量子暗号

出典: フリー百科事典『ウィキペディア(Wikipedia)』
ナビゲーションに移動 検索に移動

量子暗号(りょうしあんごう、: quantum cryptography)とは、量子力学の性質を積極的に活用することによって、通信内容を秘匿することを目的とした技術を指す。いくつかの種類が考案されており、主なものとして量子鍵配送[1]、量子直接通信 (quantum secure direct communication)[2]、YK プロトコル、Y-00 プロトコル、量子公開鍵暗号などがある。「量子暗号」と呼ぶ場合、代表的に量子鍵配送のことを指すことが多い。その実装の基礎が量子力学という物理学の基本法則に基づいていることと、量子公開鍵暗号を除き、計算量的安全性でなく情報理論的安全性を実装することができるとされる。情報理論的安全性とは、無限の計算能力をもつ攻撃者(イブと呼ばれる)から通信の秘匿性を保証できるとする概念である。逆に、商用に広く用いられる公開鍵暗号は解読に計算時間が膨大にかかる計算量的安全性をもつが、計算量には依存しない情報理論的安全性を実現していない。

混同されがちな暗号プロトコルに「ポスト量子暗号 Post-Quantum Cryptography (または耐量子暗号, quantum-resistant cryptography)」がある。これは量子計算機でも解読するのがおそらく難しいであろうと考えられているアルゴリズムによって実装される計算量的安全性なソフトウェア暗号であって、上述の意味での量子暗号ではない。ポスト量子暗号は、2024年の標準化を目指してNational Institute of Standards and Technology (NIST)が選定を進めている [3]

歴史[編集]

量子鍵配送ステファン・ワイズナー英語版の先駆的な研究により1970年に発見されていたが、後にチャールズ・ベネットジル・ブラサール英語版によって1984年に再発見された。このときに提案されたプロトコルがBB84である。提案された当初は非現実的であるとされたが、その後の実験技術の進歩とプロトコルの改良(誤り訂正及び安全性増幅)により、実現可能な技術とみなされるようになった。 上記の進展に触発され、量子直接通信、YK プロトコル、Y-00 プロトコル、量子公開鍵暗号などが考案された。

このうち、量子鍵配送とY-00プロトコルについての2021年の開発状況は、株式会社 矢野経済研究所 からのレポート Yano E Plus 2021年8月号(No.161) に掲載されている。[4]

量子鍵配送プロトコル[編集]

最大の利点は「証明可能な安全性」を主張する情報理論的安全性のクラスとされることである。現在、主流となっている量子暗号は量子鍵配送、特に商用ではBB84であるが、それ以外にも多くのバリエーションが登場している。大別すると、(近似的) 単一光子に基づくもの(B92など)と、コヒーレント状態の光 (レーザー)、スクイーズド状態の光 (レーザーの持つ不確定性を変形させた状態) などの連続光を用いたものがある。いずれも量子状態が観測によって歪む性質を用いて、盗聴者に漏洩したであろう情報量を見積もり、その結果に応じて秘匿性増幅(参考: Leftover Hash Lemma) を用いて安全性の高い鍵を作るという原則は変わらない。完全な秘密通信とされるワンタイムパッドを実現するための秘密鍵配送を目的とし、この秘密鍵の共有を量子状態の特性によって実現する。

量子力学を用いない場合、盗聴者の計算能力が無限に強い場合には、完全な安全性は不可能であることが知られている。それに対し、量子鍵配送の特徴は、量子力学が根拠となる堅牢な安全性が理論的に証明されていることで、これは応用上はもとより理論的にも興味深いことである。

ただし盗聴者へ漏洩したであろう情報の見積もりについてであるが、盗聴による信号の乱れと通信路の自然雑音を区別する方法はなく、送信機・通信路・受信機などで発生した雑音は全て盗聴により引き起こされたと仮定し、それらを盗聴された情報量の全てであると見積もって秘匿性増幅により配送した鍵の一部を適切に削減する。これは非効率ではあるが、物理法則以外に何事も可能とされる攻撃者が通信路をより雑音の低いものにすり替える可能性も捨てきれないためである [5] [6]。 つまり前述の意味で、厳密には盗聴行為を検知する方法はないと言って良い [7]

