量子鍵配送
量子鍵配送(英: Quantum Key Distribution, QKD)は、量子力学の性質を利用した暗号が実装された安全な通信方式である。 量子鍵配送では、通信を行う二者間のセキュア通信を保証するためにランダムに生成された秘密鍵を共有し、その鍵を使って情報を暗号化・復号する。 量子鍵配送は、しばしば量子暗号と呼称されるが、より正確には量子暗号技術の一手法である。また、「量子鍵配布」とも呼ばれる。
量子鍵配送の重要な特徴として、通信を行う二者が、その通信に用いられる鍵の情報を取得しようとする第三者(盗聴者)の存在を検知できる点がある。 この性質は、一般に量子系は観測によって必ずかく乱されるという量子力学の基本原理にもとづいている。 つまり、第三者は鍵を傍受するために何らかの方法で鍵の情報を観測する必要があるため、その観測行為が検知可能な異常をまねくのである。 より具体的には、量子重ね合わせや量子もつれを利用して情報を量子状態に乗せて伝達することで、盗聴を検知できる通信システムを実現できる。 傍受のレベルが一定のしきい値を下回った場合には、秘匿性が保証された(つまり盗聴者に知られていない)鍵を生成できるが、そうでない場合には傍受が行われたものとして鍵生成を行わずに通信を終了する。
量子鍵配送では、上述のとおり量子力学の原理によって暗号の安全性が保証されている。 それに対して、従来の公開鍵暗号方式ではある種の数学関数の逆関数の計算の困難さが安全性の根拠になっているが、使用する一方向性関数の逆関数の計算の複雑性が数学的に証明されていない。 量子鍵配送は、情報理論によって証明可能な安全性と前方秘匿性を備えた通信方式である。
量子鍵配送の主要な欠点として、通常、認証済みの古典的な通信路上に実装されている点がある。 現代の暗号技術においては、認証済みの古典的な通信路があることは、十分な長さの共通鍵や十分な安全性を持つ公開鍵を交換済みであることを意味している。 その場合には、実用上、Advanced Encryption Standard (AES)のガロアカウンターモード (Galois/Counter Mode, GCM)によっても十分安全な通信を実現できる。 この点から見ると、量子鍵配送は、ストリーム暗号と比較して数倍コストがかかる技術である。
量子鍵配送は、鍵の生成・配送にのみ使われる技術で、実際のデータ転送には使われない。 量子鍵配送によって交換された暗号鍵は、任意の暗号化アルゴリズムとあわせて使用することができ、暗号化されたデータは標準的な通信路を使って送受信できる。 量子鍵配送に最も適した暗号化アルゴリズムとしてワンタイムパッドがあり、これはランダムな秘密鍵を用いた場合に証明可能安全性を持つ暗号方式として知られている[1]。 現実の世界では、Advanced Encryption Standard (AES)アルゴリズムのような共通鍵アルゴリズムを使用した暗号とあわせて使用する場合もある。
量子鍵交換
[編集]量子通信には量子状態にある情報や従来のビットに替わる量子ビットの符号化が含まれる。通常は光子が量子状態をあらわすのに用いられ、量子鍵配送はこの量子状態のもつ性質を活用することによって安全性を保証する試みである。量子鍵配送にはいくつか手法があり、量子状態のどの性質を利用するかによって二つのカテゴリーに分けられる。
- プロトコルの準備と観測
- 古典物理学と違い、「観測」は量子力学において不可分な領域である。通常、未知の量子状態を観測すると、その量子状態が変わってしまう。これは量子の不確定性と呼ばれ、不確定性原理や情報撹乱定理、量子複製不可能定理などの根底を成している。この不確定性を利用することで通信における盗聴者を探知したり(盗聴者は通信を観測するため)、さらには傍受された情報量の算出なども可能である。
- エンタングルメントを用いたプロトコル
- 二つ以上の独立な物体の量子状態は、お互いに結び付けられることによって独立した状態から一つの結合状態となることが出来る。これは量子もつれ(エンタングルメント)と呼ばれ、例えば二つの物体が量子もつれ状態にあるとき、一方の物体を観測することが他方にも影響を及ぼす。仮に量子もつれ状態にある二つの物体がそれぞれ二者のあいだで共有されているとき、第三者がどちらかの物体(状態)を観測したとすると、全体の系も変わってしまうと同時に盗聴者の存在や傍受された情報量などが明らかになる。
さらにこれら二つの手法は、離散変数暗号化、連続変数暗号化、分散位相参照暗号化のそれぞれ三つのプロトコルへ分類することが出来る。離散変数暗号化プロトコルは最初に発明されたもので最も実装されているのもこのプロトコルである。それ以外の二つのプロトコルは実験的な検証段階である。以下に示す二つのプロトコルはどちらも離散変数型の暗号化プロトコルである。
BB84 protocol: Charles H. Bennett and Gilles Brassard (1984)
