IBMの研究者、NISTの耐量子標準の開発を支援へ

米国国立標準技術研究所(National Institute of Standards and Technology, NIST)は、量子コンピューティングの時代のサイバーセキュリティーに向けた耐量子暗号プロトコルの最初の標準を発表しました。

2016年に、世界中から69個の暗号方式が標準化候補として提出され、その後、NISTは3つの段階を経て候補リストを絞り込み、最終的に7つの候補を選出しました（４つの公開鍵暗号方式と、３つのデジタル署名方式）。

6年に渡る選定プロセスの末、IBMの研究チームは今回選択された4つの標準方式のうちの３つを、産業界・学術界の多くのパートナーとの協力を通じて開発しました。それには、主要な標準方式として選択されたCRYSTALS-Kyber公開鍵暗号と、CRYSTALS-Dilithiumデジタル署名アルゴリズムが含まれます。Falconデジタル署名アルゴリズムは、Dilithiumよりも短い鍵が必要な状況で利用される標準方式として選定されています。

Kyberは、「モジュール・ラティス上の誤差有り学習問題(Learning-with-error, LWE)の求解の困難性に安全性を基づく鍵カプセル化メカニズム（KEM）であり、CRYSTALS（Cryptographic Suite for Algebraic Lattices）アルゴリズム・スイートの一部です」¹

DilithiumもCRYSTALSアルゴリズムであり、「Kyberと同様に、モジュール・ラティス上のラティス問題の難しさに安全性を基づくデジタル署名方式です」 ²

Falconもまた、NTRUラティスにおいて短いベクトルを見つける難しさに基づくデジタル署名アルゴリズムです。DilithiumとFalconはどちらもラティス・ベースのデジタル署名アルゴリズムですが、それらの適用先は補完的です。Falconの方がより小さいパラメーターを有するのに対し、Dilithiumはより簡単な実装や配備が可能です。

量子コンピューティングは計算における次のステップであり、古典的なコンピューティング・リソースを拡張することで、私たちは困難で複雑な問題を解決できるようになると考えています。私たちはまだ量子テクノロジーの可能性を構築し探求している段階にありますが、その一方で、フォールト・トレラントな汎用量子コンピューターが登場すると、現在最も広く使用されている2つの暗号化方式が安全ではなくなることが既にわかっています。

このため、攻撃者がデータを今収集して後に解読する可能性があり、現在暗号化されている機密情報が危険に晒されます。

チューリッヒにあるIBMの研究所のセキュリティー研究チームは、長年にわたり耐量子暗号に取り組んできました。そして、私たちが学術パートナーや業界パートナーと共同開発した暗号方式がNISTによって認定されたことを嬉しく思います。

しかし、新しい耐量子技術の標準を作成するプロセスはまだ終わりではありません。NIST、提案に関与するチーム、および暗号コミュニティー全体は、今後数年で、選択されたアルゴリズムをさらに精査して改善し、標準化する予定です。

標準化された耐量子暗号が実現されたとしても、ベンダーやより広範な業界がその新しい標準方式を実装するまでにやるべきことはまだたくさんあります。 標準策定から実際に採用されるまでの長い道のりには、組織が既存のソフトウェア資産全体を精査し、暗号化がどのように使用されているかを特定し、そのリスクを定量化し、暗号化の俊敏性を高め耐量子ソリューションへ移行するための戦略を策定し実行していく、といった多くの課題が含まれています。このため、私たちはこの新しい時代に向けたお客様の変革を支援するためのIBM耐量子サービス「IBM Quantum Safe」も確立しました。

IBMは長年にわたり、耐量子暗号を開発するだけでなく量子コンピューター自体も共同開発することで世界的に重要な役割を果たしてきました。そのため、IBMは世界が量子計算の成熟に対応できるようにすることに特に関心を持っています。（参考：IBM Quantum Computing）

インターネット通信を保護するために現在使用されている多くの暗号化は、1970年代に作成された暗号プリミティブに端を発しています。 その暗号プリミティブは、大きな数の素因数分解など、数学的問題に依存しています。この計算は、順方向には非常に実行しやすいものですが、逆方向には極めて難しいものです。

例えば、2つの素数がある場合、その積を計算するのは簡単です。しかし、その積自体から始めて、2つの元の素数を求めることは容易ではありません。特に素数が大きくなった場合、この計算は最速の古典的なコンピューターでも解けなくなります。

しかし、量子コンピューターの場合、素因数分解はShorのアルゴリズムを使えば理論的には数時間以内で解けます。 そのため、素因数分解の難しさに安全性を基づくRSAのようなプロトコルは、量子コンピューターがその潜在能力を最大限に発揮できる未来において、不十分な暗号方式となります。

同様のことが、楕円曲線暗号など、離散対数問題の難しさに基づく他の一般的な暗号方式にも当てはまります。 そのような暗号方式はすべて、フォールト・トレラント量子コンピューターに対しては脆弱です。 つまり、セキュア Web サイトでプライベート・データ（パスワードやクレジット・カード詳細など）を保護する Transport Layer Security（TLS）などのインターネット・セキュリティー・プロトコルは、量子時代にはもはや目的を果たさず、データはサイバー攻撃にさらされることになります。

