米Google「量子超越性」実証の衝撃
米Googleは10月23日、同社研究チームの開発する量子コンピューターによって、「量子超越性(Quantum Supremacy)」を実証したと発表した。『Narure』誌に掲載された論文によれば、その53量子ビット(qubit)の処理能力を誇る量子コンピューターは、最先端のスーパーコンピューターで約1万年かかる計算を、わずか200秒でやってのけるという。その差は約16億倍だ。
この偉業は、物理学及び計算機科学の歴史にとって非常に大きな一歩である一方で、暗号技術に関わる様々な領域にとって大きな混乱を招くものであった。我々の生活に身近なところでは、近年、単なるHTTP通信から置き換えが進むHTTPS(Web上でのセキュアな通信を提供するプロトコル)の利用する暗号技術が、10年そこそこで破られるのではないかという懸念が噴出した。要するに、量子コンピューターが実用化されてしまえば、我々の個人情報など全て筒抜けになってしまうのではないか、ということだ。
しかし、プライバシーの危機というあまりに重大な問題を差し置くほどに、衆目を集めた混乱があった。それは、暗号資産市場の大暴落である。Googleの発表があった日、早朝時点で$8000近くの値を付けていたBitcoinだが、正午付近から一気に下がり、$7500を下回るほどの値動きを見せた。
この大暴落の原因は、実のところはっきりとしたことはわかっておらず、中国やLibraといったいくつかのトピックの動向の影響も数多く指摘されているため、「量子超越性」と大暴落とを、すぐさま結びつけるわけにはいかない。しかし、このタイミングでの値下がりが、人々に「ブロックチェーン」と「量子コンピューター」との敵対関係を意識させたことは間違いない。そして、この敵対関係の中核には、やはり暗号技術と計算機科学とのせめぎあいがある。本稿では、この係争を掘り下げながら、暗号資産・ブロックチェーンの行く末を考える。
暗号資産に用いられる暗号技術
暗号資産は、その名が示す通り、きわめて高度な暗号技術によって支えられている。その詳説は本稿の関心ではないため割愛する^1が、必要な部分だけ掻い摘んで紹介しよう。
量子コンピューターとの関係において、重要なのは「公開鍵暗号方式」と「共通鍵暗号方式」というキーワードである。
まず、共通鍵暗号方式である。例えば、アリスがボブに、他の人には秘密のメッセージを送信したいという場合を考えよう。一番簡単なのは、アリスとボブが事前に内緒で話し合って決めた規則で、メッセージ(平文)を暗号化するという方法だ。アリスとボブは、メッセージを送るより前から「平文の全ての数字に3を足す」と決めておく。アリスが書いた平文が「12日の3時45分に集合」であったとしたら、これを「45日の6時78分に集合」と暗号化するのだ。これを受け取ったボブは反対に「暗号文の全ての数字から3を引く」という規則で、暗号文を解読(=復号化)する。この時、アリスとボブが暗号化と復号化に使った「数字の足し引き」という操作が暗号方式の「アルゴリズム」であり、「3」という数字が「鍵」である。共通鍵暗号方式の場合、暗号化と復号化で使う「鍵」が共通であるため、この鍵は「共通鍵」と呼ばれる。
ただ、この例の場合、アルゴリズムがあまりにも単純であるため、第三者は容易に暗号文を復号化できてしまう。また、鍵を厳重に保管していたとしても、アルゴリズムさえわかってしまえば解けてしまうような暗号では安全性は低い。そのため、現代の共通鍵暗号方式においてはアルゴリズムを公開しても、共通鍵さえ秘匿できていれば安全とされる数学的な暗号が用いられる。
しかしながら、この「共通鍵さえ」という点が難しいのだ。共通鍵暗号方式においては、メッセージのやり取りに参加する全員が、たった一つの鍵に依存している。そのため、一人が鍵を漏洩させてしまえば、全員のメッセージが筒抜けになってしまうのである。ブロックチェーンにおいて、これはあまり好ましい状況とは言えない。Bitcoinは自らの責任で自らの資産を所有することに「美」が認められているのであって、誰かのミスが自分に降りかかってくるような仕組みは基本的に避けるべきもの、「醜」として扱われる。Bitcoin以外の暗号資産も大体このような考えを受け継ぐものである。
というわけから、暗号資産のブロックチェーンが採用するのは、「公開鍵暗号方式」である。必要な鍵は2つ。一つは暗号化に使う「公開鍵」、もう一つは復号化に使う「秘密鍵」である。アリスがボブにメッセージを送りたい場合に、まずボブが公開鍵と秘密鍵のペアを作成し、公開鍵をアリスに渡す。次に、アリスはこの公開鍵で平文を暗号化し、ボブに送信する。そして、暗号文を受け取ったボブは、先ほど作った秘密鍵で暗号文を復号化し、無事やり取りは終了になる。
