AlmaLinux 10 で PQC（耐量子計算機暗号）をお試し（その３）

― ハイブリッド鍵交換 (X25519MLKEM768) を nginx でお試し ―

nginx のハイブリッド鍵交換 (X25519MLKEM768) 対応

今回「その３」では、ハイブリッド鍵交換 (X25519MLKEM768) を nginx で試します。
前回「その２」でも書きましたが、X25519MLKEM768 は、古典的暗号（X25519）と新しい量子耐性暗号（ML-KEM768： Module-Lattice Key Encapsulation Mechanism 768）を組み合わせた鍵交換方式で、前者の信頼性と、後者による「Harvest Now, Decrypt Later（HNDL）」攻撃への対応という、両者の強みが組み合わされたものであり、既に Google Chrome ブラウザ等が対応済みです。
ベースの環境は、「その 2」と同じく、AlmaLinux 10 に crypto-policies-pq-preview パッケージをインストールし、PQC を試すためにサブポリシー TEST-PQ を設定した環境です。

さて、まず nginx をインストールします。

# dnf -y install nginx

設定ファイル nginx.conf（/etc/nginx/nginx.conf）を編集し、主要な設定としては以下としました
（一部、■■■で伏せています）。

# Settings for a TLS enabled server.
#
    server {
        listen       443 ssl;
        listen       [::]:443 ssl;
        http2        on;
        server_name  ■■■.■■■.cybertrust.co.jp;
        root         /usr/share/nginx/html;
#
        ssl_certificate "/etc/pki/nginx/server.crt";
        ssl_certificate_key "/etc/pki/nginx/private/server.key";
        ssl_session_cache shared:SSL:1m;
        ssl_session_timeout  10m;
        ssl_ciphers PROFILE=SYSTEM;
        ssl_prefer_server_ciphers on;
#
        # Load configuration files for the default server block.
        include /etc/nginx/default.d/*.conf;
    }

「認証」用の証明書は、「その２」で作成した証明書をそのまま流用しました。
ということで、鍵生成と証明書作成の部分の記載は省略します。

準備ができたので、nginx を起動し、ステータスも確認。

# systemctl start nginx

# systemctl status nginx
● nginx.service - The nginx HTTP and reverse proxy server
     Loaded: loaded (/usr/lib/systemd/system/nginx.service; disabled; preset: disabled)
     Active: active (running) since ・・・　（略）

ハイブリッド鍵交換を扱えるブラウザ（今回も Windows PC 上の Google Chrome ブラウザを使用）で上記の AlmaLinux 10 上の nginx に接続して確認。

ハイブリッド鍵交換を扱えるブラウザで上記の nginx に接続した画面

図の右下部分で赤枠で囲ったとおり、鍵交換が「X25519MLKEM768」となっています。
ということで、ハイブリッド鍵交換を nginx で試すことができました。

「その３」はここまでとなります。
次回「その４」では、今回の AlmaLinux 10 の PQC テクニカルプレビュー環境で、「認証」用の鍵ペアや証明書について PQC を試したいと思います。

お問い合わせ

IT 環境全体が PQC レディーになるにはまだ多少時間を要するものと想像しますが、その中でご質問・相談事項などございましたら、お気軽にお問い合わせください（問合せ先： pqctrial@cybertrust.co.jp）。

この記事の著者

サイバートラスト R&D センター

「R&D センター」は、2022 年 4 月 1 日に立ち上げられた研究開発部門です。
サイバートラストは、お客様のサービスの信頼性を支えるプラットフォーマーとして、先々のプラットフォームや社会制度、他がどのように変化するのかを考えています。
さまざまな IoT 機器が普及し、OSS や AI やブロックチェーンが活用され、量子コンピュータが発達する一方で、それらによる新たなセキュリティリスクも生じると想像される未来においても、引き続き、安心・安全な社会を実現するため、サイバートラストが果たす役割を含め、研究開発を進めています。

* AlmaLinux は、The AlmaLinux OS Foundation の商標です。
* Linux は、Linus Torvalds 氏の日本およびその他の国における登録商標または商標です。
* Red Hat、Red Hat Enterprise Linux は、米国およびその他の国における Red Hat, Inc. およびその子会社の商標または登録商標です。
* その他、記載されている会社名、製品名、サービス名は、当社または各社、各団体の商標もしくは登録商標です。
* サイバートラストは、AlmaLinux OS Foundation に日本企業初のプラチナスポンサーとして参画する AlmaLinux OS の公式ディストリビューターですが、本ブログは当社の R&D チームで試行した結果の共有であり、AlmaLinux OS に関わる公式サポート情報ではなく、また、AlmaLinux OS Foundation の公式見解でもありません。併せて、本ブログはテクノロジープレビューパッケージを試したものであるため、機能的に完成していない可能性があり、本番用途への展開には適しません。