量子鍵配送の基本プロトコル

ある人が遠くにいる別の人にメッセージを送りたいが、第三者にはその内容を知られたくない、という状況を考える。

送信者：アリス
受信者：ボブ
盗聴を試みる第三者：イブ

秘密鍵：アリスとボブの間で共有された、イブの知らないランダムなビット列

${m}$ ビットの秘密鍵は、アリスの持つ ${m}$ ビットの確率変数 ${\mathbf{K}_A}$ と、ボブの持つ ${m}$ ビットの確率変数 ${\mathbf{K}_B}$ から成り、次の３つの性質を満たすものである。

${\mathbf{K}_A \neq \mathbf{K}_B}$ となる確率がゼロ。
${\mathbf{K}_A}$ が ${2^m}$ 個の値を等確率でとる。
${\mathbf{K}_A}$ とイブの持つ確率変数や量子系とは相関がない。

公開通信路が自由に使えて、さらに ${m}$ ビットの秘密鍵があると、 ${m}$ ビットのメッセージをイブに知られないようにアリスからボブへと送ることができる：

アリスは、メッセージ ${\mathbf{X}}$ と秘密鍵 ${\mathbf{K}_A}$ から、暗号文であるビット列 ${\mathbf{Y} = \mathbf{X} + \mathbf{K}_A}$ を計算し、公開通信路を用いて ${\mathbf{Y}}$ をボブに送る。
ボブは、自分の秘密鍵 ${\mathbf{K}_B}$ を使って、 ${\mathbf{X}^{\ast} = \mathbf{Y} - \mathbf{K}_B}$ を計算する。
常に ${\mathbf{K}_A = \mathbf{K}_B}$ なので、 ${\mathbf{X} = \mathbf{X}^{\ast}}$ となり、メッセージは正確にボブにとどく。
イブの立場から見ると、公開通信路を流れた ${\mathbf{Y}}$ の値はわかるが、 ${\mathbf{K}_A}$ の値は ${2^m}$ 個のどれであるかわからないので、 ${\mathbf{X} = \mathbf{Y} - \mathbf{K}_A}$ の値も ${2^m}$ 個のどれであるかわからない。

逆に、 ${m}$ ビットの秘匿通信路が使えるなら ${m}$ ビットの秘密鍵を作れるので、秘匿通信路と秘密鍵は等価であると言ってよい。

量子鍵配送

公開通信路に加えて、量子状態をやり取りできる量子通信路を用いると、秘密鍵を生成することができる。（量子鍵配送）

量子通信路に対するイブの盗聴行為は、量子系から情報を抜き出す、という意味で測定の一種なので、送信する量子状態をうまく選べば、盗聴行為の痕跡が量子状態の変化として残るようにできる。

量子鍵配送の手順：

量子通信路による通信
- アリスは量子系を適当な状態に準備して、量子通信路を通してボブに届ける。
- 量子通信路を通過する量子系に対しては、イブが盗聴攻撃を行う可能性がある。
- ボブは、ランダムな数値を発生して、それに従って測定法を決め、届いた量子系を測定する。
パラメータ推定
- 同じ手順の繰り返しによって蓄積されたデータの中から、ランダムにいくつかのセットを選ぶ。
- それらのセットについては、公開通信路で全てのデータを公開する。
- アリスとボブは、互いのデータを比べることによって、量子通信路での量子状態の変化を表すパラメータを推定する。
シフト鍵の決定
- 公開通信路での話し合いにより、無意味なセットをふるい落とす。
- 残ったセットについて、セットごとに、アリスとボブそれぞれが自分の持つデータからビット値を決める。
- こうして決めたビット値を並べたビット列を、シフト鍵と呼ぶ。
誤り訂正
- イブの攻撃がなくても、アリスのシフト鍵とボブのシフト鍵は通常一致しない。
- シフト鍵の長さに対して、食い違っているビットの数の割合を、量子ビット誤り率と呼ぶ。
- ビット誤り率の値は、パラメータ推定によって好きな精度で推定できる。
- 公開通信路での通信により誤り訂正を行うことで、アリスとボブで一致した「訂正済み鍵」を作る。
秘匿性増幅
- 公開通信路での話し合いによって、訂正済み鍵をより短いビット列（最終鍵）に変換することで、イブと鍵との間の相関を減らす。

量子鍵配送の安全性とエンタングルメント

量子系 ${A}$ と量子系 ${B}$ のヒルベルト空間 ${\mathcal{H}_A,\,\mathcal{H}_B}$ の次元がともに ${d}$ であり、 ${\{|j\rangle_A\}_{j=0,1,\dots,d-1}}$ と ${\{|j\rangle_B\}_{j=0,1,\dots,d-1}}$ がそれぞれ ${\mathcal{H}_A,\,\mathcal{H}_B}$ の正規直交基底であるとする。

最大エンタングル状態：

$|\Phi^{\mathrm{(mes)}}\rangle_{AB} \equiv \frac{1}{\sqrt{d}}\sum_{j=0}^{d-1}|j\rangle_A|j\rangle_B$

最大エンタングル状態は、 ${AB}$ 間に ${(\log_2 d)}$ ビットの完全な相関を持っている。

すなわち、系 ${A}$ を持つアリスが基底 ${\{|j\rangle_A\}_{j=0,1,\dots,d-1}}$ で直交測定を行い、系 ${B}$ を持つボブも基底 ${\{|j\rangle_B\}_{j=0,1,\dots,d-1}}$ で直交測定すれば、確率 ${1/d}$ で ${0,1,\dots,d-1}$ の値をとる完全に相関した確率変数を得る。