高速で強度の強い暗号の研究について



ATR通信システム研究所 通信ソフトウェア研究室 永瀬  宏


1.まえがき
  情報化が進むと、経済取引き情報を始め各種の重要な情報が通信システムを経由して交換されるようになります。通信システム上でこの重要な情報が安全に交換されるためには、情報の漏洩や破壊が防止でき、また何時でも使用できる信頼性が要求されます。このような要求を達成することをセキュリティと呼んでいますが、その中でも暗号は特に重要な技術です。

2.通信セキュリテモに影響する要因と対策
  セキュリティを妨げる要因には自然的要因と人為的要因があります。これまでにも種々の要因に対応して対処技術が研究されてきました。(図1
(1)自然的要因と対策
 自然的要因には地震や風水害等の災害、装置の老朽化等による故障があります。災害に対しては重要装置や回線の地域分散が進められています。故障については部品の高信頼化や装置の冗長化等の対策と保守者の訓練等を含めた故障発生時の対処技術の向上が図られています。
(2)人為的要因と対策
 人為的要因には、保守者の誤操作による障害の誘発がその一つとして挙げられますが、重要なのは通信内容の漏洩、他人による改ざん、他人の正当な人へのなりすまし(偽装)による情報の不正入手等の情報の中身に関する問題です。
 情報の中身の保護は暗号技術が中心に研究されており、多くの暗号方式が提案されています。また最近は暗号の応用として、書類の契約を電子化するディジタル署名・認証技術が研究されています。
 人為的要因には、有資格者が正当に入手した情報を不正に使用する場合もあり、倫理意識の強化や法律の整備等技術面以外の対策も検討されています。
 以下ではセキュリティの基本技術である暗号方式について、技術動向と研究のねらいを紹介します。

3.共通鍵暗号方式と公開鍵暗号方式
 通信で授受する情報の秘密を守るため、暗号は古くから用いられてきました。暗号系の一般的な原理は図2のようなものです。即ち、送信者は通信文Mに鍵Kを用いて暗号をかけ、暗号文Cにして送信します。また受信者は暗号文Cを同じ鍵Kで通信文Mに復元します。この鍵Kは二人の通信者が共有する秘密情報で、第三者に知られない限り、安全に通信することができます。このような暗号系は共通鍵暗号方式と呼ばれ、米国商務省標準局(NBS)のデータ暗号化規格DESがよく知られています。
 共通鍵暗号は比較的容易に装置化できることから広く普及していますが、長期間の同じ鍵の使用は危険なため、適時な鍵の変更が必要です。これは通信回線を通して行いますが、秘密裡に新しい鍵を通知し合う手順に問題があります。
 この問題に対してスタンフォード大のDiffie, Hellmanは一部の情報を公開して鍵情報を通知し合う方法を提案し、一つの解を与えました。この方法は、2者間で鍵の一部の情報を通知し合い、これと各自の持つ残りの鍵情報とを合成し、暗号に用いる秘密の共通鍵を生成するものです。公開された鍵情報だけで鍵を生成することはできません。
 また彼らは一方向性落とし戸関数の概念も提案しました。この関数は、順方向の計算と、逆方向の計算があり、順方向の計算が容易なのに対し、逆方向の計算は鍵を知らないと極端に難しいという特徴をもっています。この関数を用いれば二分した一方の鍵を公開しても、解読されることがなく、暗号方式に適用することができます。これが公開鍵暗号方式と呼ばれるものです。原理を図3に示します。送信者は通信文Mに公開鍵Kを用いて暗号化し、暗号文Cにして送信します。また受信者は暗号文Cに秘密鍵Kユを用いて通信文Mに復元します。
 公開鍵暗号方式としてはMITのRivest等により提案されたRSAがよく知られており、この方式では、一方向性落とし戸関数は大きな整数の素因数分解が難しいことに着目して設計されています。[1]
 公開鍵暗号方式では鍵Kは公開であるため、受信者から送信者への鍵の変更通知は簡単にできます。また鍵は共通鍵方式のように通信するペアごとに用意する必要がなく、秘密通信者が多い場合には全体で用意する鍵の数は大幅に削減されます。さらに公衆網では、鍵Kさえ知っていればだれでも、その受信者と秘密通信を行うことができます。
 公開鍵暗号方式の他の特長は応用の広さにあります。その一つが認証です。これは送信者の身元確認と通信文の改ざんの有無の確認を行う機能です。
 送信者Aは自分の秘密鍵K’を用いて署名文を作成し、受信者はAの公開鍵Kを用いて署名文から通信文を復元します。そして、意味のある通信文が得られればその内容の信憑性とAからの送信であることが確認されます。従来の共通鍵暗号では、秘密鍵を共有する2者間で確かに署名機能は実現できますが、受信者により署名文が改ざんされ得るため、通信文を証拠として残せない問題がありました。しかし、公開鍵の方法では署名文を作成できるのは、秘密鍵K’を持つAに限定されますから、その可能性はありません。

