暗号工学者：「量子コンピューターは『128ビット対称暗号』に対して脅威をもたらさない」

暗号工学者のフィリッポ・ヴァルソルダは、2026年4月20日に技術分析記事を発表し、量子コンピュータは最も楽観的な開発速度に従っても、予見可能な将来において128ビット対称暗号（AES-128）を解読できないと論じ、「ポスト量子暗号」の誤読が業界にあると指摘した。

ヴァルソルダ論文の中核的主張：グローバー（Grover）アルゴリズムは効果的に並列化できない

（出典：Filippo Valsorda）

ヴァルソルダの分析記事によれば、業界でよくある誤解として、量子コンピュータのグローバー（Grover）アルゴリズムが、128ビット対称鍵の安全強度を「半分」にして64ビットにするというものがある。しかし、この主張はグローバー（Grover）アルゴリズムの重要な制約を見落としている。つまり、その手順は逐次実行でなければならず、無理に並列化すると総計算コストが急激に増大する。

ヴァルソルダの計算では、AES-128を解読するための総計算量は約 2¹⁰⁴·⁵ 回の操作である。一方で、ショア（Shor）アルゴリズムで256ビット楕円曲線暗号を解読するには約 2²⁶ 回の操作が必要だという（Babbushらによる2026年の研究から引用）。両者の差は約 2⁷⁸·⁵ 倍であり、ヴァルソルダは、この差によってグローバー攻撃によるAES-128へのアプローチは現実的にまったく不可能だと述べている。

NIST、BSI、および学術界の共通認識

ヴァルソルダが引用した公式文書によれば、米国国立標準技術研究所（NIST）は、ポスト量子暗号に関する一般的なQ&Aの中で、「グローバー（Grover）アルゴリズムはAESへの攻撃においてほとんど優位性を持たない可能性があり、AES-128は今後数十年にわたって安全性を保つ」と明確に述べており、「既存のアプリケーションは引き続き128ビットのAES鍵を使用できる」ことも確認している。さらにNIST IR 8547 では、2035年に量子攻撃に対して脆弱なアルゴリズムを禁止するとともに、すべてのAES鍵長が依然として許容されることを確認している。

ドイツ連邦情報セキュリティ局（BSI）は、その『暗号化メカニズム：推奨と鍵長』報告書の中で、新たな暗号システムではAES-128、AES-192、AES-256を採用することを推奨している。ルールの「University of Waterloo」ではなく、ワーテルロー大学の暗号学助教授サミュエル・ジャック（Samuel Jaques）は、2024年の研究プレゼンテーションで「表面符号に基づくグローバー探索は、AES-128では決して成功しない」と述べた。

ポスト量子移行の実際の優先事項

ヴァルソルダの結論によれば、ポスト量子暗号への移行で唯一差し迫った緊急の課題は、ショア（Shor）アルゴリズムによる攻撃に対して脆弱な非対称暗号を置き換えることである。これにはRSA、ECDSA、ECDHが含まれる。ヴァルソルダは、有限の資源を対称鍵のアップグレード（128→256ビット）に振り向けるのは不要な操作であり、システムの複雑性を高め、調整に必要な資源を分散させ、真に差し迫った非対称暗号の置き換え作業を妨げると指摘している。

よくある質問

ヴァルソルダはなぜ、グローバー（Grover）アルゴリズムがAES-128を脅かせないと考えるのか？

ヴァルソルダの分析記事によれば、グローバー（Grover）アルゴリズムの手順は逐次実行でなければならず、有効に並列化できない。無理に並列化すると、AES-128を解読するための総計算量は約 2¹⁰⁴·⁵ 回の操作になり、ショア（Shor）アルゴリズムで256ビット楕円曲線暗号を解読するコストより約 2⁷⁸·⁵ 倍高くなる。

NISTは、AES鍵長を倍にする必要があるのかどうかについて、公式にどのような立場を取っているのか？

ヴァルソルダの記事で引用されたNISTのポスト量子暗号に関する一般的なQ&Aによれば、NISTは量子脅威に対応するためにAES鍵長を倍にすべきではないと明確に示しており、後量子時代においても128ビット、192ビット、256ビットのAES鍵が引き続き安全であることを確認している。

ポスト量子暗号移行の本当の差し迫った課題は何か？

ヴァルソルダの結論によれば、唯一差し迫った課題は、ショア（Shor）アルゴリズムによる攻撃に対して脆弱な非対称暗号アルゴリズム（RSA、ECDSA、ECDHなど）を置き換えることであり、対称鍵長のアップグレードではない。対称鍵のアップグレードは不要な操作であり、複雑性を高め、資源を分散させる。