Quantum Cryptography

映像情報メディア関連のセキュリティ〔第 8 回〕 量子暗号 鶴 丸 豊 広† １．まえがき を比較対照にして，暗号装置として実際に使う場合のメ リットとデメリットについて整理するとともに，その現状 量子暗号は，通信を盗聴しようとするどんな盗聴者に対 のデメリットの解消にむけた取組みについても紹介しま しても盗聴を防止できる安全な暗号方式です．なおこの暗 す．デメリットについて述べる箇所では，量子暗号を否定 号方式は，これまでこのシリーズで対象としてきた暗号と しているように感じられる内容も含んでいますが，著者の は違って，まだ一般には普及していない，次世代の暗号方 真意は決して量子暗号を否定することではありません．む 式です． しろ，このような課題を正面から分析して楽しむことに RSA 方式をはじめとする，現在普及している暗号方式 よって，量子暗号研究のさらなる発展に寄与していきたい （これを以下，現代暗号と呼ぶことにします）は，既存の方 と考えています．なお量子暗号に関するこれまでの文献で 式のコンピュータで，既知のアルゴリズムを使ったとして は，個々の課題については指摘されているものの，それら も，人間が想定しうるまともな時間内（例えば，100 億年以 をまとめて分析したものは著者の知る限り存在しないよう 内）では解読ができないという「予想」 （計算量的な仮定）に でした．それらをまとめて議論することも，本稿の目的の 基づいて安全性が保証されています．例えば，広くつかわ 一つです． れている RSA 方式は，素因数分解が効率的に短い時間で実 行できないという予想が正しい限りにおいて安全となって います．逆にいうとこれらの方式は，新アルゴリズムや， （量子コンピュータのような）新原理のコンピュータの出現 により，ある日突然破られる可能性があります． ２．量子暗号の機能と安全性 比較として，現代暗号の機能について思い起こしてみま しょう．RSA 方式をはじめとする現代暗号方式では，メッ セージから暗号文を作ることを目的としています．そして 量子暗号の場合はこれより一歩進んでいて，安全性の根 暗号文を自由に複製し，電子メールに添付したり，印刷し 拠となっているのは予想ではなく物理法則です．そしてそ て封書で送ったりすることができます．また，インター の物理法則は量子力学です．もしこの方式が破れたとする ネットで送ることもできます．一方で量子暗号は，このよ と，それは量子力学に反する現象が起こったことを意味し うな素朴な暗号方式と二つの意味で異なります． ます．量子力学がみつかってから 100 年近くたちますが， 一つ目の違いとして，量子暗号の役割はメッセージを直 いまだにそれに反する現象は報告されていません．例えば， 接送ることではなく，それを暗号化するために必要な鍵， 半導体の物性や素粒子の挙動といった具体的な物理現象で つまり乱数を安全に送ることにあります．一旦そのような も，すべて量子力学と合致した測定結果が得られています． 乱数が安全に共有できたら，あとはそれをメッセージと排 すなわち，仮に新原理のコンピュータが出現したとしても 他的論理和をとる（ワンタイムパッド）ための値や，ブロッ 量子力学が変わることはありませんので，量子力学のもと ク暗号の秘密鍵として使えば秘密通信ができるので，「暗 で安全性が保証されている量子暗号は依然として盗聴不可 号」の名がついています．ただし量子暗号装置自身の機能 能です．そのためそこで共有した乱数は未来永劫漏えいす は，あくまで秘密鍵を共有するところまでです．現代暗号 ることはないと考えられています． の用語でいうなら，量子暗号の機能は鍵共有のみであり， 本稿では，量子暗号の概要，現状の課題，および今後の 方向性について紹介していきます．とくに既存の暗号方式 メッセージの暗号化は別の方式に任せるということです． ただし現代暗号でも，Diffie-Hellmann（DH）方式のような 鍵共有方式があり，この一つ目の意味だけですと量子暗号 †三菱電機株式会社 情報技術総合研究所 "Security Technologies on Image Information (8); Quantum Cryptography" by Toyohiro Tsurumaru (Information Technology R&D Center, Mitsubishi Electric Corporation, Kanagawa) 映像情報メディア学会誌 Vol. 69, No. 8, pp. 889 〜 897（2015） 特有というほどの特徴ではありません． 二つ目の違いがむしろ量子暗号ならではの特徴です．上 述のとおり，量子暗号の目的は乱数を安全に送る/共有す （105） 889 講座：映像情報メディア関連のセキュリティ［第 8 回］ ることですが，その際，乱数を運ぶための媒体は，イン ターネットや紙ではだめで，ある物理的性質を持つもので なければなりません．そしてその物理的性質を規定してい るのが量子力学です． またその性質をもつものを量子と呼ぶことがあります が，この先の説明においては，量子とは要するに極端に弱 めた光のことだと思っても支障はありません．量子暗号で は，極端に弱めた光をランダムに変調して（スクランブル をかけて）光ファイバのような光が通る通信路を用いて送 受信します．その光が途中で盗聴された場合，量子として の性質により，必ず何らかの変化が起こります．そしてそ の変化を見ることにより盗聴を検出する，というのが基本 的な考え方です． 以下では，この点についてできるだけ詳しく述べていきま す．本稿の理解する上で必要になると思い，量子力学につ いても一部触れています．この部分に興味のない方は 3 章ま 図 1 量子暗号における光強度 で飛んでいただいても，ひととおり意味はわかるように なっています．