サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、量子耐性暗号への更新という不透明なプロセスを通じて、連邦政府機関を導くことを期待している。
1月23日、同庁は公開し、連邦政府が一般的に購入し、暗号化または認証のために暗号アルゴリズムを使用するさまざまなITソフトウェアおよびハードウェア製品のリストを示した。
このガイダンスは、Platform-as-a-ServiceやInfrastructure-as-a-Serviceといったクラウドサービス、コラボレーションソフトウェア、ブラウザやサーバーなどのウェブソフトウェア、そしてフルディスク暗号化や保存データ暗号化を提供するエンドポイントセキュリティツールを対象としている。
CISAは、これらの製品を、ハードウェアおよびソフトウェアの耐量子暗号標準が「広く利用可能」であり、「暗号学的に意味のある量子コンピュータ(CRQC)の出現後も含めて、機微情報を保護する」よう設計されている例として挙げた。
連邦政府機関と民間部門は、量子コンピュータがもたらす長期的な脅威に備えている。多くの暗号研究者は、量子コンピュータがいつか古典暗号の一部を破れるようになると考えている。
連邦政府は現在、機関が高価値システムおよびデバイスの大半を2035年までに耐量子暗号へ移行することを義務付ける大統領令の下で運用されている。昨年、トランプ政権は、その期限をさらに前倒しする可能性のある大統領令について、同盟国および量子産業の幹部と協議を行った。
国家安全保障当局者は、外国が将来、量子による解読コンピュータが開発された際にアクセスすることを期待して、現在の暗号化データを収集している可能性への懸念を挙げている。業界幹部も、中国の急成長する量子産業をめぐる根強い懸念が、米国企業やワシントンの政策立案者を不安にさせる別の要因だと指摘している。
しかし、耐量子暗号プロトコルへの移行は、社会全体にとって巨大な作業になると見込まれている。ハードウェアおよびソフトウェアベンダーだけでなく、インターネット上でデータを運ぶのを支える標準化団体、プロトコル、バックエンドプロセスの連なりからも、並行した協力と合意形成を得る必要がある。
その現実は、今日、耐量子暗号ソリューションの購入と実装を迫られている購入者にとって、調達の場を不均一なものにし得る。
より成熟した産業分野に加え、CISAは、ネットワーク機器およびソフトウェア、Software-as-a-Service、パスワードマネージャーや侵入検知システムといったセキュリティツールなど、さまざまな他の技術も、PQC機能の実装とテストをメーカーが「推奨」している製品カテゴリとして挙げた。
CISAが提示した一見「PQC安全」な技術のリストでさえ、但し書きが付く。多くは鍵カプセル化と鍵合意については耐量子標準が整っているが、デジタル署名や認証については整っていない。
新しい耐量子暗号を採用するには、インターネット上でデータを暗号化する中核的なバックエンド基盤の多くを再設計する必要もある。Secure Shell Protocol(SSH)やTransport Layer Securityといった主要なインターネット暗号プロトコルは、この分野で基礎的な作業を進めてきた。
しかし、Encryption ConsultingのSurabhi Dahalは9月に指摘し、「ほとんどのプロトコルは依然として初期段階にあり、提案の草案作成、プロトタイプの作成、そして量子安全な手法を既存システムにどう統合できるかを判断するためのテストが進行中だ」と述べた。
エネルギー省のパシフィック・ノースウェスト国立研究所による2024年の研究は、ある産業分野、すなわち電気自動車の充電インフラにおける耐量子移行に伴う技術的課題を検討した。同研究は、企業が「相互運用性の懸念、PQCアルゴリズムの計算およびメモリ要求、そしてそのような移行に対する組織的な準備状況」など、多数の内外の障害に直面していることを明らかにした。
耐量子暗号化サービスを提供する企業Arqitで暗号部門責任者兼フィールドCTOを務めるRoberta Fauxは、CISAのガイドは、組織が耐量子セキュリティの選択肢を検討する際に信頼できる形で導くために必要な詳細を「多く省いている」とCyberScoopに語った。
例えば彼女によれば、この文書は、暗号資産(クリプト)インベントリやタイムラインをどう整備するか、トレードオフを測るためにどの性能データを用いるべきか、CISAが「PQC対応」をどう測定または定義しているのか、あるいはハイブリッドモデルをどう構築するかといった点について、ほとんど、あるいは全く示唆がないという。
彼女は、この文書は「セキュリティ成果よりも調達コンプライアンスに最適化されているように感じられる」と述べた。
別の耐量子暗号化企業Pateroの最高執行責任者Peter Bentleyも同様の見解を示し、「最も難しいのは耐量子アルゴリズムを選ぶことではなく、暗号が実際にどこに存在しているかを把握することだ」と述べた。というのも、多くの組織は詳細なインベントリを持っていないからだ。
Bentleyは、「その可視性がなければ、そしておそらく暗号の発見とインベントリ作成のベストプラクティスを確立しなければ、『PQC対応』は、特にハイブリッド環境や複数ベンダーが混在する環境では、検証可能な能力ではなくマーケティング上のラベルになってしまう」と語った。
Fauxはまた、CISAのガイダンスは、今日の耐量子移行における「弱点」をも「認めている」と述べた。すなわち、「PQC対応」と表示されたベンダー提供物の多くは、暗号プロセスの一部にしか対処しておらず、デジタル署名や鍵確立といった一部の機能は、政策立案者が置き換えようとしている従来型の暗号のまま残っているという点だ。
暗号移行は、相互運用性、性能、運用上のトレードオフを詰めるのに時間がかかるため、数十年単位で測られると彼女は述べ、その結果として「半端な対策が続く長い期間」が生じるという。
同庁のガイダンスの脚注の一つは、米国国立標準技術研究所(NIST)が承認した耐量子アルゴリズムのうち2つ、ML-DSAまたはSLH-DSAが、現時点では実装に向けた本番対応のサポートを欠いていることを認めている。Fauxは「これは些細な但し書きではない」と指摘した。
「量子安全な認証を伴わない鍵合意は、保護が限定的です」と彼女は述べた。「セッション鍵が耐量子であっても、攻撃者は証明書を偽造したり、エンドポイントになりすましたり、中間者攻撃を行ったりできます。この文脈では、『部分的な耐性』は機能的には耐性がないのと同じです。」
翻訳元: https://cyberscoop.com/cisa-post-quantum-cryptography-procurement-guide-expert-criticism/
