今日、「暗号関連量子コンピュータ(CRQC)」がいつ誕生するかという予測は、しばしば過度に強引かつ誇張されており、ポスト量子暗号への即時かつ完全な移行を求める声につながっている。そのため、ポスト量子暗号への即時かつ包括的な移行を求める声が高まっている。
しかし、このような声は、早すぎる移行のコストとリスク、そして異なる暗号プリミティブの非常に異なるリスク属性を無視する傾向があります。
ポスト量子暗号化(Post-quantum encryption)は、高いコストがかかるとはいえ、すぐにでも導入する必要があります:「最初に傍受し、後で解読する」(HNDL)攻撃はすでに起こっている。今日暗号化された機密データは、数十年後に量子コンピュータが登場しても、まだ価値があるかもしれない。ポスト量子暗号化を実装するには、パフォーマンスのオーバーヘッドと実装上のリスクが伴いますが、HNDL攻撃の前では、長期間秘密にする必要があるデータに選択の余地はありません。
ポスト量子署名は完全に異なる計算ロジックに直面します。さらに、ポスト量子シグネチャのコストとリスク(より大きなサイズ、より低いパフォーマンス、技術的な未熟さ、潜在的なバグ)は、性急な移行戦略ではなく、計画的な移行戦略を指示します。
これらの区別を明確にすることは非常に重要です。
ポスト量子暗号への移行における真の課題は、危機感と実際の脅威を一致させることです。以下の記事では、暗号化、署名、ゼロ知識証明(特にブロックチェーンへの影響)を取り上げることで、量子の脅威に関する一般的な誤解を解きます。
量子の脅威はどこまで迫っているのか?
大げさな宣伝にもかかわらず、2020年代に「暗号関連量子コンピュータ(CRQC)」が登場する可能性は極めて低いでしょう。
「CRQC」とは、楕円曲線暗号やRSA暗号を攻撃するのに妥当な時間でショーのアルゴリズムを実行できる(例えば、1ヶ月以内にsecp256kを解読できる)ほど十分に大きく、フォールトトレラントでエラー訂正可能な量子コンピュータのことです。secp256k1やRSA-2048を破るのに1ヶ月)。
公開されているマイルストーンとリソースの見積もりを合理的に読めば、私たちはそのようなマシンを構築するには程遠い。CRQCは2030年または2035年までに実現できると主張する企業もありますが、これまでに公表されている進捗状況は、そのような主張を裏付けるものではありません。
客観的に言えば、イオントラップ、超伝導量子ビット、中性原子システムなど、現在のあらゆる技術アーキテクチャを見ても、ショールのアルゴリズムを実行するのに必要な数万に迫るプラットフォームは今のところ存在しません。ショールのアルゴリズムを実行するには、数十万から数百万の物理量子ビットが必要です(エラー率やエラー訂正スキームによって異なります)。
量子ビットの数だけでなく、ゲート忠実度、量子ビットの接続性、深い量子アルゴリズムを実行するために必要な持続的エラー訂正回路の深さも制限要因です。現在、1,000以上の物理的量子ビットを持つシステムもありますが、数字だけを見ていると誤解を招きかねません:しかし、数字だけを見ていると非常に欺瞞的です:これらのシステムは、暗号学的に関連する計算を実行するために必要な接続性と忠実度が不足しています。
最近のシステムは、物理的なエラー率という点では量子エラー訂正が機能する閾値に近づき始めていますが、実際にショールのアルゴリズムを実行するのに必要なものはおろか、エラー訂正回路の深さを維持したまま、数個以上の論理量子ビットを実証できた人はいません。ましてや、ショールのアルゴリズムを実行するためには、何千もの高忠実度、深層回路、エラー耐性を持つ論理量子ビットが実際に必要とされる。量子エラー訂正が原理的に機能することを証明する」ことと「暗号解読に必要な規模を達成する」ことの間には、まだ大きな隔たりがある。
要するに、量子ビットの数と忠実度が数桁増えない限り、CRQCは手の届かない存在であり続けるということです。
しかし、企業のPRリリースやメディアの報道に惑わされるのは簡単だ。
「量子の優位性」を主張するデモ:これらのデモは「量子の優位性」を主張している。「デモ:これらのデモは現在、人間が設計したタスクを対象としている。これらのタスクが選ばれたのは、実用的だからではなく、既存のハードウェアで実行可能であり、発表ではしばしば覆い隠されるような、巨大な量子スピードアップを示すことができるからです。
何千もの物理量子ビットを保有していると主張する企業:これは通常、量子アニーラーを指しており、公開鍵暗号を攻撃するためにショーのアルゴリズムを実行するのに必要なゲートモデルのマシンを指しているわけではありません。
