「量子暗号」の版間の差分
Mesoscopic-quanta (会話 | 投稿記録) m編集の要約なし |
書誌情報 |
||
47行目: | 47行目: | ||
<ref>{{Cite journal|last=Nishioka|first=Tsuyoshi|last2=et|first2=al.|date=2005-10-10|title=Reply to:"Comment on:'How much security does Y-00 protocol provide us?'" [Phys. Lett. A 346 (2005) 1]|url=https://doi.org/10.1016/j.physleta.2005.08.022}}</ref> |
<ref>{{Cite journal|last=Nishioka|first=Tsuyoshi|last2=et|first2=al.|date=2005-10-10|title=Reply to:"Comment on:'How much security does Y-00 protocol provide us?'" [Phys. Lett. A 346 (2005) 1]|url=https://doi.org/10.1016/j.physleta.2005.08.022}}</ref> |
||
<ref>{{Cite journal|last=Nair|first=Ranjith|last2=et|first2=al.|date=2005-09-13|title=Reply to:'Reply to:"Comment on:`How much seczurity does Y-00 protocol provide us?`"'|url=https://arxiv.org/abs/quant-ph/0509092}}</ref> |
<ref>{{Cite journal|last=Nair|first=Ranjith|last2=et|first2=al.|date=2005-09-13|title=Reply to:'Reply to:"Comment on:`How much seczurity does Y-00 protocol provide us?`"'|url=https://arxiv.org/abs/quant-ph/0509092}}</ref> |
||
<ref>{{Cite journal|last=今井|first=秀樹|date=2005|title= |
<ref>{{Cite journal|和書|last=今井|first=秀樹|date=2005|title=暗号と情報セキュリティ |url=https://doi.org/10.11188/seisankenkyu.57.427 |journal=生産研究 |volume=57 |issue=5 |pages=427-440 |publisher=東京大学生産技術研究所}}</ref> |
||
<ref>{{Cite journal|last=Donnet|first=Stéphane|last2=et|first2=al.|date=2006-08-21|title=Security of Y-00 under heterodyne measurement and fast correlation attack|url=https://doi.org/10.1016/j.physleta.2006.04.002}}</ref> |
<ref>{{Cite journal|last=Donnet|first=Stéphane|last2=et|first2=al.|date=2006-08-21|title=Security of Y-00 under heterodyne measurement and fast correlation attack|url=https://doi.org/10.1016/j.physleta.2006.04.002}}</ref> |
||
<ref>{{Cite journal|last=Yuen|first=Horace P.|last2=et|first2=al.|date=2007-04-23|title=On the security of Y-00 under fast correlation and other attacks on the key|url=https://doi.org/10.1016/j.physleta.2006.12.033}}</ref> |
<ref>{{Cite journal|last=Yuen|first=Horace P.|last2=et|first2=al.|date=2007-04-23|title=On the security of Y-00 under fast correlation and other attacks on the key|url=https://doi.org/10.1016/j.physleta.2006.12.033}}</ref> |
