- Smarter Worldブログ
- ポスト量子暗号への移行に関する展望の概要
ポスト量子暗号への移行に関する展望の概要
前回のブログでは、米国国立標準技術研究所 (NIST) が主導しているポスト量子暗号 (PQC) の標準化の取り組みと未来の選び抜かれたPQC標準に焦点を当てました。今回のブログ投稿では、PQCへの移行に伴う課題をいくつか取り上げ、それらの課題に対処するために提案された戦略を検討します。
発表されたPQC標準と最近公開されたドラフトにより、PQCの広範な展開に一歩近づきました。PQCへの移行プロセスは、今日までの公開鍵暗号方式における非常に重要な変革であり、数十億台のデバイスや世界中のデジタル・セキュリティ・インフラストラクチャに影響を及ぼします。
PQCへの移行:課題が山積の道
現代のデジタル・インフラストラクチャは、RSA方式またはECC方式に基づく従来の非対称暗号化に大きく依存しています。PQCへの移行には多くの課題が伴います。まず第一に、方式と実装の側面を検討する必要があります。これには、鍵、暗号文、署名のサイズだけでなく、メモリや効率への影響も含まれます。第二に、多くの公開鍵インフラストラクチャをアップデートする必要があります。特に、NISTによって標準化されている方式の中には、RSAおよびECCベースの方式とは機能が異なるものがあります。そのため、広く使用されているプロトコルを適宜変更する必要があります。第三に、移行が必要となる、または望ましいタイミングは、個々のユースケースのリスク分析を慎重に行った結果に基づいて判断することが必要です。例えば、影響の大きいインフラストラクチャは、スマートホーム向けに設計されたIoTデバイスよりも、悪意のあるエンティティのターゲットとなる可能性が高くなります。前者については今すぐ移行計画を立てるべきですが、後者については移行する必要はまったくないかもしれません。
移行に加え、標準化されるPQCアルゴリズムは、特に物理的セキュリティに関して、従来のアルゴリズムよりも成熟していない点に注意することが重要です。組込み機器、特に過酷な環境に展開される機器の場合、物理的な敵からの保護に独自の課題が伴います。例えば、PQCの鍵カプセル化メカニズム (KEM) の大部分を堅牢にすることの難しさ、そして一部のユースケースで攻撃を阻止するための従来と異なったアプローチについて取り上げました。PQCの展開先では、PQCに依存するメカニズムやプロトコルのセキュリティが重要になることは明らかです。従来の暗号化によって提供されている現在のセキュリティを保持したうえで、量子攻撃者からの保護を追加するシステムを構築することが最も重要です。
NXPは、お客様と協力して、量子コンピュータがもたらす脅威からの保護に取り組んでいます。詳細は、専用のポスト量子暗号ページをご覧ください。
ハイブリッドPQCメカニズム:多段構えのソリューション
従来の保護とポスト量子保護の両方を実現する方法の1つはハイブリッドPQCの採用です。具体的には、従来の非対称暗号方式とポスト量子方式を組み合わせます。ドイツのBSIやフランスのANSSIをはじめ、多くの国家機関がハイブリッド・アプローチを推奨しています。ハイブリッド・システムでは、セキュリティに2つ以上の暗号化方式を利用します。1つの方式だけが破られても、システムが完全に突破されることはありません。一般に、PQCと共に従来のアルゴリズムを実行した場合の通信やストレージのオーバーヘッドは、PQCを単独で実行した場合と比べても最小限で済むため、この方法は比較的低コストで実現できます。デジタル署名については、従来の署名(ECDSAまたはRSA)とPQC署名(ML-DSA、SLH-DSA、LMSまたはXMSS)を両方とも含め、両方の署名を確認するだけなので、簡単に導入できます。両方の署名が認証をパスする必要があります。鍵の確立については、KEM(ML-KEMなど)とECDH(E) の組み合わせにはある程度の注意が必要なので、状況はもう少し複雑になります。また、提案されているTLSハンドシェイクのアプローチは、IKEv2のアプローチと異なっています 。
ハイブリッド・メカニズムの標準とガイドラインはまだ策定中で、相互運用が可能になる予定です。例えば、鍵交換では、標準とガイドラインにより、通信相手が正しい順序と形式で鍵導出関数に入力すると、同じセッション鍵を計算し、さらに安全な通信を確実に開始できるようになります。これらの標準とガイドラインは、製品やシステムで脆弱なメカニズムを使用しないようにするうえでも役立ちます。
暗号化の俊敏性:野心的な目標
将来のPQC標準をサポートするためや、暗号解読の進歩に合わせて直ちにその影響を軽減するために、将来的にアップデートが必要となる可能性がありますが、その影響は暗号化の俊敏性によって軽減できます。暗号化の俊敏性は、必要に応じて新しいセキュリティ要件や規制要件に適合するようにシステムを簡単に変更できる能力と定義できます。これには、別のアルゴリズムへの移行だけでなく、実装やセキュリティ・パラメータに関して、一般的な柔軟性などの他のアプローチを採用することも含まれます。
