【要約】【解説】PQC移行は「計画」から「期限付き実装」へ — 米国の新たな大統領令「Securing the Nation Against Advanced Cryptographic Attacks」を読む [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
量子計算機の発展により、既存の公開鍵暗号が将来的に解読されるリスクに直面している。米国政府は、以下の技術的課題を解決する必要がある。
- ・HNDL(Harvest Now, Decrypt Later)攻撃:現在収集した暗号文を、将来の量子計算機で解読する脅威。
- ・移行の遅延:従来の「2035年まで」という緩やかな目標では、実効的な対策が間に合わない懸念。
- ・資産の不透明性:組織内のどのシステムで、どの暗号アルゴリズムが使用されているか把握できていない。
// Approach
米国政府は、大統領令を通じて、連邦機関およびそのサプライチェーンに対しPQC移行を強制する。
- ・期限の具体化:HVA等の重要システムに対し、鍵共有(2030年末)と署名(2031年末)の期限を明示。
- ・CBOMの導入:CISAが暗号資産の最小要素ガイダンスを策定し、暗号の自動評価を実現。
- ・調達による強制:FAR(連邦調達規則)の改正やCMVPの迅速化を通じ、ベンダーにFIPS準拠を要求。
// Result
本大統領令により、PQC移行は抽象的な計画から、具体的な実装フェーズへと移行した。
- ・対象の明確化:NSS(国家安全保障システム)を除外した、民生・重要インフラへの適用範囲を定義。
- ・サプライチェーンへの波及:米国政府調達に関わるベンダーに対し、2030年末までのFIPS準拠を要求。
- ・暗号アジリティの推進:CBOMの活用により、暗号資産の機械可読な管理体制の構築を促す。
Senior Engineer Insight
> 本件は単なる基準更新ではなく、サプライチェーン全体の設計変更を強いるものである。特に「鍵共有」の期限が「署名」より早い点は、HNDL対策として機密性確保を優先した合理的な判断だ。現場としては、単にアルゴリズムを入れ替えるだけでなく、CBOMのような機械可読な管理手法を取り入れ、暗号アジリティを確保する設計が不可欠となる。米国政府調達に関わるベンダーは、2030年をデッドラインとしたロードマップ策定が急務である。