レポート

PQC移行が難しい理由、さらに詳しく

by Simon McCorkindale

量子コンピューティングとセキュリティに関する包括的な新調査を読み進めるうち、十分に対処されていない一つの問題に何度も立ち返ることになった。同じ週に発表された2本の専門論文が、組織を量子安全にすることがなぜますます難しくなっているのかを示している。

5月下旬から6月上旬にかけての2週間で、3本の論文がarXivに掲載された。これらを合わせて読むと、ベンダーのマーケティングが語らない物語が浮かび上がる。広範な調査は量子コンピューティングとセキュリティの全体像を描き出す。暗号解析の論文はインターネットの大部分、そして大半の暗号通貨を支える楕円曲線暗号の解読コストをひそかに引き下げる。そしてアーキテクチャの論文は、標準的な選択肢が適合しない6Gネットワークの一部に向けて、全く異なる耐量子暗号を提案する。

共通するテーマは、調査が直接指摘するものだ。私たちは10年をかけて量子耐性アルゴリズムの発明に費やしてきたが、それを実際のシステムに移行する方法の検討には、比較にならないほど少ない労力しか注いでこなかった。脅威の側はコストが下がり続けている。展開の側は複雑さが増し続けている。その中間にある計画のギャップこそ、ニュージーランドを含むほぼすべての組織が晒されている場所だ。

調査:戦場全体の地図

中心となる論文は、インド情報技術研究所グワーハーティーとTrellixによる「量子コンピューティングによるセキュリティ」に関する包括的な調査だ。視野が異例なほど広く、その広さこそが価値の源泉となっている。本論文はこの主題を、しばしば混同される2つの独立した問題として扱っている。

第一は、量子コンピュータ自体のセキュリティだ。情報漏洩を引き起こしうるノイズやクロストーク、量子ハードウェアへのサイドチャネル攻撃、回路の知的財産を盗んだり量子版トロイの木馬を仕込んだりしうる信頼できないサードパーティのコンパイラ、そしてクラウド量子プロセッサを共有するテナント間の干渉がある。これは真に成長しつつある研究領域だが、今日の古典的インフラを守るCISOにとっては、行動すべき事項というよりも「動向に注目すべき」懸念事項に留まる。この分野の存在を知っておく価値はあるが、今すぐ眠れない夜を過ごす必要はない。

第二の問題は、この記事を読む全員に関わるものだ。量子コンピューティングが既存のサイバーセキュリティに与える影響である。調査はいまや馴染み深い脅威モデルを詳述する。RSA、ECC、ECDSAを完全に破るShorのアルゴリズム、共通鍵暗号とハッシュの実効強度を半減させるGroverのアルゴリズム。そして暗号、ブロックチェーン、マルウェア検知、侵入検知、IoTにわたる防御策を調査する。耐量子暗号(格子ベース、ハッシュベース、符号ベースの方式)と量子鍵配送が2本の主要な柱として浮かび上がるが、調査はQKDの根強い実用上の制限も指摘する。ノイズと損失が限界に達する前の光ファイバー距離はおよそ70kmで、特殊かつ高価なハードウェアが必要となる。マルウェアと侵入検知に関する量子機械学習の資料は、正直に扱われており、量子アプローチのいくつかが精度において約5ポイント、十分に調整された古典的モデルより劣るという厄介な知見も含まれている。

しかし壁に貼り付けておく価値があるのは、未解決問題のセクションだ。著者たちは率直に述べる。現在の研究のほとんどは、実際にそれを必要とするシステム、すなわちPKI、TLS、ブロックチェーンネットワーク向けの実用的な移行戦略ではなく、新しいアルゴリズムを提案するものだと。彼らは「今すぐ保存して後で復号する」(HNDL)の緊急性を強調し、このギャップが後回しではなく今まさに重要な理由として位置づけ、ほぼすべての実験的検証が単一のハードウェアベンダーの機械に大きく依存していることを指摘する。これは発表された結果が一般化可能かどうかという問いを残す。繰り返し伝えられるメッセージは、いかなる単一技術もこれらを解決しないということ、そして実際の展開には層状の組み合わせが必要になるということだ。これはまさに、計画に報い、先延ばしを罰する種類の問題である。

