検索
ニュース

ポスト量子暗号の中身は? Cloudflareがアルゴリズムを詳しく解説量子コンピュータは何を破壊するのか

ポスト量子暗号標準の一部となる4つの暗号化アルゴリズム候補をNISTが発表した。Cloudflareはこれを受けて、暗号技術に対する量子コンピュータの脅威と、これらのアルゴリズムへの評価を公開した。

Share
Tweet
LINE
Hatena

 CDN(Contents Delivery Network)や各種インターネットセキュリティサービスを提供するCloudflareは2022年7月9日(米国時間)、将来発生すると予想される量子コンピュータによるサイバー攻撃が暗号技術に与える影響と、ポスト量子暗号(PQC)アルゴリズムの評価を公開した。

 NIST(米国立標準技術研究所)が、PQC標準の一部となる4つの暗号化アルゴリズム候補を2022年7月5日に発表したことを受けたものだ。

何に使うアルゴリズムなのか

 NISTが発表した標準アルゴリズム候補は、鍵合意アルゴリズムの「CRYSTALS-Kyber」と、デジタル署名アルゴリズムの「CRYSTALS-Dilithium」「FALCON」「SPHINCS+」(「スフィンクスプラス」と呼ばれる)だ。

 これらの処理を担う従来型のアルゴリズムは既に広く使われている。鍵合意アルゴリズムは安全なWebサイトへのアクセス時に必要であり、デジタル署名アルゴリズムは、デジタル取引の本人確認時や、リモートで文書に署名を記す場合に不可欠だ。

 NISTは2016年に、将来の強力な量子コンピュータからの攻撃に対抗できる暗号化方式について、世界の暗号技術者に考案を呼び掛けた。82件の応募があり、そのうち8件が3次選考に残った。今回、NISTはその中から4つの暗号化アルゴリズム候補を選定した。これらは約2年後に標準化される見通しだ。

 米国商務長官のジーナ M. レイモンド氏は、「今回の発表は、量子コンピュータによる将来のサイバー攻撃の可能性から、われわれの機密データを保護するための重要なマイルストーンだ」と述べている。

 NISTは今回発表した4つ以外にも、4つのアルゴリズムをPQC標準に含めることを検討しており、最終候補を後日発表する計画だ。2段階に分けて候補を発表するのは、強力で多様な防御ツールが必要になるからだ。

なぜ量子コンピュータによるサイバー攻撃は危険なのか

 高度な演算能力を持つ大規模な量子コンピュータが実現された場合のセキュリティ上の脅威が懸念されるようになった発端は約30年前にさかのぼる。

 1994年に米国の数学者ピーター・ショア氏が、素因数分解と離散対数の計算を驚異的な効率(多項式時間)で実行するアルゴリズムを発見したことにある。このアルゴリズムを使えば、「RSA暗号」や「楕円(だえん)曲線暗号」など、現在使われている公開鍵暗号のほとんどを高速に解読できる。ただし、このアルゴリズムが威力を発揮するには量子コンピュータが必要になる。

 1994年当時、量子コンピュータは紙の上にしか存在しなかった。だが、開発が進んだ結果、公開鍵暗号を破る能力を持つ量子コンピュータが作られるのは、時間の問題のようだ。

暗号化と鍵合意、署名の3種類が必要なのはなぜか

 Cloudflareは量子コンピュータのセキュリティリスクを理解するには、インターネット閲覧時の接続を保護するために使われる3つの暗号プリミティブを区別する必要があると述べている。

・対称型暗号化
 対称型暗号化では、1つの鍵を使ってメッセージを暗号化し、復号する。この暗号化は高速で、よく理解されており、知られている限りでは、量子攻撃に対して安全だ。「AES」や「ChaCha20」などが代表例だ。

 ただし、対称型暗号化だけで済ませることはできない。なぜならWebサイトを初めて訪問したときに、どの鍵を使うかという問題が残っているからだ。ランダムに鍵を選んで平文で送ることはできない。(悪意のある)誰かがそのセッションを監視していれば、選んだ鍵が分かってしまうからだ。

・鍵合意
 鍵合意(鍵交換とも呼ばれる)は、一度も会ったことのない2人の当事者が共有鍵について合意することを可能にする。誰かが通信を傍受していても、合意した鍵は分からない。「X25519」のような楕円曲線Diffie-Hellman鍵合意アルゴリズムが代表例だ。

 鍵合意は攻撃者が受動的であればセッションの内容を保護できる。だがまだ不十分だ。ユーザーとユーザーが訪問しようとするWebサイトの中間に攻撃者が入り、2つの別々の鍵合意を行う(ユーザーとの鍵合意と、サイトとの鍵合意)攻撃(中間者攻撃:MITM攻撃)を防ぐことはできない。そこでもう1つの暗号プリミティブが必要になる。

・デジタル署名
 RSAなどのデジタル署名により、ユーザーは認証局までの証明書の連鎖を追うことで、自分が適切なWebサイトに実際にアクセスしていることを確認できる。Webサイトと自分の間に中間者がいないことを確信できるのだ。

