量子コンピュータ時代の暗号技術 量子暗号の限界と今後の対策(2018夏号)
<はじめに> 近年、量子コンピュータ※1 の開発が進む中、既存暗号技術の限界が議論され始めた。きっかけは、1994 年、米国ベル研究所のピーター・ショア博士(Peter Williston Shor, 1959 – )によって、量子コンピュータを使用する素因数分解を実用的な時間で計算できるアルゴリズムの発表だった。これを用いると、原理的には数回から数千回程度の計算で素因数分解が可能となる。つまり、「量子コンピュータが実現すると、現在の暗号はすべて破られてしまう」というのである。 2030 年頃には量子コンピュータが普及すると考えられており、2015 年 8 月、米国国家安全保障局(NSA)は、過去10 年以上にわたって推奨してきたAES、SHA-256 を含む暗号技術が、もはや安全ではないと宣言した。また、2016 年2 月、重要データを扱う企業や、政府各部門に対して、「量子コンピューティングの分野で研究が深まっており、NSA がすぐ行動を起こさなくてはいけないほどの進歩になっている」と、量子コンピューティングの脅威に関する詳細を発表した。 すでにNSA は、米国国立標準技術研究所(NIST)と共同で、量子コンピュータ時代以後にも使える耐量子コンピュータ暗号のいくつかの新しい標準アルゴリズムに取り組んでおり、新たなアルゴリズムの募集を行っている。欧州連合やそのほかの国でも、耐量子コンピュータ暗号や量子暗号についての取り組みが行われはじめている。 わが国でも、国立研究開発法人情報通信研究機構(NICT)が、格子理論に基づく新暗号方式「LOTUS」を開発したと発表した。NICT サイバーセキュリティ研究所セキュリティ基盤研究室が開発したもので、量子コンピュータでも解読が難しい、耐量子コンピュータ暗号として開発された暗号化方式であり、公開鍵方式として現在広く使われているRSA 暗号や楕円曲線暗号は、ピーター・ショア博士のアルゴリズムを使うことで、簡単に解読できることが数学的に証明されているが、格子理論ではまだそのような効率的に解くアルゴリズムが見つかっていない。今回のLOTUS は、NIST の耐量子コンピュータ暗号において、2017 年12 月に書類選考を通過した69 件の候補の1 つに残っており、今後数年かけて各候補の評価と選定が行なわれる予定である。そのほか、KDDI …