暗号技術は決して休むことはない
VPN の将来は、量子に対して量子で対抗することとなるかもしれません。
量子鍵配送会社、それは素晴らしい約束ですね。クレジット:Quantum XChange
量子鍵配送会社、それは素晴らしい約束ですね。クレジット:Quantum XChange
昨年秋にWireGuard VPNをレビューした際、WireGuardがオプションでPSK(事前共有鍵)によるセキュリティレイヤーをサポートしていることが注目されました。多くの現代の暗号技術と同様に、WireGuardの基本的な暗号化は非対称暗号化です。つまり、ある鍵でデータを暗号化し、別の鍵で復号化します。一方、PSKは対称暗号化です。つまり、データの暗号化に使用した鍵と同じ鍵が復号化にも使用されます。
対称暗号の根本的な問題は数学的なものではなく、実際的なものです。そもそも、通信相手に鍵をどうやって渡すのか? 暗号化が必要なのは、あなたと相手の間にある媒体を信頼できないため、その媒体を使って鍵を共有できないからです。常につきまとう懸念は、中間者(MITM)が鍵を傍受し、秘密が破られることです。
この落とし穴こそが 、SSH鍵からウェブサイトのSSL/TLSまで、あらゆるものに使われている非対称暗号を非常に魅力的なものにしているのです。非対称暗号では、公開鍵を平文のまま通信相手に送信します。相手は公開鍵を使ってメッセージを暗号化し、秘密鍵は共有されていないため、あなたは秘密鍵を使ってそのメッセージを読み取ることができます。同じことを逆に行うことで、逆方向にデータを送信することも可能です。つまり、相手の公開鍵を取得し、それを使ってメッセージを暗号化して相手に送信し、相手の秘密鍵で復号化してもらうのです。
そのため、少なくとも米国では、この種の暗号化を他者に提供したいと願う企業が次々と設立され始めています。
量子コンピューティングの悪魔
非対称暗号を用いて接続と一時的なPSKをネゴシエートするというこの基本概念は、ここ数十年にわたり世界中で非常に大きな役割を果たしてきました。実際、テクノロジーの世界はこれなしでは機能しにくいでしょう。現代の安全な通信は、通信相手と直接会って夜盗のようにこっそりとPSKを渡す必要がないからこそ可能になっているのです。しかし、地平線上には厄介な亡霊(いや、あのスペクターではありません)が迫っています。量子コンピュータです。
量子コンピューティングについて深く考えすぎると、アリスのウサギの穴に落ちる冒険は実に普通で退屈なものに見え始めます。
量子物理学そのものと同様に、量子コンピュータは真に理解している人が比較的少ない、奇妙な存在です。従来のコンピュータ自体はデジタルですが、本質的にはアナログの原理で動作します。ゲートの片側に十分な量の電荷があれば1とみなされ、そうでなければ0とみなされます。さあ、ビットの完成です!
