暗号エンジニアが考察、量子コンピュータが暗号を破る「Xデー」の現実味

量子コンピュータがいつ既存の暗号（RSAなど）を無力化するのか？過剰な期待や不安が渦巻く中、専門の暗号エンジニアがその実現可能性と具体的なタイムラインについて、現場の視点から冷静に分析した議論を紹介します。

これは良い指摘だね。反論の余地はほとんどないよ。

[...] CFRGで足止めされていたHPKEハイブリッド受信機の利用可能性。設計に一切変更がないにもかかわらず、X-Wing（2024年1月）とML-KEM（2024年8月）の安定したラベル文字列を選択するだけで、ほぼ2年もかかった。IETFはこの件について内部で事後分析を行うべきだけど、期待はできないだろうな。

プロセスの問題を議論して解決してくれる標準化団体があるなら、喉から手が出るほど欲しいよ。

もし実用的な量子コンピュータが登場するまで本当に時間が残されていないのだとしたら、最優先事項はTLSやSSHなどのプロトコルで使われるセッション鍵確立のためのFIPS 203 (ML-KEM) の導入だということは留めておくべきだね。

ML-KEMは、共有シークレットを作成するための従来のDiffie-Hellmanアルゴリズムや楕円曲線版を置き換えることを目的としている。

FIPS 203（つまりML-KEM）を使わないと、攻撃者はインターネット経由で転送されるデータを記録しておき、数年後にそれを解読できるようになる可能性がある。

一方で、現在使われている証明書やデジタル署名の方式を置き換える緊急性はそれほど高くない。ほとんどの場合、将来誰かがそれらを偽造できるようになったとしても、過去に遡って認証に利用することはできないからね。

唯一の例外は、所有権の証明のように、法的な意味を持つ従来の紙の書類を完全に置き換えるようなデジタル文書だ。これらはデジタル署名されているから、将来的に偽造できることは誰かにとって有用かもしれない。その場合は、将来にわたって有効な署名方法を使う意味があるだろうね。

OpenSSHやOpenSSL、その他の多くの暗号ライブラリやアプリケーションはすでにFIPS 203 (ML-KEM) をサポートしている。だから、既存の認証方法（証明書など。耐量子署名を使うと証明書が巨大化してオーバーヘッドが大きくなる）を置き換えなくても、少なくともプライベートなサーバやクライアントであれば簡単に導入できるよ。

暗号を解読できるスーパーコンピュータを構築するというのは、まさに今、政府が取り組んでいるであろうことだよね。記事でも触れられているけど、マンハッタン計画とのアナロジーは明確だよ。

1940年以前から、核分裂性物質を十分な量集めれば爆発が起きることは知られていた。ウランをどう精製するか、実際にどう武器を組み立てるかといったエンジニアリング上の課題はあったけど、現象自体は既知だったんだ。

僕がこれを言うのは、政府が密室で「エキゾチックな新技術」を練り上げているというミームがあるけど、個人的には疑わしいと思っているからだ。

でも、これはマンハッタン計画の完璧な例えだよ。十分な数の量子ビットを詰め込んだら何が起こり得るか、僕らは正確に知っている。実際にそれを実現するのは困難なエンジニアリングの課題だけど、政府は本気になればドルの札束を積み上げる（集める）のは得意だからね。

驚いたのは、この議論がすごく非線形だってこと。例えばRSAへの古典的な攻撃なら、8ビットの合成数を素因数分解するのは超簡単だし、64ビットならもう少し難しい。256ビットならトリッキーな数学が必要、といった感じだよね。みんなそうやって段階を踏んできた。1024ビットの分解を空想するところから始めて、ある日突然、誰かが何の前触れもなく成し遂げたわけじゃない。

奇妙なのは、今の量子コンピュータはRSAに対して完全に無力で、僕の知る限り誰もEC（楕円曲線）すら試せていないってこと。この10年間、その最先端技術はほとんど進歩していない。

それなのに突然、数年後には既存の古典的な公開鍵暗号をすべて破壊できる量子コンピュータが登場すると言われている。

全く新しい分野ならそういうことも起きるかもしれないけど、量子コンピュータの研究はもう結構長いこと行われているよね。

もし数年で全てを破壊できるほど簡単なら、研究室レベルでRSA 256を破るくらいのものは作れてるはず。結論を急ぐ前に、まずはそれを見てみたいかな。

ああ、そろそろ本気で考えたほうが良さそうだね。リスク姿勢について実用的かつ的を射た、身の引き締まるような記事だ。ただ、1つ強調しておきたい箇所があって、まだここのコメント欄で誰も触れてないんだけど：

幸いなことに、共通鍵暗号については、我々は何もしなくていい。

これは価値があるよ。スケーラビリティはないけど、今すぐいくつかの重要な場所で実装できる、非常に重要な追加レイヤーを提供してくれるからね。ここの多くの人や組織にとって、便利でスケーラブルな通常のPKIの代わりに、事前共有鍵（PSK）と共通鍵暗号を使って、「物理的な手間」と「セキュリティ」をトレードオフにできる重要なシステムがあるはずだ。個人的に大きいのはWireGuardで、数年前から主要なサイト間VPNの大部分をPSKを使うように切り替えられた。もちろんこれはアウトオブバンド（全サイトに直接足を運んで、全プロファイルを対面で手渡しする）が必要になるけどね。でも、管理範囲がそれほど広くなければ十分可能だし、今や将来にデータが収集されたとしても、物理的にハードウェアが侵害されない限り無価値になるから余裕ができる。

