OpenSSH のポスト量子暗号化

 (openssh.com)
4 ポイント 投稿者 GN⁺ 2025-08-12 | まだコメントはありません。 | WhatsAppで共有
  • OpenSSH は量子コンピュータの攻撃に備える ポスト量子暗号アルゴリズム をサポートしています
  • 9.0 以降、デフォルトで sntrup761x25519-sha512 アルゴリズムを使用し、10.0 からは mlkem768x25519-sha256 をデフォルトの接続方式として適用します
  • 10.1 以降は、ポスト量子でないキー交換を使用した場合に 警告メッセージ が表示される変更があります
  • ほとんどの既存署名アルゴリズム(RSA、ECDSA など)も将来サポート追加の予定です
  • 既存トラフィックを安全に保護するには、サーバーとクライアントの両方で ポスト量子アルゴリズム を適用する必要があります

OpenSSH とポスト量子暗号化の導入

OpenSSH は 量子コンピュータの攻撃でも安全な複数の鍵交換アルゴリズム をサポートしています。
すべての SSH 接続でこれらのアルゴリズムを使うことを推奨しています

OpenSSH 9.0(2022年)から sntrup761x25519-sha512 によりデフォルトでポスト量子鍵交換(KexAlgorithms)を提供し、9.9 からは mlkem768x25519-sha256 が追加されました
mlkem768x25519-sha256 は OpenSSH 10.0 から デフォルトの暗号方式 として指定されています

ポスト量子アルゴリズムの導入を促進するため、OpenSSH 10.1 からは 量子耐性鍵交換 を使用していない場合、次のような警告が表示されます

** WARNING: connection is not using a post-quantum kex exchange algorithm. **
This session may be vulnerable to "store now, decrypt later" attacks.
The server may need to be upgraded. See https://openssh.com/pq.html

この警告はデフォルトで表示されますが、ssh_config(5) の WarnWeakCrypto オプションで 無効化 できます

背景

量子コンピュータ とは、情報を量子状態として符号化して計算するデバイスです。
従来のコンピュータでは不可能な 特定の数学的問題 を高速に解くことができます。

多くの暗号アルゴリズムの数学的基盤は、量子コンピュータで比較的簡単に解ける問題に依存しています。 十分に強力な 量子コンピュータ(暗号学的に意味のある水準)が登場した場合、これらの暗号体系が破られるリスクがあります。 特に 鍵交換デジタル署名 に使われるアルゴリズムが最も影響を受けます

こうした量子コンピュータはまだ実現していませんが、専門家は 5〜20年以内、または 2030 年代半ばの出現を予測しています

SSH 接続の プライバシー保護 は鍵交換の暗号化に依存しています。
攻撃者が鍵交換アルゴリズムを突破すると、全セッション内容を復号できます。 加えて、リアルタイムでない場合でも、暗号化セッションを保存 しておき、将来量子コンピュータが出現した時点で復号する '** store now, decrypt later** ' 攻撃が可能です。

OpenSSH はこの攻撃に対応するため、ポスト量子暗号化のサポートを強化しています

FAQ

Q: sshで警告が表示されたという案内を受けたが、どうすればよいですか?

  • OpenSSH 10.1 以降では、量子耐性がない暗号化を使用した場合にユーザーへ警告を表示します
  • この場合、接続先サーバーが ポスト量子キー交換アルゴリズムmlkem768x25519-sha256sntrup761x25519-sha512)を提供していないことを意味します
  • 最善策はサーバーを OpenSSH 9.0 以降(後者は 9.9 以降)に アップデート し、KexAlgorithms で関連アルゴリズムが無効化されていないことを確認することです
  • もしサーバーのアップデートができない、またはリスクを受け入れる場合は、ssh_config(5) で WarnWeakCrypto オプションを使って警告を隠すことも可能です
  • 必要に応じて、次のように特定ホスト向けにのみ対処を適用することを推奨します 
    Match host unsafe.example.com
    WarnWeakCrypto no

Q: まだ量子コンピュータがいないのに、なぜ先回りして対策するのですか?

  • 先述の "store now, decrypt later" 攻撃が理由です
  • 現在送信したトラフィックも、将来復号されるリスクがあるため、事前に ポスト量子安全 な接続が推奨されます

Q: 署名アルゴリズムも危険だと言っていたのに、なぜその時点で問題ではないのですか?

  • 現在のほとんどの署名アルゴリズム(RSA、ECDSA など)も量子コンピュータで無効化される可能性があります
  • ただしこの場合、既存トラフィックが保存されて後で復号されることはありません
  • 署名アルゴリズムの緊急対応は、量子コンピュータの登場が近づいたら既存署名鍵を廃止することです
  • OpenSSH は今後、ポスト量子署名アルゴリズム もサポート予定です

Q: 量子コンピュータは実現不可能だと思うが、これはなぜ重要なのか?

  • 一部では量子コンピュータは実現不可能だと考えますが、現在の技術的な壁は 基礎物理ではなく工学上の問題 です
  • もし量子コンピュータが可能になれば、今日の対策が膨大なユーザーのデータ保護に役立ちます
  • たとえ不要な対策だとしても、これは数学的により強力な暗号への 移行 にすぎません

Q: ポスト量子アルゴリズムも脆弱ではないのでしょうか?

  • OpenSSH も慎重に進めています
  • 過去数年間で集中的に検証されたアルゴリズムだけを採用していますが、新しい攻撃手法 が見つかる可能性は存在します
  • これに備え、安全余裕が十分なアルゴリズムのみを採用しており、たとえ想定より弱い場合でも実戦レベルの安全性を維持できる可能性が高いです
  • さらに、OpenSSH のポスト量子アルゴリズムはすべて 「ハイブリッド」方式 です
    • 例えば mlkem768x25519-sha256ML-KEM(ポスト量子)と従来の ECDH/x25519(クラシック)アルゴリズムを組み合わせます
    • したがって、将来ポスト量子アルゴリズムが無効化されても、少なくとも従来同等のセキュリティは維持されます

関連記事

まだコメントはありません。

まだコメントはありません。