【保存版】IETFメールプロトコル大改訂の全貌（後編）| メール暗号化とPQC移行

Posted at 2025-12-10

リンクをクリックしてくれてありがとうございます。

GMOコネクトで執行役員CTOしている菅野哲（かんのさとる）です。
前編の「【保存版】IETFメールプロトコル大改訂の全貌（前編）| SMTP 17年ぶり改訂・DKIM2・JMAP標準化」に続きとなる後編をお届けします！

はじめに

前編では、SMTP/DKIM/DMARC/JMAPなど、メールプロトコルのコア部分のモダナイゼーションを解説しました。
ワイの見ているIETFのWGをサマリーすると次のとおりです。

EmailCore WG: SMTP/IMFの40年以上の運用知見を反映した改訂（RFC 5321bis/5322bis）
DKIM WG: DKIM2によるリプレイ攻撃対策
DMARC WG: DMARCbis（Standards Track化）
JMAP WG: 次世代メールアクセスプロトコル
MailMaint WG: OAuth認証、自動設定、IMAP拡張

[前編はこちら]

後編では、メール暗号化の量子時代への移行を解説します。プロトコルが進化する一方で、暗号化も大きな転換点を迎えています。

1. なぜPQCがメールに必要なのか？

そっと近づいてくる量子計算機の脅威

暗号アルゴリズムの脅威となる量子計算機（CRQC: Cryptographically Relevant Quantum Computer）が実用化されると、現行暗号であるRSA・ECDHが利用できなくなります。

このような状況になると顕在化する暗号に対するリスクとして、"Harvest Now, Decrypt Later" 攻撃 というものがあります。

1. 攻撃者が今日、暗号化メールを収集・保存　← Harvest Now
2. 将来、発現したCRQCによって暗号解読　← Decrypt Later
3. その結果としてCRQCが発現以前のメールの内容が露呈

予見されているリスクがあるなら、何もせずに指を咥えているかというとそんなことはないです。
政府・業界の動き として、米国の例を示します。

米国NSA CNSA 2.0（2022年9月）：2030年代初頭までにPQC完全移行
NIST標準化（2024年8月完了）：ML-KEM（鍵共有）、ML-DSA（署名）、SLH-DSA（署名）

メール文脈での CRQC発現によるメールへの影響 を紐解いてみると・・・次のようなことが言えます。

S/MIME証明書が無効化
OpenPGP鍵が無効化
過去のメールアーカイブが解読される可能性

こうやって振り返ってみるとなかなかパンチがありますよね？震

2. メール暗号化への具体的影響

ここではS/MIME等に代表されるメール暗号化技術への影響を、データサイズやPQC移行の観点で整理します。

証明書・鍵サイズの増加

暗号方式	公開鍵サイズ	署名サイズ	証明書サイズ（概算）
RSA-2048	256 bytes	256 bytes	約1-2 KB
ECDSA P-256	32 bytes	64 bytes	約1 KB
ML-DSA-65	1,952 bytes	3,309 bytes	約5-7 KB
ML-KEM-768	1,184 bytes	-	約3-5 KB
ハイブリッド	-	-	約10-15 KB

実務への影響：

メール1通あたりのサイズが10-20 KB増加
証明書配布・更新の帯域使用量が10倍
処理時間が2-3倍に増加

ハイブリッド暗号が必要な理由

単純にRSA→ML-DSAに置き換えるだけでは不十分です。

ハイブリッド構成の考え方：

例えば、現行暗号（RSA/ECDSA） + PQC（ML-DSA）を両方使う
ハイブリッド構成のキモチ
- 現行暗号が破られても→PQCが守る
- PQCに脆弱性があっても→現行暗号が守る
- 両方が同時に破られる確率は極めて低いよね？という前提に基づいているYo

移行戦略：

2025-2027年：ハイブリッド暗号の展開開始
2027-2030年：段階的にPQCへ移行
2030年以降：PQC完全移行、レガシー廃止
※ 用途次第では2035年がターゲットとなっていることに注意

上記のような移行戦略であるため、暗号の「2030年問題」 と言われています。
暗号の「2030年問題」 について気になるぜ！という素敵なアナタ！このリンクから把握できますので、ご覧いただけたらと！

3. メール&PQC関連のIETF WG

LAMPS WG: S/MIMEのPQC対応

WGの役割：
PKIXとS/MIMEの拡張を扱い、メール暗号化の証明書標準を策定

主なドラフト：

draft-ietf-lamps-dilithium-certificates ("Internet X.509 Public Key Infrastructure - Algorithm Identifiers for the Module-Lattice-Based Digital Signature Algorithm (ML-DSA)") は、ML-DSA(Dilithium)を使った証明書形式を定義します。

draft-ietf-lamps-kyber-certificates ("Internet X.509 Public Key Infrastructure - Algorithm Identifiers for the Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM)") は、ML-KEM(Kyber)を使った公開鍵証明書の仕様を定めます。

draft-ietf-lamps-pq-composite-kem ("Composite ML-KEM for use in X.509 Public Key Infrastructure") は、PQC鍵共有(KEM)のコンポジット手法を定義します。ML-KEMと伝統的ECDH/ECDSAを組み合わせた鍵交換を扱い、S/MIME証明書の移行に備えます。

draft-ietf-lamps-pq-composite-sigs ("Composite ML-DSA for use in X.509 Public Key Infrastructure") は、ML-DSA、SLH-DSA、FalconなどのPQC署名と従来署名を組み合わせた複合署名を規定します。ML-DSAをRSASSA-PKCS1-v1.5、RSASSA-PSS、ECDSA、Ed25519、Ed448と組み合わせることで、どちらか一方のアルゴリズムが破られても安全性を維持できます。

draft-ietf-lamps-certdiscovery ("A Mechanism for X.509 Certificate Discovery") は、X.509証明書を自動検索・取得する仕組みを定義します。PQC移行期において、送信者が受信者のPQC対応証明書を自動的に発見できるようになります。

