10章や13章などで述べた通り、原理通りの量子暗号を得るために、質の良い単一光子を生成させる研究が進んでいます。

そうはいっても、完璧な単一光子というものは得られません。

複数光子が発生する確率、あるいは光子が発生しない確率を減少させることはできても、ゼロにはできないのです。

当然ですが、レーザで光子を発生させる場合、レーザを強くすれば発生する光子の数は多くなりやすくなり、弱くすれば少なく（ゼロを含む）なりやすくなります。

いずれにせよ、盗聴者に漏洩する情報が発生してしまうのです。

科学技術振興機構と日本電気は２００７年１月１７日、光子の単一性が保証されない場合でも、盗聴者に漏洩する情報量を確率的に推定できる理論を構築したと発表しました。

この理論により、盗聴者が得る情報量の上限値を設定し、それ以下で収まるよう、レーザの出力を変えながら複数回送り、必要に応じて情報量の一部を捨てるアルゴリズムを開発しました。

これにより、２０ｋｍの光ファイバー伝送後、漏洩した情報量の上限が１ビットあたり１２８分の１であることが保証された最終鍵を、毎秒２０００ビットで生成することができたということです。

最後に、どこか哲学的ないしＳＦ的な話ではあるのですが、量子力学や量子暗号に関連した面白いトピックスである量子テレポーテーションについて触れましょう。

その前提となる現象が、エンタングルメント（量子もつれとも）というものです。

これはまず、量子力学の多解釈性（物理量は複数の値を確率的にとることができ、観測されるまではそれらの重ね合わせとして世界を解釈すべきである、ということ）が前提となります。

その上で、例えば同じ原因によって発生した２つの量子を考えると、両者の間にはエンタングルメントという絡み合いが発生し、どちらかが観測されるまでは、お互いに同じような、あるいは正反対の物理量として振舞うということです。

片方が観測されて値が確定する（それにより不確定性原理関係にある他の量はご破算となる）と、もう片方もその瞬間に確定する、という解釈です。

その関係は粒子間の距離に依存しないので、量子計算、量子テレポーテーション、量子暗号などへの応用が期待されています。

両者は離れているのだから、それでは情報が光速を超えて伝わることになり矛盾じゃないか！という主張もありました。

いや、主張もあったなどと書くのは失礼かもしれません。

何しろそう主張したのは相対性理論を生み出したご本人、アインシュタイン御大なのですから。

しかしボーアらの反論により、これも矛盾ではないという見方が一般的になっています。

このエンタングルメントという関係を使って量子的な情報を送るのが、量子テレポーテーションです。

量子Ａと量子Ｂの間にある種のエンタングルメントがあり、また量子Ｂと量子Ｃの間にも同種のエンタングルメントがあるとしましょう。

すると、そのエンタングルメントが正のものであっても負のものであっても、ＡとＣは同じ物理量を持つことになります。

つまり、Ｂを仲介に、Ａを観測するとその情報はいわば瞬時に、空間的に離れたＣに送られるわけです。

総合研究大学院大学と科学技術振興事業団は共同で、完全なエンタングルメントを抽出する光回路を提案する（２００１年）とともに、雑音に埋もれてしまったエンタングルメントを復元する実験に成功しました（２００３年）。

またどこまできちんとしたものかはわかりませんが、１兆個程度のセシウム原子の集合間にエンタングルメントを発生させたという話もあります。

一方の集合にレーザーを当ててスピンを変化させると、当てていないもう片方の集合のスピンも同じだけ変化したというのです。

ある孤島で何匹ものサルがある行為をすると、別の孤島でもサルが同じようなことを始める。

そんな「１００匹目のサル」の話を連想させますが、この話自体でっちあげという説もあります。

ただ、ある種の物理量の絡み合いという理論自体は量子力学の基本であり、本当にそれが応用できれば、何やらスゴイことにつながりそうです。

２００４年９月、東北大学電気通信研究所の枝松圭一教授らは、こういったエンタングルメント関係にある２つの光子を、半導体に紫外線レーザーを当てることで生成させました。

将来はレーザーは使わず、半導体に電流を流すだけで生成できる可能性もあるということです。

２００５年６月、東京大学の古澤明助教授は、エンタングルメント状態にある光子を２組（４個）作成し、そのうちの１個の状態を別の組の光子に再現させることに成功しました。

