おはようございます、GMOコネクトでCTOしている菅野(かんの)こと、さとかん でございます。
いかがお過ごしでしょうか?
空の上からのこの記事を書いたのですが、翌日の朝になってしまいました泣
DEF CON 33 Quantum Village の講演で、"Post-Quantum Panic: When Will the Cracking Begin, & Can We Detect it?"(Konstantinos Karagiannis)という発表があったという情報をキャッチしたので、解説をしてみようと頑張ってみました。
なお、動画は公式チャンネル・登壇者告知から確認できますよ!(YouTube & 発表資料)
TL;DR
- 「2030年確定」という表現は誇張。米国政府のOMB M-23-02が示す"2030/2035"は移行施策の期限設定であり、量子計算機が暗号を解読可能になる時期を断定したものではない。(The White House)
- RSA-2048解読に必要な資源見積もりは縮小傾向にある(2019→2025)。ただし物理量子ビット(以下、物理Qbit)の誤り率やサイクル時間といった前提条件を踏まえた理解が必要。(Quantum Journal)
- IBMの"Starling"(2029年目標) は、200論理量子ビット(以下、論理Qbit)、1億量子ゲート級の性能を目指す技術ロードマップ上の計画である。暗号の実用的解読を保証する発表ではない。(ibm.com)
- ビットコインで最初に狙われるのは公開鍵が露出したUTXO。古いP2PKやアドレス再利用によって公開鍵が既知になっている出力が攻撃対象となる。ネットワーク全体が一瞬で崩壊するという断定は行き過ぎた表現なんじゃないか説。(en.bitcoin.it)
- AES-128を全面的に否定する主張は不正確。NIST公式FAQは「AES-128は今後数十年にわたり安全性を維持し得る」と明示している。用途や保存期間を考慮した評価が適切。(NIST Computer Security Resource Center)
Youtubeで公開されていた講演の要旨と背景解説
講演内容
量子計算による暗号解読(Q-day)の到来時期が、従来の見積もりより早まる可能性があるという警鐘を鳴らす内容だった。政策文書に記載された"2035年"という目標年を、安全が保証される期限だと誤解してはならないというトーンで語られている。(YouTube)
1) 「2035年では間に合わない可能性」
米国政府のOMB M-23-02は、暗号資産の棚卸し・移行計画策定・年次報告を2035年までに完了するよう求める運用メモなんですね。これは管理上のマイルストーンであり、量子コンピュータの能力到達時期を予測したものではないです。(The White House)
ベンダーの技術計画としては、IBM Starling(2029年) が200論理Q、1億ゲート級の性能目標として公表されている。ただしこれは技術目標であって、暗号解読の実現を約束するものではない点に注意したい。(ibm.com)
2) 「必要資源の大幅縮小」
2019年と2021年に発表されたGidney/Ekerå論文では、RSA-2048を8時間で解読するには約2,000万物理Qが必要と見積もられていた。この計算は、物理誤り率10⁻³、サーフェスコードのサイクル時間1µsといった前提に基づくものです。(arXiv)
なお、2025年には同じ前提条件のもと、100万物理Qbit未満で1週間以内、論理Qは1,600未満へと更新された。この縮小は、量子アルゴリズムの最適化と誤り訂正技術の改良が積み重なった結果と言えます。(arXiv)
3) 「ブロックチェーンの脆弱性」
ShorのアルゴリズムはECDSA/secp256k1の解読に有効なのです。最初に危険にさらされるのは、公開鍵が既に露出しているUTXOとなる。具体的には古いP2PK形式や、アドレスを繰り返し使用しているケースが該当します。(en.bitcoin.it)
4) 「検知の可能性とクラウドのジレンマ」
量子計算特有の回路パターンを検知できるのではないかという議論がある一方、AWSは顧客コンテンツの非閲覧を原則としている。ただしサービス維持・法令順守・乱用防止の範囲では例外的なアクセスが認められている。「一切見ない=完全に無力」という単純化は正確ではない。(Amazon Web Services, Inc.)
5) 「暗号(AES-128)の扱い」
Groverのアルゴリズムによる"平方根高速化"は教科書的な事実として知られている。しかしNIST公式FAQでは「AES-128は今後数十年にわたり安全性を維持し得る」との見解が示されている。即座に全面的なAES-256化が必要という主張は一般論として適切ではない。(NIST Computer Security Resource Center)
気になるところを要チェック!
