量子コンピュータは、現在我々のデジタルインフラに導入されている暗号方式に大きな影響を与えるだろう。
量子コンピュータが十分な性能を持つようになれば、現在私たちのデジタルライフを守っている仕組みのほとんどが壊れてしまうことはよく知られている(1)。
量子コンピュータの脅威は、近い将来(2)に迫っているだけではない:やる気のある攻撃者が、暗号化された機密データを保存して後で復号する、いわゆる「今すぐ保存、後で復号」攻撃を止めることはできない。いわゆる「今すぐ保存、後で復号」攻撃である。つまり、私たちは早急に量子暗号技術への移行を真剣に考えなければならないのだ。同様の問題は、寿命の長いデジタル署名にも存在する。例えば、寿命の長いハードウェアの認証や、何十年も有効なデジタル署名文書(契約書や証書など)である。
よく言われる量子証明技術として、「ポスト量子暗号」(PQC)と「量子鍵配布」(QKD)がある。ここでは、この2つの概念を紐解いてみたい。
PQCとは、量子コンピュータでは解くことが難しいとされる計算問題に基づく暗号アルゴリズムを指す広義の言葉である。つまり、広く使われているRSAアルゴリズムが大きな整数の因数分解の難しさに基づいているように、PQCアルゴリズムは誤った連立一次方程式の「小さな」解を見つける難しさに基づいているかもしれない。
QKD>は、量子力学と特殊なハードウェアを利用してセキュリティを確保する鍵合意プロトコルの一群に与えられる用語である。
PQCとQKDの間には大きな違いがあり、量子力学を利用した技術を選択する際に考慮する必要がある。導入は簡単か?どのような機能を提供するのか?技術の成熟度は?安全性は?などなど。
展開
PQCは、その中核において、現在のデジタル署名や公開鍵暗号化アルゴリズムに取って代わるものであり、いくつかの技術的な困難はあるものの、導入はかなり簡単である。実際、PQCはすでに多くの大手ソフトウェア会社によって展開されている(3)。また、アメリカのNIST(4)によって、一連のPQCアルゴリズムを標準化するための重要かつ体系的な取り組みが行われている。
QKDには斬新なハードウェア要件があるため、既存のインフラを大幅に利用することができず、展開の大きな妨げとなっている。さらに問題なのは、QKDの通信距離がかなり限られており、量子信号を増幅するのに必要な技術がまだ存在しないことである。このような増幅器、つまり「量子中継器」がなければ、QKDの配備は100kmごとに信頼できる中継器を使わなければならない。リレーは信頼できるものでなければならないが、転送されたデータはどのリレーの内部でも平文で表示されるからだ。これは、システム全体のセキュリティを著しく複雑にしている。例えば、バーチャル・プライベート・ネットワーク(VPN)は、分散した組織がそのデータを完全にコントロールすることを可能にするため、広く導入されている。第三者が所有する複数のリレーが存在する環境では、安全なVPNを実装することは不可能である。最後に、QKDは認証メカニズムなしには安全に機能せず、デジタル署名(5)は量子技術では実現できないため、QKDコンポーネントの重要な構成要素は、参加者の認証を提供する古典的な通信インフラである。
機能
PQCは、特定のタイプのアルゴリズムというよりも、むしろ設計思想のようなものであり、幅広い機能を持っている。しかし、これまでの研究の大半は、デジタル署名と公開鍵暗号化のためのPQCアルゴリズムの開発に重点を置いてきた。
QKDは2つの当事者間の鍵合意を厳密に扱っており、実際、QKD当事者はすでに認証インフラを持っている必要がある。実際、QKDはデータの認証を提供することができず、特にデジタル署名はQKDやいかなる量子技術からも構築することができない。
成熟度
PQCとQKDはどちらもかなり成熟した技術である:最初のQKDプロトコルは80年代後半のものであり、現在のPQCのNIST候補の1つは70年代後半の公開鍵暗号化アルゴリズムに基づいている。
しかし、PQCは理論的にも実用的な分析においても、より多くの精査を受けている。PQCは現在のコンピュータと現在のデジタル・インフラストラクチャで動作するため、存在するさまざまな種類の脅威を十分に理解している。QKDの場合は、ハードウェアの要件が斬新であるため、そうではありません。
セキュリティ
PQCもQKDも、その安全性を達成する手段によって大きく異なります。QKDは情報理論的な安全性を享受しており、基本的にQKDプロトコルによって作成された暗号鍵は、量子コンピューティングがどのように発展しようとも安全であり続ける。一方、PQCは計算論的な安全性を備えている。つまり、特定のPQCアルゴリズムの安全性は、特定の数学的問題の難易度に基づいている。
表面的には、PQCはQKDよりも安全性が低いように見えるかもしれない。しかし、セキュリティは複雑で多面的な概念であることを忘れてはならない。一例として、QKDは理論的には優れた安全性を享受していますが、フォトン数分割やトロイの木馬攻撃など、配備に対する複数の攻撃がすでに実証されています。したがって、安全性を判断する際には、システム全体として判断することが重要であり、ここではPQCがQKDよりも明らかに有利である。
データの量子暗号化
以上のことから明らかなように、QKDは現在のところ、私たちのデジタル・インフラを量子的に保護するほど成熟していない。現在、店舗では、後から解読する攻撃が問題になっている。そのため、広く普及するまでにはまだ大きな開発が必要な技術に頼ることはできない。さらに、QKDはデジタル署名を提供できず、これらは暗号化と同様に安全なインフラにとって重要である。
一方、PQCはよく研究された設計哲学と技術に基づいており、場合によっては、それが置き換えようとしている技術と同じくらい古いものである(6)。この結論は、サイバーセキュリティ分野の複数の権威とも一致している(7)。
ではQKDはどうなのか?
以上のことから、QKDにそれだけの価値がないと結論づけるべきではない。そうではない。QKDは、配備に対する高度な制御が可能で、高度なセキュリティが要求されるシナリオにおいて、鍵合意に優れた方法を提供する。例えば、軍や政府の内部ネットワークや、銀行間ネットワークでの使用などが考えられる。これらのシナリオに共通するのは、かなり均質な環境で動作することである:例えば、すべての参加者が既知であり(認証がより単純になる)、インフラがより単純で、組織の管理下にある(信頼されたリレーの必要性を扱いやすくする)。
参考文献
1. https://en.wikipedia.org/wiki/Shor のアルゴリズム
2. グローバルリスク研究所によれば、10~20年 。
3. Google、 amazon、 Apple iMessage、 Cloudflare。
4. https://csrc.nist.gov/Projects/post-quantum-cryptography/selected-algorithms-2022
5.これは開発不足の問題ではなく、デジタル署名スキームに必要な特性を持つアルゴリズムは 、量子情報に基づく技術では実現できないことが示されている 。
6.例えば、古典的なMcEliece暗号システムは、広く使われているRSA暗号システムが発表されたわずか1年後の1978年に記述されている。
7. NSA、 NCSC、 BSI、 ANSSI
