RHEL 10.1 のポスト量子暗号化の新機能

2025 年 5 月、Red Hat Enterprise Linux 10 (RHEL) に、量子コンピューターによる攻撃から保護するためのポスト量子暗号化 (PQC) に向けた第一歩が組み込まれました。これにより、RSA や楕円曲線などの既存の従来の暗号化アルゴリズムに対する攻撃が可能となります。暗号学的に関連性のある量子コンピューター (CRQC) の存在はまだ確認されていませんが、リスクがゼロというわけではありません。たとえば、「harvest now, decrypt later (今収集し、後で解読する)」攻撃において、現在量子コンピューターは不要です。量子コンピューターは保存されている暗号化データがその価値を失う前に利用可能であれば十分であり、転送されるデータによっては、それまでに数十年かかる場合があります。

量子時代の未来に備えて、RHEL 10.1 では「harvest now, decrypt later (今収集し、後で解読する)」攻撃に対する防御を改善し、パッケージにポスト量子署名を導入します。

次のセクションでは、トランスポート層セキュリティ (TLS) における PQC の変更点について説明し、次に RHEL のデフォルトの暗号化ポリシーの変更について説明します。RHEL が、ハイブリッドポスト量子鍵を使用してパッケージに署名した最初の主要な Linux ディストリビューションであることをご存じでしたか？

3 つ目のセクションでは、これらの変更の詳細について説明し、最後にユーザーとサードパーティーソフトウェアベンダーに推奨される次の手順について説明します。

TLS におけるポスト量子暗号化

TLS は、次の 2 つの場所でポスト量子暗号を使用できます。鍵交換。「harvest now, decrypt later (今収集し、後で解読する)」攻撃から保護し、署名機能は量子コンピューターを利用した中間者攻撃を防ぎます。RHEL 10.1 のリリースにより、OpenSSL、GnuTLS、NSS、または Go プログラミング言語を使用するアプリケーションでは、デフォルトでポスト量子鍵交換のサポートが有効になります。

OpenSSL、GnuTLS、NSS 暗号化ライブラリーは、さらに、NIST が標準化する PQC アルゴリズムである Module-Lattice-Based Digital Signature Algorithm (ML-DSA) による署名と TLS 証明書をサポートします。現在、ポスト量子暗号化を提供している公開認証局 (CA) はありませんが、プライベート CA または自己署名証明書は、現在 ML-DSA で作成できます。

RHEL 10.0 では、標準と実装の性質が急速に進化するため、この機能はテクノロジープレビューとしてリリースされました。現時点の変更点として、Module-Lattice-Based Key Encapsulation Mechanism (ML-KEM) および TLS の ML-DSA を使用したポスト量子暗号が一般提供されており、Go、OpenSSL、GnuTLS、NSS で完全にサポートされています。

RHEL 10.1 に向けて、Red Hat の開発者は PQC 鍵交換と PQC 証明書の製品全体のテスト作業を実行しました。これにより複数の問題が特定され、パッケージの保守担当者がの問題を、アップストリームのオープンソースプロジェクトとダウンストリームの RHEL で修正しています。TLS デプロイメントでハイブリッド PQC 鍵交換のテストを今すぐ開始し、従来の TLS 証明書と PQC TLS 証明書を併用するサーバーの計画を立てることを推奨します (「ポスト量子 TLS 証明書の作成」について参照してください)。

DEFAULT ポリシーによる PQC

RHEL での暗号化設定は、システム全体の暗号化ポリシーを使用して管理されます。DEFAULT が標準ポリシーになります。RHEL 10.1 では、このポリシーは、デフォルトでポスト量子暗号を有効にして優先するように変更されました。つまり、RHEL 10.1 以降のバージョンとの TLS および SSH 接続では、利用可能な場合は常にポスト量子鍵交換が自動的に使用されます。これら 2 つのプロトコルは広く使用されており、暗号化されたデータ転送の大部分を占める可能性があるため、セキュリティ体制が大幅に強化されます。

OpenSSL または NSS に基づく RHEL 9.7 上のアプリケーションは、sudo update-crypto-policies --set DEFAULT:PQ を使用してシステム全体の暗号化ポリシーモジュール「PQ」が有効になっている場合、TLS で PQC を使用することもできます。

