Google Cloudは、同社のCloud Key Management Service(Cloud KMS)に量子安全デジタル署名を導入し、プレビュー版を公開した。
この取り組みは、米国立標準技術研究所(NIST)のポスト量子暗号(PQC)標準に沿ったもので、量子コンピューティングが古典的な暗号化方式を破る将来のリスクに対処するものだという。
Google Cloudは、金融機関、大企業、政府機関、重要インフラ、ソフトウェア開発者などに利用されており、量子安全暗号の導入は、高度な攻撃から機密データを守るために極めて重要である。
量子対応Cloud KMS
Cloud KMSはGoogle Cloudの暗号鍵管理ツールで、データの暗号化と署名を行う暗号鍵を安全に生成、保管、管理するために使用される。
RSAやECCのような従来の公開鍵暗号を使用すると、顧客は将来、「今すぐ収穫、後で復号」(HNDL)攻撃と呼ばれる方法でデータが暴露されるリスクを負うことになる。
現在の暗号化方式を破ることのできる量子コンピュータはまだ存在しないが、HNDLリスクは無視できないほど高いというのが専門家の一致した意見だ。この懸念は、マイクロソフトが発表したマジョラナ1チップのブレークスルーによってさらに高まっている。
私たちのデータを将来にわたって保護するために、グーグルは現在、量子耐性暗号をクラウドKMS(ソフトウェア)とクラウドHSM(ハードウェア・セキュリティ・モジュール)に組み込んでいる。
採用されたアルゴリズムは、格子ベースのデジタル署名アルゴリズムであるML-DSA-65(FIPS 204)と、ステートレスハッシュベースのデジタル署名アルゴリズムであるSLH-DSA-SHA2-128S(FIPS 205)の2つです。
「本日、Google Cloud Key Management Service(Cloud KMS)のソフトウェアベースの鍵に量子安全デジタル署名(FIPS 204/FIPS 205)を発表し、プレビュー版として利用できるようになりました。
「また、Cloud KMSやハードウェア・セキュリティ・モジュール(Cloud HSM)を含むGoogle Cloud暗号化製品のポスト量子化戦略に関するハイレベルな見解も共有する。
Cloud KMSでは、古典的な暗号と同じように、これらの新しいPQCアルゴリズムを使って電子署名と検証を行うことができる。
暗号の実装は(BoringCryptoとTinkライブラリを介して)オープンソースとなり、透明性が維持され、独立したセキュリティ監査が可能になる。
グーグルでは、各組織に対し、量子抵抗性アルゴリズムのテストと既存の導入への統合を開始し、問題点を解決するためのフィードバックを報告するよう呼びかけている。
Comments