TL

量子鍵配送(BB84・E91)

盗聴されたら必ずバレる鍵共有の仕組みを、測定が状態を乱す性質からBB84・E91の手順、情報理論的安全性の前提まで最短で腑に落とせます。

応用量子暗号QKDBB84E91量子情報情報理論的安全性最終更新: 2026-06-21
TL;DR要点だけ先に
  • 1.量子鍵配送(QKD)は、盗聴者が状態を測ると必ず擾乱するため誤り率(QBER)として痕跡が残る。安全性は計算量ではなく測定が状態を乱すという物理法則に根ざす。
  • 2.BB84は2つの基底(直交/斜め)をランダムに選んで送受信し、基底が一致したビットだけを鍵に残す(篩い分け)。盗聴は約25%のQBERを生み、しきい値超過で鍵を破棄する。
  • 3.E91はもつれ対を配りCHSH不等式の破れで盗聴を検知する。破れが最大値なら盗聴者の介入は原理的に排除され、鍵ビットの相関は誰にも予測できない。

量子鍵配送が解く問題

量子鍵配送(Quantum Key Distribution, QKD)は、離れた2者(慣例で送信者アリス・受信者ボブ)が共通の秘密鍵を、盗聴を検知しながら共有するためのプロトコルです。鍵そのものを量子で暗号化して送るのではなく、あくまで乱数の鍵ビット列を安全に配る手段であり、得られた鍵はワンタイムパッドなど古典暗号で使います。核心は、古典通信では原理的に不可能な「盗聴されたかどうかを必ず判定できる」性質を、量子力学から引き出す点にあります。以下、この性質の源泉を押さえ、BB84 と E91 という2つの代表プロトコル、そして「情報理論的安全性」という主張の正確な意味と前提を順に見ます。

盗聴検知の源泉:測るとコピーできない・測ると壊れる

QKD の安全性は、量子情報の2つの基本性質に支えられています。

  • 複製不可能定理:任意の未知量子状態を、元を保ったまま完全にコピーする万能装置は存在しません(複製不可能定理)。古典なら盗聴者は回線上のビットをコピーして手元に控え、本物はそのまま流せば痕跡を残せますが、量子状態ではこの「コピーして控える」ができません。
  • 測定による擾乱:盗聴者に残された道は状態を測定して情報を得ることですが、送信基底を知らないまま測ると一定確率で状態を別の状態へ壊します(測定と状態の収縮)。測定は非可逆な射影なので、壊れた状態を元へ戻して再送することはできません。
なぜ古典通信では盗聴を検知できないのか

古典ビットは非破壊で何度でも読めるため、盗聴者は完全なコピーを取っても回線上の信号を一切変えません。したがって「盗聴された痕跡」が物理的に存在せず、送受信者は盗聴の有無を判定できません。QKD が覆すのはまさにこの点で、盗聴=測定=擾乱=誤り率の上昇という因果を、物理法則によって切断不能な形で成立させます。

BB84:基底選択と篩い分け

BB84(Bennett-Brassard 1984)は最初の QKD プロトコルで、2組の測定基底を使います。ここでは1量子ビットの偏光や位相に鍵ビットを載せると考えます。

直交基底 Z(+基底): |0>  → ビット0 ,  |1>  → ビット1
斜め基底 X(×基底): |+>  → ビット0 ,  |->  → ビット1
  ただし |+> = (|0>+|1>)/√2 ,  |-> = (|0>-|1>)/√2

Z 基底と X 基底の状態は互いに共役の関係にあり、片方の基底で確定した状態を他方の基底で測ると結果は完全にランダム(各50%)になります。プロトコルは次の手順で進みます。

1. アリス:各ビットごとに、ビット値(0/1)と基底(Z/X)を independently にランダム選択し送信
2. ボブ  :各受信ビットを、独立にランダム選んだ基底(Z/X)で測定
3. 篩い分け:公開回線で「使った基底」だけを照合(ビット値は伏せる)
4. 基底が一致したビットのみ残し、不一致は破棄  → 生鍵(sifted key)
なぜ基底を照合してもビットは漏れないのか

手順3で公開するのは「Z を使ったか X を使ったか」という基底情報だけで、測定して得たビット値そのものは伏せたままです。基底が一致していれば、アリスの送った値とボブの測った値は(雑音がなければ)必ず一致するので、値を交換せずとも同じ鍵ビットを共有できます。基底が偶然一致する確率は 1/2 なので、送った量子ビットのおよそ半分が生鍵として残ります。

