GMO Developers Day 2023｜意外と身近？日常にひそむ暗号技術 / 開発者向けブログ・イベント

GMOインターネットグループでは、2023年12月5日（火）～6日（水）の2日間、エンジニア・クリエイター向けカンファレンス「GMO Developers Day 2023」をオンライン配信（YouTube Live）にて開催しました。

開催4回目となる今年は「Re imagination -新たな可能性の追求」をコンセプトに、「AI（人工知能）」「セキュリティ」「エンジニア」などの技術とクリエイティブによる挑戦について、全32セッションをお届けしました。

本記事ではGMO Developers Day 2023のDAY1にて開催された、「意外と身近？日常にひそむ暗号技術」と題したセッションをご紹介します。
インターネットを安心・安全に利用するために暗号技術は様々なところで利用されていますが、「取っつきにくい」暗号技術をより身近なものとして感じるきっかけとなることを目指したセッションとなりました。

登壇者

矢内直人氏（@Yaruo_Yanai）
大阪大学大学院情報科学研究科准教授
酒見由美（@ysakemin）
GMOインターネットグループデベロッパーエキスパート
GMOサイバーセキュリティ byイエラエ株式会社システム開発部マネージャー
菅野哲（@satorukanno）
GMOサイバーセキュリティ byイエラエ株式会社取締役CTO of Development

話を伺ったのは大阪大学大学院情報科学研究科の矢内直人准教授で、さらにGMOサイバーセキュリティ byイエラエ株式会社の取締役CTO of Developmentである菅野哲、GMOインターネットグループデベロッパーエキスパートで、GMOサイバーセキュリティ byイエラエ株式会社システム開発部マネージャーで”暗号のおねぇさん”こと酒見由美が参加しました。

耐量子暗号へ移行？暗号技術の2030年問題

今、世の中で使用されている暗号技術というものは、「世界中の研究者たちによって提案された暗号技術に対して、ほかの研究者たちが安全性評価や解析を行いながら標準化や研究開発が進んでいったもの」と矢内氏は説明します。

こうした暗号技術は、世界中の研究者たちが注目し、提案された技術を評価・解析・調査する中で安全性が証明されている状態、いわば「全人類の英知を集めて問題が見つけられないもの」（矢内氏）です。暗号技術の詳細なアルゴリズムが非公開な独自暗号技術の場合、こうした「人類の英知」は結集されていないということになります。

国際標準化にも携わっている酒見はその意見に賛同し、「安全に使えることが暗号技術の根幹で、（非公開の）独自技術ではなく、世界のエキスパートから評価されていることが重要」と言います。実際、標準化活動においても第三者からの評価がされているかどうかがその技術を採択するかどうかの観点に入っているそうです。

では、「暗号技術の安全性」とはなんでしょうか。暗号技術にとっての脅威は、量子コンピュータやスマートグリッドのようなもので大量の計算機リソースをクラスタリングするアーキテクチャを構築して暗号を解読する「計算機環境の変化」と、「暗号解読の攻撃手法の進展」という2種類の脅威があると菅野は紹介します。

こうした脅威によって、暗号技術の設計時に想定した安全性を維持できない状況を「暗号の危殆化」と呼びます。この危殆化への対策として2つの「暗号の2030年問題」が存在しています。1つ目は、将来的な危殆化を考慮して、112bit安全性を128bit安全性に移行しようというもの。

もう1つが、暗号解読可能な量子コンピュータによって現行暗号の解読が可能になってしまう事象を考慮した耐量子暗号（PQC）への移行というものです。

暗号業界のトップカンファレンスであるCRYPTO 2017において、現在、一般的にECサイトなどでも使われているRSA-2048暗号を解読するのに、どの程度のリソースが必要かという試算が講演されました。それによれば、北米の1/4の敷地にデータセンターを確保し、10の6乗兆ドルのコストを投じ、計算に必要な電力は10の6乗テラワット（参考までに地球全体の消費電力が10テラワット）が必要となり、この設定を維持して10年間稼働させてようやく解読できる、という試算結果だったそうです。

このレベルであれば、「この状況を突きつけられたら、安全だと思う人も多いのではないか」と菅野は言います。それに対して矢内氏も、「112bit安全性が今すぐ危険というわけではない」と同意します。一方、暗号技術に対する脅威はどんどん進化していくので、現時点で安全でも未来のことを考える必要があります。
そのため、10年、20年先のことを考えて暗号技術を創っていく必要があるため、それを見越した移行が必要だというわけです。

