Let's Encrypt、量子コンピューター時代に向け「マークルツリー証明書」採用計画を発表：通信量増加を抑制する仕組み

無料で自動化されたTLS証明書を発行する認証局Let's Encryptは、量子コンピューターの実用化を見据え、2026年6月3日、新たな「マークルツリー証明書（MTCs）」の採用計画を発表しました。量子コンピューターが普及すると、現在広く使われている暗号技術の一部が破られるリスクがあります。特に、攻撃者が暗号化された通信内容を保存し、将来解読を試みる「HNDL攻撃」が懸念されています。

これまでLet's Encryptは、ウェブサイトの正当性認証の仕組み上、通信の暗号化ほど量子対策を急ぐ必要はないと考えてきましたが、Web PKI全体の仕組みを切り替えるには時間がかかるという事情を踏まえ、証明書側でのポスト量子認証への迅速な対応が必要だと判断しました。問題は、量子耐性を持つ署名方式（例：ML-DSA-44）を使用すると、従来のECDSAやRSA方式（数百バイト〜2KB）と比較して、最悪の場合10KB以上の通信量が必要になる点です。この情報量の増加は、ウェブサイトアクセス時のTLSハンドシェイクにおいて、接続の遅延や失敗を引き起こす可能性が高まります。

この課題を解決するため、Let's Encryptが注目するのが「マークルツリー証明書」です。従来の証明書発行では認証局が証明書を一つずつ発行し、それぞれに署名していましたが、MTCsでは複数の証明書をまとめて扱い、証明書群全体を単一の署名でカバーします。「マークルツリー」は大量のデータを木構造にまとめ、データが含まれていることを短い証明で確認できる仕組みです。これにより、ポスト量子署名を導入しても、TLSハンドシェイクの通信量増加を大幅に抑えることが可能となり、従来の方式と比較して通信量を約10分の1に削減できるとされています。

Let's Encryptの計画では、MTCsを発行できるステージング環境を2026年後半に用意し、2027年には本番利用に対応できる環境を目指すとしています。導入にはACMEプロトコルや運用ツールなどの対応が必要ですが、利用者は特別な作業は必要なく、引き続き無料かつ自動化された形でサービスが提供される方針です。

---

背景

量子コンピューターの進化は、現在の公開鍵暗号方式（RSAやECCなど）の安全性を脅かす可能性があり、インターネットの基盤技術に大きな変革を迫っています。特に、通信の暗号化やデジタル署名における「ポスト量子暗号」への移行が世界的な課題となっています。

重要用語解説

• マークルツリー証明書（MTCs）: 複数の証明書を木構造でまとめて扱い、全体を単一の署名でカバーする仕組み。これにより、量子耐性署名導入時の通信量増加を抑制します。
• ポスト量子暗号: 量子コンピューターの攻撃に耐性を持つ次世代の暗号技術。現在の暗号方式を置き換える必要があります。
• TLSハンドシェイク: ウェブサイトにアクセスする際、クライアントとサーバーが安全な通信路を確立するために行う初期の通信手順。証明書交換が行われます。

今後の影響

本計画が成功すれば、量子コンピューター時代においても、ウェブサイトの正当性認証（PKI）の信頼性を維持しつつ、接続速度や安定性を保つことが可能になります。これは、インターネット全体のセキュリティインフラの安定的な移行を可能にする重要な一歩です。