Cloudflareが2029年までの完全なポスト量子セキュリティを目標に設定

2026年4月7日 | Bas Westerbaan | 8分で読める

Cloudflareはポスト量子ロードマップを加速しています。現在、重要なポスト量子認証を含む完全なポスト量子（PQ）セキュリティを2029年までに実現することを目標としています。

Cloudflareでは、インターネットをデフォルトでプライベートかつセキュアにすることを信念としています。2014年に無料のユニバーサルSSL証明書の提供を開始し、2019年にポスト量子移行の準備を始め、2022年にはすべてのウェブサイトとAPIでポスト量子暗号化を有効にし、harvest-now/decrypt-later攻撃を軽減しました。

Cloudflareへの人間のトラフィックの65%以上がポスト量子暗号化されているという事実に興奮していますが、認証もアップグレードされるまで私たちの作業は完了しません。信頼できる新しい研究と急速な業界の発展により、移行の期限は予想よりもはるかに早いことが示唆されています。これは、あらゆる組織が緊急性を持って取り組まなければならない課題であり、そのため私たち自身の内部Q-Day準備タイムラインを前倒ししています。

何が起こったのか？

先週、Googleはインターネットのセキュリティに広く使用されている楕円曲線暗号を破る量子アルゴリズムを大幅に改善したと発表しました。彼らはアルゴリズムを公開しませんでしたが、代わりにそれを持っているというゼロ知識証明を提供しました。

これは最大のブレークスルーでさえありません。同じ日に、Oratomicは中性原子コンピュータでRSA-2048とP-256を破るためのリソース推定を公開しました。P-256については、驚くほど少ない10,000量子ビットしか必要としません。

超伝導量子コンピュータと並んで中性原子も追求するというGoogleの最近の発表の動機が今明らかになりました。Oratomicは基本的なアプローチを説明していますが、意図的に重要な詳細を省いています。

これらの独立した進歩により、Googleは2029年までにポスト量子移行タイムラインを加速することになりました。さらに、彼らの発表やその他の講演で、Googleはharvest-now/decrypt-later攻撃の軽減よりも量子セキュア認証を優先しています。

次に議論するように、この優先順位はGoogleがQ-Dayが2030年という早い時期に来ることを懸念していることを示しています。発表後、IBM Quantum SafeのCTOはより悲観的で、2029年という早い時期に高価値ターゲットに対する量子「ムーンショット攻撃」を排除できないとしています。

量子脅威はよく知られています：Q-Dayは、十分に能力のある量子コンピュータが今日システム全体でデータとアクセスを保護するために使用されている重要な暗号を破ることができる日です。暗号学的に関連する量子コンピュータ（CRQC）はまだ存在しませんが、世界中の多くの研究室が構築に向けて異なるアプローチを追求しています。

最近まで、CRQCの進歩はほとんど公開されていましたが、それが続くと期待する理由はありません。実際、進歩が公の目から離れることを期待する十分な理由があります。量子コンピュータ科学者のScott Aaronsonが2025年末に警告したように：

ある時点で、Shorのアルゴリズムを使用して実際に展開された暗号システムを破るのに必要な物理量子ビットとゲートの数の詳細な推定を行っている人々は、敵に過度の情報を与えるリスクがあるという理由だけでも、これらの推定の公開を停止するでしょう。実際、私たちが知る限り、その時点はすでに過ぎているかもしれません。

その時点は確かに過ぎました。

なぜ今なのか：3つの前線での独立した進歩

量子コンピューティングの進歩を予測することが困難な理由について説明したいと思います。先週目撃したような理解における突然の「量子」飛躍は、すべてが公の目に触れる場所で起こっても発生する可能性があります。

簡単に言えば、量子コンピュータで暗号を破るには、3つの独立した前線でのエンジニアリングが必要です：量子ハードウェア、エラー訂正、量子ソフトウェア。各前線での進歩は他の前線での進歩を複合的に促進します。

