量子計算機時代に備えた「耐量子計算機暗号」への取り組み
近い将来、現在のコンピュータよりも高速・高性能な「量子計算機」が主流になるといわれています。本格的な量子計算機が登場すると、現在一般的に利用されている公開鍵暗号は(デジタル署名含む)解読されてしまいます。そのため、秘匿性の高い情報を安全に通信し、保管し、活用するための動きが世界中で急速に広まっています。当社では、本格的な量子計算機の登場に備え、耐量子計算機暗号の研究開発を進めています。
技術統括部
藤原 好将
量子計算機の現状について教えてください
量子計算機を使えば何でも速くなるという訳ではなく、量子計算機ならではの効率的な解法が存在する問題のみ計算が速くなり、一般のコンピュータの方が適した計算もあることを踏まえておく必要があります。それでも量子計算機が登場すると、例えば、最適な配送ルートを計算で導くことができる物流分野、AIを使った医療・創薬分野など、「組み合わせ最適化問題」を抱えている分野において課題の解決が期待できるといわれています。
しかし、量子計算機には多くのポテンシャルがある反面、現状ではさまざまな危険性も含まれていることを理解しておかなければなりません。最も認識しておくべきことは、セキュリティリスクに関する問題です。つまり、量子計算機の高速計算で、既に用いられている暗号通信の解読が可能になります。これは、金融業界などで使用されている暗号通信の仕組みが脅威にさらされてしまうことを意味します。(図-1)
しかし、量子計算機には多くのポテンシャルがある反面、現状ではさまざまな危険性も含まれていることを理解しておかなければなりません。最も認識しておくべきことは、セキュリティリスクに関する問題です。つまり、量子計算機の高速計算で、既に用いられている暗号通信の解読が可能になります。これは、金融業界などで使用されている暗号通信の仕組みが脅威にさらされてしまうことを意味します。(図-1)
量子計算機と暗号解読について教えてください
既存の暗号通信に代わる技術として、「量子暗号通信」があります。量子暗号通信は、量子の物理学的性質を利用した暗号通信として注目されています。量子鍵配送(QKD=Quantum Key Distribution)という技術を使い暗号化、復号に使用する鍵を相手に送信しますが、万一盗聴された場合でも盗聴を検知することができます。盗聴を検知した場合、鍵を新たな鍵に変えることができるので絶対安全とされ、量子計算機でも解読できない暗号技術です。しかし、すべての機器が量子暗号通信でデータをやり取りできるようになるには、装置の小型化、無線での利用など多くの課題を解決していく必要があり、これらの課題が解決されるまで現在利用している暗号通信技術を使い続ける必要があります。
そこで、当社では今現在普及している暗号方式を量子計算機でも解読が困難な「耐量子計算機暗号(PQC=Post Quantum Cryptography)」に置き換えることを想定し研究開発を進めています。現在実用化されている量子計算機は20量子ビット程度しかなく、現在主流の暗号方式を解読するには、その1,000倍以上の量子ビットが必要になるため、実際の解読は不可能です。しかし、本格的な量子計算機が登場してくると、金融業界などが暗号解読の脅威にさらされることが現実化してくることから、早期に対策を講じることがとても重要です。(図-2)
そこで、当社では今現在普及している暗号方式を量子計算機でも解読が困難な「耐量子計算機暗号(PQC=Post Quantum Cryptography)」に置き換えることを想定し研究開発を進めています。現在実用化されている量子計算機は20量子ビット程度しかなく、現在主流の暗号方式を解読するには、その1,000倍以上の量子ビットが必要になるため、実際の解読は不可能です。しかし、本格的な量子計算機が登場してくると、金融業界などが暗号解読の脅威にさらされることが現実化してくることから、早期に対策を講じることがとても重要です。(図-2)
一般的な暗号化技術についてどのような課題が浮き彫りになっていますか
NIST(アメリカ国立標準技術研究所)は、本格的な量子計算機の登場に備え、2016年からPQCの標準化に着手しています。標準化に向け、NISTは世界から複数の方式を採用する方針を打ち出し、公募を行っています。複数の方式を採用する理由は、一つの方式で対策が破られた場合に第2、第3の方式を用意しておくことで、より安全性が担保されるからです。