盗聴者イブが介入するとどうなるか。イブも送信基底を知らないので、各ビットを Z か X のどちらかで推測して測定し、結果を再送するしかありません(intercept-resend 攻撃)。イブの基底がアリスと一致する確率は 1/2。不一致だった場合、イブの測定は状態を別基底へ壊し、再送された状態をボブが正しい基底で測っても結果は 50% でしか合いません。

アリスとボブの基底が一致した鍵ビットに対し、イブが混入させる誤り率:
  P(イブの基底がずれる) × P(ずれた状態でボブが誤る)
  = 1/2 × 1/2 = 1/4  = 25%

つまり全数盗聴すれば**QBER(Quantum Bit Error Rate, 量子ビット誤り率)が約25%**まで跳ね上がります。送受信者は生鍵の一部を公開して照合し QBER を推定し、しきい値(実装では雑音を見込んで概ね11%前後)を超えていれば鍵を破棄します。

QBERのしきい値が意味すること

QBER には正規の雑音(光子損失・検出器誤差)による下駄が常に乗っています。したがって「QBER がゼロでないこと」自体は盗聴を意味しません。判定はしきい値との比較で行い、しきい値以下なら残った誤りは後述の誤り訂正で除去し、盗聴者が得たかもしれない部分情報はプライバシー増幅で圧縮します。しきい値を超えた鍵は、安全性が保証できないため丸ごと捨てるのが鉄則です。

生鍵から使える鍵へ:後処理

篩い分け後の生鍵はまだそのまま使えません。雑音由来の食い違いが残り、盗聴者が部分情報を持つ可能性もあるため、2段階の古典後処理を施します。

工程目的やること
情報整合(誤り訂正)アリスとボブの鍵を完全一致させる公開回線でパリティを照合し食い違いを修正(例:Cascade)。漏れた情報量を記録
プライバシー増幅盗聴者の部分情報を無力化ハッシュ(万能ハッシュ族)で鍵を短縮し、イブの知識を指数的に薄める
認証中間者攻撃を防ぐ公開回線のやり取りを事前共有の秘密で認証(QKDは初期の少量の共有秘密を要する)

重要なのは、QKD は**「無から鍵を作る」のではなく、認証済みの公開回線を前提に鍵を安全に拡張する**技術だという点です。中間者攻撃を防ぐため、最初に少量の共有秘密で公開回線を認証する必要があり、この意味で厳密には「鍵配送」というより「鍵成長(key growing)」に近い性質を持ちます。

E91:もつれベースの盗聴検知

E91(Ekert 1991)は発想を変え、もつれ対を使います。信頼できる(あるいは中立の)光源がベル状態(量子もつれとベル状態)、たとえば |Ψ-> = (|01>-|10>)/√2 の対を生成し、片方をアリス、もう片方をボブに配ります。両者は受け取った量子ビットをランダムに選んだ角度の基底で測定します。

アリスの測定角度: a1, a2, a3 から選択
ボブの測定角度  : b1, b2, b3 から選択
  → 一部の角度の組み合わせ(相関が最大の組)は鍵生成に使う
  → 残りの組み合わせは CHSH 相関値 S の推定に使う

E91 の肝は、盗聴検知を QBER ではなく CHSH 不等式の破れで行う点です。もつれが手つかずなら、測定相関はチレルソン限界 |S| = 2√2 ≈ 2.83 に達します。ところが盗聴者が途中で測定すると、その介入はもつれを壊し(局所的な状態へ「実在」を与えてしまい)、相関値 S は古典上限 |S| <= 2 の側へ引き戻されます。

なぜ CHSH の破れが盗聴を排除するのか

盗聴者が各量子ビットを測って値を確定させれば、それは「測定前から答えが決まっている」局所隠れ変数モデルと同じ状況を作り出します。局所隠れ変数の世界では |S| は必ず 2 以下に収まります。したがって |S|2 を超えて観測できたこと自体が、経路上に古典的な中継(=盗聴)が入っていないことの証明になります。E91 では安全性がベルの定理に直結し、盗聴検知が「相関の非局所性」という検証可能な物理量に帰着します。

BB84 と E91 は表面上まったく別に見えますが、盗聴検知の本質は共通です。CHSH の破れは「その相関が事前に決められた値では説明できない=誰も盗み見ていない」ことを保証し、BB84 の低い QBER も同じく「状態が途中で測定されていない」ことを示します。実際、もつれ源のもつれを局所測定に落とすと E91 は BB84 と等価な鍵生成に還元でき、両者は連続した設計思想の上にあります。

