Cloudflare、2029年までに完全なポスト量子セキュリティを目指す

 (blog.cloudflare.com)
5 ポイント 投稿者 GN⁺ 22 일 전 | 1件のコメント | WhatsAppで共有
  • Cloudflareは2029年までにすべての製品の認証と暗号化体系をポスト量子セキュリティへ移行する目標を掲げ、Q-Day(量子コンピュータが既存の暗号を破る時点)に備えるスケジュールを加速している
  • 現在、トラフィックの65%以上がポスト量子暗号化を使用しているが、認証体系が量子安全でなければ完全な保護は不可能だと明記している
  • GoogleとOratomicの研究により、量子コンピュータの暗号解読能力の向上が予想より速いことが明らかになり、Q-Dayが2030年以前に前倒しされる可能性が提起されている
  • Cloudflareは認証システムの量子安全性確保を最優先課題とし、段階的なマイルストーンを設定して製品群全体のセキュリティ移行を進めている
  • すべてのポスト量子アップグレードはプランに関係なく無料で提供され、Cloudflareはこれを通じて「より良いインターネットの構築」という使命を強化している

Cloudflareの2029年完全ポスト量子セキュリティ目標

  • Cloudflareは2029年までに全製品群をポスト量子(PQ)セキュリティへ移行する目標を設定し、**認証(Authentication)**の領域まで含めている
  • 2014年に無料SSL証明書の提供を開始して以来、2019年にポスト量子移行の準備を進め、2022年にはすべてのWebサイトとAPIにポスト量子暗号化を適用した
  • 現在、Cloudflareトラフィックの65%以上がポスト量子暗号化を使用しているが、認証体系が量子安全でなければ完全な保護は不可能だと明記している
  • GoogleとOratomicの最近の研究により、量子コンピュータの暗号解読能力の進歩速度が予想より速いことが明らかになり、Q-Day(量子コンピュータが既存の暗号を破る日)が2030年以前に前倒しされる可能性が提起されている
  • これを受けてCloudflareは内部のQ-Day対応スケジュールを加速し、認証システムを中心としたセキュリティ移行を進めている

量子コンピューティングの進展とQ-Dayの加速

  • Googleは楕円曲線暗号(ECC)を破る量子アルゴリズムの性能を大幅に向上させたと発表し、アルゴリズム自体は公開せず、**ゼロ知識証明(Zero-Knowledge Proof)**でその存在を証明した
  • 同日、Oratomicは中性原子(Neutral Atom)ベースの量子コンピュータでRSA-2048とP-256を破るのに必要な資源の推定値を公開し、P-256については1万キュービットだけで可能だと提示した
  • Googleが中性原子アプローチを並行して開発している理由が明確になり、Oratomicはいくつかの詳細を意図的に非公開とした
  • Googleはこれに伴い自社のポスト量子移行目標を2029年に前倒しし、IBM Quantum SafeのCTOは2029年ごろに高価値ターゲットに対する「ムーンショット攻撃」の可能性を排除できないと述べた
  • Scott Aaronsonは2025年末、量子暗号解読の資源推定値がもはや公開されなくなる時点が到来したと警告しており、Cloudflareは「その時点はすでに過ぎた」と評価している

量子コンピュータ進化の3つの軸

  • ハードウェア: 中性原子、超伝導、イオントラップ、フォトニクス、トポロジカルキュービットなど多様なアプローチが並行して進められており、ほとんどの研究所が同時並行で開発している
    • 過去には拡張性に疑問があったが、最近は中性原子方式が最も速く進展している
    • まだ大規模拡張は実証されていないものの、複数のアプローチが臨界点に近づいている
  • 誤り訂正(Error Correction): すべての量子コンピュータはノイズが多く、誤り訂正コードが必須
    • 超伝導方式では論理キュービット1個あたり約1,000個の物理キュービットが必要だが、中性原子方式では3〜4個だけで可能だとOratomicは提示している
  • ソフトウェア: GoogleはP-256解読アルゴリズムの速度を大幅に向上させ、Oratomicは再構成可能キュービットに最適化した追加改善を提示した
  • この3軸の同時進展により、Q-Dayの予想時期は2035年以降から2030年以前へ短縮された

認証(Authentication)中心のセキュリティ移行が必要な理由

  • これまで業界のポスト量子対応は主に**暗号化(Encryption)**中心で、**Harvest-Now/Decrypt-Later(HNDL)**攻撃の防御に重点が置かれてきた
  • HNDL攻撃は現在データを収集し、将来の量子コンピュータで復号する方式であり、Q-Dayが遠い場合の主要な脅威となる
  • しかしQ-Dayが差し迫ると、認証体系のほうがより大きなリスクとなり、攻撃者はサーバーのなりすましやアクセス資格情報の偽造が可能になる
  • 量子脆弱な認証鍵が1つ漏えいするだけでシステム全体が侵害される可能性があり、自動更新システムはリモートコード実行(RCE)の経路となる
  • したがって「暗号化データはいつ危険になるか?」よりも「攻撃者はいつ量子偽造鍵で侵入できるのか?」のほうが重要な問いになる