なお，以下はかなりデフォルメした説明に なっていますので，意味不明な箇所もあると思いますが， ルギー量子を単位にして光を 1 個 2 個…と数えて，その 1 個 そのような場所でも立ち止まらずに雰囲気を味わっていた ずつを光子と呼びます．量子暗号ではパルスレーザの光を だきたいと考えています．より正確なところを知りたい方 減衰器で弱めて，1 つのパルスあたり 1 個程度の光子しか は，文献 1）等を参照していただきたいと願います． ない状況を作ります（図 1）．これは通常の光通信の 1/100 2.1 量子力学について どのような物質でも，分子のサイズ以下の微小な精密測 万分くらいのエネルギーしかない弱い光です． 2.3 2 つの変調方式をランダムに使う（スクランブル） 定をすると，高校で習うようなニュートン力学や電磁気学 こうして弱めた光パルス 1 つずつに，乱数ビット値 0,1 を とはつじつまが合わない性質を示すということに，100 年 のせて送受信します．その際に，後で説明する 2 つの異な ほど前のヨーロッパの物理学者が気付きました．そこで， る変調方式，X 基底と Z 基底をランダムに切替えます．こ そのつじつまを再度合わせるために登場したのが量子力学 れは，盗聴行為を検出しやすくするために，スクランブル です．つまり量子力学は，ニュートン力学や電磁気学と をかけることに相当します．量子暗号の用語では，変調方 いった理論の後継バージョンです．そして，ニュートン力 式のことを「基底」と呼びます．そして 2 種類ある変調方式 学や電磁気学では説明がつかないが，量子力学では説明の をそれぞれ X 基底，Z 基底と呼ぶことが多いです． つくような性質のことを量子的な性質と呼びます．量子暗 X 基底，Z 基底の実装法にはさまざまなやり方がありま 号ではこの量子的な性質を使って，絶対に破れない暗号を すが，イメージしやすいのは，光の偏光（振動方向のこと） 実現します． を使うやり方です．この方法では，進行方向を軸として 0ﾟ， とくに量子暗号に限っていえば，量子として使うのは原 90ﾟ 方向（45ﾟ，135ﾟ 方向）に振動する光パルスに，ビット 子核でも電子でもなく，もっぱら光だけです．以下に述べ 値 0,1 をそれぞれあてはめるのが Z 基底（X 基底）です．要 るとおり，光の強度を極端に弱めて，さらに 2 種類の変調 するに量子暗号では，光を弱めたうえで，1 ビット分の情 方式を使い分けて送受信すると，量子的な性質が表れてき 報（0,1）を，4 つの状態（振動方向 0ﾟ，45ﾟ，90ﾟ，135ﾟ）に ます．とくに量子暗号では，不確定性原理という性質が本 水増しして送っていることになります． 質的になります． 2.2 光を弱める 2.4 不確定性原理 もし通常の通信のように光が充分強ければ，測定によっ 物質を細かく測定する場合は分子レベルの精密測定をする て，これら 4 つの振動方向を特定できてしまいます．すな と書きましたが，光の場合はそれが光を弱めることに相当 わち，充分強い光を弱い光に分離して，4 つの測定を行う します．これが量子暗号ですべきことの一つ目です．具体 ことで，どの基底が使われ，どのビット値があてはめられ 的にどれくらい光を弱めればいいかについても明確な基準 ているかがわかります．また 1 種類の変調方式（基底）しか があって，それがエネルギー量子（= hν ジュール．ただし ν 使わなければ，光の強弱に関わらず，やはり乱数ビットを は光の振動数（毎秒），h はプランク定数 h = 6.63 × 10 − 34 測定で特定できてしまいます．つまり例えば，X 基底で 0,1 ジュール秒です）と呼ばれる量です．量子力学ではこのエネ に符号化された光子を，同じく X 基底で測定した場合を考 890 （106） 映像情報メディア学会誌 Vol. 69, No. 8（2015） 量子暗号 図 2 盗聴者がいない場合の処理の流れ えると，常に正しいビット値 0,1 が測定されます．これら とで，同じ状態を作ることが可能です．正規の送受信者は， により盗聴が可能となります．しかし光を弱めて，なおか 少なくとも，誤った基底を用いて盗聴された場合の痕跡を つスクランブルを行うとすると，乱数ビット 0,1 の値を確 検出すれば，盗聴を検出できます． 実に測定することは不可能になります．これが通常の電磁 ここから先は具体的なプロトコルをみた方が速いので， 気学とは違う，量子論的な性質の一例であり，不確定性原 Bennett-Brassard 1984（BB84）方式を例にとって話を進め 理と呼ばれています．例えば，単一光子に X 基底でビット ます．この方式は 1984 年に提案された最古の量子暗号方式 値 0,1 に符号化したのち，それを Z 基底で測定するとします． であり，これまで最も深く研究されてきた方式でもあり， このときの測定結果は，もとの値 0,1 に関係ないランダム 安全性も厳密に証明されています． 値 0,1 になります．なおかつ測定が終了した時点で光子の ● 使用する通信路 状態は変化しているので，基底を変えて再度測定し直した このプロトコルでは，2 つの通信路を使います． としても，元の値は再現できません． ・量子通信路：乱数を光子にのせて送るためのもので， ここで重要なことは，このような現象が起こるのは，測 定装置の性能が足りないからとか，測定の方法に不備があ 通常は光ファイバが使われます．盗聴者は，ここを流 れる光子を自由に盗聴できるものとします． るからという理由によるのではないということです．そう ・認証つき公開通信路：乱数本体ではなく，補助的な情報 ではなく，単一光子を一度測定したら，同じ状態が保持さ （選択された基底，サンプルビットの値）を送るための れず，測定をやり直すことができないという状況が，物理 ものです．