QKD と量子暗号の原理・限界

QKD が解こうとする問題：鍵共有を物理法則で守る

通常の 鍵共有 は、離散対数や素因数分解のような計算問題の困難さに安全性を依拠します。盗聴者は回線上の値をすべて記録でき、十分な計算能力があればいつか鍵を割り出せる――この前提が、後述の harvest-now-decrypt-later を可能にします。

量子鍵配送（QKD：Quantum Key Distribution）は発想が根本的に異なります。鍵を単一光子のような量子状態に載せて送り、安全性を量子力学の物理法則そのものに依拠させます。攻撃者がどれほど計算能力を持っていても、物理法則が「盗聴すれば必ず痕跡が残る」ことを保証する――これが QKD の核心です。QKD が生成するのはあくまで両者で共有する秘密鍵であり、その鍵で実際のデータを暗号化するのは AES などの共通鍵暗号、という役割分担になります。

BB84：偏光と基底のすれ違いで盗聴を暴く

最も基本的な QKD プロトコルが、1984 年に Bennett と Brassard が提案した BB84 です。光子の偏光にビットを符号化しますが、肝は2 種類の互いに非両立な基底を使い分ける点にあります。

直交基底 (+):  水平 |  = 0,   垂直 — = 1
斜め基底 (×):  斜め45° / = 0,  斜め135° \ = 1

送信側 Alice は、各光子ごとにビット値と基底を両方ランダムに選んで送ります。受信側 Bob も、各光子をどちらの基底で測るかをランダムに選びます。ここで量子測定の本質が効きます。送信基底と測定基底が一致した光子は正しく読めるが、食い違った光子の測定結果は完全にランダムになるのです。たとえば直交基底で送った光子を斜め基底で測ると、結果は 50% で 0、50% で 1 になり、もとの値の情報は得られません。

そこで二者は次の手順を踏みます。

1. 量子チャネル: Alice が (ビット, 基底) をランダムに選び光子を送る
2. Bob が各光子をランダムな基底で測定し、結果を記録する
3. 公開チャネル(認証付き): 互いに「どの基底を使ったか」だけを公開
   → ビット値そのものは絶対に明かさない
4. 篩い分け(sifting): 基底が一致した光子のビットだけを残す（約半数）
   → この残ったビット列を「ふるい鍵 (sifted key)」とする

基底が一致したビットだけを残すので、理想的には Alice と Bob のふるい鍵は完全に一致します。基底情報を公開してもビット値は秘匿されたままなので、盗聴者はそこから鍵を復元できません。

ノークローニング定理：盗聴を不可能にする土台

「測れば壊れる」のは分かりますが、Eve がもっと巧妙に光子を複製してオリジナルをそのまま通し、コピーだけを手元に保存できたらどうでしょうか。後で基底情報が公開された時点で正しい基底に測り直せば、痕跡なく盗聴できてしまいます。

これを原理的に封じるのがノークローニング定理（no-cloning theorem）です。定理は「未知の任意の量子状態を完全に複製するユニタリ操作は存在しない」ことを示します。証明の骨子は量子力学の線形性です。仮にあらゆる状態 |ψ> を複製できる装置があると仮定すると、重ね合わせ状態に対して線形性と複製性が両立せず矛盾が生じる――この一点で、汎用の複製機は存在し得ないと結論されます。

ふるい鍵には、盗聴だけでなく装置の不完全さや回線ノイズによる誤りも混じります。そこで二者は誤り率を測り、後処理で安全な鍵へと精製します。

QBER (Quantum Bit Error Rate) = ふるい鍵のうち不一致ビットの割合
  ├─ 一部ビットを公開して突き合わせ、QBER を推定（使ったビットは破棄）
  ├─ QBER が閾値(おおむね約 11% 前後)を超える → 盗聴とみなし鍵を破棄
  └─ 閾値未満 → 後処理へ進む
情報整合 (information reconciliation): 誤り訂正で Alice と Bob のビットを一致させる
プライバシー増幅 (privacy amplification): ハッシュで圧縮し、
  Eve に漏れた可能性のある情報量を無視できるまで削り落とす
→ 最終的に Alice・Bob だけが知る安全な共有鍵が残る

