[市場動向]

NICT、量子コンピュータでも解読が難しい新暗号方式LOTUS(ロータス)を開発

2018年1月11日(木)日川 佳三(IT Leaders編集部)

国立研究開発法人情報通信研究機構(NICT)は2018年1月11日、量子コンピュータでも解読が難しい新暗号方式「LOTUS」(ロータス)を開発したと発表した。格子理論と呼ぶ仕組みを採用した。現在の公開鍵暗号(RSA暗号や楕円曲線暗号など)と置き換えて使える汎用性も確保した。

図1●格子暗号の概要(出所:国立研究開発法人情報通信研究機構)図1●格子暗号の概要(出所:国立研究開発法人情報通信研究機構)
拡大画像表示

 LOTUSは、量子コンピュータでも解読が難しい耐量子性を備えた新しい暗号方式である。この上で、現在Webなどで使われているRSA暗号や楕円曲線暗号などの公開鍵暗号を置き換えて使える汎用性も確保した。現在の公開鍵暗号は量子コンピュータによって簡単に解読されてしまうが、LOTUSに置き換えることで解読されずに済む。

 LOTUSは「Learning with errOrs based encryption with chosen ciphertexT secUrity for poSt quantum era」の略称であり、格子暗号の技術を使っている。NICTはこれまで、耐量子計算機暗号の有力候補とされる格子暗号の開発と安全性評価に取り組んできた。今回、耐量子性だけでなく、汎用性を持った格子暗号方式としてLOTUSを開発した。

 格子暗号にはいくつかの方式があるが、LOTUSでは、これらの中でも最も安全性に関する理論の研究が進んでいるLWE問題に基付く方式を選択した。この方式は、そのままでは汎用性を持たないが、暗号文の復号の際にその構造をチェックする機能を追加することで、汎用的な暗号方式となる。

 なお、LOTUSは、米国国立標準技術研究所(NIST)が現在標準化を進めている、現在の暗号方式を置き換える耐量子計算機暗号の候補のうちの1つである。NISTは、暗号方式を世界中から公募し、今回、LOTUSを含んだ69件が書類選考を通過している。今後数年かけて評価・選定を行う予定である。

データの破損をチェックする機構を付けて汎用性を確保

図2●藤崎・岡本変換によって汎用性を持たせた格子暗号(出所:国立研究開発法人情報通信研究機構)図2●藤崎・岡本変換によって汎用性を持たせた格子暗号(出所:国立研究開発法人情報通信研究機構)
拡大画像表示

 格子暗号では、全てのデータを行列やベクトルで表現する。暗号化処理は、一度平文ベクトルをスクランブルした後、それを復元に必要な付加情報とセットにして暗号文ベクトルとする。復号時には、秘密鍵と付加情報から、暗号文のスクランブルを解除するための情報を復元し、平文を計算する。

 ところが、格子暗号を実社会でシステムに組み込むとき、データの破損が問題になる。例えば、保存してある暗号文ベクトルがメディアの損傷などで、元とは異なるものに変化してしまった場合、その暗号文を正しい鍵で復号しても元の平文を得られない。

 また、悪意のある攻撃者は、意図的にこのデータ破損を引き起こし、情報を復元不可能にしてしまうか、無理やり破損した暗号文を復号した結果を利用して、さらに、他の秘密情報を読み取る危険性がある。

 このような暗号文破損への対策としてLOTUSでは、暗号化の際に、暗号文とその枠の形を示す情報を一度にパッキングし、復号の直前にそれらを比較して暗号文の破損が起きていないことをチェックする機構を付け加えた。

 もしもデータが破損していた場合、データの異常を検知して復号を中断することで、攻撃者が余分な情報を得ることを防げる。このチェック機構の追加を専門的には、「藤崎・岡本変換」と呼ぶ。また、この機構を組み込むことで、暗号方式が汎用性を持ち、多くのシステムに組み込むことが可能となる。

関連キーワード

量子コンピュータ

関連記事

Special

-PR-

NICT、量子コンピュータでも解読が難しい新暗号方式LOTUS(ロータス)を開発 国立研究開発法人情報通信研究機構(NICT)は2018年1月11日、量子コンピュータでも解読が難しい新暗号方式「LOTUS」(ロータス)を開発したと発表した。格子理論と呼ぶ仕組みを採用した。現在の公開鍵暗号(RSA暗号や楕円曲線暗号など)と置き換えて使える汎用性も確保した。

PAGE TOP