これらはディジタル信号なので，例えば，イ 法則（量子力学）のために生じています．したがってこの状 ンターネットや携帯電話が使えます．盗聴者は通信内容 況は，測定装置の性能がいくら向上しても改善しません． を自由に盗聴できますが，改変はできないとします．改 これがニュートン力学とは違う，量子的な性質の一例です． 変を防ぐために，通常は Wegman-Carter 方式と呼ばれ 2.5 BB84 プロトコル 量子暗号ではこの不確定性原理を使って盗聴を検出しま る情報理論的なメッセージ認証方式を使います． ● プロトコルの手順 す．正規の送受信者は，X, Z 基底をランダムに振って送受 図 2 もあわせてご覧ください．またこの節では通信にお 信します．一方で盗聴者は，どの基底が選択されているか ける送信者をアリス（Alice），受信者をボブ（Bob），盗聴 を知らずに乱数値を測定せねばなりません．ここで光子を 者をイブ（Eve）と呼ぶことにします． 一旦測定してしまうとその状態が変化してしまいます．従 （1）量子通信： いまして，誤った基底で測定をするとその状態を正確に知 1-1 アリスは，m ビットの乱数ビットを，それぞれ ることができず，測定しなおすこともできないため，元に 個別の光子パルスに，X, Z 基底をパルスごとに 戻すことができません．正しい基底で測定していれば，正 ランダムに選んで変調し，量子通信路を通じて しい状態がわかるので，同じ状態を持つ光を再送信するこ ボブに送信します． （107） 891 講座：映像情報メディア関連のセキュリティ［第 8 回］ 1-2 ボブは，X，Z 基底をパルスごとにランダムに選 び，受け取ったパルスを測定します． 1-3 アリスとボブはお互いに選択した基底を，公開通 信路を使って公開します．お互いの基底が一致し たパルスの乱数ビットのみを残し，それらをまと めて生鍵（raw key）とします．それ以外のビット 値は破棄し，以後の処理には使いません． 1-4 生鍵ビットのうち Z 基底のもの（長さ n ビットと する）をまとめて，ふるい鍵（sifted key）と呼び， X 基底のもの（長さ l ビットとする）をまとめて サンプルビットと呼びます． （2）サンプルビットの誤り率 p smp の算出：アリスとボブ はお互いが X 基底で測定した分（つまりサンプルビッ 図 3 盗聴検出のイメージ ト）を公開し，その誤り率を算出して psmp とします． （3）誤り訂正：アリスは k ビットのシンドローム（パリ ティ情報）を公開します．ボブはそのシンドロームと に送りだすという戦略をとります．つまりアリス，ボブが 誤り訂正符号を用いて，自分のふるい鍵の誤りを訂 基底を各自勝手にランダムに選び，たまたま基底が一致し 正します．なお訂正されたふるい鍵を，訂正鍵と呼 たパルスの測定結果だけを採用して生鍵とします．また基 びます． 底が一致しなかったパルスは無視して捨てて（つまり忘れ て）いますが，この行為は以下のとおり正当化できます． （4）秘匿性増強処理： 4-1 秘密鍵長算出：ステップ（2）で算出した p smp を まず，そもそも送っているのがメッセージではなく乱数な もとに，パラメタ s = max[n(1–h2 (px))–k–t, 0]の ので，捨ててそれ以降決して使わないという運用が可能で 値を算出します．これが以下で最終的に生成さ す．決して使わない情報が盗聴者に漏れたところで実害は れる秘密鍵の長さです．なおここで h 2 (x) = –x ありませんので，暗号の安全性としても問題ないのです． ^ log2 x – (1–x) log2 (1–x)は 2 値エントロピー，t は したがって安全性を考える分には，基底が一致しなかっ ある定数です（4.1 節（1）参照）．また px は，ここ た部分は忘れて，生鍵だけを考慮すればよく，そこでは上 ではひとまず簡単のため，ステップ（2）で算出 記の状況①，② が実現できています．そしてその状況が， した psmp と等しい，つまり px = psmp だと思って アリスとボブが Z 基底でふるい鍵を測定している最中に， かまいません（正確にいうと p x は p smp を変数に たまにランダムなタイミングで X 基底測定を繰り出してい もつ関数であり，ふるい鍵長が充分大きい（n るとも解釈できます．イブにしてみれば，この X 基底測定 →∞）とき，px → psmp に漸近します）． はいわば抜き打ちチェックです．つまり，ふるい鍵の内容 ^ ^ ^ ^ 4-2 ランダム行列乗算：ランダムなビット値をもつ を探ろうと Z 基底で盗聴をしている最中に，アリスとボブ s × n 行列 M を生成し，それに（3）で出力した訂 が突如 X 基底に切替えるわけで，イブはある確率で誤った 正鍵を乗算します．そして，その乗算の結果得 基底（Z 基底）の測定を仕掛けることになり，それによりサ られた長さ s のビット列を秘密鍵とします． ンプルビット列の誤り率 p smp が増えます（図 3）．つまり こうして得られた秘密鍵を，ワンタイムパッドの鍵として 使えば，絶対安全な秘密通信ができます．またそれ以外に もメッセージ認証等の秘密鍵として使うこともできます． psmp はイブの盗聴行為の強さに相当しますが，これを検出 するのがステップ（2）の役割です． より定量的には，サンプルビットの誤り率が psmp であれ ● プロトコルの解説 ば，盗聴によってイブに nh 2 (p smp )ビット程度（正確には 上記の各ステップのこころは以下の通りです． nh2 (p^ x)ビット）分の情報が漏洩していると結論できます（安 まずステップ（1）の量子通信では，① イブからみるとX, Z 全性証明の理論による）．