科学技術振興機構（ＪＳＴ）とＮＴＴは２００６年３月３０日、超伝導量子ビットと呼ばれる電気回路の電流状態と、単一光子との間で、量子もつれ状態を制御することに成功したと発表しました。

量子もつれを示す真空ラビ振動と呼ばれる現象を観測したのです。

超伝導量子ビットは超伝導体を用いて作製された量子二準位系で、マイクロアンペア程度の電流を持ついわばマクロな現象です。

それだけ操作性にすぐれ、また原子に比べて光との相互作用が３桁以上強い系であることが示されました。

量子ビットの状態をコヒーレンスを保ったままＬＣ回路の光子の状態へ移すことができるようになり、量子コンピュータの実現が近づいたといえそうです。

２００６年１０月には、デンマークのコペンハーゲン大学などが、光と原子の間で量子テレポーテーションを実現させたと、ネイチャー誌で発表がありました。

原子は情報の記録、光は情報の通信の、それぞれ基礎になりますから、この２つの間で量子テレポーテーションが起きたというのは、まさにコンピュータ機能の基礎になるものなのです。

独立行政法人科学技術振興機構は２００２年１２月（当時は科学技術振興事業団）、ＮＴＴ（当時）と共同で単一光子光源を用いた量子暗号の伝送実験に世界で初めて成功したと発表しました。

半導体レーザなどの光パルスにより発生する光子数は、通常ポアソン分布という確率分布に従います。

これは、比較的稀に起きる事象が、試行回数を十分に増やした時にどのくらい起こりうるか、ということを表わす分布です。

この場合、光子の数は期待値としてはわかるのですが、現実の数としてはそれより多いかもしれないし、逆に少ない（ゼロを含む）かもしれないということで、どちらの場合も量子暗号には歓迎できないことです。

これを解決するために、厚さ4nm、直径20nmのインジウム・ヒ素からなる量子ドットを作り、これをガリウム・ヒ素半導体とアルミニウム・ヒ素半導体からなる３次元の光マイクロキャビティに閉じ込めます。

量子ドットにパルス光を当て、複数の電子～ホール対を光励起で注入すると、両者は結合して次々と光子を放出します。

その最後の１個は一定の波長を持つことが知られているので、それを光波長フィルターで選択的に取り出すという仕組みです。

本来この光子はランダムな方向を持つのですが、光マイクロキャビティにより方向は一意に定められるということです。

単一光子光源の効率を１０％に、また２個以上の光子がパルスに存在する確率を通常の半導体レーザの１／１００に減少することにすでに成功しており、人工衛星を介した超長距離の衛星通信量子暗号システムへの応用が期待されています。

２００７年１月には、科学技術振興機構の戦略的創造研究推進事業「量子情報処理システムの実現を目指した新技術の創出」領域の一環として、北海道大学も、質の良い単一光子源を生成に成功したと発表しました。

こちらは同時に２個以上の光子が発生する確率が１万分の１以下です。

三菱電機はこの光子源を用い、ＢＢ８４という量子暗号プロトコルに基づいて８０ｋｍの距離を安全に通信できることを確認したと発表しました。

ＮＥＣと通信・放送機構は、１５０kmの単一光子伝送に成功しました。

これは２００４年３月現在、世界最長となります。

システムは、送信側が光源と符号器、受信側が復号器と光子受信器とで構成されます。

ＮＥＣが独自開発したシリコン基板上に、符号器と復号器を全固体で実現することで、光子を往復でなく片道で送るようにしました。

これにより光散乱戻り光による雑音の影響はほぼ排除されます。

さらに光ファイバー中の波長分散（光ファイバーの屈折率が波長により多少異なるために生じる、信号の到達時間のずれ）もほぼキャンセルされています。

また科学技術振興機構との共同開発で受信器を世界最高レベルまで高感度にしています。

１５０kmというのは関東一円をほぼカバーする範囲であり、この方式による伝送の実用化に貢献しそうです。

またＮＥＣは２００４年９月、１００Kbpsで４０kmの量子暗号伝送も実現しています。

この組み合わせも世界初ということです。

物理法則を利用して盗聴を確実に防げる可能性のある量子暗号ですが、その大きなネックの一つは、通信速度が遅いことです。

２章で述べたように、やりとりするのはデータ自体ではなく暗号鍵なので、それでも構わない面もあるのですが、やはりより高い安全性を狙うには、鍵自体をある程度長くする必要があり、またそれを頻繁に（できれば毎回）やりとりする必要もあるので、高速であるに越したことはないのです。

