量子コンピュータは、地球にとって素晴らしい可能性を秘めています。と同時に、インターネットの基盤となるセキュリティを脅かす力も持っています。

量子コンピュータの話題を追っている人なら、おそらく「Q-Day」について聞いたことがあるでしょう。いつとは確定していないものの必ず訪れる日、私たちが現在インターネットや多くのデジタルプロセスの安全性を依存している暗号化アルゴリズムを量子コンピュータが破る能力を獲得する日のことです。

私は、この言葉を再定義することを提案します。量子コンピュータのリスクに備えるために必要な暗号化の俊敏性について、組織が強い関心を持つべき瞬間という意味です。

その瞬間は、今です。

量子が破ろうとしているアルゴリズム

HTTPS の「S」（ブラウザ上では南京錠で示される）は、TLS（Transport Layer Security）と呼ばれる暗号化プロトコルによって提供されています。TLS で使われているのは、非対称暗号と呼ばれる暗号化方式です。つまりデータを暗号化して電子署名を検証する公開鍵と、データを復号して電子署名を生成する秘密鍵という一対の鍵ペアを用いる方式であり、現在最も一般的な非対称アルゴリズムが、RSA と ECC です。

クレジットカード情報や納税者 ID をウェブサイトで入力するときなどに、私たちはネットワーク通信を保護するために非対称暗号を利用しています。また、全世界のクラウドやデータセンターで巨大なデータベースを保護するときに使用されるような、他の暗号化キー（キーのカプセル化）を保護するためにも非対称暗号を使用します。簡単に言えば、非対称暗号は現在、ほぼあらゆるものを保護しているということです。

非対称暗号は複雑な数学（大きな素数）を利用するため、現在のスーパーコンピュータでも解くのはきわめて困難です。ところが、量子コンピュータは複雑な数学の問題を解くことを得意としています。そしてある時点で、量子コンピュータは非対称暗号という複雑な数学の問題を短時間で解けるくらい十分な処理能力を持つようになるでしょう

（非対称暗号について詳しくは、インターネットで "ボブとアリス"を検索してみてください。冗談ではありません）。

問題は「いつ」ではなく「いかにして」

このような変化がいつ起こるか正確には誰にもわかりませんが、「いつ」は問題ではありません。私たちが心配しなければならない、しかもかなり本気で心配しなければならないのは、全システムを量子安全な状態にアップデートするのに、どのくらい時間がかかるかということです。

繰り返しますが、全システムです。私たちが日々使っている システムです。

医療記録や ガスポンプ。ATM、公共事業、軍用通信もです。

といっても、RSA 暗号を使用して保護されてきたものがすべて今すぐに、あるいは同時に危険にさらされるという意味ではありません。そうではなく、どんな秘密鍵でも短時間で（数日ではなく数時間と考えてください）導き出せるため、攻撃者はいつでも好きなときに、その秘密鍵で保護されている対象をたやすく偽造・悪用できるようになるということです。

新しい PQC アルゴリズムが量子安全を実現

RSA と ECC はきわめて広い用途に使われています。情報の暗号化と復号にも、メッセージの真正性を検証する電子署名の生成にも利用されています。現在の耐量子コンピュータ暗号（PQC）アルゴリズムはそうではありません。つまり、ユースケースが異なれば別のアルゴリズムが必要になるということです。

現在、28 の PQC アルゴリズムが開発中であり、そのうち次の 4 つを NIST が標準として提案しています。

• Crystals-Kyber: 暗号鍵のカプセル化用。
• Crystals-Dilithium: 電子署名用。
• SPHINCS+: 電子署名用。
• FALCON: 電子署名用。

たとえばコンピュータ資源については、RSA 2028 で作成される電子署名が 256 ビットなのに対して、SPHINCS+で作成される電子署名は 17 キロバイト（66 倍）です。

NIST が 3 つの電子署名アルゴリズムの標準化を検討していることはご存じかもしません。それぞれ、ユースケースごとに役に立つ明確な利点があります。Dilithium は、IoT デバイスのようにリソース上の制約がある環境に適しています。SPHINCS+ は、容量が限られている場合に小さい鍵を使用しますが、上で示したように生成される署名のサイズは大きくなります。FALCON は高速な署名検証を実現するため、高性能のトランザクション処理に最適です。

今日からすぐにできる対策

量子コンピュータへの対応は、1 日で達成できるものではありませんし、一度で終わるものでもありません。最も保護の進んだ組織なら、暗号化の俊敏性に対応し、システムのインフラを中断することなく、古くなった暗号資産を交換できそうです。

暗号化の俊敏性を実現する手始めの手順は、以下のとおりです。

• 証明書、アルゴリズム、その他の暗号化資産のインベントリを作成する
• 信頼のルーツとなる暗号化アルゴリズム（組織のプライベート認証局など）、長寿命デバイスのファームウェア、長期間信頼される必要がある署名を生成するその他の資産を交換する
• 量子安全なアルゴリズムを製品に組み込む方法を検討する

暗号化の俊敏性における「俊敏性」の実現

世界のサイバーセキュリティインフラの量子安全化は、一朝一夕にはいきません。おそらく試行錯誤も何度か必要です。PQC は何年も前から開発されていますが、実用を承認された最初のバージョンは、時の試練に耐えられないかもしれません。

しかも、PQC のアルゴリズムは、現在使われている同種のアルゴリズムの代替にはなりません。サポートの必要なアルゴリズムは増え、鍵のサイズとその結果として得られる暗号文（暗号化されたデータ）には、現在のアルゴリズムよりも大量のコンピュータリソースが必要になります。

Q-Day は今日だけではありません。これからの毎日が Q-Day といえます。だからこそ、真の最終目標は暗号化の俊敏性なのであり、「俊敏性」が強調されているのです。量子コンピュータへの真の対応とは、変化に速やかに適応できるように備えることであり、ビジネスに大きな混乱をもたらすことなく適応できるセキュリティソリューションを導入することです。

デジタルトラストに関する最新情報

暗号化の俊敏性、エンタープライズセキュリティ、PQC などのトピックについて詳しくお知りになりたい場合、記事を見逃さないようにデジサートのブログを参照してください。