Googleの Chrome Secure Web and Networking Teamは2026年2月27日、ChromeにおけるHTTPS証明書を量子コンピュータに対して安全にする新プログラムを発表した。
Chromeはポスト量子暗号を含む従来型X.509証明書をChrome Root Storeに追加する計画を当面持たず、代わりにIETFのPLANTSワーキンググループで開発中のMerkle Tree Certificates(MTC)に基づく新たな証明書方式を採用する。MTCは従来の署名チェーンをコンパクトなMerkle Tree証明に置き換え、帯域幅の負荷を抑えつつ量子耐性を実現する。
展開は3段階で進められ、フェーズ1ではCloudflareと連携した実現可能性調査が進行中である。フェーズ2は2027年第1四半期にCT Logオペレーターの参加を募り、フェーズ3は2027年第3四半期にMTCのみをサポートする新たなChrome Quantum-resistant Root Store(CQRS)を確立する計画である。
From: 
Cultivating a robust and efficient quantum-safe HTTPS
【編集部解説】
今回のGoogleの発表は、インターネットの安全性を根底から再設計する動きとして注目に値します。一見すると技術的な証明書の話に思えますが、その本質は「量子コンピュータ時代にウェブの信頼基盤をどう守るか」という、すべてのインターネットユーザーに関わる問題への回答です。
まず背景を整理します。現在のHTTPS通信では、ウェブサイトの正当性を証明するためにX.509証明書が使われています。この証明書には楕円曲線暗号(ECDSA)などの古典的な暗号アルゴリズムに基づく電子署名が含まれていますが、これらは将来的に量子コンピュータのショアのアルゴリズムによって破られる可能性があります。
では単純にポスト量子暗号に置き換えればよいかというと、そう簡単ではありません。NISTが2024年8月に標準化したML-DSA-44の場合、署名サイズは2,420バイト、公開鍵は1,312バイトに達します。現在のECDSAの署名が約64バイトであることと比較すると、桁違いの大きさです。Cloudflareのブログによれば、一般的なTLSハンドシェイクには約5つの署名と2つの公開鍵が含まれており、これをすべてML-DSAに置き換えると約14.7kBもの追加データが発生することになります。
Cloudflareの主任リサーチエンジニアであるバス・ヴェスターバーン氏がArs Technicaに語ったところによると、証明書が大きくなればハンドシェイクは遅くなり、取り残される人が出てくるとのことです。特に低帯域幅の回線やモバイル環境では深刻な影響が予想され、パフォーマンス低下が起きれば利用者が新しい暗号を無効にしてしまう恐れもあります。
MTCはこの問題を根本的に解決するアプローチです。認証局(CA)が数百万の証明書をまとめてMerkle Treeに構造化し、ルートに1回だけポスト量子署名を施します。ブラウザに送られるのはツリーへの包含証明(inclusion proof)のみであるため、通信中のデータ量を大幅に削減しつつ量子耐性を確保できます。Cloudflareによれば、TLSハンドシェイクに必要なのは1つの署名、1つの公開鍵、1つのMerkle Tree包含証明だけになります。
重要なのは、この取り組みが「暗号化(機密性)」と「認証」という2つの異なる課題のうち、後者に対応するものだという点です。Cloudflareの報告によれば、同社のトラフィックの約50%はすでにポスト量子暗号による鍵交換(X25519MLKEM768)で保護されています。しかし証明書の認証側については、データサイズの問題から対応が遅れていました。MTCはまさにこの残された課題を解決するものです。
現在の実験フェーズでは、Cloudflareが約1,000のTLS証明書を登録してMTCの性能検証を行っています。実験中はすべてのMTC接続に従来のX.509証明書がバックアップとして付随しており、ユーザーへの影響を最小限に抑える設計となっています。
この動きが持つ業界全体への影響も見逃せません。Googleが新たにChrome Quantum-resistant Root Store(CQRS)を構築し、MTCのみをサポートする専用のルートプログラムを立ち上げるということは、世界中の認証局がこの新しい仕組みへの対応を迫られることを意味します。既存のCA事業者にとっては、Merkle Treeの運用やACMEワークフローへの完全移行など、大きな技術的・運用的転換が求められることになります。