脅威の時計:ECC解読コストの低下が続く

調査がギャップを描写しているとすれば、2本目の論文、InriaレンヌのAndré Schrottenloherによるものは、なぜそのギャップが縮まっているかの一側面を示している。これは量子リソース推定論文だ。楕円曲線離散対数、具体的にはビットコインが使用する曲線secp256k1に対してShorのアルゴリズムを実行するには、何量子ビットと何量子ゲートが必要かを問う。

傾向こそが語るべき話だ。Babbushらの最近の成果は、このアタックのゲート数と量子ビット数を、従来の最良結果(Litinski, 2023)と比べて2〜3倍削減した。本論文はその数値に匹敵する回路アーキテクチャを詳述し、さらにゲート数を6.5%から10%削減し、1回の離散対数復元に対しておよそ1,200から1,460論理量子ビット、2^26(約6,700万)のToffoliゲートオーダーに収めている。

ここでは厳密さが重要なので、これが何でないかを明確にしておきたい。これらは論理的な推定値であり、耐障害性マシンを前提とし、それを構築するための膨大なエラー訂正オーバーヘッドを無視している。物理的なコストは論理的なカウントよりはるかに高いが、それもまた低下している。RSA-2048の素因数分解は2025年に100万物理量子ビット未満と推定され、Babbushらは超伝導マシン上でsecp256k1の解読を50万物理量子ビット未満、数分で実行できると試算している。落とし穴は、そしてそれは大きな落とし穴だが、そのようなマシンは存在せず、今年あなたのトラフィックを誰かが復号することはない、という点だ。起きていることは、回路が賢くなるにつれてこれらの攻撃の論理的コストが年々着実に低下しているということだ。そして論理的コストの低下は、暗号学的に意義のある量子コンピュータがいつ実現可能になるかというあらゆる真剣な推定を前倒しする入力そのものだ。これはあなたのリスク台帳が喜ぶような進歩ではない。

展開の選択肢:一つの暗号がすべての配線に適合するわけではない

3本目の論文、Vincenzo Sammartino(ピサ大学 / KAUST)によるものは、もう一方の側面を示している。「Q-FE」と名付けられた6G産業用IoT向けの量子ネイティブアーキテクチャを提案し、その暗号の核は意図的な選択だ。NISTが標準化したML-KEM/Kyberではなく、同種写像ベースの方式であるCSIDHを採用している。

その理由は物理的なものだ。ML-KEM-1024の公開鍵はおよそ1,568バイトに達し、6Gコントロールフレームに収まらないため、複数の送信スロットにまたがって断片化し、閉ループ産業制御が要求するサブミリ秒のレイテンシ要件を超えてしまう。CSIDH-512の公開鍵は約64バイトであり、単一のコントロールフレーム内に収めるのに十分な小ささだ。論文のシミュレーションは、Kyber-1024と比較してMACレイヤーのオーバーヘッドを62%削減し、99.9パーセンタイルレイテンシを0.78msとすると主張している。

正直な注意点は実質的であり、論文自体もそれを述べている。結果は理想化されたチャネル上のシミュレーションのみに基づいており、CSIDH-512のグループ作用計算は定数時間ではなく、残留するタイミングサイドチャネルが残る。そのセキュリティは正式な証明のない困難性仮定に依拠しており、NIST標準化もされていない。関連する同種写像方式SIKEは2022年に解読されたが、CSIDHには適用されない攻撃によるものだ。したがってこれは研究提案であって製品ではなく、一本のシミュレーション論文の強度を根拠に非標準のプリミティブを展開することは私には勧められない。

有用な示唆は暗号そのものではなく、原則にある。耐量子暗号への移行は一括の入れ替えではない。レイテンシがクリティカルで帯域幅が限られた環境や運用技術環境は、Webサーバーのハンドシェイクとは異なるプリミティブと異なるトレードオフを真剣に必要とする場合がある。そのような変奏のすべてが移行計画の中の一行となる。これは調査の指摘そのものを、より劇的な形で体現している。

