// シス担のミカタ
最近の注目トピック

ポスト量子暗号の動向 ぽすとりょうしあんごうのどうこう

量子コンピュータ耐量子暗号NIST標準化RSA暗号格子暗号暗号移行
ポスト量子暗号の動向について教えて

簡単に言うとこんな感じ!

「量子コンピュータが来たら今の暗号が全部破られちゃうかも…」って問題に備えた次世代の暗号技術だよ!まだ量子コンピュータは完成してないけど、今のうちに準備しないと手遅れになるから、世界中で急いで標準化が進んでるんだ!

ポスト量子暗号とは

ポスト量子暗号(Post-Quantum Cryptography、略称:PQC) とは、将来登場する大規模な量子コンピュータによっても解読されないよう設計された暗号アルゴリズムの総称です。「耐量子暗号」とも呼ばれます。

現在、インターネット上の通信を守っているRSA暗号楕円曲線暗号(ECCは、「非常に大きな数を素因数分解するのは計算上ほぼ不可能」という難しさを安全性の根拠にしています。ところが量子コンピュータが実用化されると、ショアのアルゴリズムという手法によってこれらの問題が一気に解かれてしまう可能性があるのです。

そのため、量子コンピュータでも解けない「別の数学的難問」を使った新しい暗号方式への移行が世界規模で進んでいます。特にNIST(米国国立標準技術研究所)が2016年から主導してきた標準化プロジェクトが2024年に最初の標準を公開したことで、実務対応が本格化しています。

PQCの核心:なぜ今の暗号が危ないのか

現在の暗号と量子コンピュータの関係

暗号方式現在の安全性の根拠量子コンピュータへの耐性
RSA暗号大きな数の素因数分解が困難❌ ショアのアルゴリズムで破られる
楕円曲線暗号(ECC)離散対数問題が困難❌ 同様に破られる
AES共通鍵暗号鍵の総当たりが困難△ 鍵長を2倍にすれば当面安全
ポスト量子暗号(PQC)格子問題など量子でも困難な問題✅ 耐性あり

「今すぐ集めて後で解読」攻撃の脅威

量子コンピュータが完成するのは「10年後かもしれない」と言われています。しかし「今すぐ暗号化された通信データを大量に収集しておいて、量子コンピュータが完成したら後から解読する」という攻撃手法(HNDL:Harvest Now, Decrypt Later)がすでに現実の脅威として議論されています。

つまり、量子コンピュータが完成する前から、機密性の高いデータを扱う組織はPQCへの移行を始める必要があるのです。

歴史と背景

  • 1994年 — ピーター・ショアが「量子コンピュータがあればRSA暗号を多項式時間で解ける」アルゴリズムを発表。暗号の世界に衝撃が走る
  • 2000年代 — 格子暗号・符号暗号など、量子コンピュータでも困難な数学問題を使った暗号の研究が活発化
  • 2016年 — NISTがポスト量子暗号の標準化プロジェクトを開始。世界中から82件の応募
  • 2022年 — NISTが最終候補4アルゴリズムを選定・発表(CRYSTALS-Kyber、CRYSTALS-Dilithium、FALCONなど)
  • 2024年8月 — NISTがFIPS 203(ML-KEM)・FIPS 204(ML-DSA)・FIPS 205(SLH-DSA)の3つのPQC標準を正式公開
  • 2025年〜 — 米国政府機関が順次PQCへの移行を義務化。日本でもCRYPTRECがPQC移行ガイドラインを策定中
  • 2026年以降 — 主要ブラウザ・OS・クラウドサービスでのPQC対応が標準化される見込み

NIST標準のPQCアルゴリズムと仕組み

NIST標準で採択されたPQCアルゴリズムは、大きく「鍵のやり取りに使う方式」と「デジタル署名に使う方式」に分かれます。

NIST PQC標準アルゴリズム(2024年公開) 鍵カプセル化(KEM) 通信の暗号化に使う共通鍵を 安全にやり取りする仕組み FIPS 203(ML-KEM) 旧称: CRYSTALS-Kyber 数学的根拠: モジュラー格子問題(MLWE) デジタル署名 文書・ソフトウェアの 正真性を証明する仕組み FIPS 204(ML-DSA) 旧称: CRYSTALS-Dilithium 数学的根拠: モジュラー格子問題(MSIS/MLWE) FIPS 205(SLH-DSA) 旧称: SPHINCS+ 数学的根拠:ハッシュ関数 TLSやVPN等の 通信保護に利用 ※ FalconはFIPS 206として2024年に追加標準化予定

格子暗号とは何か

採択アルゴリズムの多くが使う格子暗号(Lattice-based Cryptography)の直感的なイメージ:

■ 格子問題のイメージ(最短ベクトル問題)

  格子(規則正しい点の集まり)の中から
  原点に最も近い点を探す問題。

  ・普通のコンピュータでも困難
  ・量子コンピュータでも困難
    → だから安全!

  通常の暗号(RSA)との違い:
  RSA → 素因数分解 → 量子で速く解ける
  格子暗号 → 格子問題 → 量子でも難しい

ハイブリッド暗号移行の考え方

移行期の現実的なアプローチとして、既存の暗号(RSAなど)とPQCを組み合わせて使う「ハイブリッド方式」が推奨されています。万が一PQCに未知の弱点が見つかっても、既存暗号が守りを担う「二重の安全網」になるためです。

関連する規格・RFC

規格・RFC番号内容
FIPS 203ML-KEM(旧CRYSTALS-Kyber)鍵カプセル化アルゴリズム標準
FIPS 204ML-DSA(旧CRYSTALS-Dilithium)デジタル署名アルゴリズム標準
FIPS 205SLH-DSA(旧SPHINCS+)ステートレスハッシュ署名標準
RFC 9180ハイブリッド公開鍵暗号(HPKE)フレームワーク
RFC 8446TLS 1.3(PQC組み込みの検討ベースとなる現行標準)

関連用語

  • 公開鍵暗号 — 現在広く使われている暗号方式。量子コンピュータによる脅威を受ける側
  • RSA暗号 — 素因数分解の困難さを利用した公開鍵暗号。PQCへの移行対象の代表格
  • TLS — Webの通信を暗号化するプロトコル。PQC対応が進行中
  • 量子コンピュータ — 量子力学を利用した次世代コンピュータ。現在の暗号を脅かす可能性がある
  • デジタル署名 — データの正真性を保証する技術。PQCによる置き換えが必要
  • PKI(公開鍵基盤) — 証明書を使って公開鍵の正当性を管理する仕組み。PQC移行の影響が大きい領域
  • 共通鍵暗号 — AESなど。量子コンピュータへの耐性は鍵長延長で対応可能
  • CRYPTREC — 日本政府が運営する暗号技術評価プロジェクト。国内のPQC移行指針を策定中