時差ボケがまだ治ってないGMOコネクトでCTOしている菅野(かんの)でございます。
Xのタイムラインを眺めていたらドイツ方面でPQC対応IDカードのPoCに関する記事があったので色々調べてみた結果をまとめましたので読んでみてくださいませ。
はじめに
2025年11月10日、ドイツの Bundesdruckerei と G+D、BSI、Infineon が、「量子計算機時代を見据えたPQC対応なIDカードのPoC」を公表しました。
同じ文脈で、2022年には世界初の「PQC対応パスポート」デモも報じられており、今回のIDカードPoCは、明らかにその延長線上にあります。
本記事ではニュースの整理だけでなく、以下を技術寄りに深掘りします。
- 使われている(と考えられる)PQCアルゴリズムとパラメータ
- IDカード/パスポート向けセキュリティコントローラのリソース制約
- Fraunhofer AISEC の PoQuID プロジェクトとの関係
- 実運用を見据えた「現実的な設計ライン」の考察
1. ニュースざっくり整理
1-1. 量子耐性IDカード PoC(2025)
Bundesdruckerei と G+D のプレスによると、以下のとおりです。
対象
今後のドイツの Personalausweis(IDカード)世代
目的
量子計算機攻撃に耐えるハイブリッドPQCの実装可能性実証と、現行インフラと互換性を維持しつつ、将来フルPQCへの移行を見据える設計です。
フェーズ構成(報道ベース)
フェーズ1では、既存の暗号(RSA/ECC)+量子耐性署名(PQC)で改ざん耐性を強化します。フェーズ2では、標準化・検証が進んだ段階で、暗号基盤をPQCへ全面移行する計画です。
BiometricUpdate も「暗号化+認証の両方を量子耐性にしたIDチップのPoC」と報じています。
1-2. ポスト量子パスポート・デモ(~2022–2023)
Bundesdruckerei と Infineon、Fraunhofer AISEC が参加した PoQuID プロジェクトでは、「量子安全なパスポート用暗号プロトコル」が開発されています。
Fraunhofer AISEC の年次報告・プレス要約
Extended Access Control (EAC) をベースに、Kyber(鍵共有)+ Dilithium(署名)を組み合わせたPQCプロトコルを設計しています。パスポート/IDカードのチップ上リソースで動作するよう最適化され、セキュリティ機能の検証に要する時間は約2秒と説明されています。これにより、国境管理やオンラインID機能でも実用的なレスポンスを達成しています。
今回のIDカードPoCは、パスポート側で先に作った PoQuID の成果をIDカード用チップと国民IDスキームに持ち込んだものと位置付けられます。
2. 採用候補のPQCアルゴリズム:Kyber / Dilithium
公表資料では「ML-KEM」「ML-DSA」といったNIST正式名までは書かれていないものの、関係企業・BSI・NISTの文脈から、実質的に以下の組み合わせが前提と見て良さそうです。
- ML-KEM(CRYSTALS-Kyber):鍵カプセル化(KEM)
- ML-DSA(CRYSTALS-Dilithium):デジタル署名
Infineonは、PQC対応の TEGRION™ セキュリティコントローラ SLC27 において、Common Criteria 認証済みライブラリとして ML-KEM と ML-DSA をサポートしていると明言しています。
NISTも 2024年に FIPS 203(ML-KEM)/204(ML-DSA)を最初のPQC標準として確定済みです。
3. ML-KEM / ML-DSA のパラメータとサイズ感
3-1. ML-KEM(CRYSTALS-Kyber)
FIPS 203および liboqs 等を基にしたパラメータセットとサイズは以下の通りです。
| パラメータ | NISTレベル | 公開鍵 | 秘密鍵 | 暗号文 |
|---|---|---|---|---|
| ML-KEM-512 | 1 | 800 Byte | 1632 Byte | 768 Byte |
| ML-KEM-768 | 3 | 1184 Byte | 2400 Byte | 1088 Byte |
| ML-KEM-1024 | 5 | 1568 Byte | 3168 Byte | 1568 Byte |
NISTや解説記事では、デフォルト推奨として ML-KEM-768 を挙げるケースが多いです。
3-2. ML-DSA(CRYSTALS-Dilithium)
FIPS 204 / liboqs ベースのサイズは以下の通り。
| パラメータ | NISTレベル | 公開鍵 | 秘密鍵 | 署名 |
|---|---|---|---|---|
| ML-DSA-44 | 2 | 1312 B | 2560 Byte | 2420 Byte |
| ML-DSA-65 | 3 | 1952 B | 4032 Byte | 3309 Byte |
| ML-DSA-87 | 5 | 2592 B | 4896 Byte | 4627 Byte |
