※ 本ブログは、2024年2月21日にHP WOLF SECURITY BLOGにポストされた Anticipating the Quantum Threat to Cryptography の日本語訳です。

量子コンピューティングはサイバーセキュリティの脅威です。どの程度の脅威かは、見方次第です。量子脅威は、あなたに向かってくる貨物列車のようなものです。線路から近づいてくる音は明確ですが、距離を判断するのは困難です。線路から安全な場所に移動するのに長い時間がかかるとわかっていれば、当然非常に心配になるはずです。しかし、すぐに移動できることが分かっていたり、ゴトゴト音がまだ遠いと判断できれば、より安心できます。列車は速度を落とすか、あるいは到着しないかもしれません。私たちがわかっているのは、十分に強力な量子コンピュータの開発に成功すれば、私たちが社会や企業、個人として依存している暗号の多くが破られるということだけです。データは流出します。デバイスは安全ではなくなります。システムはハッカーによって制御可能になります。私たちが知り、依存しているデジタルセキュリティが破られるのです。具体的には、私たちがデータの暗号化やデジタル署名のために依存している非対称暗号アルゴリズムが破られます。その影響は激甚なものになる可能性があり、だからこそ、これは深刻に受け止めるべきリスクなのです。金融、エネルギー、通信などの重要インフラや、長期的なデータ保護が不可欠な機密システムなど、多くの環境では、今すぐ対策を開始する必要があります。

暗号を解読するのに十分な性能を持つ量子コンピュータは、現在のところ理論上のものに過ぎませんが、その実現に向けた動きは進んでいます。そのため、セキュリティコミュニティは耐量子暗号アルゴリズムを定義し、標準化することで準備を進めてきました。これらの新しいアルゴリズムは、長い間ポスト量子暗号（Post-Quantum Cryptography: PQC）アルゴリズムとして知られてきましたが、「耐量子」という用語が一般的に使われるようになってきています。これらのアルゴリズムは、量子コンピュータを持つ攻撃者に対して安全ですが、古典的な（量子でない）コンピュータでも実行可能です。業界とサイバーセキュリティコミュニティは、これらの方式への移行に向けた準備に取り組んでいます。

量子脅威が現実のものとなった場合の影響は、どれほど強調してもし過ぎることはありません。暗号技術はあらゆるところに存在し、新しいアルゴリズムへの移行はほとんどの技術に影響を与えるでしょう。世界中のテクノロジースタックの全レイヤーを一度に更新することを想像してみてください。カオスとなり、その過程で新たな脆弱性が生まれるかもしれません。量子コンピュータが実用化されるという噂だけでも、パニックを引き起こし、セキュリティホールを引き起こす可能性のある無秩序な移行を推進する可能性があります。それよりも、十分な時間をかけて計画された秩序ある移行の方が、はるかにリスクが低く良い方法です、 そしてすでに移行計画を始めている人たちは、その実現を望んでいるのです。

HP は、PC のハードウェアセキュリティ基盤が耐量子へ移行することの優先順位が高いことを認識し ています。先ごろ、量子コンピュータのハッキングからファームウェアを保護する世界初のビジネスPCを発表したのもそのためです。[35] 一旦使い始めたハードウェアをアップデートすることは不可能であるため、私たちはPCハードウェアに耐量子保護を組み込む時が来たと判断しました。これにより、たとえ攻撃者が十分に強力な量子コンピュータを利用できるようになったとしても、ファームウェアの完全性を現在からPCのライフタイムにわたり保護することができます。

今日、組織は脅威について自分自身を啓発し、それがどのような影響を及ぼす可能性があるかを確認する必要があります。

「将来のサイバー脅威を予測することは、私たちの前に立ちはだかる脅威に耐えることができる製品やソリューションを確実に発明するために不可欠なことです。これは、新たな脅威を研究し、過大評価を排除し、いつどこで行動を起こす必要があるかを判断することを意味します。将来の量子コンピュータが現代の暗号技術に与える影響は、そのような脅威の1つであり、明日の我々の顧客を守るために、我々は今行動する必要があります」
- Boris Balacheff, HP Fellow and Chief Technologist for Security Research and Innovation

この記事では、暗号技術に対する量子脅威、何が起ころうとしているのか、リスクを理解するために何を意識する必要があるのか、そしてあなたができることは何か、について説明します：

• 移行の優先順位の高いユースケースを特定する。
• テクノロジーベンダーに、依存している製品やソリューションの耐量子保護について相談する。
• 適切なタイムフレームで保護計画を策定していることを確認する。

