| Cryptographic security: Critical to Europe's digital sovereignty |
暗号セキュリティ: 欧州のデジタル主権に不可欠 |
| IN THIS BRIEFING |
このブリーフィングでは |
| • What is cryptography and how is it used? |
・暗号とは何か、どのように使われているのか。 |
| • What is dismantling the security of traditional cryptography? |
・伝統的な暗号の安全性を崩壊させているものは何か? |
| • Quantum and post-quantum cryptography to the rescue |
・量子暗号と耐量子暗号による救済 |
| • What the EU is doing |
・EUの取り組み |
• International perspectives on the quantum transition
|
・量子移行に関する国際的視点 |
• Challenges and potential action
|
・課題と潜在的行動
|
| SUMMARY |
概要 |
| By the 2030s, quantum computers might compromise traditional cryptography, putting digital infrastructure at high risk in the European Union (EU) and around the world. Specifically, it is expected that quantum computers' unique capabilities will allow them to solve complex mathematical problems, such as breaking the traditional cryptographic systems used universally. The confidentiality, integrity and authenticity of sensitive data – including health, financial, security and defence information – will be exposed to threats from any actor possessing a sufficiently powerful quantum computer. There is a pressing need for the EU to start preparing its digital assets to face this risk. |
2030年代までに、量子コンピューターが従来の暗号技術を危うくし、欧州連合(EU)および世界中のデジタル・インフラを高いリスクにさらす可能性がある。具体的には、量子コンピュータのユニークな能力により、普遍的に使用されている従来の暗号システムを破るなど、複雑な数学的問題を解くことが可能になると予想されている。健康、金融、セキュリティ、防衛情報を含む機密データの機密性、完全性、認証は、十分に強力な量子コンピュータを保有する脅威行為者にさらされることになる。EUは、このリスクに直面するデジタル資産の準備に着手することが急務である。 |
Post-quantum cryptography (which uses classical computer properties) and quantum cryptography (which uses quantum mechanical properties) are the two types of critical technology able to protect digital infrastructure from quantum computer attacks. Robust post-quantum cryptography algorithms have been identified, but swift and efficient implementation is crucial before malicious actors exploit the power of quantum computers. Experts stress the need for quantum preparedness to be put in place now, with some of them even warning of a 'quantum cybersecurity Armageddon'.
|
耐量子暗号(古典コンピュータの特性を利用)と量子暗号(量子力学的特性を利用)は、量子コンピュータ攻撃からデジタルインフラを保護することができる2種類の重要技術である。耐量子暗号アルゴリズムは特定されているが、悪意ある行為者が量子コンピュータのパワーを利用する前に、迅速かつ効率的な実装が不可欠である。専門家の中には「量子サイバーセキュリティ・アルマゲドン」の到来を警告する者もいる。
|
| Several countries are adopting strategies to address post-quantum cryptography. The EU is working with Member States and the United States to speed up the transition to post-quantum cryptography, and is also exploring long-term quantum cryptography initiatives. |
いくつかの国では、耐量子暗号に対応するための戦略を採用している。EUは加盟国や米国と協力し、耐量子暗号への移行を加速させており、長期的な量子暗号への取り組みも模索している。 |
| What is cryptography and how is it used? |
暗号とは何か、どのように使われるのか? |
| Cryptography is the discipline of protecting information by designing principles, means and methods to prevent unauthorised access. It is primarily employed to protect sensitive information such as government confidential data, electronic payments, private internet communications, and data stored in computer systems. Cryptography encompasses encryption and decryption techniques involving algorithms and mathematical functions for ensuring safety and confidentiality of data both when stored or transmitted between information systems. |
暗号技術とは、不正アクセスを防止するための原理、手段、方法を設計することによって情報を保護する学問である。主に、政府の機密データ、電子決済、個人的なインターネット・コミュニケーション、コンピューター・システムに保存されたデータなどの機密情報を保護するために使用される。暗号機能には、アルゴリズムや数学的関数を含む暗号化・復号化技術が含まれ、データの安全性と機密性を確保するためのものである。 |
| Cryptographic algorithms transform data using variables called keys, providing protection. The security of keys is crucial for maintaining the security of the protected data. However, just like a physical lock, a malicious actor could compromise the cryptographic security of protected information if it obtains the keys. |
暗号アルゴリズムは、鍵と呼ばれる変数を用いてデータを変換し、保護を提供する。鍵のセキュリティは、保護されたデータの安全性を維持するために極めて重要である。しかし、物理的な錠前と同じように、悪意のある行為者が鍵を入手すれば、保護された情報の暗号セキュリティを損なう可能性がある。 |
| Classical cryptographic systems: Symmetric and asymmetric cryptography |
古典的な暗号システム:対称暗号と非対称暗号 |
| Most encrypted communications nowadays rely on symmetric-key and asymmetric-key cryptography algorithms. Symmetric and asymmetric schemes differ in the way the cryptographic keys are distributed. Symmetric-key algorithms use the same keys for encryption and decryption, meaning that both the originator and the recipient of cryptographically protected information know the keys in order to communicate. Symmetric cryptography is used for the bulk encryption of a large amount of data (e.g. for card transactions in the banking sector). However, if an attacker manages to intercept the keys, the protected information will no longer be secret. |
