米国立標準技術研究所(NIST)は2024年8月14日、量子コンピューターによる攻撃から通信やデータを守るための新しい暗号規格を発表した。この規格は、現在のインターネットセキュリティの根幹を成すRSA暗号に代わる、「ポスト量子暗号」と呼ばれる新たな暗号方式を定義するものだ。NISTの発表は、量子コンピューターの実用化に先立ち、重要なデジタルインフラを保護するための重要な一歩となる。
ポスト量子暗号の実装は急務だが実際には課題も
現在のインターネットセキュリティの多くは、RSA暗号に依存している。これは大きな数の素因数分解が困難であることを利用した暗号方式だ。しかし、大規模な量子コンピューターが実用化されれば、この問題を容易に解くことができるようになる。そのため、量子コンピューターでも解読が困難な新しい暗号方式が必要とされていた。
この脅威に対抗するため、NISTは2016年に量子耐性暗号(PQC)アルゴリズムの公開コンペを開始した。25カ国から82件もの提案が寄せられ、4回の選考を経て、2022年に4つのアルゴリズムが選ばれた。これらのアルゴリズムは当初、CRYSTALS-Kyber、CRYSTALS-Dilithium、Sphincs+、FALCONという名前で知られていたが、標準化の過程で Federal Information Processing Standard (FIPS) 203から206として知られるようになった。
NISTが今回発表した規格は、以下の3つの暗号アルゴリズムを含んでいる:
- ML-KEM (旧CRYSTALS-Kyber): 一般的な暗号化に使用
- ML-DSA (旧CRYSTALS-Dilithium): デジタル署名に使用
- SLH-DSA (旧SPHINCS+): デジタル署名のバックアップとして使用
これらの規格は、一般的な暗号化と電子署名の2つのカテゴリーに分類される。一般的な暗号化は公共ネットワークを介して転送される情報を保護するために使用され、電子署名は個人を認証するために使用される。NISTの暗号グループ責任者であるLily Chenは、電子署名がマルウェア攻撃を防ぐために不可欠であると指摘している。
一般的な暗号化に使用されるML-KEM(旧CRYSTALS-Kyber)は公開鍵暗号方式の一種で、現在のRSAに代わるものとして期待されている。次に、デジタル署名に使用されるML-DSA(旧CRYSTALS-Dilithium)は文書や電子メッセージの認証に重要な役割を果たす。最後に、デジタル署名のバックアップとして使用されるSLH-DSA(旧SPHINCS+)がある。
新しい暗号規格の2つ(FIPS 203とFIPS 204)は、格子暗号と呼ばれる数学的問題に基づいている。格子暗号は、一連の数値の最小公倍数を見つけるという量子コンピューターでも解読が難しい多次元の格子上での最小ベクトル問題を利用している。一方、SLH-DSAはハッシュ関数を基にしており、異なる数学的基盤を持つことで、バックアップとしての役割を果たす。
これらのアルゴリズムは、格子暗号やハッシュ関数など、量子コンピューターでも解読が困難とされる数学的問題に基づいている。特に、ML-KEMとML-DSAは格子暗号を基盤としており、多次元の格子上での最小ベクトル問題を利用している。一方、SLH-DSAはハッシュ関数を基にしており、メッセージを逆変換が困難な暗号化された文字列に変換する。異なる数学的基盤を持つことで、バックアップとしての役割を果たす。
NISTの暗号グループ長であるLily Chen氏は、新規格の重要性と課題について次のように説明している:「現在、公開鍵暗号はあらゆるデバイスで使用されています。私たちの課題は、すべてのデバイスでプロトコルを置き換えることですが、これは容易な作業ではありません」。
この新しい暗号規格の採用が急務である理由は主に2つある。1つ目は、自動車やIoTデバイスなど、長期間使用される製品に関するものだ。これらの製品は、製造時点で量子耐性を持つ暗号を搭載しておく必要がある。2つ目は「今ハーベスト、後で解読」と呼ばれる脅威だ。悪意のある者が現在の暗号化されたデータを収集し、将来量子コンピューターが利用可能になった時点で解読する可能性がある。
IBMのリサーチディレクターであるDario Gil氏は、量子コンピューターの脅威が現実のものとなる時期について、次のように予測している:「今後10年以内に、完全に誤り訂正された量子コンピューターが稼働する重要な変曲点に達すると考えています。そこから、RSAを破る能力を持つシステムが登場するまでの期間については議論の余地がありますが、十分に言えるのは、私たちは今その窓の中にいるということです」。
Gil氏はまた、多くの企業や政府機関がこの問題の重要性を十分に理理解していないことを指摘している:「問題を理解している程度、まして問題に対して何かをしている程度は、ごくわずかです。少し誇張していますが、基本的に私たちはまだ初期段階にいるのです」。
新しい暗号規格の導入は、今後数十年にわたるデジタルセキュリティの基盤となる。しかし、その実装には時間とリソースが必要となる。LGT金融サービスのチーフテクノロジーオフィサーであるRichard Marty氏は、自社の取り組みについて次のように述べている:「移行に18ヶ月を費やし、約50万ドルを使いました。いくつかの事例では[ポスト量子暗号を]導入していますが、完全な移行については、具体的な数字は言えませんが、やるべきことがたくさんあります」。
多くの企業は、現在どこで暗号化を使用しているかの完全な在庫さえ持っていない可能性がある。Gilは、ソフトウェア部品表(SBOM)に類似した「暗号部品表」の必要性を提案している。これにより、企業は自社のシステムで使用されている暗号化技術を把握し、新しい規格への移行を計画することができる。
LGT Financial Servicesの最高技術責任者であるRichard Martyは、「私たちにとって、ただ待って様子を見るというのは選択肢ではありません。私たちは準備を整え、可能な限り早くソリューションを実装したいと考えています」と述態度を表明している。彼らの会社は既に18か月をかけ、約50万ドルを費やしてこの移行に取り組んでいるという。
新しい量子耐性暗号規格の発表は、デジタルセキュリティの新時代の幕開けを告げるものだ。しかし、これはあくまでも始まりに過ぎない。今後数十年にわたり、企業や組織は自社のシステムをこれらの新しい規格に適応させていく必要がある。この移行は容易ではないが、将来の量子コンピューターの脅威からデータを守るために不可欠な作業となるだろう。
Sources
コメント