暗号がいかに私たちのデジタルライフの基本であるか； 量子物理学の性質が、どのように量子コンピューターによる暗号解読に利用される可能性があるかということ； 量子脅威から身を守る新しい耐量子暗号アルゴリズムの概要；など詳細を理解したい方は、付録をぜひお読みください。

量子コンピュータは現在も存在していますが、実験的なプロトタイプに過ぎず、各操作における高いエラー率に悩まされており、 現在のところ最新の暗号技術を破ることはできていません。しかし、量子コンピュータが科学的に世界に何をもたらすかは約束されているため、産官学の研究者は最新の技術に多大な資源を投入し、進歩を遂げています。ある時点で、量子コンピューターは、私たちのデジタルライフが依存している暗号を破ることができるようになるでしょう。しかし、進歩の速度に関する信頼できる予測は不可能です。実際、暗号が秘密裏に解読されたなら、その能力が最初にいつ実現したのか分からないかもしれません。

それにもかかわらず、予測は行われています。Global Risk Institute による最新の Quantum Threat Timeline Report [1]では、この分野の専門家37人を対象に、暗号に対応した量子コンピュータが登場する可能性について調査を行いました。半数近くが2033年までに少なくとも5％の可能性があると考え、4分の1以上が同時期に約50％以上の可能性があると考えています。

世界各国の政府の専門家もリスクを評価し、組織が量子脅威に伴うリスクへの準備を始めるよう推奨するガイダンスを発表しています。 オランダ政府のPost-Quantum Cryptography (PQC) Migration Handbook [2]では、水道、電力、運輸、通信、医療などの重要インフラ事業者を「待ったなし」の緊急導入対象としており、「今すぐPQC移行に向けた措置を開始すべき」としています。 ドイツ当局は、技術ガイドライン[3]の中で、適切な長期的な暗号保護に関する勧告を提示しています。フランス政府[4]は、すべての産業が段階的な移行を開始することを奨励し、「（2030年以降まで）長期的な情報保護を提供することを目的としたセキュリティ製品について、できるだけ早くポスト量子階層防御を導入することを推奨」しています。英国政府[5]も、営利企業、公共機関、重要な国家インフラ提供者に対し、暗号保護に関する推奨事項を含む移行ガイダンスを提供し、組織は「PQCを使用するためのシステム更新を計画する」べきであると助言しています。

注目すべきは、2035年までに国家安全保障のリスク緩和を求めるUS President’s National Security Memo 10 [6]に従って、米国政府が移行の道筋を設定していることです。さらに、Quantum Computing Cybersecurity Preparedness Act [7]は、すべての連邦政府機関に対して、どのITシステムが量子脆弱であるかという点とそれらの移行計画を毎年報告するよう求めています。米国当局の”Quantum-Readiness: Migration to Post-Quantum Cryptography" ガイド[8]も、特に重要インフラをサポートする組織に対して、量子対応ロードマップについて「ベンダーの関与を開始する」よう促しています。Commercial National Security Algorithm Suite（CNSA）2.0 [9]は、様々な技術分野での耐量子暗号の採用を推奨するタイムラインを設定しています。ファームウェアやソフトウェアの完全性、クラウドサービスについては、2025年からの移行が推奨されており、これは非常に早い！さらに、2033年までに全分野での完全移行を要求しています。

移行ガイダンスに関する政府の取り組みは、耐量子暗号への移行計画のペースを設定しています。2016年、米国政府は学界と産業界を招集し、新しい暗号アルゴリズムを開発し標準化するNISTプロジェクト[10]に協力を求めました。さらに最近、我々はNISTが産業界とエンドユーザー組織を招集しPQCの採用と移行の際の実務的な問題解決を支援する、National Cybersecurity Centre of ExcellenceプロジェクトのMigration to Post-Quantum Cryptography [11]に参加しました。

量子脅威がいつ実現するかは誰にもわかりませんが、10年以内に実現する可能性が高いと専門家が考えていることは確かで、 いくつかの政府も同様のスケジュールで移行するようガイダンスを提供しています。重要産業は最も早く移行するよう奨励され、確実に移行を実現するために業界グループが招集され、各組織はテクノロジーベンダーを耐量子計画に関与させるように助言されています。

脅威のインパクトを考えれば、これらの証拠の重要性は、量子脅威を真剣に受け止めなければならないことを示しています。重要インフラを支えている組織や、社会の大部分が依存している組織にとっては、移行の必要性が特に緊急性を帯びています。

暗号コミュニティは、量子コンピュータを搭載した攻撃者に対して安全でありながら、古典的なシステムで実行可能な新しい暗号アルゴリズムを開発することで、量子コンピュータの可能性に備えてきました。