現在、ほとんどの暗号化コミュニケーションは、共通鍵と非対称鍵の暗号アルゴリズムに依存している。共通鍵方式と非対称鍵方式は、暗号鍵の配布方法が異なる。共通鍵アルゴリズムは、暗号化と復号に同じ鍵を使用する。つまり、暗号的に保護された情報の発信者と取得者の両方が、通信するための鍵を知っていることを意味する。共通暗号は、大量のデータを一括して暗号化する際に使用される(例:銀行部門のカード取引)。しかし、攻撃者が鍵の傍受に成功した場合、保護された情報はもはや秘密ではなくなる。 |
| Asymmetric-key algorithms (also known as public-key encryption) use different keys for encryption and decryption, one public key and one private key. The information is encrypted with the recipient's public key and only the owner of the secret private key can decrypt it.1 Because private keys are never meant to be shared, key interception attacks are less feasible. As a result, most cryptographic entity and key establishment functions use publickey cryptography (e.g. for digital signature). |
非対称鍵アルゴリズム(公開鍵暗号化とも呼ばれる)では、暗号化と復号にそれぞれ異なる鍵(公開鍵と秘密鍵)を使用する。情報は取得者の公開鍵で暗号化され、秘密の秘密鍵の所有者のみが復号化できる1。秘密鍵は決して共有されることを意図していないため、鍵の傍受攻撃は実現可能性が低い。その結果、ほとんどの暗号事業体や鍵確立機能は公開鍵暗号を使用している(電子署名など)。 |
| To summarise, symmetric encryption algorithms are a fast and efficient way of protecting data by requiring less computational power than asymmetric encryption algorithms, but pose more challenges for managing keys (e.g. making and keeping the keys secure) compared to asymmetric encryption algorithms. Hence, cryptographic systems to secure information often combine these two algorithms. First, asymmetric cryptography is used to exchange keys between two parties in a secure way. Then, the parties will use the keys to communicate with each other in encrypted form, switching to symmetric cryptography. |
要約すると、対称暗号化アルゴリズムは非対称暗号化アルゴリズムよりも少ない計算能力でデータを保護できるため、高速で効率的な方法であるが、非対称暗号化アルゴリズムに比べて鍵の管理(鍵の作成や安全性の維持など)に多くの課題がある。したがって、情報を保護するための暗号システムは、この2つのアルゴリズムを組み合わせることが多い。まず、非対称暗号を使用して2つの当事者間で安全に鍵を交換する。次に、対称暗号に切り替えて、当事者同士が暗号化された形でコミュニケーションを行うために鍵を使用する。 |
| Focus on main cryptographic algorithms |
主な暗号アルゴリズムに注目する |
| There are myriad cryptographic algorithms, but the Advanced Encryption Standard, the Rivest-ShamirAdleman, and Elliptic-Curve Cryptography are probably the best known. The Advanced Encryption Standard (AES) is a symmetric-key cryptographic algorithm that operates a series of mathematical operations on fixed-length blocks of bits of given information and with a defined key. It was called Rijndael before being selected by the U.S. National Institute of Standards and Technology (NIST) as the AES in 2001. Usually combined with other cryptographic algorithms, it is widely used in our dayto-day digital tools and services. For instance, WhatsApp uses AES to protect messages. |
暗号アルゴリズムは無数にあるが、Advanced Encryption Standard、Rivest-Shamir-Adleman、楕円曲線暗号が最もよく知られているだろう。AES(Advanced Encryption Standard)は共通鍵暗号アルゴリズムで、与えられた情報の固定長のビット・ブロックに対して、定義された鍵で一連の数学的操作を行う。2001年に米国国立標準技術研究所(NIST)によってAESとして選定されるまでは、Rijndaelと呼ばれていた。通常、他の暗号アルゴリズムと組み合わされ、日々のデジタルツールやサービスで広く使われている。例えば、WhatsAppはメッセージの保護にAESを使用している。 |
| The Rivest-Shamir-Adleman (RSA) is an asymmetrickey cryptographic algorithm relying on the difficulty of factoring the product of two large prime numbers. It was invented in 1977 at MIT by R. Rivest, A. Shamir and L. Adleman. Despite its age, RSA is still being widely used and is usually combined with other encryption algorithms. However, new types of algorithm using different mathematical properties are now considered more efficient than RSA. |
RSA(Rivest-Shamir-Adleman)は、2つの大きな素数の積の因数分解の難しさに依存する非対称鍵暗号アルゴリズムである。1977年にR. Rivest、A. Shamir、L. AdlemanによってMITで発明された。その古さにもかかわらず、RSAはいまだに広く使われており、通常は他の暗号化アルゴリズムと組み合わされている。しかし現在では、異なる数学的特性を利用した新しいタイプのアルゴリズムが、RSAよりも効率的であると考えられている。 |
| Elliptic-Curve Cryptography (ECC) is a type of cryptography that emerged as a better alternative to RSA, especially for key exchanges. ECC-based cryptographic algorithms rely on the difficulty of solving the discrete logarithm problem. In 2013, the NIST created standards for specific curves for the implementation of ECC algorithms. Ten years later, they issued new standards including curves identified by researchers and organisations as better options. |
楕円曲線暗号(ECC)は暗号の一種で、特に鍵交換においてRSAに代わる優れた暗号として登場した。ECCベースの暗号アルゴリズムは、離散対数問題を解くことの難しさに依存している。2013年、NISTはECCアルゴリズムを実装するための特定の曲線の標準を作成した。それから10年後、NISTは研究者や研究機関がより良い選択肢として特定した曲線を含む新しい標準を発表した。 |
| What is dismantling the security of traditional cryptography? |
何が従来の暗号のセキュリティを取り壊していくのか? |
| The security of many cryptographic systems relies on the difficulty of solving certain mathematical problems, such as factoring large numbers or solving discrete logarithm problems. Classical computers struggle to solve these mathematical problems in a reasonable amount of time, making these mathematical problems suitable for securing sensitive data. Quantum computers pose a significant threat to the security of classical cryptography (symmetric and asymmetric, with asymmetric cryptography more affected than symmetric cryptography by the quantum threat) because they would be able to efficiently solve certain mathematical problems that classical computers struggle with. This is due to the fact that quantum computers operate on quantum mechanical principles, which would allow them to perform certain complex calculations much faster than classical computers. Algorithms to break traditional cryptography using quantum computers already exist, with Shor's algorithm being the most notable example. |
