2026 年 05 月 19 日
AlmaLinux 10.1 で PQC が標準搭載:TLS 鍵交換を検証
はじめに
PQC(Post Quantum Cryptography、耐量子計算機暗号)は、量子コンピューターが今後さらに発展し、既存の RSA 暗号や楕円曲線暗号などの技術が解読される危険性に対応するために設計された次世代型の暗号方式です。HTTPS(HTTP over TLS) もその脅威の例外ではなく、2025 年 10 月に公開した連載 Blog「AlmaLinux 10 で PQC(耐量子計算機暗号)をお試し」 ([1][2][3][4]) では、AlmaLinux 10 を題材に、HTTPS を中心とした PQC 対応状況について共有しました。
本稿では、2025 年 11 月に公開された Red Hat Enterprise Linux 10.1 や、その ABI 互換ディストリビューションである AlmaLinux 10.1 で、HTTPS などの PQC 対応状況がどのように変わったかをまとめます。
なお、本記事は当社の R&D チームで試行した結果の共有であり、AlmaLinux OS に関わる公式サポート情報ではなく、また、AlmaLinux OS Foundation の公式見解でもないことは予めご理解ください。
RHEL 10.1 / AlmaLinux 10.1 での PQC 対応状況
RHEL 10.1 の主な変更点として、
- OpenSSL が 3.5 系に更新
- 耐量子計算機暗号 (PQC) アルゴリズムのデフォルトでの有効化
- ML-KEM、ML-DSA、および SLH-DSA 耐量子計算機アルゴリズム のサポート
- ハイブリッド ML-KEM アルゴリズムのサポート
が掲げられており ([1])、エンジニアの Blog も公開されています [2]。
これをもとに、ABI 互換である AlmaLinux 10.1 での対応状況を確認してみましょう。
AlmaLinux 10.1 を公式サイトからダウンロードし、最小インストールし、状況を確認します。
$ cat /etc/almalinux-release AlmaLinux release 10.1 (Heliotrope Lion)
有効になっているポリシーを表示します。
$ update-crypto-policies --show DEFAULT
OpenSSL の状況を確認してみましょう。
最小インストールでは openssl がインストールされていないため、インストールし、openssl などのバージョンを確認します。
# dnf -y install openssl (略 ) # rpm -q openssl openssl-3.5.1-7.el10_1.alma.1.x86_64 $ rpm -qa "*oqs*" $
openssl パッケージが PQC アルゴリズムを内蔵した 3.5 系に更新され、AlmaLinux 10 のときにインストールが必要であった Open Quantum Safe のライブラリパッケージ liboqs や oqsprovider は入っていないことがわかります。
それでは、以前公開した Blog に基づいて、実際に PQC 対応アルゴリズムに対応しているか確認してみましょう。
$ openssl list -signature-algorithms
(略 )
{ 1.3.101.112, ED25519 } @ default
{ 1.3.101.113, ED448 } @ default
(略 )
ECDSA @ default
(略 )
{ 2.16.840.1.101.3.4.3.17, id-ml-dsa-44, ML-DSA-44, MLDSA44 } @ default
{ 2.16.840.1.101.3.4.3.18, id-ml-dsa-65, ML-DSA-65, MLDSA65 } @ default
{ 2.16.840.1.101.3.4.3.19, id-ml-dsa-87, ML-DSA-87, MLDSA87 } @ default
(略 )
$
アルゴリズム名の表示などは異なりますが、openssl コマンドが、 楕円系の ED25519, ED448, ECDSA や、 PQC 署名アルゴリズム ML-DSA-44, ML-DSA-65, ML-DSA-87 に対応していることがわかりました。
次に、実際に PQC 対応の ML-DSA-65 で署名用鍵ペアを作成してみましょう。
$ openssl genpkey -algorithm mldsa65 -out mldsa-privatekey.pem $
上のアルゴリズム一覧では大文字で出力されていましたが、以前の Blog で示したものと同じコマンドで、エラーなく実行できました。
以降、以前公開した手順と同様に、表示は若干異なるものの、PQC アルゴリズムでの署名や Apache httpd、Nginx への適用が問題なく可能なことが確認できました。
全体として、AlmaLinux 10.1 では、OpenSSL が 3.5 系に更新され、従来以上にお手軽に PQC 鍵交換できることが確認できました。AlmaLinux 10.1 での PQC TLS 検証はここまでとします。
- AlmaLinux 10 で PQC(耐量子計算機暗号)をお試し(その1)
- AlmaLinux 10 で PQC(耐量子計算機暗号)をお試し(その2)
- AlmaLinux 10 で PQC(耐量子計算機暗号)をお試し(その3)
- AlmaLinux 10 で PQC(耐量子計算機暗号)をお試し(その4)
- Red Hat Entreprise Linux 10.1 リリースノート 1.1 RHEL 10.1 における主な変更点
- RHEL 10.1 のポスト量子暗号化の新機能
関連 Web サイト
この記事の著者
「R&D センター」は、2022 年 4 月 1 日に立ち上げられた研究開発部門です。
サイバートラストは、お客様のサービスの信頼性を支えるプラットフォーマーとして、先々のプラットフォームや社会制度、他がどのように変化するのかを考えています。
さまざまな IoT 機器が普及し、OSS や AI やブロックチェーンが活用され、量子コンピュータが発達する一方で、それらによる新たなセキュリティリスクも生じると想像される未来においても、引き続き、安心・安全な社会を実現するため、サイバートラストが果たす役割を含め、研究開発を進めています。
* AlmaLinux は、The AlmaLinux OS Foundation の商標です。
* Linux は、Linus Torvalds 氏の日本およびその他の国における登録商標または商標です。
* Red Hat、Red Hat Enterprise Linux は、米国およびその他の国における Red Hat, Inc. およびその子会社の商標または登録商標です。
* その他、記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。
