ハクソク

世界を動かす技術を、日本語で。

Cloudflare、2029年に完全なポスト量子セキュリティを目指す

33日前原文(blog.cloudflare.com)

概要

Cloudflareは 完全なポスト量子(PQ)セキュリティ の実現を2029年に前倒し。 GoogleやOratomicの 量子コンピュータ関連の急速な進展 が背景。 暗号化だけでなく 認証のPQ対応 が最重要課題に浮上。 長期運用鍵や依存先サプライチェーンも 優先的なアップグレード対象ダウングレード攻撃防止 やサードパーティ対策も必須。

Cloudflareのポスト量子ロードマップ加速

  • Cloudflareは 2029年までに全サービスのPQセキュリティ (認証含む)を目指す方針転換。
  • 2014年から 無料SSL証明書 提供、2019年にPQ移行準備開始、2022年には 全Web/APIでPQ暗号化 を実装。
  • 65%以上のトラフィックが既にPQ暗号化、しかし認証のPQ化が未完了。
  • Googleの発表 :楕円曲線暗号を破る量子アルゴリズムの大幅な進歩を示唆(詳細非公開)。
  • Oratomicの研究 :RSA-2048やP-256の破壊に必要な量子ビット数が予想以上に少ないことを示す。
  • IBM Quantum Safe のCTOも2029年の「Q-Day」到来を否定できないと発言。

Q-Dayと量子コンピュータ進展の現状

  • Q-Day :量子コンピュータが現行暗号を破る日。CRQC(暗号的に有用な量子コンピュータ)は未登場だが、進展は加速。
  • 進捗は 量子ハードウェア・エラー訂正・量子ソフトウェア の3軸で相互強化。
    • ハードウェア :中性原子、超伝導、イオントラップ、フォトニクス等多様な方式で世界中の研究が進展。
    • エラー訂正 :中性原子では 3~4物理量子ビットで1論理量子ビット と効率的。
    • ソフトウェア :Googleが P-256破壊アルゴリズムを大幅高速化
  • 2025年時点で 中性原子方式が予想以上にスケーラブル に進化、Q-Dayは 2030年前後に前倒し の可能性。

ポスト量子認証へのシフト

  • これまでのPQ対応は主に 暗号化(HNDL攻撃対策) が中心。
    • HNDL攻撃:今データを収集し、将来量子コンピュータで復号する手法。
  • 認証破壊 はもっと深刻:量子コンピュータでサーバーなりすましやアクセス権偽造が可能に。
    • 長期運用鍵やコード署名証明書等 の優先的PQ化が不可欠。
    • 一つでも 量子脆弱な鍵 が残れば、攻撃者にとって格好の標的。
  • ダウングレード攻撃 防止のため、旧暗号のサポート停止が必須。
    • Webのような大規模連携システムでは全クライアントのPQ対応が現実的ではないため、 PQ HSTSや証明書透明性 で部分的に対策。

企業・組織が取るべきアクション

  • 調達要件にPQ対応を追加、自社・サプライチェーンのPQ移行計画を早期策定。
  • 長期鍵の優先的なPQ化、過去のパスワードやトークンのローテーション。
  • サードパーティ依存の影響評価、金融・インフラ等の重要ベンダーも対象。
  • 自動証明書発行やソフトウェア更新の自動化 など、ベストプラクティスの徹底。

Cloudflareの今後のマイルストーン

  • 既に大半の製品で PQ暗号化を実現、今後は 認証のPQ化 を段階的に推進。
  • 2029年までの完全PQセキュリティ化 を目標に、リスク評価や展開課題に応じてマイルストーンを調整予定。

Hackerたちの意見

これはまだ理論の段階なの?それとも、何かを破った量子システムはもう存在してるの?

