Appleは2月21日(米国時間)、「Blog - iMessage with PQ3: The new state of the art in quantum-secure messaging at scale - Apple Security Research」において、同社が開発したエンド・ツー・エンドの最先端で安全なメッセージングを実現する量子暗号プロトコル「PQ3」をiMessageに導入すると発表した。PQ3は耐量子計算機暗号(PQC: Post-Quantum Cryptography)のレベル3に該当する暗号化技術とされる。

  • Blog - iMessage with PQ3: The new state of the art in quantum-secure messaging at scale - Apple Security Research

    Blog - iMessage with PQ3: The new state of the art in quantum-secure messaging at scale - Apple Security Research

耐量子計算機暗号「PQC」の特徴

秘匿性を要求されるメッセージングアプリなどの通信では、エンド・ツー・エンドの暗号化(E2EE: End-to-end encryption)を実現するために、多くのアプリで公開鍵暗号方式が使用されている。仕組みは単純で、送信者は相手の公開鍵でメッセージを暗号化して送信、受信者は自身の秘密鍵で復号する。この公開鍵暗号方式に古くはRSAが使用されてきたが、iMessageは2019年に楕円曲線暗号(ECC: Elliptic Curve Cryptography)に変更している。

このようなメッセージの秘匿化の取り組みに影響を与える存在として、研究の進む量子コンピュータがある。量子コンピュータが実用化されると、その高速な計算能力により既存の暗号は比較的短い時間で解読される可能性がある。現時点ではエラー訂正などに課題があり本格的な実用化はまだ先とみられているが、すでに「Harvest Now, Decrypt Later攻撃」と呼ばれる脅威を現実のものにしている。

この攻撃手法は、解読したいメッセージをストレージにすべて保管し、量子コンピュータが実用化された段階で解読する手法。時間経過が情報を陳腐化させる場合は安全とみなせるが、そうでない情報はすでに脅威にさらされていると考えることができる。

そこで、米国国立標準技術研究所(NIST: National Institute of Standards and Technology)は、既存の暗号を短時間に解読可能な量子コンピュータが実用化されると想定し、量子コンピュータでも解読困難な「耐量子計算機暗号(PQC)」の標準化を進めている(参考:「Post-Quantum Cryptography | CSRC」)。

量子暗号プロトコル「PQ3」の特徴

今回、Appleはこの耐量子計算機暗号(PQC)のレベル3に相当する新しいメッセージングアプリ向け暗号プロトコルとして、量子暗号プロトコル「PQ3」を発表した。PQ3では「Kyber」と呼ばれる耐量子計算機暗号を採用したことにより、受信者がオフラインの場合でも送信者は受信者の公開鍵を取得して最初のメッセージの耐量子暗号鍵を生成できるという。なお、耐量子計算機暗号(PQC)のレベル3は米国国立標準技術研究所(NIST)の資料「Post-Quantum Cryptography | CSRC」からAES-192暗号の鍵探索に必要な計算資源に相当すると定義されている。

  • メッセージングアプリの暗号技術の推移 - 提供:Apple

    メッセージングアプリの暗号技術の推移  引用:Apple

PQ3の主な特徴は次のとおり。

  • メッセージと共に送信される新しい鍵を使用して過去の鍵から計算できない新しいメッセージ暗号化鍵を作成する。これにより過去の鍵が侵害された場合でも新しい会話は安全な状態を維持できる
  • 最初の鍵確立時と鍵の再構築時の双方に楕円曲線暗号と耐量子計算機暗号を組み合わせた仕組みを採用。そのため不正に鍵を取得するには両方の暗号を解読する必要がある
  • PQ3で使用される耐量子計算機暗号鍵のデータサイズは既存のプロトコルより大幅に大きいため、鍵更新はメッセージごとではなく定期的に行われる。将来的に鍵交換頻度を増やすことは可能
  • 送信者の認証、iMessage連絡先キー確認(Contact Key Verification)には従来の古典的暗号アルゴリズムを使用する。これはこれらの認証メカニズムに「Harvest Now, Decrypt Later攻撃」を適用することができないため。ただし、リアルタイムに解読可能な量子コンピュータが出現した場合は侵害される可能性がある

AppleはPQ3のサポートをiOS 17.4、iPadOS 17.4、macOS 14.4、watchOS 10.4のパブリックリリースにて開始する予定。なお、PQ3をサポートするデバイス間のiMessageの会話は自動的にPQ3に移行される。