さらにステップ（3）の誤り訂正で 基底がランダムに選ばれていて，なおかつ，② アリスとボ k ビットのシンドロームを公開しているので，ステップ（3） ブの基底選択は一致している，という状況が作りたいわけ で生成された訂正鍵 n ビットのうち，合計 nh2 (psmp)+k ビッ です．これを安直に実現するには，アリスとボブが予め乱 ト程度（正確には nh2 (p^ x)+k ビット）分がイブに漏洩してい 数を共有しておいて，それで基底を選ぶという方法も考え ると結論できます．非常に大雑把ないい方をするなら訂正 られるのですが，それだと生成する乱数よりも消費する乱 鍵には，盗聴者の知っている nh2 (psmp)+k ビットと，知らな 数が大きくなって意味がありません．そこで代わりにス い残りの n–(nh2 (psmp p^ x)+k)ビットが混在している状況にあ テップ（1）1-1 で送りだす光パルス数に無駄を許して，余分 ります（図 4） ． 892 （108） 映像情報メディア学会誌 Vol. 69, No. 8（2015） 量子暗号 100 台程度の販売事例があるといいます（具体的な顧客名は 公表されていませんが）． 2008年に欧州の複数の大学とベンチャー企業が，各々の量 子暗号装置を持ちより，ウィーンでネットワーク通信実験 を行いました（SECOQC プロジェクト） ．つづいて類似のプ ロジェクトが 2010 年に東京（Tokyo QKD Network） ，2012 年に中国の合肥市，2013 年に同じく中国の済南市でも実施 されました．さらに 2013 年には米国 Battelle 社が，id Quantique 社の量子暗号装置を複数つなぎ合わせて，全長 図 4 秘匿性増強の大まかなイメージ 400 km の商用量子暗号通信ネットワークをオハイオ州に構 秘匿性増強とは，「大体安全」な暗号鍵を「完全に安全」にする統計処理 築しました．さらに同社は 2016 年までに，オハイオ州・ワ です（＊この図はあくまでイメージです）． シントンDC間650 kmを結ぶ量子暗号線を構築するとしてい ます．また中国も同じく 2016 年までに国家プロジェクトと して，上海・合肥・済南・北京の 4 都市を結ぶ全長 2,000 km この訂正鍵を暗号通信用の秘密鍵として使うのは明らか に危険です．そこでステップ（4）の秘匿性増強処理では， 訂正鍵にランダム行列をかけて撹拌，圧縮することにより， の量子暗号ネットワークを構築するとしています． ４．既存の暗号方式との比較 盗聴者が知らない n–(nh2 (psmp p^ x)+k)ビット分だけを取出し 1990 年代以降「量子コンピュータが実現すると公開鍵暗 ています（図 4）．これによって最終的に，厳密な意味で安 号が破れるのに対し，量子暗号は破れない．そこで量子暗 全な秘密鍵が生成されます． 号が必要になる」という宣伝文句が盛んに使われ，実際に 秘匿性増強のイメージをつかむには，以下の例がわかり それが量子暗号の研究の推進に大きく役立ちました．そし やすいと思います．訂正鍵が 2 ビットあり，どちらかわか て 2000 年代には，量子暗号はすでに実験室の外に飛び出せ らないがそのうち 1 ビットの値が盗聴者に漏れていて，も ており，2010 年前後からは世界各国で，国家プロジェクト う 1 ビットは漏れていないとします．このとき明らかに，そ による大規模ネットワーク実験も進んでいます．しかしな の 2 ビットを XOR して 1 ビットに圧縮してしまえば，その がら現在でも，商用で運用された例は明らかになっておら 値は盗聴者にもまったくわからなくなります．より一般の ず，普及しているとはいい難い状況にあります． ビット数の場合には，XOR ではなくランダム行列を使えば 量子暗号の研究者はそれに対して「まだ量子コンピュー いいことが知られていて，それがいわゆる秘匿性増強です． タが普及していないから」とか「量子暗号のコストが高いか なおここでは簡単のため，イブが常に X, Z 基底のどちら ら」といった理由を挙げることが多いですが，以下ではこ かで盗聴を行うとして話を進めました．実際の量子暗号の の点を深く掘り下げてみます．とくに量子暗号を既存の暗 理論ではこのような制約は存在せず，イブが物理法則で許 号方式と比較することにより，暗号としてのメリットとデ される限りのあらゆる攻撃をしたとしても，安全性が成り メリットを整理してみます． 立つということが証明できています． ３．実装の現状 量子暗号の研究は 1984 年に提案された BB84 方式に始まり ました．現在でも，この方式の改良版であるデコイ BB84 方 4.1 現代暗号との強度比較 まずは量子暗号の安全性，つまり暗号強度について整理 します． （1）情報理論的安全性 量子暗号のメリットは，何といってもその安全性です． 式が事実上の標準方式になっています．1992 年には提案者 冒頭でも述べたとおり，現代暗号は結局のところ，ある種 自らが実証実験に成功し，2000 年代には世界中で実験報告 の予想（仮定）にもとづいて安全とされているだけです．何 が爆発的に増えました．2010 年頃には通信距離 50 km，通信 らかの都合のよい予想（例：素因数分解が効率的に解けな 速度 1 Mbps といった性能を，NEC や東芝欧州研など複数の い）を設定し，さらに盗聴者の計算能力を制限（チューリン 研究機関が安定して叩き出すようになり今日に至ります． グマシン上で多項式時間）したうえで，盗聴成功確率を評 またこのようなトップスピードとは乖離があるものの， 価しています．そしてその確率が無視できるほど小さい場 量子暗号の製品を売る企業も複数存在しています．すでに 合のみ，その暗号方式は安全だとされます．逆にいうと現 2000 年代前半にはベンチャー企業が複数存在していて，そ 代暗号は，設定した予想や制限の根拠が失われた場合には の な か で も ス イ ス の id Quantique 社 ， お よ び 中 国 の 破れる可能性があります．