[編集]このプロトコルは光子の偏光状態を情報伝達に使用するもので、発明者と発表年から取ってBB84と呼ばれる。しかしながら、二つのペアとなる共役状態のものなら何でも代用できる。また、光ファイバーをつかった多くのBB84実装は符号化した位相状態を使用している。送信者(伝統的にはAlice)と受信者(Bob)は量子通信チャンネルと呼ばれる量子状態を伝送する経路で結ばれている。光子の場合は通常光ファイバーか、もしくは単に真空を媒体とする。更に量子通信チャンネルとは別に、従来の伝送経路である無線やインターネットを通して通信する。盗聴者(Eveとする)があらゆる手段で通信に干渉する場合を考えて設計されているため、どちらの経路も安全である必要はない。
BB84プロトコルは情報を非直交状態で暗号化することによって安全性を担保する。量子の不確定性とはこれらの状態が元の状態を変化させてしまうことなく観測することが不可能であるということを意味する(複製不能定理)。お互いに共役な二つの状態を扱うことによってそれぞれのペアがお互いに直交であることを利用する。組となる直交状態は基底と呼ばれる。通常の偏光状態の組は垂直に0°、水平に90°の直線偏光か、45°と135°の対角基底、あるいは右もしくは左まわりの円状基底のいずれかが用いられる。これらの組の中でお互いに共役なものが用いられる。以降の説明では直線基底と対角基底を用いる。
基底 | 0 | 1 |
---|---|---|
BB84の最初のステップは量子伝送である。Aliceが無作為なビット(0か1)を生成し、伝送に用いる基底を二つのうちから一つ選択する(この場合直線基底か対角基底)。彼女は更にビットの値と基底の両方に依存する偏光状態を左の表のようにつくりだす。図の例では、0が直線基底において垂直偏光に、1が対角基底で135°の偏光にそれぞれ変換されている。Aliceはこのような偏光状態にある光子を量子通信チャンネルを通してBobへ送る。Aliceは偏光状態、基底、光子が送られたときの時間を記録しながらこのプロセスを繰り返す。
量子力学によれば(部分的には量子の不確定性)それぞれ違った4種類の偏光状態を区別することは4つすべてが直交にない限り不可能である。すなわち、二つの状態が直交である場合にのみ観測が成立する。例えば、直線基底で観測したときに光子の偏光状態は水平か垂直のいずれかである。もしこの光子が垂直か水平か(直線基底として)で生成されていた場合には正しい状態が観測されるが、45°や135°というような対角基底が用いられていた場合に直線基底での観測は垂直か水平の状態が不規則にあらわれる結果となる。更にこの光子は、観測に用いられた基底によって再度偏光され、初期偏光はすべて失われる。
Bobは送られてきた光子がどの基底を用いて偏光されているか分からないので、直線基底か対角基底どちらかを選びながら値を観測するしかない。Bobは光子を受け取った時間、観測に用いた基底とその結果を記録していく。すべての光子の観測を終えたBobは通常のチャンネルでAliceと通信する。Aliceは送った光子をつくるのに用いた基底、Bobは受け取った光子を観測するのに用いた基底をそれぞれ送信する。その後、BobがAliceが用いたのと異なる基底を使用して観測した約半数の値(ビット)を破棄すると、残りのビットが共有鍵となる。
Aliceのランダムなビット | 0 | 1 | 1 | 0 | 1 | 0 | 0 | 1 |
---|---|---|---|---|---|---|---|---|
Aliceが用いるランダムな基底 | ||||||||
Aliceが送る光子の偏光 | ||||||||
Bobが観測に用いるランダムな基底 | ||||||||
Bobが観測する光子の偏光 | ||||||||
PUBLIC DISCUSSION OF BASIS | ||||||||
共有鍵 | 0 | 1 | 0 | 1 |
更にAliceとBobは盗聴者の存在を確認するために残ったビット列のうち幾つかのサブセットを比較する。もし第三者(Eve='eavesdropper')が光子の偏光状態に関する情報を得ているとすると、Bobの観測結果に誤差が生じる。仮にp個以上のビットにその誤差が見られた場合、AliceとBobはこの鍵を破棄し、可能なら異なる量子通信チャンネルを使ってより安全な共有鍵の作成を試みる。pの値はEveに知られたビットの数がpよりも少ない場合に漏洩の痕跡のあるビットを適宜捨て、鍵の長さを短くすることによって秘匿性を保てるような値である(秘匿性増幅)。
E91 protocol: Artur Ekert (1991)
[編集]E91は量子もつれ状態にある光子の組を用いる。これらはAliceかBob、またはその二者以外の誰か(盗聴者Eveを含む)がつくりだす。これら光子は分散されるため、AliceとBobは結果的に組となっている光子のどちらか一つを受け取ることになる。
