サーバーにSSH接続すると次の表示が出る:

** WARNING: connection is not using a post-quantum key exchange algorithm.
** This session may be vulnerable to "store now, decrypt later" attacks.

怖い話だ。分解してみよう。

脅威: Store Now, Decrypt Later(SNDL)

今日のSSH暗号化は数学的に強力で、古典的コンピュータでは解読に数百万年かかる。しかし量子コンピュータは異なるルールで動作する。Shorのアルゴリズムを実行する十分に強力な量子コンピュータは、今日の公開鍵暗号の多くを保護する数学を数百万年ではなく数時間で破ることができる。

不安な部分: これができるほど強力な量子コンピュータはまだ存在しない。ではなぜ今心配するのか?なぜなら敵対者、特に国家レベルは、量子ハードウェアが成熟した後に復号する計画ですでに暗号化トラフィックを記録しているからだ。これがSNDL攻撃だ。これはSFではない。NSA、CISA、NISTはすべて、今すぐにポスト量子暗号への移行に関するガイダンスを発行している。

古典的 vs ポスト量子鍵交換

古典的(量子コンピュータに脆弱)

diffie-hellman-group1-sha1(回避)、diffie-hellman-group14-sha1(回避)、curve25519-sha256(最良の古典的オプション)など。上記すべてはShorのアルゴリズムを実行する量子コンピュータによって破られる。

ポスト量子(量子コンピュータに対して安全)

  • sntrup761x25519-sha512@openssh.com(OpenSSH 8.5+): NTRU Prime + X25519のハイブリッド
  • mlkem768x25519-sha256(OpenSSH 9.9+): ゴールドスタンダード。ML-KEM-768 + X25519(NIST FIPS 203標準化)

両方ともハイブリッドアルゴリズムで、ポスト量子アルゴリズムを古典的アルゴリズムの上に重ねる。PQアルゴリズムに欠陥があればX25519が保護し、量子コンピュータが攻撃すればPQ層が保護する。両方の長所を得られる。

修正方法

Step 1: /etc/ssh/sshd_configを編集する。
OpenSSH 9.9+の場合: KexAlgorithms mlkem768x25519-sha256,...
OpenSSH 8.5-9.8の場合: KexAlgorithms sntrup761x25519-sha512@openssh.com,...
古典的アルゴリズムはフォールバックとして保持すること。

Step 2: 検証して再起動: sudo sshd -tの後にsudo systemctl restart sshd

Step 3: 動作確認: ssh -v user@yourserver 2>&1 | grep "kex_"

TL;DR

今ハッキングされているのか?いいえ。これは将来の量子コンピュータについての話だ。すぐに対応する必要があるか?機密性の高い長期データならはい。個人サーバーなら近いうちに。どのアルゴリズムを使うべきか?mlkem768x25519-sha256(OpenSSH 9.9+)またはsntrup761x25519-sha512@openssh.com(8.5+)。量子時代はまだ来ていないが、準備する窓口は今だ。KexAlgorithmsの更新には2分かかり、モダンなサーバー強化における最も簡単な勝利の一つだ。

Ubuntu 24.04はOpenSSH 9.6p1を同梱し、sntrup761x25519-sha512@openssh.comをすぐにサポートする。OpenSSH 9.9+(PPAまたは新しいディストリビューション経由で利用可能)はNIST標準化されたmlkem768x25519-sha256を追加する。