「ポスト量子」の世界におけるセキュリティ

間違いなく到来する量子コンピューティング時代、将来を見据えた暗号化技術

量子コンピューティングが提唱されたのは1980年代初頭でした。量子コンピューティングは、回路や電気の限界に縛られることなく、量子力学の原理に基づいているため、非常に複雑な数学的問題を効率よく解くことができます。従来のコンピューティングではできないことを量子コンピューティングができるようになる日が、いつか必ず来るでしょう。これまでの量子コンピューターの進化はペースが遅かったのですが、ここにきて加速しています。オックスフォード大学、MIT、ウォータールー大学などの学術機関や、IBM、Microsoft、Google、Honeywellなどの企業の取り組みのおかげです。

このイノベーションの推進でリーダー的な役割を果たしてきたIBMは、一般消費者向けと企業向けの双方で最も実用化の可能性が高いのは最適化のアプリケーションだと考えています。

Honeywellは、自ら「世界で最も強力な量子コンピューター」と呼ぶものをリリースする予定で、不正の検出や、取引戦略、セキュリティ、機械学習、化学、材料科学などの最適化に役立てたいとしています。

2019年、GoogleのQuantum Artificial Intelligence (AI) （量子人工知能）チームは、53量子ビット（量子状態で表される従来のコンピューティングの「ビット」に相当する単位）のコンピューターが「量子超越性」を達成したと発表しました。量子コンピューターが、現存する従来のコンピューターよりも速く問題を解決できたのはこの時が初めてでした。これは画期的な出来事とみなされました。

量子コンピューティングは、インターネットセキュリティの様相を恒久的に変えることになります。特に、インターネットのような通信チャネル間で通信と情報を保護する暗号化技術の領域は一変するでしょう。暗号化は、銀行業務、セルラー通信、インターネットに接続された冷蔵庫、地下鉄を定刻運転させるためのシステムなど、現代社会のほぼすべての側面で欠かせない技術です。現在私たちが使用している暗号化のアルゴリズムと規格は、何十年もの労力をかけて確立されたものですが、それらがこの極めて強力で高度な新世代のコンピューティングによって覆される可能性があります。

量子コンピューターは現代の暗号アルゴリズムを解読する

量子コンピューターはShorのアルゴリズムを使って、非常に大きな整数の素因数分解をとてつもなく速く行うことができます。では、なぜそれが暗号化セキュリティにとってそれほど重大な意味を持つのでしょうか？

今日のほとんどの暗号は、素因数分解の困難性を利用したアルゴリズムに基づいています。ほぼすべての現在の暗号方式の先駆けとして広く知られているのは、1976年に考案されたRSA（Rivest-Shamir-Adleman）です。基本的に、RSAのような公開鍵暗号システムのすべての参加者は、パブリックキーとプライベートキーを持っています。安全なメッセージを送信するには、送信者のパブリックキーを使用して、データを大きな数としてエンコードしてスクランブルします。受信者は各自のプライベートキーで復号化できます。RSAでは、パブリックキーは大きな数であり、プライベートキーは素因数です。

Shorのアルゴリズムを使用すると、十分な数の量子ビットを備えた量子コンピューターは大きな数を素因数分解できる可能性があります。RSAの場合、量子コンピューターを持つ人がパブリックキーを受信し、それを素因数分解してプライベートキーを取得できる可能性があります。これにより、そのパブリックキーで暗号化されたすべてのメッセージを読むことができてしまいます。このように素因数分解できることは、ほぼすべての現代の暗号化技術を「破壊」します。暗号化技術は、オンラインで情報を伝達して共有する方法に広範なセキュリティを提供するため、これは重要な意味を持ちます。

理論的には、悪意のある攻撃者が量子コンピューターをコントロールすることになれば、完全な混乱状態を引き起こす可能性があります。暗号証明書を作成して銀行になりすまして資金を盗む、ビットコイン市場を崩壊してデジタルウォレットに侵入する、機密情報にアクセスして復号化する、といったことができてしまいます。これをY2Kにたとえる人もいます。しかし、Y2Kとは異なり、既存の暗号化技術が安全でなくなる時期に決まった日付はありません。研究者は、量子耐性のある暗号化ソリューションを構築することにより、問題を先回りするために準備をして懸命に取り組んでいます。

耐量子暗号は、開発途中です。

最新の暗号を解読するほど強力な量子コンピューターが開発されるのはいつでしょうか？あと10年から15年という予測もあります。企業や大学は、量子コンピューティングの分野におけるイノベーションに全力で取り組んでいて、確実な進歩を遂げています。従来のコンピューターとは異なり、量子コンピューターは原子レベルでしか起こらない量子効果に依存しています。量子ビットをインスタンス化するには、電子や光子のような量子効果を発揮する粒子が必要です。こうした粒子は極めて小さく、管理が難しいため、量子コンピューター実現の最大の難関の1つだとされているのは、暗号アルゴリズムに関係する高価な計算を行うのに十分に長い期間量子ビットを安定化させる方法です。

一方、セキュリティの進歩も同じくらい長い年月を要します。米国の国立標準技術研究所（NIST）が、RSAに代わるポスト量子暗号アルゴリズムの定義を先導しています。既存のパブリックキー暗号を超える、量子コンピューティングに耐性のある「ポスト量子」暗号アルゴリズムを、テストして選考するプロジェクトが現在進行中です。NISTは、2022年から2024年までの間に、暗号化とデジタル署名の両方について2つないし3つのアルゴリズムを推奨する予定です。NISTの数学者Dustin Moodyは、次のように万全の準備をしたいと語っています。「すべての格子暗号を突破する新しい攻撃手法が見つかっても、最後の手段として頼れるものを用意しておきたいのです。」

NISTプロジェクトの参加者は、さまざまなコンピューターアーキテクチャ上で、ポスト量子暗号アルゴリズムの高速実装技術を開発しました。CloudflareとGoogleがパートナーシップを組み、2019年にTLSポスト量子実験を行いました。この実験では、すべてのCloudflareのお客様を対象として、ポスト量子暗号に基づく新しいキー交換メカニズムの実装とサポートを行いました。Cloudflareはエッジプロバイダーであり、何百万ものWebサイトでポスト量子アルゴリズムを有効にして、そのパフォーマンスを測定し、TLS接続における機密性を確保するのにうってつけの立場にあったのです。Cloudflareは、今後数年間で社内インフラをポスト量子アルゴリズムで保護できるように移行し、ポスト量子暗号の新規格が確立された時には真っ先に対応する所存です。量子コンピューターの時代はまだ先ですが、Cloudflareは、それが到来したときにインターネットの準備態勢が整っているように支援していきます。

量子コンピューティングが成熟するのに伴い、暗号化技術分野における研究開発も着実に進んでいます。NIST、Microsoft、Cloudflare、およびほかのコンピューティング企業が協力して、標準に基づいた堅牢なソリューションを開発できると私たちは楽観的に考えています。これはただ時間の問題です。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

記事の要点

この記事を読めば、以下が理解できます。

• 量子コンピューティングの起源と進化

• 量子コンピューターが最新暗号アルゴリズムをどう覆すのか

• 量子コンピューターに関連するセキュリティリスク

• 安全なポスト量子アルゴリズムへの進歩が進んでいる

関連リソース

• ウェビナー：依然として多くのWebサイトが安全でない理由（とその解決策）

• ブログ：量子の脅威

• ブログ：TLSポスト量子実験

• 記事：ブロックチェーンによるWeb 3.0への移行