2020年2月17日 (月) 05:15時点における版
量子暗号(りょうしあんごう、英: Quantum cryptography)とは、いくつかの種類があるものの、量子力学の性質を積極的に活用することで無限の計算能力と物理法則以外に制約を持たない攻撃者(イブと呼ばれる)から通信を守ることを目的とした技術を指す。主として、量子鍵配送[1]、量子直接通信(Quantum Secure Direct Communication) [2]、YK プロトコル、Y-00 プロトコル、量子公開鍵暗号などがあるが、量子鍵配送のことを指すことが多い。その実装の基礎が量子力学という物理学の基本法則に基づいていることと、量子公開鍵暗号を除き計算量的安全性でなく情報理論的安全性であることが特徴である。なお、商用に広く用いられる公開鍵暗号は解読に計算時間が膨大にかかるだけ (計算量的安全性) であり、情報理論的に安全な秘密通信ではない。
歴史
量子鍵配送はステファン・ワイズナーの先駆的な研究により1970年に発見されていたが、後にチャールズ・ベネットとジル・ブラサールによって1984年に再発見された。このときに提案されたプロトコルがBB84である。提案された当初は非現実的であるとされたが、その後の実験技術の進歩とプロトコルの改良(誤り訂正及び安全性増幅)により、実現可能な技術とみなされるようになった。 上記の進展に触発され、量子直接通信、YK プロトコル、Y-00 プロトコル、量子公開鍵暗号などが考案された。
量子鍵配送プロトコル
現在、主流となっている量子暗号は量子鍵配送、特に商用ではBB84であるが、攻撃手法の研究の発展にともないBB84以外にもバリエーションが登場している。例えば(近似的) 単一光子に基づくものと、コヒーレント光、スクーズド光などの連続光を用いたものがある。いずれも量子状態が観測によって歪む性質を用いて、盗聴者に漏洩したであろう情報量を見積もり、その結果に応じて秘匿性増幅(参考: Leftover hash lemma) を用いて安全性の高い鍵を作るという原則は変わらない。完全な秘密通信とされるワンタイムパッドを実現するための秘密鍵配送を目的とし、この秘密鍵の共有を量子状態の特性によって実現する。(ただしシャノンの完全秘匿の定義からは、鍵列の各ビットは互いに独立でかつ各鍵列は等確率で出現する独立同分布である必要がある。)
量子鍵配送の特徴は、量子力学が根拠となる堅牢な安全性にある。それに対し量子鍵配送は、(現実のシステムの不完全性を多少捨象した) 理想的状況においては安全性が証明されている。これは、応用上はもとより理論的にも興味深いことである。 (古典力学の範囲内では秘密通信は不可能とされているが、いくつかの仮定をおけば可能であることはWynerにより最初に示された。[3])
ただし、上記の誤り訂正や秘匿性増幅には、攻撃者に改ざんされない古典公開回線が必要であり、そのためには正規ユーザー認証のための初期鍵が必要である [4] [5] (認証鍵がない場合、イブは古典通信と量子通信の全てを中継することで中間者攻撃を発動し、後の通信を完全に制御下における)。 この問題に対し、2018年時点では S. Wehner により「攻撃者の計算能力に制限がある場合には認証鍵の配布が可能」との見解が示されている [6]。
暗号では理論上の安全性が実装上の安全性をそのまま意味するわけではない。においても注意する必要がある(記事BB84を参照)。安全性の第1の問題点は、送信機、中継器、受信機それぞれにバックドアを仕掛けることができることである。第2に、「量子の傍受ができない」という理論も実装上実現できるかどうかが疑問である。第3に、鍵作成時にトラップを仕掛けることができる。ナップサック問題、離散対数問題が絶対安全か不明である(初期のナップサック暗号は簡単に破られた。NP完全問題の解読不可能性は証明されていない)。生成式などにバックドアを仕掛けることもできる。第4に、送信・受信データは量子暗号化されていないので、入手のチャンスがある [7]。
また、通信路上の盗聴が検出できるとの説明がよくなされるが、実際には盗聴による信号の乱れと通信路の自然雑音を区別する方法はなく、雑音は全て盗聴により引き起こされたと仮定し、最悪の盗聴量の下で最良の鍵を抽出することが目標となる(例えば盗聴者が通信路を切り替えられる場合、雑音量が正規の通信路のものか盗聴者が切り替えた通信路のものかは正規ユーザーには判別できない[8] [9])。 例えば2007年の三菱電機の発表によれば、100キロメートル以上の伝送の場合、途中で傍受し鍵を複製した後、光の強さを調整すると検出器(受信者ボブ)のノイズにより傍受の検知ができなくなるという。同社は秘密鍵の作り方で対抗する考えだという。暗号技術はすべて、暗号化方式や伝送方式だけで安全性が確保されるわけではなく実装技術が大事であることを示している。量子暗号でも例外ではない。