例えば(近似的な)単一光子に基づくプロトコルの場合、受信側の光子検出器が誤って光子を検出してしまう場合があり(暗検出)、これが安全性に影響を与える。特に光ファイバーを介して送信を送る場合、非常に多くの光子が伝送途中で損失してしまうため、遠距離通信の場合には、暗検出の中に本物の信号が埋もれてしまう。

例えば2007年の三菱電機の発表によれば、100キロメートル以上の伝送の場合、途中で傍受し鍵を複製した後、光の強さを調整すると検出器(受信者ボブ)のノイズにより傍受の検知ができなくなるという。同社は秘密鍵の作り方で対抗する考えだという。暗号技術はすべて、暗号化方式や伝送方式だけで安全性が確保されるわけではなく実装技術が大事であることを示している。量子暗号でも例外ではない。

以上の過剰な防御手段は、完全に近いな安全性を実現する上ではやむを得ない。


ただし、上記の安全性の証明は、通信を途中で傍受するタイプの攻撃が念頭にある。このほかにも、通信相手になりすます、配布が終了した後の鍵を盗む、暗号化の前や平文に直した後を狙うなどといった攻撃がありうる[8]。 また、量子暗号だけでなく通信機器全般に言えることではあるが、例えばバックドアを仕掛ける攻撃もありえる [9]。 一般的に暗号では理論上の安全性が実装上の安全性をそのまま意味するわけではない。

たとえば日経サイエンス増刊号[10]では、「アーター・エカートの量子暗号(1991年考案、E91プロトコル)は、光子を送信時まで安全に保管でき、通信会社や装置メーカーによっても破られないことが証明されている」とされている。しかし量子もつれを配送するE91プロトコルは、BB84に対する攻撃手法と類似の手法で偽のベル状態を正規ユーザーに測定させる攻撃手法がある [11]

現在までの実験では、光ファイバーを用いた場合、公称でも200キロメートル程度が伝送距離の最大であって、これでは長距離通信は不可能である。さらに劇的に通信距離を伸ばすには、量子もつれを用いた量子中継や、人工衛星を用いたシステムといった手法を導入する必要があると思われる [12] [13]

ただし前述のシャノンの完全秘匿の定義からは、鍵列の各ビットは互いに独立でかつ各鍵列は等確率で出現する独立同分布である必要性に注意を要する。 独立同分布でない性質から解読された例としてベノナ計画がある。一方で、BB84に代表する Prepare-and-Measure 型の量子鍵配送では、配送された鍵系列が独立同分布に近くとも盗聴者にとって完全には独立同分布にならないことは知られている [14]。 この場合、配送された鍵系列が独立同分布にはならないことから、部分的既知平文攻撃により残りの鍵系列の推定に成功する確率が導出されている。 そして本結果は、H. P. Yuen が2016年に出版した結果と一致し [15]、 2010年度にもすでに同氏により指摘されていた[16]

また、実用にあたっていくつかの問題提起もなされていることから、代わりに「ポスト量子暗号 Post-Quantum Cryptography (または耐量子暗号, quantum-resistant cryptography)」の使用がいくつかの機関から推奨されている。例えばアメリカ国家安全保障局欧州ネットワーク・情報セキュリティ機関、イギリスサイバーセキュリティセンター(National Cyber Security Centre (United Kingdom))、フランス国防安全保障事務局 (ANSSI) からの提言が知られている(詳細は参考文献を通読)。 [17] [18] [19] [20]

例えばアメリカ国家安全保障局が取り上げている問題点は下記5つである。

1. 量子鍵配送は送信元を認証する手段を提供しない。そのため送信元の認証には、非対称暗号または事前に配置された鍵を使用する必要がある [21]

2. 量子鍵配送には専用の機器が必要である。また、ハードウェアベースの暗号であるためアップグレードやセキュリティパッチに対する柔軟性にも欠ける。

3. 量子鍵配送は信頼できる中継機を使用する必要がある場合が多く、インフラコストとインサイダー脅威によるセキュリティリスクが発生する。

4. 量子鍵配送が提供する実際のセキュリティは理論的な無条件のセキュリティではなく、ハードウェアや設計によって実現される限定的なものであり、特定のハードウェアでは攻撃がいくつか公表されている[22]

