過去・現在・未来

【 図形としてのラティス、数学的対象としてのラティス 】 ラティスとは、「格子」のことです。 ただ、格子というと、僕は、格子戸や障子の桟をイメージしてしまうのですが、ラティスというのは、空間上に規則的に格子状に配置された「点の集合」のことです。点と点を結ぶものは、ラティスには含まれません。 問題は、この図形（と言っても、点の集まりですが）が、とても規則正しく感じられることです。今回、ラティスの例として最初に取り上げたものは、単純なもので、その規則性は、座標を入れれば、x座標もy座標も整数の値だけを取ることによっています。ただ、全てのラティスが整数値の座標を取るわけではありません。 ここでは、二つのベクトルb1とb2の整係数の線型結合で表される点の集まりとして、ラティスを捉える見方を紹介しています。座標が整数になることではなく、二つのベクトルの整数倍の和が、ラティスを構成します。ここでも、ベクトルの係数として、二つの整数が登場します。 こうした、図形上のラティスの点の集合全体を生成できるベクトルを、ラティスの「基底」と呼びます。 図形としてラティスが与えられたとしても、実は、その基底は一種類とは限りません。ただ、基底が与えられれば、そのラティスは一意に決定されます。 図形として簡単に把握できるのは、二次元か三次元までだと思います。時間を入れて四次元までは頑張ればいけるかも。ただ、10次元と11次元の違いは、物理学的に意味があると言われても、直感には響きません。 その上、暗号理論で使われるラティスは、RSA暗号のキーの長さと同じくらいの 512とか1024とかの次元を持ちます。こうした次元では、図形としてラティスを把握するのは不可能です。 そういう時には、数学を使います。ですので、ラティスを図形としてではなく、数学的対象として捉えること、ラティスの数学的特徴づけを理解することは、とても大事です。 ただ、面白いことがわかります。 ラティス暗号の説明に、512次元の図形を使う人はいません。 それは、二次元のラティス、要するに紙の上で書かれる図形としてのラティスが、高次元の数学的対象としてのラティスを理解するのに十分な情報を与えてくれるからです。 図形に対する直観は大事なものです。に次元のラティスはわかりやすいものです。そのうえ、ラティスの数学の基礎は、簡単な線形代数です。

【 Regev が示したこと (2)  -- Regevの証明概要】 ここでは、RegevのLWE問題のラティス問題への還元の証明を見ていこう。 具体的には、LWE問題のSVP問題への還元を見ていく。 基本的なアプローチとしては、ラティスL とそのdual ラティス𝐿^∗の双方を考えることと、DGS – Digital Gaussian Sampling という手法をとることに特徴がある。   --------------------- 動画「Regevの証明概要」を公開しました。ご利用ください。 https://youtu.be/KFrpKu4h448?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.com/file/d/1F7SwORnfZvUbefWli-Q3gxQKnZ-MV4-t/view?usp=sharing セミナーの申し込み受付始めました。申し込みはこちらからお願いします。 https://cipher3.peatix.com/view 「ラティス暗号入門」のまとめページはこちらです。 https://www.marulabo.net/docs/cipher3/ blog:「Regev が示したこと (2) -- Regevの証明概要」 https://maruyama097.blogspot.com/2022/09/regev-2-regev.html 「LWE暗号の対量子耐性」についての連続投稿は、こちらのblogからアクセスできます。　 　●「Shorのアルゴリズムの秘密」 https://maruyama097.blogspot.com/2022/09/shor.html 　●「Shorのアルゴリズムの秘密の秘密」 https://maruyama097.blogspot.com/2022/09/shor_045224329.html 　●「Hidden Subgroup Problem」 https://maruyama097.blogspot.com/2022/09/hidden-subgroup-problem.html 　●「量子陣営の困惑」 https://maruyama097.blogspot.com

【 Regev が示したこと (1) 】 2005年の論文で、Regevが示したのは、LWE( Learning with Errors )問題を解くことの難しさを、Lattice問題を解くことの難しさに「還元」できるということだった。　 LWE問題を解くのは難しい。同様に、Lattice問題（例えば SVP「最短ベクトル」問題や、CVP「最近ベクトル」問題）も解くのは難しい。ただ、二つの難しい問題があるからといって、その二つの「難しさ」に関係があるとは限らない。 Regevは、次のように考える。 「LWE問題とCVP問題が解けたとしよう。そう仮定すると、二つを結びつけるものが見えてこないか？」 「ちょっと待って。解けてもいない問題を解けたことにして、いいの？」 ま、でもこれは大したことではない。実際には解けていない問題Pに、それを瞬時に解くアルゴリズムを想定することを、Pの「オラクル」を考えるという。文字通り「神託」を仮定するのだ。それは、お互いの関係がよくわかっていない複雑性の関係を考えるための、複雑性理論の常套手段だ。 gitalもちろん、LWE問題とCVP問題の「オラクル」を仮定しても、それだけでは両者の関係が見えてくるわけではない。 Regevがとったアプローチには、二つ特徴がある。 一つは、ラティスLの中だけで考えるのではなく、その双対ラティスL* も一緒に考えることだ。ラティスLでの議論は双対ラティスL* 上の議論に翻訳される。逆に、双対ラティスL*上の議論は、ラティスL上の議論に翻訳される。 こうして彼の推論は、ラティスLと双対ラティスL* の間を行ったり来たりする。といっても、それは行き当たりばったりではなく、L -> L* -> L -> L* -> ... -> L というふうに、最後には、Lの議論に戻る。 もうひとつの特徴は、ラティスL上の「正規分布」から、何度もデータをサンプリングしてそれを利用することだ。これを、Digital Gaussian Sampling -- DGS という。"Gaussian"というのは「ガウスの正規分布」という意味だ。 LWE( Learning with Errors )問題というのは、公開キーのデータAを既知として、B = A^Ts + e という形のデー

