過去・現在・未来

6/3 マルレク「暗号技術の現在」のフォロー・アップのセミナーとして、6月21日次のセミナーを開催します。 　日時；　2019年6月21日 19:00~22:00 　場所：　五番町グランドビル 7F / KADOKAWA セミナールーム 　テーマ：「3時間で学ぶ Shorのアルゴリズム入門」 　申し込みページ： https://shor.peatix.com/view 講演概要 6/3のマルレク「暗号技術の現在」では、暗号技術が現在の「公開キー暗号/RSA暗号」から「ポスト量子暗号」に大きく変わろうとしているという話をしました。こうした変化を引き起こした最大の原因は、25年前に発見された「Shorの素因数分解アルゴリズム」です。 RSA暗号は、大きな素数p,q 二つの積である大きな数Nが、たとえNを知っていても、現在のコンピュータでは、その素因数p,qを求めることがとても難しいという事実をその基礎にしています。公開キー暗号は、コンピュータでも分解できないこのNを、事実上、皆の前に公開するという暗号方式です。Shorは「量子コンピュータを使えば」、Nの素因数分解が極めて高速に可能になることを発見しました。それは、「公開キー暗号/RSA暗号」が、簡単に破られるということを意味しています。 ではなぜ、こうした発見が25年間も「暗号技術に対する脅威」とは見なさなかったのでしょうか？　その理由は簡単なものです。それは、「量子コンピュータ」が、すぐにも実現する技術とは見なされなかったからです。現時点でも、大きなNに対して、Shorのアルゴリズムでその素因数を求められる量子コンピュータは存在しません。 ただ、20年後40年後は、どうなっているでしょう？　 近年になって、量子コンピュータの「実現可能性」について、大きな認識の変化があります。基本的には、いままでよりかつてなく多くの人が「いつか、確実な時期はわからないが、量子コンピュータは実現するだろう」と考えるようになってきました。Shorのアルゴリズムに対する関心が、新たに高まっているのは、そうした背景があります。NSAやNISTが、「ポスト量子暗号」への動きを本格化しているのは、当然のことだと思います。 1. 量子コンピュータではなぜ高速な計算ができるのか？ 　量子コンピュータでは

6/3 マルレク「暗号技術の現在」の講演資料です。ご利用ください。 http://bit.ly/30YB8gP お申し込みは、次のサイトからお願いします。残席わずかです。 https://qcrypt.peatix.com/ 　　-------------------------------- 　　「暗号技術の現在」　はじめにから 　　-------------------------------- 暗号には「秘密」がつきものであった。1955年、数学者のJohn Nashは、 NSAに対して「鍵の計算に指数関数的時間のかかる」方法を使えば、「誰にも破れない暗号を簡単に作れるようになる」という手紙を送っている。1970年代の初めには、イギリスの情報機関GCHQの科学者たちが、今日の公開キー暗号と同じものを作り上げていた。それはNSAも知っていた。ただ、それらは全て「機密」とされ、世に知られることはなかった。 なぜ、「機密」にされたかといえば、securityの問題は、第一義的に”National Security”の問題だからということなのだが、なぜそうした技術が、広く実用化されなかったという点に関して言えば、別の問題があったことに気づく。それは、当時のコンピュータには、少なくとも経済的には、こうした複雑な計算を実行する計算能力が十分ではなかったのである。 現在の暗号化技術の基本が出来上がるのは、1976/1977年のことである。その技術の真価は、80年代のコンピュータのコンシューマライゼーション（PC-AT, Windows, …）を経て、90年代半ばのインターネットのグローバルな拡大、経済活動のグローバル・ネットワーク化、個人のネットワークへの登場を通じて、全面的に開花する。この技術なしでは、今日のネットワークの成功はなかったろう。 このことは、同時に、暗号化技術が、もはや、もっぱら ”National Security”のみにかかわる技術ではなくなったことを意味する。今では、誰もが暗号化技術を必要とし、誰もがそれを、オープンな「標準技術」として利用できる。それは、大きな変化である。 暗号化技術は、その時代で利用可能なコンピュータの計算能力、その時代で利用可能な通信基盤に大きく依存している。それは歴史的に変化するものだと僕は考え