5. 量子鍵配送は、盗聴が一定量を超えると見積もられたとき最初からやり直すという理論上の仕組みから、サービス拒否攻撃(DoS攻撃)が重大なリスクであることを示している。


上記の問題1に対し、ポスト量子暗号 Post-Quantum Cryptography (または耐量子暗号, quantum-resistant cryptography) で認証鍵を配送する試みが世界的に提案されている。一方で耐量子暗号は計算量的安全性のクラスに属する暗号であり、2015年にはすでに「情報理論的安全性ではない認証鍵を用いる場合に、システム全体として情報理論的安全性を実現するには実装上、十分な注意が必要である」との研究結果が出ている (認証鍵情報理論的安全性でない場合、攻撃者はそれを破ることで古典通信と量子通信の全てを制御下におき、中継することで中間者攻撃を発動できる) [23]

2018年時点では S. Wehner により「攻撃者の計算能力に制限がある場合には 情報理論的安全性 をもつ認証鍵の配布が可能」との見解が示されているものの [24]、 元々、量子鍵配送は「計算能力に制限のない攻撃者」を想定している。そのため当該目標を達成するには、他の解決策が望ましいと考えられる。

YK プロトコル[編集]

光の量子雑音を用いる暗号系として、H. P. Yuen と A. M. Kim が提唱した Yuen-Kim暗号鍵配送法式 もある [25]。類似のプロトコルは大阪大学の T. Ikuta と K. Inoue からも提案されている [26] [27]。本プロトコルも情報理論的安全性のクラスとされるが、積極的な研究は行われていない。

Y-00 プロトコル[編集]

H. P. Yuenは、2000年ごろに量子雑音を用いたストリーム暗号としてY-00を発表している [28] [29] [30]量子鍵配送とは異なり鍵配送を主眼とするものではなく、メッセージそのものを盗聴させずに伝送することを主目的とするため、盗聴者検出は必要ない。プライバシー増幅は後述する鍵配送時にのみ使われる場合がある。

動作原理としては次のとおりである。まず正規通信者は鍵を共有し、同じ擬似乱数生成器を使って疑似乱数鍵ストリームに変更する。これを適切に置換することで正規通信者は共通鍵をベースに通常の光通信を行うことができるのに対し (Advantage Creation と呼ばれる)、鍵を共有しない攻撃者にとっては A. D. Wyner の雑音のある盗聴通信路 (Wire-Tap Channel) モデル [31] を実現し、シャノンが定めた情報理論的安全性の限界 (ワンタイムパッド, en:One-time pad) を超えることを目指す [32]

上記の盗聴通信路に発生する雑音のもとは、ロイ・グラウバー および ジョージ・スダルシャン が理論化したレーザ光 (コヒーレント状態) の理論的帰結による電磁場そのものがもつ不確定性原理である [33] [34] [35] ため、既存の技術で十分に実装できる。 レビュー論文[36]にその内容がよくまとまっている。

主目的はメッセージそのものの伝送であるが、鍵配送に使えないわけではなく送信するメッセージを鍵に変更するだけで鍵の配送は可能である [37][38]。 また、共通鍵暗号であるため初期鍵を共有する必要があるが、部分的には初期鍵の配送方法も提案されている [39]

さらには通常の通信レーザー光を用いるため、既存の通信インフラストラクチャーと互換性があり、高速・長距離の通信が可能である [40] [41] [42] [43] [44]


その一方で、具体的にどのような実装により情報理論的安全性を実現できるかは現在のところ定かではなく、量子鍵配送と比べた場合の安全性については長らく論争が続いていた [45] [46] [47] [48][49] [50] [51] [52] [53] [54] [55] [56]

量子公開鍵暗号[編集]

本プロトコルは、量子コンピュータを用いた公開鍵暗号方式であり、計算量的安全性のクラスに属する。例えば、OTU暗号 (岡本・田中・内山暗号) はナップサック問題といわれるNP完全問題に基づいており、鍵の生成時に離散対数問題を解くために量子コンピュータを用いる[57]

日本における研究開発施策[編集]

2000年2月7日から6月19日までの4か月間で全6回開催された「量子力学的効果の情報通信技術への適用とその将来展望に関する研究会」で量子情報通信技術について展望と施策を検討し、2000年6月23日に「21世紀の革命的な量子情報通信技術の創生に向けて」と題する報告書を公開している[58]

