光子の単一性が保証されない場合でも使える暗号

10章や13章などで述べた通り、原理通りの量子暗号を得るために、質の良い 単一光子を生成させる研究が進んでいます。そうはいっても、完璧な単一光子 というものは得られません。複数光子が発生する確率、あるいは光子が発生し ない確率を減少させることはできても、ゼロにはできないのです。当然ですが、 レーザで光子を発生させる場合、レーザを強くすれば発生する光子の数は多く なりやすくなり、弱くすれば少なく（ゼロを含む）なりやすくなります。いず れにせよ、盗聴者に漏洩する情報が発生してしまうのです。

科学技術振興機構と日本電気は２００７年１月１７日、光子の単一性が保証 されない場合でも、盗聴者に漏洩する情報量を確率的に推定できる理論を構築 したと発表しました。この理論により、盗聴者が得る情報量の上限値を設定し、 それ以下で収まるよう、レーザの出力を変えながら複数回送り、必要に応じて 情報量の一部を捨てるアルゴリズムを開発しました。これにより、２０ｋｍの 光ファイバー伝送後、漏洩した情報量の上限が１ビットあたり１２８分の１で あることが保証された最終鍵を、毎秒２０００ビットで生成することができた ということです。 http://www.jst.go.jp/pr/announce/20070117/index.html

エンタングルメントと量子テレポーテーション

最後に、どこか哲学的ないしＳＦ的な話ではあるのですが、量子力学や量子 暗号に関連した面白いトピックスである量子テレポーテーションについて触れ ましょう。その前提となる現象が、エンタングルメント（量子もつれとも）と いうものです。

これはまず、量子力学の多解釈性（物理量は複数の値を確率的にとることが でき、観測されるまではそれらの重ね合わせとして世界を解釈すべきである、 ということ）が前提となります。その上で、例えば同じ原因によって発生した ２つの量子を考えると、両者の間にはエンタングルメントという絡み合いが発 生し、どちらかが観測されるまでは、お互いに同じような、あるいは正反対の 物理量として振舞うということです。片方が観測されて値が確定する（それに より不確定性原理関係にある他の量はご破算となる）と、もう片方もその瞬間 に確定する、という解釈です。その関係は粒子間の距離に依存しないので、量 子計算、量子テレポーテーション、量子暗号などへの応用が期待されています。

両者は離れているのだから、それでは情報が光速を超えて伝わることになり 矛盾じゃないか！という主張もありました。いや、主張もあったなどと書くの は失礼かもしれません。何しろそう主張したのは相対性理論を生み出したご本 人、アインシュタイン御大なのですから。しかしボーアらの反論により、これ も矛盾ではないという見方が一般的になっています。

このエンタングルメントという関係を使って量子的な情報を送るのが、量子 テレポーテーションです。量子Ａと量子Ｂの間にある種のエンタングルメント があり、また量子Ｂと量子Ｃの間にも同種のエンタングルメントがあるとしま しょう。すると、そのエンタングルメントが正のものであっても負のものであ っても、ＡとＣは同じ物理量を持つことになります。つまり、Ｂを仲介に、Ａ を観測するとその情報はいわば瞬時に、空間的に離れたＣに送られるわけです。

総合研究大学院大学と科学技術振興事業団は共同で、完全なエンタングルメ ントを抽出する光回路を提案する（２００１年）とともに、雑音に埋もれてし まったエンタングルメントを復元する実験に成功しました（２００３年）。ま たどこまできちんとしたものかはわかりませんが、１兆個程度のセシウム原子 の集合間にエンタングルメントを発生させたという話もあります。一方の集合 にレーザーを当ててスピンを変化させると、当てていないもう片方の集合のス ピンも同じだけ変化したというのです。

ある孤島で何匹ものサルがある行為をすると、別の孤島でもサルが同じよう なことを始める。そんな「１００匹目のサル」の話を連想させますが、この話 自体でっちあげという説もあります。ただ、ある種の物理量の絡み合いという 理論自体は量子力学の基本であり、本当にそれが応用できれば、何やらスゴイ ことにつながりそうです。

