RSAが破られる前に知っておきたい 耐量子計算機暗号(PQC)入門 / Intro to PQC: Preparing for the Post-RSA Era

Transcript

1. RSAが破られる前に知っておきたい 耐量子計算機暗号(PQC)入門 2026-03-22 PHPerKaigi 2026 BABY JOB株式会社 浅野 正貴 (@mackey0225)

   #phperkaigi #c

2. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 自己紹介 名前：浅野　正貴 所属：BABY JOB株式会社 最近は AWS やインフラがメイン

   X: @mackey0225 はじめての PHPerKaigi です！

3. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c おしながき • 量子計算機と量子アルゴリズムについて • 耐量子計算機暗号（PQC）について • 主要な

   PQC の紹介 • PHP やクラウドインフラでの PQC の展開状況

4. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 耐量子計算機暗号（PQC）とは 一言で言うと、 大規模な量子計算機が実現したとしても 安全性が損なわれない暗号技術の総称

5. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 耐量子計算機暗号（PQC）とは 一言で言うと、 大規模な量子計算機が実現したとしても 安全性が損なわれない暗号技術の総称 単独・単一の機能や実装ではなく、 様々な方式や実装がある

6. 量子計算機と量子アルゴリズムについて

7. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c そもそも、量子計算機とは • 量子の性質を利用して計算を行う計算機 ◦ 量子ビット(qubit) は 0

   と 1 の両方の状態を同時に持 つことができる(量子の重ね合わせ状態) ◦ イオンや中性原子、光子などの量子が量子ビットの候 補として研究されている • ゲート方式とアニーリング方式の2種類 に大別される ◦ 今日の話はゲート方式を指す • 量子アルゴリズム を用いて高速かつ並列で処理をする

8. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 量子アルゴリズムの例 従来の計算機と比較して計算量が小さくなる • Deutsch(1985), Deutsch - Jozsa(1992)

   ◦ 実用性は低いが、量子計算機の特性が現れている • Shor(1994) ◦ 素因数分解を多項式時間で解くことが可能になる • Grover(1996) ◦ 探索問題でO(N)→O (N ^(1/2))になる

9. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：Quantum Algorithm Zoo https://quantumalgorithmzoo.org/

10. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c Shorのアルゴリズム • 素因数分解するアルゴリズム ◦ 位数の周期を求めることで「離散対数問題」を解く ◦ 「量子フーリエ変換」と量子計算の「べき計算」を用

    いて位数の周期を求める • 広く使われている公開鍵暗号技術を危殆化させる ◦ RSA暗号だけでなく、楕円曲線暗号にも影響

11. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：Shorのアルゴリズムでの素因数分解の流れ とくに2つ目の位数を計算する部分で量子計算機の力を発揮す る。逆にそれ以外のステップは古典計算機でも可能。

12. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考の参考：位数を用いた素因数分解の例

13. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：Grover のアルゴリズム • 膨大な数のデータから目的のデータを探し出す量子探索ア ルゴリズム • 共通鍵暗号に対する脅威となりうるが、Shorのアルゴリズ

    ムと比べるとまだ安全といえる ◦ もちろん、量子計算機の性能（誤り訂正）が上がれば 脅威となりうる

14. PQC について

15. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c なぜ PQC への移行が必要なのか？ • 大規模で実現可能な量子計算機はまだない ◦ 暗号解読には100万量子ビットが必要と言われている

    ◦ 現状でも100〜200量子ビット程度(ゲート方式) • 一方、Harvest Now, Decrypt Later攻撃の可能性は押さ えておく必要がある ◦ 暗号化データを集めて、将来的に解読される

16. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c PQC への移行についての情勢 • 米国：2035年を目標にPQCへの移行方針を発表 • EU：欧州委員会がPQCへの移行検討を促す勧告を発表 •

    日本 ◦ 国家サイバー統括室（NCO、旧 NISC）が政府機関のシ ステムにおけるPQCへの移行に関する基本方針を策定 ◦ 金融庁や日本銀行が中心となり、金融機関へのPQCへ の移行対応を求めている

17. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c NIST FIPS について • アメリカ国立標準技術研究所 (NIST) が2016年からPQCの

    標準化の検討を開始 ◦ 候補の暗号の公募には69件が集まった ◦ 2024年8月に連邦情報処理標準 (FIPS) として3つが決 まった ◦ 現在も追加の暗号技術 (2つ) の策定中 • 暗号としての強度や安全性だけでなく、計算量やメモリの 使用量といった効率性も加味して決められた

18. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c NIST FIPS について • FIPS 203 ◦

