量子暗号: 量子力学の性質を活用した暗号技術

よくある誤解として下記を列挙しておく。

1. 「量子暗号」と呼ぶ場合、代表的に量子鍵配送のことを指すことが多いが、量子鍵配送は鍵の配送手段のみが量子的であり、配送された鍵の使われ方が量子的であるとは限らないこと。

2. 量子鍵配送は、予め配送された鍵を用いた共通鍵暗号であり、事前に配送済みの知識を必要としない計算量的安全性な公開鍵暗号ではないこと。

3. 「暗号資産または暗号通貨に量子暗号を応用することで資産の安全性を高める」という言説があるが、2021年時点での量子暗号は通信回線上のデータの攻撃の防御のみに特化しており、ストレージ内のデータの防御には対応できないこと。ストレージ内のデータを情報理論的安全性を達成しながら保護するには秘密分散が必要であるが、本技術には量子力学の特性は関係がない。

4. 混同されがちな暗号プロトコルに「ポスト量子暗号 Post-Quantum Cryptography (または耐量子暗号, quantum-resistant cryptography)」がある。これは量子計算機でも解読するのがおそらく難しいであろうと考えられているアルゴリズムによって実装される計算量的安全性なソフトウェア暗号であって、耐量子暗号つまり量子技術を用いた暗号ではない。詳細は後述するが、ポスト量子暗号は、2024年の標準化を目指してNational Institute of Standards and Technology (NIST)が選定を進めている 。

量子鍵配送はステファン・ワイズナー（英語版）の先駆的な研究により1970年に発見されていたが、後にチャールズ・ベネットとジル・ブラサール（英語版）によって1984年に再発見された。このときに提案されたプロトコルがBB84である。提案された当初は非現実的であるとされたが、その後の実験技術の進歩とプロトコルの改良（誤り訂正及び安全性増幅）により、実現可能な技術とみなされるようになった。 上記の進展に触発され、量子直接通信、YK プロトコル、Y-00 プロトコル、量子公開鍵暗号などが考案された。

このうち、量子鍵配送とY-00プロトコルについての2021年の開発状況は、株式会社 矢野経済研究所 からのレポート Yano E Plus 2021年8月号(No.161) に掲載されている。 また、文献としては2009年発行と最新の状況が反映されていないが、量子鍵配送とY-00プロトコルの原理は日本銀行金融研究所のレポートに紹介されている。

量子鍵配送プロトコル

最大の利点は「証明可能な安全性」を主張する情報理論的安全性のクラスとされることである。現在、主流となっている量子暗号は量子鍵配送、特に商用ではBB84であるが、それ以外にも多くのバリエーションが登場している。大別すると、(近似的) 単一光子に基づくもの(B92など）と、コヒーレント状態の光 (レーザー)、スクイーズド状態の光 (レーザーの持つ不確定性を変形させた状態) などの連続光を用いたものがある。いずれも量子状態が観測によって歪む性質を用いて、盗聴者に漏洩したであろう情報量を見積もり、その結果に応じて秘匿性増幅(参考: Leftover Hash Lemma) を用いて安全性の高い鍵を作るという原則は変わらない。完全な秘密通信とされるワンタイムパッドを実現するための秘密鍵配送を目的とし、この秘密鍵の共有を量子状態の特性によって実現する。

量子力学を用いない場合、盗聴者の計算能力が無限に強い場合には、完全な安全性は不可能であることが知られている。それに対し、量子鍵配送の特徴は、量子力学が根拠となる堅牢な安全性が理論的に証明されていることで、これは応用上はもとより理論的にも興味深いことである。

ただし盗聴者へ漏洩したであろう情報の見積もりについてであるが、盗聴による信号の乱れと通信路の自然雑音を区別する方法はなく、送信機・通信路・受信機などで発生した雑音は全て盗聴により引き起こされたと仮定し、それらを盗聴された情報量の全てであると見積もって秘匿性増幅により配送した鍵の一部を適切に削減する。これは非効率ではあるが、物理法則以外に何事も可能とされる攻撃者が通信路をより雑音の低いものにすり替える可能性も捨てきれないためである 。 つまり前述の意味で、厳密には盗聴行為を検知する方法はないと言って良い 。

例えば（近似的な）単一光子に基づくプロトコルの場合、受信側の光子検出器が誤って光子を検出してしまう場合があり（暗検出）、これが安全性に影響を与える。特に光ファイバーを介して送信を送る場合、非常に多くの光子が伝送途中で損失してしまうため、遠距離通信の場合には、暗検出の中に本物の信号が埋もれてしまう。

