ハクソク

世界を動かす技術を、日本語で。

量子コンピューティングのタイムラインに関する暗号技術者の視点

49日前原文(words.filippo.io)

概要

量子耐性暗号の導入が急務であるとの認識に変化。 GoogleやOratomicによる最新の研究で、従来予想より早く量子コンピュータが暗号を破る可能性が示唆。 2029年を目標とした移行が現実的な期限に。 従来の「ハイブリッド」方式より純粋なPQ暗号への移行が推奨。 対称暗号やハードウェア依存の安全性にも注意喚起。

量子耐性暗号導入の緊急性と背景

  • 量子コンピュータ による暗号解読リスクの急激な高まり
    • Googleの論文で、256ビット楕円曲線(NIST P-256, secp256k1)を数分で破る可能性が提示
    • Oratomicの研究で、非局所接続性を持つ中性原子型量子コンピュータなら1万物理キュービットで攻撃可能
  • WebPKI や暗号資産だけでなく、インターネット全体の安全性に直結
  • 専門家 (Heather Adkins, Sophie Schmieg, Scott Aaronson等)による2029年をデッドラインとする警告
  • 量子耐性暗号(Post-Quantum Cryptography, PQC)への移行遅延は、ユーザーの安全性を危険に晒すリスク

導入方針の転換

  • これまでの「まだ時間があるからプロトコルを最適化しよう」という方針から、 今あるPQ暗号を早急に導入 する方針へ転換
  • ML-DSA署名 のような大きな署名を既存の枠組みに無理やり組み込む必要性
  • ハイブリッド認証 (従来暗号+PQ暗号)は複雑性・コスト増大のため非推奨
    • 認証は 純粋なPQ署名 (ML-DSA-44等)へ直接移行
    • 鍵交換は ML-KEM への移行を推進
  • 非PQ鍵交換 は今後「危険」としてユーザーに警告すべき
  • 非対話型鍵交換(NIKE) は当面見送り、PQツールキットではKEMのみが現実的

対称暗号・ハードウェア・エコシステムへの影響

  • 対称暗号 (AES等)はGroverアルゴリズムの影響を過度に恐れる必要なし
    • 128ビット鍵でも現実的な量子攻撃は非現実的
    • 256ビット鍵の強制は非効率で混乱の元
  • ハードウェアアテステーション (Intel SGX, AMD SEV-SNP等)はPQ鍵未対応のため信頼性低下
    • これらは「防御層の一つ」として格下げ
  • 暗号IDエコシステム (atproto, 仮想通貨等)は早期移行が不可欠
    • 移行が遅れると、ユーザーの鍵が破られるか、利用不能になるリスク
  • ファイル暗号 は「今保存して後で解読」攻撃(store-now-decrypt-later)に特に脆弱
    • 非PQ対応受信者タイプへの警告・利用停止措置が必要

今後のアクションと提言

  • Go標準ライブラリ 等、広範な暗号実装の見直しと移行計画の策定
  • SHA-1からSHA-256への移行 以上の大規模な変革
  • RSA, ECDSA, ECDH は今後「レガシー」として扱うべき
  • 教育現場 でもPQ暗号を標準として扱い、従来暗号は歴史的背景として紹介

支援・協力体制と今後の情報発信

  • Geomys によるオープンソース暗号保守活動の支援
    • Ava Labs, Teleport, Tailscale, Sentry等がスポンサー
  • BlueskyMastodon での最新情報発信
  • 業界全体 での迅速な対応と連携の呼びかけ

補足と注意点

  • 量子暗号研究論文の一部は、実際のハードウェア登場前に理論的進展が先行
  • PQ暗号の安全性は、専門家(Sophie Schmieg, NSA等)による評価で十分信頼できる水準
  • NSA が承認したML-KEM, ML-DSAは国家安全保障レベルで利用可能

まとめ 量子耐性暗号の実装・展開は「将来の話」ではなく 今すぐ着手すべき現実的課題。 既存の暗号技術は 急速にレガシー化 しつつあり、専門家の警告を真摯に受け止め、 全体エコシステムの早期移行 が求められる。

Hackerたちの意見

いい意見だね、あんまり反論の余地はないよ。 >「HPKEハイブリッド受信者の利用可能性がCFRGでブロックされて、X-Wingのための安定したラベル文字列を選ぶのにほぼ2年かかった(2024年1月)し、ML-KEM(2024年8月)も同様だったけど、デザインには何の変更もなかった。」IETFはこの件について内部で反省会を開くべきだと思うけど、実際にそうなるかは疑わしいな。プロセスの問題を話し合って解決するスタンダード団体が欲しいよ。

