はじめに

PQC（耐量子計算機暗号）やQKD（量子鍵配送）といった最先端の暗号技術に強い関心を持っている大学3年生です。将来的には大学院でこれらの分野を研究し、より安全なデジタル社会の構築に貢献したいと考えています。

暗号技術への興味のきっかけは、もともと熱中していた電子工作です。Bluetooth通信を用いたさまざまなデバイスを自作する中で、「もし通信が第三者に改ざんされたら、意図した通りのデータが得られなくなるのではないか」という懸念を抱くようになりました。

その後、現在使用されている暗号技術について調べる中で、将来的に量子コンピュータの登場が従来の暗号システムに深刻な脅威をもたらす可能性があることを知りました。この問題に対応するために、PQCやQKDといった新しい暗号技術が活発に研究・開発されていることも知りました。

こうした背景から、私はPQCやQKDの学習と情報発信を進めており、難しい内容もできるだけ分かりやすく伝えることを目標に、独学で得た知識を体系的に整理し、記事シリーズとしてまとめています。

本記事では量子コンピュータでも解くことが困難である数学的問題を採用している暗号アルゴリズムの総称であるPQCについてまとめていきます。QKDの概要についてはこちらの記事をご覧ください。

前提

本記事では、従来の暗号技術である公開鍵暗号方式や共通鍵暗号方式について知っていることを前提としています。従来の暗号技術について詳しく知りたい方は、こちらの記事をご覧ください。

従来の暗号が危ないと言われている理由1

従来の暗号技術が危険視される理由の一つは、量子コンピュータの登場です。

量子コンピュータとは、量子ビットを用いて計算を行うコンピュータのことです。量子ビットは 「0」と「1」の重ね合わせ状態をとることができ、この性質により膨大な計算を高速に実行できます。

そのため、量子コンピュータは従来の暗号技術の安全性を支えていた数学的問題を効率良く解くことができると考えられています。

なお、PQCを直感的に理解する上で量子コンピュータの仕組みを深く知る必要はないため、ここでは詳細な説明は省きます。量子コンピュータについて詳しく知りたい方は、こちらの記事をご覧ください。

PQC(耐量子計算機暗号)の登場

前述のように、量子コンピュータは従来の暗号技術に対して脅威となり得ます。こうした脅威に対応するために登場したのが 耐量子計算機暗号（Post-Quantum Cryptography、PQC） です。PQCとは、量子コンピュータでも解読が難しい数学的問題に基づく暗号方式や暗号アルゴリズムの総称です。

現時点では、データ通信で使われる公開鍵暗号を現実的に解読できる量子コンピュータ（CRQC）はまだ実用化されていません。それでも、従来の暗号からPQCへの移行や、PQCの実用化は急務と考えられています。

その理由の一つが、HNDL（Harvest Now, Decrypt Later） 攻撃です。これは、「今のうちに暗号化データを盗んでおき、将来量子コンピュータが実用化された時に解読する」という攻撃手法です。この攻撃によって、数十年にわたり機密性を維持する必要のあるデータ（医療情報や国家機密など）は深刻なリスクにさらされています。

さらに、量子コンピュータの脅威は暗号方式全般に及びます。公開鍵暗号は、例えば

• 署名用途(CAによりデジタル署名や電子署名)
• 守秘用途(データ保護)
• 鍵共有用途(Diffie–Hellman鍵交換など)

といった幅広い場面で使われています。もしこれらが破られてしまえば、社会基盤全体に莫大な影響が及ぶことは明らかです。そのため、「量子コンピュータ時代でも安全な暗号技術」を今から整備していく必要があるのです。

暗号プロトコル
 ├─ 暗号方式（KEM, デジタル署名, 共通鍵暗号 など）
 │     └─ 暗号アルゴリズム（RSA, AES, ML-KEM, ML-DSA など）
 └─ プロトコル手順（鍵交換の順序やハンドシェイクの流れ）

NISTによる標準化

PQCの実用化に向け、標準化が活発に進められています。NIST（アメリカ国立標準技術研究所）は2024年8月、PQCの標準として以下の三つのPQC暗号アルゴリズムを発表しました：

FIPS 203：ML-KEM

• 用途：鍵共有
• 特徴：格子問題に基づくPQCアルゴリズムです。公開鍵暗号を用いたカプセル化方式(KEM:Key Encapsulation Mechanism)により、盗聴のリスクがある環境でも共通鍵を安全に共有できます。

