このブログ記事は、今後DigiCertが投稿する一連の技術ブログ記事の1番目にあたります。この記事では、量子コンピューティングの技術について解説するとともに、耐量子コンピューター暗号の時代に向けたこの過渡期の事象の意味をご説明いたします。なおこれ以降の記事では、現状の動向と、将来に向けていまから準備できる対策についてわかりやすくご説明いたします。弊社のブログ記事を是非ブックマークにご登録ください。また、弊社のTwitterアカウント（@digicert）をフォローして最新の情報をご確認ください。

米国科学アカデミーのCommittee on Technical Assessment of the Feasibility and Implications of Quantum Computing（量子コンピューティングの可能性と影響に関する技術検討委員会）は最近、『Quantum Computing:Progress and Prospects（量子コンピューティング：進歩と展望）』というタイトルのレポートを発表しました。200ページに上るこのレポートには、業界のエキスパートが合意した見解が集められており、量子コンピューティングの現状と量子コンピューティングが現代の暗号化手法にもたらす脅威について重要なメッセージを伝えています。量子コンピューティングによって将来生じるリスクに備えるために、いまこそ準備を始める必要があるというのです。

従来のコンピューター技術を利用した場合、2048ビットのRSA鍵を解読するには数千兆年がかかるとDigiCertでは見込んでおり、この内容は米国科学アカデミーのレポートで確認できます。しかし、十分な能力のある量子コンピューターを使用すれば、同じ鍵をずっと早く、おそらくはわずか数か月で解読できてしまいます。しかしそれでも、RSAやECCといった、インターネットのセキュリティのベースである2つの主要な非対称暗号化アルゴリズムを脅かすような量子コンピューターを開発するには、克服すべき技術的な課題が数多く残されています。レポートが推定するところによれば、このような量子コンピューターは、現在存在する第一世代の量子コンピューターと比較して規模を5桁大きくする必要があり、エラーレートも2桁改善しなければならず、現時点ではまだ発明されていない新たな技術がおそらく必要になると言われています。

この分野の初期段階では、量子コンピューターを可能にする急激な進歩が見られたのはここ数年のことであり、このような経緯を考えれば、拡張性の高い量子コンピューターがいつ実現するのかを予測できる段階にはまだないと、レポートは結論づけています。拡張性の高い量子コンピューターを実現するには、コンピューターが保有する物理キュービットの数のスケーリングレートだけでなく、エラーレートも注視する必要があります。

エラーレートは重要です。なぜなら、論理キュービットを構成するために必要な物理キュービットの数に大きな影響を与えるからです。物理キュービットは個々の量子システムを意味し、「0」か「1」で表されます。ただし物理キュービットは環境とのやり取りが避けられず、このやり取りを通じたエラーが発生しやすくなっており、これは温度が絶対零度に近づいている状態でも同じです。このようなキュービットの場合、エラーを訂正しないと、複雑な大量の計算をしたときに、エラーの数がすぐに計算の結果を上回ってしまいます。

古典的なビットエラー訂正コードでは複数の古典的なビットを使用して単一の古典的なビットのエンコードができますが、これとほぼ同じように、多数の物理キュービットを連結して単一の論理キュービットを構成できます。ただし、量子エラー訂正コードの場合、オーバーヘッドはずっと大きくなります。研究者は実際にはまだ、論理キュービットを1つも構成できていませんが、その実現に向けて技術は急速に進歩しています。ひとたび論理キュービットの構成が実現すれば、論理キュービットの数の追跡が優先メトリックになります。そして、アカデミーの委員会は、「耐障害性に優れた大規模な量子コンピューターの開発が原理的に不可能だとする根本的な理由は存在しない」との結論を下しています。

これらの障害を克服するにはまだ時間がかかることが予想されますが、耐量子コンピューター暗号技術の開発、標準化、展開にも多くの期間を要することになるでしょう。それどころかおそらくは、ほぼ同じだけの期間がかかることでしょう。高い安全性の保証が求められるアプリケーションでは特に、移行の対応にいまの時点から着手することが必要とされます。量子コンピューターに対応できる暗号技術よりも先に量子コンピューターが実現してしまう場合のリスクを回避しなければならないのです。

近い将来では、このような分野で中規模の量子コンピューターが注目を集め、その商用アプリケーションの研究・開発が進むでしょう。そして量子コンピューターの有用性や、量子コンピューターによって解決できる問題が明らかになれば、おそらく、量子コンピューティング技術の向上に向けた投資の増加につながる要因となるでしょう。現在、この分野では非常に活発な活動が続いています。他者に先んじてより大規模でより高性能の量子コンピューターを開発しようと、数十億ドルもの研究費が投入されているのです。

業界の標準団体も量子コンピューター実現後の時代に向けた準備を始めており、DigiCertもまた、この分野で非常に精力的な活動を行っています。 そしてなかでも最もよく知られているものとして、NISTの耐量子コンピュータ暗号プロジェクトがあります。世界中の研究者と連携して推進しているこのプロジェクトでは、量子コンピューターを使った攻撃を受けにくい、暗号化の新たな基本要素の開発を目指しています。ただし、これらのアルゴリズムを標準化する準備が整うまでには、数年がかかると予想されます。一方、もっとシンプルなテクノロジーであるハッシュベースの署名（RFC 8391）については、すでにインターネット技術特別調査委員会が標準化を行っており、まもなくNISTも標準化に着手する予定です。署名の規模が大きくなり、署名の総数に制限があるといったように、より高度なアルゴリズムと比較するとハッシュベースの署名にはいくつかの欠点がありますが、理解しやすく、量子コンピューターによる攻撃の影響を回避でき、すぐに利用できるといった利点があります。

標準化グループが推進している活動にはこのほかに、ANSI X9のQuantum Risk Study Groupによる活動もあります。このグループでは、金融サービス業界で使用されている暗号技術に量子コンピューターが及ぼす脅威に特化して情報レポートを準備しています。レポートは2019年の初旬に公開される予定です。また、欧州電気通信標準化機構（ETSI）のQuantum Safe Cryptography Groupでは、過去9年間にわたり情報レポートを作成してきました。

現在、並行して行われている2つの取り組みが急速に活発化しています。1つは、耐障害性に優れた大規模な量子コンピューターを開発する方法を探る取り組みです。そしてもう一つは、量子コンピューターに対抗できる暗号技術を、量子コンピューターによる脅威が現実のものとなる前に実現し、導入しようとする取り組みです。DigiCertがこれから投稿していく一連のブログ記事をご覧になれば、このコンピューティングの過渡期における事象の重要性をご理解いただけます。また、RSAやECCをはじめとする既存の非対称暗号アルゴリズムに今後影響するであろう脅威からシステムを守るために何ができるかを知ることができるでしょう。

原文はこちら