Observability for Post-Quantum TLS Readiness: A Multi-Surface Evidence Framework

本論文は、パッシブ、アクティブ、レジストリベースの測定を統合してセッション動作とエンドポイントの能力を正確に区別するポスト量子 TLS 対応における観測可能性のための多面証拠フレームワークを提示し、既存の基準分析器と比較してハイブリッド鍵確立および量子脆弱性の検出能力が著しく優れていることを実証する。

要約

インターネットのセキュリティシステム（TLS）を、高度な技術が施された銀行の金庫に例えてみましょう。長年にわたり、これらの金庫の施錠は「古典的」な金属で作られてきました。しかし、科学者たちは、最終的にこれらの施錠を解く可能性のある新しい種類の「量子」ツールを発見しました。安全を確保するために、銀行は「ハイブリッド」施錠の設置を開始しています。これは、古い金属と、新しい超強力な量子合金を組み合わせたものです。

問題は、どの銀行が実際にこれらの新しいハイブリッド施錠を設置しているかを知る必要があるということです。しかし、確認は厄介です。一部の銀行は、ドアに近づいたときだけ施錠を見せます（受動的な視点）。一方、他の銀行は、施錠を一方通行のミラーの背後に隠しています（暗号化された視点）。さらに、一部の銀行は新しい施錠を設置しているものの、特定の顧客に対しては古いものしか使用していないかもしれません。

本論文は、この問題を解決するための新しい多面的検査フレームワークを提示します。単にドアを見るのではなく、著者たちは全体像を把握するために、金庫を 4 つの異なる角度から検査するシステムを構築しました。

検査の 4 つの角度（「面」）

銀行が未来に備えているかどうかを判断しようとする場合、歩道に立っているだけでは不十分です。異なる場所から見る必要があります。

1. 歩道からの視点（受動的セッション）：街中に立って、顧客が入室する様子を観察します。彼らの行動は見えますが、内部のすべては見えません。デジタル世界では、これは「受動的」な監視です。ドアが開いている古いシステム（TLS 1.2）には非常に効果的に機能しますが、ドアが閉まり、施錠機構が見えない新しい暗号化システム（TLS 1.3）では機能しません。
2. 探偵のプローブ（能動的プロービング）：ただ見ているのではなく、探偵がドアをノックして、「ねえ、ハイブリッド施錠を持っていますか？」と尋ねます。銀行は、「はい、持っています」と答えるかもしれません。それは、さっき入室した顧客がそれを要求しなかった場合でも同様です。これにより、顧客が実際に何をしたかだけでなく、銀行が何できるかが明らかになります。
3. 設計図の確認（証明書チェーン）：探偵は銀行の事務所に行き、設計図と警備員の ID バッジを確認します。これにより、銀行が誰であるか、そして現在のセキュリティ計画の有効期間が確認されます。
4. 規則書（レジストリ）：探偵は、実験的な新しいタイプを含む、既知のすべての施錠タイプの最新の大百科事典を携えています。これにより、名称を正しく特定していることを確認します。

「測定対象」：完全なレポートカード

本論文は、従来のツールが歩道で見られたことに基づいて「はい/いいえ」の答えしか与えないと主張しています。新しい施錠が見えなければ、「いいえ」と言うのです。

新しいフレームワークは、異なる事実を分離する構造化されたレポートカード（「測定対象」）を作成します。

• この特定の取引で何が起こったか？（顧客は古い施錠を使用した。）
• 銀行は何ができるか？（銀行はハイブリッド施錠を保有しており、要求されれば使用できる。）
• 銀行は誰か？（設計図によって検証済み。）
• 信頼度レベルは何か？（実際に目撃したのか、それとも推測なのか？）

重要なのは、このレポートカードが知らないことを認める点です。ドアが閉まっており、探偵がノックできない場合、推測して「いいえ」と言うのではなく、「不明」と報告します。また、設計図には「ハイブリッド施錠」とあるのに、ドアは常に「古い施錠」しか見せないといった矛盾も検知します。

実験：発見されたこと

著者たちは、システムを 2 つの方法でテストしました。

1. 実験室テスト（制御されたシナリオ）：彼らは実験室内に、既知の設定を持つ 29 の偽の銀行金庫を構築しました（ハイブリッド施錠があるもの、ないもの、壊れたドアがあるもの、隠された施錠があるものなど）。

