量子時代のサイバーセキュリティ─OISTの教授がポスト量子暗号の新たな国際規格策定に貢献

国際標準化機構(ISO)は、「Classic McEliece」を、量子コンピュータ時代のデータを保護する暗号アルゴリズムとして、新たな国際規格に採用しました。

暗号学は、情報を保護する科学であり、台頭しつつある量子技術によって最も大きな影響を受ける分野の一つです。デジタルインフラを保護するために使用されている主要な暗号方式は、大規模な量子コンピュータを保有する攻撃者に対しては、やがて通用しなくなると考えられています。この新たな脅威を受け、新しいポスト量子暗号アルゴリズムの開発と導入に向けた取り組みが加速しています。

今回、沖縄科学技術大学院大学(OIST)応用暗号ユニットを率いるカルロス・シッド教授を含む国際研究チームが開発したポスト量子暗号アルゴリズム「Classic McEliece」が、量子コンピュータの脅威からユーザーデータを守る高セキュリティ暗号として、国際標準化機構(ISO)の新たな国際規格に採用されました。

1990年代、当時最も代表的だった二つの公開鍵暗号アルゴリズムであるディフィー・ヘルマン(DH)とRSAは、数学者ピーター・ショアによる強力な量子アルゴリズムの登場により、将来の量子コンピュータによって解読される可能性が示されました。これらの暗号アルゴリズムは、極めて大きな数の素因数分解や離散対数の計算が現実的には不可能であるという前提に基づいています。しかし、ショアのアルゴリズムは、これらの問題を従来のアルゴリズムよりも指数関数的に速く解くことができることを示しました。

「ショアのアルゴリズムを実行できる、大規模で耐障害性のある量子コンピュータの実現が予想されており、現在広く使われている公開鍵暗号方式の安全性が損なわれる可能性があります」と、シッド教授は述べています。

一方、1978年にロバート・マックエリスが提案したマックエリス暗号(McEliece暗号)は、初期の公開鍵暗号アルゴリズムの一つであり、累乗(反復乗算)ではなく誤り訂正符号を用いるなど、異なる数学的原理に基づいています。

シッド教授はさらに次のように述べています。「Classic McElieceは、異なる数学的な前提に基づくコードベースの暗号です。その基盤となるオリジナルのマックエリス暗号は、ほぼ50年にわたり徹底的に研究・検証されており、古典計算と量子計算の双方に対する安全性がよく理解されています。そのため、ClassicMcElieceは、最も保守的なポスト量子暗号設計の一つとして広く認識されています。」

最近開発された他のポスト量子暗号と比べて、Classic McElieceは、より長く堅実な安全性の実績を持つだけでなく、全体的なコストも低く抑えられます。他の方式では暗号文のサイズが大きくなるのに対し、Classic McElieceでは、大きな公開鍵に伴う負担を多数の小さな暗号文に分散させることができます。

「暗号文がこれほど小さいという特徴は、マックエリスが1978年にすでに示していたセキュリティ上の性質の一つに関係していることが分かりました」と、Classic McElieceチームのメンバーであるイリノイ大学シカゴ校のダニエル・バーンスタイン教授は述べています。「セキュリティの追求が、必ずしもパフォーマンスの問題になるとは限りません。」

現在の暗号を破る能力を持つ量子コンピュータ─CRQC(CryptanalyticallyRelevant QuantumComputer)として知られる─の実現には、まだ数年かかる可能性がありますが、現在の暗号インフラの更新に向け、世界的な取り組みが進められています。日本も他国と同様に、2035年までにポスト量子暗号アルゴリズムへ移行する目標を掲げています。シッド教授は次のように述べています。「Classic McElieceはすでにいくつかの実用的なアプリケーションに組み込まれています。ISOによる標準化により、量子時代の通信を守る安全で信頼性の高い暗号として正式に認められることで、その導入が広がることを期待しています。」

Classic McElieceは、2006年に制定された暗号規格「ISO/IEC 18033-2」の改正として新たに追加されたものです。元の規格には、量子コンピュータに対抗できる暗号アルゴリズムは含まれていませんでした。