【 浅海ゼミ 第15回の講演ビデオと講演資料公開しました 】 浅海ゼミ「クラウドアプリケーションのためのオブジェクト指向分析設計講座」第15回の講演ビデオと、講演資料を公開しました。 https://www.marulabo.net/docs/asami15/ 今回のテーマは 「分析」です。要求モデルから、分析モデルを作成する作業分野である分析について説明します。今回はユースケースからシステムの概観を抽出するシナリオ分析を取り上げます。　 次回にコンポーネントとシステム・アーキテクチャとして具体化したモデルを作成するコンポーネント分析を取り上げる予定です。　 講演ビデオ  https://youtu.be/GZQQCcDO4zg は、次のような構成になっています。 　00:00:00 開始 　00:01:10 分析の位置づけ 　00:10:26 分析と設計 　00:17:37 シナリオ分析 　00:30:59 シナリオ分析の実践 　00:36:52 まとめ 資料は、次からアクセスできます。 MaruLabo:   https://www.marulabo.net/docs/asami15/ SlideShare: https://www.slideshare.net/asami224/15-253173625 浅海ゼミの講座の全体構成はこちらを参照ください。 https://www.marulabo.net/docs/asami/

【 量子陣営の困惑 】 2008年に発表された Vaziraniらの、次の論文は、興味深いものだ。　 C.Moore, A.Russel, U.Vazirani . A classical one-way function to confound quantum adversaries, 2008  https://arxiv.org/pdf/quant-ph/0701115.pdf タイトルは、「量子論の敵手を困惑させる古典論的一方向関数」というもの。　 この間、暗号の話をしてきたのだが、基本的には、古典的な暗号理論に、量子コンピューターの脅威が攻撃を仕掛けているといった構図のものが多かったのだが、ここでも量子コンピュータの陣営は、古典論に対する「敵・対抗相手」として捉えられている。この「敵手」はVaziraniたち自身のことである。ただ、この「敵手」は、「困惑」しているという。 Vaziriani は、量子コンピューターが多項式時間で計算可能な量子複雑性のクラスを発見し、それを初めて「BQP」として定義した人だ。 「量子計算とさらには計算複雑性理論に基づく暗号の大きな可能性は、現在の技術でも実装可能でかつ量子コンピューターの攻撃にも安全な、暗号システムの研究を当面の課題として動機づけた。」 では、何に「困惑」しているのか？ 彼が扱っているのは、以前、Ajitaiの一方向関数として取り上げたものだ。彼は古典的に行列から代数的に定義されたこのAjitaiの一方向関数が、量子コンピュータによる攻撃に対して安全であることを示そうとする。 攻守、ところを変えているのである。 以前なら、古典的な一方向関数に対する量子攻撃は、離散対数問題なら、Shorのアルゴリズムで可能であった。ただ、Ajitai関数の場合、Hidden Subgroup 問題は、非可換群のHidden Group 問題になる。有限アーベル群のようにはうまくいかない。 Vazirianiはいう。「これらの結果は、離散対数に対する Shor のアルゴリズム とは異なり、Hidden Subgroup問題に基づく量子攻撃が機能する可能性は低いことを示唆している。」 すでに、2003年の論文 "Quantum Computation and Lattice Problems" https://

【 Hidden Subgroup Problem 】 Shorのアルゴリズムから、Hidden Subgroup Problem を説明してみよう。　 素因数分解のアルゴリズムとしてShorのアルゴリズムは、素数 n, a について a^(n-1) ≡ 1 (mod n) というフェルマーの小定理を素数判定に繰り返し利用している。フェルマーの小定理がなりたつことは、次のような例で確かめてみればいい。 2^3=8=3x2+2 ≡ 2 (mod 3) 2^5=32=5x6+2 ≡ 2 (mod 5) 2^7=128=7x18+2 ≡ 2 (mod 7) 2^11=2048 =11x186+2 ≡ 2 (mod 11) a^r ≡ 1 (mod n) なるrが存在する時、この最小のrを（nについての）aの周期（あるいは位数）という。 例えば、n = 15, a = 7 とすると、周期は4である。         7^0 = 1 (mod 15) 7^1 = 7 (mod 15) 7^2 = 4 (mod 15) 7^3 = 13 (mod 15)    7^4 = 1 (mod 15) 7^5 = 7 (mod 15) 7^6 = 4 (mod 15) 7^7 = 13 (mod 15) 7^8 = 1 (mod 15) 7^9 = 7 (mod 15) Shorのアルゴリズムでは、aの周期を求める時、量子コンピューターが呼び出されている。逆に言えば、Shorのアルゴリズムで量子コンピュータが使われているのは、その部分だけである。 足し算が定義されている整数の全体をGとする。Gは、足し算について群になる。今度は、Gの部分群（Gの部分集合で足し算について群になるもの）Kを考える。 このKについて、Gから有限集合Xの関数fを、次のように定義する。 Gの二つの要素g1,g2について、f(g1)=f(g2)となるのは、g1K=g2K となるものに限るものとする。Kは足し算についての部分群なので、g1K=g2K という条件は、g1+k1=g2+k2 というKの要素 k1, k2があるという条件に等しい。 Shorのアルゴリズムの量子コンピューター担当パートでの、「aの周期を求めよ」という問題なら、a^j ≡ 1

【 Shorのアルゴリズムの秘密の秘密 】 Shorのアルゴリズムは幸運だった。それは、量子アルゴリズムの古典アルゴリズムに対するに対する勝利の金字塔となった。　 不幸だったのは暗号陣営である。実際には、できてもいない技術に、強烈な逆風にさらされることになる。 それでは、このphaseの変化から2^n個の情報を取り出すというShorのアルゴリズムの方法は、どんな問題に対しても有効なのだろうか？ もしもそうだとしたら、量子コンピューターは普通のコンピューターに対して、どんな問題に対しても2^n倍の高速化を可能にすることになる。 残念ながら、そうはうまくいかないのだ。 量子アルゴリズムの専門家たちは、量子コンピュータによる高速化が可能になる問題には、あるパターンがあることに気づく。 その意味は、おいおい説明していくので、当面は意味不明と思うが、彼らが見つけ出した、パターンは、次のようなものだった。 　「有限アーベル群のHidden Subgroup Problemは 　　量子コンピューターで高速化可能である。」 先の投稿で、Shorのアルゴリズムの高速性という秘密について触れたのだが、Shorのアルゴリズムには、その裏にさらに秘密があったのだ。 すなわち、Shorのアルゴリズムが、高速なのは、それがこのパターンに当てはまるからであるという秘密が。 別の言い方をすると、Shorのアルゴリズムは、このパターンに属する問題に対する特殊なアルゴリズムで、量子コンピューターの一般的な能力を代表するものではないということになる。 次の投稿で、Hidden Subgroup Problemとはどんな問題なのかを、簡単に説明しようと思う。 ------------- セミナーの申し込み受付始めました。申し込みはこちらからお願いします。https://cipher3.peatix.com/view 「ラティス暗号入門」のまとめページはこちらです。この間の投稿は、こちらからもまとめて読めます。https://www.marulabo.net/docs/cipher3/

