量子時代の暗号化:企業はどう備えるべきか

データ暗号化に対する取り組み方は、量子コンピューターによって変わろうとしています。それがいつなのかはまだ不明ですが、企業が準備を始めるべき時期は、今です。

量子コンピューターが実験環境を出て現実世界に入ってきたら、その有用性は間違いなく大いに証明されるはずです。普通のコンピューターに取って代わることはないでしょう。しかし、最適化や大量データ処理の形に単純化できるタスクに関しては、従来のコンピューターは量子コンピューターの足元にも及びません。この革命は、新薬の探究や高度な航空機の開発の範疇にとどまらず、暗号のクラッキングにも及びます。このようなハッキングが実現可能となるには5年あるいは25年かかるかもしれませんが、それまでもその先も保護が必要な暗号化済みデータは今、世界中に存在します。したがって、大企業や政府機関は、量子の未来に向けて今すぐ準備を始める必要があります。

これを阻む主な障壁は、明確な標準の欠如です。世界的な暗号研究者コミュニティは、量子攻撃への耐性が期待できるアルゴリズムを、すでにいくつか開発しています。しかし、これらは複数段階にわたるテストや検証をパスしなければなりません。こうしたアルゴリズムは、量子攻撃だけでなく、従来のさまざまな攻撃に対しても明確な耐性を有する必要があるのです。IoTデバイスのような演算能力の限られるデバイスでも使用できるように、処理速度とリソース効率性を極める必要があり、鍵長などのパラメーターについては信頼性とパフォーマンスの最適なバランスが求められます。

話はここにとどまりません。こうしたアルゴリズムにはTLSなど既存の通信規格を統合する必要があり、古い暗号と新しい暗号を共存させるためのルールの確立も必要です。このような作業に年月を要することは明白です。その間、アプリやプラットフォームの開発会社、自動運転車のメーカー、そして重要データの管理者は何をすべきでしょうか?

RSAC-2020で開催された暗号エキスパートのラウンドテーブルは、「クリプトアジリティ」の中に解を見出しています。平たく言うと、いま現在データの暗号化システムまたはハッシュ化システムの開発やサポートに携わっているならば厳しい制限を設けないようにせよ、ということです。使用中のアルゴリズムはアップデート可能に、鍵やバッファーのサイズは惜しみなく調整できるように——要するに、システムに成長の余地を十分に持たせるのです。このアプローチは、実装に長期間を要し近代化に何十年とかかる組み込みソリューションやIoTソリューションの場合、特に重要です。新しいシステムを購入するのであれば、開発元にクリプトアジリティについて確認しましょう。

暗号の存続期間:アルゴリズム強度の変遷

暗号の存続期間:アルゴリズム強度の変遷。出典

クリプトアジリティが考慮されていないと、時代遅れとなった暗号化アルゴリズムを新しいアルゴリズムに根こそぎ移し替える段になって、大いに苦しむことになります。Microsoftのブライアン・ラマッキア(Brian LaMacchia)氏が、分かりやすい例を挙げています。MD5ハッシュがクラッキング可能であること、そしてデジタル署名の生成にふさわしくないことが明らかになったとき、MicrosoftはMD5の利用停止を決断しました。長期にわたる監査の結果、同社の製品には約50バージョンにも及ぶMD5ハッシュが含まれており、それぞれ個別に削除しなければならないことが判明しました。作業の完了には約2年を要しました。

従来のアルゴリズムを量子耐性のあるアルゴリズムに置き換える際に生じる可能性のある問題として、より深刻なのは、鍵を格納するためのメモリが不足する問題です。たとえば、どこかの時点でシステム開発者が、何らかの暗号化アルゴリズムの鍵を保管するのに4096ビットのバッファーがあれば十分だとの判断を下したとしましょう。そうなると、ポスト量子暗号を実装するとき、深刻な問題に直面します——そのシステムが新アルゴリズムの追加に対応していたとしても。

自社システムのクリプトアジリティを確認するには、公式なポスト量子暗号化標準の座を争っているアルゴリズムに基づいた暗号化ソリューションの導入を検討してください。多数の有望なアルゴリズムやプロトコルが、すでにOpen Quantum Safeプロジェクトを通じて入手可能となっています(リンク先は英語)。このWebサイトでは、アルゴリズム自体のソースコードに加え、OpenSSLやMicrosoft開発のポスト量子版OpenVPNなど有名なソフトウェア製品の既製ビルドも提供されています。

ヒント