LoginSignup
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Day 6

PQC Advent Calendar 2025

@krbyshinIBM

PQC 時代の IPsec を比較する : RFC8784 / RFC9242 + RFC9370

Last updated at Posted at 2025-12-06

この記事は「PQC Advent Calendar 2025」の 6 日目です。
※この記事はAIによって生成されたコンテンツを含みます。

この記事では、PQC 移行期における IPsec / IKEv2 の量子耐性設計として、以下 2 つの方式を比較します。

  • ① PPK(Post-Quantum Preshared Keys) IPsec(RFC8784)
  • ② PQC IPsec(RFC9242 + RFC9370)

2025年12月現在の情報をもとに記載しております。

背景

PQC と IPsec の課題

CRQC が実用化されると、IKEv2 の以下の部分が破られる可能性があります。

影響を受ける箇所 理由
DH / ECDH の鍵共有 Shor のアルゴリズムで離散対数問題が解読可能
署名(ECDSA / RSA) 同様に量子攻撃で解読可能
IKE_SA の長期秘匿性 HNDL(Harvest Now, Decrypt Later) に対して脆弱

そのため IETF は PPK IPsec (RFC8784)PQC IPsec(RFC9242 + RFC9370) の双方を標準化しました。

PPK IPsec(RFC8784)

概要

RFC8784 は「PQC KEM がまだ標準化されていない時代」に、量子攻撃に対して IKE_SA を守る暫定策として作られた RFC です。
“PQCを使わずに” IKEv2 の鍵共有を安全化する枠組み であることです。

PPK を追加し IKE_SA の鍵素材を強化する 拡張になります。

パケットフロー

IKE_SA_INIT -----(ECDH)---->
IKE_SA_INIT <----(ECDH)-----
IKE_AUTH     ----(PPK使用)-->
IKE_AUTH     <--------------

鍵導出

IKE_SA の鍵導出は本来下記ですが、

SKEYSEED = prf(Ni | Nr, g^ir)

RFC8784 はここに追加の PPK を加えます:

SKEYSEED = prf(Ni | Nr, g^ir | PPK)

つまり、DH/ECDH が量子攻撃で破られても PPK が強度を担保するため、IKE_SA 全体は破られない という仕組みです。

PQC IPsec(RFC9242 + RFC9370)

RFC9242 と RFC9370 は、PQC KEM を IKEv2 に正式導入するための組み合わせて利用される RFC です。

  • RFC9242:IKEv2 における PQC KEM の利用法
  • RFC9370:IKE_INTERMEDIATE の定義

両方が揃って初めて「PQC IPsec」として機能します。

概要

IKEv2 は 2 メッセージ(4 パケット)の SA_INIT に詰め込めないため、
IKE_INTERMEDIATE(追加ラウンド) を使って PQC KEM を交換します。

パケットフロー

IKE_SA_INIT ----------->
IKE_SA_INIT <----------
IKE_INTERMEDIATE ---(PQC KEM)---->
IKE_INTERMEDIATE <----(PQC KEM)---
IKE_AUTH ------------->
IKE_AUTH <-------------

鍵導出(PQ/T Hybrid)

PRK = prf(ECDH_shared_secret | PQC_shared_secret)
SKEYSEED = prf(PRK, Ni | Nr)

RFC8784 と RFC9242+9370 の比較

観点 RFC8784 RFC9242 + RFC9370
位置づけ 暫定の量子耐性 本命の PQC 移行
PQC 利用 なし PQC KEM
Exchange SA_INIT のみ IKE_INTERMEDIATE
鍵素材 ECDH + PPK ECDH + PQC KEM
署名防御 不可 PQC 署名と組み合わせ可
配布負荷 PPK 必要 追加配布不要
長期秘匿性 PPK に依存 PQC で本質的に確保

まとめ

  • RFC8784 は純粋な PQC 対応ではないですが、実装が進んでおり、QKD との併用も含めて比較的多くのベンダーの機器で利用が可能
  • RFC9242 + RFC9370 は PQC 対応になりますが、一部のベンダーのみ対応している状況

参考文献

RFC8784 — IKEv2 Post-quantum Preshared Keys
RFC9242 — IKEv2 Post-quantum Hybrid Key Exchange
RFC9370 — Intermediate Exchange in the IKEv2 Protocol

3
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?