次世代の高安全な暗号技術を適用した光トランスポートネットワーク技術を開発
～IOWNを支える高安全・大容量・低遅延な光伝送の実現へ～

日本電信電話株式会社（本社：東京都千代田区、代表取締役社長：澤田　純、以下「NTT」）は、長期にわたり高度なセキュリティを保ちつつ大容量・低遅延通信が可能な「IOWNセキュア光トランスポートネットワーク」の実現に向け、次世代の高安全な暗号技術を適用した光トランスポートネットワーク技術を開発しました。
　現在のICT社会の様々な場面で利用されているRSA暗号や楕円曲線暗号等の公開鍵暗号技術（※1）は、量子計算機の進化に伴い暗号解読の危険性が指摘されています。NTTではIOWNセキュア光トランスポートネットワークを通じて、大容量・低遅延通信を可能とするだけでなく、量子計算機に対しても安全な通信環境を社会に提供することをめざします。
　2021年11月16日（火）～19日（金）に開催されるNTT R&Dフォーラム　Road to IOWN 2021（※2）では、IOWNセキュア光トランスポートネットワークを用いた8K非圧縮映像伝送の実演を行います。

1．研究開発背景

NTTでは、光技術を活用した次世代コミュニケーション基盤 IOWN （Innovative Optical and Wireless Network）について、2030年までの実現をめざして研究開発を行っています。近年、量子計算機の実用化に向けた進展は目覚ましく、これまで不可能だった複雑な計算が可能となりつつあります。そして、現在のICT社会の様々な場面で利用されているRSA暗号や楕円曲線暗号等の公開鍵暗号技術は、量子計算機を利用することで現実的な時間で解読される可能性が指摘されています。長期にわたりIOWNのセキュリティを維持するため、量子計算機に対しても安全な暗号技術が求められます。
　一方、キャリア通信等を下支えする光トランスポートネットワークは、様々な機密情報、機微情報、知的財産情報を安全に伝送するため、暗号技術の標準化や実用化が進められています。しかし量子計算機に対するセキュリティはまだ考慮されていません。
　このような状況を踏まえ、NTTでは、量子計算機に対しても安全な光トランスポートネットワークの実現をめざし、IOWNセキュア光トランスポートネットワーク技術の研究開発に着手しました。

2．研究課題とNTTの取り組み

（1）次世代の高安全な暗号技術

現在、暗号技術はWebサービスやVPN（Virtual Private Network）における通信路の秘匿や通信相手の認証等に広く利用されています。二者間でセキュアな通信を行うためには、例えば図1のような流れになります。先ず通信主体A,Bは、電子署名の秘密鍵・公開鍵ペアを生成して認証局から公開鍵証明書を発行してもらいます（①）。次に電子署名の秘密鍵および公開鍵証明書を用いて相互認証を行ったうえで（②）、暗号化/復号のための秘密鍵を安全に共有する鍵交換を実行します（③）。最後に送信側は秘密鍵を用いてデータを暗号化して伝送し、受信側は同じ秘密鍵を用いて暗号化データを復号します（④）。このうち、①～③ではRSA暗号／署名や楕円曲線暗号／署名等が用いられています。
　①～③における量子計算機の脅威に対抗するため、米国国立標準技術研究所（NIST）では、耐量子計算機暗号（PQC: Post-Quantum Cryptography）と呼ばれる暗号技術を標準化するためのコンペティションを2016年から行っています。NISTが対象とするPQCは、量子計算機でも解読を困難とするための鍵交換技術・公開鍵暗号技術、および改ざん・なりすましを困難とするための電子署名技術です。現在ファイナルラウンドに進んでいる鍵交換・公開鍵暗号方式NTRU（※3）の提案者としてNTTは参画しています。

一方、量子力学の原理に基づく情報理論的安全性を有する量子鍵配送（Quantum Key Distribution、以下QKD）技術の研究開発および実用化も進んでいます。QKDは図1の③に利用することができ、PQCと異なり危殆化するリスクが無いため、非常に長期にわたり秘匿すべき情報の保護等への応用が期待されています。QKDを用いたセキュアな通信の実現に向け、NTTは東芝デジタルソリューションズ株式会社（本社：神奈川県川崎市、取締役社長：島田太郎）と共同で試作システムを開発し、QKDを用いた8K非圧縮映像伝送の実証に成功しました（写真は本実証に用いたQKD装置）。今回開発した試作システムでは、鍵交換としてQKDまたはPQCが選択可能です（QKDやPQC等による鍵交換を総称してxKDと呼ぶことにします）。また図1の④の処理は、共通鍵暗号の標準技術であるAESを用いています。

