量子コンピュータによって既存の暗号技術は意味をなさなくなるの? 専門家に質問してみた
意外と物騒な話で、「PCを箱に戻して押し入れに放り込むのがネットの脅威から逃れる唯一の方法」というコンピュータ・ネットワーキングのテスト問題を思い出しました。
1994年、アメリカの数学者であるPeter Shor氏は、主要な暗号方式を破壊する可能性を持つ量子アルゴリズムを開発しました。この「ショアのアルゴリズム」が量子ハードウェア上で実現されれば、巨大な整数を想像を絶する速さで因数分解してしまいます。暗号技術の専門家の間では、この量子コンピュータが既存の暗号を解読してしまう日を「Q-day(Qデイ)」、すなわち「量子暗号が終わる日」と呼んでいます。
背景を説明すると、RSA暗号などの暗号アルゴリズムは、基本的に私たちのデータを「かき混ぜる」ことで機密情報を保護しています。世界最高のスーパーコンピュータをもってしても解読できません。ところが、量子コンピュータは、従来のコンピュータを上回る性能を発揮する見込みです。
特に、暗号化アルゴリズムの安全性を支える素因数分解、離散対数、楕円曲線暗号といった数学的問題で優位性を発揮しそうなんです。
「量子暗号が終わる日」がくるという見通しそのものが、さまざまな関係者にそれがどんなものになるのか、そしてその日にどう備えるべきかを考えさせるきっかけになっています。
たとえば、2015年にはアメリカ標準技術局(NIST)がポスト量子暗号(PQC)の標準規格を開発するためのプログラムを開始しました。
はっきりさせておくと、既存の量子コンピュータのなかで、ショアのアルゴリズムを実行できると証明した例はありません。
しかし、Googleと、カリフォルニア工科大学のスピンオフ企業から、量子暗号に関する2件の「衝撃的な」独立した研究成果の発表がありました。
これらは査読前のプレプリントで、独立した検証や実証実験はまだこれからです。それでも、メッセージは明確です。量子暗号が終わる日は、私たちが考えているよりも早くやってくるかもしれない、と。
しかし、これが具体的に何を意味するのかをすぐに理解するのは困難です。そこで、専門家に質問してみました。
果たしてQデイはやってくるのでしょうか? もしやってくるのだとしたら、いつ、どのように? そして何よりも、私たちはQデイにどう備えるべきなのでしょうか?
今回のGiz Asksでは、量子コンピューティング分野の物理学者やエンジニア、数学者たちが、迫り来る量子暗号の終末について議論します。
Henry Yuen
コロンビア大学の理論計算機科学者
ショアのアルゴリズムを実行可能な量子コンピュータがいつ実用化されるかについて、高い確度で予測するのは困難です。
産業界、政府、金融機関、そして社会にとって重要なのは、「今後5年以内にショアのアルゴリズムが実用化されないと高い確度で言えるか?」という問いでしょう。もし言えないのであれば、量子攻撃からデジタルインフラを守るために、緊急かつ大規模な対策を講じる必要があります。これには、産業界、学術界、政府間の膨大かつ緊密な協力が不可欠です。
NISTは量子攻撃に対して安全と推定される代替暗号を推奨していますが、量子安全な暗号の問題が解決済みと見なすべきではありません。
もし「ショア 2.0」と呼べるような新たな優れた量子アルゴリズムが現れれば、また振り出しに戻る可能性があります。そのため、推奨されているPQC方式のストレステストに時間をかけ、代替となる暗号システムの開発にも取り組む必要があります。
Paul Davies
アリゾナ州立大学の理論物理学者。「量子情報技術に関する多くの明るい展望」について記した著書「Quantum 2.0」で知られる。
量子力学は、多くの一般的な暗号技術の基盤を揺るがします。しかし同時に、その解決策も内包しています。
「量子もつれ」を利用することで、A地点からB地点へ情報を完全な安全性を保って転送することが可能です。なぜなら、いかなる形で盗聴を試みても、必ず不可逆的かつ検出可能な形で送信データを破壊し、その事実が露呈してしまうからです。重要なのは、この避けられないデータの破壊は単なる技術的な障害ではなく、自然法則であるため、回避する手段が存在しないということです。
Qデイを回避するために、量子もつれのような高度な量子暗号技術を使う必要はありません。量子耐性を持つ暗号プロトコルは数多く存在しており、その代表例が使い捨てのキーを用いる暗号方式であるワンタイムパッドです。現在の方法ほど便利ではないかもしれませんが、実用上は十分に安全です。
しかし、ここまでのすべての考察で触れていないのが、既存および過去のデータの脆弱(ぜいじゃく)性です。悪意ある主体がデータを収集すれば、量子コンピュータの登場時に解読される時限爆弾となります。脅迫や恐喝、サイバー戦争に悪用されるのは火を見るより明らかです。
