Cloud KMS における耐量子鍵カプセル化メカニズムの発表

※この投稿は米国時間 2025 年 10 月 8 日に、Google Cloud blog に投稿されたものの抄訳です。

量子コンピューティングは、テクノロジーの新たなフロンティアであり、新たなセキュリティ上の課題ももたらします。十分な性能を備えた量子コンピュータは、現在使用されている公開鍵暗号システムを解読できるため、個人や組織にとって重大なリスクとなります。

その脅威が何年も先のことだとしても、適切な防御を構築するには同じくらいの時間がかかる可能性があります。Google Cloud Key Management Service（Cloud KMS）における耐量子デジタル署名の最近の発表に続き、このたび、耐量子機能を拡張しました。Cloud KMS でポスト量子鍵カプセル化メカニズム（KEM）のサポートがプレビュー版で提供されることをお知らせします。これにより、お客様はポスト量子環境への移行を始められます。

この新機能は、Harvest Now, Decrypt Later 攻撃からアプリケーションを保護するための重要な構成要素となります。暗号解読に適した量子コンピュータ（CRQC）が利用可能になったら、数年後に復号することを目的として、敵対者が暗号化されたデータを現在キャプチャして保存する可能性があります。そのため、量子コンピュータの脅威が遠いものに思えても、長期的な機密性を必要とするセンシティブ データを保護することが重要になります。

課題: ポスト量子環境への移行

データの大部分は対称暗号化を使用して保護されますが、非対称暗号化は、それらの対称鍵を安全に交換するための鍵となります。ポスト量子暗号によって根本的に変わるのは、この鍵交換プロセスです。

従来の非対称暗号化からポスト量子 KEM への移行は、単純なアルゴリズムの交換ではありません。アーキテクチャの考え方を転換する必要があります。開発者は、新しい暗号化パラダイムへの適応と、新しいパフォーマンス特性の管理という 2 つの主な課題に直面することになります。

最も大きなハードルは、KEM が従来の非対称暗号化の直接的な代替ではないことです。RSA などの従来のアルゴリズムでは、デベロッパーはすでに持っているデータ（たとえば、生成した対称セッションキー）を暗号化することがよくあります。

KEM ではこのモデルが完全に反転します。送信者は共有シークレットを選択しません。代わりに、シークレットは KEM のカプセル化プロセスの出力として生成される、新しいランダムな値です。

このアーキテクチャの変更により、Encrypt() 関数呼び出しを単純に置き換えることはできません。この複雑さを安全に処理するには、開発者は RFC 9180 で定義されているハイブリッド公開鍵暗号化（HPKE）などの高水準の標準を採用する必要があります。HPKE は、さまざまな KEM で使用できる拡張可能な標準であり、Tink などのライブラリで利用できるため、ポスト量子アルゴリズムの統合が簡素化されます。

次に、デベロッパーが新しいパフォーマンス特性を管理する必要があることが課題として挙げられます。ポスト量子オペレーションの計算速度は、従来のオペレーションとほぼ同等であることが多いですが、公開鍵と暗号文のサイズは大幅に大きくなります。

これはわずかな増加ではありません。多くの場合、その差は桁違いです。たとえば、標準の ML-KEM-768 鍵は P-256 鍵の約 18 倍の大きさです。

このサイズの増加は、アプリケーションのパフォーマンスに直接影響し、帯域幅、ストレージ、メモリ使用量にも影響を与えます。移行を成功させるには、特に IoT デバイスのようなリソースが制約された環境では、アーキテクトがこれらの大きなペイロードを考慮する必要があります。

最後の課題は、これらのアルゴリズムの新規性です。新しい基準は厳密な精査を受けていますが、古典的なアルゴリズムが何十年にもわたって現実世界で分析されてきたような実績はまだありません。

そのため、ほとんどの汎用アプリケーションでは、ハイブリッド アプローチを使用することを強くおすすめします。ハイブリッド デプロイメントでは、従来型アルゴリズムとポスト量子アルゴリズムを組み合わせることで、新しい PQC アルゴリズムのリスクに備えます。これにより、新しいポスト量子アルゴリズムやその実装に予期しない欠陥があった場合でも、新たな脆弱性が導入されることはありません。ポスト量子環境への安全かつ段階的な移行を支援します。

Cloud KMS で KEM を使ってみる

耐量子化への柔軟で安全な移行パスを提供するため、Cloud KMS では現在、複数の KEM アルゴリズムが提供されています。

• ML-KEM-768 と ML-KEM-1024: これらは、NIST が FIPS 203 として公開した、モジュール格子ベースの鍵カプセル化メカニズム標準の実装です。CNSA 2.0 などの基準に準拠する必要があるお客様の場合、ML-KEM-1024 はより高いセキュリティ レベルを提供しますが、鍵（1,184 バイトに対して 1,568 バイト）と暗号文（1,088 バイトに対して 1,568 バイト）が大きくなるため、パフォーマンスに影響する可能性があります。

• X-Wing: ほとんどの汎用アプリケーションでは、ハイブリッド アプローチを使用することを強くおすすめします。従来の X25519 アルゴリズムとポスト量子 ML-KEM-768 アルゴリズムを組み合わせた X-Wing KEM は、従来の敵と潜在的な量子コンピュータの敵の両方に対する多層防御を提供します。

これらの新しい耐量子 KEM をワークフローに統合するプロセスは、Cloud KMS API を使用して簡単に行えるように設計されています。詳細な手順とコードサンプルは、Cloud KMS の公式ドキュメントに記載されています。基盤となる実装は、Google のオープンソース暗号ライブラリである BoringCrypto と Tink の一部として提供され、完全な透明性が確保されます。

ポスト量子時代の展望

ポスト量子暗号への移行は短距離走ではなく、むしろマラソンのようです。Cloud KMS のポスト量子 KEM のプレビューは、耐量子化した未来に向けてアプリケーションの準備を始められるようにする重要な構成要素です。

この移行を容易にするため、Google のオープンソース ライブラリ Tink は、Java、C++、Golang、Python などの言語でこれらの KEM を統合する、よりユーザー フレンドリーな方法を提供するハイブリッド公開鍵暗号化（HPKE）をサポートします。これらの言語の一部については、年内に対応する予定です。

それまでの間、暗号化に関する深い専門知識を持つ開発者は、Cloud KMS で KEM を直接使用できます。「今すぐ収集、後で復号」攻撃に対する保護を強化するため、Google Cloud はインフラストラクチャをアップグレードして、接続にポスト量子暗号を使用する予定です。この機能は 2026 年に完全に利用可能になる見込みです。

この分野での取り組みは継続中です。Google は、NIST の将来の標準を含め、ポスト量子暗号の進展に遅れずについていくことを目指しており、量子暗号解読の状況の変化に柔軟に対応する予定です。業界ではハイブリッド デジタル署名の標準の開発が続けられていますが、Google はその進捗状況を積極的にモニタリングしており、コンセンサスが得られれば、そのようなスキームのサポートを提供する可能性があります。

Cloud KMS のこれらの新機能をぜひお試しいただき、アプリケーションの耐量子化のプロセスを開始してください。フィードバックをお待ちしております。暗号に関する具体的なニーズについてもぜひご相談ください。

-ソフトウェア エンジニア、Ioanna Tzialla 

-シニアスタッフ暗号化エンジニア、Sophie Schmieg