pqRPKI: A Practical RPKI Architecture for the Post-Quantum Era

この論文は、量子コンピュータ時代における RPKI の脆弱性を克服し、マルチレイヤー・マーکل・ツリー・ラダー（MTL）とマニフェストの再設計を導入することで、検証コストとリポジトリサイズを大幅に削減し、RSA との並行運用を可能にする実用的なポスト量子 RPKI アーキテクチャ「pqRPKI」を提案するものである。

要約

この論文は、インターネットの「道案内システム（ルーター）」を守る重要な仕組みを、未来の超強力なコンピューター（量子コンピュータ）に負けないように進化させるための新しい設計図を提案しています。

タイトルは**「pqRPKI」**。これをわかりやすく説明しましょう。

🌐 背景：インターネットの「免許証」システム

まず、今のインターネットがどう動いているか想像してください。
世界中のルーター（道案内役）は、「この住所（IP アドレス）は、この会社（AS）が管理していいですよ」という**「免許証（ROA）」**を見て、正しいルートを通します。

この免許証の発行元が**「RPKI」というシステムです。今のシステムは「RSA」という古い暗号技術で守られていますが、「量子コンピュータ」**という未来の超高性能マシンが現れると、この古い鍵は簡単に壊されてしまいます。

🚨 問題：単純な交換では「重すぎる」

そこで、研究者たちは「じゃあ、量子コンピュータに強い新しい鍵（Post-Quantum 暗号）に交換しよう！」と考えました。
しかし、これには大きな問題がありました。

• 今の鍵（RSA）： 軽くて小さい（例：手紙の封筒サイズ）。
• 新しい鍵（PQ）： 非常に大きくて重い（例：段ボール箱サイズ）。

RPKI のシステムは、世界中のルーターが**「毎日、すべての免許証のリストを全部ダウンロードして確認する」という仕組みになっています。
もし単純に「重い鍵」に交換してしまうと、データ量が3〜4 倍**に膨れ上がり、インターネットがパンクしてしまいます。まるで、毎日すべての手紙を「段ボール箱」に入れて送ろうとしているようなものです。

💡 解決策：pqRPKI（新しい「整理術」）

この論文が提案する**「pqRPKI」は、単に鍵を交換するのではなく、「情報の整理方法」そのものを変えて**、重さを劇的に減らすアイデアです。

🪜 比喩：「大きな本」と「目次」の関係

従来の方法（単純な交換）は、**「すべての手紙（免許証）の封筒に、巨大な段ボール箱（新しい鍵）をくっつけて送る」**という非効率なやり方でした。

pqRPKIは、以下のように考えます。

1. 本（証明書）はそのままに：
   免許証そのもの（手紙の中身）は、今のまま軽くて小さいままにします。
2. 目次（Manifest）に鍵を預ける：
   巨大な段ボール箱（新しい鍵）は、手紙一つ一つにくっつけるのではなく、「目次（Manifest）」という「全体のリスト」に1 つだけ預けます。
3. 木登り（Merkle Tree Ladder）：
   すべての手紙を、**「木」**のように階層的に結びます。
   • 一番下の葉っぱ（個々の免許証）が少し変わっても、幹（木全体）を全部作り直す必要はありません。
   • 変化があった部分だけ、**「目次」**を更新すればいいのです。

🏃‍♂️ 具体的なメリット

この新しい仕組みを使うと、以下のような素晴らしい効果が生まれます。

• 📦 軽量化（サイズ削減）：
  新しい鍵を「目次」に 1 つだけ置くことで、全体のデータ量は現在の 6 割〜8 割も減ります。段ボール箱を 1 個だけ持てばいいので、トラック（インターネット回線）は軽快に走れます。
• ⚡ 高速化（更新速度）：
  免許証を 1 枚追加したり削除したりする際、従来の方法なら「すべての鍵を計算し直す」必要がありましたが、pqRPKI では**「目次と、その周辺の枝だけ」**を更新すれば OK です。
  • 結果：**「20 分〜40 分」かかっていた更新が、「2 分以内」**で終わるようになります。
  • これは、ハッキングされたルート（不正な道案内）を、より素早くブロックできることを意味します。
• 🔄 二重運用（デュアルスタック）：
  新しいシステムに切り替える間、古い鍵（RSA）と新しい鍵（PQ）を両方使う期間が必要です。pqRPKI は、この期間でもデータ量が増えすぎないように設計されており、わずか 3.4% の増量で済みます。

