• 印刷
NICT NEWS 2021 No. 2(通巻486)掲載記事
 
主担当:藤原 幹生、遠藤 寛之

 NICTでは将来どれほど計算機が発達しても解読できない暗号通信、いわゆる情報理論的安全な通信を可能とする量子暗号ネットワークと、そのネットワーク上に分散ストレージを構築し、情報理論的安全なデータ保管を可能とする技術の研究開発を進めています。NICTは東京100 km圏に量子暗号ネットワーク(Tokyo QKD Network)を2010年から稼働しているほか、現在、衛星搭載化の研究も進めており、グローバル化に向けた進捗をご紹介します。

背景

 公開鍵暗号で現在最も利用されているRSAやDH暗号はTLSによる暗号通信・デジタル署名等で用いられています。しかし、これらの暗号は量子コンピュータにより多項式時間で解読されることが知られ、早急な安全性強化が必要です。それに対し、2015年8月にはアメリカ国家安全保障局(NSA)は量子コンピュータに耐性のある数学を利用した耐量子暗号への移行を表明しています。また2016年2月に米国標準技術研究所(NIST)は耐量子暗号の標準化計画を示し、2020年12月現在、ラウンド3まで進行しており、2025年ごろから移行が始まると予想されます。しかし、鍵交換に利用される耐量子–公開鍵暗号も計算量的安全性であり、将来それが破られないことを保証するものではありません。現在安全とされている通信も将来には解読されている危険性があり、例えば30年後でも解読されれば多大な損害を生じる可能性のあるゲノム情報の保護など、情報漏洩への対策を急ぐ必要があります。将来の暗号解読の脅威から解放する技術で、すぐに手にできる物として量子暗号が挙げられますが、伝送距離や鍵生成レートなど改善すべき技術課題があります。現在その克服に向けた開発と新たな機能を武器に社会実装を進めています。

量子鍵配送のネットワーク化

 
 量子暗号とは量子鍵配送(Quantum Key Distribution: QKD)による暗号鍵(乱数)の共有と、伝送データ1ビットごとに送受信者で共有した乱数の排他的論理和を実施するVernam’s one time pad(OTP)暗号を組み合わせたものです。QKDの鍵配送速度と距離の目安は図1(a) に示すように、標準的なファイバ(伝送ロス0.2 dB/km)では、距離50 km(10 dBの伝送損失)において100 k~1 Mbps程度の鍵生成が可能です。1リンクだけではサービス距離も限られるため、暗号鍵情報を古典情報として“信頼できる局舎”で保管し、鍵をカプセルリレーし、鍵配送距離、サービスエリアを拡大します(図1 (b))。QKDリンク及び信頼できる局舎でネットワークを形成しており、これをQKDネットワークと定義しています。NICTは2010年からTokyo QKD Networkの稼働を続けています。このネットワークでは異なるベンダーのQKDリンク間でも確実に鍵リレーを実施可能とするための開発を進めてきました。このノウハウはITU-TにおけるQKD分野での初の勧告となるY.3800とそれに続くシリーズの勧告、計7件の成立に生かされ、日本が標準化を主導しています。
 欧州でも同程度の規模のネットワークが運用され始めています。中国では上海–北京間を鍵リレーし総距離2,000 kmに及ぶQKDネットワークを形成しました。我が国のQKDネットワークは中国と比較し、小規模ですが、QKD装置の性能、ネットワークの信頼性及びそのアプリケーションでは世界最先端を達成しています。
図1(a) 量子鍵配送の性能
図1(a) 量子鍵配送の性能
図1(b) 鍵リレーの概念図
図1(b) 鍵リレーの概念図

量子セキュアクラウド技術

 量子セキュアクラウドとはQKDネットワークとそれを利用した安全な通信を可能とする量子暗号ネットワーク上に形成された分散ストレージと定義できます(図2)。分散ストレージでは秘密分散という情報理論的安全なデータ保管を可能とするプロトコルを実装しています。秘密分散はデータをシェアと呼ばれる複数のデータに変換し、量子暗号で秘匿化した通信で遠隔地に保管します。データ保有者がデータを復元するには、あらかじめ設定した数(閾値)のシェアを集めることで可能になります。逆に閾値未満のシェアが漏洩したとしても、元のデータの情報は一切漏れないことを数学的に保証できます。秘密分散の最初の提案は1979年ですが、その際データの安全な伝送は仮定するしかありませんでした。量子暗号ネットワークを利用して、初めて手渡しによらないデータの情報理論的安全な分散保管が可能になりました。また秘密分散には保存したデータの秘匿性を担保したうえでそのデータの統計情報などを計算できる秘匿計算機能が実装可能です。つまりデータの安全な伝送、保存、二次利用を可能とします。またユーザの認証やデータの完全性の担保技術など、様々な機能の研究開発も進められています。これらの技術はゲノム解析データ、電子カルテ、さらに生体認証用データの分散保管のデモにも成功し、実データでも試験が進行中です。
図2 量子セキュアクラウドの概念
図2 量子セキュアクラウドの概念

今後の展開:グローバル化に向けて

 ファイバ網を用いてのQKDネットワーク・量子暗号ネットワークだけでは、世界展開はおろか、我が国全体をカバーするにもコストが膨大になります。先の量子セキュアクラウド技術はデータベース的な機能と考え、そこへのアクセスは衛星を介した暗号鍵を用いて実施できれば、サービスエリアを飛躍的に拡大することが可能になります。NICTでは2018年より総務省直轄委託研究「衛星通信における量子暗号技術の研究開発」に参画しており、小型衛星搭載用機器や可搬型地上局の開発を進めています。QKDでは伝送経路において盗聴者は量子コンピュータや量子メモリを有していたとしても安全に設計されており、その分スループットが制限されています。それに対し、衛星–地上通信などの見通し通信では、伝送路での盗聴者の有無が様々な手段で確認でき、盗聴者が可能な攻撃は受動的盗聴に合理的に制限可能です。そのような通信路において、安全な鍵共有を可能とする技術を我々はQKDと区別し、物理レイヤ暗号と呼び、QKDよりも桁違いに高速に鍵共有ができる技術の研究開発を進めています。QKDと物理レイヤ暗号は利用場面により使い分けることを想定し、より実用的な技術の開発となります。この技術により、情報理論的安全なグローバルネットワークの形成が可能になると考えます(図3)。このようなグローバル化戦略とキラーアプリの研究を総合的に進めている組織は世界でも例がなく、NICT内の様々なバックグラウンドを持った関係者からのフィードバックを頂きながら進めています。量子技術だけの視点ではなく、真に意味のある技術へ成熟させ、社会実装に向けた努力を続けています。
 
図3 地上–衛星を統合したグローバル量子セキュアクラウド概念図
図3 地上–衛星を統合したグローバル量子セキュアクラウド概念図