Cloudflareへの人間が生成したTLSトラフィックの3分の2以上が既に耐量子暗号化によって保護されている一方で、サイト間ネットワークの世界は異なる状況にありました。長年にわたり、IPsecコミュニティはインターネット規模の相互運用性の高いハードルと専門的なハードウェアのニッチな要件の間で立ち往生していました。その隙間は今、閉じられようとしています。
先月、Cloudflareは量子コンピューティングの最近の進歩に促されて、完全な耐量子セキュリティの目標を2029年に前倒しすることを発表しました。その目標を達成するため、Cloudflare IPsecの耐量子暗号化を一般利用可能にしました。新しいIETFドラフトのハイブリッドML-KEM(FIPS 203)を使用して、FortinetおよびCiscoのブランチコネクタとの相互運用性を正常にテストしました。つまり、既に所有しているハードウェアを使用して、今日からharvest-now-decrypt-later攻撃からワイドエリアネットワーク(WAN)を保護し始めることができます。
この記事では、新しいハイブリッドIPsecハンドシェイクの実装方法、TLSの対応物よりも4年長くかかった理由、そして業界がついにインターネット規模で機能する標準に統合されている方法について説明します。
Cloudflare IPsec
Cloudflare IPsecは、データセンター、ブランチオフィス、クラウドVPCをCloudflareのグローバルIPエニーキャストネットワークに接続することで、レガシーネットワークアーキテクチャを置き換えるWANネットワークアズアサービスです。顧客は、簡略化された構成、高可用性(データセンターが利用不可になった場合、トラフィックは自動的に最も近い健全なものに再ルーティングされます)、およびCloudflareのグローバルネットワークのスケールを得られます。これは、サイト間WAN、アウトバウンドインターネット接続、およびCloudflare One SASEプラットフォームへの接続をサポートする暗号化IPsecトンネルを通じて実現されます。
IPsecの耐量子暗号化
Cloudflare IPsecは、harvest-now-decrypt-later攻撃を防ぐために、ハイブリッドML-KEM(FIPS 203)を使用した耐量子暗号化を使用するようになりました。これらは、攻撃者が今日データを収集し、その後Q-Day後に、インターネット全体で使用されている古典的な公開鍵暗号を破ることができる強力な量子コンピュータがある場合に復号化する攻撃です。
Q-Dayが予想より早く近づいているため、harvest-now-decrypt-later攻撃はより多くの組織にとって懸念事項になりつつあります。
ML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism)は、量子コンピュータによる攻撃に対して脆弱であることが知られていない数学的仮定に基づいている耐量子暗号化アルゴリズムです。送信者と受信者の間に特別なハードウェアまたは専用の物理リンクは必要ありません。ML-KEMは、ネットワークトラフィックの耐量子暗号化を提供するために、標準プロセッサ全体でソフトウェアで実装されるように意図的に設計されています。
Draft-ietf-ipsecme-ikev2-mlkemは、古典的なDiffie-Hellmanの十分に理解されたセキュリティとML-KEMの耐量子セキュリティを単一の標準準拠のハンドシェイクで組み合わせるハイブリッドML-KEMを使用したIPsecの耐量子暗号化を指定しています。具体的には、古典的なDiffie-Hellman交換が最初に実行され、その導出キーが2番目の交換を暗号化してML-KEMを実行し、両方の出力がEncapsulating Security Payload(ESP)プロトコルを使用して送信されるIPsecデータプレーントラフィックを保護するセッションキーに混合されます。
相互運用可能な実装
以前、Cloudflare IPsecプロダクトでのdraft-ietf-ipsecme-ikev2-mlkemの実装のクローズドベータを発表し、リファレンス実装(strongswan)に対してテストしました。この実装を一般利用可能にしたので、Ciscoおよびfortinet を含む他のベンダーとの相互運用性も確認しました。これは、この新しい標準にとって大きな勝利です。
Cisco: Cisco 8000シリーズセキュアルーターをバージョン26.1.1以降のブランチコネクタとして使用している顧客は、draft-ietf-ipsecme-ikev2-mlkemに従って耐量子Cloudflare IPsecトンネルを確立できるようになりました。
Fortinet: Fortinet FortiOS 7.6.6以降をブランチコネクタとして使用している顧客は、draft-ietf-ipsecme-ikev2-mlkemに従ってCloudflareのグローバルネットワークへの耐量子Cloudflare IPsecトンネルを確立できるようになりました。
相互運用性の重要性
