネントが、管理性(パフォーマンス監視、アラーム、遠隔測定、障害管理など)に関する現在の基準を満たすことを要求する。
(7) トランスデューサー
光-光変換(波長変換)研究は、物質量子ビットを光通信波長にリンクさせることに関連している。ネットワークへの導入には、波長分割多重化システムと互換性のある適切な性能仕様(80%以上の効率、90%以上の忠実度)を持つ製造可能なシステムが必要である。また、光源とメモリの互換性を保つために、光帯域幅の変換も必要になると思われる。マイクロ波から光通信の波長変換は、超伝導量子ビットに基づくコンピューティングとの関連性を考えると重要である。重要な開発へのゲートウェイには、90%以上の忠実度と 1kHz 以上の帯域幅で量子状態の変換を可能にする効率閾値を通過する必要がある。
(8) 量子メモリ
スケーラブル(すなわち、オンチップ)な量子メモリのニーズが高い。典型的な目標は、❶3ケルビンで、量子メモリ保持時間10ms(できれば100ms)、❷3ケルビンで、メモリ効率 80%(できれば90%)、❸シリコンフォトニクスと統合する、ことである。量子コンピュータ、量子科学、量子通信における重要性を考慮し、量子ネットワーク用メモリ改良のための研究が活発に行われている。研究ニーズとしては、欠陥やドーパントを利用した半導体や絶縁体のホストメモリの開発、成長、加工、エッチング、研磨などの材料開発、ファイバ結合、オンチップフォトニクス、パッケージングなどのデバイス統合がある。
(9) 量子ネットワークの主要な構成要素の追加開発
さらに高速・低損失の量子スイッチや多重化技術など、量子ネットワークの主要な構成要素の開発が必要となる。これらのコンポーネントは、低ジッター超伝導検出器からの高速フィードバックを利用するための極低温エレクトロニクス開発に依存する可能性がある。スイッチング用ハードウェア(多重化ユニット内部)は、単一光子(挿入損失0.5dB未満)に対応することを示さなければならない。
(10) ネットワークプロトコルの最適化
ネットワークプロトコルの最適化は、リンクからネットワークへの移行において必須である。マルチホップ・ネットワークを実現するには、ネットワーク内の選択されたパスに情報をルーティングする手段と、チャネルの信号損失を補償する量子中継器を組み込む手段の両方が必要である。このため、詳細なスイッチング/ルーティングプロトコルを評価・開発する必要がある。
(11) ネットワーク・アーキテクチャ
接続アーキテクチャ(第一世代から第三世代)は提案されているが、真の意味で完全なネットワーク・アーキテクチャは存在しない。しかし、量子誤り緩和技術や量子ネットワーク・コンポーネントの信頼性の高いモデルなど、新たな理論的研究に大きく依存することになる。
(12) 古典的な計算・通信サービスとの統合
量子ネットワークや量子コンピュータが提供するサービスは特殊であり、アーキテクチャ上、より一般的なシステムにおけるプロセッサの一種として捉えるのが妥当である。そのため、プログラミングツールやハードウェアは、従来のシステムにシームレスに統合される必要がある。例えば、暗号化サービスは、古典的な鍵管理システムや複雑な電子商取引システムに統合されなければならない。
(13) 量子誤り訂正された量子ネットワーキング機能
現実的なハードウェアで実現可能なアプリケーションは、すべて量子誤り訂正に依存することになる。現実的な性能保証のある理論的な誤りしきい値は、より重要なハードウェア開発のゲートとなる。この分野では、3世代の中継器のモデル開発や、エンタングルメント蒸留†(原文ではpurification(純粋化or精製)であるが、同じ意味で馴染みのある「蒸留」を採用した)や量子誤り訂正ベースのシステムのしきい値の確立など、実質的な研究がすでに始まっている。このトピックは、量子計算の取り組みと調整することができる。
† エンタングルメント蒸留とは、「複数の弱いエンタングルメント」から「少数のより強いエンタングルメント」を抽出する操作を指す。重要なポイントは、”局所量子操作と古典通信(いわゆるLOCC)のみ”によってエンタングルメントが増強される、ことである。LOCC=Local Operation and Classical Communication.
👉 米シカゴ大学プリツカー分子工学大学院、米イリノイ大学アーバナ・シャンペーン校及び米マイクロソフトは、「汎用的なエンタングルメント蒸留プロトコルは、存在しない」と主張する論文を発表した(25年5月6日)[*A-21]。これは、「蒸留プロトコルが、入力に相当する”弱いエンタングルメント”の状態に依存する」ことを意味している。エンタングルメント状態は、「いつ・どのように『生成、保存、処理されたか』によって変化する」。つまり極端な場合、蒸留プロトコルを適用することで、エンタングルメントが弱くなることもあり得る。
(14) リンク、ノード、ネットワークの監視と管理
量子ネットワークは、リンクや他のハードウェアの状態を適切な時間スケールでテストし、記述することを学ぶため、ネットワーク管理に新たな課題をもたらす。この作業には、低レベルのハードウェア制御と、量子ビットや量子もつれ状態レベルでの操作の両方が必要となる。量子コンピュータの認証に関する活発な研究は、量子ビットの増加に伴うスケーリングの課題に焦点を当てているが、ネットワークについては、二分割された量子もつれ状態の統計的精度に関する大きな定数因子と、長時間実行後にバッチ処理ではなく、運用目的で継続的に検証(例えば、ベル不等式破れ実験)を行う必要性がより大きな課題である可能性がある。
(15) アプリケーション・プログラミング・モデルとインターフェース
現在までにQKDのみ対応済みである。APIやライブラリは、高精度時計との連携が必要であり、盗聴器検知を含む多くの目的のためにプログラミング・モデルの一部として統計的確実性の概念を持たせる必要がある。従来のインターネットアプリケーションでは、ソケットと呼ばれる中間レベルのソフトウェア構造、あるいはリモートデータ照会や処理要求のための上位レベルのツールを使用している。ポータブルで書きやすく、デバッグしやすいコードをサポートする量子的な同等品を開発する必要がある。
BB84(あるいはデコイBB84)ベースのQKDは、少なくとも通信経路がセキュアでないことが、大きな問題であった。Terra Quantumによる今回の成功は、通信経路の安全度を高める取り組みの成果である。なお、QKDは、正確にはツインフィールドQKD(TF-QKD)である。 TF-QKDを極めてシンプルに表現すれば、量子暗号通信距離を大幅に伸ばせるQKDであり、東芝が開発した。
具体的な、取り組みは、以下の通りである。
【1】H/W、アルゴリズムの開発
(1) QKDでは、通信距離を伸ばすために、増幅器を通信経路に導入する。導入される増幅器は、通常、エルビウム添加ファイバ増幅器(EDFA)である。TQ-QKDプロトコルでは、(Terra Quantumが、独自に開発した)EDFAを50kmごとに配置する。EDFAは、理想的な量子中継器ではないため、自然放射増幅光(ASE)を生成し、検出された情報を運ぶ信号に干渉するノイズを引き起こす。 このノイズはフィルタで除去するが、このフィルタは熱への感度が高い。そこで、特別なサーモスタットを開発した。
(2) オフセット電圧が浮動すると、振幅変調器の動作点がシフトする可能性があり、光信号の平均強度も変化する。このシフトを補償するために、変化する光信号の平均強度を、元の大きさに戻すアルゴリズムを開発した。
【2】 オペレーション
(1) 量子誤り訂正符号として、反復符号と低密度パリティチェック(LDPC)符号の、組み合わせを採用した。具体的なビット誤り率に合わせて、誤り訂正符号の最適な組み合わせを使用する。このため、ユーザーは、最大の鍵生成割合を達成できる。
(2) 通信経路には、多くのEDFAが導入されるため、通信経路全体で見ると、いくつもの信号反射が発生する。つまり、通信経路全体が、弱い共振器を含む活性媒体と考えられる。ASEが、この活性媒体と共振しないように、信号増幅する必要がある。
【3】 攻撃に対する防御
以下に上げるような通信経路に対する攻撃は、光学的時間領域反射率測定(OTDR)技術を使用することで、防ぐことができると主張。具体的には、短く強力な光パルスを通信経路に送信し、後方散乱信号を測定することで、ローカル傍受を検出する。
❶ 接続部の損失の測定・・・信号の一部は、接続部でチャネルの外に漏れる。増幅器近くの接続部分が特に危険であるが、(OTDRで)検出が可能である。
❷ 局所リークを作成した攻撃1・・・ ビームスプリッターを使用すると、信号の一部を迂回させることができる。つまり攻撃手は、信号の一部を使用することができるため、通信経路に物理的に介入することなく、通信を傍受できる。
防御法は、シンプル。ビームスプリッターを使用して信号の一部を迂回させる場合、付随して、損失が発生する。攻撃手は、信号迂回に付随する損失を隠すために、独自の増幅器を導入して、損失を回復する必要がある。しかし、増幅器の導入=物理的介入は、(OTDRで)容易に検出可能である。
❸ 局所リークを作成した攻撃2・・・盗聴者は、光ファイバーを曲げて、チャネル信号から出力される信号をすべて収集しようとする可能性がある。光ファイバーを曲げると、強度が急激に変化するので、(OTDRで)容易に検出可能である。
ロシア量子センター(RCC)🐾1他🐾2の研究者は、「量子鍵配送(QKD)システムのハードウェアを分析して、既知の脆弱性を見つけ・新しい脆弱性の可能性を探し、その対応策を考案」した論文[*A-18](以下、本論文)を発表した(24年10月12日@arXiv)。
基本的には、全ての脆弱性に対応した(抜け穴を全て塞いだ)と主張するが、実際のところ、それほど単純ではないと思われる。
🐾1 ロシアの非営利科学技術センター。2010年設立。世界で初めて(2018年)、量子ブロックチェーンを立ち上げたのはRCCらしい。現在、ロスアトム(露国営原子力企業)支援の下、量子コンピューターを作るプロジェクトに参加している。出所:https://tadviser.com/index.php/Company:Russian_Quantum_Center_(RCC,_Russian_Quantum_Center,_RQC)
🐾2 西ヴィーゴ大学、露モスクワ鉄鋼合金製造大学、泰マヒドン大学、加ウォータールー大学、泰Quantum technology foundation(タイの量子ソフトウェア・スタートアップ)、QRate(【2】(1)1⃣参照)、中国人民解放軍国防科技大学、ロシア科学アカデミー、ロシア国立研究大学高等経済学院。
【1】本論文の主張
(0) デコイBB84ベースのQKDに対して、潜在的な脆弱性やサイド・チャネルをすべて考慮した、完全な安全性証明(☛【2】(2)参照)は、現時点では存在しない。つまり、以下の主張は、「現在実行できる合理的なベスト・プラクティス」アプローチに過ぎない。また、Q1~Q4層の安全性分析を実行したが、Q5~Q7層については、安全性分析を実行できていない(Q1~Q7層については【2】(3)を参照)。
その上で、本論文は、以下を主張する:
(1) 既知の情報と新しい可能性の探索により、14件の脆弱性をリストアップした。リスクが高い4件を含めて、全ての脆弱性の対応策を導出した🐾3。
🐾3 全ての対応策で、その有効性(つまりは、各脆弱性が回避できること)を実証しているわけではない。
(2) 本論文で特定されたデコイBB84における全ての潜在的な問題🐾4をカバーするには、5 つのテストベンチが必要である。
🐾4 本論文で特定された全ての潜在的な問題で、全ての問題が網羅されていることは保証されない。
【2】事前整理
(1) 評価対象QKDシステム
1⃣ 概要
QKDシステム構築を担ったQRate🐾5は、最もよく理解され、最も広く研究されているスキームとプロトコルを選択した。すなわち、準備と測定スキームと、3 つの強度(真空、デコイ、信号)のデコイ状態を持つ BB84 プロトコルである。この選択には、正確さについて広く精査された完全な一般的な安全性証明を利用できるという利点がある。具体的には、1548.51nmの波長と312.5MHzのクロック周波数で、偏光符号化された状態を持つ、デコイBB84プロトコルを使用したQKDシステムを評価対象とした。
🐾5 QRate(https://goqrate.com/)は、ロシアの主要組織のインフラストラクチャに対して、量子暗号化技術を開発および実装している企業。
2⃣ 光学機器構成
㈠ アリスのコンポーネント
レーザー(L)、強度変調器(IM)、FC/PC光コネクタ(R)、位相変調器(PM)、ビームスプリッター(BS)、光終端器(T)、パワーメーター(PwM)、高密度波長分割合波器(DWDM)、可変光減衰器(VOA)、固定減衰器(Att)、偏光無依存型アイソレータ(Iso)、同期検出器(SD)、偏光コントローラー(PC)、偏光ビームスプリッター(PBS)、単一光子検出器(SPD)
㈡ ボブのコンポーネント
高密度波長分割合波器(DWDM)、偏光コントローラー(PC)、同期検出器(SD)、位相変調器(PM)、FC/PC光コネクタ(R)、偏光ビームスプリッター(PBS)、単一光子検出器(SPD)
(2) 安全性証明
盗聴者(業界の慣例により、イヴEveと呼ばれる)の攻撃により、盗聴者=イヴに漏洩した情報が、プライバシー増強🐾6によって正しく除去されることを、数学的に証明することが、安全性証明である。安全性証明は、鍵蒸留処理を行うことで、QKDが(上限11.377%を下回る)量子ビット誤り率に対して、秘密鍵を生成できることを保証する。なおザックリ言うと、鍵蒸留=ふるい落とし🐾7+誤り訂正+プライバシー増強である。本論文で行われた、具体的な鍵蒸留手順は、下記(4)を参照。
(デコイ)BB84を含むQKDは、”絶対”・無条件安全性が証明されていると誤解されているが、安全性証明には「仮定」が置かれている。明白・暗黙に関わらず、その仮定が成立しない場合、無条件安全性は満たされない。
🐾6 盗聴された可能性のあるビットを排除すること。秘匿性増幅・秘匿性増強とも呼ばれる。イヴから見てランダム性の弱いビット列(ふるい鍵)に、ランダム行列を掛けることで、ランダム性が高く短いビット列(秘密鍵)を生成する。誤り率検証に使わなかったビット列が、ふるい鍵(sifted key)と呼ばれる[*A-19]。
🐾7 光子の失われたビットなどを排除することを、ふるい落としという。誤り訂正は、送受信者が共有したビット列間の誤りを直すことである。
(3) リスクの尺度
脆弱性が排除または十分に対処され、安全性に関するリスクがなくなった場合、当該脆弱性は「解決済み」とされる。そうでない場合は、3 つのパラメータで重大性を評価する。3 つのパラメータ値を合計し、全体的なリスク要因を評価する。合計が 0 または 1 の場合、全体リスクは低とする。2 は中、3は高とする。
A) 脆弱性を悪用される可能性
現在の知識によれば、特定の脆弱性がシステムに存在する可能性はどの程度か?
