共同執筆: Timothy Hollebeek

最近の報告によると、耐量子コンピューター暗号（PQC）に対する Kyber ML-KEM 保護対策には重大な欠陥があるということです。全体像はもっと複雑ですが、幸い、データを保護する単純な方法があります。

Kyber 脆弱性の発表で浮かび上がるセキュリティ上の懸念

過去数週間にわたり、サイバーセキュリティの専門家やテクノロジー系の報道機関が、耐量子コンピューター攻撃からデータを保護する Kyber の機能に脆弱性があると報じました。米国商務省標準化技術研究所（NIST）が今年中に Kyber の 承認規格を発表するとしていることから、こうした報道に危機感が高まっています。

この脆弱性を特定したチームは、タイミングベースの攻撃を利用して鍵を復元することに成功したといいます。この攻撃は、KyberSlash1 および KyberSlash2 として知られており、復号関数の長さを測るために除算を使用します。測定後、暗号化に用いられる鍵ペアを構築できるタイミングを推定することができました。

ML-KEM 脆弱性の全容を解明

この攻撃に成功すると鍵を導出できるのは確かですが、Kyber 自体を脆弱だと断定するのは正確ではありません。Kyber の原理となっている数学が影響を受けているわけではなく、脆弱性は Kyber の実装にあるからです。

どの暗号でもそうですが、秘密鍵の厳密な詳細にどれだけ注意を払っているかによって、実装は速くなることも遅くなることもあります。不正な鍵の復元を可能にするのは、この実装の速度であって、暗号化そのものではありません。Kyber は安全であり、その標準が耐量子コンピューター攻撃に対応できるように、NIST は 2023 年 12 月 1 日にこのタイミング脆弱性に対するパッチを発行しました。

データ暗号化に対する多面的なアプローチ

耐量子コンピューター暗号は比較的新しいものなので、Kyber でも、NIST で開発中の他の 3 つのアルゴリズム標準でも、引き続き脆弱性が見つかることは間違いありません。これは、4 つの標準で使われる暗号技術の脆弱性が原因ではなく、現実世界における実装方法が未熟であることが原因です。

サイバー業界は耐量子コンピューターのセキュリティ実装の発展に取り組んでいますが、データ保護に関して最善の方法は、新しいアルゴリズムと古典的アルゴリズムを組み合わせることです。

保護されたデータに、実装上の弱点を突いて攻撃者がアクセスできるようになっても、そのデータは古典的アルゴリズムによって暗号化されます。データが、量子コンピューターに対して安全なアルゴリズムでしか保護されていないとしたら、侵入されればすぐに復号されてしまいます。しかし、データが量子安全アルゴリズムと古典的アルゴリズムの両方で保護されていれば、攻撃者は量子コンピューターが登場するまで古典的暗号を解読できない可能性が高くなります。

このように、古典的な暗号と耐量子コンピューター暗号を並行して実装することによって、潜在的な脆弱性が実際に発見された場合でも、その脆弱性は閉じることができます。また、量子コンピューターによるセキュリティは実績のある暗号技術の基盤の上に構築されているので、現在の最高水準と同等以上のデータの安全は確保されますし、近い将来に到来する量子コンピューターの脅威に対しても貴重な保護機能が加わります。

デジタルトラストに関する最新情報

耐量子コンピューター暗号、暗号化の俊敏性、エンタープライズセキュリティなどのトピックについて詳細をご希望ですか？ 記事を見逃さないようにデジサートのブログを参照してください。