鍵交換

この記事は検証のために追加の引用が必要です。信頼できる情報源からの引用を追加することで、この記事の改善にご協力ください。出典のない資料は異議を唱えられ、削除される場合があります。出典を探す: 「鍵交換」  – ニュース·新聞·書籍·学者· JSTOR      ( 2014年11月) (このメッセージを削除する方法とタイミングについては、こちらをご覧ください)

鍵交換（鍵確立とも呼ばれる）は、暗号化アルゴリズムの使用を可能にするために、2 つの当事者間で暗号化鍵を交換する暗号化方法です。

送信者と受信者が暗号化されたメッセージを交換する場合、送信するメッセージを暗号化し、受信したメッセージを復号化する機能をそれぞれ備えていなければなりません。必要な機能は、使用する暗号化手法によって異なります。コードを使用する場合、両者は同じコードブックのコピーを必要とします。暗号を使用する場合、適切な鍵が必要になります。暗号が対称鍵暗号である場合、両者は同じ鍵のコピーを必要とします。公開鍵/秘密鍵特性を持つ非対称鍵暗号である場合、両者は相手の公開鍵を必要とします。

鍵交換はインバンドまたはアウトオブバンドで行われる。^{[ 1 ]}

鍵交換問題とは、安全な通信チャネルを確立するために必要な鍵やその他の情報を交換し、他者がコピーを入手できないようにする方法を記述するものです。歴史的に、公開鍵暗号（非対称暗号）が発明される以前は、対称鍵暗号は単一の鍵を用いてメッセージを暗号化および復号化していました。二者が秘密裏に通信を行うには、まず秘密鍵を交換し、各自が送信前にメッセージを暗号化し、受信したメッセージを復号化できるようにする必要があります。このプロセスは鍵交換と呼ばれます。

対称暗号、あるいは単一鍵暗号の最大の問題は、信頼できる宅配便、外交バッグ、あるいはその他の安全な通信チャネルを介して秘密鍵を伝達する必要があることです。二者間で安全な初期鍵交換を確立できない場合、初期鍵交換中に鍵を入手した第三者によってメッセージが傍受・解読されるリスクなしに、安全に通信することはできません。

公開鍵暗号方式は、公開鍵と秘密鍵からなる2つの鍵システムを採用しており、メッセージは一方の鍵で暗号化され、もう一方の鍵で復号化されます。メッセージの暗号化と復号化に、公開鍵と秘密鍵のどちらが使用されるかは、選択した暗号化アルゴリズムによって異なります。例えば、RSAでは秘密鍵がメッセージの復号化に使用され、デジタル署名アルゴリズム（DSA）では秘密鍵がメッセージの認証に使用されます。公開鍵は安全でないチャネルで送信したり、公に共有したりできますが、秘密鍵は所有者のみが使用できます。

ディフィー・ヘルマン鍵交換として知られるこの方式では、暗号化されたメッセージの機密性を損なうことなく、暗号化鍵をオープンに通信できます。一方の当事者がもう一方の当事者に鍵を交換し、相手側はその鍵を用いてメッセージを暗号化し、暗号文を送り返します。メッセージを復号できるのは、復号鍵（この場合は秘密鍵）のみです。対称鍵交換とは異なり、ディフィー・ヘルマン鍵交換では、機密情報が漏洩するリスクは一切ありません。

原理的には、残る唯一の問題は、公開鍵が実際にその所有者のものであると確信できる（あるいは少なくとも確信できる）かどうかでした。他人の身元を「偽装」することは様々な方法で可能であるため、特に関係する2人のユーザーが一度も会ったことがなく、お互いについて何も知らない場合、これは決して些細な、あるいは簡単に解決できる問題ではありません。

1976年、ホイットフィールド・ディフィーとマーティン・ヘルマンは、ヘルマンの博士課程の学生ラルフ・マークルが開発した概念に基づいて、ディフィー・ヘルマン鍵交換（D-H）と呼ばれる暗号プロトコルを発表しました。このプロトコルにより、たとえ相手が通信チャネルを監視していたとしても、ユーザーは秘密鍵を安全に交換できます。しかし、D-H鍵交換プロトコル自体は、認証（つまり、通信チャネルの相手側の人物または「エンティティ」の実際の身元を確認する問題）には対応していません。認証は、相手が通信チャネル内のメッセージを監視および改ざんできる場合（中間者攻撃またはMITM攻撃）に非常に重要であり、論文の第4セクションで取り上げられています。^{[ 2 ]}

