クレジットカード番号や個人情報をインターネット上でやりとりする際などに使われる暗号の安全性が危機にさらされている。将来、十分な能力を持った量子コンピューターが完成すると、解読されてしまうリスクが高まるためだ。まだ先の話だからと安穏とはしていられない。今のうちにデータを盗聴・蓄積されると、将来にリスクが顕在化することになる。防衛や医療、金融分野などでは早期の対策が欠かせない。
当面は安全だが……
特に危険性が指摘されるのは「RSA暗号」や「楕円曲線暗号」だ。RSA暗号は桁数の大きな素因数分解、楕円曲線暗号は楕円曲線上の離散対数問題がスーパーコンピューターでも現実的な時間で解くのが難しいことを安全性の根拠とする。しかし、量子コンピューターで米国の数学者ピーター・ショアが1994年に開発した「ショアのアルゴリズム」を使うと、これらの暗号を効率よく解けてしまうのだ。
もっとも、RSA暗号や楕円曲線暗号を破れるだけの能力を持った量子コンピューターはまだ存在しない。富士通は2023年1月23日に量子シミュレーターを活用したRSA暗号の安全性評価を公表し、2048ビットのRSA暗号の解読には約1万量子ビットと約2兆2300億の量子ゲート数、深さ約1兆8000億の量子回路が必要で約104日間量子ビットを誤りなく保持する必要があるとした。現状の量子コンピューターは数十~数百量子ビットで誤り訂正もできない。短期的には大規模かつ長時間にわたって安定稼働する量子コンピューターの実現は困難なため、RSA暗号は当面安全であるとした。
ただし、富士通は「2048ビットの合成数を実際に素因数分解する量子コンピューターについては、実験事例が少ないなどの理由から計算リソースの見積もりが難しく、代替技術への移行時期の明確化も困難」と説明している。量子コンピューターは国際的に開発競争が盛んだ。米Google(グーグル)は2029年までに100万量子ビットを搭載した誤り訂正ができる量子コンピューターを開発するという意欲的なロードマップを示しており、実用性を備えた量子コンピューターがいつ完成するかは研究者でも見方が分かれる。
重要なのは、暗号を破る力を持った量子コンピューターが完成してから暗号を切り替えたのでは情報資産を守れないという点だ。あらかじめデータを盗聴しておけば、将来量子コンピューターで解読できてしまう。国防や外交に関わる政府の機密情報、ゲノムや電子カルテといった医療情報、インフラやエネルギーに関する情報、金融情報などはとりわけ早期の対処が必要になる。たとえ解読がしばらく先になったとしても、甚大な被害を及ぼす攻撃に悪用されたり、国際的な信用を失ったりする恐れがある。
PQCへの置き換えが必要
量子コンピューターにより安全性の低下が大きく懸念されるのは公開鍵暗号だ。公開鍵暗号は暗号化に使う公開鍵を公開し、復号用の秘密鍵で復号する。「南京錠(公開鍵)を広く配布して自分宛の情報につけてもらえば、専用の鍵(秘密鍵)を持った自分しか解読できない」といったイメージだ。公開鍵暗号で用いられるRSA暗号は一般に約300桁の2つの素数を秘密鍵とし、2つの素数を掛け合わせた約600桁の合成数を公開鍵としている。
一方、EC(電子商取引)サイトなどではデータの暗号化通信に、暗号化と復号で同じ鍵を使う共通鍵暗号を用いる。共通鍵暗号では合鍵を持った人しか、データの暗号化も復号もできない。公開鍵暗号ではないので一見安全なように思えるが、問題は共通鍵暗号では事前に共通鍵を共有しなければならず、共通鍵の共有に公開鍵暗号を用いるのが一般的である点だ。つまり、公開鍵暗号を解かれると共通鍵を盗まれてしまう。
公開鍵暗号の安全性を保つには、現在広く使われるRSA暗号や楕円曲線暗号を「耐量子計算機暗号(Post-Quantum Cryptography、PQC)」に置き換える必要がある。PQCは量子コンピューターを使っても安全性の根拠を効率よく崩す方法がまだ見つかっていない問題を用いた暗号を指す。PQCとして期待されているのは「格子暗号」「符号暗号」「多変数多項式暗号」などだ。
