Apple は暗号化セキュリティを徹底的に見直していますiメッセージ新しいメッセージング プロトコルを導入することで、まだ現実的な脅威にはなっていない、そしておそらく何年も脅威にはならない高度なコンピューティングを阻止します。

Apple はすでに、安全な iMessage プラットフォームにエンドツーエンドの暗号化を組み込んでいます。しかし、次のような要素が連絡先キーの検証現行世代のコンピューティングの脅威からユーザーを守るのには役立ちますが、量子コンピューティングに取り組むのは困難になる可能性があります。

量子コンピュータが最終的により一般的に使用されるようになったときに、それを阻止するために、Apple はセキュリティを強化するために量子コンピュータの登場を待っていません。

Apple Security Research Blog で説明されているとおり投稿する水曜日、Apple は、PQ3 と呼ばれる新しい暗号化プロトコルを iMessage に導入することで、現在行われている通信を将来の脅威から保護したいと考えています。

今すぐ収穫し、後で復号化する

暗号化はセキュリティを維持するために数学的問題とアルゴリズムに依存しており、より複雑なモデルでは、単純に暗号化が破られる性質によってより高いセキュリティが提供されます。悪意のある攻撃者が暗号化を破るキーを入手できない場合、代わりに、アルゴリズムを破るためにキーのあらゆる組み合わせを総当たり攻撃する必要があります。

現在のコンピューターの場合、適切な可能性が見つかるまですべての可能性を検討するのは、時間とリソースを大量に消費する作業です。しかし、量子コンピューターは同じ計算を迅速に実行し、暗号化を破る可能性を秘めています。

ただし、量子コンピューティングはまだ開発中であり、より幅広いユーザーに展開することは商業的に実行可能ではないため、まだ利用できません。現時点では、量子コンピューティングは問題ではありませんが、将来のある時点で問題が発生する可能性があります。そうかもしれない。

量子コンピューティングが将来的にさらに普及する可能性を当てにして、悪意のある攻撃者は、将来的にデータを復号できると信じて、今はアクセスできない暗号化されたデータを依然として保持しています。と呼ばれる攻撃シナリオです。今すぐ収穫し、後で復号化する、そして力ずくでセキュリティを突破しようとする費用よりも安価なストレージに依存するものです。

「今すぐ収穫し、後で復号化」とは理論的には、現在暗号化されているすべての通信が、量子コンピューティングを使用すると簡単に実行できると期待して、通信を大規模に収集する誰かによって将来公開される危険にさらされることを意味します。

ポスト量子暗号

量子コンピューティングの使用によるリスクを最小限に抑えるために、暗号学者はポスト量子暗号 (PQC) に取り組んできました。これは、量子安全プロトコル、つまり現在の非量子コンピューターで使用できるが、量子コンピューターに対して使用しても安全なプロトコルの基礎となりつつある新しい公開鍵アルゴリズムで構成されています。

Apple は、メッセージング アプリケーションにおける量子暗号の状態を段階的なアプローチで説明し、レベル番号が上がるにつれて増加します。レベル 0 とレベル 1 は量子セキュリティのない古典暗号とみなされ、レベル 2 以降は PQC を使用するものとして分類されます。

Apple によるメッセージング プラットフォームにおける量子セキュリティ暗号の分類

レベル 0 は、量子セキュリティを使用しないメッセージング システム用であり、デフォルトではエンドツーエンド暗号化も使用しません。これには、Skype、QQ、Telegram、WeChat が含まれます。

レベル 1 はまだ量子安全として分類されていませんが、デフォルトでエンドツーエンド暗号化が含まれています。これを使用するサービスには、Line、Viber、WhatsApp、および以前のバージョンの iMessage が含まれます。

PQC レベルに移行すると、Signal はレベル 2 に分類される最初で唯一の大規模メッセージング アプリとなり、ポスト量子拡張 Diffie-Hellman (PQXDH) 鍵合意プロトコル。これは基本的に、会話の開始時に 2 者が相互に認証するために公開キーを使用します。

ただし、Apple によれば、会話鍵が侵害されない場合にのみ量子セキュリティが提供されるため、レベル 2 にも問題があります。攻撃者は、暗号化キーを侵害する手段を手に入れ、キーが変更されるまで暗号化された会話へのアクセスを提供する可能性があります。

キーを定期的に変更することで、キーが侵害された場合に攻撃者が閲覧できる会話の量に制限が設けられます。これは、取得されたキーへのアクセスと量子処理の試行の両方に当てはまります。

