量子コンピュータとセキュリティ対策
量子コンピュータによって最先端の暗号が無力化される。セキュリティの視点では、現在使っている暗号化アルゴリズムが使えなくなると(危殆化)、さまざまなシステムの対策を考え直さなければならない。少なくとも、使う暗号化アルゴリズムを別のものに変える必要はある。
たとえば、現状のコンピュータでは解読に数千年かかるとされているRSA-2048は、10万量子ビット前後の処理能力で数日から1か月で解けるという論文がある。RSAは公開鍵暗号でよく使われるアルゴリズムのひとつ。素因数分解の計算量が膨大であることから実質的に解読ができないとされている。だが、素因数分解を高速に実行できるShorのアルゴリズムを量子コンピュータに適用することで、理論上RSA暗号やECC暗号(楕円曲線暗号)などの解読が実用時間で可能になる。
量子コンピュータで複雑な暗号文が平文に再計算できるようになると、どのようなリスクが顕在化するのだろうか。一番の問題は、機密データを暗号化保存するだけでは安全と言えなくなる点だ。重要ファイルの暗号化保存、ディスクの暗号化は、ファイルやディスクが盗まれても情報漏洩が防げるという効果がある。
不正アクセスなどで暗号化保存していた重要ファイルが盗まれたとしても、暗号化処理を施していれば慌てる必要はない……はずだったのだが、量子コンピュータはこの前提を打ち砕いてしまう。攻撃者は、とりあえずファイルだけ盗み出し、あとで解読する方法(HNDL:Harvest Now, Decrypt Later攻撃)がとれるようになる。
耐量子計算機暗号:PQCとは?
ただし、誤解のないように付け加えておくが、RSA暗号が解読された、というのはあくまで論文上での話だ。実際に稼働する量子コンピュータでRSA暗号を解読できたわけではない。現在の量子コンピュータで実現されている量子ビット数では、いまのところRSA暗号を解読できるまで安定して動かすことができない。しかし、Googleは2029年までに100万量子ビットのコンピュータを開発するロードマップを敷いている。素数や楕円曲線を使った暗号が解読されるのは、時間の問題でもある。そのため、セキュリティ分野では、量子コンピュータでも解きにくい暗号方式の研究も進めている。
量子コンピュータでも解読がしにくい暗号をPQC(Post-Quantum Cryptography:耐量子計算機暗号)という。NISTは2024年にPQCへの段階的な移行が必要として、当面利用する標準化技術と新しい量子ビット演算に耐性のある暗号化方式の考え方を発表している。NISTが決定したPQCのアルゴリズムには以下の3つがある。
FIPS 203(ML-KEM):鍵カプセル化(旧CRYSTALS-Kyber)
FIPS 204(ML-DSA):電子署名(旧CRYSTALS-Dilithium)
FIPS 205(SLH-DSA):ハッシュベース署名(旧SPHINCS+)
ML-KEMは鍵を安全にやりとりするための方式で電子署名はできないが、TLS(Transport Layer Security)の鍵交換などに適用できる。ML-DSAとSLH-DSAは、電子署名ができるので、サーバー証明書やコード証明書などに向いている。このうちSLH-DSAは、ハッシュ関数を使うため、ルートCAの証明書が主な用途とされている。
| ML-KEM | ML-DSA | SLH-DSA | |
|---|---|---|---|
| 役割 | 鍵カプセル化 | 電子署名 | 電子署名 |
| 数学的根拠 | 格子(LWE) | 格子(LWE) | ハッシュ-方向性 |
| 処理速度 | 高速 | 高速 | 低速 |
| 主な用途 | TLS・VPN鍵交換 | 証明書・コード署名 | 長期文書・ルートCA |
PQCの3つのアルゴリズム
関連してTLS 1.3もPQCアルゴリズムに対応するように強化されている。具体的には、従来アルゴリズムの暗号とPQCの併用が可能なハイブリッド構成として段階的な移行に備えている。
量子ビットの特性を生かしたセキュアな鍵交換方式
NISTが定めた3つのPQCの基本的な考え方は、
・量子コンピュータで計算しにくいアルゴリズムである
・既存の鍵、署名、証明書に応用できる方式である
ということができる。段階的な移行が現実的である以上、2番目の要件は重要である。
3つのPQCはRSAやECCと同じく数学的な計算の困難性を利用した暗号アルゴリズムである。具体的には格子演算にノイズを乗せることで逆計算をできなくするというLWE問題を応用している。Shorアルゴリズムが素因数分解や離散対数を解くものであり、格子暗号に対応していないため耐量子暗号になりうる。
しかし、これは解読アルゴリズムの問題であり、安全性の根拠は、数学的計算量に依存しているという点では従来のアルゴリズムと同じと言える。PQCに対するサイドチャネル攻撃がなくなるわけでもないし、量子ビットによる演算そのものへの対応にならない。
そのため、将来的にはQKD(Quantum Key Distribution:量子鍵配送)という技術が有力視されている。QKDは、量子力学そのものを応用し、光の量子状態を読み取ると必ず痕跡が残るという物理法則を利用する。純粋な暗号化アルゴリズムではないが、量子コンピューティングにおいて安全に鍵を交換できる方式と目されている。ただし、現状では、そもそも高コストである。量子伝送のための専用回線が必要である。といったインフラ整備の面での課題がある。また、読み取ることでエラーが発生するということは、信号の増幅、中継、ルーティングが難しいことを意味する。長距離伝送に向かないという欠点もある。
| 安全性の根拠 | PQC(耐量子計算機暗号) | QKD(量子鍵配送) |
|---|---|---|
| 実装 | 数学的な計算困難性 | 量子力学の物理法則 |
| 距離 | 制限なし(インターネット可) | 現状数百km程度(中継が困難) |
| コスト | 低い | 非常に高い |
PKCとQKDの違い
技術動向と情報のキャッチアップが重要
以上のように量子コンピューティング技術および量子暗号は普及研究段階にあり、耐量子暗号も標準や方向性が確定しているわけではない。
現状、各国が量子コンピューティングやPQC、QKDに対するロードマップを策定し、進めている状態と言える。主に重要インフラや金融機関を中心に対応、耐量子暗号の義務化を進めている。QKDについても国レベルでは実証導入が始まっている。EUはルーマニアでQKDネットワークの実証実験を開始しており、中国は衛星QKDの研究で先行している。
日本でも、金融庁がPQC整備を進めており、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討する日本政府のプロジェクトであるCRYPTRECでも「CRYPTREC暗号技術ガイドライン(耐量子計算機暗号)2024年度版」を発行している。
前述したとおり、現状、量子コンピュータによる暗号技術の危殆化が深刻な現実問題となるにはまだ猶予がある。企業がいま取り組むべき施策は以下のようになる。
・自社システムでRSA暗号やECC暗号を使っているシステムの棚卸し
・それらの暗号システム、モジュールの入れ替えを想定したシステムへの変更
・どのシステムから対応していくかの優先順位決め
量子コンピュータ自体も、研究開発のフェーズであり、技術動向が変わっていく可能性もある。セキュリティ対策においては、業界ごとに情報のアップデート、PQC移行へのキャッチアップが必要な時期に来ていると言えるだろう。