一方で潜在的なリスクも存在します。MTCでは証明書がバッチ処理で発行されるため、即時発行が難しくなる場面が生じます。また、Cloudflareが指摘しているように、MTCの有効期間は本質的に短く、1週間を超えるとフォールバックが発生する可能性があるため、クライアントとサーバーの同期が極めて重要になります。失効処理の仕組みもまだ議論の途上にあります。
さらに、Chrome(Google)が事実上のルールメイカーとして新しいルートストアの要件を決定する構図は、ウェブPKIのガバナンスにおける権力集中という観点からも議論を呼ぶ可能性があります。
長期的な視点では、この取り組みは「Q-Day」(量子コンピュータが現行の暗号を実際に破れるようになる日)に備えた先行投資と位置付けられます。暗号の移行には常に想定以上の時間がかかるという歴史的教訓を踏まえれば、実用的な量子コンピュータの登場時期がまだ不確定であっても、今から準備を進めることの意義は大きいと言えるでしょう。
【用語解説】
Merkle Tree(マークルツリー)
データの整合性を効率的に検証するための木構造のデータ構造。各葉ノードにデータのハッシュ値を配置し、親ノードは子ノードのハッシュ値を結合して生成する。ルートハッシュ1つで大量のデータの改ざん検出が可能となる。1979年にラルフ・マークル氏が考案した。
MTC(Merkle Tree Certificates)
Merkle Treeを活用した次世代の証明書方式。従来のX.509証明書チェーンにある複数の署名を、コンパクトなツリー包含証明に置き換えることで、ポスト量子暗号のデータサイズ問題を回避する。IETFのPLANTSワーキンググループで仕様策定が進められている。
X.509証明書
公開鍵基盤(PKI)における標準的な電子証明書フォーマット。ウェブサイトの身元確認やHTTPS通信の暗号化に広く使われている。認証局(CA)が発行し、署名チェーンによって信頼性を担保する仕組みである。
TLSハンドシェイク
ブラウザとサーバーが暗号化通信を開始する際に行う初期交渉プロセス。サーバーの認証、暗号方式の合意、セッション鍵の共有などが含まれる。ここで証明書データがやり取りされるため、証明書のサイズが通信速度に直接影響する。
Certificate Transparency(CT)
認証局が発行したすべてのTLS証明書を公開ログに記録し、不正な証明書の発行を検知可能にする仕組み。2011年のDigiNotar事件を契機に導入が進んだ。MTCではこの透明性が証明書発行の基本機能として組み込まれる。
ポスト量子暗号(PQC)
量子コンピュータによる攻撃に耐えうるよう設計された暗号アルゴリズムの総称。NISTが2024年8月にML-DSA、ML-KEM、SLH-DSAの3方式を標準化した。従来の暗号と比較して鍵や署名のサイズが大幅に大きいことが実装上の課題となっている。
ML-DSA(Module-Lattice-Based Digital Signature Algorithm)
NISTが標準化したポスト量子電子署名アルゴリズム(FIPS 204)。格子暗号に基づく。ML-DSA-44の場合、署名サイズは2,420バイト、公開鍵は1,312バイトであり、ECDSAの約64バイトと比較して大幅に大きい。
ECDSA(Elliptic Curve Digital Signature Algorithm)
楕円曲線暗号に基づく電子署名アルゴリズム。現在のHTTPS通信で最も広く使われている署名方式の一つ。署名サイズが約64バイトとコンパクトだが、量子コンピュータのショアのアルゴリズムによって将来的に破られる可能性がある。
ショアのアルゴリズム
1994年にピーター・ショア氏が発表した量子アルゴリズム。大きな整数の素因数分解や離散対数問題を効率的に解くことができ、RSAや楕円曲線暗号といった現行の公開鍵暗号を破る能力を持つ。実行には大規模な量子コンピュータが必要である。
Q-Day
暗号学的に意味のある規模の量子コンピュータが実現し、現行の暗号が実際に破られるようになる日を指す業界用語。時期は不確定だが、一部の企業は数年後の到来を想定して対策を進めており、それに先行して暗号移行を進める必要があるとされている。
Chrome Root Store
Google Chromeが信頼する認証局(CA)のルート証明書を管理するトラストストア。2022年に設立された。今回発表されたCQRS(Chrome Quantum-resistant Root Store)は、これと並行して運用されるMTC専用のトラストストアとなる。
ACME(Automatic Certificate Management Environment)
