量子スタートアップ　通信(量子安全通信)の帷^[*0]

Ⅰ　全体整理
Ⅰ-1　DI-QKD
(1)耐量子暗号と量子暗号
　耐量子暗号とは、古典コンピューターを使って生成可能でありながら、量子コンピューターでも解読困難と見做されている暗号。意地悪な見方をすると、計算機の演算処理能力(スピード)向上という潜在的な危険に、常に晒されている暗号といえる。難しい言葉を使えば、計算量的仮定の下での安全性が保証された暗号である。
　一方、量子暗号(ここでは、量子鍵配送(QKD)システムと同義)の安全性は、計算機の演算処理能力とは無関係である。量子力学の根本原理(不確定性原理と量子複製不可能定理)によって、安全性を保証された暗号と説明される。量子複製不可能定理は、｢2つの異なる量子状態が、複製及び配送可能となる必要十分条件」が、｢量子状態同士が直交及び可換である｣ことを教えてくれる。無条件安全性が保証された暗号とも表現される。
　上記ステートメントを読む限り、量子暗号は絶対破れない究極の暗号だと思うだろう。しかし、魑魅魍魎跋扈する現実世界は、そう単純ではない。(もちろん、デコイ法等の議論ではない。)

(2)　理論的には不可能。でも、ハッキングされた？
　QKDシステムは、理論的にはハッキング不可能なハズである。しかし実際に、ハッキングが実行されている。2010年までに2つの研究チームが、スイスのスタートアップ｢ID Quantique｣(2018年、韓国のSKテレコムが買収)のQKDデバイスを、その操作と理論上の説明の不一致を使用してハッキングすることに成功した、という[*1]。なぜそんなことが起こり得るのか？　それは、通信ネットワークを構成する物理的な装置が、不完全だからである。もう少しスマートに表現すると、チャネルへの攻撃に対しては無条件安全でも、デバイスへの攻撃に対しては、その限りではない。先に述べた物理的装置には、デバイス―もっと分かりやすく言えば、スマホも含まれる。正確さを犠牲にして分かりやすく説明すれば、スマホ操作の結果が理論値とズレることを検知することで、量子暗号を破ることが可能ということである。
　つまり、厳密に言えば、｢不完全性のない理想的な物理的装置を使うという仮定の下でのみ、量子暗号は無条件安全｣である。量子暗号は『条件付き無条件安全』という甚だ言語矛盾な状況にある。
　実際の物理的装置には必ず、雑音、精度不足、電磁波漏れなどの不完全性が存在する。やっぱり、究極の暗号なんて、存在しないのか？　と気落ちしてしまいそうになるが、解決策はある。しかし、事情は、やっぱり複雑である。

(3)　解決策
　解決策は、装置無依存量子鍵配送（Device Independent Quantum Key Distribution:DI-QKD）と呼ばれる量子暗号である[*48]。難しい言葉を使えば、DI-QKDとは、｢量子もつれ光子対の量子的な相関の度合いを監視することで、物理的装置に関する知識が得られない場合であっても、秘密鍵が得られる」QKDである。このDI-QKDを使えば、｢受信器｣のセキュリティ･ホールは、完全に塞ぐことができる、という[*2]。送信器が持つセキュリティ･ホールへの対策は、未だ完全ではないが、完全に塞ぐ目途は立っている。送信器からの、あらゆる情報漏れが、単一の式で表現できることがわかったからである。つまり未知のサイドチャネル攻撃^†に晒されても、安全性を保証できる目途は立ったということである[*2]。
　なお、量子鍵配送を行うためには、送信者と受信者の間で認証が確立していることが前提。第三者による受信者のなりすまし、に気がつかなければ、送信者は第三者との間で秘密鍵を共有してしまう。ここで、量子暗号のカテゴリ－では、例えばWegman-Carter認証という情報理論的安全性をもつ認証が使える(ので理論上では安全。ただし運用上の苦労はある)[*3]。また、耐量子暗号のカテゴリーでの認証技術(例えば、CRYSTALS-Dilithiumなど)を使うという手もある。
†　為念：古典コンピュータを使った暗号化スキームに対するサイドチャネル攻撃→｢メモリなどのリソースに対する需要をスパイウェア等で測定することにより、暗号化スキームに携わっているサーバーを特定｣＋｢サーバーにメッセージを送信し、応答を取得するのにかかる時間を測定すると、特定のビットが1であるか、0であるかが分かり｣､｢電力消費量によって暗号化方式が分かる｣[*51]。
[参考Ø]　アップルのMシリーズに対するサイドチャネル攻撃を、米国の研究者が発表(24年4月)[*90]。CPUに搭載しているDMP(Data Memory-Dependent Prefetcher)という、データを”先読み”するハードウェアを利用する。悪意のある入力を行うことで、所望のデータを”先読み”という形で、CPUから取り出すことができる(CPUのキャッシュメモリを監視することで、復元可能)。所望のデータとは、暗号鍵(秘密鍵)である。DMPはインテル製CPUにも存在するが、アップルMシリーズのDMPより堅牢だという。
[参考1]　東北大学及びNECは、｢サイドチャネル攻撃から暗号モジュールを長期にわたって強固に保護する技術を開発した｣と発表した(23年12月5日)[*57]。サイドチャネル攻撃に対して 100%安全な構成要素が無い状況であっても、暗号鍵を適切に交換すれば、現実的に十分な安全性を有する暗号モジュールを実現できることを明らかにした。

(4)　残念ながら問題は、残っている。
　実際、細かい部分は残っているものの、DI-QKDは究極の暗号ということになる。しかし問題は、残っている。伝送距離である。あまりにも短い。加えて言えば、キーをより速く生成する方法も必要と考えられている。
　米国物理学会のオンラインマガジンPhysicsは、22年7月27日、「中国、英国、ドイツの3つの研究グループが、DI-QKDの原理実証実験を独自に実施している」という内容の記事を掲載した[*1]。中国グループ(7月27日付けフィジカルレビューレターに掲載)は、光子。英グループ(同日ネイチャーに掲載)は、イオン。ドイツ・グループ(同日ネイチャーに掲載)は、中性原子(ルビジウム)を使用した。すべての実験で、伝送距離は1km未満だった。中国は20～220m、英は2m、ドイツは400mであった。

(5)　結論
　QKDは無条件安全と考えられていたが、実際は、そうではない。そうは言っても、実際に攻撃するのは大変ですよ、という専門家の意見もある。しかし22年7月に発生したKDDIの通信障害を思い起こせば分かるように、小さな欠陥であっても、それが原因で発生する通信インフラの不具合は、社会に大きなネガティブインパクトを与える。QKDを安全な暗号システムと社会的にみなすことは難しいと考える。QKDと耐量子暗号を比較すれば、耐量子暗号がよりセキュアであるという判断は、十分合理的であるとも考える[cf. Appendix A]。
　DI-QKDは、無条件安全と考えて良いだろうが、現状少なくとも伝送距離の点で、実用レベルではない。そうすると、現実解は、二つの暗号技術を組み合わせて、悪意ある攻撃から守るということになるのであろう。別の現実解(妥協案)としては、①一部のデバイス(コンポーネント)限定でDIなQKD(MDI-QKD、Appendix Bを参照)や、②特定のサイドチャネル攻撃に対して対策を施す[*12]というアプローチも存在する。尚、サイバーセキュリティ対策について殊更、量子暗号/耐量子暗号という区別をすることなく、量子技術を使った攻撃に対して安全な状態を量子セキュアと呼ぶ。

Ⅰ-2　耐量子暗号
　格子暗号を多項式時間で解読したと主張する清華大の研究者による論文[*99]@4/10は、4/18に(予想通り)撤回された。
(1)　ビジネス動向
1⃣　PQC Coalition
　耐量子暗号(PQC)のより広範な理解と一般採用に向けた進歩を推進するために、技術者･研究者･専門家からなるコミュニティが PQC Coalitionを立ち上げた(23年9月)。創設メンバーには、IBM、マイクロソフト、MITRE[*49]、英PQShield、米SandboxAQ、加ウォータールー大が含まれる。
　PQC Coalition当初、次の4つのワークストリームに焦点を当てる。❶PQC移行に関連する技術標準の推進、❷教育と人材育成をサポートする技術資料の作成、❸商品レベルの品質を有するオープンソースの耐量子暗号を生成・検証し、業界向けにサイドチャネル攻撃に耐性のある耐量子暗号を実装、❹暗号化の俊敏性^†を確保、する。
†　｢組織内の暗号資産管理が、従来の暗号からPQCに、素早く移行できる状態｣であれば、暗号化の俊敏性が確保されていることになる。
2⃣　Post-Quantum Cryptography Alliance
　米Linux Foundationは、耐量子暗号の進歩と導入を推進するオープンで協力的なイニシアチブである｢耐量子暗号アライアンス(PQCA)｣の立ち上げを発表した(24年2月6日)[*68]。PQCA は、商用国家安全保障アルゴリズム･スイート2.0に関する米国国家安全保障局のサイバーセキュリティ勧告との連携をサポートするために、実稼働対応のライブラリとパッケージを求める組織やオープンソース･プロジェクトにとって中心的な基盤となることを目指している。創設メンバーは、アマゾン･ウェブ･サービス(AWS)、シスコ、グーグル、IBM、IntellectEU^†1、Keyfactor^†2、Kudelski IoT^†3、NVIDIA、QuSecure^†4、SandboxAQ、加ウォータールー大学。
†1　デジタルファイナンス企業
†2　セキュリティソフトウェア･プロバイダー
†3　IoTセキュリティ･プロバイダー
†4　米国のスタートアップ。耐量子暗号ソリューションQuProtect™を提供。【1】米国のパートを参照。
3⃣　フランスのコンソーシアム
❶　RESQUE
　仏のサイバープレーヤー4社･2機関^🖋1は、耐量子暗号ソリューションを開発するために｢RESQUEコンソーシアム｣を設立した(24年3月15日)[*83]。仏政府とEUから€6milの資金提供を受ける。具体的には、ハイブリッド^🖋2耐量子VPN及び、高性能H/Wセキュリティ･モジュール作成を目的とする。
❷　Hyperform
　仏のサイバープレーヤー5社･3機関^🖋3他は、エンド･ツー･エンドの量子安全ソリューションを設計するためにHyperformコンソーシアムを立ち上げた(24年5月28日)[*98]。仏政府とEUから€7.5mil以上の資金提供を受ける。特に、資金決済や認証のセキュリティ強化に注力するらしい。
🖋1　Thales(航空宇宙・防衛・交通システム・セキュリティ分野で、サービス提供する大手企業)、TheGreenBow(VPNプロバイダー)、CryptoExperts(耐量子暗号プロバイダー)、CryptoNext Security(同、下表参照)、ANSSI(首相府防衛･国家安全総局･国家情報システムセキュリティ庁)、INRIA(仏国立情報学自動制御研究所)。
🖋2　耐量子暗号の文脈では、既存の暗号(例えば、楕円曲線暗号)と耐量子暗号の両方を組み合わせて使用する、という意味。
🖋3　IDEMIA Secure Transactions(セキュア･ソリューション･プロバイダ：生体認証と暗号化強みを持つ)、CryptoNext Security、Atempo(データ保護ソリューション･プロバイダ)、Prim'X(暗号ソリューション･プロバイダ)、Synacktiv(企業が情報システムのセキュリティ･レベルを評価及び向上できるよう支援)、CEA Leti(仏原子力庁･電子情報技術研究所)、ANSSI、INRIA。
4⃣⃣　メタ(いわゆる、旧フェイスブック)
　メタは、該社公式ブログに｢社内インフラから、ユーザー向けアプリまで、ハイブリッド耐量子暗号への移行を開始した｣と投稿した(24年5月22日)[*95]。TLS^🛡1における鍵合意において、 X25519楕円曲線ディフィー･ヘルマン(ECDH)プロトコルは、事実上の標準である。X25519に、CRYSTAL-Kyberを追加するハイブリッド型に移行する。NIST(米国立標準技術研究所)が定めた耐量子暗号標準ドラフト^🛡2では、安全性と実装の"重さ"のバランスをとった3種のKyber(Kyber512、Kyber768、Kyber1024)が存在する。メタは、ユーザー向けには768を、社内用には512を使用する。
🛡1　TLS:Transport Layer Security(トランスポート層セキュリティ)は、インターネットで広く採用されているセキュリティ･プロトコル。
🛡2　24年7月に、耐量子暗号・4種類がリリースされる予定。
5⃣　Zoom Video Communications(ZVC)
　ZVCは、コラボレーションプラットフォームZoom Workplaceに、耐量子暗号を導入したと発表(24年5月21日)[*96]。耐量子暗号は、Kyber768である(つまりメタと同じ選択)。
6⃣　米とカナダにオフィスを持つサイバーセキュリティ企業Lastwallは、Quantum Shield™という製品を発表した(24年6月26日)[*102]。Quantum Shield™は、Webサイトへの接続時、TLS(上記🛡1参照)に耐量子暗号セキュリティを組み込む仕組みらしい。Quantum Shield™は、(AWSやAzureなどの)クラウドプロバイダーを通じて展開されるため、ユーザーは最小限の時間とリソース割り当てで、最新の状態を維持できる。耐量子暗号は、もちろんKyberベースである。

(2)　耐量子暗号に対するサイドチャネル攻撃
1⃣　CRYSTALS-Kyberに対するサイドチャネル攻撃
　スウェーデン王立工科大学の研究者は、CRYSTALS-Kyberを実装したハードウェアに対する、最初のサイドチャネル攻撃を紹介した論文[*63]を発表した(23年7月16日)。Kyber-512の一次マスクFPGA実装に対する実用的なメッセージ(共有鍵)回復攻撃を、ハミング距離漏洩モデルに基づく｢電力解析｣を用いて実証している。この攻撃は、非カプセル化(decapsulation)の復号化ステップで呼び出される、マスクされたメッセージの復号化手順にある、脆弱性を悪用する。メッセージの復元は、深層学習に基づく手法を用いて実行される。同じ復号化プロセスを複数回繰り返すことで、完全な共有鍵回復の成功率を｢99%まで高める｣ことが可能、という。

(3)　日本における耐量子暗号の評価－格子ベースのPQCが高評価
　ソフトバンクと米サンドボックスAQ(Googleからスピンアウトした量子技術実装企業)は、量子セキュア通信の検証について、プレスリリースを発表した(23年2月27日)[*24]。データ通信インフラに暗号プロトコルを導入すると、通信に大きな負荷がかかる。このため、レイテンシーが発生し、品質低下･スループット低下を招く可能性がある。格子ベースの耐量子暗号は他の選択肢と比べ、そのような懸念に対して格段に優れている、と評価した。そして、格子ベースの耐量子暗号と既存の暗号プロトコルのハイブリッドが、ベストであると結論している。

(4)　米国における耐量子暗号(通信)
1⃣　QuSecure
❶　米スタートアップQuSecureは、衛星を使った耐量子暗号通信を成功させた、と発表した(23年3月9日)[*29]。㊀自社サーバー→スターリンク端末、㊁スターリンク端末→スターリンク衛星、㊂スターリンク衛星→地上局、の全てを量子セキュアに繋いだ。
❷　QuSecureは、耐量子暗号通信に関して、AFWERX(米空軍研究所のイノベーションを促進するプログラム)から中小企業イノベーション研究(SBIR)契約を獲得した(24年1月)[*66]。これは米陸軍(23年、フーズⅡSBIR)、米政府(22年、フェーズⅢSBIR)に続くもの。
2⃣　Qrypt
　Qryptも、耐量子暗号通信に関して、AFWERX(及び空軍省)からSBIR契約(フェーズⅠ)を獲得した(24年1月)[*67]。

(5)　欧州びおける耐量子暗号(通信)
1⃣　Vodafone⊕Sandbox
　英ボーダフォンは米SandboxAQと連携し、VPN(仮想プライベートネットワーク)に接続したスマートフォンをテストベッドとして、耐量子暗号通信の実験を行った(23年7月5日)[*43]。具体的には、Webブラウジング、ソーシャルメディアとチャット、ビデオとオーディオ･ストリーミング、モバイルゲームを対象に、ネットワークパフォーマンスのテストとユーザーエクスペリエンスの評価を行った。その結果、サービスの品質には最小限の影響しか与えないという結論に達した。
2⃣　Arqit
❶　英Arqit、英Ampliphae^†1及び伊Athonet^†2は、プライベート5Gネットワークに、量子安全セキュリティを提供するプロジェクトが正常に完了したと発表した(24年1月23日)[*65]。プロジェクトは23年12月に終了している。
❷　米ジュニパー･ネットワークス^†3のファイアウォールと該社のQuantumCloud™を組み合わせたArqit SKA Platform™を使った、独伊間の量子安全VPN通信のPoC完了を発表した(24年5月)[*94]。QuantumCloud™は、顧客のデバイスにおいて、数量無制限で、耐量子暗号鍵を生成する鍵合意プラットフォーム。SKAはSymmetric Key Agreementの略。テレコムイタリア･スパークル^†4と協業、Telsy^†5がサポートした。
†1　サイバーセキュリティ･ソリューション･プロバイダー
†2　プライベート･セルラーネットワーク技術プロバイダー。23年2月に、米HPE(ヒューレット・パッカード エンタープライズ)が買収した。
†3　スイッチ、ルーター等のネットワーク機器ベンダー。シスコ(Cisco)システムズのライバルと言われた時期もあった。24年1月、HPEが約140億ドル(40ドル/株)で買収すると発表。2024年末～2025年初頭に取引完了予定。
†4　元は、伊の通信会社テレコム･イタリアの海底ケーブル部門だった。伊･独･仏等において、インターネット接続サービスを提供するプロバイダー。テレコム･イタリアは、米KKRが固定電話部門を€2.2bilで買収することを承認(23年11月→取引完了は24年夏予定)。KKRはスパークルにも買収提案を行ったが、これは断られたらしい。
†5　サイバーセキュリティを専門とする、テレコム･イタリアのグループ企業。

