HTML5 Webook

23/72

まえがきゲノムデータなど、世代を超え100年単位の秘匿性を必要とする情報が製薬や医療などで利用されており、その通信時の秘匿性を担保するために暗号技術開発の確立が急務となっている。その一方で我々が日頃使用している素因数分解や離散対数の計算困難さを基本とした暗号方式では、量子コンピュータ[1]が完成した暁に危殆化するとの懸念があることに加え、年々増強される計算機能力のため、30年後も安全であると担保できていないのが現状である。他の暗号方式では、耐量子計算機暗号の最有力な方式として格子暗号[2][3]等が提案されているが、それらの性能評価は2020-2022年にNIST（米国の国立標準技術研究所：National Institute of Standards and Technology）で行われる予定[4]であり、現在我々が既に直面している安全性への回答は数年以上待たなければならない状況である。加えて、暗号方式の変化は暗号化に必要な公開密鍵の鍵長の変化が伴う可能性が高く、現在の通信プロトコルのまま使用できない恐れがある。つまり通信機器のOSIモデルの各層での通信プロトコルの改変は、通信装置の大幅な更新を必要とする場合があり得る。それに対し、現在の通信システムに専用線を用いたシステムを付加することにより、将来の情報漏洩の脅威からの解放を実現できる方法として、二者間での情報理論的に安全に乱数を共有できる量子鍵配送[5][6]とVernam’s one-time pad暗号の組合せが挙げられる。本方式では将来の盗聴の脅威から完全に解放される。量子鍵配送は2000年当初より敷設ファイバでの伝送実験[6]が開始され、現在ではGHzのクロックを有する高速量子鍵配送装置[7][8]が開発されている。また、世界各国で量子鍵配送のネットワーク運用も進んでいる[9]–[11]。量子鍵配送は、伝送時の安全性は担保できるが、データの保存に関してはソリューションを与えていない。一方、現代暗号の分野では情報理論的に安全なデータ保存方法としてシャミアの閾値秘密分散法[12]が知られていたが、この方式ではシェアと呼ばれる秘密データの復元に必要なデータの伝送の安全性に対しては“想定”するのみであった。言い換えると量子鍵配送と秘密分散の融合はお互いの欠点を補いあう極めて合理的な発展である。NICTと東京工業大学は量子鍵配送と秘密分散の融合の上にユーザフレンドリーかつヒューマンエラーが起きにくいシステムとして、1つのパスワードで情報理論的に安全に認証のできるプロトコルも開発し、2016年には世界で初めて認証・伝送・保存・復元を情報理論的に安全に行うシステムのデモに成功した[13]。本稿ではそのプロトコルとシステムについて解説する。情報理論的安全な単一パスワード秘密分散プロトコル2.1シャミアの（k,n）閾値分散法本節では我々のスキームの基本であるシャミアの123-2　QKDを用いた情報理論的安全なパスワード認証分散ストレージ藤原幹生　早稲田篤志　野島　良　盛合志帆　尾形わかは　佐々木雅英分散ストレージは長期にデータを安全に保存する場合に必須である。分散ストレージは秘密のデータを有するデータオーナーのサーバ、複数のストレージサーバ及びそれらを結ぶ通信リンクで構成されている。分散ストレージでは“秘密分散”と呼ばれ、データを“シェア”と呼ばれるデータに分割し、ストレージサーバに保存する手法が広く用いられている。データを復元するためにはデータオーナーは複数のシェアを集める必要がある。シャミアの（k,n）閾値秘密分散法ではデータをn個のシェアに分割し、データ復元にはk個以上のシェアを収集する必要がある。仮にシェアの情報がk-1個盗聴者に漏洩し、盗聴者が無限の計算能力を持っていたとしても一切データの秘匿性は脅かされることはなく、情報理論的安全性が保たれる。このスキームでは伝送と認証については安全に行われることが前提となっているが、実際のシステムでは伝送・認証をも情報理論的安全性を保つ必要がある。我々は認証時には1つのパスワードだけで情報理論的に安全に実施でき、データ伝送には情報理論的安全な鍵生成が可能な量子鍵配送（quantum key distribution: QKD）のネットワークを用い、情報理論的安全な認証・伝送・保存・復元をユーザフレンドリーなシステムの実証に成功した。193　量子光ネットワーク技術