グーグルは、量子コンピュータを使用したTLS攻撃から保護し、store-now-decrypt-later攻撃を緩和するために、Chromeブラウザで使用されているポスト量子暗号を更新する。
今回の変更により、ハイブリッド鍵交換で使用されるKyberが、モジュール・ラティス・キー・カプセル化機構(ML-KEM)と改名された、より新しく、わずかに修正されたバージョンに切り替わる。
この変更は、グーグルがChromeの安定版でポスト量子セキュアTLS鍵カプセル化システムを全ユーザーに展開し、TLS交換でいくつかの問題を引き起こしてからおよそ5カ月後に行われる。
しかし、KyberからML-KEMへの移行は、そのような初期の問題とは関係ない。むしろ、実験的なシステムを捨てて、NISTが承認した完全に標準化されたメカニズムに移行するという戦略的な選択です。
ML-KEMは8月中旬に米国立標準技術研究所(NIST)から完全に承認され、同機関はその時点で最終版の完全な技術仕様を公表している。
グーグルは、KyberからML-KEMへの技術的な変更は軽微だったにもかかわらず、この2つは本質的に互換性がないため、切り替えが必要だったと説明している。
「ML-KEMの最終バージョンへの変更により、以前導入されていたKyberのバージョンとは互換性がなくなりました」とグーグルは説明する。
「その結果、ハイブリッド・ポスト量子鍵交換のTLSのコードポイントは、Kyber768+X25519の0x6399から、ML-KEM768+X25519の0x11ECに変更される。
Kyberの放棄
Googleは、ポスト量子暗号は、量子以前のアルゴリズムに比べてはるかに大きなデータサイズを含むため、Kyberのサポートを完全に削除する必要があると説明している。
例えば、Kyberベースの鍵交換は 1,000バイトを超えることがあり、ML-DSAのようなポスト量子署名はさらに大きく、典型的なハンドシェイクでは14,000バイトを超える。
グーグルがML-KEMに加えてKyberのサポートを維持することを決定した場合、クロームのネットワーク・パフォーマンスと効率は深刻な打撃を受けるだろう。
グーグルは、より多くのクライアントのセキュリティを維持し、まだアップグレードしていないクライアントの移行をスムーズにするために、サーバー運営者が一時的に両方の規格をサポートすることは可能だが、すべての関係者にとってML-KEMが最終的なターゲットになるべきだと指摘している。
長期的な解決策(IETFドラフト)として提案されているのは、サーバーがDNS経由でサポートしている暗号アルゴリズムをアナウンスし、クライアントが最初から適切な鍵を使用することで、ハンドシェイク中の余分なラウンドトリップを回避することである。
このアップデートは、2024年11月6日にリリース予定のChrome 131(現在のバージョンは128)に実装される予定だ。
Chrome Canary、Beta、Devなどの開発チャンネルのユーザーは、より早くML-KEMのサポートを見ることができるはずだ。
Comments