産業技術総合研究所（独立行政法人）光技術研究部門は２００４年５月12日、一般的な通信波長である1.55μｍに対する世界最速の光子検出装置を開発したと発表しました。

通信距離は10.5kmと短めではありますが、毎秒45ｋビットという鍵生成率を得ています。

従来の光子検出装置では、ガイガーモードと呼ばれるなだれ電流増幅を利用した光子検出法が用いられていました。

これはアバランシェフォトダイオードという内部電流増幅機構が備わった光電素子を用い、光子がひきがねとなって生じるいわば電子の山の崩れを検出するものです。

この場合、アフターパルスと呼ばれる雑音が繰り返し生じるので、１ＭHzを超えるような繰り返し動作が困難となっていました。

今回の新しい検出法が、なだれ電流増幅以外のどういうメカニズムによるものなのかは、残念ながらプレスリリースでは示されていません。

産業技術総合研究所では通信距離を100km程度に延長し、10ＭHz以上で動作する光子検出装置を開発することを狙っています。

２００４年７月15日に発表されて大きなインパクトをもたらしたニュースがあります。

東京大学先端科学技術研究センター・生産技術研究所ナノエレクトロニクス連携研究センターの荒川泰彦教授のグループと富士通研究所ナノテクノロジー研究センターとが共同で、通信波長帯の単一光子を安定的に発生させたというものです。

従来のレーザー光源を利用した方法だと、複数光子の発生を防ぐために出力を抑える必要があり、そのため光子の無発生（空撃ち）の頻発が避けられず、高い効率が得られませんでした。

今回の技術はそれに対し、長距離量子暗号通信の速度を、４００倍以上に高速化できる可能性があるということです。

元になる量子ドットは、自己組織化的に作成した、高さ２～３nm、直径20nmほどのものです。

そこにレーザーで励起させた電子と正孔とをほぼ確実に１つずつ落とし込み、両者を再結合させることで、単一光子を得ます。

ごく稀には２つの光子が発生することもありますが、最初の１つは波長がやや異なるので、フィルタで取り除くことができます。

あわせて光ファイバーを通過した光を２手に分け、両者の光の受信のタイミングを正確に測定できる単一光子受信システムを設計・開発しました。

これにより、複数光子の発生は、ほぼ確実に抑えられることが確認できました。

なお、２００４年７月に検証した単一光子の波長は1.3μｍですが、この値は量子ドットのサイズや材料により調整することができます。

伝送損失が小さくより一般的な通信波長である1.55μｍでの伝送にも成功したと２００５年５月に発表されました。

今後は、レーザでなくＰＮ接合に電流を流して光子を発生させること、またその部分の温度を現在の10Ｋ（絶対温度）より高められること、などの課題に取り組み、２００７年頃に実用化させたい、ということです。

数学的側面に注目したモデル化を離れ、再び物理的な話に戻ります。

個々の光子に対し、共に確定させることのできない２つの物理量がある、ということが、これまでに述べた量子暗号の仕組みの本質でした。

通常の光通信のように、複数の光子を使ってはこうはいかないのです。

あくまで１つの光子を使うことが重要なのです。

こういった単一光子の発生の鍵となるのが量子ドットです。

これは人工原子と表現されることもありますが、単純化して言えば半導体の中に入れた一辺が10nm程度の３次元的な箱のようなイメージです。

一辺が10nm程度というのは、それによって一つ一つの電子同士の斥力が非常に大きな意味を持ってくる程度のサイズです。

電子は一般に、トンネル効果により絶縁体を通り抜ける性質を持つのですが、10nmをある程度下回るサイズの中に、複数の電子を入れるためのエネルギーは、きわめて大きくなります。

そこまでいかなくても、サイズとエネルギーをコントロールすることにより、電子の振る舞いをかなりの程度まで規定することが可能となるのです。

量子ドットの作成には、大きく分けて、波長の短い電子線の微細加工技術を使うものと、結晶成長機構を利用して自己形成させるものとがあり、より微細なものを実現するために後者が特に注目されています。

実際にやりとりされるデータは、１ビットのみということはありえません。

２章で述べたように量子暗号でやりとりされるものは、暗号化されるべき中味そのものではなく共通鍵情報なので、映像情報のような膨大なものではありませんが、やはりそれなりのビット数は持っています。

