セキュリティは終わりのない使命です。本日、AppleはiMessageを保護するための最新のイノベーションを発表しました。iOS 17.4ベータ版では、革新的な耐量子暗号プロトコル「PQ3」が既に利用可能です。この革新的なアップグレードにより、iMessageは「世界中のあらゆる大規模メッセージングプロトコルの中で最も強力なセキュリティ特性」を備えています。iMessageの量子セキュリティが現在そして将来にわたって重要である理由、PQ3の仕組みなどについてご紹介します。

iMessageは強固なセキュリティを誇る歴史を持っています。2011年のエンドツーエンド暗号化の導入から、2019年の楕円曲線暗号の採用、iOS 14でのBlastDoor、そして2023年末の連絡先キー検証などの最近の改善まで、AppleはiMessageのセキュリティを継続的に向上させています。

Appleは、システムプロトコルを全面的に再構築し、iMessageの「最も重要な」暗号化セキュリティアップグレードと称する機能を発表しました。Appleは今朝、セキュリティリサーチブログでこの新たな進歩の詳細を発表しました。

本日、iMessage史上最も重要な暗号セキュリティのアップグレードとなるPQ3の導入を発表します。PQ3は、画期的な耐量子暗号プロトコルであり、エンドツーエンドのセキュアメッセージングの最先端技術を飛躍的に進化させます。セキュリティ侵害耐性の高い暗号化と、高度な量子攻撃にも耐える強力な防御機能を備えたPQ3は、私たちがレベル3セキュリティと呼ぶレベルに到達した初のメッセージングプロトコルです。これは、広く導入されている他のあらゆるメッセージングアプリのセキュリティを凌駕するプロトコル保護を提供します。私たちの知る限り、PQ3は世界中の大規模メッセージングプロトコルの中で最も強力なセキュリティ特性を備えています。

Signalは、昨年秋に「鍵確立」メカニズムを備えた量子耐性暗号（PQC）セキュリティ強化を発表した最初の大規模メッセージングプラットフォームでした。

ただし、Apple のアプローチには、PQC キーの確立と継続的な PQC キー再生成という 2 層のセキュリティが採用されています。

従来の暗号プロトコルとPQC暗号プロトコルを評価する業界標準はまだ存在しないため、Appleは独自のランキングシステムを開発しました。その概要と、レベル3のPQCであるPQ3の名称の由来は以下のとおりです。

Appleは、SignalがPQC鍵確立（レベル2）を導入したことは「歓迎すべき重要なステップ」であり、他のすべてのメッセージングプラットフォームよりも高いセキュリティを実現したと述べています。しかし、量子セキュリティを実現できるのは、会話鍵が漏洩されない場合に限られます。

レベル2では、耐量子暗号の適用は最初の鍵確立に限定され、会話の鍵となる情報が漏洩しない場合にのみ量子セキュリティが確保されます。しかし、今日の高度な攻撃者には、暗号鍵を漏洩する動機が既に存在します。なぜなら、鍵が変更されない限り、その鍵で保護されたメッセージを復号化できるようになるからです。エンドツーエンドの暗号化メッセージを最大限に保護するには、耐量子鍵を継続的に変更する必要があります。これにより、現在および将来の量子コンピュータにおいて、単一のポイントインタイム鍵漏洩によって会話がどの程度漏洩するかに上限が設定されます。

ここでAppleのPQ3（レベル3）プロトコルが登場します。このプロトコルは、初期鍵と継続的な鍵更新の両方を保護します。重要なのは、このプロトコルによりiMessageは「特定の鍵が漏洩した場合でも、会話の暗号セキュリティを迅速かつ自動的に回復できる」ということです。

上で示したように、Apple は将来の量子セキュリティのレベルには PQC 認証に加えて PQC キーの確立と継続的なキー再生成が含まれると想定しています。

なぜ今、量子耐性暗号が重要なのでしょうか?