脆弱性の存在が確認されているか、その可能性が疑われる場合、このパラメータの値は 1 になる。脆弱性が原理的にはあり得ると考えられるが、可能性は高くない場合(特定の脆弱性が存在するかどうかを確実に調べるために、システムをまだテストしていない場合)、値は 0 になる。ここでの考え方は、存在する可能性が高いことがわかっている脆弱性は、メーカーが対処する上でより重要であるという考え方である。
👉 重篤な脆弱性であればテスト実施済のはず!という「メーカー性善説」に準拠している。しかし、これはある意味、責任のなすり合いであり、能天気な考え方のように思える。つまり、このパラメータの信頼性は、ケースによっては高くない、と思われる。
B) 将来または現在の技術での実現可能性
今日の技術で脆弱性を悪用できる場合 (つまり、完全なエクスプロイト🐾8を構築するためのすべてのコンポーネントを購入または簡単に開発できる場合)、値は 1である。まだ存在していない将来の技術が必要な場合、値は 0 である。
たとえば、エクスプロイトを実行するために、敵対者のイヴがセットアップで95%効率の単一光子検出器を使用する必要があるとすると、これらは現在市販されている。ただし、エクスプロイトでイヴが、無損失光通信回線を使用する必要がある場合、これは原理的には可能であるが(物理学では無損失回線を禁止していない)、現在は利用できない。後者の場合、イヴは、現在存在するよりもはるかに損失の少ない光ファイバーが製造されるまで、または高品質の量子中継器が構築されて、今日の損失のある光ファイバー上で無損失量子テレポーテーションを実装できるようになるまで待つ必要がある。どちらも実際にはイヴにとって実現の見込みが薄いため、今日エクスプロイトを構築することはできず、セキュリティ問題は会社が対処すべき緊急性が低くなる。攻撃の構築方法が、現在不明な場合も、値は 0 である。
👉 攻撃に使用する物理的デバイスが存在しない・利用できないという理由は、ある程度納得が行く(が、攻撃が不可能であることは意味しないので注意は必要だろう)。しかし、「攻撃の構築方法が、現在不明」という理由は、明日にでも条件がクリアされる可能性がある。故に、このパラメータの信頼性は、ケースによっては高くない、と思われる。
🐾8 (セキュリティの文脈における)エクスプロイトとは、OSやソフトウェアなどの脆弱性を突いて不正な動作を行うプログラム、もしくはそういったプログラムを利用した攻撃を指す。
C) 鍵情報漏洩量の多寡
攻撃によってイヴに秘密鍵に関する完全なorほぼ完全な情報が提供される場合、値は 1 である。攻撃によってイヴに秘密鍵に関するわずかな部分的な情報しか提供できない場合、値は 0 である。
(4) 鍵蒸留手順
本論文では、以下の通り:
1⃣ ふるい落とし
ボブは、登録されたパルスの位置とその測定基底をアナウンスする。アリスは、基底が一致するかどうかをアナウンスし、互換性のない基底を持つすべてのイベントを破棄する。一致する基底については、アリスは各パルスの種類 (信号またはデコイ) もアナウンスする。
2⃣ 誤り訂正
アリスのふるい鍵は参照として使用され、ボブは鍵間の不一致を見つけて排除する(誤り訂正)。この目的のために、低密度パリティチェック(LDPC)符合が使用される。
3⃣ 検証とパラメーターの推定
誤り訂正された鍵のID は、修正された PolyP32ハッシュ関数を使用して検証される。
4⃣ 盗聴レベルの推定
ボブはイヴに漏洩した情報の総量を推定し、有限鍵サイズ効果🐾9を考慮した秘密鍵の長さをℓ計算する。ℓ≤ 0 の場合、アリスとボブはプロトコルを中止し、次に生成された鍵ブロックに進む。
5⃣ プライバシー増幅
検証された鍵は、テプリッツ・ファミリー🐾10の 2 ユニバーサルハッシュ関数🐾11を使用して圧縮される。その結果、アリスとボブは長さ ℓの共通の短い秘密鍵を取得する。
🐾9 QKDの安全性解析では、パルス数と(ふるい)鍵長を無限大とするが、実際は有限である。有限の場合、秘密鍵生成率は、無限大を仮定した場合よりも小さくなる。その効果を、有限鍵サイズ効果と呼んでいる(呼び方は色々ある)。
🐾10 テプリッツ行列の乗算でハッシュ値を計算するタイプのハッシュ関数ファミリー。テプリッツ行列は、ザックリ言うと「斜めに同じ要素が並ぶ行列」。
🐾11 言葉で定義するのは難しい。ユニバーサルハッシュ関数は、安全性を衝突確率で証明できるらしい。欠点は、ハッシュ値の計算に時間がかかることである。
(5) 為念参考:Q1~Q7層
Q1層 光学
光学および電気光学コンポーネントで実現される光信号の生成、変調、伝送、検出。これには、量子状態と、同期と校正のためのサービス光信号の両方が含まれる。例えば、デコイBB84では、この層には、異なる偏光と強度を持つ微弱なコヒーレントパルスの生成、その送信、偏光分割、検出が含まれる。
Q2層 アナログ・エレクトロニクス・インターフェース
ファームウェア/ソフトウェアと電気光学装置間の電子信号処理と調整。これには、例えば電流-電圧変換、信号増幅、混合、周波数フィルタリング、制限、サンプリング、タイミング-デジタル変換、アナログ-デジタル変換などが含まれる。
Q3層 ドライバと校正アルゴリズム
異なるレジームにおけるアナログ・エレクトロニクスおよび電気光学デバイスの低レベル動作を制御するファームウェア/ソフトウェア・ルーチン。
Q4層 オペレーション・サイクル
量子ビット伝送、較正、その他のサービス手順を交互に行いながら、サブシステムを異なる体制で実行するタイミングを決定するステートマシン。
Q5層 後処理
生データの後処理を行う。QKDの場合、生の鍵データの準備と保管、ふるい落とし🐾7(既出)、誤り訂正、プライバシー増強、認証、およびこれらのステップに関わる古典的なパブリック・チャネルを介した通信が含まれる。
Q6層 アプリケーションインターフェース
量子通信プロトコルと、そのサービスを要求した(古典的な)アプリケーションとの間の通信を処理する。例えば、QKDの場合、生成された鍵を暗号化装置や鍵配送ネットワークに転送する。
Q7層 インストールとメンテナンス
メーカー、ネットワーク事業者、エンドユーザーによる手動管理手順。
【3】脆弱性の詳細及び、具体的な対応策
(0) 前説
本論文は、デコイBB84に存在する脆弱性の詳細を書き下し、その対応策を提示する、という構成になっている。本稿は、最初にサマリーである「リスク評価」を掲示し、「詳細・対応策」を追記するという形式にした。「詳細・対応策」の中身は、本論文に記述されている内容であるが、そのまま(英語を日本語に訳して)記述しているわけではない。本論文の記述は、議論展開が若干分かり難いので、分かり易く書き直している。また、全体リスクの高中低でグループ化し、リスクが高いグループから順に書いている。
なお、リスク評価の凡例は、以下の通りである。ただし、Aは「脆弱性を悪用される可能性」、Bは「将来または現在の技術での実行可能性」、Cは「鍵情報漏洩量の多寡」である(【2】(3)にて既出)。凡例☞ ◤リスク評価◢ 全体リスク:中|個別リスクA)1、B)0、C)1
(1) 超線形検出器制御攻撃
◤リスク評価◢ 全体リスク:高|個別リスクA)1、B)0、C)1
A) 脆弱性は悪用される可能性がある
B) 現在の技術で攻撃可能
C) イヴに重要な情報を与える可能性がある
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
超線形検出器制御攻撃は、以下3 つの現象㈠~㈢に基づいている。これらの現象を利用する攻撃がいくつか開発されており、それらに対する複数の対応策も提案されている。しかし、この攻撃は、今日の QKD で最も困難な脆弱性のグループであると言える。
㈠ ほとんどの単一光子検出器(SPD)は、パルス内の光子の数を分解できない。『クリック』と呼ばれる検出イベントを生成すると、それが 1 つの光子によって引き起こされたのか、複数の光子によって引き起こされたのかを区別しない。そのため、次の超線形性が脆弱性となる。
㈡ 市販されているゲート型SPD の多光子パルスの検出効率は、ゲート端で超線形性を示す場合がある。超線形性は、QKDのセキュリティに脆弱性を作る望ましくないSPDの動作である。この場合の超線形性とは、「複数の光子を別々のタイミングで受け取るよりも、同時に受け取った方が高い確率で検出できる」性質を指している(本論文の引用文献から確認)。検出確率が、1-(1-η)nよりも高いSPD は、超線形性を示す。ここでηは、単一光子を検出する確率であり、量子効率と呼ばれる。QRateのSPD の場合、η~10%である(これは、一般的な値)。
イヴは、ランダムな基底を使ってアリスから送られた量子状態を測定し、測定結果を多光子パルスとしてボブに送信する。イヴが使った測定基底とボブの測定基底とが同じなら、ボブのSPDは2倍の光子を受け取ることになる。超線形性のため検出確率が高くなり、結果としてQBERが低下する(つまり実態よりも、強制的に改善してしまう)。
㈢ アバランシェ・フォトダイオードの逆バイアス電圧はゲート間で低下するため、検出器はゲート間の単一光子に対して鈍感になる。その後、検出器は通常のフォト・ダイオードとして動作し、その時点ではパルスエネルギーの古典的なしきい値で、「明るい眩しい光パルスにのみ」反応する(ブラインドにされる)可能性がある。予備的なテストにより、検出器は 3 µWの連続波光でブラインドにされた。
2⃣ 対応策
❑ サマリー➡ ㈢の対応策は機能すると期待できるが、㈡の対応策は期待できない。❑
㈢の対応策①・・・受信器の入口に、ビームスプリッターと同期検出器(SD)を追加することで、原理的には、明るい眩しい光を監視することができる。しかし、この対応策は
SD の感度がそもそも十分ではない
SD の感度はレーザー損傷攻撃(☛(6)参照)によって低下する
同期ルーチンが複雑になる
少量のエネルギーを使用する攻撃を見逃す可能性がある
ので推奨できない。
㈢の対応策②・・・より有望な対応策は、SPD に光電流測定を追加することである。予備テストでは、計数率に応じて、単一光子パルスで 400~1200の任意単位が示された。連続波光によるブラインド攻撃では、2100~2400の任意単位であった。つまり、通常動作と攻撃の間には明確な区別があったので、対応策として機能することが期待できる。しかし、パルス・ブラインド攻撃は可能である。パルス・ブラインド攻撃対応策としては、QKD システムの正弦波ゲート検出器に、より高帯域幅の光電流測定を追加することが考えられる。
㈡の対応策・・・若干ややこしいが、ボブの基底とイヴの基底が一致しても、必ずしもイヴの多光子パルスを検出できるとは限らないらしい。検出の成功率を高めるためには、ボブの検出確率を(超線形性はそのままで)同一にする必要がある。ゲート間に多光子パルスを送ることでこれを達成することができて、ゲート間に多光子パルスを送ることをアフターゲート攻撃と呼ぶ。アフターゲート攻撃の対応策の1 つは、PMのパルスを、検出器ゲートよりも短くすることである。具体的には、400~800ピコ秒よりも短くする。ただし、これは実装が難しく、状態準備の精度が低下する可能性がある。もう 1 つの考えられる対策は、クリック時間の正確な測定であるが、検出器のジッタとタイミング ドリフトにより実装が困難になる可能性がある。
(2) 単一光子検出器(SPD)の性能のばらつき
◤リスク評価◢ 全体リスク:高|個別リスクA)1、B)1、C)1
A) 脆弱性は悪用される可能性がある
B) 現在の技術で攻撃可能
C) イヴに鍵情報を与える可能性がある
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
理論的な安全性証明では、ボブのSPDの性能は同一であると想定されている。現実世界の SPDには、3 つの不一致が考えられる。
㈠ 光子検出確率の不一致
SPD での光子検出確率の平均は10%である。1 つの SPD の効率が 9%、別の SPD の効率が 11% であると仮定すると、イヴの影響がない場合、検出されるビットの確率比は 50 : 50 ではなく 45 : 55 になる。この非対称性により、イヴは生の秘密鍵に関する事前情報を得ることができる。
㈡ 時間の不一致
SPDは、3.2ナノ秒のゲート期間のうち約800ピコ秒の間、単一光子に敏感であり、タイムシフト攻撃(TSA)に対して脆弱である可能性が高い。
㈢ 波長の不一致
すべての光学部品の特性は波長に依存しており、多くの場合、脆弱性につながる。ボブ側ではPBSとSPDの波長依存性を使用して、原理的に攻撃が可能である。この攻撃と他の攻撃の組み合わせも、考慮する必要がある。
2⃣ 対応策
❑ サマリー➡ 機能すると期待される対応策は、別の脆弱性を惹起する。しかし、その脆弱性は回避できるので、結局、対応策は有効と考えられる。❑
シンプルな対応策は、4 状態測定スキームである。これは、もともとはタイムシフト攻撃に対する対応策として提案されたものである。
ボブは基底だけでなく、検出器のビット 0 とビット 1 の割り当てもランダムに選択する。このような設定では、イブがどの検出器をクリックしたかの情報を持っていても、どの検出器がビット 0 に対応しているかを知らないため、ボブのビット値を知ることはできない。ふるい分け通信ラウンド中に、ボブは検出器が「交換」されたときのビット位置をアナウンスし、アリスは自分の側のそれぞれの位置でビット反転を実行する。このようにして、0 と 1 の分布が均一になる。
4 状態測定スキームの潜在的な脆弱性は、イヴがトロイの木馬攻撃(☛(13)参照)のように強いパルスを注入して、ボブの検出器割り当てを読み取ろうとする可能性があることである。
(3) SPDデッドタイム攻撃
◤リスク評価◢ 全体リスク:高|個別リスクA)1、B)1、C)1
A) 脆弱性は悪用される可能性がある
B) 現在の技術で攻撃可能
C) イヴに鍵情報を与える可能性がある
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
安全性証明では、ボブがクリック(検出イベント)を登録したときに、ボブの両方のSPDが光子に敏感である必要がある。一方の検出器が敏感なままで、もう一方の検出器がデッドタイムを持っている間に、そのクリックが有効として受け入れられると、攻撃が可能になる。 QRate のシステムでは、SPD間の電気クロスリンクを介して、SPD間に約4.5マイクロ秒の同時デッドタイムが導入される。
電気クロスリンクの遅延により、3.2ナノ秒のゲート期間が数周期遅れて、デッドタイムが開始される。したがって、デッドタイムの早い段階で、クロスクリックがいくつか発生し、1つのSPDのみが単一光子に敏感なままになる。これらのクリックが生の暗号鍵に受け入れられると、脆弱性が生じる。デッドタイムからの段階的な回復も、SPD間で不均一であり、3.4マイクロ秒から始まり、およそ 6~9マイクロ秒に及ぶ時間範囲で、大幅な「光子検出確率の不一致」が見られる。これによっても、イヴが攻撃(を構築)する余地が生まれる可能性がある。
2⃣ 対応策
❑ サマリー➡ 対応策は機能する「はず」、とされている。実証が必要。❑
同時デッドタイムをソフトウェアを使った後処理で正確に実装すれば、この脆弱性を解消できる。QRate システムの場合、これは、すでに使用できないクリック(検出イベント)の大部分を防止しているハードウェア デッドタイムを補完し、鍵生成率への影響を軽減する。その後、ソフトウェアは、いずれかのSPDでのクリック後、固定ゲート数未満で発生するすべてのクリックを破棄する必要がある(少なくとも 6 マイクロ秒に相当し、正確な時間は、より正確な相互相関測定によって決定される)。クリックが破棄される場合は、破棄期間も更新されることに注意。
これにより、この脆弱性が解消されるはずである。ここでは、システムが 4 状態測定スキーム対抗手段を実装していないと仮定する。実装している場合は、SPDデッドタイム攻撃を再評価する必要がある。
(4) アリス-ボブ チャネル経由で実行されるキャリブレーション
◤リスク評価◢ 全体リスク:高|個別リスクA)1、B)1、C)1
A) 脆弱性は悪用される可能性がある
B) 現在の技術で攻撃可能
C) イヴに鍵情報を与える可能性がある
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
現在のシステム実装では、アリス-ボブ チャネル経由で複数のキャリブレーション・ルーチンを実行する。キャリブレーション中、ボブは古典チャネル経由でアリスに低レベルのコマンドを送信し、アリスは量子チャネル経由で信号を送信し、ボブは SPD を使用して信号を受信し、検出イベント統計を収集する。このキャリブレーションでは、信号タイミングや変調器の動作ポイントなど、複数の重要なパラメータを設定する。これは常にシステムの電源投入時に実行され、システムが比較的長時間(約 1 時間)秘密鍵を生成できなかった場合は、必要に応じて繰り返される。
QKD 中は、3 つのリアルタイム調整が継続的に実行される。アリスは IM のゼロ ポイントを維持し、ボブは PC を調整して QBER🐾12 を低く抑え、ボブのマスタークロック生成器は 1 秒あたり 10 回調整される。イヴは調整対象のパラメーターの任意の値を、自分の裁量で設定できると想定する必要があり、その可能性は高い。
イヴはボブのリアルタイム クロック調整と、それが影響するタイミング パラメーターに干渉する可能性がある。さらに、イヴがアリスに低レベルのコマンドを発行する可能性があると想定する必要がある。これはかなり恐ろしい結果をもたらし、いくつかの攻撃(具体的には、下記❶~❸。ただし、この3つに限定されないであろう)が可能になる。
❶ イブは、ボブの検出器間に大きな「時間の不一致(☛(2)単一光子検出器(SPD)の性能のばらつき㈡)」を引き起こす可能性がある。追加の可能性として、システムが 1 ビット スロットを超える時間範囲にわたって、両方のクリック受け入れウィンドウの位置をスキャンするため、イブがそれらを分岐させる可能性がある。つまり、SPD1🐾13の量子ビット検出による検出イベントが、1 つの鍵ビットとして登録され、SPD2 での同じ量子ビットからの検出イベントが別の鍵ビットとして登録されるように設定する可能性がある。
これにより、BB84 の安全性証明は一般に適用できなくなる。なぜなら、それらはすべて、この状況が不可能であると暗黙的に想定しているからである。さらに、この分岐した検出イベント登録と、同時デッドタイム(☛(3)SPDデッドタイム攻撃)を組み合わせて、イヴが後のビット・スロットに登録される検出器の検出イベントを抑制し、デッドタイムの終了時に 1 つのビット・スロットで非対称検出イベント破棄を悪用できるようにする実用的な攻撃を考えることができる。
🐾12 アリスとボブは、それぞれが保持しているランダムビット列ai(アリス)及びbi(ボブ)の一部から、一部をサンプリングする。サンプリングしたビット値は、公開通信路で比較する。ビット値が食い違っている割合が、量子ビット誤り率(QBER)である。
🐾13 ボブは、PBSで分割された光を検出するSPDを2つ備えている。つまり、SPD1とSPD2が存在する。
❷ イヴが、アリスとボブの PM位相シフトを任意に制御できる場合、極端な攻撃が可能になる。イヴは、アリスが両方の基底で同一の位相シフトのペアを使用するように設定し、ボブにも同じことをするように仕向ける。次に、アリスとボブが異なる基底の選択を使用していると思っている間に、この 1 つの基底設定で量子傍受再送信攻撃を実行する。この攻撃では QBER は増加せず、イヴに完全な鍵が与えられる。ただし、アリスとボブは、ボブの測定結果がランダムではなくなるため、基底が一致しない破棄されたケースで、イヴの存在を検出できる。ところが、従来のBB84 プロトコルや QRate システムで使用されているバージョンには、そのような検証手順はない。