例えば2007年の三菱電機の発表によれば、100キロメートル以上の伝送の場合、途中で傍受し鍵を複製した後、光の強さを調整すると検出器(受信者ボブ)のノイズにより傍受の検知ができなくなるという。同社は秘密鍵の作り方で対抗する考えだという。暗号技術はすべて、暗号化方式や伝送方式だけで安全性が確保されるわけではなく実装技術が大事であることを示している。量子暗号でも例外ではない。

以上の過剰な防御手段は、完全に近い安全性を実現する上ではやむを得ない。

ただし、上記の安全性の証明は、通信を途中で傍受するタイプの攻撃が念頭にある。このほかにも、通信相手になりすます、配布が終了した後の鍵を盗む、暗号化の前や平文に直した後を狙うなどといった攻撃がありうる。 また、量子暗号だけでなく通信機器全般に言えることではあるが、例えばバックドアを仕掛ける攻撃もありえる 。 一般的に暗号では理論上の安全性が実装上の安全性をそのまま意味するわけではない。

たとえば日経サイエンス増刊号では、「アーター・エカートの量子暗号（1991年考案、E91プロトコル）は、光子を送信時まで安全に保管でき、通信会社や装置メーカーによっても破られないことが証明されている」とされている。しかし量子もつれを配送するE91プロトコルは、BB84に対する攻撃手法と類似の手法で偽のベル状態を正規ユーザーに測定させる攻撃手法がある 。

現在までの実験では、光ファイバーを用いた場合、公称でも200キロメートル程度が伝送距離の最大であって、これでは長距離通信は不可能である。さらに劇的に通信距離を伸ばすには、量子もつれを用いた量子中継や、人工衛星を用いたシステムといった手法を導入する必要があると思われる 。

ただし前述のシャノンの完全秘匿の定義からは、鍵列の各ビットは互いに独立でかつ各鍵列は等確率で出現する独立同分布である必要性に注意を要する。 独立同分布でない性質から解読された例としてベノナ計画がある。一方で、BB84に代表する Prepare-and-Measure 型の量子鍵配送では、配送された鍵系列が独立同分布に近くとも盗聴者にとって完全には独立同分布にならないことは知られている 。 この場合、配送された鍵系列が独立同分布にはならないことから、部分的既知平文攻撃により残りの鍵系列の推定に成功する確率が導出されている。 そして本結果は、H. P. Yuen が2016年に出版した結果と一致し 、 2010年度にもすでに同氏により指摘されていた。 2018年時点では S. Wehner により「攻撃者の計算能力に制限がある場合には 情報理論的安全性 をもつ認証鍵の配布が可能」との見解が示されているものの 、量子鍵配送は「計算能力に制限のない攻撃者」を想定している。そのため当該目標を達成するには、他の解決策が望ましいと考えられる。

政府機関による量子鍵配送の非推奨

以下、実用にあたっていくつかの問題提起もなされていることから、代わりに「ポスト量子暗号 Post-Quantum Cryptography (または耐量子暗号, quantum-resistant cryptography)」の使用がいくつかの機関から推奨されている。例えばアメリカ国家安全保障局、欧州ネットワーク・情報セキュリティ機関、イギリスサイバーセキュリティセンター(National Cyber Security Centre (United Kingdom))、フランス国防安全保障事務局 (ANSSI) からの提言が知られている(詳細は参考文献を通読)。

例えばアメリカ国家安全保障局が取り上げている問題点は下記５つである。

1. 量子鍵配送は送信元を認証する手段を提供しない。そのため送信元の認証には、非対称暗号または事前に配置された鍵を使用する必要がある 。

2. 量子鍵配送には専用の機器が必要である。また、ハードウェアベースの暗号であるためアップグレードやセキュリティパッチに対する柔軟性にも欠ける。

3. 量子鍵配送は信頼できる中継機を使用する必要がある場合が多く、インフラコストとインサイダー脅威によるセキュリティリスクが発生する。

4. 量子鍵配送が提供する実際のセキュリティは理論的な無条件のセキュリティではなく、ハードウェアや設計によって実現される限定的なものであり、特定のハードウェアでは攻撃がいくつか公表されている。

5. 量子鍵配送は、盗聴が一定量を超えると見積もられたとき最初からやり直すという理論上の仕組みから、サービス拒否攻撃(DoS攻撃)が重大なリスクであることを示している。