   • 従来のツール：標準的なセキュリティスキャナ（「ベースライン」）は、29 のケースのうち新しい施錠を 2 つしか検出できませんでした。それは、ほとんどすべての現代的な暗号化金庫を見逃しました。
   • 新しいシステム：4 つの角度を組み合わせることで、データが散らかっていたり不完全だったりする場合でも、ほぼすべてのシナリオで正確な状態を特定しました。

2. 実世界テスト（公開キャンペーン）：彼らはインターネット上の 1,000 の実際の Web サイトをスキャンしました。

   • 驚き：標準的なスキャナは、これらのサイトの 0 がハイブリッド施錠を持っていると報告しました。
   • 新しいシステム：「探偵のプローブ」（特にハイブリッド施錠を要求する）を使用することで、通常は古いものを使用しているにもかかわらず、310 のサイトがハイブリッド施錠を使用できることを発見しました。
   • 「広範な機能」の洞察：これらの 310 サイトについて、新しいシステムは、特定の顧客がその機能をトリガーしなかったとしても、サイトが新しい施錠を使用する能力を持っていることを証明しました。ドライバーがターボボタンを押しなかったとしても、その車がターボボタンを持っていることがわかるようなものです。

結論

本論文は、インターネットが量子の未来に備えているかどうかを知るためには、表面で起こっていることを見るだけでは不十分であると結論付けています。私たちは多層的なアプローチが必要です。

• トラフィックを観察する（受動的）。
• サーバーに何ができるか尋ねる（能動的）。
• 証明書を確認する（チェーン）。
• 私たちが知っていること、知らないこと、そして情報の出所を厳格に記録する。

このアプローチは、問題が見えなかったからといってシステムが安全だと誤って判断したり、新しい機能が見えなかったからといって不安全だと誤って判断したりすることを防ぎます。「わからない」という答えを、失敗ではなく、有効かつ重要な答えとして扱います。

技術概要

技術的概要：ポスト量子 TLS 対応性の可観測性

問題定義
トランスポート層セキュリティ（TLS）におけるポスト量子暗号（PQC）への移行は、重大な可観測性の課題を提起する。エコシステムが古典的アルゴリズムから NIST 標準化された ML-KEM および ML-DSA へ移行する際、多くの場合ハイブリッド鍵確立メカニズム（例：X25519MLKEM768）を経由するため、運用者や監査人はエンドポイントの対応性を評価する信頼性の高い手法を欠いている。既存のアプローチにはいくつかの限界がある：

• プロトコルの不透明性：TLS 1.3 は証明書を含むハンドシェイク材料を暗号化するため、パッシブなパケット検査だけでは認証やライフサイクル分析が不十分となる。
• 証拠の断片化：エンドポイントの機能（サーバーがサポートするもの）は、セッションネゴシエーション（特定のクライアントがネゴシエートするもの）としばしば乖離する。さらに、アクティブなプローブを通じて収集された証明書チェーンは、以前に取得されたパッシブなセッションと時間的または論理的にリンクしない可能性がある。
• 測定ギャップ：従来のパケット検査ツールは、古典的ネゴシエーションと潜在的なハイブリッド機能の区別ができず、不完全、矛盾、または曖昧な証拠を処理する際に、偽陽性または偽陰性を生み出すことなく対応することに苦慮している。

手法
著者は、PQC 対応性を、特定の測定平面にマッピングされた異なる証拠ソースを必要とする可観測性の問題として扱う「マルチサーフェス証拠フレームワーク」を提案する。

1. 4 つの証拠サーフェス：

   • $\Sigma_P$（パッシブセッション）：パケットキャプチャから抽出（例：TLS バージョン、暗号スイート、可視グループ）。TLS 1.3 では暗号化により制限される。
   • $\Sigma_A$（アクティブプローブ）：制御されたプローブによって生成（例：特定のグループを提供するクライアントプロファイル）。エンドポイント機能の下限を推測するために使用される。
   • $\Sigma_C$（証明書チェーン）：アクティブな取得またはパッシブな可視性を通じて収集されたアーティファクト。認証およびライフサイクルデータを提供する。
   • $\Sigma_R$（レジストリおよびルール）：識別子（グループ、OID）、エイリアス、推論ルールに対する標準的なマッピング。

2. 測定平面：
   証拠は 7 つの平面（セッション、鍵確立、機能、認証、ライフサイクル、可観測性、ポリシー）に投影される。測定対象は、適切なサーフェスからの十分な証拠が利用可能になった場合にのみ、その平面において「閉じられている（closed）」とみなされる。

