わたしたちが使っているインターネット閲覧に使っているブラウザには、クレジットカード番号やパスワードなどの重要な情報を暗号化するために「公開鍵暗号」が組み込まれている。公開鍵暗号は現実的な時間内で解くことが誰にも不可能という前提があって、ネット上の情報のやり取りが安全に行われている。
その公開鍵暗号として「RSA暗号」や「楕円曲線暗号」という方式が長く使われてきた。これらの暗号方式は今までのコンピュータでは解読困難とされてきたが、性能の高い量子ゲートマシンと呼ばれるタイプの量子コンピュータ(以下、量子コンピュータ)が存在すると、従来のコンピュータに比べて短い時間で解読する方法があることが知られている。もし、そのような量子コンピュータが実現すると、ネット上の安全な通信が保証されなくなってしまう。そこで求められるのが「耐量子計算機暗号(PQC)」、つまり量子コンピュータでも解けないことを目指した新しい暗号方式である。
米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は、現在の公開鍵暗号を量子コンピュータでも解読できない新しい公開鍵暗号に置き換えるため、2016年から標準化を見据えたコンペティションを開始し、PQCの公募を行った。
その結果、世界中から82件の応募があり、2017年末にそのうち69件の提案方式が今後の議論の対象となることが発表された。その中には日本の組織、東京大学を含むチーム、東芝・公立はこだて未来大学・大阪大学・九州大学・国立研究開発法人産業技術総合研究所によるチーム、KDDI・ノーステキサス大学・東京大学によるチーム、国立研究開発法人情報通信研究機構(以下NICT)の各チーム・組織の提案も含まれている。
今回はその中でNICTの話を聞いた。NICTは総務省管轄の国立研究開発法人であり、PQCの最新動向調査などを実施している。NICTが米NISTの公募に応じて提案した新暗号方式「LOTUS」(ロータス)について、開発を進めたNICTサイバーセキュリティ研究所セキュリティ基盤研究室のチーム(主任研究員 : レ チュウ フォン氏、主任研究員 : 青野良範氏、招聘専門員 : 林卓也氏、室長 : 盛合志帆氏)にLOTUSの特長や開発の経緯、今後の展開などをうかがった。
* * *
―― まずLOTUSの特長を教えてください。
フォン氏:大きな特長は「耐量子性」と「汎用性」です。「耐量子性」は量子コンピュータでも解読が困難なこと。量子コンピュータが普及した後も情報の安全性が守られます。「汎用性」は、他の暗号方式と組み合わせやすく、ブラウザやデータベースなど、多くの通信・交通・産業システムに組み込みが可能なことになります。
――その「耐量子性」ですが、解読の難しさについて米NISTからはどのようなレベルを求められたのでしょうか? 数値でわかりやすくたとえていただければありがたいです。
盛合氏:米NISTの求めるレベルは、最低128ビットをクリアし、最高256ビットのセキュリティレベルです。たとえば256ビットのセキュリティレベルとは「2の256乗通りの数字」を全部調べるという定義です。あんまりケタが大きすぎて実感のない数字です。256ビットはトップシークレット情報に使用するレベルとなっています。
―― たとえば、何百億通りの組み合わせを調べて、その中から正解を1つだけ抜き出すというイメージですか?
盛合氏:そんなレベルではありません。たとえでいいますと、観測可能な宇宙に存在する原子の数が10の80乗といわれています。2の256乗はだいたいそれに近いので、ひとつひとつ探しても探しきれない。その中から鍵(正解)をひとつだけ選ぶのは困難ですよね。われわれの提案方式では、128ビットはもちろん、192ビット、256ビットというセキュリティレベルもサポートしています。パラメーターの変更で全部対応できます。
―― LOTUSには「格子暗号」が用いられているそうですが、これはどういうものでしょう?
