開発

ポスト量子暗号(PQC)の仕組み・主要アルゴリズム・実用化動向

ポスト量子暗号(PQC)の基礎概念、主要アルゴリズム(CRYSTALS-Kyber、Dilithiumなど)、NIST標準化や実用化の最新動向を解説。量子コンピュータの脅威と移行課題を整理。

9分で読める SINGULISM 編集チームが確認・編集

ポスト量子暗号(PQC)の仕組み・主要アルゴリズム・実用化動向
Photo by FlyD on Unsplash

はじめに

現在の公開鍵暗号(RSA、楕円曲線暗号など)は、大規模な量子コンピュータの登場により安全性が脅かされる可能性がある。この問題に対処するため、量子コンピュータでも解読が困難な新しい暗号技術の研究が進められている。それがポスト量子暗号(Post-Quantum Cryptography、以下PQC)である。

本稿では、PQCの基本的な仕組み、主要なアルゴリズム、標準化の動向、そして実用化に向けた課題と最新動向を解説する。

ポスト量子暗号とは

PQCとは、既存の量子コンピュータでも古典コンピュータでも、現実的な時間で解読できないと信じられている暗号アルゴリズムの総称である。量子コンピュータがRSAや楕円曲線暗号を破る能力を持つことは、1994年にPeter Shorが提案したShorのアルゴリズムによって理論的に示されている。Shorのアルゴリズムは、素因数分解と離散対数問題を多項式時間で解くことができるため、これらの問題に基づく現在の公開鍵暗号は無効化される。

一方、PQCは量子コンピュータでも効率的に解けない数学的問題(格子問題、符号理論問題、多変数多項式問題、ハッシュ関数など)に基づいている。2016年以降、米国国立標準技術研究所(NIST)がPQCアルゴリズムの標準化プロセスを主導しており、現在も評価が続いている。NIST PQC Standardization Processは、暗号コミュニティにとって最も重要な参照点の一つである(NIST公式ページ参照)。

PQCの必要性は、量子コンピュータが実用化されるまでに、現在の暗号システムを全面的に置き換える移行期間が必要である点にある。仮に量子コンピュータが2030年代に実用化された場合、それまでにすべてのシステムをPQC対応にしておかなければ、保存データの事後的な復号リスク(Harvest Now, Decrypt Later攻撃)に晒される。

主要なPQCアルゴリズム

NISTの標準化プロセスでは、複数の候補アルゴリズムが評価されてきた。2022年に最初の標準化候補が選定され、2024年8月に正式な標準(FIPS 203, 204, 205)が発表された(NIST, 2024)。以下に主要なアルゴリズムを紹介する。

鍵カプセル化メカニズム(KEM)

鍵共有に用いるKEMとしては、CRYSTALS-Kyber(以下Kyber)が標準化された。Kyberは格子暗号に基づき、モジュール格子(Module-LWE)問題の困難性を安全性の根拠とする。RSAやECDHと比較して鍵サイズが小さいが、処理速度は同程度かやや高速である。NISTの報告によれば、Kyber-512のセキュリティ強度はAES-128に相当する(NIST SP 800-227)。

一方、Classic McElieceは符号理論に基づくアルゴリズムで、非常に長い公開鍵(約1MB)を持つが、長年にわたる研究により高い信頼性がある。標準化はまだ保留中であるが、組み込み機器など限定的な用途での採用が想定される。

デジタル署名

署名アルゴリズムとしては、CRYSTALS-Dilithium(以下Dilithium)とFALCONが標準化された。Dilithiumは格子暗号に基づき、鍵サイズと署名サイズのバランスが良く、汎用的な用途に適する。FALCONはより小さな署名サイズを実現するが、実装の複雑さが高い。SPHINCS+はハッシュベースの署名アルゴリズムで、NISTの標準に含まれるが、署名サイズが大きいため利用シーンは限られる。

これらのアルゴリズムの選択は、アプリケーションの要件(鍵サイズ、署名サイズ、処理速度、実装の容易さ)に依存する。例えば、リソース制約のあるIoTデバイスではFALCONの小型署名が有利だが、汎用サーバーではDilithiumが推奨される。

実用化の最新動向

PQCの実用化は、標準化の進展とともに加速している。以下に主要な動向を整理する。

プロトコル層への統合

インターネットプロトコルへのPQC統合は、IETFを中心に進められている。Transport Layer Security(TLS)1.3では、KyberとX25519のハイブリッド鍵共有方式(X25519Kyber768)が試験的に実装されている(IETF draft)。CloudflareやGoogle Chromeは2023年からこれを試験運用しており、実際のウェブトラフィックにおけるパフォーマンス評価が行われている(Cloudflare Blog, 2023)。

