暗号と情報セキュリティ

1

情報のやり取りの際に、その内容を外部に漏れないようにする必要性は様々な場面で生じる。内容を外部に知られたくない場合や、競技の帰趨を左右するサイン、あるいは近年ではインターネット取引の決済に使用する口座情報など、多様なケースが考えられる。我々の日常生活においても、暗号ではないけれど、バーコードやQR（クイック・レスポンス）コード、あるいはすべての書籍に記載されている国際標準図書番号（ISBN）のように、情報を記号化して伝えることがごく一般的に行われている。また、各種IC乗車券、電子マネーに装填されているSIMチップは乱数による暗号化によって情報のやりとりの際のセキュリティを確保している。

このように、暗号化は現代では我々の日常生活に必要不可欠なインフラになっているのである。しかし、歴史的にみると、最も切迫した必要性は、戦乱、紛争、戦争といった民族や国家の間での争いの際に生じる。サイモン・シンの『暗号解読』（上）、（下）は、16世紀の王位継承を巡るスコットランド女王メアリーの処刑は謀反の企てが暗号化された手紙が解読されることによって露見した事件であるが、それを手始めに暗号の創作と解読の歴史を渉猟し量子暗号までを展望した傑作である。そこで取り上げている素材のほとんどが戦争に纏わるものであることが暗号（Code）という特異な分野の性格を物語っている。

例えば、換字式暗号としては最も複雑な仕組みの暗号機で創作された、第二次世界大戦時のドイツ軍のエニグマやコロッサスは、最終的にはイギリスのロンドン郊外のブレッチリ―・パークに結集した解読チームによって解読され、大戦の帰趨に大きく影響することになった。また、日本軍の紫（パープル）暗号はアメリカ軍によって解読されていたため、連合艦隊長官山本五十六の視察の行程がすべて把握されソロモン諸島上空で迎撃され戦局が大きく左右されたことなどをあげることができる。

この時期までの暗号の創作と解読はもっぱら古典学者と言語学者の仕事とみられていたが、エニグマの解読を機にその作業は数学者と、コンピュータ登場後はコンピュータ学者とが中心になり、解読はコンピュータの開発、性能向上を促した。

ところで、暗号の歴史を紐解くと、現代ではその必要性はインターネット取引の普及によって必要不可欠になってきたことが分かる。取引のためには名前や口座番号などの個人情報を仲介者に知らせる必要があるが、これらが第三者に漏れると口座からの現金引き出しや詐欺などに悪用される危険性がある。このため、暗号化は取引の安全性を確保する上で、欠かせないインフラになっているのである。現在では、クレジット・カード、SUICAなどのIC乗車券、マイナンバー・カードなど、カード情報の暗号化は私たちの生活のあらゆる場面で行われており、そのセキュリティの保証は様々な社会システムを正常に機能させる上で根幹の技術になっているのである。

2

送信者、受信者、そして盗聴者を、アリス、ボブ、イブという3人の架空の人物で代表させることが暗号論の世界では標準になっているので、ここでもそれに従うことにする。アリスはボブにメッセージを送る時に、盗聴しようとするイブには理解できないように加工を加える（暗号化）のである。

最も初期の暗号であるカエサル（シーザー）暗号は、アルファベットを何文字か前後の文字に置き換えることにより元のメッセージ（平文）を暗号化する。簡単な例をあげると、1968年に制作されたSF映画、アーサー・クラークの『2001年宇宙の旅』で、宇宙船ディスカバリ―を制御し反乱を起こす人口知能コンピュータ「HAL9000」は「Heuristically Programmed Algorithmic Computer（発見的プログラミングをされたアルゴリズム的コンピュータ）」の頭文字をとったものであるが、「IBM」という社名の各一字前のアルファベットである。アーサー・クラークが執筆時にはコンピュータとほとんど同義であった同社をもじったものである。

これは最も単純な換字化であり容易に判別できるが、長い間、これを巧妙かつ複雑化した換字法がもっぱら暗号化の方法であった。アルファベットによる文章の場合、ある程度の長さの文章であれば、統計的に各文字の出現頻度が明らかになっているので、暗号文の中で最も頻繁に使われている記号をアルファベットのｅと推測し、次に頻度の高い記号をｔ、その次はａ、以下同様に推測して解読を試みるのである。これを頻度分析という。スコットランド女王メアリーの暗号文はこの頻度分析により解析され彼女が目論んだ陰謀が明らかにされた。

このように、暗号文の大きな弱点の一つは繰り返し現れるパターンであり、頻度分析をかいくぐるために、暗号創作者たちは同じアルファベットでも、文章をブロック化し、各ブロックには換字法を変化させ異なる記号を付与するなど、その都度、異なる記号やアルファベットで置き換えられる方法を考案した。これがヴィジュネル暗号や、スクランブラ―（ルーター）を備えたエニグマ暗号機で、いずれも登場後しばらくは解読不可能な暗号といわれた。

