来たるべき量子コンピューターの時代に向けて一般人が知っておくべき「ポスト量子暗号」の基礎知識まとめ

世界中の研究機関や企業が、従来のコンピューターでは複雑すぎて解けない問題を解ける量子コンピューターの開発競争を繰り広げており、中には「量子コンピューターは既にRSA暗号を解読できるようになっている」と主張する研究者もいます。登場が時間の問題ともいわれている量子コンピューターと、量子コンピューターによる暗号解読に対抗するために開発が進められている「ポスト量子暗号(PQC)」についてのFAQを、アメリカ国立標準技術研究所(NIST)がまとめました。

・目次
◆1：そもそも量子コンピューティングとは？
◆2：ポスト量子暗号化アルゴリズムとは？
◆3：「ポスト量子暗号」と「量子暗号」の違いは？
◆4：そんな危険な量子コンピューターがなぜ開発されているのか？
◆5：現行の暗号化技術とそれを量子コンピューターが解読する仕組み
◆6：ポスト量子暗号はどう役に立つのか？
◆7：なぜ今からポスト量子暗号の開発を進めているのか？
◆8：「今収集して後で解読」とは？
◆9：ポスト量子暗号の今後の展開は？

◆1：そもそも量子コンピューティングとは？
量子コンピューターは、古典的なコンピューターとは異なる科学的概念が活用された装置で、1ビットのデータが同時に0と1の値を取ることができるような、直感に反する量子の特性を利用して従来のコンピューターでは困難または不可能な計算を行うことができます。

「問題に対する多くの潜在的な解決策を並行して計算して正解を導き出す」というタスクには「同時に計算してふるい分けする」という操作が必要であり、従来のコンピューターでは効率的に行うことができません。一方で、量子コンピューターなら効率的にタスクをこなして正解を迅速に導き出すことができます。

◆2：ポスト量子暗号化アルゴリズムとは？
現行の暗号化アルゴリズムは、電子メールやメッセージ、医療記録など機密性の高い電子情報を不正な閲覧者から保護するもので、長年にわたり暗号を破ろうとする従来のコンピューターの攻撃からデータを守ってきました。しかし、量子コンピューターの登場により、そうした従来のアルゴリズムが破られ、電子的な秘密が暴かれてしまう可能性があります。

この脅威に対抗するには、従来のコンピューターと量子コンピューターの両方によるサイバー攻撃を阻止できる暗号化技術が必要になります。これが、ポスト量子暗号アルゴリズムと呼ばれている技術です。

◆3：「ポスト量子暗号」と「量子暗号」の違いは？
NISTによると、ポスト量子暗号と量子暗号は名前こそ似ているものの、実際にはまったく異なるものだとのこと。まず、ポスト量子暗号は量子コンピューターによるサイバー攻撃の潜在的な脅威に対抗することを念頭に置いたもので、楕円曲線など古代ギリシャ時代にまでさかのぼる非常に歴史のある数学的手法を基盤としています。

一方、量子暗号は20世紀に誕生した量子物理学を基盤としており、量子力学の直感に反する特性を利用した新しくて安全な暗号化技術の実現を目指す分野です。ポスト量子暗号と同じく、量子暗号もまた量子コンピューターによるサイバー攻撃への対抗策として有望視されていますが、その原理には大きな違いがあります。

◆4：そんな危険な量子コンピューターがなぜ開発されているのか？
サイバー攻撃に悪用されれば、従来の暗号化技術で守られたさまざまなシステムを危険にさらしてしまう量子コンピューターですが、有益な用途もたくさんあります。

例えば、量子コンピューターには複雑な変数の相互作用を伴うタスクを解決できる可能性が秘められており、例えば医薬品の開発、複雑な分子のシミュレーション、複数の目的地を通る最適なルートを見つける古典的な「巡回セールスマン問題」の解決などに大きく貢献すると期待されています。

量子コンピューティングの分野はまだ初期段階にあり、強力な量子コンピューターの実現には大きな技術的ハードルがいくつもあります。量子コンピューターの全容はまだ未知数ですが、強力な量子コンピューターが登場する可能性は高いと見られており、もしそうなれば現行の暗号化技術に大きな影響が及ぶため、世界はそのような事態に備えなければならないとNISTは指摘しています。