🎯 まとめ：なぜこれがすごいのか？

この論文は、**「未来の脅威（量子コンピュータ）に備えつつ、今のインターネットを壊さない」**という、非常に難しいバランスを見事に取った解決策です。

• 従来の考え方： 「重い鍵を全部に貼る」→ 重すぎて動かない。
• pqRPKI の考え方： 「重い鍵は『目次』に 1 つだけ。本は軽いままでいい」→ 軽くて、速くて、安全。

まるで、**「重い荷物を背負って歩くのではなく、荷物をトラック（目次）に積んで、自分は軽装で走る」**ようなものです。これにより、インターネットのセキュリティを未来に向けて進化させつつ、世界中のルーターがスムーズに動き続けることができるようになります。

技術概要

pqRPKI: 量子コンピュータ時代に向けた実用的な RPKI アーキテクチャ

技術的サマリー（日本語）

本論文は、インターネットのルーティング認証基盤である「リソース公開鍵基盤（RPKI）」を、量子コンピュータの脅威に耐性のある「ポスト量子（PQ）」暗号へ移行させるための新しいアーキテクチャ「pqRPKI」を提案するものです。単に署名アルゴリズムを置き換えるだけでは、RPKI の大規模なバッチ処理モデルにおいて帯域幅や計算コストが膨大になるという課題を解決するため、Merkle 木（MTL）を RPKI の構造に最適化して適用しています。

以下に、問題定義、手法、主要な貢献、評価結果、および意義について詳述します。

---

1. 問題定義：RPKI のポスト量子移行における課題

RPKI は、IP プレフィックスと自律システム（AS）を結びつけ、不正なルーティング（ハッキング）を防ぐために不可欠なインフラです。しかし、現在の RPKI は RSA-2048 署名に依存しており、将来の量子コンピュータによって破られるリスクがあります。

従来のポスト量子移行アプローチ（Falcon や ML-DSA などの標準的な PQ 署名アルゴリズムへの単純な置き換え）には、RPKI の特性上、以下の重大な問題があります。

• 膨大なデータ量とコスト: PQ 公開鍵と署名は RSA に比べて数倍〜数十倍のサイズがあります。RPKI は、すべての依存先（RP）が周期的にグローバルなリポジトリ全体（数十万のオブジェクト）をダウンロードし、検証する「バッチ処理モデル」を採用しています。オブジェクト一つ一つに巨大な PQ 署名を含めると、リポジトリのサイズが数倍に膨れ上がり、帯域幅と CPU 負荷が許容範囲を超えます。
• デュアルスタック移行の困難さ: 移行期間中、従来の RSA と PQ 署名の両方を併用（デュアルスタック）する必要があります。単純な置き換えでは、両方の署名データを保持する必要があり、リポジトリサイズと同期オーバーヘッドがさらに増大します。
• 既存設計の限界: DNSSEC などで使われている Merkle 木ベースの設計をそのまま適用すると、オブジェクトごとの認証パス（ハッシュ列）を各オブジェクトに埋め込む必要があり、これによりオブジェクトサイズが肥大化し、更新時の再署名（リサイン）の嵐を招きます。

2. 手法：pqRPKI のアーキテクチャ設計

pqRPKI は、RPKI の「リポジトリ中心」かつ「バッチ処理」の特性を最大限に活用し、認証データをオブジェクトからメタデータ（Manifest）へ移動させることで、上記の課題を解決します。

2.1 マルチレイヤー Merkle Tree Ladder (MTL) の適用

• 認証材料の移動: 従来の MTL 設計では、各オブジェクトに認証パス（隣接ノードのハッシュ）を含めますが、pqRPKI はこれをManifest（マニフェスト）ファイルに集約します。
  • 各オブジェクトのハッシュ（リーフコミットメント）とインデックスを Manifest に記載します。
  • これにより、個々のオブジェクト（ROA など）のサイズは肥大化せず、既存のフォーマットを維持できます。
• Depth-0 ランク（段）の導入: Manifest と CRL（証明書失効リスト）は、頻繁に更新されるメタデータとして、Merkle 木の「Depth-0 ランク（最下部の単一葉）」としてモデル化されます。
  • これにより、ルーティングオブジェクト（ROA など）に変更がない場合でも、Manifest の更新が木全体の再計算を招くことを防ぎます。
  • 更新は Manifest と一部の内部ノードに限定され、他のオブジェクトには影響しません。