証明書の発行・更新・失効を自動化するプロトコル(RFC 8555)。Let’s Encryptの普及により広く採用されている。Googleは新しいMTCエコシステムにおいてACMEのみのワークフローを採用する方針を示している。
PLANTS(PKI, Logs, And Tree Signatures)
IETFが新たに設立したワーキンググループ。ポスト量子暗号がTLS接続に導入される際のパフォーマンスおよび帯域幅の課題に対処することを目的とし、MTCの仕様策定を主導している。
【参考リンク】
Google Online Security Blog(外部)
Googleのセキュリティチームが運営する公式ブログ。暗号技術やChromeのセキュリティ施策を発信している。
Cloudflare Blog(外部)
CDN・セキュリティ大手Cloudflareの公式ブログ。今回のMTC実験でGoogleと連携している。
IETF PLANTSワーキンググループ(外部)
MTCの仕様策定を含む、ポスト量子PKIに関するIETFの標準化活動ページ。
Merkle Tree Certificates(IETF Internet-Draft)(外部)
PLANTSワーキンググループで策定中のMTC仕様ドラフト文書。技術的な詳細が記載されている。
NIST Post-Quantum Cryptography(外部)
米国NISTのポスト量子暗号プロジェクトページ。ML-DSAやML-KEMなどの標準化情報を提供。
Chrome Root Store(外部)
Google Chromeが信頼するルート証明書の一覧とRoot Programのポリシー情報を公開するページ。
Certificate Transparency公式サイト(外部)
Certificate Transparencyの仕組みを解説する公式リソース。CTログの運用方法について説明されている。
【参考記事】
Keeping the Internet fast and secure: introducing Merkle Tree Certificates(外部)
ChromeとのMTC実験の詳細を解説。ML-DSA-44の署名が2,420バイト、公開鍵が1,312バイトであることや、ECDSAの64バイトとの比較、同社トラフィックの約50%がすでにポスト量子鍵交換で保護されている現状を報告している。
Google Quantum-Proofs HTTPS(Ars Technica引用・Slashdot)(外部)
量子耐性暗号データが従来の約40倍であること、現行X.509証明書の暗号素材が約64バイトで量子耐性版では約2.5kBになること、Cloudflareが約1,000のTLS証明書でMTC検証中であることを報じている。
A look at the latest post-quantum signature standardization candidates(外部)
ML-DSAをTLSハンドシェイクに適用した場合、合計14.7kBが追加されることを算出。UOVやHAWKなど代替署名アルゴリズムとの比較分析も行っている。
Google Brings Quantum-Hardened HTTPS To Chrome In Major Security Upgrade(外部)
ポスト量子アルゴリズムの署名・鍵サイズが古典的なものより桁違いに大きいこと、2027年までにCQRSを確立する計画を解説している。
Google’s Quantum-Proof Gamble: How Merkle Trees and Clever Math Could Save HTTPS Certificates(外部)
大手テクノロジー企業によるウェブPKI保護の最も具体的な取り組みの一つと評価。証明書署名問題が鍵交換ほど注目されてこなかった背景も指摘している。
Cloudflare and Google sitting in a tree, fixing quantum cryptography(外部)
MTCの有効期間が1週間を超えるとフォールバックが発生する点や、プロトコル硬直化の課題について詳述している。
【編集部後記】
量子コンピュータの脅威はまだ先の話と思われがちですが、今回のGoogleの動きは「備えは今から」という明確なメッセージを発しています。私たちが毎日何気なく目にするブラウザの鍵マーク、その裏側の信頼基盤が静かに、しかし大きく変わろうとしています。
皆さんが利用しているサービスやシステムは、ポスト量子時代への準備をどこまで進めているでしょうか。こうした視点で日々のテクノロジーニュースを眺めてみると、新たな発見があるかもしれません。
