NIST の量子暗号に関する提案とは?

2018/11/03 ーーー The US National Institute of Standards and Technology (NIST) は、ポストQC暗号化の世界に関する提言に取り組んでいます。2016年12月に NIST は提案を正式に求めはじめ、2017年11月30日を提出期限としました。NIST の目的は、2023年〜2025年を目処に。量子暗号の標準化に関するドラフトを発行することです。そのタイミングは、量子コンピュータ関する開発と商業化について、業界の定説となっている 15年間の真ん中あたりになります。

NIST は、量子物理学者たちを採用しています。また、NIST のシステムを利用する組織や企業は、量子コンピュータの構築/導入という領域で、何十年もの時間を費やすことになります。そのため、NIST は、量子暗号の標準案を策定するまでの期間のために、暗号安全対策に関する簡潔なドラフトを発表しています。

これからの 10年の間に、量子コンピュータが暗号化キーを解読することはないと思われます。量子コンピューティングの研究開発において、大きな進展がなければ、その次の 10年においても暗号キーが破るとは考えられません。

どこかの時点で破られるのでしょうが、少なくとも数十年の間は、データを安全に保つための妥当な手順が存在するはずです。これからの数年の間に、NIST などの機関は、ポスト量子コンピューティング時代の暗号の安全性に対応するための、提言を発表するでしょう。

以下に紹介するのは、NIST が 2016年4月に発行した、Report on Post-Quantum Cryptography というドキュメントからの抜粋です。量子コンピュータにより、それほど早急に暗号システムが破られることはないという見解を、NIST も持っているようです。しかし、現行の暗号スタンダードが運用されるまでに、20年間を要したという現実を考えると、いまから 20年後に到来するかもしれない、量子暗号のための準備が必要だと述べています。

抜粋_1 ーーーーー

いつになったら、大規模な量子コンピュータが構築されるのか、という点については議論の余地がある。これまでは、大規模量子コンピュータが物理的に実現できるのかという点が明確ではなかったが、いまでは単なる工学的課題であると、多くの科学者が捉えている。

何人かの専門家の予測によると、これからの 20年以内に、現時点で使用されている全ての公開鍵スキームを、根本からこじ開けるだけの、充分な規模の量子コンピュータが構築されるという[2]。

公開鍵暗号化のための、先進的なインフラストラクチャの導入には、20年近くが費やされてきた。つまり、広範囲で使用されている現在の暗号システムを、量子コンピューティングに対抗できるシステムへと、円滑かつ確実に移行していくためには、かなりの努力が必要となる。

したがって、量子コンピューティング時代が到来するまでの、正確な時間を予測できてもできなくても、量子コンピューティングに耐え得る情報セキュリティ・システムの準備が必要となる。

抜粋_2 ーーーーー

新しい量子耐性プリミティブを用いて、公開鍵の基盤が損なわれないようにし、量子コンピューティング時代の情報セキュリティに対処していくための、大規模な国際的コミュニティが出現した。

アカデミックの世界では、この新しい科学に対して、Post-Quantum Cryptography という名前を付けている。それは、2006年に始まった PQCrypto というカンファレンスで活発に研究が進められている分野でもある。

また、European Union (EU) のプロジェクトである PQCrypto や SAFEcryptoや、Japan のプロジェクトである CREST Crypto-Math などを通じて、それらの国々から多大な支援も受けている。

こうした一連の試みが、現実の世界におけるポスト量子暗号システムへの道を、切り開いていく基礎研究の進歩につながった。この数年において、産業界と標準化団体は、量子暗号化の分野で独自の活動を開始している。

抜粋_3 ーーーーー

2013年以来、European Telecommunications Standards Institute (ETSI) は、3つの Quantum-Safe Cryptography ワークショップを開催している。また、2015年に NIST は、産学官から 140人以上が参加した Cybersecurity in a Post-Quantum World というワークショップを開催している。

NIST のユニークな役割は、セキュリティのためのスタンダードとガイドラインの開発という責任の一環として、連邦政府の情報システムを除いた領域において、ポスト量子暗号の標準化を目指す点である。

数多くの NIST スタンダードには、Advanced Encryption Standard(AES)などが含まれ、学界や産業界からの幅広い参加により開発が継続されている。その成果は効果的なソリューションであり、広範囲において活用され、また、米国の情報システムの保護にも役立っている。ポスト量子暗号においても、NIST スタンダードはメリットをもたらすだろう。

抜粋_4 ーーーーー

1994年に Peter Shor が、整数分解のための多項式時間量子アルゴリズムを発見した後に、大規模量子コンピュータ構築の可能性に関する本格的な研究が本始まった[1]。その当時の量子コンピューティングは、根本からスケーラブルな技術になるかどうかが不透明だった。

量子の状態が非常に脆弱であり、これまで実現された大規模な量子計算の誤差の蓄積に直面することを、数多くの有力な専門家たちが示唆していた。しかし、そのような状況は、量子誤り訂正符号と閾値定理の開発により、1990年代後半から変化してきた[7]。

この閾値定理とは、量子コンピュータの論理演算(”量子ゲート”)あたりの誤り率が、固定された閾値以下になるなら、実行される量子計算[8]に修正ステップを実施することで、任意の長さを持った量子計算が、誤りなく達成されるというものだ。

長い年月をかけて、ハードウェアの改良のための実験が進められ、量子ゲートあたりの誤り率が徐々に低くなってきた。それと同時に、フォールト・トレランス閾値を高くするための、新しい量子誤り訂正手順のための理論も進化してきた。

最近なって、イオン・トラップと超伝導回路を用いたいくつかの実験が行われ、名目上の最高の理論的フォールト・トレランス閾値(約1%)を下回る、ユニバーサルな量子ゲートセットが実証された [9, 10] 。それが、重要なマイルストーンとなり、政府と産業界からの投資が増えている。

しかし、いくつかの Qubits を用いる現在の実験デモから、数千の論理 Qubits を取り込む大規模量子コンピュータに移行し、数十万または数百万の物理 Qubits を符号化していくには、かなりの長期的な努力が必要になることは明白である。

抜粋_5 ーーーーー

こうした汎用デジタル量子コンピュータの開発と並行して、量子アニール装置 (D-Wave など) や、アナログ量子シミュレータ、ボゾン・サンプリング装置などの、特殊用途のためのアナログ量子コンピュータを開発する努力が進められている。

これらのデバイスの中には、デジタル量子コンピュータと比べて、はるかに大きな Qubits へとスケールアップされたものもある。しかし、これらのアナログ量子デバイスは、その特殊な性質のために、解読に用いられるとは考えられていない。

まとめ ーーーーー

以上で Report on Post-Quantum Cryptography からの抜粋は終わりです。なお、このレポートの全訳をダウンロードできるようにしていますので、よろしければご参照ください。また、訳文に間違い/勘違いなどがありましたら、ぜひともご FB ページで指摘ください。

なお、情報通信研究機構(NICT)も、2018年1月11日、新しい量子暗号方 LOTUS を開発したと発表しています。NICT は LOTUS を、NIST が進めている量子暗号の標準化プロセスに応募し、書類選考を通過したとされています。