情報通信研究機構(NICT)の量子ICT研究室、セキュリティ基盤研究室および情報システム室は、完全秘匿通信を可能にする量子鍵配送システムの中継スイッチに、情報理論上「安全な鍵(共通乱数)」を与え、ネットワークの認証・暗号化において世界最高レベルの安全性を持つ「ネットワークスイッチ」を開発したことを発表した。

量子鍵配送の概要。量子鍵配送では、送信者が光子を変調(情報を付加)して伝送し、受信者は届いた光子1個1個の状態を検出し、盗聴の可能性のあるビットを排除(いわゆる、鍵蒸留)して、絶対安全な秘密鍵(暗号化のための乱数列)を送受信者間で共有する。変調を施された光子レベルの信号は、測定操作をすると必ずその痕跡が残り、この原理を利用して盗聴を見破ることができる。量子鍵配送による秘密鍵の共有と、それを用いたワンタイムパッド暗号化を行うことで、完全秘匿通信が可能になるという仕組みだ

現在、様々な状況において、ネットワークを通しての「情報漏洩」が、国家および国民の脅威となっているが、こうした情報漏洩を防ぐ方法としては、情報の暗号化や不正アクセスの防止などが一般的となっている。しかし、暗号化に伴う計算機の負荷の増加や通信速度の低下が問題となるほか、一度正規ユーザとして認証された端末から、ユーザを偽装して(なりすまし)不正アクセスをする行為を防ぐことに対しては、十分な対策がなされているとはいえないのが現状となっている。

今回の研究は、ローカルエリアネットワーク内部やローカルエリア間をつなぐ「ネットワークスイッチ」に "安全な鍵" を与え、ローカルエリア間の通信の暗号化やネットワーク内部での認証を強化することに成功したというもの。同システムでは、量子鍵配送装置で生成される、情報理論上"安全な鍵(共通乱数)"を、Layer 2(L2)スイッチ、Layer3(L3)スイッチといった「ネットワークスイッチ」に提供することで、セキュリティを強固なものとしている。さらに、IPsecなどの暗号プロトコルで使用する共通秘密鍵に量子鍵配送で生成した鍵を使用し、短時間で鍵を変える(一度使用した鍵は二度と使わない。)ことで、安全性の向上も図られている。

L2スイッチへの鍵共有による安全性の向上に関する概要

また、現在のネットワークでは、いったん正規のユーザとして認証された場合、他のホストになりすまして情報を不正取得することが可能であるが、今回のシステムではパケットごとに暗号化された認証を行うことで、正規ユーザ以外のなりすましによる不正アクセスに対しても堅牢なネットワークを構築することに成功したという。

L3スイッチへの鍵共有による安全性の向上に関する概要

実際に、同システムを用いて、従来のシステムで脆弱性が指摘されている攻撃に対し、どの程度の効果があるのか検証を行ったところ、多くのケースで攻撃を防ぐ効果があることが検証されたという。

今回開発したシステムと従来システムによるネットワークスイッチの効果検証

なお、研究チームでは今後、今回開発したネットワークスイッチの性能をさらに向上させ、量子鍵配送システムの本来の目的である完全秘匿通信と並行し、ネットワークセキュリティの向上に寄与する量子鍵配送システムの技術開発を進めていく予定としている。