最近のCRFGミーティングで会えなかったのが残念だったよ。

記事が主張しているハイブリッド反対の意見は明らかに間違ってると思う。たとえCRQCが今存在しても、ハイブリッドアルゴリズムを使うべきだよ。CRQCが存在しても、少なくとも10年間は遅くて高価で電力を大量に消費するから。ハイブリッドアルゴリズムは、攻撃のコストを最低でも約100万ドルに抑えるから、PQCコンペティションの第3段階に進んだアルゴリズムの半分よりずっと良いよ(そのうちの2つはノートパソコンで破られる可能性がある)。

もし実際に使える量子コンピュータがすぐに登場するなら、優先すべきはFIPS 203(ML-KEM)の導入だね。これはTLSやSSHのようなプロトコルで使われる秘密セッションキーを確立するためのものだから。ML-KEMは、共有秘密値を作るための従来のDiffie-Hellmanアルゴリズムや楕円曲線版を置き換えることを目的としている。FIPS 203、つまりML-KEMを使わないと、敵はインターネット上で転送されたデータを記録して、数年後にはそのデータを復号できる可能性がある。一方で、今使われている証明書やデジタル署名の方法を置き換える必要性はあまりない。未来に誰かがそれを偽造できるようになっても、過去に遡って認証に使うことはできないからね。唯一の例外は、法的に重要な伝統的な書類を完全に置き換えるデジタル文書が存在する場合だ。所有権を証明するような書類がデジタル署名されている場合、将来的にそれを偽造することが誰かにとって有用になるかもしれないから、その場合は未来に対応した署名方法が意味を持つ。OpenSSHやOpenSSL、他の多くの暗号ライブラリやアプリケーションはすでにFIPS 203(ML-KEM)をサポートしているから、プライベートサーバーやクライアントには簡単に導入できるよ。既存の認証方法(例えば証明書)を置き換えずに、ポスト量子署名方法を使うと証明書が大きくなってオーバーヘッドが増えるからね。

昨年まではそう考えていたし、業界のほとんどが同意していたよ。変わったのは、新しいタイムラインが非常にタイトになってきたことだね(仕様、展開、ローテーションの時間を考慮すると)認証を切り替える時間も来ている。ML-KEMの導入については、記事でも触れられているけど、論争の余地がなく進行中だからね。>「これは私が書きたかった記事ではない。PQ鍵交換を今すぐにでも行うべきだと説明するドラフトが数ヶ月間保留になっているけど、まだ時間があるうちにプロトコルを大きな署名に適応させる時間を取るべきだ。なぜなら、すべてのプロトコルは署名が安価であるという前提で設計されているから。」その別の記事は今や間違っている、残念ながら:2029年までに終わらせる必要があるなら、時間がない。>「鍵交換については、ML-KEMへの移行はうまく進んでいるけど:1. 非PQ鍵交換は今や潜在的なアクティブな妥協と見なされるべきで、OpenSSHのようにユーザーに警告する価値がある。接続を通じて送信されたすべての秘密やファイル内で暗号化されたものが3年より短い寿命を持っていることを確認するのは非常に難しいから。」[...] 君のコメントは基本的に別の記事の前提だね。

「唯一の例外は、法的に重要な伝統的な書類を完全に置き換えるデジタル文書が存在する場合だ。所有権を証明するような書類がデジタル署名されている場合、将来的にそれを偽造することが誰かにとって有用になるかもしれないから、その場合は未来に対応した署名方法が意味を持つ。」これ、実際に存在するよ。特に、将来の改ざんから守るための暗号的タイムスタンプは、現在RSAやECを使っているからね。

暗号を破ることができるスーパーコンピュータを構築するのは、今の政府が取り組んでいることだと思う。記事にも言及されているけど、マンハッタン計画に例えられるのは明らかだね。1940年以前には、十分な量の核物質を集めれば爆発を引き起こすことができることは知られていた。ウランを精製する方法や武器を実際に構築する方法など、工学的な問題があったけど、その現象自体は知られていた。政府がこっそりとエキゾチックな技術を開発しているというミームがあるけど、個人的にはそれには疑問を持っている。だけど、これはMPにほぼ完璧に例えられる。十分なキュービットを集めたら何が起こるかははっきりしている。実際にそれを実現するための難しい工学的課題があって、政府は必要なときにはお金を集めるのが得意だからね。

