第１話：現在の暗号強度と量子コンピュータの量子ビット数

はじめに

量子コンピュータが既に実用化されつつある今日、大きな技術進歩などに関する発表が世間を賑わせることもしばしばありますが、その都度、インターネットなどで利用されている既存の暗号技術が間もなく破られるという誤解や不安も繰り返し呟かれるのは、認証局や証明書に関わっている身としては少し残念に思います。

これら誤解や不安の払拭のため、NICT（国立研究開発法人情報通信研究機構）や CRYPTREC（Cryptography Research and Evaluation Committees）などは、既存の RSAや ECDSA などの暗号技術が近い将来に量子コンピュータによって破られる可能性は低い、もしくは現実的ではないと伝えています^{[1] [2]}。

簡単に言うと、今の暗号（鍵長/ビット数）を解読するには、現在の量子コンピュータが処理に使えるビット数が少なすぎ、また、暗号を解読できる程度に量子ビット数を非常に大きくすることは、そんなに簡単ではない、ということのようです。

恐らく、量子コンピュータの凄さを簡単に分かりやすく説明しようとして、従来のコンピュータでは解読に膨大で非現実的な時間がかかる暗号解読などの計算が、量子コンピュータでは現実的な時間で（短時間で）計算できます、というシンプルで理想的な姿のみが着目され、実際のビット数とか技術的課題とか、それらを踏まえ何年頃にどの程度の処理能力に達すると見込まれるなどがしばしば省かれてしまい、誤解などにつながっていると想像します。

なお、上記の話はあくまで暗号解読に関わる計算処理についてであり、組合せ最適化問題の解決や量子化学、製薬分野でのシミュレーションなど、量子コンピュータがより得意として進められる実用化には目を見張るものがあります。

話を量子コンピュータと既存暗号の強度に戻すと、前述の通り、闇雲に心配する必要はないのですが、とは言うものの、どんな技術革新があるかもしれません。そうでなくても、例えば、今ネット上でやり取りされている膨大な通信データをどこかに溜めておいて、量子コンピュータが飛躍的に進歩した未来において、それらを解読して、重要な情報を盗み見ようと考える人や組織・集団も出てこないとも限りません。なので、準備はしておこう、つまり、量子コンピュータでも簡単には解読できない暗号技術（耐量子計算機暗号、または耐量子コンピュータ暗号とも言う（PQC: Post Quantum Cryptography））を既存の暗号技術に代わって、またはハイブリッドで一緒に使えるようにしていこう、という取り組みも行われています。

これを推進しているのは NIST（米国国立標準技術研究所： National Institute of Standards and Technology ）で、PQC 標準化のための評価を実施しており、2020 年 7 月からは 7 方式（代替 6 方式）について Round 3 の評価を開始しています^[3]。

本来であれば 2022 年 3 月中には何らかの結果がアナウンスされるものと期待されていましたが、少々遅れが生じているようです。なお、この後については、2022 ～ 2024 年に標準化ドラフトを策定というのが元々の予定です。

これら NIST の標準化に並行して、実装面での実証実験としてオープンソースの PQC 暗号ライブラリ「LIBOQS」が Open Quantum Safe project として産学連携で開発・公開されています^[4]。NIST が評価している PQC 候補がサポートされており、これを組み込んで PQC も処理できるようになった OpenSSL（OQS-OpenSSL）の他、Apache、Nginx、Chromium などの Web サーバー/ブラウザ や、curl, WireShark などのツールなどまでが GitHub 上で公開されています^[5]。

さて、ようやくサブタイトルに記載した「Open Quantum Safe project」という単語にまで辿り着きましたが、本ブログでは、技術者の目から上記ツール・アプリ類を用い、どの程度まで PQC を用いた暗号処理や暗号通信が実装できているのか確認した結果を紹介したいと思います。

ただ、一足飛びにそこに行く前に、前述の現状をもう少し詳しく見た上で、順を追って、話を進めていきたいと思います。

　

現在の暗号強度と量子コンピュータの量子ビット数

インターネット上の通信の暗号化や認証のために今日最もよく使われている既存の暗号技術の RSA 暗号は、大きな桁数の素数同士をかけ合わせた数を素因数分解することが難しく、従来型のコンピュータでは非常に時間がかかる（現実的ではない）ことを安全性の拠り所としています。

現在は 2048 bit の鍵長がよく使われ、一部 4096 bit の鍵長も使われていますが、トップクラスのスーパーコンピュータが現状ベースで年々計算能力を高めたとして、2050 年ないし 2060 年ころには、2048 bit RSA を１年間で解読できる性能を有する可能性があることなどを背景に、NIST は 2048 bit の利用を 2030 年までと推奨しています^[6]。

