量子鍵配送(QKD)とは?BB84の仕組みと限界
量子鍵配送(QKD)とは?BB84の仕組みと限界
量子鍵配送(QKD)は、メッセージ本文そのものを量子で送る技術ではなく、暗号鍵だけを量子チャネルと認証済み古典チャネルの組み合わせで共有する仕組みです。本文は従来の暗号で送り、鍵だけを量子で“作る”と捉えると、全体像がぐっと見えます。
量子鍵配送(QKD)は、メッセージ本文そのものを量子で送る技術ではなく、暗号鍵だけを量子チャネルと認証済み古典チャネルの組み合わせで共有する仕組みです。
本文は従来の暗号で送り、鍵だけを量子で“作る”と捉えると、全体像がぐっと見えます。
この記事は、QKDの仕組みを数式だけでなく手触りで理解したい人に向けて、1984年のBB84を紙とペンで追える8ビットの最小例から解きほぐします(後半の「BB84を小さな例で追う」節を参照)。
盗聴が入ると誤りが約25%の水準で増える直感をつかみつつ、理論上の強さと実装上の弱点は区別して説明します。
あわせて認証の必要性、距離・鍵率・コスト・実装攻撃が実運用の壁になる点、そしてQKDとPQCとの違いやBB84を小さな例で追うまで見渡し、都市間ファイバー、MDI‑QKDやTF‑QKD、衛星実証までの最新動向を整理します。
量子鍵配送(QKD)とは何か
QKDと量子暗号の関係
量子鍵配送(Quantum Key Distribution, QKD)は、暗号の世界でいう「鍵をどう共有するか」を担う技術です。
ここでまず切り分けたいのは、QKDはメッセージ本文そのものを送る方式ではないという点です。
量子でやっているのは本文通信ではなく、暗号に使う共通鍵の共有です。
日本語では量子暗号とQKDがほぼ同義のように使われることがありますが、厳密には同じではありません。
量子暗号は、量子力学の性質を安全性に取り込む暗号技術全体を指す広い言葉で、QKDはその中でももっとも代表的な一手法です。
たとえば実装上の弱点を減らすMDI-QKD、理論上さらに強い仮定を目指すDI-QKDのように、QKDの中にも方式の違いがあります。
つまり、QKDは量子暗号の中心的テーマではありますが、量子暗号そのもの全部を言い換えた言葉ではありません。
ここが暗号の美しいところなのですが、QKDの価値は「量子で何でも守る」ことにはありません。
守りたい通信のうち、いちばん難しい「安全な鍵共有」に量子を使い、その先の暗号化や認証は既存の暗号技術と組み合わせる。
この役割分担にあります。
筆者はこの構図を説明するとき、「鍵を先に安全に作れれば、本文は既存の安全なトンネルで送ってよい」と考えると腑に落ちると感じています。
金庫の中身を瞬間移動させる話ではなく、金庫の鍵だけを、痕跡を残さずに盗み見されにくい方法で共有しようという発想です。
QKDの代表例としてよく挙がるのが、1984年に提案されたBB84です。
送信側が量子状態を準備し、受信側がそれを測定して鍵候補を作る方式で、現在の解説や実証の出発点になっています。
もっとも、QKDの本質は「BB84という単独の手順」ではなく、量子状態の観測が系を乱すという性質を利用して、盗聴の痕跡を統計的に見つけられる点にあります。
「盗聴できない」と言い切るのではなく、適切な前提のもとで、盗聴が入れば誤り率の上昇として異常を検知できる、と捉えるのが正確です。
鍵配送と本文通信の分離
QKDを理解するときにいちばん効く整理は、鍵配送と本文通信を分けて考えることです。
QKDが作るのは共有鍵であり、実際のデータ通信はそのあとに別の暗号方式で行います。
この分離を見落とすと、「量子通信なのにメール本文や動画をそのまま量子で送るのか」という誤解が生まれます。
実運用では、QKDで得た鍵をOne-time padに使う構成と、AES-256のような共通鍵暗号のセッション鍵や更新鍵に使う構成があります。
前者は鍵長が平文長と同じだけ必要なので、理論的には美しい一方で鍵需要が大きい。
後者は短い鍵で大量のデータを守れるため、現実のネットワークではこちらの発想がなじみます。
つまり、QKDは暗号化アルゴリズムの代用品ではなく、暗号化に入る前段で「質のよい共有鍵をどう確保するか」を担当しているわけです。
この役割分担は、既存インフラとの接続を考えると一気に具体的になります。
たとえば拠点間でQKDを使って鍵を共有し、その鍵をAES-256の更新に回すなら、本文データは従来の光回線やIPネットワークを流せます。
鍵だけを量子側で育てておき、本文は既存のトンネルを通す。
筆者にはこの構図が、QKDを研究室の話ではなくネットワーク設計の話として理解する近道でした。
ℹ️ Note
QKDが配るのは「暗号に使う材料」であって、「通信本文そのもの」ではありません。鍵生成の層とデータ暗号化の層を分けると、QKDの導入位置が見えてきます。
もちろん、この分離は安全性の切り分けにもつながります。
QKD側で目指しているのは鍵共有の安全性であり、本文保護の成否は、その先で使う暗号モード、鍵管理、認証、運用まで含めた全体設計で決まります。
量子で鍵を作ったから他の層は考えなくてよい、という話にはなりません。
暗号は単体技術の強さだけで閉じず、どの層に何を任せるかで実力が決まります。
2つのチャネル
QKDは、量子チャネルだけで完結する技術ではありません。
量子チャネルと認証済み古典チャネルの2つを併用して初めて成立します。
ここは初学者が見落としやすいところですが、実務ではむしろ中核です。
量子チャネルは、光子などの量子状態を送り、鍵の元になる生データを作るための経路です。
BB84のような方式では、この量子チャネル上で偏光や位相などに情報を載せ、受信側が測定してビット列の候補を得ます。
盗聴者が途中で観測すると量子状態が乱れ、その影響が誤り率に現れるため、両端はサンプルを照合して異常の有無を見ます。
しかし、それだけでは鍵になりません。
どの基底で送ったか・どこを採用するか・誤り訂正をどう進めるか・どれだけ圧縮して最終鍵にするか、といった後処理は古典通信でやり取りします。
このためQKDでは、認証された古典チャネルが必須です。