「ひとつ、ふたつ、みっつ、あとはたくさん。」 幼児は、数えることを学んでも、すぐに50まで数えられるわけではない。未来の技術予測に関しては、僕らも、それに似ているのかもしれない。 確かに、経済人には、もっと長い展望で物事を考えている人はいるのかもしれないのだが。ただ、その経済人が暗号通貨に興味を持っているなら、是非、知ってほしい「定理」がある。 それは「Moccaの定理」という定理だ。 NISTが「ポスト量子暗号」のインフラづくりの緊急性を訴える時、繰り返し強調している「定理」である。決して理解が難しい定理ではない。 ただ、それを理解するには、僕らの技術的日常に染み込んでいる「ひとつ、ふたつ、みっつ」の世界から、要するに数年先のことしか考えないという世界から、すうっとその先に時間感覚を広げないといけない。 こういう定理だ。 xを、我々の現在の暗号技術が、何年有効であってほしいか、その年数とする。 yを、量子コンピュータの攻撃に耐える暗号インフラを構築するのに必要な年数とする。 zを、大規模な量子コンピュータが構築されるまでの年数とする。 【 Moscaの定理】 この時、x+y>z なら、暗号は破られる。 yについては、NISTは、現在の公開キー暗号のインフラを作ってきた経験から、y=20年はかかるだろうと予測している。 もしも、僕の作った暗号通貨MaruCoinが、50年は安全でいてほしいと思ったとする。x=50だ。 一方で、僕は、大規模な量子コンピュータシステムは、あと30年ぐらいでできると考えている。z=30だ。 x+y = 50+20 > 30 (z) 要するに、僕のMaruCoinは、量子コンピュータが暗号破りに使えるようになった 30年後から、40年間も破られ続けるということになる。 それは、僕のコインが50年は安全でいてほしいという希望と、量子コンピュータが30年後には実現するかもしれないという予想が矛盾していることを示している。 もちろん、未来の予測と希望からできている式なので、x,y,zの値は、自由に選べる。 僕は、僕のコインがボロボロにされるのは嫌だから、zを80まで増やすことにする。要するに、21世紀中には量子コンピュータなんかできないと考えることにする。

楕円関数暗号への投資の抑制を訴え、楕円関数暗号が量子コンピュータの前には「多くの人がかってそうなるだろうと期待したような長期間にわたって有効なソリューションではない」というNSAの警告に耳を傾ける必要があると思う。 　NSA "Commercial National Security Algorithm Suite" 　 http://bit.ly/2YExs1M 多くの人は、こうした警告を知らないか、あるいはその警告がビットコイン、イーサリウムといった暗号通貨の暗号技術の脆弱性に対する警告であることに気づいていないように思う。 誤解を避ける為に言っておきたいのだが、僕は何も、暗号通貨やブロックチェーン技術がダメだと言いたいわけではない。（実際、僕の友人の多くも、こうした技術にコミットしている） 確かに、現在実装されている暗号化が、現在のコンピュータの計算能力では解けないのは、確かだと思う。すぐにでも、暗号通貨に、破局が訪れるというつもりはない。しかし、問題なのは「現在のコンピュータ」の計算能力の問題ではなく、これから台頭するだろう「量子コンピュータ」の計算能力である。 もう一つ大事なことは、量子コンピュータの「攻撃」に耐える暗号化の標準を NSAもNISTも策定中だということである。こうした量子耐性を持つ暗号化アルゴリズムを利用すれば、暗号通貨もブロックチェーンも、そのアイデアの本質的な部分は、存続していくと思う。 ただ、その存続のためには、強い暗号が必要なのだ。 「RSA-2048暗号は、2026年までにはその1/7が破られ、2031年には1/2が破られるだろう」　   https://eprint.iacr.org/2015/1075.pdf というMoscaの予想が正しいとすると、2024年に発行予定の新一万円札が登場して10年も経たないうちに、ビットコインもイーサリウムも、ボロボロに破られるということになる。 その時期がいつになるのかは、僕には正確にはわからない。僕は、Moscaより、もう少し先のことだろうと考えているのだが、それが2050年代だとしても、問題は深刻である。 注意しておきたいのは、現在では、量子コンピュータは、国家か大企業のプロジェクトのレベルでしか