日経サイエンス増刊号[10]では、「アーター・エカートの量子暗号(1991年考案、E91プロトコル)は、光子を送信時まで安全に保管でき、通信会社や装置メーカーによっても破られないことが証明されている」とされている。しかし量子もつれを配送するE91プロトコルは、BB84に対する攻撃手法と類似の手法で偽のベル状態を正規ユーザーに測定させる攻撃手法がある [11]。
現在までの実験では、光ファイバーを用いた場合、公称でも200キロメートル程度が伝送距離の最大であって、これでは長距離通信は不可能である。さらに劇的に通信距離を伸ばすには、量子もつれを用いた量子中継や、人工衛星を用いたシステムといった手法を導入する必要があると思われる。(2009年8月 NTT、スタンフォード大学 1.3Mbps,10キロメートル。)
YK プロトコル
光の量子雑音を用いる暗号系として、H. P. Yuen と A. M. Kim が提唱した Yuen-Kim暗号鍵配送法式 もある [12]。類似のプロトコルは大阪大学の T. Ikuta と K. Inoue からも提案されている [13]。
Y-00 プロトコル
H. P. Yuenは、2000年ごろに量子雑音を用いたストリーム暗号としてY-00を発表している [14]。 既存の光通信との親和性がよく、高速・長距離の通信が可能である [15][16][17][18]。 「鍵配送系ではなく情報そのものを暗号化して送る方式である」ともよく言われるが、実際には送信する情報を鍵に変更するだけで鍵の配送は可能である [19]。 量子鍵配送と比べた場合の安全性については長らく論争が続いていた [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30]。 なお共通鍵暗号であるため初期鍵が必要であるが、部分的には初期鍵の配送方法も提案されている[31]。
量子公開鍵暗号
本プロトコルは、量子コンピュータを用いた公開鍵暗号方式である。例えば、OTU暗号 (岡本・田中・内山暗号) はナップサック問題といわれるNP完全問題に基づいており、鍵の生成時に離散対数問題を解くために量子コンピュータを用いる。
日本における研究開発施策
2000年2月7日〜6月19日までの4か月間で全6回開催された「量子力学的効果の情報通信技術への適用とその将来展望に関する研究会」で量子情報通信技術について展望と施策を検討し、2000年6月23日に「21世紀の革命的な量子情報通信技術の創生に向けて」と題する報告書を公開している[32]。
ついで、2001年5月24日に第1回「量子情報通信研究推進会議」が開催されて、以降2年間にわたって実用化に向けた施策の総合的検討を行い、2003年11月20日に報告書をまとめている[33]。
2004年6月15日の第1回「21世紀ネットワーク基盤技術研究推進会議」で、本推進会議の下に「量子情報通信ワーキンググループ」を設置することが了承され、2005年7月に報告書がまとめられた[34]。
脚注
参考文献
- ^ Bennett, C. H.; Brassard, G. (1984). Quantum cryptography: Public key distribution and coin tossing .
- ^ Fuguo, Deng; et, al. (2004-05-01). Secure direct communication with a quantum one-time pad .
- ^ Wyner, A.D. (1975-10). The wire-tap channel .
- ^ 小芦雅斗、小柴健史「量子暗号理論の展開」https://www.saiensu.co.jp/search/?isbn=978-4-7819-9920-3&y=2017
- ^ Pacher, Christoph; et, al. (2016-01). Attacks on quantum key distribution protocols that employ non-ITS authentication .
- ^ Wehner, Stephanie; et, al. (2018-10-19). Quantum internet: A vision for the road ahead .
- ^ Curty, Marcos; Lo, Hoi-Kwong (2018-10-08). Quantum cryptography with malicious devices .
- ^ Makarov, Vadim; Hjelme, Dag R. (2007-02-20). Faked states attack on quantum cryptosystems .
- ^ Lydersen, Lars; et, al. (2010-08-29). Hacking commercial quantum cryptography systems by tailored bright illumination .