多くの暗号システムの安全性は、大きな数の因数分解や離散対数問題の解決など、特定の数学的問題を解くことの難しさに依存している。古典的なコンピューターは、これらの数学的問題を合理的な時間で解くのに苦労しており、これらの数学的問題を機密データのセキュリティに適したものにしている。量子コンピュータは、古典暗号(対称暗号と非対称暗号があり、非対称暗号の方が対称暗号よりも量子の脅威による影響が大きい)の安全性に重大な脅威をもたらす。なぜなら、量子コンピュータは古典コンピュータが苦手とする特定の数学的問題を効率的に解くことができるからだ。これは、量子コンピュータが量子力学の原理に基づいて動作するため、古典的なコンピュータよりもはるかに高速に特定の複雑な計算を行うことができるためである。量子コンピューターを使った従来の暗号を破るアルゴリズムはすでに存在し、ショールのアルゴリズムはその最も顕著な例である。 |
| Although quantum computers with sufficient power and reliability to break classical cryptography (also known as large-scale quantum computers) do not exist yet, the potential threat is real, and the security of widely used encryption methods might be severely compromised. While some engineers 'predict that within the next twenty or so years sufficiently large quantum computers will be built to break all cryptographic schemes currently in use', most experts believe that the first breaches of encryption methods by quantum computers might already materialise in the late 2030s. In a report, the German government stated, as a risk assessment, that 'cryptographically relevant quantum computers will be available in the early 2030s', so just 10 years away. |
古典暗号を破るのに十分なパワーと信頼性を持つ量子コンピューター(大規模量子コンピューターとも呼ばれる)はまだ存在しないが、潜在的な脅威は現実のものとなっており、広く使われている暗号化手法の安全性が著しく損なわれる可能性がある。今後20数年のうちに、現在使われているすべての暗号方式を破るのに十分な大きさの量子コンピューターが製造されると予測する」エンジニアもいるが、ほとんどの専門家は、量子コンピューターによる暗号方式の最初の侵害は、2030年代後半にはすでに実現するかもしれないと考えている。ドイツ政府は報告書の中で、リスクアセスメントとして「2030年代初頭には暗号に関連する量子コンピュータが利用可能になる」と述べている。 |
| ENISA, the European Union Agency for Cybersecurity, stressed how 'not all development in the area of building quantum computers is public and it is fairly likely that the first fully-functional large quantum computer will not be publicly announced, but rather sit in the basement of some government agency'. Therefore, to maintain information security, security systems should start preparing as soon as possible to resist large-scale quantum computers. |
欧州連合(EU)のサイバーセキュリティ機関であるENISAは、「量子コンピュータの構築に関するすべての開発が公開されているわけではなく、最初に完全に機能する大型量子コンピュータが公開されることはなく、どこかの政府機関の地下室に置かれる可能性がかなり高い」と強調している。したがって、情報セキュリティを維持するためには、セキュリティシステムは大規模量子コンピューターに対抗する準備をできるだけ早く始めるべきである。 |
| There are two main types of threat posed by quantum to traditional cryptography, unfolding in two phases. First, store-nowdecrypt-later (SNDL) attacks (also known as harvest attacks) represent an active threat that puts current data at risk. Second, the emergence of future large-scale quantum computers will jeopardise all data encrypted with traditional methods (e.g. breaking popular cryptographic algorithms such as RSA and ECC). |
量子が従来の暗号にもたらす脅威には、大きく分けて2つのタイプがあり、2つのフェーズで展開される。第一に、Store-nowdecrypt-later(SNDL)攻撃(ハーベスト攻撃とも呼ばれる)は、現在のデータをリスクにさらす積極的な脅威である。第二に、将来の大規模量子コンピュータの出現は、従来の方法で暗号化されたすべてのデータを危険にさらす(例えば、RSAやECCなどの一般的な暗号アルゴリズムを破る)。 |
| Harvest attacks |
ハーベスト攻撃 |
| Store-now, decrypt-later attacks ('harvest attacks'), occur when threat actors collect and store encrypted data, planning to decrypt it once they acquire decryption capabilities. Harvest attacks target very sensitive information with long-term strategic value, such as classified state secrets. In other words, harvest attacks bring a future threat into the present, making it a current concern that requires the transition to postquantum cryptography (PQC). At present, quantum computers are not sufficiently mature for decrypting harvested data, but this might change in 15 to 20 years from now, according to ENISA. Because the resources needed to carry out such an attack are so significant, nation-state threat actors are among the first suspects in terms of preparing harvest attacks. |
Store-now、Decrypt-later攻撃(「Harvest攻撃」)は、脅威行為者が暗号化されたデータを収集・保管し、復号化能力を獲得したら復号化しようと企てることで発生する。ハーベスト攻撃は、国家機密のような長期的な戦略的価値を持つ非常に機密性の高い情報を標的にする。言い換えれば、ハーベスト攻撃は未来の脅威を現在に持ち込むものであり、耐量子暗号(PQC)への移行を必要とする現在の懸念事項となっている。現在のところ、量子コンピュータはハーベスト・データを解読するのに十分な成熟度を持っていないが、ENISAによれば、15年後、20年後にはこの状況が変わるかもしれないという。このような攻撃を実行するために必要なリソースは非常に大きいため、国家レベルの脅威行為者は、ハーベスト攻撃の準備という点で最初の容疑者の一人である。 |