(6)　中国・耐量子デジタル署名
　(潘建偉を含む)中国科学技術大学の研究者たちは、非対話型^†ゼロ知識証明を使用する認証(以下、NIZKP認証)のセキュリティホールを塞いだと主張する論文[*55]を発表した(23年11月2日、arXivには21年11月12日に論文[*56]が投稿されている)。NIZKP認証は、ランダム･オラクルの存在を仮定するが、ランダムオラクルは非現実的な量のランダム性を必要とするため、効率的に実装することはできない。そこで実際には、ランダム･オラクルの代わりに、ハッシュ関数が使用される。
　ただ、ハッシュ関数は決定論的関数であり、決定論的関数から真の乱数を生成することは不可能である。つまり、NIZKP認証には、セキュリティホールが存在する。このセキュリティホールを塞ぐ方策として、以下の⓵と⓶を組み合わせたプロトコルを提案した：⓵デバイス非依存量子乱数生成装置。⓶耐量子暗号に基づくアルゴリズムで、デジタルメッセージに署名するタイムスタンプ･サーバー。
†　非対話型とは、対話の必要がないという意味であるが、"暗号"の文脈では｢認証プロセスが1回で完了する｣ことを指す。もちろん対話型だと、認証プロセスが複数回必要となる。1回で済むので、脅威にさらされるリスクが低減するし、諸々のコストも削減される。

Ⅰ-3　QKDに対する諸々の修正アイデア
(1)　CV-QKD
　デンマーク工科大学の研究者は、長距離CV-QKDを実現したと発表した(論文[*64]は、Science Advancesにて24年1月3日に公開)。従来の長距離CV-QKDは、非常に複雑な方式でしか実証されておらず、加えて、セキュリティ上の抜け穴があったため、応用の可能性が限られていた。[*64]では、100kmのファイバー・チャネル上で、局部発振器を用いた長距離CV-QKD実験を、総損失15.4㏈で報告している。この成果は、キャリア回復のための機械学習フレームワークと変調分散の最適化を通じて、位相雑音に起因する過剰雑音を制御することによって達成された。

(2)　デコイBB84に対する修正案
　ヴィーゴ大学(スペイン)･ウォタルー大学(カナダ)及び富山大学は、デコイBB84の欠陥に対応する新しいアイデアを提案した(プレス発表[*77]は24年3月1日、論文[*78]は、23年12月22日に公開)。量子暗号の絶対安全性は、暗号鍵のキャリアとして単一光子(もしくはエンタングルド光子対)を使用しなければ、担保されない。現実の量子通信では、単一光子を発生させることが難しいので、代わりに(次善の策として)弱いコヒーレント光(WCP)が使用される。通信距離を伸ばすために、信号パルスの中に強度の異なるおとり(デコイ)パルスを、ある確率でランダムに混ぜ込んで送る。この通信プロトコルがデコイBB84である。高速通信では、光の状態を操作(変調)する装置を高速に動作させるため、ある光パルスへの操作がそれに続く光パルスへ影響を与えてしまう(位相相関)。こうして、暗号鍵キャリアの独立性が失われ、QKDの絶対安全性は保証されない。
　[*78]では、位相相関が存在する前提で安全性を確保する、新しいアイデアが提案されている。

(3)　Li-FiベースのQKD
　ドイツは、QuINSiDa(Quantum-based Infrastructure Networks for Safety-Critical Wireless Data Communication)というプロジェクトを通じて、新しいQKDシステムを実用化しようとしている[*22]。QKDは、送信器及び受信器がサイドチャネル攻撃等に対して、セキュアでないことが問題である。QuINSiDaでは、送信器及び受信器をLiｰFiベースとすることで、サイドチャネル攻撃(によって信号が漏れ出ること)から護るという発想である(ちなみに、米Quantum Computingは、送信器･受信器を"認証"する仕組みを取り入れることで、セキュリティホールを塞ぐ意向のようである)。独連邦教育研究省が€2milの資金を提供して、KEEQuant及びFraunhofer IPMS(フォトニック･マイクロシステム研究所)が主導する。プロジェクト期間は22年9月1日～25年8月31日の予定。

(4)☞　Appendix B　QKDシステムの抜け穴を塞ぐ方法・補説

(5)☞　Appendix D　Terra QuantumによるツインフィールドQKDの改善
👉　上記はザッくり言うと、｢鍵生成割合34bps、通信距離1032kmを実現するQKDプロトコル(TQ-QKDプロトコル)の実装に成功した｣という内容である(TQとは、もちろん、Terra Quantumを意味している)。Terra Quantum(テラ･クオンタム、以下、テラ)は、距離を1707kmに伸ばしたとする論文[*100]を発表した(24年5月22日)。ただし、鍵生成割合は0.9bps(1079kmだと168bps)。基本セットアップは同じであるが、相違点が2つある。1⃣QKDプロトコルの違いと、2⃣アドバンテージ蒸留の適用である。
1⃣　Quantum-protected Control-based Key Distribution
　[*100]でのQKDは、Quantum-protected Control-based Key Distribution(QCKD)^🛡1と呼ばれている。QCKDの中心的なアイデアは、｢正当なユーザーが光ファイバー回線内のローカル信号漏洩を監視｣し、｢信号(量子状態)0から漏洩した状態と、信号1から漏洩した状態が、実質的に非直交であることを確認する｣というものである。量子力学では、異なる非直交の量子状態を、誤りなく完全に識別することは不可能である。つまり、漏洩した状態が、0なのか1なのかを、"誤りなく完全に"識別することはできない。漏洩する状態の割合を、特定のしきい値以下にすることで、"誤りなく完全に"の但し書き部分が、不要になる^🛡2。
2⃣　アドバンテージ蒸留
　通信距離が1707kmの場合、ビット誤り率は34.0%に達するという。これ程高いビット誤り率だと、低密度パリティ検査(LDPC)符号に基づく標準的な誤り訂正と、プライバシー増幅^🛡3では不十分であるため、アドバンテージ蒸留^🛡4を採用している。アドバンテージ蒸留は、プライバシー増幅の前に行われる前処理という位置づけらしい。
　アドバンテージ蒸留は、以下のようなステップで実行される^🛡5：まず、正当なユーザーは、情報をいくつかのブロックに分割する。正当なユーザーは古典通信を通じて、廃棄ルールを共有する。廃棄ルールに従って、正当なユーザーは、ビット誤り率が高いビットを廃棄する。こうすることで、結果的に、鍵生成割合を高める。
🛡1　量子暗号の文脈では、Quantum Cryptography & Key DistributionやQuantum-Chaotic Key DistributionもQCKDと略される。
🛡2　ホレボー限界によって、盗聴者が取り出せる情報がゼロに近づく。1量子ビットから取り出せる情報量の上限が1ビットであることを、ホレボー限界という。
🛡3　プライバシー増幅とは、リコンシル鍵において少数のビットを犠牲にすることにより、犠牲にしたビットに比べて指数関数的に(ビットを)増量して盗聴者に漏洩した情報を削減する手法。リコンシル鍵とは、誤り訂正処理の後、正当なユーザーが持つ、同一の鍵のこと。出所)https://www.nict.go.jp/publication/shuppan/kihou-journal/kihou-vol51no1.2/03-07.pdf
🛡4　advantage distillation。正式な訳語はないと思われる。
🛡5　基本的なフレームワークは共通しているが、細かい箇所は、多種多様である。

Ⅰ-4　量子安全直接通信(QSDC)
(1)　韓国
　広く知られている通りQKDは、2チャンネル方式である。送信者･受信者間で共有する暗号鍵は、量子的プロセスにより、安全であることが担保される。暗号鍵の運用には、ワンタイムパッド方式を採用する。送信者と受信者は、相互認証されていると仮定する。暗号文は、通常の通信経路で送信し、通常の方法で復号化する。暗号文の送信に量子力学は無関係である(が、安全性はワンタイムパッド方式が担保する)。QKDに対して、量子的プロセスで暗号文そのものを、量子安全な状態にして、送信する方法を量子安全直接通信(QSDC)という。これは、1チャネル方式となる。QSDCでも、送信者と受信者は、相互認証されていると仮定する。QSDCについては、[*72]などを参照。
　韓国LGエレクトロニクスの研究者によると、｢QSDCの実装は、単一光子検出器のデッドタイム^†によって送信速度が制限されていた｣。高性能な、超伝導ナノワイヤ単一光子検出器(SSPDあるいはSNSPD)でも10ナノ秒程度のデッドタイムが存在する。LGの研究者は、従前のQSDC(DL04プロトコル)における単一光子検出器の制限を超えて、プロトコルの伝送効率を向上させた、と発表した(24年1月9日@scientific reports[*73])。LGが開発した新しいプロトコルでは、時間状態と位相状態という2つの光学的自由度を利用して、符号化する。位相状態は、測定効率が低いので、盗聴者検出のみに使用される。時間状態は、量子ビット誤り率の推定とメッセージ送信の 2 つの目的に使用される。DL04プロトコルでは、量子状態は1つだけが使用されていた。
†　暗計数率(誤検出の割合)を抑制するために、アフターパルス(光子検出の文脈におけるノイズは、こう呼ばれる)の検出を回避する。アフターパルス検出回避のために、バイアスを一旦オフにして、一定時間後に再びオンにする。このバイアス･オフ時間を、つまり光子を検出できない時間を｢デッドタイム｣と呼ぶ。

(2)　中国　
　香港の珠海学院他[*75]の研究者は、長距離自由空間QSDC(LF-QSDC)プロトコルを提案した(24年2月14日@arXiv[*76])。QSDCの通信距離を伸ばすには、自由空間(≒大気)での通信が必要との認識下、自由空間通信に適応したプロトコルを提案している。LF-QSDCは、量子メモリー不要のDL04プロトコルに基づいている。LF-QSDCの特徴は、以下の3つに集約できるだろう：㊀低密度パリティ･チェック(LDPC)方式の量子誤り訂正符号を使用。㊁ビームのふらつきや大気の乱流などの課題に対処し、正確な位置合わせと安定化を保証するPAT(Pointing, Acquisition, and Tracking)技術の使用。㊂大気擾乱を緩和することを目的とした大気量子補正アルゴリズムの使用。
　なお、Web3.0との融合を指向していると盛んに強調している。Web3.0時代の標準プルトコルを狙っているということだろうか。

Ⅱ　個別整理
【0】日本
　H/W同様、スタートアップのプレゼンスはない。耐量子暗号については、日本はもともと、米NISTの耐量子暗号標準化に参加していない。そのため、4回目の選考結果(22年7月)において、CRYSTALS-KYBERが選定されたことは影響しない。
　2010年から情報通信研究機構(NICT)が、東京100km圏内で｢Tokyo QKD Network｣という量子暗号通信のテストベッドを長期運用している。参加機関は、国内がNEC、三菱電機、NTT。海外が、東芝欧州研(英)、ID Quantique(スイス)、ウィーン大学(墺)。また、東芝と東北大学東北メディカル・メガバンク機構などは20年に、大容量のゲノム解析データを7km離れた拠点に量子暗号通信を使ってリアルタイムに伝送する実証を実施している。
(1)東芝
1⃣　量子暗号では、東芝が海外でも、一定のプレゼンスを示している。東芝のプロトコルは、現行世代の標準形式である、デコイBB84方式[*4]。なお、BB84という名称の由来は、以下の通り：IBMのチャールズ・ベネットと加モントリオール大学のジル・ブラッサールが、1984年に世界で初めてQKDプロトコルを発表した。そのプロトコルを、極めてシンプルにBB84と名付けた。ベネットとブラッサールは(D.ドイチェ、P.ショアと共に)、2022年の基礎物理学部門ブレークスルー賞を受賞した。
　東芝は、独自の量子暗号鍵配信プロトコルであるツインフィールドQKD[*5]に加え、｢補正用の参照信号を乗せた光信号で量子暗号鍵を乗せた光子の減衰を補償する｣ことで、量子暗号通信の距離を600km以上に伸ばしている[*6]。
2⃣　東芝(ヨーロッパ)と仏の通信事業者オレンジは共同で、｢高いセキュア･ビット･レート(SBR)で、古典信号と量子信号が共存しながら、最大 70kmの距離で暗号鍵を配信できることを実証した｣と発表した(23年6月6日)[*38]。量子チャネルはOバンド(1310nm)、(古典チャネルである、高密度波長分割多重(DWDM))データチャネルはCバンド、というところがポイント。量子チャネルはOバンド(もしくはTバンド)、DWDMデータチャネルはC若しくはLバンドで多重化することが、理想的とされている。
3⃣　ソフトバンクと東芝デジタルソリューションズは、QKDと光無線通信との統合を実証することに成功したと発表した(24年3月19日)[*87]。
4⃣　東芝(ヨーロッパ)とSingle Quantum^†は、QKDの長距離展開テストと検証を行い、伝送距離を最大300km以上まで延長した、と発表した(24年4月22日)[*88]。TF-QKDではないということか?
†　Single Quantumは、2012年にオランダのデルフトで設立された。超伝導ナノワイヤ単一光子検出器を欧州で最初に開発･商品化した。

(2)NEC
　NECは、学習院大学と協働で次世代型のCV-QKDを研究している。CV-QKDの(無条件)安全性は、2021年に東京大学が証明したようだ[*10]。NECは、秘密計算の取り組みも進めている。例：三菱重工業と共同で取り組むセキュアなログ分析システムの研究。

(3)金融
　野村證券、NICT、東芝、NECは共同で、金融分野における量子暗号通信の適用可能性について、国内で初めての検証を実施した。その結果、①量子暗号通信を適用しても従来のシステムと比較して遜色のない通信速度が維持できること、②大量の株式取引が発生しても暗号鍵を枯渇させることなく高秘匿・高速暗号通信が実現できること、が確認できたと発表した(22年1月)[*7]。

(4)単一量子光源/単一光子検出器、量子インターネット、衛星QKD
1⃣　単一量子光源/単一光子検出器
❶　東京工業大学は、ダイヤモンド中のスズｰ空孔(SnV)中心から、｢同⼀な光子(光子が、同じ発光波長、発光線幅、偏光を有する状態)｣を生成することに成功した、と発表した(23年2月24日)[*25]。SnV中心は、SiやGeを用いた量子光源よりも、高温で量子状態を保存する特性に優れる、とする。
❚アップデート❚　東工大は、鉛-空孔(PbV)中心で、発光線幅の物理限界である｢自然幅｣に近い発光を得ることに成功した、と発表した(24年2月16日)[*69]。
❷　東京理科大学･沖縄科学技術大学院大学は、イッテルビウム･イオン(Yb³⁺イオン)添加した光ファイバ材料を使用する単一光子光源を発明し『室温』において、単一光子を直接発生させられることを実験的に示した(23年11月2日)[*52]。
❸　情報通信研究機構(NICT)は、新しい超伝導ナノワイヤ単一光子検出器(SNSPD)を開発した、と発表した(23年10月)[*53]。超伝導ワイドストリップ光子検出器(SWSPD)と呼称している。SNSPDと比べると、ナノ加工技術不要(つまり低コストで)、偏光依存性無し(つまり、安い光ファイバーと接続できる)。通信波長帯(1,550nm)における検出効率は78%で、SNSPD(81%)にやや劣る。タイミングジッタは28ピコ秒で、SNSPD(68ピコ秒)よりも優れる。なお、NICTは、超伝導ナノワイヤ単一光子検出器を、超伝導ナノストリップ光子検出器と呼んでいる。略称は、SNSPDで同じ。また、SNSPDはSSPD(Superconducting Single Photon Detector)とも略される(ので、やや煩わしい)。
❹　理研･筑波大･東大･慶大は、カーボンナノチューブとセレン化タングステン(遷移金属ダイカルコゲナイドの一種)を使用して、量子光源を作成した(24年4月10日)[*89]。室温･通信波長帯で、単一光子を発生する。
2⃣　量子インターネット
　横浜国立大学は、量子中継器用光源ｰ量子メモリ間の長距離(10km)伝送に成功した、と発表した(23年2月28日)[*26]。❶光共振器を用いた"通信波長"量子光源、❷周波数多重を可能にする、レアアース･ベースの量子メモリ、❸通信波長ｰ量子メモリ波長間の波長変換及び遷移周波数を常時安定化するシステム、を開発したことで達成した。量子インターネットにつながる重要なマイルストーンである。
3⃣　衛星QKD
　情報通信研究機構、東京大学他は、｢低軌道衛星ー地上局間での(量子)暗号鍵共有技術の検証に成功した｣と発表した[*33](23年3月)→実施したことは、｢地上間｣での光伝送模擬の実証。低軌道衛星と地上局で想定される伝送条件よりも厳しい伝送損失において、10Gクロックの微弱光信号パケットの受信が確認できた、とする→弱コヒーレント光ベースのQKD(BB84)。エンタングルド光子を使った衛星QKD(BBM92)は、EU×カナダのHyperSpaceプロジェクト及びシンガポールのSpeQtral(コラボ多数)が取り組みを進めている。
👉続報　低軌道上の国際宇宙ステーション(ISS)と地上局との間で、光通信を行った。1回の上空通過で100万ビット以上の秘密鍵を生成できた、とする[*84]。→BB84プロトコルであれば、｢原理的に無条件安全性を実現することができない｣^†。
†　例えば、https://www.tamagawa.jp/research/quantum/journal/pdf/2012_01-20130326-01.pdf