２００４年９月、東北大学電気通信研究所の枝松圭一教授らは、こういった エンタングルメント関係にある２つの光子を、半導体に紫外線レーザーを当て ることで生成させました。将来はレーザーは使わず、半導体に電流を流すだけ で生成できる可能性もあるということです。

２００５年６月、東京大学の古澤明助教授は、エンタングルメント状態にあ る光子を２組（４個）作成し、そのうちの１個の状態を別の組の光子に再現さ せることに成功しました。

科学技術振興機構（ＪＳＴ）とＮＴＴは２００６年３月３０日、超伝導量子 ビットと呼ばれる電気回路の電流状態と、単一光子との間で、量子もつれ状態 を制御することに成功したと発表しました。量子もつれを示す真空ラビ振動と 呼ばれる現象を観測したのです。超伝導量子ビットは超伝導体を用いて作製さ れた量子二準位系で、マイクロアンペア程度の電流を持ついわばマクロな現象 です。それだけ操作性にすぐれ、また原子に比べて光との相互作用が３桁以上 強い系であることが示されました。量子ビットの状態をコヒーレンスを保った ままＬＣ回路の光子の状態へ移すことができるようになり、量子コンピュータ の実現が近づいたといえそうです。

２００６年１０月には、デンマークのコペンハーゲン大学などが、光と原子 の間で量子テレポーテーションを実現させたと、ネイチャー誌で発表がありま した。原子は情報の記録、光は情報の通信の、それぞれ基礎になりますから、 この２つの間で量子テレポーテーションが起きたというのは、まさにコンピュ ータ機能の基礎になるものなのです。

科学技術振興機構の単一光子光源量子暗号

独立行政法人科学技術振興機構は２００２年１２月（当時は科学技術振興事 業団）、ＮＴＴ（当時）と共同で単一光子光源を用いた量子暗号の伝送実験に 世界で初めて成功したと発表しました。

半導体レーザなどの光パルスにより発生する光子数は、通常ポアソン分布と いう確率分布に従います。これは、比較的稀に起きる事象が、試行回数を十分 に増やした時にどのくらい起こりうるか、ということを表わす分布です。この 場合、光子の数は期待値としてはわかるのですが、現実の数としてはそれより 多いかもしれないし、逆に少ない（ゼロを含む）かもしれないということで、 どちらの場合も量子暗号には歓迎できないことです。

これを解決するために、厚さ4nm、直径20nmのインジウム・ヒ素からなる量子 ドットを作り、これをガリウム・ヒ素半導体とアルミニウム・ヒ素半導体から なる３次元の光マイクロキャビティに閉じ込めます。量子ドットにパルス光を 当て、複数の電子～ホール対を光励起で注入すると、両者は結合して次々と光 子を放出します。その最後の１個は一定の波長を持つことが知られているので、 それを光波長フィルターで選択的に取り出すという仕組みです。本来この光子 はランダムな方向を持つのですが、光マイクロキャビティにより方向は一意に 定められるということです。

単一光子光源の効率を１０％に、また２個以上の光子がパルスに存在する確 率を通常の半導体レーザの１／１００に減少することにすでに成功しており、 人工衛星を介した超長距離の衛星通信量子暗号システムへの応用が期待されて います。

２００７年１月には、科学技術振興機構の戦略的創造研究推進事業「量子情 報処理システムの実現を目指した新技術の創出」領域の一環として、北海道大 学も、質の良い単一光子源を生成に成功したと発表しました。こちらは同時に ２個以上の光子が発生する確率が１万分の１以下です。三菱電機はこの光子源 を用い、ＢＢ８４という量子暗号プロトコルに基づいて８０ｋｍの距離を安全 に通信できることを確認したと発表しました。

