Post-Quantum Cryptography

耐量子暗号（Post-Quantum Cryptography / PQC）とは、将来実用化される大規模量子コンピュータによる攻撃に対しても安全性を維持できる暗号アルゴリズムの総称です。現在広く使用されているRSAや楕円曲線暗号（ECC）などの公開鍵暗号は、量子コンピュータ上で動作するShorのアルゴリズムによって効率的に解読される可能性があり、量子コンピュータの実用化に備えた暗号技術の移行が世界的な急務となっています。

2024年8月、NIST（米国国立標準技術研究所）は約8年にわたる選定プロセスを経て、最初の耐量子暗号標準を正式に公表しました。鍵カプセル化メカニズム（KEM）としてML-KEM（Module-Lattice-Based Key-Encapsulation Mechanism、旧称Kyber）、デジタル署名としてML-DSA（Module-Lattice-Based Digital Signature Algorithm、旧称Dilithium）およびSLH-DSA（Stateless Hash-Based Digital Signature Algorithm、旧称SPHINCS+）が標準化されました。

量子コンピュータの脅威は未来の話ではありません。「Harvest Now, Decrypt Later（今収集して後で解読する）」と呼ばれる戦略により、国家レベルの攻撃者が現在の暗号通信を大量に傍受・保存し、量子コンピュータが実用化された時点で解読することが懸念されています。このため、機密性の高い長期保存データについては、今すぐ耐量子暗号への移行を開始する必要があります。

量子コンピュータによる暗号への脅威

量子コンピュータが現在の暗号技術に与える影響は、アルゴリズムの種類によって異なります。Shorのアルゴリズムは、素因数分解と離散対数問題を多項式時間で解くことができ、RSA、DSA、ECDSA、ECDH、Diffie-Hellmanなどの公開鍵暗号を完全に破壊します。2048ビットRSAの解読には現在の古典コンピュータで数十億年かかりますが、十分な規模の量子コンピュータでは数時間で解読可能になると推定されています。

一方、Groverのアルゴリズムは共通鍵暗号やハッシュ関数に対して二乗根の高速化を実現しますが、影響は限定的です。AES-256はGroverのアルゴリズムに対しても128ビット相当の安全性を維持するため、鍵長を2倍にすることで対応可能です。このため、耐量子暗号への移行は主に公開鍵暗号が対象となります。

NIST PQC標準化アルゴリズム

NISTは2016年から耐量子暗号の標準化プロセスを開始し、世界中から69のアルゴリズム候補を受け付けました。複数ラウンドの評価を経て、2024年に以下の標準が確定しました。

• ML-KEM（FIPS 203）：格子ベースの鍵カプセル化メカニズム。旧称CRYSTALS-Kyber。TLS、VPN、メッセージングなどの鍵交換に使用される。パラメータセットとしてML-KEM-512、ML-KEM-768、ML-KEM-1024の3段階がある
• ML-DSA（FIPS 204）：格子ベースのデジタル署名アルゴリズム。旧称CRYSTALS-Dilithium。コード署名、証明書、認証プロトコルなどに使用される。ML-DSA-44、ML-DSA-65、ML-DSA-87の3段階のパラメータセットがある
• SLH-DSA（FIPS 205）：ハッシュベースのデジタル署名アルゴリズム。旧称SPHINCS+。格子ベースとは異なる数学的前提に基づくため、格子問題に未知の脆弱性が発見された場合のバックアップとして重要

耐量子暗号のアプローチ

耐量子暗号には、量子コンピュータでも効率的に解けないとされる数学的問題に基づく複数のアプローチが存在します。

• 格子ベース暗号（Lattice-based）：高次元格子上の最短ベクトル問題（SVP）やLearning With Errors（LWE）問題に基づく。ML-KEMやML-DSAがこれに該当し、鍵サイズと処理速度のバランスに優れる
• ハッシュベース暗号（Hash-based）：暗号学的ハッシュ関数の安全性のみに依存する署名方式。SLH-DSAがこれに該当し、数学的前提が最もシンプルで信頼性が高いが、署名サイズが大きい
• 符号ベース暗号（Code-based）：誤り訂正符号の復号問題の困難性に基づく。McEliece暗号が代表例で、NISTの追加ラウンドで評価継続中。公開鍵のサイズが非常に大きいことが課題
• 多変数多項式暗号（Multivariate）：連立多変数多項式方程式の求解困難性に基づく。署名サイズは小さいが、過去に多くの方式が破られており、安全なパラメータの選定が難しい