エニグマの解読に成功したのは、イギリスのブレッチリ―・パークで解読チームの中心人物であった数学者のアラン・チューリングである。もっとも、当初のエニグマのバージョンはヒトラーによる侵攻の恐怖に曝されていたポーランドの数学者を中心とする解読チームによって解読された。この解読チームはドイツ軍内部の密告者により暗号機エニグマの使用法と説明書を手に入れ、エニグマ機の正確なレプリカを創ることができた。しかし、ドイツ軍がルーターの数を増やし暗号の強度を強めるとともに、ヒトラーによるポーランドの占領にともない、それらの情報はポーランドからフランスとイギリスに提供され、チュ―リングらのエニグマ解読に大きく役立った。

チューリングは、ドイツ軍からポーランド軍に流出したエニグマ機と同国の数学者からの情報をもとに解読のための機械（ボンブと呼ばれた）を完成させ解読に成功した。さらに、同チームはヒトラーが将軍たちとの専用通信に利用していたより強力なローレンツ暗号の解読のためにコロッサスという暗号解読機も作り上げた。これは今日のプログラム可能コンピュータの先駆けとなるもので、通説では世界初のコンピュータとされるペンシルベニア大学のENIACの開発よりも2年ほど前のことである。

ここで確認しておきたいのは、第二次世界大戦を境に暗号の創作とその解読が主として数学者が活躍する分野になったこと、そして暗号機を使って暗号のアルゴリズムが複雑巧妙になるにつれ、その解読も機械に頼らざるを得なくなり、コンピュータの開発、性能向上をもたらしたことである。

実際、これらを象徴的に示しているのは、いずれも20世紀を代表する研究者の業績である、クロード・シャノンの情報理論、フォン・ノイマンのゲーム理論とコンピュータの開発、ジョン・ナッシュのゲーム理論の精緻化（ナッシュ均衡）など、その後の社会科学の発展の方向性を左右するような成果がこの時期以降に相次いで結実したことである。

3

2000年を越える暗号の歴史ではあるが、1976年6月に全米コンピュータ会議で西海岸の3人の研究者（ホイットフィールド・ディフィー、マーティン・ヘルマン、ラルフ・マークル、以下、DHMと略す）が「鍵交換構想」を発表し、それまでの常識を覆す「公開鍵」に初めて端緒を切り開いたことを画期として大きく時代区分できる。

それまでの暗号はシーザー暗号にしろ、暗号機を使った複雑なエニグマ暗号にしろ、基本的に平文を記号に置き換えるものであった。この場合、発信者（アリス）と受信者（ボブ）との間で暗号化（と解読）の仕組みについてあらかじめ情報を共有しておく必要がある。暗号を解く鍵がなければ、ボブはアリスからの暗号文を平文に戻して元の情報を知ることができない。従って、如何に複雑な暗号であっても、この情報が遺漏すれば第三者に難なく解読されることになる。

これを「鍵配送問題」といい、それまでの暗号化の致命的な弱点であった。解読が不可能といわれたエニグマも、ドイツ軍最高司令部は、毎月、長期間基地を離れるＵボートのエニグマ・オペレータに日鍵を掲載した本を届けねばならなかった。そして、エニグマがイギリスの暗号解読チームによって解読されたのも、ドイツ軍内部からの情報遺漏が大きな原因の一つであった。

この問題を回避するためのヒントは、直観に反する、あらゆる論理の裏をかくようなものであり、暗号分野における最大の革命といわれている^1）。

いま、アリスがボブに他人には読まれたくない手紙を郵送するとしよう。そこで、アリスは手紙を頑丈な箱に入れ錠をかけて郵送する。しかし、ボブは鍵を持っていないのでそれを開けて手紙を読むことができない。アリスは何らかの方法でボブに鍵を渡さなければならない。これが「鍵配送問題」である。

ここでボブがアリスの錠（これの鍵をＡとしておこう）はそのままにして新たに自分の錠（この鍵をＢとする）をかけてアリスに送り返す。アリスは送り返されてきた箱の錠の一つを手元にある鍵Ａで開錠して、ボブに送り返す。ボブは残りの錠を自分の鍵Ｂで開けて中の手紙を読むことができる。こうして、アリスとボブは鍵を交換しないでも、それぞれが持っている個人鍵ＡとＢを使って安全に手紙を送ることができることが示されたのである。

DHMによるこの思考実験は虚を突くものであり、鍵配送問題の解決に有力なヒントを与えている。このアイデアを会議で公開した時には、暗号の専門家たちは驚愕したといわれている。

