博士、前回のBB84プロトコルはすごく面白かったです!でも、量子もつれを使うやつがもっとすごいって聞いたんですが…?
おや、耳が早いなモソッティ。それは“E91プロトコル”のことじゃな。BB84が1984年に提案されたのに対して、このE91は1991年、ケンブリッジ大学のArtur Ekertが発表した画期的な方式じゃ。
あ、じゃあ“E91”って、1991年の“Eさん”って意味ですか?
その通り。しかもBB84と違って、光子の偏光を直接やり取りするのではなく、量子もつれという現象を利用して鍵を作るという大胆なアイデアを提案したんじゃ。
前回の記事では、BB84プロトコルの仕組みと、そのセキュリティが量子力学の不確定性原理に基づくことを解説しました。
BB84は、アリスが光子を送信し、ボブがランダムな基底で測定するというシンプルな流れでしたが、E91では構造が大きく異なります。
まず、光源はアリス側でもボブ側でもなく、中央に置かれます。そこから量子もつれ状態の光子ペアを1つずつ、アリスとボブに送ります。そして二人は、それぞれがランダムな基底で光子を測定します。
この方法の最大の特徴は、「盗聴があったかどうか」をベルの不等式という物理法則を使って判定できることです。ベルの不等式は、古典物理では成立するはずの相関の限界値を示しますが、量子もつれ状態ではこの限界を破る結果が得られます。この“破れ”こそが、通信が安全であることの証拠となるのです。
博士、それってBB84よりセキュリティが強いってことですか?
理論的にはそうじゃ。BB84は“盗聴されていないらしい”という推測だが、E91は物理的な実験結果として盗聴の有無を確かめられる。それが大きな違いじゃな。
なるほど!量子もつれを利用するE91について、とても気になってきました。
よし、それじゃあE91の全体像から説明していこう。
1.E91プロトコルとは
博士、BB84とE91って、どう違うんですか?
大きく言えば、“使う量子の力”が違う。BB84は光子の偏光と測定基底のランダム選択が肝だったが、E91は量子もつれそのものを利用するんじゃ。
もつれって、あの“どれだけ離れてもお互いを知っている”みたいな現象ですよね?
そうそう。詳しくは以前解説しておるが、簡単に言えば、2つの粒子が一体のように振る舞い、1つを観測するともう片方の状態も瞬時に決まる、という不思議な相関じゃ。
BB84との根本的な違い
BB84では、アリスが光子をボブに送信し、基底をランダムに選んで測定します。
一方、E91では光源が中央にあり、量子もつれ状態の光子ペアを生成して、アリスとボブに1個ずつ送ります。
この違いによって、通信の検証方法も変わります。
BB84は誤り率の増加から盗聴を推定しますが、E91はベルの不等式という物理法則を使って盗聴を直接検知できます。
量子もつれを使った鍵配送の発想
量子もつれ光源から出てくる光子ペアは、測定する基底に依存して統計的に強い相関を示します。
E91では、この相関の一部を鍵生成に使い、残りを盗聴検知のテストに回します。
もし第三者(イヴ)が光子を測定してしまえば、もつれが壊れ、ベルの不等式の“破れ”が消えてしまいます。これが「盗聴された」という証拠になります。
プロトコルの概要フロー
- 中央の光源が量子もつれ状態の光子ペアを生成。
- 光子Aをアリス、光子Bをボブに送信。
- アリスとボブは、それぞれ3種類以上の測定基底からランダムに選んで測定。
- 測定結果の一部でベルの不等式をテストし、盗聴有無を判定。
- 安全と判断された残りのデータを秘密鍵として利用。
なるほど!BB84は“安全っぽい”と確認するのに対して、E91は“物理法則で安全を証明”できるわけですね!
そうしゃ。ただし、実際には光源や検出器の性能など現実的な制約もある。次は、そのベルの不等式と盗聴検知の仕組みをもう少し直感的に説明しよう。
2.ベルの不等式と盗聴検知の仕組み
博士、ベルの不等式って、何やら数学っぽくて怖い名前ですね…
名前ほど怖くないぞ。直感的には、“普通の物理世界ではありえない相関”を見つけるためのテストだと思えばいい。
ベルの不等式とは?