もしこの古典チャネルに認証がなければ、攻撃者が送受信者の間に入り込み、それぞれと別々に通信する中間者攻撃を防げません。
QKDの説明で「量子だから安全」と短く言ってしまうと、この肝心な条件が落ちてしまいます。
この2チャネル構成は、QKDがネットワーク技術でもあることを示しています。
量子チャネルは鍵の材料を運び、古典チャネルはその材料をふるいにかけて最終鍵へ仕上げる制御面を担う、という分業です。
実際のシステムでは、量子側で得たビット列に対して誤り訂正やプライバシー増幅を行い、鍵管理システムへ渡してからアプリケーションで使います。
見た目は「量子通信」でも、中身は物理層・制御層・暗号利用層が噛み合った多層構造です。
このため、QKDをひとことで説明するなら、「量子チャネルで盗聴の痕跡を見ながら鍵材料を共有し、認証済み古典チャネルでそれを秘密鍵に仕上げる技術」と言うのがいちばん実態に近いと感じます。
本文通信まで含めた万能の仕組みとして見るより、鍵配送専用の層を量子で強化する技術として捉えたほうが、後に出てくるBB84の手順や実用上の制約もすっと入ってきます。
なぜ盗聴が見つかるのか――量子力学の2つの要点
観測は状態を乱す
QKDの核心は、見ればわかるではなく、見ようとした時点で痕跡が残るところにあります。
量子力学では、観測が対象に触れずに済むとは限りません。
この性質は一般に measurement-disturbance principle と呼ばれます。
日本語では「観測によるかく乱」と言うと筋が通ります。
直感に反するかもしれませんが、量子状態は、紙に書かれた文字のように「ただ読めば済む情報」ではありません。
たとえば光子の偏光を使って情報を載せるとき、受信側はどの向きの偏光板で測るかを選びます。
この選び方が送信側の準備と合っていれば、きれいに情報が読めます。
合っていなければ、結果は崩れます。
QKDではこの「合う・合わない」を意図的に混ぜることで、盗聴者が途中で測ったときに誤りを生ませます。
筆者はこの感覚を説明するとき、サングラスを二枚重ねる場面を思い浮かべます。
偏光フィルタの向きをそろえると向こうが見え、角度をずらすと急に暗くなる、あの感覚です。
送信側と受信側の“ものさし”がそろっていれば情報は通り、ずれていれば通り方が変わる。
QKDの基底が合う・合わないという話は、この体感に近いものがあります。
もちろん実際の量子測定はもっと繊細ですが、向きの合ったフィルタでは情報が素直に抜け、違う向きでは結果が揺らぐ、というイメージはつかみやすいはずです。
ここで盗聴者を入れると何が起きるか。
盗聴者は送られてくる光子を知るために、どれかの向きで測るしかありません。
しかし、その向きが正しいとは限りません。
間違った向きで測った瞬間、元の状態はその測定結果に引きずられて変わります。
受信側に届くころには、送信側が最初に入れた情報と少し食い違うわけです。
薄氷の上に作られた彫刻を、形を確かめようとして指で触れたら欠けてしまう。
観測によるかく乱は、そのくらい「見ようとする行為そのものが対象を変える」現象として捉えると印象に残ります。
この因果が、QKDでいう「盗聴の痕跡=誤り率上昇」につながります。
送信側と受信側は、あとで一部のビットを照合して、どれくらい食い違いがあるかを見ます。
もし途中で誰かが測っては送り直すような盗聴をしていれば、統計的に誤りが増えます。
前の節で触れた約25%という数字は、その典型例の直感を与えるものです。
つまりQKDは、盗聴者を魔法のように消す技術ではなく、盗聴が入ると量子状態の乱れとして跡が残る仕組みなのです。
複製不可能定理
もう一つの柱が、no-cloning theorem、日本語でいう「量子複製不可能定理」です。
これは、未知の量子状態を完璧にコピーする万能機械は作れないという原理です。
古典情報なら、ファイルを複製する、画像をコピーする、メモを写真に撮る、といった操作は当たり前です。
0と1の列なら、そっくりそのまま増やせます。
ところが量子状態では、その感覚が通用しません。
この違いはQKDの安全性の土台です。
もし盗聴者が、途中の光子を一度受け取って、原本を壊さず完璧なコピーを作れたとします。
そうすると、1つは受信側へそのまま流し、もう1つを自分で好きなタイミングで調べればよいので、痕跡を残さず盗み見できてしまいます。
QKDが成立するのは、その“都合のよいコピー機”が量子力学に反しているからです。
ここも直感で言い換えると、「まだ正体のわからない一回限りの揺らぎ」を、見ないまま丸ごと複写することはできない、ということです。
紙の書類ならコピー機に通せますが、量子状態はコピー機に入れた瞬間に読み取りが必要になり、その読み取りが状態を固定したり乱したりします。
未知のまま完全複製する道が閉ざされているので、盗聴者は結局、どこかで測るしかない。
すると前節の観測によるかく乱が表に出ます。
ℹ️ Note
QKDの肝は、「盗聴者が見られない」よりも「見ようとした痕跡を隠し切れない」にあります。複製不可能定理があるため、あとで安全に読むための控えを作っておく戦略が使えません。
この2つの原理は別々に見えて、実際にはきれいにつながっています。
観測すると状態が乱れる。
しかも、乱す前の状態を丸ごと複製して保険をかけることもできない。
だから盗聴者は、情報を取ろうとすると誤りを混ぜやすくなります。
QKDはこの物理法則を利用して、通信の中に「見られたかもしれない」を統計として浮かび上がらせています。
光子を使う理由
では、なぜその担い手として光子がよく使われるのか。
理由は単純で、情報を載せる自由度が扱いやすく、遠くまで運びやすいからです。
偏光、位相、時間ビンなど、光子にはビットを対応づけられる性質がいくつもあります。
BB84の入門で偏光がよく登場するのは、縦横や斜めといった向きのイメージがつかみやすく、観測による違いも説明しやすいからです。
加えて、光は既存の光ファイバー通信と相性がよく、室温環境でも長距離伝送の土台を作れます。
電子や原子をそのまま街中のネットワークで運ぶ構成に比べると、通信インフラへの接続点が明確です。
都市間ファイバーでの実証が先に進んだのも、この現実的な利点が大きいといえます。
