이 페이지에서는 콘솔의 Cloud KMS 키 관리 개요에서 양자 내성 암호 (PQC) 인사이트 차트를 사용하여 비대칭 키 인벤토리를 평가하고 향후 암호화 현대화를 준비하는 방법을 설명합니다.Cloud de Confiance
양자 컴퓨팅의 출현은 널리 사용되는 공개 키 암호화 알고리즘에 잠재적인 위협이 됩니다. PQC 인사이트 차트를 사용하면 기존 비대칭 키를 식별하고 인벤토리를 작성하여 향후 현대화를 계획하고 장기적인 복원력을 보장하는 데 필요한 가시성을 확보할 수 있습니다.
ENCRYPT_DECRYPT에 사용되는 키와 같은 대칭 키는 일반적으로 양자 컴퓨터 공격에 저항력이 있는 것으로 간주되며 이 대시보드에는 포함되지 않습니다. Cloud KMS에서 지원하는 알고리즘에 대한 자세한 내용은 키 용도 및 알고리즘을 참조하세요.
시작하기 전에
PQC 인사이트를 보는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 Cloud KMS 뷰어 (roles/cloudkms.viewer) IAM 역할을 부여해 달라고 요청하세요.
- Cloud 애셋 뷰어를 직접 쿼리할 수도 있습니다. 역할 부여에 대한 자세한 내용은 프로젝트, 폴더, 조직에 대한 액세스 관리를 참조하세요.
PQC 인사이트 보기
비대칭 PQC 인사이트 차트는 사용하는 알고리즘의 분류를 기반으로 비대칭 키의 대략적인 시각적 분석을 제공합니다.
콘솔에서 키 관리 페이지로 이동합니다. Cloud de Confiance
개요 탭을 클릭한 다음 비대칭 PQC 인사이트 차트로 이동합니다.
(선택사항) 차트의 세그먼트를 클릭하여 나타내는 키의 수를 확인합니다. 세그먼트의 보기 를 클릭하여 비대칭 PQC 인사이트 세부정보 표를 볼 수도 있습니다.
이 차트는 키를 두 가지 주요 그룹으로 분류합니다.
- 양자 내성: 향후 양자 컴퓨터의 공격에 저항력을 갖도록 특별히 설계된 암호화 알고리즘을 사용하는 키입니다.
- 기존: 현재는 기존 공격으로부터 안전하지만 향후 양자 컴퓨터의 공격에 취약할 수 있는 기존 비대칭 알고리즘 (예: RSA 또는 ECC)을 사용하는 키입니다.
차트는 암호화 용도 및 암호화 유형별로 이러한 키를 추가로 분류합니다.
세부정보 표 이해하기
이 페이지의 표에는 현재 프로젝트 내의 비대칭 키가 나열되어 있으며 다음 정보가 제공됩니다.
- 키 이름: 키의 이름입니다. 이름을 클릭하여 특정 키의 키 세부정보 페이지로 이동합니다.
- 위치: 키가 있는 위치입니다.
- 보호 수준: 키의 보호 수준입니다.
- 용도: 키의 암호화 용도입니다(예:
ASYMMETRIC_SIGN). - 암호화 유형: 키가 PQC 또는 기존 알고리즘을 사용하는지 여부를 나타냅니다.
표 위의 필터 막대를 사용하여 이러한 속성을 기반으로 키 목록을 세분화할 수 있습니다.
향후 현대화를 위한 기존 키 평가
양자 내성 대안으로 전환할 수 있는 기존 비대칭 키의 기존 비대칭 알고리즘을 검토해야 합니다. 이러한 키는 기존 공격에 대해 여전히 강력한 보호를 제공합니다. 하지만 양자 내성 알고리즘을 채택하면 향후 발생할 수 있는 양자 위협에 대한 장기적인 복원력을 보장하는 데 도움이 됩니다. 다음 표에는 키 용도 및 알고리즘과 각 알고리즘이 양자 내성 보안으로 간주되는지 여부가 나와 있습니다.
| 용도 | 알고리즘 | 암호화 유형 | 양자 내성 대안 |
|---|---|---|---|
ASYMMETRIC_SIGN |
EC_SIGN_* |
기존 | PQ_SIGN_* 알고리즘을 사용하는 ASYMMETRIC_SIGN |
ASYMMETRIC_SIGN |
RSA_SIGN_* |
기존 | PQ_SIGN_* 알고리즘을 사용하는 ASYMMETRIC_SIGN |
ASYMMETRIC_SIGN |
PQ_SIGN_* |
PQC | 양자 내성 보안 |
ASYMMETRIC_DECRYPT |
RSA_DECRYPT_* |
기존 | KEY_ENCAPSULATION 알고리즘 |
KEY_ENCAPSULATION |
전체 | PQC | 양자 내성 보안 |
PQC 표준을 조기에 채택하면 다음과 같은 이점이 있습니다.
