やさしく解説

やさしく解説 · 全7部中 第7部

この標準が長続きする理由

今日作る証明が、三十年後にも通用しなければならないこともあります。最初 だという主張を、何十年も先になってもなお確かめられなければならない科学的発見を思い浮かべてください。あるいは、署名した人たちがとうにいなくなったあとで、だれかが検証しなければならない契約書の保管庫を。そうした証明にとって、「今日は動く」では十分ではありません。だれにもまだ見通せない未来の、ずっと先まで動き続けなければならないのです。

これは現実の問題です。というのも、こうした証明の裏にある数学は、じっとしてはいないからです。

優れた方法も、永遠に優れたままではいられない

どの暗号方式も、やるのは簡単なのに、元に戻すのは事実上できない、そんな計算の上に成り立っています。時とともに、二つのことが起こります。コンピューターは速くなり、研究者は知恵を磨くので、盤石に見えた方式がじわじわと弱くなることがあります。そして、これまでのどれよりも強い、まったく新しい方式が生み出されます。

ですから、誠実な標準はみな、ある厳しい事実に向き合うことになります。今日 使える最善の方法が、ずっと 最善であり続けるわけではない、ということです。新しくて、もっと良いものは、いつだってやってきます。

一つの方法を埋め込むことが、なぜ罠になるのか

「いつでも まさにこの 方式を使うこと」とだけ定める標準を想像してください。それは見事に機能します。ただし、その方式が弱くなるまでの話です。そうなると、立ち往生します。もっと良いものへ移るには、ルールを書き直し、全員に同じ日に切り替えてもらい、そのうえで古いルールのもとで作られた証明を一つ残らず、どうにかして扱わなければなりません。そういう「みんなで一斉に変える」瞬間こそ、歴史を断ち切り、古い記録を置き去りにしてしまう、まさにその類のものです。そんなふうに作られた標準は、世に出たその瞬間から、静かに朽ち始めているのです。

Label 309 は、そもそも固定した方式を一つも名指ししないことで、この罠を丸ごと避けています。

足し続けていくカタログ

一つの方法を作り込む代わりに、Label 309 はそれぞれの方式を、オープンなリスト、つまりレジストリから取った 名前 で参照します。部品カタログのようなものだと考えてください。どの証明も、自分がどの「部品」で作られたか、どの方式がフィンガープリントを取り、どれが封緘し、どれが署名したかを、名前で記録します。

部品の種類ごとに別々のカタログがあり(ハッシュ用、封緘用、署名用、というように)、そこに手を入れるのは、あくまで 追加 だけです。

  • 新しい方式は、公開された参照(RFC や NIST の刊行物など)を備えた、実在の公開標準でなければなりません。自前の暗号は認められません。
  • それにはカタログ上で新しい名前が与えられ、ふるまいを正確に固定するテストが添えられます。

もっと強い方式が現れても、カタログを破り捨てたり、古いページを刷り直したりはしません。新しいページを足すだけです。古いページは、いつまでもそのままの場所に残ります。そしてここが、ひそかに巧妙なところです。これまでに作られたどの証明も、自分のページに元の部品を記したまま保ちます。古い証明を引けば、カタログは今でも、それをどう確認すればよいかを正確に教えてくれます。その部品は決して取り除かれず、新しいものがそこに加わっただけだからです。

つまり、二つのことが同時に成り立ちます。

  • 古い証明は、検証できたまま。 何年も前に作られた証明も、いまだにカタログに残っている方式を名指ししているので、作られた日とまったく同じように、今日も確認できます。
  • 新しい証明は、最新の方式を選べる。 新しく証明を作る人は、リストからより新しい名前を選ぶだけです。

切り替えの一斉実施日はありません。全員がそろって乗り換えなければならない瞬間もありません。歴史が断ち切られることも、山のような古い記録を変換しようと右往左往することもありません。変更はあくまで 追加、リストへの新しいエントリであって、置き換えではありません。一つ足したからといって、フォーマットのバージョンが変わることすらありません。新しい名前を聞いたことのない検証者は、クラッシュしたり当て推量をしたりせず、「それにはまだ対応していません」とすんなり告げるだけです。

量子への飛躍も、やはり同じやり方で

強力な新しいコンピューターがいつか、今日の暗号の一部を破るかもしれない、という話を耳にしたことがあるかもしれません(まさにそれを扱った 関連記事 があります)。心強いのは、Label 309 では、それに立ち向かうのに特別な救済策などいらない、ということです。ほかのどんな改良ともまったく同じ手順です。新しい耐量子の方式を、カタログに名前として加えるだけです。実際、それはすでに一度起きています。ポスト量子の封緘方式が、従来からのもののすぐ隣に加えられました。だから新しいレコードは今日それを選び、古いものは手つかずのまま続いていきます。根本からの作り直しを迫るかに聞こえる脅威も、ふたを開ければ、カタログのもう一ページにすぎなかったのです。

自らの方式より長く生きるように作られている

どの証明の中の方式も、いずれは退役します。それは当たり前のことで、Label 309 はそれを織り込み済みです。長く残るのは、カタログそのものです。足すことしかしないオープンなレジストリの集まりであり、どの証明も、元の部品をいつまでも記録にとどめます。古い証明を一つも置き去りにせずにどう育っていくのかは、アルゴリズムレジストリ をご覧ください。