このとき、仮に第三者が公開鍵を手に入れたとしても、セキュリティ上問題にならないようなアルゴリズムが採用されなければならない^2。暗号資産は、この公開鍵暗号方式によって、ただのデータに過ぎない数字に電子署名を付与し、個人に所有権を付与するのである。そのため、公開鍵暗号技術は、暗号資産にとってその中核であり、絶対に破られてはならないのである。
Bitcoinの場合、この公開鍵暗号にECDSA(楕円曲線DSA)を採用し、また公開鍵暗号以外にも、SHA-256やRIPEMD-160と呼ばれる「暗号学的ハッシュ関数」を採用している。暗号学的ハッシュ関数とは、任意の長さの文字列を入力すると一定のサイズのランダムな数値を出力する関数のことで、出力された数字から入力された数字を導くことが極めて困難という特徴をもっている。
いずれの暗号方式も、基本的にはある範囲の値を総当たりで調べるしかなく、その範囲の設定によって、現代のコンピューターの処理能力と可用性とのバランスを取っているのが現状である。ひとまず、現時点でECDSAやSHA-256、RIPEMD-160といった暗号への総当たり戦において、一人勝ちできるようなコンピューターは存在していない。もし、このバランスが崩れるようなコンピューターや、一定の処理能力以上のコンピューターを統括するプレイヤーが現れた場合、Bitcoinにおけるブロックの連鎖の行く末は、その巨人によって掌握され、「非中央集権」という理想は砕け散る。それだけではない。国家が中央銀行をコントロールできるようには、その巨人を抑制できる制度を我々は未だ整備するに至っていない。そのため、この巨人が現実のものとなった時には、人々から容易く通貨としてのデータが根こそぎ奪われる危険があるのである。
IBMの反論
とはいえ、目下、このような巨人による収奪事件が発生する気配はない。なぜなら、Googleが量子超越性を実証したところで、Googleの53量子ビットのマシンは、ECDSAもSHA-256も突破するようには作られていないし、そのようなことは現時点の技術力では不可能だからだ。
そもそも、量子超越性の実証実験における手続きに対して懐疑的な意見が多数存在する状況である。例えば、IBMは即座に華やかなニュースに噛みついている。要約すれば、Googleのマシンが解いた問題は、最先端のスーパーコンピューターでも、最適化すれば2日と半日で解くことができる上、また、Googleの主張する量子超越性(Quantum Supremacy)という語が、その定義に合致していない^3とのことである。
なるほど、Googleの実績がどのようなものであるかは差し置くにしても、そもそも量子コンピューターというものが、如何なるもので、暗号技術との関係において今後如何なる発展をするのかを、確かめてみる必要がありそうである。そうでなければ、暗号資産への期待のまなざしが、今後、計算機科学の進展に無知なままにいつまでも怯えるまなざしに置き換えられてしまうだろう。
共通鍵暗号はまだ安泰?
まず、大前提として、暗号技術における耐量子コンピューターの議論においては、共通鍵暗号よりも公開鍵暗号が危険だとする意見が主流である。というのも、現在の公開鍵暗号の安全性は素因数分解と離散対数問題という数学性質に根ざしているからである。
筆者は数学や暗号学に明るいわけではないから詳細は省くが、ともかく、コンピューターの処理能力が時間の経過とともにある程度成長することを見積もった上でも、暗号を解読するのに数十年から数百万年という時間がかかるだろうという算段は、公開鍵暗号・共通鍵暗号・ハッシュ関数いずれの方式にも含まれている。しかし、公開鍵暗号の場合は、既に量子コンピューターによっていつかは破られてしまうということが数学的に証明されているのである^4。反対に、共通鍵暗号は鍵長をより長くすれば大丈夫だろうという見立てがあるようだ。
また、先ほどから「量子コンピューター」という語を連発しているが、実のところ、暗号技術が本質的な特徴によって2つか3つに大別されているように、量子コンピューターも「量子ゲート方式」と「量子アニーリング方式」とに大別することができる。一口に量子コンピューターと言ってみても、この2つは動作原理も対象とする問題もまるで違うものである。そして、とりわけ我々が関心を寄せなければならないのは、前者である。
2つの動作原理をごくごく簡単に説明すれば——というより筆者がごくごく大雑把な理解しかできていないのであるが——量子ゲート方式が、一つ一つの量子ビットを細かく操作して、様々な問題に対処しようとするのに対して、量子アニーリング方式は、まず解きたい問題(組合せ最適化問題と呼ばれる問題群)を設定し、それを物理学的な問題に変換した後、量子ビットを並べ、ビット間の関係性を決め、そして全体に作用を与えることで求める結果を得ようとするのである。
