비대칭 양자 내성 암호 (PQC) 인사이트 보기

이 페이지에서는 콘솔의 Cloud KMS 키 관리 개요에서 양자 내성 암호 (PQC) 인사이트 차트를 사용하여 비대칭 키 인벤토리를 평가하고 향후 암호화 현대화를 준비하는 방법을 설명합니다.Cloud de Confiance

양자 컴퓨팅의 출현은 널리 사용되는 공개 키 암호화 알고리즘에 잠재적인 위협이 됩니다. PQC 인사이트 차트를 사용하면 기존 비대칭 키를 식별하고 인벤토리를 작성하여 향후 현대화를 계획하고 장기적인 복원력을 보장하는 데 필요한 가시성을 확보할 수 있습니다.

ENCRYPT_DECRYPT에 사용되는 키와 같은 대칭 키는 일반적으로 양자 컴퓨터 공격에 저항력이 있는 것으로 간주되며 이 대시보드에는 포함되지 않습니다. Cloud KMS에서 지원하는 알고리즘에 대한 자세한 내용은 키 용도 및 알고리즘을 참조하세요.

시작하기 전에

PQC 인사이트를 보는 데 필요한 권한을 얻으려면 관리자에게 프로젝트에 대한 Cloud KMS 뷰어 (roles/cloudkms.viewer) IAM 역할을 부여해 달라고 요청하세요.

PQC 인사이트 보기

비대칭 PQC 인사이트 차트는 사용하는 알고리즘의 분류를 기반으로 비대칭 키의 대략적인 시각적 분석을 제공합니다.

  1. 콘솔에서 키 관리 페이지로 이동합니다. Cloud de Confiance

    Key Management Service로 이동

  2. 개요 탭을 클릭한 다음 비대칭 PQC 인사이트 차트로 이동합니다.

  3. (선택사항) 차트의 세그먼트를 클릭하여 나타내는 키의 수를 확인합니다. 세그먼트의 보기 를 클릭하여 비대칭 PQC 인사이트 세부정보 표를 볼 수도 있습니다.

이 차트는 키를 두 가지 주요 그룹으로 분류합니다.

  • 양자 내성: 향후 양자 컴퓨터의 공격에 저항력을 갖도록 특별히 설계된 암호화 알고리즘을 사용하는 키입니다.
  • 기존: 현재는 기존 공격으로부터 안전하지만 향후 양자 컴퓨터의 공격에 취약할 수 있는 기존 비대칭 알고리즘 (예: RSA 또는 ECC)을 사용하는 키입니다.

차트는 암호화 용도 및 암호화 유형별로 이러한 키를 추가로 분류합니다.

세부정보 표 이해하기

이 페이지의 표에는 현재 프로젝트 내의 비대칭 키가 나열되어 있으며 다음 정보가 제공됩니다.

  • 키 이름: 키의 이름입니다. 이름을 클릭하여 특정 키의 키 세부정보 페이지로 이동합니다.
  • 위치: 키가 있는 위치입니다.
  • 보호 수준: 키의 보호 수준입니다.
  • 용도: 키의 암호화 용도입니다(예: ASYMMETRIC_SIGN).
  • 암호화 유형: 키가 PQC 또는 기존 알고리즘을 사용하는지 여부를 나타냅니다.

표 위의 필터 막대를 사용하여 이러한 속성을 기반으로 키 목록을 세분화할 수 있습니다.

향후 현대화를 위한 기존 키 평가

양자 내성 대안으로 전환할 수 있는 기존 비대칭 키의 기존 비대칭 알고리즘을 검토해야 합니다. 이러한 키는 기존 공격에 대해 여전히 강력한 보호를 제공합니다. 하지만 양자 내성 알고리즘을 채택하면 향후 발생할 수 있는 양자 위협에 대한 장기적인 복원력을 보장하는 데 도움이 됩니다. 다음 표에는 키 용도 및 알고리즘과 각 알고리즘이 양자 내성 보안으로 간주되는지 여부가 나와 있습니다.

용도 알고리즘 암호화 유형 양자 내성 대안
ASYMMETRIC_SIGN EC_SIGN_* 기존 PQ_SIGN_* 알고리즘을 사용하는 ASYMMETRIC_SIGN
ASYMMETRIC_SIGN RSA_SIGN_* 기존 PQ_SIGN_* 알고리즘을 사용하는 ASYMMETRIC_SIGN
ASYMMETRIC_SIGN PQ_SIGN_* PQC 양자 내성 보안
ASYMMETRIC_DECRYPT RSA_DECRYPT_* 기존 KEY_ENCAPSULATION 알고리즘
KEY_ENCAPSULATION 전체 PQC 양자 내성 보안

PQC 표준을 조기에 채택하면 다음과 같은 이점이 있습니다.