衛星QKDでも結局は光を飛ばしており、地上でも宇宙でも「量子状態を遠くへ運ぶ媒体」として光子が中心にいるわけです。
もちろん、光子なら何でも安全になるという話ではありません。
ここで言いたいのは、QKDの原理を実験室の中だけでなく通信路に乗せるうえで、光子がもっとも自然な選択肢だったということです。
偏光板で向きを選ぶ、干渉で位相差を見る、単一光子レベルを検出する。
こうした操作がそのままQKDの説明と装置構成に結びつきます。
読者の目線でつなぎ直すと、QKDの見取り図はこうなります。
光子に情報を載せて送る。
盗聴者は未知の量子状態を完璧にコピーできない。
ならば途中で知ろうとするには測るしかなく、その測定が状態を乱す。
結果として受信側との照合で誤り率が上がり、盗聴の痕跡が見える。
この一本の因果が見えると、量子鍵配送が「量子だからすごい」という曖昧な話ではなく、光子・観測・複製不能が連動して成立する鍵共有だと腑に落ちます。
BB84を小さな例で追う
最小例(8ビット)を手で追う
ここではBB84を、8ビットだけの最小例で追ってみます。
登場人物は送信者のAlice、受信者のBob、そして途中で盗み見を試みるかもしれないEveです。
AliceとBobは、各光子をどの基底で扱うかを毎回ランダムに選びます。
基底は2種類で、ここでは + 基底 と × 基底 を使います。
偏光でいえば、+ 基底は縦横、× 基底は斜め方向です。
ビットとの対応は、たとえば「+ 基底では縦=0、横=1」「× 基底では /=0、\=1」と置けば十分です。
大事なのは、同じビット値でも基底が違うと別の量子状態になることです。
紙とペンで体験すると、この仕組みが一気に腹落ちします。
筆者は「送信ビット・送信基底・受信基底・測定結果」の4列表を先に作って、1列ずつ埋めていく形をよく使います。
表の幅は小さいのに、量子鍵配送の肝である「基底が合った回だけ意味のある値が残る」という構図が、そのまま手元に現れるからです。
まずは盗聴なしの例です。Aliceが8個の乱数ビットと8個の乱数基底を選び、Bobも独立に8個の受信基底を選んだとします。
| 位置 | Aliceの送信ビット | Aliceの送信基底 | Bobの受信基底 | Bobの測定結果 |
|---|---|---|---|---|
| 1 | 0 | + | + | 0 |
| 2 | 1 | × | + | 0または1 |
| 3 | 1 | + | + | 1 |
| 4 | 0 | × | × | 0 |
| 5 | 1 | + | × | 0または1 |
| 6 | 0 | + | + | 0 |
| 7 | 1 | × | × | 1 |
| 8 | 0 | × | + | 0または1 |
手順を番号で並べると、BB84の流れは次のようになります。
- Aliceが乱数ビット列と乱数基底列を作り、その基底で各ビットを光子に符号化して送信します。
- Bobは各光子ごとにランダムな基底を選んで測定します。
- 量子状態の値そのものは公開せず、使った基底だけを公開して照合します。
- 基底が一致した位置だけを残し、その一部をサンプルとして公開して誤り率を見積もります。
筆者はこの段階で、同じ乱数列を使って「盗聴なし」と「盗聴あり」の2通りの表を横に並べると、QBERの差が目で追えると感じています。
式だけだと抽象的に見える話が、4列表を2枚置いただけで「どこで乱れが入ったのか」に変わります。
ふるい分けと誤り率(QBER)確認
先ほどの8ビット表から、AliceとBobは基底だけを公開して照合します。
値そのものはまだ言いません。
照合の結果、基底が一致した位置は 1, 3, 4, 6, 7 でした。
したがって、この5か所だけを残して、ほかは捨てます。
これが ふるい分け です。
ふるい分け後の列だけを書き出すと、こうなります。
| 残した位置 | Aliceのビット | Bobのビット |
|---|---|---|
| 1 | 0 | 0 |
| 3 | 1 | 1 |
| 4 | 0 | 0 |
| 6 | 0 | 0 |
| 7 | 1 | 1 |
この時点では両者の列は一致しています。
したがって、この小さな例では誤り率、つまり QBER(Quantum Bit Error Rate)は 0 です。
QBER は、基底一致後に比べたビットのうち何割が食い違ったかを示す指標です。
QBER =(誤っているビット数)/(比較したビット総数)
となります。
ただし、鍵候補の全ビットをそのまま公開してしまうと、せっかく共有した秘密が消えてしまいます。
そこで実際には、ふるい分け後のビット列の一部だけをサンプルとして公開し、その一致・不一致から全体の誤り率を推定します。
たとえば上の5ビットから2ビットだけを検査用に出して、両者が一致していれば「いま見えている範囲では乱れが小さい」と判断するわけです。
公開に使ったサンプル位置は鍵から除外され、非公開の残りが次の処理へ進みます。
ℹ️ Note
現実の回線では、盗聴がなくても雑音や損失で誤りは出ます。そのため運用では、QBERがあるしきい値より低ければ情報調整とプライバシー増幅へ進み、上回ればそのセッションの鍵生成を中止する、という考え方になります。
この「少しだけ開示して全体を推定する」という進め方は、暗号として見ると気持ちのよい設計です。
全部見せたら秘密が消える、まったく見せなければ盗聴の有無がわからない。
その中間で統計的な検査を入れることで、秘密性と検知性の折り合いをつけています。
盗聴で約25%誤りが生まれる直感
ではEveが途中で各光子を奪い、自分で測ってからBobへ送り直すとどうなるでしょうか。
典型例が intercept-resend、つまり「途中で受け取って測り、測定結果に従って再送する」攻撃です。
EveもAliceの基底を知らないので、毎回 + と × のどちらかをランダムに選ぶしかありません。
直感は2段で追うとつかめます。
まず、Eveが正しい基底を選べる確率は半分です。
ここで当たれば、測定しても元の状態をその基底で読めるので、大きな問題は起きません。
