ポスト量子暗号(PQC: Post-Quantum Cryptography)
「ポスト量子暗号(PQC: Post-Quantum Cryptography)」とは、量子コンピュータによる攻撃にも耐えられるよう設計された次世代の暗号技術のことです。現在の暗号技術の多くは、将来的に量子コンピュータの実用化によって安全性を失うと見られています。その脅威から通信やデータのセキュリティを守るためにポスト量子暗号(以下、PQC)の研究・開発が進められています。本稿では、ポスト量子暗号(PQC)の特徴や仕組み、脅威の種類、実用化に向けた取り組みと課題について解説します。
ポスト量子暗号(PQC)が必要とされる背景
私たちが使用しているインターネット通信やオンライン決済は、暗号技術によって守られています。現在広く使われているRSA暗号や楕円曲線暗号(ECC)は、大きな数の素因数分解や楕円曲線離散対数問題など、数学的な問題の解決が非常に困難であるという前提の上に成り立っている技術です。これらの暗号は、現在のコンピュータでは解読に膨大な時間がかかるため安全とされてきました。
しかし、量子コンピュータが登場すると状況は一変します。量子コンピュータは、一度に複数の状態を同時に保持する「重ね合わせ」や、量子ビット間の相関関係を利用する「量子もつれ」などの性質を使って並列計算を行う、まったく新しい仕組みのコンピュータです。
1994年にピーター・ショアが考案したショアのアルゴリズムを用いることで、量子コンピュータが素因数分解問題や離散対数問題を効率的に解くことができると数学的に証明されました。つまり、十分な量子ビットを持つ量子コンピュータが実用化されれば、現在の公開鍵暗号は簡単に破られてしまうということです。
専門家の間では、2030年代にも暗号解読が可能な規模の量子コンピュータが登場すると予測されています。これにより将来、過去に記録された暗号化通信が解読される可能性があるため、脅威が現実になる前に、ポスト量子暗号に移行するための取り組みが始まっています。
量子コンピュータの実現と普及により想定される脅威
量子コンピュータが実現・普及した場合に想定される脅威は、従来のサイバーセキュリティリスクとは次元が異なります。これまで「解読できないこと」を前提として構築されてきたプラットフォームの信頼性が崩れることにより、社会全体に深刻な影響を及ぼす可能性があります。
米国の国土安全運用分析センター(HSOAC:Homeland Security Operational Analysis Center)の報告書によると、量子コンピュータの脅威により影響が及ぶ機能には以下のようなものが想定されます。
| 分野を問わず |
特に金融関連の機能であり緊急度は中から低のもの |
|---|---|
| インターネットコンテンツ・情報通信 | 資本市場や投資行動 |
| 衛星による通信 | 商業銀行 |
| 無線アクセス通信 | 資金提供・流動性供給 |
| 法執行 | 決済 |
| 医療記録へのアクセス | 保険 |
| 機密情報の保護 | 大口資金提供 |
| 公衆衛生支援 | |
| 情報技術製品・サービス | |
| 防衛産業への物資・運用支援 |
※金融庁「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書」P19をもとにニュートン・コンサルティングが作成
量子コンピュータが従来の暗号方式を解読することで、証明書や電子署名の偽造が可能になります。これにより、ウェブサイトの安全な通信が保証できなくなるほか、ソフトウェアの正当性やメール送信元の信頼性も崩れてしまいます。
また、金融機関などでは、銀行間の送金、行政手続きのオンライン化など公開鍵暗号を使用したデータの送受信が多数行われています。このほか外交文書、軍事通信、研究データなど、長期にわたる機密性が要求される情報などが漏洩した場合、重大な経済的損失や法的リスク、国家の安全保障や企業競争力に重大な損失を与える可能性があります。
ポスト量子暗号(PQC)の特徴と代表的な方式