  • 最も脆弱なシステムを優先

    • 初期の量子コンピュータは高価で希少なため、攻撃者はルート証明書、APIキー、コード署名証明書など高価値の長期鍵を優先して狙う
    • 長期鍵は攻撃コストが高いほど優先順位が上がるが、**高速CRQC(量子コンピュータ)**が登場すると再びHNDL攻撃が有利になる
    • GoogleのSophie Schmiegはこれを第二次世界大戦中のEnigma解読における戦略転換になぞらえている

  • ダウングレード攻撃の防止

    • PQ暗号化への対応だけでは不十分で、量子脆弱な暗号を完全に無効化する必要がある
    • Webのようにクライアントの多様性が大きい環境では完全な無効化が難しい
    • HTTPSではPQ HSTSまたは**証明書透明性(Certificate Transparency)**によって部分的な保護が可能
    • すべての量子脆弱暗号を除去した後は、既存で露出したパスワード・トークンなどの秘密情報を置き換える必要がある
    • 認証移行は暗号化よりはるかに複雑で、年単位の移行期間が必要となる

  • サードパーティ依存性の考慮

    • Q-Dayはすべてのシステムに影響するため、直接通信するパートナーだけでなく金融・インフラなどの間接依存性も評価する必要がある
    • 長期鍵の優先交換、サードパーティとの連携、エコシステム全体の同時移行が必要となる

Cloudflareのポスト量子ロードマップ

  • 現在Cloudflareは多くの製品でポスト量子暗号化をデフォルト適用し、HNDL攻撃を緩和している
  • 2029年までに認証を含む全製品群で完全なポスト量子セキュリティを達成することを目標としている
  • リスク認識と展開難易度に応じて中間段階ごとのマイルストーンを設定しており、状況に応じて調整する予定だ

組織別の推奨事項

  • 企業

    • ポスト量子対応を調達要件に含めることを推奨
    • ソフトウェアの最新化、証明書の自動発行など基本的なセキュリティ慣行が重要
    • 主要サプライヤーの対応不足が事業に与える影響を早期に評価すべき

  • 政府および規制機関

    • 明確な日程提示と主導機関の指定が業界全体の移行を加速させる
    • 国家間で標準が分裂することはリスク要因であり、国際標準に基づく一貫した推進が必要
    • 恐怖ではなく信頼に基づく先制的な移行リーダーシップが重要

  • Cloudflareの顧客

    • Cloudflareは自動的にポスト量子セキュリティをデフォルト適用するため、追加対応は不要
    • ただし、ブラウザ・アプリケーション・オリジンサーバーなど外部コンポーネントのアップグレード必要性は残る
    • Cloudflare Oneはトンネリングを通じてエンドツーエンドのポスト量子暗号化保護を提供する

Cloudflareの理念と無料提供方針

  • プライバシーとセキュリティはインターネットの基本要素であり、すべてのポスト量子アップグレードはすべてのプランの顧客に無料提供される
  • かつての無料TLSがWeb暗号化を広げたように、無料のポスト量子暗号化が次世代インターネットセキュリティを牽引していく見通し
  • CloudflareのConnectivity Cloudは企業ネットワークの保護、大規模アプリケーションの構築、Webパフォーマンスの高速化、DDoS防御、ゼロトラストの実装を支援する
  • ユーザーは1.1.1.1アプリを通じて、より高速で安全なインターネットを利用できる
  • Cloudflareは**「より良いインターネットの構築」**という使命のもと、ポスト量子時代のセキュリティを主導している

関連記事

1件のコメント

 
GN⁺ 22 일 전
Hacker Newsのコメント

  • PQ(耐量子)暗号の導入過程を過去のHTTPS普及と比較してみると興味深いと思う
    Cloudflareはブラウザやユーザー端末のアップグレード周期とバックエンドのアップグレードを切り離せるので、こうした移行を進めやすい立場にある
    一部のサイトで選択的にPQを適用し、徐々に必須化されるにつれて、ブラウザが警告やUXベースの誘導を通じてユーザーを移行させる形で進むのではないかと思う
    以前は「早まったアップグレードのリスクが量子攻撃のリスクより大きい」と考えていたが、最近の情報では早い移行のほうが良いという見方に重心が移っている
    Webサイトの更新は、他のシステム(特にビットコイン、保存データ、ハードウェアなど)に比べればはるかに容易だと思う

    • もし本当に量子コンピュータの証拠が示されれば、ブラウザが非PQ暗号を「安全ではない」と表示してWebサイトの移行を強制できるはず
      TLS 1.4やQUIC 2のような新バージョンで暗号仕様だけを変更する形なら、2〜3年以内に可能かもしれない
      問題は、ファームウェア更新が止まっている古い機器が新プロトコルをサポートできず、大量に接続不能になる可能性があることだ
    • 今待てば、後でもっと慌てて動かなければならなくなる
      Cloudflare RadarにオリジンサーバーのPQ対応統計が追加されたが、ブラウザよりは低いものの予想よりは良い水準だ
      まだ認証(Authentication)の問題など、先は長い
    • Webサイト更新より難しいシステムとして、IPv6移行も外せない