(6)その他
1⃣　量子コードの難読化
　NTTは、疑似確定的量子回路という量子回路のクラスに対して、暗号学的に安全なプログラム難読化手法を初めて実現した、と発表した[*39](23年6月20日、arXivへの論文[*40]投稿は4月20日)。この量子回路は、BQP問題(※)の内、答えがyesかnoのどちらかに決まる問題を解くことができるらしい(従って、物理系のシミュレーションは含まれない(はず))。平たく言うと(古典コードと同様に、)リバース･エンジニアリング等で解読されない｢難読化｣が、”実用的”な量子計算コードでも、可能であることが証明された。
　ただし、量子コンピュータでも、誤差付き多元連立一次方程式は効率的に解けないこと(LWE問題の困難性)を仮定している。この仮定は、格子暗号が耐量子であることの理論的前提でもあり、妥当な仮定と考えられる。また、古典回路に対する耐量子仮想ブラックボックス(VBB)難読化の量子困難性も仮定しているが、LWE(問題の困難性)を前提とすれば、耐量子VBB難読化は自然に導かれると思われる(少なくとも、独立した仮定ではないと思われる)。
※BQP問題は、古典コンピュータでは指数時間を要するが、量子コンピュータなら多項式時間で解ける問題。
2⃣　秘密計算ソフトウェアData Armorを開発･提供している日本企業EAGLYSは、米Quantinuumの暗号鍵生成サービスQuantum Originを使って、Data Armorを量子セキュアにしたと発表した(23年12月13日)[*58]。Data Armorは、格子暗号ベースの完全準同型暗号を使った秘密計算を実行できる。秘密計算とは、暗号化したデータを復号することなく、そのまま実行する計算を指す。完全準同型暗号を使うと、任意の計算(加減乗除)が可能となる(準同型暗号では、加算のみあるいは乗算のみ可能、という制限が課される)[*59]。Quantum Originは、Quantinuumのイオントラップ型量子コンピュータを使用して｢真に予測不可能な｣量子強化型秘密鍵を生成するサービスである。
　EAGLYSは三井物産とパートナーであり、三井物産は米Quantinuumの日本代理店である。

【1】米国
　H/W、S/Wとは様相が異なる。国が前面に出てくるし、パートナーとして国立研究所が頻出する。資金調達も投資家からは少なく、公金が多い印象。そもそもの買収を阻止するため、IPOが想定されていないと思われる。なお、耐量子暗号に携わる企業、量子暗号に携わる企業が、明確に分かれている。
(1)QKDプロジェクト
　●米国のQKDプロジェクト1・・・2005年には、DARPAの支援を受けたプロジェクトが、世界初の都市圏QKDネットワークをボストン地区に構築している。鍵生成割合^†は約10 kmの敷設ファイバー上で、1kbps程度であった。
　●米国のQKDプロジェクト2・・・2013年、米バテル記念財団は、米国で最初の商用QKDシステムを設置し、オハイオ州コロンバスにある本社と同州ダブリンの生産施設を接続した。使用したQKDハードウェアは、スイスID Quantique社のCerberisモデル。州内のバテルオフィスを接続して構築したBattelle Quantum Networkを、ワシントンDCまで拡張する予定であったが、この計画は凍結中[*13]である。
　●米国のQKDプロジェクト3・・・2018年、Quantum Xchange社の金融向け耐量子ネットワークで、東芝の量子暗号通信を実験した。通信距離は32km(ニューヨーク州－ニュージャージー州間)。1本の光ファイバーで、量子鍵配送とデータ通信の両方を実現した。
　●米国のQKDプロジェクト4・・・2022年2月には、量子保護ブロックチェーン･アプリケーションの実証実験が行われた。参加者は、JPモルガン･チェース、東芝、シエナ。最大100㎞の距離で、実用レベルの伝送速度(800Gbps)で暗号通信が可能であることを確認した、とする。
　●米国のQKDプロジェクト5・・・2023年10月、米通信プロバイダーAdtranは、古典的暗号とQKDを組み合わせたハイブリッド手法で仏Orangeと協業することを発表。3つのQKDリンクと2つの信頼できるノードを介して、184 kmの標準型シングルモード光ファイバー上で、QKDで保護された100Gbit/sデータ･ストリームによる400 Gbit/s 伝送がデモ実証された。QKDは東芝のシステムを使用。ハイブリッド手法を使うことで、データ損失と距離の制約を克服した、とする。
†　鍵生成割合＝k/nである。ここで、nは、送信者が最初に用意した乱数列(単位はビット)。kは、鍵蒸留によって、nビットの乱数列から取り出された鍵(乱数列)の長さ(単位:ビット)。鍵蒸留は、㊀光子の失われたビットなどを排除する｢ふるい落とし｣、㊁送受信者が共有したビット列間の誤りを直す｢誤り訂正｣、㊂盗聴された可能性のあるビットを排除する｢秘匿性増強｣等で構成される。
出所：https://www.nict.go.jp/press/2014/10/24-2.html

(2)量子インターネット･プロジェクト
0⃣　その他
❶　シカゴ大学プリツカー分子工学部は、大陸規模(10⁴km)にわたって量子信号を直接送信できる信頼性の高い、新しい量子チャネルを提案した(23年12月22日@arXiv[*74])。数km間隔で配置された真空チャンバーチューブ、の内部に設置されたレンズアレイ｢真空ビームガイド(VBG)｣を使用する。VBGは減衰率の点で、最良の光ファイバを3桁上回るため、10¹³量子ビット/秒を超える量子チャネル容量で、数千kmにわたる長距離量子通信を可能にする、と主張する。量子中継器も不要。
1⃣　Aliro Quantum
❶　Aliro Quantumは、22年10月25日、包括的なエンド2エンドのエンタングルメント･ベースの量子ネットワーク･ソリューションAliroNet™の提供を発表した。AliroNet™は、①従来の古典的なネットワークおよび既存のファイバー設備と連携して動作し量子セキュアな通信を可能にする、②単一の場所内orより大きな地理的場所にある量子コンピューターの相互接続を可能にする、③分散型量子センサー･ネットワークの実装を可能にする、と主張している。
　AliroNetには、a)量子ハードウェアと光ファイバーをエミュレートする｢Aliroシミュレータ｣、b)プロトコルの調整、相互運用性と統合のテスト、デバッグを行う｢AliroオーケストレータとAliroコントローラ｣、c)オペレーティングシステムである｢AlirOS｣が含まれる。AliroNet の価格は US$100,000から設定されている。 価格は、サポートされるノード数、通信キュービットの量、ネットワーク忠実度要件などの量子ネットワーク･パラメーターに基づいて変動する。
2⃣　米ストーニーブルック大学(SUNY)
　SUNYは米ブルックヘブン国立研究所と共同で、市販の光ファイバーを用いて物理的に接続された5つのノードからなる量子ネットワークを構築する。これは、量子インターネットのテストベッドである。ロングアイランド投資ファンドからUS$6.5milのgrantを受け取った(22年12月)。
3⃣　Qunnect
　Qunnectは、量子ネットワーキングのテストベッドであるGothamQを、ブルックリンからマンハッタンまで拡大する新しいファイバーループの建設を発表した(23年1月)。QubitekkのEPB Quantum Network℠との相互運用性検証を開始した(23年12月19日)[*61]。
　GothamQの成果を発表(24年4月15日@arXiv[*85])。量子インターネットを、24時間365日使用できる道を切り開いた、と主張。👉下表･Qunnectの箇所を参照。
4⃣　アルゴンヌ国立研究所(ANL)
　ANLは、米エネルギー省が支援する量子ネットワーキング･プロジェクトの一つInterQnetを主導する。プロジェクト期間は3年で、資金はUS$9mil。エネルギー省フェルミ国立加速器研究所、ノースウェスタン大学、シカゴ大学、イリノイ大学アーバナシャンペーン校と協力する。InterQnetは、量子ネットワークを現在の都市規模からスケールアップすることを目指す。量子中継器については、下記参照。
5⃣　QUANT-NETコンソーシアム
　米ローレンス・バークレー国立研究所、米カリフォルニア大学バークレー校、米カリフォルニア工科大学と墺インスブルック大学は共同で、量子インターネットのハードウェア候補およびソフトウェア技術のロードテストを行っている。捕捉イオンと光子を使う。カルシウム･イオンから放出される854nmの光子は、1550nmの通信Cバンドに変換されて、光ファイバーで伝送される。

(3)量子メモリ･量子中継器
1⃣　量子メモリ･量子中継器(リピータ)を開発しているmemQが、US$2milのシード資金を調達したと発表した(23年2月)[*21]。memQは、シカゴ大学からのスピンアウト企業で、2021年創業。アルゴンヌ国立研究所のプログラムを通じて、米エネルギー省から(株式持ち分を希薄化しない)資金提供を受けていた。シカゴのDuality Quantum Acceleratorでインキュベート中。memQは、①スケーラブル(すなわちオンチップ)というニーズに応えるため、SOI(Silicon on Insulator)プラットフォーム上にオンチップ量子中継器を構築することで、シリコン･フォトニクスと統合する。そして、②既存の光ファイバーネットワークとの接続を鑑み、光通信波長で動作する希土類(エルビウム)ベースの量子中継器を開発している。
　量子メモリについては、Appendix C【3】(8)も参照。
2⃣　プリンストン大の研究者は、㊀通信帯域で、㊁識別不可能な光子を発生させる、エルビウムイオン(Er³⁺)を使った量子中継器を開発したと発表した(nature論文[*46]は23年8月30日、arXiv[*47]では23年1月9日)。エルビウムイオンが、タングステン酸カルシウム(CaWO₄)結晶にドープされているところがポイント。36kmの遅延線(ディレイライン)後に測定された鮮明度(可視度)は80%。今後、エルビウムイオンのスピンにおける量子状態の保存時間を改善する必要が認識されている。
3⃣　MITリンカーン研究所が、MIT及びハーバード大と協力して開発した量子中継器は、ダイヤモンドのシリコン空孔(SiV)センターを用いる。多くの研究開発では、NVセンター(窒素と空孔からなる格子欠陥)を使っている。量子メモリ(⋍量子中継器)から読み取られた量子ビットは、送信した量子ビットと 87.5% の忠実度で一致する、という[*50]。
👉　ハーバード大･MIT及びAWSの研究チームは、ダイヤモンドのシリコン空孔(SiV)センターを使った量子中継器間で、エンタングルメントの生成を実証したと発表(24年5月15日@nature[*91])。既存の光ファイバーで接続された量子中継器は、35km離れている。忠実度は、0.697。光通信量子ビットから通信周波数(1,350 nm：Oバンド)への効率的な双方向量子周波数変換を行っている。
4⃣　アルゴンヌ国立研究所が主導するInterQnetで用いる量子中継器の候補には、｢イッテルビウム原子、エルビウムイオン｣をベースにした量子中継器が含まれている。
5⃣　ストーニーブルック大学及び(米スタートアップの)Qunnect他は、室温で動作する量子メモリ(≒量子中継器)の出力において、HOM(Hong-Ou-Mandel)鮮明度43%が得られた、と発表した(24年1月15日@npj quantum information[*70])。HOM鮮明度(visibility:可視度、明瞭度とも呼ばれる)は、光子の区別不可能性を評価するための標準基準として使用される(1に近い方が良い)。43%自体は低い！が、｢メモリからの出力｣かつ｢室温｣というところがミソ。特許も取得済という。

(4)単一量子光源/単一光子検出器
1⃣　光源
❶　米カリフォルニア大学サンタバーバラ校及び、日本の物質･材料研究機構の研究者は、新しい単一量子光源を開発した。その成果は、米化学会発行のジャーナルNano Lettersに掲載された(22年11月1日)[*23]。窒化ケイ素製のマイクロリング共振器内に、六方晶窒化ホウ素を正確に配置して作られたエミッターは、室温で抽出効率46%を達成した。従来は、20～30%であったため、大きく改善した。ただし、目標は99%以上なので、先は長い。
❷　米テキサス大学ダラス校の研究者は、遷移金属ダイカルコゲナイド(TMD)を単一量子光源の有力候補として提案した(論文[*34]の公開は22年12月)。ダイヤモンドNVセンター、六方晶窒化ホウ素(hBN)、希土類(エルビウム)ベースの量子ビットと比較して、｢光発振強度が適度、通信波長で動作可能、核スピンノイズが低い｣という強みがあると主張している。なお、単層TMDはバレー自由度とスピン自由度が結合しており、バレー(軌道角運動量の一種)を介したスピン制御が可能と期待される。このため、新しい量子コンピュータ･モダリティとも目されている。シリコンにおける、スピン・バレー結合を用いたスピン制御は、米ロチェスター大や豪スタートアップDiraqが手掛けている。
❸　マサチューセッツ工科大学の研究者は、セシウム(Cs)、鉛(Pb)、臭素(Br)からなる無機ハロゲン化鉛ペロブスカイトCsPbBr₃ナノ結晶を使用した量子光源を開発した(論文[*42]は23年6月22日付け)。この光源が、ホン･オウ･マンデル(HOM)効果を示すか試した。その結果、鮮明度(visibility、可視度ともいう)が最大0.56±0.12であった(鮮明度は、量子性の指標で、0%は古典的粒子を意味する)。現状、性能は高くないが、CsPbBr₃は溶液ベースの方法を使用して大量に製造できる。このため、拡張性と再現性が高いと主張している。
❹　ロスアラモス国立研究所他は、室温での単一量子光源と光ファイバーとの統合に大きな進歩があった、と発表した(24年1月2日@NANO Letters[*71])。低い開口数(0.5)で約70%の前方収集効率を示した。つまり、コンパクトな光学素子を使用しながら、多く(70%)の光子を送信できることを意味する。金属ｰ誘電体ハイブリッド･ブルズアイ^†アンテナの実装によって実現した、とする。このアンテナは、コロイド量子ドット若しくは、シリコン空孔中心を含むナノダイヤモンドのいずれかで作製する。
†　日本語で説明すると｢弓矢の的｣。ここでは、⦿のような構造をしていることを意味している。直訳では｢雄牛の目｣。弓兵の訓練において、弓矢の的の中心に、雄牛の目のような紅い丸を描いた事に由来するらしい(https://mmsdf.sakura.ne.jp/public/glossary/pukiwiki.php?%A5%D6%A5%EB%A5%BA%A5%A2%A5%A4)。
2⃣　検出器
　米トーマス・ジェファーソン国立加速器機関のエンジニアは、検出器あたり約35個の光子を検出できた(論文[*36]の発表は22年12月19日)。
　

❶　韓国の男性ヒップホップグループと名前が似ている、(スイスとオーストリアに囲まれた小国)リヒテンシュタイン公国にあるBTQがユニーク。BTQは、量子コンピューターによってブロックチェ－ンのセキュリティが脅かされることを念頭に、耐量子インフラ構築を目指している。22年9月、台湾の工業技術研究院(ITRI)との協業を発表した。インメモリーコンピューティング用の半導体チップを共同開発するようである。
❷　ヘリオットワット大学(スコットランド･エジンバラにある公立大学)･ジュネーブ大学(スイス)の研究者は、多次元(53次元)でエンタングルした光子を使用することにより、エンタングルメントの堅牢性を向上させることができたと発表した(22年11月)[*14]。白色雑音の36%で、79kmの光ファイバーに相当する損失とノイズ条件を通して、絡み合った光子をsteering[*15]することができた。量子インターネットの実現には、エンタングルメント･ベースの通信が必須である。また、MDI-QKDも実現できる。
❸　中性原子技術に基づく量子インターコネクトを開発する仏スタートアップWeLinQは、プレシードラウンドで€5milの資金調達を完了した(23年1月)。WeLinQは、ソルボンヌ大学、仏国立科学研究センター、パリ･シアンス＆レットゥル大学及びコレージュ･ド･フランスの研究成果を使用している。量子インターコネクトは、量子インターネット･量子通信のみならず、誤り耐性量子コンピュータの実現にも不可欠だと広く認識されている。
❹　墺科学アカデミー量子光学・量子情報学研究所と墺インスブルック大学の研究者は、230m離れた(光キャビティ内にトラップされた)イオンを510mの光ファイバーで繋いで、イオンをエンタングルさせることに成功した、と報告した(Physical Review Lettersにて23年2月2日公開)[*19]。イオンとエンタングルさせた光子を、光ファイバーで他方に送り、光子同士を相互作用させることで、イオン間にエンタングルメントを生成した。量子インターネットを出口として想定しているようである。量子インターコネクト技術であるから、量子コンピュータのスケールアップにも資する。
❺　英リーズ大学のスピンアウト･スタートアップCavero Quantum(2020年11月設立)が、£2.2milを調達したと発表(24年6月26日)[*103]。｢QKDの安全性とソフトウェアの柔軟性と容易性を組み合わせる｣ことで、｢難しい数学の問題に基づかず、鍵のサイズが小さく、RSAやAESの鍵をシームレスに置き換えることができる｣と主張している。耐量子暗号でないことは確かであろう。

