2026年3月23日~2026年3月29日に読んだ中で気になったニュースとメモ書きです。
[Google PQC移行前倒し]
こちらのツイートから。
Google、量子耐性暗号(PQC)への移行を2029年に前倒し――Android 17から導入開始https://t.co/ettDPn92iq
— ITmedia NEWS (@itmedia_news) 2026年3月26日
リンク先はこちら。
Googleの耐量子暗号移行ロードマップが、アメリカ政府の2030年よりも手前に目標時期を設定してきている。
2026年中にリリースされるAndroid 17ではPQC署名としてML-DSAを導入し、起動時の整合性検証やGoogle Playでのハイブリッド署名の活用などを進めるとのこと。
耐量子暗号の署名アルゴリズムについて具体的な活用が言及されたのはまだ少ない気がする。認証局はどこのものを使うんだろう...まさか自前?
[その他のニュース]
▼耐量子暗号HQCの改善
こちらのツイートから。
HQC Post-Quantum Cryptography Decryption with Generalized Minimum-Distance Reed-Solomon Decoder
— Cryptography and Security arXiv (@FSFG) 2026年3月23日
Jiaxuan Cai, Xinmiao Zhanghttps://t.co/gWljwt7RhL [𝚌𝚜.𝙲𝚁 𝚌𝚜.𝙸𝚃 𝚖𝚊𝚝𝚑.𝙸𝚃] pic.twitter.com/hb1u0Ylxpe
ML-KEM(Kyber)のバックアップ暗号として、ML-KEMが依拠する格子暗号とは別の仕組みである符号暗号にもとづくHQC(Hamming Quasi-Cyclic)の標準化が進められている。
本論文ではパフォーマンス改善の手法を提案している(詳細はよくわからず...🙇)。
▼楕円曲線暗号に対する量子コンピュータ攻撃の改善
こちらのツイートから。
A new research work dramatically reduces the amount of qubits to break elliptic curve ciphers on a hypothetical quantum computer. Elliptic curve crypto is the math protecting most HTTPS connections, digital signatures, and cryptocurrency wallets. Shor's quantum algorithm can… pic.twitter.com/a5Bf8ANT0c
— Lukasz Olejnik (@lukOlejnik) 2026年3月27日
Important new result for Q-Day:
— Anastasia Marchenkova (@amarchenkova) 2026年3月26日
This work reduces the logical qubit requirement for breaking 256-bit elliptic curve cryptography to ~1098 qubits, 2× improvement over prior estimates, bringing it below RSA-3072 requirements.
While it does have a higher gate count, the…
リンク先はこちら。
楕円曲線暗号を破るのに必要となる量子ビットの数が、従来の研究から約半分になる(が、必要な量子ゲートの数が増加するので、コストがかかるという課題はある)との研究結果。
▼AESに対する新しい選択鍵攻撃
こちらのツイートから。
New chosen-key attacks on full round AES. #fse2026 pic.twitter.com/du1DqMn8v7
— Frank (@jedisct1) 2026年3月23日
おそらくこちらの論文の内容。
フルラウンドのAESに対して選択鍵が与えられている場合、特定のパターンが出現することを突き止めた論文。さらにこれを発展させると鍵を復元することができてしまうが...。
▼ACMEによる証明書失効
こちらのメーリスの投稿から。
話の発端は、こちらのサーバー証明書の秘密鍵が漏洩したこと。中間認証局で失効させる方法がないのでは?という話になったがルートのSectigoの方で、失効させるためのACMEエンドポイントが公開されていて、そちらで失効できたらしい。
ACMEというと証明書自動更新で新しい証明書を作る方のイメージが強いが、自動証明書管理(Automatic Certificate Management Environment)という名前からしても、失効の仕組みもきちんと用意されている。
▼OpenSSLの脆弱性(CVE-2008-0166)
こちらのツイートから。
これに関連する話題として、GitHubがUUIDv4の衝突を念の為検知する仕組みを入れていたところ実際に衝突が発生したので、偶発的な事象として処理せずに深堀りしたところ、OpenSSLの脆弱性発見に繋がったという最高に面白い話があるのですが、信頼できるソースが見つからないので紹介できない https://t.co/abXHjxc3aP
— 徳丸 浩 (@ockeghem) 2026年3月23日
そんな話あったんだ...と思ったけどCVE-2008-0166の話だった。
https://www.cve.org/CVERecord?id=CVE-2008-0166
プロフェッショナルTLS&PKI 改題第2版でも「7.3.2 DebianにおけるRNGの欠陥(2006年)」として紹介されている内容。
▼YouTubeのRSAカンファレンスの日本語音声
こちらのツイートから。
YoutubeのRSA Conferenceの動画、いつの間にか日本語音声で聞けるようになってるやん。
— ニキヌス (@nikinusu) 2026年3月26日
めちゃくちゃ棒読みではあるけど、AIさまさま。https://t.co/bMWBGU06QS
自動生成された日本語音声が聞けるようになっていた。キャッチアップが捗りそう。
代わりに字幕が出なくなっている?
AWSのチャンネルとかでは自動生成日本語音声に加えて、字幕も見えたのでチャンネルの設定とかによるのかも。
[おわりに]
技術書典20がピンチ...3月の目標が...😭
