【ポスト量子暗号】PQCって何? インターネットの“安全”を守る次世代技術

IT

暗号が破られる様子のイメージ画像

私たちが普段、何気なく使っているインターネット。オンラインショッピング、ネットバンキング、SNSのダイレクトメッセージ… その裏側では、「暗号」という技術が私たちのプライバシーや財産を“鉄壁”の守りで保護してくれている。しかし、その暗号が、将来登場するであろう「量子コンピュータ」によって、いとも簡単に“突破”されてしまうかもしれない、という話を聞いたことはあるだろうか? 今回は、そんな未来の脅威から私たちのデジタル社会を守るための“究極の盾”、「PQC (Post-Quantum Cryptography)」、すなわち「耐量子計算機暗号」について、詳しく解説していくぞ!

1. 現代の暗号の“仕組み”と“弱点”:なぜ量子コンピュータが“脅威”なのか

まず、なぜ量子コンピュータが脅威なのかを理解するために、現在の暗号がどのように機能しているかを知る必要がある。

1-1. 公開鍵暗号方式:「素因数分解」の“難しさ”が安全の根幹

現在のインターネットで広く使われている「公開鍵暗号方式」(RSA暗号など)の多くは、「非常に大きな数字の素因数分解は、現在のスーパーコンピュータを使っても、現実的な時間内には計算できない」という数学的な“難しさ”を安全性の根拠にしている。例えるなら、巨大な数字という“錠前”は誰にでも見せられるけど、その錠前を開けるための“素数の鍵”を見つけるのが、めちゃくちゃ難しい、というわけだ。

1-2. 究極の矛「ショアのアルゴリズム」:量子コンピュータが“暗号”を破る日

問題は、1994年に発見された「ショアのアルゴリズム」だ。このアルゴリズムを使えば、実用的な規模の量子コンピュータは、これまで“不可能”とされてきた素因数分解を、いとも簡単に、現実的な時間で解いてしまうことが理論的に証明されている。つまり、量子コンピュータという“究極の矛”が完成すれば、現在の暗号という“盾”は、もはや何の役にも立たなくなる「暗号の黙示録(クリプトカリプス)」が訪れる可能性があるのだ。

2. 「PQC (Post-Quantum Cryptography)」とは?:“未来”の脅威に備える“現代”の暗号

PQCによる暗号化のイメージ

この“暗号の黙示録”を防ぐために開発が進められているのが、PQC (Post-Quantum Cryptography / 耐量子計算機暗号) だ。

2-1. 「耐量子計算機暗号」:量子コンピュータでも“解けない”暗号

PQCとは、その名の通り、将来の量子コンピュータによる攻撃にも耐えられる(解読されない)ように設計された、新しい暗号アルゴリズム群のことを指す。量子コンピュータが登場した後(Post-Quantum)の時代でも、安全に使える暗号技術だ。

2-2. PQCは“量子”技術ではない!:“古典的”なコンピュータで動く

ここで重要なのは、PQCは“量子力学”を利用した特殊な暗号ではない、ということ。PQCは、現在私たちが使っているスマートフォンやPCといった「古典的なコンピュータ」上で動作するソフトウェアであり、量子コンピュータがなくても実装・利用できる。あくまで、“量子コンピュータからの攻撃に耐性がある”という点がポイントだ。

3. PQCは“どんな仕組み”で安全なのか?:量子が苦手な“新しい数学問題”

PQCは、ショアのアルゴリズムが得意とする「素因数分解」や「離散対数問題」といった数学問題とは“全く異なる”種類の、量子コンピュータでも解くのが難しいと考えられている数学問題を安全性の根拠にしている。主な種類としては、以下のようなものがある。

3-1. 格子ベース暗号 (Lattice-based cryptography)

多次元の格子状の点の中から、特定の点を見つけ出す問題の難しさを利用する。現在、PQCの標準化において最も有力視されている方式の一つ。

3-2. ハッシュベース暗号 (Hash-based cryptography)

一度変換したら元に戻せない「ハッシュ関数」の性質を利用する。安全性が非常に高いとされているが、署名サイズが大きくなるなどの課題もある。

3-3. 符号ベース暗号 (Code-based cryptography)

通信データの誤りを訂正する「誤り訂正符号」の理論を応用し、大量の誤りの中から元のデータを見つけ出す問題の難しさを利用する。

3-4. 多変数多項式暗号 (Multivariate cryptography)

