量子暗号

量子暗号（特に量子鍵配送：QKD）は、
従来の数学的な計算の難しさに頼る暗号とは異なり、
物理学の原理（量子力学）によって情報の安全性を保証する
次世代の暗号技術です。

「理論上、絶対に解読できない（盗聴が必ず検知される）」
という強固な安全性が最大の特徴です。

なぜ安全なのか？（量子力学の原理）

量子暗号が安全である理由は、主に
「光の粒（光子）」が持つ以下の性質にあります。

• 観測すると状態が変わる：
  量子の世界では、観測（盗聴）を行うと、
  その対象の状態が変化してしまいます。
  もし第三者が通信を盗み見ようとすると、必ず通信に乱れが生じ、
  送信者と受信者はその痕跡を確実に検知できます。
• 複製が不可能：
  不確定性原理により、
  未知の量子状態を正確に複製することは物理的に不可能です。
  そのため、鍵情報をコピーしてこっそり持ち出すことができません。

基本的な仕組み

量子暗号は、単体ですべての通信を行うのではなく、
「鍵の共有」に特化した技術です。

1. 量子鍵配送 (QKD):
   送信者（アリス）から受信者（ボブ）へ、
   光子を使って暗号用の「鍵」を伝送します。
   盗聴の形跡があれば、その鍵は破棄され、
   安全な鍵が共有されるまでやり取りを繰り返します。
2. ワンタイムパッド:
   こうして安全に共有した「鍵」を使い、
   実際のデータ（メールや書類など）を暗号化して送ります。
   この「ワンタイムパッド」という方式は、鍵が十分に長く、
   一度しか使わない場合に限り、
   数学的にも「絶対に解読不能」であることが証明されています。

従来の暗号との違い

特徴	従来の暗号 (公開鍵暗号など)	量子暗号 (QKD)
安全性の根拠	数学的な計算の複雑さ	物理法則（量子力学）
盗聴への耐性	コンピュータ性能の向上で破られるリスクあり	物理的に盗聴を検知可能
用途	現在のインターネット全般	極めて高い機密性が求められる通信

量子鍵配送（QKD）の具体的な仕組み：
BB84プロトコル

最も代表的なQKDの手法である「BB84プロトコル」を例に、
情報のやり取りを見てみます。

1. 光子の準備:
   送信者（アリス）は、光子の「偏光（光の波の振動方向）」
   という性質を使ってデータを送ります。
   例えば、「縦・横」の基底と、「斜め（45度・135度）」の基底の2種類を
   ランダムに切り替えながら光子を送信します。
2. 受信と測定:
   受信者（ボブ）もまた、どちらの基底で測定するかをランダムに選びます。
   • アリスが選んだ基底とボブが選んだ基底が一致すれば、正しい値（0か1）が確定します。
   • 一致しなければ、結果は完全にランダムになります。
3. 基底の照合（ふるい分け）:
   最後にアリスとボブは、通信路とは別の公開回線で
   「どの基底を使ったか」を教え合います。（値そのものは教えません）
   基底が一致した時のデータだけを残すことで、
   互いに同じビット列（鍵）を共有できます。

実証実験

量子暗号、特に最も基本的な「BB84プロトコル」を解説します。
量子暗号の安全性は、線形代数を用いた量子状態の記述と、
不確定性原理に基づいています。

量子状態の表現（ブラ・ケット記法）

アリスが送る光子の状態を、2つの「基底（ベース）」を用いて表現します。

• 直交基底（$Z$基底）: $\{|0\rangle, |1\rangle\}$
  • $|0\rangle$（縦偏光）、$|1\rangle$（横偏光）
• 斜め基底（$X$基底）: $\{|+\rangle, |-\rangle\}$
  • $|+\rangle = \frac{1}{\sqrt{2}}(|0\rangle + |1\rangle)$
  • $|-\rangle = \frac{1}{\sqrt{2}}(|0\rangle - |1\rangle)$

ここでの重要ポイントは、
$Z$基底と$X$基底は「共役」な関係にあるという点です。
量子力学では、共役な観測量（$Z$と$X$）を同時に確定させることは不可能です。

BB84プロトコルの手順と数理

ステップ1：量子状態の準備

アリスはビット $\{0, 1\}$ と基底 $\{Z, X\}$ をランダムに選び、光子を送信します。

ビット	Z基底で送る状態	X基底で送る状態
0	$	0\rangle$
1	$	1\rangle$

ステップ2：観測（測定）

ボブもランダムに $Z$ または $X$ 基底を選んで測定します。

• 基底が一致した場合: 正しいビットが測定されます（例：$|0\rangle$ を $Z$基底で測れば必ず $0$ になる）。
• 基底が不一致の場合: どちらの結果も確率 $1/2$ で得られます。
  • 例えば、$|0\rangle$ を $X$基底で測定すると、結果は $|+\rangle$ ($0$) または $|-\rangle$ ($1$) になり、アリスの情報は壊れます。

なぜ盗聴（イブ）が検知されるのか

もし途中で盗聴者（イブ）が光子を盗み見ようとしたら、
物理的に以下のことが起きます。

• 状態の強制確定:
  イブが測定した瞬間に、光子の量子状態が変化（収縮）します。
• エラーの発生:
  測定結果を再び送ろうとしても、イブは正しい「基底」を知らないため、
  元の状態とは異なる光子を送る確率が高まります。
• 検知:
  アリスとボブが鍵の一部を照合する際、エラー率が一定値を超えていれば
  「誰かが盗聴した」と即座に判断できます。
  その鍵は直ちに廃棄し、新しい鍵の生成をやり直します。

