BT

最新技術を追い求めるデベロッパのための情報コミュニティ

寄稿

Topics

地域を選ぶ

InfoQ ホームページ ニュース ポスト量子暗号とは - Jean-Philippe Aumasson氏に聞く

ポスト量子暗号とは - Jean-Philippe Aumasson氏に聞く

ブックマーク

原文(投稿日:2021/04/22)へのリンク

量子コンピュータはいまだ初期段階にあるが、企業や研究機関の間では、ポスト量子暗号(post-quantum cryptography)に関する関心が高まっている。InfoQは今回、ポスト量子暗号がどこへ向かうのかを理解すべく、暗号研究者のJean-Philippe Aumasson氏に話を聞いた。

InfoQ: あなたの経歴と、現在取り組んでいることについて、簡単に教えてください。

Jean-Philippe Aumasson: 2006年に国際カンファレンスでの研究発表を始めて以来、暗号技術の研究を行っています。その後、暗号処理でPhDを取得して、大手テクノロジ企業で働き、コンサルティングや監査を行った後、いくつかのスタートアップを立ち上げました。現在は銀行向け暗号資産保管技術におけるヨーロッパ有数のプロバイダであるTaurusで、共同創業者兼最高セキュリティ責任者(Chief Security Officer)を務めています。当社は現在、トークン株式やトークン不動産、NFTなどといったトークン化有価証券(tokenized securities)の交換プラットフォームをローンチしています。個人的には先日、暗号の歴史からブロックチェーンや最新のプロトコルまですべてをカバーした、暗号の百科事典とも言うべき書籍"Crypto Dictionary"を新たに出版しました。

InfoQ: 量子コンピューティングは、現在の暗号化技術に対してどのような意味を持つのでしょうか?

Aumasson: 量子コンピューティングモデルは、私たちが慣れ親しんでいる旧来のコンピューティングモデルとは大きく異なります。計算処理の結果が、0と1でエンコードされた入力間の数学的操作の直接的な結果ではないからです。

量子コンピュータは、0と1を同時に表現できるパーティクルによって構成される状態を変換することによって動作します。これは量子力学において、重ね合わせ(superposition)と呼ばれる物理現象です。この方法で、変換のタイプとパーティクル間の干渉によって、旧来のコンピュータでは効率的に計算できないような結果を得ることができるのです。

旧来のコンピュータよりも効率的に計算問題を解決できる量子アルゴリズムが存在する場合、それは量子加速(quantum speedup)と呼ばれています。そして、暗号学者が懸念している理由は、Shorのアルゴリズムと呼ばれるアルゴリズムがあり、これによってインターネット上のすべての公開鍵暗号、すなわち楕円曲線暗号と[RSAアルゴリズム](https://en.wikipedia.org/wiki/RSA_(cryptosystem))が破られる可能性があるためです。この2つは、それぞれ因数分解問題(P*Q=Nである値Nが与えられた時に、大きな素数であるP、Qを求める)と、離散対数問題という、暗号の基礎となっている数学問題を解くことによって行われます。

これについて詳しく知りたいのであれば、Scott Aaronson氏の著書"Quantum Computing Since Democritus"をお勧めします。

InfoQ: 現在の暗号システムに対する量子コンピューティングの脅威は、どの程度現実的なのでしょう?量子コンピュータが現行の暗号を破る可能性は、"間近"に迫っているのでしょうか?ポスト量子暗号は今すぐ必要なのですか?

Aumasson: 私たちが生きている間に、量子コンピュータが暗号解読に使用される可能性は極めて小さいのですが、それでもゼロではありません。

ポスト量子暗号アルゴリズムとは、楕円曲線暗号やRSAを代替可能であると同時に、量子コンピュータに対する安全性を持ったアルゴリズムのことです。要するに、これらの暗号を使用することは、量子コンピュータのリスクに対して、ある種の保険になるのです。

しかしながら、これらを今使用するのは、標準が確立していない、相互運用性に問題がある、十分に成熟した実運用レベルの実装が存在しない、といった理由から、多くのケースにおいて時期尚早だと思います。

InfoQ: ポスト量子暗号を構築するプロセスにおいて、学術分野や研究分野のコミュニティはどのような働きをしているのでしょう?

Aumasson: 難しい部分は学術研究者によって行われています。NISTのポスト量子暗号プロジェクトに提供されているアルゴリズムを見れば、その大部分が欧州や米国の研究者チームからのものであり、この分野におけるビッグネームも含まれていることが分かります。

新たなアルゴリズムが信頼を得るためには、しっかりとした分析に加えて、それを破ることが他の著名な問題と同じ程度難しい、という数学的証明が必要になります。新奇な数学を使って新たなアルゴリズムを開発し、破る方法が分かっていないという理由だけで、それをポスト量子暗号と呼ぶのは不十分です。

InfoQ: ポスト量子暗号アルゴリズムの中で現在提案ないし調査が行われているのは、おもにどのようなファミリなのでしょうか?

Aumasson: 基本的には5つのクラスのポスト量子暗号アルゴリズムがあります。1) BLAKE2あるいはSHA-3などのハッシュ関数をベースとするもの、2) ハッシュベースの暗号と同じ1970年代に発見された、エラー訂正コードをベースとするもの、3) 多変量方程式あるいは未知の変数を乗算および加算した方程式をベースとするもの、4) 数学的格子(mathematical lattice)に基くもの、5) 同種写像(Isogeny)に基づくもの — 今日使用されている多くの暗号と同じく、楕円曲線を含む極めて複雑なタイプの暗号だが、量子コンピュータによって破られないようになっている。

InfoQ: それぞれを相互に比較した場合、どのような特徴があるのでしょうか?

Aumasson: 実際の使用に最も適していると思われるポスト量子ファミリは、先程述べた中の4番目に当たる格子ベースの暗号です。非常に高速で、小さなキーで動作する上、セキュリティ面でも信頼できます。唯一のマイナス点は、このタイプのアルゴリズムを専門とする暗号学者を除いて、一般的には理解が難しいことです。

個人的にはハッシュベースのアルゴリズム(第1のカテゴリ)がよいと思っていますが、(暗号ではなく)シグネチャの生成にしか使用できない、キーが巨大(数キロバイト)であるといった、大きな制限があります。

この記事に星をつける

おすすめ度
スタイル

こんにちは

コメントするには InfoQアカウントの登録 または が必要です。InfoQ に登録するとさまざまなことができます。

アカウント登録をしてInfoQをお楽しみください。

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

コミュニティコメント

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

HTML: a,b,br,blockquote,i,li,pre,u,ul,p

BT