このコンテンツは自動機械翻訳サービスによる翻訳版であり、皆さまの便宜のために提供しています。原本の英語版と異なる誤り、省略、解釈の微妙な違いが含まれる場合があります。ご不明な点がある場合は、英語版原本をご確認ください。
組織が脅威に対抗するために使えるリソースは限られています。現在の敵と、それほど遠くない将来の攻撃者は、量子コンピューターで武装しています。この記事では、今後の量子コンピューターが現代のコンピューティングシステムのセキュリティの基盤となっている従来の暗号技術を破るほど強力になった場合、何を優先すべきかについてガイダンスを提供します。また、ポスト量子暗号(PQC)を既存のハードウェアにデプロイして量子コンピューティングがもたらす脅威から保護する方法について説明し、量子鍵配布(QKD)と量子乱数生成(QRNG)はセキュリティにとって必要性と十分量ではない理由を説明します量子時代への移行です。
「量子」は、テクノロジー業界で最もよく使われる流行語の1つになりつつあります。これが実際に何を意味し、なぜ気にする必要がありますか?
その核となるのは、「量子」とは、量子力学的な原理を利用して、従来のコンピューターでは実現不可能なタスクを実行する技術を指します。量子コンピューターは、材料科学や医薬品の進歩を可能にする素晴らしい可能性を持っていますが、同時にコンピューターセキュリティシステムに対する脅威でもあります。Q-dayという用語は、敵対者が、今日のデータや通信の多くを保護している従来の公開鍵暗号を破るのに十分な大規模で安定した量子コンピューターを所有する日を指します。最近の量子コンピューティングの進歩により、Q-dayが来るかどうかではなく、いつ起こるかという問題が明らかになりました。
では、組織が量子対応に備えるとはどういう意味なのでしょうか?Cloudflareでは、定義はシンプルです。貴社のシステムと通信は、Q-day後でも安全であるべきです。
しかし、ベンダーが量子敵から組織を守るためには量子技術を使用して構築された製品が必要であると主張し、この定義を不明瞭にすることがよくあります。このブログ記事では、量子攻撃者による攻撃から保護するために量子技術は必要であるわけでも、十分でない理由について説明します。
良いニュースは、すでに、ポスト量子暗号(PQC)というソリューションがあることです。PQCは量子敵による攻撃から保護しますが、PQCは量子技術ではなく、専用のハードウェアなしで従来のコンピューター上で動作します。今すぐPQCは、高価なハードウェアを新たに購入することなく、既存のコンピューターで使用することができます。
ポスト量子暗号についてはすでに多くのブログ記事を書いているので、このセクションでは簡単に説明します。
私たちがデータや通信を保護するために何十年も使ってきた公開鍵暗号 は、従来のコンピューターでは 計算的に解くのが難しい と考えられている数学の問題( 大きな数の因数分解 など)に基づいています。根本的な数学の問題を効率的に解くことができれば、暗号技術やそれを依存するシステムを効率的に破壊することができます。実を言うと、今日のパブリックキー暗号の多くの基盤となっている数学の問題は、大規模な量子コンピューター上で、Shorのアルゴリズムのような特殊なアルゴリズムによって効率的に解くことができるのです。
解決策は、量子コンピューターでも従来のコンピューターで解くのが難しい、新しい数学的問題(代数格子の中で「短い」ベクトルを見つけるようなもの)を選びましょう。そして、それらの周囲に新しい暗号化システムを構築します。米国国立標準技術研究所(NIST)が2016年に、このような暗号システムの特定と標準化を目指す国際コンペティションを立ち上げ、2024年にポスト量子暗号の新しい規格がいくつか公開され、今後の標準化もいくつか検討されています。
ポスト量子暗号(PQC)は、既存の携帯電話、ノートパソコン、サーバーで実行されます。PQCはインターネット規模で動作し、従来の暗号化技術よりも優れたパフォーマンスを発揮することもあります。安価なスマートカードで追加のハードウェア高速化が必要な場合や、暗号技術の俊敏性が欠けているレガシーシステムを置き換える場合など、稀なケースを除き、PQCに移行するために新しいハードウェアを購入する必要はありません。
量子コンピューターがもたらすセキュリティ上の脅威から組織を守る方法を知りたい方は、今すぐこの記事を読むことを中止してください。ポスト量子暗号がこの問題を解決します。
また、セキュリティソリューションとして販売されることがあるハードウェアベースの量子セキュリティ技術に関する当社の視点については、以下をご覧ください。
量子技術は、想像力をかきたてます。量子コンピューター(おそらく量子インターネットでつながっている)は、高度なモジュールシミュレーションによって、医薬品の発見や材料科学の分野で画期的進歩をもたらすと期待されています。物理的な量子プロセスの測定を使用することで、数学的に証明可能な特性を持つエントロピーを生成することができます。
これは、期待に満ちた技術であり、基礎科学的研究です。しかし、この技術は量子攻撃者からデータや通信を保護するために必須ではありません。