例えば，量子コンピュータが実 QuantumCTek 社は現在も活発に活動しています．とくに 現したら，RSA 方式や DH 方式といったメジャーな公開鍵 id Quantique 社のある社員によれば，同社にはこれまで 暗号方式は破れてしまうことが知られています． （109） 893 講座：映像情報メディア関連のセキュリティ［第 8 回］ これに対し量子暗号には，そのような予想や制限は一切 なることにあります．もし公開鍵暗号が使えなくなったと ありません．盗聴者が通信路上の光子をどう盗聴しても， して，そのとき量子暗号が，公開鍵暗号と同様のメリット その盗聴成功確率はある確率以下であると厳密に証明でき をもたらすことはできるのでしょうか（これは要するに現代 ます．なおかつ送受信者は，その確率を（秘匿性増強にお 暗号でいうところの鍵配送の問題ですが，量子鍵配送や DH けるパラメータ （ t 現代暗号における鍵の長さに類似するパ 鍵共有といった用語との混乱を避けるため，ここでは「鍵の ラメータ）を大きくすることにより）いくらでも小さく抑え セットアップ」という言葉を用いることにします） ． ることができます．このように，盗聴者の計算量の制約な 太古の昔から 1970 年代前半に至るまで，すべての暗号は しに，盗聴成功確率を抑えることのできる暗号方式を，情 共通鍵暗号でした．これはユーザ A と B がそれぞれ同じ秘 報理論的に安全な暗号方式と呼ぶことがあり，量子暗号も 密鍵 kAB を共有しておいて，メッセージの暗号化に使うも その一種です．もちろん量子コンピュータが実現しても， のです．A が B だけと秘密通信を行いたい場合にはこれで 量子暗号は安全なままです． 終わりですが，そこにさらに C さん，D さん，…が加わっ このように量子暗号には，現代暗号とは次元の違う高い ていくと，それに応じて秘密鍵 kAC，kAD，…を共有する必 レベルの安全性（情報理論的な安全性）が実現できるという 要があります．一般に N 人のユーザがお互いに自由に秘密 メリットがあります．もし現代暗号の安全性を，量子暗号 通信をしたい場合，各ユーザは自分以外の N − 1 人と異な と同じ設定で考えるなら，つまり予想や制限を一切撤廃し る鍵を共有したうえで，安全に保管しなければなりません． たら，現代暗号はたちどころに破れてしまいます．すなわ したがって N 人全体では，合計(N2 ) = N(N − 1)/2 種類の異 ち量子暗号の基準でいうと，現代暗号は暗号ですらないと なる鍵を共有，保管する必要があります． いうことになります．現代暗号と量子暗号の安全性を直接 比較することは，そもそも不可能なのです． （2）量子コンピュータへの耐性 しかし 1990 年代以降インターネットが普及して，世界中 と自由に通信できるようになると，すべての相手と秘密鍵 をいちいち共有しておくのは不便だということになり， 繰り返しになりますが，量子コンピュータが実現した場 RSA 方式に代表される公開鍵暗号，およびディジタル署名 合，RSA 方式や DH 方式といった主な公開鍵暗号方式は破 が使われるようになりました．具体的にはまず，各ユーザ れてしまいますが，量子暗号は安全なままです．ただし現 が自らの公開鍵を一つ公開します．つぎに，公開鍵のすり 代暗号側にも公平を期していうなら，これは決して，現代 替えを防ぐために，信用できる認証局を最低 1 ヵ所設置し， 暗号がすべて破れるという意味ではありません． 公開鍵をディジタル署名してもらいます．つまり公開鍵基 そもそも RSA 方式や DH 方式が公開鍵暗号のすべてとい 盤（PKI）を構築します．結果として，各ユーザは公開鍵を うわけではなく，それ以外にも昔からさまざまな方式が知 生成したのち，認証局と一度だけ安全なやりとりをすれば られています．とりわけ多変数多項式暗号や格子暗号と よいだけであり，セットアップの手間は大幅に削減されま いった方式については，量子コンピュータによる解読法は す．全体としては最初に O(N)個の公開鍵を，認証局に安 見つかっていませんし，恐らく解けないだろうと予想され 全に送ればよいだけです． ています．むしろこれらの方式は最近，その性質から「ポ それでは量子暗号の場合はどうかというと，少なくとも スト量子暗号」 （Post-quantum Cryptography）と呼ばれ， 現状の方法そのままでは，共通鍵暗号の場合と同様に， 盛んに研究されるようになっています（例えば文献 2））．ま セットアップに際して O(N2)個の秘密鍵共有が必要になり た AES や MISTY といった共通鍵暗号も同様に，量子コン ます．量子暗号は，DH 方式と同様に，鍵共有の機能を実 ピュータによる解読法は見つかっていません（Grover のア 現できる方式なのになぜ？と思われるかもしれませんが， ルゴリズムと言われる演算方法を使っても，解読時間が従 問題は古典通信路のメッセージ認証にあります． 来の 1/2 乗に削減されるだけです．したがって指数関数時 量子暗号の存在意義は，情報理論的な安全性にあるので， 間の指数部分が半分になるだけで，依然として指数関数時 メッセージ認証にも情報理論的な方式を使わなければなり 間であることには変わりがありません）． ません．このため公開鍵的なメッセージ認証方式，つまり したがって量子コンピュータが実現したとしても，解け ディジタル署名は使えません．実際の量子暗号装置ではそ ないという予想で満足できるならば，ひきつづき現代暗号 のかわりに，Wegman-Carter 方式と呼ばれる情報理論的な を使い続けることができます．量子暗号が必要なのはその 方式を使っています．