ハッカーは今暗号化されたデータを盗み、後で解読するため、今日から「ハイブリッド」セキュリティ計画を開始することで、2030年の量子コンピュータ期限は全く懸念事項ではなくなります。
昨年、インフラストラクチャ、アイデンティティ、アプリケーションのリーダーたちに、シンプルな質問をしました。「RSA楕円曲線暗号に依存している環境の場所はどこか?」
最初の答えは、通常の容疑者でした。エッジのTLS、VPN、ノートパソコンの証明書です。その後、依存関係マップを表示すると、雰囲気が変わりました。暗号化は、明らかな数カ所にあるだけではなく、APIゲートウェイ、サービスメッシュ、データベースドライバ、ファームウェア更新パイプライン、サードパーティのSaaSに組み込まれていました。その一部は設定可能でしたが、多くはそうではありませんでした。
このエクササイズが、量子化後の会話を「いつか興味深い」から「今すぐ開始する」に移行すべき理由です。大規模でフォールトトレランスのある量子コンピュータはまだ存在していませんが、敵対者は今日暗号化されたトラフィックとデータを収集し、後で復号化を試みることができます。顧客の個人情報、健康データ、独自のモデル、合併計画など、10年以上の間、秘密のままである必要がある情報がある場合、きれいな期限を待つことは最もリスクの高いオプションです。
良い知らせは、単一の新しいアルゴリズムに一晩で企業全体を賭ける必要がないということです。ハイブリッドアプローチにより、広くデプロイされ、相互運用可能な古典的なアルゴリズムを保ちながら、量子化後の保護を追加できます。コツは、2030年に到着するまでに移行が意図的で測定可能で退屈になるほど十分に早く開始することです。
2030年の期限は見た目より近い
セキュリティプログラムでは、2030年は永遠のように感じることができます。暗号化プログラムでは、それは非常に近いです。理由は、企業の変更の長いテール:在庫、調達、プラットフォームアップグレード、証明書ライフサイクル、組み込みデバイス、およびスタック内の最も遅いベンダーです。
標準財団はすでに着地しています。NISTは2024年8月に最初の3つの完成した量子化後暗号基準を発表しました。これには、ML-KEM用のFIPS 203と付随する署名基準が含まれます。それは、私が聞く質問を「何を待つべきか」から「すべてを壊さずにこれを運用化するにはどうすればよいか」に変えました。
そこから、3つの力がタイムラインを圧縮します:
- 「今収集、後で復号化」は理論的ではありません。 攻撃者が暗号化されたセッションキャプチャまたはアーカイブされたバックアップを盗む場合、機密性の喪失は、量子対応の復号化が実用的になった日に発生します。あなたのリスク地平線は、量子コンピュータの到着日ではなく、データの保存期間によって設定されます。
- 政府と重要インフラストラクチャのガイダンスが収束しています。 国家安全保障局のCNSA 2.0スイートは、2030年の地平線に向けてソフトウェアとファームウェア署名をプルする期限で、国家安全保障システムの量子耐性アルゴリズムの期待を設定します。政府向けに構築していない場合でも、これらのサプライチェーン要件は、商用製品に下流へ流れる傾向があります。
- 暗号化移行は決して単一のプロジェクトではありません。 公開TLSエンドポイントは迅速に最新化される場合があります。内部PKI、コード署名パイプライン、長寿命デバイスには数年かかる場合があります。多くの企業が覚えている最後の暗号化更新(SHA-1と古いTLSの廃止)は、チームがハードカットオフ日前に開始したため、管理可能でした。
これが、2030年前のハイブリッド戦略をお勧めする理由です。現在、長期的な機密性リスクを軽減し、相互運用性のバグが表面化する時間を作成し、顧客、規制当局、または自身のボードが「量子に対応しているか」と尋ねるときの最後の瞬間の混乱を回避します。
現実の世界でハイブリッド量子化後がどのように見えるか
「ハイブリッド」と言うとき、古典的なアルゴリズムと量子化後のアルゴリズムを一緒に使用して、接続が後でコンポーネントの1つが破られた場合でも安全なままであることを意味します。最も関連する企業の例は、TLSと内部mTLSのハイブリッドキー確立です。
IETFは、古典的なECDHEをML-KEMと組み合わせるアプローチを標準化しています。TLS 1.3セッションキーは両方のメカニズムに依存します。
ハイブリッド署名は証明書チェーン、コード署名システム、検証ロジックに触れるため、通常は後で来ます。ほとんどのロードマップでは、互換性のために古典的な証明書を保ちながら、プラットフォームが成熟するにつれて量子化後の署名アルゴリズムをサポートするようにPKIコンポーネント、HSM、署名サービスを準備することで開始します。