2.2 同期と検証ワークフローの最適化

• トップダウンの同期: RP（検証者）は、まず認証された Manifest を取得し、変更されたファイルのみを特定します。RRDP（RPKI リポジトリデルタプロトコル）の XML 解析や長いデルタ履歴に依存せず、Merkle 木の根と Manifest の比較だけで差分を特定します。
• ボトムアップのバッチ検証: 取得したオブジェクトからリーフハッシュを計算し、Merkle 木をボトムアップに再構築します。内部ノードは一度だけ計算して再利用されるため、オブジェクト数に比例する計算コスト（O(N)）で検証が可能になります。

2.3 下位互換性と移行パス

• 非侵襲的な拡張: 既存の ROA オブジェクトやエンコーディングを変更しません。Manifest を拡張するだけで済むため、レガシーな検証器は RSA 検証を継続し、アップグレードされた検証器は pqRPKI を並行して検証できます。
• ホスト型と委任型の両対応: RIR（地域インターネットレジストリ）が管理するホスト型と、ISP が管理する委任型の両方の運用モデルをサポートします。

3. 主要な貢献

1. RPKI 専用のポスト量子認証アーキテクチャ:
   既存の RPKI 構造を維持しつつ、マルチレベル MTL と Manifest を組み合わせ、オブジェクトサイズを最小化し、更新時のオーバーヘッドを抑制する設計を提案しました。
2. Manifest 駆動の同期・バッチ検証ワークフロー:
   認証された Manifest を基に差分を局所化し、Merkle 木をボトムアップで再構築する手法により、転送データ量と検証時間を大幅に削減しました。
3. 実用的な移行パスと運用互換性:
   ROA オブジェクトの変更なしに、RSA と PQ のデュアルスタック運用を可能にしました。これにより、段階的な導入と長期的な移行が現実的になります。
4. 実機プロトタイプと大規模評価:
   実世界の RPKI リポジトリ（7 日間のデータ）を用いた実装と評価を行い、理論的な優位性を数値で証明しました。

4. 評価結果

実装したプロトタイプ（C++）を用い、7 日間のグローバル RPKI データ（約 47 万件のオブジェクト）で評価を行いました。

• リポジトリサイズの削減:
  • PQ 専用モード: pqRPKI は平均 546.8 MB でした。これは、単純な Falcon 署名適用（1,582.7 MB）より 65.5%、ML-DSA 適用（3,241.6 MB）より 83.1% 小さいです。
  • デュアルスタックモード: 現在の RSA ベースの RPKI（853.2 MB）と比較して、pqRPKI は 882.4 MB であり、オーバーヘッドはわずか 3.4%（約 29.2 MB）にとどまりました。
• 検証・同期の高速化:
  • 完全検証時間: 1 サイクルあたりの検証時間は 102.7 秒（RSA 基準の 213.2 秒より 51.8% 高速、ML-DSA の 404.6 秒より約 4 倍高速）。
  • エンドツーエンド時間: PP（公開点）からルータへの VRP 発行までの時間は 118.3 秒 でした。これにより、現在の 20〜40 分程度の更新間隔から、2 分未満 の運用サイクルが可能になります。
• 署名パフォーマンス:
  • バulk 署名（一括再署名）において、pqRPKI は RSA 基準より 1 桁以上高速（ARIN において 183.8 秒→16.8 秒）でした。
  • 分単位の更新（Incremental Update）では、平均 112.3 ms で処理可能でした。

5. 意義と結論

pqRPKI は、ポスト量子暗号への移行が RPKI の運用スケーラビリティを阻害する「ボトルネック」を解決する画期的なアプローチです。

• 実用性の確保: 単なる暗号アルゴリズムの入れ替えではなく、RPKI のデータ構造と運用フローを再設計することで、量子耐性を持ちながら、現在のインフラ負荷を維持（あるいは改善）することを可能にしました。
• セキュリティの強化: 更新サイクルを 2 分未満に短縮できることは、不正なルーティング（ハッキング）の検知からルータでのブロックまでの「脆弱性ウィンドウ」を劇的に狭め、RPKI をニアリアルタイムの防御機構へと進化させます。
• 移行の現実性: 非侵襲的な拡張とデュアルスタック対応により、業界全体でのスムーズな移行を可能にします。

結論として、pqRPKI は、量子コンピュータ時代においても RPKI がインターネットの信頼性を支え続けるための、実用的かつ効率的な基盤となります。