ソフトバンクとSandboxAQによるPQCハイブリット暗号実証

本記事のポイント

・PQC（Post Quantum Cryptography）と従来暗号を組み合わせたハイブリッド暗号方式の実証実験の結果を公開

・遅延や同時接続数など、PQCを導入することで通信に生じる影響を解説

・標準化されたPQCアルゴリズムについて、他のアルゴリズムよりも通信への影響が小さいことを確認

1. 量子コンピューター実用化に向けて：ソフトバンクとSandboxAQの挑戦

近い将来、従来の暗号化技術では太刀打ちできない、強力な計算能力を持つ量子コンピューターの登場が予想されています。量子コンピューターの実用化は、私たちの生活に革新をもたらす一方で、サイバーセキュリティの分野では、現在広く利用されているRSA暗号や楕円曲線暗号（ECC：Elliptic Curve Cryptography）が簡単に破られてしまう可能性を秘めています。

このような時代背景の中、ソフトバンクは2022年度に、SandboxAQと共同で、量子コンピューター時代でも安全性を確保できる「耐量子計算機暗号（PQC：Post Quantum Cryptography）」の実用化に向けた検証を行い、その有効性を証明しました。

関連プレスリリース：耐量子計算機暗号アルゴリズムの実用性を確認（2023年2月）

関連記事：ソフトバンクのPQC ～量子コンピューターの到来に備えて～（2024年4月）

今回、米国国立標準技術研究所（NIST：National Institute of Standards and Technology）にて一部のPQCアルゴリズムの標準化が完了したことを受け、これまで公開していなかった実証実験の結果をホワイトペーパーにて公開します。

ホワイトペーパーは以下URLよりダウンロードいただけます。

https://www.softbank.jp/corp/technology/research/news/076/

本記事では、ホワイトペーパーの内容を抜粋しつつ、PQCの必要性とその課題、実証実験により得られた知見を解説しています。

2. 量子コンピューターによる暗号解読の脅威

量子コンピューターは、従来のコンピューターが解けない数学的問題に対して驚異的な能力を持っています。そのため、量子コンピューターは現在広く使われている暗号方式に対して重大な脅威をもたらします。ここでは、そのメカニズムと影響について説明します。

まず、従来のコンピューターは「ビット」を使って情報を処理します。ビットは0か1のいずれかの値を取るのに対し、量子コンピューターは「量子ビット（キュービット）」を使います。量子ビットは0と1を同時に持つことができ、これを「重ね合わせ」と呼びます。この「重ね合わせ」の状態を活用して、複数の計算を一度に行うことが可能になります。

RSAやECCは、素因数分解や離散対数問題の数学的な困難さに基づいています。これらの暗号方式は、従来のコンピューターでは解読するのに非常に時間のかかる問題として安定性が担保されてきました。しかし、量子コンピューターはShor（ショア）のアルゴリズムを使って、これらの問題を劇的に速く解くことができます。Shorのアルゴリズムは、因数分解や離散対数を効率的に処理する量子アルゴリズムであり、これによってRSAやECCの暗号化が破られる可能性があります。

これに対処するため、研究者たちはPQCの開発を進めています。PQCは、量子コンピューターによる攻撃に耐えるように設計された新しい暗号方式です。これには、格子に基づく暗号方式やコードベースの暗号方式などが含まれます。これらの新しいアルゴリズムは、量子コンピューターが簡単に解くことができない数学的問題に依存しています。

米国国立標準技術研究所（NIST：National Institute of Standards and Technology）は、量子コンピューターによる解読に対抗するために、PQCアルゴリズムの標準化を進めてきました。2024年に3つのPQCアルゴリズムが標準化されました。それぞれ、鍵交換アルゴリズム1つとデジタル署名アルゴリズム2つです。

表1. NISTにより標準化されたアルゴリズム

3. 実用化への課題を克服する「ハイブリッド暗号方式」

PQCは、量子コンピューターでも解読が困難な次世代の暗号化技術として期待されていますが、既存システムとの互換性や未発見の脆弱性が存在するリスクなど、実用化にはいくつかの課題が存在します。

これらの課題を解決するために「ハイブリッド暗号方式」が採用されています。ハイブリッド暗号方式とは、従来の暗号方式とPQCを組み合わせることで、現行システムとの互換性を保ちつつ、量子コンピューター時代にも対応できる安全性を確保する手法です。

一方で、ハイブリッド暗号方式を利用する際は従来の暗号方式とPQCの両方を処理する必要があるため、通信サイズや計算コストの増加が懸念されます。システムの移行の際には、安全性の観点だけでなく利用環境での通信への影響を見積もることが重要です。

4. 実証実験：ユーザー体験を損なわない、安全な通信を実現

ソフトバンクとSandboxAQは、2022年にハイブリッド暗号方式の有効性を検証するために、現実のネットワーク環境を想定した実証実験を行いました。実証実験では、様々なネットワークを経由してPQCと従来暗号のハイブリッド方式での鍵交換やデジタル署名を行い、ネットワークへの影響を調査しています。

実証実験では、従来暗号に楕円曲線暗号を、PQCに表2記載の複数の数学問題をベースとしたアルゴリズムを採用して検証を行いました。検証を行った2022年時点で標準化プロセスの第3ラウンドに残っていたアルゴリズムを中心に選定しています。

