窓辺の小石 第261回 暗号が静止する日

筆者のように歳を取ると、原理や理論の提唱から実用化までの経過を見ることがある。量子コンピュータは1981年（大学生の頃）のリチャード・ファインマンが提唱した。最初に計算を行ったのは1998年のNMR（Nuclear Magnetic Resonance。核磁気共鳴）を使った実験である。現在の量子コンピュータのベースとなったのは、1999年のNECのジョセフソン接合による量子コンピュータの基本的な構成（2003年のリリースだが、固体素子による量子ビット演算の原理なども解説している）だ。2011年には世界初の商用化量子コンピュータD-Wave Oneが出荷されるなど、量子コンピュータの提唱から実現までをリアルタイムに見てきた。

このまま量子ビットの数が増え続けると、非量子コンピュータ（古典的コンピュータ）では計算量が膨大になるため「実用上」、解読が不可能とされている計算、たとえば、因数分解などを極めて短時間で解いてしまう可能性がある。そうなると、因数分解などを原理とする暗号化方式（公開鍵暗号など）が、実用時間内に解読できてしまう可能性が出てきた。

その日はまだ来ていないが、そう遠くない将来にその日（Q-Day）がやってくる。そうなると、政府のような権力がある、あるいは民間人でも「お金」さえ出せば、暗号を解読できてしまう状態になってしまう。その対策として、量子コンピュータでも解読が困難な暗号アルゴリズムを開発しておく必要がある。その暗号化方式を「ポスト量子暗号」（PQC。Post-Quantum Cryptography）や「耐量子暗号」などと呼ぶ。

PQCの開発は急ぐ必要がある。例えば、現在、暗号化されている「超重要」な秘密が数年後であっても意味を持つのであれば、盗聴などで入手した暗号化データを保存しておき、量子コンピュータで解読可能になるQ-Dayを待てばいいからだ。これが「Harvest now, decrypt later(HNDL)」（収穫は今、解読は後で）という戦略である。

米国政府は、すでに対策に着手、NIST（National Institute of Standards and Technology。米国国立標準技術研究所）を通して、PQCのロードマップを提供し、2024年8月に暗号化や電子署名に使う以下のPQCアルゴリズムを選定した。

ML-KEM (旧CRYSTALS-Kyber) FIPS 203
ML-DSA (同 CRYSTALS-Dilithium) FIPS 204
SLH-DSA (同 SPHINCS+) FIPS 205
FN-DSA (同 FALCON) FIPS 206

まずは、盗聴の可能性がある通信などからPQCを導入し、すぐにでも、HNDLへの対策を行うべきとされている。クレジットカードの有効期間は数年で、その間にQ-Dayが来れば保存された暗号通信の解読が可能になる。民間人だってHNDLの餌食にならないとは断定できない。

Webブラウザが装備するTLS 1.3（Transport Layer Security）では、鍵交換にML-KEMを組合せる「ハイブリッド鍵交換」を仕様に含めた。これは、Chromeなど主要なWebブラウザが対応している。一般ユーザーとしては、ブラウザを最新状態に保つぐらいしか手はないが、逆にいうとそれだけで、PQCに対応したことになる。

今回のタイトルネタは、1951年のアメリカ映画「地球の静止する日」（ロバート・ワイズ監督。原題The Day the Earth Stood Still）である。それまでのSF映画は、宇宙人を「怪物」と捉えた単なる怪物映画でしかなかったが、この作品以降、本格的なSF映画が作られるようになった。監督のロバート・ワイズは、ウェストサイド物語やサウンド・オブ・ミュージックに関わったあと、1971年に「アンドロメダ…」（The Andromeda Strain）、1979年のスター・トレック（tar Trek: The Motion Picture）の監督を務めた。