おはようございます!
GMOコネクト株式会社でCTOをしております、菅野 哲(かんの さとる)です。
学生の頃から暗号技術に関連することをずっとやっています。
現在、カナダ・モントリオールで開催されているIETF124でも様々なPQCに関する議論が行われています。今回は毛色が異なるMAPRGでPQCに関する発表があったのでフォーカスします。
はじめに
量子計算機の脅威に対応するため、Post-Quantum Cryptography (PQC)への移行が進められています。本記事では、IETF 124で開催されたIRTF MAPRGセッションで報告された Post-Quantum TLS (PQTLS)のサーバーサポートの実態と性能への影響について解説します。
IETF 124 MAPRGセッション概要
開催情報:
- 会議: IETF 124 (Montreal, Canada)
- 開催期間: 2025年11月1-7日
- RG名: MAPRG (Measurement and Analysis for Protocols Research Group)
- co-chair: Dave Planka氏、Mirja Kühlewind氏
- MAPRG 開催日:2025年11月6日 09:30 - 11:00 Thursday Session I
本セッションの発表:
- 発表者: Tommy Pauly氏
- テーマ: Post-Quantum TLSの普及度と関連する性能への影響
- 内容: クライアント側からの接続測定を通じて見た、PQTLSのサーバーサポートの傾向分析
関連リンク:
- IRTF MAPRG: https://irtf.org/maprg
- 発表資料: https://datatracker.ietf.org/meeting/124/materials/slides-124-maprg-server-support-for-pqtls-00
MAPRGとは
MAPRG (Measurement and Analysis for Protocols Research Group)は、プロトコルの測定と分析に関する研究グループで、Dave Planka氏とMirja Kühlewind氏が共同議長を務めています。
MAPRGの研究目標
MAPRGの主な目標は以下の通りです:
- プロトコルとその運用、およびそれらに関連する測定についての研究
- 既存のプロトコルの運用に影響を与える可能性のある将来技術への研究範囲の拡大
MAPRGでは、インターネットプロトコルの実際の展開状況や性能測定を通じて、プロトコル設計の改善点や新技術導入の影響を明らかにする研究が行われています。今回のPost-Quantum TLSの普及状況調査も、このようなMAPRGの研究方針に沿ったものです。
Post-Quantum TLSとは
本セッションで取り上げられたPost-Quantum TLS (PQTLS)は、鍵交換にX25519MLKEM768をサポートすることとしているようです。このことから、対象となるTLSのプロトコルバージョンとして、1.3のサポートが前提となります。
X25519MLKEM768は、従来のX25519と、PQCアルゴリズムであるML-KEM-768(旧Kyber768)のハイブリッド実装であり、量子計算機による攻撃への耐性を持ちながら、従来の暗号方式との互換性も維持しています。
PQTLSの普及状況
Tommy Pauly氏により、クライアント側からの接続測定を通じて見た、PQTLSのサーバーサポートの傾向が報告されました。
ブラウザクライアントによる測定結果
二重スタックネットワーク環境におけるブラウザクライアントの測定結果は以下の通りです:
| プロトコル | PQTLSサポート率 (TLS 1.3 + PQTLS) |
|---|---|
| TCPベース (HTTP/1, HTTP/2) | 20% |
| QUICベース (HTTP/3) | 91% |
TCPベースの接続では、以下のような内訳となっています:
- TLS 1.3 (PQTLSなし): 63%
- TLS 1.2: 17%
- TLS 1.3 + PQTLS: 20%
QUICベースの接続では、9割以上のサーバーがPQTLSをサポートしており、非常に高い普及率となっています。
非ブラウザクライアントによる測定結果
非ブラウザクライアント(APIクライアント、アプリケーションなど)の測定結果:
| プロトコル | PQTLSサポート率 (TLS 1.3 + PQTLS) |
|---|---|
| TCPベース | 5% |
| QUICベース | 80% |
非ブラウザクライアントでは、TCP接続におけるPQTLSの採用率が著しく低く、TLS 1.2の使用率が35%と高くなっています。これは、レガシーシステムやアップデートが遅れているクライアントが多く存在することを示しています。
最新技術サポートとの相関関係
興味深いことに、PQTLSのサポートは、他の最新技術のサポートと強い相関関係が観測されました。
1. QUICサポートとの相関
QUIC (HTTP/3)をサポートしているサーバーは、PQTLSもサポートしている傾向が強く見られます。前述の通り、QUIC接続ではPQTLSサポート率が80-91%に達しています。
