量子コンピューティングの進歩は、TLS で長年使用されてきた暗号メカニズムを脅かしています。Google は、研究の進歩が現在のペースで続けば、2029 年にも量子コンピュータによって TLS で使用されている非対称暗号のセキュリティが破られる可能性があると考えています。
このリスクを軽減するため、 Google Cloud ロードバランサは、量子コンピュータの理論上の能力に対抗するように設計されたポスト量子鍵交換機能をサポートしています。これらのアルゴリズムは、米国国立標準技術研究所(NIST)によって開発され、審査されています。TLS での使用は、IETF で開発中の標準に準拠しています。
詳細については、 Google Cloudでのポスト量子暗号をご覧ください。
量子コンピューティングが TLS セキュリティを脅かす仕組み
暗号関連の量子コンピュータは、TLS セキュリティの 2 つの重要なコンポーネント(鍵交換と認証)に対する攻撃を可能にします。
鍵交換に対する攻撃
暗号関連の量子コンピュータは、TLS handshake 中に使用される鍵交換アルゴリズムを破り、TLS セッションを暗号化する対称鍵を明らかにし、アプリケーション レイヤのトラフィックをプレーンテキストで公開できるようになります。これは、ECDHE などの完全な前方秘匿性キー交換方式を使用する TLS 接続にも当てはまります。今日 TLS セッション全体を記録した攻撃者は、量子コンピューティング機能が利用可能になった数年後に、そのセッションを復号できる可能性があります。これは、harvest now, decrypt later attack と呼ばれます。
認証に対する攻撃
暗号関連の量子コンピュータは、TLS 証明書または認証局で使用される鍵を破ることができるため、攻撃者はクライアントまたはサーバーの ID を偽って主張できます。中間者攻撃と組み合わせて使用すると、攻撃者は TLS で暗号化されたセッションの内容を表示して操作できます。鍵交換に対する攻撃とは異なり、認証に対する攻撃は記録されたトラフィックに対して遡及的に行うことはできません。ただし、認証に対する攻撃はウェブ認証の完全性を著しく脅かします。
対称暗号は脅威にさらされていません
ハンドシェイクと認証が完了した後に TLS セッションの暗号化に使用される対称暗号化暗号(AES-128、AES-256、ChaCha20 など)は、量子コンピューティングの脅威を受けません。
ポスト量子鍵交換
今収集して後で解読する攻撃のリスクを軽減するには、クライアントとロードバランサ間の接続でポスト量子鍵交換を有効にすることをおすすめします。
ポスト量子鍵交換は、フロントエンド TLS 接続(クライアントとロードバランサ間の接続)でのみサポートされます。
ポスト量子鍵交換は、次のロードバランサで有効にできます。
- グローバル外部アプリケーション ロードバランサ
- 従来のアプリケーション ロードバランサ
- リージョン外部アプリケーション ロードバランサ
- クロスリージョン内部アプリケーション ロードバランサ
- リージョン内部アプリケーション ロードバランサ
- グローバル外部プロキシ ネットワーク ロードバランサ
- 従来のプロキシ ネットワーク ロードバランサ
X25519MLKEM768 は、 Google Cloud ロードバランサでサポートされているポスト量子鍵交換の特定の形式です。これはハイブリッド鍵交換方式であり、古典的な暗号メカニズムとポスト量子暗号メカニズムの両方で保護されています。
ポスト量子鍵交換が有効になっている場合、ロードバランサは TLS 1.3 と X25519MLKEM768 のサポートをアドバタイズするクライアントに接続するときに、ポスト量子鍵交換を使用します。TLS 1.3 または X25519MLKEM768 をサポートしていないクライアントへの接続は影響を受けません。
ポスト量子鍵交換が有効になっている場合、接続するクライアントが TLS 1.3 と X25519MLKEM768 鍵交換メカニズムのサポートをアドバタイズすると、ロードバランサはそれを使用します。TLS 1.3 または X25519MLKEM768 をサポートしていないクライアントからの接続は影響を受けません。
ポスト量子鍵交換を有効にする
SSL ポリシーの post-quantum-key-exchange 設定を使用して、ロードバランサでポスト量子鍵交換を有効にできます。これを行うには、新しい SSL ポリシーを既存の TargetHttpsProxy または TargetSslProxy に関連付けるか、すでに接続されている SSL ポリシーを変更します。
ポスト量子鍵交換設定で SSL ポリシーを作成する方法については、SSL ポリシーを作成するをご覧ください。
ポスト量子鍵交換を有効にすると、「今すぐ収集、後で解読」攻撃に対する即時の保護が提供されるため、今すぐ有効にすることをおすすめします。正しく実装されたクライアントでは、問題が発生することはありません。ただし、クライアント アプリケーションに互換性がない場合は、post-quantum-key-exchange を DEFERRED に設定できます。これにより、ポスト量子鍵交換の有効化を 2027 年 10 月まで延期できるため、アプリケーションの互換性を確保する時間を稼ぐことができます。
ポスト量子鍵交換のロールアウト
ポスト量子鍵交換によるセキュリティ保護は重要であるため、 Google Cloud は 2026 年 10 月からデフォルトで有効にします。これは、SSL ポリシーが関連付けられていないロードバランサ、またはポスト量子鍵交換設定のない SSL ポリシーを使用するロードバランサに影響します。必要に応じて、DEFERRED 設定を使用して、ポスト量子鍵交換の有効化を 2027 年 10 月まで延期できます。
次のタイムラインは、ロードバランサのポスト量子鍵交換サポートの計画されたロールアウトを示しています。
| タイムライン | ポスト量子鍵交換のステータス |
|---|---|
| 現在 | デフォルトで無効。ENABLED に設定した場合のみ有効 |
| 2026 年 10 月以降 | デフォルトで有効。DEFERRED に設定すると無効になります。 |
| 2027 年 10 月以降 | 常に有効 |