量子コンピューティングの時期に関する暗号工学エンジニアの視点

 (words.filippo.io)
6 ポイント 投稿者 GN⁺ 23 일 전 | 1件のコメント | WhatsAppで共有
  • 最近の研究結果により、**暗号学的に意味のある量子コンピュータ(CRQC)**の出現可能性が今後数年以内へと前倒しされ、**耐量子計算機暗号(PQC)**展開の緊急性が急激に高まっている
  • Google と Oratomic の研究は、256ビット楕円曲線攻撃に必要な資源の削減を示し、ハードウェアとアルゴリズム効率が急速に改善している傾向を確認させる
  • 専門家は2029年をPQC移行の期限として提示し、現在は「否定できない脅威の段階」に入ったと警告している
  • 対応策として、ML-DSA と ML-KEM の即時導入非PQ方式の段階的廃止ハイブリッド認証の排除が提示されている
  • 結論として、CRQCはもはや仮定ではなく現実的なリスクであり、2029年以前の完全なPQC移行が必須である

量子コンピューティングの時期に関する暗号工学エンジニアの視点

  • 最近、**耐量子計算機暗号(PQC)**展開の緊急性が急激に高まっている
    • ほんの数か月前まではまだ余裕があると考えられていたが、最近の研究結果によって状況は急変した
    • **暗号学的に意味のある量子コンピュータ(CRQC)**の出現可能性が今後数年以内へと前倒しされたことを示す兆候が現れている

最近公開された2つの研究結果

  • Google研究チームは、256ビット楕円曲線(NIST P-256、secp256k1 など)を破るのに必要な論理量子ビット数とゲート数を大幅に削減した論文を発表
    • 超伝導量子ビットベースの高速クロックアーキテクチャでは、数分で攻撃可能だという試算を示した
    • 論文は暗号通貨の文脈で書かれているが、実際にはWebPKI に対する中間者攻撃にとってより深刻な意味を持つ
  • Oratomic研究チームは、**非局所接続(non-local connectivity)**を持つ中性原子システムにおいて、1万個の物理量子ビットだけで256ビット楕円曲線を破るシナリオを提示
    • 速度は遅いものの、たとえ月に1回でも鍵が破られ得るなら、致命的な結果を招きうる
  • 2つの研究はいずれも、ハードウェア性能向上、アルゴリズム効率改善、誤り訂正要件の低減という共通の傾向を示している

専門家たちの警告と時期認識の変化

  • Google の Heather AdkinsSophie Schmieg は、「量子の境界は予想よりはるかに近い」として、2029年を移行期限に提示した
    • これはわずか33か月しか残されていない日程であり、これまで提示された中で最も攻めたスケジュールだ
  • Scott Aaronson は、「核分裂研究が1939〜1940年に公に中断された時期」にたとえ、公開されていない急進的進展の可能性を警告した
  • RWPQC 2026 で示されたスケジュールも数週間で時代遅れとなり、「量子コンピュータはいつも10年先」という冗談はもはや通用しなくなった
  • 専門家たちに共通するメッセージは、「今は否定できない脅威の段階」だという点である

リスク認識と対応の必要性

  • 核心的な問いは「2030年にCRQCが存在する可能性があるか」ではなく、「2030年にCRQCが存在しないと確信できるか?」である
    • ユーザーの安全に責任を持つ立場では、1%未満の可能性であっても無視できない
  • 「まだ先の話だ」という懐疑論は、専門性不足の兆候とみなされる
    • Scott Aaronson は、「量子耐故障性を理解した後で『いつ 35 を素因数分解できるのか』と尋ねるのは、1943年のマンハッタン計画の物理学者に『いつ小さな核爆発を作れるのか』と聞くようなものだ」とたとえた
  • 予測が外れる可能性はあるが、今や外れる可能性より当たる可能性の方が重要であり、現時点のリスクは受容不能な水準である