リソースに制約のある組込みデバイスの場合、暗号化の俊敏性はどのような種類であっても法外なコストがかかります。リスク分析によって利益対費用比を見極め、インフラストラクチャが代替パラダイムに適応できるかどうかを評価することが重要です。例えば、保守的なアプローチでは、PKIベースの鍵確立から事前共有対称鍵に戻すことが可能です。これなら、定期的な更新に使用されるPKIベースの鍵確立が侵害された場合でも、暗号システムを安全に切り替えることができます。しかし、多くのユースケースでは、このアプローチは現実的ではありません。キーのストレージ要件や攻撃対象が増加したり、将来どのデバイスをペアリングするかを予測するのが困難であったりするからです。残念ながら、俊敏性を高めると、複雑さと脆弱性が増す可能性があります。システムに対する変更や適合は、認証されたソースのみが開始でき、セキュリティの低下につながらないことを確認する必要があります。量子以前の世界では、NXPはEdgelockセキュア・エンクレーブとセキュア・エレメントの信頼の基点を用いてこれを実現しています。
これらの懸念事項などは、PQCのリスク評価作業の対象となります。近い将来にデバイスに(ハイブリッド)PQCを採用する場合、システムの完全移行に必要な時間を最小限に抑えるために、新しいアルゴリズムへの移行能力とサポート能力を評価することが肝要です。
スムーズに移行するためには、応用研究、エンジニアリング、標準化への多大な取り組みが引き続き必要です。セキュリティと相互運用性の両方を確保するうえで、移行ソリューションと戦略を定義、評価、標準化する必要性が大いにあることは確かです。現時点では、暗号資産のプロバイダーは、俊敏性の高いソリューションを迅速に展開できる強い立場を確立するために、包括的な暗号インベントリを作成する必要性があることを認識する必要があります。この新しいハイブリッドまたはPQCの未来は、今後何年にもわたって暗号化の脅威を予測し、対処するうえで鍵となる暗号化の俊敏性の重要性と関連性を抜きには語れません。
著者紹介
Melissa Azouaoui
Melissa Azouaouiは、NXP SemiconductorsのCTO組織に属しているCompetence Center for Cryptography and Security (CCC&S) のシニア・クリプトグラファーです。2021年にベルギーのUCLouvainで博士号を取得し、ドイツのNXPでサイドチャネル対策や対称/非対称暗号化の評価に取り組んでいました。現在はポスト量子暗号チームのメンバーで、NXPではサイドチャネル攻撃やフォルト・インジェクション攻撃とその対策などを研究し、特に格子とハッシュベースの暗号化に注力しています。
Joppe W. Bos
Joppe W. Bosは、NXP SemiconductorsのCTO組織に属しているCompetence Center Crypto & Security (CCC&S) のテクニカル・ディレクター兼クリプトグラファーです。ベルギーに拠点を置き、ポスト量子暗号チームの技術リーダーを務め、20以上の特許を考案し、50以上の学術論文を執筆しています。IACR Cryptology ePrint Archiveの共同編集者です。
Christine Cloostermans
Christine Cloostermansは、NXP SemiconductorsのCTO組織に属しているCompetence Center for Cryptography and Security (CCC&S) のシニア・クリプトグラファーです。TU Eindhovenにおいて格子ベースの暗号に関するトピックで博士号を取得しました。10以上の科学出版物の共著者であり、ポスト量子暗号の分野で多くの公開プレゼンテーションを行っています。PQCのほかにも、産業機器分野のIEC 62443、モバイル運転免許証のISO 18013、CSA (Connectivity Standards Alliance) のAccess Control Working Groupなど、複数の標準化の取り組みに積極的に参加しています。
Gareth T. Davies
Gareth T. Daviesは、NXP SemiconductorsのCTO組織に属しているCompetence Center for Cryptography and Security (CCC&S) のシニア・クリプトグラファーです。ポスト量子暗号チームのメンバーで、プロトコル分析、認証方式、標準化など、さまざまなトピックに取り組んでいます。
Sarah Esmann
Sarah Esmannは、NXPのBusiness Line Secure Connected EdgeのNFCおよびIoTセキュリティ・セグメント担当シニア・プロダクト・マネージャ兼プロダクト・マネジメント責任者です。さまざまなプロジェクトでビジネスの観点からポスト量子暗号チームと緊密に協力しています。