ついで、2001年5月24日に第1回「量子情報通信研究推進会議」が開催されて、以降2年間にわたって実用化に向けた施策の総合的検討を行い、2003年11月20日に報告書をまとめている[59]

2004年6月15日の第1回「21世紀ネットワーク基盤技術研究推進会議」で、本推進会議の下に「量子情報通信ワーキンググループ」を設置することが了承され、2005年7月に報告書がまとめられた[60]

現在、進行中の議事録は下記から参照できる[61]

脚注[編集]

[脚注の使い方]

参考文献[編集]

  1. ^ Bennett, C. H.; Brassard, G. (1984). Quantum cryptography: Public key distribution and coin tossing. https://doi.org/10.1016/j.tcs.2014.05.025. 
  2. ^ Fuguo, Deng; et, al. (2004-05-01). Secure direct communication with a quantum one-time pad. https://doi.org/10.1103/PhysRevA.69.052319. 
  3. ^ Post-Quantum Cryptography, https://csrc.nist.gov/Projects/post-quantum-cryptography
  4. ^ Yano E plus 2021年8月号(No.161), https://www.yano.co.jp/eplus/D63100808
  5. ^ Makarov, Vadim; Hjelme, Dag R. (2007-02-20). Faked states attack on quantum cryptosystems. https://doi.org/10.1080/09500340410001730986. 
  6. ^ Lydersen, Lars; et, al. (2010-08-29). Hacking commercial quantum cryptography systems by tailored bright illumination. https://doi.org/10.1038/nphoton.2010.214. 
  7. ^ 日本はいま、人類史上最強のセキュリティ技術「量子暗号」の先頭を走っている=佐々木雅英、2020年04月24日 [1]
  8. ^ 小芦雅斗、小柴健史「量子暗号理論の展開」https://www.saiensu.co.jp/search/?isbn=978-4-7819-9920-3&y=2017
  9. ^ Curty, Marcos; Lo, Hoi-Kwong (2018-10-08). Quantum cryptography with malicious devices. https://doi.org/10.1117/12.2502066. 
  10. ^ 不思議な量子をあやつる―量子情報科学への招待、別冊日経サイエンス 161(2008年5月)p.105。
  11. ^ Jogenfors, Jonathan; et, al. (2015-12-18). Hacking the Bell test using classical light in energy-time entanglement-based quantum key distribution. https://doi.org/10.1126/sciadv.1500793. 
  12. ^ 「解けない」量子暗号の研究で先行する日本=佐々木NICT主管研究員に聞く=、2020年04月17日 [2]
  13. ^ 光子検出技術が後押し 未来永劫、解読できず=佐々木雅英/小林宏明、2020年4月20日 [3]
  14. ^ Wang, X.-B.; et, al. (2020-05-22). Guessing probability in quantum key distribution. https://doi.org/10.1038/s41534-020-0267-3. 
  15. ^ Yuen, H. P. (2016-02-11). Security of Quantum Key Distribution. https://doi.org/10.1109/ACCESS.2016.2528227. 
  16. ^ Yuen, H. P. (2010-08-30). Fundamental quantitative security in quantum key generation. https://doi.org/10.1103/PhysRevA.82.062304. 
  17. ^ Quantum Key Distribution (QKD) and Quantum Cryptography (QC) [4]
  18. ^ Post-Quantum Cryptography: Current state and quantum mitigation, Section 6 "Conclusion" [5]
  19. ^ Quantum security technologies [6]
  20. ^ Should Quantum Key Distribution be Used for Secure Communications? [7]
  21. ^ Tamaki, Kiyoshi (2010-02-01). 量子鍵配布理論. http://www.ieice-hbkb.org/files/S2/S2gun_05hen_01.pdf. 
  22. ^ Scarani, Valerio; Kurtsiefer, Christian (2014-12-04). The black paper of quantum cryptography: Real implementation problems. https://doi.org/10.1016/j.tcs.2014.09.015. 
  23. ^ Pacher, Christoph; et, al. (2016-01). Attacks on quantum key distribution protocols that employ non-ITS authentication. https://doi.org/10.1007/s11128-015-1160-4. 
  24. ^ Wehner, Stephanie; et, al. (2018-10-19). Quantum internet: A vision for the road ahead. https://doi.org/10.1126/science.aam9288. 