 【 Shorのアルゴリズムの秘密 】　 かつて暗号の世界を震撼させたShorのアルゴリズムには秘密があった。それは、隠しておきたい秘密ではない。なぜ、それがそんなにも速いのかという秘密である。　 Shorのアルゴリズムでは、普通のコンピューターがn個の計算をするときに、量子コンピューターは2^n個の計算をする。普通のコンピューターが10歩進めば、量子コンピューターは、1,024歩も進むのだ。こうした「指数関数的高速化」がなぜ可能かという秘密である。 「そもそも、量子コンピューターには 2^n個の計算をパラレルに実行する能力がある」と考えている人も多いと思うのだが、それは微妙な間違いだ。 確かに「量子の世界」では、そうした計算は可能である。ただ、その計算結果を量子コンピューターは、2^n個の計算結果の量子状態の「重ね合わせ」として返すのだ。 その計算結果を「現実の世界」に取り出そうとすると（それを量子状態の「観測」という）、2^n個の量子状態の「重ね合わせ」は一瞬にして消え去り、一個の状態だけが観測されることになる。 目の前には、といっても「量子の世界」のことだが、2^n個の計算結果があるのに、それがうまくは取り出せないのだ。 「観測することで、量子コンピューターの2^n倍の計算能力が消えてしまうのなら、観測なんてやめればいいだろう。」 それも実は一理はある。「量子の世界」は、我々人間の観測とは無関係に存在し、運動しているのだから。それはそうなのだが、それは量子コンピューターを走らせても、計算結果を求めないということになる。それでは量子コンピューターの意味がない。 それでは、Shorのアルゴリズムでは、なぜ、2^n倍の高速化を実現できるのだろうか？ まず、Shorのアルゴリズムでは、2^n個の量子状態の「重ね合わせ」を観測しようとしないのだ。 2^n個の量子状態の「重ね合わせ」を生み出す計算は、副作用として、量子の「位相 phase」を微妙に変化させる。これをphase kickbackと言う。Shorのアルゴリズムでは、この位相の変化に注目する。 驚くべきことに、この位相の変化の評価から、2^n個の情報が復元できるのである。フーリエ変換を使う。それは、結果的には、2^n倍の高速化を実現したことになる。 目の前にあるのに使えない、使おうとすると使えなくなるという禅問

【 「ポスト量子暗号」の心理学 】 「量子暗号のあと」を指すものでも、「量子のあと」をイメージしたものでもない「ポスト量子暗号」という言葉は、僕には、少し奇妙なものに思われます。 量子暗号と呼ばれるものは現実的な技術としては存在しません。量子コンピューターは世界中でまだラボの中にしかなく、量子通信の利用者（もちろん実験的）は、多く見積もっても一万人を超えないでしょう。量子の時代は、まだ、始まっていないのです。 では、なぜ、「ポスト量子暗号」という言葉が使われるのでしょうか？ ただ、特に暗号の世界で、「量子」が強く意識されるのには理由があります。それは、「量子コンピュータを使えば、現在の暗号は簡単に破れる」という「Shorのアルゴリズム」が発見されたからです。 その衝撃的な発見から40年が経とうとしているのですが、幸か不幸か、量子コンピュータはいまだShorのアルゴリズムを実行する能力を持たず、多くの人の日常的な意識の中では、暗号技術が危ないという危機意識はほとんど共有されていません。 むしろ、「暗号通貨」や「暗号資産」といった形での暗号を利用した技術への関心は高く、その利用も、かつてなく広がっています。 Shorの警告が風化したという意味では、現在は “Post Shor” の時代です。 ただ、もう一つの "Post Shor" の時代もあります。 暗号資産の未来を謳歌しようとする層に比べて、過去のトラウマを抱えている暗号の世界の専門家の意識は、すこし複雑です。彼らは、しばらくの間ですが、トラウマを癒し克服する確信を見つけられないでいたのです。 現代暗号の理論的基礎が、計算複雑性の理論であることは理解していても、現実に利用されている暗号は、「素因数分解問題」「離散対数問題」にしろ、いずれも経験的に見つけ出されたものでした。 そのいずれもが、理論的には、「Shorのアルゴリズム」の攻撃の射程内にあることを、彼らは、よく知っていました。 かといって、その理論上の脆弱性を現実的な問題として提起するのにも躊躇があったとおもいます。解決策が見えなかったからです。 こうした状況を大きく変えたのは、 Regev でした。 Regev に先行して、Ajitaiは、暗号理論の基礎に、ラティス問題を置くことを提案しました。 Regev は、この道を理論的に飛躍的に

【 双対の世界 】 ラティス問題の複雑性を考える時、重要なアプローチがあります。 それは、あるラティスの双対形 Dual ラティスで問題を考える事です。 少し単純化して言うと、あるラティスの双対形は、元のラティスより目の細かいラティスになります。いくつかのラティス問題にとっては、この性質は役に立ちます。 LWE問題の複雑性を論じたRegevの有名な論文も、この手法の繰り返しにひとつの特徴があります。 ここでは、Dualなラティスについて、基本的なことをまとめました。 -------------------　 動画「Dual ラティス」を公開しました。ご利用ください。 https://youtu.be/zxam-hf1WTM?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.com/file/d/1CgDSoGvIFK2hMNQFT9UiBTwM87gSNKJU/view?usp=sharing セミナーの申し込み受付始めました。申し込みはこちらからお願いします。 https://cipher3.peatix.com/view 「ラティス暗号入門」のまとめページはこちらです。 https://www.marulabo.net/docs/cipher3/ blog 「双対の世界 」のURLはこちらです。　 https://maruyama097.blogspot.com/2022/09/blog-post_23.html