公開鍵基盤（PKI）は、ID認証の問題に対する回避策として提案されてきました。最も一般的な実装では、各ユーザーは、すべての関係者から信頼されている「証明機関」（CA）にデジタル証明書を申請します。この証明書は、他のユーザーにとって改ざん不可能なID認証として機能します。CA自体が侵害されない限り、この基盤は安全です。しかし、万が一侵害された場合、多くのPKIは証明書を失効させ、他のユーザーが信頼しないようにする手段を提供しています。失効した証明書は通常、証明書失効リストに登録され、あらゆる証明書と照合することができます。

いくつかの国やその他の管轄区域では、PKI（公開鍵基盤）を奨励する法律を制定または発行しており、これらのデジタル証明書（デジタル署名を参照）に（多かれ少なかれ）法的効力を与えています。多くの民間企業や一部の政府機関も、このような証明機関を設立しています。

しかし、これは問題の解決にはなりません。なぜなら、CA自体の信頼性は特定の個人に対して保証されていないからです。これは権威による議論の誤謬の一種です。実際に信頼性を確保するには、証明書がCAに属していることを個人が確認し、CAへの信頼を確立する必要がありますが、これは通常不可能です。

権威主義的な政府がいわゆる「国家認証局」の設立を提案した事例が知られています。国家認証局の証明書は国民のデバイスにインストールすることが義務付けられ、インストールされて信頼されると、暗号化されたインターネットトラフィックの監視、傍受、変更、ブロックに使用される可能性があります。 ^{[ 3 ] [ 4 ] [ 5 ]}

このようなことに馴染みのない方のために説明すると、これらの仕組みは「この公開鍵はこのユーザーのものです」という電子公証人の承認のようなものだと考えれば分かりやすいでしょう。公証人の承認と同様に、このような保証にも間違いや誤解が生じる可能性があります。さらに、公証人自体が信頼できない場合もあります。様々な認証局による重大な失敗が、公に報道されるケースがいくつかありました。^{[ 6 ] [ 7 ]}

概念的な範囲の対極に位置するのが、中央認証局を完全に排除する「信頼の輪」システムです。各ユーザーは、他のユーザーと通信する際に証明書を使用する前に、そのユーザーから証明書を取得する責任を負います。PGPとGPG （ OpenPGPインターネット標準の実装）は、まさにこのような信頼の輪のメカニズムを採用しています。

パスワード認証鍵合意アルゴリズムは、ユーザーのパスワードの知識を利用して暗号鍵交換を実行できます。

量子鍵配送は、量子物理学の特定の特性を利用してセキュリティを確保します。量子状態の観測（または測定）によって、その状態に摂動が生じるという事実に基づいています。多くのシステムにおいて、これらの摂動は受信機によってノイズとして検出可能であり、中間者攻撃の検出が可能になります。量子力学の正確性と完全性に加えて、このプロトコルはアリスとボブの間に認証されたチャネルが存在することを前提としています。

• キー（暗号化）
• 鍵管理
• ディフィー・ヘルマン鍵交換
• 楕円曲線ディフィー・ヘルマン
• 前方秘匿性

• 非秘密デジタル暗号化の可能性JH Ellis、1970 年 1 月。
• 有限体を使用した非秘密暗号化MJ Williamson、1974 年 1 月 21 日。
• より安価な非秘密暗号化に関する考察MJ Williamson、1976 年 8 月 10 日。
• 暗号化の新しい方向性W. DiffieとME Hellman、「IEEE Transactions on Information Theory」、vol. IT-22、1976年11月、pp: 644–654。
• 暗号装置および方法Martin E. Hellman、Bailey W. Diffie、およびRalph C. Merkle、米国特許第4,200,770号、1980年4月29日
• 公開鍵暗号の最初の10年間Whitfield Diffie, Proceedings of the IEEE, vol. 76, no. 5, 1988年5月, pp: 560–577 (1.9MB PDFファイル)
• メネゼス、アルフレッド、ヴァン・オーショット、ポール、ヴァンストーン、スコット(1997). 『応用暗号ハンドブック』ボカラトン、フロリダ州: CRC Press. ISBN 0-8493-8523-7（オンラインで入手可能）
• シン、サイモン（1999）『コードブック：スコットランド女王メアリーから量子暗号までの秘密の進化』ニューヨーク：ダブルデイISBN 0-385-49531-5カンボジア