ポスト量子暗号(PQC)とは、従来のコンピュータと量子コンピュータ両方からの攻撃に対しても安全性を確保できる暗号方式の総称です。量子コンピュータ攻撃への耐性を「耐量子計算機性」と言うことから「耐量子計算機暗号」とも呼ばれます。
ポスト量子暗号は、従来の暗号とは異なる数学的原理に基づいて設計されており、量子コンピュータを使っても解読が極めて困難とされています。現在、各国政府や主要研究機関が実用化を目指して研究開発を進めており、米国国立標準技術研究所(以下、NIST)も国際標準化の実現に向けて中心的な役割を果たしています。
ポスト量子暗号は、量子コンピュータでも効率的に解けない数学的難問に基づいて構築されています。以下の3つの暗号方式は、20年以上研究が行われている暗号技術で、現状では効率的に解読するアルゴリズムが発見されていないものとなっています。
- ● 格子ベース暗号
- 高次元空間に配置された点の集合(格子)における最短ベクトル問題という難問を利用した方式です。計算効率が高く、鍵交換やデジタル署名など多用途に利用できるため、現在もっとも有望視されています。
- ● ハッシュベース暗号
- 一方向ハッシュ関数の出力値から入力値を計算することができない性質を利用した方式です。数学的に高い安全性を持ち、NISTによるポスト量子暗号標準規格の一つとして指定されています。
- ● 符号ベース暗号
- 通信エラーを修正するための誤り訂正符号における復号問題を暗号化に応用した方式です。長年の研究により安全性が検証されている一方、生成される鍵のサイズが非常に大きくなるため、実用面で課題があります。
ポスト量子暗号(PQC)の実用化に向けた取り組みと課題
ポスト量子暗号の実用化に向け、世界各国の取り組みが進んでいます。米国ではNISTが2024年8月に、ポスト量子暗号の標準規格を発表しました。
- FIPS 203(ML-KEM):格子暗号ベースの鍵カプセル化方式
- FIPS 204(ML-DSA):格子暗号ベースのデジタル署名
- FIPS 205(SLH-DSA):ハッシュベースのデジタル署名
NISTは、政府機関や金融機関などの長期的な機密性の高い情報を扱う組織に対し、ポスト量子暗号への移行を推奨しており、米国政府は2035年までに量子コンピュータによる脅威を低減することを目標に掲げています。
一方、ポスト量子暗号には、依然として課題も少なくありません。例えば、従来暗号と比べて鍵のサイズが大きく、システムのパフォーマンスへの影響が懸念されています。また、既存の膨大なITインフラをポスト量子暗号に対応させるには、多大なコストと時間が必要です。
こうした課題に対し、産官学が連携して、現行の暗号方式とポスト量子暗号を併用するハイブリッド方式による段階的な移行や、クリプトグラフィック・アジリティ(暗号方式を柔軟に変更できる能力)の確保などの取り組みが進められています。
日本におけるポスト量子暗号(PQC)の取り組み
日本では、暗号技術の安全性評価と推奨暗号の選定を行う国家プロジェクト「CRYPTREC(クリプトレック)」が、PQCの研究・標準化に取り組んでいます。2000年に暗号技術評価委員会として発足したこの活動は、現在はデジタル庁、総務省、経産省、NICTおよびIPAが中心となって推進しています。
2021年度から2024年度において、CRYPTRECの下に「暗号技術調査ワーキンググループ(耐量子計算機暗号)」を設置しました。
このワーキンググループ(通称「PQC WG」)は、2024年度版「CRYPTREC暗号技術ガイドライン(耐量子計算機暗号)」を策定しました。このガイドラインでは、PQCの様々な方式、その安全性などの調査、有望と考えられるPQCの選定と詳細について報告されています。
また、CRYPTRECは量子コンピュータの発展により現在広く使われている公開鍵暗号方式が2030年頃には安全でなくなる可能性を「暗号化の2030年問題」と位置づけており、これに対処すべくPQCの研究開発、実装への対応を急ピッチで進めています。
