この記事は、Security & Trust Organization, Sr Product Manager Mike Luken
によるブログ「 Quantum Cryptography: What’s Coming Next
今回の投稿は、量子脅威の概要と「Q-Day」に向けた準備について取り上げるブログシリーズの第 2 回となります。Q-Day とは、現在運用されているあらゆる公開鍵暗号システムを暗号関連量子コンピューティング(CRQC)が破る日のことを指します。第 1 回のブログ [英語] ではポスト量子の世界における暗号の概要を説明しました。今回は、今後の展望について探ります。
新しい NIST PQC 標準の運用化に要する期間
米国政府は、Q-Day と “harvest now, decrypt later(HNDL)”(将来に解読を試みるためにデータを今収集しておくという攻撃)のリスクへの懸念から、国立標準技術研究所(NIST)に新しい耐量子暗号標準の開発を指示しました。NIST は現在、最初の PQC アルゴリズムの最終標準をリリースしています。これは業界関係者間での印象的で稀有な合意であり、リサーチコミュニティは、この標準のアルゴリズムは量子リスクを軽減するための効果的な手段であると考えています。ただし、標準だけでは、耐量子コンピューティングの目標を実際面で実現するには不十分です。標準は PQC ソリューションの開発の鍵となりますが、ただあればよいというものではなく、運用化するにはさらに作業が必要になります。
トランスポートプロトコルへの PQC アルゴリズムの組み込み
新しいアルゴリズムに対応するには、新しいトランスポートプロトコルを作成するか、既存のプロトコルを変更する必要があります。これらの変更は多岐にわたり、単に新しい PQC アルゴリズムの選択を可能にすることから、より大きな鍵長やプロトコル制限などの要因に対処するための完全に新しい標準を開発することにまで至ります。Internet Engineering Task Force(IETF)はこのような問題に取り組んでおり、TLS、SSH、IKEv2 などのための鍵の標準が間もなくリリースされるはずです。
耐量子ソフトウェア製品の開発
NIST の PQC アルゴリズムとこれらのプロトコルの標準をサポートする暗号ソフトウェアライブラリが作成、検証されています。未確定の要素が多数あるため、難しいプロセスになる見込みです。Linux Foundation の Open Quantum Safe(OQS)プロジェクトなどの業界グループが標準の導入に対する同意を促進することで、移行をスムーズにできる可能性があります。OQS は Linux Foundation の Post-Quantum Cryptography Alliance の一部であり、シスコはこのアライアンスの創設メンバーです。このプロジェクトは耐量子暗号アルゴリズムのオープンソース C ライブラリである liboqs の開発に焦点を合わせるとともに、プロトコルとアプリケーションにプロトタイプを統合することにも注力しています。これには OpenSSL ライブラリのフォークが含まれます。
また、IETF は業界関係者を集めて Internet X.509 Public Key Infrastructure(PKI)の新しい耐量子バージョンの開発に取り組んでいます。 [英語] これには、公開鍵インフラストラクチャを製品品質に引き上げるモジュール格子ベースのデジタル署名標準(ML-DSA)のアルゴリズム識別子が組み込まれます。
これらの新しい暗号ライブラリと PKI 機能を組み込むには、製品の更新が必要になります。シスコは、harvest-now, decrypt-later(HNDL)脆弱性に対処するために、製品が最初に PQC トランスポートプロトコルを提供すると予想しています。PQC PKI 標準と業界サポートは、利用可能になるまで少し時間がかかるでしょう。これらは HNDL 攻撃に直接関係するものではないため、現時点ではこの遅れによって大きなリスクがもたらされてはいません。
耐量子ハードウェアの作成
暗号は、コンピュータとネットワーキング ハードウェアが安全に機能するうえで不可欠です。暗号によってハードウェアは、ハードウェア自体内での信頼(ハードウェアが侵害されていないことを OS が信頼するなど)を確立するだけでなく、他のハードウェアとの信頼を確立することが可能になります。したがって、ハードウェアを耐量子性のあるものにするには、暗号に依存するさまざまなハードウェアコンポーネントや機能を更新する必要があります。
たとえば、Unified Extensible Firmware Interface(UEFI)を、PQC アルゴリズムと鍵を扱えるように適応させる必要があります。同様に、チップメーカーは、PQC 標準をサポートするようにトラステッド プラットフォーム モジュール(TMP)チップを変更しなければなりません。これにより、サーバー、ネットワークハードウェア、ストレージが影響を受けます。耐量子性のある UEFI と TPM が利用可能になったら、ハードウェアメーカーは、セキュリティを確保するためにそれらに依存する製品を再設計する必要があります。これは、最初にチップを変更してその後に製品を再設計するという 2 段階のプロセスであり、新しい耐量子ハードウェアの提供スケジュールに影響を与えます。
PQC ハードウェアの可用性
シスコは耐量子ハードウェアを 2013 年から提供してきました。Cisco 8100 ルータ、Cisco Catalyst 9500 ネットワークスイッチ、Cisco Firewall 4215 を含む多数の製品で、NIST 承認 LMS の前のバージョンである LDWM ハッシュベースの署名(HBS)を使用した耐量子セキュアブートが搭載されています。シスコのセキュアブートでは、署名付きイメージをチェックして、Cisco ハードウェア上で実行されているコードが悪意のある攻撃者によって変更されていないことを確認できます。新しい NIST PQC 標準が実装された、セキュアブートおよびシスコ トラストアンカー テクノロジーの新しい耐量子版が間もなくリリースされます。シスコのホワイトペーパー『Post Quantum Trust Anchors [英語]』では、シスコが HBS と PQ 署名を使用して耐量子コンピューティングを確立する仕組みについて詳しく説明しています。
新しい NIST 標準に基づくシスコの PQC ハードウェアは、2025 年末または 2026 年に利用可能になる予定です。CPU やトラステッド プラットフォーム モジュールなどの業界標準コンポーネントを利用するシスコ製品の可用性は、それらのコンポーネントの可用性に依存します。そのため、2026 年末または 2027 年まで遅れる可能性があります。
次のステップ
PQC の取り組みをさらに進める準備を整えるために、Cisco Trust Center にアクセスして、シスコが取り組んでいる内容、シスコの現在の能力、新しい PQC 製品とテクノロジーに向けた計画の詳細をご覧ください。このシリーズの次回のブログでは、PQC 製品の可用性に対する政府による規制の影響について取り上げます。
Authors