  • ASYMMETRIC_DECRYPT 키를 KEY_ENCAPSULATION 키로 바꾸면 악의적인 행위자가 복호화할 방법 없이 암호화된 텍스트를 가로채지만 언젠가 암호화를 해독할 수 있기를 바라며 암호화된 텍스트를 저장하는 '지금 수집, 나중에 복호화'(HNDL) 공격으로부터 암호화된 데이터를 보호하는 데 도움이 됩니다.
  • EC_SIGN_* 또는 RSA_SIGN_* 알고리즘을 사용하는 ASYMMETRIC_SIGN 키를 PQ_SIGN_* 알고리즘으로 바꾸면 서명에 대한 장기적인 부인 방지 기능을 제공합니다.

Cloud 애셋 인벤토리로 키 식별

Cloud 애셋 인벤토리를 사용하여 알고리즘 유형별로 Cloud KMS 애셋을 프로그래매틱 방식으로 나열하고 필터링할 수 있습니다.

조직 전체 검색

  1. PQ_SIGN_*, ML_KEM_*, KEM_XWING과 같은 양자 내성 알고리즘을 사용하는 키를 나열하려면 다음 명령어를 실행합니다.

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  2. 양자 내성 알고리즘을 사용하지 않는 비대칭 키, 즉 기존 알고리즘을 사용하는 비대칭 키를 나열하려면 다음 명령어를 실행합니다.

    gcloud asset list \
      --organization=ORGANIZATION_ID \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(1):label=PROJECT, name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

프로젝트 전체 검색

  1. Google Cloud CLI가 올바른 프로젝트를 타겟팅하는지 확인합니다.

    gcloud config set project PROJECT_ID
    
  2. PQ_SIGN_*, ML_KEM_*, KEM_XWING과 같은 양자 내성 알고리즘을 사용하는 키를 나열하려면 다음 명령어를 실행합니다.

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    
  3. 양자 내성 알고리즘을 사용하지 않는 비대칭 키, 즉 기존 알고리즘을 사용하는 비대칭 키를 나열하려면 다음 명령어를 실행합니다.

    gcloud asset list \
      --project="$(gcloud config get-value project)" \
      --asset-types="cloudkms.googleapis.com/CryptoKey" \
      --content-type=resource \
      --filter='(resource.data.purpose = "ASYMMETRIC_SIGN" OR resource.data.purpose = "ASYMMETRIC_DECRYPT" OR resource.data.purpose = "KEY_ENCAPSULATION") AND NOT (resource.data.versionTemplate.algorithm:PQ_SIGN* OR resource.data.versionTemplate.algorithm:ML_KEM* OR resource.data.versionTemplate.algorithm = "KEM_XWING")' \
      --format='table(name.segment(-3):label=KEY_RING, name.segment(-1):label=CRYPTO_KEY, resource.data.purpose:label=PURPOSE, resource.data.versionTemplate.algorithm:label=ALGORITHM)'
    

양자 공격으로 인한 위험을 완화하려면 기존 알고리즘을 사용하는 비대칭 키에서 전환하세요.

  • 비대칭 복호화 키의 경우: 비대칭 복호화에 사용되는 키의 경우 비대칭 암호화를 하이브리드 공개 키 암호화 (HPKE)로 바꿔 인벤토리를 현대화할 수 있습니다. HPKE에서는 ML_KEM_768과 같은 양자 내성 알고리즘을 사용하는 KEY_ENCAPSULATION 용도의 키를 사용하여 보안 비밀을 공유합니다. 자세한 내용은 키 캡슐화 메커니즘을 참조하세요.
  • 비대칭 서명 키의 경우: 디지털 서명의 경우 PQ_SIGN_ML_DSA_65와 같은 양자 내성 알고리즘을 사용하는 ASYMMETRIC_SIGN 용도의 새 키를 만들어 인벤토리를 현대화할 수 있습니다.

대칭 키의 양자 내성 복원력

비대칭 PQC 인사이트 차트의 초점인 비대칭 키와 달리 대칭 키는 일반적으로 양자 컴퓨터 공격에 저항력이 있는 것으로 간주됩니다. 주목할 만한 예외는 MAC 알고리즘을 사용하는 HMAC-SHA1 키입니다. 다양한 알고리즘에 대한 자세한 내용은 키 용도 및 알고리즘을 참조하세요.

다음 단계