【 電子署名は安全か？ 】 現代の暗号では、公開暗号キー方式と併用して、メッセージが正しいものであることを示すために、電子署名を用います。基本的には、次のようなストーリーです。 Aliceは、自分の送ったメッセージが真正のものであることを示す為に、自分の秘密キーを使って電子署名を行い、それをメッセージに添付します。Bobは、Aliceからのメッセージが真正であることを確かめる為に、Aliceの公開キーを用いて、その電子署名を検証します。 70年代の半ばの現代暗号技術の確立を画するこのストーリーは、とても良くできていて素晴らしいものです。 ただ、このストーリーには、いくつかの前提、この技術が適用される現実についての理想化ないしは単純化された想定が含まれています。 80年代の終わりになって、Goldwasser たちは、現実の複雑さを反映した電子署名の安全性についての論文を発表します。現実の複雑さを反映するということで、彼女らが取ったのは、電子署名への攻撃を詳しく分析するという手法でした。 "A digital signature scheme secure against adaptive chosen-message attacks.", Shafi Goldwasser, Silvio Micali, and Ronald Rivest. SIAM Journal on Computing, 17(2):281–308, Apr. 1988. https://people.csail.mit.edu/rivest/GoldwasserMicaliRivest-ADigitalSignatureSchemeSecureAgainstAdaptiveChosenMessageAttacks.pdf 現実は、複雑なだけではなく、攻撃者の脅威にさらされた過酷なものだということです。 自分が自分であることを他人に証明するのは本当は難しいことです。それが可能となるのは、そのこと以外に、自分と他人との間に、何らかの現実についての「合意」が存在しうるからです。ただ、そうした可能的な合意は無数に存在しうるし、逆に、合意に達することができないことも無数にあり得ます。 電子署名の安全性についての「現実的な議論」が、ある種の社会的ルールづくりに向かうのは、やむを得ない

【 Ajtai とは何者か？ 】 ラティスを暗号に応用するというアイデアを最初に提供したのは、Ajitaiです。 今回のセッションでは、このブレイク・スルーを引き起こした彼に敬意を表して、Ajitaiの仕事を要約してみました、 Ajitai を、僕は「アジタイ」と読んでいたんですが、「アイタイ」と呼ぶらしいことに気づいたことは以前にも書きました。 最近、彼の名前について、もう一つのことに気づきました。(wikiにも注意がありました。) 彼は、Miklós Ajtai という名前で論文を発表しているのですが、彼はハンガリー人です。ハンガリー語では、日本語と同じで、「姓」＋「名」の順に、名前を表記します。ですので、彼のハンガリーでの名前は、Miklós Ajtai ではなく、Ajtai Miklós だということになります。 僕の名前が、不二夫 丸山 ではなく、丸山 不二夫 だというのと同じです。  Ajitai 氏については、もう一つ、失礼なことをしたかもしれません。 彼の写真をネットで探したのですが、実は、間違っていたのかも。間違っていたら、かさねがさね、申し訳ない。 ------------------- 動画「Ajtaiの仕事」を公開しました。ご利用ください。 https://youtu.be/w0gV2xD0jPw?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.com/file/d/1CbsXFBbbmkwF_mLlMNYx53764CknabWQ/view?usp=sharing セミナーの申し込み受付始めました。申し込みはこちらからお願いします。 https://cipher3.peatix.com/view 「ラティス暗号入門」のまとめページはこちらです。 https://www.marulabo.net/docs/cipher3/ blog 「Ajtai とは何者か？ 」のURLはこちらです。　 https://maruyama097.blogspot.com/2022/09/ajtai.html

【  LWE暗号解読の難しさ 】 LWE暗号解読の難しさは、その難しさを「ラティス問題」を解くことの難しさに「還元 reduction 」することによって証明されます。 第一部で、基本的なラティス問題である二つの問題、あるラティスが与えられた時、ラティス上の点で互いに一番近い二点を求める「最短ベクトル問題　Shortest vector problem (SVP)」と、ラティスの点以外の点 xが与えられた時、xに一番近いラティスの点を求める「最接ベクトル問題　Closest vector problem (CVP)」を紹介してきました。 このセッションでは、それらに加えて、いくつかのラティス問題を紹介します。 これらの問題は、次元が高くなると一般には解くのが難しくなります。その難しさは、計算複雑性の「複雑性」で定式化できます。 ここではラティス問題の複雑性を概観しようと思います。 ある種のラティス問題は、最も難しいNP-困難のクラスに属することがわかっています。また、ある種のラティス問題は、多項式時間で解けることもわかっています。ただ、今回のセミナーでは、さまざまなラティス問題が属する複雑性について、詳しく述べることはできません。 今回のセミナーでは、基本的に、ラティス暗号LWEが、どのようにラティス問題に「還元」されたかにフォーカスできればと思います。この還元を初めて行って、LWE暗号の解読の難しさを理論的に証明したのが、Oded Regev です。 トリビアです。 今回紹介した ラティスL のゼロでない最小のベクトルの長さを表す λ(L) について基本的な定理を定式化したのは、ミンコフスキーです。アインシュタインに数学の手ほどきをし、「ミンコフスキー空間」にその名を残している、あのミンコフスキーです。 僕は、ラティス暗号の勉強を始めるまで、ミンコフスキーがラティスの理論でも重要な貢献をおこなっていること、全く知りませんでした。　 ------------------- 動画「ラティス問題と複雑性」を公開しました。ご利用ください。 https://youtu.be/bCCEwYInPeQ?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.co

