暗号化に特化したカナダ企業Krypteraの研究者による新たな論文によると、量子コンピュータが暗号を解読するには数十年かかる可能性があるという。しかし、既存の暗号化アルゴリズムに代わるアルゴリズムを開発すべき時期は今なのかもしれない。
暗号黙示録の遅延
Krypteraのリチャード・エバーズ氏とアラステア・スウィーニー氏は、IBMなど量子コンピュータの開発に取り組んでいる企業の中には、量子コンピュータが暗号技術に及ぼす脅威を誇張しすぎていると述べた。IBMリサーチのディレクター、アルヴィンド・クリシュナ氏は最近、量子コンピュータが古典コンピュータに対して「優位性」を獲得するにつれ、今後10年以内に一般的な暗号アルゴリズムを破り始める可能性があると述べた。
現在、ソフトウェアやインターネットサービスで使用されている暗号化には、主に対称暗号化と非対称暗号化の2種類があります。十分な性能を持つ量子コンピュータは、両方の暗号化を解読できる可能性がありますが、その方法は全く同じではありません。
例えば、暗号鍵を2乗時間で解読できるアルゴリズムは「Grover」と呼ばれるものが1つしかありません。つまり、量子コンピュータは、従来のコンピュータが64ビットの対称暗号鍵を解読するのにかかる時間(数百個のCPUコアで1年かかる)で、128ビットの対称暗号鍵を解読できるということです。
Kryptera の研究者によると、AES-128 暗号を解読するには 2,953 個の論理量子ビットを持つ量子コンピュータが必要であり、AES-256 を解読するには 6,681 個の量子ビットが必要になるとのことです。
さらに、「Shor」アルゴリズムは、鍵サイズの2倍の量子ビット数で非対称暗号を解読できます。例えば、2048ビットのRSA鍵を解読するには、4096量子ビットの量子コンピュータが必要になります。
論理量子ビットと物理量子ビットの違い
Krypteraの研究者らによると、Google、IBM、Rigettiのいずれも、これまでエラー訂正機能を持つ論理量子ビットを搭載した量子コンピュータを構築していないという。量子コンピュータでエラー訂正コードを使用する場合、論理量子ビットを生成するために、より多くの物理量子ビットが必要となる。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
Krypteraの論文によると、1,000量子ビットの汎用量子コンピュータを実現するには、数百万個の物理量子ビットが必要になる。たとえ量子コンピュータの量子ビット数が毎年倍増したとしても、100万量子ビットの目標を達成するには、あと約20年かかるだろう。
しかし、量子コンピュータの進歩は直線的ではなく、大企業が量子コンピュータをより真剣に受け止めたり、量子コンピュータ上で高度な機械学習アルゴリズムを実行し始めたりすることで、今後 10 年間で量子コンピュータの性能が爆発的に向上する可能性がある、あるいはそうなる可能性が高い。
たとえば、量子コンピューティングにおける 1 つのブレークスルーにより、論理量子ビットあたりに必要な物理量子ビットの数が大幅に減少する可能性があります。これにより、量子コンピューターの進歩が劇的に加速され、暗号化アルゴリズムがすぐに破られる可能性がはるかに高くなります。
量子耐性アルゴリズムは今もなお必要とされている
Krypteraの研究者たちは、量子コンピュータにおける現在の取り組みが、すべての暗号がすぐに解読されるという懸念を正当化するものではないと考えていますが、だからといって、新しい耐量子暗号アルゴリズムの開発を今すぐ始めるべきではないということではありません。新しい暗号アルゴリズムを発明するには何年もかかり、それを競技会や実際のプログラムでテストするには何年もかかり、そしてそれがほとんどのアプリケーションに導入されるまでにはさらに何年もかかります。
米国国立標準技術研究所(NIST)は、量子耐性アルゴリズムのコンペティションを開始し、最近、第2フェーズを発表しました。NISTは、当初の69個のアルゴリズムのうち、第2フェーズに26個のアルゴリズムを選定しました。
これらのアルゴリズムのほとんどが新しい形式の暗号(格子ベース、コードベースなど)を使用していることを考えると、NISTは候補の中からいくつかを最終候補として選定すると予想されます。これらの最終候補が実環境でテストされるのが早ければ早いほど、将来の強力な百万量子ビット量子コンピュータに耐えうる最適なアルゴリズムがどれなのかが早くわかるでしょう。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