- ^ 不思議な量子をあやつる―量子情報科学への招待、別冊日経サイエンス 161(2008年5月)p.105。
- ^ Jogenfors, Jonathan; et, al. (2015-12-18). Hacking the Bell test using classical light in energy-time entanglement–based quantum key distribution .
- ^ Yuen, Horace. P.; Kim, Ajung M. (1998-04-27). Classical noise-based cryptography similar to two-state quantum cryptography .
- ^ Ikuta, Takuya; Inoue, Kyo (2016). Intensity modulation and direct detection quantum key distribution based on quantum noise .
- ^ Barbosa, Geraldo A.; Corndorf, Eric; Kumar, Prem; Yuen, Horace P. (2003-06-02). Secure Communication Using Mesoscopic Coherent States .
- ^ Hirota, Osamu; et, al. (2005-08-26). Quantum stream cipher by the Yuen 2000 protocol: Design and experiment by an intensity-modulation scheme .
- ^ Futami, Fumio; et, al. (2017). Y-00 quantum stream cipher overlay in a coherent 256-Gbit/s polarization multiplexed 16-QAM WDM system .
- ^ Futami, Fumio; et, al. (2018-03). Dynamic Routing of Y-00 Quantum Stream Cipher in Field-Deployed Dynamic Optical Path Network .
- ^ Futami, Fumio; et, al. (2019-05). 1,000-km Transmission of 1.5-Gb/s Y-00 Quantum Stream Cipher using 4096-level Intensity Modulation Signals .
- ^ Yuen, Horace P. (2019-11). Key Generation: Foundations and a New Quantum Approach .
- ^ Nishioka, Tsuyoshi; et, al. (2004-06-21). How much security does Y-00 protocol provide us? .
- ^ Yuen, Horace P.; et, al. (2005-10-10). Comment on:'How much security does Y-00 protocol provide us?'[Phys. Lett. A 327 (2004) 28] .
- ^ Nishioka, Tsuyoshi; et, al. (2005-10-10). Reply to:"Comment on:'How much security does Y-00 protocol provide us?'" [Phys. Lett. A 346 (2005) 1] .
- ^ Nair, Ranjith; et, al. (2005-09-13). Reply to:'Reply to:"Comment on:`How much seczurity does Y-00 protocol provide us?`"' .
- ^ 今井, 秀樹「暗号と情報セキュリティ」『生産研究』第57巻第5号、東京大学生産技術研究所、2005年、427-440頁。
- ^ Donnet, Stéphane; et, al. (2006-08-21). Security of Y-00 under heterodyne measurement and fast correlation attack .
- ^ Yuen, Horace P.; et, al. (2007-04-23). On the security of Y-00 under fast correlation and other attacks on the key .
- ^ Ota, Masataka (2008-06-05). Y-00 is Broken .
- ^ Mihaljević, Miodrag J. (2007-05-24). Generic framework for the secure Yuen 2000 quantum-encryption protocol employing the wire-tap channel approach .
- ^ Shimizu, Tetsuya; et, al. (2008-03-27). Running key mapping in a quantum stream cipher by the Yuen 2000 protocol .
- ^ Iwakoshi, Takehisa (2020-02). Analysis of Y00 Protocol under Quantum Generalization of a Fast Correlation Attack: Toward Information-Theoretic Security .
- ^ Iwakoshi, Takehisa (2019-06-05). Message-Falsification Prevention With Small Quantum Mask in Quaternary Y00 Protocol .
- ^ 「21世紀の革命的な量子情報通信技術の創生に向けて」量子力学的効果の情報通信技術への適用とその将来展望に関する研究会 報告書、2000年6月 [1]
- ^ 「量子情報通信技術研究開発戦略 : 21世紀の革命的なネットワーク社会の実現に向けて」量子情報通信研究推進会議 報告書、2003年11月 [2]
- ^ 「21世紀ネットワーク基盤技術研究開発戦略 : ICTの新パラダイムを創生」21世紀ネットワーク基盤技術研究推進会議 報告書、2005年7月(3-3)