【 公開キーから漏れる情報？ 】 公開キー暗号は、暗号の歴史の中で、最も重要な発明の一つです。暗号を解読するためには、暗号のキーが必要なのですが、そのキーをどうやって安全確実にかつ秘密裏に通信相手に届けるかは、とても重要な問題でした。 公開キー暗号方式は、大胆にキーを公開します。もっとも、公開されるのは、キーの一部です。もう一方のキーは秘密キーとして、各人の責任で各人が管理します。公開キーは、誰に知られてもいいという前提ですので、キーの配布・共有の敷居は格段に低くなります。 秘密キーと公開キーの二つが揃って、初めて、公開キー暗号のシステムは機能します。その辺りは、みなさんよくご存知だと思います。 ポスト量子暗号と呼ばれる一群の暗号システムも、公開キー暗号方式を利用します。この間取り上げている、ラティス暗号LWEも、公開キー暗号のシステムです。 ただ、量子暗号の世界でよく知られているBB84というシステムは、量子の働きを使って暗号のエンコード・デコードをするのではなく、量子の働きを使ってキーを配布するプロトコルです。量子通信が一般化する未来では、暗号システムにとって重要なキー配布のスタイルは、今とは違うものになるのかもしれません。 公開キーについて、一つ注意したいことがあります。それは、公開キーというのは、誰に知られても構わない、どうでもいいデータでは決して無いということです。 少し単純化していますが、現在の主要な暗号技術であるRSA暗号では、大きな二つの素数 pとqを掛けた数nを公開キ ーとします。（正確には、もう一つの数 eを選んで、{e, n}のペアが公開 キーになります。）公開キーを作った2つの素数 p, qは、暗号文の復号に使用する秘密鍵 s の生成にも使用されます。（ s = 1/e ( mod (p-1)(q-1) )　） 要するに、公開キーには、重要な情報が含まれているということです。 公開キー暗号の公開キーは、そこから情報が漏れ出さないように設計されなければなりません。RSA暗号の場合には、公開キー（の一部）n が与えらても、それを因数分解して、素数pとqを得ることが、実際には難しいことが利用されています。 公開キーは、誰の目にも触れるものですので、攻撃者の最大のターゲットになります。公開キーの設計には、その暗号化技術のエッセンスが表現されています。

【 ラティスとラティス暗号 】 このセッションから新しい章に入ります。 この第三部「ラティスとラティス暗号」では、第一部でみたラティスの性質と、第二部で概要を見たラティス暗号 LWE がどのような関係にあるのかを説明しようと思います。 ラティス暗号 LWE と言いながら、第二部では、ラティスの話は出てきてませんでした。この第三部では、ラティス暗号 LWE が、暗号としてどのように解読が難しいのかという話をしようと思います。 具体的には、前回のセッションで見た、BobからAliceに送った LWE暗号でエンコードされたメッセージ (u, v)のペアが、第三者から見て解読が難しいこと、すなわち、第三者が取得できるメっセージ・データから、Aliceの秘密キーを知ることは困難であることを説明していきます。 今回は、まだ、その話の入り口です。　 ------------------- 動画「LWE問題」を公開しました。ご利用ください。 https://youtu.be/QFzz4hU_5Po?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.com/file/d/1BYG0zjgUdfj267qCK1WYBNUr3kEZqCtu/view?usp=sharing セミナーの申し込み受付始めました。申し込みはこちらからお願いします。 https://cipher3.peatix.com/view 「ラティス暗号入門」のまとめページはこちらです。 https://www.marulabo.net/docs/cipher3/ blog 「ラティスとラティス暗号 」のURLはこちらです。　 https://maruyama097.blogspot.com/2022/09/blog-post_471.html

【 あとだしジャンケン 】 このセッションでは、LWE暗号で基本的な役割を果たす「エラー項」について説明します。 本当は、LWEを語るなら、"Learning with Errors" とタイトルにその名前が入っているのですから、一番最初に述べておくべきことだったかもしれません。 それに、前回、述べたLWE暗号のエンコード・デコードでも、エラー項の性質が使われています。 あとだしジャンケンですね。 これまで、エラー項 e は、「小さな数」をランダムに選ぶと説明してきました。ただ、それは不正確なものでした。 エラー項 e は、平均値が 0 で、ある標準偏差をもつ正規分布からランダムに選ばれます。 平均値が 0 であると言うことから、エラー項 eとしては、0が選ばれる確率が最も高く、0に近い値 ±1, ±2, ±3, ...が、その次に選ばれやすいと言うことになります。また、ランダムに選ばれたこれらの値を足したものは、やはり0に近づきます、 平均値の0から左右に遠く離れると、その値が選ばれる確率は急速に0に近づきます。「小さな値」が選ばれると言うのはそういうことです。 ------------------- 動画「エラー項の役割」を公開しました。ご利用ください。 https://youtu.be/sXYtrp8eiMg?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.com/file/d/1AJcpLqNE6SS-hLarPCMyfTIeLaRQxR8-/view?usp=sharing セミナーの申し込み受付始めました。申し込みはこちらからお願いします。 https://cipher3.peatix.com/view 「ラティス暗号入門」のまとめページはこちらです。 https://www.marulabo.net/docs/cipher3/ blog 「あとだしジャンケン 」のURLはこちらです。　 https://maruyama097.blogspot.com/2022/09/blog-post_14.html

【 単純なサンプルを実際のLWEへ拡大する 】 このセッションでは、これまで見てきた単純なサンプルの拡大として、実際のLWEを紹介します。 LWEの実装には、いろいろバリエーションがあるのですが、今回紹介するのは、その中でも基本的なものです。 単純なサンプルを拡大する基本的な方向は、秘密キーを一つのスカラーではなく、複数の要素を持つベクトルにしようと言うことでした。 LWE暗号は公開キーを二つ持ちます。LWE暗号化の特徴の一つは、公開キーAの複数の要素に秘密キー s を掛けて、それぞれに「エラー」と呼ばれる小さなランダムな数を加えて、もう一つの公開キーBを作ることです。 こうした関係を次のような式で表しましょう。 　　B = As+e 単純なサンプルでは、秘密キーsが一つの数字で、B, A, eがベクトルでした。sをベクトルにしてもこの関係式が成り立つようにするには、Aを行列にして、Asがベクトルを返すようにすればいいのです。  他のところも修正が必要なのですが、基本的にはこの変更を進めていけば、拡張されたLWEが得られます。 前回のセッションで見たように、それぞれの変数が (m行 n列 の行列として)どのような型を持つかを、ゆっくりチェックしてみてください。 ------------------- 動画「LWEの基本的なプロトコル」を公開しました。ご利用ください。 https://youtu.be/MnD6B9HQ0Lg?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.com/file/d/1WHj-tBeMV0SyDv68Ep0JIjpUJxpHG4Gl/view?usp=sharing セミナーの申し込み受付始めました。申し込みはこちらからお願いします。 https://cipher3.peatix.com/view 「ラティス暗号入門」のまとめページはこちらです。 https://www.marulabo.net/docs/cipher3/ blog 「単純なサンプルを実際のLWEへ拡大する 」のURLはこちらです。 https://maruyama097.blogspot.com/2022/09/lwe.html