「論理量子ビット」という用語の誤用:ショールのような量子アルゴリズムは、何千もの安定した論理量子ビットを必要とします。量子エラー訂正を使えば、多くの物理量子ビットで論理量子ビットを実装できる。しかし、この言葉を乱用している企業もある。例えば、最近発表されたものでは、論理量子ビット1個につき物理量子ビットを2個使用するだけで、48個の論理量子ビットを実装できると主張している。このような低冗長性コードはエラーを検出するだけで、訂正することはできない。暗号解読のための真のフォールトトレラント論理量子ビットは、それぞれ数百から数千の物理量子ビットを必要とします。
定義のすり替え:多くのロードマップでは、「論理量子ビット」という用語は、クリフォード演算のみをサポートする量子ビットを指しています。これらの演算は、古典的なコンピュータで効率的にシミュレートすることができ、したがって、単にショーのアルゴリズムを実行するには十分ではありません。
ロードマップの目標が「X年までに数千の論理量子ビット」であったとしても、その企業がその年に古典暗号を解読するためにShorのアルゴリズムを実行することを期待しているわけではありません。
このようなマーケティング戦術は、迫り来る量子の脅威の大きさに対する一般大衆の(そして一部のベテラン観察者たちの)認識を著しく歪めた。
それにもかかわらず、一部の専門家は確かにこの進歩に興奮しており、スコット・アーロンソンは最近、ハードウェアの進歩のペースを考えると、「次のアメリカ大統領選挙までに、ショーのアルゴリズムを実行する耐障害性のある量子コンピュータを持つことが可能」だと考えていると述べている。".フォールト・トレラントなシステムで15=3×5を分解するだけでも「成功の予測」なのだ。これは明らかに、RSA-2048のクラックと同じ規模ではありません。
実際、「15を分解する」量子実験はすべて、フォールトトレラントなShorアルゴリズムではなく、簡略化した回路を使っています。
要するに、今後5年以内にRSA-2048やsecp256k1をクラックする量子コンピュータを作れることを証明する公的な進展はないのです。
10年というのは、まだ非常に強引な予測です。
2035年までに政府システムのポスト量子マイグレーションを完了させるという米国政府の提案は、マイグレーションプロジェクト自体のスケジュールであり、その時までにCRQCが利用可能になるという予測ではありません
HNDL攻撃はどのような暗号システムに適用できるのでしょうか?システムですか?
「HNDL(Harvest Now, Decrypt Later)」とは、攻撃者が暗号化された通信を今保存し、量子コンピューターが利用可能になる未来に復号化することを意味します。
国家レベルの敵対者は、将来の復号化のために、米国政府からの暗号化通信をすでに大規模にアーカイブしている可能性が高い。その結果、特に秘密が10~50年以上続くようなシナリオでは、暗号化システムを直ちに移行する必要があります。
しかし、すべてのブロックチェーンが依存しているデジタル署名は、暗号化とは異なります。
言い換えれば、量子コンピューターが登場すれば、その瞬間から署名を偽造することは確かに可能だが、過去の署名は影響を受けない。を偽造することはできない。
したがって、ポスト量子署名への移行の緊急性は、暗号の移行よりもはるかに低い。
メインストリームのプラットフォームも対応する戦略を採用しています:
しかし、重要なウェブインフラへのポスト量子署名の配備は意図的に延期されています。ポスト量子署名は現在まだ大幅なパフォーマンスの後退を経験しているため、CRQCが本当に近づいたときにのみ行われるでしょう。
zkSNARK(ゼロ知識簡潔非対話的知識論証技法)の状況は、署名についても同様です。楕円曲線(PQ-secureではない)を使用する場合でも、そのゼロ知識という性質は量子的な設定でも維持されます。
ゼロ知識は、証明が秘密の証人を明らかにしないことを保証するので、攻撃者は「今証明を収集し、将来それを解読する」ことはできません。 したがって、zkSNARKはHNDL攻撃に対して脆弱ではない。今日生成された署名が安全であるのと同様に、量子コンピュータの出現以前に生成されたzkSNARKの証明は、たとえzkSNARKが楕円曲線暗号を使用していたとしても、信頼に足るものです。CRQCの出現後でなければ、攻撃者が虚偽の証明を偽造することはできない。価値は24時間交換され、人間の経済規模をはるかに超えた新しいデジタル世界が構築される。
Catherine
Davin
Jasper
Aaron
Hui Xin
Kikyo
Alex