ビット数が少なすぎるのであれば、ダミーで加えてしまっても構いません。

７章で述べたように、十分に大きなビット数に対して一致率を調べることにより、盗聴があったかどうかはほぼ確実にわかります。

ただ、一致率を調べるためには、アリスが持っている情報とボブが持っている情報とを照らし合わせる必要があります。

送るべき情報のすべてを使って照らし合わせたとすると、今度は照らし合わせのための情報のやりとりを盗聴される危険が生じるので、意味がありません。

ただ、全体情報のごく一部（それでも十分に多いレベル）であれば、それを一般の回線でやりとりしながら一致率を調べても、特に問題はないわけです。

あるいは原理的には同じことですが、アリスが事後的に、各ビットに対して白い箱を選んだのか黒い箱を選んだのかをボブに教えることもできます。

ボブはそのアリスの選択と自分の白黒の選択とを比較し、選択結果が一致しているビットの位置とその時の受信信号とをアリスに返します。

その部分については、盗聴がない限り送信信号と受信信号とは一致するはずですから、やはり多数のビットを調べることにより、盗聴の有無をほぼ確実に判定できます。

５章と６章の結果から、送信情報と受信情報が一致する確率は、盗聴がない場合に0.75であり、盗聴がある場合は0.625であることがわかりました。

それでは、両者を見比べて結果的にビットが一致していた時に、これは盗聴があったと判断すべきでしょうか、なかったと判断すべきでしょうか。

それはもちろんわかりません。

どちらもありえることです。

結果的にビットが一致していない場合も、同じことです。

では、同じ条件（盗聴がないかあるか）で８回送ったとしましょう。

その中で６回は送信情報と受信情報が一致し、２回は一致しなかったとします。

８回のうち６回合ったのですから、一致的は0.75です。

５章のＰと見事一致します。

じゃあ盗聴はなかったんだ。

そう結論づけてしまっていいでしょうか。

答えはノーです。

あくまで確率ですから、盗聴があったとしても、実際に一致するのは、確率通り８回のうちの５回とは限りません。

たまたま６回一致したり４回しか一致しない場合も当然ありえます。

硬貨を４回投げて、表が出た回数が２回でなく３回だったとしても、特に不思議がる必要はありませんね。

それと同じことです。

それでは80回送ったとしましょう。

その中で58回一致したとします。

一致率は0.725で、0.75よりは多少低いのですが、0.625よりはずっと大きい値です。

この場合、８回送って６回一致した場合と比べて、盗聴がなかったとみなすのはある程度合理的なのです。

硬貨を400回投げて300回近く表だったら、さすがに何かおかしいかな、と考えますね。

それと基本的には同じことです。

実は確率論の世界には中心極限定理というものがあります。

一回ごとに独立で生起確率がわかっているある事象に対し、その試行回数を増やすと、観測される生起率は、その生起確率からほとんどはずれなくなっていくのです。

つまり、何百回もやって一致率が0.75に近ければ、それは元々の確率が0.75だった、つまり盗聴はなかったと、まず間違いなく結論付けられるのです。

そしてその「間違い」の確率は、試行回数が増えるに従って、限りなくゼロに近づいていくのです。

さて、いよいよイヴ（盗聴者）の登場です。

イヴも、アリスが情報をどちらの箱に入れたかは知りません。

イヴにできることは、どちらかの箱をランダムに開け、その内容を盗み見するとともに、それを何くわぬ顔でボブに送るだけです。

ただし、盗み見すると同時に、もう一方の箱の情報はご破算（等確率でランダム）になるんでしたね。

この時、送信情報と受信情報が一致する確率Ｑはどうなるでしょう。

イヴが選んだ箱が、アリスが最初に選んだ箱と異なっていた場合（異なる確率は0.5）には、アリスの送信情報はご破算（等確率でランダム）になりますから、その場合は送信情報と受信情報は、確率0.5でたまたま一致するだけです。

