GoogleのChromeチームは、将来の量子コンピュータの脅威からHTTPS接続を保護するための新しいイニシアチブを立ち上げました。この取り組みは、デジタル証明書の仕組みを再設計し、ウェブの速度低下なしに量子コンピュータを利用した攻撃に耐えられるようにすることに焦点を当てています。
この動きは、PKI、ログ、ツリー署名の略であるPLANTSと呼ばれるInternet Engineering Task Force(IETF)での新しいワーキンググループの形成に続いています。
このグループは量子耐性暗号に関連する技術的課題に対処しており、これはTLS接続中に交換されるデータサイズを増加させる傾向があります。より大きな証明書は、特に証明書の透明性ログに依存するシステムのパフォーマンスと帯域幅の課題を引き起こす可能性があります。
Chromeが従来の証明書を超えて進む理由
Chromeは既存のルートストアにより大きな耐量子X.509証明書を追加するのではなく、業界パートナーと協力してマークルツリー証明書(MTC)を開発しています。これらの証明書はPLANTSワーキンググループ内で標準化されています。
MTCは従来のデジタル署名チェーンを、マークルツリー構造から導き出されたコンパクトな証明で置き換えます。
認証局は各証明書に個別に署名する代わりに、数百万の証明書を表すことができる単一の「ツリーヘッド」に署名します。その後、ブラウザはそのツリーへのサイトの包含を確認する軽量な証明を受け取ります。
このアプローチはTLSハンドシェイク中に送信される認証データの量を削減するよう設計されています。また、証明書発行プロセスに透明性を直接埋め込み、別個の証明書透明性チェックの必要性を排除します。
量子耐性暗号についてもっと読む:量子コンピュータはあなたの暗号キーを狙っていますが、まだです
3段階のロールアウト進行中
Chromeはすでにライブインターネットトラフィック上でMTCのテストを開始し、3段階の展開計画を概説しています:
-
現在進行中のフェーズ1には、Cloudflareとの実現可能性研究が含まれ、すべてのMTCサポートの接続はフェイルセーフとしての従来のX.509証明書とペアになっています。
-
2027年第1四半期に予定されているフェーズ2は、選定された証明書透明性ログオペレーターを招待して、公的なMTC展開のブートストラップを支援します。
-
2027年第3四半期に計画されているフェーズ3は、MTCのみに専念する新しい信頼フレームワークであるChromeの量子耐性ルートストアを導入します。
新しいルートプログラムはChromeの既存のルートストアと並行して動作し、移行期間中の継続性と安定性を確保します。
技術的なフレームワークの枠を超えて、Chromeは移行を使用して証明書ガバナンスを現代化していると述べています。提案されたアップデートには、ACME専用ワークフロー、合理化された失効システム、継続的で外部的に検証可能な監視のために設計された強化された監視モデルが含まれます。
チームはまた、現在のChromeルートストア内の既存の認証局をサポートし続けながら、量子耐性HTTPSのインフラストラクチャを構築することを確認しました。量子安全アルゴリズムを使用する従来のX.509証明書は、今年後半にプライベートPKIでまだサポートされる可能性があります。
「MTCに関する作業を実行・改善する際に、量子耐性ルートストアの具体的なポリシーフレームワークをコミュニティと共有することを楽しみにしており、組織がChrome信頼のMTC CAとして動作するための明確なパスウェイを学習・定義することに興奮しています。」とChromeチームは結論づけました。
翻訳元: https://www.infosecurity-magazine.com/news/chrome-quantum-safe-https/
