情報処理安全確保支援士 2025年秋期午前2 問09

問題文

情報理論的安全性に基づく暗号技術はどれか。

選択肢

ア：DH鍵共有

イ：RSA暗号

ウ：楕円曲線暗号

エ：ワンタイムパッド（正解）

情報理論的安全性に基づく暗号技術はどれか。【午前2 解説】

要点まとめ

結論: 真の情報理論的安全性（完全秘匿）を満たす暗号はワンタイムパッドのみであり、本問の正答はエです（鍵が真の乱数で平文長以上、かつ一度きりの使用が条件）。
根拠: シャノンの完全秘匿性は $P (M ∣ C) = P (M)$ （暗号文を見ても平文の確率分布が変わらない）を要求し、これを満たすのはワンタイムパッドだけです。
差がつくポイント: DH／RSA／楕円曲線は計算困難性に基づく「計算上の安全性」であり、鍵管理や長さ要件が満たせない場合は情報理論的安全性とはならない点を押さえてください。

正解の理由

ワンタイムパッド（OTP）は、平文と同じ長さの完全にランダムな鍵を用い、鍵と平文をビットごとにXOR（あるいは文字単位で加算）して暗号化します。鍵が真にランダムかつ一度限りで、かつ鍵の長さが平文の長さ以上であれば、暗号文から平文に関する情報は一切得られません（シャノンの定義どおり

P (M ∣ C) = P (M)

）。この性質が「情報理論的安全性」つまり計算資源に依存しない完全な安全性を保証するため、ワンタイムパッドが正解になります。

よくある誤解（2〜3 行）

ワンタイムパッドは「鍵長が長いだけで十分」と考えるのは誤りで、鍵は真にランダムで使い捨てでなければならない点が重要です。ストリーム暗号は見た目が似ていますが、擬似乱数に依存するため情報理論的安全性はありません。

解法ステップ（番号付きリスト）

「情報理論的安全性（情報理論的に安全）」の定義を思い出す：シャノンの完全秘匿性 $P (M ∣ C) = P (M)$ を確認する。
各選択肢の暗号方式がどの原理に基づくかを整理する（例：RSAは素因数分解の困難性）。
それぞれが情報理論的安全性を満たすか判断する（計算困難性ベースは不可）。
条件（鍵の長さ、乱数性、一度きりの使用）を満たす方式を選ぶ。
条件を満たすのはワンタイムパッドのみなので正解を確定する。

選択肢別の誤答解説

ア: DH鍵共有
Diffie–Hellman は安全な鍵共有プロトコルであり離散対数問題の計算困難性に依存します。情報理論的安全性ではなく計算上の安全性です。
イ: RSA暗号
RSA は公開鍵暗号で素因数分解の困難性に基づくため、量子コンピュータや強力なアルゴリズムで破られる可能性があり、情報理論的安全性ではありません。
ウ: 楕円曲線暗号
楕円曲線暗号（ECC）も楕円曲線離散対数問題の計算困難性に依存するため、情報理論的安全性を満たしません。
エ: ワンタイムパッド
ワンタイムパッドは鍵が真の乱数で平文長以上かつ一度のみ使用される場合にシャノンの完全秘匿性を満たし、情報理論的安全性を実現します。したがって正解です。

補足コラム（関連知識など）

完全秘匿性の数学的表現： $P (M ∣ C) = P (M)$ または条件付きエントロピーで $H (M ∣ C) = H (M)$ 。
実用上の問題点：鍵長が平文長以上で、鍵を安全に配布・保管し使い捨てる必要があるため大規模実用は困難です。
鍵の再利用（"two-time pad"）は致命的で、同一鍵で暗号化した2つの暗号文のXORは平文同士のXORを与え、情報が漏えいします。例：

# 再利用した鍵の危険性（例示）
m1 = bytes([ord(c) for c in "HELLO     "])
m2 = bytes([ord(c) for c in "SECRET    "])
key = bytes([0x1f]*10)  # 擬似例（実際は真の乱数であるべき）
c1 = bytes(a ^ b for a,b in zip(m1, key))
c2 = bytes(a ^ b for a,b in zip(m2, key))
# c1 ^ c2 == m1 ^ m2 により情報が漏れる
xor_m = bytes(a ^ b for a,b in zip(c1, c2))
print(xor_m)  # m1 と m2 のXORが得られる

現代では一部の極秘通信や研究でOTPに類する手法や量子鍵配送（QKD）と組み合わせて利用されることがありますが、運用コストが高い点に注意が必要です。

FAQ（Q:/A: を 2〜3 組）

Q: ワンタイムパッドは完全に安全なら、常に使えばよいですか？
A: 理論的には安全ですが、鍵配布と管理（真の乱数の生成・配布・安全保持・使い捨て）が極めて困難で、通常の運用には向きません。

Q: ストリーム暗号はワンタイムパッドと同じですか？
A: 見た目は似ていますが、ストリーム暗号は擬似乱数生成器（PRNG）に依存するため情報理論的安全性はなく、計算上の安全性に依存します。

Q: 量子鍵配送（QKD）があればワンタイムパッドが実用化できますか？
A: QKDは安全な鍵配布を支援しますが、設置コストや距離制限、認証の問題など実運用上の課題が残ります。完全な実用化には限界があります。

関連キーワード: 情報理論的安全性、完全秘匿、ワンタイムパッド、シャノン、two-time pad, ストリーム暗号、公開鍵暗号、計算困難性、鍵配布、量子鍵配送

← 前の問題へ次の問題へ →

\ せっかくなら /

情報処理安全確保支援士を
クイズ形式で学習しませんか？

クイズ画面へ遷移する→

すぐに利用可能！