このプロトコルは量子もつれの二つの特性に依存している。一つ目は、AliceとBobが光子の偏光を観測するときに、100%の確率で同じ答えが得られるように量子もつれ状態にある光子は相関関係にあるということである。これは直交状態にある偏光であれば、どんな組でも真となる。しかしながら、Aliceが(故にBobも)光子の偏光状態を予測することは不可能である。二つ目に、盗聴者Eveによるいかなる傍受もこの相関関係を破壊し、AliceとBobはこれを探知できるという点である。オリジナルのエカートプロトコルでは三つの状態を想定されており、ベルの不等式を満たすかどうかによって傍受を探知する。
情報一致と秘匿性増幅
[編集]これまでに挙げてきた量子鍵配送プロトコルはAliceとBobにほぼ同一の共通鍵を供給し、双方の鍵に見られる相違も想定されている。そうした相違は第三者による傍受だけでなく、送受信経路や探知機の不具合などによる場合もある。何が原因で共有鍵に誤差が出ているのかを特定するのは困難であるため、安全性を保証するためにはすべての誤差は傍受によるものだと仮定することになる。共有鍵に現れる誤差の割合は一定のしきい値を下回る必要があり(2007年4月時点で20%[2])、二つの段階を踏んで訂正が行われる。まず最初に間違っているビットを取り除き、Eveが得た情報量の分だけ共有鍵の長さを短くする。これらの段階はそれぞ情報一致と秘匿性増幅と呼ばれ、1992年に定義された。[3]
情報一致はAliceとBobの持つ共有鍵が同一であることを確かめるために二つの鍵間のエラー訂正を行うことを指す。これは通常の伝送回線を用いて行われるため、鍵についての情報の送受信は盗聴者Eveの存在を踏まえ最小限にすることが肝要である。情報一致に用いられる一般的なプロトコルに、1994年に提唱されたカスケードプロトコル[4]がある。このプロセスは両方の鍵を複数個のブロックに分けるため複数回に分けておこなわれ、それぞれのブロックのパリティを比較する。パリティに誤差が発見された場合には二分探索が実行され、誤差の訂正をおこなう。一度パリティ訂正が行われたブロックから再度誤差が検出された場合、そのブロックには別の誤差が含まれており、再度訂正が行われる。このプロセスは再帰的に繰り返され、カスケードプロトコルの名前の由来となっている。すべてのブロックのパリティに対し比較が終了した後、AliceとBobは鍵に含まれるビット列の順序を変更し再度比較検証を行う。こうして複数回の比較を終えると、AliceとBobは高確率で同一の鍵を共有していることとなるが、盗聴者Eveにとっても情報一致のプロセスで共有鍵についての新たな情報を得ることになる。
秘匿性増幅はEveの持つAliceとBobの共有鍵についての断片情報を縮小、あるいは効率的に削除するために行われる。Eveが得た断片情報には量子チャンネルを使った鍵の転送の際に傍受された(故に探知可能な誤差を引き起こした)ものと、通常の伝送チャンネルを用いて行われた情報一致の際に傍受されたもの(Eveはパリティと成りうるすべての情報を得たとする)がある。そこで秘匿性増幅はAliceとBobの鍵を元に新しく短い鍵を生成する。そうすること、Eveの持っている情報は新しい鍵のほんの一部でしかなくなる。このプロセスはユニバーサルハッシュ関数によって行われ、公知となっている幾つかの中から無作為に選択したハッシュ関数へ、鍵と同じになるような長さのビット列を入力し、決められた長さへと短縮されたビット列を出力する。新しい鍵がどれくらい短くなるかは盗聴者Eveが元の鍵についての情報をどれくらい得ているか(エラーによって探知される)によって定まり、新しい鍵についての情報の漏洩を限りなく低くすることが出来る。
実装
[編集]実験
[編集]現在実証されているも鍵交換で最も高いビットレートは、ケンブリッジ大学と東芝の連携によって実現されていて、BB84プロトコルとデコイパルスを用いた20 kmの光ファイバーで1 Mbit/s、10 kbit/sで100 kmである。[5] 2007の時点で光ファイバーを用いた量子鍵配送の最長距離はBB84プロトコルを用いた148.7kmで、ロスアラモス国立研究所とアメリカ国立標準技術研究所によって実証された。[6]重要なのは、この距離は今日の光ファイバーネットワークで用いられるほとんどすべての長さを満たしているということである。実空間で行われた量子鍵配送の最長記録は144kmで、欧州が協調し量子もつれ状態にある光子(E91プロトコル)で2006年[7]に、また2007年にデコイ状態を付加したBB84プロトコルを用いて[8] in 2007.[9]カナリア諸島で達成された。この実験によって、高い高度では大気の密度が低いため、衛星への通信が可能であることも示唆された。たとえばISSからESA宇宙デブリ望遠鏡までの距離は約400 kmだが、大気の密度でいえばこの実験環境よりも小さく、より小さな減衰で済むとされている。2017年8月には地上・宇宙間の量子鍵配送実験を中華人民共和国が成功させる[10]。
商業利用
[編集]東芝は、量子鍵配送システムを製品として発表している[11]。
