Let’s Encryptは、Merkle Tree Certificates(MTC)を通じた耐量子Web PKIの実現を目指しています。これは、TLSを普及させてきたスピードと信頼性を損なうことなく、ウェブに耐量子認証を追加する新しいアプローチです。同プロジェクトは2026年後半にMTCを発行するステージング環境の稼働を目標とし、本番環境は2027年を予定しています。
「ここ数年間、耐量子暗号に関する議論の中心は暗号化でした。理由は明快です。今日、暗号化されたトラフィックを記録した攻撃者は、量子コンピュータが基礎となる数学的問題を解読できるようになれば、数年後にそのデータを復号できる可能性があります」と、Let’s EncryptのソフトウェアエンジニアであるAndrew Gabbitas氏は語り、解説しています。
耐量子認証に向けたWeb PKIの準備
MTCに対応するには、証明書の発行、ACME、失効システム、運用ツール、そしてMTCに組み込まれた透明性インフラなど、Let’s Encryptのインフラ全体にわたる変更が必要です。Let’s Encryptは標準化の進展に合わせて、IETFのPLANTSおよびACMEワーキンググループに参加しています。
X.509とTLSにおけるML-DSA署名に関する標準化の動向や、Go標準ライブラリへのML-DSAサポート追加などのエコシステムの変化も追跡しています。Web PKIの耐量子セキュリティへの移行は、最終的な形がMTCであれML-DSA署名付きX.509証明書であれ、ブラウザ・ライブラリ・ACMEクライアントでの採用にかかっています。
移行スケジュール
NSAのCNSA 2.0スイートは2022年以降、2030年から2035年を目標に国家安全保障システムを耐量子アルゴリズムへ移行するよう指示しています。NISTのドラフトガイダンスは、RSA-2048とP-256を2030年以降に非推奨とし、2035年以降は使用を禁止する方針を示しています。欧州連合は2030年までに高リスクシステム、2035年までに広範な移行を目標としています。こうした取り組みが、Web PKIエコシステムのベンダー・ライブラリ・標準化団体がすでに取り組んでいるスケジュールを定めています。
2026年には、Googleが2029年までに自社サービスを移行する計画を発表し、Cloudflareも同様のコミットメントを行いました。Go 1.27では、NISTが標準化したML-DSA署名スキームが標準ライブラリに追加されました。耐量子署名はメインストリームのインフラへの浸透を始めています。
耐量子認証が重要な理由
認証はTLSにおいてサーバーの身元を確認する役割を担っています。これを突破するには、量子コンピュータがリアルタイムで署名を偽造する必要があります。この脅威は、暗号学的に意味のある量子コンピュータ(CRQC)の存在を前提としています。
Web PKIエコシステムは、耐量子認証への移行を先送りにすべきではありません。ルート認証局・コード署名鍵・アイデンティティシステムなど、長期間使用される鍵は依然として格好の標的です。新技術が広く普及するには数年かかるため、暗号学的に意味のある量子コンピュータが実用化される前から展開作業を開始する必要があります。
Web PKIが新たなアプローチを必要とする理由
Web PKIの規模は、耐量子署名の展開を困難にしています。典型的なTLSハンドシェイクには5つの署名と2つの公開鍵が含まれています。これらをML-DSAに置き換えると、1回のハンドシェイクのサイズが10キロバイト以上に膨れ上がります。
ハンドシェイクが大きくなると、すべてのTLSセッションで帯域幅の使用量と接続オーバーヘッドが増加します。いかなる解決策も、ウェブ規模で機能し、デフォルトで有効化するのが現実的である必要があります。
MTCの仕組み
MTC認証局は証明書をバッチ単位で発行し、証明書を個別に署名するのではなく、1つの署名でバッチ全体をカバーします。ブラウザはTLSハンドシェイクの外でランドマークを最新の状態に保ちます。MTCハンドシェイクにおける認証パスは、1つの署名・1つの公開鍵・1つの包含証明で構成されています。耐量子アルゴリズムを使用しても、従来のTLSハンドシェイクよりも小さなサイズに収まります。
ランドマークが古いクライアント向けにスタンドアロンモードが用意されており、必要に応じてやや大きなハンドシェイクを使用します。
MTCは証明書の透明性(Certificate Transparency)を発行プロセスに統合しています。現在は、証明書は認証局が発行し、別途ログに記録されます。そのログが行われたことを証明するための追加データがTLSハンドシェイクに含まれています。MTCでは、証明書はMerkleツリー内にのみ存在します。
今後の展望
Let’s Encryptは2019年以来、証明書透明性ログを運用しており、これはMTCと同じ基本データ構造に基づく追記専用のMerkleツリーです。CloudflareとChromeは実際のインターネットトラフィックでMTCのテストを行っており、IETFのPLANTSワーキンググループが標準化を進めています。また、Chromeは公開ウェブにおける耐量子証明書の優先アプローチとしてMTCを位置づけています。
この移行には時間がかかります。標準はまだ策定中であり、ルートプログラムは要件を定義しており、ブラウザ・ライブラリ・ACMEクライアントへのサポート追加もこれからです。開発が進み展開スケジュールが明確になり次第、Let’s Encryptから最新情報が提供される予定です。
ACMEクライアントの開発者やACMEベースの証明書パイプラインの運用者は、IETFのPLANTSワーキンググループの動向やメーリングリストでの議論をフォローしてください。今後の変更の一部はクライアント側のサポートが必要となるため、早めに準備しておくことで円滑な採用につながります。
耐量子暗号化は、インターネットコミュニティ全体にとって引き続きより喫緊の課題です。耐量子鍵交換を使用していないTLSトラフィックは、今日記録され、暗号学的に意味のある量子コンピュータが利用可能になった将来に復号される可能性があります。
「サーバーを運用されている場合は、ハイブリッド耐量子鍵交換(X25519MLKEM768)のサポートを確認してください。主要なブラウザとオペレーティングシステムはすでに対応しており、サーバー側で有効化することが今年できる最も効果的な対策のひとつです」とGabbitas氏は締めくくっています。
翻訳元: https://www.helpnetsecurity.com/2026/06/05/lets-encrypt-mcts-web-post-quantum-authentication/