4.暗号方式の高速化と高強度化
 当研究所では将来の画像等の高速通信の需要拡大を想定して、高速ディジタル通信(100Mb/s程度)に適用できる暗号方式の研究を進めています。
 共通鍵暗号は認証等には不向きですが、秘密通信に関する限り、高速に処理できる利点があります。例えば現在の技術でLSIを製造すれば、DESが10Mb/s, RSAが50kb/s程度の処理容量が達成可能と言われています。このため実用中の高速秘密通信では専ら,共通鍵暗号が用いられています。このような背景から先ず共通鍵暗号方式の一層の高速化について検討しています。
 暗号の強さは、それが送るメディアの冗長性によっても変化するためメディアの種類と冗長性との関係を把握しておくことは、今後の通信の多様化を考えれば重要なことです。図4は冗長度評価のために画像について行った予備実験の例です。図の左は各画素を8bit符号化したディジタル画像、右はその暗号化したものから第0, 4bitのみを解読した(0は最上位)画像を示します。絵として見れば右と左はほとんど差が感じられません。すなわち、画像では一部の解読で、原画像が推定できる場合があることを示しています。この例を始めとして種々の観点からの冗長性も研究していきます。[2]
 図5は高速で強力な暗号を目指して検討した案で画像情報の暗号化に適用した場合の概念を示したものです。入力画像は1画面毎に秘密の鍵画像を加算して暗号化画像に変換します。処理は行列の有限体上での乗算と加算とで実行でき、並列処理により高速化できます。また一つの画面相当の情報を単位として暗号化するため、鍵の規模が大きくさらにその鍵が逐次的に変化するため、今後の評価が必要ですが強度も十分に得られると推定されます。
 この方式での鍵配送は、鍵を二つに分けて一方を交換するDiffie, Hellmanの方法を行列に拡張すればよく、高速化も図れます。また、交換する鍵行列をある秘密の行列により変換したものを共通鍵とすることにより、自由度が増大し、解読を一層困難にすることができます。

5.まとめ
  セキュリティの基本技術である暗号方式について研究の動向とねらいを紹介しました。速度と強度に関する要求はますます厳しくなるものと予想され、当研究所でもこの前進に向け努力します。
 また、公開鍵暗号方式は応用性の広さから今後の多様な通信の実現に必須の技術になるものと考えられるため、一方向性落とし戸関数の探索等の基本検討のほか、各種の新しい通信形態を想定しての機能拡張のための考察もしていく予定です。
 さらに最初に挙げましたが暗号以外にもセキュリティ影響要因が多数存在し、現在ではそれほど問題にはならないものでも、通信への依存度が高まるとともに大きくなる可能性があります。このような観点から、高度情報社会では通信形態はどのように変化するかのケーススタディを行い、新しいセキュリティ上の問題を追究したいと考えています。


参考文献