人類が新たな計算資源の地平に足を踏み入れるにつれ、デジタル世界を覆う不安が静かに広がっている。量子コンピュータの完成は、現代の暗号技術をすべて無力化する。この圧倒的な恐怖は、暗号学者やエンジニアたちの間に強力な強迫観念を植え付けてきた。公開鍵暗号が崩壊する運命にあることは、すでに広く認識された数学的真実である。そこから派生し、データを直接秘匿する対称暗号(共通鍵暗号)の安全性も量子計算によって半減するという言説が、長きにわたって業界を支配してきた。事実、多くの企業が次世代の脅威に備えるという名目で、AES-128を捨て去り、より長大な鍵への移行を急いでいる。このパニックは本当に正当な根拠に基づくものなのか。最前線の暗号学者たちが算出した緻密な物理的制約と計算コストの比較は、この鍵サイズ倍増という移行計画が、完全な幻影に過ぎないことを冷酷なまでに証明している。
暗号世界を覆う「半減の呪縛」と歴史的連鎖
1994年、数学者ピーター・ショアが発表したアルゴリズムは、素因数分解や離散対数問題を多項式時間で解くことを可能にし、RSAや楕円曲線暗号といった非対称暗号に事実上の死刑を宣告した。この衝撃はあまりに大きく、暗号界隈に消えることのないトラウマを刻み込んだ。そのわずか2年後、ロブ・グローバーが未整理データの探索回数を平方根にまで圧縮する画期的なアルゴリズムを提示した際、人々は即座に最悪のシナリオを連想した。対称暗号の探索空間もまた、量子計算によって劇的に縮小されるという連想である。
理論上、2の128乗の組み合わせを持つAES-128の鍵空間は、Groverのアルゴリズムを用いれば2の64乗の計算回数で特定できる。2の64乗という数字は、現代の高性能な古典的コンピュータ群を動員すれば十分に到達可能な領域である。この平方根の法則を額面通りに受け取った人々は、量子コンピュータの登場によってAES-128のセキュリティ強度が実質的に64ビットにまで低下すると信じ込んだ。
しかし、計算量理論の純粋な数学的モデルは、物理的なハードウェア上での実行可能性や並列処理の限界という工学的な現実を一切考慮していない。理論上のステップ数の削減が、システム全体の計算コスト低下を直ちに意味するわけではないという盲点が、このパニックの根源にある。
図書館の探索者たち。古典的並列処理と量子探索の決定的な溝
コンピュータサイエンスにおいて、暗号を解読する総当たり攻撃(ブルートフォース)の計算コストを評価する際、並列化の容易さは極めて重要な指標となる。
古典的な総当たり攻撃は極めて単純な構造を持っている。巨大な図書館の中から一冊の特定の本を探し出す作業を想像してほしい。一人で探せば膨大な時間がかかるが、1万人の人間を雇い、図書館の各階に配置して手分けをして探させれば、発見までの時間は正確に1万分の1に短縮される。個々の作業者が行う仕事の総和は変わらず、単に時間の壁を人海戦術で乗り越えているに過ぎない。古典的計算においては、プロセッサの数を増やせば増やすほど、直線的に計算時間を短縮できる。
一方、Groverのアルゴリズムによる探索は、これとは全く異なる物理的法則に支配されている。このアルゴリズムは、特殊な液体のインクをページに一滴ずつ垂らし、特定の文字を徐々に浮かび上がらせるようなプロセスに例えられる。インクを垂らす作業、すなわち確率振幅の増幅は、前のステップの結果に依存して次のステップが行われるため、厳密な順序に従って連続的に実行しなければならない。
途中で別の作業者に本を渡して作業を分割しようとすると、渡された人間はまた最初からインクを垂らし直さなければならなくなる。Groverのアルゴリズムにおいて探索空間を分割し、複数の量子コンピュータに計算を割り振った場合、個々のデバイスでの計算時間は短くなるものの、システム全体で消費される計算リソースは劇的に膨れ上がってしまう。
この性質により、Groverのアルゴリズムは並列化の恩恵を受けるどころか、並列化すればするほど非効率に陥るというパラドックスを抱えている。
量子の脆さと計算機科学が暴く冷酷な算式
この理論的なジレンマに加えて、量子コンピュータ特有の極めて繊細な物理的制約が立ちはだかる。量子状態は環境ノイズに対して脆弱であり、宇宙線の衝突やわずかな熱変動によって容易にデコヒーレンスを起こし、計算結果を破壊する。
このノイズを克服するためには、エラー訂正という途方もないハードルを越える必要がある。一つの信頼できる論理量子ビットを生成するためには、数千から数万もの物理量子ビットを束ねて冗長性を持たせなければならない。単一の論理演算を実行するだけで、水面下では膨大な物理的エラー訂正サイクルが回転し続けることになる。
著名な暗号技術者であるFilippo Valsorda氏は、これらの制約を最大限に甘く見積もった上で、AES-128に対する攻撃コストを数値化した。彼の計算モデルは、論理ゲートの操作にかかる時間がわずか1マイクロ秒であり、エラーやデコヒーレンスを起こすことなく10年間連続して稼働し続ける夢のような量子システムを仮定している。現実の物理学から見れば荒唐無稽とも言えるほど攻撃者に有利な条件である。