日常的な世界(古典物理の世界)では、どんなに離れた物体でも、情報は光速を超えて伝わらないし、それぞれの状態は局所的に(その場の環境や状態だけで)決まります。
もし2つの粒子にあらかじめ“性格”を決めておいて、離れた場所でそれを観測すれば、観測結果の一致率には上限があります。この「一致率の限界」を数学的に表したのがベルの不等式です。
ところが量子もつれ状態では、この上限を超える相関が実際に観測されます。
つまり、ベルの不等式が破れる(超える)ということは、局所的では説明できない、まさに量子力学的な関係が存在する証拠になるのです。
詳しい物理的背景などは以前の記事をご参照ください。
なぜ盗聴検知に使えるのか?
E91プロトコルでは、アリスとボブが受け取る光子ペアは量子もつれ状態にあります。
もし途中で第三者(イヴ)がどちらかの光子を測定してしまうと、もつれは壊れ、ベルの不等式を破るほどの相関は失われます。
そのため、アリスとボブは受け取った光子の一部を使ってベルの不等式をテストします。
- ベルの不等式が破れている → もつれが保たれており、盗聴はない
- 破れない → もつれが壊れており、盗聴(または通信経路の異常)の可能性大
E91のセキュリティの強さ
BB84は「誤り率が増えていたら盗聴かもしれない」という統計的推測が根拠ですが、
E91は「自然界の古典的な法則では説明できない相関」を直接確認するため、セキュリティの根拠がより物理的で強固です。
つまり、E91では“量子の魔法”が壊れていないことを確認すれば、安全ってわけですね!
その通り。次は、この発想をどう手順として実装しているかを見てみるとしよう。
3.E91プロトコルの手順
E91プロトコルは、量子もつれた光子ペアを使って鍵を生成する点が最大の特徴です。手順を順を追って見ていきましょう。
ステップ1:もつれペアの生成と配布
光源(信頼できない第三者でも可)は、量子もつれ状態の光子ペア(EPRペア)を生成します。
このペアはアリスとボブにそれぞれ1つずつ送られます。ここで重要なのは、アリスとボブの光子は、距離がどれだけ離れていても強い相関(非局所相関)を持っている点です。
この光源は、例えば自発的パラメトリック下方変換(SPDC)によって偏光状態のもつれペアを生成します。
よく使われるのは、最大もつれ状態
です。ここで \(
\left| 0 \right\rangle
\)は水平偏光、\(
\left| 1 \right\rangle
\)は垂直偏光を表します。
ステップ2:測定基底のランダム選択
アリスとボブは、それぞれ受け取った光子を独立にランダムな測定基底で測定します。
E91では、BB84のように2種類ではなく、3種類以上の測定基底(互いに非両立な偏光方向)をランダムに選びます。
例(偏光測定の場合):
- 鍵生成用基底:直線偏光(0° / 90°)
- 盗聴検知用基底:斜め偏光(45° / 135°)、円偏光(右回り / 左回り)
基底を3種類以上にする理由は、ベルの不等式を検証するために、鍵生成とは別の組み合わせでの測定結果が必要だからです。2種類だけではベル不等式の破れを十分に検証できず、盗聴検知の信頼性が落ちてしまいます。
ステップ3:測定と基底情報の公開
アリスとボブは、それぞれの基底で光子を測定し、その結果を0 または 1 に変換してを記録します。
測定が終わった後、古典的な通信チャネルを使ってどの光子でどの基底を使ったかだけを互いに公開します(測定結果は公開しません)。
ステップ4:データの振り分け
基底の組み合わせに応じて、測定データを次の2種類に振り分けます。
- 鍵生成用データ
アリスとボブが同じ「鍵生成用基底」を選んだ場合の測定結果を使って、生鍵(Raw Key)を生成します。 - 盗聴検知用データ
鍵生成用以外の基底の組み合わせ(特にベルの不等式検証に必要な組み合わせ)で得られたデータを使って、ベル不等式が破れているかを統計的に確認します。
ステップ5:鍵生成と盗聴検知
- 鍵生成:
同じ基底で得られた相関の高い結果から、生鍵を生成します。その後、誤り訂正とプライバシー増幅を行い、最終的な秘密鍵が完成します。 - 盗聴検知:
一部の測定結果を互いに公開し、ベルの不等式
\( S = E(a,b) – E(a,b’) + E(a’,b) + E(a’,b’) \)
が局所実在論の限界(\( |S| \leq 2 \))を超えているかを確認します。もし\( |S| > 2 \)であれば、量子もつれによる非局所相関が保たれており、盗聴は行われていないと判断します。
E91では「量子もつれの一夫一妻制」がセキュリティの核です。アリスとボブが最大限にもつれていれば、第三者(イブ)はその相関に食い込めません。
安全性は物理法則(ベル不等式の破れ)で直接保証されるため、理論的に非常に強固です。
博士、このプロトコルだと鍵の安全性は“愛の深さ”みたいなものなんですね。
ほほう、それはどういうことじゃ?