次に、イヴが選んだ箱が、アリスが選んだのと一致したとしましょう（その確率も0.5）。

その場合、もう一方の箱の情報はご破算になりますが、どのみちこれはランダムなものでしたから、関係ありません。

それがボブに届くわけですが、これは５章の場合と同じことになりますから、一致する確率は0.75です。

結局Ｑは、0.5×0.5 ＋ 0.5×0.75で0.625となります。

同時に知ることのできない２つの物理量を用いて、いかに盗聴されたことを知るか。

その数学的なモデルをここでは示します。

わかりやすさ優先のため、ある程度単純化してしまっていることをご了承ください。

アリスという人がボブという人に情報を送ることを考えます。

通信の仕組みを説明する場合や危険度などを評価する場合、約束ごとのように、この名前が使われます。

ちなみに盗聴者の名前はイヴです。

１ビットの情報を送るのに、白黒２つの箱が同時に送られると考えて下さい。

この２つの箱は、同時に知ることのできない２つの物理量に相当します。

アリスは、送信すべき情報（０か１）を紙に書き、確率半々でどちらかの箱を選び、そこに入れて送ります。

この時、もう一方の箱には、０か１が等確率でランダムに書かれた紙が自動的に入れられます。

ボブは２つの箱を受け取ります。

アリスが情報を書いた紙がどちらにあるのかはわかりません。

仕方がないので、確率半々でランダムに開け、その結果を受信情報とします。

２つの箱の中身を共に知ることはできないので、片方の箱を開けたとたんに、他方の情報は失われます（改めて０か１が等確率でランダムに割り当てられる）。

この時、アリスが書いた送信情報とボブが得た受信情報とが、一致する確率Ｐはどうなるでしょう。

アリスが選んだ箱とボブが選んだ箱が一致する確率は、当然0.5です。

この時には、送信情報と受信情報は一致します。

アリスが選んだ箱とボブが選んだ箱が一致しなかった場合（一致しない確率も0.5）、書かれた情報はランダムですから、それと送信情報が一致する確率も0.5です。

つまり、Ｐは、0.5×１ ＋ 0.5×0.5で0.75となります。

前章でのべたように、不確定性原理といえば、まずは粒子の位置と運動量の関係が有名なのですが、必ずしもそれだけとは限りません。

例えば光です。

光は波動であるとともに粒子でもある。

これも量子力学では有名な原理ですが、粒子としての光の基本単位であるそれぞれの光子に対し、例えば直線偏光と円偏光とを同時に確定させることはできません。

直線偏光というのは、進行方向に対しどんな横波成分を持っているかという量です。

また円偏光というのは、その横波成分が時間的にどう回っていくかということです。

また、直線偏光だけをとっても、それを水平方向（０度）か垂直（９０度）方向かだけで測定してしまうと、そうではない例えば４５度か１３５度か、といった情報はご破算になってしまいます。

これも一種の不確定性原理です。

ただし量子暗号の基本的な仕組みを理解するためには、直線偏光や円偏光の物理的な意味はそれほど重要ではありません。

とりあえず下記のことだけを、心にとどめておいてください。

「ある光子に対し、同時に知ることのできない２つの物理量がある。

一方を知るためには、もう一方の量はどう変化するかまったく予測できなくなる」。

量子力学の基本原理である、ハイゼンベルグの不確定性原理。

これは通常、「きわめて小さな粒子の位置と運動量を、同時に厳密に計ることはできない」などと表現されます。

実際には小さくなくてもよいのですが、どんな粒子に対しても、その位置の測定精度と運動量の測定精度の積は、プランク定数という、10のマイナス34乗程度（単位はジュール・秒）より小さくはできないのです。

従って例えば位置を10のマイナス50乗程度の誤差で知ろうと思うと、運動量は10の16乗程度という大きな誤差の範囲でしか知ることはできないのです。

大雑把にこれを説明すると以下のようになります。

不確定性が生じる根本の原因は、粒子が波動性と粒子性を持つことです。

その波動としての周波数と、粒子としての位置が、ともに確定させられないのがスタートです。

純粋な定常的波動（図の左）であれば、周波数は完全に決まります。

しかしこの定常的波動というのは、場所がどこなのかといわれても困ってしまいますね。

ずっと広がっている、としか言いようがないのです。

一方純粋な粒子というのは、図の右のように、パルスになってしまったようなものです。

これは純粋な定常的波動とは逆に、位置は確定しますが、周波数はあらゆる成分が含まれまったく確定しません。

波動性と粒子性を持つというのは、いわば図の真ん中のように、無限に長くもなく完全な一点でもなく、ある程度の長さの中に全部で数波長分程度の波が収まったようなものです。