移行の課題

PQCへの移行には、以下の課題がある。

  • パフォーマンスのオーバーヘッド: 多くのPQCアルゴリズムは、鍵サイズや処理時間が既存アルゴリズムより大きい。特にClassic McElieceの公開鍵サイズは約1MBであり、ネットワーク転送コストが無視できない。
  • ハイブリッド運用の複雑化: 移行期間中は、既存の暗号とPQCを併用するハイブリッド方式が推奨される。しかし、両方の鍵交換を同時に行うため、プロトコルの設計が複雑になる。
  • 既存システムとの互換性: 多くのアプリケーションやライブラリは、鍵サイズの変更や新しいアルゴリズムのサポートに対応していない。オープンソースの暗号ライブラリ(OpenSSL、BoringSSLなど)はPQC対応を進めているが、組み込みシステムやレガシーシステムへの適用は遅れている。
  • 標準化の安定性: NISTの標準は発表されたが、アルゴリズムの改良や代替案の検討は継続している。企業が採用を決断するには、さらなる評価期間が必要とされる。

企業・政府の取り組み

米国国立安全保障局(NSA)は2021年に、国家安全システム向けにPQCへの移行計画を発表した。EUでは、欧州電気通信標準化機構(ETSI)がPQCに関する標準化を進めている。日本では、総務省・経済産業省が量子技術に関するロードマップを策定し、PQCの研究開発を支援している。

大手クラウドベンダー(Google Cloud、Amazon Web Services、Microsoft Azure)は、2024年以降にPQC対応のAPIや鍵管理サービスを提供開始している。例えば、Google Cloud KMSは2024年にKyberベースの鍵生成を試験的にサポートした(Google Cloud Blog参照)。

編集部の見解

PQCへの移行は、技術的課題が多く、単純な置き換えでは完了しないと編集部は評価する。まず評価軸として、利用するアプリケーションのセキュリティ要件とリソース制約を考慮すべきである。例えば、長期保存が必要なデータには高いセキュリティ強度のKyber-1024級を、リアルタイム性が求められる通信にはDilithiumの高速な署名検証を選ぶといった判断基準が有効である。現場での落とし穴としては、移行初期にハイブリッド方式を導入しても、ネットワーク帯域やメモリ使用量が想定以上に増大する事例が報告されている。特にIoTデバイスでは、FALCONの実装難度が高く、バグ混入のリスクがある。今後の方向性として、2027年までには主要な暗号ライブラリがPQCをデフォルトでサポートし、2020年代末には多くの企業が本格的な移行を完了すると予測する。ただし、量子コンピュータの進展次第でスケジュールが前倒しされる可能性があり、早期の検討開始が不可欠と言える。

参考

  • NIST, “Post-Quantum Cryptography Standardization”, https://csrc.nist.gov/projects/post-quantum-cryptography
  • NIST, “FIPS 203: Module-Lattice-Based Key-Encapsulation Mechanism Standard”, 2024
  • Cloudflare Blog, “Post-quantum cryptography in TLS 1.3”, 2023
  • Google Cloud Blog, “Google Cloud KMS now supports post-quantum cryptography”, 2024
  • IETF, “X25519Kyber768 Hybrid Key Exchange”, draft-tls-westerbaan-xyber768d00

よくある質問

PQCはいつから実用化されているのか?
2024年8月にNISTが最初の標準(FIPS 203, 204, 205)を発表したことで、本格的な実用化が始まった。これ以前からTLS 1.3での試験実装や、企業による試験運用が行われている。
量子コンピュータが実用化される前にPQCに移行する必要がある理由は?
「Harvest Now, Decrypt Later」攻撃により、現在の暗号化通信を保存しておき、将来の量子コンピュータで一斉に復号されるリスクがある。長期保存が必要なデータは特に保護する必要がある。
PQCの主要なアルゴリズムとしてどのようなものがあるか?
鍵共有にはCRYSTALS-Kyber、署名にはCRYSTALS-DilithiumとFALCONが標準化されている。Classic McElieceやSPHINCS+も選択肢として存在するが、用途が限られる。
PQCへの移行における最大の課題は何か?
既存システムとの互換性とパフォーマンスオーバーヘッドが最大の課題である。鍵サイズの増大によってネットワーク帯域やストレージ消費が増加し、ハイブリッド方式の実装複雑性も高い。
出典: Singulism

コメント

← トップへ戻る