この極端な攻撃が存在する可能性があることは、イヴが PM 設定を限定的に制御できる、より軽度なケースでも、安全性証明で対処しなければならない問題があることを示唆している。不完全な状態準備を伴うBB84の最も完全な安全性証明は、この攻撃の最も極端なケース、つまり実際には 2 つの基底の 4 つの量子状態が 1 つの基底の 2 つの量子状態に退化するケースを説明できない。
❸ イヴは、アリスの IM 信号を時間的にシフトしたり、IM を誤って設定されたゼロ ポイントで動作させたりすることができる。これは、アリスが準備している強度状態に同様の影響を及ぼす。実際の強度が不明でイヴによって選択された場合、デコイBB84の安全性証明は適用できなくなる。
2⃣ 対応策
❑ サマリー➡ 提示した対応策の一部は、それで十分かどうか『わからない』とされている。❑
キャリブレーション・ルーチンが公開されると、複数のセキュリティ問題が生じる。本論文の分析チームは『これを解決する方法を知らず』、システム ハードウェアの大幅な再設計が必要になるのではないかと考えた。そして、これは、システム製造業者が行うべき決定である。これに対しては、QRateは、製造プロセスに適したソリューションを見つけた。これは、上記❷と❸に対する対応策になる。具体的には、QRate はチャネル経由のアリスの IM および PM のキャリブレーションを廃止した。代わりに、IMは常にアリスの PwM を介してキャリブレーションされる。PMは工場で 1 回だけキャリブレーションされ、その後はシステムの寿命中は設定が固定されたままになる。
しかし、❶の対応策は、心許ない。時間不一致の脆弱性に対する 4 状態測定スキームについては、イヴがすべての時間パラメータを設定し、ビット間でそれらを分散させることができる可能性があることを考えると、まだ十分かどうかは『わからない』。
(5) 誘起光屈折攻撃
◤リスク評価◢ 全体リスク:中|個別リスクA)0、B)1、C)1
A) 脆弱性が悪用される可能性は低い
B) 現在の技術で攻撃可能
C) イヴに鍵情報を与える可能性がある
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
2023年、変調器の光屈折効果に基づく新しい光注入攻撃が提案された🐾14。わずか 3 nW の電力で405 nm のレーザー放射を使用して、ボブのリチウムニオブ酸塩デバイスのバイアス・ポイントをシフトするイヴのデモンストレーションが行われた。これによりセキュリティの脆弱性が生まれ、特に可変光減衰器の場合、正当なユーザーに気付かれずに、イヴが秘密鍵を盗むことができる。また、光屈折は広範囲の波長(紫外線から 1549 nmま)で有効であるとも主張されている。
QRate システムでは、アリスのリチウムニオブ酸塩デバイス、つまり IM と PMが量子状態を準備する。従って、IMとPMが、この攻撃の影響を受ける可能性がある。
2⃣ 対応策
❑ サマリー➡ 安全性評価の範囲が不十分であり、安全とは言いきれない(と思われる)。❑
この脆弱性に対処するには、システムコンポーネントの幅広いスペクトル特性評価が必要である。ニオブ酸リチウム変調器の光屈折効果は、青から緑の短波長照明によって最も簡単に生成されるため、主にスペクトルの短波長端を考慮する必要がある。
1548.51 nmでのイヴのパワーが、アリスの変調器にどれだけ到達するかを計算する。アリスに入るレーザー パワーが 100 W であると仮定すると、PMと IM に到達するパワーは約 141 pWと 79 pW である。長波長では、誘起光屈折効果の効率が低いため、長波長における当該攻撃は防止される。
ただし、この攻撃は超広帯域スペクトル範囲で特性評価する必要があるので、短波長での誘起光屈折に対してIM と PMをテストする必要がある。また、イヴ がアクセス可能な全波長範囲で、最小の総損失を決定するために、アリスの光学コンポーネントを広帯域スペクトル範囲で特性評価する必要がある。
🐾14 本論文では、新しい光注入攻撃を提案している3本の論文があげられている。ちなみにジャーナルの発行月は、4月、5月(ただし、arXivで先行して3月に公開されている)、10月である。
(6) レーザー損傷
◤リスク評価◢ 全体リスク(アリス):中|個別リスクA)1、B)0、C)1
A) 脆弱性は悪用される可能性がある
B) 現在の技術で攻撃することは難しい
C) イヴに鍵情報を与える可能性がある
◤リスク評価◢ 全体リスク(ボブ):中|個別リスクA)0、B)1、C)1
A) 脆弱性が悪用される可能性は低い
B) 現在の技術で攻撃可能
C) イヴに鍵情報を与える可能性がある
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
高出力レーザー放射は、吸収媒体と透明媒体の両方の特性に一時的または永続的な変化を引き起こす可能性がある。これは、多くの光学および光電子部品に潜在的に影響を及ぼす。レーザー損傷攻撃は、光減衰器、アイソレータ、フォトダイオード、SPDを標的として、さまざまな QKD システムで実証されている。以下では、アリスとボブに対するレーザー損傷攻撃を考える。
╏壱╏ アリスに対するレーザー損傷攻撃
以前の QKD システムでは、光減衰器は量子チャネルの前の、アリスの最後のコンポーネントだった。ただし、レーザー損傷攻撃中にその減衰が大幅に減少する可能性があり、アリスの出力平均光子数が増加し、秘密鍵が漏洩する可能性がある。
╏弐╏ ボブに対するレーザー損傷攻撃
ボブのセットアップは、レーザー損傷から保護されていない。理論的には、各コンポーネントが高出力レーザーの影響を受ける可能性がある。以下、コンポーネント個別に吟味する。
① SD・・・レーザー損傷攻撃により、フォトダイオードの感度が低下する可能性がある。ただし、これはQKDのセキュリティを損なうものではない。
② DWDM・・・高出力レーザーによって損傷を受けても、QKDのセキュリティには影響しない。
③ PCとPM・・・これらは、高出力レーザーによって損傷を受けても、イブにとって役に立たない。ただし、検出基準設定を変更することで、どのように悪用されるかは『わからない』。
④ PBS・・・PBSの特性を変更すると、 「(2)単一光子検出器(SPD)の性能のばらつき」攻撃に役立つ可能性がある。
⑤ SPD・・・ボブの検出器は高出力照明に対して保護されていない。短時間の高出力の適用により、SPDが線形状態へと永久的に切り替わる可能性があることが知られている。これは検出器のブラインド化に相当する。
2⃣ 対応策
❑ サマリー➡ アリス:対応策の検証範囲が限定的なので、結論は出せない(と思われる)。❑
❑ サマリー➡ ボブ:対応策は機能する「はず」とされている。❑
╏壱╏ アリス
アリスの出口、つまりチャネルとアリスのセットアップの残り部分の間に、追加コンポーネントとして、テスト済アイソレータの追加を勧める。ただし、このアイソレータモデルは、連続波およびパルス照射方式で、広範囲のレーザー出力と波長で、さらにテストされる必要がある。加えて、このアイソレータを含む、アリスの全コンポーネントは、広いスペクトル範囲で特性評価される必要がある。
╏弐╏ ボブ
レーザー損傷攻撃が与える影響①~⑤の中で、①と②は脆弱性に繋がらず、④は攻撃には繋がらない(本当?)、とする。③は分からない、とされている。従って、⑤のみ対応策を考えている。具体的には、光電流モニタリングが、効果的な対応策となる『はず』としている。
(7) アバランシェ・フォトダイオード(APD)バック・フラッシュ
◤リスク評価◢ 全体リスク:中|個別リスクA)1、B)1、C)0
A) 脆弱性は悪用される可能性がある
B) 現在の技術で攻撃可能
C) イヴに、少ない鍵情報のみを与える可能性がある
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
APD は量子チャネルに逆結合する光子を放出することが示されている。この放出は、広いスペクトルを持っている。各光子の状態は、検出を引き起こした光子と相関していない可能性があるが、これらのバックフラッシュ光子は光学部品を通過し、元の検出器に関する情報を運び、鍵に関する情報を イヴに漏らす。
QRateシステムでは、ボブのセットアップには、入ってくる光子を 2 つの検出器に分割する PBS が含まれている。この PBS は、異なる SPD からのバック・フラッシュ光子に異なる偏光を符号化し、イヴがそれらを区別して、どの検出器がクリック(イベントを検出)したか、を知ることができると想定している。バックフラッシュによる情報漏洩は、そのようなイベントの確率に比例する。「イブがすべてのバックフラッシュ光子を識別し、それらをアリスとボブの生の秘密鍵にマッピングできる」という最悪のケースを想定した場合、秘密鍵生成率を下方修正する必要がある。
2⃣ 対応策
❑ サマリー➡ SPD の広帯域バックフラッシュ放射のスペクトル測定には、いくつか仮定が必要である。従って、理屈としてはワークするはずだが、実証が必要であろう。❑
個々の不完全性の下での情報漏洩を無視できる値に減らすという、本論文の戦略を考えると、SPD からのバック・フラッシュ光子放出確率を測定し、ボブのスキームを通じて量子チャネルへの、バック・フラッシュ光子の透過を計算する必要がある。バック・フラッシュ光子の透過は、バックフラッシュのスペクトルと、ボブのコンポーネントのスペクトル特性に依存する。必要に応じて、追加のスペクトルフィルターとアイソレーターをボブのスキームに追加して、量子チャネルへのバック・フラッシュ光子放出確率を、指定のレベルまで減らすことができる。
ボブの受動部品のスペクトル特性は簡単であるが、SPD の広帯域バックフラッシュ放射のスペクトル測定は、単一光子感度が必要であるため、より困難である。SPDの可用性とそのノイズ レベルにより、この測定の波長範囲とスペクトル分解能が制限される。おそらく、比較的広帯域の積分測定と DWDMの動作波長付近の、大まかなバンドパス測定を行い、次に SPD の真のバックフラッシュ・スペクトルについていくつかの合理的な仮定を行って、量子チャネルへのバック・フラッシュ光子放射確率の上限を設定する必要がある。
(8) サプライチェーンの侵害
◤リスク評価◢ 全体リスク:中|個別リスクA)0、B)1、C)1
A) 脆弱性が悪用される可能性は低い(コスパが悪いため)
B) 現在の技術で攻撃可能
C) イヴに鍵情報を与える可能性がある
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
暗号化ハードウェアのほとんどのメーカーと同様に、QRate は多数の外部サプライヤーから製品の構成部品を購入している。暗号化の性質上、部品のサプライヤーまたは第三者が製品にインストールされる前に悪意を持って部品を改変した場合、これらの部品の多くが製品のセキュリティを侵害する可能性がある。改変は、攻撃を可能にする秘密の特性変更、同じことを行う部品の動作変更、または秘密情報をデバイスの外部に伝達する隠された(無線周波数または光)送信機である可能性がある。
もちろん、改変を検出するのは困難である。標準的な工場の組み立ておよびテスト手順では明らかにならず、製品の正常な動作を妨げることもない。QKD システムでは、侵害される可能性のある部品には、光学、電気光学、電子部品、サードパーティの電子モジュール、さらには集積回路が含まれる。この問題は、すべての暗号化ハードウェアに共通している。また、QKD に特有の攻撃や情報漏洩戦術も、このような方法で可能になる可能性があると考えられる。
2⃣ 対応策
❑ サマリー➡ 対応策はないが、コスパが悪いため、行われないだろうとする。しかし、ロシアや中国を始めとする「ならず者国家」は、経済合理性で動いているわけではないので、この期待は甘過ぎるだろう。❑
(9) アリスのパワーメーターへの光注入
◤リスク評価◢ 全体リスク:低🐾15|個別リスクA)1、B)0、C)0
A) 脆弱性は悪用される可能性がある
B) 現在の技術で攻撃することは難しい
C) イヴに少ない鍵情報のみを与える可能性がある
🐾15 当該脆弱性を悪用する、測定装置に依存しないQKD(MDI-QKD) への明示的な攻撃が、2023年に公開された(ことが、本論文に注記されている)。このため、リスクが”わずかに(ママ)”高まっている。全体リスクを低から中にする必要があるかもしれない。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
アリスの内部パワーメーター(PwM) は、アリスの強度変調器(IM)の動作点を維持するために使用される。このIMは、内部的に、高速変調セクションとバイアス・セクションをアームに備えたマッハツェンダー干渉計で構成されている。干渉計のゼロ点は、時間とともにドリフトするため、バイアス・セクションに静的電圧を印加して補正する必要がある。PwMは、通常のQKD 操作でアリスが放出する真空、デコイ、信号状態の混合の平均電力を測定することで、ゼロ点からの偏差を間接的に測定する。ゼロ点がドリフトすると、この電力は工場出荷時のプリセット値(2~5 µW の範囲)から外れる。この差は、システム・ソフトウェアに実装された低速のネガティブ・フィードバック・ループを介してバイアス電圧に影響する。
外部から PwM に追加の光を注入すると、IM の動作点が不適切に設定される。これにより、真空、信号、デコイ状態の強度とそれらの比率が変化する。特に、真空状態の強度が増加する。これにより、実際の安全鍵の生成率が、システムによって計算された値よりも低くなる可能性がある。現在のシステムの動作波長1548.51 nmでイヴが注入する可能性のある電力を大まかに見積もる。PwM に到達する電力の上限は14 nW であり、これは通常の動作で測定される電力のほんの一部である。これにより、イブが PwM の動作と放出される状態強度を改ざんできるという小さなリスクが残る。
2⃣ 対応策
❑ サマリー➡ 他の対応策でカバー可能という見立て。ただし、既述通り、新しい攻撃が開発されている。❑
トロイの木馬攻撃からアリスを保護するために、コンポーネントが追加される。このことを鑑みれば、この脆弱性も解決される可能性がある。
(10) 符号間干渉
◤リスク評価◢ 全体リスク:低|個別リスクA)1、B)0、C)0
A) 脆弱性は悪用される可能性がある
B) 現在の技術で攻撃することは難しい
C) イヴに少ない鍵情報のみを与える可能性がある
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
デコイBB84の安全性証明には、すべての強度状態(信号、弱デコイ、真空デコイ)と信号状態が互いに独立して準備されているという仮定が組み込まれている。ただし、有限の帯域幅を持つIMの現実的な周波数応答では、この仮定が破られ、隣接するパルスの形状に相関が生じる可能性がある。パルスの強度は、前のパルスの状態に応じて設定値から逸脱し、いわゆるパターン効果を示す。
同時に、隣接するレーザーパルスの位相でも符号間干渉が発生する可能性がある。この効果は、QKD システムの繰り返し率が増加するにつれて強くなる。原理的には、デコイ法は、放出される弱いコヒーレント・パルスの位相が [0、2π) の範囲内で、独立してランダムであるという仮定に依存しているが、ゲイン切り替えレーザー ソースを備えたほとんどの商用 QKD システムでは当てはまらない可能性がある。レーザーのキャビティ内で放出された光パルス後の残留電磁場は、次の光パルスに影響を与える可能性があり、それらの位相は相関している可能性がある。
2⃣ 対応策
❑ サマリー➡ 提示された対応策が十分であるかは、実証する必要がある。❑
光パルスの位相、強度、および偏光の相関を定量化するために、光測定が計画されている。一度定量化されれば、それらは安全性証明に組み込むことができる。ここでの課題は、利用可能な証明では、小さな相関であっても、ゼロまたは低い秘密鍵生成率が得られることである。測定で不十分な秘密鍵生成率が得られた場合は、後処理でのソフトウェアベースの対策や、既存の電気光学変調器やその電子機器をより広い帯域幅のものに置き換えることをさらに検討する可能性がある。
(11) 不完全な個々の状態の準備
◤リスク評価◢ 全体リスク:低|個別リスクA)1、B)0、C)0
A) 脆弱性は悪用される可能性がある
B) 現在の技術で攻撃することは難しい
C) イヴに少ない鍵情報のみを与える可能性がある
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
ほとんどの安全性証明は、振幅や相対位相等の全パラメータにおいて、量子状態が完璧に準備されていることを前提としている。しかし通常、これは、現実には当てはまらない。前述した、放出された量子ビットの位相と強度における符号間干渉の影響にかかわらず、これらのパラメータの理想からの偏差は、実験的および理論的に研究されている。しかし、本論文筆者の知る限り、BB84 の分析はまだ開発されていない。
2⃣ 対応策
❑ サマリー➡ 対応策はない。にもかかわらず、当該攻撃のリスクが低となっている。イヴに漏洩する情報量は少ないことを根拠に、リスクを低としているが、やや楽観的か?❑
(12) 量子乱数生成器
◤リスク評価◢ 全体リスク:低|個別リスクA)1、B)0、C)0
A) 脆弱性は悪用される可能性がある
B) 現在の技術で攻撃することは難しい
C) イヴに少ない鍵情報のみを与える可能性がある
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
安全性証明に準拠するために、実際の量子乱数生成器は、アリスとボブのすべての状態、基底、および強度の選択、ダブルクリック時のランダムなビット値の割り当て、およびプロトコルで必要なその他のランダム値を提供する必要がある。数学的にランダムな乱数生成器、またはランダム性の拡張は、厳密に言えば不十分である。
2⃣ 対応策
❑ サマリー➡ 対応策は、全帯域幅の量子乱数生成器を実装すること。❑
(13) トロイの木馬攻撃
◤リスク評価◢ 全体リスク:低|個別リスクA)0、B)0、C)0
A) 脆弱性が悪用される可能性は低い
B) 現在の技術で攻撃することは難しい
C) イヴには少ない鍵情報のみを与える可能性がある
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
この攻撃では、イブは、「トロイの木馬光子(以下、トロイ光子)」と呼ばれる光をアリスの装置に注入して、アリスの IM と PM の設定を読み取ろうとする。なぜなら、アリスの PM と IM を通過した出力光子には、位相と強度に関する秘密情報が符号化されている、からである。
2⃣ 対応策
❑ サマリー➡ コンポーネントを追加することで、対応可能。❑
(14) レーザー・シーディング攻撃
◤リスク評価◢ 解決済み。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
1⃣ 脆弱性(攻撃)
イブは、量子チャネルから、アリスのレーザー・ダイオードに光を注入し、その放射特性(位相、強度、波長など)を変更できる可能性がある。