ＮＥＣと通信・放送機構の１５０km量子暗号伝送

ＮＥＣと通信・放送機構は、１５０kmの単一光子伝送に成功しました。これ は２００４年３月現在、世界最長となります。

システムは、送信側が光源と符号器、受信側が復号器と光子受信器とで構成 されます。ＮＥＣが独自開発したシリコン基板上に、符号器と復号器を全固体 で実現することで、光子を往復でなく片道で送るようにしました。これにより 光散乱戻り光による雑音の影響はほぼ排除されます。さらに光ファイバー中の 波長分散（光ファイバーの屈折率が波長により多少異なるために生じる、信号 の到達時間のずれ）もほぼキャンセルされています。また科学技術振興機構と の共同開発で受信器を世界最高レベルまで高感度にしています。

１５０kmというのは関東一円をほぼカバーする範囲であり、この方式による 伝送の実用化に貢献しそうです。

またＮＥＣは２００４年９月、１００Kbpsで４０kmの量子暗号伝送も実現し ています。この組み合わせも世界初ということです。

産業技術総合研究所の高速光子検出装置

物理法則を利用して盗聴を確実に防げる可能性のある量子暗号ですが、その 大きなネックの一つは、通信速度が遅いことです。２章で述べたように、やり とりするのはデータ自体ではなく暗号鍵なので、それでも構わない面もあるの ですが、やはりより高い安全性を狙うには、鍵自体をある程度長くする必要が あり、またそれを頻繁に（できれば毎回）やりとりする必要もあるので、高速 であるに越したことはないのです。

産業技術総合研究所（独立行政法人）光技術研究部門は２００４年５月12日、 一般的な通信波長である1.55μｍに対する世界最速の光子検出装置を開発した と発表しました。通信距離は10.5kmと短めではありますが、毎秒45ｋビットと いう鍵生成率を得ています。

従来の光子検出装置では、ガイガーモードと呼ばれるなだれ電流増幅を利用 した光子検出法が用いられていました。これはアバランシェフォトダイオード という内部電流増幅機構が備わった光電素子を用い、光子がひきがねとなって 生じるいわば電子の山の崩れを検出するものです。この場合、アフターパルス と呼ばれる雑音が繰り返し生じるので、１ＭHzを超えるような繰り返し動作が 困難となっていました。

今回の新しい検出法が、なだれ電流増幅以外のどういうメカニズムによるも のなのかは、残念ながらプレスリリースでは示されていません。産業技術総合 研究所では通信距離を100km程度に延長し、10ＭHz以上で動作する光子検出装置 を開発することを狙っています。

東京大学荒川教授らと富士通研究所の単一光子発生

２００４年７月15日に発表されて大きなインパクトをもたらしたニュースが あります。東京大学先端科学技術研究センター・生産技術研究所ナノエレクト ロニクス連携研究センターの荒川泰彦教授のグループと富士通研究所ナノテク ノロジー研究センターとが共同で、通信波長帯の単一光子を安定的に発生させ たというものです。従来のレーザー光源を利用した方法だと、複数光子の発生 を防ぐために出力を抑える必要があり、そのため光子の無発生（空撃ち）の頻 発が避けられず、高い効率が得られませんでした。今回の技術はそれに対し、 長距離量子暗号通信の速度を、４００倍以上に高速化できる可能性があるとい うことです。

元になる量子ドットは、自己組織化的に作成した、高さ２～３nm、直径20nm ほどのものです。そこにレーザーで励起させた電子と正孔とをほぼ確実に１つ ずつ落とし込み、両者を再結合させることで、単一光子を得ます。ごく稀には ２つの光子が発生することもありますが、最初の１つは波長がやや異なるので、 フィルタで取り除くことができます。

あわせて光ファイバーを通過した光を２手に分け、両者の光の受信のタイミ ングを正確に測定できる単一光子受信システムを設計・開発しました。これに より、複数光子の発生は、ほぼ確実に抑えられることが確認できました。

