このページでは、Cloud de Confiance コンソールの Cloud KMS の鍵管理の概要にあるポスト量子暗号(PQC)分析情報グラフを使用して、非対称鍵のインベントリを評価し、将来の暗号の近代化に備える方法について説明します。
量子コンピューティングの登場は、広く使用されている公開鍵暗号アルゴリズムに潜在的な脅威をもたらします。PQC 分析情報グラフは、従来の非対称鍵を特定してインベントリに登録するのに役立ちます。これにより、将来のモダナイゼーションを計画し、長期的な復元力を確保するために必要な可視性が得られます。
対称鍵(ENCRYPT_DECRYPT に使用される鍵など)は一般的に量子コンピュータの攻撃に強いと考えられているため、このダッシュボードには含まれていません。Cloud KMS でサポートされているアルゴリズムの詳細については、鍵の目的とアルゴリズムをご覧ください。
始める前に
PQC 分析情報を表示するために必要な権限を取得するには、プロジェクトに対する Cloud KMS 閲覧者 (roles/cloudkms.viewer)IAM ロールの付与を管理者に依頼してください。
- Cloud Asset ビューアを直接クエリすることもできます。ロールの付与については、プロジェクト、フォルダ、組織へのアクセス権の管理をご覧ください。
PQC のインサイトを表示する
非対称 PQC のインサイト グラフは、使用されているアルゴリズムの分類に基づいて、非対称鍵の概要を視覚的に示します。
Cloud de Confiance コンソールで、[鍵管理] ページに移動します。
[概要] タブをクリックし、[非対称 PQC 分析情報] グラフに移動します。
省略可: グラフのセグメントをクリックして、そのセグメントが表すキーの数を表示します。セグメントの [表示] をクリックして、非対称 PQC のインサイトの詳細の表を表示することもできます。
このグラフでは、鍵を次の 2 つのメイングループに分類しています。
- ポスト量子: 将来の量子コンピュータからの攻撃に耐えるように特別に設計された暗号アルゴリズムを使用する鍵。
- 従来型: 従来型の非対称アルゴリズム(RSA や ECC など)を使用する鍵。現時点では従来型の攻撃に対して安全ですが、将来の量子コンピュータによる攻撃に対して脆弱です。
このグラフでは、これらの鍵を暗号化の目的と暗号化の種類でさらに分類しています。
詳細テーブルについて
このページの表には、現在のプロジェクト内の非対称鍵が一覧表示され、次の情報が表示されます。
- 鍵名: 鍵の名前。名前をクリックすると、その特定の鍵の [鍵の詳細] ページに移動します。
- 場所: 鍵が存在する場所。
- 保護レベル: 鍵の保護レベル。
- 目的: 鍵の暗号化の目的(例:
ASYMMETRIC_SIGN)。 - 暗号タイプ: 鍵が PQC アルゴリズムと従来のアルゴリズムのどちらを使用するかを示します。
テーブルの上にあるフィルタバーを使用して、これらの属性に基づいてキーのリストを絞り込むことができます。
将来のモダナイゼーションに向けて従来の鍵を評価する
ポスト量子代替に移行できる従来の非対称アルゴリズムについて、既存の非対称鍵を確認する必要があります。これらの鍵は、従来の攻撃に対する強力な保護を提供します。ただし、ポスト量子アルゴリズムを採用することで、将来の量子コンピュータによる脅威に対する長期的な復元力を確保できます。次の表に、鍵の用途とアルゴリズム、およびそれぞれが量子コンピュータ耐性があると見なされるかどうかを示します。
| 目的 | アルゴリズム | 暗号化の種類 | ポスト量子代替 |
|---|---|---|---|
ASYMMETRIC_SIGN |
EC_SIGN_* |
従来 | PQ_SIGN_* アルゴリズムを使用した ASYMMETRIC_SIGN |
ASYMMETRIC_SIGN |
RSA_SIGN_* |
従来 | PQ_SIGN_* アルゴリズムを使用した ASYMMETRIC_SIGN |
ASYMMETRIC_SIGN |
PQ_SIGN_* |
PQC | ポスト量子安全 |
ASYMMETRIC_DECRYPT |
RSA_DECRYPT_* |
従来 | KEY_ENCAPSULATION 個のアルゴリズム |
KEY_ENCAPSULATION |
すべて | PQC | ポスト量子安全 |
PQC 標準を早期に採用することには、次のようなメリットがあります。
ASYMMETRIC_DECRYPT鍵をKEY_ENCAPSULATION鍵に置き換えると、「今収集して後で解読」(HNDL)攻撃から暗号化されたデータを保護できます。この攻撃では、悪意のあるユーザーが暗号文を傍受して復号できないようにしますが、いつか暗号を解読できることを期待して暗号文を保存します。EC_SIGN_*またはRSA_SIGN_*アルゴリズムを使用するASYMMETRIC_SIGN鍵をPQ_SIGN_*アルゴリズムに置き換えると、署名の長期的な否認防止が実現します。
Cloud Asset Inventory で鍵を特定する
Cloud Asset Inventory を使用すると、アルゴリズム タイプで Cloud KMS アセットをプログラムで一覧表示してフィルタできます。
組織全体を検索する
PQ_SIGN_*、ML_KEM_*、KEM_XWINGなどのポスト量子アルゴリズムを使用する鍵を一覧表示するには、次のコマンドを実行します。gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'ポスト量子アルゴリズムを使用しない非対称鍵(従来型アルゴリズムを使用する非対称鍵)を一覧表示するには、次のコマンドを実行します。
gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
プロジェクト全体を検索する
Google Cloud CLI のターゲットが正しいプロジェクトであることを確認します。
gcloud config set project PROJECT_IDPQ_SIGN_*、ML_KEM_*、KEM_XWINGなどのポスト量子アルゴリズムを使用する鍵を一覧表示するには、次のコマンドを実行します。gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'ポスト量子アルゴリズムを使用しない非対称鍵(従来型アルゴリズムを使用する非対称鍵)を一覧表示するには、次のコマンドを実行します。
gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
推奨されるモダナイゼーション パス
量子攻撃のリスクを軽減するには、従来型アルゴリズムを使用する非対称鍵から移行します。
- 非対称復号鍵の場合: 非対称復号に使用される鍵については、非対称暗号化をハイブリッド公開鍵暗号化(HPKE)に置き換えることで、インベントリを最新化できます。HPKE では、
ML_KEM_768などのポスト量子アルゴリズムを使用する目的KEY_ENCAPSULATIONの鍵を使用して、秘密を共有します。詳細については、鍵カプセル化メカニズムをご覧ください。 - 非対称署名鍵の場合: デジタル署名の場合は、
PQ_SIGN_ML_DSA_65などのポスト量子アルゴリズムを使用する目的ASYMMETRIC_SIGNの新しい鍵を作成して、インベントリを最新化できます。
対称鍵のポスト量子耐性
非対称 PQC のインサイト グラフの対象となる非対称鍵とは異なり、対称鍵は一般的に量子コンピュータによる攻撃に強いと考えられています。ただし、HMAC-SHA1 アルゴリズムを使用する MAC 鍵は例外です。さまざまなアルゴリズムの詳細については、鍵の目的とアルゴリズムをご覧ください。
次のステップ
- 利用可能な鍵の目的とアルゴリズムを確認します。
- 詳しくは、鍵のカプセル化をご覧ください。