公開鍵認証基盤の認証局を、シームレスに耐量子計算機暗号へ。TOPPAN、NICT、ISARAが技術実証

　TOPPANホールディングス株式会社、国立研究開発法人情報通信研究機構（NICT）、ISARA Corporationは4月9日、公開鍵認証基盤（PKI：Public Key Infrastructure）の認証局（CA：Certification Authority）を、シームレスに耐量子計算機暗号（PQC：Post-Quantum Cryptography）へと移行する技術の実証実験に成功し、有用性を確認したと発表した。

　公開鍵認証基盤は、インターネットの通信における真正性・安全性の保証に欠かせない技術である。その仕組みは、ウェブサーバーなどの通信対象が持つ公開鍵に対して署名を行い、本物であることをユーザーに対して証明する電子証明書と、それを発行する第三者機関である認証局により成り立つ。

　認証局は、最上位のルート認証局から中間認証局を介してサーバーへと階層的な構造を持ち、多段的に証明書の発行依頼と発行を行う「証明書チェーン」と呼ばれる仕組みにより、信頼性が保証されている。

　現行の公開鍵暗号の技術は将来的に量子コンピューターによって解読される可能性が指摘されておりPQCへの移行準備が進められているが、ルート認証局の暗号アルゴリズムは社会インフラ全体に与える影響が大きく、慎重な対応が求められる。また、全ての環境を同時にPQCへと移行することは現実的でなく、サービスを提供しつつ移行を行う期間を設ける必要がある。

　このような課題に対して、3者は、既存のルート証明書と互換性を持ちつつ、標準のPQCとされる「ML-DSA」などのアルゴリズムにも対応したハイブリッド証明書を証明書チェーンに介在させられるようにする「第2ルート証明書」をICカードシステムに適用し、その有用性を確認した。

「第2ルート証明書」を活用したPQC移行の概要

　実証実験では「第2ルート証明書」を用いてICカード認証基盤を構築し、現行暗号のみのレガシー環境、現行暗号とPQCが混在したハイブリッド移行環境、完全PQC環境の3つのフェーズにおいて、暗号化通信プロトコルの接続および相互認証の動作を検証した。結果、システム停止を伴わず、シームレスな移行が可能であることを確認した。また、量子暗号ネットワークと連携することで、送受信者間での盗聴を不可能にする量子鍵配送と、利用者の真正性を保証するPQC認証を組み合わせた多層防御を実現した。

　3者は、今回の実証実験で得られた結果をもとに、まず高い安全性が要求される医療・金融業界などで実用化を行い、2030年頃の本格的な社会実装を目指すとしている。