しかし、解決の可能性が示唆されても、その実用化が簡単に達成される訳ではない。それまでの暗号は暗号化と復元化には同じ鍵が使われた（共通鍵暗号）。つまり、暗号を元の平文に戻すには、プロセスを逆にすれば良く、これを対象鍵あるいは共通鍵と呼んでいる。ところが、DHMのアイデアでは暗号化と復元化には別の鍵が使われるので、これを非対称鍵と呼んでいる。彼らは、このアイデアを実現するための非対称鍵を必死で探した。

数学の分野では、ほとんどの関数は操作するのも解除するのも簡単なので、双方向関数と呼ばれる。例えば、2倍にするという操作は、2倍にするのも元の数に戻すのも簡単だから双方向関数である。しかし、DHMが求めていたのは、作用させるのは簡単だが、解除するのは非常に難しいという「一方向関数」である。例えば、黄色と青色の絵の具を混ぜて緑色の絵の具を創るのは簡単だが、元の色に戻すのは不可能だから、一方向関数である。彼らはこのような可能性のある関数を探し回った。この中で、モジュラー算術（日本では時計算として知られている。公開鍵暗号であるRSA暗号でも使われている）や楕円曲線暗号、ハッシュ関数なども有力な一方向関数であり、一部の暗号に使われているが、より簡便で実用的な方法が求められた。

4

今日、公開鍵による暗号化の方法として広く採用されているのは素数を利用したものである。

DHMのアイデアに触発されたマサチューセッツ工科大学（MIT）の3人の研究者（ロナルド・リヴェスト、アディ・シャミア、レナード・アドルマン）が素数を利用した公開鍵暗号を考案し、その後、広く商取引の暗号化の方法として採用されるようになった（頭文字をとってRSA暗号と呼ぶ）。

素数そのものは長らく数学者を悩ませ続けてきた問題である。それ自体は1とそれ自身でしか割り切れない数と定義されるが、その分布が不規則で出現のパターンがまったく予想できないのである。素数どうしを掛け合わせて計算するのは簡単であるが、それが十分な大きさの数であれば、元の素数に素因数分解することはスーパー・コンピュータを使っても非現実的な長い時間が必要である。

例えば、RSAは1977年に129桁の数字の素因数分解を問題（RSA129）として公募した。その際に、RSAはそれを解くためには当時のコンピュータの計算能力からすれば、何千年もかかる（つまり、素因数分解は不可能）と確信していた。しかし、「RSA129」という挑戦状を叩きつけられた世界中の数学者がこの問題に取り組み、600人のボランティアが分担して世界各地のコンピュータのネットワークによる並行処理の結果、それからわずか17年後の1994年4月に素因数分解に成功した。

これ自体驚きであるが、その後、素数探しの新たな方法が模索され、現在ではチカラ技に頼らずにもっと効率的な手順で素数を見つけ出す方法がある。とはいっても、RSAセキュリティ社は600桁を越える数字を推奨しており、これにはスーパー・コンピュータを使っても現実的な時間内に素数を見つけ出すことは不可能である。

簡単な数値例を挙げて説明しよう^2）。いま、アリスは公開鍵を（7、33）とする。公開鍵の33は二つの素数3と11をかけたものであるが、これらの素数は秘密（個人鍵）にされる。ボブはこの公開鍵を使ってクレジット・カードの暗証番号17を暗号化する。177÷33＝2余り8（177＝8（modulo（33））となるが、この余り8が暗号となる。ここで、modulo（33）は盤面を33とするモジュラー算術を表す。

この8から元の暗証番号17を求めるには、解読番号を求める必要があるが、暗号化されたクレジット・カード番号をＤ回掛けて元の番号を復元できることが知られている。すなわち、Ｅ×Ｄ＝1（modulo（ｐ－1）（ｑ－1））、となる（オイラーの定理）。この例では、Ｅ＝7、秘密の素数ｐ、ｑも3と11としているので、7×Ｄ＝1（modulo（2×10））で、7倍して得られた積を20で割った余りが1になるような数を探すことになり、Ｄ＝3が求められる。そこで、83＝17（modulo33）となり、最初の暗証番号が現れる。

ここで公開鍵33は公開され誰でも知ることができるので、この小さな数になる二つの素数の積は簡単に見つけることができる。しかし、これが600桁の数字であればどうであろうか。スーパー・コンピュータを使っても、現実的な時間内に素数を見つけ出すことは不可能であろう。

つまり、RSA暗号は現在のコンピュータの計算能力では計算が不可能な巨大な素数探しを条件としてセキュリティが担保されているのである。

5

以上のように、素数を利用した公開鍵の安全性は、非常に大きな数の素因数分解は現実的な時間内では事実上不可能であるという事実に全面的に依拠していた。しかし、RSA129が想定とは異なりわずか17年で素因数分解されたことは、コンピュータの情報処理能力の向上が侮れないものであることを改めて強烈に印象づけることになった。そして、コンピュータの日進月歩の計算能力の向上を考えれば、早晩、RSA暗号の安全性は万全とはいえなくなるのではないかという疑念がもたれ始めた。