なお、２００４年７月に検証した単一光子の波長は1.3μｍですが、この値は 量子ドットのサイズや材料により調整することができます。伝送損失が小さく より一般的な通信波長である1.55μｍでの伝送にも成功したと２００５年５月 に発表されました。今後は、レーザでなくＰＮ接合に電流を流して光子を発生 させること、またその部分の温度を現在の10Ｋ（絶対温度）より高められるこ と、などの課題に取り組み、２００７年頃に実用化させたい、ということです。

単一光子発生の鍵となる量子ドット

数学的側面に注目したモデル化を離れ、再び物理的な話に戻ります。個々の 光子に対し、共に確定させることのできない２つの物理量がある、ということ が、これまでに述べた量子暗号の仕組みの本質でした。通常の光通信のように、 複数の光子を使ってはこうはいかないのです。あくまで１つの光子を使うこと が重要なのです。

こういった単一光子の発生の鍵となるのが量子ドットです。これは人工原子 と表現されることもありますが、単純化して言えば半導体の中に入れた一辺が 10nm程度の３次元的な箱のようなイメージです。一辺が10nm程度というのは、 それによって一つ一つの電子同士の斥力が非常に大きな意味を持ってくる程度 のサイズです。電子は一般に、トンネル効果により絶縁体を通り抜ける性質を 持つのですが、10nmをある程度下回るサイズの中に、複数の電子を入れるため のエネルギーは、きわめて大きくなります。そこまでいかなくても、サイズと エネルギーをコントロールすることにより、電子の振る舞いをかなりの程度ま で規定することが可能となるのです。

量子ドットの作成には、大きく分けて、波長の短い電子線の微細加工技術を 使うものと、結晶成長機構を利用して自己形成させるものとがあり、より微細 なものを実現するために後者が特に注目されています。

数学的モデル化：盗聴の有無の判定原理

実際にやりとりされるデータは、１ビットのみということはありえません。 ２章で述べたように量子暗号でやりとりされるものは、暗号化されるべき中味 そのものではなく共通鍵情報なので、映像情報のような膨大なものではありま せんが、やはりそれなりのビット数は持っています。ビット数が少なすぎるの であれば、ダミーで加えてしまっても構いません。

７章で述べたように、十分に大きなビット数に対して一致率を調べることに より、盗聴があったかどうかはほぼ確実にわかります。ただ、一致率を調べる ためには、アリスが持っている情報とボブが持っている情報とを照らし合わせ る必要があります。送るべき情報のすべてを使って照らし合わせたとすると、 今度は照らし合わせのための情報のやりとりを盗聴される危険が生じるので、 意味がありません。ただ、全体情報のごく一部（それでも十分に多いレベル） であれば、それを一般の回線でやりとりしながら一致率を調べても、特に問題 はないわけです。

あるいは原理的には同じことですが、アリスが事後的に、各ビットに対して 白い箱を選んだのか黒い箱を選んだのかをボブに教えることもできます。ボブ はそのアリスの選択と自分の白黒の選択とを比較し、選択結果が一致している ビットの位置とその時の受信信号とをアリスに返します。その部分については、 盗聴がない限り送信信号と受信信号とは一致するはずですから、やはり多数の ビットを調べることにより、盗聴の有無をほぼ確実に判定できます。

数学的モデル化：中心極限定理

５章と６章の結果から、送信情報と受信情報が一致する確率は、盗聴がない 場合に0.75であり、盗聴がある場合は0.625であることがわかりました。それで は、両者を見比べて結果的にビットが一致していた時に、これは盗聴があった と判断すべきでしょうか、なかったと判断すべきでしょうか。それはもちろん わかりません。どちらもありえることです。結果的にビットが一致していない 場合も、同じことです。

