Microsoftは2025年5月、Windows 11のプレビュー版(Canary Build 27852以降)において、来るべき量子コンピュータ時代に備えた「ポスト量子暗号(Post-Quantum Cryptography、以下PQC)」アルゴリズムのサポートを開始したと発表した。これは、現在の暗号技術が量子コンピュータによって無力化される未来の脅威、「クリプトポカリプス(暗号世界の終末)」への対策として、業界全体で最も重要な技術移行の一つと言えるだろう。
忍び寄る量子コンピュータの影、現代暗号は風前の灯火か?
現在のインターネット社会は、RSA暗号や楕円曲線暗号(ECC)といった公開鍵暗号技術によって支えられている。オンラインバンキング、電子メール、安全なWeb通信(HTTPS)など、私たちのデジタルライフの根幹をなすこれらの暗号は、古典的なコンピュータでは解読に天文学的な時間を要する数学的問題(例えば、巨大な数の素因数分解や楕円曲線上の離散対数問題)に基づいている。
しかし、量子コンピュータの登場は、この前提を根底から覆そうとしている。量子ビット(qubit)という特殊な情報単位を用いる量子コンピュータは、特定の問題に対して従来のコンピュータとは比較にならない計算能力を発揮する。特に、Peter Williston Shor(ピーター・ショア)が発見した「Shorのアルゴリズム」は、RSAやECCが依拠する数学的問題を効率的に解けることが理論的に示されている。
これが現実となれば、現在暗号化されている機密情報や個人データが、数時間あるいは数分で解読されてしまう未来が訪れるかもしれない。この脅威は「ハーベスト・ナウ、デクリプト・レイター(Harvest Now, Decrypt Later: HNDL)」攻撃として、既に現実のものとなりつつある。攻撃者は現時点で暗号化されたデータを大量に収集・保存しておき、将来的に強力な量子コンピュータが利用可能になった時点でそれらを解読しようという戦略だ。特に、最近Googleの研究者が報告したように、RSA暗号の量子コンピュータによる解読が可能になる時期が予想よりも早く訪れる可能性も指摘されている。つまり、対策は「今すぐ」始めなければならない喫緊の課題なのである。
この危機に対応するため、米国国立標準技術研究所(NIST)は数年前からPQC標準化プロジェクトを推進。世界中の研究者から提案された多数の候補アルゴリズムを評価し、将来の標準となるPQCアルゴリズムの選定を進めてきた。そして今回、MicrosoftがWindowsに試験導入したのも、このNIST選定アルゴリズム群の一部である。
Microsoftの回答:Windows 11におけるPQC実装の最前線
Microsoftは、Windowsオペレーティングシステムの中核をなす暗号ライブラリ「SymCrypt」を更新し、Windows 11 Canary Build 27852以降でPQCアルゴリズムを利用可能にした。開発者は、Cryptography API: Next Generation (CNG) ライブラリや証明書・暗号メッセージング関数を通じて、これらの新しい暗号技術を試すことができる。
今回Windows 11に搭載された主要なPQCアルゴリズムは以下の2つだ。
ML-KEM:未来の盗聴を防ぐ鍵交換メカニズム
ML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism)は、NISTによってFIPS 203として標準化された鍵カプセル化メカニズムであり、以前はCRYSTALS-Kyberとして知られていた。安全な通信チャネルを確立するための鍵共有を目的とする。たとえ通信が傍受されても、量子コンピュータを使っても共有された秘密鍵を導出することが困難なように設計されている。
Microsoftの発表によれば、以下のパラメータセットが提供される。
| アルゴリズム | 公開鍵 (カプセル化) サイズ | 暗号文サイズ | 共有秘密サイズ | NISTセキュリティレベル |
|---|---|---|---|---|
| ML-KEM 512 | 800 バイト | 768 バイト | 32 バイト | レベル 1 |
| ML-KEM 768 | 1184 バイト | 1088 バイト | 32 バイト | レベル 3 |