ハイブリッド鍵交換

ハイブリッド鍵交換は、従来の公開鍵暗号（ECDH等）と耐量子暗号（ML-KEM等）を組み合わせて使用するアプローチです。これにより、耐量子暗号アルゴリズムに未発見の脆弱性があった場合でも、従来の暗号が安全性のフォールバックとなります。逆に量子コンピュータが実用化された場合は、耐量子暗号が安全性を担保します。GoogleのChrome、CloudflareのCDN、Signal Messengerなどが既にハイブリッド鍵交換を本番環境で導入しています。TLS 1.3ではX25519とML-KEM-768を組み合わせたX25519Kyber768が広く実装されています。

「Harvest Now, Decrypt Later」の脅威

量子コンピュータはまだ実用化されていませんが、「Harvest Now, Decrypt Later（HNDL）」戦略は現在進行形の脅威です。国家レベルの攻撃者が、現在の暗号化通信を大量に傍受・保存し、将来の量子コンピュータで解読することを意図しています。外交通信、軍事機密、知的財産、医療記録、個人情報など、データの機密性が長期間にわたって重要であるほど、この脅威は深刻です。米国NSA、英国NCSCなどの情報機関は、HNDLの脅威を公式に認め、耐量子暗号への早期移行を勧告しています。

移行のタイムライン

米国政府は2035年までにすべての連邦政府システムを耐量子暗号に移行することを目標としています。NSAは2030年を国家安全保障システムの移行期限として設定しています。しかし、大規模なITインフラの暗号移行には5〜15年かかると推定されており、今すぐ計画を開始しなければ期限に間に合いません。日本でもCRYPTRECが耐量子暗号の評価・推奨に向けた検討を進めており、政府調達基準への反映が見込まれています。

• 01
  暗号アジリティ（Crypto-Agility）の実現：システム設計において暗号アルゴリズムを容易に切り替えられる構造を採用してください。暗号アルゴリズムをハードコーディングせず、設定ファイルやプロトコルネゴシエーションで動的に選択できるようにします。TLS、SSH、VPNなどのプロトコルではアルゴリズムネゴシエーション機能を活用し、耐量子暗号への段階的な移行を可能にしましょう。
• 02
  ハイブリッド暗号方式の早期導入：移行期間中は従来の公開鍵暗号と耐量子暗号を組み合わせたハイブリッド方式を採用してください。TLS 1.3ではX25519Kyber768、IPsecではML-KEM-768とECDHの組み合わせが利用可能です。ハイブリッド方式により、どちらか一方のアルゴリズムに脆弱性が発見されても安全性が維持されます。
• 03
  暗号資産の棚卸しと分類：組織内で使用されているすべての暗号アルゴリズム、鍵長、プロトコル、証明書、ライブラリを包括的に棚卸ししてください。自動化ツール（IBM Quantum Safe Explorer等）を活用し、RSA、ECDSA、ECDHなど量子コンピュータに脆弱なアルゴリズムの使用箇所を特定します。この棚卸しが移行計画の基礎となります。
• 04
  長期保存データの優先的な保護：「Harvest Now, Decrypt Later」脅威に対して最も脆弱な長期保存データを優先的に保護してください。医療記録（保存期間：数十年）、政府機密文書、知的財産、個人識別情報など、データの機密性が数年以上持続する情報に対しては、即座にハイブリッド暗号化またはPQCへの移行を開始すべきです。
• 05
  PQCライブラリの検証と導入：NIST標準に準拠した実装として、liboqs（Open Quantum Safe）、Bouncy Castle、OpenSSL 3.x（oqsprovider経由）などの成熟したライブラリを採用してください。自前でPQCアルゴリズムを実装することは避け、サイドチャネル攻撃対策が施された検証済みのライブラリを使用しましょう。導入前には十分な互換性テストとパフォーマンス評価を実施してください。
• 06
  移行ロードマップの策定と実行：NIST SP 1800-38Cなどのガイダンスを参考に、組織固有のPQC移行ロードマップを策定してください。フェーズ1（棚卸し・評価）、フェーズ2（ハイブリッド導入・テスト）、フェーズ3（完全移行）の3段階で計画し、各フェーズの期限、責任者、予算を明確化します。外部サプライヤーやクラウドプロバイダーのPQC対応状況も確認し、サプライチェーン全体での移行を推進しましょう。