この方式では，共通鍵暗号の場合と ような予想では満足できず，情報理論的な安全性が欲しい 同様に，N 人のユーザがいたら，各ユーザは N − 1 種類の というユーザに限られます． 異なる秘密鍵を事前に共有しなければなりません．そして 4.2 公開鍵暗号との機能比較 つぎは公開鍵暗号との機能比較をします． そもそも公開鍵暗号が広く利用されている最大の理由は， 暗号通信を始めるまでに必要な鍵のセットアップが簡便に 894 （110） 全体としてはやはり，合計 N(N − 1)/2 種類の異なる鍵を共 有して保管する必要となります． 以上をまとめると，N 人のユーザがいたとして，公開鍵 暗号では鍵のセットアップの手間は O(N)で済みます．こ 映像情報メディア学会誌 Vol. 69, No. 8（2015） 量子暗号 れに対し量子暗号は 1 対 1 の秘密通信に適した方式であり， セットアップに O(N2)の手間がかかってしまいます．つま りこの比較においては，公開鍵暗号と同様のメリットを果 たせないようにみえます． 4.3 秘密鍵を手で運ぶ場合とのコスト比較 最後にコストを比較します．4.1 節（1）でみたとおり，量 子暗号と現代暗号の安全性はそもそも直接比較できないの で，コストの直接比較も意味をなしません．そもそも量子 暗号の目的は，秘密鍵を安全に配布することでありました が，そのためのもっとも簡単な方法は他ならぬ，人間が手 で運ぶことです．実際に戦前から，軍事用の暗号の乱数表 は手で運ばれていたという記録がありますし，現在でも簡 単に実行できる方法です．そこでこの方法と量子暗号を， 図 5 量子暗号装置の例（NEC 提供） コスト面から比較してみます． 現状の量子暗号装置の例を図 5 に示します．このような装 置は，材料費だけでも 1 セットあたり数百万円はかかります． そして性能としては，通信距離 50 km，通信速度 1 Mbps が 敷設ファイバ上で達成できています 3）．そこでかなり楽観的 ５．デメリットの解消にむけた方向性 な見積りではありますが，以下では通信距離 50 km，通信速 5.1 運用方法の改良 度 1 Mbps の量子暗号装置が 1,000 万円で実装できて，1 年間 4 章でも述べましたが「量子コンピュータが実現すると公 継続して使えるという仮定をおいてみます．そうすると 開鍵暗号が破れるのに対し，量子暗号は破れない．そこで 1,000 万円で，4 TB 程度（＝ 1 Mbps × 60 秒× 60 分× 24 時 量子暗号が必要になる」という宣伝文句がよく使われてき 間× 365 日/8bit）の乱数が運べるという計算になります．こ ました．しかし 4.2 節でみた通り，量子暗号は実は 1 対 1 の れはいまどきのハードディスクドライブ（HDD）1, 2 台程度 秘密通信に適した方式です．したがって，仮に公開鍵暗号 に収まる量ですし，そのような HDD は 1 台あたり 1 万円程 がすべて破れてしまったとしても，量子暗号にその代役は 度で買えます．であれば，自組織内の信用できる人に毎年 務まらないようにみえます．公開鍵暗号では鍵のセット 1 回，HDD を 50 km 先まで運んでもらえばよいことになり アップの手間は O(N)ですむのに対し，現状のままの量子 ます．これだと 1 日程度の人件費が余計にかかるだけなの 暗号方式では，セットアップに O(N2)の手間がかかってし で 10 万円程度ですみます．一方で量子暗号は 1,000 万円で まうからです．このデメリットの解消が今後もひき続き重 すから，現状ではコストとして 100 倍程度の開きがあるこ 要です． とになります． 方向性の一つは，量子暗号の運用方法を工夫して，セッ ただしこの 100 倍という数字の精度は高くなく，上下 10 倍 トアップの手間を O(N)に削減することです．例えば，非 くらいの誤差は平気でありえるので，あくまで一つの目安 常に単純なやり方として，信用できるセンターを 1 ヵ所設 として考えていただきます．誤差の原因としてまず，量子 置するものがあります（公開鍵暗号の場合でも，信用でき 暗号装置のコストを押し下げる要素があります．いまのと る認証局を最低 1 ヵ所設置する必要があったことを思い出 ころ量子暗号装置の材料には特注品が多いうえに，それを してください）．そしてセットアップ時に N 人のユーザす 研究者が 1 台ずつ手作りで組み上げているような状況なの べてが，センターとの間に，メッセージ認証用の秘密鍵を で，量産効果はまったく効いていません．したがって，例 共有しておきます．あとはすべての暗号通信をセンター経 えば，3 節でふれた中国や米国の国家プロジェクトにおいて 由で行うことにすれば，N 人のユーザが自由に暗号通信で 装置が大量生産されれば価格が下がる可能性はあります． きます．もちろんこのような単純な方式では，センター さらに上の比較では距離を 50 km に固定しましたが，これが 1 ヵ所に負荷が集中するので必ずしも効率的ではありませ 例えば，10 kmでよければ通信速度は10倍の10 Mbps程度に ん．また仮にセンターが悪意を持った場合の被害パターン 増やせます．量子暗号では，距離を縮めると，通信速度が が，公開鍵暗号のそれと同じとは限りません．これらの問 指数関数的に増えるという性質があるためです．その一方 題の解消にむけて，今後さらなる研究が必要と思われます． でもちろん，コスト差を逆に拡げる要素もあります．そも 5.2 量子鍵配送としての性能向上 そも上の比較では量子暗号装置の開発費，製造コスト，維 4.3 節でみたとおり，量子暗号と現代暗号のコストを直接 持費等は含まれていませんし，その一方で比較対象である 比較することは意味がなく，むしろ，秘密鍵を人間が自ら HDD の価格は今後も下落していくと予想されます． 手で運ぶ状況とのコストを比較すべきです．