 だが、ショア氏が発見したアルゴリズムを使うと、インターネットセキュリティに不可欠な、広く展開されている鍵合意スキームとデジタル署名スキームを全て破ることが可能になる。ただし、その脅威の緊急性と緩和における課題は、鍵合意とデジタル署名では全く異なる。

脅威の影響はどのように異なるのか

 インターネット上のほとんどのデジタル署名は、寿命が比較的短い。ユーザーが署名を使い始めてから使い終わるまでの期間が短いということだ。

 つまり、量子コンピュータが署名を破る前に、署名を置換すれば、実用上の問題はなくなる。ただし、署名の置換はそれほど簡単ではないため、問題は残る。

 だが、より緊急な問題は、攻撃者が攻撃時点でトラフィックを保存しておき、量子コンピュータを使って後から鍵合意を破ることで、それらを復号できることだ。個人情報やクレジットカード番号、鍵、メッセージなど、インターネットで送信される全てのものが危険にさらされる。

NISTが選定した4つの暗号化アルゴリズムは何を改善するのか

 NISTによると、今回選定された耐量子アルゴリズムは、従来のコンピュータと量子コンピュータのどちらであっても、解くことが困難な数学問題に基づいている。NISTはこれらの4つのアルゴリズムについて、次のように述べている。

・CRYSTALS-Kyber
 鍵合意アルゴリズムの一種。暗号鍵が比較的小さく、2者間で容易に交換できることや、動作が高速であることなどが選定理由だ。

・CRYSTALS-Dilithium
 デジタル署名アルゴリズムの一種。主要なデジタル署名アルゴリズムとして推奨する。

・FALCON
 デジタル署名アルゴリズムの一種。Dilithiumよりも小さい署名が必要なアプリケーションに使用することを推奨する。

・SPHINCS+
 デジタル署名アルゴリズムの一種。DilithiumやFALCONと比べてやや大きく、低速だが、この2つ、さらにはKyberとは異なる数学的アプローチに基づいていることから、バックアップとして価値がある。

 NISTによると、KyberやDilithium、FALCONは、構造格子と呼ばれる一連の数学問題に基づいているのに対し、SPHINCS+はハッシュ関数を使用している。なお、現在検討中の他の4つのアルゴリズムは、構造格子やハッシュ関数を用いたアプローチを採用していない。

4つの暗号化アルゴリズムをCloudflareはどう見ているのか

鍵合意アルゴリズム

 Kyberは「Key Encapsulation Mechanism」(KEM)方式を採用した。CloudflareはKyberと、現在TLS 1.3で一般的に使われているDiffie-Hellman方式のX25519を次のように比較している。


鍵合意アルゴリズムの比較(提供:Cloudflare)

 Kyberは暗号文と鍵のサイズがやや大きいものの、計算効率が高いとCloudflareは評価した。全体的にバランスの取れたポスト量子鍵合意アルゴリズムであり、これを使えば、性能面で妥協することなく、量子コンピュータを使用する将来の攻撃者から、今日のインターネット上のデータを保護できるとしている。

デジタル署名アルゴリズム

 Cloudflareはポスト量子署名に関する状況は、ポスト量子鍵合意ほど明るくないとした。どの署名スキームもそれぞれ異なる理由から、単独では物足りないと指摘している。NISTが選定した署名スキームの性能特性を、現在一般的に使われている「Ed25519」「RSA-2048」と次のように比較している(SPHINCS+は2種類を評価)。


デジタル署名アルゴリズムの性能特性の比較(提供:Cloudflare)

 Cloudflareは、DilithiumとFalconは改善の余地が大きいとして、NISTが以前の発言に反して、今回両方とも選定したことはうれしい驚きだと述べている。両者の組み合わせにより、これまでの予想以上にポスト量子認証の実用化が進むだろうと期待を示している。

Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 1年前と比べて1Tbpsを超えるDDoS攻撃が1885%増加、今すぐできる対策は? Cloudflare
  2. 米ホワイトハウス、“懸念国”への半導体輸出、AI規制を発表 日本含む18カ国は規制対象外
  3. 終わらせましょう。複雑過ぎるKubernetes/クラウドネイティブが生む心理的安全性の低下を――無料でクラウドセキュリティの勘所が分かる130ページの電子書籍
  4. 「SMSは認証に使わないで」 米CISA、モバイル通信を保護する8つのベストプラクティスを公開
  5. 「Appleの暗号化アルゴリズム」を盗用し、2カ月以上検出されなかったステルス型マルウェアの正体とは
  6. Google Cloud、2025年のサイバーセキュリティ予測を発表 AIがサイバー攻撃にもたらす影響とは?
  7. 経営層の約7割が「セキュリティ対策は十分」一方で6割以上がインシデントを経験、1位の要因は?
  8. “ゼロトラスト”とトラスト(信頼性)ゼロを分かつものとは――情報セキュリティ啓発アニメ「こうしす!」監督が中小企業目線で語る
  9. 2025年に押さえるべきセキュリティの重要論点をガートナーが発表 新しいリスク、脅威、環境の変化、法規制などの動きを把握する指標に使える
  10. よく聞く「複雑化するサイバー攻撃」は具体的にどう複雑なのか? 一例を医療系企業のランサム事例とともに解説
ページトップに戻る