| According to a 2021 report, China-associated 'threat groups' are likely to have started harvesting data in 2020. A Financial Times article says that Chinese researchers claim to have recently found a method to break the RSA algorithm using a quantum computer, but the academic community has raised doubts about this claim. Nevertheless, according to some experts, running Shor's algorithm on a quantum computer to decrypt confidential information would be noticeable. In fact, it would require such a large amount of electrical power that it would be difficult to hide it from the rest of the world. |
2021年の報告書によると、中国関連の「脅威グループ」は2020年にデータ・ハーベストを開始しているようだ。Financial Timesの記事によると、中国の研究者は最近、量子コンピュータを使ってRSAアルゴリズムを破る方法を発見したと主張しているが、学界はこの主張に疑問を呈している。とはいえ、一部の専門家によれば、機密情報を解読するために量子コンピューター上でショーのアルゴリズムを実行することは注目に値するという。実際、大量の電力を必要とするため、他の世界から隠すことは難しいだろう。 |
| Quantum and post-quantum cryptography to the rescue |
量子暗号と耐量子暗号による救済 |
| Considering that quantum computers are expected to break current cryptographic systems, sensitive private and government data are at risk. As countries prepare their digital and cybersecurity structures for quantum computers, debate persists about the most effective technologies to secure data. At present, the two most promising solutions are (i) quantum cryptography and (ii) post-quantum cryptography (PQC).2 |
量子コンピューターが現在の暗号システムを破ることが予想されることを考えると、機密性の高い個人データや政府データがリスクにさらされている。各国が量子コンピュータに対応するデジタル・サイバーセキュリティ体制を整える中、データを保護するための最も効果的な技術について議論が続いている。現在、最も有望な解決策は、(i)量子暗号と(ii)耐量子暗号(PQC)の2つである2。 |
| Quantum cryptography leverages the fundamental laws of quantum mechanics for encrypting and transmitting data in a secure way. The most well known and widely used application of quantum cryptographic algorithms involves key distribution methods also known as quantum key distribution (QKD). Quantum cryptographic methods use fibre optic cables or satellite networks to send encoded data as polarised photons. Their security is guaranteed by the fact that, thanks to the principles of quantum physics (e.g. entanglement and interference), data cannot be duplicated, which safeguards them against information theft during communication. Additionally, any disruption or interference in the communication channel alters the quantum state, allowing malicious actors to be detected by legitimate parties. This provides a great advantage against eavesdropping, where a third party surreptitiously 'listens' to the exchange of information between parties. |
量子暗号は、量子力学の基本法則を利用してデータを暗号化し、安全な方法で送信する。量子暗号アルゴリズムで最もよく知られ、広く利用されているのは、量子鍵配布(QKD)としても知られる鍵配布法である。量子暗号方式は、光ファイバーケーブルや衛星ネットワークを使い、暗号化されたデータを偏光光子として送信する。量子物理学の原理(エンタングルメントや干渉など)により、データは複製できないため、コミュニケーション中に情報が盗まれることはない。さらに、通信チャネルの混乱や干渉は量子状態を変化させるため、悪意のある行為者を正当な関係者が検知することができる。これは、サードパーティが当事者間の情報交換を密かに「聞く」盗聴に対して大きなアドバンテージとなる。 |
| Despite QKD promising theoretical security for data encryption based on established physical laws, there are various challenges to its real implementation and use in communication networks, considering that it is still perceived to be in its early stage of development. The time and costs for deploying QKD infrastructure are substantial, undermining a fast transition to a quantum safe cryptographic system. Furthermore, due to technical constraints, nowadays the maximum supported distance to use this technology is only in the order of hundreds of kilometres. In other words, QKD is not sufficiently mature from a security perspective. |
QKDは、確立された物理法則に基づくデータ暗号化の理論的セキュリティを約束するものであるにもかかわらず、まだ開発の初期段階にあると認識されていることを考慮すると、実際の実装や通信ネットワークでの使用にはさまざまな課題がある。QKDインフラの展開には多大な時間とコストがかかり、量子安全暗号システムへの迅速な移行を妨げている。さらに、技術的な制約から、現在ではこの技術を使用できる最大距離は数百キロのオーダーにとどまっている。つまり、QKDはセキュリティの観点からは十分に成熟していないのだ。 |
| Post-quantum cryptography is not based on fundamental laws of quantum mechanics. It is a new field of cryptographic research looking to set hard mathematical techniques for cryptographic algorithms that would be difficult to break for both conventional and even powerful quantum computers (also known as quantum-resistant algorithms). PQC seems to be a more mature area of activity (PQC schemes are currently being developed and standardised) and to offer some advantage over QKD. For instance, PQC algorithms (e.g. code-based, latticebased or hash-based cryptography)3 ensure a faster and cheaper deployment than QKD because they run on classical hardware (bits and not qubits). This characteristic also allows them to be compatible with existing infrastructures or contemporary devices in several sectors, ensuring a swift deployment (e.g. requiring a software update). |
耐量子暗号は量子力学の基本法則に基づくものではない。耐量子暗号は、量子力学の基本法則に基づくものではなく、従来の暗号アルゴリズムでも、強力な量子コンピューターでも解読が困難な暗号アルゴリズム(量子耐性アルゴリズムとも呼ばれる)の数学的手法を確立しようとする新しい暗号研究分野である。PQCはより成熟した研究分野であり(PQC方式は現在開発・標準化されている)、QKDと比較していくつかの利点がある。例えば、PQCアルゴリズム(コードベース、格子ベース、ハッシュベース暗号など)3は、古典的なハードウェア(量子ビットではなくビット)上で動作するため、QKDよりも高速かつ安価に展開できる。この特徴により、既存のインフラやさまざまな分野の最新機器との互換性が確保され、迅速な展開が可能になる(ソフトウェアのアップデートが必要な場合など)。 |
