CRYPTREC 現在の量子コンピュータによる暗号技術の安全性への影響

こんにちは、丸山満彦です。以前からセコムの松本泰さんが指摘してましたが、CRYPTRECから正式にアナウンスされていますね。

●CRYPTREC

・2020.02.17 現在の量子コンピュータによる暗号技術の安全性への影響

論文^[1]で使用されている量子コンピュータは53量子ビットであり、計算は合計1543回のゲート演算で構成されています。このとき、1回当たりの計算時間は、1マイクロ秒程度であると見積もられています。なお、ターゲットとする問題の性質上、量子誤り訂正は組み込まれていません。

その一方で、例えば、量子コンピュータを用いて2048ビットRSA合成数の素因数分解を行う場合には、量子誤りが一切ないという理想的な環境下でも、4098量子ビットが必要であり、10¹²～10¹³回のゲート演算が必要であると見積もられています^{[2, 3]}。また、量子誤りがあるという現実的な環境下では、2000万量子ビットが必要であるという見積もりもあります^[4]。

このため、実現されている量子コンピュータと素因数分解を行うのに必要とされる量子コンピュータの性能に関しては、依然として大きな乖離があります。これは離散対数問題を利用する暗号についても同様です。量子コンピュータの性能を測る上での指標（量子ビット数、量子誤りの大きさ、演算可能回数など）や、量子コンピュータの開発状況もあわせて考慮にいれると、近い将来に、2048ビットの素因数分解や256ビットの楕円曲線上の離散対数問題が解かれる可能性は低いと考えます。