ビットコイン、イーサリウム等の暗号貨幣のほとんどは、暗号化に楕円曲線暗号を用いている。 多くの人は、大きな数の素因数分解の難しさを基礎とするRSA暗号より、離散対数問題を解くことの難しさを基礎とする楕円曲線暗号の方が、強い暗号（その上暗号化の鍵のビット数も減らせて効率的）だと信じているように見える。 ただ、量子コンピュータからの「攻撃」に対して、楕円曲線暗号の方がRSA暗号より強いかと言えば、答えはノーである。楕円曲線暗号を、量子コンピュータは破ることができるのである。 このことについては、今度のマルレクで触れたいと思う。暗号貨幣・ブロック・チェイン技術について関心のある方も、ぜひ今度のマルレクに参加してほしいと思う。 https://qcrypt.peatix.com/ NSAの楕円曲線暗号についての次のような重要な勧告は、明確にビットコイン、イーサリウム等の暗号通貨のセキュリティの現状についての警告なのだが、そのことに皆が気づいているわけではないように思う。 「Suit Bの楕円曲線アルゴリズムへの移行を、まだ行なっていないパートナーならびにベンダーは、現時点で、そのための大きな支出せずに、その代わりに、来るべき量子耐性アルゴリズムへの移行を準備することを、我々は勧めてきた。」 「不幸なことに、楕円曲線の利用の拡大は、量子コンピューティング研究の絶え間ない進歩の事実と衝突するものである。すなわち、量子コンピューティングの研究は、楕円曲線暗号化は、多くの人がかってそうなるだろうと期待したような長期間にわたって有効なソリューションではないことを明らかにした。こうして、我々は、戦略の見直しを余儀なくされてきた。 」 　NSA "Commercial National Security Algorithm Suite" http://bit.ly/2YExs1M Shorのアルゴリズムは、多くの人は素因数分解の量子アルゴリズムと考えているようなのだが、それはコインの片面でしかない。重要なことは、同じアルゴリズムが離散対数問題も解くということである。 Shorの原論文のタイトルは、"Polynomial-Time Algorithms for Prime Factorization and Di

本日、5月20日 12:00から、6月3日開催のマルレクの申し込みの受付を開始します。お申し込み、お待ちしています。 https://qcrypt.peatix.com/view 　 講演のタイトルを、当初の予告「量子暗号と暗号通貨」から、「暗号技術の現在 -- 量子耐性暗号への移行と量子暗号」に変更しました。 今回のマルレクでは、アメリカのNISTやNSAの「量子暗号耐性暗号への移行」の動きを中心に、暗号技術の現在を紹介したいと思います。 暗号化技術の変化を決定づけた最大の要因は、Shorによる、量子コンピュータを使った素因数分解アルゴリズムの発見です。その発見は、1996年ですが、当時は一時的にはセンセーションを巻き起こしましたが、その後、長い間、暗号化技術に対する深刻な「当面の脅威」ではないと受け止められてきました。（あるいは、現在も皆さんもそう思っているかもしれません） NSAが、その脅威を本格的に警告しだしたのは、発見から20年後の2015年になってからでした。それは、この間の量子コンピュータ技術の大きな発展を反映しています。 ある学者は、2015年のこのNISTのカンファレンスで次のように述べています。 　「RSA-2048暗号は、2026年までにはその1/7が破られ、2031年には1/2が破られるだろう」 　　　-- Michele Mosca  https://eprint.iacr.org/2015/1075.pdf NISTは、2015年から "Post-Quantum Cryptography"の「標準化」の策定作業を開始し、2022-2024年には、そのドラフトを利用可能にすると言っています。 今回のマルレクの前半では、そうした流れをお話しします。 講演の後半では、「量子暗号」について、BB84と呼ばれる、秘密キーの共有プロトコルを紹介しようと思います。意外なことに、この量子暗号の原理は、いたってシンプルなものです。量子コンピュータのことを知らなくても、理解できると思っています。 残念ながら、時間の関係で、肝心のShorのアルゴリズムについては、あまり詳しく説明することはできません。今回のマルレクで削った、これらの内容については、フォローアップのセミナー等で、補っていきた

