今日の暗号技術にとって、必要資源の見積もりは望ましくない方向に動いている
2本の新しいホワイトペーパーが、長く続くポスト量子セキュリティをめぐる議論にいっそうの切迫感を与えている。Ars Technicaの報道によると、独立した研究チームは、楕円曲線暗号を破ることができる実用規模の量子コンピュータには、わずか1年か2年前の推定よりも大幅に少ない資源しか必要ない可能性があると結論づけた。
だからといって、いわゆるQ Dayがすでに到来したわけではない。どちらの論文も査読を受けておらず、実用的な機械が現在広く使われている楕円曲線方式を解読できると主張している人もいない。だが研究は明確な方向を示している。重要な公開鍵暗号への攻撃に必要なコスト曲線は、多くの防御側が望むよりも速く改善している可能性がある。
ある論文は、広い接続性を持つ再構成可能な量子ビットとして中性原子を使う手法を検討し、このアーキテクチャなら256ビットの楕円曲線暗号を10日で破れ、従来の推定より約100倍少ないオーバーヘッドで済むと主張した。Googleの研究者による別の論文は、bitcoinや他の暗号資産のブロックチェーンを保護するECCが、20分の1の資源で9分未満で破られうることを示した。
楕円曲線暗号がこれほど重要な理由
ECCは現代のデジタルセキュリティの大きな部分を支えている。安全な通信、認証システム、ブロックチェーン基盤で使われているのは、比較的効率的な鍵サイズで高い安全性を提供するためだ。この広い利用範囲こそが、資源見積もりの変化を重要にしている。問題は、現在の量子コンピュータが今日ECCを破れるかどうかではない。問題は、移行が慎重策ではなく喫緊の課題になるまで、組織にどれだけの猶予が残されているかだ。
Ars Technicaは、この2本の論文を、暗号学的に関連する量子計算が意味のある進展を遂げている追加証拠だと位置づけている。その進展は、ハードウェアの改良とアルゴリズムの改善の両方によって推進されている。研究者たちは、より耐障害性の高い量子アーキテクチャだけでなく、Shorのアルゴリズムに関連する改良を含め、基礎となる数学をより効率的に実装する方法にも取り組んでいる。
これらの成果が注目に値するのは、その相乗効果によるものだ。実用的な量子攻撃はまだ数年先かもしれないが、そのトレンド自体が重要である。政府、企業、インフラ運営者におけるセキュリティ移行には時間がかかる。将来の量子攻撃の実現可能なコストが移行計画の進行より速く下がれば、円滑な移行のための猶予は狭まる。
パニックではなく進展
出典中で最も冷静な見方を示したのは、暗号技術エンジニアのBrian LaMacchiaで、実用的で暗号学的に関連する量子計算がいつ到来するかについて、論文は明確な日付を示していないと述べた。ただし同時に、そのような機械に向けた進歩は続いており、減速していないという結論を裏づけているとも述べている。
その理解が適切だ。これはインターネットの安全性が直ちに崩壊する話ではない。前提条件が悪化しているという話だ。セキュリティ担当者は、耐障害性のある量子ハードウェアはなお長く法外に高価なままだろうと期待してきたことが多い。今回の論文は、その見積もりが以前ほど安心できるものではない可能性を示している。
実際的な帰結は単純だ。ポスト量子暗号への移行を先延ばしにする理由は弱くなる。必要資源が20倍、100倍と減るような突破口があれば、脅威が行動するために組織は発売日を確定的に知る必要はない。必要なのは、その脅威が、実システムのゆっくりした更新サイクルと重なる計画期間の中で、より現実的になりつつあると認識することだけだ。
空が落ちてくるわけではない。だが、基礎的な暗号システムを破るための経済性は変わりつつあるように見える。そしてそれこそ、期限が来る前にセキュリティ専門家が真剣に受け止めるべき警告なのである。
この記事はArs Technicaの報道に基づいています。元記事を読む。
Originally published on arstechnica.com
