2024 年 5 月、上海大学の研究者 4 人が学術誌『Chinese Journal of Computers』で、ある論文を発表しました。D-Wave の量子アニーリングマシンを効果的に活用して、従来の暗号化システムに対する攻撃の手法を開発したという内容の研究でした。

10 月に入る頃には、中国のこの研究がメディアを騒がせるようになり、この研究は世界が「暗号時代の終わり」に入ったことを意味すると、多くの報道機関が宣言しました。このように誇張された報道を信じるなら、従来の暗号化方式が今日からでも脅威にさらされると考えてしまうところです。

しかし、パニックに陥るのは時期尚早です。確かに量子コンピュータは最終的に暗号化の標準にとって課題になる可能性を秘めていますが、まだそのレベルにまで達していません。これは、今回の研究のなかでも強調されている事実です。

今回の研究がもつ本当の意味をより深く理解するために、多くの報道が見逃している、いくつかの重要な背景情報について考えてみましょう。

量子アニーリングとは何か？

「量子コンピュータ」という言葉はしばらく前から注目を集めていますが、量子マシンにも様々な種類があります。量子アニーリングは、多くの解の候補を検証して最適解を選択するといった、最適化問題を解決する手法です。最新の暗号化を破るために必要とされる汎用的な量子計算を実行するのは、量子アニーリングの持つ機能ではありません。

上海大学の研究で使われた D-Wave の量子アニーラーは、もっと強力な暗号解読に適した量子コンピュータ（CRQC）より少ないキュービットで動作します。因数分解される整数はわずか 50 ビットであり、軍事用暗号で使われる 2048 ビット鍵よりはるかに小さいサイズです。

つまり、研究で使われたアニーラーは RSA-2048 といった暗号化アルゴリズムを破れるような量子マシンではないということです。中国の研究者は、実際にアルゴリズムを解読するのではなく、量子アニーリングを利用して、RSA でよく知られた整数の因数分解問題（RSA 暗号を支えている数学）を最適化問題として再定義しました。

だからといって、この研究が無意味だということではありません。この研究は、確実に進歩を示しています。それでも、D-Wave マシンが現代の暗号化を脅かすまでの道のりはまだ長いと言えます。

どのくらいまで心配すべきか？

要点はこうです。上海大学の研究は、RSA-2048（現在、よく使われている暗号化方式のひとつ）や、AES-256（同じく広く使われている標準）がただちに危険にさらされることを証明してはいません。研究者は、量子と従来のハイブリッドのアルゴリズムを利用して特定の問題解決タスクを最適化することには成功しましたが、現実世界への影響はまだ限定的です。

確かに、量子コンピュータは企業が今から準備しておくべき相手です。しかし、RSA のような暗号化プロトコルを破るには、現時点で利用できるマシンよりもはるかに強力な量子マシンが必要になります。量子コンピュータが実際に暗号を「破る」ことができる段階には、まだ達していません。

もちろん、それを根拠に量子コンピュータを完全に無視していいというわけではありません。今回の研究は、量子コンピュータの未来は確実にやって来るものであり、問題はそれがいつなのかである、という大きな一石を投じるものでした。

暗号時代の終わりに備えるには

現時点では、量子の脅威は理論上のものであり、現実的なものではありません。しかし、この研究は教訓として役立ちます。「暗号時代の終わり」あるいは「Q-Day」、どちらの名前で呼ぶにしても、量子の時代は確実にやって来ます。そして、それに備えるべきは今です。

耐量子コンピュータ暗号（PQC）の専門家はすでに、量子攻撃にも耐える暗号化技術の開発に取り組んでいます。また、量子コンピュータの到来に備えて必要になる暗号の俊敏性を実現しようとして、多くの組織が DigiCert Trust Lifecycle Manager のようなソリューションに投資しています。

暗号時代の終わりについて大げさな報道を目にしても、慌てる必要はないということです。ただし、備える時が来たという兆しであることは間違いありません。

デジタルトラストに関する最新情報

耐量子コンピュータ、暗号化、暗号化の俊敏性などのトピックについて詳しくお知りになりたい場合、記事を見逃さないようにデジサートのブログを参照ください。