ソフトウェアイメージのPQCシグネチャ

PQC署名付きJunos OSおよびJunos OS Evolvedソフトウェアイメージと、PQC署名の検証方法については、このトピックをお読みください。

Junos®オペレーティングシステム(Junos OS)およびJunos® OS Evolvedは、ジュニパーネットワークスデバイス用のオペレーティングシステム(OS)です。Junos OSはFreeBSD上で動作し、Junos OS Evolvedはクラウド規模の環境向けに設計されたLinux上でネイティブに動作します。量子脅威に対する防御の最前線として、ジュニパーはポスト量子暗号(PQC)シグネチャを使用してこれらのソフトウェアイメージの信頼性を保証します。

特定の機能のプラットフォームおよびリリースサポートを確認するには、機能エクスプローラーを参照してください。

概要

量子に耐障害性のあるソフトウェアイメージ署名では、PQCを使用して、Junos OSおよびJunos OS Evolvedソフトウェアイメージを量子コンピューティングからの脅威から保護します。商用国家安全保障局アルゴリズムスイート2.0(CNSA 2.0)では、量子攻撃からの保護のためにML-DSA-87などのPQCアルゴリズムの使用を推奨しています。ガイダンスに従い、ジュニパーネットワークスは以下を使用してソフトウェアイメージに署名しています。

ML-DSA-87 デジタル署名用PQCアルゴリズム
ハッシュ用SHA-512

CNSA 2.0ではSHA-384とSHA-512の両方が許可されていますが、ガイダンスに従って、ジュニパーネットワークスはより強力な暗号化保護のためにSHA-512を採用しています。

ジュニパーネットワークスの画像署名インフラストラクチャは堅牢で、安全なPQC署名をサポートします。イメージをダウンロードする際に、以下の方法でPQC署名を検証できます。

オフボックスPQC署名検証

この実装は、NIST PQC標準に準拠し、CNSA 2.0ガイダンスに準拠しているため、進化するセキュリティ標準への準拠が保証されます。

利点

堅牢な鍵管理—ジュニパーネットワークスの画像署名インフラストラクチャは、異なる導入環境向けに、強化された公開/秘密鍵ペアを使用して、堅牢で安全な鍵管理を提供します。
画像の完全性の遵守—ジュニパーネットワークスは、推奨されるPQCアルゴリズムを使用して画像ハッシュに署名し、改ざんを防止し、信頼性を確保し、量子コンピューティングの脅威から保護します。
合理化された署名要求—カスタマーサポートを通じてPQC署名と公開キーをリクエストすることで、画像検証を迅速かつ効率的に行うことができます。
簡略化された検証プロセス—OpenSSLなどの選択したツールを使用して、ダウンロードしたイメージの整合性を確認するための独立した検証を可能にします。

制限事項

デバイス上の暗号関連量子コンピューター(CRQC)による攻撃に対する保護は範囲内にありません。
オンボックスイメージ検証はサポートされていません。

PQC署名検証(オフボックス)について

オフボックスPQC署名検証プロセスでは、ローカルコンピュータ上のJunos OSまたはJunos OS EvolvedソフトウェアイメージのPQCデジタル署名検証を実行します。PQCシグネチャは、既存のレガシーシグネチャに加えて、さらなるセキュリティを提供します。PQCシグネチャは、従来のシグネチャに置き換わるものではありません。検証の成功に関係なく、画像を使用するかどうかを決定できます。PQC署名を使用してイメージの信頼性を検証できるのは、PQC署名付きイメージをダウンロードした場合のみです。

この検証方法を使用するには、テクニカルサポートの告示で PQC署名が利用可能かどうかを確認してください。

図1:PQC署名検証ワークフロー(オフボックス方式) PQC Signature Validation Workflow (Off-Box Method)