2⃣ 対応策
❑ サマリー➡ 他の対応策でカバー可能。❑
アリスに入るレーザーの電力は 100Wであると仮定する。光子の損失を勘案すると、アリスのレーザー・ダイオードに達する電力は、わずか40pWであり、これは、放射特性を変更させるために必要な電力よりも桁違いに低い。さらに、トロイの木馬攻撃から保護するために、追加のコンポーネントが追加されることも併せて考えると、この攻撃による情報漏洩はない、と考えられる。
【4】5 つのテストベンチ
以下5つを提案している:
1⃣ コンポーネントの広帯域スペクトル特性
2⃣ 検出器の制御性、デッドタイム、効率の不一致、およびボブのキャリブレーション・ルーチンの特性評価。これには、これらの問題に対する対策の効率のテストが含まれる。
3⃣ アリスの状態準備の不完全性に対する特性評価。
4⃣ SPDからの光放出の特性評価。
5⃣ レーザー損傷。イヴではさまざまなレーザーが使用される可能性があるが、まずは1550nmの連続波レーザーで基本テストを実施することを提案する。
【5】考察
(1) 全ての脆弱性を回避したと主張しているが、実際は、3つに分かれると思われる:⓵対応策が有効と期待できる(含む解決済み)、⓶実証が必要(実証されるまで有効とは言いきれない)、⓷根拠薄弱(楽観的)等。
⓵=【3】の(2)、(12)、(13)、(14)
⓶=【3】の(3)、(5)、(6)、(7)、(10)
⓷=【3】の(1)、(4)、(8)、(9)、(11)
(2) ミッションクリティカルなタスクの遂行に際し、採用技術の選択肢が、枯れた技術と新しい技術だとしよう。普通のエンジニアであれば、枯れた技術を選択するだろう。耐量子暗号とQKDにおける選択問題は、そういうことであろう。本論文を読む限り、(QKDでも)デコイBB84は、まだまだ新しい攻撃が提案されているし、提案されている対応策も実証すべき箇所が多々ある。QKDが、物理的な(ヴァーチャルの対語としての物理的)装置を使う以上、物理的に実装したシステムで実証することは必要不可欠であろう。
【尾 注】
*0 帷:物をおおいかくすもの。さえぎって見えないようにするもの。弓(=S/W)矢(=H/W)から、鎖帷子もイメージしている。
*1 Hiding Secrets Using Quantum Entanglement、July 27, 2022、Physics 15, 116 https://physics.aps.org/articles/v15/116
*2 玉木潔、量子暗号通信へのサイドチャネル攻撃、2022
*3 佐々木寿彦、量子暗号通信とその安全性、2022年2月22日
*4 量子暗号の絶対安全性は、暗号鍵のキャリアとして単一光子(もしくはエンタングルド光子対)を使用しなければ、担保されない。現実の量子通信では、単一光子を発生させることが難しいので、代わりに(次善の策として)弱いコヒーレント光(WCP)が使用される。ところが、シンプルにWCPを使うと、通信距離を長くできない。本来の信号パルスの中に、強度の異なるおとり(デコイ)パルスを、ある確率でランダムに混ぜ込んで送ることで、通信距離の問題を解決できる。デコイを混ぜ込んだWCPを使用したBB84を、デコイBB84と呼ぶ。
*5 東芝レビューVol.74 No.2(2019年3月)、p.17 https://www.global.toshiba/content/dam/toshiba/migration/corp/techReviewAssets/tech/review/2019/02/74_02pdf/1-3.pdf
なお、ツインフィールド(TF)-QKDの安全性については、東京大学の研究結果(2019年7月)を参照。https://fs.hubspotusercontent00.net/hubfs/20511701/press-release/2019/setnws_201907181631518423964178_564125.pdf
TF-QKDと比肩する手法として、相対論的QKDがある。暗号鍵の生成速度、転送速度、生成効率において、TF-QKDよりも優れているとする研究がある(More optimal relativistic quantum key distribution https://www.nature.com/articles/s41598-022-15247-x)。同研究では、通信距離に関しては、TF-QKDに軍配があがるとも述べている。
*6 https://www.global.toshiba/jp/technology/corporate/rdc/rd/topics/21/2106-02.html なお、本技術の安全性が数学的に証明されているかは、確認できていない。
*7 https://jpn.nec.com/press/202201/20220114_01.html
*8 https://physicsworld.com/a/slimmed-down-terminal-transmits-quantum-keys-from-space/
*9 https://digital-strategy.ec.europa.eu/en/news/joint-eucanada-quantum-research-projects
*10 https://www.itmedia.co.jp/enterprise/articles/2210/18/news005.html#utm_source=ent-mag&utm_campaign=20221021
*11 https://cordis.europa.eu/article/id/442356-sending-quantum-information-from-alice-to-charlie
*12 例:光インジェクション攻撃への対策として、Protecting Fiber-Optic Quantum Key Distribution Sources against Light-Injection Attacks(https://journals.aps.org/prxquantum/abstract/10.1103/PRXQuantum.3.040307)
*13 産官学連携研究開発コンソーシアム量子インターネットタスクフォース(QITF)、ホワイトペーパー"The"量子インターネット-この宇宙の物理法則に許されるサイバー空間の極致-(2021年2月) https://qitf.org/files/20210210_qitf_whitepaper.pdf
*14 Vatshal Srivastav et al.、Quick Quantum Steering: Overcoming Loss and Noise with Qudits、https://journals.aps.org/prx/abstract/10.1103/PhysRevX.12.041023
*15 一方(アリス)がエンタングルメントの測定基底を選ぶことによって、他方(ボブ)の状態にアクセスすることなく、ボブに影響を与える能力を、シュレーディンガーがsteeringと呼んだ。日本語でsteeringは、操縦する、で良い。
*16 Xiang You et al.、Quantum interference with independent single-photon sources over 300 km fiber、https://www.spiedigitallibrary.org/journals/advanced-photonics/volume-4/issue-06/066003/Quantum-interference-with-independent-single-photon-sources-over-300km-fiber/10.1117/1.AP.4.6.066003.full?SSO=1
*17 ABHINANDAN BHATTACHARJEE et al.、Propagation-induced revival of entanglement in the angle-OAM bases https://www.science.org/doi/10.1126/sciadv.abn7876
*18 https://www.sciencedirect.com/science/article/pii/S2589004222021708
*19 V. Krutyanskiy et al.、Entanglement of Trapped-Ion Qubits Separated by 230 Meters https://journals.aps.org/prl/abstract/10.1103/PhysRevLett.130.050803
*20 Hao-Tao Zhu et al.、Experimental Mode-Pairing Measurement-Device-Independent Quantum Key Distribution without Global Phase Locking https://journals.aps.org/prl/abstract/10.1103/PhysRevLett.130.030801
*21 https://www.memq.tech/news/seed-press-release
*22 https://www.forschung-it-sicherheit-kommunikationssysteme.de/projekte/quinsida
*23 K. Parto et al.、Cavity-Enhanced 2D Material Quantum Emitters Deterministically Integrated with Silicon Nitride Microresonators https://pubs.acs.org/doi/10.1021/acs.nanolett.2c03151
*24 https://www.sandboxaq.com/press-release/softbank-corp-and-sandboxaq-jointly-verify-hybrid-mode-quantum-safe-technology
*25 https://www.titech.ac.jp/news/2023/065962
*26 https://www.ynu.ac.jp/hus/koho/29624/detail.html
*27 Michael Hollenbach et al.、Wafer-scale nanofabrication of telecom single-photon emitters in silicon https://www.nature.com/articles/s41467-022-35051-5
*28 https://aws.amazon.com/blogs/quantum-computing/implementing-a-quantum-secured-network-in-a-metropolitan-area/
*29 https://www.qusecure.com/qusecure-pioneers-first-ever-u-s-live-end-to-end-satellite-quantum-resilient-cryptographic-communications-link-through-space/
*30 https://aip.scitation.org/doi/10.1063/5.0094715
*31 Fadri Grünenfelder et al.、Fast single-photon detectors and real-time key distillation enable high secret-key-rate quantum key distribution systems https://www.nature.com/articles/s41566-023-01168-2
*32 https://news.cgtn.com/news/2023-03-15/China-sets-new-world-record-in-high-rate-quantum-key-distribution-1ibXcnD9UCA/index.html
*33 https://www.nict.go.jp/press/2023/03/16-1.html
*34 Yeonghun Lee et. al、Spin-defect qubits in two-dimensional transition metal dichalcogenides operating at telecom wavelengths https://www.nature.com/articles/s41467-022-35048-0
*35 Hatam Mahmudlu et. al、Fully on-chip photonic turnkey quantum source for entangled qubit/qudit state generation https://www.nature.com/articles/s41566-023-01193-1
*36 Miller Eaton et. al、Resolution of 100 photons and quantum generation of unbiased random numbers https://www.nature.com/articles/s41566-022-01105-9
*37 Hiroyuki K.M.Tanaka、Cosmic coding and transfer storage (COSMOCATS) for invincible key storage、https://www.nature.com/articles/s41598-023-35325-y
*38 https://www.toshiba.eu/quantum/news/toshiba-europe-and-orange-demonstrate-viability-of-deploying-quantum-key-distribution-with-existing-networks-and-services/
成果をまとめた論文は、以下:https://arxiv.org/ftp/arxiv/papers/2305/2305.13742.pdf
*39 https://group.ntt/jp/newsrelease/2023/06/20/230620a.html
*40 James Bartusek et al.、Obfuscation of Pseudo-Deterministic Quantum Circuits、https://arxiv.org/pdf/2302.11083.pdf
筆頭著者は、UCバークレーの研究者。またCryptology ePrint Archiveというサイトには2月22日に投稿されている(その後、4月11日に修正)→https://eprint.iacr.org/2023/252。
*41 Andreas Gritsch et. al、Purcell enhancement of single-photon emitters in silicon、https://opg.optica.org/optica/fulltext.cfm?uri=optica-10-6-783&id=531850
ちなみに、掲載されたジャーナルは、OPTICA(旧・米国光学会)が発行するOptica。
*42 Alexander E.K.Kaplan et al.、Hong–Ou–Mandel interference in colloidal CsPbBr3 perovskite nanocrystals、https://www.nature.com/articles/s41566-023-01225-w
*43 https://www.vodafone.com/news/technology/vodafone-tests-quantum-safe-business-network-upgraded-smartphones
*44 Ji-Gang Ren et al.、Ground-to-satellite quantum teleportation、https://arxiv.org/abs/1707.00934
*45 Si Shen et al.、Hertz-rate metropolitan quantum teleportation、https://www.nature.com/articles/s41377-023-01158-7
*46 Salim Ourari et al.、Indistinguishable telecom band photons from a single Er ion in the solid state、https://www.nature.com/articles/s41586-023-06281-4
*47 nature論文は、オープンアクセスではないので、為念。https://arxiv.org/pdf/2301.03564.pdf
*48 23年9月17日付け日経新聞26面には、「デバイス非依存量子暗号」という文言があてられている。
*49 MITREは、米国の連邦政府が資金を提供する非営利組織。対象分野は多岐に渡るが、サイバーセキュリティの分野では、米国立標準技術研究所の連邦研究開発センターの運営を行い、官民パートナーシップおよびハブとしての機能を提供している。また、米国土安全保障省の資金を得て、世界中の脆弱性情報に対して採番を行っている。出典:https://www.intellilink.co.jp/column/security/2020/060200.aspx
*50 https://news.mit.edu/2023/quantum-repeaters-use-defects-diamond-interconnect-quantum-systems-0927
*51 https://www.nature.com/articles/d41586-023-03336-4
*52 https://www.tus.ac.jp/today/archive/20231102_3729.html
*53 https://www.nict.go.jp/press/2023/10/30-1.html
*54 Ming-Hao Jiang et al.、Quantum storage of entangled photons at telecom wavelengths in a crystal、https://www.nature.com/articles/s41467-023-42741-1
*55 Cheng-Long Li et al.、Device-independent quantum randomness–enhanced zero-knowledge proof、https://www.pnas.org/doi/10.1073/pnas.2205463120
*56 Cheng-Long Li et al.、Device-Independent-Quantum-Randomness-Enhanced Zero-Knowledge Proof、https://arxiv.org/pdf/2111.06717.pdf
*57 https://www.jst.go.jp/pr/announce/20231205-2/index.html
*58 https://eaglys.co.jp/news/press-release/20231213/