【 マルレク 「ラティス暗号入門」へのお誘い 】 9月30日、マルレク「ラティス暗号入門」を開催します。  今回のセミナーは、前回のマルレク「暗号技術の現在」 https://www.marulabo.net/docs/cipher2/ を受けて、現代の暗号技術で中心的な役割を果たすことが期待されている「ラティス暗号」の概要をわかりやすく説明しようとしたものです。 皆様のお申し込みをお待ちしています。 https://cipher3.peatix.com/view 次の三部構成を予定しています。 　● 第一部「ラティス入門」 　● 第二部「ラティス暗号 LWE ( Learning with Errors )」 　● 第三部「ラティス暗号の強さについて」 第一部「ラティス入門」は、ラティス暗号技術の背景にある構造「ラティス」について初頭的な理解を得ることを目的としています。 第二部「ラティス暗号 LWE 」では、ラティス暗号の中核技術である LWE ( Learning with Errors ) について基本的なイメージを持ってもらうことを目的としています。イメージを持つことは大事なことだと考えています。 第三部「ラティス暗号の強さについて」は、少し理論的な内容を考えています。基本的には「ラティス暗号」が「量子耐性」を持つこと、正確に言うと量子コンピュータの攻撃によっても「簡単には破られない」ということを説明したいと思います。 すでに、このセミナーに向けたまとめページが立ち上がっており、また、このセミナーに関連したたくさんのショートムービーが公開されています。ご利用ください。 　● MaruLabo「ラティス暗号入門」ページ  　　 https://www.marulabo.net/docs/cipher3/ 　● YouTube「ラティス暗号入門」再生リスト 　　 https://www.youtube.com/playlist?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF

【 縦か横か、再び 】 このセッションから、これまで見てきたLWEの単純なサンプルを、実際的な暗号システムに拡大することを考えます。 二つのサンプルでは、いずれも、秘密キー s は一つの数でした。一つ目のサンプルでは、1001が、二つ目のサンプルでは 5 が秘密キーでした、それは、少し単純すぎました。 ここでは、一つの数ではなく、n個の数の集まりとして秘密キーs を拡大しようと思います。秘密キーをスカラーではなくベクトルにしようと言うことです。 LWE暗号化の特徴の一つは、秘密キー s に複数の整数を掛けて、それぞれに「エラー」と呼ばれる小さなランダムな数を加えて、公開キーを作ることです。Learning with Errors という名前は、公開キーに含まれるこのエラー項によっています。 この枠組みは維持するので、今回考えるのは「秘密キー s に複数の整数を掛ける」の部分を「秘密キー のベクトルs に複数の整数を掛ける」に変えることです。 以前、ベクトルを要素を縦に並べて表現するか、横に並べて表現するかは、どっちでもいいと言いました。今回は、考えを変えました。ごめんなさい。 このセッションでは、列ベクトルを基本とします。ベクトルvと言った時、vは列ベクトルであるとします。それは、量子論でも同じです。ケット|qubit> は列ベクトルです。 残念ながら、このルールは、コンピューターには向いていないんです。コンピューターのプログラムは、一行単位で横に記述されますから。量子論が生まれた頃、現在のようにプログラマーが世界に溢れていたら、ケット|qubit>はきっと行ベクトルになっていたと思います。 基本の列ベクトルを行ベクトルに変換する操作 transpose を、ベクトル変数の右肩にTをのせて表すことにします。ベクトルvは列ベクトルですが、v^T はそれに対応する行ベクトルになります。 このセッションでは、LWE暗号のプロトコルを記述するのに必要な、基本的な表記法をまとめておきました。 　　 ------------------- 動画「単純なサンプルからLWEへ-- 準備編)」を公開しました。ご利用ください。 https://youtu.be/XfvP4KG69rc?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画の

【 君の名は 】 漢字の名前には難読人名というのがあるのだが、アルファベット表記でも、読めない名前はある。 Deep Specification の Chlipala は、そのことを自覚していて、自分のホームページで「 'Chlipala'の 'l' は発音しません。」と書いていた。それがなかったら、僕は、「チッパラ」を「クリッパラ」と読んでいただろう。  院生時代に、ポーランド学派の Grzegorczyk について触れた論文を書いた。論文を書き終えても、彼の名前は、本当はどう読めばいいのかわからなかった。 そうした難しい名前の読み方を、今は、学会や研究会の公開動画で知ることになる。便利な世の中になったものだ。 ラティス暗号の Ajitai を、僕は「アジタイ」だと思っていた。でも違っていた。「アイタイ」と読むらしい。彼は、ハンガリーの人だ。 エントロピー論の Leinster を、僕は「ラインスター」だと思っていた。でも、「リンスター」だった。 「ルクレジオ」はフランスの作家だ。「ルヤジオ」は、間抜けで腑抜けな、ある人の別名なのだが、それは誰でしょう？