| ML-KEM 1024 | 1568 バイト | 1568 バイト | 32 バイト | レベル 5 |
NISTセキュリティレベルは、既存の暗号方式(AESなど)と同等の安全強度を示す指標である。
ML-DSA:量子時代でも揺るがないデジタル署名
ML-DSA(Module-Lattice-Based Digital Signature Algorithm)は、NISTによってFIPS 204として標準化されたデジタル署名アルゴリズムであり、以前はCRYSTALS-Dilithiumとして知られていた。データの完全性(改ざんされていないこと)や送信者の認証を保証するために用いられる。
提供されるパラメータセットは以下の通り。
| アルゴリズム | 公開鍵サイズ | 秘密鍵サイズ | 署名サイズ | NISTセキュリティレベル |
|---|---|---|---|---|
| ML-DSA-44 | 1312 バイト | 2560 バイト | 2420 バイト | レベル 2 |
| ML-DSA-65 | 1952 バイト | 4032 バイト | 3309 バイト | レベル 3 |
| ML-DSA-87 | 2592 バイト | 4896 バイト | 4627 バイト | レベル 5 |
これらの新しいアルゴリズムは、Linux環境向けにもSymCrypt-OpenSSL(バージョン1.9.0)を通じて提供され、TLSハイブリッド鍵交換の実験が可能となっている。これにより、MicrosoftはWindowsとLinuxの両エコシステムでPQCへの移行準備を進めていることがわかる。
開発者と管理者が知っておくべきこと:PQC実験とハイブリッド戦略
Microsoftは、今回のプレビュー版提供を通じて、開発者や組織がPQCアルゴリズムの互換性、パフォーマンス、既存システムへの統合といった側面を早期に評価・実験することを奨励している。
特に重要なのは、「ハイブリッドアプローチ」の採用だ。これは、新しいPQCアルゴリズムと、実績のある従来の暗号アルゴリズム(例えば、鍵交換ならML-KEMとECDH、署名ならML-DSAとECDSAやRSA)を組み合わせて使用する方式である。PQCアルゴリズムはまだ比較的新しく、長期的な安全性評価が続いている段階にあるため、万が一PQC側に未知の脆弱性が発見された場合でも、従来の暗号がセキュリティを担保する二重の防御策となる。Microsoftは、特にNISTセキュリティレベル3以上を可能な限り使用することを推奨している。
一方で、PQC導入には潜在的な課題も存在する。
元Microsoftの暗号技術者で、現在はFarcaster Consulting Groupに籍を置くBrian LaMacchia氏は、PQCアルゴリズムの鍵長が従来のRSAやECCに比べて3倍以上大きくなる可能性があると指摘。この鍵サイズの増大は、既存のソフトウェアやプロトコルにおいて、予期せぬバグやパフォーマンス低下を引き起こす可能性があるため、十分なテストが必要だと警鐘を鳴らしている。
実際に、ML-KEMやML-DSAの鍵サイズや署名サイズは、従来の暗号方式と比較して大幅に増加しており、ストレージ容量や通信帯域幅への影響も考慮しなければならない。Microsoftも、PQCアルゴリズムが古典的なものより計算資源を多く必要とする可能性を認めており、Keccak(SHA-3などの基盤技術で、ML-KEMやML-DSA内部で利用される)のハードウェアアクセラレーションによる性能向上や、TLSハンドシェイク時の遅延を抑えるための技術(TLS鍵共有予測や証明書圧縮など。ただし署名自体は圧縮できない)の重要性に言及している。
未来へのロードマップ:Microsoftが見据えるPQCエコシステム
今回のWindows 11プレビュー版でのPQCサポートは、Microsoftの壮大なPQC移行計画の第一歩に過ぎない。同社は今後、以下のような領域へのPQC展開を計画している。
- Windows TLSスタック (Schannel): WindowsネイティブのTLS/SSL実装であるSchannelにPQCを統合し、HTTPS通信などの安全性を将来にわたって確保する。
- Active Directory Certificate Services (ADCS): 企業の認証基盤であるADCSにおいて、PQCアルゴリズムに基づく認証局(CA)証明書やエンドエンティティ証明書の発行、失効リスト(CRL)の署名などを可能にする。
