量子コンピュータは「128ビット暗号」を脅かさない？その理由を徹底解説

量子コンピュータの進化によって現在の暗号技術が崩壊するとよく騒がれていますが、実は128ビットの対称鍵暗号については、量子コンピュータによる脅威は限定的であると考えられています。暗号の安全性に関する誤解を解き、今の技術がなぜ耐えうるのかを理解しましょう。

もしこれが本当なら、Wi-Fi Allianceは自分たちが生み出している電子廃棄物について、説明責任が山ほどあると思う。WPA3は対称鍵暗号のAESから量子耐性がないECDHに移行したから、IoTインバーターが大量にゴミになる未来が見える。

量子耐性は、ケースによっては積極的な鍵ローテーションで実用的に緩和できると思う。銀行ベンダーとのOAuthマシン間連携でプロトタイプを作ってるんだけど、そこではECDSA鍵を5分おきにローテーションさせてるよ。鍵は10分後に削除される予定だけど、これを30秒や60秒に短縮できない理由はないはず。相手方は頻繁にJWKSエンドポイントをスキャンして無効化を確認してるから、仮に攻撃者が量子コンピュータを持ってたとしても、この通信規約を突破するには相当な速度が必要になるはず。

すごくいい解説だね。グローバーのアルゴリズムの理解が正しければ、実用化には計算リソースか時間がかかりすぎて現実的ではないけれど、総当たり攻撃よりはずっと現実味があるってことかな？もしそうなら、計算リソースが増えれば結局その時間は無関係になるのでは？たとえば、昔は部屋中を占領していたコンピュータが今や手のひらサイズのスマホに収まるように、もし将来的に計算能力がとんでもなく最適化されたり、マイクロプロセッサのような新しい何かが登場したりしたら、128ビットの対称鍵に対しても量子脅威になり得るのかな？

いい投稿だね。全くその通りだし、量子研究者の間では周知の事実だけど、一般的にはあまり理解されていない。グローバー攻撃は明らかに非現実的。ショア攻撃と並べて何の注意書きもなくグローバー型攻撃について語る人がいたら、それは危険信号だよ。

少し話は逸れるけど、RSAとECCについて。RSAなら単純に「16,384ビットの鍵を使おうぜ」って言えばしばらく安全なんじゃないの？ECCに関しても、25519を使ってる人は多いけど、あれは256ビットでしょ。例えば「2の2047乗 - 19」みたいな大きな素数を使えば同じようにしばらく安全なんじゃないの？要するに、RSAやECCで鍵を今の10倍のサイズにすることを妨げる何かがあるの？

量子コンピュータが因数分解や離散対数問題を解くっていう話を聞く一方で、最大で15の因数分解ができた程度で、21すら可能か怪しいっていう話も聞く。一体どうなってるの？

フィリッポ・ヴァルソルダのこういう解説の分かりやすさには本当に感心する。私みたいな古い頭の人間にとっても、数学や例えがすごく追いやすかった。技術文書でこういう明快さがあるのは本当にありがたいよ。

グローバーのアルゴリズムが最強だって信じる理由はあるのかな？記事の内容は理解できるし、コストや優先順位、前提条件の問題だってことは分かってる。自分はもうAES-256-GCMを使ってるしね。ただ、量子コンピュータがアルゴリズム解析に新しい応用をもたらしたり、他の脆弱性を突いたりする可能性があるのかどうか純粋に興味がある。