電子割符

電子割符(でんしわっぷ)とは、秘密分散法を応用した暗号技術の一種、およびそれにより生成される分割された情報のことである。用いられた秘密分散法の特徴がそのままその電子割符の特徴^{[注釈 1]}となる。1979年にShamirとBlakleyによってそれぞれ独立に異なる秘密分散法が提案されて以来、多くの秘密分散法が提案され、その数だけの種類の電子割符がある。

新たな情報運用管理手法を産み出す基礎技術として^[1]、また機密情報保護の観点^[2]^[3]から注目を集めている。

概要[編集]

現実の割符と同様に一つの元の情報を二つ以上に分割し、またそれらを集めることで元の情報を復元する。現実の割符では主に、元の情報自体は既知で集めた時に既知の情報が得られたことを確認する相互認証^{[注釈 2]}に用いられる^{[注釈 3]}が、電子割符では、複数人の協力によってのみ得られる秘密情報の隠蔽^{[注釈 4]}に用いられる。また現実の割符では不可能な、十に分けた電子割符の内のどれでも三つ以上が集まれば秘密情報を得られる等の閾値（この例では三つ）を指定する^{[注釈 5]}などの高い可用性を持つ。

暗号技術の一種ではあるが、一般の暗号（秘匿通信）とは異なった利用法を前提としていることから暗号として単純に評価することができず、用いられた秘密分散法を評価しなければならない。表面的には「暗号文と暗号鍵に分ける」と認識しても大きな間違いではない（→#バーナム暗号との関係）が、それでは多くの電子割符が具備する高い可用性も広い応用範囲も説明できないことは留意しておくべきである。

応用[編集]

PCの盗難対策[編集]

機密ファイル等の秘密情報から割符が三つ以上必要なように電子割符を生成する。
そのうちの一つをサーバーに保存して外部からアクセス出来るようにする。公開サーバーに公開情報として置いても良い。
機密ファイルの閲覧許可を持つ者に他の一つの割符を持たせる。
またそのPCにもう一つの割符を記録しておく。

こうすることで割符を持った人が割符を記録したPCで接続した場合にのみ閲覧可能となり、万一PCが盗難されても情報は漏洩しない。

この例では原始的な秘密分散法ではPCを二つ以上盗まれると情報も漏洩することになるが、各割符に特権を持たせることで特権の無い割符が入ったPCをいくつ盗まれても情報が漏洩しない秘密分散法もある。

分散バックアップ[編集]

バックアップを割符にして地理的に離れた複数個所に分散して保存しておくことで盗難や事故、災害、テロ等により一部が失われても復元出来るようにすることができる。

これだけなら単に暗号化した複製を分散して保存すれば済むが、電子割符を利用すると、本社機能が麻痺した時でも支社が割符を持ち寄って全社情報を復元し、本社機能を代行する（例えば顧客の資産保全）などの緊急措置を執ることが可能になる。単に暗号化した複製を分散して保存している場合には、暗号鍵の管理方法によっては本社機能と共に暗号鍵も失われたり、支社各々が独断で全社情報を復元できたりしてしまう。

バーナム暗号との関係[編集]

割符を暗号として見た場合、用いられる秘密分散法^{[注釈 6]}によってはバーナム暗号と原理的に同一、即ち情報理論的安全性を持つ完全暗号^{[注釈 7]}にすることが可能である。

秘匿通信としてバーナム暗号を利用する場合には鍵配送問題と呼ばれる、暗号鍵をどうやって盗聴されることなく通信相手に届けるか（そんな方法があるなら暗号化などせずにその方法で平文を届ければ良いはずだ）という問題が存在する。しかし電子割符は運用目的が秘匿通信ではないため、単に暗号鍵を割符の一つにする^{[注釈 8]}ことで鍵配送問題が解決する。言い換えるとバーナム暗号は、分割数2閾値2の電子割符であると言える。

逆にバーナム暗号を電子割符として見た場合、分割数n^{[注釈 9]}に対して必ずn個の割符が無ければ秘密情報を得ることが出来ない。即ち、閾値は必ず分割数と同一でなければならず、また全ての割符は等価であり、そして全ての割符は秘密情報と同じ長さを持つ。

これに対して電子割符は用いられる秘密分散法によって、分割数とは異なる閾値を指定できたり、一部の割符に特権を持たせ（特権の無い割符がいくつあっても復元出来ないようにし）たり、割符の長さを秘密情報の数分の一にしたりできるなど、高い可用性がある。