盗聴者イブがアリスの光子を途中で観測（傍受）する状況を考えます。
イブが $Z$基底で測定して得た結果をボブに再送すると仮定します。

もしアリスが $|+\rangle$ (X基底) を送った場合、イブが $Z$基底で測定すると：

$$|+\rangle = \frac{1}{\sqrt{2}}|0\rangle + \frac{1}{\sqrt{2}}|1\rangle$$

となり、観測後、状態は $|0\rangle$ または $|1\rangle$ に収縮（collapse）します。

この後、ボブが本来の正しい $X$基底で受け取ろうとしても：

• イブが $|0\rangle$ を送った場合、ボブが測定すると
  $|+\rangle$ と $|-\rangle$ が確率 $1/2$ で出ます。
• ボブが期待していたのは $|+\rangle$ のみですが、
  盗聴によって $25\%$ の確率で誤った値（ビットエラー） が混入します。

安全性の評価：量子ビット誤り率（QBER）

アリスとボブは、共有した鍵の一部を公開して照合します。
ここで定義される量子ビット誤り率（QBER: Quantum Bit Error Rate）が重要です。

$$QBER = \frac{N_{error}}{N_{total}}$$

理論的には、盗聴者が存在すれば QBER は最大 $25\%$ になります。
実際には、回線のノイズと盗聴による影響を区別し、
QBER が一定の閾値（通常 11% 程度）を超えた場合、
その鍵は「盗聴されている」と判断して直ちに破棄します。

数学的結論：なぜ破れないのか

従来の暗号は「計算の困難さ（例：素因数分解の計算量 $O(e^{n^{1/3}})$）」
に依存していますが、
量子暗号はヒルベルト空間上の状態の非直交性と観測による射影（投影）演算
という物理法則に依存しています。

測定演算子を $\hat{M}$ とすると、観測後の状態は：

$$|\psi'\rangle = \frac{\hat{M}|\psi\rangle}{\sqrt{\langle\psi|\hat{M}^\dagger\hat{M}|\psi\rangle}}$$

となり、この「観測による不可逆的な変化」が、
数学的な裏技（アルゴリズム）では回避できない
物理的な制約として機能するのです。

量子暗号：
量子コンピュータをつかうとどうなる？

量子コンピュータの台頭は、現代のデジタル社会において
「暗号の歴史的な転換点」となります。

結論から言うと、量子コンピュータの進化は、
現在のインターネットで使われている多くの暗号を
「無力化」する脅威であると同時に、
それを守るための新しい技術（量子暗号など）
を普及させる強力な推進力にもなっています。

現代の暗号が破られる（脅威）

現在、私たちがWebサイト閲覧（HTTPS）、ネットバンキング、
メールの送受信で使っている「公開鍵暗号（RSA暗号など）」は、
巨大な数の素因数分解などの「コンピュータにとって非常に計算が難しい問題」
を安全性の根拠にしています。

しかし、量子コンピュータが特定のアルゴリズム
（ショアのアルゴリズム）を実行すると、
これらの数学的な問題を短時間で解くことが可能になります。

• 影響:
  過去に暗号化して保存しておいたデータや、現在通信しているデータが、
  将来的に量子コンピュータによって解読されるリスクがあります。
• 「今すぐ収集し、後で復号する（Harvest Now, Decrypt Later）」:
  攻撃者は今の暗号化された通信を「今のうちに盗んで保存」しておき、
  将来、高性能な量子コンピュータが完成した時に解読しようと狙っています。

量子暗号（QKD）への影響

「量子暗号（量子鍵配送：QKD）」自体は、
量子コンピュータによって破られることはありません。

• 仕組みの違い:
  量子暗号は、数学的な計算の難しさに頼るのではなく、
  「観測すると状態が変わる」という量子力学の物理法則を
  直接利用しているからです。
• 物理的安全性:
  量子コンピュータがどれほど高性能になっても、
  物理法則を「計算」で回避することはできません。
  そのため、量子暗号は「量子コンピュータ時代における究極の安全な通信手段」
  として期待されています。

社会の対策：「PQC」と「量子暗号」の二段構え

この危機に対して、世界では現在以下の2つのアプローチで備えが進んでいます。

• 耐量子計算機暗号（PQC: Post-Quantum Cryptography）:
  既存のコンピュータ上で動作する新しい数学的な暗号アルゴリズムです。
  量子コンピュータでも解くのが難しい問題（格子の問題など）をベースにしており、
  ソフトウェアのアップデートで導入できるため、
  インターネット全体に普及させやすいのが特徴です。
• 量子暗号（QKD: Quantum Key Distribution）:
  量子力学の力を借りて、鍵を安全に送る技術です。
  専用のハードウェア（光子送受信機など）が必要なため、
  コストはかかりますが、絶対に破られない安全性が保証されます。

まとめ：2026年現在の状況

量子暗号は非常に強力ですが、まだ課題もあります。

現在、量子コンピュータはまだ発展途上であり、
今すぐに明日からインターネットの暗号が全て破られるわけではありません。
しかし、「将来の安全を確保するための移行期」にあることは間違いありません。

• 専用設備が必要:
  現在の光ファイバー網に加え、光子を扱うための
  専用の送信機・受信機が必要です。
• 距離の制限:
  光子は光ファイバー内を進むと減衰するため、
  長距離通信には「トラステッドノード（信頼できる中継点）」
  などの技術が必要になります。

政府や金融機関など、極めて高い秘匿性を必要とする組織は、
既存の対策を強化しつつ、耐量子計算機暗号（PQC）への移行や、
重要な拠点間での量子暗号（QKD）の実証導入を急いでいます。