2019 Fiscal Year Research-status Report
量子アルゴリズムを活用した耐量子公開鍵暗号の安全性解析
| Project/Area Number |
19K20267
|
|---|
| Research Institution | The University of Tokyo |
|---|
Principal Investigator |
高安 敦 東京大学, 大学院情報理工学系研究科, 助教 (00808082)
|
|---|
| Project Period (FY) |
2019-04-01 – 2023-03-31
|
| Keywords | 量子アルゴリズム / 符号暗号 / シンドローム復号問題 |
|---|
| Outline of Annual Research Achievements |
現在利用されているRSA暗号や楕円曲線暗号は、量子計算機によって効率的に破られてしまうことがわかっている。そのため、大規模量子計算機の完成は、情報社会の安全性を大きく損なう事態を招きかねない。この問題を解決するため、量子計算機によっても解くことが難しいような数学的問題に基づいた"耐量子暗号"の研究は現在の暗号理論分野における主テーマの一つである。耐量子暗号の概念は古くから考えられており、これまで多くの方式が提案されている。今後は、これらの方式の実用化を見据え、鍵長などのパラメータの選択が一つの課題となる。パラメータ選択は、楽観的に見積もれば暗号方式の安全性を損ない、悲観的に見積もればその効率性を損なう。そのため、適切なバランスを見積もれるように、暗号方式の安全性と関連のある数学的問題を解くなるべく効率的なアルゴリズムの構成を目指す必要がある。この課題に取り組むために、大規模実装なども取り入れた古典アルゴリズムの開発・理論的な量子アルゴリズムの開発という二つの方向性がある。本研究では、後者の方向性で研究を進める。
今年度は、耐量子暗号方式として符号暗号に注目して研究を進めた。符号暗号の安全性は、線形符号のシンドローム復号問題の困難性と関連がある。シンドローム復号問題を解く古典アルゴリズムはこれまで数多く提案されており、総称としてinformation set decoding (ISD)アルゴリズムと呼ばれる。さらに近年は、既存の古典ISDアルゴリズムにGroverのアルゴリズムや量子ウォークなどの量子アルゴリズムを組み合わせることで高速化した量子ISDアルゴリズムも提案されている。本研究では、BothとMayによって提案された古典ISDアルゴリズムの量子版アルゴリズムを構築し、使用できる量子ビットが限られている状況では最も高速なISDアルゴリズムを得た。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
シンドローム復号問題を解くためのISDアルゴリズムの研究は全て最初に提案されたPrangeのISDアルゴリズムを基としている。簡潔に言えばPrangeのアルゴリズムは二段階からなり、第一段階で解くべきシンドローム復号問題をランダムに変形し、解きやすい別のシンドローム復号問題を得る。そして第二段階で、第一段階で得た変形シンドローム復号問題の解を全探索する。第一段階での変形に用いる乱数によっては第二段階では所望の解が得られないことがあり、その場合は乱数を選び直し、解が見つかるまでこれらの処理を行う。その後提案された改良古典ISDアルゴリズムは、第二段階で変形シンドローム復号問題を解く際に、指数的に多くのベクトルを格納するリストを活用することで高速化している。特に、BothとMayの古典ISDアルゴリズムでは、第二段階で近傍探索アルゴリズムを用いていることも高速化のポイントである。量子ISDアルゴリズムでは、まずGroverのアルゴリズムを用いることで第一段階での乱数を選び直す回数を平方根まで減らすことができる。そして、第二段階における探索で量子ウォークを用いることで高速化している。ただし、これまでの量子ISDアルゴリズムで利用された量子ウォークは近傍探索には利用できない。
提案手法では、近傍探索を適用可能なKirshanovaの量子ウォークを用いることでこの問題を解決し、BothとMayのISDアルゴリズムの量子版を構成することに成功した。ただし、この適用は自明ではない。第二段階での探索はさらに数段階に分かれており、全ての段階での探索において量子ウォークを適用することはできない。本研究では、これらの探索で適切に古典探索と量子ウォークを組み合わせることで提案手法を得た。この研究は情報セキュリティ研究会で発表予定であり、この成果によって研究はおおむね順調に進展していると判断した。
|
| Strategy for Future Research Activity |
「研究実績の概要」「現在までの進捗状況」で述べた提案量子ISDアルゴリズムは、前述のとおり使用できる量子ビット数が少ないときにはシンドローム復号問題を解く最速のアルゴリズムとなる。ただし、これは豊富な量子ビット数を使える状況では既存の量子ISDアルゴリズムに劣ることをも示している。そのため、次年度以降には、量子ビット数に制限を設けない場合での改良を目指す。提案アルゴリズムはBothとMayの古典ISDアルゴリズムの量子版であるが、「現在までの進捗状況」で述べたとおり、変形シンドローム復号問題の解を探索する際に、全ての探索を量子ウォークによって行っているわけではなく、古典探索を用いている。そのため、直感的に言えば、提案量子ISDアルゴリズムはBothとMayの古典ISDアルゴリズムを完全に量子アルゴリズム化したとは言い難い。今後は、変形シンドローム復号問題を解く際により量子ウォークの力を使えるようにBothとMayの古典ISDアルゴリズムを変形し、その変形アルゴリズムの量子版を構成することで、量子ビット数に制限がない場合でも既存の量子ISDアルゴリズムよりも高速になるような新たな量子ISDアルゴリズムの構成を目指す。これまでの研究の状況に立ち返れば、量子ビット数に制限がない場合には既存量子ISDアルゴリズムは提案量子ISDアルゴリズムより高速であるので、現在のようにBothとMayの古典ISDアルゴリズムの構造に厳密にこだわるのは得策ではないと考える。そのため、既存の量子ISDアルゴリズムが基としている他の古典ISDアルゴリズムの構造を取り入れることでさらなる改良を目指す。また、この研究で得た知見をもとに、シンドローム復号問題だけでなく、符号暗号だけでなく他の耐量子暗号方式の安全性と関連のある数学的問題をも考えることを目指す。
|
| Causes of Carryover |
新年度からの異動が決まったため、物品購入を翌年度以降に回した。繰越は小額であるため、購入を予定していた書籍等を翌年度以降に購入することで使用計画に大きな変更はない。研究の進捗としても今のところ大きな問題は発生していない。
|
Research Products
(2 results)
