量子コンピュータが実用化されたら、今のパスワードはすべて破られますか？

いいえ、それは誤解です。量子コンピュータが直接破壊するのは RSA や ECC などの公開鍵暗号であり、パスワードハッシュ (bcrypt、Argon2 など) への影響は限定的です。Grover のアルゴリズムによりブルートフォースの探索空間が平方根に縮小されますが、16 文字以上のランダムパスワードを Argon2id でハッシュしていれば、量子コンピュータでも現実的な時間内に破ることは困難です。ただし、パスワードが TLS で送信される過程が傍受された場合、将来的に復号される可能性はあります。

パスキーは量子コンピュータに対して安全ですか？

現在のパスキーは ECDSA (楕円曲線暗号) に基づいており、Shor のアルゴリズムによって理論的には破られる可能性があります。しかし、FIDO Alliance は既にポスト量子暗号への移行を検討しており、パスキーの基盤となる FIDO2 プロトコルは暗号アルゴリズムの差し替えが可能な設計になっています。量子コンピュータが実用化される前に、パスキーの暗号基盤はポスト量子アルゴリズムに更新される見込みです。パスワードよりもパスキーの方が、量子時代への移行がスムーズに進む可能性が高いです。

「Harvest Now, Decrypt Later」攻撃から身を守るにはどうすればよいですか？

個人レベルでは、ポスト量子暗号に対応したサービスやアプリを優先的に利用してください。Signal は既にポスト量子鍵交換 (PQXDH) を実装しており、Chrome も TLS 1.3 で ML-KEM をサポートしています。ブラウザとアプリを常に最新に保つことで、これらの保護を自動的に享受できます。また、長期間にわたって機密性を保つ必要があるデータ (医療記録、法的文書、財務情報など) については、保存時の暗号化にもポスト量子アルゴリズムの採用を検討してください。

ポスト量子時代のパスワードセキュリティ - 量子コンピュータは何を変えるのか

この記事は約 14 分で読めます

量子コンピュータはあなたのパスワードを破壊しません - 少なくとも、多くの人が想像するような形では。メディア報道の多くが見落としている決定的な区別があります。Shor のアルゴリズムが壊滅させるのは公開鍵暗号 (RSA、ECC、Diffie-Hellman) であり、bcrypt や Argon2 のようなパスワードハッシュアルゴリズムに対しては、Grover のアルゴリズムによる二次的な高速化 (探索空間の平方根への短縮) にとどまり、 128 ビットの探索空間が実効 64 ビットに縮小される程度です。IBM の量子ロードマップは 2033 年までに 100,000 量子ビットを目標としていますが、適切にソルト付与された Argon2 ハッシュに対して Grover のアルゴリズムを実行するには、数百万のエラー訂正済み論理量子ビットが必要であり、いかなる予測タイムラインをも大幅に超えています。一方、NIST は 2024 年に 3 つのポスト量子暗号標準 (ML-KEM、ML-DSA、SLH-DSA) を最終確定し、脆弱なアルゴリズムからの移行を 2035 年までに完了するよう推奨しています。真に差し迫った脅威は「Harvest Now, Decrypt Later」- 敵対者が今日暗号化データを収集し、量子コンピュータの成熟後に復号するという戦略です。本記事では、事実と誇大宣伝を切り分け、量子コンピュータがパスワードセキュリティに実際に何を変えるのかを解説し、個人と組織が今すべきことを整理します。

Shor のアルゴリズムと Grover のアルゴリズム - 影響範囲の正確な整理

量子コンピュータがセキュリティに与える影響を正確に理解するには、2 つの量子アルゴリズムの違いを明確に区別する必要があります。Shor のアルゴリズムは、大きな整数の素因数分解と離散対数問題を多項式時間で解くことができます。これは RSA 暗号 (素因数分解の困難性に依存)、楕円曲線暗号 (離散対数問題に依存)、Diffie-Hellman 鍵交換を根本から破壊します。現在のインターネットの暗号化通信 (TLS/SSL)、デジタル署名、PKI 基盤のほぼすべてが影響を受けます。

