更新日:2020/02/01

    新しいValueの創出に資するセキュリティR&D
    計算環境の変化に対応する暗号理論研究の最前線
    NTTセキュアプラットフォーム研究所

    ※記事本文中の研究所名が、執筆・取材時の旧研究所名の場合がございます。

    阿部 正幸(あべ まさゆき)/徳永 裕己(とくなが ゆうき)/Mehdi Tibouchi/西巻 陵(にしまき りょう)/草川 恵太(くさがわ けいた)

    背 景

    暗号の安全性は攻撃者がどれくらいの計算資源、すなわちメモリ量や計算速度を持ち得るかによって相対的に評価されます。インターネットが普及し始めた1990年代には RSA暗号の公開鍵は512ビット程度で安全と考えられていました。電子署名法が成立した2001年には1024ビット、2008年から検討されている改定では少なくとも2048ビットが必要とされています。
    現在では多くの暗号システムにおいて、より効率的な楕円曲線暗号へ移行しています。さらには、楕円曲線上のペアリング群によってIDベース暗号をはじめとする高機能な公開鍵暗号や、効率的なデジタル署名、非対話ゼロ知識証明が発展しました。暗号は鍵の管理方法によって情報へのアクセスをコントロールする機能を自然に持っています。従来の暗号通信では情報の送り手と受け手が1対1でしたが、クラウドへ暗号化データを保存しておき、送り手が定めた条件を満たす複数の受け手に向けて情報を発信するといった用途に向く高機能な暗号方式が開発されています。
    一方、1994年に発表された Shorのアルゴリズムによって、十分な数の量子ビットを十分な精度で扱える汎用のゲート型量子計算機によって現在普及しているRSA暗号やDiffie-Hellman鍵共有などの効率的な公開鍵暗号が破られることが示されました。たとえそのような高度な量子計算機の実現が数十年後になるとしても、その脅威に対して安全な暗号、いわゆる耐量子計算機暗号の開発には量子計算機の実現を待たずに取り組む必要があり、実際に多くの研究開発と標準化が進んでいます。それは暗号システムを提供する者の責任感といった動機だけではなく、次の2つの現実的な理由によります。
    まず、新しい暗号方式は開発から普及まで非常に長い時間を要することです。現状動いているようにみえるシステムを互換性のない新たなシステムにアップデートするのは、すべてのユーザが短期間でできることではありません。もう1つの理由は、現在のプライバシが将来の攻撃技術の進展によって毀損されることへの懸念、すなわち長期的な安全性の危殆化です。暗号化された通信であっても、それ自体が傍受・長期保存されて、将来の量子計算機の実現によって内容が暴露される懸念があります。つまり、数十年後に漏洩して困るようなコンテンツにとっては、量子計算機による攻撃は現時点で対応しておかねばならない脅威なのです。また、耐量子計算機暗号は量子計算機上で実行されるのではなく、現在の計算機上で実行されるものです。そのため、現在の計算機環境における実装も含めた安全性が検討される必要があります。
    本稿では、まず、量子情報処理技術に関する本研究所での取り組みについて説明します。次に、耐量子計算機暗号に関する最新のトピックを紹介します。最後に、従来の公開鍵暗号の機能拡張の1つである属性ベース暗号について、最新の研究結果を紹介します。

    量子情報処理

    SC研における量子情報処理技術

    2019年10月、量子コンピュータがついに従来のコンピュータの能力を超える量子超越性を達成したとのニュースが駆けめぐりました。NTTセキュアプラットフォーム研究所(SC研)においても、量子力学の原理で情報処理をする量子コンピュータの研究開発を以前から進めています。
    現在までに実現された量子コンピュータはまだ数十量子ビット程度であり、規模の拡張性をどのように得ていくかについては、未解決の課題が山積みです。つまり、量子コンピュータをどのようにつくり、どのように拡張性を得ていくかの実装法の研究開発は、現在の暗号の安全性レベルを検証する試金石にもなっています。
    また一方で、量子情報処理技術は新たなセキュリティ技術も生み出しています。量子状態は、むやみに観測すると状態を壊してしまう、コピーができないなどの通常のデータとは異なる性質を内在しています。これをうまく活用することにより新たなセキュリティ技術が生み出されます。

    量子コンピュータ開発への道筋

    量子コンピュータ実現に向けての一番の障壁はエラーに弱いことです。量子ビットは、現代の主要な情報処理単位であるデジタルデータのようにエラーを小さくすることがそもそも難しいため、少し規模を大きくするとエラーに埋もれて正しい計算が困難になってきます。これを実際に解決する方法は、今までのところ、量子エラー訂正符号しか知られていません。量子エラー訂正符号を用いると、技術的に可能な範囲にある特定の誤り率を下回る制御を達成すれば、符号化された量子状態に載った量子情報の論理的な誤り率を小さくすることが可能となり、エラーに対する規模の拡張性を得られます。
    もう1つの課題は量子ビット数自体の規模を拡大することです。個別の量子ビットを精度良く高速に制御しながら規模を大きくしていくことは相反するような技術開発であり、不安定な量子状態に対してこれまであまり行われてきませんでした。精度を保ちつつ、量子ビット数の桁数を上げていく量子物理工学的な技術開発におけるブレークスルーが期待されています。SC研は文部科学省Q-LEAPプロジェクトに参加し、超伝導量子コンピュータの開発に携わっています。量子エラー訂正が可能となるような高度な制御技術と規模の拡大をめざした研究開発に取り組んでいます。

    量子セキュアネットワークに向けて

    量子情報処理を活用した新たなセキュリティ技術の例が量子暗号(量子鍵配送)です。むやみに観測すると状態を壊すという性質を使うことで盗聴検出が可能となり、原理的に安全な鍵配送が可能になります。しかし、現状の技術の欠点は、損失に弱く通信距離に事実上の制限(100 km程度まで)があること、ネットワーク化する技術がないことです。これを解決する方法が量子中継です。…

    関連するコンテンツ