そしてその差 （111） 895 講座：映像情報メディア関連のセキュリティ［第 8 回］ は現状で 100 倍程度です．この 100 倍という数字の精度は す．1 つ目の方向性はプロトコルの改良です．最近の主流 あまり高くないし，これを大きいと考えるか小さいと考え は，デコイ BB84 方式を一旦忘れて，プロトコルを根本か るかは個人の感覚や信条の問題です．しかし仮にこの ら設計し直すものです．有名なものとして，連続変数量子 ギャップを埋めることができて，秘密鍵を手で運ぶよりも， 暗号（CVQKD）や RR-DPSQKD 方式がありますが，ここで 量子暗号を使った方が安いとか簡単だということになれ は日本発の技術として RR-DPSQKD 方式について述べま ば，ユーザのメリットははっきりしますし，普及する可能 す．時系列で説明すると以下のとおりです． 性がでてきます．例えば，コストが 1,000 倍下がって，毎 まず発端となったのは，2002 年に提案された DPSQKD 年 1,000 台の HDD を自分で運ぶ手間を，100 万円の量子暗 （Differential Phase Shift Quantum Key Distribution）方式で 号装置が代行できるということになれば，その方が便利だ す 4）．この方式は実は，すでに光通信の世界で知られていた と考える人はいるかもしれません． DPSK（Differential Phase Shift Keying）という方式の光強度 なおこの種の話では性能指標として，距離，速度，コス を落としただけのものでした．DPSK の送信側に減衰器を挿 トの 3 種類がありますが，どれが改善しても本質的には同 入して出力を単一光子レベルまで落とし，受信側の検出器 じだと考えてかまいません．量子暗号では，距離を縮める を高感度なものにおき換えれば，それが DPSQKD 方式の量 と通信速度が指数関数的に増えるという性質がありますの 子暗号装置となります．このように既存の光通信用の部品 で（光ファイバにして 50 km 縮まるごとに 10 倍以上）．した を流用して，比較的簡単に実装できるので安定性が高く， がって限界距離が改善したということは，同時に短距離で （盗聴者由来ではない）装置由来のノイズが少ないという長 の速度が向上したことも意味します．そして速度が向上す 所があります．そしてこの長所により，200 km を超える長 ればもちろん，秘密鍵を共有するのにかかるコストも削減 距離通信が可能になることが最大の売りです．またヨー できるのです． ロッパではその変形版である COW（Coherent One Way）プ いずれにせよ，今ある方式を変えずに，実装技術の工夫 だけでコストを 1/1,000 まで下げるのは難しいことです． ロトコルが研究されていまして，最近では 300 km を超える 通信が可能になったという報告もあります． したがって今後さらに何段階かのブレイクスルーが必要な ただしこれらのプロトコルでは，デコイ BB84 方式より わけですが，以下ではそれを狙った取組みについて紹介し も装置を簡単化した反動として，安全性証明は格段に難し ます． くなってしいました．このため現在でも，盗聴者の能力に （1）これまでのブレイクスルー まず過去を振り返っても，理論の進展やプロトコルの改 良によって，量子暗号の性能が向上してきた経緯がありま す．2000 年代前半までは，プロトコルや安全性証明に対す ある制約を課した場合（コレクティブ攻撃）の安全性しか証 明できておらず，制約なし（コヒーレント攻撃という）での 安全性は証明できていません． この状況を打開するため，2014 年に RR-DPSQKD る理解が未熟だったために，量子暗号装置には単一光子源， （Round Robin DPSQKD）方式が提案されました 5）．これは 単一光子検出器が必須だと考えられていました．つまり光 DPSQKD 方式に，ある種のスクランブル処理を付加した 子 1 つ 1 つを厳密に制御する技術が必要だと考えられていま ものです．それによって安全性証明で扱う数式が簡単化さ した．しかしながら（当時も今も）単一光子源や単一光子検 れ，コヒーレント攻撃に対する安全性が証明できるように 出器の実装は困難なので，量子暗号の実験では安価な代替 なりました．なおかつこの方式が，通信路の擾乱に対して 手段として，光源にはレーザと減衰器が，光検出器にはア 非常に優れた耐性を持つということが判明しました．この バランシェフォトダイオード（APD）が広く使われていまし 性質を利用すれば，量子暗号の性能を飛躍的に向上できる た．これらは代替手段であるから，それらを用いた量子暗 可能性があるため，現在研究が盛んになりつつあります． 号装置は，厳密には安全ではないと考えられていました． しかし 2004 年になって新たなプロトコルとして，デコイ （3）安全性証明理論の改良の方向性 ブレイクスルー狙いのもう 1 つの方向性は，安全性証明 BB84 方式が提案され，それにより，レーザを用いたとし 理論の改良です．中でも最近は，装置無依存量子暗号 ても厳密な安全性が保証できるようになりました．また （Device Independent QKD，以下 DIQKD）に関する研究 2000 年代後半には安全性証明の理論が改良されたことによ が活発になっています（文献 6）およびその参考文献参照）． り，APD を用いても安全性が保証できることが新たに判明 これは一言でいうと，光の送受信機（装置）をどう実装した しました．この結果，現在ではレーザや APD はもはや代 かには関係なく（無依存），ある手順（プロトコル）にした 替手段ではなく，量子暗号の正当な部品とみなされていま がって通信している限りは，必ず盗聴が検出できるという す．そして量子暗号装置の実装コストは劇的に下がり，上 アイディアです．