理論的には、量子コンピュータの能力はかなり知られているよ。基本的には、効率的にできるいくつかの追加操作があって、それを脅威モデルに組み込むことができるんだ。まだ誰も量子コンピュータを作ってないけどね。（もちろん、基本的にすべての暗号、特に非対称暗号は、まだ発見されていない数学の利用可能な構造がないことを前提にしている。現代の暗号学は、AFAIK、これが起こらない理由についてそれなりの議論があるけど、ニッチなケースやトリビアルなケースを除いて完全には証明されていない。新しいアルゴリズムに対して、古典的でも量子的でも攻撃が発見される可能性は常にあるんだ。）

問題は、思っているよりも理論的なものかもしれないね。ポスト量子暗号の安全性は、研究者たちが特定の問題を解くための効率的な古典的または量子的なアルゴリズムがあるかどうかを真剣に考えた結果、まだ見つかっていないという事実に帰着するんだ。それ自体は新しいことではないよ。RSAも、誰も高速な因数分解アルゴリズムを持っていないことを前提にしているからね。

「本当に可能なのか？」という質問に答えると、難しいエンジニアリングの問題がたくさんあるけど、解決不可能なものはなさそうだし、投資もされているよ。それに、たとえ量子コンピュータが暗号を破る確率が10%でも、コミュニティはそんな壊滅的なシナリオの10%の可能性には安心できないんだ。これが私の仕事の一部だから、もう一つ面白い事実を教えるね：暗号化のユースケースを移行する際、攻撃者が今日の暗号化されたデータをキャッチして未来に破る可能性を考慮しなければならない。だから、一般的には、暗号化の移行タイムラインは署名よりもずっと短いんだ。

技術と政策の道筋がどうなっているかってことかな？基本的には願望リストみたいなもんだよね。もう数十年先の7Gモバイル通信の仕様があるみたいだし…（https://www.techsciresearch.com/blog/5g-vs-6g-vs-7g-unveilin...）

チューリングマシンが古典コンピュータの実際の物理実装に依存せずにランタイムの複雑さについて様々な議論をするための十分な理論モデルであるのと同じように、量子計算にアプローチするための理論モデルもあるんだ（量子回路モデルってやつね）。

この基準で言うと、現在知られている破れない暗号方式はないよ（正しく使った場合の事前共有のワンタイムパッドを除いてね）。例えば、素因数分解が古典コンピュータでずっと効率的にできないことは証明されていないから、明日誰かがRSAを少ない操作で破れる新しいアルゴリズムを思いつく可能性もあるんだ。同じことが楕円曲線にも言える。現在知られているものよりもずっと良いアルゴリズムが可能であることが不可能だという数学的証明はないんだ。でも、RSAの場合のように、効率的な整数因数分解の問題は長い間研究されてきたけど進展がないのと同じように、量子コンピュータでも同じことが言える。古典コンピュータにとって難しい問題の量子アルゴリズムを見つけようと長い間試みてきたけど、今のところ成功しているのは限られたものだけなんだ。数学者たちは、どの問題が量子コンピュータで解決しやすい特性を持っているか、どれがそうでないかについても一定の直感を持っている。一般的に、P=NP?と同じように、BQP、つまり効率的な量子コンピュータバージョンを持つ問題のクラスがP、古典コンピュータで効率的に解決できる問題のクラスと等しいかどうかはまだ証明されていないし、BQP=NPかどうかもわからない。だから、ポスト量子暗号を作るために使われる問題がBQPに含まれる可能性は理論的にはあるし、それを解決する効率的な量子アルゴリズムが存在するかもしれない。でも、それは数学の研究から来るもので、実際の量子コンピュータを作ったりいじったりすることとは全く関係がないんだ。量子アルゴリズムの数学は、実際のコンピュータを作るエンジニアリングや物理学よりもずっと進んでいるんだ。

これが量子論理の基本になるでしょう。

私たちは本当に、量子コードの解読が遠い可能性ではなく、計画している近いリスクであるサイエンスフィクションの未来に生きています。ヴァーナー・ヴィンジの小説「深淵の火」では、最も貴重な商品は、一度限りのパッドで、通信ノードに物理的に運ばれ、壊れない通信を可能にします。パッドは三つの部分に分けられ、XORされて実際のパッドが作られ、妥協のリスクを減らします。

