Overview
量子暗号(Quantum Cryptography)と耐量子暗号(Post-Quantum Cryptography:PQC)は、量子コンピュータの脅威に対応するための暗号技術です。量子コンピュータが実用化されると、現在広く使われているRSAや楕円曲線暗号(ECC)などの公開鍵暗号方式が、ショアのアルゴリズムにより短時間で解読される可能性があります。
量子暗号は量子力学の原理(量子の不確定性原理や量子もつれ)を利用して通信の安全性を物理法則で保証する技術であり、代表的なものにQKD(Quantum Key Distribution:量子鍵配送)があります。一方、耐量子暗号(PQC)は量子コンピュータでも解読困難な数学的問題に基づく暗号方式で、既存のインフラ上で動作する点が特徴です。
NISTは2024年に最初のPQC標準を正式発表し、CRYSTALS-Kyber(鍵カプセル化)とCRYSTALS-Dilithium(デジタル署名)が選定されました。「Harvest Now, Decrypt Later(今収穫し、後で解読する)」と呼ばれる脅威が現実化しており、攻撃者が現在の暗号化通信を記録し、将来の量子コンピュータで解読する戦略に対する備えが急務となっています。
Details
NIST PQC標準化プロセス
NISTは2016年からPQCの標準化プロセスを開始し、世界中から提出された82の候補アルゴリズムを複数ラウンドにわたって評価しました。2024年に最終的な標準が発表され、以下のアルゴリズムが選定されています:
- ML-KEM(旧CRYSTALS-Kyber):格子問題に基づく鍵カプセル化メカニズム。TLS や VPN での鍵交換に使用
- ML-DSA(旧CRYSTALS-Dilithium):格子問題に基づくデジタル署名。コード署名や証明書に使用
- SLH-DSA(旧SPHINCS+):ハッシュベースのデジタル署名。格子問題への依存を回避するバックアップとして
- FN-DSA(旧FALCON):コンパクトな格子ベースの署名方式。帯域幅制約のある環境に適合
量子鍵配送(QKD)
QKD(Quantum Key Distribution)は、量子力学の原理を利用して暗号鍵を安全に共有する技術です。代表的なプロトコルであるBB84では、光子の偏光状態を利用して鍵ビットを送信します。量子力学の不確定性原理により、盗聴者が通信を傍受すると量子状態が変化するため、盗聴の有無を物理的に検知できます。
QKDの課題は、光ファイバーによる伝送距離の制限(現状で約100km)、専用のハードウェアが必要なこと、コストが高いことです。量子中継器の開発や衛星QKD(中国の「墨子」衛星による実験が成功)により、長距離QKDの実現に向けた研究が進んでいます。
Harvest Now, Decrypt Later(HNDL)攻撃
HNDL攻撃は、現時点では解読できない暗号化通信を大量に収集・保存し、量子コンピュータが実用化された時点で一括解読する戦略です。国家レベルの攻撃者が長期的な機密性が求められるデータ(外交通信、軍事機密、企業の知的財産など)を標的にしていると考えられています。
このため、量子コンピュータの実用化を待たずに、今すぐPQCへの移行を開始することが推奨されています。特に10年以上の機密性が求められるデータを扱う組織は、移行の緊急性が高いとされています。
ハイブリッド暗号方式
PQCへの移行期間中は、既存の暗号方式とPQCアルゴリズムをハイブリッドで使用するアプローチが推奨されています。例えば、TLS接続で従来の楕円曲線ディフィー・ヘルマン鍵交換とML-KEMを同時に使用し、どちらか一方の安全性が維持されていれば通信の安全性が保たれるようにします。Googleなどの大手テクノロジー企業はすでにハイブリッドPQCをChromeやクラウドサービスに実装しています。
Security Measures
- 01暗号資産の棚卸しと可視化:組織内で使用されているすべての暗号アルゴリズム、プロトコル、証明書、鍵管理システムの棚卸しを実施してください。どのシステムがPQC移行の対象となるかを特定する「暗号ビル・オブ・マテリアルズ(CBOM)」を作成しましょう。
- 02PQC移行ロードマップの策定:NISTの推奨に従い、組織のPQC移行ロードマップを策定してください。機密性の高いデータを扱うシステムを優先し、5〜10年の移行計画を立案します。ハイブリッド暗号方式の採用も検討しましょう。
- 03暗号アジリティ(Crypto Agility)の確保:暗号アルゴリズムを容易に変更・更新できるシステムアーキテクチャを採用してください。ハードコードされた暗号方式を排除し、設定変更で暗号を切り替えられる暗号アジリティを確保することが重要です。
- 04HNDL攻撃への即時対策:長期的な機密性が求められるデータの通信には、即座にハイブリッドPQC(従来暗号+PQCの組み合わせ)を導入してください。政府機密、医療記録、知的財産などが優先対象です。
- 05PQC対応製品の評価・検証:ベンダーが提供するPQC対応製品やライブラリの評価を開始し、パフォーマンスへの影響、互換性、実装の正確性を検証してください。OpenSSLやBoringSSLなどの主要ライブラリのPQCサポート状況を追跡しましょう。
- 06量子コンピュータ動向のモニタリング:量子コンピュータの技術進展を定期的にモニタリングし、移行計画のタイムラインを適宜調整してください。IBMやGoogleなどの量子コンピュータ開発ロードマップと、暗号解読に必要な量子ビット数の見積もりを追跡します。
Incidents
📋 NIST PQC候補アルゴリズムSIKEの破綻(2022年)
2022年、NISTのPQC標準化プロセスの最終候補の一つであったSIKE(Supersingular Isogeny Key Encapsulation)が、従来のコンピュータ上で効率的に解読可能であることが発見されました。ベルギーの研究者がシングルコアCPUで約1時間でSIKEの鍵を回復する攻撃を示しました。
この事例は、PQCアルゴリズムの安全性評価が依然として発展途上にあることを示しており、単一のPQCアルゴリズムに依存するのではなく、ハイブリッド方式の採用や暗号アジリティの確保が重要であることを裏付けました。
📋 GoogleのChromeにおけるハイブリッドPQC導入(2023年)
2023年、GoogleはChromeブラウザにハイブリッドPQC鍵交換(X25519Kyber768)を実験的に導入しました。従来の楕円曲線ディフィー・ヘルマン鍵交換にKyber768を組み合わせることで、量子コンピュータに対する保護を追加しながら、既存の安全性も維持する方式です。
導入にあたり、一部のネットワーク機器がハイブリッドPQCの大きな鍵サイズに対応できず、TLSハンドシェイクが失敗する問題が報告されました。これはPQC移行における互換性課題を浮き彫りにし、段階的な移行の重要性が認識される契機となりました。
📋 中国の量子衛星「墨子」によるQKD実証実験(2017-2020年)
中国は2016年に量子通信衛星「墨子(Micius)」を打ち上げ、衛星を介したQKDの実証実験に世界で初めて成功しました。2020年には約4,600kmの距離での衛星QKDを達成し、従来の光ファイバーベースQKDの距離制限を大幅に超える成果を示しました。
この実験は、量子通信技術の実用化に向けた大きな一歩であると同時に、量子技術における国際競争の激化を示すものでもあります。中国は「量子インターネット」の構築を国家戦略として推進しており、各国もPQCと量子通信技術への投資を加速させています。