基本的に公開鍵暗号に対しては「演算」が求められる。それは組合せ最適化問題とは別個の処理である。よって、公開鍵暗号にとって脅威となるのは量子ゲート方式の量子コンピューターである。こうした状況を踏まえて、既に量子コンピューターでも容易には解読できない公開鍵暗号に関する研究が盛んに行われており、「格子理論」や「符号理論」などがその暗号の根幹理論の候補として取り上げられている。
ところで、量子超越性を実証したGoogleの量子コンピューターは量子ゲート方式であった。しかし、それだけで公開鍵暗号が突破されるまで秒読みと判断するのは誤りである。量子ゲート方式の量子コンピューターは未だ発展途上であり、Googleの主張する量子超越性も、あくまで実証実験に使われた問題を解く場合に限った話であり、従来のコンピューターより早く解ける問題が一つ増えたという程度のことである(もちろん、科学史に残る業績であることに変わりはない)。
2030年に転換点が訪れる
さて、先に共通鍵暗号は鍵長の変更によって量子コンピューターの発展に対処できると述べたが、実は一部の共通鍵暗号については、そうした対応だけではどうにもならないのではないかという研究成果が報告されているようである。ここからは、日本銀行金融研究会における清藤氏と四方氏の報告を参照しながら、暗号資産と量子コンピューターの行く末を考察してみよう。
まず第一に、従来、量子コンピューターによる攻撃という場合、攻撃者のみが量子ゲート方式のコンピューターを利用できる環境(量子攻撃モデル1)が想定されてきたが、実際のところ、攻撃者も一般利用者のコンピューターも量子ゲート方式のコンピューターをもつという環境(量子攻撃モデル2)が全くありえないということはない。この環境においては、一般にやり取りされるデータも量子ビットによって表現されるデータであるし、生成される暗号文もまた量子ビットを介するものとなる。既に既存の研究で、量子攻撃モデル1では安全とみられていた一部の共通鍵暗号が量子攻撃モデル2においては解読されてしまうことが示されている。
第二に、量子攻撃モデル1が現実に想定されるのは2030年頃である。言い換えれば、量子ゲート方式のコンピューターは、あと10年そこそこで実用化されるということである。量子攻撃モデル2に関しては、量子ゲート方式コンピューターの小型化・量産化が前提となるため、この予測は難しい。しかし、少なくとも我々は、2030年までには耐量子計算機暗号の開発・置換を完了しなくてはならないだろう。とりわけ公開鍵暗号については早急の対応に追われている。
また、第三に、日本銀行金融研究会の報告においては、とくにブロック暗号と呼ばれる共通鍵暗号の一種について、安全性の評価が行われているが、量子攻撃モデル1の段階において、ブロック暗号は鍵長の伸長で対策が可能だとされる。ゆえに、2030年までに共通鍵のサイズ伸長も推進しなければならないだろう。なお、量子攻撃モデル2となると話は別で、未だ学会でコンセンサスが得られた対策は確立していないという。
第四に、金融分野における早急の対応が求められる。金融分野においては、共通鍵暗号と公開鍵暗号のハイブリッド式で認証システムや通信システムが稼働しており、この中の共通鍵暗号の部分においても、安全性を確保するだけの鍵長ともなると、技術仕様を根本的に見直す必要が生じる可能性がある。
以上の4点をもう一度整理しなおせば、量子コンピューターによる2つの攻撃環境があり、その差は一般の利用者も量子ゲート式コンピューターを持つか持たないかという点にある。そして一般の利用者がそれを持たない場合に限っては、2030年頃までの公開鍵暗号の耐量子計算機暗号への移行と、共通鍵暗号のサイズ伸長(場合によっては暗号技術仕様の見直し)で対応ができると考えられている。しかしながら、一般の利用者も量子ゲート方式コンピューターを持つとなると、未だコンセンサスの取れた対策法はなく、また、それがいつまでにやるべきことなのかという予測も立てにくいため、より詳細な研究が余裕をもって進められる必要がある。
「反暗号化法」を可決する豪州、耐量子計算機暗号に移行を決めた米国
こうして「2030年」が強く意識される中、既に、電子政府推奨暗号の安全性を評価・監視する米国連邦政府機関である「NIST(米国国立標準技術研究所)」は、現在使用している公開鍵暗号を2026年ごろまでに耐量子計算機暗号に置換する計画を公表している。しかし、その裏では、犯罪捜査が難航しているという現状から、オーストラリア連邦議会が2018年12月に、通称「反暗号化法」を可決するなど、全く時代に逆行しているだけでなく、暗号化技術に対する無理解としか言えないような動向も散見される。暗号資産の値動きに、Googleの発表が大きくかかわっているのだとすれば、ここにも投資家たちの無理解が潜んでいるといえるだろう。