ASYMMETRIC_DECRYPT키를KEY_ENCAPSULATION키로 바꾸면 악의적인 행위자가 복호화할 방법 없이 암호화된 텍스트를 가로채지만 언젠가 암호화를 해독할 수 있기를 바라며 암호화된 텍스트를 저장하는 '지금 수집, 나중에 복호화'(HNDL) 공격으로부터 암호화된 데이터를 보호하는 데 도움이 됩니다.EC_SIGN_*또는RSA_SIGN_*알고리즘을 사용하는ASYMMETRIC_SIGN키를PQ_SIGN_*알고리즘으로 바꾸면 서명에 대한 장기적인 부인 방지 기능을 제공합니다.
Cloud 애셋 인벤토리로 키 식별
Cloud 애셋 인벤토리를 사용하여 알고리즘 유형별로 Cloud KMS 애셋을 프로그래매틱 방식으로 나열하고 필터링할 수 있습니다.
조직 전체 검색
PQ_SIGN_*,ML_KEM_*,KEM_XWING과 같은 양자 내성 알고리즘을 사용하는 키를 나열하려면 다음 명령어를 실행합니다.gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'양자 내성 알고리즘을 사용하지 않는 비대칭 키, 즉 기존 알고리즘을 사용하는 비대칭 키를 나열하려면 다음 명령어를 실행합니다.
gcloud asset list \ --organization=ORGANIZATION_ID \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
프로젝트 전체 검색
Google Cloud CLI가 올바른 프로젝트를 타겟팅하는지 확인합니다.
gcloud config set project PROJECT_IDPQ_SIGN_*,ML_KEM_*,KEM_XWING과 같은 양자 내성 알고리즘을 사용하는 키를 나열하려면 다음 명령어를 실행합니다.gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'양자 내성 알고리즘을 사용하지 않는 비대칭 키, 즉 기존 알고리즘을 사용하는 비대칭 키를 나열하려면 다음 명령어를 실행합니다.
gcloud asset list \ --project="$(gcloud config get-value project)" \ --asset-types="cloudkms.googleapis.com/CryptoKey" \ --content-type=resource \ --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \ --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
권장되는 현대화 경로
양자 공격으로 인한 위험을 완화하려면 기존 알고리즘을 사용하는 비대칭 키에서 전환하세요.
- 비대칭 복호화 키의 경우: 비대칭 복호화에 사용되는 키의 경우 비대칭 암호화를 하이브리드 공개 키 암호화 (HPKE)로 바꿔 인벤토리를 현대화할 수 있습니다. HPKE에서는
ML_KEM_768과 같은 양자 내성 알고리즘을 사용하는KEY_ENCAPSULATION용도의 키를 사용하여 보안 비밀을 공유합니다. 자세한 내용은 키 캡슐화 메커니즘을 참조하세요. - 비대칭 서명 키의 경우: 디지털 서명의 경우
PQ_SIGN_ML_DSA_65와 같은 양자 내성 알고리즘을 사용하는ASYMMETRIC_SIGN용도의 새 키를 만들어 인벤토리를 현대화할 수 있습니다.
대칭 키의 양자 내성 복원력
비대칭 PQC 인사이트 차트의 초점인 비대칭 키와 달리 대칭 키는 일반적으로 양자 컴퓨터 공격에 저항력이 있는 것으로 간주됩니다. 주목할 만한 예외는 MAC 알고리즘을 사용하는 HMAC-SHA1 키입니다.
다양한 알고리즘에 대한 자세한 내용은 키 용도 및
알고리즘을 참조하세요.
다음 단계
- 사용 가능한 키 용도 및 알고리즘을 검토합니다.
- 키 캡슐화에 대해 자세히 알아봅니다.