（2）暗号機能の分離

図1のセキュア通信では通常、①～④の処理を行う通信主体A,Bは同一装置で実行されることが想定されます。しかしQKDは特殊な専用装置が必要となり、同一装置での実行が困難な場合があります。また従来、光トランスポートを担う伝送装置は、ソフト機能、ハード機能を含めたあらゆる機能が単独製造者による一体型で提供されていたため、外部装置と連携した暗号機能の追加は困難でした。これに対し、昨今、伝送装置の各種機能を分離し、標準化されたインタフェースで制御することで、柔軟な構成変更、付加機能の実現、コストの低減等が可能になるディスアグリゲーション構成技術が注目されています。また、このような構成で提供される伝送装置を、ホワイトボックススイッチ（WBS）またはホワイトボックストランスポンダと呼びます。NTTでは、WBSのハードウェア機能群における光伝送データの暗号化機能に対し、xKD装置から秘密鍵を取得し、設定・利用する鍵交換クライアント機能を新たにソフトウェア実装しました（図2）。さらに追加実装したSDI信号（映像信号）の直収機能を用い、40Gbpsを超える8K60Pの非圧縮映像を、超低遅延でセキュアに伝送できることを実証しました。

（3）暗号機能の分離により生じるセキュリティリスクの対策

伝送装置から暗号機能、特にxKD機能を分離して別装置とする場合、図3のような複雑なネットワーク構成が考えられます。図1の流れと大きく異なるのは④の鍵配送の追加です。ゼロトラストネットワーク（※4）の考え方が注目されている近年では、④における盗聴のリスクを考慮し、④をセキュア通信とすることが望まれます。しかしそれだけでは図3の系全体のセキュリティは満たされないことが分かりました。NTTではこのような課題に対し、図3の系全体のセキュリティを満たすための対策技術を新たに考案しました（※5）。

3. 技術ポイント

今回のIOWNセキュア光トランスポートネットワーク開発の技術ポイントは以下の3点です。

（1） xKD装置のオープン化

量子計算機による脅威に対抗する鍵交換方式として、QKDや、NISTで標準化が進められているPQCがあり、今後も改善・多様化されていくと考えられます。その対応として、伝送装置のディスアグリゲーション構成を実現したことでxKD装置のオープン化が可能となり、切り替えが容易となります。

（2）系全体のセキュリティの確保

図1のようなネットワーク構成では、SSL/TLSやIPsec等、実用化されている安全な暗号通信プロトコルが広く知られていますが、図3のような複雑なネットワーク構成における安全な暗号通信プロトコルはまだ研究が進んでいませんでした。今回の提案により、xKD装置のオープン化を安全に実現する暗号通信プロトコルの開発が可能となります。

（3） NTTが提案するPQC技術の採用

現在NISTで標準技術の選考中ですが、IOWNセキュア光トランスポートネットワークにはNTT技術を採用した鍵交換・公開鍵暗号方式NTRUが用いられています。また電子署名についても、難関国際会議に採択されたModFalcon（※6）等の独自方式を実装しています。

4．今後の展開

今後は、IOWNセキュア光トランスポートネットワークの社会実装を行うとともに、暗号技術が用いられるIOWNの主要技術であるディスアグリゲーティッドコンピューティングやセキュアデータ活用基盤、および6G等の将来無線技術においても長期にわたりセキュリティを維持する技術の研究開発を進めていきます。

^※1暗号化は「公開鍵」を用いて誰でもできるが、復号は「秘密鍵」を所持する者しかできない非対称の暗号方式。応用として、「共通鍵暗号」に用いる秘密鍵を安全に共有する「鍵交換技術」や、本人認証等に用いられる「電子署名技術」が知られる。

^※2NTT R&Dフォーラム2021のホームページ：https://www.rd.ntt/forum/ 当該ページを別ウィンドウで開きます

^※3NIST Post-Quantum Cryptography - Round 3 Submissions
https://csrc.nist.gov/Projects/post-quantum-cryptography/round-3-submissions 当該ページを別ウィンドウで開きます

^※4組織内ネットワークも信頼できないものとして対策を講じたもの。

^※5前田, 奥田, 中林: 「セキュア光トランスポートNWの実現に向けたアーキテクチャ設計および形式検証による安全性評価」, 第95回コンピュータセキュリティ・第45回セキュリティ心理学とトラスト・第94回電子化知的財産・社会基盤合同研究発表会, 情報処理学会, 2021年11月8～9日.

^※6C. Chuengsatiansup, T. Prest, D. Stehle, A. Wallet, and K. Xagawa, "ModFalcon: Compact signatures based on module-NTRU lattices," Proceedings of ACM AsiaCCS 2020, pp.853-866 (2020).