今すぐ未来を守れ: Google が社内通信を量子の脅威から保護している理由

※この投稿は米国時間 2022 年 11 月 19 日に、Google Cloud blog に投稿されたものの抄訳です。

編集者注: ISE Crypto PQC 作業グループは、Google シニア暗号エンジニアの Stefan Kölbl、Rafael Misoczki、および Sophie Schmieg で構成されます。

HTTPS で始まるウェブサイトや URL にアクセスする場合は、安全な公開鍵暗号プロトコルを利用して、サイトと共有する情報を不特定多数の盗聴者から保護することになります。公開鍵暗号は最も安全な通信プロトコルの土台になっています。Google が自社の資産とユーザーのデータを脅威から保護するという使命の一環として内部的に使用しているものもこの安全なプロトコルの一つです。Google 独自の内部転送データ暗号化プロトコルである Application Layer Transport Security（ALTS）は、公開鍵暗号アルゴリズムを使用して、通信が認証され、暗号化されることの保証を持って、Google の内部インフラストラクチャ コンポーネント同士の対話を保護しています。

広く導入され、厳密に検証された公開鍵暗号アルゴリズム（RSA や楕円曲線暗号など）は、効率的で、今日の攻撃者を寄せ付けません。ただし、Google Cloud CISO の Phil Venables が 7 月に投稿したように、近い将来、大型の量子コンピュータによってこれらのアルゴリズムが完全に破られると予期されています。暗号コミュニティは、すでに、これらのアルゴリズムに対する代替手段のいくつかを開発しています。これらの代替手段は、一般的にポスト量子暗号（PQC）と呼ばれており、量子コンピュータを利用した攻撃に対抗できると期待されています。Google Cloud は、本日、社内の ALTS プロトコル上でアルゴリズムの一つを有効にしたことをお知らせします。

• 攻撃者は、今日にでも暗号化されたデータを保存して、量子コンピュータにアクセスできるようになってからそのデータを復号する可能性があります（store-now-decrypt-later 攻撃とも呼ばれています）。

• 製品寿命期間内に量子コンピュータが登場すると、システムの更新が困難になる可能性があります。

1 つ目の脅威は、量子脆弱非対称鍵共有を使用する転送データ暗号化に当てはまります。2 つ目の脅威は、寿命の長いハードウェア デバイスに当てはまります。たとえば、デジタル署名に依存している特定のセキュアブート アプリケーションなどです。ALTS トラフィックの多くが公共のインターネットに公開されていることから、このブログ投稿では、転送データ暗号化に焦点を当てます。次回のブログ投稿では、セキュアブートに対する影響を取り上げます。

Google が社内で NTRU-HRSS を選択した理由

アメリカ国立標準技術研究所（NIST）による PQC 標準がまだ検討中のため、量子耐性暗号のロールアウトは、交換されたデータが一度しか使用されず、二度と必要とされないエフェメラル ベースでしか行うことができません。Google の内部転送データ暗号化プロトコルである ALTS はこのようなロールアウトに理想的な候補と言えます。これは、すべてのエンドポイントがこのプロトコルを使用して管理されており、NIST で別の標準が採用された場合でも比較的簡単に別のアルゴリズムに切り替えることができるためです。すべてのエンドポイントを管理することによって store-now-decrypt-later 攻撃の防御に対する確信が得られるため、非標準ソリューションの維持が必要ではないかという心配は要りません。

新しい暗号は実地試験がまだ終わっていないため、導入するのは危険です。事実、NIST プロセスの候補のいくつかは、量子コンピュータを必要としない攻撃の防御にさえ苦戦しています。Google では、ポスト量子アルゴリズムを新たなレイヤとして追加することによって、理論上のコンピューティング アーキテクチャからインフラストラクチャを保護する試みが週末に秘密鍵を復元するノートパソコンに対して無防備になるシナリオを回避しました。この戦術は、現在導入され、厳密に検証され、テストされた暗号のセキュリティ特性がまだ有効であることの保証に役立っています。

署名アルゴリズムを解決する必要はまだないことに注意してください。署名を偽造できるようになった攻撃者が過去のプロトコルのセッションに影響を与えることはありません。当面、やらなければならないことは、今日にでも Google のデータに影響を与えかねない「store now, decrypt later」攻撃に対処することだけです。署名アルゴリズムの脅威は緊急ではないため、次の 2 つの方法で検証プロセスを簡略化できました。

• 必要なことはプロトコルの鍵共有部分のために PQC を追加することだけです。

• そのため、エフェメラル鍵に依存している部分を変更するだけで済みました。信頼性については、大型の量子コンピュータが登場して初めて影響を受ける可能性がある従来の暗号にまだ頼っています。

有望な量子耐性候補の中でも、NIST は、格子ベースの暗号を採用し、最近、NIST が最初に承認したポスト量子暗号鍵カプセル化メカニズム（KEM）になる Kyber を選択したことを発表しました。Kyber は高性能（運用を考慮した場合のレイテンシ コストのバランスがその他の格子ベースのものより優れています）ですが、NIST による知的財産権の状況に関する説明が不足しています（NIST による第 3 ラウンドの状況報告書を参照してください）。

格子ベースの KEM の同じ領域に、NTRU-HRSS KEM アルゴリズムが存在します。これは、1996 年に提案された、よく知られている、時間が厳密に検証された NTRU スキームの直系の子孫であり、多くの専門家から、構造化された効率的な格子ベースのスキームの中でより保守的な選択肢の一つと見なされています。高い性能と成熟度を考慮し、ALTS プロトコルを使用して社内通信チャネルを保護するためにこのスキームを選択しました。

ポスト量子暗号への移行には、業界でこれまで試みられなかったために追加の配慮が必要な、スケール、スコープ、および技術的複雑さに特有の課題があります。これが、Google がハイブリッド アプローチを使用した ALTS に NTRU-HRSS を導入した理由です。ここで、ハイブリッドとは、2 つのスキームを 1 つのメカニズムにまとめることによって、メカニズムの破壊をたくらむ攻撃者が両方の基礎となるスキームを破壊しなければならないようにすることを意味します。このセットアップのために選択したのが NTRU-HRSS と X25519 でした。これは、Google Chrome 2018 の CECPQ2 試験運用版の洞察に満ちた選択肢と同じであり、BoringSSL の CECPQ2 実装の再利用を可能にしました。

量子に対応した攻撃者から ALTS を保護することは、現在と未来の脅威から自社の資産とユーザーのデータを保護するという Google の使命における大きな前進です。Google は今後も、ポスト量子暗号の標準化の取り組みに積極的に参加して行きます。Google 社員が、標準化のために選択された署名スキームの一つ（SPHINCS+）と、PQC KEM コンテストの第 4 ラウンドで NIST が検討している 2 つの提案（BIKE と Classic McEliece）を共同で策定しました。Google は、Kyber の IP の状況が明らかになり、これらの第 4 ラウンドで選択された標準が公表された段階で、アルゴリズム候補を再評価する可能性があります。

^{ISE Crypto PQC 作業グループは、ALTS チームのソフトウェア エンジニアである Vlad Vysotsky 氏および Dexiang Wang 氏と BoringSSL のプリンシパル暗号エンジニアである Adam Langley 氏の協力に感謝の意を表します。}