一方、Grover のアルゴリズムは非構造化探索問題に対して二次的な高速化を提供します。パスワードのブルートフォース攻撃に適用した場合、N 個の候補を探索する計算量が N から √N に削減されます。具体的には、128 ビットのセキュリティ強度を持つハッシュに対して、Grover のアルゴリズムは実効的に 64 ビットの強度に低下させます。これは深刻に聞こえるかもしれませんが、実際には 2^64 の計算量は依然として膨大であり、現在の古典コンピュータでも数十年を要する規模です。さらに重要なのは、bcrypt や Argon2 のようなパスワードハッシュ関数は意図的に計算コストを高く設計されており、Grover のアルゴリズムの各反復にもこのコストが適用される点です。

パスワードハッシュへの実際の影響 - 冷静な評価

パスワードハッシュに対する量子コンピュータの脅威を冷静に評価しましょう。Argon2id (OWASP 推奨設定: メモリ 19 MiB、反復 2 回、並列度 1) でハッシュされた 16 文字のランダムパスワードを考えます。古典コンピュータでのブルートフォースには約 2^95 の計算量が必要です。Grover のアルゴリズムを適用しても、約 2^47.5 の量子演算が必要であり、各演算に Argon2 の計算コスト (19 MiB のメモリアクセスを含む) が乗算されます。現在の量子コンピュータの動作速度 (マイクロ秒単位のゲート操作) を考慮すると、この計算は天文学的な時間を要します。

つまり、適切に設計されたパスワードハッシュシステムは、量子コンピュータに対しても相当な耐性を持っています。対策は単純です。パスワードの長さを十分に確保し (16 文字以上を推奨)、Argon2id のような現代的なハッシュ関数を適切なパラメータで使用すれば、量子時代においてもパスワードハッシュの安全性は維持されます。ただし、これはパスワードハッシュに限った話であり、TLS 通信の暗号化やデジタル署名に使われる公開鍵暗号は Shor のアルゴリズムによって完全に破壊されるため、こちらの移行は急務です。

NIST ポスト量子暗号標準化の現状

NIST (米国国立標準技術研究所) は 2016 年にポスト量子暗号の標準化プロセスを開始し、2024 年 8 月に最初の 3 つの標準を最終確定しました。ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism、旧称 CRYSTALS-Kyber) は鍵カプセル化メカニズムであり、TLS ハンドシェイクなどの鍵交換に使用されます。ML-DSA (Module-Lattice-Based Digital Signature Algorithm、旧称 CRYSTALS-Dilithium) はデジタル署名アルゴリズムで、コード署名や証明書の検証に使用されます。SLH-DSA (Stateless Hash-Based Digital Signature Algorithm、旧称 SPHINCS+) はハッシュベースの署名アルゴリズムで、格子暗号とは異なる数学的基盤を持つバックアップとして位置づけられています。

これらの標準は既に採用が始まっています。Google Chrome はバージョン 131 (2024 年 11 月) から TLS 1.3 で ML-KEM をサポートし、Signal Protocol は 2023 年 9 月に PQXDH (ポスト量子拡張 Diffie-Hellman) を統合しました。暗号技術の基礎を深く理解するには、暗号化の基礎の記事とPKI の用語集が、なぜ公開鍵基盤が主要なターゲットなのかについて重要な文脈を提供しています。

「Harvest Now, Decrypt Later」- 今そこにある脅威

ポスト量子暗号の議論で最も見落とされがちなのが「Harvest Now, Decrypt Later」(HNDL) 攻撃です。国家レベルの攻撃者は、現在の暗号化通信を大量に傍受・保存しています。これらのデータは現時点では復号できませんが、将来の量子コンピュータで復号可能になることを見越した長期戦略です。外交通信、軍事情報、企業の知的財産、医療記録など、長期間にわたって価値を持つデータが主なターゲットです。

HNDL 攻撃がパスワードセキュリティに与える影響は間接的ですが重要です。パスワードハッシュ自体は量子耐性がありますが、パスワードが TLS で暗号化されて送信される過程が傍受された場合、将来的にパスワードの平文が復元される可能性があります。これは特に、パスワードを長期間変更しないユーザーにとってリスクとなります。また、セッショントークンや認証トークンが傍受・保存された場合、将来的にそれらが復号されてリプレイ攻撃に使用される可能性もあります。