| For the French Agence nationale de la sécurité des systèmes d'information (ANSSI), PQC represents 'the most promising avenue to thwart the quantum threat', in particular against harvest attacks. In addition, the United Kingdom's National Cyber Security Centre (NCSC) recognises that PQC is the 'best mitigation against the threat of quantum computers to traditional public-key cryptography'. Nonetheless, PQC algorithms share certain vulnerabilities with current cryptographic systems. Hence, the risk that future decryption algorithms run by largescale quantum computers would break PQC that is being developed today cannot be completely excluded. |
フランスの情報システム安全保障庁(ANSSI)にとって、PQCは「量子の脅威を阻止するための最も有望な手段」であり、特にハーベスト攻撃に対して有効である。また、英国の国家サイバーセキュリティセンター(NCSC)は、PQCが「従来の公開鍵暗号に対する量子コンピュータの脅威に対する最善の低減策」であると認識している。とはいえ、PQCアルゴリズムは現在の暗号システムとある種の脆弱性を共有している。したがって、将来的に大規模量子コンピュータが実行する復号アルゴリズムが、現在開発されているPQCを破るリスクを完全に排除することはできない。 |
| NIST PQC standardisation competition |
NIST PQC標準化コンペティション |
| The U.S. National Institute of Standards and Technology's (NIST) PQC standardisation process is still ongoing, selecting and standardising the best PQC algorithms for most entities, and is very likely to be the most widely followed selection process. It started in 2017, and it recently published the first completed, ready-to-use PQC standards (one for general encryption and two for digital signatures). Additional standards that could serve as backup standards are still in evaluation, some of them based on different types of mathematical problems. |
米国国立標準技術研究所(NIST)のPQC標準化プロセスは現在も進行中で、ほとんどの事業体にとって最適なPQCアルゴリズムを選定し、標準化している。2017年に開始され、最近、完成してすぐに使える最初のPQC標準(一般的な暗号化用1つと電子署名用2つ)を発表した。バックアップ標準となり得る追加標準もまだ評価中で、その中には異なるタイプの数学的問題に基づくものもある。 |
| Since the first call for proposals, cryptographers from around the world have submitted PQC algorithms and signature schemes. Through the rounds, researchers have developed and published attacks against algorithms, which would eliminate them. For instance, one of the most promising algorithms was successfully attacked in 2022. |
最初の提案募集以来、世界中の暗号技術者がPQCアルゴリズムと署名方式を提出してきた。このようなラウンドを通じて、研究者たちはアルゴリズムに対する攻撃を開発し、発表してきた。例えば、最も有望なアルゴリズムの1つは2022年に攻撃に成功している。 |
| The first three published standards mark a significant step forward, guiding industries on which PQC algorithms to implement and how to integrate them into their products and services. However, some tech companies, including Apple, Zoom and Signal, took proactive steps by implementing PQC algorithms selected by NIST into their products and services ahead of the first standards being published. Furthermore, as described in the latest US-EU Trade and Technology Council, the EU and the US are jointly working on the standardisation and transition to PQC. |
最初に公表された3つの標準は、どのPQCアルゴリズムを実装し、どのように製品やサービスに統合するかについて業界を導くもので、大きな前進を意味する。しかし、アップル、ズーム、シグナルを含む一部のハイテク企業は、最初の標準が公表される前に、NISTが選定したPQCアルゴリズムを自社の製品やサービスに実装することで、積極的な措置を講じた。さらに、最新の米・EU貿易技術協議会に記載されているように、EUと米国は共同でPQCの標準化と移行に取り組んでいる。 |
| It is also now part of the US-EU Cyber Dialogue. |
これは現在、米・EUサイバー・ダイアログの一部にもなっている。 |
| What the EU is doing |
EUの取り組み |
| The EU's security union strategy and cybersecurity strategy both highlight encryption as a key technology for achieving resilience against cyber-attacks (e.g. for securing digital systems and defence capabilities). The EU is aware of the threats large-scale quantum computers would bring compared to classical cryptography. To ensure the future protection of communications and the long-term integrity of confidential information, the EU is investing in quantum cryptography (e.g. QKD) as well as funding research and development for PQC. Specifically, the European Commission's white paper on 'How to master Europe's digital infrastructure needs' underlined how the EU transition to a quantum safe digital infrastructure is a key issue to be solved by using both quantum and post-quantum cryptography (also known as hybrid PQC/QKD schemes). |
EUの安全保障同盟戦略とサイバーセキュリティ戦略はいずれも、サイバー攻撃に対するレジリエンス(デジタルシステムや防衛能力の安全確保など)を実現するための重要な技術として暗号化を強調している。EUは、大規模な量子コンピュータが古典的な暗号と比較してもたらす脅威を認識している。通信の将来的な保護と機密情報の長期的な完全性を確保するため、EUは量子暗号(QKDなど)に投資するとともに、PQCの研究開発にも資金を提供している。具体的には、欧州委員会の白書「欧州のデジタルインフラのニーズをどのようにマスターするか」では、量子暗号と耐量子暗号(ハイブリッドPQC/QKD方式とも呼ばれる)の両方を使用することで、EUの量子安全デジタルインフラへの移行が解決すべき重要課題であることが強調されている。 |
| As far as quantum cryptography is concerned, the European Quantum Communication Infrastructure Initiative (EuroQCI) envisages safeguarding sensitive data by utilising quantum physics to build a terrestrial fibre network connecting strategic sites and space-based secure connectivity using satellites (IRIS²) by 2027. The supporting encryption technology chosen for the EuroQCI is QKD. Although QKD could become the backbone of an EU secure communication system in the future, experts stress how the EuroQCI is not fit to solve the short-term threats posed by quantum computers to current cryptographic systems (e.g. harvest attacks would still happen before EuroQCI becomes operational). In addition, the QKD encryption system secured through EuroQCI will apply only to a limited perimeter (e.g. governmental communications and critical infrastructure) that does not extend to cyber-attacks against third parties and supply chains. |