現在、ステートフルハッシュベース署名と呼ばれる一連の耐量子アルゴリズムが標準化され利用可能になっています。しかし、これらは生成された署名の数を追跡できるような、非常に特殊なアプリケーションシナリオにのみ適しています。典型的な使用例としては、アップデートの際に発行される署名の頻度が適度に低い、ファームウェア署名が挙げられます。

汎用的な鍵合意や署名のための新しい耐量子アルゴリズムが、NISTによって今年後半に標準化される予定です。[12] これらは、セキュリティプロトコルやアプリケーションに広く採用されることが期待されています。

しかしながら、すべての耐量子アルゴリズムは、送信および保存するデータサイズを大きくする必要があるため、既存の暗号の置き換えにはなりません。そのため、採用には新たな課題が生じる可能性があり、技術業界や標準化団体はその準備を進めています。

これらの耐量子アルゴリズムとその導入方法の詳細については、付録を参照してください。

十分な強度を持つ量子コンピュータの開発スケジュールは、何を優先し、いつ移行すべきかを判断するための1つの要素に過ぎません。重要なのは、いつ保護が必要になるかを知ることです。これは、以下のような要因 [13] に依存します。

1. 耐量子暗号を使用するソリューションに移行するのにかかる時間（移行期間）。
2. データやシステムに対する暗号の保護が必要な期間（有効期間）。

まず、移行期間について考えてみましょう。移行の前に、耐量子暗号アルゴリズムの定義と標準化が必要です。 このプロセスは何年も前から行われており、すでに標準化されているものもあれば、近々標準化されるものもあります。アルゴリズムが標準化されれば、それを製品や技術ソリューションに採用し、実装する必要があります。このプロセスでは、新しいシステムの更新、インフラの変更、さらには新しいハードウェア（高価で交換に時間がかかる）、新しいファームウェアが必要になる可能性があります。 新しいアルゴリズムは、現在使用されている暗号方式とは異なる特性を持つため、単に暗号方式を置き換えるだけでなく、新たな課題をもたらすことが予想されます。例えば、これらの新しいアルゴリズムは、計算やメモリの要件がより厳しくなる可能性があります。

情報システムのインフラに大きな変更を加えることの複雑さを考えると、移行プロセスが開始された後でも、完了までに数年かかる可能性があります。このような移行にかかる追加時間は、計画に織り込んでおく必要があります。

次に、有効期間について考えてみましょう。 データやシステムに要求される暗号保護の有効期間を考えると、たとえ攻撃者が十分に強力な量子コンピュータを何年も利用できなくても、耐量子性が今すぐ必要であるという2つのシナリオについて説明します。

キャプチャ＆デクリプト攻撃

最初のシナリオは「キャプチャ＆デクリプト攻撃」と呼ばれ、機密データ、顧客パスワード、ヘルスケアデータ、PIIが何年もの間、機密性を保たなければならない状況を想定しています。これはビジネス上の理由であったり、個人データ、金融機関、重要インフラ、国家安全保障に関する規制によるものであったりします。

この状況で、データはすでに危険にさらされています。攻撃者は今日から暗号化されたデータを傍受して保存することができ、量子コンピュータが実現化されれば、攻撃者は保存されたデータを解読することができます。もし量子コンピュータがデータの機密保持に必要な年数よりも短い期間で実現すれば、セキュリティ要件は破られたことになります。暗号化されたデータの有効期間が十分長く、すでに危険にさらされているのです。

これらの攻撃は理論上のものではありません。例えば、2021年にBooz Allenは、「脅威グループは、長期的に有用な暗号化されたデータを収集し、最終的に量子コンピュータで解読することを予想している可能性が高い」と報告しています。[14]

長寿命システム

２つ目のシナリオは、セキュリティがデジタル署名と呼ばれる暗号化保護に依存しているデバイスやシステムに関するものです。 この保護がアップデートしにくい形で導入されている場合、問題が生じます。量子コンピュータがシステムの有効期限内に現実になれば、量子攻撃者が暗号化保護を破り、セキュリティをバイパスする可能性があります。アップデートが難しい典型的なケースは、暗号に寿命の長い鍵やRevoke（取り消し）しにくい鍵を使用している場合です。一例として、ソフトウェアやファームウェアのコードの正当な完全性を保証するために、シス テムによって信頼されている署名について考えてみましょう。多くのコードが署名されている場合、以前に生成された署名を検証する能力を維持しつつ、新しい 耐量子署名をサポートする必要があるため、暗号化保護のアップデートは困難で複雑になります。