厄介なのは、残り半分の「基底を外した場合」です。
外した基底で測ると、元の量子状態はEveが得たランダムな結果に応じて別の状態へ潰れます。
その状態をBobへ送り直すので、BobがあとでAliceと同じ基底で測ったとしても、元のビットと一致するとは限りません。
ここで、AliceとBobの基底が一致している位置だけを見ると、誤りが入る流れはこう整理できます。
- Eveが間違った基底を選ぶ確率が 50%
- そのせいでBobの結果が元のビットと食い違う確率が 50%
したがって、食い違いが入る確率はゼロになります。 50% × 50% = 約25% となります。
この25%は、BB84の説明でよく出てくる数字です。
ポイントは、「毎回必ず壊れる」ではなく、ランダム基底での盗聴を続けると、基底一致後の列に統計的な誤りが4本に1本ほど混ざるということです。
だから1ビットだけ見ても盗聴の有無は断定できませんが、十分な本数を集めるとQBERの上昇として見えてきます。
8ビットの最小例でも、その雰囲気は再現できます。
たとえば先ほどと同じAliceの送信列に対して、Eveが途中でランダム基底測定を入れた結果、ふるい分け後の5ビットが次のようになったとします。
| 残した位置 | Aliceのビット | Bobのビット(Eveあり) |
|---|---|---|
| 1 | 0 | 0 |
| 3 | 1 | 1 |
| 4 | 0 | 1 |
| 6 | 0 | 0 |
| 7 | 1 | 0 |
この場合、5ビット中2ビットが不一致なので、QBERは 2/5 です。
8ビット程度ではばらつきが大きいので、毎回ちょうど25%にはなりません。
それでも、「盗聴なしでは一致していた列に、盗聴ありでは目に見える食い違いが入る」という感触は十分つかめます。
筆者が紙の表を2枚並べるのを好むのはこのためで、同じ乱数列でもEveを一人入れただけで、ふるい分け後の景色が変わります。
ここで見えてくるのは、QKDが「盗聴を禁止する」技術ではなく、「盗聴すると統計に跡が出る」技術だという点です。
現実の系では雑音や損失も重なるので、QBERが0でなければ即盗聴とは言えません。
それでも、平常時の誤り水準から外れる上昇が観測されれば、そのセッションを安全な鍵に育ててよいかを判断できます。
BB84を手で追う価値は、まさにこの判断の根拠が、量子状態のふるまいから自然に出てくるところにあります。
実際のQKDでは何が行われるか
QKDが教科書の図だけで終わらないのは、基底合わせのあとにまだ複数の処理が残っているからです。
実システムは、光子を流す量子チャネルと、結果を照合して後処理を進める古典チャネルをセットで使います。
量子チャネルで得られるのは、あくまで「一致しそうだが少し食い違いもあり、しかも一部は盗聴者に漏れているかもしれない鍵候補」です。
そこから実用に耐える秘密鍵へ育てる工程が、情報一致、秘匿性増幅、そして認証付きの古典通信です。
情報一致
まず必要になるのが、AliceとBobのビット列を本当に同じものへそろえる処理です。
これを情報一致、あるいは情報理論的な文脈では情報調整と呼びます。
前の節で見たように、現実のQKDでは雑音や損失の影響でQBERがゼロとは限りません。
そのままでは両者の鍵が食い違うので、古典チャネル上で誤り訂正のための情報をやり取りします。
代表的な枠組みとしては、Cascadeのような対話型プロトコルと、LDPC符号のような一方向型の方式があります。
Cascadeはビット列をブロックに分け、各ブロックのパリティを照合し、不一致のブロックを二分探索のように掘って誤り位置を見つけます。
動きが見えやすいので原理理解には向いていますが、複数ラウンドの往復通信が必要です。
対してLDPCはシンドロームを送ってまとめて復号する発想で、古典チャネルの往復回数を抑えやすく、高レート系で使いやすい構成です。
誤り訂正で交換する情報量が増えるほど、最終鍵長が減るトレードオフが生じる点に注意が必要です。
そのため実用QKDでは、「どれだけ誤りを直せたか」だけでなく、「そのために何ビット漏らしたと見積もるか」を鍵率計算にきちんと入れます。
量子チャネルだけ見ていては足りず、古典チャネルで交換した訂正情報まで含めて初めて、次の秘匿性増幅に渡せる材料が決まります。
秘匿性増幅
情報一致が終わっても、そのビット列をそのまま最終鍵にはしません。
理由は明快で、Eveが量子チャネルの観測や古典チャネル上の訂正情報から、鍵について部分的な知識を持っている可能性があるからです。
そこで行うのが秘匿性増幅です。
英語では privacy amplification と呼ばれ、弱い秘密を短く圧縮して、Eveにとってほぼ無意味な鍵へ変換します。
典型的には、普遍ハッシュ族を使ったハッシュベースの圧縮を行います。
QKDでよく登場するのがToeplitz行列ハッシュで、長い共有ビット列にランダムに選んだハッシュをかけ、より短い出力へ落とし込みます。
直感的には、「Eveが少し知っている長い列」から、「Eveがほとんど何も言えない短い列」を作る操作です。
ここで短くなるのは損ではなく、安全性のために必要な圧縮です。
この縮め方には、情報一致でどれだけ情報を漏らしたか、QBERからどれくらいEveの知識を上限評価するか、といった見積もりが入ります。
したがって最終鍵長は、最初に残ったビット数から検査用に捨てた分、誤り訂正で漏れた分、安全余裕として削る分を差し引いた結果になります。
QKDのパンフレットだけ眺めていると「光子を送れば鍵ができる」と見えますが、実務の感覚では、後処理で何ビットまで削られるかを見て初めて、そのセッションの価値がわかります。
この段階を図にするとき、筆者はよく「太いが少し漏れているパイプ」を「細いがきれいなパイプ」に絞る絵を考えます。
長さを犠牲にして秘密度を上げる、というQKD後処理の本質が一枚で伝わるからです。
認証済み古典チャネルと鍵管理
見落とされがちですが、QKDで使う古典チャネルは認証済みでなければなりません。
単にインターネット越しに会話できれば十分、という話ではありません。