今やるべきこと

  • 今すぐ展開(Ship Now) が必要
    • 完璧でなくても、現在利用可能なPQCをただちに導入すべきである
    • ML-DSA署名を既存のECDSAの代わりに適用し、WebPKI向け Merkle Tree Certificates もすでに十分進展している
  • 過去には「プロトコルを署名サイズに合わせて調整する時間はある」と判断されていたが、2029年の期限ではもはや余裕がない

鍵交換および認証方式の移行

  • ML-KEM ベースのPQ鍵交換は順調に進んでいるが、次の対応が必要
    1. 非PQ鍵交換はただちに能動的攻撃のリスクと見なし、OpenSSH のようにユーザーへ警告すべきである
    2. **非対話型鍵交換(NIKE)**は当面断念し、KEMベースの一方向認証方式のみ利用可能

  • 新たな非PQ暗号方式の展開は禁止

    • ECDSA、ペアリング、IDベース暗号などはもはや実用的ではない
    • **ハイブリッド認証(クラシック+PQ)**は不要であり、純粋な ML-DSA-44 へ移行すべきである
    • ハイブリッド署名は複雑性と時間の浪費であり、ML-DSA が古典計算で破られる可能性より CRQC 出現の可能性の方が高い
    • ただし、すでにマルチ署名構造をサポートするプロトコルでは、例外的に「2-of-2」方式の単純なハイブリッド署名は可能

対称暗号と Grover アルゴリズム

  • 対称暗号は変更不要

    • Grover アルゴリズムに対する単純化のせいで、「256ビット鍵が必要だ」という誤解が存在する
    • 実際には128ビット鍵で十分であり、Grover の量子的高速化は並列化できない
    • 不要な256ビット要求は、相互運用性の阻害とPQC移行の遅延を招くリスクがある

ソフトウェアおよびハードウェアエコシステムへの影響

  • Go 標準ライブラリの半分以上が近いうちに安全でない状態になる可能性がある
    • ダウングレード攻撃後方互換性のバランスが新たな課題となる
    • SHA-1 → SHA-256 移行よりもはるかに大きな混乱が予想される

  • TEE(信頼実行環境)— Intel SGX、AMD SEV-SNP などはPQ鍵をサポートしないため信頼できない

    • ハードウェアレベルの速度制約のためPQ移行は不可能であり、「多層防御(defense in depth)」程度へ格下げする必要がある

暗号ベースのエコシステムとファイル暗号化

  • 暗号ベースのIDシステム**(例: atproto、暗号通貨など)は**ただちに移行を開始する必要がある

    • CRQC 出現前に完了できなければ、ユーザー被害を受け入れるかアカウントを廃止するかの選択を迫られる
    • ファイル暗号化は「保存して後で復号する(store-now-decrypt-later)」攻撃に特に脆弱である
    • 非PQ age 受信者タイプに対する警告およびブロック機能の導入が予定されている
    • PQ受信者は age 1.3.0 バージョンで初めて導入された

教育と世代交代

  • ボローニャ大学の暗号学博士課程の講義では、RSA、ECDSA、ECDH をレガシーアルゴリズムとしてのみ扱っている
    • 学生たちは実際のキャリアの中で、これらを「過去の技術」として接することになるだろう
    • PQC移行が世代的な転換点であることを象徴している

スポンサーシップとオープンソース保守

  • Geomys は Go エコシステムの専門保守組織であり、Ava LabsTeleportTailscaleSentry の支援を受けて運営されている
    • これらの企業は、オープンソース暗号プロトコルの持続可能な保守と安全性確保を支えている
    • Teleport はユーザーアカウント乗っ取りとフィッシング防御のためのアクセス制御強化、Ava Labs はブロックチェーン暗号プロトコルの長期的信頼性確保を強調している

