量子コンピューターとの競争

ドイツでよく知られた童話の一つに『ウサギとハリネズミ』というお話があります。この物語では”不平等な競争”が描かれていますが、暗号化の世界でも似たような状況が起きています。商業的に利用可能な量子コンピューターが登場し、既存の暗号アルゴリズムを破ることが可能になった今、誰が見ても、この競争の勝敗は決まったように思えるかもしれません。しかし、実際はそうではないのです。

現代の暗号化テクノロジーの多くには、一つの前提が存在しています。それは「暗号アルゴリズムには、従来のコンピューターでは解読に何十年、何百年もかかるような複雑な数学的問題を使用する」という点です。これは理論的には可能かもしれません。しかし、現実の世界では間違いなく不可能です。しかし、アメリカの理論計算機科学者であるピーター・ショアが、量子コンピューターが膨大な数字を簡単にかつ高速で因数分解できることを発見したことにより、この不可能の壁が崩れました。当時、量子コンピューターは、あくまでSFの世界のものとされていました。しかし、暗号化コミュニティは、数学と理論を愛するがゆえに、あるいは遠い将来にこれが現実の脅威となると確信するがゆえに、新たな暗号アルゴリズムを構築しようと、新しい数学的な難問を探し始めました。

身近に迫る転換点

量子コンピューターは、いまだテクノロジーが未熟で限定的ではありますが、すでに国家や民間企業によって運用されています。また、クラウド経由での利用も可能となっており、今や現実的な問題となっているのです。では、今こそ危機感を持つべき時なのでしょうか。

どれほど深刻な脅威なのか?

実際、従来の暗号アルゴリズムは、強固な要塞としての強みを失いつつあります。RSAのような広く知られたスキームは、今や安全とは言い切れません。デジタル署名/証明書の技術的基盤であるDSA(デジタル署名アルゴリズム)やECDSA(楕円曲線DSA)、さらにはディフィー・ヘルマン鍵共有方式なども脆弱性が指摘されています。強力な量子コンピューターが、あらゆるプロトコルを解読し、公開鍵から一致する秘密鍵を導き出し、すべての保護レイヤーを突破する日も近いかもしれません。

パニックになる必要はない

但し、これらの脅威は全て、主に非対称暗号化に適用されるものです。従って、一般的なAESのような対称暗号化方式や、SHA群のようなハッシュ関数は、簡単に破られることはありません。量子コンピューターの生みの親とも言えるロブ・グローバーは、量子コンピューターによるAESの秘密鍵の計算や、ハッシュ値からの逆算が可能であるアルゴリズムを提示しましたが、他の暗号化方式で心配されているような性能の飛躍的な向上は見られませんでした。何年・何十年もかかった計算が、ハッカーのちょっとした午後の暇つぶしになるわけでは無く、計算過程は注目に値するものの、速度はわずかに向上しただけです。

対称暗号化方式の場合、鍵を長くすることで、量子コンピューターの脅威を回避することができます。標準的な家庭用機器においても、AES-128からAES-256へ容易に変更でき、量子コンピューターの脅威と互角に渡り合うことができます。

今後の展開

では、暗号化の世界は今後どうなっていくのでしょうか。対称暗号化方式は今でも安全性を維持していますが、非対称暗号化方式に対する脅威は深刻と言えます。暗号鍵をセキュアに交換し、整合性と信頼性を保持するという前提が崩れかけているのです。

そして、競争はさらに激しさを増しています。現代の量子コンピューターは、NISQ(Noisy Intermediate-Scale Quantum Computers)と呼ばれる段階に入り、基本的な計算や誤り訂正演算は可能となりました。しかし、いまだ実際の暗号化テクノロジーに脅威を与えるほど高度なものには至っていません。現状、量子コンピューターは、数十~数百の量子ビットで動作していますが、RSA1024やEDSA/ECIES256を破るには、約2000の論理量子ビットが必要となります。さらに、量子コンピューターは、エラーを起こしやすい性質から、エラー訂正された2000個の量子ビットを得るために、100万個以上の量子ビットが必要とされます。

