Autocrypt v2の主な革新点は何か

ポスト量子暗号（ML-KEM-768 + X25519）と時間ベースの信頼性のある削除を組み合わせた点。ネットワーク同期なしで全デバイスが鍵更新でき、10日ごとに自動削除される。

従来の前方秘匿性と何が違うのか

従来の前方秘匿性（Diffie-Hellman ratchetなど）はサーバーとの同期や複数デバイス間の調整が必要だった。Autocrypt v2は時計時刻のみで鍵を派生・破棄するため、オフラインでも動作し、ネットワーク断片化環境でも信頼性が高い。

どのようなアプリケーションで使われる想定か

Delta Chatやchatmailなど、分散型・遅延耐性のあるメッセージングアプリケーションが主なターゲット。電子メール以外のトランスポートにも対応可能。

開発

Autocrypt v2、ポスト量子暗号と信頼性削除を実現

Autocrypt v2が公開された。ポスト量子暗号（ML-KEM-768）と信頼性のある削除（Clock-time based）を組み合わせ、同期不要で前方秘匿性を実現。OpenPGP v6ベースの2938バイト証明書。

2026年6月29日 6分で読める SINGULISM 編集チームが確認・編集

暗号ポスト量子暗号メッセージング OpenPGP プライバシー

Autocrypt v2、ポスト量子暗号と信頼性削除を実現 — Photo by FlyD on Unsplash

2026年6月29日、ACLUのDaniel Kahn Gillmor氏、n0のFriedel Ziegelmayer氏、merlinuxのholger krekel氏らが中心となり、メッセージング向け暗号標準「Autocrypt v2」が公開された。この仕様は、ポスト量子暗号と「信頼性のある削除（Reliable Deletion）」を中核に据え、分散型・遅延耐性のあるメッセージングシステム向けに設計されている。OpenPGP v6（RFC 9580）を基盤とし、自動的かつ相互運用可能なエンドツーエンド暗号化を提供する。

「解読後攻撃」に対抗する設計

現代のメッセージングにおける最大の脅威の一つが「decrypt later（後で解読）」攻撃だ。攻撃者はネットワーク上をを通じてする暗号化メッセージを収集し、後に秘密鍵を入手したり、量子コンピュータが実用化された際に過去の通信を一斉に復号する。Autocrypt v2は、この二段階の脅威に対抗する。

第一段階として、現在の暗号技術では耐えられないポスト量子時代を見据え、ハイブリッド暗号方式を採用する。第二段階として、信頼性のある削除により、一定時間が経過した鍵を自動的に破棄・無効化する。従来の「前方秘匿性（Forward Secrecy）」という用語よりも、この用語の方がユーザーにとって理解しやすく、ネットワークが分裂・断片化した環境でも確実に機能すると開発チームは説明する。

技術的特徴

Autocrypt v2の証明書は、2938バイトの固定サイズで6つのパケットから構成される。

プライマリ鍵（Ed25519）：署名と認証に使用
直接鍵署名：機能定義、失効なし
フォールバック副鍵（ML-KEM-768 + X25519）：長期暗号化用
副鍵バインディング：失効なし
ローテーティング副鍵（ML-KEM-768 + X25519）：短期暗号化用
副鍵バインディング：失効あり（max_rd=10日）

ポスト量子暗号としてML-KEM-768とX25519のハイブリッドを採用。ローテーティング副鍵はデフォルトで10日間の有効期限を持ち、期限切れ前に自動的に新たな鍵を生成する。鍵の派生にはHKDF（SHA2-512）を使った決定論的ラチェット機構を用いる。これにより、全デバイスが時間ベースで同期され、ネットワーク通信を一切必要としない。

v1からの変更点

Autocrypt v1は電子メールに特化し、メールアドレスをアイデンティティレイヤーとして利用していた。v2ではトランスポートに依存せず、純粋な暗号的アイデンティティを採用。メッセージングアプリケーションはプロトコルを自由に選択できる。同じ目標——自動的で標準ベースの相互運用可能なE2E暗号化——を、より汎用的な形で実現する。