この考え方に基づき、Apple は、通信のためのキーの初期確立と継続的なメッセージ交換のセキュリティを保護するために PQC が使用される場合、アプリはレベル 3 のセキュリティを達成するよう努めるべきであると述べています。レベル 3 には、キーが侵害された場合でも、暗号化セキュリティを自動的に復元する機能も含める必要があります。

iMessage と PQ3

Apple の発表は、iMessage に組み込まれる PQ3 と呼ばれる新しい暗号化プロトコルを開発したというものです。この変更により、iMessage がレベル 3 セキュリティをサポートする最初で唯一の「量子攻撃に対する最強の保護」が提供されます。

iMessage への PQ3 の展開は、iOS17.4iPadOS 17.4macOS14.4、およびウォッチOS 10.4、すでに開発者プレビューとベータリリースに組み込まれています。 PQ3 をサポートできるデバイス間の既存の iMessage 会話は、新しいプロトコルに自動的に切り替わります。

Apple は、「大規模な世界規模の iMessage で PQ3 の運用経験を積んだ」ため、2024 年末までに、サポートされているすべての会話内の既存の暗号プロトコルを PQ3 に置き換えると付け加えています。

Apple が PQ3 を適切に動作させるには、多くの要件が必要でした。これには、会話の開始時からポスト量子暗号を導入することや、侵害された単一のキーで復号できる会話の量を制限することが含まれます。

また、PQ3 が現行世代のプロトコルよりも安全性が劣ることがないよう、ポスト量子アルゴリズムと現在の楕円曲線アルゴリズムを組み合わせたハイブリッド設計を使用する必要もありました。追加のセキュリティのオーバーヘッドを削減して、メッセージ サイズを償却する必要もあります。

最後に、「新しいプロトコルに強力なセキュリティ保証を提供できる」正式な検証方法を使用する必要があるとAppleは書いている。

この最後の点について、Apple はすでに PQ3 の有効性を正式に検証するために多大な労力を費やしており、その中には Apple のセキュリティ エンジニアリングおよびアーキテクチャの学際的なチームや暗号学の第一線の専門家による広範なレビューも含まれます。

チューリッヒ工科大学の情報セキュリティグループの責任者であるデビッド・ベイシン教授とウォータールー大学のダグラス・ステビラ教授が率いるチームは、インターネットプロトコルのポスト量子セキュリティを研究しました。それぞれが異なる数学的アプローチを使用して、基礎となる暗号アルゴリズムが持続する限り PQ3 が安全であり続けることを実証しました。

Apple はまた、大手のサードパーティ セキュリティ コンサルタント会社を導入して、PQ3 のソース コードを独自に評価しましたが、セキュリティ上の問題は見つかりませんでした。

PQ3 の仕組み

PQ3 は、デバイスがローカルで生成する公開キーに新しい量子後暗号化キーを使用し、公開キーは iMessage 登録のために Apple のサーバーに送信されます。このプロセスにより、送信側デバイスは受信側の公開鍵を取得し、受信側がオフラインであっても、最初のメッセージと最初の鍵確立から量子後暗号鍵を生成できます。

「定期的なポスト量子キー再生成メカニズム」も会話内に組み込まれており、キー侵害からセキュリティを自己修復できます。会話とともに送信された新しいキーは、以前のキーの分析では計算できない新しい暗号化キーの作成に使用され、セキュリティをさらに維持します。

攻撃者は、最初の鍵の確立と鍵の再生成のために、楕円曲線とポスト量子要素の両方を組み合わせたハイブリッド設計にも勝つ必要があります。

キー再生成プロセスには、デバイスが相互に交換する暗号化されたデバイスとの帯域内での新しい公開キー素材の送信が含まれます。楕円曲線ディフィー ヘルマン (ECDH) に基づく新しい公開キーが応答に合わせて送信されます。

ポスト量子キーは現在の既存のプロトコルよりもはるかに大きいため、Apple はキー更新プロセスをメッセージごとではなく定期的に実行することで、サイズの影響を最小限に抑えています。

キーを再生成して送信するかどうかの条件は、会話内のメッセージのサイズ、接続が制限されているユーザーのエクスペリエンス、インフラストラクチャのパフォーマンスを維持する必要性のバランスを取ることを目的としています。 Apple は、将来必要になった場合、システムのすべての PQ3 対応ハードウェアとの下位互換性を維持しながら、ソフトウェア アップデートによってキー更新の頻度が増加する可能性があると付け加えています。

iMessage は、PQ3 の実装後も、送信者の認証と連絡先キー検証アカウント キーの検証に従来の暗号アルゴリズムを引き続き使用します。これは、このメカニズムが将来の量子コンピューターによって遡及的に攻撃されることができないためです。

攻撃者が iMessage の会話の途中に侵入するには、通信が行われる前または通信中に認証キーを解読できる量子コンピューターが必要になります。 Apple は、通信自体の時点で攻撃を実行できる量子コンピューターが必要であるため、これにより「今すぐ収穫し、後で復号化」のシナリオが阻止されると主張しています。

Appleは、新しいプロトコルを攻撃できるようになるのは「何年も先」だと考えているが、同社のセキュリティチームは今後の攻撃を阻止するためにポスト量子認証のニーズを評価し続けると主張している。