THESIS · CHIPSIGNAL ANALYSIS

耐量子暗号対応は一つのアクセラレータを追加して終わらない。複数アルゴリズムとパラメータを安全に切り替え、古い方式を失効し、製品寿命中に更新できる暗号アジリティが、シリコン面積より大きな設計価値になる。

この記事の要点

  1. 01

    NISTはML-KEM、ML-DSA、SLH-DSAをFIPS 203、204、205として標準化した

  2. 02

    耐量子方式は鍵・署名・作業メモリ・通信量の設計条件を変える

  3. 03

    長寿命機器では固定アクセラレータより更新可能な暗号アジリティが重要になる

標準化で実装判断が量産課題へ移る

確認済み事実

NISTは2024年8月、FIPS 203、204、205を承認し、ML-KEM、ML-DSA、SLH-DSAを耐量子暗号の標準として公開した。[1][2]

確認済み事実

標準が確定したことで、半導体設計者の課題は候補選定から、処理時間、メモリ、通信量、乱数、サイドチャネル対策を製品制約へ収めることへ移った。[1][2]

鍵と署名の大きさが周辺回路へ波及する

確認済み事実

耐量子方式は従来の楕円曲線方式と異なるデータサイズと計算特性を持つ。暗号エンジンだけでなく、SRAM、DMA、バス、セキュアストレージ、通信バッファを再設計する必要がある。[1]

確認済み事実

低価格MCUやセキュアエレメントでは、ピーク演算性能より作業メモリとフラッシュ容量が制約になり得る。システム全体の実装費を測るべきである。[1]

固定機能化は陳腐化リスクを持つ

確認済み事実

NISTは移行を開始するよう促し、量子脆弱な方式を2035年までに段階的に廃止する方向を示している。長寿命機器は複数世代の暗号方針をまたぐ。[2]

確認済み事実

一方式だけをハードウェアへ固定すると、パラメータ変更や新しい攻撃への対応が難しい。高速化回路と更新可能ファームウェアの境界を設計する必要がある。[1][2]

評価軸は切替と失効の実動である

確認済み事実

耐量子対応を示す製品でも、ブート、通信、証明書、更新署名の一部だけが対応する場合がある。信頼鎖全体の方式を確認しなければならない。[1][2]

確認済み事実

追うべきはベンチマーク速度だけでなく、ハイブリッド運用、鍵更新、アルゴリズム失効、ロールバック防止、既存証明書基盤との移行時間である。[1][2]

WHAT TO WATCH

今後の監視項目

  • FIPS 203・204・205対応IPと量産製品
  • MCU・セキュアエレメントでのメモリ・電力・遅延
  • ハイブリッド暗号から単独方式への移行計画
  • アルゴリズム失効とファームウェア更新の実績
EVIDENCE LEDGER

一次資料・参照資料

  1. 01
    規制・政府EN
    Post-Quantum Cryptography FIPS Approved ↗

    NIST

    発表日
    2024-08-13
    取得日
    2026-07-18

    対応する論点: 標準化で実装判断が量産課題へ移る / 鍵と署名の大きさが周辺回路へ波及する / 固定機能化は陳腐化リスクを持つ / 評価軸は切替と失効の実動である

  2. 02
    規制・政府EN
    Post-Quantum Cryptography Project ↗

    NIST

    発表日
    2025-09-30
    取得日
    2026-07-18

    対応する論点: 標準化で実装判断が量産課題へ移る / 鍵と署名の大きさが周辺回路へ波及する / 固定機能化は陳腐化リスクを持つ / 評価軸は切替と失効の実動である

REVISION HISTORY

更新・訂正履歴

  1. 公開

    初版公開

ChipSignal編集部

一次資料と企業開示を基点に、半導体産業の構造変化を追跡する編集チームです。確認済み事実と分析を分離し、更新履歴を残します。

著者プロフィールを見る →