(1)QKDプロジェクト
※　Terra QuantumによるツインフィールドQKDの改善(23年6月)は、Appendix Dを参照。
　ちなみに、2000年代初期に、QKDシステムを提供していたフランスのスタートアップSmartQuantumは、2010年に破産申請している。
1⃣　EU
　●EUとカナダのQKDプロジェクト(衛星)・・・EUとカナダから8つの組織(独1、仏1、伊2、墺1、加3)が参加する、期間3年のHyperSpaceプロジェクトを立ち上げた。同プロジェクトの目標は「複数の方法を使って、カナダとヨーロッパにある量子地上局間で、エンタングルド光子を配送できる」大西洋横断量子衛星リンクの実現可能性を実証することである[*9]。複数の自由度(周波数、時間、偏光)でエンタングルした光子を送信することにより、光子損失の問題に対処する。独フラウンホーファー応用光学・精密機械工学研究所が主導する。このプロジェクトは、欧州委員会とカナダ自然科学工学研究評議会から€2.8milの共同出資を受けている。
　●EUのQKDプロジェクト(衛星)1・・・欧州宇宙機関(ESA)は22年9月22日、2024年にQKD衛星(低軌道衛星Eagle-1)を開発・打ち上げることを発表した。QKDペイロード、地上光学ステーション、スケーラブルな量子運用ネットワーク及び、量子通信インフラストラクチャとのインターフェース･システム等を開発する。→今後、EuroQCIの宇宙部門(つまり衛星を使った量子安全通信)は、IRIS²(Infrastructure for Resilience, Interconnectivity and Security by Satellite)と呼ばれるプロジェクトとして展開される(EUの資金が投下される)。
　●EUのQKDプロジェクト(衛星)2・・・タレス・アレニア・スペースはTeQuantSプロジェクトのリーダーとしての契約を、ESAと締結した。2026年末までに衛星を使ったQKDシステム構築を目指す。TeQuantSプロジェクトは、サイバーセキュリティ用途と将来の量子情報ネットワークに向けた量子技術の開発を意図しており、フランスの宇宙機関CNESとオーストリアの宇宙機関ALRが支援している。
　●EUのQKDプロジェクト1・・・2008年には、欧州連合の研究開発プロジェクトが、ウィーン市内に6地点を結んだ都市圏QKDネットワークを構築した。鍵生成割合は、約30 kmの敷設ファイバー上で1 kbps程度。2019年に欧州各国参画のテストベッド構築プロジェクトOpenQKDが始動(2022年に終了予定)。
　●EUのQKDプロジェクト2・・・アイルランドQCI(量子コミュニケーション･インフラストラクチャ)は、首都ダブリンからウォーターフォードを経由してコークまでの主要なネットワークバックボーンに沿って、QKDインフラストラクチャを確立する、と発表(22年12月)。アイルランドQCIは、EU全体のQCIプログラム(EuroQCI)の一部で、€10milのプロジェクトである。→EuroQCIの地上部門(つまり地上局間の量子安全通信)は、各国で行うことになっている。その後、mergeする。
　●EUのQKDプロジェクト3・・・フランス企業Exailが主導し、仏タレス、パリ・サクレー大学とソルボンヌ大学が参加する仏QKDプロジェクト、QKISSが23年1月からスタートした。QKISSは、CV(連続可変)-QKDである。従って、既存の光通信インフラをそのまま用いるQKD。→EU全体のQKDネットワークにmergeされる(衛星QKD含む)。
　●EUのQKDプロジェクト4・・・スペインLuxQuantaが主導するQUARTERプロジェクトも、CV-QKDである。☛24年3月5日、(欧州イノベーション評議会アクセラレータープログラムから)€2.5milの助成金を獲得[*79]。
　●EUのQKDプロジェクト5・・・スペインでは、マドリッドQCIも展開されている。→EU全体のQKDシステムとmerge(衛星QKD含む)。
　●EUのQKDプロジェクト6・・・独Quantum Optics Jenaは(独Adva Network Securityと共同で)、データセンター間の通信で、エンタングルメント･ベースのQKD(BBM92プロトコル)を実証した、と発表(23年6月)。Quantum Optics Jenaのエンタングルド光子ペア生成源には、自由空間用、Oバンド用、Cバンド用がある。
　●EUのQKDプロジェクト7・・・ラトビアは、国家的な量子通信インフラシステムとネットワークの形成に向けた作業を開始すると発表した(23年10月)。EuroQCIの一部として実施されていると思われる(ラトビアは21年2月から参加)。特徴的なのは『無線通信システム』を含む既存のネットワークにQKDネットワークを統合した場合の調査を実施することである。様々な外部要因の影響下における、様々な技術の無線機器間の通信についてシミュレーションを実施する。こうすることで、どの技術と周波数帯域が、外部要因や妨害に最も耐えられるかを特定する予定である。金融とヘルスケアを、重要セクターと捉えている。25年末までに公共部門の機関、企業、個人が安全に使用できるようになる予定。
　●EUのQKDプロジェクト8・・・フィンランドの通信インフラ開発ベンダーであるノキアは、ギリシャで量子安全ネットワーク(QSN)の概念実証(PoC)を成功裡に完了したと発表した(23年12月)。QSNはQKDシステムを採用して量子安全性を担保したネットワークであるが、QKDシステムに不具合が発生した場合には、耐量子暗号に切り替える仕組み。

2⃣　英国
　ケンブリッジ大学の研究者は、ガウス変調コヒーレント状態(GMCS)を使用した連続可変量子鍵配布において、25kmの伝送距離で、5Mbpsという秘密鍵生成割合を達成した、と発表した(23年12月6日@Scientific Reports[*60])。
　●英国のQKDプロジェクト(衛星)1・・・住友商事がパートナーシップを結んでいる英Arkitが、23年にも衛星QKDを実用化する、と目されている。→22年12月計画廃止を発表。
　●英国のQKDプロジェクト(衛星)2・・・英ヨーク大が主導するプログラムthe Quantum Communications Hubは、量子QKD用の衛星システムプロバイダーとして蘭ISISPACEを選んだと発表(22年11月10日)。24年初頭に軌道上デモンストレーションが開始される予定。
　●英国のQKDプロジェクト(衛星)3・・・RAL Space(宇宙プロジェクトに関する英国の国立研究所)は、シンガポールのSpeQtralと協業している。衛星プロバイダーは、蘭ISISPACE。24年に衛星Speqtreを打ち上げる予定。
　●英国のQKDプロジェクト(衛星)4・・・英スタートアップのクラフト･プロスペクトは、｢衛星にデータを飛ばし、衛星で処理を行って、結果を地上に戻す(レスポンシブ･オペレーション)｣の必須な1ピースとして、衛星QKDを提供する予定。
　●英国のQKDプロジェクト・・・2018年、British Telecomが同国初の量子暗号通信網をケンブリッジ-イプスウィッチ(サフォーク州の州都)間に構築。3拠点からなるリングネットワークを設置した。通信距離は、各10km程度。東芝が参画している。

(2)量子インターネット･プロジェクト
　〇オランダの(量子インターネットを見据えた)QKDプロジェクト・・・2022年7月、蘭QuTech(Q*bird)は、プロバイダーである蘭Eurofiber及び米ジュニパー･ネットワークと協力して、量子セキュアなネットワークのテストベッドを開設した。量子インターネットの実現をゴールに、まずはポイントtoポイント通信を超えてQKDを拡張するため、MDI-QKD(Appendix Bを参照)を導入。22年10月には、MDI-QKDシステムをロッテルダム港の通信システムに導入した。
👉　ロッテルダム港とのパートナーシップを開始した、と発表(24年5月14日。今更？)[*92]。併せて該社のQKDソリューション｢FalQon｣が、数か月以内に上市されることを発表。24年5月24日、€2.5milを調達したと発表[*97]
　◎量子インターネット1・・・EUが資金を提供するQNETWORKは、マルチノード量子もつれベースの量子ネットワーク実現を目指している。ネットワークには、単一光子リンクで接続されたスピンノードがある。各スピンノードは、ダイヤモンドNVセンターで構成される。QNETWORKの研究者は、忠実度約71%で、非隣接ノード間の量子テレポーテーションを成功させた[*11]。
　◎量子インターネット2・・・EUが資金を提供し、蘭デルフト工科大学が主導するQIA(Quantum Internet Alliance)は、量子プロセッサ(モダリティとして、トラップイオン、ダイヤモンドNVセンター、中性原子の3種類を想定)を含む2つの大都市圏ネットワークを構築し、量子中継器(希土類添加結晶ベースのメモリ、原子ガス、量子ドットを想定)を用いて長距離ファイバーバックボーンで接続することを目標としている。
👉　蘭QuTech･TNO他^†から成る研究チームは、ダイヤモンドNVセンターを使った量子中継器間でエンタングルメントの生成を実証したと発表(24年4月4日@arXiv[*92])。既存の光ファイバーで接続された量子中継器は、25km離れている。忠実度は、0.534。
　◎量子インターネット3・・・量子リンク拡張プロジェクト(Q.Link.X)は、産学から24の研究パートナーが参加する3年間(2019～2021年)のドイツの量子インターネット･プロジェクト。ドイツ連邦教育研究省が合計€14.8milを投資する。長期目標は、物理的に安全な｢ファイバーベース｣のネットワークを構築すること。具体的には、3つの技術プラットフォーム｢ダイヤモンドNVセンター、半導体量子ドット、中性原子･トラップイオン｣をベースに量子中継器を開発することが目標である。
　◎量子インターネット4・・・2017年に設立された仏スタートアップVeriQloudは、€1.9milを調達したと発表した(23年5月)。VeriCloudは、秘密分散によって、量子インターネット(trustedノード量子暗号ネットワーク)のノード(中継器)が、必ずしもセキュアでないという問題を回避する。該社のソリューションQlineは、複数秘密分散法ベースと思われる(つまり、量子複数秘密分散法ベースではないと思われる)。
　◎量子インターネット5・・・ドイツテレコムは、ベルリンに量子研究所を開設した(23年9月)。量子もつれを使用した通信ネットワーク(平たく言うと、量子インターネット)の開発が目的とされている。ベルリン工科大学、ドレスデン工科大学、ミュンヘン工科大学、フラウンホーファー・ハインリッヒ・ヘルツ通信技術研究所他と協力する。
　◎量子インターネット6・・・EUから資金提供を受けて、LaiQaプロジェクト(2024年初めから3年間)が開始されると発表された(23年9月)。同プロジェクトは、量子通信の確立に必要な技術的構成要素をさらに進化させることを目的としている。具体的には、量子光源や量子メモリ、補償光学システム、並びにシステム･アーキテクチャを最適化するソフトウェア･コンポーネントなどである。また、衛星QKDの実証も行い、仕様標準を提案する予定。プロジェクト･リーダーは、通信コンピュータシステム研究所(ギリシャ)。メンバーは、TNO(蘭)、QTLabs(墺)、QSSYS(独)、蘭アイントホーフェン工科大学、アテネ国立天文台、アテネ大学、タレス･アレニア･スペース伊。
†　英Element Six Innovation(合成ダイヤモンド製造)、独フラウンホーファー･レーザー技術研究所、独アーヘン工科大学、独TOPTICA Photonics(レーザーシステムの開発･製造)。

(3)単一量子光源/単一光子検出器
1⃣　光源
❶　英Aegiqが開発している、六方晶窒化ホウ素hBNベースの単一量子光源は、豪シドニー工科大学も研究しており、(室温で)毎秒1000万個の単一光生成を目指している。
❷　ドイツ研究センターヘルムホルツ協会ドレスデン･ローゼンドルフ研究所(HZDR)、ドレスデン工科大学、ライプニッツ協会結晶栽培研究所(IKZ)の物理学者たちは、｢決定論的な単一光子発生源を、スケーラブルな方法かつ約50nmの精度で、シリコン中に作製した｣と発表した(23年2月25日)[*27]。スケーラブルとは、現在の半導体工場で生産可能という意味である。また、"通信波長"光源であるから、既存の光通信インフラへ組み込みことが可能である。
❸　独ドレスデン・ロッセンドルフ研究所(HZDR)は、光ファイバー･ネットワークと互換性のある単一光子源を開発したと発表している(22年7月15日)[*30]。金属支援化学エッチングを用いて、シリコンチップ上にシリコン･ナノピラーを製造。このナノピラーに炭素イオンを衝突させ、ピラーに埋め込まれた光子源を生成した。単一光子源から単一光子検出器まで、全基本構成要素を1チップに統合し、光ファイバーを介して多数のチップを接続して、モジュール式の量子ネットワークを形成することが目標という。
❹　独ライプニッツ大学ハノーバー校、蘭トゥウェンテ大学、蘭スタートアップQuiX Quantumは、チップ上に完全統合したエンタングル量子光源を開発した(nature photonicsで論文[*35]が公開されたのは23年4月17日)。インジウムリン製レーザー、バーニア(Vernier)効果を利用した可変ノイズ抑制フィルター、窒化ケイ素製の共振器を組み合わせ、1つのチップにまとめた。自然放出4波混合(SFWM)プロセスで、通信波長帯において、高次元周波数ビンもつれ量子状態を直接生成し、忠実度は最大99%。光源サイズを1/1000以下にした、と主張している。
❺　デンマークのスタートアップSparrow Quantumは、｢インジウムヒ素/ガリウムヒ素｣量子ドットによる、決定論的なオンチップ単一量子光源を開発している。ただし、発生させる光子の波長は920～980nmであり、通信波長帯ではない。23年5月、US$4.9milを調達したことを発表。
❻　独マックスプランク量子光学研究所と独ミュンヘン工科大学の研究者は、新しい単一量子光源を開発した(論文[*41]が公開されたのは、23年6月20日)。エルビウムをドープしたシリコンと、シリコン共振器を統合した。光ファイバーの損失が最小限に抑えられる光通信のメインバンド(Cバンド、正確には1536nmの波長)で単一光子を生成する。共振器を構築するために、ナノメートルサイズの穴をシリコン内に配置した。マイナス265℃の"高温"でも、優れた光学特性を示す、とする。
2⃣　検出器
❶　スイスのID Quantique(ジュネーブ大学発スタートアップ)とジュネーブ大学は、検出速度が従来比20倍の検出器を開発したと発表した(23年3月)[*31]。具体的には、14本のナノワイヤを組み込んだ超伝導ナノワイヤ単一光子検出器(SNSPD)である。10kmの光ファイバーケーブルで秘密鍵生成割合64Mbps、102.4kmで3Mbpsを達成した。実用的には、6Mbps以上が要求されているという。
　