そしてその手続き （プロトコル） のことを， 述の 50 km，1 Mbps が達成されるに至りました． 装置無依存な量子暗号方式と呼びます． （2）プロトコルの改良の方向性 現在でもそのようなブレイクスルー狙いは続いていま 896 （112） DIQKD の目的は，サイドチャネル攻撃の問題を一気に すべて解決することにあります．現代暗号と同様に，量子 映像情報メディア学会誌 Vol. 69, No. 8（2015） 量子暗号 暗号でもサイドチャネル攻撃の問題があります．つまり暗 係なく，安全性証明をつけることができます．これにより 号装置が壊れたり，調整を間違えたりした場合，それに DPSQKD 方式や COW 方式の安全性証明が成功すれば，量 よって盗聴が容易になり，乱数が漏えいするという問題が 子暗号の通信距離は飛躍的に向上すると期待されます． あるわけです．例えば，BB84 方式のレーザの強度の調整を 誤って，単一光子レベルよりずっと強い光が出ていれば， 盗聴者は4種類の状態（振動方向0ﾟ，45ﾟ，90ﾟ，135ﾟ）を測定 ６．むすび 本稿では，既存の暗号方式を比較対象にして，量子暗号 によって識別でき，乱数の値を確実に読取れてしまいます． の暗号装置としてのメリットとデメリットを整理するとと ただしこれも一例にすぎず，これ以外にもサイドチャネル もに，デメリットの解消にむけた取組みについて議論しま 攻撃は無数にありえます．そしてそれを人がすべて 1 つずつ した．これをきっかけにして，現代暗号の研究者が量子暗 チェックして塞ぐことは事実上不可能です． 号について興味を持っていただき，ざっくばらんな議論が DIQKD とは，安全性証明理論の改良により，そのよう できるようになれば幸いです． なサイドチャネル攻撃を一網打尽にする考え方です．まず なお本文中では量子暗号をつかった秘密通信のみについ BB84 方式では誤り率をチェックすることによって，盗聴 て紹介しましたが，決してこれが量子暗号研究のすべてと を検出していました．その一方で 1991 年に提案された いうわけではありません．これ以外にも量子的な性質を Ekert 1991（E91）方式では，誤り率に加えて，ベル（J.S. 使った電子現金，ディジタル署名，暗号プロトコル等に関 Bell，人名） 不等式と呼ばれる関係式をチェックしています． する研究も引き続き続けられています．これらの分野の今 そして 2000 年以降の理論研究の進展により，実はこのベル 後の発展についても期待したいと思います． 不等式チェックが，あらゆるサイドチャネル攻撃を検出す （2015 年 8 月 7 日受付） る能力を秘めていた，ということが判明しました．例えば， 〔文 前段落のレーザ強度の例でいえば，光強度が強ければそれ は必ずベル不等式チェックで検出されます．なおかつそれ 以外のあらゆるサイドチャネルについても，同様にベル不 等式チェックで検出されるということです．したがって E91 プロトコルでは，ベル不等式チェックさえ通過できて いる限り，サイドチャネル攻撃の心配をする必要がないの です． このように DIQKD はもともと，量子暗号の安全性向上の ために導入された証明テクニックです．しかし著者はこれ が量子暗号のコスト削減にも役立つと期待しています．ま ず量子暗号全般にいえることとして，コストダウンを狙っ て部品を安価なものに置き換えると，安全性証明は難しく なります．部品が安価であればあるほど，その挙動を記述 するための数式は複雑になる傾向があって，その結果，安 全性証明で扱う数式も難しくなるからです．DPSQKD 方式 献〕 1）M.A. Nielsen and I.L. Chuang: "Quantum Computation and Quantum Information", Cambridge University Press（2000），日本語版：木村達 也訳： 量子コンピュータと量子通信 ，オーム社（2005） 2）高木剛： ポスト量子暗号 ，数学セミナー，7，日本評論社（2015） 3）A.R. Dixon, Z.L. Yuan, J.F. Dynes, A.W. Sharpe and A.J. Shields: "Continuous operation of high bit rate quantum key distribution", Appl. Phys. Lett. 96, 161102（2010） 4）K. Inoue, E. Waks and Y. Yamamoto: "Differential Phase Shift Quantum Key Distribution", Phys.Rev.Lett., 89, 037902（2002） 5）T. Sasaki, Y. Yamamoto and M. Koashi: "Practical quantumkey distribution protocol without monitoring signal disturbance", Nature 509, 475-478（2014） 6）U. Vazirani and T. Vidick: "Fully device independent quantum key distribution", Phys. Rev. Lett. 113, 140501（2014） つるまる 鶴丸 とよひろ 豊広 2001 年，東京大学大学院理学系研究 科物理学専攻博士後期課程修了．同年，三菱電機（株） 入社．情報技術総合研究所勤務．以来，現代暗号と量 子暗号に関する研究開発を続けている．博士（理学）． や COW 方式の安全性証明が困難を極めているのも，この ような事情によります．しかし「装置無依存」の名が示す通 り，DIQKD の理論では，部品に対応する数式の複雑さに関 （113） 897