もし認証がなければ、EveがAliceのふりをしてBobと話し、同時にBobのふりをしてAliceとも話す中間者攻撃が成立します。
そうなると量子チャネルで盗聴の痕跡を残させる前に、相手そのものをすり替えられてしまいます。
この認証には、事前共有鍵を使う方式が必要です。
情報理論的な筋を通すならWegman–Carter型のメッセージ認証が典型で、共有済みの短い鍵からMACタグを作り、古典通信の各メッセージが本物かを検証します。
運用上はHMAC-SHA256のような計算量的MACを使う構成もありますが、QKDの「情報理論的安全」を前面に出すなら、認証側も同じ思想でそろえるのが自然です。
このとき面白いのは、QKDが「鍵を増やす装置」である前に、「最初の認証用に少量の鍵を持っていること」を要求する点です。
認証タグを付けるたびに事前鍵ビットを消費し、その後にQKDで新しい鍵を得て、その一部を次回の認証に回す。
筆者はこの循環を説明するとき、バケツの水を少し使ってポンプを起動し、回り始めたら新しい水が補充される絵を描く計画をよく立てます。
QKDは無から鍵を生む魔法ではなく、少量の初期秘密を足場にして鍵供給を回し続ける仕組みとして捉えると実像に近づきます。
実システムでは、生成された鍵はそのままアプリケーションへ手渡しされるのではなく、Q‑KMSのような鍵管理システムと連携して扱われます。
QKD装置が量子チャネルと認証済み古典チャネルで鍵を生成し、その鍵をKMSが受け取り、用途ごとに分離し、消費履歴や有効期限を管理しながら上位アプリケーションへ配布します。
利用形態としては、ワンタイムパッドに直接回す構成も理論上はありますが、実務ではAES‑256のセッション鍵や更新鍵として使う形のほうが収まりがよい場面が多くなります。
つまり、実際のQKDは「量子通信の実験装置」単体では完結しません。
量子チャネルで鍵候補を作り、認証済み古典チャネルで後処理を進め、KMSで鍵を配り、そこから既存の暗号システムへ接続されて初めて、拠点間セキュリティ基盤として機能します。
教科書のBB84は入口ですが、現場で動いているQKDは、その後ろに厚いプロトコル層と運用層を抱えています。
QKDの安全性と限界
理論安全性の条件
QKDが「盗聴不可能」と語られるとき、その中身は情報理論的安全性です。
ここが暗号の美しいところなのですが、この言葉は「どんな状況でも無条件に安全」という意味ではありません。
成立範囲ははっきりしていて、正しいプロトコルで動作し、理想化された安全性証明の前提を満たすデバイスを使い、しかも古典通信が認証済みであることが条件です。
その条件の内側で、盗聴者の計算能力に依存しない安全性を目指せる、というのがQKDの射程です。
言い換えると、QKDが守っているのは「量子状態から鍵を作る過程の秘匿性」であって、システム全体のあらゆる穴を自動で塞ぐわけではありません。
筆者はこの点を説明するとき、理論上完璧な金庫でも、鍵穴が甘ければ破られる、という比喩をよく使います。
金庫本体の鋼材がどれだけ強くても、実際に触れられる部分の作りが甘ければ意味がないからです。
QKDでも同じで、安全性証明は金庫本体に相当し、光源・検出器・制御回路・認証手順といった実装は鍵穴に相当します。
古典チャネルの認証は特に重要な条件です。
認証がなければ、攻撃者はAliceとBobの間に割り込み、両者それぞれと別々にQKDセッションを張る中間者攻撃を成立させられます。
このとき量子チャネルに「盗聴の痕跡が出る」性質だけでは不十分です。
前の節で触れた認証の話はまさにこの問題に当たり、QKD単独で通信の信頼を完結させるわけではないという認識が欠かせません。
ℹ️ Note
QKDの情報理論的安全性は、量子力学だけで自動的に手に入る称号ではありません。認証済み古典通信まで含めて、はじめて安全性証明の土台が揃います。
実装攻撃とMDI-QKD
現実のQKDで難しいのは、攻撃者が教科書どおりに量子ビットを盗み見るとは限らないことです。
実際には、デバイスの癖や制御信号のすき間を突く実装攻撃が問題になります。
代表例として知られるのが検出器ブラインディングで、単一光子を検出するはずの受信器を強い光で別の動作モードへ追い込み、攻撃者の都合よくクリックを起こさせる手口です。
もう一つ典型なのがトロイの木馬攻撃で、装置内部の設定情報を探るために外部から光を打ち込み、その反射や漏れを拾って送信側・受信側の内部状態を推定します。
この種の攻撃が示したのは、BB84の安全性証明が間違っていたというより、証明が仮定していたデバイス像と実機のふるまいが一致していなかったという事実です。
理論と実装の距離が、暗号の現場ではそのまま攻撃面になります。
そこで意義を持つのがMDI-QKDです。
MDIは Measurement-Device-Independent の略で、日本語では「測定器独立型」と呼ばれます。
発想は明快で、最も攻撃されやすかった測定器を、そもそも信用しなくてよい構成に置き換えることです。
AliceとBobはそれぞれ量子状態を中央ノードへ送り、中央側はベル測定のような中継役を担います。
この中央測定装置は攻撃者に支配されていてもよい、という立て付けで安全性を組み立てるため、検出器サイドチャネルに対する耐性がぐっと上がります。
もちろん、MDI-QKDは万能薬ではありません。
測定器への信頼を緩められる一方で、系の同期や干渉条件の維持が難しくなり、構成も複雑になります。
ただ、「測定器が怪しいなら、その測定器を信頼の前提から外してしまう」という設計思想は、QKDが理論だけでなく実装の痛点に向き合って進化してきたことをよく表しています。
さらに先にはDI-QKDのようにデバイス仮定をいっそう弱める方向もありますが、現時点で実用に近い落としどころとして語りやすいのはMDI-QKDです。
距離・鍵率・コストの制約
安全性に注目が集まりがちですが、導入を左右するのは距離・鍵生成率・装置コストです。
量子リピータなしの地上ファイバーQKDでは、一般的な目安として実用距離は O(100 km)(例えば100〜150km程度とされることが多い)とされますが、方式や実装条件で幅があります。
