暗号技術は量子コンピュータに対抗できるのか？

「量子コンピュータ」、旬の言葉です。0と1の従来のビットではなく「キュービット(qubits)」を処理単位とすることで飛躍的に性能が高まるこの技術^※1)が、従来のコンピュータをはるかに凌ぐ処理能力を実現し、現在は不可能とされる科学的な課題の解決やはるかに精度の高いシミュレーションを実用化できるのは間違いありません。

一方、最先端技術が理想を離れて悪用されてしまうことは歴史が証明しています。量子コンピュータによって、これまで解読不能とみなされてきた現在の暗号が使い物にならなくなる日が来ることは間違いありません。通信の秘密を守るのに欠かせない公開鍵暗号方式も、そこから逃れることはできないでしょう。

深刻な問題ですが、暗号技術の専門家は早くからこの問題を認識し対策に着手しています。このレポートでは、既存の暗号技術のどの部分が危機にあるのか、いつごろ破られる可能性があるか、そして量子コンピュータ時代に備えて暗号技術の専門家が進めている対応をご紹介します。

※1:量子コンピュータとキュービット(qubits)

量子コンピュータの処理能力が従来型コンピュータより圧倒的に高い理由は、データ処理方法にあります。従来型コンピュータはデータを0と1のビット(古典ビットと呼びます)に置き換えて半導体上で処理してきました。一方量子コンピュータでは、一度に複数の状態を表すことができる素粒子を利用し、量子ビット(キュービットと呼びます)という単位でデータを処理します。
キュービットは、球に例えることができます。0か1かの古典ビットは、球の北極か南極にしか位置できません。これに対して、キュービットは球面上のどこにでも位置することができ、その位置によって複数の0と1を同時に表すことができます。つまり、キュービットは古典ビットより多くのデータを同時に処理することができ、さらに処理速度も速いという特長があります。

焦点は現在の暗号がいつ破られるのか

どの暗号アルゴリズムが量子コンピュータによって脆弱になるかについて、暗号技術専門家の間で見解はほぼ一致しています。それは「RSA」や「楕円曲線暗号」のような公開鍵暗号や、「ディフィー・ヘルマン」など鍵共有による方式です。

一方、現在の暗号アルゴリズムが"いつ"破られるかという点では、見解が別れています。一部の専門家は、量子コンピュータが10年以内に先端的な研究機関や大企業の研究部門で実用化されると予測しています。

ウォータールー大学量子コンピューティング研究所(カナダ)のMichele Mosca氏は、ある基本的な公開鍵暗号アルゴリズムが2026年までに量子コンピュータによって破られる確率は1/7で、2031年までを見通すと確率は1/2に高まると予測しています。「もちろん、こうした予測は常に変わるのですが、重要なIT基盤の一部が、量子コンピュータの発展によって浸食されることを覚悟すべきです。こういう問題が発生するかもしれない、という段階は過ぎました。この問題がいつ発生するか、を考慮すべき段階にあります」。

量子コンピュータへの対抗策

幸いなことに、量子コンピュータの到来がこの世の終わりを意味するわけではありません。筆者が所属するGemalto(ジェムアルト)では、「クリプト・アジリティ」(Crypto Agility)と呼ぶ、実装している暗号が破られそうになると別のアルゴリズムと鍵に置き換えて対抗する方式を研究しています。この方式は、あるアルゴリズムが量子コンピュータのもとで脆弱になっても機密情報を守る、有力なアプローチと考えられています。

また、アルゴリズムの観点からは、量子コンピュータに対抗する3つのアプローチがあります。

1. 共通鍵の鍵長を大きくする(現在の平均キーサイズの約2倍にする)
2. ハッシュベースのアルゴリズムを採用する
3. 従来の暗号アルゴリズムと「ポスト量子暗号アルゴリズム」を組み合わせる

3は、セキュリティ業界が長年築いてきた暗号技術の体系を活用しながら将来に向けて進んでいくという、最も本質的な解決の方向です。

さまざまな分野の専門家が、解決策を求めています。特に重要な点は、公開鍵暗号を未来にわたって守るということは、「古典ビット」を基盤とした従来型のコンピュータが量子コンピュータのパワーに抵抗できるアルゴリズムを見つけることを意味する点です。この研究分野は「量子セーフ」(quantum-safe)暗号または「ポスト量子」(post-quantum)暗号と呼ばれています。

NIST(米国立標準技術研究所)は量子セーフ暗号研究の国際的なハブとなっており、各国の研究チームからNISTへ、80件を超えるポスト量子暗号の提案が出されています。これらの提案を審査した後、標準化作業が開始されます。具体的な標準化は、早ければ2019年開催予定のNISTの第2回ポスト量子暗号標準化会議に提案される見込みです。

革新の時 - 歴史は繰り返す

第二次世界大戦下、英国のBletchley Parkに配備された連合軍の暗号解読部隊が、ドイツ側の通信に使用され解読不能とされていた「エニグマ式機械暗号」の解読に成功しました。解読のために開発されたのが、革新的な新型電動暗号解読機「ボンベ」でした。

70年以上経った今、別の新世代技術が、解読不可能と思われていた暗号技術を脆弱化させようとしています。しかし、重要な点は、この最新の脅威に対抗する新しい暗号を研究・実用化しようという努力ばかりではありません。すなわち、量子コンピュータそのもの、あるいは少なくともそれが基礎とする量子物理学そのものが、データセキュリティに対するまったく新しいアプローチの扉を開くということです。暗号に関心を持つ人にとってめったに体験できないエキサイティングな革新の時代がきたのです。

著者プロフィール

Aline Gouget(アリーヌ・グージェ)
ジェムアルトの暗号技術アドバイザー。卓越的な女性科学者に与えられるイレーヌ・ジョリオ・キュリー賞を2017年に受賞。ジェムアルトのセキュリティ研究所で暗号の先端技術を研究し、複数産業分野におけるプロトコルの研究、緊急課題への対処、イノベーションの創出と評価を担当。
Caen大学で純粋数学を研究後、対称鍵暗号分野でPh.Dを取得。30件以上の学術論文を執筆し、20以上の暗号科学技術委員会へ参加、ISO/IEC SC27(暗号技術とセキュリティメカニズム)の標準化に参画。30件以上の特許を取得、先端暗号技術の商用化に12年以上携わる。