なお、国内においても、NIST同様の「CRYPTOREC(Cryptography Research and Evaluation Committees)」という機関が、耐量子計算機暗号に関する定例報告会の開催や、ガイドラインの策定を行っており、早急に対策が進められている。
ブロックチェーンへの影響
ブロックチェーン、とりわけBitcoinにおいて採用されている公開鍵、ECDSAは、ここまでの見立てによれば、2030年頃までに耐量子計算機暗号に置換されなければならないだろう。暗号技術が用いられるその他のケースと違うのは、Bitcoinの場合、根幹技術の変更がハードフォーク(後方互換・前方互換のないアップデート)をもたらす可能性があるということである。もしも、技術仕様の変更に際して、それを認めないマイナーが多数存在した場合、BitcoinとBitcoin Cashとにハードフォークしたときのようなことが再度発生するかもしれない。
また、Bitcoinに採用されているSHA-256やRIPEMD-160などの暗号学的ハッシュ関数には触れてこなかったが、これらも共通鍵暗号と同様、サイズ変更だけで脅威に対処可能とされてはいる。しかし、Bitcoinにおいて暗号学的ハッシュ関数が利用されているのは、主にマイニングにおいてであり、この場合に問題となるのは、先の量子攻撃モデル2よりも量子攻撃モデル1のケースと言える。なぜなら、他のマイナーたちが従来のコンピューターを用いて計算問題を解いているところで、ただ1台の量子コンピューターがそれらの処理能力を凌駕してしまえば、たちまちBitcoinの非中央集権体制は崩れてしまうからである。つまり、量子コンピューターを想定した「51%攻撃」である。
以上のことから、やはりブロックチェーンの技術仕様は2030年までに大転換が必要であると考えるべきだろう。投資家や、ブロックチェーンの実装・活用を考える企業・団体は、このことを想定しながら、今後の指針を立てるべきである。それだけではない。既存のブロックチェーンのセキュリティリスクを避けるために、既存の金融システムを殊更信用するということも、また難しいのである。なぜなら、ここまで見てきたように金融システムもブロックチェーン同様に様々な暗号技術を導入しているのであって、我々が既存の金融システムに全幅の信頼を置くことなどもはやできないし、さらに、攻撃者がブロックチェーン(暗号資産)と既存の金融システムのどちらに先鋒を差し向けるかなど、我々に知る由はないのである。
ブロックチェーン技術は、未だ発展途上とはいえ徐々に熟しつつある。しかし、その裏では、量子計算機研究に国家予算レベルの研究費が投入され、めざましい進展を遂げつつある。我々の生活を取り囲む暗号技術は、あらゆる脅威に常に晒され、そして量子コンピューターにさえ正面切って戦わなければならない。我々に、これら全ての動向を無視することは許されない。なぜなら、もはや、暗号技術は水や電気のように身近で必要不可欠な「インフラストラクチャ」となっているからである。暗号技術を軽視すれば、行く末は、プライバシー保護なんてものは存在しない監視社会かもしれない。監視官の目を内面化し、お互いがお互いを監視しあう「パノプティコン」のような監獄世界が訪れてしまっても、それは我々の責任である。
と、いささか脅しの効いたことばかり書いてきたが、Bitcoinの生みの親であるサトシ・ナカモトがドメインを取得したオープンソースコミュニティである「Bitcoin.org」には、量子コンピューターに対する脆弱性に関して、以下のような楽観的な回答を掲載している。
ビットコインは量子コンピューターに対して脆弱ですか?
はい。一般的に暗号学に頼るシステムには、従来の銀行システム等があります。しかし、量子コンピューターは現存しておらず、その実現にはしばらく時間を要する事でしょう。量子計算がビットコインの脅威となる時には、そのプロトコルは量子コンピューターに対応したアルゴリズムを使用して、アップグレードする事ができます。このアップグレードの重要さを考えれば、開発者によって十分な見直しが行われ、全ビットコイン・ユーザーに採用される事が期待されるでしょう。
1:概説についてはこちら。戻る
2:ちなみに、Bitcoinにおいては、秘密鍵から公開鍵の作成において「楕円曲線暗号」が用いられている。戻る
3:「量子超越性」概念について、その提唱者である理論物理学者のジョン・プレスキル博士は、この語義に「白人の優位性との関連を通じて……反抗的な政治的スタンスを喚起する」ことと、「量子テクノロジーの状況に関する誇張された報告をより悪化させる」という懸念が付きまとってしまうことへの懸念を表明している。戻る
4:例えばRSA暗号についてはこの論文において無力化が主張されている。戻る