RHEL 9.7로 포스트 퀀텀 미래에 대비

Red Hat Enterprise Linux(RHEL)에서 양자 내성 암호화를 사용해 보고 싶지만 아직 RHEL 10으로 업그레이드하지 않으셨나요? Red Hat은 RHEL 9.7부터 고객이 전환을 준비하고 'Q-Day'에 대비할 수 있도록 지원하기 위해 노력하고 있습니다. 지금 시작하면 보안 태세를 강화하고 RHEL 10으로 원활하게 전환할 수 있도록 사전에 대비할 수 있습니다.

RHEL 9는 2022년에 출시되었으며 보안 측면에서 중요한 진전이 있었습니다. RHEL 9는 현재 보안 요구 사항에 부합하는 FIPS 140-3 인증을 획득한 최초의 버전입니다. 하지만 2022년 이후 많은 변화가 있었습니다. 보안 요구 사항이 변경되었고 양자 내성 암호화 시대가 도래했습니다. 성능과 안정성을 위해 이러한 새로운 암호화 알고리즘은 대부분의 조직에서 예상하는 방식으로 이전 버전의 소프트웨어로 백포트할 수 없습니다. 포스트 퀀텀 시대에 지속적인 안정성, 기능 및 보호를 제공하려면 지금 소프트웨어를 업그레이드해야 하며, RHEL 9.7이 첫 번째 단계가 될 수 있습니다.

RHEL 9.7은 양자 내성으로의 전환을 위한 중요한 디딤돌입니다. RHEL 9.7은 양자 내성 암호화에 대한 실질적인 경험을 쌓고 특정 워크로드에 미치는 영향을 이해할 기회를 제공합니다. 또한 가장 포괄적인 양자 내성 암호화 구현을 제공하는 RHEL 10으로 완전히 업그레이드하기 전에 필요한 애플리케이션 또는 인프라 조정을 식별할 수 있습니다. 

주요 라이브러리 및 애플리케이션

양자 컴퓨팅 위협이 임박한 시점(Q-Day, 현재 2030년으로 예상)에 양자 내성 암호화로 갑작스럽게 전환하면 비즈니스 운영에 장애가 발생할 수 있습니다. 철저한 테스트를 통해 제어된 환경에서 호환성 문제, 성능 영향 및 통합 문제를 식별하고 해결하여 Q-Day 전에 필요한 조치를 취할 수 있습니다.

정부와 규제 기관에서는 양자 내성 암호화 의무 사항을 점점 더 중요하게 고려하고 있습니다. RHEL 9.7을 사용한 조기 테스트를 통해 기업은 주요 업그레이드를 위해 서두르지 않고도 향후 규정 준수 요구 사항을 충족할 수 있습니다. RHEL 9.7은 개발 및 배포 주기 초기에 발생하는 문제 해결에 충분한 시간을 제공합니다.

RHEL 9.7은 이전의 안정적인 RHEL 릴리스에 제한적인 양자 내성 암호화 기능을 제공합니다. 이를 통해 기존 RHEL 9 환경 내에서 양자 내성 암호화를 실험하고 검증하여 RHEL 10에 대비할 수 있습니다. 상당수의 RHEL 구성 요소는 세 가지 주요 암호화 라이브러리인 NSS, GnuTLS 및 OpenSSL에 의존합니다. PQC를 사용하려면 이러한 라이브러리를 업데이트해야 합니다.

RHEL 9.7에는 서버 측 애플리케이션을 지원하는 OpenSSL과 클라이언트 소프트웨어에서 널리 사용되는 NSS에 대한 안정적인 업데이트가 포함되어 있습니다. RHEL 9.7을 사용하면 이러한 라이브러리를 사용하는 애플리케이션에서 양자 내성 암호화를 활용하여 실제 시나리오에 대한 중요한 테스트 기회를 얻을 수 있습니다.

NSS의 경우, Red Hat은 양자 내성 알고리즘을 지원하는 최신 버전을 제공합니다. OpenSSL의 장기 지원 버전 3.5는 여러 유용한 양자 내성 기능을 제공합니다. 

자체 조건에 따른 중단

RHEL 9.7은 즉각적인 중단을 방지하기 위해 기본적으로 양자 내성 암호화 알고리즘을 활성화하지 않습니다. 그러나 제어된 테스트와 시스템으로의 점진적인 통합을 지원하는 양자 내성 암호화 정책을 선택할 수 있으며, 이는 RHEL 10과 유사한 접근 방식입니다. 이를 통해 RHEL 10에서 완전히 활성화하기 전에 Red Hat의 암호화 정책 프레임워크 내에서 양자 내성 암호화 관리 방법을 이해할 수 있습니다. 키 교환(하이브리드 ML-KEM 알고리즘)에 양자 내성 암호화를 활성화하여 '지금 수집하고 나중에 해독' 공격으로부터 시스템을 보호하고 규제 환경에서 필요한 중요한 보호를 제공하는 것이 좋습니다. 이 기능은 엄격한 규정 준수 요구 사항을 가진 조직을 위한 초기 테스트 환경을 제공합니다.

RHEL 9.7의 OpenSSH는 널리 사용되지 않기 때문에 기능상, 그리고 배포 시 고객 환경의 장애를 줄이기 위해 아직 양자 내성 안전 ML-KEM 기반 키 교환을 제공하지 않습니다. 양자 내성 OpenSSH를 시작하려면 RHEL 10으로 업그레이드하는 것이 좋습니다.

FIPS 요구 사항은 FIPS 인증 알고리즘의 출력을 하이브리드 키 교환 메커니즘을 위한 보조 데이터와 결합할 수 있도록 허용하며, 이는 검증되고 인증된 공급업체를 유지하는 데 중요합니다. '지금 수집하고 나중에 해독(harvest now, decrypt later)' 위협으로부터 보호하고 FIPS 환경에 대한 요구 사항을 지원하기 위해 RHEL 9.7의 OpenSSL 기반 구성 요소는 인증된 모듈을 사용하는 동안 FIPS 모드에서도 하이브리드 ML-KEM 키 교환을 사용할 수 있습니다.

첫 단계

양자 내성으로의 전환 관점에서 RHEL 9.7은 기존 암호화에서 양자 내성 암호화로 전환하기 위한 좋은 첫걸음입니다. 마이너 릴리스에서 기대할 수 있는 안정성을 그대로 유지하면서 현재 사용 가능한 수준 이상으로 보안 태세를 강화할 수 있습니다. RHEL 9.7에 제한적인 양자 내성 암호화 지원을 제공하려는 노력은 Q-Day 이전에 RHEL 10에서 포괄적인 양자 내성 암호화의 성공적인 도입을 위해 조직이 전환을 시작하고 준비할 수 있도록 지원하기 위해 설계되었습니다.