基本的には物理法則の話だね。簡単に言うと、量子コンピュータは特定の種類の操作をめちゃくちゃ速くできるんだ（例えば素数の因数分解とか）。それはほぼ瞬時にすべての順列を計算できるから。でも、意図的に複雑さを加えると、その状態が「見えなく」なっちゃって、量子コンピュータはうまく機能しなくなる。ポスト量子アルゴリズムを追加するのが問題なのは、設計上、特定の方法で効率が悪くなって、結果的に遅くなったり、オーバーヘッドが増えたりするから。数年前に量子力学の博士が分かりやすく説明してくれたのは、核科学に似てるってこと。核爆発が可能だってことは、爆弾が作られる前から「知ってた」し、どんな条件で機能するかも分かってた。長崎の爆弾は、トリニティテストや広島のとは全然違うタイプの爆弾で、ウランじゃなくてプルトニウムだったし、初めて使われるまでテストすらされてなかったんだよ！

ブルース・シュナイアーの本は、より良い暗号化以上にセキュリティにはもっと多くのことがあるって説明してる。ほとんどが間違った実装か、間違った使い方をされてるんだ。

戦闘実績のあるアルゴリズムで最初に暗号化して、その後新しいアルゴリズムで再暗号化することに価値はあるのかな？

私も、あまり言及されていない潜在的な欠点についてどう思っているのか気になっていました。

主な欠点は、インライン検証からアウトオブバンドの状態同期に移行することです。ハンドシェイクを小さく保つためには、ブラウザが常に新しい「ランドマーク」をキャッシュし続ける必要があります。もしデバイスがオフラインで、フラ flakyなホテルのキャプティブポータルに遭遇すると、これらのランドマークが不足し、巨大なインラインML-DSA署名を伴うフォールバックを引き起こします。これにより、ネットワークが最悪の状態のときにハンドシェイクが10KB以上に膨れ上がります。つまり、暗号サイズの問題がブラウザのバックグラウンド同期の課題に変わるわけです。

デメリットは、サイズ最適化を実現するために、TLSサーバーがちょっと複雑になることだね（複数のMTC証明書を設定して、クライアントの状態に応じて適切なものを選ぶ必要がある）。それに対して、TLSクライアントはかなり複雑になると思う（信頼できるソースから各CAのランドマークを継続的にダウンロードしなきゃいけない）。多くのブラウザ以外のTLSクライアントは、小さいランドマーク相対証明書をサポートしないだろうな。ランドマーク配信サービスを運営する明確な主体がいないから（ChromeはGoogle、FirefoxはMozillaだけど、curlは誰がいるの？）。オープンソースのTLSサーバーでもサポートが不足するんじゃないかと心配してるけど、これはまだ解決可能な問題だね。だから、ブラウザとCDNの接続以外では、大きなスタンドアロン証明書がかなり一般的になると思うよ。

新鮮な視点ですね！「私は言った通りだ」とは言いたくないけど、> これが私が多くの人と話していて何度も出会った問題です：「Harvest-Now-Decrypt-Laterが唯一の緊急の問題で、署名は待てる」というマントラを繰り返す人が多く、この誤情報は広がりすぎて、AIさえもそれを繰り返すようになっています（オープンデータで訓練されているため、圧倒的な感情がこのトレンドに従っているからです）。ClaudeやChatGPT、Geminiにこの問題を尋ねると、彼らは必ず「署名は後からの妥協にさらされないから、緊急性は低い」と言うでしょう。私は一般の感情については語れませんが、私が何年も持っていた立場は大体こうです：HNDLはより緊急です。なぜなら、今すぐ暗号化されたメッセージが未来に量子コンピュータが作られた場合に解読される可能性があるからで、それが人類の歴史の全期間にわたってプライバシーを損なうからです。それは「認証は全く重要ではない」ということではありません。今日解決すべき問題を選ぶなら、こちらの方が早く出血を止められます。でも、どちらも解決することは常に重要でした。問題は、より良い署名アルゴリズムが導入されるまでPQ認証を遅らせることができるかどうかでした。Google/Cloudflareの2029年の決定は、私たちに「いいえ、今すぐ移行を始める必要がある」と示しました。

それ、Shamir Secret Sharing Algorithmに似てるね。HashiCorp Vaultの開封/封印と同じ感じ。20年前に本を読んだけど、その部分はすっかり忘れちゃった。

