Kubernetesにおけるポスト量子暗号 ノート

Kubernetesにおけるポスト量子暗号

量子耐性暗号(PQC)は、量子コンピューターが現在の暗号化規格を破る脅威に対する対応です。PQCアルゴリズムは、古典コンピューターと量子コンピューターの両方からの攻撃に対して安全であるように設計されています。業界は、PQCアルゴリズムの標準化と採用に取り組んでおり、最初の標準化アルゴリズムはモジュラー格子鍵カプセル化メカニズム(ML-KEM)です。PQC規格への移行は、2030年から2035年の間に予想されています。TLSでは、鍵交換とデジタル署名が、2つの主要な暗号化操作であり、鍵交換は攻撃のリスクがあるため、優先順位が高いです。古典的なアルゴリズムとPQCアルゴリズムを組み合わせたハイブリッド鍵交換メカニズムが、鍵交換を保護するために採用されています。PQC鍵交換メカニズムのサポートは、Go、ブラウザ、OpenSSL、Appleを含むエコシステム全体で急速に改善されています。Kubernetes v1.33は、Go 1.24を使用しており、デフォルトでTLS接続のためのハイブリッド量子耐性X25519MLKEM768をサポートしており、これはKubernetesを量子耐性にするための重要なステップです。ただし、Goバージョンの不一致やパケットサイズの問題などの制限や潜在的な落とし穴がまだ存在し、解決する必要があります。PQCデジタル署名は、開発と採用の初期段階にあり、鍵と署名のサイズが大きいこと、パフォーマンスの問題、ツールチェーンのサポートが限られていることなどの課題があります。