概要
- 量子コンピュータ による脅威は主に 公開鍵暗号 に影響
- 対称鍵暗号 (AES, SHA-2, SHA-3)は 量子攻撃に強い
- AES-128 や SHA-256 は 鍵長変更不要 との専門家合意
- Groverアルゴリズム の誤解が 鍵長倍増論 を生む
- NISTやBSI も AES-128の安全性 を公式に認めている
量子時代における対称鍵暗号の安全性
- 量子コンピュータ の進展により、 RSAやECDSA、EdDSA などの 公開鍵暗号 は Shorアルゴリズム で容易に破られるリスク
- AES、SHA-2、SHA-3 などの 対称鍵暗号 は 量子攻撃の影響が小さい
- 「量子時代には 鍵長を倍にしなければならない」という通説は 誤解 であり、実際には AES-128やSHA-256のままで安全
- 誤解の根拠は Groverアルゴリズム の適用範囲の誤認によるもの
Groverアルゴリズムの現実的な影響
- Groverアルゴリズム は 探索空間N に対し、 √N回 の関数呼び出しで解を見つけられる
- 例: AES-128 の鍵探索には 2^64回 の試行が必要となるが、これは 現実的な時間内で実行不可能
- 攻撃を 並列化 しようとすると、 Groverの二乗的高速化 は大幅に減衰
- 並列化による効率低下
- 通常の総当たり攻撃 のような「恥ずかしいほど並列」にはならない
- AES-128 のGrover攻撃には 724論理量子ビット × 140兆回路 × 10年稼働 が必要という非現実的な計算資源
Shorアルゴリズムとの比較
- Shorアルゴリズム は 256ビット楕円曲線暗号 を 数分 で破るとされる
- AES-128 をGroverで破るコストは Shorで256ビット楕円曲線を破るコストの4.3×10^23倍
- 量子攻撃における 公開鍵暗号と対称鍵暗号の安全性格差 が明確
標準化機関の見解
- NIST は AES-128 を ポスト量子暗号の安全基準 とし、 AES-128の安全性 を公式に認めている
- MAXDEPTH (連続計算深さ)の概念でGrover攻撃の現実的困難さを説明
- NIST IR 8547 ipdでも AES-128以上の鍵長は2035年以降も許可
- 「AESの鍵長を倍にすべきか?」というFAQに対し、「 AES-128は今後も数十年安全」と明記
- BSI (ドイツ連邦情報セキュリティ局)も AES-128/192/256 の利用を推奨し、 量子脆弱な公開鍵暗号 の早期移行を推奨
まとめと実務的指針
- 対称鍵暗号の鍵長を倍にする必要はない
- AES-128、SHA-256 は 量子コンピュータ時代も安全
- ポスト量子暗号への移行 は 公開鍵暗号 が優先課題
- AES-128未満の鍵長(112ビット未満)は非推奨
- NISTやBSIのガイドライン に従い、 既存の対称鍵長で運用継続が推奨
参考文献・関連資料
- NIST: ML-KEM/ML-DSA仕様書, NIST IR 8547 ipd, Post-Quantum Cryptography FAQs
- BSI: TR-02102-1 Cryptographic Mechanisms: Recommendations and Key Lengths
- Liao and Luo (2025), Grassl et al. (2015), Jaques et al. (2019), Babbush et al. (2026) などの量子回路最適化論文