動画を確認して気になったところを、著者のさとかんが「これって言い過ぎなんじゃないかしら?」を指摘していきます。
A) 「Q-dayは2030年に迫っている」
誇張されている点:2030年が確定的な到来年として断定されている印象を与えてしまっているところ
現状の事実:OMB M-23-02が設定する"2030/2035年"は、暗号移行作業の完了期限を定めた政策上の締め切りなんす。量子計算機が実際に暗号解読が可能になる時期を宣言したものではない。政策スケジュール(いつまでに備えるか)と技術予測(いつ実現するか)は区別して理解する必要があるのです。(The White House)
補足:IBM Starlingの2029年目標は、200論理Qbit、1億ゲート級という性能指標の達成を目指すもので、これを暗号の実用的解読が可能になる時期と直結させるのは早計なんじゃないかなーと思うのです。(ibm.com)
B) 「必要資源は"6,000→1,399論理Qbit"へ激減」
どこまで正確か:資源見積もりの縮小自体は事実だが、物理誤り率10⁻³、1µsサイクル時間といった前提条件を含めた範囲で理解すべき数字なんす。
現状の事実:
- 2019/2021年:RSA-2048を8時間で解読するには約2,000万物理Qbitが必要(Gidney/Ekerå)。(arXiv)
- 2025年:同じ前提条件で100万物理Qbit未満・1週間以内、論理Qbitは1,600未満へ更新。論文には"fewer than 1600 logical qubits"と明記されている。(arXiv)
C) 「ビットコインは"1,754論理Qbit"で壊滅」
誇張されている点:単一の量子ビット数でビットコイン全体が即座に無価値化するという断定しちゃってるところ
現状の事実:楕円曲線離散対数問題(DLP)の資源推定には幅がある。代表的なRoetteler 2017等の研究では、P-256級の解読に数千論理Qbit規模が必要と見積もられている。"1,754で確定"という事実は知っている範囲では存在しないはず。またまず危険にさらされるのは公開鍵が露出したUTXOという点は広く共有されている認識なのです。(arXiv)
D) 「量子攻撃は検知できるが、AWSは"見ない"ため無力」
誇張されている点:契約上、AWSは一切何もできないという含意なのかな?と。そもそも、AWSの話題が出てきたのかがイマイチ理解しにくい...。CRQCを使って鍵を解読しようとしている人はオンプレからCRQCを呼び出したりするのでは?と思ってみたり。
現状の事実:AWSは顧客コンテンツの非閲覧を原則としているものの、サービス提供・法令順守・乱用防止を目的とした場合には、アクセスや処理の例外措置が明記されている。「見ない=無力」という単純化は誤りだ。ただしShorアルゴリズム検知を約束しているわけではない点は留意が必要と思われます。(Amazon Web Services, Inc.)
E) 「AES-128は既に安全ではない。AES-256への即時移行が必須」
誇張されている点:AES-128を全面的に否定する主張してしまっている点
現状の事実:NIST公式FAQは「Groverのアルゴリズムによる実利的な影響は限定的であり、AES-128は今後数十年にわたり安全性を維持し得る」と明示している。長期保存データや高度な機密性を要する用途ではAES-256が妥当だが、ユースケースごとの評価が本来の筋道と言えますね!(NIST Computer Security Resource Center)
参考資料
- 講演動画:DEF CON 33 – Post-Quantum Panic(YouTube)(YouTube)
- 講演資料:DEF CON 33 – Post-Quantum Panic(YouTube)(発表資料)
- 政策文書:OMB M-23-02 "Migrating to Post-Quantum Cryptography" (The White House)
- RSA解読に関するリソース見積もり:Gidney & Ekerå 2019/2021(8時間・約2,000万物理Qbit) / Gidney 2025(100万物理Qbit未満・1週間以内、論理Qbit 1,600未満)(Quantum Journal)
- IBMロードマップ:Starling(200論理Qbit・1億ゲート目標、2029年)(ibm.com)
- ECC解読に関するリソース見積もり:Roetteler et al., 2017(arXiv)
- ビットコインの公開鍵露出リスク(Quantum/Address reuse)(en.bitcoin.it)
- AWSデータプライバシー方針(顧客コンテンツ非閲覧が原則・例外規定あり)(Amazon Web Services, Inc.)
- NIST PQC FAQ(AES-128は"今後数十年安全性を維持し得る")(NIST Computer Security Resource Center)
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。
一緒に働きたい人も気軽にコンタクトを取ってください!
お問合せ: https://gmo-connect.jp/contactus/
Change Logs
- 発表資料があるよ!というDMをもらったので加筆しました(2025年10月27日)