現在[いつ?]量子鍵配送システムのサービスを提供しているのは、id Quantique (ジュネーブ)、MagiQ Technologies (ニューヨーク)、SmartQuantum (フランス)、そしてQuintessence Labs (オーストラリア)の四社である。この他にも、 HP、 IBM、 三菱、 NEC、 NTTなどの企業が積極的な研究を行っている。 (外部リンク参照)
スイスの企業であるid Quantiqueによって提供されている量子暗号技術は2007年10月21日にスイスの地方行政区画で行われた国政選挙で国会議事堂への票結果を転送するために使用された。[12]
また2004年には量子鍵配送を用いた世界初の銀行振込がオーストリアのウィーンで実施された。絶対的な安全性が要求されたウィーン市長から国内の銀行への小切手が転送された。[13]
量子鍵配送ネットワーク
[編集]DARPA
[編集]量子鍵配送によって保護されたDARPA Quantum network [14]は10ノードの量子鍵配送ネットワークで、アメリカマサチューセッツ州で2004年より運用されている。BBNテクノロジーズ、 ハーバード大学、 ボストン大学、QinetiQが開発している。
SECOQC
[編集]量子鍵配送により守られた世界で最初のコンピュータネットワークは2008年10月にウィーンで行われた科学会議で実施された。このプロジェクトはSECOQC(Secure Communication Based on Quantum Cryptography)と呼ばれ、EUが出資している。200 kmの標準的な光ファイバーケーブルでウィーンから西に69 km離れたザンクト・ペルテンの街を結ぶ六ヶ所を繋いでネットワークを形成した。[15]
Tokyo QKD Network
[編集]東京QKDネットワーク(Tokyo QKD Network)[16]は量子暗号・量子通信国際会議(UQCC2010)の初日に発足した。日本からはNEC、三菱電機、NTT、NICT、そしてToshiba Research Europe Ltd. (イギリス)、id Quantique(スイス)、「ALL Vienna」の七つの団体の国際的な後援の元に行われた。「ALL Vienna」はオーストリア技術研究所(AIT)、量子光学量子情報学研究所(IQOQI)、ウィーン大学からの研究者の代表である。
政府機関による量子鍵配送の非推奨
[編集]一部の機関では、実用にあたっていくつかの問題提起もなされていることから、代わりに「ポスト量子暗号 Post-Quantum Cryptography (または耐量子暗号, quantum-resistant cryptography)」の使用がいくつかの機関から推奨されている。例えばアメリカ国家安全保障局、欧州ネットワーク・情報セキュリティ機関、イギリスサイバーセキュリティセンター(National Cyber Security Centre (United Kingdom))、フランス国防安全保障事務局 (ANSSI)、ドイツ BSI からの提言が知られている(詳細は参考文献を通読)。 [17] [18] [19] [20][21]
例えばアメリカ国家安全保障局が取り上げている問題点は下記5つである。
1. 量子鍵配送は送信元を認証する手段を提供しない。そのため送信元の認証には、非対称暗号または事前に配置された鍵を使用する必要がある [22]。
2. 量子鍵配送には専用の機器が必要である。また、ハードウェアベースの暗号であるためアップグレードやセキュリティパッチに対する柔軟性にも欠ける。
3. 量子鍵配送は信頼できる中継機を使用する必要がある場合が多く、インフラコストとインサイダー脅威によるセキュリティリスクが発生する。
4. 量子鍵配送が提供する実際のセキュリティは理論的な無条件のセキュリティではなく、ハードウェアや設計によって実現される限定的なものであり、特定のハードウェアでは攻撃がいくつか公表されている[23]。
5. 量子鍵配送は、盗聴が一定量を超えると見積もられたとき最初からやり直すという理論上の仕組みから、サービス拒否攻撃(DoS攻撃)が重大なリスクであることを示している。
上記の問題1に対し、ポスト量子暗号 Post-Quantum Cryptography (または耐量子暗号, quantum-resistant cryptography) で認証鍵を配送する試みが世界的に提案されている。一方で耐量子暗号は計算量的安全性のクラスに属する暗号であり、2015年にはすでに「情報理論的安全性ではない認証鍵を用いる場合に、システム全体として情報理論的安全性を実現するには実装上、十分な注意が必要である」との研究結果が出ている (認証鍵情報理論的安全性でない場合、攻撃者はそれを破ることで古典通信と量子通信の全てを制御下におき、中継することで中間者攻撃を発動できる)
[24]。また、民間企業であるエリクソンも上記の問題点を引用して指摘し、その上で、最近のネットワーク・セキュリティ技術のトレンドであるゼロトラスト・セキュリティモデルにも対応できないのではないか、というレポートを提示している
