世界を動かす技術を、日本語で。

ポスト量子時代の「Let's Encrypt」

概要

Let’s Encryptは、ポスト量子時代に対応したWeb PKIの実現を目指し、Merkle Tree Certificates(MTCs)を導入予定。 従来の認証方式ではサイズ増大や通信遅延が課題となるが、MTCsは効率的かつ安全な認証手段を提供。 2026年末にステージング環境、2027年に本番環境でMTCsを提供予定。 現状の証明書運用に変更はなく、段階的な移行が進行中。 ポスト量子暗号への移行はWeb全体の安全性向上に不可欠。

ポスト量子時代のWeb PKI課題とMTCsの意義

  • Let’s Encrypt はポスト量子安全なWeb PKIの実現に強いコミットメント
  • 現在のWeb PKIにおける最大の課題は、 署名や公開鍵のデータサイズ増大 による通信遅延と失敗率の上昇
  • 既存のRSA-2048やECDSA-P256と比べ、 ML-DSA-44 などのポスト量子署名は数倍〜数十倍のサイズ
  • TLSハンドシェイク 時の証明書データ肥大化によるユーザー体験の劣化が懸念
  • 各国政府や主要ベンダーも 2030年代前半 を目標にポスト量子移行を加速

Merkle Tree Certificates(MTCs)の特徴と利点

  • MTCs は証明書を一括発行し、 バッチ全体を1つの署名 でカバーする新設計
  • ブラウザは「 ランドマーク署名」を個別に管理し、TLSハンドシェイク時のデータ転送を大幅削減
  • 通常ケースでは「 1署名・1公開鍵・1インクルージョンプルーフ」のみで認証可能
  • 「スタンドアロン」形式でのフォールバックも用意され、互換性確保
  • 証明書透明性(Certificate Transparency) が発行時点から組込まれる構造
    • MTCsのMerkle tree構造により、全証明書が透明性ログの一部として存在
    • 従来のCTエコシステムより効率的かつ安全

実装・標準化の進捗と今後の計画

  • Let’s Encrypt は2026年末にMTCs発行のステージング環境、2027年に本番環境を目指す
  • インフラ全体(発行基盤、ACMEプロトコル、失効・運用ツール、透明性ログ等)に大幅な変更が必要
  • IETF PLANTSワーキンググループACMEワーキンググループ で標準化作業に積極参加
  • ML-DSA署名 のX.509(RFC 9881)およびTLS(draft-ietf-tls-mldsa)対応も並行して進行
  • CloudflareChrome もMTCsの実運用実験や標準化を推進

Let’s Encryptユーザーへの影響と今後の対応

  • 現時点では Let’s Encrypt証明書の発行・更新に変更なし
  • ポスト量子証明書の提供開始時も、 無料・自動化・ACMEクライアント対応 の方針継続
  • 移行には標準策定やエコシステム(ブラウザ、ライブラリ、ACMEクライアント等)の対応が必要
  • ACMEクライアント開発者や証明書パイプライン運用者は、 PLANTS WGやmtcs@chromium.orgの議論 をフォロー推奨
  • クライアント側の準備が移行成功の鍵

インターネット全体へのメッセージと推奨事項

  • ポスト量子暗号による暗号化 対応が最優先課題
    • 非対応のTLS接続は後で復号されるリスクあり
  • サーバー運用者は ハイブリッド型ポスト量子鍵交換(X25519MLKEM768) の有効化を推奨
    • 主要ブラウザやOSはすでに対応済み
  • 今年中にサーバー側での対応がインターネット全体の安全性向上に直結

Let’s Encryptの使命と今後

  • 2013年から「誰でも無料で安全なWeb」の実現 を目指しインフラ構築
  • 量子移行はセキュリティ基盤の世代交代に匹敵する重要な変革
  • 今後もコミュニティと連携し、 安全で普及可能なポスト量子Web PKI を推進

Hackerたちの意見

より良い暗号化っていいと思うけど、量子安全な暗号化がどうやって作れるのか、まだその能力がわからないからよくわからないよね(そもそも可能なのかもわからないし)。自分はこの分野の専門家じゃないけど、実用的な目的で動いている量子コンピュータはまだないと思う(量子研究は別として)。実用化するには何か画期的な突破口が必要だよね。でも、もし突破口が見つかったら、その影響を本当に予測できるのかな?

