サイバーセキュリティ研究所TOPEnglish
  1. セキュリティ基盤研究室
  2. インタビュー
  3. 耐量子計算機暗号プロジェクト

interviews

量子コンピュータがもたらす脅威とは?新たな暗号技術の研究で立ち向かう

耐量子計算機暗号プロジェクト

暗号技術の安全性評価チーム
量子コンピュータを用いても解読が困難と期待される「耐量子計算機暗号」。その世界的な開発状況と研究室での取り組みについて、インタビューを行いました。

プロジェクトの概要

量子コンピュータへの注目と「耐量子計算機暗号」の重要性

現在、暗号の分野でも量子コンピュータに注目が集まっています。RSA暗号や楕円曲線暗号などの広く一般に普及している暗号の一部が、今後の量子コンピュータの性能の向上によって解読される可能性があるためです。そのため、量子コンピュータを用いても解読が困難と期待される暗号の開発が世界的に進んでおり、それらは「耐量子計算機暗号」と呼ばれています。耐量子計算機暗号は以前から私たちセキュリティ基盤研究室の研究テーマのひとつでしたが、量子コンピュータの開発が活発化しつつあることから、耐量子計算機暗号を専門とするメンバーが集まり、理論的な解読・研究と、それを実証するための実装という2軸で活動をしています。現在の中長期計画では、日本国内で耐量子計算機暗号を使えるように研究を進めています。耐量子計算機暗号の標準化はアメリカが活発に進めていますが、それを待つのではなく、自分たちの技術をもって耐量子計算機暗号の安全性を判断できるようになること、そして、現在広く使われている、量子コンピュータに解読される恐れのある暗号が使えなくなったときに、その代わりとなるものを日本国内で用意することが重要です。

耐量子計算機暗号とその安全性評価

耐量子計算機暗号の性質とは?その安全性評価においてやるべきこと

RSA暗号や楕円曲線暗号は、整数の素因数分解問題や楕円曲線上の離散対数問題を解くことで解読されてしまうことが知られています。そして、量子コンピュータを用いるとこれらの問題を高速に解くことが可能であることが理論的に証明されているため、量子コンピュータの性能進化が暗号の安全性の担保と密接に関わっています。一方で、量子コンピュータと古典コンピュータ(電子回路を使ったいわゆる普通のコンピュータで、物理学用語の量子-古典に倣いこのように呼ばれます)のどちらを用いても高速に解く方法が知られていない問題を用いて安全性を保障している暗号があり、総称して耐量子計算機暗号と呼ばれています。耐量子計算機暗号の代表的な候補として格子暗号、符号暗号、多変数多項式暗号、同種写像暗号、ハッシュ関数署名があります。

耐量子計算機暗号の安全性評価の研究でやるべきことは大きく2つあります。ひとつは、現在利用されている暗号(RSA 暗号や楕円曲線暗号等)から耐量子計算機暗号への移行時期を見積もるため、現時点で実際に使用可能な量子コンピュータによって現在利用されている暗号がどの程度の大きさのパラメータまで解読可能かを知ることです。

RSA暗号の場合、このパラメータは使用される合成数の桁数であり、暗号の解読には合成数の素因数分解を必要とします。2021年現在、量子コンピュータで実際に素因数分解が成功しているのは数桁程度の範囲に留まっています(同様に、古典コンピュータでは250桁程度の数の素因数分解が成功しているのに対し、一般的な暗号の利用では600桁程度の数が用いられるため、安全であると考えられています)。

楕円曲線暗号の場合には、暗号の解読には楕円曲線上の離散対数問題を解く必要がありますが、この問題に関する実験を量子コンピュータ上で行ったという報告は無く、より簡易な問題である有限体上の離散対数問題に関してもパラメータとして使用される素数が1桁のものの実験が行われているのみです。以上の背景のもとに、2021年現在において、量子コンピュータによるRSA暗号や楕円曲線暗号への脅威は薄いと判断しています。

耐量子計算機暗号の安全性評価の研究でやるべきことのもうひとつは、耐量子計算機暗号の候補とされている暗号が本当に安全であるのかを検証するため、古典コンピュータや量子コンピュータが将来さらに高性能になった場合にどの程度解けてしまうのかを見積もることです。

世界最先端の技術力による安全性評価に向けて

暗号の安全性を評価するうえでの前提条件に、チームとして世界最先端レベルの解読技術を持っていること、というのがあります。最先端の技術をもってしても解読困難であることの確認を通じて、暗号が安全に運用できるかどうかの判断が可能になるためです。暗号の安全性評価の研究では、暗号を解読するための新たな理論を発見し、それを国際会議や論文で発表します。さらに私たちはその発見した理論に基づいて解読のためのプログラムを書き、それを使用して解読コンテストの問題を実際に解いて世界記録の達成をめざしています。そこで使った理論やプログラムは公開され、それを基に我々だけではなく他の研究者も更なる研究を進めることができます。このようにして暗号の安全性は世界レベルで検証されています。

今後の展望

2030年の未来像は、量子コンピュータ以外の次世代コンピュータへの対応も

暗号の安全性評価の研究では、解読される危険性が顕在化する前に最新の技術をもってリスクを洗い出し、またその対応策としての新たな暗号の提案を繰り返します。それによって安心安全な暗号技術の使用が保証されることになります。現在、様々な耐量子計算機暗号が提案されており、それらの中から2024年を目途として世界標準となることが見込まれるいくつかの暗号が、公の議論と何段階かの選考プロセスを経て選ばれつつあります。一方で、中間の選考プロセスで残った暗号に対しても致命的な解読理論が発見される状況が現在も続いており、有力候補に対する安全性の検証は今後も必要だと私たちは考えています。

現在、将来的にRSA暗号が実際に解読される可能性があることから、量子コンピュータに注目が集まっていますが、視野を広げて考えると量子コンピュータはポストムーアコンピュータのひとつとして分類されます。量子コンピュータに対して安全であると考えられる耐量子計算機暗号も、現在開発の進んでいる別の種類のポストムーアコンピュータで解読される可能性は否定できないのですが、それについて研究している人は多くないのが現状です。ですから、量子コンピュータ以外の次世代コンピュータにまで話を広げてセキュリティを扱っていくことが今後の10年で必要になると考えています。

プレスリリース

サイバーセキュリティ研究所その他の組織はこちら
サイバーセキュリティ研究所TOPへ
このページをシェア
back to page top