(本文)量子鍵配送(QKD)は1984年にBennettとBrassardによって提案された,量子通信路を用いて離れた2人が秘密鍵を共有するためのプロトコル(BB84)である.このプロトコルの重要な性質は,量子力学の基本原理と情報理論によって計算量に依らない無条件安全性が理論的に保証されていることである.さらに近年,現在の技術では完全な単一光子光源を利用できないため,弱コヒーレント光に対して安全なQKDを実現する現実的な方法として,強度値の異なる複数のパルスによるデコイ法鍵配送プロトコルが提案された.

これらの安全性の多くは,プロトコルの符号長が無限大を仮定した下で行われたGottesman-Lo-Lutkenhaus-Preskill (GLLP)の安全性議論に基づいている.しかし現実の世界の設定では,符号長は有限長であり,またそのため受信情報に含まれる物理揺らぎやサンプリング誤差といった統計揺らぎを無視することはできない.今までにも有限長符号によるデコイ法QKDで統計揺らぎの影響を考慮した秘密鍵の生成レート解析及び量子暗号実験も行われているが,彼らの安全性はすべて,本来漸近での安全性しか保証されていないGLLPの議論を拡張して,秘密鍵の生成レートの評価を統計揺らぎを影響を考慮して導出したものであった.したがってそのようなad hocなアプローチでは,符号長が無限大のときに盗聴者の情報量の極限が0であることしか保証できず,本質的に有限長での安全性を保証することはできないものであった.

本論文では,現実の世界での安全性を初めて厳密に保証したデコイ法QKDプロトコルを提案する.これはGLLPの漸近での安全性保証に基づくものではなく,林によって提案された有限符号長の下での盗聴情報量評価を拡張することで達成している.そして数値計算を行い,漸近でのデコイ法QKDとの比較を行うことで,提案したデコイ法QKDの性能や振る舞い,及び光強度値などの本プロトコルのパラメータの最適値を示した.その結果,漸近でのデコイ法QKDの場合では伝送距離が十分長いときでも秘密鍵の生成に用いる光強度値は0.3を取っていたのに対して,本デコイ法QKDで最大伝送距離を達成するときの最適な光強度値が統計揺らぎの影響から非常に小さな値となることを明らかにした.また実際に量子暗号通実験を行うことで,揺らぎのある装置やファイバの元での本プロトコルの性能も明らかにした.その結果,光ファイバ20kmで真空を含めた4種類の強度によるデコイ法QKDの実験を行い,符号長10^5で平均盗聴情報量が2^-9ビット以下であることを保証した秘密鍵を,200 bpsの速度で伝送することに成功した.さらに数値計算と比較することで,装置やファイバの揺らぎの影響の大きさを示した.

本論文は「Theory and Experiment of the first decoy state quantum key distribution guaranteeing quantitative security in the real-world settings」と題し,6章と付録からなる.量子計算・量子情報は新しい計算・情報処理のあり方として盛んに研究されているが,その中でも実用化に最も近いと考えられているのが量子情報通信を用いた暗号技術である.量子情報技術を用いて暗号鍵を通信すると,鍵が盗聴されたときには量子状態に変化が生じるため,その変化を調べることにより,どれだけの情報量が盗み見られたかを推定することが可能となる.盗聴されたことが分かれば鍵は安全でないとして捨てて,安全性が十分だと確認された鍵だけを暗号に用いることで,確実に安全な暗号が実現できる.これは現代暗号が「現実的な計算量で解けるアルゴリズムが知られていない問題」という計算量的な安全性に基づいていること,また,量子計算が実現すればこれらの問題が高速に解け,現代暗号が危険にさらされてしまうという状況とは根本的に異なっている.

量子通信を用いた暗号鍵配送の原理は,すでに実験的にも実証されたとされていた.しかし従来研究で前提としていた Gottesman, Lo, Luetkenhaus, Preskill (GLLP) による漸近解析は,有限長の符号では厳密には成立しない.すなわち,従来の実験での「実証」は,安全性の確認という最も根本的なところで不完全であった.

これに対し本研究では,有限長符号に対する安全性の理論を構築することにより,厳密な意味での安全性を確立した.実際にはこの方向性の最初の仕事は林らにより行われたが,実際のシステムでは通信中に信号に乗るノイズや測定装置における測定ばらつきによっても量子状態の変化が生じるため,「盗聴情報量」は多く見積もられてしまい,やや荒っぽい近似を行った林らの理論では鍵の安全性を確認することができなかった.これに対し本研究では林らの理論の精度を高めることにより,実際に安全性を保証された鍵を生成することに,世界で始めて成功した.また,この理論を実験と数値計算により分析し,この理論に基づく量子鍵配送の特性を分析した.

第1章「Introduction」では,問題の背景と本研究の学術的貢献がまとめられている.

第2章「Preliminaries」では,量子計算・量子通信の基礎や符号理論をはじめとする従来知見がまとめられている.量子鍵配送については,単一光子を用いた BB84 と呼ばれる手法とその問題点,そしてBB84の問題点を解決するデコイ状態法について説明されている.本研究はこのデコイ状態法の安全性を確立するものである.

第3章「New eavesdropper's information formula for QKD protocol with a finite code length incorporating statistical fluctuations」では,本研究の核となる理論を展開している.まず林らによる先行研究が紹介され,その評価に基づいた実験では「安全性が保証された鍵」が得られなかったことが報告されている.そして林らの理論を精緻化した理論を展開している.

第4章「First experimental results of QKD protocol guaranteeing quantitative security incorporating statistical fluctuations」では,第3章で構築された理論に基づき,実験により「安全性が保証された鍵」を得ることに成功したことが報告されている.とりわけ,実際の実験環境におけるさまざまな条件 --- 機械に実装された機能上の制約,測定などによるばらつきの大きさ --- を考慮した,プロトコルの最適化が詳述されている.最適化されたプロトコルを用いることにより,20 kmの光ファイバを経由して,最大で約 200 bps の速度で鍵を配送することができた.

第5章「Numerical analysis of proposed eavesdropper's information formula」では,現実の実験装置の制約を離れて,提案した安全性理論に基づく量子鍵配送プロトコルの性質を,数値実験により議論している.まず,配送距離が鍵の生成速度に与える影響を評価し,従来理論である GLLP と比較している.また,配送距離ごとに最適な光子強度やそれらの選択確率を分析している.さらに,盗聴されたビット数の推定値に相当する安全性パラメタを変化させ,十分な長さの符号化を用いれば,極めて高い安全性を要求しても鍵の生成速度に大きな影響を与えないことを示した.

第6章「Concluding remarks」では,研究成果をまとめ,今後の展望について述べている.

なお,「Detailed formulation of our proposed eavesdropper's information with a finite code length incorporating finite statistics」と題する付録において,本研究で提案する理論の証明が記述されている.

以上をまとめると,本論文では,安全性を保証した量子鍵配送を世界ではじめて可能とした理論を展開し,実験の報告とともに将来への展望を明らかにしたもので,量子情報通信の実現への大きな一歩となる成果を明らかにしており,情報理工学の進展に対して大きな貢献をしたといえる.

よって本論文は博士(情報理工学)の学位請求論文として合格と認められる.