理論的には、量子コンピュータの能力はかなり知られているよ。基本的には、効率的にできるいくつかの追加操作があって、それを脅威モデルに組み込むことができるんだ。まだ誰も量子コンピュータを作ってないけどね。(もちろん、基本的にすべての暗号、特に非対称暗号は、まだ発見されていない数学の利用可能な構造がないことを前提にしている。現代の暗号学は、AFAIK、これが起こらない理由についてそれなりの議論があるけど、ニッチなケースやトリビアルなケースを除いて完全には証明されていない。新しいアルゴリズムに対して、古典的でも量子的でも攻撃が発見される可能性は常にあるんだ。)

問題は、思っているよりも理論的なものかもしれないね。ポスト量子暗号の安全性は、研究者たちが特定の問題を解くための効率的な古典的または量子的なアルゴリズムがあるかどうかを真剣に考えた結果、まだ見つかっていないという事実に帰着するんだ。それ自体は新しいことではないよ。RSAも、誰も高速な因数分解アルゴリズムを持っていないことを前提にしているからね。

「本当に可能なのか?」という質問に答えると、難しいエンジニアリングの問題がたくさんあるけど、解決不可能なものはなさそうだし、投資もされているよ。それに、たとえ量子コンピュータが暗号を破る確率が10%でも、コミュニティはそんな壊滅的なシナリオの10%の可能性には安心できないんだ。これが私の仕事の一部だから、もう一つ面白い事実を教えるね:暗号化のユースケースを移行する際、攻撃者が今日の暗号化されたデータをキャッチして未来に破る可能性を考慮しなければならない。だから、一般的には、暗号化の移行タイムラインは署名よりもずっと短いんだ。

技術と政策の道筋がどうなっているかってことかな?基本的には願望リストみたいなもんだよね。もう数十年先の7Gモバイル通信の仕様があるみたいだし…(https://www.techsciresearch.com/blog/5g-vs-6g-vs-7g-unveilin...)

チューリングマシンが古典コンピュータの実際の物理実装に依存せずにランタイムの複雑さについて様々な議論をするための十分な理論モデルであるのと同じように、量子計算にアプローチするための理論モデルもあるんだ(量子回路モデルってやつね)。

この基準で言うと、現在知られている破れない暗号方式はないよ(正しく使った場合の事前共有のワンタイムパッドを除いてね)。例えば、素因数分解が古典コンピュータでずっと効率的にできないことは証明されていないから、明日誰かがRSAを少ない操作で破れる新しいアルゴリズムを思いつく可能性もあるんだ。同じことが楕円曲線にも言える。現在知られているものよりもずっと良いアルゴリズムが可能であることが不可能だという数学的証明はないんだ。でも、RSAの場合のように、効率的な整数因数分解の問題は長い間研究されてきたけど進展がないのと同じように、量子コンピュータでも同じことが言える。古典コンピュータにとって難しい問題の量子アルゴリズムを見つけようと長い間試みてきたけど、今のところ成功しているのは限られたものだけなんだ。数学者たちは、どの問題が量子コンピュータで解決しやすい特性を持っているか、どれがそうでないかについても一定の直感を持っている。一般的に、P=NP?と同じように、BQP、つまり効率的な量子コンピュータバージョンを持つ問題のクラスがP、古典コンピュータで効率的に解決できる問題のクラスと等しいかどうかはまだ証明されていないし、BQP=NPかどうかもわからない。だから、ポスト量子暗号を作るために使われる問題がBQPに含まれる可能性は理論的にはあるし、それを解決する効率的な量子アルゴリズムが存在するかもしれない。でも、それは数学の研究から来るもので、実際の量子コンピュータを作ったりいじったりすることとは全く関係がないんだ。量子アルゴリズムの数学は、実際のコンピュータを作るエンジニアリングや物理学よりもずっと進んでいるんだ。

これが量子論理の基本になるでしょう。

私たちは本当に、量子コードの解読が遠い可能性ではなく、計画している近いリスクであるサイエンスフィクションの未来に生きています。ヴァーナー・ヴィンジの小説「深淵の火」では、最も貴重な商品は、一度限りのパッドで、通信ノードに物理的に運ばれ、壊れない通信を可能にします。パッドは三つの部分に分けられ、XORされて実際のパッドが作られ、妥協のリスクを減らします。

基本的には物理法則の話だね。簡単に言うと、量子コンピュータは特定の種類の操作をめちゃくちゃ速くできるんだ(例えば素数の因数分解とか)。それはほぼ瞬時にすべての順列を計算できるから。でも、意図的に複雑さを加えると、その状態が「見えなく」なっちゃって、量子コンピュータはうまく機能しなくなる。ポスト量子アルゴリズムを追加するのが問題なのは、設計上、特定の方法で効率が悪くなって、結果的に遅くなったり、オーバーヘッドが増えたりするから。数年前に量子力学の博士が分かりやすく説明してくれたのは、核科学に似てるってこと。核爆発が可能だってことは、爆弾が作られる前から「知ってた」し、どんな条件で機能するかも分かってた。長崎の爆弾は、トリニティテストや広島のとは全然違うタイプの爆弾で、ウランじゃなくてプルトニウムだったし、初めて使われるまでテストすらされてなかったんだよ!

ブルース・シュナイアーの本は、より良い暗号化以上にセキュリティにはもっと多くのことがあるって説明してる。ほとんどが間違った実装か、間違った使い方をされてるんだ。

面白い展開だね。マークルツリー証明書は数十年の無駄を捨てるけど、同時に数十年の戦闘テストや補助ツールも捨てることになる。関わっているチームは信頼しているけど、これは大変なプロジェクトになるだろうね。それでも、私たちをずっと悪いパフォーマンスに縛り付ける代替案よりはマシだよ。

Hacker Newsで議論の続きを見る