【「ユニバーサル」 】 「ユニバーサル」という言葉、カタカナ日本語になっているのかも。 「ユニバーサル・デザイン」「ユニバーサル・スタジオ・ジャパン」（これは違うか）。ユニバース関連では、「ミス・ユニバース」が、かつては一番広く使われたかもしれない。 "universal" という外国語を日本語に訳す時、翻訳者は苦労したと思う。universal gravity は「万有引力」と訳された。この言葉は、今でも使われているが、universal が「万有」と訳されたことは、あまり記憶されていない。 Maria Popovaの "Universe in Verse -- 詩の中の宇宙" は、科学と芸術のコラボ・イベントだが、「宇宙(Uni-verse)の中の詩（Verse)」というビジョンに裏打ちされている。言葉遊びだが、それは深いものだと思う。（Meta-verse じゃ、こんな洒落たことはできないだろう。） 「グローバル」はいまでは立派な日本語だが、それは「地球規模」のという意味で、「ユニバーサル」には、大きさでは叶わない。（おいおい） 話は飛ぶが、数学のカテゴリー論では、「ユニバーサル」という性質は、とても重要な役割を果たす。 ある図形は、より単純な図形から構成されるのだが（これを「構成可能性」という）、こうした図形の構成が一意に可能なことを、この構成は「ユニバーサルな性質を持つ」という。カテゴリー論で基本的な limitやco-limit は「ユニバーサル」に構成されるのだ。 これは、すこし、分かりにくかったかもしれない。 ただ、「ユニバーサルな認識」というスコープで考えれば、もっと分かりやすい説明がある。 もしも、例えば僕が、宇宙のどこかの宇宙人とコミュニケートができて、やがていずれは共通の認識に到達できる時、それを「ユニバーサルな認識」と考えるのだ。 「やがていずれは」という留保がつくのは、僕があまりに愚かで相手の言うことが理解できないこと、あるいはその逆もありうるからだ。ただ、何世代かのギャップを越えれば、いずれは理解できる可能性はある。 こうしてみると、「ユニバーサルな認識」の存在を信ずるのは、宇宙規模で「理性」の遍在を信ずることに等しいことに気づく。 このところ、暗号技術を調べているのだが、暗号技術は「ユニバーサル

【 単純な例でラティス暗号を学ぶ 】 このセッションでは、前回に続いて、具体的なサンプルでラティス暗号 Learning with Errors (LWE) を学んでいきます。  今回のサンプルは、次の点で、前回のサンプルと異なっています。 1.  整数Zではなく 整数の剰余類Z_qを使っています。言葉を聞くと難しそうですが、そうではありません。無限の要素を持つ整数に代えて、整数を整数qで割った余り {0, 1, 2, ... , q-1 } だけを使います。 例えば、剰余類 Z_97 を使うということは、0から96までの整数しか使わないと言うことです。剰余類 Z_qを使った今回のサンプルでは、サンプルに出てくる数字は、ずっとコンパクトになります。 2.  公開キーのリストBが、秘密キーs と小さな数字e_i についてB_i = A_i ・ s + e_i の形の要素から構成されているのは前回と同じです。ただ、Bに加えて、A_i からなるリストAも公開キーに加えています。二つのリスト(A,B)のペアが公開キーになります。 3.  公開キーの一部をサンプリングしてその和をエンコードに使うのは前回と同じです。ただ、エンコードの仕方は、少し異なります。 4.  エンコードの仕方が変わりましたので、デコードの仕方も、前回とは異なっています。 今回のサンプルは、データの構造は単純ですが、行っている処理は、本物のLWEとほとんど同じものです。 -------------------  動画「単純な例で学ぶ LWE (2)」を公開しました。ご利用ください。 https://youtu.be/DlO6JVwt27k?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.com/file/d/19xEzMve4vodOukBcZd-Jbxpbs1EBeVOq/view?usp=sharing 「ラティス暗号入門」のまとめページはこちらです。 https://www.marulabo.net/docs/cipher3/ blog 「単純な例でラティス暗号を学ぶ  」のURLはこちらです。 https://maruyama097.blogspot.com/2022/0

【 まず、サンプルでラティス暗号のイメージを持とう 】 このセッションでは、ラティス暗号の代表格である Learning with Errors (LWE) を、分かりやすいサンプルで説明しようと思います。 まず、LWE暗号の働きの基本的なイメージを持つことが大事だと考えています。単純なサンプルをいくつか見た後で、あとのセッションで理論的に整理します。 最初は、LWE暗号の創始者 Oded Regev 自身による、「高校生にもわかる」という「もっとも簡単なLWEのサンプル」の紹介です。 Regevの講演 "Learning with Errors(LWE) And application to Machine Learning" のビデオは、次のURLでアクセスできます。 https://www.youtube.com/watch?v=Ut1FPvxC7mA   -------------------　 動画「単純な例で学ぶ LWE (1)」を公開しました。ご利用ください。 https://youtu.be/H-vnewC6fpc?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.com/file/d/19lP3RlFA55Ywbv7VWN_e4L0b8Ovhpzmr/view?usp=sharing 「ラティス暗号入門」のまとめページはこちらです。 https://www.marulabo.net/docs/cipher3/ blog 「まず、サンプルでラティス暗号のイメージを持とう」のURLはこちらです。 https://maruyama097.blogspot.com/2022/09/blog-post_09.html

【 ベクトル空間とラティス空間の違い、再び 】 ラティス空間は、ベクトル空間の一種です。ただ、これまでも述べてきたように、ラティス空間は離散的な格子点の集まりですが、一般のベクトル空間は、連続的な空間を構成します。 今回も、ラティス空間とベクトル空間の違いについて触れてみようと思います。 両者が、全く違うものであれば、両者の関係はないものとして、気にかけることもないのですが。ただ、そうもいかないのです。 代表的な「ラティス問題」に「最小ベクトル問題」というのがあります。それは、「空間上に点Aが与えられた時、一番近い格子点Bを求めよ。」という問題です。 この問題で、「点A」は一般のベクトル空間に存在し、「点B」はラティス空間に存在します。二つの空間は、同じ基底、同じ空間を共有しています。 先に見た、ラティスの「基本領域」も、ラティス空間にではなく、基底を共有する一般のベクトル空間上に存在しています。 両者の違いの話に戻りましょう。 一般のベクトル空間の基底が与えられた時、いつでも、その基底を同じ空間を張る直交する基底に変換することができます。今回のセッションで取り上げるGram-Schmidtの方法は、その一般的な方法を提供します。 あるラティス空間を張る基底が与えられた時、その基底をこのGram-Schmidt 法で、直交化したとします。この直交化された基底は、元の基底と同じラティス空間を張るのでしょうか？ 残念ながら、答えは「ノー」です。この方法で直交化されたラティスの規定は、一般には、異なるラティス空間を張ることになります。 （ラティスの基底が、同じラティスを張るための条件を、以前に見てきました。それを、思い出してください。） ------------------- 動画「Gram-Schmidt 直交化」を公開しました。ご利用ください。 https://youtu.be/15AoLMMr2Gg?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.com/file/d/19DKkpOF2EtkqLMwdQD8XKGMjdsD6ZAQu/view?usp=sharing 「ラティス暗号入門」のまとめページはこちらです。 https://www.