QBER の閾値が安全性の判定線です。Eve がどんな攻撃をしても、得た情報量は QBER と理論的に結びついているため、閾値以下なら漏洩量を見積もって増幅で消し、閾値超なら鍵を捨てる――こうして「盗聴されていないと確認できた分だけ」を鍵として採用します。

物理的な限界：距離・速度・装置依存

QKD の安全性は強力ですが、物理に根ざした厳しい制約を伴います。これが実用範囲を大きく狭めます。

第一に距離です。鍵は単一光子で運ぶため、光ファイバの減衰が致命的に効きます。古典通信なら光増幅器で信号を増幅できますが、QKD では増幅＝測定または複製を意味し、ノークローニング定理によりそれ自体が状態を壊します。よって無中継では約 100〜数百 km が限界で、それを超えるには区間ごとに鍵を測り直す**信頼中継局（trusted node）**を挟むしかありません。だが中継局の内部では鍵が古典的に露出するため、中継局そのものを信頼する必要が生じ、エンドツーエンドの物理保証は途切れます。

第二に鍵生成速度です。距離が伸びるほど光子の到達確率が指数的に下がり、抽出できる安全鍵レートは大幅に低下します。長距離では数十 kbps〜それ以下にとどまることも多く、回線速度に追従して鍵を更新する TLS のような高スループット用途には不向きです。

第三に**実装の隙（サイドチャネル）**です。理論上の BB84 は単一光子を前提としますが、現実のレーザは確率的に複数光子を放つことがあり、Eve が余分な光子だけ抜き取る PNS（光子数分割）攻撃が可能になります。これにはデコイ状態法などの対策がありますが、検出器の応答特性を突く攻撃など、装置レベルの脆弱性が次々報告されてきました。「物理法則で安全」という主張は理想化されたモデルの話であり、現実の機器が理論通りに振る舞う保証はない点に注意が必要です。

PQC との役割分担：何を選ぶべきか

量子計算機の脅威への対抗策として、QKD はしばしば ポスト量子暗号（PQC） と並べて語られますが、両者はまったく層が違う技術です。

実用上の結論は明確です。インターネット規模で RSA・ECC を置き換える主役は PQC です。既存のハードウェアとプロトコルにソフトウェア更新だけで載り、署名による相手認証まで一手にこなし、距離や速度の物理制約も受けません。各国標準化機関も、量子時代の汎用暗号移行は PQC を軸に進める方針を打ち出しています。具体的な移行手順は PQC 移行戦略 を、アルゴリズムを後から差し替える設計思想は 暗号アジリティ を参照してください。

まとめ

QKD の本質は、鍵共有の安全性を計算量ではなく量子力学の物理法則に置く点にあります。BB84 は偏光を 2 つの非両立な基底でランダムに符号化し、基底が一致したビットだけを残すことで、盗聴者の介入を QBER の上昇として必ず暴き出します。その不可侵性を支えるのがノークローニング定理で、未知の量子状態を複製できないことが、harvest-now-decrypt-later を原理的に封じます。

一方で QKD は、減衰による距離・速度の物理限界、信頼中継局や専用光ファイバへの依存、そして相手認証は自前で解決できないという重い制約を負います。実装の隙を突くサイドチャネル攻撃も現実の脅威です。したがって、量子時代の汎用的な答えはソフトウェアで完結する PQC が担い、QKD はコストに見合う限定区間の機密性を物理で底上げする補完技術と位置づけるのが妥当です。土台となる鍵共有の考え方は Diffie-Hellman、移行の実務は PQC 移行戦略 と併せて押さえてください。