量子コンピューターで暗号が破られるという脅威が迫る 個人情報とデータに先例のない危険
昨年12月、Googleは最新の量子チップ「Willow」を発表しました。この発表は、多くの人にとって見過ごされていたかもしれません。しかし、Willowは2つの大きな意味で話題となった。まず、Googleは、このチップにより、量子コンピュータの構成要素である量子ビットの数を増やすと同時に、エラー率を半減させることができたと明らかにした。量子コンピュータの実用化には、高いエラー率と量子ビットの拡張が大きな課題となっているため、これは大きな前進です。
2つ目の大きな成果は、グーグルが量子コンピュータの「優越性」を証明したということです。「量子優越性」とは、Willowが従来のコンピュータでは不可能なことを成し遂げたことを意味します。Willowは、複雑な数学の問題を5分以内に解決した。これを例えるなら、現在の最速のスーパーコンピューターなら、途方もない10の15乗年、つまり、10,000,000,000,000,000,000,000,000年(0が24個の数字)がかかる問題を5分で解いたのです。
ただし、Willowが解決した問題は現実の問題ではなく、量子コンピューティングの能力を示すために特別に考案されたものでした。
そしてつい先日、マイクロソフト社がまた新たな画期的な発表を行いました。同社独自の新しい量子チップ、「Majorana 1」を発表したのです。マイクロソフトによると、このチップは「100万個の量子ビットを1つのチップに搭載する明確な道筋」を提供し、「産業規模の有意義な問題」を解決できる量子コンピューターへの道を開くという。その時期は? すでに「数十年ではなく、数年以内」に実現すると見込んでいる。
これは、テクノロジー愛好家にとっては魅力的で、音楽のように聞こえるでしょう。そして、それには十分な理由があります。量子コンピューティングの進歩はすべて、世界を変える可能性のある実用的な応用例があります。創薬、材料科学、金融モデリング、最適化問題、天気予報における予想を上回る画期的な進歩の他にも、量子コンピューティングは量子暗号の進歩につながると期待されています。しかし、これには隠れたコストが伴います。
クワンタムカウントダウン: 次世代コンピューターはどうやって私たちの防御を破ろうとしているのか
量子コンピューティングの進歩は多くの分野に素晴らしい可能性をもたらす一方で、現在の暗号化システムに大きな脅威をもたらすことにもなります。量子コンピューターが発達すれば、既存の暗号化方式を簡単に破ることが可能となり、現在のデータ保護メカニズムは時代遅れのものとなってしまうでしょう。暗号化は通常のコンピューターでは解読が困難な複雑な数学問題に依存しています。しかし、強力な量子コンピューターであれば、これらの問題のすべての可能な解を迅速に洗い出し、何千年もかかっていた解読を数日で完了させることができます。これは、量子ビット(qubit)の構造によるものです。従来のビットは一度に1つの値(0または1)しか表すことができませんが、量子ビットは0、1、またはその両方の組み合わせなど、複数の可能な状態の重ね合わせです。この能力により、量子コンピュータは多数の潜在的なソリューションを同時に処理および評価することができ、複雑な問題の解決において従来のコンピュータに比べて圧倒的な優位性があります。
その好例が、量子アルゴリズムであるショアのアルゴリズムです。これは、従来のいかなる方法よりもはるかに高速に大きな数の因数分解を実行できるアルゴリズムです。現在の暗号化システムで最も脆弱な部分のひとつは、楕円曲線暗号を使用した公開鍵の生成です。量子コンピュータは、楕円曲線暗号の基礎である離散対数問題を解くためにショアのアルゴリズムを適用するのに特に適しています。これにより、量子コンピュータは従来のコンピュータの何分の一かの時間で曲線の元のパラメータを計算することができます。
量子コンピュータが主流になる時期については、専門家は2030年代になる可能性が高いと一致した見解を示しています。米国国立標準技術研究所(NIST)によると、2029年までに量子コンピュータは、現在最も普及している暗号化方式である128ビットAES暗号を破る可能性がある。また、研究者らは、広く使用されている128ビットAESよりも強力な暗号化技術である256ビット楕円曲線暗号を破るには、317,000,000(3億1700万)個の物理的キュービットが必要になると推定しています。現在最も強力な量子コンピューターでも、使用可能な量子ビット数はわずか1,180であることを考えると(2023年にAtom Computingが達成したもの)、まだ長い道のりがある。
「量子」という脅威は想像以上に差し迫っている
量子コンピュータによる暗号解読の脅威は遠い未来のことのように思えるかもしれませんが、実際には、それよりもはるかに差し迫った問題です。たとえ悪意のある行為者が今日暗号を解読できなかったとしても、将来的に量子コンピュータが暗号を解読できるようになることを期待して暗号化されたデータを取得し保存することは可能です。