標準化段階：ML-DSA/ML-KEM証明書仕様はIESGレビュー段階、2025-2026年のRFC化が見込まれます。

メールエンジニアへの影響：

CAシステムのML-KEM/ML-DSA対応が必要
証明書ストレージの容量計画（10倍）
メールクライアントのライブラリ更新

OpenPGP WG: PGPのPQC対応

WGの役割：
PGP(Pretty Good Privacy)ベースのメール暗号化の標準化

発行済みRFC：

RFC 9580（2024年7月）：OpenPGP v6の基盤

主なドラフト：

draft-ietf-openpgp-pqc ("Post-Quantum Cryptography in OpenPGP") は、OpenPGPへのPQC導入を定義します。ML-KEM/ML-DSAと既存の楕円曲線暗号を組み合わせたハイブリッド鍵暗号と署名、および単独のSLH-DSA署名方式を定義します。X25519/X448/NIST P-256/P-384/P-521/brainpoolP256r1/brainpoolP384r1/brainpoolP512r1といった既存の楕円曲線とML-KEM/ML-DSAを組み合わせた複数のコンポジットアルゴリズムを規定します。

標準化段階：WGドラフトとしてVer. 14まで進んでおり、実装とフィードバックを得ながら成熟度を高めています。

draft-ietf-openpgp-replacementkey ("OpenPGP Key Replacement") は、期限切れ・失効・非推奨となった主鍵を置き換える方法を定義します。「鍵等価性バインディング(Key Equivalence Binding)」により、置き換え鍵が元の鍵と等価であることを暗号学的に証明し、OpenPGP v4からv6への移行を円滑にします。

draft-ietf-openpgp-persistent-symmetric-keys ("Persistent Symmetric Keys in OpenPGP") は、OpenPGPで長期保管用の対称鍵を使用できるようにする拡張です。メールアーカイブの暗号化など、量子耐性が高く高性能な暗号化を実現します。

メールエンジニアへの影響：

GnuPGなどのOpenPGP実装の更新が必要
v4鍵からv6鍵への移行計画
鍵サーバーのストレージ計画

PQUIP WG: PQC移行等に関するガイドライン検討！

WGの役割：
PQCを各種プロトコルへ導入する際の横断的なガイダンスを提供

主なドラフト：

draft-ietf-pquip-pqc-engineers ("Post-Quantum Cryptography for Engineers") は、エンジニアがPQC移行を理解・計画するための包括的な文書です。CRQCの脅威、ハイブリッド暗号方式の必要性、実装時のトレードオフなどを解説します。

標準化段階：Ver. 14、RFC Ed Queue（間もなくRFC化）

draft-ietf-pquip-hybrid-signature-spectrums ("Hybrid signature spectrums") は、ハイブリッド署名方式の設計目標とセキュリティ考慮点を分類します。Stripping攻撃（ハイブリッド署名から一方を削除する攻撃）への対策など、実装者が適切な設計を選択するための指針を提供します。

標準化段階：Ver. 07、RFC Ed Queue

draft-ietf-pquip-pqc-hsm-constrained ("Adapting Constrained Devices for Post-Quantum Cryptography") は、IoTデバイスや軽量HSMへのPQC統合ガイダンスを提供します。多くの企業ではS/MIME署名用の秘密鍵をHSMに保存しているため、HSMのPQC対応が重要です。

draft-ietf-pquip-hbs-state ("Hash-based Signatures: State and Backup Management") は、LMS/HSS/XMSS/XMSS^MTなどのステートフルハッシュベース署名(S-HBS)の運用ガイダンスを提供します。ファームウェア署名などに適用可能ですが、メール署名には複雑すぎるため非推奨です。

メールエンジニアへの影響：

PQC実装の基礎知識の習得
ハイブリッド暗号の設計選択
HSMベンダーとの調整

4. 3つのWGを一覧で比較

WG名	主な焦点	注目技術	標準化段階
LAMPS	S/MIME・PKI	ML-KEM/ML-DSA証明書、Composite署名	IESGレビュー段階
OpenPGP	PGP暗号化	PQCハイブリッド、鍵置き換え	Ver. 14（成熟段階）
PQUIP	PQC実装指針	ハイブリッド方式、制約デバイス	横断的ガイダンス

まとめ

メール暗号化のPQC移行における重要ポイント

"Harvest Now, Decrypt Later" 攻撃への対応は今すぐ必要
- 今日のメールが10年後に解読される可能性
- 量子コンピュータの実用化を待ってからでは遅い
ハイブリッド暗号が移行期の鍵
- 従来暗号とPQCの両方を使用
- どちらか一方が破られても安全性を維持
証明書・鍵サイズが10倍に、処理時間が2-3倍に
- ストレージ・帯域・パフォーマンスの計画が必要
- 証明書自動検索で相互運用性を確保
2025-2030年が移行期
- 2025-2026年：標準化完了、実装開始
- 2027-2028年：本格展開
- 2030年代初頭：完全移行