個人に対する助言としては、クラウドなどに保存されている過去のデータを可能な限り完全に消去し、すべての重要なデータを二度とインターネットに接続しない記憶媒体にコピーすることです。
Tim Palmer
オックスフォード大学の理論物理学者で、代替理論「合理的量子力学(RaQM)」を考案
RSA暗号を解読できる能力は、数千の(誤り訂正された)量子ビットを持つコンピュータにおいて、ショアのアルゴリズムによる量子的な優位性が維持されることを前提としています。これはひいては、量子力学そのものがこのような規模でも成立することを前提としています。私は、そうではないと考えています。
一般の人々は、量子力学を極めて不連続な理論(「量子跳躍」といったイメージ)と考えていますが、実際には、量子力学は古典物理学よりもはるかに数の連続性に依存していることが判明しています。
RaQM(合理的量子力学)は量子力学よりもはるかに単純な理論であり、重ね合わせや非局在性といった深遠な謎を含んでいません。これは、量子物理学から連続性を排除することで実現しています。その結果、RaQMは波動関数の情報量を明示的に可視化します。
特に、数百個以上の量子ビットがもつれあっている場合、量子波動関数にはヒルベルト空間(量子の状態を表す数学的空間)の各次元に1ビットの情報を割り当てるだけの情報量が存在しません。この状態になると、ショアのアルゴリズムが持つ量子的な優位性は飽和状態に達し、より多くの量子ビットをもつれあわせても改善できません。
私がGoogleの発表に興奮している理由は、量子力学が実験的に破綻する日を早める可能性があるからです。もしそうなれば、私はそれに代わるはるかに単純な理論を用意しています。それは、量子力学の謎が単純な数論によって説明されるという理論です。
Sophie Schmieg
Googleの上級暗号エンジニア
現在、情報の機密性と安全性を守るために使用されている暗号化は、今後数年のうちに大規模な量子コンピュータによって破られる可能性があります。いま必要な移行措置を講じることで、暗号化に対するこの量子コンピューティングの脅威を軽減することができます。
NISTとIETF(インターネット技術特別調査委員会)がPQCの標準規格を公表したことで、量子コンピュータが実用化される前に、私たちのコンピューティング・インフラを保護する手段が得られました。多くの広く利用されている暗号ライブラリは、ここ数年でこれらのアルゴリズムを実装してきましたが、暗号エンジニアが対処すべき課題は依然として残っています。
いま、私たちは、一般のソフトウェアエンジニアがこの移行作業に取り組めるよう支援する必要があります。ハードコード(ソースコード内に通常は書き込まないデータや設定値を直接書き込むこと)されたTLS暗号は、PQC対応の代替方式(X25519MLKEM768)に置き換える必要があります。
SSH(リモートコンピュータと通信するためのプロトコル)のバージョンを更新し、アクセストークンの署名設定もECDSAからMLDSAに変更するなど、さらなる対応が求められます。
政策立案者や規制当局は、システム、重要なインフラ、民間部門におけるPQC移行の緊急性を明確に伝えることで、この移行を支援できます。
また、PQC移行を円滑に行なうためのリソースや指針を提供することで、重要な役割を果たすこともできます。もちろん、研究者たちは、これらの方式が安全であることを確認し、より効率的な代替アルゴリズムを可能な限り見つけるために、引き続き研究を続ける必要があります。
Dustin Moody
NISTの数学者で、PQC開発に関するNISTの取り組みを統括
私は、量子コンピュータによる脅威を真剣に対処すべき重大な問題と捉えています。ただし、これは世界の終わりを意味するものではなく、世界が迅速に対応すれば対処可能な課題です。
NISTにおける私の役割のひとつは、量子コンピュータの攻撃から機密データを長期にわたって保護するために設計されたPQC標準の開発を管理することです。私たちは、世界中の暗号研究者の協力を得て、この標準をオープンなプロセスで開発してきました。そして、それらはいますぐに使用可能な状態にあります。しかし、標準規格の公表は始まりに過ぎず、真の課題はその広範な普及にあります。
最大の課題はタイミングです。世界のデジタルインフラを完全に移行するには、数年あるいは数十年かかる可能性があるため、脅威が完全に現実化するずっと前から準備を始める必要があります。現在の暗号方式を破ることができる量子コンピュータが開発されるまでにどれくらいの時間がかかるかは誰にもわからず、そのタイムラインは私たちが望むより短くなる可能性もあります。
新たな解決策への移行は複雑なものとなりますが、世界のデジタル社会における信頼を維持するために不可欠です。サービス提供者やソフトウェア開発者が新たな標準を製品に統合していくため、大半の人々にとって、こうした変化は主として舞台裏で進行することになります。