*59 林卓也、準同型暗号を用いた秘密計算とその応用、https://www.jstage.jst.go.jp/article/isciesci/63/2/63_64/_pdf/-char/ja
*60 Amanda Weerasinghe et al.、Practical,high-speed Gaussian coherent state continuous variable quantum key distribution with real-time parameter monitoring,optimised slicing,and post-processed key distillation、https://www.nature.com/articles/s41598-023-47517-7
*61 https://qubitekk.com/press-releases/quantum-technology-pioneers-qubitekk-and-qunnect-achieve-first-equipment-interoperability-on-epb-quantum-network%E2%84%A0-powered-by-qubitekk/
*62 https://www.scmp.com/news/china/science/article/3246752/china-and-russia-test-hack-proof-quantum-communication-link-brics-countries?module=inline&pgtype=article
*63 Yanning Ji & Elena Dubrova、A Side-Channel Attack on a Masked Hardware Implementation of CRYSTALS-Kyber、https://eprint.iacr.org/2023/1084.pdf
*64 Adnan Hajomer et al.、Long-distance continuous-variable quantum key distribution over 100- km fiber with local local oscillator、https://www.science.org/doi/epdf/10.1126/sciadv.adi9474
*65 https://arqit.uk/press-releases/ampliphae-hpe-athonet-and-arqit-deliver-quantum-safe-private-5g-using-symmetric-key-agreement
*66 https://www.qusecure.com/qusecure-awarded-u-s-air-force-contract-for-post-quantum-cybersecurity-solutions/
*67 https://www.hpcwire.com/off-the-wire/qrypt-selected-by-afwerx-for-phase-1-sttr-contract-to-enhance-air-forces-quantum-secure-encryption/
*68 https://pqca.org/news/2024/post-quantum-cryptography-alliance-launches-to-advance-post-quantum-cryptography/
*69 https://www.titech.ac.jp/news/2024/068434
論文は、https://journals.aps.org/prl/abstract/10.1103/PhysRevLett.132.073601
*70 Sonali Gera et al.、Hong-Ou-Mandel interference of single-photon-level pulses stored in independent room-temperature quantum memories、https://www.nature.com/articles/s41534-024-00803-2
*71 Boaz Lubotzky et al.、Room-Temperature Fiber-Coupled Single-Photon Sources based on Colloidal Quantum Dots and SiV Centers in Back-Excited Nanoantennas、https://pubs.acs.org/doi/10.1021/acs.nanolett.3c03672
*72 Xiang-Jie Li et al.、Single-Photon-Memory Measurement-Device-Independent Quantum Secure Direct Communication - Part I: Its Fundamentals and Evolution、https://arxiv.org/pdf/2304.09379.pdf
*73 Byungkyu Ahn et al.、High-dimensional single photon based quantum secure direct communication using time and phase mode degrees、https://www.nature.com/articles/s41598-024-51212-6
*74 Yuexun Huang et al.、Vacuum Beam Guide for Large Scale Quantum Networks(ver.1@23年12月14日)、https://arxiv.org/pdf/2312.09372.pdf →ver.3が24年7月9日に公開
*75 筆頭著者の所属機関である珠海学院は、香港の大学であろうが、他の著者の所属機関は、小学校?らしい。怪しすぎる。
*76 Yew Kee Wong et al.、Web 3.0 and Quantum Security: Long-Distance Free-Space QSDC for Global Web 3.0 Networks、https://arxiv.org/pdf/2402.09108.pdf
*77 https://www.u-toyama.ac.jp/wp/wp-content/uploads/20240301-1.pdf
*78 Guillermo Currás-Lorenzo et al.、Security of quantum key distribution with imperfect phase randomisation、https://iopscience.iop.org/article/10.1088/2058-9565/ad141c
*79 https://www.luxquanta.com/luxquanta-wins-the-eic-accelerator-program-and-secures-25m-n-37-en
*80 https://www.quantumemotion.com/press-release/quantum-emotion-partners-with-the-platform-for-digital-and-quantum-innovation-pinq2-for-testing-its-security-platform-using-ibm-quantum-computer-powered-simulated-attacks
*81 https://speqtralquantum.com/newsroom/antaristm-and-speqtraltm-to-jointly-deploy-quantum-safe-key-distribution-satellites
*82 Ming-Xin Dong et al.、Highly Efficient Storage of 25-Dimensional Photonic Qudit in a Cold-Atom-Based Quantum Memory、https://journals.aps.org/prl/abstract/10.1103/PhysRevLett.131.240801
*83 https://www.thalesgroup.com/en/worldwide/security/press_release/post-quantum-cryptography-six-french-cyber-players-join-forces
*84 https://www.t.u-tokyo.ac.jp/press/pr2024-04-18-002
*85 Alexander N. Craddock et al.、Automated distribution of high-rate, high-fidelity polarization entangled photons using deployed metropolitan fibers、https://arxiv.org/pdf/2404.08626.pdf
*86 https://www.scmp.com/news/china/science/article/3259756/chinese-team-makes-quantum-leap-chip-design-new-light-source?campaign=3259756&module=perpetual_scroll_0&pgtype=article
*87 https://www.toshiba.eu/quantum/news/softbank-corp-and-toshiba-digital-solutions-successfully-demonstrate-qkd-operation-with-optical-wireless-communications/
*88 https://www.toshiba.eu/quantum/news/toshiba-europe-and-single-quantum-partner-to-provide-extended-long-distance-qkd-deployment-capability/
*89 https://www.tsukuba.ac.jp/journal/pdf/p20240411180000.pdf
*90 Boru Chen et al.、GoFetch: Breaking Constant-Time Cryptographic Implementations Using Data Memory-Dependent Prefetchers、https://gofetch.fail/files/gofetch.pdf
*91 C.M.Knaut et al.、Entanglement of nanophotonic quantum memory nodes in a telecom network、https://www.nature.com/articles/s41586-024-07252-z
*92 A.J.Stolk et al.、Metropolitan-scale heralded entanglement of solid-state qubits、https://arxiv.org/pdf/2404.03723
*93 Jian-Long Liu et al.、Creation of memory–memory entanglement in a metropolitan quantum network、https://www.nature.com/articles/s41586-024-07308-0
*94 https://arqit.uk/press-releases/sparkle-successfully-completes-first-test-of-an-international-vpn-protected-with-quantum-encryptions
*95 https://engineering.fb.com/2024/05/22/security/post-quantum-readiness-tls-pqr-meta/
*96 https://news.zoom.us/post-quantum-e2ee/
*97 https://q-bird.nl/2024/05/28/qbird-raises-e2-5-million-to-accelerate-growth-of-its-falqon-quantum-security-technology/
*98 https://www.idemia.com/press-release/idemia-secure-transactions-and-seven-other-french-cybersecurity-leaders-unite-develop-large-scale-quantum-security-solutions-2024-05-28
*99 Yilei Chen、Quantum Algorithms for Lattice Problems、https://eprint.iacr.org/2024/555.pdf
*100 Nikita Kirsanov et al.、Loss Control-Based Key Distribution under Quantum Protection、https://www.mdpi.com/1099-4300/26/6/437
*101 Thomas Jennewein et al.、QEYSSat 2.0 - White Paper on Satellite-based Quantum Communication Missions in Canada、https://arxiv.org/pdf/2306.02481
*102 直接的には、https://www.lastwall.com/post/the-quantum-insider-lastwall-quantum-shield。中身は、https://www.lastwall.com/technology/quantum-shield
*103 https://www.foresight.group/news/foresight-leads-2-2-million-growth-capital-investment-into-disruptive-cyber-technology-start-up-cavero-quantum
*104 https://blogs.nvidia.co.jp/2024/04/02/cupqc-quantum-cryptography/
*105 https://www.qrypt.com/resources/qrypt-us-quantum-security-pioneer-awarded-sbir-phase-1-contract-by-afwerx-for-the-quantum-hardening-of-mattermost-secure-chat/
*106 https://quantumconsortium.org/mp-files/quantum-technology-for-securing-financial-messaging.pdf/
*107 https://www.global.toshiba/jp/news/corporate/2024/07/news-20240726-01.html
*108 https://www.prnewswire.com/news-releases/btq-and-id-quantique-sign-mou-collaboration-for-developing-next-generation-authentication-systems-302210846.html
*109 https://www.prnewswire.com/news-releases/niobium-secures-5-5-million-in-venture-financing-to-commercialize-fhe-accelerator-chip-302138093.html ←該社サイトからここに飛ぶ。
*110 https://eetimes.itmedia.co.jp/ee/articles/2407/26/news058.html#utm_medium=email&utm_source=ee-elemb&utm_campaign=20240729
*111 https://www.nasa.gov/general/nasas-first-ever-quantum-memory-made-at-glenn-research-center/
*112 https://marketing.idquantique.com/acton/attachment/11868/f-7485d397-bc2b-471a-95b4-6d1775a7730b/1/-/-/-/-/McKinsey%20Digital%20Quantum%20Technology%20Monitor%20-%20April%202024.pdf
*113 https://terraquantum.swiss/news/terra-quantum-wins-competitive-sbir-funding-to-study-feasibility-of-long-range-quantum-resistant-network-for-the-us-air-force
*114 https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.203.pdf
*115 https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.204.pdf
*116 https://nvlpubs.nist.gov/nistpubs/FIPS/NIST.FIPS.205.pdf
*117 分かり難いが、https://telematik-zentrum.de/en/projects/qube/及びhttps://spacenews.com/spacex-launches-transporter-11-smallsat-rideshare-mission/
*118 https://pqshield.com/press-release-pqshield-and-si-five-collaborate-to-advance-post-quantum-cryptography-in-risc-v/
*119 https://pqshield.com/pqshield-builds-nist-ready-pqc-in-silicon/
*120 V.Martin et al.、MadQCI: a heterogeneous and scalable SDN-QKD network deployed in production facilities、https://www.nature.com/articles/s41534-024-00873-2
*121 https://www.businesswire.com/news/home/20240910658943/en/Aliro-Expands-Relationship-with-U.S.-Air-Force-for-Quantum-Networking
該社(の公式)サイトから、各種ニュースサイト等に飛ぶ。