結論

  • CRQC出現の可能性は、もはや仮定ではなく現実的なリスクである
  • 2029年以前の完全なPQC移行が必須である
  • ML-KEM と ML-DSA をただちに展開し、非PQ方式は段階的に廃止すべきである
  • 暗号工学の実務者と意思決定者の双方が、今こそ行動すべき時点である

関連記事

1件のコメント

 
GN⁺ 23 일 전
Hacker Newsの意見

  • 量子コンピュータの実用化が近づいているなら、FIPS 203(ML-KEM) を TLS や SSH のようなプロトコルのセッション鍵交換に優先的に適用すべき
    ML-KEM は既存の Diffie-Hellman(古典型および楕円曲線型)を置き換える予定である
    これを使わなければ、攻撃者が今データを保存しておき、後で復号できてしまう
    一方で、証明書や電子署名は過去にさかのぼって偽造できないため、緊急性は低い
    ただし、法的効力を持つデジタル文書のように偽造に意味がある場合には、将来にわたって安全な署名方式が必要になる
    OpenSSH、OpenSSL などの主要ライブラリはすでに ML-KEM をサポートしているため、認証基盤を変えずに個人サーバーのレベルでも容易に導入できる

    • 昨年までは私も同じ立場で、それが業界の共通認識だった
      しかし予定が 2035 年ではなく 2029 年に前倒しされる可能性があり、認証基盤の移行も同時に進めるべき時期になった
      ML-KEM の展開はすでに順調に進んでいるが、いまや 非量子鍵交換を潜在的リスクと見なすべきである
      つまり、3 年以上保存されるデータがあるなら警告レベルとして扱うべきだ
    • 重要なのは既存の Diffie-Hellman を完全に置き換えるのではなく、ハイブリッド鍵交換として併用すること
      こうすれば古典暗号と耐量子暗号の両方を破らなければ攻撃できない
      ML-KEM も新しいアルゴリズムなので破られるリスクがあり、ハイブリッドが現実的な防御策である
      Dan Bernstein(djb) のような専門家も、ハイブリッドでないのは無責任な選択だと強調している
    • 実際、法的文書や暗号タイムスタンプはすでに RSA や EC ベースで署名されている
      こうしたケースでは、将来の偽造防止のために耐量子署名へ移行する必要がある

  • この議論は非線形に感じられる
    RSA の場合は 8 ビット、64 ビット、256 ビットと段階的に難易度が上がったが、量子コンピュータは過去 10 年間 RSA や EC に対して何の進展もなかった
    それなのに突然、数年以内にすべての公開鍵暗号を破れると言われるのは奇妙だ
    実際に RSA-256 ですら実験室で破られるのを見るまでは、軽々しく結論を出しにくい

    • Bas Westerbaan の記事Scott Aaronson のコメント を見ると、核心は 誤り訂正(error correction) にある
      これが可能になった瞬間、32 ビット RSA から 2048 ビット RSA へ行くのは大きな差ではない
      ちょうど核連鎖反応が自立的に起こせるようになれば、爆弾の規模を大きくするのは難しくないのと同じだ
      専門家がこうした理由でスケジュールは早いと言っているのである
    • 実際、過去 10 年間で ゲート精度とキュービット数は数十倍に増え、誤り訂正の効率も急激に向上した
      直近 4 年間のこの分野の進展は爆発的だった
    • この記事の要点は公開鍵交換が危険だということであり、その後の対称暗号そのものが危険だという話ではない
    • 参考までに、これまで量子コンピュータで素因数分解された最大の数は 21である

  • 良い記事だと思う
    HPKE ハイブリッド受信者の標準化に CFRG の遅延で 2 年もかかった点が印象的だった
    こうしたプロセス上の問題は IETF が内部で振り返るべきだ

    • この記事で主張されている反ハイブリッド論は誤りだと思う
      たとえ CRQC が今存在していたとしても、ハイブリッドアルゴリズムは攻撃コストを最低でも 100 万ドル規模まで引き上げる
      PQC 第 3 ラウンド候補の一部はノートPCでも破れたことを考えると、その方がはるかに良い
    • 最近の CRFG 会議であなたを見かけなかったのが残念だった