  • 自分たちのサービス qi.rt.ht でPQクエリを直接試せる
    どのドメインにPQセキュリティが適用されているか確認できる

    • 本当に美しいAPIだと思う

  • Cloudflareの post-quantum TLSテスト の結果、news.ycombinator.com:443 はX25519を使っていてPQセキュアではない
    すでに移行計画があることを願う
    最新ツールのおかげで移行は難しくなさそうだ。HNがどんなスタックを使っているか知っている人はいる?

    • ブラウザ対応率が思ったよりずっと高いのは驚きだ

  • Mozillaは最近サーバー側TLS設定ガイドを更新し、X25519MLKEM768 のPQ鍵交換を推奨している
    公式ドキュメント によれば、古いクライアント互換プロファイルは削除され、IE11/Win7向けフォールバックもなくなり、最低要件はWin10以降になった

  • 実際に量子システムが暗号を破った事例があるのか気になる

    • ここ2か月ほどで、暗号研究者の間の空気が急速に変わった
      複数の論文と噂が重なり、実際の**CRQC(暗号解読可能な量子コンピュータ)**の登場時期が大きく前倒しされたという共通認識が生まれている
      一部の専門家は「差し迫っている」とまで見ている
    • まだ理論段階ではある
      ただし、NSAのような機関が秘密裏に量子コンピュータを確保している可能性を懸念して、研究者たちが早期警告を発している状況だ
      明確な証拠を待っていると、すでに手遅れかもしれない
    • 依然として理論の域だが、実際に攻撃可能な水準の量子システムが予想より早く到来するという合意が形成されつつある
      Golang暗号パッケージ管理者の Filippo Valsorda が要約記事を公開しており、結論は「2029年までに備えるべき」だ
    • まだ何も破られてはいないが、今データを収集しておけば後で量子コンピュータで復号できるため、今から備える必要がある
    • PQアルゴリズム自体の安全性検証もまだ完全ではない

  • 将来のCPUでPQCハードウェアアクセラレーションをサポートする計画があるのか気になる
    PQCが標準になったら旧型機器が遅くなるのではと心配だ

    • PQCが必要なのは非対称暗号(ハンドシェイク段階)だけだ
      その後の対称暗号(AES、ChaCha20など)は量子の影響が小さいため、しばらく置き換えられない
      一般的なCPUにはもともと非対称暗号アクセラレーションがないので、大きな違いはないはず
    • 実際のところ、ハードウェアアクセラレーションがなくてもベクトル演算で十分高速に処理できる
      新しいアルゴリズムの大半はモジュラー線形代数ベースなので、最適化の余地が大きい

  • SSHキーをPQ暗号に変えるべきか気になる

    • OpenSSHは2022年からPQ鍵交換をサポートしている
      10.1バージョン(2025年10月)からはPQを使わないと警告が表示される
      キーを作り直す必要はなく、双方のソフトウェアをアップグレードするだけでよい
      ただしPQ署名へ移行する際には鍵の入れ替えが必要だが、緊急ではない

  • PQアルゴリズムへ移行する際にデメリットはあるのだろうか
    量子コンピュータが失敗に終わったとしても、そのまま使ってはいけない理由はあるのだろうか?

    • むしろPQアルゴリズムは既存方式よりも厳密に検証されている
      ただし楕円曲線暗号(ECC)は鍵と署名が小さく、帯域効率が良く、数学的難しさへの信頼も高い
      一方でPQアルゴリズムは実装が単純で、脆弱な実装になりにくく、弱いインスタンスを選んでしまう可能性も低い
      ML-DSA、ML-KEMは安定しており、速度も速い
    • PQ証明書は現在よりかなり長い
      正確な数字はわからないが、保存容量と転送量は増える
    • PQアルゴリズムは既存のECCより速度は遅く、データ交換量は多いが、セキュリティレベルは同等だ

  • Mullvad はすでにPQ暗号化をサポートしている
    個人的には10点満点で10点の会社で、おすすめできる

  • もう一つ別の疑問がある
    みんなが耐量子暗号へ移行した後、量子コンピュータの意味は何になるのだろうか?
    今は暗号解読の話ばかり出るが、それ以外の用途はタンパク質フォールディングや物流最適化のような研究分野なのだろうか?
    もし1時間に256ビット鍵を1つ破れる1,000万ドルの量子コンピュータが登場しても、すべてのシステムがPQ化されていれば、それは単なる破壊的ツールにすぎない
    ECCを破ることは人類の利益にならない
    だとすれば、量子コンピュータはその後何に使えるのかという疑問が残る