だからといってPQE（耐量子暗号）や業界の動きが軽視されるわけじゃないし、すべてにスケールするわけでもない。でも、アップデートなしで今すぐ共通鍵レイヤーを追加できるソフトウェアをすでに使っているかもしれないよ。重要なものについては「すぐできる対策」として検討する価値がある。あと一般論として、組織や脅威モデルによっては、長期間信頼できるのが共通鍵とOTP（ワンタイムパッド）しかない最悪のシナリオを想像して、どう対処するか考えておくのもいいかも。原理的には、数GBや数TBのエントロピーを安全に運んで（スニーカーネット）、ソフトウェアで自動処理するのは可能なはずだけど、そういうプロジェクトはまだ見たことがないな。

PQEがもちろんベストな結果だけど（計算量が増えたりプロトコルの前提が変わったりする痛みはあるにせよ）、タイヤを長年叩いて点検してきた従来の方式に比べれば、新しい数学やシステムに頼ることになる。なんだかいよいよ現実味を帯びてきたね。

なんで著者がそんなにAES 128を推すのか分からないな。AES 256にしても追加コストはほとんどないし、「今保存して後で解読する」攻撃（あと「数ヶ月で意見が急に変わる」みたいな状況）に対しても安全なのに。耐量子な共通鍵暗号の業界標準や一般的な推奨は256ビット鍵なんだから、単にそれに従えばいいだけだ。彼は毎回、AES 128が良いっていう色んな理屈を持ち出してくるけどね。

ageは256ビットのファイル鍵を使うべきだし、非対称モードではデフォルトでPC鍵にすべきだよ。

ハイブリッド鍵を飛ばそうっていう議論は、僕には危険に聞こえるな。これらのアルゴリズムはまだ広く普及していないし、実環境でのテストも全然されていない。もし単純な欠陥が見つかったら、国家レベルの攻撃者を警戒している間に、その辺の適当なクローラーに一瞬でやられちゃうよ。

Intel SGXやAMD SEV-SNPのような信頼実行環境（TEE）、および一般的なハードウェアアテステーションはもう終わってる。それらの鍵もルートも耐量子（PQ）じゃないし、PQ版をロールアウトしているなんて進捗も聞いたことがない。ハードウェアのスピード感を考えると、もう間に合わないか、信頼できないという現実を受け入れざるを得ない。

ちょっとトピックから逸れるけど、Signalの開発者がSGXの代わりに何をしようとしているか誰か知ってる？ SignalがSGXを使っていることについては、何年も前から外部から批判的に見られてきたけど（開発者は無視し続けてるけどね）、今回の件でさらにプレッシャーがかかりそうだよね。

「量子コンピュータなんて無関係だし、RSAで十分」という僕のスタンスを少し見直させてくれる、初めての論理的な記事だった。お見事！ 懐疑派にも理解できる言葉で説明してくれてありがとう。この件のリスクを再考するのに役立ったよ。

奇妙なことに[1]、彼らは仮想通貨やメモリプール、回収された商品かなにかを中心に据えて話を構成している……

[1] 論文全体がちょっと変だ。量子回路のゼロ知識証明が含まれているが、それを動かす実際のハードウェアが登場する前に、もっと洗練されたものが再導出されるのは確実だ。彼らはこれを「責任ある開示」だと思っているようだが、単に物理学者が、僕らが彼らの分野に詳しくないのと同じように、こっちの分野の専門家じゃないってだけだと思う。

ゼロ知識証明はギミックっぽく見えるかもしれないけど、著者のうち2人（Justin DrakeとDan Boneh）は仮想通貨コミュニティと強いつながりがあるから、こういうのは珍しくないんだよ。

あと、仮想通貨に焦点を当てるのも特段おかしいとは思わないな。量子コンピュータを他より先に手に入れることが直接的な金銭的利益につながる数少ない分野の一つだし、ターゲットにする動機はかなり大きいからね。

日常的な暗号インフラを変えるのも大変だけど、例えばビットコインはもっと難しい。ユーザーが自分のコインを耐量子スキームに移行させる必要があるからね（そんなスキームが実装されたらの話だけど）。トランザクションのスループットには限りがあるから、脆弱なコインを全部移行させるには数年かかるだろうし、鍵を紛失したコインはそのまま残ってしまう。

サトシはおそらく亡くなっているか、動けないか、あるいは鍵を紛失・破棄しているだろうから、自分のコインを安全な場所に移動させることはできない。たとえアクセスできたとしても、市場で「永久に失われた」と見なされている推定100万BTCが動くこと自体、善意か悪意かに関わらず相場を大混乱させるイベントになる。

どっちに価格が動くか（この場合は明らかに暴落だけど）分かっていれば、たとえサトシのコインがブラックリスト入りして直接売れなくても、その値動きから利益を得ることはいくらでもできるしね。