    ML-KEM (Module-Lattice-Based Key-Encapsulation Mechanism) ◦ 格子暗号の鍵交換アルゴリズムのCRYSTALS-Kyberがベース • FIPS 204 ◦ ML-DSA (Module-Lattice-Based Digital Signature Algorithm) ◦ 格子暗号の電子署名アルゴリズムのCRYSTALS-Dilithiumがベース • FIPS 205 ◦ SLH-DSA (Stateless Hash-Based Digital Signature Algorithm) ◦ ハッシュ関数の電子署名アルゴリズムのSPHINCS+がベース ◦ ML-DSAが脆弱であると判明した場合のバックアップ

19. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：NIST の PQC に関するプロジェクトページ https://csrc.nist.gov/Projects/post-quantum-cryptography

20. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：NIST の PQC に関するプロジェクトページ https://csrc.nist.gov/Projects/post-quantum-cryptography

21. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：NIST の PQC に関するプロジェクトページ https://csrc.nist.gov/Projects/post-quantum-cryptography 先に標準化した３つに加えて、 Falcon（格子暗号・DSA）と

    HQC（符号暗号・KEM） も標準化に向けて進めているとのこと

22. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：NIST の PQC に関するプロジェクトページ https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization /selected-algorithms

23. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：NIST の PQC に関するプロジェクトページ https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization /selected-algorithms

24. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：NIST の PQC に関するプロジェクトページ https://csrc.nist.gov/Projects/post-quantum-cryptography/post-quantum-cryptography-standardization /selected-algorithms

25. 主要な PQC の紹介

26. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 代表的な PQC の技術 • 符号暗号 • ハッシュ関数署名

    • 多変数多項式暗号 • 同種写像暗号 • 格子暗号

27. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 代表的な PQC の技術 • 符号暗号 • ハッシュ関数署名

    • 多変数多項式暗号 • 同種写像暗号 • 格子暗号 今日はここを主に取り上げる

28. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 格子暗号 • 1990年代後半から提案されている • 数学的な対象としての多次元格子に関する暗号技術の総称 • 格子暗号自体も一つのものではなく、構成方法や安全性の

    根拠となる問題によって分類される ◦ ノイズ項がついた連立一次方程式の解を求めることの 困難性（LWE 問題） ◦ 多項式の商・剰余からもとの分母・分子の多項式を復 元することの困難性（NTRU 問題）

29. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：LWE のイメージ

30. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：符号暗号 • 1970年代後半から提案されている • 誤り訂正符号を用いて構成 ◦ 暗号文に大きなノイズを入れて、秘密鍵を持っていな

    いと訂正（復号）できないようにする • 先に紹介した HQC は符号暗号の一種

31. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：ハッシュ関数署名 • 1970年代末・1980年代前半から提案されている • ハッシュ関数の衝突困難性を安全性の根拠とする署名 ◦ ハッシュ値が同じになるペアを見つけるのが難しい

    • XMSS（eXtend Merkle Signature Scheme）という方式 がすでに IETF により RFC8391 で標準化済み • FIPS 205 の SLH-DSA がハッシュ関数署名の一種

32. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：多変数多項式暗号 • 1980年代前半から提案されている • 多変数多項式の求解問題の困難性を暗号に活用 ◦ n

    変数の m 個の2次方程式 • 初期の方式は日本人（松本勉氏、今井秀樹氏）が発案

33. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：同種写像暗号 • 1990年代後半ごろから提案されている • 同種写像は２つの楕円曲線の間の写像（対応）のこと • 点の数が等しい二つの（超特異）楕円曲線の間の同種写像

    を見つける問題の困難性を用いた暗号 • 有力候補だった SIKE という方式が2022年に暗号として の不備が発見された ◦ まだ SQIsign は生きている！

34. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：CRYPTREC耐量子計算機暗号の研究動向調査報告書 https://www.cryptrec.go.jp/report/cryptrec-tr-2001-2024.pdf

35. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：CRYPTREC 暗号技術ガイドライン https://www.cryptrec.go.jp/tech_guidelines.html

36. PQC の展開・サポート状況について

37. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c PQC の適用状況 • PHP 関連の状況 ◦ OpenSSL

    ◦ Sodium • クラウドベンダー ◦ AWS ◦ Google Cloud ◦ Microsoft Azure

38. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c PHP での暗号技術に関する標準機能 • OpenSSL 拡張（ext/openssl） • Sodium

    拡張（ext/sodium） https://www.php.net/manual/ja/refs.crypto.php

39. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c OpenSSL 拡張 結論：現時点で検討段階 • OpenSSL 本体は PQC

