Google、量子コンピューティングの脅威に耐性のある Chrome での HTTPS 証明書をリリース

Google は最近、Chrome ブラウザで新しいクラスの耐量子性 HTTPS 証明書のテストを開始したと発表しました。目標は、量子コンピューティングが既存の暗号化システムを本当に脅かす前に、インターネット通信の「基盤を強化する」ことです。現在の量子コンピューティングの能力は、インターネットの主流の暗号化プロトコルを解読するには十分ではありませんが、Googleを含むセキュリティ業界は一般に、大規模な実用用途向けの量子コンピュータが登場すると、現在HTTPSのセキュリティを確保している暗号アルゴリズムがすぐに破られるリスクに直面することを懸念しています。

今回GoogleがChromeに導入したのは、量子の脅威に対処するためにゼロから設計された証明書システムだ。同社は、Webページの読み込みを大幅に遅くすることなく、ブラウザとWebサイトに「量子安全な」バックアップソリューションを提供したいと考えている。

この変更の重要性を理解するには、まず現在の Web セキュリティ メカニズムの基本を確認する必要があります。ユーザーが Web サイトにアクセスすると、ブラウザーは相手から提供されたデジタル証明書を検証して、ユーザーがフィッシング サイトや仲介者によって偽装された攻撃者ノードではなく、本物の Web サイトに接続していることを確認します。これらの証明書は、従来のコンピュータでは妥当な時間内に解決することが難しい複雑な数学的問題に依存しており、攻撃者が Web サイトの ID を偽造したり、送信されたコンテンツを予見可能な時間内に復号したりすることが不可能になります。しかし、量子コンピューターの並列機能と特定のアルゴリズムの利点により、この前提が覆されます。ショールのアルゴリズムに代表される量子アルゴリズムは、理論的には大きな整数を効率的に分解し、現在広く導入されている公開鍵暗号化システムを解読することができ、既存の証明書システムを量子時代の「名ばかり」にすることができます。

業界の直観的な対抗策は、量子コンピューティングでは「難しい」と考えられている反量子暗号アルゴリズムを導入することだ。しかし、問題は、このタイプのアルゴリズムのキーと署名が通常、従来のソリューションよりもはるかに「太い」ことです。現在一般的に使用されている X.509 証明書形式では、関連するデータ量は約 64 バイトです。同等の量子セキュリティソリューションに置き換えると、データサイズは元のサイズの約40倍の約2.5KBに拡大します。これらの証明書は、HTTPS 接続が確立されるたびにネットワーク経由で送信する必要があります。すべての Web サイトがサイズが大幅に増加する耐量子証明書に切り替わると、ハンドシェイク フェーズ中のデータ送信量が大幅に増加し、ユーザーは最初のパケット応答と Web ページの読み込み遅延の増加を個人的に感じることになります。一般のユーザーは、セキュリティ対策とエクスペリエンスの間に明らかな矛盾があると、大幅に遅い Web ページ アクセスを受け入れるよりも、セキュリティ レベルを下げることを選択します。

この「セキュリティとパフォーマンス」の矛盾を解決するために、Google はマークル ツリーと呼ばれる暗号構造の導入を選択し、これに基づいていわゆるマークル ツリー証明書 (MTC) を設計しました。 Googleはセキュリティブログで、MTCは従来の公開鍵基盤（PKI）の連結されたかさばる署名チェーン構造をコンパクトなマークルツリー証明書に置き換えると説明した。このモードでは、認証局 (CA) は各証明書に個別に署名するのではなく、数百万の証明書レコードをカバーできる「ツリー全体」を表す「ツリー ヘッド」にのみ署名します。ハンドシェイク中にブラウザーが受信する「証明書」は、完全な単一サイトの証明書チェーンではなくなり、このマークル ツリー内の特定の Web サイトの「包含証明書」になります。したがって、量子セキュリティ機能とネットワークのオーバーヘッドを考慮して、データ量を従来の 64 バイト証明書のレベルに近づけることができます。

より直観的に言えば、MTC は証明書署名の「重い負担」を CA が管理するツリーに集中させます。ユーザーのブラウザが取得するのは、独立した証明書や中間証明書チェーンの巨大なセットではなく、短い検証可能なパス証明書です。 CA にとって、これは、証明書の膨大なコレクションをカバーするには、1 つのツリー ヘッダーのみに署名する必要があることを意味します。ブラウザーの場合、短いマークル パスの検証に必要なデータは完全な証明書よりもはるかに小さいため、ハンドシェイク フェーズの遅延の制御にも役立ちます。量子セキュリティアルゴリズムは、構造レベルでの「バッチ処理」と圧縮を通じて、単一署名のサイズを必然的に拡大するという前提の下で、Googleはネットワーク経験をセキュリティ強化の「支払い」に利用することを避けようとしている。

現在、Chrome は Cloudflare と協力して、マークル ツリーに基づいてこれらの新しい証明書のオンライン テストを実施し始めています。 Google は、現在この新しいシステムで約 1,000 の証明書が実行されており、すべての接続が確立時のバックアップとして従来の証明書を保持していることを明らかにしました。つまり、MTC 側に互換性や実装の問題がある場合でも、ブラウザは既存の証明書検証プロセスにフォールバックして、ユーザー アクセスへの影響や大規模な障害の発生を回避できます。この「並行試行」メカニズムは、新しいソリューションを実行するための十分な余地を確保し、その後の展開範囲の段階的な拡大のための実用的なデータも提供します。

Google の計画によると、この耐量子性証明書システムの包括的な推進は 2027 年まで継続されます。それまでに、Google は既存の Chrome ルート証明書ストアと並行して実行される専用の耐量子性トラスト ストアを立ち上げる予定です。これは、ブラウザーが従来の PKI トラスト チェーンと耐量子トラスト チェーンの両方を維持し、さまざまな種類の Web サイト証明書に対して差別化された管理および検証パスを提供することを意味します。量子コンピューティングの脅威がまだ「予見可能だがまだ到来していない」という時間枠では、この並列アーキテクチャは、生態学的移行を徐々に完了し、「ワンステップ」によって引き起こされる互換性や運用保守のリスクを回避するのに役立ちます。

マークル ツリー証明書の導入には、証明書の透明性 (Certificate Transparency) がオプションから必須に変更されるという重要な「副作用」もあることは注目に値します。新しい証明書の生成は公的に検証可能なログ構造に依存する必要があるため、MTC 証明書の存在は当然ながら公開ログに記録され、それを「黙って」発行したり悪用したりすることが困難になります。攻撃者や内部悪用者にとって、このようなメカニズムの下で証明書を偽造することによる中間者攻撃を実行することはより困難になります。また、セキュリティ研究者や規制当局にとっては、証明書エコシステム全体の監査可能性と追跡可能性も向上します。

実際、Google は 10 年前に量子コンピューティング攻撃に対するブラウザとインターネット システムの防御線を構築する方法を検討し始めました。これまで Google は、実験プロトコル、暗号化アルゴリズム候補、ブラウザ実装レベルで複数回の試行とテストを実施してきました。 Chrome での量子耐性 HTTPS 証明書とマークル ツリー構造の組み合わせ適用の推進は、その「量子セキュリティ ロードマップ」のもう 1 つの主要な実装とみなすことができます。量子の脅威が実際に実現する前に、潜在的な高リスクのポイントは、プロトコルとインフラストラクチャの更新を通じて事前に「強化」され、今後数十年間のネットワーク セキュリティの基盤を築く必要があります。