でも、それはちょっと外してるね。まるでNeal Stephensonの瞬間みたいで、クリエイターは正しい言葉を使ってるけど（ウィリアム・ギブソンを読むのとは違って、彼は明らかに何も分かってないし、それを知ってる - 技術じゃなくて感情的な部分を狙ってる）、実際に何が起こってるかは理解してない。OTPは、動作する対称暗号がないなら理論上は正しい選択だけど、実際には「量子コンピュータ」のアプローチは、我々の対称暗号にほとんど影響を与えない。前にも書いたけど、DESは1977年に標準化された、ほぼ50年前のことだよ。「でも、DESは壊れてる」と思うかもしれないけど、そう、DESは設計通りに壊れたんだ。文字通り、何も間違ってなかった。標準化されたとき、鍵が小さすぎるって分かってたし（そう、すべての鍵を試すことで壊せる）、ブロックも小さすぎた（そう、重複ブロックを「作る」ことができる）んだ。そして、巨大で速い現代のコンピュータでその弱点を利用して壊された。AESは全く異なる暗号システムだけど、最も重要な選択肢は、鍵が十分に大きいこと（一般的には128ビットか256ビット）と、ブロックも大きいこと（128ビット）だった。これらは小さなアップグレードに見えるかもしれないけど、実際には2-4倍の大きさだから、誰が気にするの？でも、これはビット長だから、指数関数的な増加なんだ。そして、量子コンピュータはほとんど役に立たない（仮に魔法のように同じ価格だとしても）。必要な計算を行うのは物理的に実用的じゃない。AESが壊れるのは、我々が知らなかった数学的なバックドアがある場合だけだ。「量子コンピュータでAESを破る」ってのはハリウッド映画のプロットで、実際には意味がないことなんだよ。[編集: 「ブルース・スターリング」って書いたけど、「ウィリアム・ギブソン」のことを言いたかった。混同してしまった二人に謝るけど、意見には謝らないよ。]

パッドは3つの部分に分割されて、実際のパッドを作るためにXORされて、リスクを減らしている。そうすることで、完全に安全でない二重パッドが作られる…

実際に実行するとなると、まだかなり遠い話だけど、完全に無視するには遠すぎるわけじゃない。NSAは、私たちの暗号化されたインターネットトラフィックを保存するための巨大なデータセンターを持っているしね。

近い将来を「このスレッドの参加者がまだ生きている間」と考えるなら、しばらくは安全だと思うよ。

ssh-otpを作るのは簡単に実装できると思ってたんだ。パケット自体を、各側で複製された大量のランダムデータとXORするって意味ね。再利用はしないけど。でも、たぶんそれでも軍需品に該当して、輸出制限があるだろうね。

この本の名前を聞いたのは人生で二回目だよ。めちゃくちゃ変な本だったな。キャラクターの複数性に気づくまで、1/3くらいまで読んでたと思う。

OpenSSH用のmldsa-44キーに関するIETF RFCドラフトがあるよ。https://datatracker.ietf.org/doc/draft-rpe-ssh-mldsa それが実際に進展しているかは分からないけど、ちょっと検索したら見つけた。

署名を置き換えるのは、暗号鍵ほど急を要するわけじゃない。誰かが量子コンピュータを作る直前まで待ってから、すべての署名を変更すればいい。暗号化されたデータの方が重要で、NSAは後で解読できると思ったら、何世代にもわたってインターネットトラフィックを保存するつもりだから。

それについては誰も答えを知らないから、対応できないんだよね。だから彼らの計画は、専門家と協力して今後のエンジニアリングの課題を解決することなんだ。今日、ラッピングされた解決策を発表するわけじゃない。もしこの不安が特に強いなら、フォーラムでそれを共有してみて。書面に残しておくことで、彼らが解決策を考えるのが楽になるから。

いい質問だね！もちろん、詳細が固まったらもっと情報を提供するよ。まだ確定していない分野だけど、どんな感じになるかのプレビューを見せられるよ。バッチは現在のCTログと同じくらいの速さで生成されることを期待している。0.5秒から5秒の範囲でね。これは、（少なくとも一部の）CTログが同じバッチ処理を行っているから、既存の問題でもある。で、MTCAには注意点があって、これを使うと「スタンドアロン」証明書が得られるんだけど、今の証明書と同じように機能する。ただし、サイズは大きい。新しい小さな証明書（ランドマーク相対）を手に入れるには、次のランドマークを待たなきゃいけない。現在の計画とChromeとの話し合いに基づくと、短命の証明書は毎時、長命の証明書は4時間ごとに発行される見込み。だから、大きな証明書はすぐに手に入るけど、小さなランドマーク相対の証明書を手に入れるまで1時間か4時間待たなきゃいけないかも。新しいウェブサイトはすぐにオンラインになるけど、小さな証明書が手に入るまでいくつかのデメリットがあるね。（私はLet's Encryptで働いているよ）

バッチが作成されるのを待っている間に、「スタンドアロン証明書」をすぐに使えるようになるよ。ただし、そのスタンドアロン証明書には複数の巨大なML-DSA署名が含まれることになる。