アリスとボブが強くもつれ合ってる限り、イブは入り込めない…つまり、二人の関係は一夫一妻制!
うまいこと言うじゃないか。でももしベルの不等式が破れなかったら…
それは…浮気発覚ってことですね。
うむ、そういう場合は鍵を破棄じゃ。人間関係もな!
4. BB84との比較
博士、BB84とE91って、どっちも安全な量子鍵配送なんですよね。でも、パッと見だと違いが分かりにくいです。
ふむ、それは当然じゃ。どちらも“量子”という共通基盤に立っとるからのう。ただし、根本の発想はかなり違うんじゃよ。
鍵生成の原理
- BB84
偏光(直線偏光や斜め偏光)の基底をアリスがランダムに選んで光子を送信し、ボブもランダムな基底で測定する方式。基底が一致した場合のみ鍵に使う。 - E91
光子の偏光そのものではなく、「量子もつれペア」による相関を利用する。アリスとボブが独立に測定しても、もつれ状態ゆえに結果は量子的に結びつく。さらにベルの不等式を使って、盗聴者の介入を物理法則レベルで検出する。
なるほど、BB84は“送り手と受け手”の関係だけど、E91は“ペアを別々に受け取って測る”感じですね。
そうじゃ。それが次の違いにもつながるんじゃ。
光子の送信経路
- BB84:アリス → ボブ(片方向送信)
- E91:中央に光源を置き、そこからアリスとボブに1つずつ光子を送る(対称的な構成)
盗聴検知の仕組み
- BB84:基底不一致によって生じる誤り率を監視する。誤り率が閾値を超えれば盗聴と判断。
- E91:ベルの不等式を測定結果から計算し、その破れ具合を確認する。破れが弱まれば盗聴が疑われる。
ベルの不等式の破れをチェックって…ちょっとロマンありますね。
ふふ、物理学者の心をくすぐるポイントじゃな。
長距離通信への適性
- BB84:ファイバ伝送では距離に比例して光子損失が増え、実用距離は数百 km 程度。
- E91:量子リピータ技術と組み合わせやすく、もつれを中継しながら地球規模通信へ拡張可能。
つまり、E91は“実験物理寄り”で、BB84は“工学寄り”って感じですか?
うむ、そうとも言えるのう。BB84は装置が比較的シンプルで実用化が進んでおるが、E91は物理的なセキュリティ根拠がより深いぶん、装置面のハードルは高いんじゃ。
5. 実用化の現状と課題
博士、E91って理論的にはすごく強いプロトコルだってわかりましたけど、じゃあもう世の中で使われてるんですか?
うむ、そこが現実の厳しいところなんじゃ。理論は立派でも、実装となるとまだまだ山が高いんじゃよ。
① 量子もつれ光源の技術的ハードル
E91の心臓部は「高品質な量子もつれ光源」。
しかし現状では以下の課題があります:
- 生成効率:もつれ光子ペアを十分な確率で発生させるには高度な非線形光学素子が必要
- 安定性:数時間〜数日間、量子状態を崩さず動作させるには温度・振動管理が必須
- 波長整合性:長距離ファイバ伝送には損失の少ない波長(1,550 nm帯)が望ましいが、効率よくもつれを作るのは難しい
つまり“もつれの工場”を安定稼働させるのが一番大変なんですね。
そうじゃ。しかも工場はナノスケールの精密さが要るんじゃ。
② ファイバ伝送・衛星通信での試み
- ファイバ伝送:都市内や数十km規模ではすでに成功例あり。ただし数百kmを超えると損失が急増し、信号がほぼ消えてしまう。
- 衛星通信:大気圏外から地上に光子を送ると、空気による損失が少なく、1,200 km級の実証にも成功(中国の「墨子号」など)。
- 自由空間リンク:山頂間など障害物のない空間で数百km級のもつれ配送実験も行われている。
宇宙から鍵を送るとか、スパイ映画みたいですね。
映画よりもずっと繊細な光学調整が要るんじゃがな。
③ 実証実験の事例
- 欧州:ヨーロッパ量子通信インフラ計画(EuroQCI)の一部で、もつれを用いた衛星・地上リンクの検証。
- 中国:「墨子号」衛星を利用した世界初の長距離もつれ分配(1,200 km)
- 日本:NICTや大学が参加するもつれ光源・光ファイバ実証、都市間リンクの開発。
④ 派生・発展プロトコル
E91の思想は、以下のプロトコルにも影響を与えています:
- BBM92:E91を簡略化し、実装のしやすさを重視
- デバイス独立型QKD(DI-QKD):ベルの不等式破れの結果から、装置の内部構造に依存せずセキュリティを保証
じゃあE91はまだ“未来の本命”みたいな位置づけなんですね。
うむ、技術的な課題を越えれば、長距離かつ堅牢な量子通信の中核になる可能性は高いんじゃ。
6. 今後の展望
博士、今のところE91はまだ実験段階って感じですけど、これから先どうなるんですか?
