AdGuard DNS、耐量子暗号（PQC）に対応

AdGuard DNS v2.19 は、近い将来に向けたセキュリティ強化への重要な一歩となります。

AdGuard DNS はまたまた時代の先を行き、クライアントサイドのポスト量子暗号技術（PQC：Post-quantum cryptography）を導入したDNSサービスとしては世界初となり、ポスト量子暗号（PQC）技術自体の早期採用者の中ではGoogleやCloudflareに次ぐごく少数のの仲間入りを果たしました。

ポスト量子暗号の仕組みについて詳しくは、こちらのAdGuard VPNブログ記事で既解説しておりますので、本記事では主要な概念を簡潔に振り返り、この技術がAdGuard DNSにどのように実装されているかを説明したいと思います。

「ポスト量子暗号」「耐量子計算機暗号」「PQC（Post-quantum cryptography）」はすべて「耐量子暗号」の別称であり、同じものを指します。

耐量子暗号がデータと個人情報を保護する仕組み

DNSトラフィックの安全性を確保するには、暗号化がデータそのものだけでなく、クライアントとサーバー間で暗号鍵を交換する方式も保護しなければなりません。現代のアルゴリズムは非常に強力ですが、将来の量子コンピュータは現在の鍵交換方式を破ることが可能となり、暗号化された接続さえも脆弱にしてしまうのです。

そこで、耐量子計算機暗号技術が、量子コンピューターを使った攻撃に耐えるよう設計されたアルゴリズムでこのリスクに対処してくれます。DNSにおける効果としては、DoT、DoH、DoQといったクライアントサーバー接続や、DNSSECなどの重要インフラコンポーネントに対する保護機能を強化し、長期的にDNSのプライバシーを確実に維持できることが可能になるということになります。

具体的な仕組み

AdGuard DNSは、Chromeやその他のChromiumベースのブラウザで採用されているのと同じ手法であるX25519MLKEM768と呼ばれるハイブリッド暗号化方式を使用します。

このハイブリッド暗号化方式は二つの要素で成り立っています：

• X25519 は標準的な暗号化アルゴリズムを提供します。
• ML-KEM768 はポスト量子セキュリティを追加します。

これの効果は？

• 両アルゴリズムの組み合わせによる鍵は、量子コンピュータであっても解読が事実上不可能であるため、保護が大幅に強化されます。
• 耐量子アルゴリズム ML-KEM768 に脆弱性が発見された場合でも、信頼性の高い X25519 アルゴリズムがセキュリティを維持してくれます。

耐量子暗号を使い始める方法

バージョン2.19以降、AdGuard DNS で耐量子暗号はデフォルトで有効化されます。ただし、この機能を利用するには、AdGuardアプリ経由でDNSサーバーに接続する必要があります。これは、ほとんどのOSに耐量子暗号へのがネイティブ対応がないためです。現在、アプリをポスト量子暗号と完全互換にする準備を進めており、テスト段階にあります。今すぐ試されたい場合は、最新のNightlyビルドをダウンロードしてください（※Nightly版は不安定である可能性があることにご注意ください）：

• AdGuard for Windows v8.0.0 Nightly 22
• AdGuard for Android v4.14 Nightly 23
• AdGuard for Mac v2.18.0.2090 Nightly

AdGuard VPN 経由でDNSサーバーに接続する際は、この機能はまだ利用できませんが、近日中に提供予定です。提供開始後は、アプリ内でポスト量子暗号を有効にすると自動的に適用されます。

耐量子暗号（PQC）が有効かどうかを確認するには、AdGuardのテストページにアクセスし、AdGuard DNSセクションまでスクロールしてください。ステータスに「PQC: enabled」と表示されていれば、耐量子暗号で保護されています。

GitHubで皆様からのフィードバックやご提案をお待ちしております。
また、よかったらAdGuardのSNSでもご連絡いただけます。