なお、2030 年を超える場合は 3072 bit 以上の利用が推奨されています。これらを受け、ブラウザベンダなどは今後新たに組み込むパブリックルート証明書の鍵長については、ルート証明書の登録要件として既に鍵長 4096 bit を求めるケースも出てきており^[7]、中間認証局を含め、4096 bit への切り替えが徐々に進んでいくものと想像されます。

一方、量子コンピュータについては、量子の特性をうまく利用して効率よく高速に素因数分解を行うショアのアルゴリズムが 1994 年に発明され^[8]、これにより、量子コンピュータによって RSA などの既存暗号が破られる日が来ると言われるようになりました。

前述の通り、現在は 2048 bit の RSA 暗号がよく使われていますが、例えば、量子コンピュータ上でショアのアルゴリズムを用いて 2048 bit の数の素因数分解を行うには、理想的には、4098 bit 程の量子ビットが必用と言われています^[2]。

しかし、量子コンピュータは非常にデリケートな量子ビットを利用しているため、環境ノイズその他のさまざまな影響を受けて処理誤り（エラー）が生じやすく、今はまだこのエラー訂正が課題となって、量子ビット数がそのまま計算能力にはならないのが実情です。

エラー訂正を実現できた理想的な量子コンピュータは万能型と呼ばれ、これに対し、エラー発生は前提としつつそれでも解が得られるよう工夫された中規模のものは NISQ コンピュータ（Noisy Intermediate Scale Quantum Computer）と呼ばれています。現在ハードウェアで実現されているものは後者となります。

2048 bit の数の素因数分解には、2000 万量子ビットを用いて 5 時間程が必用であろうという報告があるそうです^[9]が、これに対し現状の量子ビット数の規模感は以下の状況です。
ただし、NISQコンピュータではこれまでのところ暗号解読はそれほどうまくいっていないという話もあるようで、以下は単純に規模感の比較としての数量となります。

ほぼロードマップ通りに量子プロセッサ（ハードウェア）を開発・リリースしている IBM で、昨年 2021 年 11 月リリースの Eagle Processor が 127 量子ビット^[10]、これに続く Osprey Processor が 433 量子ビットで 2022 年予定、Condor processor が 1121 量子ビットで 2023 年予定とされています^[11]。

同じく、単純に量子ビット数だけで見るなら、Google の Quantum Computing Service で使われている Sycamore 量子プロセッサは、そのデータシート(2021 年 5 月)によると 54 量子ビットです^[12]。

CRYPTEC が注意喚起情報として、「現在の量子コンピュータによる暗号技術の安全性への影響」で以下の内容を公開したのは 2020 年 2 月ですが、現状もそれら大きな乖離がある状態は特に変わっていないと見えます。

今般、ゲート型の量子コンピュータが量子超越を実現したという報告があり、暗号技術の危殆化が一部で懸念されております。しかし、現在の量子コンピュータの開発状況をふまえると、暗号解読には規模の拡大だけでなく量子誤り訂正などの実現が必要であるため、CRYPTREC としては、CRYPTREC 暗号リスト記載の暗号技術が近い将来に危殆化する可能性は低いと考えています。

・・・（略）・・・

・・・、実現されている量子コンピュータと素因数分解を行うのに必要とされる量子コンピュータの性能に関しては、依然として大きな乖離があります。　・・・・　量子コンピュータの性能を測る上での指標（量子ビット数、量子誤りの大きさ、演算可能回数など）や、量子コンピュータの開発状況もあわせて考慮にいれると、近い将来に、2048 ビットの素因数分解　・・・・　が解かれる可能性は低いと考えます。

出典： 注意喚起情報（CRYPTREC 暗号技術評価委員会）

なお、とは言うものの、Intermediate Scale（中規模）と書かれながら、しばしば日本では「小規模」と形容される NISQ コンピュータは、ノイズの影響でスケールしないと言われている中で、IBM は 100 bit を超える量子プロセッサをロードマップに沿ってリリースし、更に 2023 年には1 k 量子ビット超えを目指しており、これはこれで目覚ましい進歩の１つと感じます。

別途、日本では文部科学省が、国立研究開発法人科学技術振興機構（JST）を研究推進法人に立て、【ムーンショット目標６】として「2050 年までに、経済・産業・安全保障を飛躍的に発展させる誤り耐性型汎用量子コンピュータを実現」するとしています^[13]。ムーンショット型研究開発事業は、日本発の破壊的イノベーション創出を目指し、2020 年からスタートされたもので、上記量子コンピュータの実現においては、具体的には、2030 年までに一定規模の NISQ コンピュータを開発して量子誤り訂正を実証し、2050 年頃までに大規模化を達成して、誤り耐性型汎用量子コンピュータを実現するとしています。