地図で考えると、この距離感は都市内や近隣都市圏の専用線を結ぶイメージに近く、同一都市圏のデータセンター間や重要拠点間の用途に向きます。
この制約は、単に「届くか届かないか」の二択ではありません。
光ファイバーでは距離が伸びるほど損失が積み上がるため、鍵生成率は距離とともに急減します。
短距離では実用的なレートが出ても、延伸すると検出イベントが減り、誤り訂正と秘匿性増幅で削られるぶんを差し引いた最終鍵が細っていきます。
研究レベルではTF-QKDのように長距離化を狙う方式もありますが、現時点で一般的な導入像を描くなら、QKDは広域インターネット全体の置き換えではなく、限られた拠点間リンクへ載せる技術として見るほうが実態に合います。
安全性に注目が集まりがちですが、導入を左右するのは距離・鍵生成率・装置コストです。
量子リピータがない地上ファイバーQKDの実用距離については一般的な目安として O(100 km)(例: 100〜150 km 程度)と示されることが多い一方で、方式や実装条件、許容する誤り率や必要な鍵生成率によって実効距離は大きく変わります(出典例: AWS Quantum Blog, ITU‑T Y.3800)。
このため、目安は「参考値」として扱い、個別の評価では測定条件や鍵率まで確認する必要があります。
装置面の重さも見逃せません。
QKDで中核になる単一光子検出器は高価で、InGaAs APD モジュールなどの参考目安は $5k–$20k 程度とされることがあります(出典例: NIST の報告やベンダ資料)。
ただし、高性能な SNSPD を含むシステム一式(冷却器・周辺機器を含む)では、これより高額になることが多く、導入コストは装置構成に強く依存します。
このため、QKDは万能の置換先というより、長期秘匿性を優先する少数の高機密リンクにコストを集中する技術として理解したほうが誤解が少なくなります。
安全性の看板だけを見ると未来技術に見えますが、実際の導入判断では、どの距離で、どれだけの鍵率が必要で、そのためにどこまで設備を積めるか、という地に足のついた設計が先に立ちます。
このため、QKDは万能の置換先というより、長期秘匿性を優先する少数の高機密リンクにコストを集中する技術として理解したほうが誤解が少なくなります。
単体の InGaAs APD モジュールは参考目安で $5k–$20k 程度とされることがありますが、高性能な SNSPD を含むシステム一式(冷却器・周辺機器を含む)はさらに高額になり得ます(出典例: NIST 報告、ベンダ資料)。
PQCとの違いと、どちらを使うべきか
根拠の違い
QKDとPQCは、どちらも「量子時代に備える技術」と一括りにされがちですが、守りの土台はまったく別物です。
ここが暗号の美しいところなのですが、同じ“量子安全”という言葉でも、何を信じて安全だと言っているのかが異なります。
QKDの根拠は物理法則です。
量子状態は観測すると乱れ、しかも未知の量子状態はそのまま複製できません。
この性質を使って、鍵を盗み見ようとした痕跡を通信当事者が検出できます。
狙っているのは、計算能力の大小に左右されない、情報理論的な安全性です。
計算が速い相手に勝つというより、「盗み見れば跡が残る」という世界のルールを安全性の芯に据えています。
一方のPQCは計算量を根拠にします。
量子コンピュータが出てきても、格子問題などの数学問題は解くのが難しい、という前提の上で設計される暗号です。
現在のRSAや楕円曲線暗号も計算量ベースですが、その前提となる素因数分解や離散対数は量子計算に弱いので、そこを量子耐性のある問題へ置き換えるのがPQCだと考えると整理しやすくなります。
比較の軸をひと目で置くと、次のようになります。
| 項目 | QKD | PQC | 従来公開鍵暗号 |
|---|---|---|---|
| 安全性の根拠 | 量子力学の原理に基づく物理法則ベース | 量子計算でも困難とみなす数学問題に基づく計算量ベース | 素因数分解・離散対数などの計算困難性 |
| 強み | 盗聴検知と長期秘匿性に強い | 既存IT基盤へ広く展開できる | 既存システムとの互換資産が大きい |
| 弱み | 距離・装置・認証・実装攻撃の制約がある | 将来の暗号解析の進展をゼロにはできない | 量子計算の進展で前提が崩れる |
| 向く用途 | 高機密な拠点間リンク | 広範な業務システム全般 | 移行前の現行基盤 |
この整理から見えてくるのは、QKDとPQCは競合製品ではなく、守る層が違う技術だという点です。
QKDは鍵配送の物理層を厚くし、PQCは既存の公開鍵基盤そのものを量子耐性へ置き換えます。
置き換え関係で考えると判断を誤りやすく、補完関係で考えると設計の筋道が通ります。
導入の違い
導入面では、QKDとPQCの差はもっとはっきりしています。
PQCは既存ネットワークの上に載せ替えていく発想で進められます。
TLS、VPN、証明書基盤、社内システムの鍵交換や署名を、量子耐性のある方式へ移行していく流れです。
もちろん検証や互換性確認は要りますが、基本線はソフトウェアとプロトコルの更新です。
全国に支店やクラウド環境を抱える業務システムなら、まずPQCから着手するのが現実的です。
筆者も構成を考えるとき、全国展開の認証基盤やAPI連携までQKDで守ろうとは発想しません。
対象が広いほど、PQCの方が設計の重心になります。
QKDは逆で、物理インフラを伴う導入になります。
専用装置、単一光子を扱う送受信系、鍵管理系、そして専用または品質の高い光リンクが必要です。
地上ファイバーでは都市圏や近距離拠点間に向く構成が中心で、ネットワーク全体へ一気に横展開する技術ではありません。
東芝の2024年実証では、45kmで秘密鍵生成レートが0.9Mbpsから2.3Mbpsへ伸びたという水準まで来ており、同一都市圏の拠点間を守る用途はだいぶ輪郭が見えています。
筆者が導入シナリオを描くときも、まず思い浮かぶのは「同一都市圏のデータセンター間を45km級で結び、その区間だけは鍵配送の根拠を物理側まで下ろす」という形です。