*122 https://www.einnews.com/pr_news/742040741/quantum-bridge-accepted-into-canadian-federal-procurement-program
該社(の公式)サイトから、各種ニュースサイト等に飛ぶ。
*123 https://www.tno.nl/en/newsroom/2024/09/tno-launches-qu-star-pioneer-quantum/
*124 https://www.rit.edu/news/rit-receives-397-million-award-improve-quantum-system-networking-initiatives
*125 https://www.newswire.ca/news-releases/btq-technologies-completes-acquisition-of-radical-semiconductor-s-processing-in-memory-technology-portfolio-advancing-post-quantum-cryptography-capabilities-824300756.html
*126 https://home.treasury.gov/news/press-releases/jy2609 日本語リリース(金融庁)は、https://www.fsa.go.jp/inter/etc/20240926/quantum_letter.html
*127 https://home.treasury.gov/system/files/136/G7-CYBER-EXPERT-GROUP-STATEMENT-PLANNING-OPPORTUNITIES-RISKS-QUANTUM-COMPUTING.pdf
日本語仮訳は、https://www.fsa.go.jp/inter/etc/20240926/quantum_kariyaku.pdf
*128 https://pqshield.com/quside-and-pqshield-announce-integration-to-deliver-quantum-safe-cryptography-with-superior-randomness-generation/
*129 https://www.soumu.go.jp/main_content/000966791.pdf
*130 https://www.holdings.toppan.com/ja/news/2024/10/newsrelease241007_1.html
*131 https://eviden.com/insights/press-releases/eviden-launches-pqc-hsmaas-a-eu-sovereign-post-quantum-cryptography-hardware-security-module-as-a-service/
*132 http://cjc.ict.ac.cn/online/onlinepaper/wc-202458160402.pdf
*133 https://www.businesswire.com/news/home/20241015429090/en/AliroNet-Quickstart-Leverages-Entanglement-for-Secure-Communications-Quantum-Computing-and-Sensing
*134 Vadim Makarov et al.、Preparing a commercial quantum key distribution system for certification against implementation loopholes、https://arxiv.org/pdf/2310.20107
*135 https://www.forbes.com/sites/craigsmith/2024/10/16/department-of-anti-hype-no-china-hasnt-broken-military-encryption-with-quantum-computers/
*136 Hao-Cheng Weng & Chih-Sung Chuu、Implementation of Shor’s Algorithm with a Single Photon in 32 Dimensions、https://journals.aps.org/prapplied/abstract/10.1103/PhysRevApplied.22.034003
arXivは、https://arxiv.org/pdf/2408.08138
*137 https://nvlpubs.nist.gov/nistpubs/ir/2024/NIST.IR.8528.pdf
*138 https://photonic.com/news/telus-and-photonic-join-forces-to-build-canadas-quantum-future/
*139 https://www.portofrotterdam.com/en/news-and-press-releases/consortium-parties-first-world-build-scalable-quantum-internet-connection
*140 Mariagrazia Iuliano et al.、Qubit teleportation between a memory-compatible photonic time-bin qubit and a solid-state quantum network node、https://www.nature.com/articles/s41534-024-00910-0#Sec5
*141 https://sptel.com/speqtral/
*142 https://www.singtel.com/about-us/media-centre/news-releases/Singtel-expands-its-suite-of-quantum-safe-offerings
*143 https://www.mitsui.com/jp/ja/topics/2024/1250341_14382.html
*144 https://www.ynu.ac.jp/hus/koho/32577/34_32577_1_1_241114050914.pdf
*145 https://www.optica.org/about/newsroom/corporate_member_news/2024/aegiq_leads_collaboration_to_build_superior_network_security/
*146 Jordan M.Thomas et al.、Quantum teleportation coexisting with classical communications in optical fiber、https://opg.optica.org/optica/fulltext.cfm?uri=optica-11-12-1700&id=565936
*147 https://www.ornl.gov/news/ornl-partnership-epb-tests-new-method-protecting-quantum-networks
*148 https://ionq.com/news/ionq-announces-new-usd21-1-million-project-with-united-states-air-force
*149 https://welinq.notion.site/Welcome-to-the-Welinq-blog-11897107255580079cbae8932f45a1ec?p=17b97107255580af8908d11a849675e3&pm=c
*150 https://www.wultra.com/blog/wultra-secures-eu3m-to-protect-financial-institutions-from-quantum-threats
*151 https://www.newswire.ca/news-releases/btq-technologies-acquires-cutting-edge-computing-in-memory-intellectual-property-from-cimtech-technology-co--857489257.html
*152 https://www.asc-csa.gc.ca/eng/news/articles/2025/2025-01-20-csa-awards-over-1-million-for-quantum-technology-demonstration.asps
*153 https://www.thalesgroup.com/en/worldwide/space/press_release/thales-alenia-space-and-hispasat-start-development-worlds-first
*154 https://www.nedo.go.jp/news/press/AA5_101762.html
*155 https://pqshield.com/pqshield-announces-participation-in-nedo-program-to-implement-post-quantum-cryptography-across-japan/
*156 Muhammad Muneem Shabir et al.、Qaas:hybrid cryptocurrency wallet-as-a-service based on Quantum RNG、https://link.springer.com/article/10.1007/s10586-024-04885-7
*157 https://usa.honda-ri.com/-/honda-research-institute-usa-scientists-achieve-breakthrough-in-quantum-materials-with-potential-to-enhance-communication-security
*158 Xufan Li et al.、Width-dependent continuous growth of atomically thin quantum nanoribbons from nanoalloy seeds in chalcogen vapor、https://www.nature.com/articles/s41467-024-54413-9
*159 末宗幾夫・熊野英和・笹倉弘理、解説|半導体光源の最前線 量子情報通信のための単一光子・量子もつれ光子対光源、光学40巻9号(2011)、pp.472-477、https://annex.jsap.or.jp/photonics/kogaku/public/40-09-kaisetsu3.pdf
*160 https://www.telefonica.com/en/communication-room/press-room/telefonica-tech-ibm-collaborate-quantum-safe-technology/
*161 https://www.esa.int/Applications/Connectivity_and_Secure_Communications/ESA_and_European_Commission_to_build_quantum-secure_space_communications_network
*162 https://www.niccs.org.cn/en/
*163 C$6milは、https://www.quantumemotion.com/press-release/quantum-emotion-announces-brokered-life-financing-of-c-6-000-000
C$10milへの拡大は、https://www.quantumemotion.com/press-release/quantum-emotion-announces-upsized-brokered-life-financing-of-c-10-000-000
*164 https://www.idquantique.com/worlds-first-terrestrial-intercontinental-qkd-achieved-in-istanbul/
*165 https://www.idquantique.com/ionq-to-acquire-id-quantique/
*166 https://www.mitsubishielectric.co.jp/news/2025/pdf/0227-a.pdf
*167 A.Ruskuc et al.、Multiplexed entanglement of multi-emitter quantum network nodes、https://www.nature.com/articles/s41586-024-08537-z
*168 https://cloud.google.com/blog/products/identity-security/announcing-quantum-safe-digital-signatures-in-cloud-kms?e=48754805&hl=en
日本語版(25年2月28日公開)は、こちら:https://cloud.google.com/blog/ja/products/identity-security/announcing-quantum-safe-digital-signatures-in-cloud-kms/
*169 https://www.thalesgroup.com/en/worldwide/digital-identity-and-security/press_release/european-consortium-launches-pqc4emrtd
*170 https://resou.osaka-u.ac.jp/ja/research/2025/20250228_1
*171 https://www.levelquantum.eu/en/technology/
*172 https://www.nist.gov/news-events/news/2025/03/nist-selects-hqc-fifth-algorithm-post-quantum-encryption
*173 https://www.kddi-research.jp/newsrelease/2025/012701.html
*174 (1)井上純一、情報理論 配布資料#10、https://ocw.hokudai.ac.jp/wp-content/uploads/2016/01/InformationTheory-2005-Note-10.pdf
(2) 藤原融、電子情報通信学会『知識の森』■1群(信号・システム)--2編(符号理論) 2章代数的符号、https://www.ieice-hbkb.org/files/01/01gun_02hen_02.pdf
(3) 松井一、符号理論における代数的手法、IEICE Fundamentals Review Vol.8 No.3、pp.151-161、https://www.jstage.jst.go.jp/article/essfr/8/3/8_151/_pdf
(4) 松井直己、耐量子計算機暗号とは何か 移行のために知っておきたいこと、大和総研テクノロジーレポート、https://www.dir.co.jp/report/technology/security/20241018_024653.pdf
*175 C.Delle Donne et al.、An operating system for executing applications on quantum network nodes、https://www.nature.com/articles/s41586-025-08704-w
*176 https://www.nict.go.jp/press/2025/03/13-1.html#kiji2
*177 https://www.scmp.com/news/china/science/article/3302234/china-creates-hacker-proof-quantum-satellite-communication-link-south-africa
査読済版(25年3月19日@nature)は、https://www.nature.com/articles/s41586-025-08739-z
*178 https://www.ncsc.gov.uk/guidance/pqc-migration-timelines
*179 https://connectivity.esa.int/news/esa-partners-polish-technology-company-develop-satcom-security-solution-using-postquantum-algorithms
*180 https://www.idemia.com/press-release/idemia-secure-transactions-announces-its-first-hardware-accelerator-designed-post-quantum-cryptography-2025-03-18
*181 https://www.nature.com/articles/d41586-025-00581-7
*182 https://speqtralquantum.com/newsroom/ses-and-speqtral-sign-mou-to-advance-global-quantum-secure-communications
*183 Minzhao Liu et al.、Certified randomness using a trapped-ion quantum processor、https://www.nature.com/articles/s41586-025-08737-1
*184 https://www.jpmorgan.com/technology/technology-blog/certified-randomness
*185 https://www.kddi-research.jp/newsrelease/2025/032601.html
*186 https://www.quantinuum.com/press-releases/quantinuums-quantum-origin-becomes-first-software-quantum-random-number-generator-to-achieve-nist-validation
*187 https://www.morningstar.com/news/pr-newswire/20250409va60977/btq-technologies-announces-strategic-partnership-with-qperfect-accelerating-neutral-atom-quantum-computing-applications