  25. ^ Yuen, Horace. P.; Kim, Ajung M. (1998-04-27). Classical noise-based cryptography similar to two-state quantum cryptography. https://www.doi.org/10.1016/S0375-9601(98)00066-8. 
  26. ^ Ikuta, Takuya; Inoue, Kyo (2016). Intensity modulation and direct detection quantum key distribution based on quantum noise. https://doi.org/10.1088/1367-2630/18/1/013018. 
  27. ^ Naoki, Yamamori; Inoue, Kyo (2016). Experimental demonstration of intensity-modulation/direct-detection secret key distribution. https://doi.org/10.35848/1347-4065/ab6e11. 
  28. ^ Barbosa, Geraldo A.; Corndorf, Eric; Kumar, Prem; Yuen, Horace P. (2003-06-02). Secure Communication Using Mesoscopic Coherent States. https://doi.org/10.1103/PhysRevLett.90.227901. 
  29. ^ Hirota, Osamu; et, al. (2003-06-02). 量子雑音によるランダムストリーム暗号Y-00. https://annex.jsap.or.jp/photonics/kogaku/public/39-01-kaisetsu2.pdf. 
  30. ^ 原澤克嘉 (4 2020). “量子コンピュータ時代に対応する情報セキュリティ-量子雑音ストリーム暗号Y-00(Yuen2000プロトコル)-”. 海幹校戦略研究 特別号(通巻第19号): 153-154. https://www.mod.go.jp/msdf/navcol/SSG/review/sp-1-s/sp-1-10.pdf. 
  31. ^ Wyner, A. D. (1975-10). The Wire‐Tap Channel. https://doi.org/10.1002/j.1538-7305.1975.tb02040.x. 
  32. ^ Hirota, Osamu; et, al. (2010-09-01). Getting around the Shannon limit of cryptography. https://doi.org/10.1117/2.1201008.003069. 
  33. ^ Roy J., Glauber (1963-06-15). The Quantum Theory of Optical Coherence. https://doi.org/10.1103/PhysRev.130.2529. 
  34. ^ E. C. G., Sudarshan (1963-04-01). Equivalence of Semiclassical and Quantum Mechanical Descriptions of Statistical Light Beams. https://doi.org/10.1103/PhysRevLett.10.277. 
  35. ^ Walls, D. F.; Milburn, G. J. (2008-01). Quantum optics. https://www.google.com/books/edition/_/LiWsc3Nlf0kC?sa=X&ved=2ahUKEwigl7GtrrTyAhUSBZQKHREWAoYQ8fIDMBl6BAglECI. 
  36. ^ Verma, Pramode K.; El Rifai, Mayssaa; Chan, K.W.Clifford (2018-08-19). Secure Communication Based on Quantum Noise. https://doi.org/10.1007/978-981-10-8618-2_4. 
  37. ^ Yuen, Horace P. (2009-11). Key Generation: Foundations and a New Quantum Approach. https://doi.org/10.1109/JSTQE.2009.2025698. 
  38. ^ Takehisa, Iwakoshi (2020-01-27). Analysis of Y00 Protocol Under Quantum Generalization of a Fast Correlation Attack: Toward Information-Theoretic Security. https://doi.org/10.1109/ACCESS.2020.2969455. 
  39. ^ Iwakoshi, Takehisa (2019-06-05). Message-Falsification Prevention With Small Quantum Mask in Quaternary Y00 Protocol. https://doi.org/10.1109/ACCESS.2019.2921023. 
  40. ^ Hirota, Osamu; et, al. (2005-08-26). Quantum stream cipher by the Yuen 2000 protocol: Design and experiment by an intensity-modulation scheme. https://doi.org/10.1103/PhysRevA.72.022335. 
  41. ^ Yoshida, Masato; et, al. (2021-02-15). 10 Tbit/s QAM Quantum Noise Stream Cipher Coherent Transmission Over 160 Km. https://doi.org/10.1109/JLT.2020.3016693. 