マンハッタン計画はアメリカのかなりの割合の人々を雇用していた。あの規模のプロジェクトは二度と起こらないだろうね。科学だけでなく、全体の生産プロセスを工業化し、以前には存在しなかった工業能力を創出することが目的だったから。

ウランを精製する方法や、武器を実際に構築する方法などの工学的な問題があった。でも、その現象は知られていた。参考までに、濃縮ウランを使った武器の構築は、比較的簡単だ。当時、選ばれたのは、濃縮ウランの弾丸を濃縮ウランの「ターゲット」に撃ち込む銃型の武器だった。科学者たちはそれがうまくいくと確信していたので、設計には実験が必要なかった。この武器が「リトルボーイ」で、最終的に広島に投下された。ファットマンはプルトニウムを利用しており、核分裂反応を引き起こすために圧縮が必要だった。これははるかに複雑な作業だけど、効率的だ。つまり、必要な核分裂物質が少なくて済み、その物質の多くが連鎖反応に参加できる。これが核弾頭ミサイルを可能にする設計だ。同じ原則はU-235ベースの武器にも適用できる。圧縮型設計について読むのはとても興味深い。記憶に残る点の一つは、設計者たちが核分裂物質の周りにウラン(U-238)のタッパーを適用することで、出力を大幅に向上させることができると気づいたことだ。連鎖反応は指数関数的だから、ウランが核分裂物質をまとめている数ナノ秒が出力を大幅に増加させる。 https://en.wikipedia.org/wiki/Little_Boy https://en.wikipedia.org/wiki/Fat_Man

この議論が非線形であることに驚いている。例えばRSAに対する古典的な攻撃では、8ビットの合成数を因数分解するのは非常に簡単だ。64ビットの合成数を因数分解するのは少し難しい。256ビットの合成数には難しい数学が必要だ。人々はそれをすべてやってのけた。1024ビットの合成数を因数分解できると最初から推測していたわけではなく、ある日突然誰かがそれを成し遂げたわけではない。今の奇妙な点は、量子コンピュータがRSAに関しては全く役に立たないことで、私の知る限り、誰もECに挑戦すらしていない。過去10年間、最先端の技術はあまり進歩していない。そして突然、数年後にはすべての古典的な公開鍵暗号を破ることができる量子コンピュータが登場する。こういうことは全く新しい分野で起こるかもしれない。でも、量子コンピュータの研究はかなり前から行われている。もし数年後にすべてを破ることができる量子コンピュータが簡単に作れるなら、誰かがRSA 256を破るものをラボで作れるはずだ。それを見る前に、この技術がどれほどうまく機能するかについて結論を出したくないな。

この記事の最初のセクションにリンクされている、https://bas.westerbaan.name/notes/2026/04/02/factoring.html と https://scottaaronson.blog/?p=9665#comment-2029013 を見てみて。 > 確かに、そろばんや犬についての論文は面白いし、フォーラムで賢そうに見えるし、反対意見を持ってるように見える。でも、それが本来の仕事じゃないし、そういう議論は専門知識の欠如を示してるよね。スコット・アーロンソンが言ったように: > 量子誤り耐性を理解すると、「じゃあ、いつショアのアルゴリズムで35を因数分解するの?」って聞くのは、1943年にマンハッタン計画の物理学者に「じゃあ、いつ小さな核爆発を起こすの?」って聞くようなものになる。要するに、スケーラブルな量子計算の難しい部分は誤り訂正なんだ。それがなければ、実質的に何も因数分解できない。実用的な誤り訂正が得られれば、32ビットRSAと2048ビットRSAの距離は小さい。自己持続的な核分裂連鎖反応を引き起こすのが難しいのと同じで、一度それができれば、爆弾を大きくするのは難しくない。これが専門家たちが知っていることだし、彼らが言うタイムラインの理由でもある。私たちが素人の理解で彼らの進捗曲線を見下すのはやめた方がいいよ。