では、同じ条件（盗聴がないかあるか）で８回送ったとしましょう。その中 で６回は送信情報と受信情報が一致し、２回は一致しなかったとします。８回 のうち６回合ったのですから、一致的は0.75です。５章のＰと見事一致します。 じゃあ盗聴はなかったんだ。そう結論づけてしまっていいでしょうか。

答えはノーです。あくまで確率ですから、盗聴があったとしても、実際に一 致するのは、確率通り８回のうちの５回とは限りません。たまたま６回一致し たり４回しか一致しない場合も当然ありえます。硬貨を４回投げて、表が出た 回数が２回でなく３回だったとしても、特に不思議がる必要はありませんね。 それと同じことです。

それでは80回送ったとしましょう。その中で58回一致したとします。一致率 は0.725で、0.75よりは多少低いのですが、0.625よりはずっと大きい値です。 この場合、８回送って６回一致した場合と比べて、盗聴がなかったとみなすの はある程度合理的なのです。硬貨を400回投げて300回近く表だったら、さすがに 何かおかしいかな、と考えますね。それと基本的には同じことです。

実は確率論の世界には中心極限定理というものがあります。一回ごとに独立 で生起確率がわかっているある事象に対し、その試行回数を増やすと、観測さ れる生起率は、その生起確率からほとんどはずれなくなっていくのです。つま り、何百回もやって一致率が0.75に近ければ、それは元々の確率が0.75だった、 つまり盗聴はなかったと、まず間違いなく結論付けられるのです。そしてその 「間違い」の確率は、試行回数が増えるに従って、限りなくゼロに近づいてい くのです。

数学的モデル化：盗聴された場合の確率計算

さて、いよいよイヴ（盗聴者）の登場です。イヴも、アリスが情報をどちら の箱に入れたかは知りません。イヴにできることは、どちらかの箱をランダム に開け、その内容を盗み見するとともに、それを何くわぬ顔でボブに送るだけ です。ただし、盗み見すると同時に、もう一方の箱の情報はご破算（等確率で ランダム）になるんでしたね。

この時、送信情報と受信情報が一致する確率Ｑはどうなるでしょう。イヴが 選んだ箱が、アリスが最初に選んだ箱と異なっていた場合（異なる確率は0.5） には、アリスの送信情報はご破算（等確率でランダム）になりますから、その 場合は送信情報と受信情報は、確率0.5でたまたま一致するだけです。

次に、イヴが選んだ箱が、アリスが選んだのと一致したとしましょう（その 確率も0.5）。その場合、もう一方の箱の情報はご破算になりますが、どのみち これはランダムなものでしたから、関係ありません。それがボブに届くわけで すが、これは５章の場合と同じことになりますから、一致する確率は0.75です。 結局Ｑは、0.5×0.5 ＋ 0.5×0.75　で0.625となります。

数学的モデル化：盗聴のない場合の確率計算

同時に知ることのできない２つの物理量を用いて、いかに盗聴されたことを 知るか。その数学的なモデルをここでは示します。わかりやすさ優先のため、 ある程度単純化してしまっていることをご了承ください。

アリスという人がボブという人に情報を送ることを考えます。通信の仕組み を説明する場合や危険度などを評価する場合、約束ごとのように、この名前が 使われます。ちなみに盗聴者の名前はイヴです。

１ビットの情報を送るのに、白黒２つの箱が同時に送られると考えて下さい。 この２つの箱は、同時に知ることのできない２つの物理量に相当します。

アリスは、送信すべき情報（０か１）を紙に書き、確率半々でどちらかの箱 を選び、そこに入れて送ります。この時、もう一方の箱には、０か１が等確率 でランダムに書かれた紙が自動的に入れられます。

ボブは２つの箱を受け取ります。アリスが情報を書いた紙がどちらにあるの かはわかりません。仕方がないので、確率半々でランダムに開け、その結果を 受信情報とします。２つの箱の中身を共に知ることはできないので、片方の箱 を開けたとたんに、他方の情報は失われます（改めて０か１が等確率でランダ ムに割り当てられる）。