スモーリンやバエズは、とびきり優秀な、でも、一風変わったところのある物理学者だ。スモーリンはライプニッツを語り、バエズはグロタンディックを語る。ペンローズもそうしたタイプの学者なのだが、そんな物理学者はあまりいるわけではない。僕は、彼ら、多分、ループ量子重力理論とくくっていいと思うが、のファンだった。（心情的には、今でもそうだ） 今回の連休は、去年の夏、プリンストン大学で二週間にわたって行われた「理論物理学の展望 -- Qubitから時空へ -- 」というセミナーのビデオをずっとみていた。こちらは、ウィッテン、マルデセナ、サスキンドといった、物理学の「主流派」の集まりにも見える。 https://www.ias.edu/ideas/pitp-qubits-spacetime 僕は、いい歳になってから物理の再勉強を始めたのだが、それはサスキンドのスタンフォードのビデオ講義を通じてだった。それしか方法がなかったのだが、正直にいうと、それ以来、サスキンドの語ることにあまり違和感を感じなくなった。ヘタレである。サスキンドは、スーパー・ストリングのボスの一人だ。 ただ、それは、通信教育で物理を学んだと言っていい僕に「定見」がないせいだけはないのだと思う。 確かに、20世紀後半の物理学は、多数派のスーパーストリング派と少数派のループ量子重力派に分裂していた。そのあたりは、スモーリンの本が多くのことを語っている。 ただ、21世紀の物理学の出発点になったのは、マルデセナによる、1997年のAdS/CFT対応の発見だった。それは分裂した二つの陣営にとっても大きな事件だった。そこから全てが変わったように見える。 AdS/CFT対応というのは、簡単にいうと、d次元の「かたまり」の中の重力理論と、d-1次元のそのかたまりの「境界」の中の量子論とが対応するという発見だった。100年来の、重力理論と量子論との統一という課題の大きな手がかりを、物理学は得たのだ。 二つの理論の住む世界は、1次元だけ次元が違うのだ！　このことは、二つの理論の「統一」が難しかったことの背景を示している。エネルギーを上げていけば、二つの理論の「大統一」ができると信じていたのは、ナイーブだったのだ。 このセミナーの基調になっているのは、次のような認識である。 ● セミナーのタイ

