【SEC501 セッションレポート】ショアのアルゴリズムからAWSの量子暗号戦略まで

• セッション概要
• セッション詳細
  • 量子コンピューティングの基礎
  • 量子ゲートと量子回路
  • 量子アルゴリズムと暗号への脅威
  • ポスト量子暗号（PQC）の必要性
  • AWSのPQC移行戦略
  • 採用されたPQCアルゴリズムと標準化
  • ハイブリッド暗号と移行期の課題
  • 将来の展望と量子脅威の現実性
  • おわりに
• まとめ

フィラデルフィアで開催されたre:Inforce 2025のコードトークのセッションレポートです。
これまで、セッションのレベルは100、200、300、400だったのですが、今回あらたにレベル500が追加されました。
今回はレベル500セッションのうちの1つである、「SEC501: From Shor's algorithm to AWS's post-quantum cryptography strategy」を紹介します。

セッション概要

Matthew Campagna Cryptographer, Amazon Web Services

世界は今後5～10年で、新たな耐量子暗号（PQC）へと移行していきます。
ショアの量子アルゴリズムとして知られる量子アルゴリズムと、それが今日使用されている従来の公開鍵アルゴリズムをどのようにして破るのかについて学びます。
本講演では、ショアのアルゴリズムにおいて量子周期探索アルゴリズムがどのように用いられ、楕円曲線暗号とRSA暗号を破るのかを説明します。
また、AWSと暗号コミュニティ全体が、大規模量子コンピュータが今日の情報システムにもたらすリスクを回避するために講じてきた対策についても概説します。
最後に、AWSのPQC移行戦略の概要と、アプリケーションとサービスを量子耐性にする方法を説明します。

セッション詳細

量子コンピューティングの基礎

量子コンピュータは、従来のビット（0または1）ではなく、量子ビット（qubit）を用いて情報を処理します。
qubitは0と1の重ね合わせ状態を持ち、測定によって確率的に0または1に収束します。

また、qubit同士はエンタングルメント（量子もつれ）という状態により、互いに強く相関した状態をとることができます。
これにより、量子コンピュータは並列的な計算を可能にし、特定の問題においては古典コンピュータを凌駕する性能を発揮します。

量子ゲートと量子回路

量子計算は、ユニタリ行列によって表現される量子ゲートを用いて行われます。
代表的なゲートには以下のようなものがあります：

• Hadamardゲート：qubitを重ね合わせ状態に変換
• CNOTゲート（制御NOT）：制御qubitが1のときにターゲットqubitを反転
• 制御スワップゲート：条件に応じてqubitの値を交換

これらのゲートを組み合わせて量子回路を構成し、複雑な演算を実現します。

量子アルゴリズムと暗号への脅威

量子コンピュータが暗号に与える最大の脅威は、ShorのアルゴリズムとGroverのアルゴリズムにあります。

• Shorのアルゴリズム：RSAやECCの根幹である素因数分解や離散対数問題を多項式時間で解く
• Groverのアルゴリズム：対称鍵暗号に対して平方根の時間で探索を行う（例：AES-128の安全性がAES-64相当に低下）

これにより、現在広く使われている公開鍵暗号は量子コンピュータの前では無力となる可能性があります。

ポスト量子暗号（PQC）の必要性

AWSを含む多くの企業や政府機関は、量子コンピュータの実用化に備え、量子耐性を持つ暗号アルゴリズムへの移行を進めています。これが「ポスト量子暗号（PQC）」です。

PQCは、量子コンピュータによる既知の攻撃に対して安全であることが求められ、古典コンピュータ上で実行可能であることが前提です。

AWSのPQC移行戦略

AWSでは、以下の4つのワークストリームを軸に、段階的なPQC移行を進めています。

• インベントリの整備：既存の暗号資産の棚卸しと分類
• データ保存の保護：KMSやSecrets ManagerなどのストレージサービスでのPQC対応
• 接続経路の保護：TLSなどの通信経路における暗号スイートのPQC対応
• 認証のPQC対応：証明書や署名のPQC化（CAブラウザフォーラムとの連携）

採用されたPQCアルゴリズムと標準化

NIST（米国国立標準技術研究所）は、2022年に以下のPQCアルゴリズムを標準化候補として選定しました：

• FIPS 203：Kyber（モジュラー格子ベースの鍵カプセル化）
• FIPS 204：Dilithium（署名アルゴリズム）
• FIPS 205：SPHINCS+（ハッシュベース署名）

AWSでは、これらのアルゴリズムをAWS LibCryptoに実装し、TLSライブラリ「s2n-tls」やKMS、Transfer Familyなどのサービスに統合しています。

ハイブリッド暗号と移行期の課題

現在は、従来の暗号とPQCを併用するハイブリッド暗号が主流です。
しかし、この移行期には以下のような課題も存在します。

• ダウングレード攻撃のリスク
• 鍵管理の複雑化
• 証明書の有効期限短縮（例：CAブラウザフォーラムによる47日ルール）

AWSでは、これらの課題に対して、量子専用エンドポイントの提供や証明書のローテーション自動化などの対策を検討しています。

将来の展望と量子脅威の現実性

講演では、「量子コンピュータが実用化された際、最初にそれを手にする者は静かに使い始めるだろう」との見解が示されました。
つまり、量子脅威は気づかぬうちに始まる可能性があるということです。

そのため、AWSでは「Store Now, Decrypt Later（今保存して、後で解読）」という攻撃モデルを想定し、Forward Secrecy（前方秘匿性）の徹底や、長期的なデータ保護のためのPQC導入を急いでいます。

おわりに

量子コンピュータの登場は、暗号技術にとってパラダイムシフトをもたらすものです。
AWSは、量子時代においても顧客のデータを安全に保つため、PQCの研究・実装・標準化に積極的に取り組んでいます。

今後も、業界全体での協調と標準化が不可欠であり、ユーザー側も早期の理解と準備が求められます。量子時代のセキュリティを見据えた取り組みは、すでに始まっているのです。

まとめ

いきなり数式や回路の説明がたくさん登場し、さすがレベル500だなと思いました。
しかしながら、学術的な内容から現代の量子暗号の情勢やAWSにおける取組みについて具体的に聴くことができたので、非常に勉強になりました。
普段何気なく使っているAWSの暗号化サービスですが、AWSのこのような活動のおかげで安心して使えるということを留めながら活用していきたいと思います。