ML-DSA（Module-Lattice-Based Digital Signature Algorithm）

• 旧名: Dilithium
• 用途: 電子署名、証明書
• 原理: 格子暗号
• 3 つのレベル: 44、65、87

SLH-DSA（Stateless Hash-Based Digital Signature Algorithm）

• 旧名: SPHINCS+
• 用途: 電子署名
• 原理: ハッシュベース
• 特徴: 証明可能安全、署名サイズ大

ハイブリッド方式

X25519Kyber768

• 従来: X25519（楕円曲線）
• +新: ML-KEM-768（Kyber）
• 両方で鍵交換
• 片方が破られても安全

なぜハイブリッド

• 新暗号の実装バグリスク軽減
• 互換性維持
• 過渡期の安全策

実装状況（2024-2026）

Google Chrome

• Chrome 124: X25519Kyber768 実験的有効化
• Chrome 131: デフォルト有効化
• Chrome 134: ML-KEM 768 単体対応

Cloudflare

• 2024 年 3 月: X25519Kyber768 サポート
• 全 Cloudflare 顧客で自動有効
• 約 15% のトラフィックで PQ TLS 使用

Apple

• iMessage PQ3: 2024 年 2 月発表
• iOS 17.4、macOS 14.4 で採用
• Signal のラチェット改良版

Signal Messenger

• PQXDH: 2023 年末から
• 初期鍵交換の耐量子化

Firefox

• 実験的サポート
• 2025 年デフォルト予定

OpenSSL

• OpenSSL 3.4: PQC 実装
• サーバー側実装容易化

BoringSSL（Google）

• ハイブリッド実装
• Chrome、Android 用

ベンチマーク

TLS Handshake サイズ

| 方式 | 平均サイズ | |------|----------| | X25519（従来） | 32 バイト | | ML-KEM-768 | 1088 バイト | | X25519Kyber768 | 1,120 バイト |

TLS Handshake 時間

| 方式 | 時間（ローカル） | |------|---------------| | X25519 | 0.3 ms | | X25519Kyber768 | 0.5 ms | | 影響 | < 1 ms |

証明書サイズ

| 署名方式 | サイズ | |---------|-------| | ECDSA（P-256） | 64 バイト | | ML-DSA-44 | 2,420 バイト | | SLH-DSA-128s | 7,856 バイト |

課題

1. サイズ増加

• 鍵交換メッセージ大
• 帯域幅増加: わずか
• 証明書サイズ大: 対策必要

2. パフォーマンス

• 計算量増
• 現代 CPU では影響小

3. 実装成熟度

• 比較的新しい
• バグ発見可能性

4. 相互運用性

• 段階的移行
• ハイブリッド必須

タイムライン

短期（2024-2026）

• ハイブリッド TLS 展開
• Chrome、Cloudflare、Apple
• 主要サービスが対応

中期（2026-2030）

• PQC デフォルト化
• NIST 標準の広範な展開
• RSA/ECC 依存の段階的廃止

長期（2030-2035）

• 完全 PQC
• 従来暗号の廃止
• 大規模量子コンピュータ登場

Quantum Threat

現在

• 実用的な大規模量子コンピュータ未登場
• しかし Harvest Now 攻撃は可能

2030 年代

• 100-1000 論理量子ビット
• RSA-2048 破綻
• 段階的脅威

2040 年代

• 大規模量子コンピュータ
• 公開鍵暗号の脅威

移行計画（NSA の CNSA 2.0）

• 2025 年から PQC 導入
• 2030 年までに完全移行
• 国家機密には PQC 必須

関連用語

• Quantum Cryptography
• NIST、FIPS
• TLS、HTTPS
• ML-KEM、ML-DSA
• Lattice-Based Cryptography