耐量子暗号(PQC)移行のための準備が着々と進み、NISTのPQCアルゴリズムの標準化など基本的な道具立てが整ってきました。これに伴って昨年はwolfSSL社でもML-KEM, ML-DSAなど標準に準拠した自社独自の実装とTLSその他のプロトコルへのインテグレーションを完了し提供を開始しました。その一方で、PQCヘのスムーズな移行という観点では若干の課題も残っています。この記事ではTLSなどのセキュアプロトコルのピア認証に使われるX.509証明書のPQC対応について、そういう観点から少し見ていきます。
ご存知の通り、X.509証明書には公開鍵や関連情報、そしてそれらに対する署名が格納されています。現状の公開鍵や署名は当然、RSAやECDSAなどの従来型の署名アルゴリズムによるものが格納されています(図1-A)。PQC対応とするためには、一番単純にはそれらをML-DSAのようなPQCアルゴリズムによる署名に置き換えることで対応することができます(単純置き換え型)。ところが、TLSのインターネットでの利用のような不特定多数との通信のようなケースでは、相手が一斉にPQC対応に切り替えるのを期待することは難しく、そもそも相手が対応済か否かを判定することも難しいケースを想定しなければいけません。そのためには、証明書の鍵や署名について従来アルゴリズムのものとPQCアルゴリズムのものを何らかの形でハイブリッド化する必要があります。
そこで考えられたハイブリッドの方法の一つがデュアルアルゴリズム型の証明書です(図1-B)。もともとX.509の鍵や署名拡張には代替アルゴリズム拡張という拡張も規定されていて、一つの証明書に複数のアルゴリズムによる鍵や署名を格納することができるようになっています。この方法であれば、PQCに未対応の通信相手は従来の鍵と署名拡張を参照し、代替アルゴリズム拡張を参照することはしないので、既対応、未対応が混在するネットワーク環境でもスムーズな移行が期待できるように思われます。
しかし、現実のPQC対応では署名者である多数の中間CAすべてが一斉にPQC対応を完了するとは言えないなど、その違いはアルゴリズムの違い以外の各種情報にも及ぶことがあることが想定されます。証明書の運用面まで考えると、運用の煩雑化が懸念されるという意見もあります。
そうした課題を解決するために考えられたのが差分(デルタ)型のハイブリッド方式です(図1-C)。差分型証明書では、従来型の証明書はまったく変更せずそのまま利用します。PQCの鍵、署名はもちろん、PQCによって必要となるその他すべての追加、変更点は新たに設けられる差分(デルタ)拡張に格納します。PQC未対応のサーバは差分拡張を単純に不明の拡張として処理をスキップするので、これまでの証明書の処理をそのまま変更することなく対応することができます。一方、差分型証明書に対応するサーバは、もとの証明書をもとに差分拡張に格納された情報を使ってPQC対応の証明書を再構成します。このようにすることで、既存の証明書とPQC対応証明書をクリアに分離することができ、運用の煩雑化を回避することができると考えられています。ただし、このような差分拡張の処理はデュアルアルゴリズム方式ほど単純ではないことが予想されます。
こうしたPQCに向けたX.509証明書の対応方法については、ANSI(American National Standards Institute)の銀行、支払いシステム向けを中心としたセキュリティ標準であるASC X9が先行していて、ここで紹介したような方式についてX9.146で標準化を検討しています。また、デルタ方式についてはIETFでX.509の利用方法を検討しているLAMPS(Limited Additional Mechanisms for PKIX and SMIME) WG でも検討されています(A Mechanism for Encoding Differences in Paired Certificates)。wolfSSLでは、そうした中でデュアル方式(X9.146 Chimera)について実験的な実装を公開しており、デルタ方式 (Chameleon: A Mechanism for Encoding Differences in Paired Certificates)についても検討を進めています(Chameleons Scurrying into Your Protocols?)。
wolfSSLでは、標準化の検討状況や予想される運用シナリオなどを注意深く見守りながら今後の製品計画を策定していきたいと考えています。ぜひ、お客様のご意見、ご要望をお聞かせください。
ご質問がございましたら、info@wolfssl.jp までお問い合わせください。