災対センターと本番センターの間、金融決済や機微情報レプリケーションの経路など、リンクが限定されているほどQKDの意味が出ます。
さらにQKDでは、装置そのものの重さも設計に入ります。
単一光子検出器は安価なネットワーク機器とは別世界で、構成次第ではSNSPDのような冷却系込みの装置が入り、鍵配送のために1本の通信路へ専用設備を積む発想になります。
最近はKDDI総合研究所と東芝が、30Tbps超のデータと鍵を1心ファイバーで多重伝送する実証まで進めており、既存通信と共存させる工夫は前進しています。
それでも「社内の全通信をQKDへ」という絵にはなりません。
QKDは、広く薄くではなく、狙ったリンクに深く投資する技術です。
使い分けの判断
判断の基本線はシンプルです。
広範なIT基盤にはPQC、長期秘匿性が要求される限られた重要リンクにはQKDを上乗せする、この二層構えがいちばん筋が通ります。
どちらか一方だけで量子安全戦略を語ると、現実の運用要件から外れやすくなります。
PQCを先に置く理由は、攻撃面の広さにあります。
Harvest Now, Decrypt Later、つまり今の通信を収集して将来まとめて解読する攻撃を考えると、狙われるのは一部の専用線だけではありません。
インターネット越しのAPI通信、支店接続、クラウド間通信、端末認証、電子署名付きの更新経路まで、後から価値が出るデータは広範囲に散っています。
だから全国展開の業務システムはまずPQCへ、という順番になります。
攻撃者に「いま集めておく価値がある」と思わせる面積が広いからです。
そのうえでQKDを検討するのは、漏えいしたときの損失が突出して大きく、通信経路も限定できるケースです。
たとえば同一都市圏の2つのデータセンター間で、機密データベースの同期やバックアップ鍵の配送を行う回線です。
距離が45km級に収まり、経路が固定で、守る価値が長く続く。
こうした条件がそろうと、PQCだけでなくQKDまで積む意味が出ます。
QKDで得た鍵をAES-256のセッション鍵更新に使う構成なら、ワンタイムパッドのような膨大な鍵需要を背負わずに、鍵ライフサイクルを短く回せます。
長期保存される高機密データに対して、防御層を一段増やす発想です。
💡 Tip
実務の感覚では、「全社システムをPQCへ移行する」のが土台で、「都市圏内の特定リンクだけQKDを重ねる」のが上積みです。代替案の比較というより、守る面積と深さの配分だと捉えると判断がぶれません。
この使い分けでは、従来公開鍵暗号をそのまま残す領域が縮んでいきます。
従来方式は移行前の既存資産としては大きいものの、量子計算への備えという観点では退場が前提です。
したがって設計判断は「QKDかPQCか」ではなく、「まずPQCへどこまで置き換えるか」「その上で、どの重要リンクにQKDを追加するか」という二段階になります。
QKDの位置づけは、量子安全戦略の主役を奪うものではなく、限られた回線に対して長期秘匿性を厚くする専門装備です。
この整理を押さえておくと、QKDを過大評価も過小評価もせずに済みます。
最新動向――ネットワーク化・長距離化・衛星QKD
QKDネットワークと標準化
QKDの実利用は、1本の量子リンクを張って終わりではありません。
実際に必要になるのは、複数拠点の間で鍵を運び、保管し、用途ごとに配る仕組みです。
ここで出てくるのがQKDネットワークです。
運用イメージは、拠点A―信頼ノード―拠点Bという並びで考えるとつかみやすくなります。
各区間でQKDにより鍵を共有し、中央の信頼ノードで鍵リレーを行って、端点どうしが最終的に使える鍵として受け取る形です。
筆者はネットワーク図を見るとき、まずこの「拠点―信頼ノード―拠点」の一本線に置き換えて考えます。
すると、どこを信頼し、どこで鍵管理を行い、どこが運用上のボトルネックになるかが急に見えます。
このとき本質になるのは、量子リンクそのものだけではなく、鍵管理です。
QKD装置が生成した鍵をQuantum Key Management Systemで受け取り、用途別に配布し、消費履歴や有効期限を管理し、必要なら別区間へリレーする。
ここが整っていないと、物理層で苦労して作った鍵を業務システムで安全に使えません。
QKDのニュースは光学系の派手な成果に目が向きがちですが、実運用ではKMSと認証を含む全体設計の方がむしろ重い、と筆者は感じます。
この全体像を揃えるうえで基準になっているのがITU-T Y.3800です。
QKDネットワークの参照アーキテクチャを整理し、量子層、制御層、管理層、アプリケーション連携をどう見るかの共通言語を与えました。
標準化の価値は、装置の互換性を即座に保証することよりも、事業者・研究機関・利用部門が同じネットワーク像で議論できる点にあります。
QKDが単発の実験からインフラへ寄っていく流れでは、この共通言語が欠かせません。
💡 Tip
QKDの最新ニュースを読むとき、筆者は「距離」と「鍵率」を必ずセットで見ます。100km超という見出しだけでは足りず、その距離でどれだけの秘密鍵が残るのかまで見ないと、実利用の輪郭はつかめません。ネットワーク化の話でも同じで、拠点数だけでなく、各区間の鍵供給量と鍵リレー後の使い道まで追うと実態が見えてきます。
地上長距離化
東芝の流れを追うと、鍵配送速度の改善は一貫してテーマです。
2003年に100km超、2010年に1Mbit/s超、2017年に10Mbit/s超という積み上げがあり、2024年には45kmで秘密鍵生成レートを0.9Mbpsから2.3Mbpsへ伸ばしています(出典: 各社の技術発表)。
ここから見えてくるのは、単に「遠くへ届くか」ではなく、「実用に足る鍵をどの速度で取り出せるか」をずっと詰めてきたということです。
東芝の流れを追うと、鍵配送速度の改善は一貫してテーマです。
2003年に100km超、2010年に1Mbit/s超、2017年に10Mbit/s超という積み上げがあり、2024年には45kmで秘密鍵生成レートを0.9Mbpsから2.3Mbpsへ伸ばしています。
ここから見えてくるのは、単に「遠くへ届くか」ではなく、「実用に足る鍵をどの速度で取り出せるか」をずっと詰めてきたということです。