NZの視点から読む

3本を合わせると、ニュージーランドの状況は不快なほど明確に見えてくる。脅威は実行コストが下がり続け、防御は展開が複雑になり続けている。そして調査の中心的な知見、すなわちアルゴリズムの発明に比べて移行計画への取り組みがはるかに不足しているという指摘は、我が国の姿勢をほぼ完璧に描写している。

118の重要インフラ事業者という維持中のベースラインがこれを具体的に示す。6月の再スキャン時点で、オリジンサイドのPQC導入率は52.2%で横ばいであり、4月からほぼ変わっていない。49の古典的オリジンがスキャン間で全く動きなく古典的なままであり、GoogleとCloudflareが設定した2029年の圧力点まで残り一週少ない今もその状態だ。9つのエンドポイントはいまだTLS 1.2のみをネゴシエートしており、1.3に移行するまでハイブリッド耐量子鍵交換を全く扱えない。ニュージーランドはファイブ・アイズの中で正式なPQC移行期限を持たない唯一のメンバーであり続けており、今年後半に予定されている重要インフラ法案にはNZISMセクション2.4の暗号規定に関する公的な執行メカニズムがまだ含まれていない。

KiwiRailは移行計画の失敗を具現化しており、調査の主張に直接対応している。4月の時点では耐量子保護を持っているように見えたが、その保護はコンテンツデリバリーネットワーク契約の機能であり、自社の設定によるものではなかった。ImpervaがフロントエンドとしてKiwiRailを保護しなくなると、オリジンは古典的な鍵交換へと退行した。国家的に重要な鉄道・フェリー事業者の公開エンドポイントが後退したのは、何かが攻撃されたからではなく、CDNへの依存を誰も計画していなかったからだ。これはアルゴリズムを展開することと移行を計画することの違いをまさに体現している。持続可能な状態とは、CDNとオリジンの両方で耐量子保護を持つことであり、契約変更が単なる契約変更で済むようにすることだ。

名指しする価値のある明るい点が一つある。ニュージーランドの主要インターネット接続の多くを担う海底ケーブル事業者であるSouthern Cross Cablesが、4月の古典的オリジンから6月には耐量子オリジンへと移行した。2回のスキャン間でPQCを展開したと自信を持って言える唯一の事業者であり、今すぐ保存して後で復号が理論的でない、まさにそのような長距離・長期保持のチョークポイントに位置している。オリジンPQCがゼロのままのセクター、水道・下水処理、輸送、電力グリッド事業者、との対比が、この議論全体を一言で表している。

Sammartino論文の「制約に適したプリミティブ」という議論は、率直に言えば、私たちがまだ手にする資格を得ていない贅沢な問題だ。私たちの運用技術環境はまさに、「Kyberをどこでも有効にせよ」という安直なアドバイスが実際の制約に突き当たる場所だが、より差し迫った事実は、そのほとんどがスタートラインにすら立っておらず、どの耐量子方式がSCADAリンクに適しているかなど悩む以前の状態にあるということだ。そして四大銀行については、計画の問題が部分的に海外にある。ANZだけがオリジンPQCを実行しており、他はオーストラリアの親会社の子会社であるため、暗号の意思決定は事実上シドニーとメルボルンでなされている。それも我が国のAML/CFT上の7年という保存義務と同様の形の保持義務の下で、つまり収集されたトラフィックが依然として意味を持つほど十分に長い期間のもとでだ。

2029年までの滑走路は約3年半だ。実際の手順を積算するまではゆとりがあるように聞こえる。インベントリ、優先順位付け、移行、ベンダーによる認証、展開、このシーケンスを、KiwiRailのケースのように自分たちの耐量子カバレッジがどこから来ているかさえ知らなかった事業者が抱える資産全体にわたって行わなければならないのだから。調査は正しい。アルゴリズムはほぼ解決されている。難しいのは移行であり、それこそがこの滑走路の目的だ。

最後に行く者に賞はない。

Kaysecは、ニュージーランドを拠点とする量子技術企業Spinsphereの耐量子セキュリティ事業部門です。NZ組織の暗号インベントリ、HNDLリスク評価、TLS設定監査、PQC移行計画を支援しています。お問い合わせください

参考文献