おはこんにちは!
GMOコネクトの菅野(かんの)です。
お元気ですか? ワイは元気です
さて、昨日、このような記事を書いたワケですが、官公庁のPQCへの向き合い方ってどうなっているのかな?ってのが気になって夜眠れなかったんですね。
モヤったら「まず動け」の精神で調査を実施しました。
調査方針
- PQCへの向き合っているかを知りたい
- PQC対応が進んでいるインターネットプロトコルはTLSなので、TLS通信させて状況を見る(※)
- 職人が真心こめてアクセスして状況を把握
- ターゲットの官公庁をどうするか?
- *.go.jp や *.lg.jp ドメインを取得してターゲットリスト化
- 調査手段は?
- OpenSSLのs_clientを使ってPQ/Tな接続ができるのか確認する
とりあえず、「TLS通信させて状況を見る」ってところが、なに言っているのかよくわからんのだけど?という感じだと思うので、少し解説します。
なんでTLS通信を見れば、PQC対応しているかどうかわかるかというカラクリとしては、Post-quantum hybrid ECDHE-MLKEM Key Agreement for TLSv1.3というInternet-DraftでIANAが管理する TLS Supported Groups registry で規定されています。
RFC化に先んじて社会実験としてブラウザやWebサーバに実装されているため、このTLS Supported Groupsに対応していれば、PQCを使って鍵交換を行なっている = PQC安全な通信!だということになります。
Transport Layer Security (TLS) Parameters
TLSはプロトコルというご作法に従って通信をしています。
この作法はRFCというドキュメントにまとめられていますが、読むのはなかなか大変です。
でも、TLSを感じたいんだ!という方は、次のサイトで感じられます。
The Illustrated TLS 1.3 Connection
調査概要 & 結果
ということで、調査概要とその結果についてまとめます!
調査概要
- *.go.jp や *.lg.jp ドメイン(政府機関、地方自治体)のリストとして、191ドメインが調査対象 です。
- この191ドメイン(内訳:go.jp 78、 lg.jp 59、 その他 54)に対して真心込めてTLSハンドシェイクを実施!
調査結果
- 接続成功率 97.4%(186サイト)
- 失敗した5ドメインはすべてDNS解決の問題...
- TLS1.3での接続OK率 90.3%(168サイト)
- PQ/Tハイブリッド構成が有効率 42.5%(79サイト)
- PQ/Tハイブリッド構成で接続されているものはX25519MLKEM768 という結果を得ました。
所感
意識してPQ/Tハイブリッド構成にしているかどうかは不明ですが、結果としてPQCを42.5%のサイトが利用していることに、IETF標準化とOSS活動の成果を感じました。
最後に、GMOコネクトでは研究開発や国際標準化に関する支援や技術検証をはじめ、幅広い支援を行っておりますので、何かありましたらお気軽にお問合せください。