米国商務省標準化技術研究所（NIST）が耐量子暗号アルゴリズムについてパブリックコメントを募るために標準案を発表しました。最終的な標準は来年早々に発表される予定です。

NIST は、世界初の耐量子コンピューター暗号標準に向けた 7 年近くのプロセスを経て最終ステップを踏み出し、CRYSTALS-KYBER、CRYSTALS-DILITHIUM、および SPHINCS+ アルゴリズムの標準案を発表しました。2023 年 8月 24 日から 90 日間のパブリックコメント期間が設けられています。

デジサートは NIST および IETF（Internet Engineering Task Force）と協力して耐量子コンピューター暗号（PQC）の標準化に取り組んできました。コメント期間中、標準案を積極的にテスト、レビューし、これらの新しいアルゴリズムを TLS/SSL、S/MIME、SSH などの重要なプロトコルに組み込む予定です。

今回の発表は、これらの耐量子アルゴリズムが最終決定されたら、各地の企業が自社の暗号化システムおよびソフトウェアの更新に向けて直ちに準備を進め、量子コンピューターの登場に余裕を持って備える必要があるという合図です。こうした更新の実装が遅れた場合、企業は、攻撃者の「harvest now – decrypt later」（今から収集し、後で復号する）戦略で予測される脅威急増のリスクにさらされる可能性があります。攻撃者は今、システムを危殆化して、暗号化済みのデータを収集し、将来、量子コンピューターで復号しようと企んでいます。

本日の記事では、耐量子暗号の背景と、組織が耐量子暗号に備えて準備を整え、現在の資産を将来の脅威から保護する方法の指針を示します。

公開鍵基盤は変更が必要

公開鍵基盤は、ウェブ接続、E メール、ドキュメントとコードの電子署名まで、あらゆるものを保護しており、デジタルトラストに不可欠です。その保護のため、公開鍵基盤は非対称暗号に依存しています。今日採用されているアルゴリズム（RSA、ECC）は、非常に大きな数の因数分解など、数学的に難易度の高い問題に基づいています。それらは従来のコンピューターにとっては計算が困難です。従来のコンピューターがこれらのアルゴリズムを破るのには何年もかかるでしょうが、量子コンピューターはこのような難しい数学の問題を数分で解くことができます。量子コンピューターは、量子重ね合わせや量子もつれなど、直感的でない性質を備えており、さまざまな同時状態を処理可能だからです。

NIST による PQC アルゴリズムの選定、評価、標準化の作業は、従来のコンピューターと量子コンピューターの両方にとって難易度の高い、非常に難しい数学の問題（例：格子暗号）に基づいています。これらのアルゴリズムは、量子コンピューター自体を必要としているわけではありません。アルゴリズムは量子コンピューターによる攻撃から保護するものであり、量子コンピューターが実用化されたら、信頼維持のために不可欠のものとなります。

NIST が選定した PQC アルゴリズムとは

2022 年 7 月 5 日、NIST は次の耐量子アルゴリズムを標準化対象として選定したことを発表しました。

1. 公開鍵暗号化と鍵確立のため、CRYSTALS-KYBER を標準化します。
2. 電子署名のため、CRYSTALS-DILITHIUM、FALCON、SPHINCS+ を標準化します。

1. CRYSTALS-DILITHIUM は、将来の電子証明書や署名付き文書に適した、汎用の電子署名アルゴリズムです。
2. SPHINCS+ は、セキュリティプロパティがハッシュ関数に基づいているという利点があります。アルゴリズムの長期的セキュリティについて信頼性を高めますが、それと引き換えにパフォーマンスが抑えられます。
3. FALCON は特定の利用されるケースでパフォーマンスの利点がありえるため選定されました。FALCON 以外の 3 つについては本日標準が発表されましたが、FALCON の標準は、今後数か月は発表とならない予定です。

