量子コンピューティングはイノベーションの創出を促す苗床です。物理と数学そしてコンピュータサイエンスが交差する奇妙で素晴らしいこの分野の並外れた可能性は、世界中の企業から多額の投資を集めています。来たるべき変化によりもたらされる恩恵は、従来型のアプローチを石器時代のもののように思わせるほど素晴らしいものになると聞いておられることでしょう。しかし、この変化には一つ注意点があります:現在のデジタルセキュリティーは、量子コンピューティングが実現するや否や脅威にさらされることになるのです。

セキュアな相互接続により、新しいアイデアを実現

量子コンピューティングには次世代アルゴリズムを可能にするいくつかの特質がありますが、その一つがショアのアルゴリズムで、量子コンピュータがある特定の問題を解くにあたり従来のコンピュータを凌ぐパフォーマンスを達成できるようになります。大きな整数の因数分解や離散対数問題を解く困難さは現在、RSAや ECDSAなど多くの非対称鍵暗号がNIST(米国国立標準技術研究所)標準に準拠するセキュリティー対策の根幹としていますが、デジタルセキュリティー上の脅威の元凶となる可能性があります。

対称暗号も量子コンピューティングの台頭から安全というわけではありません。グローバーのアルゴリズム は従来の方法より素早く対称暗号を解読します。暗号解読プロセスが加速されてはいますが(脆弱性のあるアルゴリズムの場合)、ショアのアルゴリズムはさらに破壊的なインパクトとなります。新たなアルゴリズムの対処法として通常行われるのがシンプルに暗号キーのサイズを2倍にするというもので、一定レベルのセキュリティは担保されますが、完全に安心できるレベルではありません。ほとんどの一般的なアプリケーションにおいては、対称鍵暗号が、ショアのアルゴリズムに対いて脆弱な公開鍵暗号(非対称鍵暗号)を利用して生成または交換されているため、量子コンピューティング解読されてしまう恐れがあります。

耐量子暗号は、重要な新技術であり研究課題でもあります。量子コンピュータでも解読が困難な、安全かつ従来のハードウェアで実行可能なアルゴリズムを開発するというアイデアです。NISTは、安全なセキュリティー確保を目的とし、新たなアルゴリズムやアルゴリズムの組み合わせを開発するコンテストを開催しています。

1 NIST 標準(整数因数分解と離散対数問題に依存した暗号化に関連する標準)の概要はこちらNIST Special Publication 800-56BとこちらNIST Special Publication 800-56A でご覧いただけます。

有望なアルゴリズムコンテスト

コンテストの第3ラウンドが始まったところで、NISTは、万一に備えた補欠と共に、ファイナリストとして いくつかの有望なアルゴリズムを決定しました。ファイナリストはほとんどが、耐量子セキュリティスペースだけでなく準同型暗号においても有望な特性を示す格子暗号をベースとしています。この新技術は、安全な分散コンピューティングを発展させる原動力となる可能性を秘めています。

実際にこうした新たなアルゴリズムの実装を始める際、最後のハードルとなるのが、サイドチャネル攻撃、電力解析攻撃、セキュリティへの物理的脅威等に対する実装テストです。

本当にまだ安全か? 

今のところ、R​​SAを脆弱にするほどパワフルで大きなアルゴリズムの実行機能をもつ量子コンピュータは存在していませんが、私たちのデータは完全に安全ではなくなってしまいました。攻撃する人は、今は暗号データを保存してくだけで、量子コンピューターが使えるようになる日を待っている可能性があるのです。

5年程度だけ情報の安全性を確保するだけであれば問題はないでしょうが、長期間の安全性が必要であればあらゆる危険に適切に備えておく必要があります。量子技術の発展がどれだけのスピードで進むのかを予想するのは難しいものの、大多数の意見では 5年から30年で実現されると推測しています。

現在もNISTコンテストは開催中ですが、「なぜのんびりと待てないのか?」「さっさと標準を決めてそれに変更してしまえばいいじゃないか」と思う方もいらっしゃるでしょう。しかし、残念ながら事はそれほど簡単ではありません。量子コンピューティングの分野はまだ若い分野で、どんどん変化していきます。量子コンピューターの特性を活用した新しくて便利な、しかし潜在的に危険なアルゴリズムの設計はまだ難しいのです。

また、NISTコンテストのアルゴリズムのいずれかが、将来もずっと安全であり続けるのかに関しても疑問は残ります。最も重要なのは、旧式のハードウェアを避けるためにも、リコールなしで暗号基盤の切り替えができる柔軟なアーキテクチャです。

長期間にわたるセキュリティーが重要であるのと同時に、もはや1つの認証アルゴリズム、鍵生成アルゴリズム、暗号アルゴリズムのみに依存できない状況でもあるのです。様々なアルゴリズムの組み合わせに頼りながら、それらを最適な箇所に分散実装するということもあるかもしれません。ややこしい最適化については、ギャップを埋めパフォーマンスへの影響を最小限にできる箇所を選ぶ時に初めて検討すれば良いと思います。

今すぐ対策を

RSAやECC(楕円曲線暗号)に代わるアルゴリズムは多くありますが、選択は簡単なことではありません。暗号アルゴリズムのパフォーマンスの決定に際して考慮すべき点は多いのですが、鍵の長さは特に重要となってきます。低価格の組み込みハードウェアは性能に非常に制限がある場合が多く、鍵が長すぎると処理が重くなり、IoT市場全体が影響を受けてしまいます。

アルゴリズムの処理に必要な時間は様々で、早いものや遅いものがあります。処理スピードが非常に遅いアルゴリズムに切り替えた場合、日常のデータ交換量が増えるにしたがい処理速度が顕著に低下する可能性があります。ネットワーク規模を拡大する場合、さらに動作が遅かったり、或いはより処理データ量の多い基盤技術が課題となります。実際、ネットワークは拡大する一方なので、現在のアーキテクチャでは、新しい暗号技術をどうするのかがポイントとなります。

来るべき変化への備えが、なぜそれほど重要なのかご理解頂けたと思います。対策は今すぐ行われるべきで、データが重要であればあるほど、セキュリティの重要性も増します。IoTデバイスと5Gネットワ​​ークの普及により流通するデータ量は増えていますので、その膨大なデータの安全な管理は必須なのです。

さて、こうした状況下、ケンブリッジコンサルタンツが注力しているのは、耐量子暗号に対応する実際の製品開発の際に直面するだろう課題についての考察です。長所や短所も異なるアルゴリズムを比較評価し、従来の製品設計パターンでの適材適所を探る作業は、耐量子暗号技術を広く普及させるための重要なステップです。

ご質問・ご不明な点等ございましたら

単に課題を理解するだけでなく、様々な耐量子アルゴリズムがもたらす価値とセキュリティを最大限に高める斬新で安全なアーキテクチャの開発も模索しています。量子分野における他の研究とも非常にうまく補完しあうもので、例えば、量子鍵配送に関する調査では、量子コンピューティングが脅威となるという点より、セキュリティ向上にどう役立つのかという点に着目しています。もし、量子コンピュータが製品のセキュリティに与えるインパクトについて研究されているのであれば、是非その知見についてお聞かせいただき、何かしらお手伝いできれば大変うれしく思います。

Author
リアム ロンバード
ソフトウェアエンジニア

ソフトエンジニアとして、主にシュミレーションや制御システムに重点を置き、お客様のビジネスプランを実現するため、遺伝的アルゴリズム、安全なアーキテクチャや概念の創出にも携わる。テクノロジーを斬新な方法で組み合わせ、有益な製品を生み出すことに注力している。