2. IPv6サポートとの相関
IPv6をサポートしているサーバーは、PQTLSもサポートしている傾向があります。
3. 最も強い相関: QUIC + IPv6
QUICとIPv6の両方をサポートしているサーバー群が、PQTLSをサポートする傾向が最も強いことが示されています。
具体的には、PQTLSをサポートするサーバーにおいて、IPv6で接続が成功する確率は:
- QUIC接続: 87%
- TCP接続: 64%
この結果は、プロトコルスタックを更新するサーバーは、すべての要素(IPv6、QUIC、PQTLS)を同時に更新する傾向があることを示唆しています。最新技術への投資を行っているインフラプロバイダーやCDNが、包括的なアップグレードを実施していると考えられます。
性能への影響
PQTLSの導入による性能への影響が懸念されていますが、実測データからは興味深い結果が得られています。
理論的なオーバーヘッド
PQTLSは、ハンドシェイク時にクライアント初期パケットが1つから2つに増えるため:
- パケットロスの可能性が高まる
- 処理オーバーヘッドがわずかに増加する
実測データ: 接続確立時間 (P90)
観測された接続確立時間のP90(90パーセンタイル)を見ると、PQTLSを使用しているケースが最も速かったという結果になりました。
これは、PQTLSをサポートしているサーバーが:
- 他のプロトコルスタックも最適化している
- クライアントに対するRTT(往復時間)が低い
- 一般的にインフラが最新で高性能
といった特徴を持つためと考えられます。
効率性の分析 (P90: 確立時間 / RTT)
RTTで正規化した場合、PQTLS接続はパケットロスの可能性がわずかに高くなるため、理論的にはわずかに非効率的であることが示されました。
しかし、PQTLSによる効率性のわずかな低下は、サーバーが接続を最適化するために行っている他の要因(低いRTT、最適化されたインフラなど)による利点によって相殺されており、全体的なクライアントエクスペリエンスは向上しています。
質疑応答と考察
セッションでは、主に導入の格差と性能への懸念について議論されました。
プロトコル更新時の格差
Marco Munizaga氏からの質問に対し、Pauly氏は重要な指摘を行いました:
プロトコルの更新のたびに同じ集団が更新を続けているように見え、結果としてインターネットプロトコルスタックの二極化(古いスタックと新しいスタック)が生じる可能性がある
この傾向は、技術的負債の蓄積や、一部のシステムがセキュリティリスクに晒され続ける可能性を示唆しています。
性能に関する懸念
Jeff Houston氏は、ClientHelloが2パケットに分割される場合の追加RTT遅延について、過去のFacebook Engineeringなどの報告と今回の「同じ速度」という報告が矛盾している点を指摘しました。
Pauly氏の回答:
- 実際の実装では常に待機する必要があるとは考えていない
- サーバー側でのわずかな遅延は、他の最適化要因によって上回られている
隠れた変数の存在
Vaibhav Bajpai氏は、相関関係の解釈には注意が必要であると指摘しました:
- CDNの利用状況
- ネットワーク帯域幅
- その他の隠れた変数
これらがPQTLSの採用に影響している可能性があります。Pauly氏は、クライアント側は常にPQTLSをサポートしていることを示していると強調しつつ、交絡変数があることは認めています。
データセットの公開可能性
Allison Mankin氏から、この匿名化されたデータセットを研究用に公開する可能性について質問がありました。Pauly氏は、現時点では約束できないものの、MAPRGがデータアクセスを仲介する役割を果たす可能性があると提案されました。
まとめ
MAPRGセッションから得られた主要な知見:
- QUIC環境でのPQTLS採用率は80-91%と非常に高いが、TCPベースでは5-20%に留まる
- QUIC、IPv6、PQTLSのサポートには強い相関があり、最新技術をまとめて導入する傾向がある
- PQTLSの理論的なオーバーヘッドは、最適化されたインフラによる利点で相殺されている
- プロトコルスタックの二極化が進む可能性があり、今後の課題となる
これらの結果は、PQC移行戦略を考える上で重要な示唆を与えます。特に、QUICやHTTP/3の導入と並行してPQTLSを導入することで、スムーズな移行が可能になる可能性があります。
一方で、レガシーシステムやTCPベースの通信に依存しているシステムでは、PQTLS導入が遅れており、量子計算機の脅威に対して脆弱な状態が続く可能性があります。今後、これらのシステムに対するPQC移行戦略の策定が急務となるでしょう。
メーリングリスト
MAPRG の活動に参加するには、メーリングリストへの登録が推奨されます:
参考情報
- IRTF MAPRG: https://irtf.org/maprg
- IETF 124 MAPRG セッション: https://datatracker.ietf.org/meeting/124/session/maprg
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。