この時、アリスが書いた送信情報とボブが得た受信情報とが、一致する確率 Ｐはどうなるでしょう。アリスが選んだ箱とボブが選んだ箱が一致する確率は、 当然0.5です。この時には、送信情報と受信情報は一致します。アリスが選んだ 箱とボブが選んだ箱が一致しなかった場合（一致しない確率も0.5）、書かれた 情報はランダムですから、それと送信情報が一致する確率も0.5です。つまり、 Ｐは、0.5×１ ＋ 0.5×0.5　で0.75となります。

光子の直線偏光と円偏光の不確定性原理

前章でのべたように、不確定性原理といえば、まずは粒子の位置と運動量の 関係が有名なのですが、必ずしもそれだけとは限りません。例えば光です。光 は波動であるとともに粒子でもある。これも量子力学では有名な原理ですが、 粒子としての光の基本単位であるそれぞれの光子に対し、例えば直線偏光と円 偏光とを同時に確定させることはできません。直線偏光というのは、進行方向 に対しどんな横波成分を持っているかという量です。また円偏光というのは、 その横波成分が時間的にどう回っていくかということです。

また、直線偏光だけをとっても、それを水平方向（０度）か垂直（９０度） 方向かだけで測定してしまうと、そうではない例えば４５度か１３５度か、と いった情報はご破算になってしまいます。これも一種の不確定性原理です。

ただし量子暗号の基本的な仕組みを理解するためには、直線偏光や円偏光の 物理的な意味はそれほど重要ではありません。とりあえず下記のことだけを、 心にとどめておいてください。

「ある光子に対し、同時に知ることのできない２つの物理量がある。一方を 知るためには、もう一方の量はどう変化するかまったく予測できなくなる」。

ハイゼンベルグの不確定性原理

量子力学の基本原理である、ハイゼンベルグの不確定性原理。これは通常、 「きわめて小さな粒子の位置と運動量を、同時に厳密に計ることはできない」 などと表現されます。実際には小さくなくてもよいのですが、どんな粒子に対 しても、その位置の測定精度と運動量の測定精度の積は、プランク定数という、 10のマイナス34乗程度（単位はジュール・秒）より小さくはできないのです。 従って例えば位置を10のマイナス50乗程度の誤差で知ろうと思うと、運動量は 10の16乗程度という大きな誤差の範囲でしか知ることはできないのです。

大雑把にこれを説明すると以下のようになります。不確定性が生じる根本の 原因は、粒子が波動性と粒子性を持つことです。その波動としての周波数と、 粒子としての位置が、ともに確定させられないのがスタートです。

純粋な定常的波動（図の左）であれば、周波数は完全に決まります。しかし この定常的波動というのは、場所がどこなのかといわれても困ってしまいます ね。ずっと広がっている、としか言いようがないのです。

一方純粋な粒子というのは、図の右のように、パルスになってしまったよう なものです。これは純粋な定常的波動とは逆に、位置は確定しますが、周波数 はあらゆる成分が含まれまったく確定しません。

波動性と粒子性を持つというのは、いわば図の真ん中のように、無限に長く もなく完全な一点でもなく、ある程度の長さの中に全部で数波長分程度の波が 収まったようなものです。

周波数より単位長さ当たりの波の数（波数）ｋ（周波数÷波の進行速度）の 方が考えやすいので以下はそれを使って説明します。全体の長さ（位置の誤差 すなわちΔｘ）が無限に長くなるとｋの誤差はゼロになりますが、Δｘがゼロ になるとｋの誤差は無限大になります。つまり実際にはｋ自身というよりｋと Δｘの積に意味があるわけで、これは実は有限の長さの中の波の数（波長単位） です。同じように、ｋの誤差Δｋというのは、無限に大きくも小さくもなるの ですが、ΔｋとΔｘの積というのは、いわば有限の長さの中の波の数（波長単 位）の誤差であり、これは端っこの方の一つか二つ程度と考えられます。