ふふ、これからが面白いところじゃ。未来の量子通信ネットワークの中心になるかもしれんのじゃよ。
① 量子インターネットとE91の可能性
将来、量子通信は「量子インターネット」として世界中を結ぶことが構想されています。
- ユーザー間で安全な鍵配送を瞬時に行う
- 量子計算資源を遠隔で安全に共有
- センサーや時計を量子もつれで同期し、高精度の地球規模観測を実現
E91は、このネットワークで「もつれ+ベル不等式検証」による盗聴検知を担う安全の心臓部になります。
つまり、E91は未来の“インターネット暗号化エンジン”ってことですね。
そうじゃ。物理法則そのものが守ってくれるから、人間のミスや機械の不具合にも強いのじゃ。
② 量子リピータとの組み合わせ
現在の大きな課題は長距離伝送での光子損失です。これを解決するのが量子リピータです。
普通の中継機のようにコピーはできない(ノー・クローニング定理)ため、「もつれスワップ」という手法を使います。
- 中継地点で光子ペアをベル測定し、新しいもつれを末端同士に“引き継ぐ”
- このとき使われるベル状態は、2つの光子が最大限にもつれた4種類の状態(同じ偏光ペア/逆偏光ペア+位相差の組み合わせ)で、測定によって遠くのペアが即座につながる
- このプロセスを繰り返すことで、大陸間や地球規模でももつれを維持できる
リピータって、やっぱり普通のネットワーク中継機と似てますね?
似ておるが、こちらは量子状態を壊さずに受け渡す“超高等生物”のような存在じゃ。
③ 他プロトコルとのハイブリッド化
将来の実ネットワークでは、E91単独ではなく、BB84やBBM92などとの併用が考えられています。
- 都市内の短距離はBB84で高速かつ簡便に
- 長距離幹線はE91+量子リピータで堅牢に
- 重要なリンクはデバイス独立型QKDで完全検証
ここで重要なのは基底の使い分けです。E91では少なくとも3種類の基底を使い、その一部は鍵生成専用、別の組み合わせはベル不等式検証専用になります。これにより、通信の安全性を高い物理的根拠で保証できることになります。
なんだか、将来の量子通信って“プロトコルの寄せ鍋”みたいですね。
その通りじゃ。美味しい鍋は具材の相性が肝心。E91はそこに深みを与える出汁のような存在じゃな。
7. まとめ
博士、E91プロトコルって、まとめるとどういう強みがあるんですか?
一言でいえば、“もつれ+ベル不等式”による盗聴検知じゃな。
E91の特徴は、量子もつれの性質とベルの不等式を使って、盗聴の有無を物理法則そのもので判定できる点です。
BB84では「誤り率の増加」という間接的な指標で盗聴を推測しますが、E91では量子力学的な非局所相関が成立しているかどうかを直接検証します。
このため、セキュリティの根拠がより厳密であり、理論上は盗聴者がどれだけ巧妙でも検出できるのです。
でも、まだ実験段階なんですよね?
そうじゃ。高品質なもつれ光源、損失の少ない伝送路、そして量子リピータの実用化など、技術的なハードルは多い。だが、その見返りは大きいぞ。
現状、E91はBB84と比べて実証実験や試験運用の事例が少なく、研究段階にとどまっています。一方、BB84はすでに金融機関や政府機関などでの限定的な商用利用や長期運用試験が行われています。E91も将来は量子インターネットや大陸間量子通信の中核技術として大きな期待が寄せられています。
- 強み:物理的に堅固な盗聴検知、長距離化の潜在力
- 課題:もつれ光源・量子リピータ・安定伝送技術の確立
- 将来性:量子ネットワークの“安全の心臓部”になり得る
なるほど…BB84が“現場で働く即戦力”なら、E91は“将来の司令官候補”って感じですね。
うむ。どちらも量子通信の未来に必要な駒じゃ。これからの進化を楽しみに見守るとしよう。
コメント