FIPS 204：ML-DSA

• 用途：署名
• 特徴：格子問題に基づくPQCアルゴリズムです。送信者は秘密鍵でデータに署名し、受信者は公開鍵で署名を検証することで、データの改ざんやなりすましを防ぎます。

FIPS 205：SLH-DSA

• 用途：署名
• 特徴：ハッシュ関数に基づくPQCアルゴリズムです。格子問題ではなく、ハッシュ関数の難解性を利用して署名の安全性を確保します。秘密鍵で署名し、公開鍵を検証することで、データの完全性と送信者の正当性を保証します。

ここでは、PQCの概要を直感的に理解することに重点をおいています。標準化されたアルゴリズムの詳細については以下の記事をご覧ください(順次追加予定です)。

• 格子問題とその基本問題
• ML-KEM：格子ベース暗号の理論と原理

PQC導入の課題

PQCが標準化されても、すぐに実用化できるわけではありません。既存の暗号アルゴリズムを単に置き換えるだけでは、PQCの導入は完了しません。

通信プロトコルや暗号ライブラリ、ハードウェア、さらには組み込みデバイスの制約など、考慮すべき要素は多岐にわたります。さらに、リモートマシン（クラウドサービスやデータセンターのサーバー）と組み込みデバイス（IoT機器や車載システムなど）では、導入に伴うハードルも異なります。

ここではまず、リモートマシンと組み込みデバイスに共通する課題、次に組み込みデバイス特有の課題、そしてそれらを踏まえた導入方法について整理します。

共通の課題

• PQC対応通信プロトコルの開発　
  現在広く使われているIPsec、TLS、SSHなどの通信プロトコルはPQCに直接対応していません。そのため、従来の暗号とPQCを組み合わせた「ハイブリッド方式」のプロトコルが開発されています。
• PQC対応KMS(鍵管理システム)の整備
  PQCは従来の鍵とは異なるため、新しい鍵の生成、保管、配布、更新を安全に行うためのシステムが必要になります。
• 新しいアルゴリズムの実装上の脆弱性
  PQCアルゴリズムは新しいため、まだ見つかっていない脆弱性が潜んでいる可能性があります。
• ハードウェアアクセラレーション対応
  PQCアルゴリズムは計算量が従来の暗号方式と比べて増えているため、処理を高速化する専用ハードウェアが求められます。

組み込みデバイス特有の課題

IoT機器や車載システムなどの組み込みデバイスには、さらに独自の課題があります。

• メモリ制約
  PQCは鍵やデータサイズが大きくなる傾向があるため、メモリ容量の少ない組み込みデバイスには大きな課題となります。

• 物理的攻撃のリスク(サイドチャネル攻撃)
  組み込みデバイスは、電力消費や電磁波などから秘密鍵を盗み取られる物理的攻撃リスクがあります。

• デバイス更新性の制限
  一度市場に出た組み込みデバイスのファームウェアを更新するのは難しく、PQCへの移行が困難な場合があります。

PQCの導入方法

これらの課題を踏まえた上で、PQCは段階的に導入されます。

• リモートマシンへの導入
  クラウドサービスやデータセンターのサーバーでは、ソフトウェア更新によりPQCに対応します。具体的には、暗号ライブラリの更新やTLS/SSL、IPsecなどの通信プロトコルのPQC対応版への切り替えが行われます。

• 組み込みデバイスへの導入
  IoT機器や車載システムなどの組み込みデバイスでは、ファームウェアの更新や、PQC処理を専門に行う専用ハードウェアを利用して対応します。

PQC導入の優先度決定：X+Y>Z問題

ここまで見てきたように、PQCの導入は決して簡単なことではありません。そのため、全てのシステムを一斉に移行させるのではなく、優先順位をつけて計画的に進めることが重要です。

この優先度を判断するための考え方として、「X+Y>Z」という不等式が使われます。

• X：暗号化されたデータの寿命
• Y：従来の暗号からPQCへの移行にかかる期間
• Z：量子コンピュータが実用化され、暗号が解読されるまでの期間（CRQCの実現までの期間）

この式が成り立つ場合、 「データの寿命と移行期間の合計が、量子コンピュータが実用化されるまでの期間を上回る」 ことになり、データが将来的に解読されるリスクがあることを示しています。

この考え方に基づき、移行の緊急性を判断することができます。Xの値が非常に小さい（データの保護期間が短い、システム利用期間が短いなど）場合は、PQCへの移行の優先度は低いと判断できます。