個人ユーザーが今すべきこと

量子コンピュータの脅威に対して、個人ユーザーが今すぐ取るべき対策は明確です。第一に、パスワードの長さを 16 文字以上に確保してください。Grover のアルゴリズムによる高速化を考慮しても、16 文字以上のランダムパスワードは量子コンピュータに対して十分な安全マージンを持ちます。パスワードマネージャーを使用すれば、長く複雑なパスワードの管理は容易です。第二に、パスキーへの移行を積極的に進めてください。パスキーは FIDO2/WebAuthn に基づく認証方式であり、パスワードそのものを排除することで、パスワードに関連するすべてのリスク (フィッシング、ブルートフォース、量子攻撃を含む) を根本的に解消します。

第三に、ソフトウェアとブラウザを常に最新の状態に保ってください。ポスト量子暗号が TLS 1.3 やその他のプロトコルに統合されるにつれ、最新の状態を維持することでこれらの保護を自動的に享受できます。パスキーガイドとパスキー移行の課題の記事で、パスワードからの移行の実践的なステップを詳しく解説しています。認証の全体像を理解したい方には、パスキーの用語集が簡潔な概要を提供しています。

組織が取るべき対策とタイムライン

組織にとって最も重要なのは、暗号アジリティ (Crypto Agility) の確保です。暗号アジリティとは、使用する暗号アルゴリズムを迅速に切り替えられるシステム設計のことです。暗号アルゴリズムがハードコードされたシステムでは、ポスト量子暗号への移行に膨大な時間とコストがかかります。まず、組織内で使用されているすべての暗号アルゴリズムのインベントリを作成してください。TLS 証明書、VPN、データベース暗号化、コード署名、API 認証など、暗号が使われているすべての箇所を洗い出します。次に、NIST が 2035 年までに移行を推奨している RSA-2048 や ECC P-256 などの脆弱なアルゴリズムを特定し、移行計画を策定します。

ゼロトラストアーキテクチャの導入も、ポスト量子時代への備えとして有効です。ゼロトラストでは、ネットワーク境界ではなく個々のリクエストごとに認証・認可を行うため、仮に一部の暗号が破られても被害を局所化できます。また、パスキーやハードウェアセキュリティキーの組織的な導入は、パスワードへの依存を減らし、量子コンピュータによるパスワード攻撃のリスクそのものを排除する最も効果的な長期戦略です。

暗号技術の基礎と量子耐性戦略について理解を深めたい方には、暗号技術の参考書籍 (Amazon)が古典的なアルゴリズムからポスト量子アルゴリズムまで包括的にカバーしています。

よくある質問

量子コンピュータが実用化されたら、今のパスワードはすべて破られますか？: いいえ、それは誤解です。量子コンピュータが直接破壊するのは RSA や ECC などの公開鍵暗号であり、パスワードハッシュ (bcrypt、Argon2 など) への影響は限定的です。Grover のアルゴリズムによりブルートフォースの探索空間が平方根に縮小されますが、16 文字以上のランダムパスワードを Argon2id でハッシュしていれば、量子コンピュータでも現実的な時間内に破ることは困難です。ただし、パスワードが TLS で送信される過程が傍受された場合、将来的に復号される可能性はあります。
パスキーは量子コンピュータに対して安全ですか？: 現在のパスキーは ECDSA (楕円曲線暗号) に基づいており、Shor のアルゴリズムによって理論的には破られる可能性があります。しかし、FIDO Alliance は既にポスト量子暗号への移行を検討しており、パスキーの基盤となる FIDO2 プロトコルは暗号アルゴリズムの差し替えが可能な設計になっています。量子コンピュータが実用化される前に、パスキーの暗号基盤はポスト量子アルゴリズムに更新される見込みです。パスワードよりもパスキーの方が、量子時代への移行がスムーズに進む可能性が高いです。
「Harvest Now, Decrypt Later」攻撃から身を守るにはどうすればよいですか？: 個人レベルでは、ポスト量子暗号に対応したサービスやアプリを優先的に利用してください。Signal は既にポスト量子鍵交換 (PQXDH) を実装しており、Chrome も TLS 1.3 で ML-KEM をサポートしています。ブラウザとアプリを常に最新に保つことで、これらの保護を自動的に享受できます。また、長期間にわたって機密性を保つ必要があるデータ (医療記録、法的文書、財務情報など) については、保存時の暗号化にもポスト量子アルゴリズムの採用を検討してください。

パスワードを生成する →