青野氏:「格子暗号」とは耐量子計算機暗号の方式として有力なものです。専門的にいうと『格子問題を解く計算の困難性を暗号の安全性の根拠とする暗号』のことです。その格子問題にもいろいろあって、その中で「CVP(与えられた点に一番近い格子点を探す)」という方式に着目しました。こういっても、何だかわからないかもしれませんが、わたしたちが生きている空間は2次元とか3次元ですよね? LOTUSでは800次元という空間を想定しているんです。
―― 今後はどのようなスケジュールになるのでしょうか?
盛合氏:4月に米国でFirst PQC Standardization Conferenceがあり、そこで各チームの暗号方式がお披露目されます。そこから16ヶ月ぐらいかけて評価され、69件の中から次に進む方式が絞られるのだと思います。来年の夏ぐらいにセカンドカンファレンスがあって、今から3年から5年かけて複数の方式が選ばれるのではないでしょうか。その複数の方式が米国政府準拠となるのでしょう。
表面的には何も変化が起こらないのがベスト
―― 2021年から2023年頃には米NISTが新しい公開鍵暗号を選ぶわけですね。そうすると、社会やビジネスにどんな変化がありますか?
林氏:いい意味で変化はおこらないと思います。そもそも今の公開鍵暗号の置き換えですから。今も一般のエンドユーザーは、RSAだの楕円方式だの意識しないでネットで買い物しているでしょう。一般の人は何も知らなくてよく、いつの間にか変わっているわけです。
盛合氏:米NISTは量子コンピュータで今使われている公開鍵暗号が2030年ぐらいに「解読できるかもしれない」レベルと考えているようです。そこから、何年後に標準化を終らせ、各企業に置き換えを呼びかけなくてはいけないかを逆算しているのです。企業が新しい公開鍵暗号を使う頃には、社会で移行を受け入れる準備が整っている状態のはずです。
―― 開発や評価においてたいへんだったことはありますか?
盛合氏:昨年末、NIST PQC標準化の候補暗号が発表されたとたん、メーリングリスト上で候補暗号のアタック(安全性評価)の議論が始まりました。なので、年末年始も落ち着かなくて……。12月30日に「LOTUS」に関するタイトルのメールが来てドキッとしました。アタックと言っても、暗号方式のアルゴリズムは公開するもので、それを世界中から叩いてもらって、議論を進めていきます。むしろ、どうぞアタックしてくださいという感じですね。すると「よし解いてやる」といろんな人が腕試しに来て、激しいバトルが繰り広げられるのです。
* * *
今回、NICTが米NISTの公募に応じたのは、研究室長の盛合氏が、これまでNICTで取り組んできた格子暗号に関する研究成果を生かせないか、こういった取り組みに参加することで研究者としても成長でき、NICTのプレゼンスも高まる、と考え、メンバーに声をかけてスタートしたという。フォン氏の理論をベースとして、安全性評価に強い青野氏、実装に強い林氏がチームを組んで、ここまでたどりついたということだ。
これまでの公開鍵暗号を解読するタイプの量子コンピュータの性能が上がり、現在の鍵のビット数の公開鍵暗号を本当に解読できるようになるまでには、まだかなり年数があると言われている。また、耐量子計算機暗号の安全性評価の方法も完全には確立されておらず、このようなコンペティションを通じて、新しい暗号に関する知見が蓄えられていくことが期待されている。実際、69の候補のうち、数多くの暗号にはすでに脆弱性が報告されている。LOTUSが基礎とする格子暗号も、その長い歴史の中では、これまで何度となく脆弱性が見つかっては、その脆弱性に対応した新しい技術が提案されている。つまり、まだまだ進化する過程である。
その進化がある程度進んだ後、われわれが知らないうちにある日公開鍵暗号が変わっている。日常のネット利用に当たり前に使われるようになり、誰にも気づかれない可能性も高い。それはLOTUSかもしれないし、他の暗号方式かもしれない。しかし、それはアタッカーとのバトルを乗り越えた、開発者たちのたゆまぬ研究のたまものであることを認識しておきたい。