【3】カナダ・豪州・その他
(0)　QKDプロジェクト
❚加❚
●カナダのQKDプロジェクト・・・2022年6月、ケベック州でQKDシステムを採用した量子通信ネットワークの立ち上げを発表した。予算は、375万カナダドル。主体は非営利組織Numanaで、通信会社のベルカナダ及び、スイスのID Quantiqueが協力している。
●カナダのQKDプロジェクト(衛星)・・・HyperSpaceプロジェクトは、EUを参照。
●カナダのQKDプロジェクト(衛星)・・・QEYSSatミッション：カナダ宇宙庁の資金提供を受け、量子暗号化および科学衛星(QEYSSat)の打ち上げが2025年に予定されている。QEYSSatは、地上局･衛星間通信用量子リンク及び、QKD研究用技術実証プラットフォームという位置づけ。ゴールは、カナダ全土にわたる量子インターネットの構築である。量子インターネットは、QKDのみならず分散量子コンピューティング、量子センシングのバックボーンとなる想定。
※　108頁に及ぶQEYSSatミッションのホワイトペーパー[*101]は、量子インターネット･衛星QKD等について、非常に参考になる資料である。
❚豪州❚
●豪州のQKDプロジェクト・・・英ArqitのQuantumCloud™を使った量子セキュアな通信サービスが、豪州のプロバイダーAUCloudを通じて、豪州市場に導入された(22年10月10日)。米英豪(AUKUS)三国間安全保障協定によって促進された、緊密な協力のデモンストレーションとの位置づけである。
❚シンガポール❚
●シンガポールのQKDプロジェクト・・・シンガポール量子技術研究所、Horizon Quantum ComputingおよびNational Quantum-Safe Network(NQSN)は、米AWSと協力して、QKDトライアルを成功裏に実行したと報告した(23年3月)[*28]。3km 離れた建物で2つのQKDデバイスを接続することに成功した。Horizonは、古典コンピュータ用コードを量子コンピュータ用に変換するコンパイラを開発しているシンガポールのスタートアップ。NQSNは、シンガポール国立研究財団が支援・量子工学プログラムが主導するする3年間のイニシアチブ。量子セキュア通信の構築を目指し、QKDシステムや耐量子暗号の調査等も行っている。
●シンガポールのQKDプロジェクト(衛星)・・・現地のスタートアップSPEQTRALが、24年に衛星(SpeQtral-1)を打ち上げる。シンガポール･宇宙技術産業局のサポートを受けて、大陸(シンガポールー欧州)間のアウトバウンド通信で、共通鍵配送実験を行う予定。(バックグラウンドノイズが大きい)昼光環境でのQKD動作を、可能にしていると見られる。
❚韓国❚
●韓国のQKDプロジェクト・・・韓国KTは、2022年3月28日、QKDの実証実験に関する2つのプロジェクトを実施すると発表した。東芝及び、東芝デジタルソリューションズが参画している。1つは長距離ハイブリッド量子暗号通信ネットワークにおけるサービス品質を測定するプロジェクト。もう1つは、テストベッドを構築するプロジェクト。
❚印度❚
●インドのQKDプロジェクト(衛星)・・・2023年7月10日、インド宇宙研究機関は、独自のQKD衛星を打ち上げる予定があることを発表した。
❚印度❚
◇イスラエルの量子衛星通信・・・テルアビブ大学超小型衛星・新宇宙センターは、米スペースXのファルコン9ロケットでマイクロ衛星TAU-SAT3を打ち上げた(23年1月)。高度550kmの地球周回軌道と光学地上局間で量子通信を行う。

(1)インド　
　スタートアップと直接の関連性はないが、インド工科大学カーンプル校の量子光学・量子もつれ研究所の研究者は、面白い発見をしている(論文[*17]を22年8月に投稿している)。それは、以下のような内容である：❶(連続可変)角度･軌道角運動量による光子対のエンタングルメントは、❷(連続可変)位置･運動量エンタングルメントと、異なる振る舞いを示す。数cmの伝搬でエンタングルメントが消失することは❶、❷共通。しかし、光子が光源から遠ざかり続けると、❶はエンタングルメントが復活する。
　光子の軌道角運動量については、エキゾチックqubit。そしてφビット、nビット・・・の【8】qunitを参照。

(2)　カナダ　
1⃣　加Quantropiは、耐量子デジタル署名として、NISTファイナリストに加えて、多変量多項式公開鍵デジタル署名(MPPK DS)を提供している。ブロックチェーンを意識してのことである。多変量多項式方式は他方式に比べて、サイズが小さく、高速処理が可能である。しかし、同方式のデジタル署名であるRainbowは(暗号鍵方式SIKEに先んじて、同じように)、ノートパソコンで"解読"されてしまった。新たな方式を採用するのだろうか？
2⃣　量子乱数生成器をベースとしたサイバーセキュリティ･ソリューションを提供するQuantum eMotionは、The Platform for Digital and Quantum Innovation(PINQ²)^†との戦略的パートナーシップを発表した(24年3月18日)[*80]。パートナーシップの目的は、Quantum eMotionが使用しているKyberアルゴリズムと量子乱数生成器を徹底的に調査し、評価すること。
†　ケベック州経済･イノベーション･エネルギー省と加シャーブルック大学によって、2021年に設立されたNPO。PINQ²は、量子コンピューティングの研究とアプリケーション開発を加速するため、IBMと23年に提携している。

(3)　シンガポール　
　SpeQtralは、米Antarisと提携して、政府・民間事業者向けにQKD用衛星を製作、提供、展開することを発表した(24年3月19日)[*81]。Antarisは、衛星の設計、シミュレーション、運用を可能にするデジタル･プラットフォームを提供している。つまり、衛星を軌道投入する前に、様々な検証が可能となる。
　

【4】中国
(1)QKDプロジェクト
　清華大学・中国科学技術大学(潘建偉)グループは、新しいMDI-QKDを発表した(23年1月Physical Review Letters)[*20]。MDI-QKDは、下部Appendix Bを参照。新たに提案されたMDI-QKDは、モードペアリングQKD(MP-QKD)と呼ばれている。MP-QKDは、東芝が開発した(通信距離を大幅に伸ばせる)ツインフィールドQKD(TF-QKD)とは異なり、複雑な位相同期技術が不要である。位相を同期させる代わりに、レーザーの周波数差を最尤推定する。そもそも、TF-QKDはMDIではない(もちろんDIでもない)ので、安全性は低い。またMP-QKDは、市販のレーザーで実現できるとする。さらに、MP-QKDは、従来のMDI-QKDに比べて、鍵生成割合が速い(2次関数的に向上)とする。
　中国の国内メディアによれば、潘建偉他は、10kmの標準光ファイバーで115.8 Mbpsで秘密鍵を生成できるQKDシステムを開発した(23年3月)[*32]。
●中国のQKDプロジェクト(衛星)1・・・2017年、世界初の衛星-地上間でのQKD(距離1,200km、1kbps)に成功(衛星・墨子号)。2018年、世界最大の量子暗号ネットワークを構築。新華社通信、中国工商銀行、国家電網公司などが利用。22年9月、衛星QKDシステムの重さを半分にしたと発表した[*8]。昼光環境でのQKD動作を、可能にしているようである。墨子衛星と｢北京、済南、威海、麗江、漠河｣にある地上局との間で、量子通信のデモンストレーションが可能のようである。
●中国のQKDプロジェクト(衛星)2・・・ロシアから中国に及ぶ3,800kmの距離で、量子通信(衛星QKD)を確立することに成功した、と発表(23年12月)[*62]。

(2)量子インターネット･プロジェクト
　潘建偉グループは、中性原子(ルビジウム)を使った量子中継器間で、エンタングルメントの生成を実証したと発表(24年5月15日@nature[*93])☚米ハーバード大の発表と同じ日付け。既存の光ファイバーで接続された量子中継器は、12.5km離れている(ハーバード大は35km)。エンタングルメント･スワッピングを使用して、29年末までに、距離を1,000kmまで伸ばせると主張している。
1⃣　量子テレポーテーション
　2017年に、衛星(墨子号)を使って、量子テレポーテーションを成功させている[*44]。
　電子科技大学と中国科学院上海マイクロシステム･情報技術研究所は、大都市ファイバーネットワークを使った"高速"量子テレポーテーションを実行した(論文[*45]発表は23年5月10日)。テレポーテーション速度は7.1±0.4Hzで、64kmのファイバーチャネルで伝送した。平均単一光子忠実度は、≥90.6±2.6%を達成した(古典限界は66.7%)。
2⃣　量子メモリー
❶　南京大学他の研究者は、エルビウムイオン(167Er³⁺)をドープしたY₂SiO₅が、通信波長のもつれ光子を保存した、と報告した(23年11月1日に論文[*54]公開@nature communication)。保存時間は1.936μs。エルビウムをイッテルビウム(171Yb³⁺)に置き換えることで、より長い保存時間とオンデマンド読み出しが可能になると見込まれている。なお、Y₂SiO₅は、優れた光学特性を持つ材料として、標準的に使用されている。
❷　中国科学技術大学の研究者は、光渦(光の軌道角運動量)を使って符号化することで、25次元ヒルベルト空間において、忠実度84.2%±0.6%の量子メモリを実現したと発表した(23年12月15日@Physical Review Letters[*82])。記憶媒体は冷却原子(ルビジウム原子)を使用。

(3)単一量子光源/単一光子検出器
❶　中国(中国科学技術大学他)の研究者(及び独の共同研究者)は、高性能の単一量子光源を開発したと発表した(22年12月)[*16]。量子ドットで、決定論的に単一光子を生成する。量子周波数変換を使用して、光ファイバー伝送に適した通信波長帯にシフトする。量子干渉の鮮明度(visibility)は最大93%、伝送距離は300kmで600kmまで延伸できると主張。鮮明度は量子性の指標で、0%は古典的粒子を意味する。
❷　中国のメディアは、｢電子科技大学、清華大学、上海マイクロシステム信息技術研究所の研究者が、窒化ガリウムを使った量子光源を開発した｣と報道した(24年4月20日)[*86]。

　

　ハードウェアはこちら。　ソフトウェアはこちら。

Appendix A　量子攻撃に耐える暗号、ノートパソコンに敗れる
（1)　概要
　22年7月30日、暗号コミュニティに衝撃が走った。｢耐量子暗号｣が、ノートパソコンで解読されたからだ。それは、｢既存の暗号(RSA暗号)が、量子コンピュータからの解読攻撃に対して、極めて脆弱である｣ことを懸念する米政府の意向を受けて、米国立標準技術研究所(NIST)が、耐量子暗号の標準方式を選定した、わずか3週間後というタイミングであった。公開鍵暗号/鍵共有のカテゴリー(1方式)、デジタル署名のカテゴリー(3方式)が選定されたのは、同月5日であった。ちなみに、ショアのアルゴリズムを使用して、RSA2048を破る計算能力に到達する量子コンピューターをCRQC(Cryptanalytically Relevant Quantum Computer)と呼ぶことがある。
　ベルギーにあるルーヴェン･カトリック大学の研究者は、Cryptology ePrint Archiveに投稿した論文で、｢耐量子暗号を、わずか1時間で解読した｣と主張した。もう少し正確に言うと、セキュリティ レベル 1(NISTの最低必要セキュリティ･レベル)である SIKEp434 に対して、効率的な｢鍵回復攻撃｣(＝暗号鍵の推定方法)を約 1 時間で発見できた、と主張した。しかも、使ったマシンは、量子コンピュータどころか、シングルコア･プロセッサのノートパソコンであった。加えて、8月8日には、別の研究者(ブリストル大学)が、新たな攻撃方法を発表した。

（2）　耐量子暗号は、大丈夫か？
　ウォータールー大学の教授で SIKEの共同発明者であるDavid Jao(カナダの量子セキュリティ企業、evolutionQのChief Cryptographerでもある)は、なかなか恐ろしい発言をしている：｢暗号学者にはよく理解されていない、深い数学がたくさんあります。私は、暗号の研究をしているが、必要なほど数学を理解していない、多くの研究者のカテゴリーに自分自身をまとめています。そのため、既存の理論的な数学がこれらの新しい暗号システムに、適用可能であることを認識している人が必要な場合があります。｣[*A-1]
　普通の感覚だと、｢耐量子暗号 オワタw｣であろうが、それはオーバーリアクションだと考える。
　なぜなら、そもそもSIKEは、標準選定された暗号方式ではない(選定されたのは、CRYSTALS-KYBER(クリスタルスｰケイバー))。当然、安全性の根拠とする数学的構造は、全く異なる。 SIKEは、2つの超特異楕円曲線の間に定義される、同種写像を探索する問題の困難性を、安全性の根拠としている。CRYSTALS-KYBERは、Module-LWE問題の計算困難性を安全性の根拠としている[*A-2]。
　そして、SIKEは、安全性に疑問ありと考えられていた。実際、NISTが公表したStatus Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process[*A-3]には、SIKEが｢補助点情報を利用した攻撃に対して、脆弱である｣ことを指摘している^†。ゆえに、代替方法という位置づけであった(第3ラウンドのスタート時点2020年7月で、代替方法)。ただNISTは、鍵のサイズと暗号文のサイズが小さいことから、SIKE を魅力的と考えていたようである。
　ちなみに、CRYSTALS-KYBERが依拠する格子暗号は、長年にわたり堅牢であることを証明しているため、同レポートは、信頼を置いている。ただし、｢格子暗号にも、未解決問題は存在しており、それらが全て解決した場合は、CRYSTALS-KYBERのセキュリティレベルは低下するだろう｣とも書いている。
†　あくまで、"補助点付き"同種写像問題を探索する問題の困難性に依拠する耐量子暗号が、補助点情報を利用した攻撃に対して脆弱であることに注意。同種写像ベースの全ての暗号が、補助点攻撃に対して脆弱なわけではない＝同種写像ベースの全暗号が短時間で解読できるわけではない。

(3)　教訓
　NISTは、SIKEがねじれ点(補助点)攻撃に脆弱であることを知っていたが、想定していたのは、量子攻撃であった。それらの量子攻撃に対して、対策が立てられているから、大丈夫という判断であった。
　ルーヴェン･カトリック大学の攻撃も、ブリストル大学の攻撃も、補助点情報を利用するようであるが、それらは、古典攻撃である。David Jaoも、｢攻撃は本当に予想外｣と発言している[*A-1]。種数2の曲線と、種数1の曲線(楕円曲線)間を接続するという攻撃であるらしい。
　教訓は、古典アルゴリズムを過小評価してはいけないということであろう(それは、暗号･セキュリティ分野に限定されない)。古典アルゴリズム、量子インスパイヤード･アルゴリズム、量子古典ハイブリッド･アルゴリズム、といった幅広い研究チームを構築し、研究することが肝要と思われる。
　ちなみに、ルーヴェン･カトリック大学は、NISTによる標準選定には漏れたが、(格子暗号に属する)耐量子暗号SABERを考案･提案している。
[参考]
　NISTは、耐量子暗号選定第3ラウンドで、耐量子デジタル署名用に3つの格子ベース･アルゴリズムを選択した。格子ベース･アルゴリズムに共通の弱点が見つかった場合に備えて、他アルゴリズムも準備する意向であったが、その候補には致命的な欠陥が見つかった。そこで、2023年6月1日を期限として新たな募集を行ない、23年8月現在、40件の候補を精査している。候補は、次のようなカテゴリーに分類される。
　　　(誤り訂正)符号ベース　5件
　　　同種写像ベース♭　1件
　　　MPC-in-the-Headベース※　7件
　　　多変数多項式ベース†　11件
　　　対称鍵(共通鍵)ベース　4件
　　　格子ベース　7件　･･･格子ベース以外で募集したのに💦
　　　その他　5件　･･･ハッシュ関数ベースなど?
♭　Pros：データサイズが小さい。Cons：計算コストが大きい。応用、高機能化に弱い。[*A-13]
※　MPCは、(秘匿)マルチパーティー計算(Multi Party Computation)を指す。MPC-in-the-Headは、MPCを使ったゼロ知識証明である。in-the-Headとは、文字通り、ゼロ知識証明における証明者(prover)の"頭の中で"という意味(のよう)である[*A-14]。
†　Pros：データサイズ(署名長)が小さい。効率的な実装が可能。Cons：多くの⽅式で安全性証明が存在しない！ 公開鍵、秘密鍵のサイズが大きい。[*A-15]

【1】QKDの課題解決策の一つとしてのMDI-QKD
　QKDシステムに存在する抜け穴を防ぐ方法は、4つ存在する[*A-4]。
　(1)QKDシステムの抜け穴は、システムを構成する物理的な装置(コンポーネント)が数学理論的に完全な動作をしないために生じるのだった。そこで、全コンポーネントに対する実際の正確な数学的モデルを取得し、そのモデルを基にセキュリティを構成すれば抜け穴は塞げるはず。しかしQKDコンポーネントは複雑であり、このアプローチを実際に実現することは非常に困難である。
　(2)2つ目のアプローチは、アドホックな解決策である。既知のハッキング戦略に対する対抗策を備えておくという方法で、無条件安全の名に全く相応しくない。
　(3)3番目のアプローチが、冒頭Ⅰに示したDI-QKDである。ちなみに、DI-QKDが無条件安全であるためには、4つの前提条件が必要である：①真にランダムな乱数生成器、②量子鍵配送後の(古典的な)処理が信頼できること、③通信相手の認証に問題がないこと、④測定機器から(望まない)情報漏れが生じないこと。DI-QKDの欠点は、前述の通り{1｝伝送距離が短すぎるということ、{2｝鍵生成割合が遅いこと、である。
　(4)そこで、4番目のアプローチが登場する。Measurement DI-QKD(MDI-QKD)である。MDI-QKDは、測定コンポーネント限定であるが、あらゆるサイドチャネル攻撃を防げる。そして、鍵生成割合が高速で、長距離配送を可能にする。QKDとDI-QKDの間をつなぐ技術と言える。