量子暗号に関する限り、欧州量子コミュニケーション・インフラ構想(EuroQCI)は、2027年までに戦略拠点を結ぶ地上ファイバーネットワークと衛星を利用した宇宙ベースのセキュア接続(IRIS²)を構築するために、量子物理学を利用することで機密データを保護することを想定している。EuroQCIに採用された暗号化技術はQKDである。QKDは将来、EUの安全な通信システムの基幹となる可能性があるが、専門家は、EuroQCIが、量子コンピューターが現在の暗号システムにもたらす短期的な脅威を解決するのに適していないことを強調している(例えば、ハーベスト攻撃はEuroQCIが運用開始される前にまだ起こるだろう)。加えて、EuroQCIを通じて確保されるQKD暗号化システムは、限られた周辺(例えば、政府のコミュニケーションや重要インフラ)にしか適用されず、サードパーティやサプライチェーンに対するサイバー攻撃には及ばない。 |
| For this reason, the EU is actively taking part in the US-led NIST post-quantum cryptography standardisation process (European researchers played a central role in the process) and is also taking action in PQC by: |
このため、EUは、米国が主導するNISTの耐量子暗号標準化プロセスに積極的に参加しており(このプロセスでは欧州の研究者が中心的な役割を果たした)、また、耐量子暗号においても以下のような取り組みを行っている: |
| • funding research for PQC transition (e.g. allocating €11 million to PQC research); |
- PQC移行のための研究に資金を提供する(例:PQC研究に1,100万ユーロを割り当てる); |
| • creating internal working groups in European entities (e.g. the ETSI quantum-safe cryptography working group for the standardisation and practical implementation of PQC algorithms); |
- 欧州事業体内でワーキンググループを設置する(例:PQCアルゴリズムの標準化と実用化のためのETSI量子安全暗号ワーキンググループ); |
| • publishing a recommendation on PQC to encourage Member States to develop and implement a harmonised approach as the EU transitions to post-quantum cryptography. |
- EUが耐量子暗号に移行する際に、加盟国が調和したアプローチを開発・実施することを奨励するため、PQCに関する勧告を発表する。 |
| Among Member States, such as France, Italy, Germany, the Netherlands and Spain, many cybersecurity agencies are publishing reports and guidelines on the transition to a cryptographic system resistant to quantum computer attacks. In general, Member States' approach involves: |
フランス、イタリア、ドイツ、オランダ、スペインなどの加盟国では、多くのサイバーセキュリティ機関が、量子コンピュータ攻撃に強い暗号システムへの移行に関する報告書やガイドラインを発表している。一般的に、加盟国のアプローチには以下が含まれる: |
| • using PQC algorithms recognised as secure by the scientific community (most of which result from the NIST competition); |
- 科学界が安全と認めたPQCアルゴリズムを使用する(そのほとんどはNISTのコンペティションから生まれたものである); |
| • starting the process of identification and replacement of classical cryptographic algorithms with quantum-resistant ones as soon as possible; and |
- 古典的な暗号アルゴリズムを特定し、量子耐性アルゴリズムに置き換えるプロセスを早急に開始する。 |
| • working on a combination of QKD (still in an early stage of development) and PQC cryptographic schemes. |
- QKD(まだ開発の初期段階にある)とPQC暗号方式の組み合わせに取り組む。 |
| International perspectives on the quantum transition |
量子移行に関する国際的展望 |
| Many countries have started to take action to address quantum threats to traditional cryptography. |
多くの国が、従来の暗号に対する量子の脅威に対処するための行動を開始している。 |
| Along with the NIST PQC standardisation process, the US approved the Quantum Computing Cybersecurity Preparedness Act encouraging the migration of Federal Government information technology systems to quantum-resistant cryptography by 2035. In July 2024, as required by the act, a report was published outlining key components of the strategy to migrate federal information systems to PQC. The report estimates that the costs of migrating the most important federal systems to PQC between 2025 and 2035 would be around US$7.1 billion. |
米国ではNISTのPQC標準化プロセスとともに、2035年までに連邦政府の情報技術システムを耐量子暗号に移行することを奨励する「量子コンピューティング・サイバーセキュリティ準備法」が承認された。2024年7月、この法律で義務付けられている通り、連邦政府の情報システムをPQCに移行する戦略の主要な構成要素を概説した報告書が発表された。この報告書では、2025年から2035年の間に連邦政府の最も重要なシステムをPQCに移行するコストは約71億米ドルになると見積もられている。 |
| Many Asian countries have also taken action against the quantum threat, either by trying to validate their own PQC standards (based on the same mathematical problems used in the NIST competition) or by investing in quantum cryptography (e.g. QKD). In 2021, the Republic of Korea established a PQC cryptography research group that held a competition to select post-quantum standards for public-key encryption and digital signatures. The group announced the results of the first round of the competition in December 2023, when eight algorithms were selected to advance to the second round. The Chinese Association for Cryptologic Research (CACR) also held a PQC standardisation competition in 2018, and announced the three algorithms (LAC.PKE, Aigis-enc and Aigis-sig) as the winners in 2020. At the same time, China is also one of the most active countries in the field of quantum cryptography. In 2016, it launched the first quantum satellite using QKD methods into orbit (Micius), and in 2021 China announced the first quantum communication network based on QKD spanning optical fibre and two ground-satellite links for a combined distance of 4 600 km. |