移行期間が長く有効期間も長い、特に困難なケースは、暗号化保護がハードウェア（すなわち、読み取り専用メモリ、ROM）に組み込まれている場合です。ハードウェアを交換することなく保護をアップデートすることは不可能であり、そのハードウェアは何年間も使用される可能性があります。ハードウェアで検証された署名は、システム上で実行される最も特権的なファーム ウェアコードを保護するため、システムセキュリティにとって極めて重要です。これらの保護が量子攻撃者によって破られた場合、攻撃者はシステムのセキュリティ基盤で悪意を持ってコードを変更することが可能になり、あたかも所有者のようにデバイスをコントロールすることができるようになります。耐量子暗号への移行には、新しい暗号アルゴリズムをサポートする新しいハードウェアが必要です。これには、古いアルゴリズムの不変の長寿命キーを搭載した古いハードウェアを置き換える計画、開発、製造、そして大規模な展開をする時間が必要となります。これは時間がかかり、計画立案とベンダーとの協力が必要です。

要約すると、耐量子暗号に移行するソリューションの優先順位を決める際には、移行に要する期間と有効期間（データやシステムの暗号化保護が必要な期間）を考慮する必要があります。ハードウェアに組み込まれた保護など、いくつかのユースケースは、有効期間と移行時間の両方が長いでしょう。ソリューションの移行期間と保護の有効期間が経過する前に量子脅威が現実のものとなった場合、データやシステムはその時点で危険にさらされていることになります。

最初にハードウェアを移行する必要性への対応

我々が発表した、新しいビジネス PC [35]におけるファームウェアの完全性のための耐量子保護は、既存の RSA 署名に加えて、標準化されたステートフルハッシュベース署名アルゴリズ ムを導入しています。ステートフルハッシュベース署名と RSA 署名の両方を必要とすることで、攻撃者は、ファームウェアの完全性を侵害するために、両方の署名を破る必要があるという、より困難な課題を抱えることになります。これにより、ステートフルハッシュベース署名のアルゴリズムは、量子コンピューティングの脅威に対する防御を提供し、一方で成熟した RSA 実装の恩恵を受けることもできます。この2つの署名アルゴリズムを共に提供することで、PC のライフタイムの間、ファームウェアの完全性を提供します。

HPは、エンドポイントデバイスのセキュリティは、ハードウェアレベルで基礎で確立し、さらにファームウェアやソフトウェアレベルまで拡張するのが最善であると長年考えてきました。システムセキュリティには、安全なハードウェアルートオブトラストが不可欠です。つまり、スタックの上位の要素が安全であっても、ハードウェアに脆弱性があれば、システム全体が危険にさらされる可能性があるということです。システムのセキュリティを維持するには、量子攻撃者からハードウェアを保護することが重要です。

ハードウェアのセキュリティは、システムのセキュリティにとって重要であるだけでなく、移行にとっても優先事項です。なぜなら、ハードウェアは何年も使用される可能性があるため、デバイスのアップグレードには長い時間がかかるからです。

量子コンピュータの脅威が暗号技術に与える根本的変化をもたらす（Game-Changing）影響を考えると、量子コンピュータの脅威を真剣に受け止める必要があります。量子コンピューターによる脅威がいつ実現するかは誰にもわかりませんが、専門家は10年以内に実現する可能性は十分にあると見ており、いくつかの政府は現在、脅威を軽減するための道筋を立てています。システムをアップグレードするのに長い移行期間を要する可能性があり、データやシステムが暗号保護を必要とする有効期間が長いということは、組織が脅威が現実になる前に行動しなければ手遅れになる可能性があるということを意味します。その影響は、ゼロデイ脆弱性のように、あらゆるレイヤーのあらゆるシステムに一度に及ぶ可能性があります。量子コンピューターが暗号を破ることができるという意味ありげな噂が流れただけでも、無秩序で危険な移行ラッシュが起こり、さらなる脆弱性がもたらされる可能性があります。

HPでは、PC のハードウェアセキュリティ基盤に量子耐性を導入することが最優先事項であると 判断し、HPビジネスPC 向けの耐量子ファームウェア完全性を発表しました。 [35] このハードウェアへの移行を開始することで、我々は、耐量子ソフトウェアが利用可能になった場合に、そのソフトウェアを採用するためのハードウェア基盤を提供します。このハードウェアのアップグレードにより、お客様は耐量子暗号への移行を開始することができます。将来、攻撃者が十分に強力な量子コンピュータを使用して悪意のあるファームウェアを実行し、デバイスとそのソフトウェアを危険にさらすようなことがあれば、ソフトウェアだけの移行は台無しになってしまいます。