*188 https://ec.europa.eu/newsroom/eismea/items/787827/en
*189 https://sparrowquantum.com/post/sparrow-quantum-secures-21-5-million-euro-to-accelerate-photonic-quantum-innovation-in-europe
*190 https://www.hw.ac.uk/news/2025/new-uk-quantum-hub-launches-to-pioneer-secure-networks-and-advance-the-quantum-internet
*191 国立研究開発法人情報通信研究機構(欧州連携センター)、欧州における光通信を用いた衛星コンステレーション計画の動向調査報告書(令和2年3月)、https://www.nict.go.jp/global/lde9n2000000bmum-att/re2020.03.pdf
*192 https://www.phoronix.com/news/OpenSSH-10.0-Released
*193 https://www.telekom.com/en/media/media-information/archive/breakthrough-for-the-quantum-internet-1090094
*194 https://www.hrl.com/news/2025/04/16/hrl-laboratories-and-boeing-achieve-key-milestone-in-quantum-entanglement-swapping-satellite-mission
*195 https://www.cam.ac.uk/research/news/researchers-demonstrate-the-uks-first-long-distance-ultra-secure-communication-over-a-quantum
*196 https://www.partisia.com/docs/partnership-to-push-the-boundaries-of-secret-communication/
*197 https://www.projecteleven.com/quantum-readiness-levels
*198 Mirko Pittaluga et al.、Long-distance coherent quantum communications in deployed telecom networks、https://www.nature.com/articles/s41586-025-08801-w
*199 https://pqshield.com/pqshield-launches-ultrapq-suite-for-deeply-specialized-implementations-of-post-quantum-cryptography/
*200 https://www.businesswire.com/news/home/20250423337823/en/Aliro-Announces-Quantum-Powered-Security-to-Revolutionize-Network-Communications
*201 https://www.hw.ac.uk/news/2025/university-unveils-new-2.5m-quantum-enabled-optical-ground-station
*202 https://entropiq.com/entropiq-launches-quantum-entropy/
*203 https://ionq.com/news/ionq-completes-acquisition-of-id-quantique-cementing-leadership-in-quantum
*204 https://ionq.com/news/ionq-announces-plans-for-first-space-based-quantum-key-distribution-network
*205 https://www.scmp.com/news/china/science/article/3310817/chinese-firm-launches-unhackable-quantum-cryptography-system?module=perpetual_scroll_0&pgtype=article
*206 https://www.newswire.ca/news-releases/btq-technologies-signs-mou-with-quandela-to-advance-quantum-proof-of-work-protocols-852858846.html
*207 https://pqcc.org/wp-content/uploads/2025/05/PQC-Migration-Roadmap-PQCC-2.pdf
*208 Alexander Miller、Micius, the world's first quantum communication satellite, was hackable、https://arxiv.org/pdf/2505.06532
*209 Konstantinos Gkouliaras et al.、Demonstration of Quantum-Secure Communications in a Nuclear Reactor、https://arxiv.org/pdf/2505.17502v2
*210 Claudio Chamon et al.、Circuit complexity and functionality: A statistical thermodynamics perspective、https://www.pnas.org/doi/10.1073/pnas.2415913122
*211 https://www.commvault.com/news/commvault-unveils-new-post-quantum-cryptography-capabilities-to-help-customers-protect-data-from-a-new-generation-of-security-threats
*212 https://www.nokia.com/newsroom/colt-honeywell-and-nokia-join-forces-to-trial-space-based-quantum-safe-cryptography/
*213 https://www.global.toshiba/content/dam/toshiba/jp/company/digitalsolution/news/pdf/news_20250611.pdf
*214 https://www.kyoto-u.ac.jp/ja/research-news/2025-06-12-3
*215 https://blog.projecteleven.com/posts/announcing-our-6m-seed-round-to-build-a-quantum-ready-future
*216 https://www.pib.gov.in/PressReleasePage.aspx?PRID=2136702
*217 https://www.hispasat.com/en/press-room/press-releases/archivo-2025/483/hispasat-y-la-esa-acuerdan-desarrollar-el-primer-sistema-qkd-que-combina-la-entrega-de-claves-cuanticas-desde-orbitas-geo-y-leo
*218 https://www.idquantique.com/turkcell-juniper-quantum-safe-network-security/
*219 https://www.prnewswire.com/news-releases/korea-telecom-and-heqa-security-collaborate-on-quantum-safe-communication-infrastructure-302483981.html?tc=eml_cleartime
*220 https://www.thalesaleniaspace.com/en/press-releases/quantum-communications-satellite-speqtral-and-thales-alenia-space-launch-new
*221 https://www.btq.com/blog/quantum-proof-of-work-qpow-simulator-now-live
*222 https://ionq.com/news/ionq-completes-acquisition-of-capella-space-advancing-vision-for-space-based
*223 https://www.btq.com/blog/introducing-leonne-topological-consensus-networks-for-scalable-blockchain-security
*224 https://www.pixelphotonics.com/_my_media/1/cms/News/press_release_pixel_photonics_aegiq_en.pdf
*225 https://www.nict.go.jp/press/2025/07/28-1.html
*226 https://www.darpa.mil/news/2025/quanet-advances-practical-quantum-networking
*227 Alkım B.Bozkurt et al.、A mechanical quantum memory for microwave photons、https://arxiv.org/pdf/2412.08006
*228 https://www.riken.jp/press/2025/20250828_1/index.html
*229 Yichi Zhang et al.、Classical-decisive quantum internet by integrated photonics、https://www.science.org/doi/10.1126/science.adx6176
*230 Yuval Bloom et al.、Decoy-State and Purification Protocols for Superior Quantum Key Distribution with Imperfect Quantum-Dot-Based Single-Photon Sources: Theory and Experiment、https://journals.aps.org/prxquantum/pdf/10.1103/7fdd-m92n
*231 https://www.qunnect.inc/press-release-2025-09-09
*232 https://www.prnewswire.com/news-releases/us-pqfif-highlights-btqs-qssn-for-post-quantum-digital-money-quinsa-unanimously-advances-qssn-as-a-global-standards-initiative-302552858.html
*233 Geobae Park et al.、Entangled measurement for W states、https://www.science.org/doi/reader/10.1126/sciadv.adx4180
*234 井元信之、小特集 量子もつれ|量子もつれの基礎および量子情報や物理との関係、日本物理学会誌Vol.69,No.12,2014、pp.845-851、https://www.jps.or.jp/information/2022/10/04/69-12_845.pdf
*235 https://epb.com/newsroom/press-releases/epb-quantum-adds-hybrid-computing-to-comprehensive-quantum-development-platform/
*236 https://investors.ionq.com/news/news-details/2025/IonQ-Signs-Memorandum-of-Understanding-with-U-S--Department-of-Energy-to-Advance-Quantum-Technologies-in-Space/default.aspx
*237 https://www.qusecure.com/from-complex-to-simple/
*238 https://pqshield.com/why-pqshields-ncsc-pqc-assurance-is-a-game-changer-for-uk-critical-infrastructure/
*239 https://www.businesswire.com/news/home/20250916953518/en/Aliro-Achieves-Critical-Milestone-in-Operationalizing-Quantum-Networks
*240 https://www.tohoku.ac.jp/japanese/2025/09/press20250924-02-quantum.html
*241 Pengfei Wang et al.、Low-Loss Polarization-Maintaining Router for Single and Entangled Photons at a Telecom Wavelength、https://advanced.onlinelibrary.wiley.com/doi/10.1002/qute.202500355
*242 https://www.singlequantum.com/single-quantum-and-qunnect-partner-with-cern-qti-on-quantum-networking-experiments-at-newly-inaugurated-quantum-lab/
*243 https://ionq.com/news/ionq-achieves-significant-quantum-internet-milestone-demonstrates-quantum
*244 Xingyu Gao et al.、Single nuclear spin detection and control in a van der Waals material、https://www.nature.com/articles/s41586-025-09258-7.pdf
*245 Yuki Nagoro et al.、Single-shot high-resolution spectroscopy of single-photon-level optical pulses using a virtually imaged phased-array and single-photon avalanche diode array、https://opg.optica.org/oe/viewmedia.cfm?uri=oe-33-19-40997&seq=0
*246 https://www.partisia.com/blog/partnership-to-push-the-boundaries-of-secret-communication-1
*247 https://www.quantumemotion.com/press-release/quantum-emotion-and-jmem-technology-join-forces-to-deliver-the-first-ever-full-stack-quantum-resilient-security-chip
*248 https://blogs.cisco.com/news/cisco-quantum-labs-announces-software-that-networks-quantum-computers-together-and-enables-new-classical-applications
*249 https://connectivity.esa.int/news/esa-signs-contract-saga-mission-sovereign-quantum-key-distribution-capability-europe
*250 https://www.nict.go.jp/press/2025/10/08-1.html
*251 https://www.sec.gov/files/cft-written-input-daniel-bruno-corvelo-costa-090325.pdf
*252 https://quantumbrilliance.com/press-release/quantum-brilliance-cyberseq-and-luxprovide-partner-to-advance-post-quantum-cryptography-with-certified-randomness
*253 Ryotatsu Yanagimoto et al.、Programmable on-chip nonlinear photonics、https://www.nature.com/articles/s41586-025-09620-9.pdf
*254 https://www.tus.ac.jp/today/archive/20251014_8901.html
*255 https://www.newswire.ca/news-releases/btq-technologies-demonstrates-quantum-safe-bitcoin-using-nist-standardized-post-quantum-cryptography-protecting-2-trillion-market-at-risk-876145238.html
*256 https://www.sealsq.com/investors/news-releases/sealsq-unveils-qs7001-at-qai-2025-conference-in-new-york
*257 https://www.carahsoft.com/news/pqshield-and-carahsoft-partner-to-make-powerful-post-quantum-cryptography-solutions-available-to-government-agencies-2025
*258 https://ionq.com/news/ionq-and-swiss-consortium-launch-first-citywide-dedicated-quantum-network