[25]。
参照
[編集]- ^ C. E. Shannon , Bell Syst. Tech. J. 28, 656 (1949)
- ^ H. Chau, Physical Review A 66, 60302 (2002) ([1])
- ^ C. H. Bennett, F. Bessette, G. Brassard, L. Salvail and J. Smolin "Experimental Quantum Cryptography" Journal of Cryptology vol.5, no.1, 1992, pp. 3-28.
- ^ G. Brassard and L. Salvail "Secret key reconciliation by public discussion" Advances in Cryptology: Eurocrypt 93 Proc. pp 410-23 (1993) ([2])
- ^ A. R. Dixon, Z. L. Yuan, J. F. Dynes, A. W. Sharpe, and A. J. Shields. Optics Express, Vol. 16, Issue 23, pp. 18790-18979 ([3], See also [4])
- ^ New Journal of Physics 8 193 (2006) ([5])
- ^ R. Ursin, et al. Nature Physics 3, 481 - 486 (2007) ([6])
- ^ H.-K. Lo, X. Ma and K. Chen: "Decoy State Quantum Key Distribution". Physical Review Letters 94, 230504 (See also [7])
- ^ T. Schmitt-Manderbach, et al.: "Experimental demonstration of free-space decoy-state quantum key distribution over 144 km." Physical Review Letters 98.1 010504 (2007)
- ^ “中国、量子通信衛星で「傍受不能な」量子鍵配送技術を初めて実現”. ニューズウィーク (2017年8月10日). 2017年8月18日閲覧。
- ^ “東芝ウェブサイト”. 2021年10月2日閲覧。
- ^ http://www.technewsworld.com/story/59793.html technewsworld.com
- ^ http://www.secoqc.net/downloads/pressrelease/Banktransfer_english.pdf secoqc.net
- ^ Quantum cryptography network gets wireless link - info-tech - 07 June 2005 - New Scientist
- ^ 'Unbreakable' encryption unveiled
- ^ Tokyo QKD Network unveiled at UQCC 2010
- ^ Quantum Key Distribution (QKD) and Quantum Cryptography (QC) [8]
- ^ Post-Quantum Cryptography: Current state and quantum mitigation, Section 6 "Conclusion" [9]
- ^ Quantum security technologies [10]
- ^ Should Quantum Key Distribution be Used for Secure Communications? [11]
- ^ German Federal Office for Information Security (BSI)[12]
- ^ Tamaki, Kiyoshi (2010-02-01). 量子鍵配布理論 .
- ^ Scarani, Valerio; Kurtsiefer, Christian (2014-12-04). The black paper of quantum cryptography: Real implementation problems .
- ^ Pacher, Christoph; et, al. (2016-01). Attacks on quantum key distribution protocols that employ non-ITS authentication .
- ^ Mattsson, J. P.; et, al. (2021-12). Quantum-Resistant Cryptography .