電子割符は量子コンピュータで解読できますか
先日、表題のような問い合わせがありました。
以下、現時点の調査範囲ですが、
弊社WEBへの問いですから、一般的なご質問と判断し、
極力平易な文章で回答したいと思います。
また、解読に関する前提条件としては割符の特性を踏まえ、
あくまで原本復元に足る全ての割符が攻撃者に入手されていない。
つまりいくつかの割符は入手しているが、
復元に必要な残りの割符が未知という状況を前提として、
解読(原本復元として)以下回答します。
さて、お問い合わせのあった、
「電子割符は量子コンピュータで解読できますか」
ですが、以下のような順番で説明したいと考えます。
- 暗号と割符の基本的な違い
- 欠落部分は不明なまま
- 確率で表現するしかない
- その数値の意味
1.暗号と割符の基本的な違い
割符はそもそも、保護対象情報を割ってしまうことが、
安全性の根底にありますから、割った片割れだけでは、
全体を作り出せない(原本復元できない)のは自明の理とも言えます。
これは、単純に巨大な計算能力を持つ計算機が実用化されても、
無くなってしまった未知の部分を正確に作り出すことなどできないので、
安全性の根拠部分が、既存の暗号のように困難性問題ではなく、
元々、未知は未知である。という自然の摂理とも言える法則で、
一般化された解法が無い手段なので、
対象情報を変換し、原本情報に戻しにくくするという既存の暗号化とは、
根本部分が大きく異なることとなります。
但し分割の仕方によっては、原本情報の一部が容易に取得されてしまいますので、
そこは注意が必要です。
割符と暗号の違いをもっと簡単に表現すると、
理論的に解読しにくくする(困難にする・時間を要する)ことを目指す暗号と、
原理的に解読(原本復元)できなくすることを目指す割符。
の違いということになります。
注:
現在デファクトの公開鍵暗号技術は、主にRSA暗号と楕円曲線暗号が使われており、
これら2種類の暗号は量子コンピュータを使うと簡単に解読されてしまうことが、
20年程前に数学的に証明されている。
また、現在研究が進む耐量子計算機暗号も、基本的な研究の考え方は同様で、
理論的に解読しにくくする(困難にする・時間を要する)ことがベースであり、
本来解が出るのだが、現状暗号技術よりも解を導き出すのが困難であることを、
安全性の根拠としているので、AIと量子コンピュータの利活用も含め、
効率的な未知の解法(手法や技術等)が出現してしまう可能性がある。
2.欠落部分は不明なまま
電子割符の欠落部分は、未知のままなのです。
弊社電子割符では、毎回異なる欠落部分が生成されます。
その欠落部分はどこまで計算しても、
そこを入手していない攻撃者にとっては未知です。
例えば連立方程式の解を出すのに、
解を導き出せるだけの関係式が揃わなくても解が出せるような理論や、
集合論で言えば、
入手した一部の部分集合から母集合が作り出せる理論等が出現しない限りは、
理論的にも欠落部分(未知)を見出す一般式を得ることはできません。
つまり上手に(毎回異なる分割を行うなど)未知の部分を作り出せれば、
計算速度とは無関係に安全性が維持できることになります。
仮に、強度を意図的に落とそうと思えば、
生成した各割符に他の全ての割符の正確なサイズを見読しやすいように、
記録してあげれば、例えば量子コンピュータで割符の解読に近づける筈ですので、
量子コンピュータを割符の解読ツールとして否定するものではありません。
このあたりは、秘密分散技術(電子割符)の標準化を進める、
秘密分散法コンソーシアムで標準化(アプリ実装者向け)のガイドライン等で、
利用目的によっては、そうした手段もあることを記載する方向で検討中です。
3.確率で表現するしかない
未知の部分を入手しなければ復元できないのですから、
手ごわい技術であることは間違いありません。
割符の場合には、未知の部分がどれだけのビット長かも不明ですし、
残り何個の割符があるかも不明ですから、割符の仕組みを調査したとしても、
実際には入手した一部の割符には原本情報全てが反映(内包)されていない上に、
毎回異なる割符が生成されるのですから、
その入手した一部の割符から原本情報を復元できるような可能性を、
的確に表現すること自体に相当な無理が生じます。
(実際のところできないという表現になる)
そこで、あくまで攻撃者が不正に原本復元に成功することに関しては、
処理の仕組みを攻撃者が知っていたとしても、
確率として表現するしかないのです。
理論そのものではなく、弊社電子割符という工学的なソフトウエアプログラムに対し、
下記参考で報告されている産業技術総合研究所様の記述で、
現時点での安全性評価で得られている内容に限るならば、
情報理論的安全性を持っていると考えられるレベルにある
と記載されていることも大きな意味のある文言です。
通常こうした研究機関による報告で、
一定の前提条件が付いたとしても、
情報理論的安全性という評価はなかなか得られないものです。
なお、上記のような報告を受けている弊社技術においても、
弊社技術をアプリに実装する際のプロトコル瑕疵や、
生成後のデータ運用等に問題がある場合(杜撰な割符管理)等によっては、
一般論として安全性が低下する可能性があります。
これは、暗号技術において、その技術のアプリ実装や、
暗号鍵やID/PASSの管理が杜撰であれば、
セキュリティ上の問題が生じることと同様ですが、
割符の場合には、
個々の保護対象情報毎に必要な情報等が必ず複数存在しますので、
それら複数の情報を適切に管理すれば、
そもそも容易にリスク顕在化しにくくなるのが一つのメリットになります。
他方、暗号技術の場合には、
一つの暗号鍵で複数の保護対象情報を扱うことも多く、
例えば一度の情報漏えい(暗号鍵やID/PASS)や不正アクセス等で、