  42. ^ Futami, Fumio; et, al. (2018-03). Dynamic Routing of Y-00 Quantum Stream Cipher in Field-Deployed Dynamic Optical Path Network. https://doi.org/10.1364/OFC.2018.Tu2G.5. 
  43. ^ Tanizawa, Ken; Futami, Fumio (2020). Security-Enhanced 10,118-km Single-Channel 40-Gbit/s Transmission Using PSK Y-00 Quantum Stream Cipher. https://doi.org/10.1109/ECOC48923.2020.9333304. 
  44. ^ Tanizawa, Ken; Futami, Fumio (2020-04). Quantum Noise-Assisted Coherent Radio-over-Fiber Cipher System for Secure Optical Fronthaul and Microwave Wireless Links. https://doi.org/10.1109/JLT.2020.2987213. 
  45. ^ Nishioka, Tsuyoshi; et, al. (2004-06-21). How much security does Y-00 protocol provide us?. https://doi.org/10.1016/j.physleta.2004.04.083. 
  46. ^ Yuen, Horace P.; et, al. (2005-10-10). Comment on:'How much security does Y-00 protocol provide us?'[Phys. Lett. A 327 (2004) 28]. https://doi.org/10.1016/j.physleta.2005.08.022. 
  47. ^ Nishioka, Tsuyoshi; et, al. (2005-10-10). Reply to:"Comment on:'How much security does Y-00 protocol provide us?'" [Phys. Lett. A 346 (2005) 1]. https://doi.org/10.1016/j.physleta.2005.08.022. 
  48. ^ Nair, Ranjith; et, al. (2005-09-13). Reply to:'Reply to:"Comment on:`How much seczurity does Y-00 protocol provide us?`"'. https://arxiv.org/abs/quant-ph/0509092. 
  49. ^ 今井, 秀樹「暗号と情報セキュリティ」『生産研究』第57巻第5号、東京大学生産技術研究所、2005年、 427-440頁。
  50. ^ Donnet, Stéphane; et, al. (2006-08-21). Security of Y-00 under heterodyne measurement and fast correlation attack. https://doi.org/10.1016/j.physleta.2006.04.002. 
  51. ^ Yuen, Horace P.; et, al. (2007-04-23). On the security of Y-00 under fast correlation and other attacks on the key. https://doi.org/10.1016/j.physleta.2006.12.033. 
  52. ^ Mihaljević, Miodrag J. (2007-05-24). Generic framework for the secure Yuen 2000 quantum-encryption protocol employing the wire-tap channel approach. https://doi.org/10.1103/PhysRevA.75.052334. 
  53. ^ Shimizu, Tetsuya; et, al. (2008-03-27). Running key mapping in a quantum stream cipher by the Yuen 2000 protocol. https://doi.org/10.1103/PhysRevA.77.034305. 
  54. ^ Ota, Masataka (2008-06-05). Y-00 is Broken. https://ci.nii.ac.jp/naid/110006950403/. 
  55. ^ Tregubov, P. A.; Trushechkin, A. S. (2020-11-21). Quantum Stream Ciphers: Impossibility of Unconditionally Strong Algorithms. https://doi.org/10.1007. 
  56. ^ Iwakoshi, Takehisa (2021-02). Security Evaluation of Y00 Protocol Based on Time-Translational Symmetry Under Quantum Collective Known-Plaintext Attacks. https://doi.org/10.1109/ACCESS.2021.3056494. 
  57. ^ 健史, 小柴 (2006-02-15). 量子コンピュータは公開鍵暗号にとって脅威なのか?. https://jglobal.jst.go.jp/detail?JGLOBAL_ID=200902231891751196. 
  58. ^ 「21世紀の革命的な量子情報通信技術の創生に向けて」量子力学的効果の情報通信技術への適用とその将来展望に関する研究会 報告書、2000年6月 [8]
  59. ^ 「量子情報通信技術研究開発戦略 : 21世紀の革命的なネットワーク社会の実現に向けて」量子情報通信研究推進会議 報告書、2003年11月 [9]
  60. ^ 「21世紀ネットワーク基盤技術研究開発戦略 : ICTの新パラダイムを創生」21世紀ネットワーク基盤技術研究推進会議 報告書、2005年7月(3-3)
  61. ^ サイバーセキュリティ研究・技術開発取組方針 [10]

関連項目[編集]