◆5：現行の暗号化技術とそれを量子コンピューターが解読する仕組み
従来の暗号アルゴリズムでは、1とそれ自身でしか割り切れない非常に大きな素数を2つ選び、それを掛け合わせて大きな数を作っています。素数を掛け合わせること自体は簡単ですが、逆にどんな素数が掛け合わされたかを突き止めるのは非常に困難で時間がかかります。この2つの数は素因数と呼ばれますが、十分に大きな数の場合、従来のコンピューターでは素因数を割り出すのに数十億年はかかると見積もられてきました。

ところが、十分に高性能な量子コンピューターであれば、素因数を1つずつではなく同時にふるいにかけて指数関数的な速さで答えにたどり着けます。このようなデバイスは「暗号解読可能量子コンピューター(Cryptographically Relevant Quantum Computer：CRQC)」と呼ばれており、CRQCなら数十億年どころか数日、あるいは数時間で従来の暗号を解読してしまう可能性もあるため、国家機密から銀行口座まであらゆる機密データが危険にさらされることになります。

◆6：ポスト量子暗号はどう役に立つのか？
NISTによると、量子コンピューターによる攻撃が行われるのを防ぐには、世界中のシステムが現行の暗号化アルゴリズムを廃止して、従来のコンピューターでも量子コンピューターでも解読が難しいポスト量子暗号アルゴリズムに切り替えなくてはならないとのこと。

その準備として、NISTは標準化すべき最初のアルゴリズムを4つ選択し、その開発に関する取り組みを主導してきました。4つのアルゴリズムのうち、3つは構造格子と呼ばれる数学の問題群に基づいており、残りの1つはハッシュ関数と呼ばれる関数を利用しています。これらの技術では、大きな数の因数分解をさせる代わりに、量子コンピューターでも従来のコンピューターでも解くのが難しいと専門家が考えている別種の数学の問題が使われています。

これらのアルゴリズムは、パブリックネットワークでやりとりされるパスワードの情報を保護する一般的な暗号化と、ID認証に使用されるデジタル署名という、暗号化がよく使われる2つの主要タスク向けに設計されています。また、一般的な暗号化用に追加アルゴリズムも検討されており、このアプローチには構造格子やハッシュ関数は使われません。

NISTは、さまざまな状況に対応したり、暗号化に多様なアプローチを取り入れる必要が生じたり、どれか1つのアルゴリズムが脆弱(ぜいじゃく)であることが発覚したりした場合に備えて、アプリケーションの種類ごとに複数のアルゴリズムを提供できるように標準の策定を進めています。

◆7：なぜ今からポスト量子暗号の開発を進めているのか？
記事作成時点では、十分な性能を持つ暗号解読可能量子コンピューターはまだ開発されておらず、実用化までにどのくらいの時間がかかるのかもわかっていませんが、さまざまな予測の中には「10年もかからない」とするものもあります。

これまで、新しいアルゴリズムが標準化されてからそれが普及するには10年から20年程度かかっているため、量子コンピューターの登場による既存の暗号の解読がもたらす危険性を回避するには、その10年以上前から準備を進めなくてはならないことになります。

NISTは「世界は先を見越して計画を立てていく必要があります」と述べました。

◆8：「今収集して後で解読」とは？
一刻も早くポスト量子暗号によるデータの保護を始めなければならない理由のひとつに、「今収集して後で解読」と呼ばれるタイプのサイバー攻撃があります。

これは、まだ解読できない暗号で守られたデータをひとまず収集しておいて、将来量子コンピューターが実現したときに解読するというもの。将来にわたって価値を保ち続ける機密情報を不正に得る上で有用な手段として警戒されています。

◆9：ポスト量子暗号の今後の展開は？
2016年にポスト量子暗号プロジェクトを開始したNISTは、世界各国の暗号専門家から69個の候補アルゴリズムを募り、それらを解読するよう専門家に要請して、透明性のあるプロセスにより候補数を絞っていきました。

その後、2022年には4つのアルゴリズムが正式に採択され、そのうち3つが最初の最終標準として2024年8月にリリースされました。残る1つも2024年中にリリースされる予定です。

アメリカ国立標準技術研究所が3つのポスト量子暗号の最終標準「ML-KEM」「ML-DSA」「SLH-DSA」をリリース - GIGAZINE

NISTは「私たちの使命の1つは、特定の企業やグループだけでなく、すべての人に広く役立つ標準を開発することです。標準が完成し次第、連邦政府機関によって採用され、無料で一般公開されます」と述べました。