酒見は、計算機パワーが急激な向上や、天才的な数学者により革新的な攻撃方法が提案される事態もありえる脅威であると指摘。「暗号技術に対する脅威を定期的に監視することで安全に移行していく必要がある」とします。即座に、暗号移行は簡単にできるわけでもないため、暗号移行には入念な準備が必要です。

具体的な事例として、電子署名法で求められる電子署名の有効期限は5年間で、その期間において電子署名が安全な状態である必要があります。この場合には少なくとも5年先まで見据えて安全でなくてはならないと酒見は説明します。

では、耐量子暗号（PQC）の現状はどういう状況なのでしょうか。菅野によれば、一般的に利用されているブラウザのGoogle Chromeに今年8月の段階でPQCのサポートを発表。また、暗号ライブラリとして有名なOpenSSLもサポートを発表しています。

すでにPQC対応のブラウザを使った場合、YouTubeで動画を視聴するとPQCのKyber-768と現行暗号であるX25519のハイブリッドモードによる鍵交換を行っているそうで、すでに耐量子暗号が身近なシーンまで浸透しています。

ただ、データサイズや鍵サイズを現行暗号と比較すると、耐量子暗号は「鍵サイズ、データサイズのいずれもかなり大きくなってしまいます。」（矢内氏）

これによって、既存のインターネットプロトコルやネットワーク機器への影響などはあるのか？という菅野の問いに、酒見は「ある」と回答します。標準化団体のIETF（Internet Engineering Task Force）などで議論されているインターネットプロトコルですが、当初の暗号技術を議論していた段階だと、RSA 512bitも使用されていました。その頃のある程度の大きさのサイズを想定して考えられた仕様に対して、PQCは大幅に巨大化しているため仕様に対して正常に動作しないというような影響が出てしまうそうです。

例えば、具体的な影響としては、送信ドメイン認証プロトコルであるDKIMにおいて、仕様としてDNSのUDPパケットサイズである512バイトまでに制限されているので、鍵サイズが巨大であるPQC対応を行うには容易に暗号移行できないことを示しています。。「これから影響のあるインターネットプロトコルを洗い出し、それらに対して計画的に対応していくことが注目」と酒見。

こうした状況を研究サイドではどのように見ているのでしょうか。矢内氏は、「標準化の過程の中で、世界中の研究者が様々に問題を指摘して、問題があるものは淘汰されてきている」と指摘します。

そのため、現状で標準化されている技術は、少なくとも既知の脅威に対して安全であると考えることができ、安全性が保証されたものだと矢内氏は話します。もちろん、将来的には攻撃手法の進化などで、現在の安全性が崩れる危険性はあるので、継続した安全性評価は必要だと矢内氏は言います。
違う視点として、PQCの暗号機能としては高機能化しており、現行暗号の高機能暗号と同等以上となっていると矢内氏。そもそも、PQCで実現されている暗号機能を現行の高機能暗号が取り込んでいる、という逆転現象が起きているそうです。

ただ、そうした高機能化はされているとは言え、前述のように巨大サイズの暗号技術であり、インターネットプロトコルだけでなくICカードへの搭載でもサイズが問題になりかねない状況です。菅野からそうした点について問われた矢内氏は、現行の暗号技術でもデータサイズを小さくするような研究開発も行われており、PQCも世界中の研究者たちが省サイズ化を含めて研究で争っているため、「そう遠くない未来にそういった（一般的なICカード搭載）ことも可能ではないかと思う」と話します。

暗号技術には技術者と研究者が手を携えることが必要

今までは2030年問題という未来の話でしたが、実はこうした暗号移行という問題は2010年にも生じていました。2006年3月に米NIST（国立標準技術研究所）が発表したもので、SHA-1を含む複数アルゴリズムに対する攻撃が公開されたことを受けて2010年までに安全なSHA-2への移行するように声明を出しました。

これによって、世界中が移行に対して動き、「多くのベンダーが血の涙を流しながら暗号移行をした」（菅野）のが暗号の2010年問題です。

この2010年問題で、暗号移行はどのように行われたのでしょうか。暗号移行の事例としてTLS1.2に注目すると、2008年に発行されたRCF5246でTLS1.2を規定されていましたが、2014年の利用率は28％にとどまっていたそうです。