我々は、組織が耐量子暗号への移行を計画する際に、3つのステップを踏むことを推奨しています：

1. 移行における最優先のユースケースを特定する。耐量子性が必要な環境内の重要なデータとシステムを事前にリストアップする。優先順位の高いリスクを特定するために：
   • 数年間にわたって（今後10～20年間）安全性を維持する必要があるデータを特定する。
   • 更新が困難で、暗号化保護期間が長いシステムやデバイスを特定する。
2. テクノロジープロバイダーに相談し、使用している製品やソリューション全体の耐量子保護への移行に関するベンダーの計画を理解する。公共部門や重要インフラ業界では、耐量子暗号ソリューションが利用可能な場合、そちらを選択する必要がある。
3.  必要な期間内に量子脅威から保護するための計画があることを確認する。 自分自身の移行準備について考えてみる。今、危険にさらされていると評価される可能性もあります。その場合は今すぐ行動を起こす。

暗号技術は、データを保護するために広く使用されており、私たちのデジタルライフを実現するための基盤となっています。コンピューティングデバイスのセキュリティ保護やサービスへのアクセスから、TLS、HTTPS、VPN、SSH、PKIに至るまで、これらの暗号技術はすべて比較的小さな暗号アルゴリズムの集合に依存しており、そのセキュリティは鍵と呼ばれる秘密の変数に依存しています。鍵の秘密性はデータのセキュリティに不可欠です。鍵が漏れると、すべてのセキュリティが失われます。

非対称暗号と呼ばれる暗号アルゴリズムの一種は、順方向の計算は簡単で逆方向が困難な「一方向性関数」に依存しています。公開鍵と呼ばれる誰でも知っている鍵は、関数の簡単な順方向計算を指定しますが、秘密鍵（プライベート鍵と呼ばれる）だけが逆方向計算を可能にします。例として、RSA [15]は広く使われている非対称暗号方式で、その一方向性関数は因数分解の難しさに依存します。2つの適当な大きさの素数が与えられると、それらを乗算するのは簡単ですが、乗算を逆にして2つの素因数を返すのは困難です。

量子コンピュータは、量子力学の驚くべき特性を利用して、今日のデジタル「古典」コンピュータとは根本的に異なる方法で計算を行います。シュレーディンガーの猫の思考実験で、死んでいる猫と生きている猫が同時に存在することができる [16] ように、量子コンピューターでは複数の異なる状態を持つことができます。 そのため、古典コンピュータでは困難な計算を行うことができます。

 暗号技術にとって重要なのは、一方向性関数の多くが、十分な強度を持つ量子コンピュータによって可逆（逆方向計算が容易）になることです。 これは量子コンピュータに保持された複数の状態を同時に操作することができるショアのアルゴリズム [17] によるもので、測定すれば計算結果が判明します。つまり、十分に高性能な量子コンピュータにアクセスできる攻撃者は、非対称スキームで使用される秘密鍵（プライベート鍵）を計算することができ、その結果セキュリティが完全に破られます。

したがって、われわれが現在信頼して依存している非対称アルゴリズムで使われているすべての秘密鍵（プライベート鍵）と、その鍵の下で保護されているすべての情報が、暴露され検知されずに変更されることになります。

このような脅威を考えると、将来十分に強力な量子コンピュータが出現した場合のセキュリティを確保するためには、量子コンピュータが現在使われている暗号アルゴリズムを破るほど強力になる前に、現在使われている非対称アルゴリズムから耐量子アルゴリズムに移行する必要があります。

対称暗号も暗号の一種で、AES [18]のようなブロック暗号やSHA-256 [19]のような暗号ハッシュがその例です。幸いなことに、量子コンピュータは対称暗号を破るのではなく、わずかに弱めるだけです。このわずかな弱体化は、グローバーのアルゴリズム[20]と呼ばれる量子コンピュータのアルゴリズムによるもので、攻撃速度は向上するものの、実行にはコストがかかるため、大きな脅威にはならないと考えられています。専門家の間では、共通鍵暗号方式では可能な限り大きな鍵サイズを使用するように移行することで、量子コンピュータから十二分に保護できるという意見で一致しています。

耐量子暗号アルゴリズムとは、既存の非対称暗号を破るほど強力な量子コンピュータに対して脆弱でない暗号アルゴリズムのことです。暗号コミュニティでは、量子耐性暗号アルゴリズムの開発と利用準備を進めてきました。これらのアルゴリズムには、古典コンピュータと量子コンピュータの両方にとって逆方向計算が困難な新しい一方向性関数が必要です。