スモーリンは量子重力理論の第一人者だ。彼が、50年代のボームの理論(Bohmian Physics)を手がかりにして量子論の再構築をしようとしているのは、アインシュタインの重力理論と量子論の統一という、物理学の100年来の課題に挑戦しようとしているからだ。 彼の「素朴実在論」("naive realism" の"naive"を「素朴」と訳していいものかは、すこし微妙なところもあるのだが)の立場や、ライプニッツの「充足理由律」への注目は、自然あるいは世界に対する、ある意味「哲学的」関わり方が、自然科学研究をドライブする大きな力になることを示していて興味ふかいものだ。 今日、紹介しようと思ったジョン・バエズのアプローチも面白い。彼が、先々月、一般向けの科学雑誌「ノーチラス」に寄稿した記事「数学がニュートンを量子の世界に連れて行く」  http://bit.ly/2w0HaiA  は、グロタンディックの数学を使って、アインシュタインを飛び越えて、ニュートンと量子論を結びつけようというアイデアを述べている。 もう少し、彼の構想を説明しなければならないのだが、あるニュースを聞いて、それは次回にしようと思った。 バエズの記事のサブタイトルを見て欲しい。 「ある数学教授は、如何にして心配するのを止めて代数幾何を愛するようになったか」"How a math professor learned to stop worrying and love algebraic geometry." これは、キューブリックの次の映画の長い題名をもじったもの。 「博士の異常な愛情 または私は如何にして心配するのを止めて水爆を愛するようになったか」"Dr. Strangelove or: How I Learned to Stop Worrying and Love the Bomb" あるニュースというのは、このキューブリックの「博士の異常な愛情 ... 」が、4Kで復刻されて、今週、上映されるというものだ。残念ながら、ロンドンでだが。 http://cinefil.tokyo/_ct/17264853 予告編は、このページでも見れる。あらすじは、日本語wikiにも、まとめ

スペルを間違えている訳ではないのだが。 連休中に、スモーリンの新著 「アインシュタインの未完の革命：量子を超えたところにあるものの探求」を読んだ。 https://www.amazon.com/Einsteins-Unfinished-Revolution-Search-Quantum/dp/1594206198 それは、ボーム（David Bohm）の理論の再評価を熱心に勧めるものだった。僕には、少し、意外だった。というのも、僕のボームのイメージは、神秘主義者のクリシュナムルティやダライ・ラマとも交流する「ニュー・サイエンス」の代表格だったから。 ただ、僕のボームに対する神秘主義というイメージは、一面的だったのかもしれない。というか、ボームについては、僕は、ほとんど知らなかった。彼がマッカーシズムでアメリカを追放されたことも、晩年に至るまで、一貫して「実在論」者であったことも。 この本でのスモーリンの議論の矛先は、「観測によって、波動方程式が収束する」という、ボーアらのコペンハーゲン派の量子論解釈に向けられている。 主観的に解釈された「観測」で自然法則が影響を受けることはない、我々の意識から独立に自然が存在する、という「素朴実在論」の立場に、スモーリンは、あくまで立ち帰ろうとする。それは、アインシュタインのボーア批判にもつながるものだ。 彼は、現在の量子論で普通に使われている「観測可能（Observable）」という術語を「存在可能(Be-able)」に置き換えようとする。"Be-able"は、Entanglementの存在を理論的に証明したJohn Bellが作り出した言葉のようだ。ド・ブロイやベルやアスペも、Bohmianの系譜に属することも、僕は、この本で初めて知った。 確かに、「宇宙」を考えてみれば、宇宙の外側に観測者がいる訳ではない。 この本を、ボームの再評価を勧めるものと先に書いたのだが、基本的には、この本のタイトルにもあるように、アインシュタインの再評価を、現在の物理学の到達点から行おうとするものだ。 スモーリンの長年の「論敵」であるサスキンドも、「ER=EPR」をスローガンに、ブラックホールを舞台に、アインシュタインの再評価を行なっているのは偶然ではないと思う。 この4月に、スモーリ