研究者たちは、耐量子暗号プリミティブを探求するなかで、新たな脅威を回避するためにさまざまな技術を用いてきました。 私たちのチームは主にラティス・ベースの暗号化に焦点を当てています。これは、1990年代に2つの独創性に富んだ論文に掲載されたアプローチです。1 つは、ブラウン大学の1996年の論文「NTRU：A ring-based public key cryptosystem」[PDF]（ジェフリー・ホフシュタイン（Jeffrey Hoffstein）、ジル・ピファー（Jill Pipher）、ジョセフ・シルバーマン（Joseph Silverman）共著）です。この論文では、NTRUと呼ばれる新しい効率的な暗号システムが記述されています（1998年に「Lecture Notes in Computer Science」書籍シリーズの一部として発行されました）。³

さらに、IBMの科学者であるミクローシュ・アイタイ（Miklos Ajtai）の論文「Generating Hard Instances of Lattice Problems」⁴ では、ラティス・ベースの暗号システムを破ることが、少なくとも漸近的には、おそらく困難であることを示す理論的な結果が証明されました。 26年後、これら2つの論文は、「NIST: CRYSTALS-Kyber and CRYSTALS-Dilithium」で選ばれた私たちの方式の基礎を形成しています。

ほぼ間違いなく、ラティス暗号は耐量子暗号プロトコルにおいて最も広く研究されている分野となりました。 これは、すべての暗号方式の具体的なセキュリティーに対する信頼性が、その構成を見ている人の数によって判断されるためです。 この広範な公開調査により、このようなプリミティブの長期的なセキュリティーに対する信頼が得られます。

しかし、耐量子なラティス暗号の研究は、暗号方式やデジタル署名だけにとどまりません。 研究者は、同一の困難さの仮定に基づいて様々な高機能な暗号の実現にも取り組んでおり、例えば、完全準同型性暗号(FHE）を用いて暗号化されたデータを暗号化したまま計算可能にしたり、耐量子なゼロ・トラスト環境向けの重要な機能を提供しています。

近い将来、ラティス・ベースの暗号化が、暗号化とプライバシーの中心的なツールになることを私たちは期待しています。しかし、耐量子暗号の標準が整備されたとしても、組織は耐量子の未来に向けて素早く行動しなければなりません。 今年1月に米国で大統領令が発令されたことからもわかるように、世界はこの変革の緊急性をより強く認識するようになってきています。この大統領令では、連邦機関に対して、来るべき量子時代に向けたサイバー対策の見直しを命じています。 また、G7では、新しい耐量子暗号標準を含む新しいテクノロジーについても協力していくことで合意がなされました。

耐量子暗号が大規模に採用されるまで数十年はかかると思われますが、一部のラティス・ベースの方式は、IBMなどが提供するさまざまな製品やサービスで市場に投入されています。最新の例は業界初の耐量子システムであるIBM z16です。このシステムでは、鍵カプセル化機能とデジタル署名機能の基盤としてCRYSTALS-KyberとCRYSTALS-Dillitiumが採用されています。

耐量子暗号を使用しているのはIBM z16のみではありません。Cloudflareは、他の耐量子アルゴリズムとともにKyberをCIRCL（Cloudflare Interoperable, Reusable Cryptographic Library）に統合しました。Amazonは、現在、AWS Key Management Serviceで、Kyberを含むハイブリッド・モードをサポートしています。IBMは、2019年に、KyberとDilithiumを使用した世界初の耐量子コンピューティング・テープ・ドライブを発表しました。 また、Kyberは2020年以降、IBM Key Protect（IBMのパブリッククラウド鍵管理サービス）でもハイブリッド・モードで使用されています。

耐量子の未来に向かうための最初のステップは、教育です。耐量子暗号を理解し、自分の組織にとってどのような関わりがあるのかを理解することです。これは複雑で長いプロセスになる可能性があります。そのため、私たちはIBM耐量子サービス「IBM Quantum Safe」を確立しました。これにより、認識、ガイダンス、最終的にはリスク評価を支援し、組織が将来にわたってシステムとデータを十分に保護する方法を決定できるようにしました。私たちは世界で最も才能のある量子物理学者と暗号専門家を採用しており、データ暗号化を将来も安全に使い続けることを望む組織に対して固有の価値を提供できます。

1. 「Crystals」 Kyber, https://pq-crystals.org/kyber/
2. 「Crystals」 Dilithium, https://pq-crystals.org/dilithium/index.shtml.↩
3. ホフシュタイン, J.（Hoffstein, J.）、 ピファー, J.（Pipher, J.）、 シルバーマン, J.H.（Silverman, J.H.）（1998）。 NTRU: A ring-based public key cryptosystem。 In: Buhler、J.P.（編）「Algorithmic Number Theory」。 ANTS 1998。 Lecture Notes in Computer Science, vol 1423. ハイデルベルク・ベルリン・シュプリンガー https://link.springer.com/chapter/10.1007/BFb0054868
4. M. Ajtai, Generating Hard Instances of Lattice Problems, Proceedings of the 28th Annual ACM Symposium on Theory of Computing, 1996, or Electronic Colloquium on Computational Complexity, 1996, 

本記事は「IBM scientists help develop NIST’s quantum-safe standards」を抄訳し、日本向けに加筆したものです。