多くのアジア諸国も、独自のPQC標準(NISTのコンペティションで使用されたのと同じ数学的問題に基づく)を妥当性確認しようとしたり、量子暗号(QKDなど)に投資したりして、量子の脅威に対する対策を講じている。2021年、韓国はPQC暗号研究グループを設立し、公開鍵暗号と電子署名のポスト量子標準を選定するコンペを開催した。同グループは2023年12月に第1ラウンドの結果を発表し、第2ラウンドに進む8つのアルゴリズムが選ばれた。中国暗号研究協会(CACR)も2018年にPQC標準化コンペを開催し、2020年に3つのアルゴリズム(LAC.PKE、Aigis-enc、Aigis-sig)を優勝者として発表した。同時に、中国は量子暗号の分野で最も活発な国のひとつでもある。2016年には、QKD方式を用いた初の量子衛星(Micius)を軌道に打ち上げ、2021年には、光ファイバーと2つの地上衛星リンクを合わせた距離4,600kmに及ぶQKDに基づく初の量子コミュニケーション・ネットワークを発表した。 |
| Russia established a technical committee for standardisation of cryptography and security mechanisms (Technical Committee 26), creating 'Working Group 2.5 – Post-Quantum Cryptographic Mechanisms' in 2019. The working group has already developed several quantumresistant algorithms (PQC), but none of them have been standardised yet. In terms of quantum cryptography, Russia and China established a quantum communication network based on QKD encryption between a ground station near Moscow to another in China's western Xinjiang region which are 3 800 kilometres apart. |
ロシアは暗号とセキュリティメカニズムの標準化のための技術委員会(技術委員会26)を設立し、2019年に「作業部会2.5-耐量子暗号メカニズム」を創設した。同ワーキンググループはすでにいくつかの量子耐性アルゴリズム(PQC)を開発しているが、まだ標準化されたものはない。量子暗号に関しては、ロシアと中国が、3,800km離れたモスクワ近郊の地上局と中国西部新疆ウイグル自治区の地上局との間で、QKD暗号に基づく量子通信ネットワークを構築した。 |
| Figure 1 – International approaches and development of standards |
図1-国際的アプローチと標準の開発 |
 |
| Challenges and potential action |
課題と可能性 |
| The development of quantum cryptography (QKD) and post-quantum encryption algorithms (PQC) is crucial to protect information (e.g. government classified, financial, and health data) against quantum computer threats. Such a path presents various challenges:4 |
量子暗号(QKD)と耐量子暗号アルゴリズム(PQC)の開発は、量子コンピュータの脅威から情報(政府機密、金融、健康データなど)を守るために極めて重要である。このような道筋には様々な課題がある4。 |
| • Transitioning to new cryptographic systems takes time – QKD is not sufficiently mature yet and a full implementation of PQC cryptographic standards will require at least another five to 15 years in the best-case scenario. |
- 新しい暗号システムへの移行には時間がかかる - QKDはまだ十分に成熟しておらず、PQC暗号標準の完全な実装には、最良のシナリオでも少なくともあと5年から15年はかかる。 |
| • Lack of crypto agility – current information systems used by governments and industries have not been designed to adjust rapidly to new cryptographic systems, requiring huge changes to infrastructure. |
- 暗号の俊敏性の欠如 - 政府や産業界が使用している現在の情報システムは、新しい暗号システムに迅速に対応できるように設計されていないため、インフラに大きな変更が必要となる。 |
| • Budget and skills – transitioning to a quantum safe digital infrastructure requires substantial investment and cyber-specialists to mitigate threats. |
- 予算とスキル - 量子的に安全なデジタル・インフラへの移行には、多額の投資とサイバー脅威を軽減するための専門家が必要である。 |
| Security and defence policy in the EU is predominantly a competence of the Member States, leaving them as the main actors in the quantum transition. Nonetheless, following the EU's efforts to build a cybersecurity agenda and its role in cybersecurity policies (e.g. NIS2 and the Cyber Resilience Act), the EU can facilitate coordination in the transition to quantum safe systems both at technical and political level. Starting from this facilitating and coordinating role at EU level, the Commission suggested the following actions to ensure a swift and synchronised migration of current systems to PQC across the EU by enabling Member States to: |
EUの安全保障・防衛政策は加盟国の権限に委ねられており、量子移行における主役は加盟国である。しかし、サイバーセキュリティのアジェンダを構築し、サイバーセキュリティ政策(NIS2やサイバーレジリエンス法等)においてEUがその役割を担っていることを踏まえると、EUは、量子安全システムへの移行において、技術レベルでも政治レベルでも調整を促進することができる。欧州委員会は、このようなEUレベルでの促進・調整の役割から出発して、加盟国がPQCへの移行を迅速かつ同期的に行えるようにすることで、EU全域で現行システムのPQCへの移行を確実にするため、以下の行動を提案した: |
| • define the 'Post-Quantum Cryptography Coordinated Implementation Roadmap' aiming to ensure cross-border interoperability; |
- 国境を越えた相互運用性を確保することを目的とした「耐量子暗号協調実装ロードマップ」を定義する; |
| • establish a subgroup of the NIS Cooperation Group on Post-Quantum Cryptography formed by cybersecurity experts (e.g. ENISA and representatives of national cybersecurity authorities) to help design and implement the abovementioned roadmap by April 2026; |
- サイバーセキュリティの専門家(ENISAや各国のサイバーセキュリティ当局の代表者など)で構成される「耐量子暗号に関するNIS協力グループ」のサブグループを認可し、2026年4月までに上記のロードマップの設計と実施を支援する; |
| • develop EU PQC algorithms and adopt them as standards to be implemented across the EU. |
- EU PQCアルゴリズムを開発し、EU全域で実施される標準として採用する。 |
| At Union level, the Commission will (i) periodically monitor and assess Member States' progress in the design and implementation of the roadmap, and (ii) assess whether these coordination measures among Member States will be enough. In case of a negative assessment, the Commission might propose additional actions, including binding EU legal acts if required. |