*259 https://www.gmv.com/en/communication/press-room/press-releases/corporate/spanish-companies-gmv-luxquanta-join-forces
*260 Ali Javadi-Abhari et al.、Big cats: entanglement in 120 qubits and beyond、https://arxiv.org/pdf/2510.09520
*261 https://qperfect.io/index.php/2025/11/12/btq-exercises-option-to-acquire-qperfect-a-leading-neutral-atom-computing-company-strengthening-btq-as-a-fully-integrated-quantum-company/
*262 https://www.secqai.com/insights-and-news/secqai-tape-out-cheri-pqc-tpm
*263 https://investors.ionq.com/news/news-details/2025/IonQ-to-Acquire-U-S--Optical-Communications-Leader-Skyloom-Global-to-Accelerate-Worldwide-Quantum-Networking-and-Sensing-Infrastructure/default.aspx
*264 https://quobly.io/news/quobly-and-sealsq-announce-a-collaboration-to-advance-secure-and-scalable-quantum-technologies/
*265 https://sparrowquantum.com/post/qtrain-to-develop-the-first-commercially-available-quantum-transceiver
*266 https://iqnhub.org/shop-bought-cable-powers-quantum-breakthrough/
*267 https://sparrowquantum.com/post/sparrow-quantum-raises-eu27-5-million-in-record-breaking-investment-strengthening-denmarks-role-in-the-global-quantum-race
*268 https://speqtralquantum.com/newsroom/speqtre-the-entanglement-based-quantum-comms-demonstrator-satellite-is-now-on-orbit
*269 https://cordis.europa.eu/project/id/101225708
*270 https://waltoninstitute.ie/news-and-events/news/ireland-steps-up-to-protect-europes-digital-future
*271 https://www.securityweek.com/niobium-raises-23-million-for-fhe-hardware-acceleration/
*272 https://www.01com.com/pdf/2025/December-02-Release-QDW.pdf
*273 https://www.sealsq.com/investors/news-releases/sealsq-wisekey-and-wisesat.space-successfully-launch-their-new-satellite-aboard-spacex-mission
*274 https://www.sealsq.com/investors/news-releases/sealsq-makes-strategic-investment-in-eeroq-to-accelerate-its-quantum-made-in-usa-strategy?hss_channel=lcp-92502591
*275 https://investors.ionq.com/news/news-details/2025/IonQ-Expands-in-EU-With-Slovakias-First-National-Quantum-Communication-Network/default.aspx
*276 Alessandro Laneve et al.、Quantum teleportation with dissimilar quantum dots over a hybrid quantum network、https://www.nature.com/articles/s41467-025-65911-9.pdf
*277 https://www.01com.com/pdf/2025/December-Bullfrog-Release.pdf
*278 https://bullfrogpower.com/blog/tokenized-environmental-certificates/
*279 https://www.quantumcorridor.com/news-and-events-posts/quantum-corridor-toshiba-demonstrate-first-cross-state-quantum-key-distribution-over-live-commercial-metro-fiber-network
*280 Bruce Chesley et al.、Quantum Corridor White Paper|Quantum Key Distribution Over Metropolitan Fiber、https://cdn.prod.website-files.com/65bd0da121861f1d79d65473/69330a5f10a1fdb52d556cee_Quantum%20Key%20Distribution%20Over%20Metropolitan%20Fiber.pdf
*281 https://www.newswire.ca/news-releases/btq-technologies-acquires-post-quantum-cryptography-ip-through-strategic-investment-in-keypair-accelerating-co-development-of-hardware-rooted-security-for-korea-s-critical-infrastructure-864902281.html
*282 https://www.sealsq.com/investors/news-releases/sealsq-c-suite-visits-india-to-advance-post-quantum-semiconductor-personalization-center-quantum-investments-and-sovereign-space-capabilities
*283 https://www.newswire.ca/news-releases/btq-technologies-launches-bitcoin-quantum-testnet-marking-17-years-since-bitcoin-s-genesis-block-with-first-quantum-safe-fork-887920063.html
*284 https://q-bird.com/press/qbird-secures-e2-5m-grant-and-e5m-equity-from-eic-accelerator-to-scale-europes-quantum-secure-networks/
*285 https://www.linkedin.com/posts/poolad-imany_it-is-my-pleasure-to-announce-that-icarus-activity-7415043498153795584-uxKI/
*286 https://blog.projecteleven.com/posts/announcing-project-elevens-series-a
*287 https://www.sealsq.com/investors/news-releases/sealsq-announces-entry-into-a-memorandum-of-understanding-regarding-a-potential-strategic-investment-and-acquisition-of-quantum-computing-firm-quobly
*288 https://www.hitachi-solutions-create.co.jp/company/newsrelease/2026/0115_01/
*a クランチベース等の2次情報には、誤りが散見されるので、該当組織のWebサイト等で可能な限り確認した。As of 26年1月(適宜アップデートする)
*b 以下の論文と関係はあるのだろうか? Subhash Kak、Simulating Entanglement in Classical Computing、https://arxiv.org/ftp/arxiv/papers/1301/1301.1994.pdf
*A-1 https://www.wired.com/story/new-attack-sike-post-quantum-computing-encryption-algorithm/
*A-2 LWE(Learning with errors)問題は、誤差を加えた多元連立一次方程式問題である。誤差は平均0、標準偏差σの離散ガウス分布から生成される整数で良い。LWE問題は、NP困難問題-つまり、古典コンピュータはもちろん、量子コンピュータでも、多項式時間では解けないと考えられている。Module-LWE問題は、パラメータとして多項式を成分とするベクトルを選択したLWE問題で、パラメータの選択により効率性と安全性のどちらを重視するかを選択可能である。なおLWE暗号に対して、最も高速な攻撃は、BBD(Bounded Distance Decoding)攻撃と考えられている。
(参考1:四方順司、量子コンピュータに耐性のある暗号技術の標準化動向:米国政府標準暗号について、日本銀行金融研究所、Discussion Paper No. 2019-J-4 https://www.imes.boj.or.jp/research/papers/japanese/19-J-04.pdf)
(参考2:高木剛、ポスト量子暗号の構成法とその安全性評価 https://www.jstage.jst.go.jp/article/essfr/11/1/11_17/_pdf/-char/ja)
*A-3 https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8413.pdf
*A-4 Measurement-device-independent quantum cryptography (https://arxiv.org/pdf/1409.5157.pdf)
*A-5 2020年に設立された Q-NEXTは、米国エネルギー省(DOE)のアルゴンヌ国立研究所が主導しており、3つの国立研究所・10大学・14企業から約100名の専門家が集結している。Q-NEXTの使命は、量子情報の制御と配信のための科学技術を開発し、量子科学・工学における重要な発見と米国の競争力を実現すること、とされている。https://q-next.org/
DOE傘下の国立研究所が主導する量子イニシアチブには、他にも、①ブルックヘブン国立研究所が率いる量子アドバンテージ共同設計センター(C2QA)、②オークリッジ国立研究所が率いる量子科学センター(QSC)、③ローレンス・バークレー国立研究所が率いる量子システム加速器(QSA)、④フェルミ国立加速器研究所が率いる超伝導量子材料・システムセンター(SQMS)などがある。
*A-6 A Roadmap for Quantum Interconnects、 https://publications.anl.gov/anlpubs/2022/12/179439.pdf
*A-7 量子中継器(量子リピータ、QR)は3つの世代に分類される。第一世代と第二世代のQRは、損失エラーを克服するために、隣接する中継局間のエンタングルメント生成に依存している。第一世代QRでは、隣接する中継局と遠隔中継局の間でエンタングルメント蒸留(原文は、purification:純粋化(精製という訳語もある)であるが、同じ意味で馴染みのある文言を使った)を行い、動作エラーを修正する。遠隔中継局間では双方向の古典通信が必要なため、鍵生成割合が遅くなり、中継局に長寿命の量子メモリが必要とされる。
第二世代QRでは、量子誤り訂正を用いるため、隣接局間の古典的な双方向通信のみが必要となり、並列に実現することが可能である。
第三世代QRでは、古典的な中継器と同様に、完全に一方向のプロトコルを用いて、損失と演算誤差の両方を量子誤り訂正のみで克服するため、通信速度はローカル演算の実行時間のみに依存し、超高速通信速度を達成する可能性がある。ただし、ノード間の最大許容チャネル損失は50%。
*A-8 From Long-distance Entanglement to Building Nationwide Quantum Internet、Report of the DOE Quantum Internet Blueprint Workshop、2020年2月5-6日、https://www.energy.gov/sites/prod/files/2020/07/f76/QuantumWkshpRpt20FINAL_Nav_0.pdf
上記レポートには、以下のように記述されている。Milestone 3: Intercity Quantum Communication using Entanglement Swapping 量子メモリーネットワーク。このタイプの量子ネットワークでは、任意の2つのエンドユーザー(ノード)がもつれた量子ビットを取得・保存し、量子情報を相互にテレポートすることができる。エンドノードは、受け取った量子ビットに対して計測や演算を行うことができる。必要最小限のメモリストレージは、往復の古典通信の時間によって決定される。この量子ネットワークステージでは、単一量子ビットの準備と測定が可能なノードが、遠隔地の量子コンピューティングサーバーに接続することができるという意味で、限定的なクラウド量子コンピューティングを実現することができる。第一世代のプロトタイプを早期に構築することで、主要な戦略や対処すべき非効率性を特定することができ、全国的なプログラムの成功を保証するもう一つのメカニズムになる。コンポーネントの徹底的な評価と初期段階での統合テストを可能にするため、Q-LANを形成する1つまたは複数の初期テストベッドが必要である。
*A-9 A-8のレポートFrom Long-distance Entanglement to Building Nationwide Quantum Internetには、次のように記されている:Milestone 4: Interstate Quantum Entanglement Distribution using Quantum Repeaters 古典的なネットワーク技術と量子ネットワーク技術が統合された。量子中継器と量子誤り訂正通信の連結に成功すれば、より長距離の量子もつれ配信ネットワークが実現し、量子インターネットが実現する。
*A-10 A. Aliev et al.、Experimental demonstration of scalable quantum key distribution over a thousand kilometers、https://arxiv.org/pdf/2306.04599.pdf
*A-11 Y. Liu et al.、Experimental Twin-Field Quantum Key Distribution over 1000 km Fiber Distance、https://journals.aps.org/prl/abstract/10.1103/PhysRevLett.130.210801
*A-12 Marco Avesani、Long-Range Quantum Cryptography Gets Simpler、https://physics.aps.org/articles/v16/104
*A-13 相川勇輔、耐量子計算機暗号と量子情報の数理 同種写像暗号1:楕円曲線と同種写像グラフ、https://joint.imi.kyushu-u.ac.jp/wp-content/uploads/2022/08/220802_03aikawa.pdf
*A-14 参考資料:Nikolaj Sidorencoet al.、Formal security analysis of MPC-in-the-head zero-knowledge protocols、https://eprint.iacr.org/2021/437.pdf
*A-15 古江弘樹、耐量子計算機暗号と量子情報の数理 多変数多項式暗号1:署名方式の構成、https://joint.imi.kyushu-u.ac.jp/wp-content/uploads/2022/08/220804_01furue-.pdf
*A-16 Kohei Nakagawa & Hiroshi Onuki、QFESTA: Efficient Algorithms and Parameters for FESTA using Quaternion Algebras、https://eprint.iacr.org/2023/1468.pdf
*A-17 藤崎、I240 暗号理論 2019|公開鍵暗号と署名(2)、https://www.jaist.ac.jp/~fujisaki/2019/I240-2019-10.pdf
*A-18 Vadim Makarov et al.、Preparing a commercial quantum key distribution system for certification against implementation loopholes、https://arxiv.org/pdf/2310.20107
*A-19 松井充・鶴丸豊広、総合報告|光とともに飛躍する量子暗号通信|量子暗号通信と光が果たす役割、光学39巻1号(2010)、pp.1-9、https://annex.jsap.or.jp/photonics/kogaku/public/39-01-sougouhoukoku.pdf
*A-20 https://www.i.u-tokyo.ac.jp/news/files/IST-Pressrelease_Takagi_20250120_01.pdf
*A-21 Allen Zang et al.、No-Go Theorems for Universal Entanglement Purification、https://arxiv.org/pdf/2407.21760