量子コンピュータは古典的なビットを全く扱わず、代わりに量子ビットの形でデータを保存・処理します。「このゲートの向こう側に何個の電子があるか」といった比較的マクロな特性ではなく、量子ビットは単一の量子粒子の状態によって測定されます。例えば、量子コンピュータは個々の電子のスピンに量子ビットを保存し、0を「スピンダウン」、1を「スピンアップ」として符号化します。ここからさらに奇妙なことが起こります。古典的なビットは単一の0/1の値しか保存できないのに対し、量子ビットは複数の値のコヒーレントな重ね合わせを保存できます。つまり、アリスとボブ(量子ビットデータの送信者と受信者)の間に既に存在するエンタングルメント状態を利用できると仮定すれば、超高密度符号化を用いて単一の量子ビットに2ビットを保存できることになります。また、これは、量子ビットを破壊しなければ量子ビットの値を実際に知ることができないことも意味します (そのため、これを読むときに書き留めるために、ペンと鉛筆を用意しておくことをお勧めします)。
ここで、「値の一貫した重ね合わせ」を保存するというアイデアに戻りましょう。Scientific American誌は数年前にこのアイデアを非常に分かりやすく説明し、Ars誌は2008年からこのアイデアを研究してきました。シュレーディンガーの猫を覚えていますか?空気穴のない箱に閉じ込められた哀れな動物で、ある不気味な研究者が箱を開けて確かめるまでは、生きているわけでも死んでいるわけでもありません。これは量子ビットのかなり正確な表現であることが判明しました。実際に量子ビットを測定すると、0か1しか得られません。つまり、猫は生きているか死んでいるかのどちらかです。しかし、猫の生存確率を直接操作することは可能です。生存確率が75%の猫を箱の中に保存できます。箱を開けると、やはり0か1(死んだ猫か生きている猫か)しか得られません。しかし、 その0か1の確率は非常に現実的であり、実際にその量子ビットに保存されているのです。 (確率的情報ストレージを実用化するのは、正直言って私には無理です。でも、量子コンピュータを作るように頼まれた人は誰もいなかったようです。)
これはドクター・フーのセット作品ではありません。IBMの「Q」市販の量子コンピュータです。
これはドクター・フーのセット作品ではありません。IBMの「Q」市販の量子コンピュータです。
厳密に言えば、量子コンピュータはGPUに似ています。従来の汎用CPUよりもあらゆる点で優れているわけではありませんが、特定の演算において飛躍的に優れています。特に、量子コンピュータは非常に大きな整数の因数分解に非常に優れており、従来型コンピュータは非常に苦手です。広く使われている非対称暗号アルゴリズムの多くは、この従来型コンピュータの弱点を利用して暗号化の非対称性を維持しています。量子コンピュータが1,500量子ビット程度まで拡張されると、ショアのアルゴリズムを用いて、最新のRSA暗号、ディフィー・ヘルマン暗号、楕円曲線暗号を直接かつリアルタイムで攻撃することが現実的になります。(これは、ビットコインだけでなく、現在のSSL/TLS暗号も最終的に破滅することを意味します。)IBMは1年前に50量子ビット版のQ量子コンピュータを発表しており、これは明日や明後日に実現するとは考えにくいでしょう。しかし、いずれ実現する可能性が高いと言えるでしょ う。
量子コンピュータは対称暗号への攻撃にも優れていますが、それほど大きな問題にはなりません。量子コンピュータを使えば対称暗号アルゴリズムへの攻撃時間を半分に短縮できますが、エントロピーが1ビット増えただけでは大した効果はありません。また、巨大な整数の因数分解を必要としない非対称暗号アルゴリズムもいくつか存在します。現時点では、これらのアルゴリズムも量子コンピュータによる攻撃に対して特に脆弱ではありません。数学的に導出される暗号の終焉はまだ来ていませんが…長距離通信における秘匿性を実現する新しい方法について考え始めるべき時が来ているのは間違いありません。
安全な通信の未来
量子コンピューティングのスケールアップ後も、公開鍵暗号は単に萎縮して消滅するわけではありません。米国国立標準技術研究所(NIST)は、量子コンピューティングのクラッキング技術に対する耐性を検証するために、候補となる暗号アルゴリズムを積極的に収集・テストしています。McEliece暗号や格子ベースの暗号システムは、現時点では量子コンピューティング攻撃に対して特に脆弱であるとは知られていません。私たちのほとんどは、たとえ使用するアルゴリズムの変更が必要になったとしても、汎用コンピュータ、接続、そしてアルゴリズムを使ってインターネット通信のセキュリティを確保し続けることができるでしょう。
