先日のウェビナでIBMは、機密暗号化、量子安全暗号化、完全準同型暗号化など、同社が開発を手掛ける暗号化技術に関する最新情報を取りまとめて報告した。
IBMハイブリッドクラウドリサーチCTOのGosia Steinder氏によれば、これらのテクノロジは、それぞれがセキュリティの方程式の異なる部分を解決するためのものだ。
コンフィデンシャルコンピューティング(Confidential Computing)は、クラウドにおけるセキュリティエンクレーブ(enclave)ベースの暗号化に対する、IBMの名称である。
コンフィデンシャルコンピューティングは、クラウドプロバイダにも参照やアクセスが不可能なセキュアエンクレーブ内でデータを暗号化することにより、ハードウェアレベルのプライバシ保証を提供するものです。
これによってユーザは、使用するインフラストラクチャを所有していなくても、クラウド内あるいはオンプレミスにおいて、最大限のプライバシを持ってワークロードを実行することが可能になる、とIBM VPとIBM Cloud CTOを兼任するHillery Hunter氏は言う。
コンフィデンシャルコンピューティングが関わるのは、クラウド内でのデータプライバシの保証だけではない。データのインテグリティを保証し、第3者によるデータ改ざんの防止も行うのだ、とオープンソースの金融プラットフォームDIAのCTOであるSamuel Brack氏は言う。さらに氏は、コンフィデンシャルコンピューティングの代案である分散型アプローチでは、コストの上昇とパフォーマンス低下が避けられない、とも述べている。
将来的に量子コンピューティングが暗号処理に大きな変化をもたらすことは間違いない、とIBMの暗号研究者であるVadim Lyubashevsky氏は言う。氏の説明によれば、問題は今日の暗号処理の一部が因数分解に基くものであることだ。これらは現行のコンピュータでは解読が困難だが、量子コンピュータならば簡単に解読できる。一例としてLyubashevsky氏は、1,000桁の素数を因数分解する場合、従来のハードウェアでは数十億年を要するのに対して、量子コンピュータであれば数時間で可能である、と述べている。
この問題の特に懸念すべき面を強調しているのは、NISTの数学者としてポスト量子(post-quantum)暗号の標準定義に取り組んでいるDustin Moody氏である。量子ハードウェアは実際にはまだ存在していないが、その可能性があるということは、暗号化データが現時点においても潜在的な攻撃の脅威にさらされている、という意味になる。実際に誰かがそのデータを保持していて、暗号解読に必要な量子コンピュータが利用可能になるのを待っているかも知れないのだ。結果として希望する期間、データを保護することができない可能性がある、と氏は言う。
Moody氏が詳しく話しているように、NISTでは、セキュリティとパフォーマンスに基づいた最良の暗号システムを選択するという、オープンプロセスを実施している。当初69あった参加者の中から、現在は7つの暗号化システムが選択プロセスの第2ラウンドへと駒を進めている。計画では、2022年初めに最初の耐量子アルゴリズム(quantum resistant algorithm)のドラフト標準を作成し、パブリックコメントのプロセスを経た後、2024年までに標準化を完了する予定である。
とはいえ、移行は簡単ではないだろう、とMoody氏は言う。
私たちが取り入れようとしているのは、数学的な面で従来よりもはるかに複雑なアルゴリズムなのです。さらに、キーのサイズが非常に大きいことなど、これまでとは違う点もあるので、できる限りの準備をしておくことが必要ですし、他の人々にもそう勧めるべきです。
フェーズ2に達した量子安全なアルゴリズム中の4つが、元々はIBMが提案したものであることをLyubashevsky氏は強調する。それらは現在、オープンソースで提供されている代数格子用のCVryptographicスイート(CRYSTALS)経由で入手できる。
これらのスキームは、格子問題と呼ばれるもので推定されるアルゴリズム強度に基づくという事実を、そのセキュリティの起源としています。
言い換えるならば、素因数分解とは違い、格子問題は量子コンピュータに対しても強度があると考えられているのだ。格子問題がどのようなものかを理解するために、Lyubashevsky氏は簡単な例を挙げている。6つの数があるとしよう。その中から3つを選んで、総和を計算する。問題は、3つの整数として何を選んだのかを見つける、ということだ。これを数千から数千の数字を選ぶようにすれば、量子コンピュータにも対抗できる強度になる。格子問題は、ポスト量子暗号として期待されるアプローチのひとつである。
前述のように、IBMがCRYSTAL用の実装を提供しているので、実験を通じてそのパフォーマンスを評価することが可能だ。
スキームの効率は、エンドユーザが違いに気付かないようなものである、ということが分かりました。実際のところ、新しいスキームの方が高速な場合さえあるのです。従って、量子の脅威は、暗号化における実存的なものではありません。安全は確保されます。
Lyubashevsky氏によると、CRYSTALSを使った格子暗号への切り替えを待つ理由は何もない(すぐ実施すべきだ)。重要なのは、スキームをハードコードすることを避けて、ブラックボックスとして置き換え可能にしておくことである。こうしておけば、標準化された量子安全なスキームが将来的に利用可能になった時の対応も可能になる。
最後に紹介する、IBMが暗号化に関して取り組んでいる最前線は、暗号化された形でのデータ計算を可能にする完全準同型暗号(fully homomorphic encryption)である。これによって、データを処理する前に復号し、内容の露出した脆弱な形で保持する必要がなくなる。
IBM FHEは、苦痛なほど低速であった2011年の実装開始時から長足の進歩を遂げて、2015年には完全に暗号化された2つのゲノムを、FHEを使って1時間以内で比較することが可能になった。FHEは現在、規模の大小を問わず、あらゆる企業で利用することができる、とIBMでは述べている。
IBMの戦略および新興技術ディレクタのEric Maass氏は、FHEはCRYSTALSが使用するものと同じ格子暗号技術と数学をいくつか用いて実現されている、と説明する。
FHEの広範な普及が歴史的に複雑であるのは、データに対して実行される計算だけが理由ではなく、多大な計算パワーとスキルを必要とすることや、学習曲線が一般的に極めて急であることも問題なのです。
機密暗号化は比較的成熟したテクノロジではあるが、準同型暗号化とポスト量子暗号化は、いまだ多くの努力が集まる研究分野である。準同型暗号化に投資している企業はIBMだけではない。例えばMicrosoftはSEAL (Simple Encrypted Arithmetic Library)をリリースしており、Googleは先日Private Join and Computeツールを公開している。同じく量子安全コンピューティングの分野にも、NewHopeを選択したGoogleや、PICNICを開発中のMicrosoftなど、いくつかの企業が進出している。