システムで使用されているポリシーを確認するには、 update-crypto-policies --show. を実行します。

ポスト量子署名によるパッケージのアップデート

最後に、Red Hat の開発者は、当社のソフトウェア配布経路に対する量子コンピューターベースの攻撃に対する防御策の導入に取り組んでいます。Red Hat がポスト量子移行で将来的に改善機能を提供する方法は、これらの経路によるパッケージアップデートになるため、この点は重要です。

Red Hat Enterprise Linux 10 は、OpenPGP の Sequoia-PGP 実装を使用してパッケージ署名を確認します。OpenPGP で PQC を使用するための仕様は最終段階にあり、Red Hat は Sequoia-PGP での実装に資金を提供しており、これは現在プレリリース版として入手できます。一部の運用環境では、短期間での PQC ソフトウェア署名に関する規制要件に対応する必要があるため、この実装は徹底的なテストを経て、RHEL 10.1 に含まれています。

同じプロジェクトで、sq-cryptoki ツールと sq ツールは、PKCS#11 を介したポスト量子鍵へのアクセスをサポートするようになりました。これにより、ハードウェアのセキュリティモジュールとの統合が可能になります。Red Hat は署名インフラストラクチャーをモダナイズし、ML-DSA-87 と Ed448 のハイブリッドを使用するポスト量子署名鍵を作成し、この鍵で RPM パッケージへの署名を開始しました。RHEL は、このマイルストーンを達成した最初で、現在唯一の主要な Linux ディストリビューションです。

最初のポスト量子署名付きパッケージは、RHBA-2025:23156 の ipmitool-1.8.19-10.el10_1 でした。

# dnf download ipmitool
ipmitool-1.8.19-10.el10_1.aarch64.rpm                                                                                                                                                                           
# rpm -Kv ipmitool-1.8.19-10.el10_1.aarch64.rpm | head -3
ipmitool-1.8.19-10.el10_1.aarch64.rpm:
    Header V6 ML-DSA-87+Ed448/SHA512 Signature, key ID 05707a62: OK
    Header V4 RSA/SHA256 Signature, key ID fd431d51: OK

このパッケージは、Red Hat の RSA 鍵によっても署名されていることに注意してください。RPM 6 ヘッダー形式と OpenPGP v6 署名を理解するシステムは、RSA 署名と PQC 署名の両方を検証します。古いシステムは、従来の RSA 署名のみを検証します。

結論

Red Hat は、お客様が今後のリスクと規制要件に対応できるように、ポスト量子化の移行において大きな一歩を踏み出しました。ハイブリッド ML-KEM 鍵交換を使用する TLS はテクノロジープレビューではなくなり、「harvest now, decrypt later (今収集し、後で解読する)」攻撃を軽減することができます。RHEL のコア暗号化ライブラリーである OpenSSL、GnuTLS、NSS での ML-DSA 証明書と署名のサポートも、一般提供されるようになりました。

デフォルトでセキュアにする点での最近の業界の動き (欧州サイバーレジリエンス法など) に合わせて、標準の構成が変更され、TLS および SSH でポスト量子アルゴリズムを有効にして優先するようにされています。今後、さらに多くのプロトコルが追加される予定です。すべてのユーザーが PQC 鍵交換を展開し、TLS サーバーで従来の TLS 証明書と PQC TLS 証明書を併用する設定をテストすることをお勧めします。組織を量子コンピューターの未来に備える方法確認していただくこともできます。

最後に、RHEL はハイブリッドポスト量子署名をパッケージに追加した最初の主要ディストリビューションです。パートナー向けに、同僚の Jakub Jelen が、ポスト量子鍵を使用して RPM パッケージに署名する方法についての文書を作成しています。PKCS#11 3.2 を介したハードウェアのセキュリティモジュールとの統合は、RPM 署名で現在可能です。Red Hat のサポートチームとエンジニアリングチームが、お客様がこれを開始できるよう支援します。

Go は現在、1.24 の時点で ML-KEM のみをサポートしています。ML-DSA のサポートは、今後のリリースで予定されています。