多数の変数を持つ連立二次方程式を解く問題の難しさを利用する。

これらの“新しい問題”は、量子コンピュータにとっても“難問”であり、PQCの安全性を支える土台となっている。

4. “今、そこにある危機”:「先に収穫、後で解読 (Harvest Now, Decrypt Later)」

「量子コンピュータが実用化されるのはまだ先の話でしょ?」と安心するのは“早計”だ。セキュリティの世界では「Harvest Now, Decrypt Later(先に収穫、後で解読)」という攻撃シナリオが現実的な脅威となっている。

ハッカーが入手したデータをDecrypt Laterと書かれた倉庫に入れる様子

4-1. 暗号化されたデータが“今”盗まれている

悪意のある攻撃者は、“今”、インターネット上を流れる暗号化されたデータを、手当たり次第に収集・保存している。とはいえ現時点では、その中身を解読することはできない。

しかし、将来、強力な量子コンピュータが完成した暁には、過去に“収穫”しておいた暗号化データを持ち出して、一気に解読することが可能になる。つまり、“今”送受信した機密情報が、10年後、20年後に暴露されてしまうリスクがあるのだ。

4-2. 長期間の機密保持が求められるデータは“特に危険”

政府の機密情報、企業の技術情報、個人の医療情報など、長期間にわたって秘密を守る必要があるデータは、この攻撃に対して特に脆弱だ。だからこそ、量子コンピュータが完成する“前”に、PQCへの移行準備を始める必要がある。

5. 世界的な“標準化”の動き:NISTのPQC標準化プロジェクト

この脅威に対応するため、世界中でPQCへの移行準備が進められている。その中心となっているのが、米国国立標準技術研究所(NIST)だ。

NISTのホームページのスクリーンショット

5-1. 新たな“標準暗号”の選定

NISTは、2016年から世界中の研究者からPQCアルゴリズムを公募し、安全性や性能を評価するコンペティションを開催。数年間にわたる厳格な審査を経て、次世代の“標準暗号”となるアルゴリズムを選定した。

5-2. 選ばれたアルゴリズム:CRYSTALS-Kyber, CRYSTALS-Dilithium…

2022年、NISTは最初の標準化対象として、公開鍵暗号・鍵カプセル化メカニズム(KEM)用の「CRYSTALS-Kyber」や、デジタル署名用の「CRYSTALS-Dilithium」など、主に格子ベースのアルゴリズムを選んだ。現在、これらのアルゴリズムの最終的な標準化作業が進められている。

6. よくある“誤解”:「PQC」と「量子暗号」の違い

ここで、よく混同されがちな「PQC」と「量子暗号」の違いを明確にしておこう。

6-1. PQC:量子コンピュータに“対抗”する暗号

前述の通り、PQCは現在のコンピュータで動作し、量子コンピュータからの攻撃に耐えられる暗号だ。ソフトウェアのアップデートで対応が可能。

6-2. 量子暗号:量子力学の原理を“利用”する暗号

一方、量子暗号(特に量子鍵配送/QKD)は、量子力学の物理法則(観測すると状態が変化する、など)を利用して、盗聴不可能な安全な通信路(鍵交換)を実現する技術。専用のハードウェアが必要となる。

この2つは、目的は似ているが、アプローチが全く異なる技術なのだ。

7. 私たちの生活への“影響”は?:いつ、何が変わるのか

7-1. ユーザーが“意識”することは少ない

PQCへの移行は、主にインターネットの“裏側”で行われる。一般のユーザーが、日々の利用で「今からPQCを使います」といった操作を求められることは、ほとんどないだろう。

7-2. Webブラウザ、OS、各種サービスが“順次”対応

Google ChromeなどのWebブラウザや、WindowsなどのOS、金融機関やIT企業のサービスなどが、水面下で順次PQCに対応していくことになる。私たちは、いつの間にかPQCによって守られている、という状態になるはずだ。

7-3. 長期的な“移行期間”が必要

社会全体の暗号システムをPQCへ移行させるのは、非常に大規模なプロジェクトであり、10年以上の長い期間がかかると言われている。Y2K問題(2000年問題)のように、社会全体で取り組むべき課題なのだ。

8. まとめ:「PQC」はデジタル社会の“未来”を守る“希望”の光

PQC(耐量子計算機暗号)は、やがて訪れる量子コンピュータ時代においても、私たちのプライバシー、財産、そして社会インフラの安全性を守るために不可欠な技術だ。「Harvest Now, Decrypt Later」という脅威は、もはやSFの世界の話ではない。NISTによる標準化が進み、世界中のエンジニアたちがPQCへの移行準備を進めている今、PQCは、言うなれば、デジタル社会の“未来”を照らし続ける、希望の光なのだ!