追加情報として2011年頃から、TLSプロトコルに対する攻撃が増え、発見された攻撃に対して安全であるTLS1.2への移行が促されていた時代でも、その普及率であったそうです。

矢内氏は、こうした移行が停滞していた理由について、「使えなくなる機器やサービスが多かったからではないか」と推測します。SSL3.0までしか対応しなかったフィーチャーフォン、WEPしか対応しなかったニンテンドーDSといった具合に、暗号技術の移行で使えなくなるコンシューマー機器が存在したという過去の経緯は分かりやすい例でしょう。

そうした利用できなくなる機器が出てくると、サービス提供者側も機会損失になってしまって新技術に移行しづらいという抑止力になる問題も考えられそうです。

歴史を振り返ると、実はTLS1.2への移行に比べて、TLS1.3への移行は比較的早期に進みました。これについて酒見は「IETFがいい方向で変化しているからではないか」と指摘します。IETFは、標準化プロセスにおいてインターネットドラフトを執筆する段階で、そのインターネットドラフトに基づいて実装する文化が醸成されている状態になっており、RFC化された段階ではすぐに利用可能な実装がある状態にするように変わってきているそうです。

こうした背景にはハッカソンの存在があると酒見は言います。IETFでは2015～16年頃に始まったイベントですが、今年も11月にIETF 118 ハッカソンが開催され、500人以上が参加し、50以上のプロジェクトが存在する大規模なものになっています。

ここでインターネットドラフトに対して実装物を制作する場となっていて、これが結果として移行をスムーズにすることに貢献しているというわけです。ちなみにこうしたハッカソンでは、日本からはGMOサイバーセキュリティ byイエラエやセコム、KDDIなども参加。海外ではGoogleやAppleなども参加するような規模だということです。

高機能暗号に関して、矢内氏が注目しているのは「AIの応用」だと言います。AIは色々なデータを集めて学習させるのでデータプライバシーが注目されています。ここに秘密計算や高機能暗号を導入することで、暗号化したままデータを学習させて、プライバシーを保護したままAIを利用できる、としています。

矢内氏は、「すでにMetaやGoogleが、データを暗号化したままAIに学習させるフレームワークを開発している。5年後10年後には、プライバシー保護されたセキュアAIが普及しているとみている」と予測します。

これによって、プライバシーに関連するような生の個人に関するデータが学習にそのまま使われることがないので、「ユーザーの心理的な抵抗が下がる」と矢内氏は指摘。AIが今後個人の生活に関与していく中で、強度の高い暗号技術を活用することで、安全にAIを進化させる流れは自然だと矢内氏は話します。

また、E2E暗号化という考え方は古来かありますが、矢内氏はこれをさらに発展させて「どこでも暗号化（Anywhere暗号化）」となることを、研究者として期待していると言います。
酒見によれば、IETFにはIRTF（Internet Research Task Force）があり、将来的なインターネットの課題解決や標準化を行っていて、そこには暗号に関する研究グループがあります。

そこでは、大きく2分野の標準化トレンドがあり、現行暗号に対する高機能暗号に関する議論と、PQCへの移行に関しての議論が行われているとのこと。活発な議論が行われ、PQCに関しては、具体的にインターネットプロトコルへの実装でどのような課題があるか、多くの議論があるそうです。

今後の発展した世界に目を向けると、モバイル通信における6G（Beyond 5G）、衛星通信などのネットワークにおける進化もあり、「そうした機能要件にマッチするような新しい特性を持った暗号技術も必要」と酒見は指摘します。

暗号技術は高機能化で複雑になり、世の中の動向と、理論研究・開発の間にギャップが広がっています。矢内氏は、新しい技術や製品を生み出す研究者と開発者が協力し、暗号技術を普及させ、この溝を埋めることが重要だと指摘します。

これは、研究と開発の間にある「魔の川・死の谷・ダーウィンの海」という障害を乗り越えるために必要なことだというわけです。矢内氏は、「これからの暗号技術を見据えた社会にとって、それが最も重要だと考えている」と結論づけます。

それを受けて菅野も、発生した課題に対して暗号研究者がいれば適切な暗号技術を選択、暗号の専門家ではない開発者だけでは最適な技術を選定ができないことが考えられる。逆に日常において感じている課題感を開発者も、研究者に対して共有・提案することで新しい研究の着想を与えることもあるので、お互いが手に手を取ることが必要だとまとめました。