ハードウェア

多くの異なる競合するアプローチがあります。中性原子と超伝導量子ビットについて言及しましたが、イオントラップ、フォトニクス、トポロジカル量子ビットのようなムーンショットもあります。補完的なアプローチを組み合わせることさえできます。これらのアプローチのほとんどは、世界中のいくつかの研究室で追求されています。

エラー訂正

すべての量子コンピュータはノイズが多く、意味のある計算を実行するためにエラー訂正コードが必要です。これはかなりのオーバーヘッドを追加しますが、その量はアーキテクチャに依存します。

ソフトウェア

最後に、暗号を破る量子アルゴリズムを改善することができます。これがGoogleのブレークスルーです：彼らはP-256を破るアルゴリズムを大幅に高速化しました。

全体像がまとまります：2025年に中性原子は予想よりもスケーラブルであることが判明し、今Oratomicはそのような高度に接続された量子ビットでより良いエラー訂正コードを実行する方法を見つけました。その上、P-256を破るのに必要な作業ははるかに少なくなります。

結果として、Q-Dayは典型的な2035年以降のタイムラインから大幅に前倒しされ、中性原子が先頭に立ち、他のアプローチもそれほど遅れていません。

認証に焦点を当てる時

歴史的に、ポスト量子暗号（PQC）に対する業界の焦点は、harvest-now/decrypt-later（HNDL）攻撃を阻止するPQ暗号化に主に基づいていました。HNDL攻撃では、敵が今日機密の暗号化されたネットワークトラフィックを収集し、強力な量子コンピュータを使用してデータを復号化できる将来の日まで保存します。

HNDL攻撃は、Q-Dayが遠い時の主要な脅威です。そのため、これまでの私たちの焦点は、2022年以来製品でデフォルトでポスト量子暗号化を採用することにより、このリスクを軽減することでした。

今日、上記で述べたように、ほとんどのCloudflare製品はHNDL攻撃に対してセキュアであり、現在残りをアップグレードする作業を進めています。

攻撃のもう一つのカテゴリは認証に対するものです：機能する量子コンピュータで武装した敵がサーバーになりすましたり、アクセス資格情報を偽造したりします。Q-Dayが遠い場合、認証は緊急ではありません：PQ証明書と署名の展開は価値を追加せず、努力のみを追加します。

差し迫ったQ-Dayはスクリプトを反転させます：データ漏洩は深刻ですが、壊れた認証は破滅的です。見落とされた量子脆弱なリモートログインキーは、攻撃者が恐喝、停止、またはシステムの盗聴など、望むことを行うためのアクセスポイントです。

最も脆弱なシステムの優先順位付け

量子コンピュータが今後数年で到着する場合、それらは希少で高価になるでしょう。攻撃者は、ルート証明書、API認証キー、コード署名証明書など、実質的な資産や永続的なアクセスを解除する長寿命キーのような高価値ターゲットを優先するでしょう。

攻撃者がそのようなキーの1つを侵害できれば、発見されるかそのキーが取り消されるまで無期限のアクセスを保持します。これは長寿命キーを優先すべきであることを示唆しています。

Cloudflareの完全なポスト量子セキュリティへのロードマップ

今日、Cloudflareは製品の大部分でharvest-now/decrypt-laterを軽減するポスト量子暗号化を提供しています。これは、顧客とインターネット全体を保護するために10年以上前に開始した作業の成果です。

私たちは2029年までに認証を含む製品スイート全体の完全なポスト量子セキュリティを目標としています。ここで、リスクと展開の課題に対する理解が進化するにつれて変更される可能性のある、設定した中間マイルストーンをいくつか共有します。

私たちの推奨事項

企業に対して、あらゆる調達でポスト量子サポートを要件にすることを推奨します。ソフトウェアを最新に保ち、証明書発行を自動化するなどの一般的なベストプラクティスは意味があり、かなり遠くまで到達できます。