図 1 に示すように、PQC 署名検証ワークフローには次の手順が含まれます。

ソフトウェアイメージとそのハッシュをジュニパーダウンロードページからローカルマシンにダウンロードします。
PQC署名を確認する前に、ローカルマシンで、ダウンロードしたソフトウェアイメージのSHA-512チェックサムを確認します。
ジュニパーサポートポータルからリクエストを送信して、ソフトウェアイメージのPQCシグネチャを取得します。
ジュニパーサポートポータルからPQC署名と関連する公開キーをダウンロードするためのリンクが届きます。
検証ツールを使用してPQC署名を確認し、ソフトウェアイメージを検証します。 PQCシグネチャの検証(オフボックス)を参照してください。

なお、ジュニパーネットワークスのデバイスは、署名検証のために計算リソースを使用しません。

検証済みのイメージをジュニパーネットワークスデバイスにインストールします。『ジュニパーネットワークスソフトウェアのインストールとアップグレードガイド』を参照してください。

前提条件

PQC署名をすぐに確認する前に、以下の前提条件を満たしていることを確認してください。

オフボックスPQC署名検証方法を理解します。 PQC署名検証について(オフボックス)を参照してください。
以下のファイルがあることを確認してください。
1. PQC署名付きソフトウェアイメージ
2. ソフトウェアイメージのSHA-512
3. PQCシグネチャ
4. PQCシグネチャに関連付けられた公開キー
以下のツールが用意されていることを確認してください。
- ローカルマシンにPQC署名検証ツールをインストールして、署名とハッシュファイルを比較します。OpenSSL 3.5以降を推奨します。
- sha512sumなどのツールをインストールして、ダウンロードしたソフトウェアイメージのSHA-512チェックサムを生成して検証します。

検証

ラップトップで次の検証手順を実行します。

イメージの暗号化ハッシュを取得して、イメージの整合性についてSHA-512チェックサムを検証します。以下のコマンドのいずれかを使用します。
- sha512sumツールを使用して、画像のハッシュを取得します。
  この例では、サンプル画像 junos-evo-install-acx-x86-64-25.4R1.8-EVO.isoを使用しています。お使いのデバイスに適したイメージに置き換えてください。
- opensslツールを使用して、イメージのハッシュを取得します。
ヒント: cut、 awk、または sedを使用してハッシュを抽出します。エラーを防ぐために、手動による編集は避けてください。

この例では:
- junos-evo-install-acx-x86-64-25.4R1.8-EVO.iso は、PQC署名付きソフトウェアイメージの名前です。
- image.hash は、イメージハッシュを格納するためのデフォルトのファイル名です。ファイルの名前は変更できます。
ファイル内のSHA-512チェックサムと、ダウンロードしたソフトウェアイメージで受け取ったチェックサムを比較します。両方のチェックサムが一致する必要があります。
イメージのPQCシグネチャを検証します。
この例では:
- pubkey.pem は公開キーです。
- junos-evo-install-acx-x86-64-25.4R1.8-EVO.sha512mldsa は、イメージのPQCシグネチャです。
- image.hash はSHA-512チェックサムです。
コマンドは以下を表示します。
- Verified OK 検証に成功した場合。
- Verification failure 検証が無効な場合。署名検証に失敗した場合は、次の手順に従います。
  - 適切な検証ツールを使用していることを確認してください。
  - 正しいイメージ、署名、公開キーがあることを確認してください。
  - 検証手順を確認し、イメージから生成されたハッシュが受信したハッシュと一致していることを確認します。
  - ハッシュが一致しない場合は、イメージを再度ダウンロードし、検証用にハッシュを再生成します。
  - サポートが必要な場合は、カスタマーサポートにお問い合わせください。

変更履歴テーブル

サポートされる機能は、使用しているプラットフォームとリリースによって決まります。機能エクスプローラーを使用して、機能がお使いのプラットフォームでサポートされているかどうかを確認します。

リリース

説明

25.4R1-EVO

Junos OS Evolved リリース 25.4R1 でオフボックス検証を備えた PQC 署名付きソフトウェアイメージのサポートが導入されました。

25.4R1

Junos OSリリース25.4R1でオフボックス検証を備えたPQC署名付きソフトウェアイメージのサポートが導入されました。