Skip to content
K
KGAIT Solutions
返回项目列表
量子计算Research

PQC-MUSASHI — 抗量子密码迁移工具包

PQC-MUSASHI — Post-Quantum Cryptography Migration Toolkit

支持向 ML-KEM、ML-DSA 等 NIST PQC 算法迁移的研发工具包。

2026 长期研发 2026-04
#quantum#pqc#cryptography#security#migration#research

在线演示

实际应用界面预览

DEMO
app.pqc.jp/dashboard

NIST PQC 標準 (FIPS 203/204/205) 準拠 · Harvest-now, decrypt-later 攻撃への事前防御

移行進捗

エンドポイント PQC ハイブリッド化

12/23
api.core
api.payments
api.auth
api.billing
api.admin
cdn.static
ws.realtime
api.reports
api.partners
mail.smtp
vpn.gateway
db.primary
api.legacy-v1
legacy.soap
fax.gateway
edi.batch
partner.b2b-01
iot.firmware-up
hsm.vendor
backup.tape
audit.archive
third.oauth
mobile.push

TLS 1.3 ハンドシェイク (ハイブリッド X25519MLKEM768)

Client
ClientHello

supported_groups: X25519MLKEM768, X25519

Finished

セッション確立 · 0-RTT 対応

Server
ServerHello

selected_group: X25519MLKEM768

Certificate

ML-DSA-65 (FIPS 204) 署名

Finished

HKDF-Extract(shared_secret)

ハンドシェイクサイズ

初回接続時の鍵交換バイト数

Classic (X25519)1.6 KB
Hybrid (X25519MLKEM768)13.5 KB
Pure ML-KEM-102414.8 KB
ハイブリッドは約8.4倍のペイロードだが、既存PKIとの後方互換性を保ちつつ量子耐性を追加

アルゴリズム準拠マトリクス

アルゴリズム役割標準状態備考
ML-KEM-768KEMNIST FIPS 203本番推奨: TLS 1.3 ハイブリッド
ML-DSA-65署名NIST FIPS 204本番X.509 証明書で使用中
SLH-DSA-SHA2署名NIST FIPS 205評価長期ルート CA 候補
Falcon-512署名NIST Round 4保留FIPS 標準化待ち
HQCKEMNIST Round 4研究多様化候補 · PoC のみ

挑战

在既有 TLS 与签名基础设施引入 PQC 时,证书体积、握手成本及混合模式运维不透明。

解决方案

在 OpenSSL/oqs-provider 基础上为公司内部网关启用混合 KEM/签名,并自动化与既有系统的兼容性矩阵。

成果

  • 公司内 5 套系统完成 PQC 混合 TLS 验证
  • ML-KEM-768 平均握手仅增加 6.2ms
  • PQC 资产扫描器可视化公司内 1,200 项依赖
  • 迁移手册 v0.3 在公司内部发布
Key Metrics

Measured Impact

対象標準

FIPS 203 / 204 / 205

ハイブリッド TLS p95 増分

+3.1ms (社内ベンチ)

棚卸し対象リポジトリ

18

HSM 実装切替

未対応 (Phase 4 計画)

Features

What it does

棚卸し

CBOM 自動生成

CycloneDX 準拠で暗号部品表を生成し、古典 / PQC アルゴリズムを区別して列挙する。

依存バージョン追跡

OpenSSL / liboqs / oqs-provider のバージョンとビルドフラグを CI で継続検証する。

実装

ハイブリッド TLS

古典 + PQC の二重鍵交換で、片方の方式が破られてもセッション機密性を保つ構成を提供。

署名比較ベンチ

Ed25519 / ECDSA / ML-DSA / Falcon の署名・検証レイテンシとサイズを同一条件で比較。

Architecture

System Layers

Layered architecture showing components, responsibilities, and data flow.

L1

Layer

Inventory

リポジトリ内の暗号 API 呼び出し・依存ライブラリ・アルゴリズム名を棚卸しする層。

Semgrep ルール依存グラフ抽出器CycloneDX CBOM 生成器
L2

Layer

Crypto Runtime

ハイブリッド鍵交換・PQC 署名・古典フォールバックを切替可能に提供する暗号ランタイム層。

OpenSSL 3.3oqs-providerliboqs
L3

Layer

Policy & CI

移行優先度・許容アルゴリズム・性能回帰チェックを CI に組み込むガバナンス層。

ポリシーエンジンGitHub Actionsベンチハーネス
Development Process

How we built it

Step 1

脅威モデルと HNDL 分析

長期機密データ・法定保持期間・鍵ライフサイクルを洗い出し、PQC 移行の優先度を決める。

Deliverables

  • 脅威モデル
  • データ分類表
  • 優先度マトリクス
Step 2

CBOM スキャナ実装

Semgrep と依存グラフから暗号部品表を生成し、CycloneDX JSON として出力する。

Deliverables

  • Semgrep ルール集
  • CBOM 生成器
  • サンプル出力
Step 3

ハイブリッド TLS 検証

社内 gRPC / HTTPS で X25519+ML-KEM-768 を有効化し、互換性と性能を測定する。

Deliverables

  • ベンチレポート
  • 構成スニペット
  • トラブルシュート集
Step 4

ガバナンス整備

許容アルゴリズム一覧・例外申請フロー・CI 回帰テストをドキュメント化する。

Deliverables

  • 暗号標準ドキュメント
  • CI ワークフロー
  • 棚卸しダッシュボード
Roadmap

Delivery Timeline

  • Phase 1In Progress2026-04

    CBOM スキャナ

    主要言語の暗号 API 呼び出しを列挙し、CycloneDX 形式で暗号部品表を出力する。

  • Phase 2Planned2026-10

    ハイブリッド TLS パイロット

    社内 gRPC / HTTPS エンドポイントで X25519+ML-KEM-768 を有効化し、互換性と性能を計測する。

  • Phase 3Planned2027-05

    PKI / 署名移行

    コード署名と内部 CA を ML-DSA / Falcon に段階的に切替え、長期署名運用を検証する。

  • Phase 4Planned2028-01

    HSM / TPM 対応追跡

    主要 HSM / TPM ベンダの PQC 対応状況を継続監視し、社内標準の更新ガイドを維持する。

Team

Who built it

2engineers

Roles

  • 暗号・セキュリティ研究
  • プラットフォームエンジニア (兼任)
技术栈

Tools & Platforms

Backend

GoRustPython

Infrastructure

Docker

Other

liboqsOpenSSL 3.3oqs-providerBoringSSL (比較)ML-KEM (FIPS 203)ML-DSA (FIPS 204)FalconSLH-DSACycloneDX CBOMSemgrepHashiCorp Vault
上一个项目下一个项目
Build with KGA

正在考虑类似的项目?

我们将为您的业务需求提供最优解决方案。

咨询您的项目