上記の問題１に対し、ポスト量子暗号 Post-Quantum Cryptography (または耐量子暗号, quantum-resistant cryptography) で認証鍵を配送する試みが世界的に提案されている。一方で耐量子暗号は計算量的安全性のクラスに属する暗号であり、2015年にはすでに「情報理論的安全性ではない認証鍵を用いる場合に、システム全体として情報理論的安全性を実現するには実装上、十分な注意が必要である」との研究結果が出ている (認証鍵情報理論的安全性でない場合、攻撃者はそれを破ることで古典通信と量子通信の全てを制御下におき、中継することで中間者攻撃を発動できる) 。また、民間企業であるエリクソンも上記の問題点を引用して指摘し、その上で、最近のネットワーク・セキュリティ技術のトレンドであるゼロトラスト・セキュリティモデルにも対応できないのではないか、というレポートを提示している 。

YK プロトコル

光の量子雑音を用いる暗号系として、H. P. Yuen と A. M. Kim が提唱した Yuen-Kim暗号鍵配送法式 もある 。類似のプロトコルは大阪大学の T. Ikuta と K. Inoue からも提案されている 。本プロトコルも情報理論的安全性のクラスとされるが、積極的な研究は行われていない。

Y-00 プロトコル

H. P. Yuenは、2000年ごろに量子雑音を用いたストリーム暗号としてY-00を発表し 、 アメリカ国防高等研究計画局 (DARPA) の高速・大容量量子暗号プロジェクトに応募している 。 量子鍵配送とは異なり鍵配送を主眼とするものではなく、メッセージそのものを盗聴させずに伝送することを主目的とするため、盗聴者検出は必要ない。しかし鍵配送に使えないわけではなく、送信するメッセージを鍵に変更するだけで鍵の配送は可能であると Yuen が提唱した 。

また、共通鍵暗号であるため初期鍵を共有する必要があるが、部分的には初期鍵の配送方法も提案されている 。

現在では主に日本および中国で研究が進められている 。

動作原理としては次のとおりである。まず正規通信者は鍵を共有し、同じ擬似乱数生成器を使って疑似乱数鍵ストリームに変更する。これを適切に置換することで正規通信者は共通鍵をベースに通常の光通信を行うことができるのに対し (Advantage Creation と呼ばれる)、鍵を共有しない攻撃者にとっては A. D. Wyner の雑音のある盗聴通信路 (Wire-Tap Channel) モデル を実現し、シャノンが定めた情報理論的安全性の限界 (ワンタイムパッド, en:One-time pad) を超えることを目指す 。

上記の盗聴通信路に発生する雑音のもとは、ロイ・グラウバー および ジョージ・スダルシャン が理論化したレーザ光 (コヒーレント状態) の理論的帰結による電磁場そのものがもつ不確定性原理である ため、既存の技術で十分に実装できる。 レビュー論文にその内容がよくまとまっている。

さらには通常の通信レーザー光を用いるため、既存の通信インフラストラクチャーと互換性があり、高速・長距離の通信およびルーティングが可能である 。

その一方で、具体的にどのような実装により十分に強い情報理論的安全性を実現できるかは現在のところ定かではなく、量子鍵配送と比べた場合の安全性については長らく論争が続いていた ． Y-00プロトコルを十分に強固な情報理論的安全にする可能性について、現時点ではそのようなY-00通信装置の実装方法が存在することは証明されているが 、 具体的な実装方法は明らかにされていない。例えば、2006年に発見された高速相関攻撃 (Fast Correlation-Attack) を防ぎきる方法も2023年時点では見つかっておらず、現状では情報理論的安全を達成できていないと考えられる 。

量子公開鍵暗号

本プロトコルは、量子コンピュータを用いた公開鍵暗号方式であり、計算量的安全性のクラスに属する。例えば、OTU暗号 (岡本・田中・内山暗号) はナップサック問題といわれるNP完全問題に基づいており、鍵の生成時に離散対数問題を解くために量子コンピュータを用いる。

2000年2月7日から6月19日までの4か月間で全6回開催された「量子力学的効果の情報通信技術への適用とその将来展望に関する研究会」で量子情報通信技術について展望と施策を検討し、2000年6月23日に「21世紀の革命的な量子情報通信技術の創生に向けて」と題する報告書を公開している。

ついで、2001年5月24日に第1回「量子情報通信研究推進会議」が開催されて、以降2年間にわたって実用化に向けた施策の総合的検討を行い、2003年11月20日に報告書をまとめている。

2004年6月15日の第1回「21世紀ネットワーク基盤技術研究推進会議」で、本推進会議の下に「量子情報通信ワーキンググループ」を設置することが了承され、2005年7月に報告書がまとめられた。

現在、進行中の議事録は下記から参照できる。

• 量子ネットワーク
• 量子暗号プロトコル
• アインシュタイン＝ポドルスキー＝ローゼンのパラドックス