理論だね。それに、私の知る限りではPQアルゴリズムが実際に安全かどうかの疑問もまだ残ってるよ。

まだ何も破られてはいないけど、今データを集めておけば、時が来たら解読される可能性があるから、そういう推進があるんだよね。

これは理論の話。心配なのは、誰かがQCを突破したという唯一の明確な兆候が、研究者たちがNSAの秘密プロジェクトに巻き込まれて音信不通になることだと思う。QCへの明確な道筋ができるまで待ってたら、手遅れになるかもしれない。情報機関がQCに秘密裏にアクセスできる状況を避けるために、そういうことに反対する研究者たちは、可能性のある研究の道筋を見たらすぐに火事だと叫ぶインセンティブがあるんだ。

暗号技術のエンジニアたちの間で、ここ2ヶ月で雰囲気がガラッと変わった感じがする。そういう雰囲気の変化を支持する論文もあるけど、裏では噂話も飛び交ってる。業界全体が、これが急を要する問題だってことに完全に一致したって感じだね。簡単に言うと、現実世界でのCRQCのタイムラインがみんな短くなった。全員が同じタイムラインを持ってるわけじゃないけど、どのタイムラインも今は短くなってて、特に重要な立場の実務者たちは「差し迫っている」って感じになってる。

まだ理論の段階だけど、現実世界での攻撃が可能な量子システムが、一般的に考えられていたよりも実現に近づいているという合意が出てきているみたい。フィリッポ・ヴァルソルダ(Golangの暗号パッケージのメンテナーなど)が、昨日相対的に素人向けにまとめた記事を公開したんだけど、結局「2029年を目指すべき」っていう結論だったよ。0: https://words.filippo.io/crqc-timeline/

量子コンピューティング、そして「量子」という一般的な用語は、AIの次の投機的投資バブルになる準備をしてるから、こういう記事がたくさん出てくると思っておいて。

少なくとも期限があるからね。2029年までにこの仕事を終わらせたいな!

いや、世界中の政府が「安価な」(国家基準で)量子コンピュータを期待して、今日のトラフィックを吸い上げてるんだ。今日送られた秘密の中には「エバーグリーン」(つまり、10年以上先でも relevancy があるもの)なものもあって、その他にもたくさんの無駄な情報がある。技術を隠して、仲間たちが脆弱な暗号で通信し続けるようにするインセンティブがめちゃくちゃ大きいんだよね。

量子クエリはqi.rt.htでできるよ!どれがPQセキュアだと思う?

それは素晴らしいAPIだね。

CloudflareがデフォルトでPQを推進するのは、採用にとって最も影響力のあることだと思う。ほとんどの開発者は自発的にTLS設定を移行することはないからね。CDNレイヤーでデフォルトにすることで、何百万ものサイトが誰の決定もなくアップグレードされるんだ。

CloudflareはずっとPQに関する取り組みをしていて(時にはGoogleと一緒に)、お客さん向けにPQ暗号を導入したんだ。これが始まったのは7年前で、詳しくはここで読めるよ: https://blog.cloudflare.com/towards-post-quantum-cryptograph... それから4年前には全てのお客さん向けにPQ暗号を導入した: https://blog.cloudflare.com/post-quantum-for-all/ ここでの大きな変更点は、PQ認証も導入するってこと。重要な決定の一つは、これを「追加料金なしで」全てのプランに含めることにしたこと。インターネットにとって一番必要ないのは、血を吸う寄生虫がこれに追加料金を取ることだよね。

PQの導入をHTTPSの導入と歴史的に比較するのは面白いと思う(「SSLが2015年に広まった」とか、SSL 3.0の廃止とか)。Cloudflareはエンドユーザーやブラウザのアップグレードサイクルをバックエンドのアップグレードサイクルから切り離せるから、こういうことをするのが簡単なんだよね。いくつかのブラウザやエンドユーザーのデバイスはすぐにアップグレードされるから、どのサイトでもオプションでPQにしやすくして、その導入が進むにつれて、特定のサイトは必須にできるし、ブラウザやデバイスのUXはユーザーにソフトな警告を出したり(またはダウングレードみたいな他のアクティビティをしたり)、そのうちSTS Strictみたいなものが公開されて、ほとんどデフォルトになるかもしれない(そして、多くのサイトから非PQアルゴリズムを完全に削除することも)。最近まで私は「急いでアップグレードするリスクが実際の量子ブレイクのリスクを上回るかもしれない」と思ってたけど、最新の情報を基にすると、早めにアップグレードする方がバランスが取れてるみたい。ウェブサイトの更新は他のシステム(ビットコインが最悪かも;データの静止ストレージシステム;ハードウェア)を扱うよりずっと簡単になると思うよ。