割符を完全暗号にする秘密分散法としては、n次多項式はそれが通るn+1個の点を指定すると一つに定まることを利用したShamirの秘密分散法が代表例として挙げられる。

真の乱数列から生成した数列もまた真の乱数列となることから、各々の割符の暗号鍵を、同じ真の乱数から（各々の割符を識別する情報と共に）生成した数学的な関連性がある値とすることで、一つの割符の暗号鍵を調べれば互いに関連性の無い真の乱数（即ちバーナム暗号）でありながらも各々の割符の暗号鍵を必要なだけ並べれば、その数学的な関連性（Shamirの秘密分散法の場合はラグランジュ補間の変形）から暗号鍵を算出し暗号を解くことが出来るようになる。

Shamirの秘密分散法は単体の割符に関して完全暗号なだけではなく、閾値未満の数の割符に対しても完全暗号である特徴を持つ。が、割符の長さが必ず秘密情報の長さを超える^{[注釈 10]}、全ての割符が等価^{[注釈 11]}である、計算量が多く複雑で時間が掛かる^{[注釈 12]}などの理由で可用性が低く実用には向かない。

バーナム暗号が完全暗号でありながら可用性の低さから商用の暗号には用いられず他の完全暗号ではない計算量的安全性を持つ暗号が用いられているように、Shamirの秘密分散法も商用の電子割符には用いられず他の完全暗号ではない（が充分な暗号強度を持ち高速な）秘密分散法^{[注釈 13]}が用いられている。

電子割符の説明として、動作原理の理解が容易なShamirの秘密分散法の説明がされることがあるが、Shamirの秘密分散法を用いた電子割符と同等の完全性や不可用性を全ての電子割符が具備しているわけではないことには注意を要する。

脚注[編集]

注釈[編集]

^ 分割された情報の一つから元の秘密情報を一部だけであっても復元できるなら秘密分散法として認められないため、全ての電子割符はこの特徴を持つ。一つのファイルを単に前半後半に分けた、というものではない。
^ 例えば勘合貿易など
^ 逆に電子割符では、元の情報自体が既知であればいくらでも割符を生成出来るので、そのままでは相互認証に用いるのは難しい。
^ 現実に例えるなら、各行毎にバラバラにされた宝の隠し場所を示す詩
^ 必ずしも全ての割符が集まらなくても秘密情報を得られるように出来る。無論、全てが集まらなければ秘密情報を得られないようにも出来る。さらには、特定のグループの割符が指定数以上含まれていなければ秘密情報を得られないようにも出来る。
^ 例えば、Shamirの秘密分散法
^ 簡単に言うと（運用方法さえ間違わなければ）どんなに計算機の能力が上がっても、どんなに（例えば何兆年もの）時間をかけても、決して解くことの出来ない暗号である。
^ バーナム暗号に於いては、暗号鍵と暗号文とは完全に等価である（暗号鍵は平文を暗号文で暗号化したものである）ので、電子割符として利用するならば区別する意味は無い。
^ 2を超える分割数は、既に分割された二つの割符（一方は乱数である暗号鍵、他方は暗号文である平文XOR暗号鍵）のいづれか一方（どちらでも構わない）を再びバーナム暗号で暗号化する（＝分割する）ことでいくらでも増加出来る。繰り返すが、バーナム暗号に於いては暗号文と暗号鍵は等価である。
^ 概算で数%程度増加する。それに加えて各々の割符を識別する情報も必要となる。
^ つまり#応用にある通り「PCを二つ盗まれれば情報が漏洩する」ことになる。
^ なので例えばICカードに実装することが出来ない。
^ 例えば高速なランプ型では、閾値未満であっても割符が増えるにつれて平文の候補が絞られてくるので完全ではない。が、そもそも一般の秘匿通信を行なう暗号も最初から平文の候補が絞られている（計算量的安全性を持つ暗号である）ので、必ずしも安全性を損なう特徴ではない。

出典[編集]

^ GFI株式会社アルゴリズム開示に関し
^ 平成18年警察庁生活安全局情報技術犯罪対策課アクセス制御機能に関する技術の研究開発の状況等に関する調査
^ 一般財団法人日本情報経済社会推進協会(JIPDEC) ECにおける情報セキュリティに関する活動報告書2009