    に関する機能は展開済み（後述） • OpenSSL に追従するための ext/openssl の更新がある

40. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：OpenSSL 拡張に関する議論 https://discourse.thephp.foundation/t/php-dev-update-openssl-extension-to-support-kems/1401/3

41. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：ext/openssl の更新 https://github.com/php/php-src/commit/d662ab5f08af83297dc64499edf0b79182d79e91

42. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 補足：OpenSSL 自体の状況 2025年4月に 3.5.0 より機能追加 • デフォルトで

    TLS 通信時に PQC が優先される • NIST で標準化された PQC アルゴリズムが追加

43. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 補足：OpenSSL（リリースノート 3.5.0） https://github.com/openssl/openssl/releases/tag/openssl-3.5.0

44. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c https://github.com/openssl/openssl/releases/tag/openssl-3.5.0 補足：OpenSSL（リリースノート 3.5.0）

45. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c Sodium 拡張 結論：Sodium 自体が現時点で PQC への対応が途中 •

    ロードマップ上、ML-KEM については対応済みだが、リ リースバージョン上はまだ展開されていない

46. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：Sodium のロードマップ https://libsodium.gitbook.io/doc/roadmap

47. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：Sodium のロードマップ https://libsodium.gitbook.io/doc/roadmap 1.0.x roadmap には含まれていて、コード上は対応されているこ とが確認できる

48. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：Sodium での PQC の議論 https://github.com/jedisct1/libsodium/discussions/1275

49. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c AWS • AWS 責任共有モデルの一環として順次提供 ◦ AWS として

    PQC の選択肢を提供 ◦ 選択についてはユーザー側でおこなう • 2025年4月には、以下のサービスにも適用されている ◦ KMS, ACM, AWS Secrets Manager • ALB の HTTPS リスナーのセキュリティポリシーにもPQC が含まれるものが追加されている

50. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c AWS での取り組み https://aws.amazon.com/jp/security/post-quantum-cryptography/

51. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c AWS での取り組み（KMS, ACM, Secrets Manager） https://aws.amazon.com/jp/blogs/security/ml-kem-post-quantum-tls-now-supported-in-aws-kms-acm-a nd-secrets-manager/

52. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c AWS での取り組み（PQC への移行について） https://aws.amazon.com/blogs/security/aws-post-quantum-cryptography-migration-plan/

53. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c AWS での取り組み（ALB の TLS セキュリティポリシー） https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html

54. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html AWS での取り組み（ALB の TLS セキュリティポリシー）

55. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c https://docs.aws.amazon.com/elasticloadbalancing/latest/application/describe-ssl-policies.html AWS での取り組み（ALB の TLS セキュリティポリシー）

56. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c Google Cloud • NIST で標準化された ML-KEM と

    ML-DSA について展開 がされている • BoringCryptoやTinkといった暗号ライブラリにも展開さ れている

57. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：KEM について https://cloud.google.com/blog/products/identity-security/announcing-quantum-safe-key-encapsulation-

58. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：DSA について https://cloud.google.com/blog/products/identity-security/announcing-quantum-safe-digital-signatures-i

59. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：Tink のロードマップについて https://developers.google.com/tink/roadmap

60. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：Tink のロードマップについて https://developers.google.com/tink/roadmap

61. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c Microsoft Azure • 2023年「Microsoft Quantum Safe Program（QSP）」

    を立ち上げ、2033年に全面展開に向けて進められている • NIST で標準化された ML-KEM と ML-DSA について SymCrypt への展開がされている • クラウドインフラだけでなく、Windows 11 や .Net への 展開なども含まれている

62. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：MS における PQC への取り組み https://www.microsoft.com/en-us/security/blog/2025/08/20/quantum-safe-security-progress-towards- next-generation-cryptography/

63. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 参考：Windows 11 などへの PQC の展開 https://techcommunity.microsoft.com/blog/microsoft-security-blog/post-quantum-cryptography-apis-n ow-generally-available-on-microsoft-platforms/4469093

64. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 余談：身近なところに PQC 一部のサイトではもう ML-KEM が使われていたりする

65. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c 余談：身近なところに PQC 一部のサイトではもう ML-KEM が使われていたりするよ

66. まとめ

67. RSAが破られる前に知っておきたい耐量子計算機暗号(PQC)入門 #phperkaigi #c まとめ • 量子計算機は量子アルゴリズムを用いることで強力な性能 を発揮する • 危殆化は避けられないので将来的な PQC

    への移行は検討 が必要 • PQC の中でも現時点での有力なスタンダードは格子暗号 • PHP は今後に期待する、一方でクラウドインフラなど順次 適用が広がっているので、引き続き注視が必要

68. ご清聴いただき ありがとうございました