量子鍵配送プロトコル
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/03/18 09:29 UTC 版)
最大の利点は「証明可能な安全性」を主張する情報理論的安全性のクラスとされることである。現在、主流となっている量子暗号は量子鍵配送、特に商用ではBB84であるが、それ以外にも多くのバリエーションが登場している。大別すると、(近似的) 単一光子に基づくもの(B92など)と、コヒーレント状態の光 (レーザー)、スクイーズド状態の光 (レーザーの持つ不確定性を変形させた状態) などの連続光を用いたものがある。いずれも量子状態が観測によって歪む性質を用いて、盗聴者に漏洩したであろう情報量を見積もり、その結果に応じて秘匿性増幅(参考: Leftover Hash Lemma) を用いて安全性の高い鍵を作るという原則は変わらない。完全な秘密通信とされるワンタイムパッドを実現するための秘密鍵配送を目的とし、この秘密鍵の共有を量子状態の特性によって実現する。 量子力学を用いない場合、盗聴者の計算能力が無限に強い場合には、完全な安全性は不可能であることが知られている。それに対し、量子鍵配送の特徴は、量子力学が根拠となる堅牢な安全性が理論的に証明されていることで、これは応用上はもとより理論的にも興味深いことである。 ただし盗聴者へ漏洩したであろう情報の見積もりについてであるが、盗聴による信号の乱れと通信路の自然雑音を区別する方法はなく、送信機・通信路・受信機などで発生した雑音は全て盗聴により引き起こされたと仮定し、それらを盗聴された情報量の全てであると見積もって秘匿性増幅により配送した鍵の一部を適切に削減する。これは非効率ではあるが、物理法則以外に何事も可能とされる攻撃者が通信路をより雑音の低いものにすり替える可能性も捨てきれないためである。つまり前述の意味で、厳密には盗聴行為を検知する方法はないと言って良い。 例えば(近似的な)単一光子に基づくプロトコルの場合、受信側の光子検出器が誤って光子を検出してしまう場合があり(暗検出)、これが安全性に影響を与える。特に光ファイバーを介して送信を送る場合、非常に多くの光子が伝送途中で損失してしまうため、遠距離通信の場合には、暗検出の中に本物の信号が埋もれてしまう。 例えば2007年の三菱電機の発表によれば、100キロメートル以上の伝送の場合、途中で傍受し鍵を複製した後、光の強さを調整すると検出器(受信者ボブ)のノイズにより傍受の検知ができなくなるという。同社は秘密鍵の作り方で対抗する考えだという。暗号技術はすべて、暗号化方式や伝送方式だけで安全性が確保されるわけではなく実装技術が大事であることを示している。量子暗号でも例外ではない。 以上の過剰な防御手段は、完全に近いな安全性を実現する上ではやむを得ない。 ただし、上記の安全性の証明は、通信を途中で傍受するタイプの攻撃が念頭にある。このほかにも、通信相手になりすます、配布が終了した後の鍵を盗む、暗号化の前や平文に直した後を狙うなどといった攻撃がありうる。また、量子暗号だけでなく通信機器全般に言えることではあるが、例えばバックドアを仕掛ける攻撃もありえる。一般的に暗号では理論上の安全性が実装上の安全性をそのまま意味するわけではない。 たとえば日経サイエンス増刊号では、「アーター・エカートの量子暗号(1991年考案、E91プロトコル)は、光子を送信時まで安全に保管でき、通信会社や装置メーカーによっても破られないことが証明されている」とされている。しかし量子もつれを配送するE91プロトコルは、BB84に対する攻撃手法と類似の手法で偽のベル状態を正規ユーザーに測定させる攻撃手法がある。 現在までの実験では、光ファイバーを用いた場合、公称でも200キロメートル程度が伝送距離の最大であって、これでは長距離通信は不可能である。さらに劇的に通信距離を伸ばすには、量子もつれを用いた量子中継や、人工衛星を用いたシステムといった手法を導入する必要があると思われる。 ただし前述のシャノンの完全秘匿の定義からは、鍵列の各ビットは互いに独立でかつ各鍵列は等確率で出現する独立同分布である必要性に注意を要する。独立同分布でない性質から解読された例としてベノナ計画がある。一方で、BB84に代表する Prepare-and-Measure 型の量子鍵配送では、配送された鍵系列が独立同分布に近くとも盗聴者にとって完全には独立同分布にならないことは知られている。この場合、配送された鍵系列が独立同分布にはならないことから、部分的既知平文攻撃により残りの鍵系列の推定に成功する確率が導出されている。そして本結果は、H. P. Yuen が2016年に出版した結果と一致し、2010年度にもすでに同氏により指摘されていた。2018年時点では S. Wehner により「攻撃者の計算能力に制限がある場合には 情報理論的安全性 をもつ認証鍵の配布が可能」との見解が示されているものの、量子鍵配送は「計算能力に制限のない攻撃者」を想定している。そのため当該目標を達成するには、他の解決策が望ましいと考えられる。 以下、実用にあたっていくつかの問題提起もなされていることから、代わりに「ポスト量子暗号 Post-Quantum Cryptography (または耐量子暗号, quantum-resistant cryptography)」の使用がいくつかの機関から推奨されている。例えばアメリカ国家安全保障局、欧州ネットワーク・情報セキュリティ機関、イギリスサイバーセキュリティセンター(National Cyber Security Centre (United Kingdom))、フランス国防安全保障事務局 (ANSSI) からの提言が知られている(詳細は参考文献を通読)。 例えばアメリカ国家安全保障局が取り上げている問題点は下記5つである。 1. 量子鍵配送は送信元を認証する手段を提供しない。そのため送信元の認証には、非対称暗号または事前に配置された鍵を使用する必要がある。 2. 量子鍵配送には専用の機器が必要である。また、ハードウェアベースの暗号であるためアップグレードやセキュリティパッチに対する柔軟性にも欠ける。 3. 量子鍵配送は信頼できる中継機を使用する必要がある場合が多く、インフラコストとインサイダー脅威によるセキュリティリスクが発生する。 4. 量子鍵配送が提供する実際のセキュリティは理論的な無条件のセキュリティではなく、ハードウェアや設計によって実現される限定的なものであり、特定のハードウェアでは攻撃がいくつか公表されている。 5. 量子鍵配送は、盗聴が一定量を超えると見積もられたとき最初からやり直すという理論上の仕組みから、サービス拒否攻撃(DoS攻撃)が重大なリスクであることを示している。 上記の問題1に対し、ポスト量子暗号 Post-Quantum Cryptography (または耐量子暗号, quantum-resistant cryptography) で認証鍵を配送する試みが世界的に提案されている。一方で耐量子暗号は計算量的安全性のクラスに属する暗号であり、2015年にはすでに「情報理論的安全性ではない認証鍵を用いる場合に、システム全体として情報理論的安全性を実現するには実装上、十分な注意が必要である」との研究結果が出ている (認証鍵情報理論的安全性でない場合、攻撃者はそれを破ることで古典通信と量子通信の全てを制御下におき、中継することで中間者攻撃を発動できる)。また、民間企業であるエリクソンも上記の問題点を引用して指摘し、その上で、最近のネットワーク・セキュリティ技術のトレンドであるゼロトラスト・セキュリティモデルにも対応できないのではないか、というレポートを提示している。
※この「量子鍵配送プロトコル」の解説は、「量子暗号」の解説の一部です。
「量子鍵配送プロトコル」を含む「量子暗号」の記事については、「量子暗号」の概要を参照ください。
- 量子鍵配送プロトコルのページへのリンク