また、現在の量子コンピューターは、論理的な意味以上に、まだまだ扱いにくい面があります。例えば、超伝導量子ビットを絶対零度近くまで冷却するためには、巨額の投資と極めて高度なテクノロジーが要求されます。この記事の執筆時点では、暗号アルゴリズムの解読には、莫大なコストがかかるため、技術的に可能であったとしても、その努力に見合うほどの成果は得られないと思われます。

しかし、すでにパンドラの箱は開けられており、量子コンピュータは常に進化を続け、性能・価格・可用性の面で改良を重ねていることは事実です。このような背景を受け、米国国立標準技術研究所(NIST)とドイツ連邦政府 情報セキュリティ庁(BSI)は、暗号化テクノロジーの代替手段を検討するよう正式に勧告しています。耐量子計算機暗号(PQC)の時代が始まろうとしています。

PQC時代に突入

NISTは2016年、量子セキュアアルゴリズムの標準化に向け、公募を開始しました。産業界における危機感は、通常は時間のかかる複雑な標準化プロセスが予想以上に加速されたことを意味します。審査は数回に分けて実施され、2022年に、最終選考を勝ち抜いた標準化アルゴリズムが発表されました。

考案されたアルゴリズムでは、異なる数学的手法を駆使した様々なアルゴリズムが組み合わされてできています。従って、万が一そのうちの1つが量子コンピューターに破られたとしても、他のアルゴリズムは残ります。これは、暗号化テクノロジーの根底にあるシンプルかつ強力な原理であり、一度で破ることは不可能です。攻撃者にとっては、困難を極め、コストも増すため、単純に割に合わなくなります。もちろん、資金・人・時間の面で相当なコストをかけることで、1つのアルゴリズムを破ることは可能かもしれません。しかし、次の攻撃すべきアルゴリズムは、すぐ後に控えているため、容易に突破することは不可能です。

NISTの取り組みは、暗号化コミュニティに束の間の安堵をもたらしました。しかし、候補の1つであったSIKEは、量子コンピューターさえも必要とせず、すでに破られています。私たちは、脅威は深刻であり、無視できないものであること、そして保証できるものは何一つないということを心に留めなければなりません。

スピード(ウサギ)は、俊敏性(ハリネズミ)に勝るのか?

『ウサギとハリネズミ』の童話では、明らかに勝つと思われるウサギに、ハリネズミが勝負を挑みます。しかし、レース当日、ウサギはハリネズミを置き去りにして飛び出したものの、ゴール地点ですでに待ち構えていたハリネズミを見つけます。ところが実は、それはハリネズミの奥さんだったのです。それを知らないウサギは、名誉を傷つけられ悔しく思い、何回も何回もハリネズミとレースをします。しかし、結果は毎回同じ。結局、疲れ果てたウサギは、負けを認めました。

この童話にでてくるハリネズミは、今の暗号化テクノロジーに求められているものを備えています。それは、量子コンピューターを駆使した攻撃者(ウサギ)が有利となるスピードではなく、賢さと暗号化の俊敏性です。

将来的に単体の暗号アルゴリズムが破られる可能性があるとすれば、それに代わる他のアルゴリズムを用意することが俊敏性への備えとなります。従って、暗号アルゴリズムが破られた際に、すぐに交換可能となるソフトウェアアーキテクチャーを設計する必要があります。ある量子セキュリティシステムが予想に反して安全でないことが明らかとなった場合、別のシステムへの移行は必須であり、かつ即座に行われるべきです。

性能のトレードオフ、新しいアルゴリズムや保護システムの導入、サイドチャネル攻撃への対策など、暗号化の弱点とも言える要素が必要になるため、ソフトウェア開発にも新たな工夫が求められます。また、このような脅威はまだ遠い存在であり、現実的ではないため、開発者は量子セキュアアルゴリズムへの全面移行に慎重にならざるを得ないかもしれません。しかし、従来の暗号化方式と量子セキュア暗号の組み合わせにより、あらゆる可能性をカバーすることが理想です。

私はもう、ここにいるよ

童話では、ハリネズミの奥さんはウサギに「私はもう、ここにいるよ」と言っていました。PQCも同様に、量子コンピューターが転換点に達したとき、すでに準備万端な状態でいる必要があります。今こそ、PQCに向けた組織、暗号化テクノロジーの選択、ソフトウェアアーキテクチャーの準備を始めるべき時なのです。

 

KEYnote 44 – Edition Fall/Winter 2022

To top