Cloud KMS における耐量子デジタル署名の発表

※この投稿は米国時間 2025 年 2 月 21 日に、Google Cloud blog に投稿されたものの抄訳です。

実験的な量子コンピューティングの継続的な進展により、世界中で広く使用されている公開鍵暗号システムのセキュリティに関して懸念が生じています。特に重要なのは、十分に大規模で、暗号解読に適した量子コンピュータが、これらのアルゴリズムを突破する可能性があるという点です。この可能性は、デベロッパーが今すぐに耐量子暗号を構築し、実装する必要があることを示しています。

幸いにも、ポスト量子暗号（PQC）は既存のハードウェアとソフトウェアを活用しながら、こうしたリスクを緩和する方法を提供します。米国国立標準技術研究所の新しい PQC 標準が、コミュニティとの数年にわたる連携を経て 2024 年 8 月に公開され、世界中のテクノロジー ベンダーが PQC への移行に向けた取り組みを開始できるようになりました。

このたび、Google Cloud Key Management Service（Cloud KMS）において、ソフトウェア ベースの鍵に対応した耐量子デジタル署名（FIPS 204/FIPS 205）をプレビュー版として提供開始したことを発表します。また、Cloud KMS やハードウェア セキュリティ モジュール（Cloud HSM）を含む、Google Cloud の暗号化プロダクトに関するポスト量子戦略の概要についても共有します。

Google は、ポスト量子コンピューティングのリスクを真剣に受け止めています。Google では 2016 年に Chrome で PQC のテストを開始し、2022 年からは社内通信の保護に PQC を使用しています。さらに、Google Chrome、Google のデータセンターのサーバーにおいて、また Chrome デスクトップと Google サービス（Gmail や Cloud コンソールなど）間の接続の実験においても、追加の量子コンピューティング保護対策を講じています。

耐量子の Cloud KMS

Google Cloud KMS の耐量子化に、積極的に取り組んでいます。耐量子のための包括的なアプローチは以下のとおりです。

• 標準化された耐量子のアルゴリズムに対するソフトウェアとハードウェアのサポートを提供

• PQC の採用に向けた、既存の鍵、プロトコル、お客様のワークロードの移行パスをサポート

• Google の基盤となるコア インフラストラクチャの耐量子化

• PQC アルゴリズムと実装のセキュリティとパフォーマンスの分析

• 標準団体や行政機関における PQC 推進活動に技術的なコメントを提供

Cloud KMS PQC ロードマップには、ソフトウェア（Cloud KMS）とハードウェア（Cloud HSM）の両方における、NIST ポスト量子暗号標準（FIPS 203、FIPS 204、FIPS 205、および将来の標準）への対応が含まれています。これにより、お客様は耐量子の鍵インポートや鍵交換、暗号化および復号処理、そしてデジタル署名の作成を行うことができます。

Cloud KMS のお客様向けの、これらの標準に基づく基盤ソフトウェア実装は、オープンソースのソフトウェアとして提供される予定です。またこれらは、Google が作成したオープンソースの暗号ライブラリ、BoringCrypto と Tink の一部として維持されます。これにより、アルゴリズム実装について、お客様や広範なセキュリティ コミュニティに対して完全な透明性とコード監査可能性を提供します。

ハードウェアおよびサードパーティ ベンダーからの視点として、HSM ベンダーや Google Cloud の External Key Manager（EKM）パートナーと密接に協力して、耐量子暗号化の戦略を策定し、顧客にとって効果的な導入を実現できるよう取り組んでいます。

Cloud KMS での耐量子デジタル署名は現在プレビュー版で利用可能

Cloud KMS は現在、耐量子のデジタル署名を提供しており、お客様は既存の API を使用してデータに暗号署名し、Cloud KMS に格納された鍵ペアを使用して、NIST 標準の署名を検証できます。これにより、広範な採用に向けて、これらの署名スキームを既存のワークフローに統合し、テストを行うための重要な作業が進展します。

また、これにより、新たに生成されたデジタル署名が、将来的に暗号解読に適した量子コンピュータにアクセスできる攻撃者からの攻撃に対して耐性を持てるよう支援します。「今収集して後で解読」（HNDL）という脅威モデルが、鍵交換プロトコルの将来性確保の必要性を高めているように、現在の耐量子 Digital Signature Algorithm（DSA）への移行は、将来的な偽造や改ざんからの保護に不可欠です。また、暗号解読に適した量子コンピュータが存在する世界において、安全なソフトウェア アップデートを実現するための重要な要素となります。

このような未来は数年先のことかもしれませんが、長期間使用されるルート オブ トラストのデプロイや、重要なインフラストラクチャを管理するデバイスのファームウェア署名を行う場合、今すぐにこの脅威ベクトルに対する対策を検討すべきです。これらの署名を早期に保護できればできるほど、デジタル世界の信頼の基盤はより強固なものとなります。

今回のリリースでは、ML-DSA-65（FIPS 204 で規定されている格子ベースのデジタル署名）および SLH-DSA-SHA2-128S（FIPS 205、ステートレス ハッシュベースのデジタル署名）の両方をサポートしています。これらはいずれも、NIST の PQC 標準に最近追加されました。

PQC の分野は依然として開発が進められており、変化の最中にあります。従来のデジタル署名とポスト量子デジタル署名のハイブリッド化もその一部です。暗号コミュニティでは、デジタル署名のハイブリッド化に関してまだ合意に達しておらず、標準が確立されていないため、現時点ではハイブリッド化スキームの API サポートを提供しないことを決定しました。しかし、この業界でハイブリッド化標準に関する合意が進む中で、今後数か月内にこの方針が変更される可能性もあります。

今後について

Google は、NIST の将来のアルゴリズム標準を含め、ポスト量子暗号の進展を常に追い続け、最新の技術を取り入れていきます。量子暗号解読の状況が時間とともに進化する中で、特に将来の暗号解読によって Google Cloud のお客様やそのデータのセキュリティに重要な影響をおよぼす攻撃が示された場合に備えて、必要な変更に適応できるよう準備を整えています。

これまでどおり、暗号に関する具体的なニーズについて、お客様のフィードバックやご協力を歓迎します。

-プロダクト セキュリティ エンジニアリング、シニアスタッフ セキュリティ エンジニア Jennifer Fernick
-Cloud KMS、エンジニアリング マネージャー Andrew Foster