NIST PQC プロジェクト

最も注目すべきは、米国の標準化機関であるNISTが、2016年からポスト量子暗号（PQC）プロジェクトを実施していることです。[21]  NISTは、コミュニティから耐量子性のある非対称アルゴリズムの候補を募り、数年にわたる公開評価と議論のプロセスを経て、2022年7月に3つのデジタル署名スキームと1つの鍵合意スキームが標準化に向けて選ばれました。[22] これら4つのスキームのうち、3つのスキームのドラフト標準は2023年8月に発表され[12]、最終的な標準は今年中に発表される予定です。

ドラフト標準が公表された3つのスキームには、2つのデジタル署名スキームと鍵合意スキーム（KEMとして知られています）が含まれます。KEMはML-KEM[23]（Module-Lattice-based Key Encapsulation Mechanism、スキーム候補 CRYSTALS-Kyberから派生）。デジタル署名スキームは、ML-DSA [24] (Module Lattice Digital Signature Algorithm、CRYSTALS-Dilithiumから派生)とSLH-DSA [25] (Stateless Hash-based Digital Signature Algorithm、SPHINCS+から派生)です。

NISTのプロジェクトの規模と、提出された候補への目覚ましい量の検討が学界、産業界、政府から世界的に受け入れられたことを考えると、選ばれたアルゴリズムは、他の標準化団体によって幅広いプロトコルや技術に採用されることになるでしょう。

ステートフルハッシュベース署名

NISTのPQCプロジェクトに関連して、IETF[26][27]やNIST[28]によってすでに標準化されているステートフルハッシュベース署名スキームと呼ばれる、耐量子デジタル署名スキームがあります。これらのデジタル署名スキームでは、署名者は生成された署名の数を追跡する系のステートを保持する必要があります。ステートが失われた場合、スキームのセキュリティは致命的に損なわれます。ステートは、現在使用されているデジタル署名スキームでは必要とされないものであるため、シナリオによっては適していません。しかしながら、これらのステートフルハッシュベース署名スキームは、コード署名に適しています。

これらのスキームが依拠している新しい一方向関数は何でしょうか？

CRYSTALS-DilithiumとCRYSTALS-Kyberは、整数のベクトルに既知の行列を乗算するという、通常なら簡単に反転できる問題に依拠しています。しかし、ちょうどよい大きさのランダム誤差を加えることで、出力は修正されます。逆方向計算は非常に難しくなりますが、出力にはまだ十分な秘密情報が隠されているので、暗号に使うことができます。

一方、SPHINCS+署名スキームやステートフルハッシュベース署名スキームの安全性は、元の入力を知ることのみが現実的な計算方法であるほど逆方向計算が困難な一方向性関数に依拠しています。その一方向性関数は、SHA-256 [19]のような暗号ハッシュ関数です。暗号ハッシュ関数はすでによく使われ、セキュリティ上も信頼されているので、これらの新しい署名スキームは、その基礎となるセキュリティに高い信頼性を持っています。これらの署名は多くのハッシュ演算を使用するように巧みに設計されているので、入力値の一部しかメッセージ署名の際に露呈せず、セキュリティを損なうほどではありません。

これらの新しいスキームはすべて、既存のスキームとは異なる特徴を持っています。ステートフルハッシュベース署名スキームのように、署名者がステートを保持する必要があるものもあります。

すべて既存の非対称暗号スキームよりも大きなデータ転送および保存サイズを必要とし、計算要件が厳しいものもあります。これらの異なる特徴は技術的な課題をもたらし、システムやハードウェアの制約と相容れない可能性があるため、これらの新しいスキームを採用することは簡単ではありません。実際、NISTのPQCプロジェクトはすでに3つの署名を標準化の対象として選定しており、NISTはさらに候補を探しています。これは、選定されたスキームがそれぞれ異なる特徴を持ち、署名サイズ、公開鍵サイズ、署名時間、検証時間の点でトレードオフが異なるためです。すべてのアプリケーションに適した候補はありません。

耐量子アルゴリズムの標準化だけでなく、コミュニティは様々なユースケースでこれらの新しいアルゴリズムを採用することを模索しています。

新しいアルゴリズムは新しい一方向性関数に依存しており、そのライブラリは現在私たちが使用しているものよりも成熟していない新しい実装であるため、コミュニティの多くは新しいアルゴリズムを並行して、または「ハイブリッド」モードと呼ばれる現在のアルゴリズムに追加して利用することを提案しています。これにより、ソリューションが多層防御の恩恵を受けることが可能になります。実装が十分にテストされている現在使用中のアルゴリズムが、古典的（すなわち非量子）攻撃者に対して強力な保護を提供し、耐量子アルゴリズムの実装が量子攻撃者に想定される耐性を提供します。