周波数より単位長さ当たりの波の数（波数）ｋ（周波数÷波の進行速度）の方が考えやすいので以下はそれを使って説明します。

全体の長さ（位置の誤差すなわちΔｘ）が無限に長くなるとｋの誤差はゼロになりますが、Δｘがゼロになるとｋの誤差は無限大になります。

つまり実際にはｋ自身というよりｋとΔｘの積に意味があるわけで、これは実は有限の長さの中の波の数（波長単位）です。

同じように、ｋの誤差Δｋというのは、無限に大きくも小さくもなるのですが、ΔｋとΔｘの積というのは、いわば有限の長さの中の波の数（波長単位）の誤差であり、これは端っこの方の一つか二つ程度と考えられます。

つまりΔｋとΔｘの積が１のオーダーの大きさ（２も含まれる）ということです。

これを「ΔｋΔｘ～１」と書くことにします。

通常は「～」ではなく、「～」を縦に２つ重ねた記号を使いますが、ご了解ください。

ド・ブロイの関係式から、物質波の運動量ｐはプランク定数を波長で割ったものです。

ｋは波長の逆数ですから、結局ΔｐΔｘ～プランク定数ということになります。

プランク定数の比較的正確な値は、6.626*10**(-34)ジュール・秒です（**は累乗）。

それでは暗号の共通鍵を送るのに、第三者の盗聴を防ぐにはどうしたらいいでしょう。

一つには第三者が物理的にアクセスできないメディアを使って鍵をやりとりすることが考えられます。

ただしインターネットを使うことを前提に考えると、これは不可能です。

二つ目として、盗聴されてもその意味（正しい共通鍵情報）がわからなければよい、という考え方があります。

しかしこれはまさに暗号の機能そのものです。

その暗号のために必要な共通鍵情報のやりとりを考えているのですから、これも結局は意味がありません。

そこで第三の方法の登場です。

今回、送るのは暗号の共通鍵ですから、実はそれを盗聴されてもそれだけでは損失は出ません。

盗聴された共通鍵をそうとは知らず使い続け、実際の秘密の情報をやりとりしてしまったところで始めて被害となるのです。

逆にいえば、盗聴されたことがわかった時点でその事実を送り手と受け手が知り、それ以降はその盗聴された共通鍵を使わなければよいわけです。

これが量子暗号の基本的な考え方です。

情報を隠すことに血道を注ぐのではなく、盗聴されたことを確実に知るのです。

そして盗聴されたことを知ったら後は絶対にそれを使わずに、改めて別の共通鍵を送るのです。

盗聴されずに届いたことが確認できた時点で、始めてそれを使い始めるのです。

戦争をするにもビジネスをするにも、欠かせないのが必要なレベルで情報の秘匿性を保つことです。

しかしそうはいっても、味方同士、あるいはビジネス遂行主と顧客との間などでは情報をやりとりしなければなりません。

その場合、情報を盗み見される危険も当然ついて回るわけです。

その危険への対処手段として、暗号というものが使われるようになりました。

暗号の基本は、送り手が、通信すべき内容を何らかの規則に従って一見わからない形に変換して送り、受け取った読み手がそれを復元するというものです。

問題はその規則です。

その規則が確実に送り手と受け手の間で共有でき、しかもそれが第三者の手に落ちないという保証があるのなら、暗号は比較的容易に実現できます。

その規則通りに変換～復元すればよいのです。

もちろん規則を知らなくても容易に推定できてしまうようなやり方ではダメですが。

ところが、例えばインターネットで情報を送る場合、送り手と受け手の間で確実に暗号規則を排他的に共有するのは案外と面倒なのです。

何しろ電子通信以外の接触がないのですから。

といって、暗号規則をインターネットで送ったのでは、それ自体を盗聴される危険が生じてしまいます。

そんな中で出て来たのが、公開鍵暗号です。

変換規則は公開するが、そこから復元規則は事実上導き出せないという、非常に面白い方法です。

ただ、処理に比較的長い時間を要することがネックです。

さらに問題なのは、復元規則は本当に「事実上導き出せない」かということです。

今の計算機では確かに無理でも、その性能が飛躍的にアップしたり思わぬアルゴリズムが工夫されたりして、導き出せるようになってしまう可能性もゼロではないのです。

そんなわけで、公開鍵ではなく共通鍵、しかしその共通鍵が正当な送り手と受け手において確実に共有でき、しかも第三者には盗聴されない。

そんな方式が強く求められているのです。