多重化もその延長線上にあります。
量子チャネル単体の性能だけでなく、既存ネットワークとの共存条件を整えれば、導入可能な場面は増えます。
ここから見えてくるのは、単に「遠くへ届くか」ではなく、「実用に足る鍵をどの速度で取り出せるか」をずっと詰めてきたということです。
多重化の流れもその延長線上にあり、例えば KDDI総合研究所と東芝による 1心ファイバー上での大容量データと QKD 鍵の多重伝送実証は、既存通信との共存可能性を示す重要な前進です(出典: KDDI総合研究所/東芝の技術発表)。
ただし、該当実証の測定条件や得られた鍵生成率などの詳細は出典の技術報告を参照し、実運用上の意味合いは個別に評価する必要があります。
ただし、鍵率の改善には伸びしろと限界が同居しています。
光源、検出器、誤り訂正、雑音抑制、波長多重の工夫で鍵率は押し上げられますが、ファイバー損失そのものは残ります。
地上ファイバーでは距離が延びるほど受信光子数が急減し、誤り訂正とプライバシー増幅を通した後の秘密鍵は厳しく削られます。
ニュースの見出しで「到達距離」が目を引いても、本文の小さな数字にある鍵率こそが実力です。
筆者はここを見落とすと、研究成果と導入可能性を混同しやすいと感じています。
その厳しさを示す例として、Twin-Field QKDの1002km実証は象徴的です。
有限長鍵解析まで含めた secure key rate は 3.11×10^-12/pulse でした。
ここが暗号の美しいところなのですが、1000km級で秘密鍵が理論だけでなく有限サイズ条件込みで評価されたこと自体は大きな前進です。
一方で、実務の目線では鍵率の厳しさも同時に読まなければなりません。
長距離化の記録と、そこで実際にどれだけ鍵が出るかは別の話です。
Twin-Field QKDは地上ファイバーのレート距離限界を押し広げる有力候補ですが、安定制御と鍵率の両立には、なお濃い研究色が残っています。
衛星QKDの前進
地上ファイバーの損失が長距離で効いてくるなら、発想を変えて宇宙経由で結ぶという選択肢が出てきます。
衛星QKDはその方向で、地上の光ファイバーだけでは届きにくい距離を補う手段として位置づけられます。
長い区間の多くを宇宙空間で飛ばせば、ファイバー損失の累積を避けられるからです。
国際間や大陸間のようなスケールを視野に入れると、地上網だけで押し切るより筋が通ります。
2024年には、ISSと地上局の間で秘密鍵共有を行い、1回の上空通過で100万ビット超の秘密鍵を共有した実証が示されました。
地上ファイバーQKDが距離と損失に苦しむのに対し、衛星QKDは通過のたびにまとまった鍵を確保する発想です。
常時接続の地上回線とは運用感が違い、衛星の可視時間、追尾、天候の影響を受けますが、「長距離をつなぐ」という目的に対しては明快な強みがあります。
具体例としては、KDDIと東芝の地上側の前進がファイバー共存とネットワーク実装を押し進める一方で、ISS実証は地上長距離の限界を別経路で越える流れを示しました。
さらに衛星QKDの文脈では、Miciusのように国際間で鍵を配り、ビデオ会議の鍵更新に使った運用例も知られています。
地上ファイバー、信頼ノードによる鍵リレー、そして衛星という三つの手段が並んできたことで、QKDは「一本の直線リンクの実験」から「複数の搬送路を組み合わせるネットワーク技術」へ近づいています。
衛星QKDも、距離だけで評価すると実像を外します。
1回の通過でどれだけ鍵を確保できるか、その鍵を地上ネットワークへどう流し込むか、KMSでどう管理するかまで見て初めて、地上網を補う技術としての価値が見えてきます。
地上長距離化と衛星QKDは競合というより役割分担です。
都市圏や固定拠点間ではファイバーQKDと鍵リレー、超長距離では衛星QKDという配置にすると、2024〜2026年の動きが一本の線でつながります。
まとめ
QKDの本質は、通信本文を守る魔法ではなく、鍵をどう配るかを量子力学で組み直す技術にあります。
盗聴検知は魅力ですが、実際の強さは認証、装置実装、距離、運用コストまで含めて決まります。
向くのは長期秘匿性を強く求める重要拠点間リンクで、広域の汎用ネットワークを今すぐ全面置換する役割ではありません。
筆者は読了後に自組織のネットワーク地図を開き、「どのリンクならQKDが妥当か」を書き込む小さな棚卸しを勧めます。
次にやることは、BB84の流れを表で見直すこと、用途適合性を点検すること、PQCとQKDの併用余地を考えること、そして理論の安全性と実装の安全性を分けて評価することです。
情報セキュリティ企業での暗号実装検証を経て、暗号理論の解説に専念。公開鍵暗号からポスト量子暗号まで、数学的原理をわかりやすく伝えます。
関連記事
共通鍵暗号と公開鍵暗号の違い|図解で仕組み比較
ブラウザでHTTPSのサイトを開いた瞬間、画面には見えないところで「いま誰と鍵を決めたのか」と「その後の本文をどの鍵で守るのか」が一気に走ります。この記事では、まず共通鍵暗号の仕組みと量子コンピュータ時代に何が変わるかの節を先に参照すると、以降の議論の流れがつかみやすくなります。
AES暗号とは?歴史・仕組み・GCMまで
WebをHTTPSで開き、Wi‑Fiに接続し、ノートPCのディスク暗号化を有効にする。ふだん何気なく触れているこの3つの動作の奥には、同じ名前の暗号がいます。
公開鍵暗号の仕組みとRSAの原理図解
ブラウザの錠前アイコンを開いて証明書の詳細をのぞくと、Public-Key: RSA 2048 と Exponent: 65537 が並んでいて、公開鍵暗号は教科書の中だけの話ではなく、いま目の前の通信を支える現役技術なのだと実感します。
RSA暗号とは?素因数分解と公開鍵の仕組み
1977年に公開されたRSAは、公開してよい鍵(n, e)と外に出してはいけない秘密鍵dを分けることで、暗号と署名の考え方を一段進めた方式です。公開鍵暗号を数式から理解したい人、仕組みは知っているのに実務での役割が曖昧な人に向けて、歴史的位置づけから手で追える計算例までを一本につなげます。