また、コミュニティは様々なプロトコルにアルゴリズムを導入することを模索しています。例えば、耐量子ハイブリッドTLS[29]を確立するための研究が進行中で、Cloudflare[30][31]を含むいくつかの企業によってテストされており、OpenSSL[32]による耐量子アルゴリズムのサポートが実験されています。TLS以外にも、IPsecやSSHなど、ほとんどのセキュリティプロトコルが検討されています。

コミュニティはまた、ハードウェアにこれらのアルゴリズムを採用することを検討し ています。例えば、多くの PC におけるハードウェアルートオブトラストである Trusted Platform Modules（TPM）にこれらの新しいアルゴリズムを採用することを検討する研究 [33]があり、NIST PQC プロジェクトでは、さまざまなプラットフォーム上のアルゴリズムを分析する多くの研究が行われました。 [34]

暗号コミュニティは、量子コンピューティングの脅威に対する暗号防御を、世界の技術スタックのあらゆる面に適用することで、今後数年間を盛り上げてくれるでしょう。

[1] M. Mosca and M. Piani, “Quantum Threat Timeline Report 2023,” Global Risk Institute, 2023. [Online]. Available: https://globalriskinstitute.org/publication/2023-quantum-threat-timeline-report/.

[2] Netherlands National Communications Security Agency, “The PQC Migration Handbook,” March 2023. [Online]. Available: https://english.aivd.nl/publications/publications/2023/04/04/the-pqc-migration-handbook.

[3] BSI, “BSI TR-02102-1. Cryptographic Mechanisms: Recommendations and Key Lengths.,” 2023. [Online]. Available: https://www.bsi.bund.de/SharedDocs/Downloads/EN/BSI/Publications/TechGuidelines/TG02102/BSI-TR-02102-1.pdf?__blob=publicationFile&v=6.

[4] ANSSI, “ANSSI views on the Post-Quantum Cryptography transition,” 2022. [Online]. Available: https://cyber.gouv.fr/en/publications/anssi-views-post-quantum-cryptography-transition.

[5] National Cyber Security Centre, “Next steps in preparing for post-quantum cryptography,” 3 November 2023. [Online]. Available: https://www.ncsc.gov.uk/whitepaper/next-steps-preparing-for-post-quantum-cryptography.

[6] US Government, White House, “National Security Memorandum on Promoting United States Leadership in Quantum Computing While Mitigating Risks to Vulnerable Cryptographic Systems,” 4 5 2022. [Online]. Available: https://www.whitehouse.gov/briefing-room/statements-releases/2022/05/04/national-security-memorandum-on-promoting-united-states-leadership-in-quantum-computing-while-mitigating-risks-to-vulnerable-cryptographic-systems/.

[7] US Government, Congress, “Quantum Computing Cybersecurity Preparedness Act,” 21 12 2022. [Online]. Available: https://www.congress.gov/bill/117th-congress/house-bill/7535/text.

[8] CISA, NSA and NIST, “Quantum-Readiness: Migration to Post-Quantum Cryptography,” CISA (Critical Infrastructre Security Agency), US Government, 2023. [Online]. Available: https://www.cisa.gov/sites/default/files/2023-08/Quantum%20Readiness_Final_CLEAR_508c%20%283%29.pdf.

[9] NSA, “Announcing the Commercial National Security Algorithm Suite 2.0,” September 2022. [Online]. Available: https://media.defense.gov/2022/Sep/07/2003071834/-1/-1/0/CSA_CNSA_2.0_ALGORITHMS_.PDF.

[10] NIST, “Submission Requirements and Evaluation Criteria for the Post-Quantum Cryptography Standardization Process,” December 2016. [Online]. Available: https://csrc.nist.gov/CSRC/media/Projects/Post-Quantum-Cryptography/documents/call-for-proposals-final-dec-2016.pdf.

[11] NIST, National Cybersecurity Center of Excellence, “Migration to Post-Quantum Cryptography,” 2021. [Online]. Available: https://www.nccoe.nist.gov/crypto-agility-considerations-migrating-post-quantum-cryptographic-algorithms.

[12] NIST, “Comments Requested on Three Draft FIPS for Post-Quantum Cryptography,” 2023. [Online]. Available: https://csrc.nist.gov/news/2023/three-draft-fips-for-post-quantum-cryptography.

[13] M. Mosca, “Cybersecurity in an era with quantum computers: Will we be ready?,” IEEE Security & Privacy, vol. 16, no. 5, pp. 38-41, 2018.

[14] Booz Allen, “Chinese threats in the Quantum Era: What CISOs need to know about emerging risks,” [Online]. Available: https://www.boozallen.com/expertise/analytics/quantum-computing/chinese-cyber-threats-in-the-quantum-era.html.