信頼性のある削除のスケジュール

鍵のローテーションスケジュールは以下の通り。

ローテーティング副鍵の有効期間：max_rd（デフォルト10日）
新たな鍵の生成：期限切れのmin_rd前
配送遅延：10日を想定
自動削除：max_rd + 10日後

この仕組みにより、ネットワークが不安定でメッセージの到達に時間がかかる環境でも、全参加者が同じタイミングで鍵を更新できる。従来の前方秘匿性がサーバーとの同期や複数デバイス間の複雑な調整を必要としたのに対し、Autocrypt v2は時計時刻に基づき、オフラインでも動作し、ゼロ調整で機能する。

ポスト量子暗号の現実的な実装

ML-KEM-768は、米国国立標準技術研究所（NIST）が2024年に標準化した耐量子暗号アルゴリズムの一つ。X25519とのハイブリッドを採用することで、現在の楕円曲線暗号との互換性を保ちつつ、量子コンピュータによる脅威にも備える。証明書サイズが2938バイトと固定されているため、帯域幅が限られた環境でも効率的に転送できる。

Autocrypt v2の実装例として、Rust製のrPGP実装やPythonサンプルコードが公開されている。コミッターらは、Delta Chatやchatmailといったメッセージングアプリケーションでの採用を視野に入れている。

編集部の見解

短期的には、Autocrypt v2は分散型メッセージングアプリケーションにとって重要な選択肢となる。特に、SignalやMatrixといった既存のプロトコルが抱えるサーバー依存や鍵管理の複雑さを、時計ベースの鍵ローテーションとポスト量子暗号によって解決できる可能性がある。ただし、実際の製品への統合には、既存の鍵管理基盤との互換性や、ユーザーエクスペリエンスの設計が課題となるだろう。長期的には、ポスト量子暗号の標準実装がメッセージング業界全体に広がる契機となり得る。Autocrypt v2が提案する「信頼性のある削除」の概念は、暗号学的な前方秘匿性を超え、法規制やデータ保持義務との兼ね合いにも影響を与える可能性がある。また、OpenPGP v6のエコシステムが活発化すれば、電子メール以外の用途でも同様の仕組みが採用されるかもしれない。編集部としては、Autocrypt v2の設計思想が「シンプルさ」と「耐量子性」を両立させた点を評価する。しかし、鍵ローテーションの期間設定（デフォルト10日）が、実際のアプリケーションのユースケースに適合するかは検証が必要だ。

参考

Autocrypt v2 公式サイト — 2026-06-29公開
OpenPGP v6 (RFC 9580) — IETF

よくある質問

Autocrypt v2の主な革新点は何か: ポスト量子暗号（ML-KEM-768 + X25519）と時間ベースの信頼性のある削除を組み合わせた点。ネットワーク同期なしで全デバイスが鍵更新でき、10日ごとに自動削除される。
従来の前方秘匿性と何が違うのか: 従来の前方秘匿性（Diffie-Hellman ratchetなど）はサーバーとの同期や複数デバイス間の調整が必要だった。Autocrypt v2は時計時刻のみで鍵を派生・破棄するため、オフラインでも動作し、ネットワーク断片化環境でも信頼性が高い。
どのようなアプリケーションで使われる想定か: Delta Chatやchatmailなど、分散型・遅延耐性のあるメッセージングアプリケーションが主なターゲット。電子メール以外のトランスポートにも対応可能。

出典: Lobsters

執筆 SINGULISM編集部

編集・確認山本健一郎

最終更新日: 2026年6月29日

本サイトでは、事実誤認や不正確な情報が見つかった場合、速やかに訂正記事を掲載します。訂正のご依頼はお問い合わせフォームよりご連絡ください。

← トップへ戻る