耐量子署名は、従来の電子署名と同じように機能し、秘密鍵の所有者は特定のメッセージに署名したことを証明できます。これらの署名は従来の RSA と ECCの 電子署名の代替となる予定です。

サイバーセキュリティ企業が今取り組んでいること

これらの新しいアルゴリズムをプロトコルに組み込む作業は IETF で並行して実施されています。IETF では、デジサートが共同議長を務める Post-quantum in Protocols（PQUIP）作業グループが、前述のようにこれらの新しいアルゴリズムを TLS/SSL、S/MIME、SSH などの重要なプロトコルに組み込む作業を調整しています。また、これらのアルゴリズムの技術的詳細とアルゴリズムをプロトコルに組み込む方法を説明する、PQC For Engineers のドラフトをもあります。

これらのアルゴリズムが最終決定されたら、サイバーセキュリティ企業は、アルゴリズムをアプリケーション、コード、製品、サービス、プラットフォーム、エコシステムに組み込む作業を開始できます。

企業が今行うべきこと

新しいアルゴリズムへの大規模な移行を容易にするために、企業は次の 2 つのステップを今後 90 日以内に実行し、暗号化システムとソフトウェアの更新準備を整える必要があります。まず、すべての暗号化資産のインベントリを作成します。次に、PKI の管理と自動化を一元的に実行することで暗号化の俊敏性を獲得します。

1. 組織のすべての暗号化資産のインベントリを作成し、優先順位を付ける

サイバーセキュリティチームはまず、暗号と電子証明書のインベントリの一覧を作成し、重要なシステムとデータに優先順位を付け、電子証明書更新タスクを効率化し人為的ミスを排除する自動化ツールを導入します。組織の暗号化資産のインベントリを作成しながら、資産の重要性、機密性と、保護しようとするデータの平均寿命に基づき、資産に優先順位を付ける必要があります。例えば、患者の病歴の取り扱いを担う病院チェーンには、全体的に高度なセキュリティが必要です。さらに、医療記録は今後数十年にわたって、量子コンピューティングの主流の登場が予想される時期のさらに先まで使用される可能性があります。

アルゴリズムを更新するタイミングは、利用されるケースにも左右されます。TLS/SSL 認証は、量子コンピューターが利用可能になるまで脅かされることはありません。しかし、今日利用されている電子署名と今日鍵交換により保護されているデータは、将来脆弱となり、コンピューターの攻撃を受けやすくなる可能性があります。さらに、IoT デバイスは数十年にわたって使用される可能性があるため、PQC 暗号アルゴリズムにより、他の形式の暗号よりもかなり長く保護する必要があります。それらの利用されるケースに関わる重要データを保護するために、耐量子アルゴリズムへの更新を事前に完了しておく必要があります。

2. PKI の管理と自動化を一元的に実行することで、暗号化の俊敏性を獲得する

暗号の俊敏性とは、組織が暗号化資産を迅速に修正、更新する能力です。暗号の俊敏性を獲得すると、セキュリティと生産性に大きなメリットがもたらされます。今後、耐量子体制への移行が必要となるため、組織が公開鍵基盤の一元管理と自動化に投資することがさらに重要となります。

暗号化の俊敏性に投資しているデジサートのお客様は、DigiCert^® Trust Lifecycle Manager を導入しています。この製品は組織全体でデジタルトラストを検出、管理、自動化する包括的ソリューションを提供します。Trust Lifecycle Manager は、パブリックトラストとプライベートトラストで CA に依存しない証明書管理を統合することで、証明書管理の意味を再定義します。一元的な可視化と管理を実現し、ビジネスの中断を防いで、アイデンティティとアクセスを保護します。

量子コンピューターへの対応準備の詳細については、PQC ブログシリーズを引き続きお読みになるか、デジサートまでお問い合わせください。また、NIST Quantum-Readiness: Migration to Post-Quantum Cryptography ファクトシートもご覧ください。