もし、優先順位をつけずに闇雲に移行を進めてしまうと、不要なコストや労力がかかり、効率が非常に悪くなる可能性があります。

この考え方を踏まえ、ここからは実際に公開鍵暗号が使用されている3つの用途（署名、守秘、鍵共有）について整理します。

署名用途

公開鍵暗号を使った署名は、その目的によって3つに分類でき、それぞれX（暗号化されたデータの寿命)とY（従来の暗号からPQCへの移行にかかる期間）の値が大きく異なります。

• CAによる電子署名:
  Web通信などで、通信相手が本物であることを証明するために、アクセスするたびに署名が検証されます。この場合、署名の有効期間は非常に短いためX（データの寿命）は短くなります。また、認証局(CA)のアップデートや仕様変更は比較的頻繁に行われるため、Y(移行期間）も短いと判断できます。

• 送信者本人による電子署名:
  契約書や公的文書など、文書の作成者が本人であることを証明し、内容が改ざんされていないことを保証するために使われます。これらの文書は、法的な有効性を何十年も保つ必要があるため、X（データの寿命）は長くなります。また、こうした署名システムは簡単に変更できないため、Y（移行期間）も長くなります

• ソフトウェアの信頼性証明（コードサイン）:
  ソフトウェアが信頼できる開発元によって作成され、改ざんされていないことをユーザーに保証するために使われます。一度署名されたソフトウェアは、その製品の寿命が尽きるまで、あるいは何十年も後に再インストールされる際に検証される可能性があります。そのため、X（データの寿命）は長くなります。また、この種の署名システムは変更に時間がかかるため、Y（移行期間）も長くなります。

このように、同じ「署名用途」であっても、目的によってXとYの値は大きく異なるため、それぞれに特有の対策が必要です。

守秘用途

守秘用途で最も警戒すべきなのは、HNDL（Harvest Now, Decrypt Later）攻撃です。これは、 「今、暗号化されたデータを盗み出し、将来、量子コンピュータが実用化された時に解読する」 という手法です。

この攻撃では、 X（データの寿命）が長ければ長いほど、攻撃者はデータを盗んでから量子コンピュータの完成を待つ期間が長くなるため、攻撃されるリスクが高まります。

したがって、保護すべきデータの寿命を考慮し、CRQCが実用化される前にPQCを導入することが重要です。機密情報の保護期間に応じて、優先的に対策を進める必要があります。

鍵共有用途

鍵共有の用途も、守秘用途と同様にHNDL（Harvest Now, Decrypt Later）攻撃の脅威にさらされています。

さらに、守秘用途にはない特別な課題があります。従来の通信システムの多くは、Diffie-Hellman鍵交換によって実現される PFS（前方秘匿性） ^[1]を前提に設計されてきました。PFSとは、たとえ将来的に秘密鍵が漏洩しても、過去の通信内容が解読されないようにする仕組みです。

PQCに移行する際には、このPFSをどのようにして実現するかが新たな懸念点となります。単に暗号アルゴリズムを置き換えるだけではPFSが失われる可能性があるため、PQCでも同様の安全性を確保するための新しい鍵交換方法を考慮する必要があります。

ハイブリッド構成という現実解

前述の通り、PQCへの完全な移行には多くの課題があり、時間がかかります。また、標準化されたPQCアルゴリズムが限られているため、十分な安全性が確保できていない可能性も指摘されています。

このような移行期間の不確実性やリスクを乗り越えるための現実的な解決策として、現在の暗号技術（例：楕円曲線暗号）と新しいPQCアルゴリズム（例：ML-KEM）を組み合わせる 「ハイブリッド構成」 が注目されています。

ハイブリッド構成のメリット

• 安全性の最大化: 既存の暗号とPQCの両方を併用することで、未知の攻撃に対応する二重のセキュリティを確保できます。どちらか一方が破られても、もう一方が安全性を保つため、リスクを分散できます。
• 移行リスクの低減: PQCはまだ新しい技術であり、もし将来的に脆弱性が発見された場合でも、既存の暗号アルゴリズムがバックアップとして機能します。

ハイブリッド構成のデメリット

• 計算量とデータ転送量の増加: 鍵の生成や署名検証といった処理を二つのアルゴリズムで同時に行うため、単純に計算量が約2倍になり、処理速度が低下する可能性があります。また、鍵や署名のサイズも大きくなるため、データ転送量が増加し、特にネットワークの帯域幅が限られる環境ではボトルネックになることもあります。