3. アーティファクトおよびベンチマーク設計：

   • PQ-TLS 可観測性ベンチマーク v1：29 のシナリオ（14 の標準シナリオ、15 のストレステスト）を含む再現可能なアーティファクト。標準シナリオはクリーンな条件下での抽出をテストし、ストレステストは切断、フラグメンテーション、時間的ドリフト、HelloRetryRequest（HRR）、および矛盾する証拠の処理をテストする。
   • 評価モード：フレームワークは 4 つのモードを比較する：
     • B0：継承されたベースライン（参照パケットインスペクター）。
     • B1：パッシブのみ。
     • B2：パッシブ＋アクティブプローブ。
     • B3：完全なマルチサーフェス（パッシブ＋アクティブ＋チェーン＋レジストリ）。
   • ストレステスト契約：完全一致のグラウンドトゥルースとは異なり、ストレステストシナリオは unknown、not_applicable、ambiguity、contradiction 状態の正しい処理を評価する行動契約を使用する。

主要な貢献

1. マルチサーフェス証拠モデル：パッシブセッション、アクティブプローブ、証明書チェーン、レジストリ証拠を形式的に分離し、セッション動作とエンドポイント機能の混同を防ぐために、これらを異なる測定平面にマッピングする。
2. スキーマ強制の再現可能アーティファクト：シナリオおよび結果用の JSON スキーマ、進化中の PQC 識別子用のバージョン管理レジストリ、監査可能な推論ルールを備えた公開実装（pq_tls_observability）。
3. ストレステスト契約評価：不完全なデータに対して二元的な決定を強制するのではなく、不確実性を保持し矛盾を検出する能力に基づいてツールをスコアリングする手法。
4. 実証的検証：
   • 制御されたベンチマーク：TLS 1.2/1.3、ハイブリッド/古典的鍵、mTLS、および各種ネットワーク条件を網羅する 29 のシナリオにわたる評価。
   • 公開キャンペーン：2,000 のプローブを用いた 1,000 の公開ターゲットの層別化研究。標準スキャナー（SSLyze、testssl.sh）および継承されたベースラインとの比較。

結果

• ベンチマーク性能：
  • 継承されたベースライン（B0）は 29 回の実行のうちわずか2 回、TLS 1.3 の実行のうち0 回を検出した。これは、暗号化環境におけるパケットのみの検査の失敗を浮き彫りにしている。
  • マルチサーフェスモード（B3）は、標準シナリオですべての平面で完全な閉塞を達成し、ストレステストシナリオで不確実性を正しく処理した。
• 公開キャンペーンの知見：
  • フレームワークは1,971 回のハンドシェイクを完了し、1,368 個のチェーンアーティファクトを収集した。
  • 310 個のターゲットでハイブリッド機能を確認した。重要なのは、これら 310 個のターゲットが「セッションよりも広範な機能」ケースとして特定されたことである。単一の古典的セッションビューであれば古典的のみと報告されたであろうが、デュアルプローブ測定によりそのハイブリッドサポートが明らかになった。
  • 標準スキャナー（SSLyze、testssl.sh）は、250 ターゲットのベースラインズースライスにおいてハイブリッド確認ターゲット 0 件を報告したが、デュアルプローブモードでは70 件を確認した。
  • 安定性：繰り返しラウンド（R1）は、機能および証明書データにおける最小限のドリフトとともに、高い安定性（99.42% の明確完全安定性）を示した。
• ファミリーの異質性：ハイブリッド確認率は運用ファミリーによって著しく変動した（例：知識コミュニティでは 0.620、政府およびクラウドベンダーでは 0.110）。

意義と主張
本論文は、信頼性の高いポスト量子 TLS 対応性評価には、以下の要素を分離する構造化された測定規律が必要であると主張する：

1. セッション動作（ネゴシエートされたもの）とエンドポイント機能（サポートされているもの）の分離。
2. 明示的な出所とリンクを維持するための証拠ソース（パッシブ対アクティブ対チェーン）の分離。
3. 運用者が対応性判断を適用する前に生データを確認できるようにするための測定とポリシー判断の分離。

著者は、unknown、not_applicable、ambiguity、contradiction を第一級の測定出力として扱うことが、正確な監査に不可欠であると論じている。彼らは、現在のスキャナーベースラインは有用な古典的シグナルを提供するが、意図的なプロファイル変異（デュアルプロービング）とマルチサーフェス証拠収集なしには潜在的なハイブリッド機能を明らかにできないと結論づけている。このフレームワークは、可視のパケット指標とポスト量子対応性の完全な証拠ベース評価との間のギャップを埋めるために必要なインフラを提供する。