詳細な分析:量子コンピュータがもたらす暗号学的なセキュリティ脅威を恐れすぎているのでしょうか?

量子コンピュータ脅威のタイムラインはしばしば誇張されており、プログラムの脆弱性のリスクは短期的には量子攻撃よりもはるかに大きいです。 ブロックチェーンはポスト量子署名の展開を急ぐ必要はありませんが、計画はすぐに始めるべきです。 この記事は、ジャスティン・セイラーによって執筆され、Vernacular Blockchainによって編集・編集・執筆された記事に基づいています。 (概要:ラウル・パルが警告:FRBが量的緩和のために資金を発行しなければ、「流動性は不足」になるか、2018年の金融危機のレポ市場の再発となる)(背景補足:米国は来週9月の非農業部門雇用統計を発表し、市場はFRBの(Fed)金利利下げの影響を注視している)暗号関連の量子コンピュータのタイムラインはしばしば誇張されており、ポスト量子暗号への緊急かつ包括的な移行が求められています。 しかし、これらのコールはしばしば早期移行のコストやリスクを無視し、異なる暗号プリミティブ間の非常に異なるリスクプロファイルを無視しています。 ポスト量子暗号化はコストがかかるにもかかわらず即時展開が必要です:「まず手に入れて、後で復号」(今から復号化。HNDL)攻撃はすでに進行しており、今日暗号化された機密データは量子コンピュータが登場した際にも価値があるでしょう。たとえそれが何十年も先であっても。 ポスト量子暗号化によるパフォーマンスオーバーヘッドや実装リスクは現実的ですが、HNDL攻撃は長期的な機密性を必要とするデータに選択肢を与えません。 ポスト量子署名は異なる考慮事項に直面しています。 HNDL攻撃への脆弱性が低く、コストやリスク(、より大きなサイズ、パフォーマンスオーバーヘッド、未熟な実装、バグ)ため、即時移行よりも慎重な検討が必要です。 これらの区別は非常に重要です。 誤解はコストと便益の分析を歪め、チームがプログラミングエラー (bugs)のようなより顕著なセキュリティリスクを見落としてしまうことがあります。 ポスト量子暗号学への移行を成功させるための本当の課題は、緊急性と実際の脅威を両立させることにあります。 以下では、暗号技術、署名、ゼロ知識証明に関する一般的な誤解、特にブロックチェーンへの影響に焦点を当てて、暗号学、署名、ゼロ知識証明について解明します。 私たちのタイムラインはどうなっていますか? 注目度の高い主張にもかかわらず、2020年代に暗号技術に関連する量子コンピュータ(CRQC)が登場する可能性は非常に低い。 ここで言う「暗号関連量子コンピュータ」とは、フォールトトレラント性があり誤り訂正能力を持ち、Shorアルゴリズムを合理的な時間内で実行できる、例えば{secp}256{k}1や{RSA-2048}攻撃を合理的な時間内で実行できる(、例えば{secp}256{k}1や{RSA-2048}攻撃を連続計算で最大1か月以内に解読できるものを指します。 公共のマイルストーンや資源推定の合理的な解釈に基づけば、暗号学的に関連した量子コンピュータからはまだ遠い距離があります。 企業は時にCRQCが2030年以前、あるいは2035年よりずっと前に現れる可能性があると主張しますが、公に知られている動向はこれらの主張を裏付けていません。 参考までに、現在のあらゆるアーキテクチャ—閉じ込めイオン、超伝導量子ビット、中立原子系—において、今日の量子コンピューティングプラットフォームは、エラー率や誤り訂正方式によって異なるShorアルゴリズム攻撃{RSA-2048}または{secp}256{k}1 (を実行するために必要な数十万から数百万の物理量子ビットを実行)には及ばない。 制限要因は量子ビット数だけでなく、ゲート忠実度、量子ビットの結合性、そして深層量子アルゴリズムを実行するために必要な連続誤り訂正回路の深さも含まれます。 現在、一部のシステムは1,000以上の物理量子ビットを持っていますが、元の量子ビット数自体は誤解を招きます。これらのシステムは暗号学関連の計算に必要な量子ビット接続性やゲート忠実度を欠いています。 