【 拡大か縮小か？】 ある整数nを整数qで割った余りをrとします。nをrと同一視することで得られる集合を、整数Zのqによる剰余類と呼び、Z_qで表します。 qで割った余りは、{0, 1, … , q−1}のq個しかないので、Z_qは q個の要素からなります。また、どんな整数もこのq個の類のどれかに属することになります。 今回は、これまで整数Z上で定義されてきたラティスを、整数の剰余類Z_q上に拡大したラティスの話をします。 「拡大」と書きましたが、実際は「縮小」なんです。正確には「制限」と言ったほうがいいかもしれません。 整数Z上で定義されたラティスは、基底ベクトルの整数倍のベクトルの和として定義されます。それは無限の広がりを持ちます。整数は無限に存在しますから。 Z_q上のラティスは、基底ベクトルのZ_qの要素倍のベクトルの和として定義されます。例えば、Z_3は、3 で割った余りの集合ですから、0, 1, 2 の三つの要素しか持ちません。ですから、Z_3上のラティスは、基底ベクトルの 0倍か1倍か2倍のベクトルの和でできてることになります。 二次元のラティスなら基底ベクトルは二つ、それとZ_3の三つの要素の組み合わせは、3^2で、9通りしかありません。二次元のZ_3上のラティスは、9個の格子点しか持ちません。 Z_q上のラティスは、有限個の格子点から構成されます。それは、無限個の格子点を持つZ上のラティスとの大きな違いです。 ラティスの大きさを「縮小」あるいは「制限」することには、実際的な意味があります。 コンピューターでは、我々は無限の大きさを持ちうる整数をハンドルできません。我々が扱えるのは、有限の大きさ、例えば、128bitで表現される整数のみです。 コンピューターで処理することが前提の「ラティス暗号」の実装の世界では、Z上のラティスではなく、Z_q上のラティスが用いられます。 ------------------- 動画「ZのラティスとZ_qのラティス」を公開しました。ご利用ください。 https://youtu.be/etOs2GewiCE?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.com/file/d/18uByji6nX

【 ラティスいろいろ 】 このセッションでは、ラティスの「基本領域」と言われるものを紹介します。 B = ( b1, b2, ..., bn)をラティスの基底として、ラティスL(B)が張る平面上の、次の条件を満たす領域を、ラティスL(B)の「基本領域」といいます。 　　 0 <= ai < 1 の範囲（ 0 は含みますが、1 は含みません）の実数 ai について 　　 a1b1 + a2b2 + ... + anbn で表される領域 ラティスは、先の式でai が整数値のみをとる飛び飛びの「格子点」の集まりです。ただ、ラティスの「基本領域」は、ai は 0 <= ai < 1 の範囲を連続的に動きますので、飛び飛びの「点」ではなく、連続した「面」になります。 このセッションでは冒頭で、もうひとつのラティスの見方を紹介しています。寄り道です。 というのも、この間、「ラティス暗号」で利用されるラティスの話をしてきたのですが、それだけだと、すこし、狭いと感じていたからです。（すぐに、元の道に戻ります） ラティスは、基本的には、規則的なパターンの繰り返し構造の背後にあるものです。 タイルや絨毯の紋様の繰り返し、平面を覆い尽くすパターンからなるデザインは、その例です。 金属は、規則的な原子の構造を持ちます。結晶の作る「結晶ラティス」は、代表的なラティスです。パターンの繰り返しは、物質の性質を決めることがあります。現在では、こうした規則的なパターンを持つ物質を人間が作ろうとしています。 科学の方法として、無数なものの無数の連続的な関係を捉えるのが難しい時、対象をディスクリートな格子点の集まりとして近似することがあります。これは、科学の基本的なテクニックの一つです。 もしも、自然が、連続的なものではなく離散的なものなら、こうしたアプローチは、単なる近似ではなく、本質的な意味を持つことになります。 ------------------- 動画「ラティスの基本領域」を公開しました。ご利用ください。 https://youtu.be/ujF8xD8YoHU?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.com/file/d/18ikq8O

【 セミナーは終わったのですが 】 8月27日のマルレク「暗号技術の現在」は終了したのですが、第三部の「ラティス入門」には、まだ積み残しのコンテンツがあります。当面、「ラティス入門」の話を続けたいと思っています。また、ラティス暗号についての解説も始めたいと思っています。 コンテンツがまとまりましたら、改めて「ラティス暗号入門」のセミナーを開催したいと思っています。 セミナー「ラティス暗号入門」に向けたまとめページを作成しました。「ラティス入門」のコンテンツは、今回からの継続分と併せて、前回の分もこのページに再録しました。 https://www.marulabo.net/docs/cipher3/ 9月のマルレクは、「カテゴリー論入門」の第二回目を予定していました。 https://www.marulabo.net/category-theory/ どうしようか、少し迷っています。　 -------------------------------- 動画「ラティスの基底の変換」を公開しました。ご利用ください。 https://youtu.be/UQ-YdgHzrDI?list=PLQIrJ0f9gMcPtw-6OwIOO2rFKu_A-7OfF この動画のpdf は、こちらからアクセスできます。 https://drive.google.com/file/d/1V7xn0TYSup2SiAsGGuSQe0VTFUEJ2C7i/view?usp=sharing blog 「セミナーは終わったのですが」のURLはこちらです。 https://maruyama097.blogspot.com/2022/09/blog-post.html