現在の量子コンピュータにはまだ限界があるため、RSA 暗号は当面のところ安全だと考える暗号学者や数学者もいます。一方、RSA アルゴリズムの解読は遠からず可能になるとする考えもあり、そうなると量子コンピュータが秘める可能性はセキュリティ上の大きな懸念材料になります。

その懸念を、米国政府も真剣に受け止めています。米国商務省標準化技術研究所（NIST）は、耐量子コンピュータ暗号（PQC）アルゴリズムの標準化に向けた取り組みを主導してきました。2022 年 9 月には、NSA のサイバーセキュリティアドバイザリー（CSA）が商用国家安全保障アルゴリズムスイート 2.0（CNSA 2.0）を発表し、耐量子アルゴリズムを 2035 年までに全面採用することを義務づけています。

長年にわたる研究と協力の末に NIST は最終的に PQC アルゴリズムを標準化し、2024 年 8 月に FIPS 203、204、205 を発表しました。では、こうした動向が私たちにどんな影響をもたらすのでしょうか。そして、耐量子の未来を保証するために今後どんな対策が講じられるのでしょうか？

NIST の PQC 標準と、FIPS 140-3 に関する最新の更新状況

2024 年 8 月 13 日に NIST は、耐障害性を備えた大規模な量子コンピュータに対してもセキュリティを維持できるように設計された 3 つのアルゴリズムを発表しました。

• FIPS 203: ML-KEM（Module-Lattice-Based Key-Encapsulation Mechanism）

• FIPS 204: ML-DSA（Module-Lattice-Based Digital Signature Standard）

• FIPS 205: SLH-DSA（Stateless Hash-Based Digital Signature Standard）

NIST は、これらの PQC アルゴリズムなら攻撃に耐えうると考えています。それでも、9 月に開催された国際暗号モジュール会議（ICMC24）で、NIST はさらに耐量子性の高いアルゴリズムの研究を継続し、量子コンピュータに対応した暗号インベントリを作成すべく標準化を進めていくと発表しました。そうした研究が続いている間に、万全な暗号化の俊敏性の達成に向けて取り組むことが各組織には推奨されます。

それに並行して、NIST は公開された標準に関する一般からのフィードバックを募っています。10 月 24 日には、PQC 標準化プロセスに向けた電子署名追加選定の第 2 ラウンドの候補 14 件を発表しました。これは、既存の FIPS 204、FIPS 205、FIPS 186-5（電子署名標準）、および SP 800-208（ステートフルハッシュベース署名方式の推奨）に追加される予定です。

NIST が PQC 標準を発表したのと同じ日に、FIPS 140-3 の認証機関である CMVP（暗号モジュール評価プログラム）は、以下のような更新を公表しました。

• SP 800-140C。承認済みの電子署名方式として FIPS 204 と FIPS 205 を追加する更新。

• SP 800-140D。承認済みの鍵カプセル化方式として FIPS 203 を追加する更新。

• FIPS 140-3 IG。FIPS 検証済みモデルでこれらのアルゴリズムを採用したいベンダーに向けた PQC 実装の自己テスト要件の、10.3.A「暗号アルゴリズム自己テスト要件」。

テクノロジー業界の一部の PQC アルゴリズムは、ML-KEM、ML-DSA、SLH-DSA に関して、暗号アルゴリズム検証プログラム（CAVP）の認定を取得することに成功しています。デジサートは現在、TrustCore SDK の NanoCrypto モジュールに FIPS 203、FIPS 204、FIPS 205 の各 PQC アルゴリズムを実装しているところです。

パフォーマンスに関する懸念と業界での採用

PQC アルゴリズムは強固なセキュリティの基盤となりますが、鍵のサイズが大きくなるためパフォーマンス上の問題が生じます。特に、IoT や IoMT（医療分野のモノのインターネット）などの業界にとっては深刻です。デバイスのメモリや処理能力が制約されることも多いからです。一時的な鍵ペアを使用することから、鍵交換方法としては ML-KEM が注目を集めていますが、それでも鍵のサイズと処理時間に関する要件の両方が、電子署名採用のハードルとなっています。

ICMC24 で IETF（Internet Engineering Task Force）は、テクノロジー業界の指針となる PQC 関連の RFC の最終ドラフトを間もなく発表すると告知しました。ただし、PQC と従来のアルゴリズムを組み合わせるハイブリッドアプローチであれば、移行が容易になり、従来のアルゴリズムと同レベルの精査をまだ受けていない新しいアルゴリズムへの全面的な依存は回避しやすくなります。

こうしたハイブリッドアプローチは、「今収集し、後で解読」する攻撃への備えになります。「今収集し、後で解読」とは、安全なセッションで送信される暗号化通信を記録し、それを復号できるほど十分な性能をもつ量子コンピュータが広く普及するまで、そのデータを保持しておく手口です。従来の暗号化アルゴリズムから PQC に移行する際の下位互換性も維持されます。