【2】MDI-QKDの進化過程[*A-12]：MDI-QKD → TF-QKD → PMP-QKD　
　MDI-QKD は、AとBが送信した光子が、Cにおいて同時検出されることを前提としている。別の表現を使うと、(AとBが送信した)光子は、2 つの隣接する時間ビンに到着する場合にのみ使用できる。しかし、光子の損失やその他の影響により、上記前提が満たされることは困難である。このMDI-QKDの課題に対処するために、ツインフィールド QKD(TF-QKD)が提案された。しかしTF-QKDにも、位相ロックという課題がある。
　位相ロックとは、｢2 つの離れた独立した光源によって生成される場が、あらゆる面で完全に同一でなければならない｣という縛りである。位相ロックは、複雑なハードウェアとプロトコルでのみ実現できる。通常、共通の光周波数を長距離にわたって配布する必要があり、スキームは複雑なままである。
　MDI-QKDと TF-QKDの長所を組み合わせた新しいプロトコルが、中国の研究者によって2022年に提案された｢ポスト測定ペアリングQKD(PMP-QKD)｣である。MDI-QKD では、光子は 2 つの隣接する時間ビンに到着する場合にのみ使用できたが、PMP-QKD では、その条件が次のように緩和されている：(AとBが送信した)光子は、｢ペアリング ウィンドウ｣内に到着すれば良い。このペアリング ウィンドウが、十分に長い場合、使用可能なフォトンの数は、PLOB 境界で設定された数よりも大きくなる。
　2023年、中国の研究チーム(北京量子信息科学研究院と中国科学院のグループ)が、この PMP-QKDを実験的に実証した。使用された重要なトリックは、2 つの独立したレーザーの波長の差を安定かつ予測可能にし、相対的な安定性を高めることであった。結果として、ペアリング ウィンドウの幅を広げることに成功した。 北京量子信息科学研究院のグループは、距離413kmと508kmで、約509ビット/秒と42ビット/秒の速度を達成し、PLOB限界を超えた。

Appendix C 量子インターコネクトのロードマップ･･･量子通信
　Q-NEXT[*A-5]量子情報科学センターにより作成された[*A-6](以下、本資料)は、ロードマップである。従って、時間軸を設定した上で、課題を特定し、課題解決につながる技術開発の指針を明示する、という構成を採っている。本資料の対象は、量子技術の主要3分野と呼ばれる、量子コンピュータ・量子通信(並びに量子センシング)である。さらに、主要3分野の実現に通底する概念として、”量子インターコネクト”を、掲げていることが特徴と考えられる。
　ここでは、量子通信のみを取り上げる。量子コンピュータについては、量子スタートアップ　ハードウェアのAppendix Cを参照。なお量子通信は、量子コンピュータに比べて、全体的に記述が詳細である。

【1】量子ネットワークのアプリケーション　
　本資料では、以下(1)～(3)で示すような、今後10～15年間に技術的なインパクトのある量子通信システム(量子ネットワーク)のアプリケーションを特定しており、参考になる。

(0)　 量子通信とは
　本資料では、以下のように定義している：量子通信とは、単一光子ともつれ合った光子をネットワーク(量子ネットワーク)を介して交換し、その光子に情報を符号化したり測定したりすることである。このような量子通信は、分散量子計算、分散量子センシング、量子安全通信など、様々な応用が期待されている。量子ネットワークの最適な構成は、その用途によって異なる。例えば、ファイバーと市販の高速光変調・多重化システム用エレクトロニクスを使ってポイント･ツー･ポイントの量子暗号システムを構築するのと、ファイバー接続の希土類添加結晶をベースにしたメモリ付き量子中継器を使って長距離の量子コンピュータ･インターネットを構築するのでは、全く異なる作業となるであろう。

(1)　量子鍵配送(QKD)
　QKDは量子通信の応用の中で最もよく研究されている。政府への影響については、米国･国家安全保障局(NSA)が、現在のQKDの実用性には大きなギャップがある(特に、DoS攻撃に対する脆弱性、耐量子セキュリティプロトコルに照らした場合、潜在的に無価値である)と公表したことから、低いと考えられている(DI-QKDは言うまでもなく、エンタングルメント･ベースであるMDI-QKDが実用されれば、その限りではない)。
　しかし、企業や通信事業者レベルのネットワーク・コンポーネントが DoS攻撃に対する追加の保護を提供するため、民間企業における QKD の影響は政府機関よりも強い可能性がある。ポイント･ツー･ポイントの短距離(200km未満)QKDの成熟度は高いが、量子中継器を使用した量子安全距離の延長はまだ初期段階である。

(2)　量子拡張型古典通信
　将来の古典・量子ハイブリッドネットワークでは、古典的なメッセージの送信や処理に、エンタングルメントの共有によってもたらされる、非局所的な協調を利用することができるかもしれない。このような利点を実現するためには、古典と量子のハードウェア間の、高忠実度の相互接続が不可欠となる。

(3)　QKDを超える認証とセキュリティ
　QKDに関連するプロトコルは、盗聴者が暗号文を保存し、後で復号化する問題に対処できるような、信頼性の高い認証プロセスの開発に拍車をかけている。敵対者の存在は、チャネル･トモグラフィー技術やデバイスに依存しない処理によって、古典的な方法よりもQKDのような方法を用いた方が容易に検出できる可能性がある。量子暗号の概念や量子秘密分散法(※)は、プライベートなデータベースクエリから量子デジタル署名、検証可能なランダムネス･ビーコン、量子ビザンチン認証プロトコルまで、量子ネットワークで実装すれば価値を提供できる可能性がある。
　また、量子安全投票は、政府/公的機関の投票や、商業的な文脈での入札に大きな影響を与える可能性がある。この分野は、初期段階での試験運用が可能である。これらのアプリケーションはすべて、使用可能な量子メモリと、高速かつ高忠実度のエンタングルメント移動機能の開発から、大きな恩恵を受けることになる。
※　分散情報として、量子状態を利用した秘密分散法。秘密情報は、古典的なデジタル情報と量子状態の二つがあるが、ここでは、文脈から後者と考えられる。

【2】今後10年間の課題
　本資料では、(時系列で重要な順に)7つの課題及び量子通信の課題、があげられている。
(1)　近い将来、商業、政府and/or科学界で必要とされる明確なアプリケーションを提供すること
　【1】(1)～(3)で挙げたアプリケーションは、量子通信が未熟であるため、10 年後のタイムスケールでは、関連する技術に制限される可能性がある。そのため、量子ネットワークの並列開発は、10年以内のタイムスケールにおいて、商業的･政府的関心を維持するために、より明確な目的を持つ必要がある。もし、10年以内に実現可能なアプリケーションを特定することができれば、より多くの産業投資により、現在知られている長期的なアプリケーションを実用化することが可能になる。

(2)　可視光、近赤外線、光通信波長の光子ベースの量子ビットに対応する重要な量子コンポーネントの開発
　この｢必須｣課題は、主要指標において”10 倍以上”の改善を必要とする。最も顕著な例は、量子メモリであり、タイプに応じて、コヒーレント蓄積時間や光結合の忠実度や速度において、桁外れの改善を必要とする。量子光源、量子トランスデューサ、量子多重化機能、量子ルーティング機能なども、その一例である。他の多くの光通信コンポーネント(例えば、カプラ)は、ほぼ成熟しているが、量子通信の文脈で使用するためには、工学的な改善が必要である。

(3)　 量子中継器を用いた量子通信を実証し、直接伝送を超える成功確率を達成すること
　量子中継器[*A-7]は、直接伝送を超える速度でエンタングルメントを移動できることが大きな特徴である。そのためには、量子中継器を利用した方が成功確率が高くなることが重要である。このような「原理検証」はまだ行われていないが、量子メモリでの予備的な結果は有望であり、プロトタイプの実用化は、これまで実現されていない複数の相互作用するコンポーネントの組み合わせが必要なため、非常に有益である。

(4)　量子中継器を用いた長距離(都市間)エンタングルメント移動の実証
　メモリや処理ノードに長い遅延がある場合など、構成要素の制限により試行率を下げなければならない場合、高い成功確率の利点は失われる。そのため、量子中継器を用いない場合よりも高い確率で長距離エンタングルメント移動ができることを、実証することが重要な課題となっている。例えば、蘭デルフト工科大学の最近の実験では、量子通信速度は量子中継器を用いない方法(より短い光子波束を用いるため、高い繰り返し周波数が可能)よりもはるかに低かった。物理的距離を実際に横断し、中継器の実用的な利点を示す速度で、量子中継器対応ネットワークコンセプトを証明することが、依然として未決課題となっている。エンタングルメント移動の速度で真の優位性を得るには(1回あたりの効率だけでなく)、光源、中継器、検出器側で大量の多重化が必要である。

(5)　マルチノード量子ネットワークアーキテクチャの開発（最適化、標準化）
　実際のアーキテクチャがなければ、構成要素の評価指標は不明確である。効果的な計画のためにはリソース要件が必要である。競合する要素技術をベンチマークするためにはターゲットが必要である。そして、将来のスケーリングを考慮した標準化を確立する必要がある。異なるスケールのアーキテクチャは本質的に異なるため、アーキテクチャ開発の成功は多層的である。実際、下記(6)と(7)のためには、複数のネットワークアーキテクチャと単一のネットワークアーキテクチャが必要であろう。

(6)　都市間における均質なマルチノード量子ネットワークの実証
　これは、米エネルギー省の量子インターネットのマイルストーン3｢ Intercity Quantum Communication using Entanglement Swapping[*A-8]＝エンタングルメント･スワッピング(量子エンタングルメントの量子テレポーテーション)を用いた都市間量子通信｣に類似している。 都市間規模の量子ネットワークに到達するには、全システムリンクで距離を有意に延長し、それによって 量子インターネットの可能性を実証することが必要である。都市間規模の量子ネットワークの重要な特徴は、相当な距離/エリアを越えて、多くのノードに対してエンタングルメント可能な、量子中継器ベースの通信原理を証明する必要があること。

(7)　州間規模での非均質量子インターネット網の実証
　これは、米エネルギー省の量子インターネットのマイルストーン4｢Interstate Quantum Entanglement Distribution using Quantum Repeaters[*A-9]＝量子中継器を用いた州間量子エンタングルメント移動｣に類似している。将来の量子インターネットが州間スケールで "均質 "であることを期待することはできない。州間の規模になると、量子ネットワークシステムには、中継器、不均質耐性スケーラブル･アーキテクチャ、標準規格、国家インフラが確実に必要になる。このような "インターネット"は、人工衛星の利用を含むかもしれない。真の”システム”デモは、インターネットのように、 "ネットワークのネットワーク "を含むだろう。

(8)　量子通信の課題
1⃣　ファイバーベースの量子ネットワークシステム
　量子通信の課題は、ネットワークに対するシステム要件に関わるものである。量子ネットワークシステムは、既存の通信システムと同じか類似のインフラストラクチャに収容することが最も現実的である。この実用的なシステムアプローチは、特にファイバーベースの量子ネットワークシステムにとって望ましいが、多くの技術的および基礎科学的な問題を提起する。運用は、既存の商業的に敷設されたシングルモード・ファイバー上で行う必要がある。システム内のいくつかのコンポーネントが極低温要件を組み込んでいたとしても、室温動作のシステムが主に好まれるだろう。
　これらの要件を維持するためには、インラインアンプ(ILA)サイトやファイバーハットに設置される可能性のある量子中継器は、その過酷な環境のために厳しい条件を課される。ミリケルビン領域ではなく、商業的に広く利用されているクライオ･コンプレッサー技術で動作する範囲(4～80ケルビン)で動作する合理的なサイズの低温システムは、十分に実用的と考えられるが、許容できる設置面積と電力消費に関するエンジニアリングの考慮は、どのアプローチでも評価される必要がある。
　この要件は、環境に依存する。たとえば，量子中継器の場合，ILA ステーションの厳しい要件を満たすには，19 インチラックに 2U の設置面積と100Wの消費電力が必要になる場合がある。
　都市圏、大陸横断、海洋横断のネットワークは、通信事業者や企業などがすでに展開している広大な地理空間光データネットワークを利用することになる。
　これらのネットワークに関するシステムレベルの重要な問題や検討事項は、以下の通りである。通信事業者や企業などが既に導入している光データネットワークに、量子通信システムを適応させるためには、これらの要件を満たす必要がある。

　❶　量子中継器なしで運用するためには、最低100kmの到達距離が必要である。
　❷　量子チャネルは O バンド(1260-1360nm)、DWDM(高密度波長分割多重)データチャネルは C バンド(1530-1565nm)と L バンド(1565-1625nm)で多重化することが理想的。量子チャネルのための特別なステーションがないため、量子中継器は通常のDWDMデータチャネル機器を収容する同じILAステーションに配置されるべきである。
　❸　量子中継器では、偏波モード分散、偏波依存性損失、偏波状態の揺らぎ、分散、ラマン散乱、非線形光学効果などのチャネル劣化要因に対する耐性が重要視される。

2⃣　衛星ベースの量子ネットワークシステム
　衛星ベースの量子ネットワークシステムは、多くの理由から、既存のファイバーネットワークに代わる魅力的な選択肢となるが、そこに至るには、❶移動するプラットフォームの同期を改善し(移動プラットフォーム間での真のテレポーテーションや、エンタングルメント･スワッピングは実証されていない)、❷従来採用されてきた光学部品のサイズ･重量･消費電力(Size,Weight and Power、いわゆるSWaP)を大幅に削減することが必要となる。

【3】今後必要となる技術開発
　本資料では、(課題によっては)具体的な数値も示しつつ、掲題につき15項目をあげている。

(1)　極低温単一光子検出器
　超伝導ナノワイヤ単一光子検出器(SNSPD)は、すでに効率とダークカウント(日本語では、暗計数率：誤検出の割合)において高い性能を実証している。現在の仕様は、以下の通り：臨界温度は1～4ケルビン。臨界電流は1µA超。 ダークカウントは、毎秒100回未満。タイミング･ジッタは(概ね)10ピコ秒。これらの検出器には光子数分解機能があり、いくつかのプロトコルには有効である。検出器のデッドタイムを現在よりも短くすることで、より少ない検出器とスイッチング回数で、ハードウェアを簡素化することができる。性能の向上は、ナノスケールの超伝導材料研究の進展に依存する。広く普及させるには、極低温工学の改善とコスト競争力が必要である。

(2)　半導体単一光子アバランシェ･ダイオード(SPADs)
　SiベースのSPADの光子検出効率は40～70% (550-800 nm)を超え、タイミング･ジッタは50 ピコ秒以下、ダークカウントは100 cps未満(cpsはcount per second：回/秒)、飽和率は150 Mcps超、すべて室温で実証されている。SPADの課題(および研究ニーズ)は、上記の仕様を満たすシリコンデバイスでは全く効果がない、赤外O-バンドおよびC-バンドの光通信波長での効率的な検出である。SPADの通信用への成熟には、新材料の研究、ジッタやアフターパルス(光子が検出されないのに、出力パルスが放出されること。いわゆる誤検出)を減らすための電子ドライバの研究、高効率の波長変換の研究などが必要である。光子検出効率>80% とタイミングジッタ <50ピコ秒という目標は妥当なものである。

(3)　エンタングル/ハイパーエンタングル光子対光源
　非線形光学プロセスを用いたエンタングル光子源は、現在、商業製品となっている。しかし、高度に多重化された光源の実証が必要である。95%を上回る忠実度/スペクトル純度かつマルチペアイベント(複数光子対生成確率)5%未満で、生成速度が10⁷/秒を越えるか、もしくは決定論的に生成されれば、採用が大幅に加速される(※)。
　また、波長と帯域幅が異なるため、既存の光源とメモリはほとんど互換性がなく、量子変換が必要である。さらに、スケーリングや集積化も必要であり、これらには非線形材料の進歩やアクティブレーザーの集積化が必要である。また、多自由度にわたる高次元のエンタングルメントやハイパーエンタングルメントの最適化されたソースも必要である→ヘリオットワット大学(スコットランド･エジンバラにある公立大学)･ジュネーブ大学(スイス)の研究者は、多次元(53次元)でエンタングルした光子を使用することにより、エンタングルメントの堅牢性を向上させることができたと発表した(22年11月)[*14(再)]。白色雑音の36%で、79kmの光ファイバーに相当する損失とノイズ条件を通して、絡み合った光子をsteering[*15(再)]することができた。
※　量子暗号では、1パルスが複数の光子を含むと盗聴される可能性が生じる。

(4)　超低損失光チャネル
　超低損失光チャネル の研究は、光通信用波長での石英ファイバの成功の結果、ファイバ側ではほとんど静かな状態である(超低損失ファイバ [0.142dB/km]や、量子中継器を使わない通信用のフッ化物超低損失ファイバの開発といった例外はある)。多くのシステムでは、損失は相互接続と光カプラーによる挿入損失によって制限される。大幅な開発は、挿入損失を下げる(～10 倍)ための手頃で生産性の高い経路によって促進されるであろう。

(5)　空間と地上の接続
　研究ニーズとしては、低 SWaP の堅牢な光源と検出器の改良、時間同期システム、量子メモリ、(テレポーテーションとエンタングルメント･スワッピングの成功率を向上させる)自由空間補償光学法の改良が挙げられる。また、超伝導ナノワイヤ検出器など、飛行に耐えうる極低温装置も必要とされるかもしれない。実用性の明確な指標は、モバイルプラットフォーム間や宇宙から地上へのチャンネルを介した真のテレポーテーション／エンタングルメント･スワッピングなどの、パイロット研究の成功によって示されるだろう。

