ポスト量子暗号の中身は? Cloudflareがアルゴリズムを詳しく解説:量子コンピュータは何を破壊するのか
ポスト量子暗号標準の一部となる4つの暗号化アルゴリズム候補をNISTが発表した。Cloudflareはこれを受けて、暗号技術に対する量子コンピュータの脅威と、これらのアルゴリズムへの評価を公開した。
CDN(Contents Delivery Network)や各種インターネットセキュリティサービスを提供するCloudflareは2022年7月9日(米国時間)、将来発生すると予想される量子コンピュータによるサイバー攻撃が暗号技術に与える影響と、ポスト量子暗号(PQC)アルゴリズムの評価を公開した。
NIST(米国立標準技術研究所)が、PQC標準の一部となる4つの暗号化アルゴリズム候補を2022年7月5日に発表したことを受けたものだ。
何に使うアルゴリズムなのか
NISTが発表した標準アルゴリズム候補は、鍵合意アルゴリズムの「CRYSTALS-Kyber」と、デジタル署名アルゴリズムの「CRYSTALS-Dilithium」「FALCON」「SPHINCS+」(「スフィンクスプラス」と呼ばれる)だ。
これらの処理を担う従来型のアルゴリズムは既に広く使われている。鍵合意アルゴリズムは安全なWebサイトへのアクセス時に必要であり、デジタル署名アルゴリズムは、デジタル取引の本人確認時や、リモートで文書に署名を記す場合に不可欠だ。
NISTは2016年に、将来の強力な量子コンピュータからの攻撃に対抗できる暗号化方式について、世界の暗号技術者に考案を呼び掛けた。82件の応募があり、そのうち8件が3次選考に残った。今回、NISTはその中から4つの暗号化アルゴリズム候補を選定した。これらは約2年後に標準化される見通しだ。
米国商務長官のジーナ M. レイモンド氏は、「今回の発表は、量子コンピュータによる将来のサイバー攻撃の可能性から、われわれの機密データを保護するための重要なマイルストーンだ」と述べている。
NISTは今回発表した4つ以外にも、4つのアルゴリズムをPQC標準に含めることを検討しており、最終候補を後日発表する計画だ。2段階に分けて候補を発表するのは、強力で多様な防御ツールが必要になるからだ。
なぜ量子コンピュータによるサイバー攻撃は危険なのか
高度な演算能力を持つ大規模な量子コンピュータが実現された場合のセキュリティ上の脅威が懸念されるようになった発端は約30年前にさかのぼる。
1994年に米国の数学者ピーター・ショア氏が、素因数分解と離散対数の計算を驚異的な効率(多項式時間)で実行するアルゴリズムを発見したことにある。このアルゴリズムを使えば、「RSA暗号」や「楕円(だえん)曲線暗号」など、現在使われている公開鍵暗号のほとんどを高速に解読できる。ただし、このアルゴリズムが威力を発揮するには量子コンピュータが必要になる。
1994年当時、量子コンピュータは紙の上にしか存在しなかった。だが、開発が進んだ結果、公開鍵暗号を破る能力を持つ量子コンピュータが作られるのは、時間の問題のようだ。
暗号化と鍵合意、署名の3種類が必要なのはなぜか
Cloudflareは量子コンピュータのセキュリティリスクを理解するには、インターネット閲覧時の接続を保護するために使われる3つの暗号プリミティブを区別する必要があると述べている。
・対称型暗号化
対称型暗号化では、1つの鍵を使ってメッセージを暗号化し、復号する。この暗号化は高速で、よく理解されており、知られている限りでは、量子攻撃に対して安全だ。「AES」や「ChaCha20」などが代表例だ。
ただし、対称型暗号化だけで済ませることはできない。なぜならWebサイトを初めて訪問したときに、どの鍵を使うかという問題が残っているからだ。ランダムに鍵を選んで平文で送ることはできない。(悪意のある)誰かがそのセッションを監視していれば、選んだ鍵が分かってしまうからだ。
・鍵合意
鍵合意(鍵交換とも呼ばれる)は、一度も会ったことのない2人の当事者が共有鍵について合意することを可能にする。誰かが通信を傍受していても、合意した鍵は分からない。「X25519」のような楕円曲線Diffie-Hellman鍵合意アルゴリズムが代表例だ。
鍵合意は攻撃者が受動的であればセッションの内容を保護できる。だがまだ不十分だ。ユーザーとユーザーが訪問しようとするWebサイトの中間に攻撃者が入り、2つの別々の鍵合意を行う(ユーザーとの鍵合意と、サイトとの鍵合意)攻撃(中間者攻撃:MITM攻撃)を防ぐことはできない。そこでもう1つの暗号プリミティブが必要になる。
・デジタル署名
RSAなどのデジタル署名により、ユーザーは認証局までの証明書の連鎖を追うことで、自分が適切なWebサイトに実際にアクセスしていることを確認できる。Webサイトと自分の間に中間者がいないことを確信できるのだ。