このセクションでは、量子セキュリティ技術を量子対応戦略の一部として組み込む必要がない理由と、量子技術への投資の決定は、量子技術の脅威からデータや通信システムを守りたいという願望に基づいてはいけないことを説明します。投資は、例えば化学、機械学習、金融モデリングのようなアプリケーションへの支援から、量子技術を改善したいという願望に基づいて投資されるべきです。
当社の見解は、米国国家安全保障局(NSA)、英国国家サイバーセキュリティセンター(NCSC)、NL国家サイバーセキュリティセンター(NCSC)、およびドイツ連邦政府情報セキュリティ局(BSI)の量子セキュリティ技術に対する戦略とほぼ一致しています。ここでは、セキュリティ製品として広く販売されている2つの量子技術、量子鍵配布(QKD)と量子乱数生成(QRNG)に焦点を当てます。
量子鍵配布(QKD)は、ポイントツーポイントリンクの通信を保護するハードウェアベースのソリューションです。QKDは、難しい数学的問題に頼るのではなく、量子物理家の原理に依存して、2者間で共有の対称的秘密を確立し、一方で盗聴を検出できるようにします。QKDは、通信チャネルの物理的プロパティに基づいてセキュリティ保証を提供します。共有する秘密が確立されると、当事者は従来の対称鍵暗号に切り替えることで、安全な通信を実現することができます。QKDは、未来の「量子インターネット」への第一歩です。しかし、QKDが従来のハードウェア上で動作する従来の暗号の一般的な代替技術となり得る根本的な理由がいくつかあります。
最も重要なことは、QKDはインターネット規模では運営されていないことです。QKDは、2つの当事者の間に直接物理的なつながりを持つことで、認証されていない秘密情報を確立するために使用されます。当事者は、従来の暗号に基づく認証メカニズムを使用して、そのリンクを介して安全な通信チャネルをブートストラップできます。専用の物理リンクを構築することは、データセンター間通信や主要なインターネットバックボーン間での通信は実現可能なかもしれませんが、インターネット上のほとんどの当事者はペアリングすることができません。特に、エンドユーザーデバイスへの「ラストマイル」接続にQKDをデプロイするには、各デバイスが安全に通信する必要があるすべてのサーバーやデバイスに直接物理接続する必要があります。
接続性は別として、インターネットが安全なポイントツーポイントリンクに依存しないのには、正当な理由があります。拡張しない(と言うより、指数関数的に拡張する)からです。新しいデバイスをオンラインにすると、通信が必要な他のすべてのデバイスを変更する必要があり、全員に運用上の大きな負担がかかります。幸いなことに、より良い方法があります。ネットワーキングのOSIモデルは、2者間で物理的なリンクの連鎖が存在する限り、直接の物理的リンクを共有していなくても、2者間通信ができるような抽象化を提供します。1976年、論文「Cryptography(暗号技術)」で発表されたパブリックキー暗号化は、同じパブリックキーインフラストラクチャに参加する2者が、安全なエンドツーエンドの暗号化通信チャネルを確立することができるようにするもので、事前の設定は必要ありません。 .これらの技術によって実現される大規模なスケーリングが、私たちが知るセキュアなインターネットが存在する理由です。ポイントツーポイントリンクの保護は、ソリューションの一部ではありません。
スケーラビリティの欠如は、QKDを完全に対象外にするのに十分です。テクノロジーがインターネット全体にセキュリティを提供できないのであれば、テクノロジーがインターネット全体に多くの時間を費やすことはありません。
しかし、QKDの課題はそれだけに止まりません。
QKDは理論上のセキュリティ保証を強調していますが、実際にセキュリティを実現するのはそう簡単ではありません。QKDシステムは、典型的なサイドチャネル攻撃とこのテクノロジーに特有の新しい攻撃の両方が、実装攻撃によって行われてきました。さらに、QKDは、ファイバーまたはバケットという特別な媒体を介して最適に機能します。QKDは対顧客の攻撃でも実証されていますが、前述のパフォーマンスと実装によるセキュリティが損なわれます。QKDが携帯電話やWi-Fiネットワークで動作するのはまだありません。
さらに、QKDをはじめ他の量子技術も、鍵交換の相手があなたが考える本人であることを証明する認証を提供するものではありません。これは、典型的な中間者攻撃(MITM)攻撃の端緒になります。敵は接続を傍受し、あなたと意図した宛先に別の安全なQKDリンクを確立し、中央に位置してすべてのトラフィックを読み込んで中継します。これを阻止するには、事前共有鍵か従来のパブリックキー暗号のどちらかを用いて、接続先の身元を認証する必要があります。結論として、QKDに投資するかどうかにかかわらず、量子コンピューターで武装したアクティブな攻撃者から保護するためには、認証のためのソリューションが必要だということになります。現実的にはPQCが必要ということですが、PQCはすでに認証と鍵合意の両方を提供するスタンドアロンソリューションであり、そもそもなぜQKDを使用するのかという疑問が生まれます。
