ポスト量子暗号

耐量子未来への準備

ほとんどすべてのデジタル通信は、公開鍵暗号化、デジタル署名および鍵交換の3つの安全保護されています。

今日の公開鍵暗号基盤では、これらのシステムは RSA または ECC 対称暗号アルゴリズムを使用して、実装されています。RSA および ECC 暗号は、計算困難性想定と呼ばれるもの—理論値問題(整数、因数分解、離散対数問題など)に効率的な解決方法がない仮定が前提になっています。しかし、これらの推定は、従来型コンピュータの処理能力が基本となっていました。

1994年、ピーター・ショア(Peter Shor)は、計算困難性の推定に依拠する非対称アルゴリズムが効率的で強力な量子コンピュータおよび特定のアルゴリズム-後にショアのアルゴリズムと呼称-により簡単に破損する可能性があることを実証しました。実際、量子ビットと回路深度が十分な量子コンピュータは、非対称のアルゴリズムを即時破損する可能性があります。ASC X9 量子コンピューティングリスク調査グループ(ASC X9 Quantum Computing Risk Study Group)が刊行した 研究 は、これらについて正確な要件を推定しています。

アルゴリズム 必要な論理量子ビット 必要な回路深度
RSA-2048 4700 8 10^9
ECC NIST P-256 2330 1.3 10^112

ショアのアルゴリズムや量子コンピュータの非対称暗号化の破損可能性の程度についての詳細な説明は、このビデオをご覧ください。

ほとんどの専門家は、今後20年以内に RSA や ECC キーを破損するのに必要な量子ビットと回路深度を備えた十分強力な量子コンピュータが登場するとみています。

20年は長年月に思えますが、今日目にしている PKI 産業が現在の状況になるまでにかかったのと年数はほぼ同じです。NIST ポスト量子暗号プロジェクトによると、,"現在の公開鍵暗号アルゴリズムに「突然現れ」入れ替わる可能性はありません。新しいポスト量子暗号化を開発、標準化および展開するには、膨大な努力が求められます。"

これが、未来の脅威に対峙するのに十分量子的に安全でアジャイルな PKI エコシステムの構築をサポートするため、今 DigiCert がいくつかのポスト量子業界の担い手たちと取り組みをはじめた 理由です。

量子攻撃ベクトル

これらの未来の脅威から効果的に保護するための最初のステップは、ポスト量子脅威のランドスケープがもたらす各種の攻撃ベクトルを特定することです。

TLS/SSL ハンドシェイク

量子コンピュータは、非対称の暗号化アルゴリズムに対してこれまでで最大の脅威を呈しています。これは、証明書にデジタル署名し、初期 SSL/TLS ハンドシェイクの処置に使用する暗号化システムが潜在的に攻撃ベクトルであることを意味します。

幸い、NIST も ASC X9 も、対称の暗号アルゴリズム(AES など)は、初期 TLS/SSL ハンドシェイクが量子コンピュータ攻撃に対峙できるように思えた後で、一時的にデータを安全保護するセッションキーを作成していたと主張します。実際、対称鍵のビット長を2倍にする (例. AES-128 から AES-256 にする) と、量子コンピュータ攻撃から十分保護されるように思えます。これは、対称鍵が疑似乱数文字列の文字の使用をベースとし、非対称の暗号を破損させるアルゴリズム (例. ショアのアルゴリズム) の使用に対して、暗号化を破損させるブルートフォース攻撃の使用や既知の脆弱性のいくつかを使用する必要があるためです。

この簡易 TLS/SSL ハンドシェイクダイアグラムは、どの動作が量子コンピュータ攻撃にリスクとなるか、またどの動作が安全かを特定します。

現在の非対称な暗号アルゴリズム (RSA, ECC) と AES-256 を使用した TLS/SSL ハンドシェイク

この攻撃ベクトルは、エンドエンティティデジタル証明書を使用するサーバーとの初期通信には脅威となります。この脅威はかなり大きなものですが、おそらくもっとも危険な攻撃ベクトルではないでしょう。

十分強力な量子コンピュータでも、証明書の秘密鍵の計算に必要なリソースは相当量になります。このため、単一のエンドエンティティ証明書では、量子攻撃に対峙するのに重要ではないと推定するのが無難です。言うまでもなく、エンドエンティティ証明書のキー変更や再発行は比較的小さなことです。

チェーン・オブ・トラスト

量子コンピュータが引き起こすもっとも危険な攻撃ベクトルはおそらく、デジタル証明書がしお湯する チェーン・オブ・トラスト (証明書チェーン) でしょう。RSA と ECC の非対称の暗号アルゴリズムは、すべてのチェーン・オブ・トラストで使用されています --– ルート証明書は同証明書自体と中間証明書に署名し、間証明書がエンドエンティティ証明書に署名します。

量子コンピュータが中間証明書またはルート証明書の秘密鍵を計算できるなら、PKI 構築の基礎は崩壊することになります。秘密鍵にアクセスすることで、脅威行為者は、ブラウザでは自動的に信頼されることになる不正な証明書を発行できる可能性があります。また、エンドエンティティ証明書とは違い、ルート証明書の入れ替えは小さな問題ではありません。

量子的に安全なな暗号システム

現在の PKI 暗号システムへの変更を行う場合、その前に、入替暗号システムの識別が必要になります。量子的に安全な暗号システムはいくつか存在しますが、安全な機密情報に依拠できるようになるには、その前に、さらに調査と研究が必要です。

2016年後半以降、NIST ポスト量子暗号 (PQC) プロジェクトは、量子的に安全な暗号システムに向け先行して研究に取り組んでいます。これまでに 26のポスト量子アルゴリズム が可能性のある入替候補として特定されています。ただし、これらの暗号システムが標準化およびデプロイ準備ができるまでには、まださらに調査と検査が必要です。

NIST PQC プロジェクトの タイムラインによると、,もう1つの解消作業が 2020年から2021年にかけて行われ、標準の起案が 2022年から2024年の間に利用できるようになるとしています。

ポスト量子の未来をプランニング

この移行は、大規模な量子コンピュータが構築される前までには実施されている必要があります。量子暗号によって後に危殆化される情報はいずれも、その危殆化が発生した時点では機密ではなくなるためです。

NIST PQC project

ポスト量子暗号テクノロジの標準化とデプロイにかかる時間を考える、DigiCert は、この IETF 起案を利用して、ハイブリッド証明書の中で、埋込型ポスト量子アルゴリズムの利用強度の試験を開始しています。

今後数週間で、当プロジェクトのポスト量子暗号の取り組みとハイブリッド証明書の開発についての追加情報を、これらのトピックに関する情報とあわせて、提供予定です。

  • ポスト量子の未来に向けた準備で今すぐ可能なステップ
  • ハイブリッド証明書およびそれを活用した現在のシステムの保護方法の詳細
  • PQC ツールキットとセットアップガイド