情報理論的安全な鍵共有の安全性評価の不完全性について

摘要

情報理論を暗号学に適用するためには、安全性を評価する量の操作的意味が明確にされる必要がある。通信理論における相互情報量の操作的意味はShannon自身によって明確にされているが、暗号学における相互情報量の役割は議論されていない。それに関する詳細な議論がなされないまま、種々の暗号システムに適用すれば、現実に理論成果を実装しようとした際に重大な欠陥の発覚の恐れがある。その事例は量子鍵配送である。送信者と盗聴者間の通信路の相互情報量が指数関数的に小さくなればそのシステムは無条件安全であるとする安易な定義が崩壊したことは周知の事実である。それに代わって、識別不可能憶の評価に用いられる統計的変動距離の量子版としてトレース距離がRennerによって導入された。そこでも、詳細な操作的意味の議論が欠落している。本稿では、Renner修正理論が導入されたとしても、原理的にBB-84型量子鍵配送技術は解読不可能な暗号システムを提供することができない事を示す。その事例として、三菱電機などが安全と主痕するトレース距離評価＜d＞=10~(-6)の脆弱性やNECシステムの鍵生成レートがマイナスになるなどの証拠を与える。これらに基づいてNICTなどが進めている量子鍵配送技術には原理的に理論保証が存在しないことを再度主張する。