ポスト量子暗号の概要とAWSでの取り組み
RSA 2048は2030年に非推奨化。量子コンピュータによる暗号解読の脅威と、AWSでの具体的な移行ステップを体系的に解説
🎤 ITサービス企業 クラウドエンジニア(社会人4年目)
キーテイクアウェイ
量子脅威は『未来の問題』ではなく、HNDL攻撃により『今のデータが将来解読される』問題。AWSではCloudFrontがデフォルトでハイブリッドPQC対応済み、ALB/NLBはポリシー選択で対応可能
登壇者の背景
- ITサービス企業(AIインテグレーターを標榜)のクラウドエンジニア、社会人4年目
- 前年のSecurity-JAWS Days教育モデリングワークショップに参加したことがきっかけ
- CFPに応募して採択
量子コンピュータとは
- 量子ビット: 0と1の両方の状態を同時に保持可能(重ね合わせ)
- 多数の計算を同時実行 → 特定の計算で飛躍的な高速化
- 本セッションでの位置付け: 「特定の計算に優れた強力なコンピューター」
暗号の2030年問題
現在使用されている主要な暗号技術が2030年までに安全性を保てなくなる問題。
ビットセキュリティ
異なる暗号アルゴリズムの安全性を統一的に比較する指標。
| 暗号方式 | ビットセキュリティ | 備考 |
|---|---|---|
| RSA 2048 | 112ビット | 2030年までに非推奨 |
| ECDSA P-256 | 128ビット | RSA 2048より強い |
| AES-256 | 128ビット(対量子) | 量子耐性あり |
Shorのアルゴリズムによる脅威
| 暗号方式 | 基盤となる数学的問題 | Shorで解読可能か |
|---|---|---|
| RSA | 素因数分解 | ✓ 高速に解読 |
| 楕円曲線暗号(ECC) | 離散対数問題 | ✓ 高速に解読 |
| AES(共通鍵暗号) | — | ✗ Shorの対象外 |
従来コンピュータ: ビット数増加 → 解読時間が指数関数的に増加 量子コンピュータ: ビット数が増えてもほぼ変わらない
→ RSAの鍵サイズを大きくする(2048 → 4096)だけでは根本的に解決しない。
Harvest Now, Decrypt Later(HNDL)攻撃
[現在] 暗号化された通信を傍受・蓄積
↓ 時間経過(ストレージは年々安価に)
[将来] 量子コンピュータ完成後に復号具体例
生体認証データ: 10年後に解読 → なりすまし(生体情報は「変更」できない) IoTデジタル署名: 署名解読 → 偽ファームウェア配布
X + Y > Z 理論
- X = データの秘密保持が必要な期間
- Y = PQC移行に必要な期間
- Z = 量子コンピュータ実用化までの期間
X + Y > Z なら対応が間に合わない。
NIST標準化済みアルゴリズム
| アルゴリズム | 用途 | 基盤 |
|---|---|---|
| ML-KEM(旧CRYSTALS-Kyber) | 鍵交換・鍵カプセル化 | 格子問題(Module-LWE) |
| ML-DSA(旧CRYSTALS-Dilithium) | デジタル署名 | 格子問題 |
| SLH-DSA(旧SPHINCS+) | デジタル署名(ステートレス) | ハッシュベース |
ハイブリッドPQC(推奨実装方式)
例: X25519(従来)+ ML-KEM(PQC)を組み合わせ。片方が破られてももう片方で安全性を保持。
AWSの4ワークストリーム戦略
WS1: 現状把握と計画(最優先)
確定された優先順位:
- 転送中データの保護を優先(TLSハンドシェイクの鍵共有部分にPQC)
- 保存データは後回し(AES-256は量子耐性あり)
AWSの保存データ現状:
- S3 SSE-S3: AES-256(デフォルト)→ 量子耐性あり
- KMS Symmetric Default: AES-256 → 量子耐性あり
- → 再暗号化不要
WS2: パブリックエンドポイントの保護
| サービス | 対応状況 |
|---|---|
| CloudFront | デフォルト対応済み(TLS 1.3必須) |
| ALB / NLB | 「PQ」含むセキュリティポリシー選択で対応 |
| API Gateway | 予定 |
| Amazon Bedrock | 予定 |
| Secrets Manager | SDK更新で対応 |
WS3: デジタル署名(コード署名、IoT署名等)
KMSでML-DSAを選択可能。
WS4: セッション認証(優先度最低)
証明書チェーン全体のPQC化が必要で時間がかかる。HNDL攻撃の対象にもならない。
Q&Aハイライト
Q: AES-256が量子耐性を持つ理由は? A: 対称暗号でShorの対象外。量子攻撃はグローバーのアルゴリズムのみ。AES-256は量子でも128ビットセキュリティ維持。
Q: 金融・政府系でPQC案件は? A: 金融庁から「PQC対応をちゃんとやれ」と指示が来ている(オーガナイザー補足)。
Q: TLS 1.2以前の企業の優先対応は? A: まずTLS 1.3への移行が最初。PQCはTLS 1.3が前提。
初心者向け補足
公開鍵暗号 vs 共通鍵暗号
公開鍵暗号(RSA, ECC): 鍵ペアを使う。鍵交換と署名に使用。量子で解読される
共通鍵暗号(AES): 同じ鍵を共有。データ暗号化に使用。量子耐性ありTLSハンドシェイク
クライアント ←→ サーバー
1. 公開鍵暗号で共通鍵を交換 ← PQC対象
2. 以降はAESで通信 ← 安全HNDL攻撃は「1を記録 → 将来量子で共通鍵復元 → 2の通信も全解読」という流れ。
なぜ「今」対策が必要か
| データの種類 | 秘密保持期間 | 今対策必要か |
|---|---|---|
| 外交・軍事情報 | 数十年 | ✓ 今すぐ |
| 企業の知的財産 | 5-15年 | ✓ 今すぐ |
| 個人の医療情報 | 生涯 | ✓ 今すぐ |
| セッション認証 | 数分〜数時間 | △ 後でOK |