ITの最新動向を紹介する技術情報サイト

量子暗号

光子1つひとつに情報を載せて暗号化する「量子暗号」

量子暗号の元となるアイデアが生まれたのは1960年代のこと。アメリカの大学院生、スティーブン・ウィースナーによるもので、彼は、量子力学の理論を使えば絶対に偽造できない紙幣「量子マネー」を作ることができると考え、その方法を提案しました。そのアイデアに興味を持ったチャールズ・ベネットとジル・ブラザールという2人の科学者が、80年代に、この方法は暗号に応用できると気が付いて、量子暗号の基礎となるアイデアを考案しました。

原理は、光の粒子である光子の性質を利用したものです。情報の1つひとつ（2進数の0か1のいずれか）を光子1つずつに載せ、暗号化して送るという方法なのですが、その際、光子が振動する方向と情報を関連付けます。光子の振動方向が左右方向であれば0、上下方向であれば1、という具合です（光子は1つひとつ、上下、左右、斜めなど、一定の方向に振動しています）。

そして量子力学によれば、光子は、観測されていないところでは同時に複数の状態を取り（つまり同時に、上下方向にも斜め方向にも振動する）、観測されることで初めてその状態が確定するとされます。実に不思議なのですが、実際にそのような性質があることが明らかになっていて、その性質を利用することで、原理的に絶対に破ることができない暗号の仕組みを作れることがわかったのです。暗号を解くための鍵を絶対に見破られないように届けられるだけでなく、傍受しようとする人がいる場合にその存在を探知できるというのも特徴です^※2※3。

新たな標準になり得る「耐量子計算機暗号」

重要なのは、量子暗号は、光の量子力学的な性質を利用することで「原理的に解読できない」仕組みになっていることです。これは計算量が膨大すぎて「事実上解読できない」現行の公開鍵暗号との決定的な違いです。それはすなわち、量子力学そのものが覆ったりしない限り、決して破られることがない暗号ができつつあるということであり、この暗号が完成すれば、暗号技術の発展の歴史に終止符が打たれるかもしれません。

ただ、量子暗号は、まだ開発途上であることに加え、完成したとしても手軽には使えず、極めて秘匿性の高い分野のみに使われるものになることも考えられます。そうした中、また別の選択肢として、「耐量子計算機暗号（または耐量子暗号）」と呼ばれる暗号の開発も近年、広く進められています。これは、「原理的に解読できない」わけではないものの、量子コンピュータでも解くことが難しいと考えられる数学問題を駆使した新たな公開鍵暗号です。つまり、さらにレベルが上がった「事実上解読できない」暗号です。2022年7月には、その内の一つで、米IBM などが開発した「CRYSTALS-KYBER」が、米国立標準技術研究所（NIST）によって、今後のインターネットセキュリティを支える世界標準となりうる暗号として選ばれました。

一般的なセキュリティにおいては、耐量子計算機暗号の発展と量子コンピュータの発展が、次世代の暗号作成者と暗号解読者として、今後しのぎを削っていくことになるのかもしれません。

1. 公開鍵暗号には複数の方式があり、その内最も広く使われているRSA暗号では、素数の性質を利用しています。公開される鍵は、2つの巨大な素数を掛け合わせた数に相当し、暗号を解くための鍵は、掛け合わされる素数の一方に相当します。巨大な数がどのような2つの素数の掛け合わせでできているかを見つける簡単な方法はなく、驚くほど時間がかかる計算が必要になるのです。
2. 量子暗号の原理に興味がある方は、ぜひ『暗号解読』（サイモン・シン著、新潮文庫）を読んでみてください。ここではとても説明しきれないその原理の詳細が、とてもわかりやすく書かれています。ちなみにこの記事の内容全体も、本書を多く参考にしています。
3. 光子のこのような性質を利用した量子通信と相性が良い量子コンピュータとして、光子によって計算する光量子コンピュータの研究も進んでいます。