多くのセキュリティ専門家は、従来の暗号を解読するなど、量子コンピューターの完全な能力が発揮されるまでにはまだ10年以上かかると考えているが、今日のデータに対する将来の攻撃から保護するために今取るべき重要なステップがある。

Apple は、PQ3 が防御に役立つ「Harvest Now, Decrypt Later」と呼ばれる悪意のある戦術を強調しています。

十分に強力な量子コンピュータは、これらの古典的な数学の問題を根本的に異なる方法で解決できるため、理論上は、エンドツーエンドの暗号化通信のセキュリティを脅かすほどの速度で解決できます。

このような量子コンピュータはまだ存在しないものの、豊富な資金を持つ攻撃者は、現代のデータストレージコストの急激な低下を悪用することで、量子コンピュータの到来に備えることができます。前提はシンプルです。攻撃者は大量の暗号化データを収集し、将来の参照用に保存することができます。たとえ現時点ではこれらのデータを復号化できなくても、将来復号化できる量子コンピュータを手に入れるまで保持することができます。この攻撃シナリオは「Harvest Now, Decrypt Later（今すぐ収穫、後で復号）」と呼ばれています。

そしてもちろん、量子コンピュータの台頭に伴い、すでに高度なセキュリティを導入しておけば、将来の量子攻撃や、過去に盗まれたデータを解読しようとする試みを防ぐのに役立ちます。

iMessage の量子セキュリティはいつ開始されますか?

• iMessageのPQ3量子セキュリティは、iOS 17.4、iPadOS 17.4、macOS 14.4、watchOS 10.4のパブリックリリースですべてのユーザーに利用可能になります。

Appleは、「PQ3をサポートするデバイス間のiMessageの会話は、自動的に量子暗号プロトコルに準拠するようになります」と述べています。

また、PQ3 プロトコルは「今年中に、サポートされているすべての会話内で既存のプロトコルを完全に置き換える予定です。」

iMessageの量子セキュリティに関する詳細（PQ3）

PQ3 を作成するにあたり、Apple は次の 5 つの要件があったと述べています。

•  会話の開始から量子耐性暗号化を導入し、すべての通信が現在および将来の敵対者から保護されるようにします。
• 侵害された単一のキーで復号化できる過去および将来のメッセージの数を制限することで、キーの侵害の影響を軽減します。
• ハイブリッド設計を使用して、新しいポスト量子アルゴリズムと現在の楕円曲線アルゴリズムを組み合わせることで、PQ3 が既存の従来のプロトコルよりも安全性が低くなることは決してありません。
• 追加されたセキュリティによる過度のオーバーヘッドを回避するために、メッセージ サイズを縮小します。
• 正式な検証方法を使用して、新しいプロトコルに強力なセキュリティ保証を提供します。

Apple が使用している PQC 公開鍵の詳細については、以下をご覧ください。

PQ3は、各デバイスがローカルで生成し、iMessage登録の一環としてAppleサーバーに送信する公開鍵セットに、新しい耐量子暗号鍵を導入します。このアプリケーションでは、世界中の暗号コミュニティから厳しい評価を受け、NISTによってモジュール格子ベースの鍵カプセル化メカニズム（ML-KEM）標準として選定されたアルゴリズムであるKyberの耐量子暗号鍵を採用しました。これにより、送信側デバイスは受信者の公開鍵を取得し、受信者がオフラインであっても、最初のメッセージ用の耐量子暗号鍵を生成できるようになります。これを初期鍵確立と呼びます。

PQ3 は、ETH チューリッヒの情報セキュリティ グループを率い、PQ3 の評価にも使用された主要なセキュリティ プロトコル検証ツールである Tamarin の発明者の 1 人である David Basin 教授から 2 回の正式な検証を受けています。

インターネットプロトコルの量子耐性セキュリティの研究に豊富な経験を持つウォータールー大学のダグラス・ステビラ教授も、PQ3を正式に検証しました。

PQC キーの確立、PQC キーの再生成、パディングと暗号化、認証などのメカニズムに関する技術的な詳細については、iMessage の PQ3 量子セキュリティに関する Apple の記事全文をご覧ください。

トップ画像：9to5Mac

havebin.com を Google ニュース フィードに追加します。