しかし、従来の暗号にはいくつかの厄介な問題があり、量子鍵配送は、新しいアルゴリズムだけでは解決できない方法でそれらに対処できそうです。新しい暗号アルゴリズムは、深刻な国家レベルのセキュリティに対して一般的に約20年の寿命があります。DESは1970年代後半から1990年代後半まで使用されましたが、2001年にその代替となったAESは、2020年を過ぎてもあまり生き残れそうにありません。NISTのプログラムを修了するどのポスト量子アルゴリズムが時間の経過とともにより良く機能することを期待するのはおそらく不合理です。ほとんどの安全な通信ではこれは許容範囲ですが、情報ストレージが安価になり、個人を特定できる情報(PII)がより価値を持つようになると、現実的な問題になります。PIIの寿命は、それを説明する個人の寿命に結びついているため、後日解読されるために傍受されたストリームを保管することは現実的な問題になります。
量子鍵配送(QKD)は、保護するデータの安全性を確保するために、数学ではなく物理学に依拠しています。QKD技術は、非対称暗号アルゴリズムよりもはるかに長い耐用年数を持つと信じるに足る十分な理由があります。国家、市場取引所、医療大手といった極めて大規模で高度なセキュリティを必要とする企業にとって、NISTの耐量子アルゴリズム・プログラムの成果に関わらず、QKDは賢明で永続的な投資となるでしょう。
隣人と仲良くする
実際には、中国は米国よりもはるかに積極的に量子コンピューティングの分野で活動しています。中国政府は量子コンピューティングのハードウェア開発に100億ドルを投資しており、これは米国の12億ドルとは対照的です。また、自由空間レーザー量子鍵配送(QKD)を可能にするため、墨子衛星の打ち上げも計画しています。スイスもまた、量子コンピューティング技術の世界的リーダーとしての地位を確立しています。スイスのID Quantique社は、スイス政府(2007年の国政選挙の安全確保のためにQKDの導入を開始)および世界中に高品質の量子フォトニクス機器を提供しています。
Quantum XChange の光ファイバー ネットワークのルートの概要。
クレジット: Quantum XChange
Quantum XChangeの光ファイバーネットワークのルート。提供:Quantum XChange
Quantum XChangeという企業は、北米においてID Quantiqueと独占販売契約を結んでいます。Quantum XChangeは、医療および金融垂直市場をターゲットとした急成長中の大規模商用サービスによって、量子コンピューティングへの米国政府の低迷する投資を補おうとしています。同社は現在、ボストンからワシントンD.C.までの北東回廊に約850kmのQKD光ファイバーを敷設しており、さらに、マンハッタン南部のオフィスとハドソン川対岸のニュージャージー州にある大規模なバックオフィスを結ぶ約50kmの「ラストマイル」光ファイバーを集中的に敷設しています。
一見すると、この取り組みは中国の北京-上海間の2,000kmに及ぶQKD光ファイバー幹線に比べると矮小に見えます。Quantum XChangeのCEO、ジョン・プリスコ氏でさえ、この点を公に認めています(「米国は追いつく必要がある」と、彼は最近Data Center Knowledgeに語っています)。しかし、中国のQKDネットワークは政府が直接資金提供しているのに対し、Quantum XChangeの取り組みは商業ベースであり、自立的かつ成長していくはずです。
「ボストンにオフィスを持つ組織は、ワシントンD.C.のパートナー、そして最終的にはさらに遠くのパートナーにも安全な通信を送ることができるようになります」とプリスコ氏はTechCrunchに語った。「目標は、既に全米に敷設されている光ファイバーを買い集め続け、全米をカバーする安全な量子ネットワークを提供することです。」
現時点でQuantum XChangeは、このパイロットプログラムに参加しているのは12社程度と発表している。しかし、米国では量子ソリューションへの関心が高まっており、この技術を推進するための国家量子イニシアチブが2018年末に成立したばかりであるため、サービスが期待通りの成果を上げれば、市場参入の好機となる可能性がある。
ジムは作家、ポッドキャスター、傭兵システム管理者、プログラマー、そして 3 人の父親です (順番は必ずしもこの通りではありません)。
37件のコメント