ざっくり言うと、署名サイズは 2.4〜4.6 KB、公開鍵は 1.3〜2.6 KB です。
つまり、IDカード/パスポートで典型的な RSA/ECDSA と比べると、「鍵+署名」でざっくり 1〜2桁大きい世界になります。
4. IDカード/パスポート用チップのリソース制約
4-1. 代表的なセキュリティコントローラのスペック感
Infineon の Government ID 向け TEGRION 系コントローラ「SLC26GDA360」の仕様:
- プロセス:28 nm
- CPU:Arm v8-M ベース 32bit
- NVM(SOLID FLASH): 360 KB
- RAM: 20 KB
- CC EAL6+ / EMVCo 認証
同じファミリの SLC27 は、PQCライブラリ(ML-KEM / ML-DSA)込みでCommon Criteria 認証を取得済みの製品としてアナウンスされています。
このクラスのチップがターゲットになると想定すると、永続領域は数百 KB〜数 MB クラス、RAMは十数〜数十 KB クラス、通信インタフェースは ISO 7816 / ISO 14443 / VHBR などとなります。トランザクション時間は、国境管理や券売機等の UX 要件から数秒以内(1〜2秒が理想)が上限という現実的な制約が見えてきます。
4-2. PoQuIDプロジェクトが示す「2秒」の目安
Fraunhofer AISEC の年次報告では、PoQuIDプロジェクトで開発した量子安全パスポート用プロトコルについて、「新プロトコルのセキュリティ機能のチェックに要する計算時間は約2秒であり、パスポートの国境検査とオンラインID機能の双方で実用的だ」と述べています。
つまり、Kyber+DilithiumベースのハイブリッドEAC を 360 KB級 NVM / 20 KB級 RAM のチップで動かしつつ、2秒前後で検証完了というあたりが、当面の現実ラインと捉えられます。
5. PoQuID と今回のIDカードPoCの関係
Bundesdruckerei の「Technologies for the era of quantum computers」では、PoQuID プロジェクトを以下のように位置づけています。
- 量子安全なパスポートのプロトタイプを実装
- 既存のインフラや ICAO パスポート仕様と両立するプロトコルを検証
- Kyber / Dilithium ベースの複数方式(PQC-only, ハイブリッド, KEM-onlyなど)を評価
今回のニュースでは、同じプレイヤー(Bundesdruckerei, Infineon, BSI, G+D)が登場し、「Personalausweisの次世代で、世界初のPQCチップ搭載を目指す」と明言していることから、PoQuIDでパスポート側の技術実証を行い、その成果をIDカードに落とし込むフェーズと整理すると、ストーリーがきれいにつながります。
6. どのパラメータセットが現実的か?(慎重な推定)
公表資料では「ML-KEM-768 なのか 1024 なのか」等の具体的なパラメータ名は出てきません。
ただし、以下の状況から「少なくともL3クラス(レベル3相当)」が有力な候補と考えるのが自然です(あくまで推定)。
- NISTは汎用用途のデフォルトとして ML-KEM-768 を推奨
- 多くのベンチマークで、Kyberレベル1/Dilithiumレベル2が組込み環境でも性能・エネルギバランスがよいと評価されている
- PoQuIDの目的は「10年以上有効なドキュメントを量子時代に備える」ことであり、国レベルのID用途ではレベル1よりも一段高い安全水準を選びやすい
現実的なシナリオ(技術者の推定) としては、鍵共有に ML-KEM-768(NIST Level 3)、署名に ML-DSA-65(NIST Level 3)あたりが「IDカード世代1の現実解」になりそうです。
ここは公開情報からの推論であり、「ドイツが確定でこのパラメータを採用した」とまでは言えません。実際の採用パラメータは、今後のICAO・BSI・EU標準議論の中で明示されるのを待つ必要があります。
7. eID / eパスポート実装で効いてくるポイント
7-1. 証明書・データ構造の設計
現行のパスポート/IDカードでは X.509 ベースの証明書が一般的です。ML-DSA の公開鍵+署名サイズをそのまま詰め込むと、証明書1枚あたり数KB〜十数KB になり得ます。ICAO 仕様や EAC プロファイルの最大サイズ制約を見直す必要があるということになります。
パスポート/IDカード側では、ルート証明書の本数を極力絞る、中間CA階層を浅くする、圧縮形式やトランケーションなどを活用(標準が許す範囲で)といった設計がほぼ必須になります。
7-2. チップ側演算コストとハードウェア支援
CRYSTALSプロジェクト自身も明言している通り、Kyber/Dilithiumはいずれも Keccak(SHA3系)、Zq 上の加算・乗算、NTT(Number Theoretic Transform)といった演算が中心で、ハードウェア実装に向いている構造を持ちます。