- Microsoft Intune: モバイルデバイス管理(MDM)ソリューションであるIntuneの証明書配布メカニズム(Certificate Connector)をPQC対応にし、モバイルデバイスやエンドポイントが量子安全な資格情報を取得できるようにする。
- その他のアルゴリズム: NISTが選定を進めている他のPQCアルゴリズム(例えば、ステートフルハッシュベース署名であるSLH-DSA(FIPS 205、旧称SPHINCS+))についても、SymCrypt、CNG、SymCrypt-OpenSSLへの追加を計画している。
これらの取り組みは、国際的な標準化団体(例えば、IETFのLAMPSワーキンググループ)との連携のもと進められており、X.509証明書におけるML-DSA、複合署名、SLH-DSA、ML-KEMなどの利用に関する標準化作業にMicrosoftも積極的に貢献している。
また、Microsoftは「クリプトアジリティ(Crypto Agility)」の重要性を強調している。これは、特定の暗号アルゴリズムに過度に依存せず、将来的に新しいアルゴリズムが登場したり、既存アルゴリズムに脆弱性が発見されたりした場合に、柔軟かつ迅速にシステムを移行・更新できる能力を指す。PQCアルゴリズム自体もまだ発展途上であり、第一世代が最終的な解決策になるとは限らないため、このクリプトアジリティの確保は極めて重要となる。
なお、MicrosoftはPQCをTLSで利用する場合、TLS 1.3が前提条件になると明言しており、まだ古いTLSプロトコルを使用している組織に対しては、速やかなTLS 1.3への移行を強く推奨している。
この一歩が意味するものと残された課題
MicrosoftによるWindowsへのPQC試験導入は、業界全体にとって大きなマイルストーンだ。Brian LaMacchia氏は、「NIST標準のPQCアルゴリズムを開発者が標準的なCNG API経由で利用できるようにしたことは、Windowsによる良い第一歩であり、Windowsアプリを書くサードパーティ開発者が自身のコードをPQCへ移行・テストするためにまさに必要なものだ」と評価している。
量子コンピュータが現在の暗号を破る「Xデー」がいつ訪れるかについては、専門家の間でも意見が分かれており、2035年頃とする予測もあれば、さらに20年以上先だとする見方もある。しかし、その時期に関わらず、PQCへの移行は規模、コスト、困難さにおいて前例のないものとなることは間違いない。
以前、中国の研究チームがD-Wave社の量子コンピュータ(アニーリング型)を用いて特定の暗号解読に成功したというニュースが報じられたが、このことは量子コンピュータの脅威が現実的なものであることを示唆している。ただし、この事例が汎用的なゲート型量子コンピュータによるShorのアルゴリズム実行とは異なる点には留意が必要だ。真の脅威は、大規模で安定した誤り耐性を持つ汎用量子コンピュータの登場によって現実化する。
今回のMicrosoftの取り組みは、その脅威に対する具体的な準備が始まったことを示す狼煙であり、他のOSベンダーやソフトウェア開発者、ハードウェアメーカー、そしてサービスプロバイダーに対しても、PQCへの対応を加速させる強いメッセージとなるだろう。
量子時代への備え、今こそ始めるべき理由
Windows 11におけるPQCアルゴリズムのテストサポート開始は、余り大きくは報じられていないが、私たちのデジタル社会の安全保障を根底から見直す壮大な取り組みの始まりである。量子コンピュータというパラダイムシフトがもたらす脅威は計り知れないが、それに対する備えは着実に進んでいる。
今回のMicrosoftの発表は、開発者やIT管理者にとっては、PQC技術を実際に試し、その影響を評価する絶好の機会となる。そして、一般ユーザーにとっても、自らのデータが将来にわたって保護されるための重要な一歩として認識すべきだろう。
PQCへの移行は、長く困難な道のりになることが予想される。しかし、「ハーベスト・ナウ、デクリプト・レイター」の脅威を考えれば、その第一歩を踏み出すのに「早すぎる」ということはない。むしろ、今こそ、企業も個人も、この新たな暗号の時代に向けて意識を高め、準備を始めるべき時だろう。
Sources
