|
電子情報通信学会 - IEICE会誌 試し読みサイト
© Copyright IEICE. All rights reserved.
|
|
|
電子情報通信学会 - IEICE会誌 試し読みサイト
© Copyright IEICE. All rights reserved.
|
解説
量子計算機に対する暗号の安全性解析
Cryptanalysis on Quantum Computers
A bstract
量子チューリング機械の下では,Shorのアルゴリズムにより,素因数分解や離散対数問題などの古典計算機では困難であると信じられている問題を多項式時間で解くことが可能である.これにより,大規模で雑音の小さい量子計算機が実現すると,RSA暗号やだ円曲線暗号などの現在広く利用されている公開鍵暗号が破られることになる.そのため,世界各国で,量子計算機に対しても耐性を持つ耐量子計算機暗号の研究が活発に行われている.更に,Simonのアルゴリズムにより,幾つかの共通鍵暗号における利用モードが破られることも知られている.本稿では,量子計算機による暗号の安全性,特に,共通鍵暗号,公開鍵暗号の両方に対する安全性評価に関して知られている結果を紹介する.
キーワード:量子計算機,安全性評価,Shorのアルゴリズム,Simonのアルゴリズム
現代暗号は,共通鍵暗号と公開鍵暗号に大別されるが,量子計算機のこの二つの暗号系に対する安全性に関して,その基礎的な結果について説明する(注1).特に,共通鍵暗号に対する攻撃は,近年,著しく発展しており,その説明も加える.
まず,量子計算による暗号の安全性解析に関して,簡単にその歴史を紹介する.1985年のDeutschによる量子チューリング機械の提案から歴史は始まる.1994年に,Simonのアルゴリズム(周期関数の位数発見)(3),Shorのアルゴリズム(素因数分解,離散対数問題)(4)が提案された.Shorのアルゴリズムは,隠れた位数を発見するアルゴリズムであるが,このアルゴリズムにより,素因数分解,(だ円)離散対数問題を解くことが(量子)多項式時間で可能である.更に,理論的な整備により,可換群上での隠れ部分群問題にまで拡張されている.
研究の別の流れとして,1996年にGroverによりデータベース探索問題に対する量子アルゴリズム(5)が提案されている.Groverのアルゴリズムは,共通鍵暗号の秘密鍵探索に自明な形で適用可能である.更に,ハッシュ関数の衝突発見にも応用されている.共通鍵,ハッシュ関数の内部構造が一切使えない状況においては,解読の高速化が可能である.
最近になり,Simonのアルゴリズムを適用することによる共通鍵暗号への攻撃も示されている(6),(7).当初は,特定の暗号構成のみに有効な攻撃であったが,Groverのアルゴリズムと組み合わせることにより,幅広い暗号利用モードに適用可能である(8).
素因数分解問題は,広く利用されるRSA暗号の安全性の根拠となる問題である.量子計算機により多項式時間で実行できるという報告は,極めて大きいインパクトをもって受け入れられた.しかし,当時は,実際に動く量子計算機は存在せず,理論的なインパクトの大きさに反して,暗号研究者の中では,それほど重要視されていなかった.
続きを読みたい方は、以下のリンクより電子情報通信学会の学会誌の購読もしくは学会に入会登録することで読めるようになります。 また、会員になると豊富な豪華特典が付いてきます。
電子情報通信学会 - IEICE会誌はモバイルでお読みいただけます。
電子情報通信学会 - IEICE会誌アプリをダウンロード