暗号化のアップグレードは困難であり、数年かかる可能性があるため、耐量子暗号化への完全な更新のための2029年の目標日は、集中的な努力を必要とします。そのため、IPsecコミュニティがdraft-ietf-ipsecme-ikev2-mlkemのような相互運用可能な標準の開発に引き続き焦点を当てることを期待しています。これらの標準がなぜ非常に重要なのかを説明しましょう。
IPsecのハイブリッドML-KEMの完全な仕様であるdraft-ietf-ipsecme-ikev2-mlkemは、2025年後半にのみ利用可能になりました。これはTLSでハイブリッドML-KEMのサポートが実装されてからおよそ4年後です。(実際、Cloudflareは2022年にTLSでハイブリッド耐量子鍵合意をオンにしました。これはNISTがML-KEMの標準化を完了する前でさえあります。TLSコミュニティが単一の相互運用可能なアプローチにすぐに収束し、それをプロダクションに押し出したためです。今日、Cloudflareのネットワークへの人間が生成したTLSトラフィックの3分の2以上がハイブリッドML-KEMで保護されています。)
4年の遅延は、部分的には、2020年に公開されたRFC 8784で成文化されたIPsecコミュニティの量子鍵配送(QKD)への継続的な関心によるものと考えられます。QKDが耐量子戦略の一部ではない理由については、以前に書きました。
- QKDは専門的なハードウェアと2者間の専用物理リンクを必要とするため、基本的にはインターネット規模では動作しません。
- QKDは認証を提供しないため、アクティブな攻撃者を停止するために耐量子暗号化が必要です。
- ベンダー間で相互運用するQKDの実装を見つけることは困難です。
- 米国のNSA、ドイツのBSI、英国のNCSCはすべてQKDのみに依存することに対して警告しています。
対照的に、耐量子暗号化は既に所有しているハードウェアで実行され、両端の当事者を認証し、インターネット全体でエンドツーエンドで機能します。
2023年に公開されたRFC 9370は、IPsecでの耐量子暗号化への扉を開き、古典的なDiffie-Hellmanと並行して最大7つの鍵交換を実行することを許可しました。ただし、RFC 9370はこれらの並列鍵交換で使用すべき暗号スイートを指定しませんでした。その仕様がない場合、一部のベンダーはハイブリッドML-KEMドラフトが利用可能になる前にRFC 9370の下で初期実装を出荷し、NIST標準化されていないものを含む独自の暗号スイートを定義しました。これはまさにNIST SP 800 52r2が警告した「暗号スイートの肥大化」です。相互運用性のリスクは実際に現れています。
Cloudflare IPsecは、draft-ietf-ipsecme-ikev2-mlkemが利用可能になる前に起動されたため、Palo Alto NetworksのRFC 9370ベースの実装とはまだ相互運用しません。
幸いなことに、RFC 9370のギャップを埋めるdraft-ietf-ipsecme-ikev2-mlkemが現在あり、古典的なDiffie-Hellmanと並行して動作できる鍵交換メカニズムの1つとしてハイブリッドML-KEMを指定しています。業界がdraft-ietf-ipsecme-ikev2-mlkemの周りに統合し続けるにつれて、Palo Alto Networksを相互運用可能な耐量子ブランチコネクタのリストに追加することを期待しています。
しかし、相互運用可能な耐量子IPsec標準への道のりはまだ終わっていません。draft-ietf-ipsecme-ikev2-mlkemは耐量子暗号化をサポートしていますが、Q-Day後のライブシステムに対する量子敵対者による攻撃を停止できるように、耐量子認証のためのIPsec標準が必要です。
耐量子準備の短縮されたタイムラインを考えると、IPsecコミュニティがQKDのニッチなユースケースに焦点を転じるのではなく、相互運用可能なPQC実装に引き続き焦点を当てることを期待しています。
相互運用可能な耐量子インターネットに向けて
Cloudflareでは、専門的なハードウェアなしで、顧客に追加費用をかけずに、安全で耐量子インターネットをすべての人がアクセスできるようにするのを支援しています。耐量子Cloudflare IPsecは、2029年までの完全な耐量子セキュリティへの道のりにおけるもう1つのステップであり、インターネットが今後数年間、開放的で相互運用可能なままであることを保証する方法で実行しています。
Cloudflareの接続クラウドは企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築するのを支援し、あらゆるウェブサイトまたはインターネットアプリケーションを加速し、DDoS攻撃を防ぎ、ハッカーを遠ざけ、Zero Trustへの道のりを支援できます。任意のデバイスから1.1.1.1にアクセスして、インターネットをより高速で安全にする無料アプリを開始してください。より良いインターネットを構築するというミッションについて詳しく知るには、ここから始めてください。新しいキャリアの方向を探している場合は、採用情報をご確認ください。