ポスト量子暗号 ぽすとりょうしあんごう
ポスト量子暗号PQC量子コンピュータCRYSTALS-KyberNIST格子暗号
ポスト量子暗号について教えて
簡単に言うとこんな感じ!
将来の量子コンピュータで解読されてしまうRSAやECCに代わる、「量子コンピュータでも解けない数学問題」を基にした新しい暗号技術だよ。まだ先の話に見えても、今のデータが将来解読される「Harvest Now, Decrypt Later」攻撃への備えとして今から重要なんだ!
ポスト量子暗号とは
ポスト量子暗号(Post-Quantum Cryptography:PQC) とは、量子コンピュータによる攻撃に対して安全性を保てる暗号アルゴリズムの総称です。
現在広く使われているRSAやECCは、Shorのアルゴリズムと呼ばれる量子コンピュータ向けアルゴリズムを使えば理論上解読できることが知られています。実用的な量子コンピュータが登場すればインターネットの暗号化が危機に瀕します。
特に深刻なのが 「今収集して後で解読(Harvest Now, Decrypt Later)」 攻撃です。現在暗号化された通信を大量収集しておき、将来量子コンピュータで復号するという手法で、国家機密や医療記録など長期機密性が必要なデータが標的になります。
NIST標準化PQCアルゴリズム(2024年)
| アルゴリズム | 用途 | ベースとなる数学的問題 |
|---|---|---|
| ML-KEM(旧CRYSTALS-Kyber) | 鍵交換(KEM) | 格子問題(Module Lattice) |
| ML-DSA(旧CRYSTALS-Dilithium) | デジタル署名 | 格子問題(Module Lattice) |
| SLH-DSA(旧SPHINCS+) | デジタル署名 | ハッシュ関数ベース |
| FN-DSA(旧FALCON) | デジタル署名(コンパクト) | 格子問題(NTRU) |
2024年にNISTが正式標準として公開(FIPS 203/204/205)しました。
歴史と背景
- 1994年:Peter ShorがShorのアルゴリズムを発表。RSA/ECCが量子コンピュータで解読可能であることを理論的に示す
- 1996年:Groverのアルゴリズムが共通鍵暗号(AES)のセキュリティを半分に減らすことを示す(256ビットが128ビット相当に)
- 2016年:NISTがポスト量子暗号の標準化プロセスを開始(69候補がエントリー)
- 2022年:NISTが4つの最終候補を発表
- 2024年8月:FIPS 203/204/205として正式標準化
- 現在:主要TLSライブラリへの組み込みと移行が進む
従来暗号とPQCの安全性比較
| アルゴリズム | 古典コンピュータへの耐性 | 量子コンピュータへの耐性 |
|---|---|---|
| RSA-2048 | 安全 | 脆弱(Shorで解読可) |
| ECC P-256 | 安全 | 脆弱(Shorで解読可) |
| AES-256 | 安全 | 128ビット相当に(Grover、まだ許容範囲) |
| ML-KEM(Kyber) | 安全 | 安全(格子問題は量子でも困難) |
| ML-DSA | 安全 | 安全 |
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| FIPS 203 | ML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism) |
| FIPS 204 | ML-DSA(Module-Lattice-Based Digital Signature Algorithm) |
| FIPS 205 | SLH-DSA(Stateless Hash-Based Digital Signature Algorithm) |
| NIST IR 8413 | NIST PQC標準化プロセスの報告 |
関連用語
- 公開鍵暗号(RSA・ECC) — PQCが置き換える対象の従来暗号
- 共通鍵暗号(AES) — 量子コンピュータへの耐性は相対的に高い
- デジタル署名 — PQC署名アルゴリズムに置き換わる対象
- ECH(Encrypted Client Hello) — TLS通信のプライバシー強化(PQCと組み合わせ議論中)