Skip to main content

ポスト量子暗号

耐量子未来への準備

デジタル通信は、そのほぼすべてが公開鍵暗号化、電子署名、および鍵交換の3つの暗号システムでセキュア化されています。

今日の公開鍵インフラストラクチャでは、これらのシステムはRSAまたはECCの非対称暗号化アルゴリズムを使用して実装されています。RSAおよびECC暗号は、理論的な数問題(素因数分解または離散対数問題など)には効率的な解法がないという仮説である計算複雑性理論と呼ばれるものに依存しています。しかし、これらの理論は、従来のコンピュータの処理能力に基づくものでした。

1994年、ピーター・ショアは、十分な強度の量子コンピュータと特定のアルゴリズムを使用することで計算複雑性理論に依存する非対称アルゴリズムを極めて簡単に解読できることを実証し、これは後にショアのアルゴリズムと命名されました。実際に、十分な量子ビットと回路深度を備えた量子コンピュータでは、非対称アルゴリズムを瞬時に解読することも可能です。ASC X9 Quantum Computing Risk Study Groupが発表した研究では、これらの正確な要件が見積もられています。

アルゴリズム

必要となる論理量子ビット

必要となる回路深度

RSA-2048

4700

8 10^9

ECC NIST P-256

2330

1.3 10^112

注記

ショアのアルゴリズム、および量子コンピュータが非同期暗号を解読する方法の詳しい説明については、こちらの動画をご覧ください。

専門家のほとんどは、RSAおよびECC鍵を解読するために必要な量子ビットと回路深度を持つ十分に強力な量子コンピュータが今後20年以内に構築されると推定しています。

20年は長い年月であるかのように思えますが、これは今日のPKI産業が現在の規模に成長するまでにかかった年数とほぼ同じであることに留意してください。米国商務省標準化技術研究所(NIST)の耐量子計算機暗号標準化プロジェクトによると、「現在の公開鍵暗号化アルゴリズムに取って代わるシンプルな『ドロップイン』アルゴリズムが構築される可能性は低く、新しい耐量子暗号システムの開発、標準化、および導入には多大な労力が必要になる」ということです。

デジサートがいくつかの耐量子業界企業との連携を開始したのはこのためで、将来の脅威に対応するために十分な耐量子性と俊敏性を備えたPKIエコシステムの構築の支援を目指しています。

量子攻撃ベクトル

これらの将来の脅威を効果的に防止するための最初のステップは、耐量子の脅威ランドスケープがもたらすさまざまな攻撃ベクトルを特定することです。

SSL/TLSハンドシェイク

量子コンピュータは、非対称暗号化アルゴリズムに最大の脅威をもたらします。これは、証明書への電子的な署名と、初回SSL/TLSハンドシェイクの処理に使用される暗号システムの両方が潜在的な攻撃ベクトルであることを意味します。

幸い、NISTとASC X9はどちらも、初回SSL/TLSハンドシェイク後における転送中データをセキュア化するためのセッションキーの作成に使用される対称暗号化アルゴリズム(AESなど)には、量子コンピュータ攻撃に対する耐性があると見受けられると主張しています。実際に、量子コンピュータ攻撃を防止するには、対称鍵のビット長を2倍にする(AES-128をAES-256にするなど)ことで十分であると見られます。これは、対象鍵が疑似ランダム文字列に基づいており、この暗号を解読するには、非対称暗号を解読するためのアルゴリズム(ショアのアルゴリズムなど)の使用とは異なり、総当り攻撃の使用、または既知の脆弱性の悪用が必要になるためです。

以下の簡素化されたSSL/TLSハンドシェイクダイアグラムは、量子コンピュータ攻撃を受けるリスクがあるアクションと、安全なアクションを表しています。

1. 現在の非対称暗号化アルゴリズム(RSA、ECC)とAES-256を使用するSSL/TLSハンドシェイク
現在の非対称暗号化アルゴリズム(RSA、ECC)とAES-256を使用するSSL/TLSハンドシェイク


この攻撃ベクトルは、エンドエンティティ電子証明書を使用したサーバーとの初回通信に対する脅威となります。これはかなり大きな脅威ではあるものの、最も危険な攻撃ベクトルではないでしょう。

十分強力な量子コンピュータを使ったとしても、証明書の秘密鍵の計算に必要なリソースは相当な量になります。このため、量子攻撃を正当化するために十分な重要性を持つ単一のエンドエンティティ電子証明書はないと言っても差し支えないと思われます。エンドエンティティ証明書の鍵の再設定と再発行が極めて容易であることは言うまでもありません。

チェーン・オブ・トラスト

量子コンピュータによってもたらされる最も危険な攻撃ベクトルは、おそらく電子証明書で使用されるチェーン・オブ・トラスト(証明書チェーン)です。RSAおよびECCの非対称暗号化アルゴリズムは、チェーン・オブ・トラストのすべべのレベルで使用されており、これらを使用してルート証明書がそれ自体と中間証明書に署名し、中間証明書がエンドエンティティ証明書に署名します。

Diagram of chain of trust. This is not quantum-safe.

量子コンピュータが中間証明書またはルート証明書の秘密鍵を計算できるならば、PKIの構築基盤が崩壊することになります。攻撃者は、秘密鍵にアクセスすることで、ブラウザで自動的に信頼されることになる不正な証明書を発行する可能性があります。そして、エンドエンティティ証明書とは異なり、ルート証明書の置き替えは決して容易ではありません。

耐量子暗号システム

現在のPKI暗号システムが変更されるには、その代替となる暗号システムが特定される必要があります。耐量子暗号システムがいくつか存在することは事実ですが、機密情報のセキュア化において信頼できるようになるには、さらなる調査と研究が必要です。

米国商務省標準化技術研究所(NIST)の耐量子計算機暗号(PQC)標準化プロジェクトは、2016年後半を皮切りに、耐量子暗号システムに関する研究活動を先導してきました。このプロジェクトは、これまで26個の耐量子アルゴリズムを可能な代替候補として特定しています。しかし、これらの暗号システムが標準化および導入可能な状態になるには、依然としてさらに多くの調査とテストが必要です。

NIST PQCプロジェクトのタイムラインによると、2020年から2021年の間に再度選考が行われ、2022年から2024年の間に基準草案が入手可能になる予定です。

耐量子未来のための計画

この移行は、大規模な量子コンピュータが構築されるよりも大幅に早い時期に行われる必要があります。後に量子暗号解析によって危殆化されるすべての情報が、危殆化が発生するときにはもはや機密ではなくなっているようにするためです。

NIST PQCプロジェクト

耐量子暗号技法の開発、標準化、および導入にかかる時間のため、デジサートでは、このIETFドラフトを使用したハイブリッド証明書への耐量子アルゴリズムの組み込みの実行可能性に関するテストを開始しました。

このセクションの内容: