Post-Quantum Cryptography(PQC)
PQCとは、耐量子コンピュータ暗号(Post-Quantum Cryptography)のことです。耐量子暗号、耐量子計算機暗号とも呼ばれます。量子コンピュータで解くことが難しい(=量子コンピュータの高速計算に耐性を持つ)数学問題を利用した暗号方式です。
PQCが出てきた背景
現在広く利用されている公開鍵暗号方式は、暗号に使われている数学問題の解を得ることが従来のコンピュータでは困難であることを安全性の根拠としています。例えば、従来のコンピュータでRSA暗号(RSA-2048)の解を得るには数十年かかると言われています。*1
しかし、以下の二つの背景から、現在の公開鍵暗号方式は近い将来に安全性を保てなくなると予測されています。
①従来型コンピュータの性能向上
科学の発展によってコンピュータの計算速度は飛躍的に上がり、RSA暗号やEC暗号はより短期間で突破される恐れが高まっています。実際に、米国国立標準技術研究所(NIST)は、RSA-2048の暗号化の利用を2030年までとするよう提言しています。
②量子コンピュータによる高速計算の実現
近年、量子力学の原理を応用した量子コンピュータの研究開発が世界中で進められています。従来のコンピュータで解くには膨大な時間がかかる計算を、短時間で解くことができる可能性があり、実際にRSA暗号やEC暗号の解読時間を大幅に短縮できる計算方法が見つかっています。*1 *2
また、RSA暗号やEC暗号の鍵長を大きくしても、量子コンピュータによる高速計算に対しては安全性の保証が困難であることが分かっています。*1 *2
このような状況から、RSA暗号やEC暗号に代わる、より安全な暗号方式を模索する研究が始まり、量子コンピュータの高速計算に耐性を持つ暗号方式として、Post-Quantum Cryptography、略してPQCと呼ばれています。*1
直近のセキュリティ業界の動向、影響
前述の理由から、RSA暗号やEC暗号からより安全な公開鍵暗号方式への移行が望ましいとされており、新しい方式としてNISTが標準化プロジェクトを進めているPQCには、大きな注目が集まっています。*1
これまでにPQCの候補としてNISTに受理されたアルゴリズムの数は約70もあり、およそ7年かけて、審査、選定が続けられてきました。2022年に最終候補のアルゴリズムが発表され、2023年には3つのアルゴリズムについてドラフト版FIPSの公開とパブリックコメントの募集が行われました。
そして2024年8月、NISTはPQCの候補としていた3つの暗号方式(ML-KEM, ML-DSA, SLH-DSA)を、新たなFIPS標準として正式に公開しました。*3
さらにもう1つの暗号方式(FN-DSA)が、2024年末までに、同様にFIPS標準として発表される見込みです。
各標準の概要は下記の通りです。
- ML-KEM : 格子暗号を利用した鍵交換アルゴリズム。これまでのDHやECDHの代わりに利用することを想定。
- ML-DSA : 格子暗号を利用した電子署名アルゴリズム。これまでのDSAやECDSAの代わりに利用することを想定。
- SLH-DSA : ハッシュ関数を利用した電子署名アルゴリズム。これまでのDSAやECDSAの代わりに利用することを想定。
- FN-DSA : ML-DSAと同様に格子暗号の電子署名アルゴリズム。実装の難易度は高いが署名サイズは小さくすることが可能。
FIPS標準からは漏れましたが、LMSとXMSSというハッシュベースの電子署名アルゴリズムも公開されています。
また、米国国家安全保障局(NSA)も、CNSA 2.0としてPQC移行のタイムラインを提示しています。
CNSA 2.0では遅くとも2030~33年までに、PQCへの完全な移行とこれまでのアルゴリズムの廃止を、米国政府と、米国政府に関連するベンダに求めています。*4
一方、選定された暗号方式はいずれも「量子コンピュータで解くことが難しい」数学問題を利用した暗号方式ですが、「量子コンピュータで解くことが難しい」というのは、「従来/量子コンピュータで効率良く解く方法が、現時点で見つかっていない」ことを意味しています。つまり、その数学問題について効率の良い解法が見つかった場合には、その暗号方式を用いても通信やデータを悪意ある第三者の攻撃から守れなくなる可能性があります。
そのため、いずれの暗号方式にもPQCとして使用できなくなる可能性があります。このことから現在も各暗号方式が、量子コンピュータによる攻撃に耐えられるかどうか、また、実装や移行などの、実用上の様々なハードルを乗り越えられるかどうかについて、NISTを中心に世界中で研究が進められており、業界全体がその動向を注視している状況です。*1 *2
量子コンピュータの研究開発の勢いは世界中で高まっており、近い将来、実用化レベルのものが発表されると予測されています。前述の内容も含め、以下の三つの観点から早い段階でPQCへの移行を進めるべきと考えられています。
①これまでの暗号方式の一部で危殆化の恐れが高まっている
前述の通り、RSA暗号やEC暗号は、量子コンピュータによって効率良く解を得る方法が判明しているため、量子コンピュータの規模や精度が上がれば、これまでRSA暗号やEC暗号で暗号化してきたデータはすぐに解読される状態にあります。また、この状況でRSAやEC暗号の鍵長を大きくしても、量子コンピュータの発展スピードによっては、近い将来に解読される可能性が高いです。
②移行にかかる時間を考慮する必要がある
暗号方式の移行には、システムやサービスの規模によって長い期間を要するケースもあります。大規模な量子コンピュータの実現の目途が立ってからの移行対応では移行完了が間に合わない可能性も高いです。*2その場合、移行完了までの通信やデータの保護は困難になります。
③量子コンピュータの実用化とともに、直近のデータの保護が困難になる
ネットワーク上で通信された暗号化データを収集して、その暗号の安全性が低下したときにデータを解読するハーベスト攻撃という手法が存在します。これに備えるには、例えば10年は秘匿しておきたい情報がある場合、理想的な量子コンピュータの出現の10年以上前からPQCに移行しておく必要があります。
参考資料
*1 高木剛. "暗号と量子コンピュータ" オーム社, 2019.
*2 宇根正志, 菅和聖. "量子コンピュータ開発の進展と次世代暗号" 2021.
https://www.imes.boj.or.jp/research/papers/japanese/kk40-4-4.pdf
*3 "Post-Quantum Cryptography PQC"
https://csrc.nist.gov/projects/post-quantum-cryptography
*4 "Announcing the Commercial National Security Algorithm Suite 2.0"
https://media.defense.gov/2022/Sep/07/2003071834/-1/-1/0/CSA_CNSA_2.0_ALGORITHMS_.PDF