Googleが「暗号が破られる日」を2029年に前倒しした。量子コンピュータの脅威は、もう10年先の話ではない

Googleが、量子コンピュータによって現行の公開鍵暗号が破られる日——通称「Q Day」——への対応期限を2029年に設定した。これまで業界で広く想定されていた2030年代前半のタイムラインから、大幅に前倒しされた形だ。

Googleのセキュリティエンジニアリング担当VP Heather Adkinsと暗号技術者Sophie Schmiegが3月25日のブログ投稿で明かした。「量子コンピューティングとポスト量子暗号（PQC）の両方におけるパイオニアとして、野心的なタイムラインを共有する責任がある」と述べている。

RSA 2048ビットの寿命

背景にあるのは、Googleの研究者Craig Gidneyが2025年6月に発表した論文だ。100万個の「ノイジーキュービット」——環境要因によるエラーが発生しやすい量子ビット——を搭載した量子コンピュータがあれば、RSA 2048ビット鍵を1週間以内に解読できることを示した。

2012年時点では10億個の物理キュービットが必要とされていた。2019年には2,000万個まで下がった。そして今、100万個。推定値は加速度的に縮小している。

Androidも量子耐性へ

Googleは同時に、Android 17のベータ版からML-DSA（NIST標準のデジタル署名アルゴリズム）を統合すると発表した。

ハードウェアのルート・オブ・トラストにML-DSAを追加し、検証済みブート、リモートアテステーション、Android Keystoreの各レイヤーにPQCを実装する。 Google Play Storeのアプリ署名もPQCへの移行を予定している。

これはAndroid開発者にとって相当な作業負荷を意味する。

業界の反応

Microsoftで2015年から2022年までポスト量子移行を監督したBrian LaMacchia氏は「これは米国政府が要求してきたものよりもさらに前倒しだ」と指摘。NSAの現行期限は2031年。Googleの2029年はそれを2年上回る。

「何がGoogleをそこまで急がせているのか」——LaMacchia氏の問いに対し、Google側は具体的な根拠を明かしていない。

「後で復号」攻撃はすでに始まっている

Googleのブログは「store-now-decrypt-later攻撃（今保存して後で復号する攻撃）の脅威は今日すでに存在する」と警告している。軍事機密、金融データ、政府通信——これらが暗号化されたまま傍受・保存され、量子コンピュータの実用化後に一気に解読される可能性がある。

Signalメッセンジャーは2025年にML-KEM-768を既存の暗号化エンジンに追加済み。Apple、Cloudflare、その他数十のサービスも同様の対応を進めているが、業界全体としてはまだ断片的な段階だ。

量子コンピュータが暗号を破る日は、過去30年間ずっと「10〜20年先」と言われ続けてきた。Googleの今回の発表は、その冗談が冗談でなくなりつつあることを示している。