つまりΔｋとΔｘの積が１のオーダーの大きさ（２も含まれる）ということ です。これを「ΔｋΔｘ～１」と書くことにします。通常は「～」ではなく、 「～」を縦に２つ重ねた記号を使いますが、ご了解ください。

ド・ブロイの関係式から、物質波の運動量ｐはプランク定数を波長で割った ものです。ｋは波長の逆数ですから、結局ΔｐΔｘ～プランク定数ということ になります。プランク定数の比較的正確な値は、6.626*10**(-34)ジュール・秒 です（**は累乗）。

通信の途中での盗聴を検出する量子暗号

それでは暗号の共通鍵を送るのに、第三者の盗聴を防ぐにはどうしたらいい でしょう。一つには第三者が物理的にアクセスできないメディアを使って鍵を やりとりすることが考えられます。ただしインターネットを使うことを前提に 考えると、これは不可能です。

二つ目として、盗聴されてもその意味（正しい共通鍵情報）がわからなけれ ばよい、という考え方があります。しかしこれはまさに暗号の機能そのもので す。その暗号のために必要な共通鍵情報のやりとりを考えているのですから、 これも結局は意味がありません。

そこで第三の方法の登場です。今回、送るのは暗号の共通鍵ですから、実は それを盗聴されてもそれだけでは損失は出ません。盗聴された共通鍵をそうと は知らず使い続け、実際の秘密の情報をやりとりしてしまったところで始めて 被害となるのです。逆にいえば、盗聴されたことがわかった時点でその事実を 送り手と受け手が知り、それ以降はその盗聴された共通鍵を使わなければよい わけです。

これが量子暗号の基本的な考え方です。情報を隠すことに血道を注ぐのでは なく、盗聴されたことを確実に知るのです。そして盗聴されたことを知ったら 後は絶対にそれを使わずに、改めて別の共通鍵を送るのです。盗聴されずに届 いたことが確認できた時点で、始めてそれを使い始めるのです。

鍵を秘匿する暗号と鍵を公開する暗号

戦争をするにもビジネスをするにも、欠かせないのが必要なレベルで情報の 秘匿性を保つことです。しかしそうはいっても、味方同士、あるいはビジネス 遂行主と顧客との間などでは情報をやりとりしなければなりません。その場合、 情報を盗み見される危険も当然ついて回るわけです。その危険への対処手段と して、暗号というものが使われるようになりました。

暗号の基本は、送り手が、通信すべき内容を何らかの規則に従って一見わか らない形に変換して送り、受け取った読み手がそれを復元するというものです。 問題はその規則です。その規則が確実に送り手と受け手の間で共有でき、しか もそれが第三者の手に落ちないという保証があるのなら、暗号は比較的容易に 実現できます。その規則通りに変換～復元すればよいのです。もちろん規則を 知らなくても容易に推定できてしまうようなやり方ではダメですが。

ところが、例えばインターネットで情報を送る場合、送り手と受け手の間で 確実に暗号規則を排他的に共有するのは案外と面倒なのです。何しろ電子通信 以外の接触がないのですから。といって、暗号規則をインターネットで送った のでは、それ自体を盗聴される危険が生じてしまいます。

そんな中で出て来たのが、公開鍵暗号です。変換規則は公開するが、そこか ら復元規則は事実上導き出せないという、非常に面白い方法です。ただ、処理 に比較的長い時間を要することがネックです。さらに問題なのは、復元規則は 本当に「事実上導き出せない」かということです。今の計算機では確かに無理 でも、その性能が飛躍的にアップしたり思わぬアルゴリズムが工夫されたりし て、導き出せるようになってしまう可能性もゼロではないのです。

そんなわけで、公開鍵ではなく共通鍵、しかしその共通鍵が正当な送り手と 受け手において確実に共有でき、しかも第三者には盗聴されない。そんな方式 が強く求められているのです。