6/3 マルレク「量子暗号と暗号通貨」のマルレク協賛会員の方の申し込みは、本日5/13 12:00から受付開始です。 https://qcrypt.peatix.com/view 告知ページに記載したNSAサイトのURLが、読み込めなくなっています。次のページに変更しました。 NSA： "Commercial National Security Algorithm Suite" https://apps.nsa.gov/…/progr…/iad-initiatives/cnsa-suite.cfm その一部を紹介します。2015年のものです。 　　------------------------------------------ 　　量子耐性アルゴリズムへの移行のための準備計画 　　------------------------------------------ 現在のグローバルな環境では、我々の国家とその市民とその利益を守る上で、高速で安全な情報の共有が重要である。強力な暗号化アルゴリズムと安全な標準プロトコルは、我々の国家の安全に貢献し、安全への普遍的な要請と相互運用可能なコミュニケーションに向けた取り組みを助ける死活的に重要なツールである。 現在では、Suite B の暗号化アルゴリズムが 国立標準技術研究所(NIST)によって規定され、機密あるいは非機密の国家安全保障システム（NSS）を保護するソリューションの認可で、NSAの情報保証局で利用されている。以下で、量子耐性アルゴリズムへの移行のための準備計画について告知する。 　　---- 　　背景 　　---- IAD は、そう遠くない将来、量子耐性アルゴリズムへの移行を開始するであろう。我々は、Suit B を展開した経験に基づいて、来るべき量子耐性アルゴリズムへの移行について、早いうちから計画づくりとコミュニケーションを開始することを決定した。 我々の最終的な目標は、量子コンピュータの潜在的な能力に対して、コスト効率の良いセキュリティを提供することである。我々は、合衆国政府、ベンダー、標準化団体をまたいだパートナーと共に、アルゴリズムの新しいSuitを獲得する明確な計画が存在することを保証するための作業を行なっている。そのアルゴリズムは

次回のマルレクは、6月3日、渋谷のGMOさんで開催です。MaruLaboが事務局を務める最初のマルレクになります。テーマは「量子暗号と暗号通貨」です。 ----------------------------- 現在では、企業の秘密情報も個人のプライベートな情報も、ネットワークをまたいで共有されることが普通に行われています。そうした情報が、無関係の（ある場合には悪意のある）第三者に漏れないように、暗号化技術が利用されています。現代のネットワーク社会の安全性を支える基本技術の一つが、暗号化技術です。 今回のセミナーでは、最近関心が高まりつつある量子情報技術と暗号化技術の関係にフオーカスしたいと思います。セミナーの後半では、暗号通貨の未来形としての「量子通貨」の話をしようと思っています。セキュリティ技術やブロックチェーン技術に関心のある方の参加を歓迎します。 量子情報技術と暗号化技術の関係は、二つの面から考えることができます。一つは、従来の暗号化技術を「破る」技術としての量子情報技術です。もう一つは、従来の技術（量子コンピュータを含めて）では達成できない「破られない」暗号化技術への量子情報理論の利用です。 前者については、量子コンピュータを使って素因数分解を高速に行うショアのアルゴリズムが有名です。ただ、1994年のショアの発見から25年たった現在も、現在利用されている暗号を破るような量子コンピュータは作られていません。それにもかかわらず、暗号化技術の最前線では、NISTもNSAも「量子耐性」を持つ暗号化技術の開発に余念がないように見えます。 ・NIST "Post-Quantum Cryptography" https://csrc.nist.gov/projects/post-quantum-cryptography ・NSA "Cryptography Today" https://www.nsa.gov/ia/programs/suiteb_cryptography/ 後者の「量子暗号」については、BB84と呼ばれる、秘密キーの共有プロトコルを紹介しようと思います。もちろん、先のマルレクでも取り上げた「量子テレポーテーション」等の量子通信技術がベースになるのですが、RSA暗号を解く量子コ

「紙と鉛筆で学ぶ量子コンピュータ入門 今日の、角川さんでの 演習」の様子です。参加者の皆さん、長い時間ご苦労様でした。 今回は参加者多くはなかったのですが、1/3の6人が、学生さんでした。学生率は、これまでで、一番高かったと思います。 最前列に陣取った二人は、大学一年生だそうで、つい一ヶ月前まで高校生だったはず。 まだまだ、頑張らないと。

今週末、「紙と鉛筆で学ぶ量子コンピュータ入門演習」を開催します。2017年に「紙と鉛筆で学ぶ量子情報理論基礎演習」として開始して以来、今回通算で9回目になります。量子コンピュータに関心をお持ちの方、是非いらしてください。 お申し込みはこちらから。  https://lab-kadokawa80.peatix.com/ これまで大勢の方が、このシリーズで学んでいます。このシリーズのこれまでのあゆみは、下のビデオをご覧ください。 52