(6)　古典的なネットワーキング、同期、完全なサイバーセキュリティプロトコルとの統合
　量子インターネットは、古典的なネットワークと量子チャネルの両方が存在するハイブリッドなネットワークとなる。商業的な採用は、量子通信と古典的なプロトコルの明確な相互作用に依存する(例えば、ルーティングは古典的なチャネルで処理される可能性あり)。企業や通信事業者は、量子ネットワークのすべてのコンポーネントが、管理性(パフォーマンス監視、アラーム、遠隔測定、障害管理など)に関する現在の基準を満たすことを要求する。

(7)　トランスデューサー
　光-光変換(波長変換)研究は、物質量子ビットを光通信波長にリンクさせることに関連している。ネットワークへの導入には、波長分割多重化システムと互換性のある適切な性能仕様(80%以上の効率、90%以上の忠実度)を持つ製造可能なシステムが必要である。また、光源とメモリの互換性を保つために、光帯域幅の変換も必要になると思われる。マイクロ波から光通信の波長変換は、超伝導量子ビットに基づくコンピューティングとの関連性を考えると重要である。重要な開発へのゲートウェイには、90％以上の忠実度と 1kHz 以上の帯域幅で量子状態の変換を可能にする効率閾値を通過する必要がある。

(8)　量子メモリ
　スケーラブル(すなわち、オンチップ)な量子メモリのニーズが高い。典型的な目標は、❶3ケルビンで、量子メモリ保持時間10ms(できれば100ms)、❷3ケルビンで、メモリ効率 80％(できれば90%)、❸シリコンフォトニクスと統合する、ことである。量子コンピュータ、量子科学、量子通信における重要性を考慮し、量子ネットワーク用メモリ改良のための研究が活発に行われている。研究ニーズとしては、欠陥やドーパントを利用した半導体や絶縁体のホストメモリの開発、成長、加工、エッチング、研磨などの材料開発、ファイバ結合、オンチップフォトニクス、パッケージングなどのデバイス統合がある。

(9)　量子ネットワークの主要な構成要素の追加開発
　さらに高速･低損失の量子スイッチや多重化技術など、量子ネットワークの主要な構成要素の開発が必要となる。これらのコンポーネントは、低ジッター超伝導検出器からの高速フィードバックを利用するための極低温エレクトロニクス開発に依存する可能性がある。スイッチング用ハードウェア(多重化ユニット内部)は、単一光子(挿入損失0.5dB未満)に対応することを示さなければならない。

(10)　ネットワークプロトコルの最適化
　ネットワークプロトコルの最適化は、リンクからネットワークへの移行において必須である。マルチホップ･ネットワークを実現するには、ネットワーク内の選択されたパスに情報をルーティングする手段と、チャネルの信号損失を補償する量子中継器を組み込む手段の両方が必要である。このため、詳細なスイッチング/ルーティングプロトコルを評価・開発する必要がある。

(11)　ネットワーク･アーキテクチャ
　接続アーキテクチャ(第一世代から第三世代)は提案されているが、真の意味で完全なネットワーク･アーキテクチャは存在しない。しかし、量子誤り緩和技術や量子ネットワーク･コンポーネントの信頼性の高いモデルなど、新たな理論的研究に大きく依存することになる。

(12)　古典的な計算・通信サービスとの統合
　量子ネットワークや量子コンピュータが提供するサービスは特殊であり、アーキテクチャ上、より一般的なシステムにおけるプロセッサの一種として捉えるのが妥当である。そのため、プログラミングツールやハードウェアは、従来のシステムにシームレスに統合される必要がある。例えば、暗号化サービスは、古典的な鍵管理システムや複雑な電子商取引システムに統合されなければならない。

(13)　量子誤り訂正された量子ネットワーキング機能
　現実的なハードウェアで実現可能なアプリケーションは、すべて量子誤り訂正に依存することになる。現実的な性能保証のある理論的な誤りしきい値は、より重要なハードウェア開発のゲートとなる。この分野では、3世代の中継器のモデル開発や、エンタングルメント蒸留^†(原文ではpurification(純粋化or精製)であるが、同じ意味で馴染みのある｢蒸留｣を採用した)や量子誤り訂正ベースのシステムのしきい値の確立など、実質的な研究がすでに始まっている。このトピックは、量子計算の取り組みと調整することができる。
†　エンタングルメント蒸留とは、｢複数の弱いエンタングルメント｣から｢少数のより強いエンタングルメント｣を抽出する操作を指す。重要なポイントは、”局所量子操作と古典通信(いわゆるLOCC)のみ”によってエンタングルメントが増強される、ことである。LOCC＝Local Operation and Classical Communication.

(14)　リンク、ノード、ネットワークの監視と管理
　量子ネットワークは、リンクや他のハードウェアの状態を適切な時間スケールでテストし、記述することを学ぶため、ネットワーク管理に新たな課題をもたらす。この作業には、低レベルのハードウェア制御と、量子ビットや量子もつれ状態レベルでの操作の両方が必要となる。量子コンピュータの認証に関する活発な研究は、量子ビットの増加に伴うスケーリングの課題に焦点を当てているが、ネットワークについては、二分割された量子もつれ状態の統計的精度に関する大きな定数因子と、長時間実行後にバッチ処理ではなく、運用目的で継続的に検証(例えば、ベル不等式破れ実験)を行う必要性がより大きな課題である可能性がある。

(15)　アプリケーション･プログラミング･モデルとインターフェース
　現在までにQKDのみ対応済みである。APIやライブラリは、高精度時計との連携が必要であり、盗聴器検知を含む多くの目的のためにプログラミング･モデルの一部として統計的確実性の概念を持たせる必要がある。従来のインターネットアプリケーションでは、ソケットと呼ばれる中間レベルのソフトウェア構造、あるいはリモートデータ照会や処理要求のための上位レベルのツールを使用している。ポータブルで書きやすく、デバッグしやすいコードをサポートする量子的な同等品を開発する必要がある。

　スイスのスタートアップTerra Quantumは、鍵生成速度34 bps、量子暗号通信距離1032 kmを実現するQKDプロトコル(TQ-QKDプロトコルと呼称)の実装に成功した、と発表した(arXivでの論文[*A-10]公開が23年6月7日)。23年5月25日に(フィジカル･レビュー・レターにて)公開された、中国科学技術大学や済南量子技術研究所他の科学者による研究成果[*A-11]｢鍵生成速度0.0034bps、量子暗号通信距離1002km｣に比べて、速度が4桁改善されている。
　BB84(あるいはデコイBB84)ベースのQKDは、少なくとも通信経路がセキュアでないことが、大きな問題であった。Terra Quantumによる今回の成功は、通信経路の安全度を高める取り組みの成果である。なお、QKDは、正確にはツインフィールドQKD(TF-QKD)である。 TF-QKDを極めてシンプルに表現すれば、量子暗号通信距離を大幅に伸ばせるQKDであり、東芝が開発した。
　具体的な、取り組みは、以下の通りである。

【1】H/W、アルゴリズムの開発
(1)　QKDでは、通信距離を伸ばすために、増幅器を通信経路に導入する。導入される増幅器は、通常、エルビウム添加ファイバ増幅器(EDFA)である。TQ-QKDプロトコルでは、(Terra Quantumが、独自に開発した)EDFAを50kmごとに配置する。EDFAは、理想的な量子中継器ではないため、自然放射増幅光(ASE)を生成し、検出された情報を運ぶ信号に干渉するノイズを引き起こす。 このノイズはフィルタで除去するが、このフィルタは熱への感度が高い。そこで、特別なサーモスタットを開発した。
(2)　オフセット電圧が浮動すると、振幅変調器の動作点がシフトする可能性があり、光信号の平均強度も変化する。このシフトを補償するために、変化する光信号の平均強度を、元の大きさに戻すアルゴリズムを開発した。

【2】 オペレーション
(1)　量子誤り訂正符号として、反復符号と低密度パリティチェック(LDPC)符号の、組み合わせを採用した。具体的なビット誤り率に合わせて、誤り訂正符号の最適な組み合わせを使用する。このため、ユーザーは、最大の鍵生成割合を達成できる。
(2)　通信経路には、多くのEDFAが導入されるため、通信経路全体で見ると、いくつもの信号反射が発生する。つまり、通信経路全体が、弱い共振器を含む活性媒体と考えられる。ASEが、この活性媒体と共振しないように、信号増幅する必要がある。

【3】 攻撃に対する防御
　以下に上げるような通信経路に対する攻撃は、光学的時間領域反射率測定(OTDR)技術を使用することで、防ぐことができると主張。具体的には、短く強力な光パルスを通信経路に送信し、後方散乱信号を測定することで、ローカル傍受を検出する。
❶　接続部の損失の測定・・・信号の一部は、接続部でチャネルの外に漏れる。増幅器近くの接続部分が特に危険であるが、(OTDRで)検出が可能である。
❷　局所リークを作成した攻撃1・・・ ビームスプリッターを使用すると、信号の一部を迂回させることができる。つまり攻撃手は、信号の一部を使用することができるため、通信経路に物理的に介入することなく、通信を傍受できる。
　防御法は、シンプル。ビームスプリッターを使用して信号の一部を迂回させる場合、付随して、損失が発生する。攻撃手は、信号迂回に付随する損失を隠すために、独自の増幅器を導入して、損失を回復する必要がある。しかし、増幅器の導入＝物理的介入は、(OTDRで)容易に検出可能である。
❸　局所リークを作成した攻撃2・・・盗聴者は、光ファイバーを曲げて、チャネル信号から出力される信号をすべて収集しようとする可能性がある。光ファイバーを曲げると、強度が急激に変化するので、(OTDRで)容易に検出可能である。

