DIGICERTの2021年3月 CA /B フォーラムのまとめ

3月2日から4日 春のCA/B フォーラムオンライン会議が行われました。
フォーラムの機能と仕組みの概要については、CA/B フォーラムの概要を参照ください。(英語リンク)春の会合は休日の後であったこともあり、概ね比較的静かな会議でした。

その会議期間中、フォーラムでは通常の各ワーキンググループ会議もあわせて開催しました。その内容を一部を以下に共有します。ブラウザ側の出席者からは同時に、彼らのポリシーへの変更が報告されました。

さらに、サスカチュワン大学のDr. Natalia Stakhanovaが、RSA鍵のソース属性に関する研究を発表しました。最後に、米国商務省標準化技術研究所(NIST) のダスティン・ムーディが、耐量子コンピューター暗号と、量子コンピューターが証明書に与える影響について発表しました。

ワーキンググループ

S / MIMEベースライン要件は引き続き議論中です。これが必要な理由の詳細については、Eメール証明書の標準に関する最近のブログを参照ください。この会議において、DigiCertは、メンバーが十分に考慮をめぐらし作業に手を付けられるたたき台になる原案と、それを推進するための戦略を発表しました。

また、コードサイニングワーキンググループは、コードサイニング鍵の保護方法にいくつかの改善を加えているところです。これは、盗まれたコードサイニング証明書が悪意のあるコード(マルウェアなど)に署名するために使用されるリスクを減らすことにより、すべての人を保護するのに役立ちます。コードサイニング証明書のユーザーは、(この変更が)多くの組織の開発プロセスに影響を及ぼす可能性があるため、最終化および発表される際には、関連する改善に注意を払う必要があります。

ルートプログラムの更新

ブラウザ側からの報告の中、Appleは正確でタイムリーな証明書失効情報の重要性を認識し、このトピックに関して認証局側とより緊密に連携する意向を示しました。これは非常に歓迎すべき発表であり、DigiCertも参加を予定しています。

Googleは、Chromeが証明書を処理する方法において、すべてのプラットフォームでより一貫した体験を提供するよう取り組んでいることを発表しました。現在、Chromeは基盤となるOSのルートストアの動作に依存していることが多く、異なるOSでChromeを利用すると一貫性のない動作に遭遇します。Googleはまた、パブリックに信頼されているSSL/TLSサーバ証明書が他の種類の証明書と混在利用されない証明書階層に移行することをCAに推奨しました。

耐量子コンピューター暗号

米国商務省標準化技術研究所(NIST) のダスティン・ムーディから量子コンピューターがRSAやECCなどの伝統的な非対称暗号化アルゴリズムに及ぼす脅威に関して素晴らしいプレゼンテーションがあり、NISTは、量子コンピューターを利用した攻撃に耐えることができるようにすることを目的とした、耐量子コンピューターアルゴリズムを標準化するための取り組みを行っています。

ムーディーの示唆はDigiCertのそれと一致しており、暗号アルゴリズムの移行にかかる時間の長さを強調しています。量子コンピューターの最近の進歩により、暗号アルゴリズムの移行が完了するまでに10年かかる可能性がある一方で、5年から10年以内で(量子コンピュータの計算能力は)ここに到達する可能性があると予測しています。メッセージは明確です。量子コンピューターに対しても安全なアルゴリズムへの移行準備を開始する時期が来たといえるでしょう。

Digicertは、PQC成熟度モデルやツールキットなど、組織がPQCの準備をするのに役立つソリューションを準備しています。PQC成熟度モデルは、耐量子コンピューター暗号(PQC)の脅威を理解するためのガイドであるだけでなく、現在の準備レベルを特定するためのツールであり、このコンピューティング革命に伴う課題をどのように乗り越えることができるかを示します。このモデルを参考に耐量子コンピューター暗号対策への道に進めることができます。PQC ツールキットは耐量子コンピューター暗号とのハイブリッド証明書を作成するために必要なものが含まれており、テストを行うことができます。詳細については、digicert.comでご確認ください

今後の議論

CA/B フォーラムの活動に関する最新情報を引き続き提供します。DigiCertのブログソーシャル(英語版のみ)をフォローして、6月に予定されているCA/B フォーラムの会議後の更新にご期待ください。

Posted in CA/ブラウザフォーラム, Post-Quantum Cryptography, PQC