この危惧は量子コンピュータの可能性によって現実化したといえる。量子は物質の最小単位であるが、これまでの量子力学の研究成果により、超ミクロの世界では現実世界では想像しにくい現象が生じることが明らかにされている。量子コンピュータは量子力学を応用したもので、量子ビット（Ｑビット）では「重ね合わせ」と呼ばれる性質により、「0」と「1」を同時に表すことができる。また、Ｑビットは「からみ合い」という相互作用があるため、Ｑビットを加える度に相互作用の数が倍になり、急激に高性能になる。この性質から複数の値を同時に計算することで、従来のコンピュータでは長時間を必要とした計算も飛躍的に高速で処理できるといわれている。

例えば、2019年に、グーグルは「シカモア」という量子コンピュータで、世界最速のスーパー・コンピュータでも1万年かかるような数学的問題を200秒で解けることを明らかにした^3）。

もっとも、量子コンピュータは原子を正確に並べて振動を同期させねばならないため、外からの不純物の混入による汚染を防ぐために、温度を絶対零度近くまで下げ、邪魔な振動を最低限に抑える必要があるなど、実用化にはクリアしなければならない技術的課題がある。

しかし、これが達成されることになれば、RSA暗号や楕円曲線暗号のような、現段階では計算不可能な仕組み（「計算量的に安全な暗号」と呼ばれる）を根拠とした暗号によるセキュリティの保証の根幹を揺るがすことになる。

そこで、数学的な構造ではない、新たな暗号化の仕組みが模索されている。それが量子暗号である。量子暗号は同じく量子力学の成果に基づくものであるが、情報を暗号化したり解読するのに必要な「暗号鍵」を光の粒の「光子」に載せて送りアリスとボブとで共有する。光子はそれ以上分割できず、イブが鍵を盗むと、アリスからボブに鍵が届かなくなり盗聴に気が付く。暗号が絶対破られないといわれる理由である。

6

暗号の歴史は、暗号の創作者と解読者の知恵比べの歴史でもある。その2000年以上の歴史をひも解くと、3つの大きな特徴をあげることができる。

一つは、暗号創作と解読に道具が使われ始めたことである。古くはギリシャ時代からみられた木の棒を指すスキュタレーに始まり、複数のスクランブラー（ルーター）を備え換字の規則性を取り除いたドイツ軍のエニグマ暗号機をあげることができる。それに対応して、解読のための機械が開発され、それがコンピュータの開発、性能向上を促した。

二つ目は、暗号が換字からコンピュータが扱う0と1の2進法に変化するのにともない、その解読もコンピュータ学者、数学者が中心になったことである。イギリスがエニグマ解読のためにブレッチリ・パークに集めた人員は最も多い時には7千人に達したといわれているが、その人員構成は、チェスなどのゲームの達人、古典学者、言語学者などであり、その中にアラン・チューリングのような数学者も加わっていた。しかし、素数を利用した公開鍵暗号が主流になるにつれ、暗号はもっぱらコンピュータ学者と数学者が活躍する分野となった。

三つめは、量子コンピュータと量子暗号の登場である。素数を利用した公開鍵暗号によるセキュリティの保証は、素数どうしを掛け合わせた数百桁を越えるような数字を素因数分解するためには、スーパー・コンピュータを使っても事実上、不可能であるという事実に依拠している。

しかし、量子コンピュータの登場によって計算速度がケタ違いに早まると、この前提が崩れる。その計算速度に較べると、スーパー・コンピュータはソロバン並みと評価する専門家もいる。となれば、素数を利用した公開鍵暗号の安全性は保証されなくなり、新たな暗号の考案が必要になってくる。ここで脚光を集めるのが、同じく量子を利用した暗号である。

量子を利用した量子コンピュータ、量子暗号とも、発展途上の技術であるが、各国で急速に開発、実証研究が進められている。近い将来それらが実用化されることになれば、暗号創作者と解読者の間で繰り広げられてきた知恵比べは終焉を迎えることになるのであろうか。

これだけ技術革新が急速に進展している下では、先端技術の先行きを予想することは事実上、不可能である。量子力学じたい、20世紀初頭の約20年間にその基礎が固められ、世紀後半に至ってその成果の応用が試みられた。将来的に、それを発展させた、あるいはそれとは異質の技術が新たに登場する可能性も否定できない。

いずれにしろ、暗号はコンピュータのような最先端の科学技術の発展に刺激を与える一方で、それらの成果を取り入れながら複雑化、高度化してきたことが分かる。