この理想的なシステムにおいて、10年間で連続して実行できる操作の最大値(最大深さ)は2の48乗回となる。一方、AES-128を量子回路内で計算するための最適化された深さは232ステップを要する。この制約の枠内でAES-128の鍵を解読するには、最大深さを超えないように探索空間を分割し、膨大な数の量子コンピュータを並列稼働させなければならない。
計算の結果、導き出された必要デバイス数は2の47乗、約140兆個の量子回路である。各回路には724個のエラー訂正された論理量子ビットが含まれていなければならない。140兆個の超高性能量子システムを10年間並列稼働させた場合の全体的な計算コスト、すなわち深さと幅の積であるDWコストは、約2の104.5乗に達する。これは単純な2の64乗という迷信から導き出されるコストを天文学的な規模で凌駕している。
| 比較項目 | 古典的ブルートフォース攻撃 | 量子計算機によるGrover攻撃 |
|---|---|---|
| 探索モデル | 図書館での人海戦術(完全に独立した作業) | インクの滴下(前のステップに依存する逐次処理) |
| 並列化の性質 | 極めて容易。線形にスケールする。 | 極めて困難。分割すると全体効率が低下する。 |
| 探索空間の分割効果 | 時間は短縮され、全体コストは不変。 | 時間は短縮されるが、全体コストは増大する。 |
| AES-128に対する推定コスト | 2の128乗(現実的に不可能) | 約2の104.5乗(現実的に不可能) |
| ハードウェアの制約 | プロセッサ数と消費電力のみ | 長期間のコヒーレンス維持、莫大なエラー訂正オーバーヘッド |
4300京倍の隔たり。非対称暗号崩壊とのコスト比較
この2の104.5乗という数字が現実の脅威評価において何を意味するのか。非対称暗号に対する量子攻撃のコストと比較することで、その真の姿が明白になる。
先端的な研究によれば、広く利用されている256ビットの楕円曲線暗号をShorのアルゴリズムを用いて破るために必要な計算コストは、約2の26乗、数千万回の論理ゲート操作に過ぎない。先ほどの理想的なハードウェアを想定すれば数分で完了する規模である。
AES-128をGroverのアルゴリズムで破るためのコストは、楕円曲線暗号を破るコストと比較して実に2の78.5乗倍の計算資源を要求する。10進数に換算すれば、約4.3×10の23乗倍、4300京倍という気の遠くなるような格差が存在している。量子コンピュータが引き起こすサイバーセキュリティの脅威は実在するが、その矛先がAES-128に向けられることはない。
権威たちの沈黙の合意と、真のポスト量子戦略
この数理的現実は、世界の暗号標準を策定する主要機関の動向にも明確に反映されている。
米国国立標準技術研究所(NIST)は2026年4月、暗号鍵生成に関する特別刊行物「SP 800-133 Revision 3」のパブリックコメント募集を開始した。この文書では、非対称暗号の鍵生成において新たなポスト量子暗号への対応が追加されている。その一方で、対称鍵の生成においては既存の仕様が維持され、鍵サイズの拡大は一切要求されていない。
NISTはかつて、非対称暗号が直面した危機の際、業界全体が混乱に陥るのを防ぐために迅速かつ慎重な標準化プロセスを主導してきた。そのNISTが、ポスト量子暗号のセキュリティ評価フレームワークにおいて、AES-128を基準となるカテゴリ1のベンチマークとして設定し続けている意味は重い。表面的な数学の法則に惑わされることなく、Groverのアルゴリズムが抱える直列処理の呪縛と並列化の非効率性を冷徹に見極めた結果である。
ドイツ連邦情報セキュリティ庁(BSI)が発行する技術ガイドラインにおいても、AES-128はポスト量子時代における推奨アルゴリズムとしてその地位を保っている。暗号学界の総意は揺るぎない。
ここで直視すべきは、暗号資産の移行に伴う莫大な見えないコストである。システムの安全性を担保するためと称して対称暗号の鍵サイズを256ビットへ移行することは、決して無害な行為ではない。
新しい鍵サイズへの対応は、通信プロトコル、ハードウェアの実装、そして基盤となるソフトウェアライブラリなど、エコシステム全体の根本的な再設計を強いる。IoTデバイスの限られたメモリ領域を圧迫し、ネットワークの遅延を引き起こし、レガシーシステムとの互換性を破壊するリスクを伴う。限られた開発予算とエンジニアリングの人的資源を、存在しない幻の脅威に対処するため浪費することは、真に急務である非対称暗号のポスト量子移行の足枷となる。
量子エラー訂正における物理量子ビットのオーバーヘッドや、古典計算と量子計算を組み合わせたハイブリッド攻撃の可能性など、検証を待つ研究領域は依然として残されている。だが、それらの未解明な要素を考慮に入れたとしても、AES-128とGroverのアルゴリズムの間に横たわる物理的制約の壁が覆ることはない。
暗号技術の歴史において、防衛線を敷く場所を見誤ることは、城門を開け放つことと同義である。サイバー空間を守るエンジニアや意思決定者が注力すべき領域は、すでに明確になっている。計算機科学の冷徹な算式は、我々が立ち向かうべき真の標的を静かに、力強く指し示している。
Sources