QKDは、追加のセキュリティレイヤーとして既存のシステムに統合されるべきだと主張する支持者もいます。QKDの価値提案は、「Harvest Now, Decrypt Later(今収集して後で解読する)」という脅威に関連しています。パブリックキー暗号化では、通信チャネルを保護するために暗号化鍵を設定するために使用される鍵交換メッセージは、潜在的な敵対者から完全に見えたところで交換されます。敵対者が鍵交換メッセージを記録した場合、将来的により良い技術を用いて、鍵交換のセキュリティが依存する難しい数学の問題を解決し、暗号化鍵を回復し、通信を復号化できるようになるかもしれません。暗号化鍵がQKDを介して直接交換された場合、QKDが提供する傍受対策によって、敵対者がメッセージを記録し、後で暗号化鍵を回復できるようにすることができます(量子コンピューターやその他の暗号解析の進歩を使用するなど)。しかし問題は、この「追加のセキュリティレイヤー」が脆弱で、単一の物理リンクに限定されていることにあります。データが他の場所(インターネットエクスチェンジから、またはエンドユーザーへ移動するなど)が送信されると、QKDのセキュリティは終了します。それから、データはTLSなどの標準プロトコルによって保護されるため、最初のQKDリンクの価値は疑わしいものになります。
技術の進歩に期待していますが、QKDは量子コンピュータを使う敵に対抗する上で、必要かつ十分ではありません。PQCは、量子敵に対するセキュリティとして十分で、既存のハードウェアで既に動作し、あらゆる場所で動作します。
量子乱数ジェネレーター (QRNG) は、原子の崩壊を測定したり、ビームスプリッターに光子を照射したりなど、量子力学の固有の予測不可能性を利用して動作する「真の」乱数ジェネレーター (TRNG) の一種です。その他の種類の古典的(非量子)乱数生成器は、電気部品からの熱雑音、溶岩ランプ内の熱い蝋の動き、二重振り子、吊り下げ式モビール、水波発生装置など、ランダムな性質を示す物理現象を利用している。
暗号技術とコンピューターセキュリティにおいて、乱数ジェネレーターに必要な重要な特性は、アウトプットが予測不可能で、バイアスがないことです。これは、真のランダム性の小さなシード(たとえば256ビット)を取り出し、それを暗号的に安全な擬似乱数発生器(CSPRNG)に与え、真のランダム性と区別できない擬似ランダムアウトプットの本質的に無限のストリームを生成することで実現できます。CSPRNGのシードを使用するランダム性は、攻撃者に知られていない限り、従来の物理的プロセスまたは量子物理プロセスに基づいています。シードを生成するためにQRNGを使用するかどうかにかかわらず、暗号化アプリケーションにはCSPRNGが不可欠です。
私たちは、楽しい新しいランダム性のソースに初めてご注目いただくことができます。しかし、量子効果から得られるランダム性は、量子コンピューターの脅威に対抗するために必ずしも必要ではないことを強調したいと思います。量子コンピューターは、現在広く使用されている従来のTRNGに対する実際の新しい攻撃を可能にすることはありません。QRNGへの投資を決める際は、量子コンピューティングによる従来のTRNGに対する脅威ではなく、QRNGが生成するランダム性の質の向上に基づいて考える必要があります。
Cloudflareは、PQCの開発と展開の最前線にいます。PQCを無料かつデフォルトで、すべての製品で利用できるようにすることをお約束します。また、大規模に運用しており、すでに人間が生成したネットワークへのトラフィックの40%以上がPQCを使用しています。
では、この40%には何が含まれるのでしょうか?PQCは、Cloudflareを介して配信されるすべてのWebサイトおよびAPIトラフィック、Cloudflareの内部ネットワークトラフィック、およびZero Trustプラットフォーム上で実行されるトラフィックでサポートされています。これらの接続はすべて、ポスト量子鍵合意を使用して、「Harvest Now, Decrypt Later(今収集して後で解読する)」脅威から保護します。この脅威では、将来的に量子コンピューターやその他の暗号解析の進歩で復号化することを期待し、現在暗号化されたデータを傍受して保存します。鍵合意は重要な第一歩ですが、まだまだ課題があります。当社は、量子攻撃者からの積極的ななりすまし攻撃を防ぐために、ポスト量子署名への移行に向けて、業界の関係者と協力して準備を進めています。(Q-day以降)
量子ハードウェアの購入が不要な場合、組織は量子の未来にどのように準備すべきでしょうか?最も効果的な戦略は組織の個々のニーズによって異なりますが、いくつかの一般的な戦略はほとんどの組織で効果的です。
まずは基本的なセキュリティ対策から始めることが良いでしょう。まだ持っていない方は、適切な専門知識を採用してください。現在、サービスでポスト量子暗号化をサポートし、暗号的に俊敏な製品を提供するベンダーを見つけて、業界がQ-dayより前に移行する際に、ポスト量子署名や証明書へのシームレスな移行を実現してください。トンネリング戦略を採用する:安全な量子耐性トンネルを介してインターネット経由でアプリケーション トラフィックをルーティングすると、既存のシステムへの変更を最小限に抑えて攻撃対象領域を削減できます。Cloudflareのお客様である場合(あるいは希望される場合)には、当社のコンテンツ配信ネットワークとZero Trustプラットフォームをご利用いただくことで、これを簡単に行うことができます。Cloudflareができることについては、ポスト量子暗号Webページをご覧ください。