量子コンピューターに備える

量子コンピューターがいつか、今日私たちが頼っている暗号の一部を破るかもしれない、という話を耳にしたことがあるかもしれません。その心配は現実のものですが、聞こえるほど広い話ではありません。そして Label 309 には、すでに実用的な答えが用意されていて、しかもデフォルトでオンになっています。

まず、ふつうの証明についての朗報から。ふつうの Label 309 レコードは、コンテンツのフィンガープリントとタイムスタンプにすぎません。盗むべき秘密もなく、隠されたものもありません。ここでは、量子コンピューターは何も変えません。フィンガープリントは相変わらず元に戻せませんし、ブロックチェーン上のタイムスタンプも相変わらず恒久的です。ふつうの存在証明は、もともと危険にさらされてはいませんでしたし、今も同じです。

この問いが意味を持つのは、レコードが 封緘済み のとき、つまりコンテンツに鍵がかかり、選ばれた読み手だけが開けられるときだけです。

封緘済みコンテンツが違う理由

封緘済みのレコードは、ごく長いあいだプライベートであり続けなければならないことがあります。何年も差し止められたままの科学的発見や、十年かそれ以上は隠しておかなければならない企業秘密、たとえばレシピや製法を思い浮かべてください。

ここに、居心地の悪い事実があります。ブロックチェーンは公開されていて、恒久的です。攻撃者は、施錠されたレコードを今日のうちに静かに写し取り、寝かせたまま待つことができます。十五年後に強力な量子コンピューターが現れ、今日の錠前を破れるようになれば、攻撃者は、ずっと前に保存しておいた写しをただ開けるだけです。この分野の人たちはこれを「今のうちに収穫し、あとで復号する（harvest now, decrypt later）」と呼びます。危ないのは、コンテンツが今日開けられることではありません。いつか 開けられることです。

ですから封緘済みコンテンツにとって、「今のところ安全」では十分ではありません。完全には見通せない未来でも、安全であり続けなければならないのです。

同じ扉に、二つの錠前

Label 309 の答えは、二つの錠前を同時に使うことです。そして封緘するファイルでは、それがデフォルトになっています。

まったく違う二つの錠前ががっちり取り付けられ、しかも互いに共通点のない扉を思い描いてください。一つは、今日のよく検証された方法です。標準は X25519 を使います。長年にわたって秘密を守ってきた鍵交換で、専門家が深く信頼しているものです。もう一つは、量子コンピューターに耐えるために一から作られた真新しい方法です。ML-KEM-768、NIST が最近標準化したポスト量子方式の一つです。

扉を通り抜けるには、攻撃者は 両方 の錠前をこじ開けなければなりません。片方だけ開けても、どこにもたどり着けません。

それが、すべての要点です。新しい耐量子方式に、まだだれも気づいていない欠陥が見つかるかもしれません。それでも扉は持ちこたえます。実績ある錠前が無傷だからです。あるいは、将来の量子コンピューターが今日の実績ある方式を破るかもしれません。それでも扉は持ちこたえます。耐量子の錠前が無傷だからです。コンテンツは、どちらか の錠前が生き残っているかぎり、プライベートなまま保たれます。破られるには両方が同時に倒れなければならず、それはずっと起こりにくいことに賭けるようなものです。

この組み合わせの考え方には、分かりやすい呼び名があります。ハイブリッド な錠前です。Label 309 が使うのは X-Wing と呼ばれるもので、ML-KEM-768 と X25519 を編み合わせ、一つの共有秘密にまとめます。これは、レコードを封緘したその瞬間からのデフォルトです。わざわざ頼む必要はありません。これを望む受信者は、ポスト量子のアドレス（age1pqc… で始まるもの）を公開するだけです。

いつか、ではなく、今日から使える

いちばん大事なのは、これが将来への約束ではない、ということです。ハイブリッドな錠前は、標準の新バージョンを待つ将来のアップグレードではありません。Label 309 は初日からこれを登録し、従来からの選択肢のすぐ隣に置き、推奨のデフォルトにしました。今日コンテンツを封緘する人はだれでも、すでに自動的に両方の錠前を手にしています。

これが大事なのは、先ほどのタイミングの問題があるからです。写しを収穫されたあとから、何かをかけ直すことはできません。保護は、発行するその瞬間に整っていなければなりません。Label 309 では、そうなっています。