プロトコルとオープンソースの進捗

複数のプロトコルで、PQC アルゴリズムの統合が始まっています。

TLS プロトコル

OpenSSL は、liboqs による PQC アルゴリズムのサポートをバージョン 3.2 で追加しました。ウォータールー大学、Cisco Systems、ハイファ大学は、TLSv1.3 の鍵交換方式での KYBER の使用方法を規定する RFC のドラフト作成に取り組んでいます（draft-ietf-tls-hybrid-design-10:「TLS 1.3 におけるハイブリッド鍵交換」）。

SSH プロトコル

OpenSSH は、鍵交換方式と公開鍵認証を目的として、liboqs による PQC アルゴリズムのサポートを追加しました （Git プロジェクト: https://github.com/open-quantum-safe/openssh）。ウォータールー大学と AWS は、SSH プロトコルにおける鍵交換方法として ML-KEM と楕円曲線を使用するハイブリッドアプローチを規定する RFC のドラフト作成に取り組んでいます（draft-kampanakis-curdle-ssh-pq-ke-04:「SSH における PQ/T ハイブリッド鍵交換」）。

IKEv2 プロトコル

strongSwan は v6.0 シリーズで liboqs による PQC アルゴリズムのサポートを追加しました（Git ブランチ: https://github.com/strongX509/docker/tree/master/pq-strongswan#readme）。IKEv2 プロトコルの耐量子戦略については、以下の 3 つの RFC で規定されています。

• RFC 8784: 耐量子セキュリティのためのインターネット鍵交換プロトコルバージョン 2（IKEv2）における事前共有鍵の統合

• RFC 9242: IKEv2 プロトコルにおける中間鍵交換

• RFC 9370: IKEv2 における複数の鍵交換

NSS における暗号化アルゴリズム利用への移行タイムライン

2022 年 9 月に更新版として発表された CNSA 2.0 では、2035 年、つまり CNSA 2.0 の要件が発効するまでに、RSA、Diffie-Hellman（DH）、および楕円曲線暗号（ECDH および ECDS）を段階的に廃止する計画が示されました。連邦各機関では、国家安全保障システム（NSS）に耐量子アルゴリズムしか使用できなくなり、連邦のセキュリティ機関の一部は 2030 年までに PQC 対応するよう推奨しています。

SLH-DSA（別名 SPHINCS+）は CNSA 2.0 で言及されていませんが、NSS での使用はいっさい承認されていません。FN-DSA（別名 Falcon）も NIST および NSA に承認されていません。両機関が指摘しているように、セキュリティへの影響がある実装エラーに対して脆弱な可能性が高いためです。NIST による Falcon の研究は、PQC 標準のインベントリ作成と並行して継続されます。

NSA は、以下のタイムラインに従って可能な限り早期に CNSA 2.0 アルゴリズムへの移行を開始するようベンダー各社に推奨しています。

• ソフトウェアおよびファームウェアの署名: ただちに移行を開始する。可能な場合は 2025 年までに CNSA 2.0 をサポートして優先し、2030 年までに完全移行する。

• ウェブブラウザ/サーバーおよびクラウドサービス: 2025 年までに CNSA 2.0 をサポートして優先し、2033 年までに完全移行する。

• 従来のネットワーク機器（仮想プライベートネットワークやルーターなど）: 2026 年までに CNSA 2.0 をサポートして優先し、2030 年までに完全移行する。

• オペレーティングシステム: 2027 年までに CNSA 2.0 をサポートして優先し、2033 年までに完全移行する。

PQC への移行に先立って、現在使用されている既存の暗号化アルゴリズムを強化するために、NIST は SP 800-131A の改訂 3 版（暗号化アルゴリズムの使用と鍵の長さの移行）も発表しました。この改訂版で示されている指針は次のとおりです。

• 2030 年までに、SHA-1、SHA-224、AES-ECB モードなどの脆弱な暗号化アルゴリズムを廃止し、その使用を禁止する。

• セキュリティ強度の要件を 112 ビットから 128 ビットに引き上げる。

• PQC 標準を承認リストに含める。

詳細は、耐量子アルゴリズムに対する NSS の要件に関する NSA の声明文をご覧ください。

今後の予定

NIST は PQC 標準を最終決定しましたが、NIAP/CCEVS（National Information Assurance Partnership/Common Criteria Evaluation and Validation Scheme）は、新しいアルゴリズムを追加するために保護プロファイルの更新ドラフトを引き続き作成中です。この更新は、COTS（商用オフザシェルフ）製品と GOTS（政府機関オフザシェルフ）製品における PQC 標準への準拠を確保するうえで不可欠です。

円滑な移行と CNSA 2.0 要件への準拠を確実に果たすために、組織はこうした変更について最新情報を把握しておく必要があります。デジサートは、NIAP プログラムから後続の最新情報を待ちつつ、移行期間中も引き続きお客様をサポートしていきます。

デジタルトラストに関する最新情報

暗号化の俊敏性や PQC などのトピックについて詳しくお知りになりたい場合、記事を見逃さないようにデジサートのブログを参照してください。