• 実装の複雑化: 異なるアルゴリズムを一つのシステムに統合するため、実装が複雑になり、新たなバグや脆弱性が生じるリスクも伴います。

デメリットはあるものの、多くの国や組織ではハイブリッド構成を推奨しており、PQCへの円滑な移行を実現するための開発が進められています。

私たちのデジタル社会はどう変わるのか

現在のデジタル社会の安全を支える暗号システムは、量子コンピュータの登場によって根本から見直しが求められています。PQCへの移行は、単なる技術的な課題ではなく、戦略的かつ運用的な課題を多く含んでいます。

I. 現状の課題

1. 技術的な課題

1. 標準化されたPQCアルゴリズムが限られている
   NISTによって三つのPQCアルゴリズム(ML-KEM、ML-DSA、SLH-DSA)が標準化されましたが、公開鍵暗号に比べて選択肢が限られています。そのため、用途や環境に応じて最適な暗号アルゴリズムを選ぶという段階には至っていません。

2. PQCに対応したシステムの開発が不十分
   現状の通信プロトコルやデバイスは従来の暗号前提で設計されており、PQCを組み込むにはライブラリやハードウェアの更新など、大規模な改修が必要です。

2. 運用・管理上の課題

1. 移行の優先順位決め
   すべてのシステムやサービスを一度に移行することは不可能です。そのため、**X+Y>Z**のリスク評価に基づいて、移行の優先順位を決定する必要があります。
2. 移行ゴールの設定
   PQCへの移行が一時的な対策なのか、恒久的なものなのかといったゴールを明確に把握することが重要です。これにより、ハイブリッド方式をいつまで続けるのか、量子暗号などの次世代技術を視野に入れた戦略を立てるのかといった、長期的な計画を立てることができます。

II. 現在の進展と今後の展望

1. 標準化の進展

1. NISTによる標準化
   NISTは、鍵交換とデジタル署名という二つのカテゴリで、三つのPQCアルゴリズムを標準として選定しました。これにより、PQCへの世界的な移行に向けた共通の「設計図」が提供され、企業や開発者がスムーズに実装を進められるようになりました。
2. クラウドサービスプロバイダのPQC対応2
   AWSやGoogle Cloudといった主要なクラウドプロバイダは、NIST標準のPQCアルゴリズムを自社のサービス（TLSや鍵管理サービスなど）に組み込む実装を進めています。これにより、ユーザーは自社でPQCを実装する手間をかけることなく、量子耐性のあるサービスを利用できます。

2. 技術と戦略の進化

1. KMSとHSMのクラウド化3,4
   PQC対応の鍵管理は複雑ですが、クラウド上で提供されるPQC対応HSMにより、鍵の生成や管理を安全に簡単に行えるようになっています。これにより、専門知識がなくても安全にPQCを運用でき、移行の負担を大きく軽減できます。
2. クリプトグラフィック・アジリティ
   PQCへの移行は、暗号アルゴリズムや通信プロトコルを必要に応じて迅速に切り替える能力、すなわち クリプトグラフィック・アジリティ の重要性を示しました。既存システムの多くは柔軟性に欠け、移行の遅れにつながっています。この経験は、将来新しい暗号技術が登場した際にも同様の課題が起こり得ることを示しています。そのため、今後のシステム開発では、この柔軟性を前提に設計することが不可欠です。

III. PQC移行を成功させるために重要なこと

• 現実的な移行計画の策定
  すべてのシステムを一度に置き換えることは不可能です。そのため、システム間の依存関係を整理し、リスクや重要度に基づいて優先順位をつけたロードマップを作成することが不可欠です。
• 技術評価とリスク管理
  採用するPQCアルゴリズムの安全性評価や、ライブラリ・実装の品質を継続的に監視し、潜在的なリスクを管理していく必要があります。
• クリプトグラフィック・アジリティの確立
  暗号アルゴリズムを柔軟に切り替えられる体制を構築することで、将来の技術革新にも迅速に対応可能となります。これが、PQC移行を成功させる上で最も重要なポイントです。

量子コンピュータの登場により、従来の暗号技術が将来的に危殆化すると指摘される中で、PQCは量子コンピュータに耐性がある暗号技術として強い注目を浴びています。NIST標準化のML-KEMの具体的な仕組みについて知りたい方はこちらの記事もご覧ください。

参考文献：

1. https://www.cryptrec.go.jp/report/cryptrec-gl-2007-2024.pdf
2. https://jpn.nec.com/cybersecurity/intelligence/250319/index.html
3. https://cloud.google.com/blog/ja/products/identity-security/announcing-quantum-safe-digital-signatures-in-cloud-kms
4. https://cloud.google.com/kms/docs/hsm?hl=ja