Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの内容
 

PQCを始める

このトピックでは、Junos OSおよびJunos OS EvolvedのPQC機能について説明します。

耐量子セキュリティ機能

ジュニパーネットワークスは、新たな量子脅威からネットワークを保護する高度な暗号化機能を提供しています。Junos® OSおよびJunos® OS Evolvedは、以下のアプローチを使用して保護を確保します。

  • VPNでの安全な鍵交換のための鍵配信サーバーとのインターフェースに、ETSI量子鍵配送(QKD)などの耐量子技術を実装します。

  • Quantum Bufferで暗号化の俊敏性を適応させ、進化する暗号化標準に対応し、代替可能な鍵配信サーバーを通じて柔軟な鍵管理を可能にします。

  • 暗号化、認証、鍵交換に、米国国立標準技術研究所(NIST)承認のポスト量子暗号(PQC)アルゴリズムを採用します。

ジュニパーネットワークス PQC を実装すると、後方互換性のあるシームレスな統合が実現し、サービスの中断はありません。

機能エクスプローラーを使用して、特定の機能のプラットフォームとリリースのサポートを確認します。

次の主な機能と実装について説明します。

耐量子サポート

表1は 、Junos OSおよびJunos OS Evolvedでの耐量子実装でサポートされている機能のリストを示しています。

表1:耐量子サポート

機能名

詳細

耐量子IPsec VPN

IPsec VPNのRFC 8784をサポートします。

  • QKDなどの帯域外鍵交換メカニズムを使用して、IPsecトンネルセキュリティを強化します。

  • ポスト量子セキュリティのために、Internet Key Exchange Version 2(IKEv2)にポスト量子事前共有キー(PPK)とも呼ばれる事前共有キーミキシングを実装します。

子安全IPsec VPNを参照してください。

耐量子MACsec

  • キー配信サーバーを使用して、QKDを通じて頻繁なキーの更新を実装します。

  • 本質的に耐量子であるAES-256暗号化を使用しています。

PQCライブラリとアルゴリズム

表2 は、NIST標準化された耐量子PQCアルゴリズムを示しています。

表2:NIST標準化PQCアルゴリズム

アルゴリズム

タイプ

説明

ML-KEM

キーのカプセル化

CRYSTALS-Kyberアルゴリズム上に構築されたモジュール格子ベースの鍵カプセル化機構

ML-DSA

デジタル署名

CRYSTALS‐Dilithiumアルゴリズムに基づくモジュール格子ベースのディジタル署名

SLH-DSA

デジタル署名

SPHINCS+ アルゴリズムに基づくステートレス ハッシュベースのデジタル署名。

ジュニパーネットワークスには、PQCアルゴリズムへの準備を確実にするためのPQCライブラリが含まれています。

表3 は、PQCでサポートされている暗号ライブラリのリストを示しています。

表3:サポートされているPQCライブラリ

ライブラリ

目的

OpenSSL 3.5

セキュアな通信のためのPQCアルゴリズムのサポートを提供します。

リーンクリプト

PQC準備のためのカーネル暗号化ライブラリとして機能します。

量子バッファー

ジュニパーネットワークスは、既存の公開鍵暗号の有限磁場暗号(FFC)パラメーターを強化します。このアプローチにより、暗号関連量子コンピューター(CRQC)のリスクが軽減され、PQCへのスムーズな移行がサポートされます。この量子バッファー・アプローチは、FFCパラメーターを強化することで、時間枠を延長し、暗号解読攻撃に抵抗します。

ジュニパーネットワークスは、SSHプロトコルに量子バッファーを実装しています。量 子バッファを参照してください。

SSHでの耐量子鍵交換

ジュニパーネットワークスは、量子攻撃に対するSSHセキュリティを強化するために、Shor耐性の鍵交換をサポートしています。ネットワーク デバイスでは、ハイブリッドの Streamlined NTRU Prime 761 と X25519 鍵交換アルゴリズムを使用できます。このアルゴリズムは、格子ベースと楕円曲線技術を組み合わせて、量子の脅威に対する強力な保護を提供します。 鍵交換を参照してください。

PQC署名付きソフトウェアイメージ

ジュニパーネットワークスは、PQC署名済みのJunos OSおよびJunos OS Evolvedイメージを提供します。これらの画像では、商業国家安全保障局アルゴリズムスイート2.0(CNSA 2.0)の推奨事項に準拠した整合性検証にデジタル署名を使用しています。ローカルマシンで希望する検証ツールを使用して、オフボックスでイメージ署名を検証できます。 ソフトウェアイメージのPQCシグネチャを参照してください。

耐量子セキュリティ要件の評価

量子コンピューティングの進歩に伴い、組織は進化するセキュリティの課題に直面しています。ネットワークを保護し、コンプライアンスを維持するには、セキュリティ要件を理解し、適切な耐量子セキュリティ機能を実装します。以下の評価を使用して、ネットワークに不可欠な耐量子セキュリティ機能を判断します。

  • インフラストラクチャの評価—ジュニパーネットワークスのハードウェアとソフトウェアを含むネットワークインフラストラクチャを評価します。PQC署名済みのソフトウェアイメージを防御の最前線として使用し、イメージの整合性とCNSA 2.0勧告への準拠を確保します。 PQC署名付きソフトウェアイメージを参照してください。

  • PQCの準備状況と耐量子オプションを確認する—PQCアルゴリズムを使用したジュニパーネットワークスの準備状況について理解します。耐量子IPsecや耐量子MACsecなど、耐量子VPNで利用可能な技術を確認します。 PQCライブラリとアルゴリズムSSHでの耐量子キー交換、および耐 量子サポートを参照してください。

  • リスク許容度の評価—量子コンピューティングの脅威に対するネットワークのリスク許容度を把握します。Quantum Bufferソリューションと代替可能な鍵管理システムを使用して暗号俊敏性を実装し、移行中に既存の暗号化を強化します。量 子バッファ ーと 耐量子サポートを参照してください。

  • 重要な導入のセキュリティ—IPsecやMACsecの実装など、重要な導入を決定します。耐量子技術でこれらの導入を保護します。耐 量子サポートを参照してください。

耐量子ネットワークへのアップグレードを計画します。

次のステップ

耐量子セキュリティ機能の詳細については、以下のトピックをお読みください。

関連ドキュメント