最近のシステムは量子誤り訂正が働く物理的誤差率に近づいていますが、論理量子ビットのうち数個しか連続的な誤り訂正回路深度を持つことは証明されていません… さらに、ショアアルゴリズムを実際に動作させるために必要な何千もの高精度、深層回路、耐障害性の論理キュービットも忘れてはなりません。 量子誤り訂正が原理的に実現可能であることを証明することと、暗号解析を実現するために必要な規模との間には依然として大きなギャップがあります。 要するに、量子ビット数と忠実度の両方が数桁に増加しない限り、暗号関連の量子コンピュータはまだ手の届かない存在です。 しかし、企業のプレスリリースやメディア報道は混乱を招くことがあります。 ここでは、誤解や混乱の一般的な原因を挙げます。例えば、「量子優位性」を主張するデモは、現在は人間が設計したタスクを標的にしています。 これらのタスクは実用性のためではなく、既存のハードウェア上で動作しつつ、優れた量子加速を示すように見えるため選ばれました。これは発表でしばしば曖昧にされる事実です。 同社は数千の物理量子ビットを達成したと主張しています。 しかしこれは量子アニーリングマシンを指しており、公開鍵暗号を攻撃するためにショールアルゴリズムを実行するために必要なゲートモデルマシンではありません。 同社は「論理キュービット」という用語を自由に使用しています。 物理的な量子ビットはノイズが多いです。 前述の通り、量子アルゴリズムには論理量子ビットが必要です。 ショアアルゴリズムは数千ドルを必要とします。 量子誤り訂正により、論理量子ビットは多くの物理量子ビット(通常は誤り率に応じて数百から数千)で実装可能です。 しかし、一部の企業はその用語を認識できないほどに延長しています。 例えば、最近の発表では、2ヤードの距離を使い、物理的なキュービットが2つだけの論理キュービットを実装すると主張されています。 これは馬鹿げています。2ヤードの距離は誤りを検出するだけで、修正するわけではありません。 真に耐障害性のある論理キュービットは、暗号解析のために数百から数千の物理キュービットを必要とし、2ビットではありません。 より一般的には、多くの量子コンピューティングのロードマップでは「論理量子ビット」という用語が、クリフォード操作のみをサポートする量子ビットを指すために使われています。 これらの演算は古典的シミュレーションで効率的に実行できるため、数千の誤り訂正Tゲートやより一般的な非クリフォードゲート( )を必要とするショールアルゴリズムを実行するには不十分です。 たとえロードマップの一つが「X年で数千の論理キュービットを達成する」ことを目標としているとしても、同社が同じX年にShorアルゴリズムを使って古典暗号を解読することを期待しているわけではありません。 これらの慣行は、既存の観察者の間でさえ、暗号学的に関連した量子コンピュータにどれほど近いかという一般の認識を大きく歪めています。 とはいえ、一部の専門家は進歩に非常に期待しています。 例えば、スコット・アーロンソンは最近、「現在のハードウェア開発の驚異的なスピード」を踏まえ、次の米国大統領選挙までにフォールトトレラント量子コンピュータがショアアルゴリズムを実行する現実的な可能性を考えていると書いています。 しかしアーロンソンは後に、この発言が暗号関連の量子コンピュータを指すのではないと明確にしました。彼は、完全にフォールトトレラントなショアアルゴリズムが15 = 3 imes 5の因数分解を実行しても、それは実装としてカウントされ、この計算は鉛筆と紙ではるかに速く行えると主張しています。 標準は依然として、Shorアルゴリズムを暗号関連の規模ではなく小規模で実行することです。これは、以前の量子コンピュータでの15の因数分解実験では、完全なフォールトトレラント性のShorアルゴリズムではなく簡略化された回路が使われていたためです。 そして、これらの実験が常に数字15を分解して計算してきた理由があります。15を割ると算術計算は簡単ですが、21のような少し大きい数字を分解するのはずっと難しいのです。 したがって、21を分解すると主張する量子実験は、追加のヒントや近道に頼ることが多いです。 要するに、今後5年以内に{RSA-2048}や{secp}256{k}1を解読できる暗号関連の量子コンピュータが登場するという期待は、実際の暗号学にとって極めて重要です…