ウェブサイトの更新は、他のシステム(ビットコインが最悪だと思う;データの静止ストレージシステム;ハードウェア)を扱うよりもずっと簡単になるよ。IPv6もそこに重要な位置を占めるべきだね。

今待ってると、締切が近づくにつれてさらに急がなきゃいけなくなるよ!ポスト量子暗号のオリジンサポートに関する統計を追加したんだ。もちろんブラウザほどのサポートはないけど、思ったよりは良かった。まだまだ長い道のり(と認証があるけどね)。 https://radar.cloudflare.com/post-quantum

もし本格的な量子コンピュータに関する証拠が出てきたら、ブラウザはほとんどのウェブサイトに対して非PQ暗号を不正とマークすることで、強制的に対応させることができるよ。TLS 1.4/QUIC 2が必要になるかもしれないけど、暗号の仕様だけの変更で済むかも。2、3年で実現するかもしれない。証明書自体は1年も持たないしね。古いソフトウェアを使っている企業は、PQ TLSをサポートしていないから、TLS 1.0やプレーンHTTP接続のセキュリティ警告を無視する設定のままだと思う。一番心配なのは、インターネットに接続しているデバイスがファームウェアのアップデートを受け取らなくなることだね。ウェブホストがプロトコルを切り替えたら、古いクライアントは一気に死んでいくよ。

CloudflareがPQをデフォルトにするのが、実際の普及を得る唯一の方法だよ。ほとんどの開発者は、絶対に必要じゃない限りTLS設定をいじらないからね。CDNレベルで自動的に行われるのが、サイトのオーナーが何もする必要なく、数百万のサイトにとって完璧なサイレントアップグレードなんだ。

https://news.ycombinator.com/item?id=47677483

news.ycombinator.com:443はX25519を使用していて、これはポスト量子セキュアではない。これはCloudflareの「ホストがポスト量子TLSキー交換をサポートしているか確認する」テストの結果だよ。移行計画がすでにあることを願ってる。幸い、最近の多くのツールはPQへの切り替えを簡単にしてくれるから、HNがどのスタックを使っているのか、切り替えが可能かどうか知ってる人がいるかも。

PQアルゴリズムが他のアルゴリズムほど徹底的に検証されていないことを除けば、アルゴリズムを切り替えることに何かデメリットはあるのかな?たとえ誰かが量子コンピュータがダメだって証明したとしても、これを使わない理由はある?

ポスト量子アルゴリズムは、既存の楕円曲線アルゴリズムよりも遅く、非量子コンピュータでの攻撃に対して同等のセキュリティを提供するために、より多くのデータを交換する必要がある傾向がある。

同様のことだけど、Mozillaは最近、実際にデプロイされたソフトウェアバージョンに入ってきたX25519MLKEM768ポスト量子キー交換を有効にするために、推奨されるサーバー側TLS設定を更新したよ:https://wiki.mozilla.org/Security/Server_Side_TLS 同時に、古いTLSライブラリが必要なアルゴリズムを実装していない(またはデフォルトで有効にしていない)ため、「古いクライアント」互換プロファイルを削除したし、IE 11がWindows 7で必要とするフォールバックを削除するために「中間」互換プロファイルも少し調整した。今はWindows 10がそのプロファイルの最小互換バージョンになってる。

CDN部分は簡単な方だね。私の仕事では、内部サービスメッシュやサービス間のmTLS、CDNで終わらないインフラが一番難しい問題になってる。証明書の有効期限が長くなりがちで、古いTLSスタックを使ってるし、誰もそれをアップグレードしてくれないからね。