深刻なリスク顕在化に至ってしまうことになりますので、
高度化するサイバー犯罪等を踏まえると、
そうした攻撃を受けた際に、
リスク顕在化する危険性の度合いに大きな違いが生じることとなります。
以上から、弊社WEBに問い合わせいただいた、
「電子割符は量子コンピュータで解読できますか」
の回答としては、
「弊社電子割符を適切に利活用いただければ、
現時点事実上情報理論的安全性をもつのであるから、
現状の回答としては、
量子コンピュータに対しても当然有効(解読(原本復元)できない)」
という回答となります。
4、その数値の意味
その数値の意味を参考までに、ご説明します。
上記3の産業技術総合研究所様の弊社技術に対する報告の記述出てくる数値を、
少し調べてみましょう。
通常の暗号技術の標準的安全性レベルである「80ビット安全性」では、
暗号の解読が2の80乗(およそ10の24乗)通りの全数探索と同程度以上に困難であることを要求している。
攻撃者が3個ある割符ファイルのうち一つのみを入手した状態で元データを完全に復元できる可能性について、およそ10の105,000乗通りの場合の数から正解を言い当てるのと同程度に困難であるとの見積もりを得ている
と報告されています。
通常の暗号技術の標準的安全性レベル(全数探索の計算量)
2の80乗(およそ10の24乗)
・・・必ずこの計算結果(ビットパターン)の中に解がある
弊社電子割符3つのうち1つを入手し原本情報を完全に復元できる確率)
2の350000乗(およそ10の105000乗)
・・・事実上解を見つけられないという確率(あくまで確率)
さてこの数値の意味するところですが、
昨年(2017年)暮れに世界的IT系大手企業が、
50量子ビットの試作機を発表しました。
これは、上記のように2の50乗≒約1125兆のビット組み合わせを、
同時に表現・並列処理できることになります。
現在は更に進化しているものと考えられます。
仮に来年、3倍の量子ビットを備えたマシンを実現したとしたら、
150ビット以下の暗号鍵は一瞬にして見出される可能性が出てきます。
ということになりますので、通常の暗号技術が求める80ビット安全性では、
問題が生じることになります。
つまり現状一般的な暗号技術は、
圧倒的な計算能力を持つ量子コンピューターが実用化された場合には、
一度に多用な可能性を計算できてしまうため、
変換したデータから元情報に戻すことや、
利用した暗号鍵の検索(全数探索)が一気に計算できるようになり、
解読までの時間的猶予(困難性)が無くなる為、
根本的な安全性の大前提が崩壊することになります。
因みに、先人たち(古代中国やインド)が大きな数値に名称を付けていますので、
そこも参考まで記します。
10の24乗 じょ、し(変換で出てきません。関心ある方はお調べください)
通常の暗号技術の標準的安全性レベル(全数探索の計算量)
2の80乗(およそ10の24乗)
・・・中略・・・
10の57344乗 阿婆鈴(あばけん)
弊社電子割符3つのうち1つを入手し原本情報を完全に復元できる確率)
2の350000乗(およそ10の105000乗)
10の114688乗 弥伽婆(みかば)
参考:
弊社電子割符10個のうち1つを入手し原本情報を完全に復元できる確率)
2の474163乗(およそ10の142731乗)
10の229376乗 毘羅伽(ひらか)
弊社技術の場合、処理パラメーターを調整することにより、
更に数値を大きくすることも可能ですが、
現時点の数値でも十分な強度を持っていると考えられます。
以前も記載しましたが、情報セキュリティの世界で、
暗号と割符は相互補完する関係にあります。
もちろん暗号も割符も、
個々の技術の特徴を生かした仕組みを具体化することもできますが、
それぞれの長所を組み合わせ、より良い社会環境を実現することが、
大事です。
割符による情報管理の概念は、悠久の時を越えて大事な暗号鍵の分散管理や、 分散台帳システム、営業機密や機微な個人情報等の安全管理等、 最新のIT環境でも、縁の下の力持ちとして、 非常にセンシティブなデータの安全管理場面で利活用されています。
注:
弊社技術に対する外部評価等を引用したり、弊社技術名等と類似の名称を付する等、
弊社技術が実装されているものと消費者等が錯誤(誤解)するような、
技術や商品説明をしている商品等が市場に存在するとの報告を受けています。
本当に正式に弊社から技術の使用許諾や、技術の保守サポートを受けているか等、
十分ご注意ください。
なお消費者錯誤等を招く恐れのある事例等がありましたら、お手数ですが、
下記弊社問い合わせ先までお知らせいただけますようお願いします。
本件に関するご質問や問い合わせは、
まで、お願いします。
参考:
CRYPTREC Report 2017の公開
平成30年7月19日
国立研究開発法人 情報通信研究機構
独立行政法人 情報処理推進機構
https://www.cryptrec.go.jp/topics/cryptrec_20180719_c17report.html
[2015.12.26]
産総研様との共同研究の第二期結果概要報告
http://www.gfi.co.jp/01news20151226_393.html
NICT 暗号の安全性評価
http://www.nict.go.jp/publication/NICT-News/1303/01.html
NICT 格子暗号の実用化に向けて
http://www.nict.go.jp/publication/NICT-News/1303/02.html
H11年ECOM(現:JIPDEC)セキュリティWG 暗号利用技術ハンドブック(第2版)
https://www.jipdec.or.jp/archives/publications/J0004104