表2. 実証実験に用いたアルゴリズム

実証実験の環境と評価指標

この実証実験では、ビデオストリーミング、オンラインゲーム、VPN接続など、ユーザーが日々利用するオンラインサービスを想定した環境が構築されました。

性能評価は、ユーザー体験に直接影響を与える以下の指標に焦点を当てて行われました。

・通信速度: 暗号化が通信速度に与える影響を測定

・デバイス負荷: スマートフォン、サーバーなどの端末への負荷を評価

・安定性: 通信の安定性、接続の途切れやすさを検証

・リソース使用量: 暗号化がデバイスのメモリやCPU使用率に与える影響を測定

実証実験の結果：ML-KEMとML-DSAの高いパフォーマンス

実証実験の結果、ハイブリッド暗号方式、特に格子暗号に基づくアルゴリズムであるML-KEMとML-DSAは、従来の暗号方式と比較しても遜色ない速度と安定性を持ち、ユーザー体験に影響を与えることなく、安全な通信を実現できることが実証されました。

例えば、通信速度の指標となる遅延において、ML-KEMとML-DSAを用いたハイブリッド暗号方式は、従来の暗号方式とほぼ同等の数値を示しました。これは、ユーザーが暗号化による速度低下を意識することなく、快適にオンラインサービスを利用できることを意味します。

遅延と接続成功率の分析

格子暗号と符号暗号は、オンプレミスWiFi、5G、LTE、スマートVPNなどのすべてのネットワークシナリオにおいて従来のECC暗号とほぼ同等のレスポンス時間を示しました。これにより、PQCによる遅延の増加が最小限であることが明らかになりました。この結果は、これらのPQCが現行のネットワーク環境で実用的であることを示しています。

接続成功率に関しても、格子暗号と符号暗号は、サーバーやネットワークの制限（1秒あたり約500接続）に達するまで、一貫して100%の接続成功率を維持し続けました。これは、これらのPQCが高い接続率を問題なく処理できる能力を示唆しています。さらに、ストレステストの結果から、接続の完了数がサーバーの制限に依存しており、PQC自体がボトルネックになることはないと考えられます。

CPUおよびメモリの使用状況とストレステスト

CPUとメモリの使用状況の分析では、同種写像方式が非常に高いCPU使用率を示した一方、格子暗号と符号暗号は従来のアルゴリズムと同等のCPU使用率を示しました。特に格子暗号に関しては、メモリ使用量も合理的であり、リソースの効率的な利用が確認されました。これにより、これらのPQCアルゴリズムが実際の運用環境でも十分に実用的であることが示されました。

ストレステストの結果によれば、PQCはサーバーのキャパシティに対してボトルネックとはならず、接続の失敗は主にネットワーキングの制約によるものであることが明らかになりました。これは、格子暗号とコードベースのアルゴリズムが大きな負荷にも耐えうることを示しています。

デジタル署名の通信サイズ

PQCを用いたデジタル署名に関しては、遅延への影響が最小限である一方、通信サイズが大きくなる点が課題です。署名アルゴリズムのパフォーマンス分析では、従来の署名アルゴリズムとPQCアルゴリズムがいずれも遅延を20ミリ秒以下に抑えており、PQC署名による遅延オーバーヘッドはほとんどないことが示唆されました。しかし、通信サイズはPQC署名の方が大きく、例えばML-DSAは26586バイトであるのに対して、ECDSAはわずか2004バイトです。実装においては、この通信サイズの違いがハンドシェイク遅延に与える影響も慎重に検討する必要があります。

これらの結果から、ハイブリッド暗号方式は現在および将来のセキュリティ要求に対する実用的なソリューションとして機能することが示されました。

5. 量子コンピューター時代への備え

ソフトバンクとSandboxAQの実証実験は、ハイブリッド暗号方式が企業にとって量子コンピューター時代に備えるための現実的かつ効果的なソリューションであることを明確に示しました。ハイブリッド暗号方式は、現代のサイバー脅威に対抗し、量子コンピューティングの進展に備えて組織の機密情報を守るための強力な手段です。

しかし、これらの技術を導入する際には、署名アルゴリズムの通信サイズやアルゴリズムによる性能のCPU負荷など、使用にあたっての要件を満たすアルゴリズムであるかを注意深く選定・検証する必要があります。今回の検証は、ハイブリッド暗号方式の実用性だけでなく、各アルゴリズムの差分や課題も明らかにしました。これにより、企業はどのアルゴリズムが自社のニーズに最も適しているかを判断するための重要な情報を得ることができます。

ハイブリッド暗号方式を実世界のアプリケーションに導入するには段階的な実装が必要です。これには、暗号システムの全面的な確認と文書化、セキュリティとコンプライアンスの要件の明確化、そしてクリプトアジリティの文化を浸透させることが含まれます。組織は量子安全な暗号ソリューションの優先事項を明確にし、柔軟なインフラを構築することで、新しい暗号方式をスムーズに統合することができます。

ホワイトペーパーでは、本実証実験のより詳細な結果とともに、早期移行に向けたアクションについて公開しています。
ぜひご一読ください。