実際には、ハイブリッドはほぼ常に企業内で最初に開始されます。外部の顧客トラフィックは、最も相互運用性の制約と最高のブラスト半径を持っています。内部サービス間トラフィック、管理されたエンドポイント間のVPNトンネル、ソフトウェア署名は、より良い初期の候補です。これは、両端を制御でき、迅速にロールバックできるためです。
また、実際の制約を計画する必要があります:
- サイズとパフォーマンス: 量子化後のキー、暗号文、署名は、今日の楕円曲線の同等物より大きくなる可能性があり、証明書ストア、ロードバランサー、MTUサイジングの仮定を破る可能性があります。
- 暗号化アジリティ: ハイブリッドは、環境の半分を書き直さずにアルゴリズムを変更できる場合にのみ機能します。これは、暗号化の選択を構成にプッシュし、カスタム暗号化を廃止することを意味します。
- 運用上の可視性: ハンドシェイクの成功率、遅延の影響、エラーパターン、ダウングレード動作のテレメトリが必要です。これにより、ロールアウトは他の信頼性プログラムのように見えます。
ポイントは、明日「量子化後のみ」になることではありません。ポイントは、量子化後を暗号化制御プレーンの通常の部分にすることです。つまり、最終的な完全な移行は、危機ではなく、一連の定期的なアップグレードになります。
このクォーターで開始できる実践的なロードマップ
プラグマティックに開始する方法をお探しでしたら、大規模な米国企業で使用したロードマップをここに示します。
データ値に関連付けられた暗号化インベントリを構築する
暗号化が使用されている場所のインベントリから始めます。TLS終了、内部mTLS、VPN、SSH、S/MIME、コード署名、ディスクとデータベースの暗号化、バックアップ、アイデンティティトークン、キー管理システム、組み込みデバイスファームウェア。これらの用途をデータクラスと保持の地平線にマップします。10年以上の秘密を保護しているシステムは、「今収集、後で復号化」の優先事項です。
CISAの量子化後暗号化イニシアチブは、キャプチャすべきカテゴリと依存関係、および重要な関数について考える方法の有用なチェックリストです。
エンドツーエンドで制御する3つの初期移行サーフェスを選択する
ほとんどの企業では、最初の3つの領域をターゲットにしています:
- サービス間の内部mTLS
- VPNとリモートアクセス
- 内部ソフトウェア配布と更新パイプラインのコード署名
これにより、あらゆる顧客ブラウザ、パートナーシステム、または管理されていないデバイスとの互換性を交渉することなく、長期的な露出が減少します。
「ハイブリッド対応」ラボをセットアップしてインストルメント化する
本番環境に触れる前に、コアトラフィックパターンを反映するラボをセットアップします。エッジTLS、内部サービスメッシュ、APIゲートウェイ、アイデンティティプロバイダー。ハンドシェイクのサイズ、遅延、障害モードを測定します。きれいにロールバックでき、何が変わったかを説明できることを確認してください。
暗号化アジリティへのアップグレード
最新のTLSスタックを標準化し、パッチを当てたままにし、アルゴリズムの選択を管理された構成にします。証明書発行フローを統合します。チームを、アプリケーションコードにベイクされた静的暗号化の選択から遠ざけてください。集中化するほど、移行が速くなります。
明示的な成功メトリクスを持つ限定的なハイブリッドパイロットを実行する
1つの内部ドメインまたは1つの非クリティカルエンドポイントを選択して、ハイブリッドTLSをパイロットします。成功を測定可能な結果として定義します。エラー率の増加がない、許容可能な遅延デルタ、安定したCPU使用率、クリーンなテレメトリ。何かが壊れた場合、それを引き起こした依存関係を文書化し、それをインベントリに戻してください。
量子化後の要件を今すぐ調達に入れる
2030年を苦痛のないものにする最も速い方法は、2026年の契約を将来に対応させることです。暗号化アジリティ、採用されるにつれてNIST標準化された量子化後アルゴリズムのサポート、TLS、VPN、署名のハイブリッドサポートの文書化されたロードマップを要求する言語を追加します。
今始めれば、標準、プラットフォーム、運用ツールが収束する時間を買いました。ハイブリッド量子化後移行は、早期で静かな仕事に報酬を与えます。2030年前に開始する企業は、将来の復号化に対してより安全であるだけでなく、より機敏で測定可能な暗号化プログラムを持つことになり、統治、監査、次に来るもののための近代化が容易です。
この記事はFoundry Expert Contributor Networkの一部として公開されています。
参加したいですか?