だが、ショア氏が発見したアルゴリズムを使うと、インターネットセキュリティに不可欠な、広く展開されている鍵合意スキームとデジタル署名スキームを全て破ることが可能になる。ただし、その脅威の緊急性と緩和における課題は、鍵合意とデジタル署名では全く異なる。
脅威の影響はどのように異なるのか
インターネット上のほとんどのデジタル署名は、寿命が比較的短い。ユーザーが署名を使い始めてから使い終わるまでの期間が短いということだ。
つまり、量子コンピュータが署名を破る前に、署名を置換すれば、実用上の問題はなくなる。ただし、署名の置換はそれほど簡単ではないため、問題は残る。
だが、より緊急な問題は、攻撃者が攻撃時点でトラフィックを保存しておき、量子コンピュータを使って後から鍵合意を破ることで、それらを復号できることだ。個人情報やクレジットカード番号、鍵、メッセージなど、インターネットで送信される全てのものが危険にさらされる。
NISTが選定した4つの暗号化アルゴリズムは何を改善するのか
NISTによると、今回選定された耐量子アルゴリズムは、従来のコンピュータと量子コンピュータのどちらであっても、解くことが困難な数学問題に基づいている。NISTはこれらの4つのアルゴリズムについて、次のように述べている。
・CRYSTALS-Kyber
鍵合意アルゴリズムの一種。暗号鍵が比較的小さく、2者間で容易に交換できることや、動作が高速であることなどが選定理由だ。
・CRYSTALS-Dilithium
デジタル署名アルゴリズムの一種。主要なデジタル署名アルゴリズムとして推奨する。
・FALCON
デジタル署名アルゴリズムの一種。Dilithiumよりも小さい署名が必要なアプリケーションに使用することを推奨する。
・SPHINCS+
デジタル署名アルゴリズムの一種。DilithiumやFALCONと比べてやや大きく、低速だが、この2つ、さらにはKyberとは異なる数学的アプローチに基づいていることから、バックアップとして価値がある。
NISTによると、KyberやDilithium、FALCONは、構造格子と呼ばれる一連の数学問題に基づいているのに対し、SPHINCS+はハッシュ関数を使用している。なお、現在検討中の他の4つのアルゴリズムは、構造格子やハッシュ関数を用いたアプローチを採用していない。
4つの暗号化アルゴリズムをCloudflareはどう見ているのか
・鍵合意アルゴリズム
Kyberは「Key Encapsulation Mechanism」(KEM)方式を採用した。CloudflareはKyberと、現在TLS 1.3で一般的に使われているDiffie-Hellman方式のX25519を次のように比較している。
Kyberは暗号文と鍵のサイズがやや大きいものの、計算効率が高いとCloudflareは評価した。全体的にバランスの取れたポスト量子鍵合意アルゴリズムであり、これを使えば、性能面で妥協することなく、量子コンピュータを使用する将来の攻撃者から、今日のインターネット上のデータを保護できるとしている。
・デジタル署名アルゴリズム
Cloudflareはポスト量子署名に関する状況は、ポスト量子鍵合意ほど明るくないとした。どの署名スキームもそれぞれ異なる理由から、単独では物足りないと指摘している。NISTが選定した署名スキームの性能特性を、現在一般的に使われている「Ed25519」「RSA-2048」と次のように比較している(SPHINCS+は2種類を評価)。
Cloudflareは、DilithiumとFalconは改善の余地が大きいとして、NISTが以前の発言に反して、今回両方とも選定したことはうれしい驚きだと述べている。両者の組み合わせにより、これまでの予想以上にポスト量子認証の実用化が進むだろうと期待を示している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- ポスト量子暗号へ移行する前にやるべきこと、米政府発表の理由は?
NISTが4つのポスト量子暗号候補を発表したことを受け、CISAは米連邦政府として「ポスト量子暗号イニシアチブ」を設立すると発表した。強力な量子コンピュータが利用可能になる前に、現在広く使われている暗号技術を新しい技術に置き換えるためだ。政府組織や企業が新技術へ移行するためのロードマップもある。 - 量子暗号通信は金融分野で使えるのか
近年、金融分野ではサイバー攻撃の増加やデジタル化の進展など、システムを取り巻く環境が大きく変わり、セキュリティ対策についてより一層の強化が求められている。特に取引処理の遅延が機会損失の発生につながる株式取引では、膨大な量の取引データ伝送に耐えられ、低遅延な通信方式が必要とされている。野村證券やNICTなど5者は、量子暗号通信がどの程度利用できるのかを検証した。 - 「物理的攻撃を使った解読」から耐量子計算機暗号を守る技術を東北大学とNTTが共同開発
東北大学電気通信研究所の環境調和型セキュア情報システム研究室とNTTの社会情報研究所は共同で、ソフトウェアやハードウェアとして「耐量子計算機暗号」を安全に実装する技術を開発した。