Let's Encryptが挑む！量子コンピュータ時代のセキュリティ対策とは？

量子コンピュータが実用化される未来を見据え、Let's Encryptが次世代の暗号化技術への移行準備を進めています。耐量子計算機暗号（Post-Quantum Cryptography）の導入に向けたロードマップや、Webセキュリティの未来についての議論が注目されています。

暗号化の強化自体はいいことだと思うけど、量子コンピュータが将来的にどんな能力を持つのか（そもそも実現可能なのかさえ）まだ分からない段階で、どうやって「耐量子」の暗号を作るのかよく分からないな。自分はこの分野の専門家じゃないけど、知る限り実用的な量子コンピュータ（量子研究以外で）なんて影も形もないし、実用化には何らかの画期的なブレイクスルーが必要なはず。でも、仮にそんなブレイクスルーが起きたとして、その影響を本当に予測できるんだろうか？

興味深い動きだね。Merkle Tree Certificates（MTC）は、長年蓄積された負の遺産を一掃できる一方で、何十年もかけて磨き上げられてきた実績や周辺ツールも捨て去ることになる。関わっているチームは信頼しているけど、とんでもなく大変なプロジェクトになるだろうね。とはいえ、この先ずっとパフォーマンス低下に悩まされるような代替案を受け入れるよりは、ずっとマシだ。

「共通ケースにおいて、MTCハンドシェイクの認証パス全体は、署名1つ、公開鍵1つ、包含証明1つで構成される。これは現在のWeb PKIハンドシェイクよりも小さい。MTCは耐量子アルゴリズムを使っているにもかかわらずだ。[...] MTCの利点はサイズ最適化だけじゃない。すべての証明書が公開されたMerkleツリーの一部になるため、発行自体が透明性を備えることになる。今日のCertificate Transparency（証明書の透明性）エコシステムは後付けで、CAが証明書を発行してから別途ログを記録し、TLSハンドシェイクに余分な署名を載せてその記録を証明している。MTCなら、Merkleツリーの外に証明書が存在すること自体あり得ない。透明性が組み込まれているんだ」

これらのメリットはすごく期待できそうだけど、何か顕著なデメリットはないのか気になるところだ。

これは新鮮！「言わんこっちゃない」なんて言いたくはないけど、少なくとも2年前からずっと言ってきたんだよね。

耐量子認証は、もはやWeb PKIエコシステムが後回しにしていい問題じゃない。長期有効な鍵（ルート証明書、コード署名鍵、IDシステムなど）は特に狙われやすく、新しい技術が広く普及するには数年かかるため、今すぐ取り組まないといけない。

この問題について人と話すと、「Harvest-Now-Decrypt-Later（今収集して後で解読）こそが唯一の緊急課題で、署名は後回しでいい」という定型句を繰り返す人に何度も会ってきた。この誤情報が広まりすぎて、AIまで同じことを言うようになってる（オープンデータを学習していて、世間のトレンドがそっちに流れてたから）。それがさらに問題を助長してるんだ。ClaudeやChatGPT、Geminiに聞いてみれば、署名は遡及的な侵害を受けないから緊急度が低い、なんて必ず答えるはず。

ここには2つの問題がある。

1つ目は、Let's Encryptの発表にもある通り、署名や証明書の移行パスは暗号化よりも「長くて複雑」だということ。長期証明書やファームウェア更新鍵、セキュアブート用証明書など、どれも移行するのが面倒なものばかりだ。

2つ目は、もっと深刻だと思うけど、「遡及的」って何に対して？って話。「遡及的」っていうのは、そのトリガー（暗号解読可能な量子コンピュータの出現）を「観測できる」ことが前提になっている。でも、そんな能力は敵が最も隠したがるものだし、量子による偽造は、例えば鍵の流出、ライブラリのバグ、あるいは古典的な攻撃と「区別がつかない」。偽造された署名や空になったウォレット、壊れた証明書を見ても、それが量子暗号解読によるものだと証明する方法なんてないんだ。脅威は闇の中。観測不可能なトリガーに対して、事後対応で移行するなんて構造的に無理なんだよ。

「今収集して後で解読」が差し迫った脅威じゃないとは言わないけど、みんなが信じているほど非対称な状況じゃない。状況が変わり始めているのは嬉しいね！

量子コード解読が遠い未来の話ではなく、今すぐ対策すべき現実のリスクになっているなんて、まさにSFのような未来を生きているね。

バーナー・ヴィンジの小説『遠き神々の炎』では、最も価値のある商品の一つが、通信ノードまで物理的に運ばれるワンタイムパッドだった。絶対解読不能な通信を実現するためで、リスクを減らすためにパッドを3つに分割してXORしていたな。

新しいプロジェクトでed25519署名を使ってたんだけど、これが耐量子じゃないことに気づいて……。OpenSSH鍵が使えるからって理由でed25519にしたんだけど、今回の記事や他の量子コンピュータ関連ニュースを見て、この選択をどう思う？

https://soatok.blog/2026/04/13/hybrid-constructions-the-post... (https://soatok.blog/2026/04/13/hybrid-constructions-the-post-quantum-safety-blanket/)

4月に書いた記事だよ。耐量子暗号と「ハイブリッド」構成についての誤解の多くは、このブログ記事で解消できるはず。

この記事、バッチ処理アプローチの最大の懸念点に対処できてないよ。まだ証明書を持っていないサーバーのために、新しい証明書が発行されるのを待つ時間のことだ。バッチ処理の頻度が高すぎれば、クライアント側が保持するデータベースが巨大化してしまうし、頻度が低すぎれば、最初の証明書が届くまでずっと待たされることになる。何か対策はあるのか、それとも新しい耐量子証明書ってそういうものとして付き合っていくしかないのかね？

量子脅威なんてないよ。ed25519とRSAで問題ないからそのまま使いな。