既存のインターネットでは、殆どの場合AESと呼ばれる暗号化と復号に同一の鍵を用いる「共通鍵暗号」を利用します。この鍵を安全にやり取りするためにRSAや楕円曲線といった「公開鍵暗号」を利用します。
公開鍵暗号であるRSA、楕円曲線に関しては、既に量子計算機で効率よく解けるアルゴリズムが見つかっているため、解読されることが懸念されています。そのため、現行の公開鍵暗号について新しい方式ヘの早期置き換えが急務になっています。一方、共通鍵暗号であるAESは、鍵長を長くすると耐性があるという評価結果が出ているため置き換えを急ぐ必要はないとされています。(図-3)
既存のインターネットでは、殆どの場合AESと呼ばれる暗号化と復号に同一の鍵を用いる「共通鍵暗号」を利用します。この鍵を安全にやり取りするためにRSAや楕円曲線といった「公開鍵暗号」を利用します。
公開鍵暗号であるRSA、楕円曲線に関しては、既に量子計算機で効率よく解けるアルゴリズムが見つかっているため、解読されることが懸念されています。そのため、現行の公開鍵暗号について新しい方式ヘの早期置き換えが急務になっています。一方、共通鍵暗号であるAESは、鍵長を長くすると耐性があるという評価結果が出ているため置き換えを急ぐ必要はないとされています。(図-3)
標準化に対して、どのような準備を行っているのですか
NISTは、標準化に向けてのロードマップで、公開鍵暗号、デジタル署名の双方で複数の方式を選定し、2022年から2024年の間に規格原案を公開する予定となっています。また、2016年当時のNISTの見解では、本格的な量子計算機の登場は2030年頃と予想していたことを踏まえると、耐用年数の長いインフラ、長期保存が必要な契約書などの電子文書などは、現行の仕組みを使っていると量子計算機で解読・改ざんされてしまうおそれがあり、耐量子計算機暗号を使った仕組みに移行する必要があります。そのため当社では、遅くとも2025年頃が移行時期だと考え、研究開発を進めています。
当社は、先行して耐量子計算機暗号の研究開発に取り組んでいた東芝 研究開発センターと連携し、標準化有力方式の技術習得と知財化、組込み機器を意識した軽量、安全な独自方式の開発を目指すスタンスで量子計算機時代の備えを進めています。
当社は、先行して耐量子計算機暗号の研究開発に取り組んでいた東芝 研究開発センターと連携し、標準化有力方式の技術習得と知財化、組込み機器を意識した軽量、安全な独自方式の開発を目指すスタンスで量子計算機時代の備えを進めています。
量子計算機時代が迫っている今、認識しておくことは何ですか
まず、皆が共通認識として危機意識を持つことです。世の中のインフラが、一斉に量子暗号通信を使ったネットワークで構成されるのは不可能です。悪意を持ってハッキングする人が量子計算機を使用しても、その業界が量子暗号通信を使っていれば安全です。しかし、現行のPCを使い続ける人は現実的に多いはずで、ハッカーにしてみれば標的だらけの世の中になってしまいます。危機意識の共有は、まず、ユーザが現行のデバイスや仕組みがいつまで使えるかを認識すること。一方で、供給者側は、システムがどれくらい長く使われるかを把握したうえで量子計算機時代の危機意識を持つことです。5年先、10年先を見据え、量子計算機の普及に先手を打ってモジュールアップデートなど、仕組みの設計を用意しておく必要があります。
IoTやAIの普及によりデータを送る端末の認証、送信データの保証がより重要になってきています。これらの実現にも耐量子計算機暗号が欠かせないと考えます。
※記事内における内容、組織名、役職などは2022年4月公開時のものです。
※本文中の会社名および製品名は各社が商標または登録商標として使用している場合があります。
IoTやAIの普及によりデータを送る端末の認証、送信データの保証がより重要になってきています。これらの実現にも耐量子計算機暗号が欠かせないと考えます。
※記事内における内容、組織名、役職などは2022年4月公開時のものです。
※本文中の会社名および製品名は各社が商標または登録商標として使用している場合があります。