Infineon TEGRIONのようなPQC対応セキュリティコントローラは、Arm v8-M コア+専用暗号アクセラレータ、サイドチャネル耐性を考慮した Integrity Guard 32 アーキテクチャ、ML-KEM / ML-DSA 用ハードウェア支援を組み合わせることで、チップの消費電力と発熱を抑えつつ、「2秒以内の認証」というUX条件を満たすことを狙っています。
7-3. セキュリティ評価とサイドチャネル
Fraunhofer AISECは、EAL7級のハードウェアセキュリティラボでマイクロコントローラへのフォルト攻撃・サイドチャネル攻撃の実験を行い、PQC含む暗号実装の評価と対策に取り組んでいます。
IDカード/パスポート用途では、Side-channel(電力・EM)、Fault injection(クロック/電圧グリッチ)、メモリダンプ/プロービングなどに耐える実装が前提となるため、PQCアルゴリズムそのものの選定だけでなく、CC評価まで含めた「実装セキュリティ」がボトルネックになりやすい、という点も押さえておくべきポイントです。
8. 今回のニュースから得られる実務的実装に向けて
8-1. 「IDカード世代」単位でのPQC移行を前提にする
Bundesdruckereiは、今回のPoCを「今後発行されるIDカードの世代を、量子アルゴリズムによる攻撃にも耐えるようにするための準備」と位置づけています。
IDカードの有効期間(10年程度)を考えると、今から発行するカードは2035年代まで使われます。「Harvest Now, Decrypt Later」攻撃を考慮すると、発行時点でPQCを織り込まないと手遅れになるというメッセージとして読めます。
8-2. ハイブリッド → フルPQCの2段階は標準パターンになりそう
報道でも明示されている通り、まずハイブリッド(現行+PQC)、標準化と実績が揃ったらPure PQCという二段階移行は、TLSやVPNでも採られている戦略とも整合しています。
IDカード/パスポート分野でも、当面は「パスポート/IDのオンライン認証はハイブリッド」「将来のロールオーバー世代でPure PQC」というロードマップを前提に設計するのが現実的でしょう。
8-3. 日本・他国への示唆
ICAOやEU(eIDAS 2.0 / EUDI Wallet)の議論を踏まえると、パスポート/国民IDでPQCを先行導入する国が、実務仕様(メモリサイズ、タイムアウト、証明書プロファイル)のデファクトを作っていく可能性が高いかもしれません。
日本を含む各国は、IDチップの世代更新計画やPKI更新計画、PQC対応のCC評価・試験体制を同時に考えないと、移行に乗り遅れるというメッセージとして読めます。
9. まとめ
ドイツの量子耐性IDカード PoC は、PoQuIDで検証した Kyber+Dilithium ベースのパスポートPQCをIDカード世代へ拡張する動きと位置づけられます。
実装ターゲットとなるセキュリティコントローラは、NVM 360KB・RAM 20KBクラスのリソース制約下で、2秒以内にPQC+従来暗号の認証処理をこなす必要があります。
NIST標準 FIPS 203/204 の観点から、ML-KEM-768 / ML-DSA-65 付近のパラメータが現実的な候補と推定されますが、実際の採用パラメータは今後の標準化次第です。
技術的には、鍵・署名サイズの肥大化、証明書構造、チップメモリ、サイドチャネル耐性など、従来PKIとは次元の違う制約が突きつけられています。
逆に言えば、ドイツ勢はその制約の中でも動く実装と2秒台のUXをPoCとして示しつつあり、公的ID分野のPQC移行におけるリファレンスモデル候補になりつつあります。
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。
お問合せ: https://gmo-connect.jp/contactus/
参考リンク
- Bundesdruckerei プレスリリース「Deutschland setzt Maßstäbe für sichere Ausweisdokumente im Zeitalter der Quantencomputer」
- BiometricUpdate: Germany presents proof-of-concept for quantum-secure ID card
- Bundesdruckerei: Technologies for the era of quantum computers(PoQuID・PQパスポート)
- Fraunhofer AISEC: Cryptographic Protocol for Quantum-Secure Passports(Annual Report 2023)
- Infineon: TEGRION / SLC26GDA360 / SLC27 PQC対応セキュリティコントローラ
- Infineon + BSI: 世界初のPQCアルゴリズム CC EAL6 認証プレス
- NIST FIPS 203(ML-KEM)
- Open Quantum Safe: ML-DSA
- ICAO: Preparing Passports for the Post Quantum Era
- CRYSTALS公式サイト