観点BB84(準備測定型)E91(もつれ型)
鍵の源アリスが状態を準備して送るもつれ源が対を配り両者が測定
盗聴検知の指標QBER(誤り率のしきい値超過)CHSH相関 S の破れの減少
安全性の根拠複製不可能・測定による擾乱ベルの定理(非局所相関の検証)
乱数の出所アリスが選ぶ乱数測定で初めて確定(事前に存在しない)

情報理論的安全性とその前提

QKD の安全性は、しばしば「情報理論的安全(無条件安全)」と表現されます。これは、盗聴者の計算能力を無限と仮定しても破れない、という主張です。RSA など公開鍵暗号の安全性が「素因数分解が現在の計算機では困難」という計算量的仮定に依存し、ショアのアルゴリズム(ショアの素因数分解アルゴリズム)で原理的に危殆化するのとは、安全性の根拠がまったく異なります。QKD は数学的困難ではなく物理法則に依拠するため、将来どれだけ計算機が進歩しても、また量子コンピュータが実用化しても、鍵配送の安全性は保たれます。

「無条件安全」が仮定している前提

情報理論的安全性は無前提ではありません。少なくとも次を仮定します。(1)量子力学が正しい、(2)公開回線は改竄されうるが認証済みである(さもなくば中間者攻撃で丸ごと成りすませる)、(3)両者の装置(送信器・検出器)が信頼でき仕様どおり動く。とくに(3)は現実の弱点で、光子数分岐攻撃や検出器ブラインディングといったサイドチャネル攻撃は、プロトコルの数学ではなく実装の隙を突きます。これに対しては、デコイ状態法や measurement-device-independent QKD といった対策が発展しています。

試験・面接での頻出ポイント
  • BB84の基底とQBER:Z/X の2基底をランダム選択し基底一致ビットのみ篩い分け。全数 intercept-resend 盗聴で QBER は 1/2×1/2=25% に上昇。
  • 後処理3工程:誤り訂正(Cascade等)→プライバシー増幅(万能ハッシュ)→認証。QKD は初期共有秘密を要する「鍵成長」。
  • E91の検知原理:もつれ対を配り CHSH の破れ(最大 2√2)を監視。破れの減少=盗聴。安全性はベルの定理に帰着。
  • 情報理論的安全性の前提:量子力学の正しさ・公開回線の認証・装置の信頼性。実装の隙(サイドチャネル)は別途対策が必要。

まとめ

量子鍵配送は、「未知の量子状態はコピーできず、測れば壊れる」という物理法則を、盗聴の検知可能性へ翻訳するプロトコルです。BB84 は Z/X の2基底をランダムに選んで送受信し、基底が一致したビットだけを鍵に残す篩い分けを行い、盗聴があれば約25%の QBER として痕跡が現れます。E91 はもつれ対を配って CHSH 不等式の破れを監視し、破れの減少から盗聴を検出します。両者に共通するのは、盗聴の介入が相関や誤り率という測定可能な物理量に必ず現れる点です。得られる安全性は計算量的仮定に依らない情報理論的安全ですが、それは量子力学の正しさ・公開回線の認証・装置の信頼という前提の上に成り立っており、実装のサイドチャネルは別問題として対策が要ります。この「物理法則に根ざす安全性」という設計思想が、ショアのアルゴリズムで危殆化する古典公開鍵暗号との決定的な違いを生みます。

量子コンピューティング Article

量子鍵配送(BB84・E91)を実務で読む

TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。

解決すること

量子暗号

比較で見る軸

難易度: advanced / カテゴリ: 量子コンピューティング / タグ数: 6

導入後に効く点

BB84は2つの基底(直交/斜め)をランダムに選んで送受信し、基底が一致したビットだけを鍵に残す(篩い分け)。盗聴は約25%のQBERを生み、しきい値超過で鍵を破棄する。

先に潰すリスク

用語だけ覚えても、設計・実装・運用でどこに効くかを確認しないと判断を誤る。

数字・仕様の読み方
難易度
advanced
カテゴリ
量子コンピューティング
タグ数
6

判断チェックリスト

  • 自社の用途が「量子暗号 / QKD」に近いか確認する。
  • 強みである「量子鍵配送(QKD)は、盗聴者が状態を測ると必ず擾乱するため誤り率(QBER)として痕跡が残る。安全性は計算量ではなく測定が状態を乱すという物理法則に根ざす。」が本当に評価軸になるか確認する。
  • 注意点の「用語だけ覚えても、設計・実装・運用でどこに効くかを確認しないと判断を誤る。」を運用で吸収できるか確認する。
  • 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
  • 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
  • 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。

次に確認する観点

量子暗号QKDBB84E91量子情報量子暗号QKDBB84