※ 本記事は、Sanjay Basu PhD, Crick Watersによる”Announcing availability of Quantum-Resistant (QR) Oracle Linux UEK“を翻訳したものです。

2023年10月10日

Pareto Encryption

Quantum-resistant Oracle Linux UEK

Unbreakable Enterprise Kernel (UEK)は、Oracleで構築およびサポートされているLinuxカーネルです。UEKは十分にテストされており、Oracleのエンジニアド・システム、Oracle Cloud Infrastructureおよび大規模なエンタープライズ・デプロイメントの実行に使用されます。Quantum-resistant (QR) Oracle Linuxには、ハイブリッド・ポストカンタム暗号化が組み込まれており、National Institute of Standards and Technology(NIST)が提供する最新のクラシック暗号化アルゴリズムとポストカンタム暗号化アルゴリズムが組み合されています。QR Oracle Linuxは、エッジでのネットワーク・エンドポイントのクロークと、Oracle Cloud Infrastructure(OCI)インタフェースと、クラシックおよび将来の量子コンピュータによる復号化に対する抵抗性の2つの目標を達成します。

検出可能な攻撃対象領域を減らしたいすべてのアプリケーションでQR Oracle Linuxを使用することも、特に、運用プライバシーが最重要である政府および重要なインフラストラクチャ資産が関係するデプロイメントに対して、将来安全性の高い暗号化を確保することもできます。QR Oracle LinuxはOCIまたはエッジにデプロイでき、同じデータ・ネットワークに存在するOracle以外のバージョンのLinuxとのネットワーク相互運用性を提供します。

QuantumコンピューティングとQR Oracle Linux

量子コンピューティング能力の指数関数的な加速を実現するために、世界中で数十億ドルを投資しています。市場は、Rivest-Shamir-Adleman暗号化アルゴリズム(RSA)やElliptic-Curve Cryptography (ECC)など、今日の非対称暗号化を復号化できる暗号学的に関連した量子コンピュータを数分または数秒で予測しています。エグゼクティブ・オーダー、指令、2023年3月の米国国家安全保障戦略、およびその他の米国のガイドラインにより、米国政府は、将来の量子コンピュータによる復号化に対して抵抗力がある重要なインフラおよび連邦機関が使用するネットワーク暗号化の国家アップグレードを推進しています。行政管理予算局は、連邦予算FY2025から始まるこのアップグレードに資金を供給するよう議会に指示しました。

QR Oracle Linux UEKは、ハイブリッド・ポストカンタム暗号化を組み込んだPatero CryptoQoR(QoR)を搭載しています。ハイブリッド・ポストカンタム暗号は、クラシックおよびNISTの量子抵抗力があるアルゴリズムをローテーション・セッション・キーにハイブリッド化し、完全な前方秘匿性を備えた2層の暗号化を提供します。Patero QoRは「暗号のアジャイル」であり、QR Oracle Linuxで導入されたネットワークは、将来の量子抵抗力があるアルゴリズムを採用できるため、「将来に安全」です。これらのアルゴリズムは、NISTによって認定されており、デプロイされたQR Oracle Linuxを廃止、リッピングまたは置換する必要はありません。QoRは、インストール可能なイメージとしてデプロイされたソフトウェアベースの暗号モジュールで、カーネル領域で実行され、QoRで保護されたエンドポイントを管理するための集中管理システムを含みます。

QR Oracle Linux UEKの主な機能とメリット

QR Oracle Linux UEKは、インターネットに直接接続されているネットワーク要素を隠し、データを解読不能にします。このソリューションは、クラウド、クリティカルなインフラストラクチャ、連邦および防衛部門(DoD)ネットワークに対する包括的な保護を提供し、次の機能を備えています:

  • Cloaking: QR Oracle Linuxエンドポイントは、他のPatero QoRで保護されたエンドポイントにのみ応答します。未認証のネットワーク要素に応答しないため、それらは閉じられ、不正なアクターによる検出が防止され、ネットワーク攻撃対象領域が削減されます。
  • Hybrid: QoRは、Advanced Encryption Standard (AES)やRSAなどの従来の暗号化アルゴリズムと、ハイブリッドPQCなどの新しい量子抵抗力がある暗号化アルゴリズムを組み合わせて、混合暗号を作成します。ハイブリッドPQCは、情報が常に少なくともアルゴリズムと同じくらい安全であり、復号化に対する耐性が高いことを保証します。ハイブリッドPQCを導入することで、価値の高いデータが今日吸い上げられ、明日には将来利用可能になる量子コンピューターで復号化されるという、今すぐ盗んで後で復号化する(SNDL)攻撃を阻止します。
  • Crypto-agile: 暗号化の敏捷性は、操作に影響を与えることなく、新しい暗号化スキームの即時かつオプションの採用を可能にする柔軟なシステム設計です。量子技術と攻撃ベクトルが進化するにつれて、暗号化アジリティの「将来の安全」セキュリティ・アーキテクチャが実現します。
  • Easily deployable: QR UEKは、ゲートウェイ、エッジ・ベア・メタルおよび仮想マシン(VM)クラウド・インスタンスにデプロイできます。Patero搭載のUEKは、x86またはARM Ubuntu、Red Hat、Debian、およびRaspianオペレーティングシステムのすべてのPatero CryptoQoRモジュールと相互運用できます。

パフォーマンス

Patero QoRによるQR Oracle Linux UEKのパフォーマンスは、商用、オープン、およびトランスオーシャンのインターネット・リンクで認定されています。2コアのVMとベア・メタル・サーバーは、バージニア州のOCIアッシュバーンとドイツのフランクフルトにデプロイされました。暗号化されていないネットワーク・パフォーマンスと暗号化されていないネットワーク・パフォーマンス間のスループット、CPU負荷およびレイテンシに統計的に影響する測定値を得るために、多大な単方向および双方向のデータ伝送テストを実施しました。スループットおよびレイテンシのパフォーマンスは暗号化されていないパフォーマンスの1%未満であり、CPU負荷はベア・メタルで0.4%削減され、暗号化が有効になっている使用可能なコアに均等に分散された仮想マシンでは約1.9%増加します。

A graph depicting network traffic statistics for QoR encrypted throughput using internal IP addresses and standard unencrypted traffic using public IP addresses.

図1. ネットワーク・トラフィック統計は、内部IPアドレスを使用したQoR暗号化スループット(左)と、パブリックIPアドレスを使用した標準暗号化されていないトラフィック(右)を表示します。

もっと知りたいですか?

Pateroの使用方法の詳細は、Crick@Patero.ioにお問い合せください。

イメージは、次のOracle Cloud Marketplaceからダウンロードできます。https://cloudmarketplace.oracle.com/marketplace/en_US/listing/152194648