研究開発構想資料には、量子版ムーアの法則として、2050 年近くに量子ビット数が誤り耐性型汎用量子コンピュータレベルである 100 万量子ビット程度に推移していくであろうという図が示されています^[14]。2050 年頃には、仮に RSA 暗号が使われていたとしても、既に 2048 bit という"短い"鍵は使われていないと想像しますが、量子コンピュータにより暗号解読が現実となる日も、より近づいたと感じるようになるのかもしれません。

ただし、上記は、結局は個人的な視点と認識です。メディアの上でもさまざまな立場のさまざまな認識が共有・主張され、例えば、サイバーセキュリティ専門ニュースメディア ScanNetSecurity の 2020 年 12 月の記事「過去の情報も危険にさらす量子コンピュータ、今から対策を～デジサートが指摘」には以下が記載されています。

量子コンピュータは・・・（略）・・現在の公開鍵暗号を解読し、広範な脆弱性を引き起こす可能性があるとした。 同社の調査によると、PQC の脅威について「非常に大きい」「やや大きい」と回答した企業は全体の 63％ を占めており、その割合は増加しつつある。将来については 74％ が「最終的に『ある程度』から『非常に大きな』脅威になる」と回答している。

出典： ScanNetSecurity 記事^[15]

一方で、カリフォルニア大学教授と米国国土安全保障省のシニアデータサイエンティストとが最近（2022 年 2 月）連名で出した "Quantum Cryptanalysis: Hype and Reality"（「量子暗号解読：誇大広告と現実」）では、前述の『過去の情報も危険にさらす・・』についての非現実性も含めて丁寧に現状を説明、考察し、最後の結論を以下のようにやや過激または皮肉(?)にまとめています。

In sum, quantum cryptanalysis is a threat, but one that we consider to be overhyped. Simply put, quantum computers will not magically break all encryption quickly, as sometimes implied by the news media and even by some policy analysts. ・・・

結論. 要するに、量子暗号解読は脅威ですが、誇大宣伝された脅威であると私たちは考えます。簡単に言えば、量子コンピュータは、ニュースメディアや一部のポリシーアナリストが時折暗示するような、すべての暗号を魔法のようにたちどころに破るものではありません。・・・

出典： Lawfareブログ記事^[16]

なお、前述の ScanNetSecurity の記事内では、以下も記載されており、これは NIST も2016 年当時、PQC を今から検討する背景として伝えていることで、個人的にも大いに同意するものです。

量子コンピュータに対し安全なインフラを作成するには時間とコストがかかるとした。

　

次回：NIST による PQC 標準化プロジェクト

次回は「NIST による PQC 標準化プロジェクト」について解説します。

出典

[1]

篠原 直行, "NICTサイバーセキュリティシンポジウム2021　耐量⼦計算機暗号に関するセキュリティ基盤研究室の取り組み", 国立研究開発法人情報通信研究機構, 2021-02-17.

[2]

CRYPTREC 暗号技術評価委員会, "現在の量子コンピュータによる暗号技術の安全性への影響", CRYPTREC ER-0001-2019, 2020-02-17.

[3]

Computer Security Resource Center, "Post-Quantum Cryptography Standardization", NIST, 2022-03-10.

[4]

"Open Quantum Safe (OQS)", Open Quantum Safe.

[5]

"Open Quantum Safe", GitHub.

[6]

Elaine Barker, "Recommendation for Key Management: Part 1 - General", NIST Special Publication 800-57 Part 1 Revision 5, 2020-05.

[7]

"Program Requirements - Microsoft Trusted Root Program", Microsoft, 2021-02-12.

[8]

Peter W. Shor, "Algorithms for Quantum Computation: Discrete Logarithms and Factoring", SiteCeerx, 1994.

[9]

暗号技術検討会, "２０２０年度 報告書", CRYPTREC RP-1000-2020, 2021-03.

[10]

"IBM Unveils Breakthrough 127-Qubit Quantum Processor", IBM, 2021-11-16.

[11]

Jay Gambetta, "IBM's roadmap for scaling quantum technology", IBM, 2020-09-16.

[12]

Quantum AI, "Quantum Computer Datasheet", Google, 2021-05-14.

[13]

"ムーンショット目標６ 2050年までに、経済・産業・安全保障を飛躍的に発展させる誤り耐性型汎用量子コンピュータを実現",内閣府.

[14]

"【ムーンショット目標６】 「2050 年までに、経済・産業・安全保障を飛躍的に発展させる誤り耐性型汎用量子コンピュータを実現」 研究開発構想", 文部科学省, 2020-02.

[15]

吉澤 亨史, "過去の情報も危険にさらす量子コンピュータ、今から対策を～デジサートが指摘", ScanNetSecurity, 2020-12-18.

[16]

Chris Jay Hoofnagle, Simson Garfinkel, "Quantum Cryptanalysis: Hype and Reality", Lawfare, 2022-02-16.