組織は、「暗号俊敏性(暗号システムを迅速に切り替えられる能力)」を優先し、まずは公開鍵暗号がどこでどのように使用されているかについて、包括的な調査から始めるべきです。脆弱(ぜいじゃく)性のある箇所を特定し、現時点で価値の高いデータを優先的に保護することで、計画的かつ段階的に移行を実施し、時間をかけてリスクを低減させることができます。
Bill Fefferman
シカゴ大学の理論計算機科学者
量子コンピュータが暗号技術にもたらす脅威に備えるための解決策は、ただひとつです。それは、現在使用されている暗号技術を、NISTによって最近標準化された「ポスト量子」暗号方式に早急に置き換えることです。
導入を遅らせるわけにはいかない理由はいくつかあります。第一に、大規模な量子コンピュータを構築するまでのタイムラインが不確定なことです。専門家の間では広範な合意を得られていませんが、実験的な進展は急速に進んでおり、ペースが鈍るとは考えられません。
第二に、「ハーベスト攻撃(いますぐに収集してあとで解読する攻撃)」の脅威に対抗する必要があります。これは、攻撃者がインターネット上で広く公開されている暗号化された情報をダウンロードして保存するという発想です。
このデータは、現時点ではアクセスできませんが、暗号を解読できる大規模な量子コンピュータが開発された時点でアクセスが可能になります。したがって、財務記録、法的文書、個人識別データなど、長期間にわたって安全に保管する必要があるデジタル情報を暗号化する際は、ポスト量子暗号方式を使用することに特に留意すべきです。
とはいえ、将来の量子コンピュータの能力を理解するためには、まだ多くの課題が残されています。現行の暗号方式は、量子コンピュータ登場以前の世界で何十年もの経験に裏打ちされた安全性を担保しています。それに対し、現在のポスト量子暗号方式の安全性について、私たちはまだそこまでの確信を持っていません。
そのため、政府、企業、政策立案者は、量子計算の研究に対する投資を優先し、新しい暗号方式が将来の量子攻撃に対して本当に安全であるかどうかを明確に理解し、そうでない場合は、量子攻撃にも耐えられる新たな暗号方式を開発することが重要です。
それまでの間、現在利用可能なポスト量子暗号方式を早期に導入しておくことは、全く保護機能を持たない暗号化方式を使用するよりもはるかに望ましい選択です。
Dave Taku
RSAセキュリティの副社長兼製品管理およびUX部門グローバル責任者
現世代の量子コンピューティングは、商用レベルの暗号化キーの長さに対して実用的な脅威をもたらす段階には至っていませんが、技術革新は着実に進んでいます。しかし、組織が今から準備を始めれば、「量子の終末」が目前になる状況は避けられます。
NISTは、すべての連邦政府および重要なシステムに対し、2035年までにPQCの実装導入を義務付けています。現在の技術水準を踏まえると、この期限は、PQCが実質的な脅威をもたらすまでに十分な時間を確保できると言えます。
組織は、新たな標準規格にすでに対応した「PQC対応」の暗号モジュールを評価する形で、いまから準備を始められます。これにより、PQCが定着した際、あるいは量子コンピューティングにおけるなんらかの新たな飛躍的進歩によってNISTのタイムラインが劇的に前倒しされた場合でも、将来の移行が容易になります。
古典的なアルゴリズムが使用される場合、キーの長さを延ばすとともに、適切なキー管理を組み合わせることで、量子コンピュータであっても必要な計算能力を指数関数的に増加させる実用的な解決策になります(注:主要なウェブブラウザは、すべてすでに4,096ビットのRSAキーをサポートしています)。
長期保存されるデータについては、「二重に暗号化」することで、「ハーベスト攻撃」に対する多層防御を強化することも可能です。ただし、このレベルのセキュリティ対策は、最初の攻撃からかなり時間が経過した後でも敵対者にとって依然として価値のあるデータに対してのみ適用することを推奨します。
最後に、他のあらゆる事柄と同様に、データセキュリティに対しても現実的なリスクベースのアプローチを取るべきです。ポスト量子時代の到来に備えて、いまから準備を進めるべきですが、組織がこんにち直面している最大のリスクは、脆弱(ぜいじゃく)なパスワード、フィッシング、ソーシャルエンジニアリングなどのはるかに単純な攻撃に起因しています。NISTが定めた2035年の期限に向けて準備を進める一方で、こうした課題には直ちに対処する必要があります。
量子コンピュータといえば、近未来的な技術革新の象徴のようなイメージがありましたが、ネットにつなぐリスクがいまよりも大きくなるかもしれないとは。量子暗号の専門家のみなさんには、なんとかしてQデイ到来を避けてほしいと思います。
Reference: Wikipedia, 産業技術総合研究所