この遅延実行攻撃は「今収穫して後で復号する」として知られています。つまり、悪意のある行為者は、量子コンピュータが強力になり、暗号化された通信を解読できるようになることを期待して、すでに暗号化された通信を収集している可能性があるのです。
サイバーセキュリティの専門家は、この潜在的な脅威を以前から認識しています。彼らの解決策は、量子コンピュータが解読するのがはるかに困難な量子耐性アルゴリズムを実装することです。そのようなアルゴリズムの1つがLM-KEMです。2023年に米国政府の国立標準技術研究所(NIST)によって採用されました。この標準は、後に「モジュール・ラティス・ベース・キー・エンカプシュレーション・メカニズム」を意味するML-KEMと改名されたCRYSTALS-Kyberアルゴリズムに基づいています。NISTは、量子コンピュータ攻撃に対する安全なメカニズムとして、ML-KEMを想定しています。 KEM自体は、公開チャネル上で共有秘密鍵を確立するために2つの当事者が使用できるアルゴリズムのセットとして定義されています。 共有秘密鍵は、その後、暗号化や認証などの安全な通信における基本的なタスクを実行するために、対称鍵暗号化アルゴリズムと共に使用することができます。
耐量子計算機アルゴリズムの採用例:Chromeなど
解決策があるのなら、開発者がすべきことは、それを製品に実装することだけです。インターネット通信のセキュリティにとって、これは非常に重要です。なぜなら、インターネットの重要なインフラを扱う人々がこのようなアルゴリズムをサポートしなければ、開発に費やされた努力はすべて無駄になってしまうからです。
2023年8月、GoogleはChromeで量子耐性暗号メカニズム(X25519Kyber768)のサポートを開始しました。これは、量子コンピューター時代以降のアルゴリズムと従来のアルゴリズムという2つの強力なアルゴリズムを組み合わせ、TLS接続用の安全なセッションキーを作成します。鍵共有に広く使用されているX25519楕円曲線アルゴリズムは、NISTが認定する量子耐性鍵カプセル化法(KEM)であるKyber-768と併用されます。当時、Googleは、X25519Kyber768を使用すると、TLS ClientHelloメッセージ(通常は200~500バイトの範囲)に1キロバイト以上の余分なデータが追加されると述べていました。これは、安全な接続を確立する際に、ブラウザとサーバー間の初期ハンドシェイクの一部です。このメッセージは、サーバーとブラウザが安全なデータ交換のための暗号化方法やその他の詳細について合意するのに役立ちます。Microsoft EdgeはChromeベースであるため、ポスト量子暗号もサポートしています。Mozillaもこの機能のサポートを追加しましたが、Firefoxでは手動で有効にする必要があります。
量子耐性暗号をサポートするその他の主要プロバイダーには、Microsoft、Amazon Web Services(AWS)、Cisco、VMWare、Samsung、Cloudflareなどがあります。2022年、NISTは上記の企業を含む12社を選定し、量子耐性暗号への移行に向けた取り組みを指導することになりました。
AdGuard VPN も耐量子暗号化に対応
耐量子暗号の採用が拡大していることに伴い、AdGuard VPNも安全なセッションキーを生成するためのハイブリッドX25519MLKEM768メソッドを採用しました。このメソッドは、古典的なX25519アルゴリズムと量子耐性Kyber768ベースのML-KEM768を組み合わせたものです。2つの部分のキーを組み合わせて64バイトの共有キーを作成します。この設計により、将来ポスト量子ML-KEMアルゴリズムに脆弱性が発見された場合でも、信頼性の高いX25519アルゴリズムが追加の保護レイヤーを提供することが保証されます。つまり、AdGuard VPNはサーバーが対応している場合は常にこのハイブリッド暗号化方式を使用し、対応していない場合は標準のX25519アルゴリズムにデフォルト設定されます。本質的には、私たちがやっていることはGoogle Chromeで実装されていることと非常に似ています。
耐量子暗号化サポートを有効にするには、ユーザーは設定メニューからこの機能を有効にする必要があります。この機能は AdGuard VPN for Mac/Windows、AdGuard VPN for iOS、AdGuard VPN for Androidで利用可能です。
このハイブリッド量子暗号化方式を採用することで、AdGuard VPNは量子コンピューティングによってもたらされる新たな脅威、特に「収穫後即時復号」攻撃からユーザーを守るための積極的な措置を取っています。量子耐性暗号を今日統合することで、今後量子コンピュータが進化しても、ユーザーのデータは安全であることを保証します。これはサイバーセキュリティの未来への重要な投資であると信じており、潜在的なリスクに先手を打って対応し、VPNユーザーに最高レベルの保護を提供し続けることを約束します。