[15] Wikipedia, “RSA Cryptosystem,” [Online]. Available: https://en.wikipedia.org/wiki/RSA_(cryptosystem).

[16] Wikipedia, “Schrodinger’s Cat,” [Online]. Available: https://en.wikipedia.org/wiki/Schr%C3%B6dinger%27s_cat.

[17] Wikipedia, “Shor’s Algorithm,” [Online]. Available: https://en.wikipedia.org/wiki/Shor%27s_algorithm.

[18] Wikipedia, “Advanced Encrypted Standard (AES),” [Online]. Available: https://en.wikipedia.org/wiki/Advanced_Encryption_Standard.

[19] Wikipedia, “Cryptographic hash function,” [Online]. Available: https://en.wikipedia.org/wiki/Cryptographic_hash_function.

[20] Wikipedia, “Grover’s Algorithm,” [Online]. Available: https://en.wikipedia.org/wiki/Grover%27s_algorithm.

[21] NIST, “Post-Quantum Cryptography,” 5 April 2023. [Online]. Available: https://csrc.nist.gov/projects/post-quantum-cryptography.

[22] NIST, “Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process,” July 2022. [Online]. Available: https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8413-upd1.pdf.

[23] National Institute of Standards and Technology, “FIPS 203 (Initial Public Draft): Module-Lattice-Based Key-Encapsulation Mechanism Standard,” 2023. [Online]. Available: https://csrc.nist.gov/pubs/fips/203/ipd.

[24] National Institute of Standards and Technology, “FIPS 204 (Initial Public Draft): Module-Lattice-Based Digital Signature Standard,” 2023. [Online]. Available: https://csrc.nist.gov/pubs/fips/204/ipd.

[25] National Institute of Standards and Technology, “FIPS 205 (Initial Public Draft): Stateless Hash-Based Digital Signature Standard,” [Online]. Available: https://csrc.nist.gov/pubs/fips/205/ipd.

[26] D. McGrew, M. Curcio and S. Fluhrer, “RFC 8554: Leighton-Micali Hash-Based Signatures,” IETF, April 2019. [Online]. Available: https://datatracker.ietf.org/doc/html/rfc8554.

[27] A. Huelsing, D. Butin, S. Gazdag, J. Rijneveld and A. Mohaisen, “RFC 8391: XMSS: eXtended Merkle Signature Scheme,” May 2018. [Online]. Available: https://datatracker.ietf.org/doc/html/rfc8391.

[28] D. A. Cooper, D. C. Apon, Q. H. Dang, M. S. Davidson, M. J. Dworkin and C. A. Miller, “NIST Special Publication 800-208: Recommendation for Stateful Hash-Based Signature Schemes,” October 2020. [Online]. Available: https://doi.org/10.6028/NIST.SP.800-208.

[29] D. Stebila, S. Fluhrer and S. Gueron, “Hybrid key exchange in TLS 1.3,” IETF, 2023. [Online]. Available: https://datatracker.ietf.org/doc/draft-ietf-tls-hybrid-design/.

[30] B. Westerbaan and C. D. Rubin, “Defending against future threats: Cloudflare goes post-quantum,” 2022. [Online]. Available: https://blog.cloudflare.com/post-quantum-for-all/.

[31] Cloudflare Research, “Cloudflare Research: Post-Quantum Key Agreement,” [Online]. Available: https://pq.cloudflareresearch.com/.

[32] openquantumsafe.org, “Fork of OpenSSL 1.1.1 that includes prototype quantum-resistant algorithms and ciphersuites based on liboqs,” [Online]. Available: https://github.com/open-quantum-safe/openssl/tree/OQS-OpenSSL_1_1_1-stable.

[33] Horizon 2020, EU Research Programme, “Future Proofing the Connected World: A Quantum-Resistant Trusted Platform Module,” 31 12 2020. [Online]. Available: https://cordis.europa.eu/project/id/779391.

[34] National Institue of Standards and Technology, “NIST IR 8413-upd1: Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process,” [Online]. Available: https://nvlpubs.nist.gov/nistpubs/ir/2022/NIST.IR.8413-upd1.pdf.

[35] I. Pratt, “HP Launches World’s First Business PCs to Protect Firmware Against Quantum Computer Hacks,” 7 Mar 2024. [Online]. Available: https://press.hp.com/us/en/blogs/2024/hp-launches-business-pc-to-protect-against-quantum-computer-hacks.html.

Author : Thalia Laing and Tommy Charles, HP Security Lab

監訳：日本HP