EUレベルでは、欧州委員会が、(i) 加盟国によるロードマップの策定・実施の進捗状況を定期的に監視・アセスメントし、(ii) 加盟国間のこうした調整措置が十分であるかどうかを評価する。否定的な評価が下された場合、欧州委員会は、必要であれば拘束力のあるEUの法的措置を含む追加措置を提案する可能性がある。 |
| Experts and academics have also proposed recommendations5 for a future-proof use of cryptography, such as: |
また、専門家や学識経験者からは、暗号の将来的な利用を見据えた、以下のような提言5も出されている: |
| • A combined use of QKD-PQC schemes – QKD is a promising technology to be further explored, considering it will be theoretically safe from decryption by quantum computers. However, due to current and inherent limitations (e.g. costs and scalability issues), it can now be used in practice only in some niche use cases. Therefore a hybrid QKD-PQC approach to cryptography – where speeding up migration to PQC has priority over the use of QKD (e.g. to protect against harvest attacks) – seems the way to go. |
- QKD-PQC方式の併用 - QKDは、量子コンピュータによる復号化から理論的に安全になることを考えると、さらに検討されるべき有望な技術である。しかし、現状では固有の制限(コストやスケーラビリティの問題など)があるため、実際に使用できるのは一部のニッチなユースケースに限られている。そのため、QKDとPQCのハイブリッド暗号(PQCへの移行を早めることがQKDの利用(ハーベスト攻撃からの保護など)よりも優先される)が望ましいと思われる。 |
| • Hybrid solutions of classic and PQC algorithms – experts recommend the combination of classical quantum-vulnerable (e.g. RSA and ECC) and quantumresistant algorithms (PQC) in current information systems as an intermediate step before the full transition to PQC and QKD. In this way, attackers would need to break both schemes. This will allow time to test new PQC algorithms and decrease the bad outcomes of its potential flaws (the level of security offered by classical algorithms would be guaranteed).6 |
- 古典的アルゴリズムとPQCアルゴリズムのハイブリッド・ソリューション - 専門家は、PQCやQKDに完全に移行する前の中間段階として、現在の情報システムで古典的量子脆弱性アルゴリズム(RSAやECCなど)と量子耐性アルゴリズム(PQC)を組み合わせることを推奨している。この方法では、攻撃者は両方の方式を破る必要がある。こうすることで、新しいPQCアルゴリズムをテストする時間を確保し、潜在的な欠陥による悪い結果を減らすことができる(古典的アルゴリズムが提供するセキュリティレベルは保証される)6。 |
| • Creating standards for crypto agility by design – adapting existing digital infrastructure to cryptographic algorithms requires changes (e.g. software and protocol specifications). Organisations should work towards crypto agility by letting the infrastructure adjust with new PQC data formats and sizes.7 In addition, standardsetting bodies and regulators should work on getting crypto agility embedded in any new standard currently under development (e.g. 6G must be crypto-agile and PQC compatible).8 |
- 設計による暗号アジリティの標準化 - 既存のデジタルインフラを暗号アルゴリズムに適合させるには、変更(ソフトウェアやプロトコルの仕様など)が必要である。さらに、標準化団体と規制当局は、現在開発中の新規格に暗号アジリティを組み込 むことに取り組むべきである(例えば、6Gは暗号アジリティとPQC互換でなければならない)8。 |
| MAIN REFERENCES |
主な参考文献 |
| Beullens, W. et al., Post-Quantum Cryptography: Current state and quantum mitigation, ENISA, 2021. |
Beullens, W. et al., 『耐量子暗号』: Beullens, W. et al., Post-Quantum Cryptography: Current state and quantum mitigation, ENISA, 2021. |
| De Luca, S. and Reichert, J., Quantum: What is it and where does the EU stand?, EPRS, European Parliament, 2024. |
De Luca, S. and Reichert, J., Quantum: EPRS、欧州議会、2024年。 |
| Pupillo, L. et al., Quantum Technologies and Cybersecurity, CERRE, 2023. |
Pupillo, L. et al., Quantum Technologies and Cybersecurity, CERRE, 2023. |
| ENDNOTES |
注 |
| 1 'An appropriate illustration is a mailbox into which anyone can deliver messages, which are then protected from access by third parties because only the owner of a key for the mailbox can retrieve and read the messages.' |
1 「適切な例として、誰でもメッセージを届けることができるメールボックスがある。そのメールボックスは、メールボックスの鍵の所有者だけがメッセージを取り出して読むことができるため、サードパーティからのアクセスから保護される」。 |
| 2 Chawla, D. and Mehra, S., A roadmap from classical cryptography to post-quantum resistant cryptography for 5Genable IoT: Challenges, opportunities and solutions, 2023. |
2 Chawla, D. and Mehra, S., A roadmap from classical cryptography to post-quantum resistant cryptography for 5Genable IoT: 課題、機会、解決策、2023年。 |
| 3 Li, S. et al, Post-Quantum Security: Opportunities and Challenges, 2023. |
3 Li, S. et al, Post-Quantum Security: チャンスと課題、2023年。 |
| 4 Ini, K. et al, Challenges in the Transition towards a Quantum-safe Government, 2022. |
4 Ini, K. et al, Challenges in the Transition towards a Quantum-safe Government, 2022. |
| 5 Baseri, Y. et al, Navigating quantum security risks in networked environments: A comprehensive study of quantumsafe network protocols, 2024. |
5 Baseri, Y. et al, Navigating quantum security risks in networked environments: A comprehensive study of quantumsafe network protocols, 2024. |
| 6 Joseph, D. et al, Transitioning organizations to post-quantum cryptography, 2022. |
6 Joseph, D. et al, Transitioning organizations to post-quantum cryptography, 2022. |
| 7 Wiesmaier, A. et al., On PQC migration and crypto-agility, 2021. |
7 Wiesmaier, A.他, PQCの移行と暗号アジリティについて, 2021. |
| 8 Ibid. 6. |
8 同上。6. |
Recent Comments