確か、今まで因数分解された最大の数は21のままだよね。

彼の記事では、脅威は公開鍵交換にあると明確に述べられていて、鍵交換後の暗号化にはないんだよね。

うん、これは真剣に受け止めるべき時だね。リスク姿勢について実用的で要点をついた、考えさせられる記事だよ。ただ、ここで特に強調したい一文があって、まだコメントで見かけてないんだけど: > 対称暗号では、特に何もしなくていい、ありがたいことに。これは重要で、スケーラブルではないけど、今日私たちがいくつかの重要な場所で実装できる非常に重要な追加レイヤーを提供してくれる。ここにいる多くの人や組織には、事前共有鍵と対称暗号を使って、より便利でスケーラブルな通常のPKIの代わりに、肉体的な人員とセキュリティのトレードオフができる重要なシステムがあるかもしれない。私にとって大きなものはWireGuardで、数年前から大多数のサイト間VPNをPSKに切り替えられるようになった。もちろん、これはバンド外で、つまり、すべてのサイトに直接持って行って、すべてのプロファイルを直接リンクで手動で共有する必要があるけど、特定の管理機能では、私たちの場合の魔法のサークルがそれほど大きくないので、実現可能だった。今後収集されるトラフィックは、実際のハードウェアの侵害がなければ無価値になるから、そこに余裕ができる。これがPQEや業界の行動の重要性を減少させるわけではないし、すべてにスケールするわけでもないけど、今日使っているソフトウェアが他の更新なしで対称レイヤーを追加できるかもしれない。重要なもののための手軽な即効性のある選択肢として考える価値があるかも。一般的に、組織や脅威の姿勢によっては、長期間信頼できるのが対称暗号とOTPだけという最悪のシナリオを想像して、それにどう対処するかを考えるのもいいかもしれない。原則として、ギガバイトやテラバイトのエントロピーを安全に持ち運ぶことや、粗い部分を自動的に処理するハードウェアとソフトウェアのスタックを作ることはできるはずだけど、そのアイデアに関するプロジェクトはまだ始まっていないみたい。PQEが明らかに最良の結果で、私たちは「ただ」切り替えるだけだけど、計算の増加やプロトコルの変更に伴う痛みがたくさんある。でも、私たちはすべての従来のものが十分にテストされていない新しい数学やシステムに頼ることになるだろうね。今は本当に現実感がある気がする。

著者がAES 128をそんなに好む理由がわからない。AES 256は追加コストがほとんどなく、後で復号する攻撃(「数ヶ月で意見が変わった」みたいな状況)に対しても保護してくれる。量子耐性の対称暗号の業界標準と一般的な推奨は256ビット鍵の使用だから、それに従えばいい。彼がAES 128が良いといろんな理由を挙げるたびに、年齢は256ビットのファイル鍵を使うべきで、非対称モードではPC鍵をデフォルトにすべきだよ。

彼はかなり明確に、AES 128は今すぐ危険にさらされているわけではないと言っていて、256への切り替えを強制するのは、彼が本当に必要だと思っていることから目を逸らすことになるって。

ハイブリッド鍵をスキップするという意見は危険に思える。これらのアルゴリズムは広く展開されていないし、実際の世界でテストされていないから。もし簡単な欠陥があれば、安価なクローラーがあなたを攻撃することになるよ。

これって、クレジットカードやEIDパスポートみたいな広く使われているスマートカードにどんな影響があるんだろう?あいつらも非対称署名に依存してるんじゃないの?

そうだね。彼らは切り替えが必要だから、そのハードウェアを交換しなきゃいけないね。

これがワクワクする論文だよ: * https://arxiv.org/pdf/2603.28627 ここでの新しい点は、中性子原子技術の使用みたい。中性子原子を使って、1〜2秒間で96個のエンタングルされたキュービットが得られるらしい。これなら、ショアのアルゴリズムで15を因数分解するのに十分な能力があるんじゃない?

インテルのSGXやAMDのSEV-SNPみたいな信頼できる実行環境(TEE)や、一般的なハードウェア認証はもうダメだね。彼らのキーやルートはPQじゃないし、PQのものを展開する進展も聞いたことがない。ハードウェアの速度で考えると、彼らが成功するかどうかを受け入れざるを得ない状況だし、信頼できないってことだ。ちょっと話が逸れるけど、Signalの開発者たちはSGXの代わりに何をするつもりなんだろう?外部の観察者が何年もSGXの使用について厳しく見てきたのに(Signalの開発者たちは無視してきたけど)、これが彼らに追加のプレッシャーをかけるように思える。

Signalは、他のメインストリームのE2Eメッセンジャーがサーバーサイドのプレーンテキストでやってる機能にSGXを使ってるよね。