  • この記事のおかげで、「量子コンピュータはまだ先で、RSA は大丈夫だ」という自分の立場が少し変わった
    懐疑的な人にも理解できるようにリスクを現実的に説明してくれてありがとう

    • Scott Aaronson の言葉が特に印象的だった
      「量子誤り耐性を理解すれば、『いつ 35 を素因数分解できるのか』という問いは、1943 年のマンハッタン計画の科学者に『いつ小さな核爆発を作れるのか』と尋ねるのと同じだ」という比喩が、私の考えを完全に変えた

  • ハイブリッド鍵を省略しようという主張は危険である
    新しいアルゴリズムはまだ実運用での検証が不足しているため、単純な欠陥ひとつで大規模な被害が出る可能性がある

  • 量子コンピューティングは LLM 学習の高速化にも使える可能性があるので、Google がここに投資するのは賢明だ
    Google と SoftBank は昨年 2 億 3,000 万ドルを投資し、Microsoft・IBM・Google は過去 20 年で合計 150 億ドルを費やしてきた
    ただし Google の年間データセンター投資額が 1,500 億ドルであることを考えると、まだ実用化は遠いというシグナルかもしれない

  • 暗号を破るスーパーコンピュータを政府が開発中である可能性は十分ある
    マンハッタン計画のように、原理はすでに知られており、工学的問題だけが残っている状態だからだ
    政府は資金を集めるのが得意なので、実際に進めていてもおかしくない

    • 当時の ウラン型爆弾(Little Boy) は、実験なしでも成功を確信できるほど単純な構造だった
      一方、プルトニウム型(Fat Man) ははるかに複雑だったが効率が高く、核ミサイル技術の基盤になった
      Little BoyFat Man の設計は今見ても興味深い
    • 量子コンピュータは究極のゼロデイのようなものだ
      今すぐ使うのではなく、決定的な瞬間のために備蓄しておく技術である
    • 政府が秘密裏に技術を開発していないと信じるのは難しいと思う
      たとえば XKeyscore のような事例がすでにあった
    • ただしマンハッタン計画は、米国人口のかなりの割合が関わった超大型の産業プロジェクトだった
      あの規模の動員は二度と見られないだろう

  • この記事を読んで、対称暗号化の重要性を改めて感じた
    PQE が完全に定着するまで、一部の重要システムは 事前共有鍵(PSK) ベースの対称暗号で補完できる
    たとえば WireGuard VPN を PSK で運用すれば、手動で鍵を配布する必要はあるが、収集されたトラフィックは無意味になる
    このアプローチはスケーラビリティはないが、すぐに適用できる現実的なセキュリティ層になりうる
    結局のところ PQE が最善だが、新しい数学とシステムはまだ検証不足なので、並行した備えが必要だ

  • なぜ著者が AES-128 にこだわるのか分からない
    AES-256 はコスト差もほとんどなく、store-now-decrypt-later 攻撃に対してもより安全だ
    業界標準は 256 ビット鍵を推奨しているので、そのまま従えばよい
    Age のようなツールも 256 ビットのファイル鍵をデフォルトで使うべきだ

    • しかし NIST と BSI は AES-128、196、256 のいずれもポスト量子時代でも安全だと明記している
      AES-128 で十分だというのが業界の一般的な合意である
      CRQC が対称暗号を脅かすシナリオは存在しない
    • 著者は AES-128 が直ちに危険だとはっきり言っている
      256 への強制移行は、かえって本当に重要な移行作業から注意をそらす可能性がある

  • 量子コンピューティングは エンタングルメント(entanglement) に基づいて光より速い効果を生むように見えるが、実際には物理法則に違反しない
    したがって、空想科学というより、非常に難しい工学的課題と見るのが正しい