【尾　注】
*0　帷：物をおおいかくすもの。さえぎって見えないようにするもの。弓(＝S/W)矢(＝H/W)から、鎖帷子もイメージしている。
*1　Hiding Secrets Using Quantum Entanglement、July 27, 2022、Physics 15, 116　https://physics.aps.org/articles/v15/116
*2　玉木潔、量子暗号通信へのサイドチャネル攻撃、2022
*3　佐々木寿彦、量子暗号通信とその安全性、2022年2月22日
*4　量子暗号の絶対安全性は、暗号鍵のキャリアとして単一光子(もしくはエンタングルド光子対)を使用しなければ、担保されない。現実の量子通信では、単一光子を発生させることが難しいので、代わりに(次善の策として)弱いコヒーレント光(WCP)が使用される。ところが、シンプルにWCPを使うと、通信距離を長くできない。本来の信号パルスの中に、強度の異なるおとり(デコイ)パルスを、ある確率でランダムに混ぜ込んで送ることで、通信距離の問題を解決できる。デコイを混ぜ込んだWCPを使用したBB84を、デコイBB84と呼ぶ。
*5　東芝レビューVol.74 No.2(2019年3月)、p.17　https://www.global.toshiba/content/dam/toshiba/migration/corp/techReviewAssets/tech/review/2019/02/74_02pdf/1-3.pdf
　なお、ツインフィールド(TF)-QKDの安全性については、東京大学の研究結果(2019年7月)を参照。https://fs.hubspotusercontent00.net/hubfs/20511701/press-release/2019/setnws_201907181631518423964178_564125.pdf
　TF-QKDと比肩する手法として、相対論的QKDがある。暗号鍵の生成速度、転送速度、生成効率において、TF-QKDよりも優れているとする研究がある(More optimal relativistic quantum key distribution　https://www.nature.com/articles/s41598-022-15247-x)。同研究では、通信距離に関しては、TF-QKDに軍配があがるとも述べている。
*6　https://www.global.toshiba/jp/technology/corporate/rdc/rd/topics/21/2106-02.html　なお、本技術の安全性が数学的に証明されているかは、確認できていない。
*7　https://jpn.nec.com/press/202201/20220114_01.html
*8　https://physicsworld.com/a/slimmed-down-terminal-transmits-quantum-keys-from-space/
*9　https://digital-strategy.ec.europa.eu/en/news/joint-eucanada-quantum-research-projects
*10　https://www.itmedia.co.jp/enterprise/articles/2210/18/news005.html#utm_source=ent-mag&utm_campaign=20221021
*11　https://cordis.europa.eu/article/id/442356-sending-quantum-information-from-alice-to-charlie
*12　例：光インジェクション攻撃への対策として、Protecting Fiber-Optic Quantum Key Distribution Sources against Light-Injection Attacks(https://journals.aps.org/prxquantum/abstract/10.1103/PRXQuantum.3.040307)
*13　産官学連携研究開発コンソーシアム量子インターネットタスクフォース(QITF)、ホワイトペーパー"The"量子インターネット-この宇宙の物理法則に許されるサイバー空間の極致-(2021年2月)　https://qitf.org/files/20210210_qitf_whitepaper.pdf
*14　Vatshal Srivastav et al.、Quick Quantum Steering: Overcoming Loss and Noise with Qudits、https://journals.aps.org/prx/abstract/10.1103/PhysRevX.12.041023
*15　一方(アリス)がエンタングルメントの測定基底を選ぶことによって、他方(ボブ)の状態にアクセスすることなく、ボブに影響を与える能力を、シュレーディンガーがsteeringと呼んだ。日本語でsteeringは、操縦する、で良い。
*16　Xiang You et al.、Quantum interference with independent single-photon sources over 300 km fiber、https://www.spiedigitallibrary.org/journals/advanced-photonics/volume-4/issue-06/066003/Quantum-interference-with-independent-single-photon-sources-over-300km-fiber/10.1117/1.AP.4.6.066003.full?SSO=1
*17　ABHINANDAN BHATTACHARJEE et al.、Propagation-induced revival of entanglement in the angle-OAM bases　https://www.science.org/doi/10.1126/sciadv.abn7876
*18　https://www.sciencedirect.com/science/article/pii/S2589004222021708
*19　V. Krutyanskiy et al.、Entanglement of Trapped-Ion Qubits Separated by 230 Meters　https://journals.aps.org/prl/abstract/10.1103/PhysRevLett.130.050803
*20　Hao-Tao Zhu et al.、Experimental Mode-Pairing Measurement-Device-Independent Quantum Key Distribution without Global Phase Locking　https://journals.aps.org/prl/abstract/10.1103/PhysRevLett.130.030801
*21　https://www.memq.tech/news/seed-press-release
*22　https://www.forschung-it-sicherheit-kommunikationssysteme.de/projekte/quinsida
*23　K. Parto et al.、Cavity-Enhanced 2D Material Quantum Emitters Deterministically Integrated with Silicon Nitride Microresonators　https://pubs.acs.org/doi/10.1021/acs.nanolett.2c03151
*24　https://www.sandboxaq.com/press-release/softbank-corp-and-sandboxaq-jointly-verify-hybrid-mode-quantum-safe-technology
*25　https://www.titech.ac.jp/news/2023/065962
*26　https://www.ynu.ac.jp/hus/koho/29624/detail.html
*27　Michael Hollenbach et al.、Wafer-scale nanofabrication of telecom single-photon emitters in silicon　https://www.nature.com/articles/s41467-022-35051-5
*28　https://aws.amazon.com/blogs/quantum-computing/implementing-a-quantum-secured-network-in-a-metropolitan-area/
*29　https://www.qusecure.com/qusecure-pioneers-first-ever-u-s-live-end-to-end-satellite-quantum-resilient-cryptographic-communications-link-through-space/
*30　https://aip.scitation.org/doi/10.1063/5.0094715
*31　Fadri Grünenfelder et al.、Fast single-photon detectors and real-time key distillation enable high secret-key-rate quantum key distribution systems　https://www.nature.com/articles/s41566-023-01168-2
*32　https://news.cgtn.com/news/2023-03-15/China-sets-new-world-record-in-high-rate-quantum-key-distribution-1ibXcnD9UCA/index.html
*33　https://www.nict.go.jp/press/2023/03/16-1.html
*34　Yeonghun Lee et. al、Spin-defect qubits in two-dimensional transition metal dichalcogenides operating at telecom wavelengths　https://www.nature.com/articles/s41467-022-35048-0
*35　Hatam Mahmudlu et. al、Fully on-chip photonic turnkey quantum source for entangled qubit/qudit state generation　https://www.nature.com/articles/s41566-023-01193-1
*36　Miller Eaton et. al、Resolution of 100 photons and quantum generation of unbiased random numbers　https://www.nature.com/articles/s41566-022-01105-9
*37　Hiroyuki K.M.Tanaka、Cosmic coding and transfer storage (COSMOCATS) for invincible key storage、https://www.nature.com/articles/s41598-023-35325-y
*38　https://www.toshiba.eu/quantum/news/toshiba-europe-and-orange-demonstrate-viability-of-deploying-quantum-key-distribution-with-existing-networks-and-services/
　成果をまとめた論文は、以下：https://arxiv.org/ftp/arxiv/papers/2305/2305.13742.pdf
*39　https://group.ntt/jp/newsrelease/2023/06/20/230620a.html
*40　James Bartusek et al.、Obfuscation of Pseudo-Deterministic Quantum Circuits、https://arxiv.org/pdf/2302.11083.pdf
　筆頭著者は、UCバークレーの研究者。またCryptology ePrint Archiveというサイトには2月22日に投稿されている(その後、4月11日に修正)→https://eprint.iacr.org/2023/252。
*41　Andreas Gritsch et. al、Purcell enhancement of single-photon emitters in silicon、https://opg.optica.org/optica/fulltext.cfm?uri=optica-10-6-783&id=531850
　ちなみに、掲載されたジャーナルは、OPTICA(旧･米国光学会)が発行するOptica。
*42　Alexander E.K.Kaplan et al.、Hong–Ou–Mandel interference in colloidal CsPbBr3 perovskite nanocrystals、https://www.nature.com/articles/s41566-023-01225-w
*43　https://www.vodafone.com/news/technology/vodafone-tests-quantum-safe-business-network-upgraded-smartphones
*44　Ji-Gang Ren et al.、Ground-to-satellite quantum teleportation、https://arxiv.org/abs/1707.00934
*45　Si Shen et al.、Hertz-rate metropolitan quantum teleportation、https://www.nature.com/articles/s41377-023-01158-7
*46　Salim Ourari et al.、Indistinguishable telecom band photons from a single Er ion in the solid state、https://www.nature.com/articles/s41586-023-06281-4
*47　nature論文は、オープンアクセスではないので、為念。https://arxiv.org/pdf/2301.03564.pdf
*48　23年9月17日付け日経新聞26面には、｢デバイス非依存量子暗号｣という文言があてられている。
*49　MITREは、米国の連邦政府が資金を提供する非営利組織。対象分野は多岐に渡るが、サイバーセキュリティの分野では、米国立標準技術研究所の連邦研究開発センターの運営を行い、官民パートナーシップおよびハブとしての機能を提供している。また、米国土安全保障省の資金を得て、世界中の脆弱性情報に対して採番を行っている。出典:https://www.intellilink.co.jp/column/security/2020/060200.aspx
*50　https://news.mit.edu/2023/quantum-repeaters-use-defects-diamond-interconnect-quantum-systems-0927
*51　https://www.nature.com/articles/d41586-023-03336-4
*52　https://www.tus.ac.jp/today/archive/20231102_3729.html
*53　https://www.nict.go.jp/press/2023/10/30-1.html
*54　Ming-Hao Jiang et al.、Quantum storage of entangled photons at telecom wavelengths in a crystal、https://www.nature.com/articles/s41467-023-42741-1
*55　Cheng-Long Li et al.、Device-independent quantum randomness–enhanced zero-knowledge proof、https://www.pnas.org/doi/10.1073/pnas.2205463120
*56　Cheng-Long Li et al.、Device-Independent-Quantum-Randomness-Enhanced Zero-Knowledge Proof、https://arxiv.org/pdf/2111.06717.pdf
*57　https://www.jst.go.jp/pr/announce/20231205-2/index.html
*58　https://eaglys.co.jp/news/press-release/20231213/
*59　林卓也、準同型暗号を用いた秘密計算とその応用、https://www.jstage.jst.go.jp/article/isciesci/63/2/63_64/_pdf/-char/ja
*60　Amanda Weerasinghe et al.、Practical,high-speed Gaussian coherent state continuous variable quantum key distribution with real-time parameter monitoring,optimised slicing,and post-processed key distillation、https://www.nature.com/articles/s41598-023-47517-7
*61　https://qubitekk.com/press-releases/quantum-technology-pioneers-qubitekk-and-qunnect-achieve-first-equipment-interoperability-on-epb-quantum-network%E2%84%A0-powered-by-qubitekk/
*62　https://www.scmp.com/news/china/science/article/3246752/china-and-russia-test-hack-proof-quantum-communication-link-brics-countries?module=inline&pgtype=article
*63　Yanning Ji & Elena Dubrova、A Side-Channel Attack on a Masked Hardware Implementation of CRYSTALS-Kyber、https://eprint.iacr.org/2023/1084.pdf
*64　Adnan Hajomer et al.、Long-distance continuous-variable quantum key distribution over 100- km fiber with local local oscillator、https://www.science.org/doi/epdf/10.1126/sciadv.adi9474
*65　https://arqit.uk/press-releases/ampliphae-hpe-athonet-and-arqit-deliver-quantum-safe-private-5g-using-symmetric-key-agreement
*66　https://www.qusecure.com/qusecure-awarded-u-s-air-force-contract-for-post-quantum-cybersecurity-solutions/
*67　https://www.hpcwire.com/off-the-wire/qrypt-selected-by-afwerx-for-phase-1-sttr-contract-to-enhance-air-forces-quantum-secure-encryption/
*68　https://pqca.org/news/2024/post-quantum-cryptography-alliance-launches-to-advance-post-quantum-cryptography/
*69　https://www.titech.ac.jp/news/2024/068434
　論文は、https://journals.aps.org/prl/abstract/10.1103/PhysRevLett.132.073601
*70　Sonali Gera et al.、Hong-Ou-Mandel interference of single-photon-level pulses stored in independent room-temperature quantum memories、https://www.nature.com/articles/s41534-024-00803-2
*71　Boaz Lubotzky et al.、Room-Temperature Fiber-Coupled Single-Photon Sources based on Colloidal Quantum Dots and SiV Centers in Back-Excited Nanoantennas、https://pubs.acs.org/doi/10.1021/acs.nanolett.3c03672
*72　Xiang-Jie Li et al.、Single-Photon-Memory Measurement-Device-Independent Quantum Secure Direct Communication - Part I: Its Fundamentals and Evolution、https://arxiv.org/pdf/2304.09379.pdf
*73　Byungkyu Ahn et al.、High-dimensional single photon based quantum secure direct communication using time and phase mode degrees、https://www.nature.com/articles/s41598-024-51212-6
*74　Yuexun Huang et al.、Vacuum Beam Guide for Large Scale Quantum Networks、https://arxiv.org/pdf/2312.09372.pdf
*75　筆頭著者の所属機関である珠海学院は、香港の大学であろうが、他の著者の所属機関は、小学校？らしい。怪しすぎる。
*76　Yew Kee Wong et al.、Web 3.0 and Quantum Security: Long-Distance Free-Space QSDC for Global Web 3.0 Networks、https://arxiv.org/pdf/2402.09108.pdf
*77　https://www.u-toyama.ac.jp/wp/wp-content/uploads/20240301-1.pdf
*78　Guillermo Currás-Lorenzo et al.、Security of quantum key distribution with imperfect phase randomisation、https://iopscience.iop.org/article/10.1088/2058-9565/ad141c
*79　https://www.luxquanta.com/luxquanta-wins-the-eic-accelerator-program-and-secures-25m-n-37-en
*80　https://www.quantumemotion.com/press-release/quantum-emotion-partners-with-the-platform-for-digital-and-quantum-innovation-pinq2-for-testing-its-security-platform-using-ibm-quantum-computer-powered-simulated-attacks
*81　https://speqtralquantum.com/newsroom/antaristm-and-speqtraltm-to-jointly-deploy-quantum-safe-key-distribution-satellites
*82　Ming-Xin Dong et al.、Highly Efficient Storage of 25-Dimensional Photonic Qudit in a Cold-Atom-Based Quantum Memory、https://journals.aps.org/prl/abstract/10.1103/PhysRevLett.131.240801
*83　https://www.thalesgroup.com/en/worldwide/security/press_release/post-quantum-cryptography-six-french-cyber-players-join-forces
*84　https://www.t.u-tokyo.ac.jp/press/pr2024-04-18-002
*85　Alexander N. Craddock et al.、Automated distribution of high-rate, high-fidelity polarization entangled photons using deployed metropolitan fibers、https://arxiv.org/pdf/2404.08626.pdf
*86　https://www.scmp.com/news/china/science/article/3259756/chinese-team-makes-quantum-leap-chip-design-new-light-source?campaign=3259756&module=perpetual_scroll_0&pgtype=article
*87　https://www.toshiba.eu/quantum/news/softbank-corp-and-toshiba-digital-solutions-successfully-demonstrate-qkd-operation-with-optical-wireless-communications/
*88　https://www.toshiba.eu/quantum/news/toshiba-europe-and-single-quantum-partner-to-provide-extended-long-distance-qkd-deployment-capability/
*89　https://www.tsukuba.ac.jp/journal/pdf/p20240411180000.pdf
*90　Boru Chen et al.、GoFetch: Breaking Constant-Time Cryptographic Implementations Using Data Memory-Dependent Prefetchers、https://gofetch.fail/files/gofetch.pdf
*91　C.M.Knaut et al.、Entanglement of nanophotonic quantum memory nodes in a telecom network、https://www.nature.com/articles/s41586-024-07252-z
*92　A.J.Stolk et al.、Metropolitan-scale heralded entanglement of solid-state qubits、https://arxiv.org/pdf/2404.03723
*93　Jian-Long Liu et al.、Creation of memory–memory entanglement in a metropolitan quantum network、https://www.nature.com/articles/s41586-024-07308-0
*94　https://arqit.uk/press-releases/sparkle-successfully-completes-first-test-of-an-international-vpn-protected-with-quantum-encryptions
*95　https://engineering.fb.com/2024/05/22/security/post-quantum-readiness-tls-pqr-meta/
*96　https://news.zoom.us/post-quantum-e2ee/
*97　https://q-bird.nl/2024/05/28/qbird-raises-e2-5-million-to-accelerate-growth-of-its-falqon-quantum-security-technology/
*98　https://www.idemia.com/press-release/idemia-secure-transactions-and-seven-other-french-cybersecurity-leaders-unite-develop-large-scale-quantum-security-solutions-2024-05-28
*99　Yilei Chen、Quantum Algorithms for Lattice Problems、https://eprint.iacr.org/2024/555.pdf
*100　Nikita Kirsanov et al.、Loss Control-Based Key Distribution under Quantum Protection、https://www.mdpi.com/1099-4300/26/6/437
*101　Thomas Jennewein et al.、QEYSSat 2.0 - White Paper on Satellite-based Quantum Communication Missions in Canada、https://arxiv.org/pdf/2306.02481
*102　直接的には、https://www.lastwall.com/post/the-quantum-insider-lastwall-quantum-shield。中身は、https://www.lastwall.com/technology/quantum-shield
*103　https://www.foresight.group/news/foresight-leads-2-2-million-growth-capital-investment-into-disruptive-cyber-technology-start-up-cavero-quantum

*a　クランチベース等の2次情報には、誤りが散見されるので、該当組織のWebサイト等で可能な限り確認した。As of 24年7月(適宜アップデートする)
*b　以下の論文と関係はあるのだろうか？　Subhash Kak、Simulating Entanglement in Classical Computing、https://arxiv.org/ftp/arxiv/papers/1301/1301.1994.pdf

*A-1　https://www.wired.com/story/new-attack-sike-post-quantum-computing-encryption-algorithm/
*A-2　LWE(Learning with errors)問題は、誤差を加えた多元連立一次方程式問題である。誤差は平均0、標準偏差σの離散ガウス分布から生成される整数で良い。LWE問題は、NP困難問題－つまり、古典コンピュータはもちろん、量子コンピュータでも、多項式時間では解けないと考えられている。Module-LWE問題は、パラメータとして多項式を成分とするベクトルを選択したLWE問題で、パラメータの選択により効率性と安全性のどちらを重視するかを選択可能である。なおLWE暗号に対して、最も高速な攻撃は、BBD(Bounded Distance Decoding)攻撃と考えられている。
(参考1：四方順司、量子コンピュータに耐性のある暗号技術の標準化動向：米国政府標準暗号について、日本銀行金融研究所、Discussion Paper No. 2019-J-4　https://www.imes.boj.or.jp/research/papers/japanese/19-J-04.pdf)　
(参考2：高木剛、ポスト量子暗号の構成法とその安全性評価　https://www.jstage.jst.go.jp/article/essfr/11/1/11_17/_pdf/-char/ja)
*A-3　https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8413.pdf
*A-4　Measurement-device-independent quantum cryptography　(https://arxiv.org/pdf/1409.5157.pdf)
*A-5　2020年に設立された Q-NEXTは、米国エネルギー省(DOE)のアルゴンヌ国立研究所が主導しており、3つの国立研究所･10大学･14企業から約100名の専門家が集結している。Q-NEXTの使命は、量子情報の制御と配信のための科学技術を開発し、量子科学･工学における重要な発見と米国の競争力を実現すること、とされている。https://q-next.org/
　DOE傘下の国立研究所が主導する量子イニシアチブには、他にも、①ブルックヘブン国立研究所が率いる量子アドバンテージ共同設計センター(C2QA)、②オークリッジ国立研究所が率いる量子科学センター(QSC)、③ローレンス・バークレー国立研究所が率いる量子システム加速器(QSA)、④フェルミ国立加速器研究所が率いる超伝導量子材料・システムセンター(SQMS)などがある。
*A-6　A Roadmap for Quantum Interconnects、 https://publications.anl.gov/anlpubs/2022/12/179439.pdf
*A-7　量子中継器(量子リピータ、QR)は3つの世代に分類される。第一世代と第二世代のQRは、損失エラーを克服するために、隣接する中継局間のエンタングルメント生成に依存している。第一世代QRでは、隣接する中継局と遠隔中継局の間でエンタングルメント蒸留(原文は、purification:純粋化(精製という訳語もある)であるが、同じ意味で馴染みのある文言を使った)を行い、動作エラーを修正する。遠隔中継局間では双方向の古典通信が必要なため、鍵生成割合が遅くなり、中継局に長寿命の量子メモリが必要とされる。
　第二世代QRでは、量子誤り訂正を用いるため、隣接局間の古典的な双方向通信のみが必要となり、並列に実現することが可能である。
　第三世代QRでは、古典的な中継器と同様に、完全に一方向のプロトコルを用いて、損失と演算誤差の両方を量子誤り訂正のみで克服するため、通信速度はローカル演算の実行時間のみに依存し、超高速通信速度を達成する可能性がある。ただし、ノード間の最大許容チャネル損失は50％。
*A-8　From Long-distance Entanglement to Building Nationwide Quantum Internet、Report of the DOE　Quantum Internet Blueprint Workshop、2020年2月5-6日、https://www.energy.gov/sites/prod/files/2020/07/f76/QuantumWkshpRpt20FINAL_Nav_0.pdf
　上記レポートには、以下のように記述されている。Milestone 3: Intercity Quantum Communication using Entanglement Swapping　量子メモリーネットワーク。このタイプの量子ネットワークでは、任意の2つのエンドユーザー(ノード)がもつれた量子ビットを取得･保存し、量子情報を相互にテレポートすることができる。エンドノードは、受け取った量子ビットに対して計測や演算を行うことができる。必要最小限のメモリストレージは、往復の古典通信の時間によって決定される。この量子ネットワークステージでは、単一量子ビットの準備と測定が可能なノードが、遠隔地の量子コンピューティングサーバーに接続することができるという意味で、限定的なクラウド量子コンピューティングを実現することができる。第一世代のプロトタイプを早期に構築することで、主要な戦略や対処すべき非効率性を特定することができ、全国的なプログラムの成功を保証するもう一つのメカニズムになる。コンポーネントの徹底的な評価と初期段階での統合テストを可能にするため、Q-LANを形成する1つまたは複数の初期テストベッドが必要である。
*A-9　A-8のレポートFrom Long-distance Entanglement to Building Nationwide Quantum Internetには、次のように記されている：Milestone 4: Interstate Quantum Entanglement Distribution using Quantum Repeaters　古典的なネットワーク技術と量子ネットワーク技術が統合された。量子中継器と量子誤り訂正通信の連結に成功すれば、より長距離の量子もつれ配信ネットワークが実現し、量子インターネットが実現する。
*A-10　A. Aliev et al.、Experimental demonstration of scalable quantum key distribution over a thousand kilometers、https://arxiv.org/pdf/2306.04599.pdf
*A-11　Y. Liu et al.、Experimental Twin-Field Quantum Key Distribution over 1000 km Fiber Distance、https://journals.aps.org/prl/abstract/10.1103/PhysRevLett.130.210801
*A-12　Marco Avesani、Long-Range Quantum Cryptography Gets Simpler、https://physics.aps.org/articles/v16/104
*A-13　相川勇輔、耐量子計算機暗号と量子情報の数理 同種写像暗号１：楕円曲線と同種写像グラフ、https://joint.imi.kyushu-u.ac.jp/wp-content/uploads/2022/08/220802_03aikawa.pdf
*A-14　参考資料：Nikolaj Sidorencoet al.、Formal security analysis of MPC-in-the-head zero-knowledge protocols、https://eprint.iacr.org/2021/437.pdf
*A-15　古江弘樹、耐量子計算機暗号と量子情報の数理 多変数多項式暗号1：署名方式の構成、https://joint.imi.kyushu-u.ac.jp/wp-content/uploads/2022/08/220804_01furue-.pdf

お問い合わせ