10KBと40KBの崖：ネットワーク問題としてのPQC証明書肥大化

Chou と Cao（UIUC / NCSA）による新しい arXiv プレプリントが、PQC 証明書の肥大化によるネットワークコストを数値化しました。主な知見：チェーンが大きくなるにつれて TTFB はなだらかには劣化せず、チェーンサイズが TCP のフライトウィンドウを超える2つの特定ポイントで段階的に悪化します。

参考文献： arXiv 2604.24869v1、2026年4月27日。

崖

最初の崖は約 10 KB に位置します。IW=10 により初回 RTT のデータ量は約 14 KB に制限されており、これを超えると追加のラウンドトリップが発生します。2つ目の崖は約 40 KB 付近にあり、スロースタートの倍増と IW が組み合わさって実質的な閾値は約 42 KB となります。

中間証明書2枚を含む ML-DSA-44 は約 12 KB に達し、すでに最初の崖を超えています。SLH-DSA-192s は両方の崖を大幅に超えます。著者らは、極端な RTT 条件下で閾値越えのみに起因する TTFB の膨張が最大約 1.5 倍に達することを計測しました。伝播遅延だけではほとんど影響がありません。

有効な対策

評価された3つの緩和策は、有効性の比率が大きく異なります：

• MTC：約 2〜3 倍の余裕。X.509 中間証明書の代わりに Merkle 証明を使用することで、本来なら 10 KB の崖を超えてしまうチェーンをその範囲内に収められます（draft-ietf-plants-merkle-tree-certs）。
• CDN チェーン最適化：約 1.6 倍の余裕。有用ではあるものの、SLH-DSA 単体には不十分です。
• セッション再開：適用できる場合は非常に効果的です。NCSA の Zeek データによると、CDN TLS 1.3 では再開率が 94%、非 CDN では 46% です。再開されたセッションは証明書の送信を完全にスキップします。CDN は非 CDN に比べて約 2 倍の TTFB 削減効果を実現しました。

NZ にとっての重要性

NZ には2つの複合的な要因があります。

距離は追加 RTT ごとの影響を増幅させます。私たちにとって大陸間の遅延が 120〜200 ms 以上になることは珍しくありません。US 東部オリジン向けの 12 KB の ML-DSA チェーンは、ベースラインに加えて、コールドハンドシェイクごとに 150〜200 ms のペナルティを生じさせます。

NZ はまさにその距離ゆえに CDN エッジへの依存度が高いです。CDN 側の緩和策がほとんどの損失を回復できるという知見は朗報ですが、それはサービスが実際にフロントされている場合に限り、かつ再開率が NCSA の集計値に近い場合に限ります。初回接続のフローでは、ほぼ確実にそうはなりません。

注意点

テストベッドでは OQS スタックのオーバーヘッドが絶対的な TTFB を支配しており（実装に起因する約 50〜55 ms であり、ネットワークによるものではない）、パケットロスや断片化は直接測定されていません。ただし、閾値そのものは実在するものであり、定性的な知見、すなわち「PQC 移行リスクは暗号の正確性の問題だけでなく、ネットワーク形状の問題でもある」という枠組みは、今後も重要な視点であり続けます。