NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告
こんにちは、丸山満彦です。
NISTがポスト量子暗号、耐量子暗号の標準化プロセスの第3ラウンドを終了し、公開鍵暗号化および鍵確立アルゴリズムとして、CRYSTALS-KYBER [wikipedia]、電子署名としてCRYSTALS-Dilithium、FALCON、SPHINCS+が標準化される予定となったようですね。。。また、代替アルゴリズムの候補として、BIKE、Classic McEliece、HQC、SIKEが選ばれたようですね。。。
Star WarsやStar Trekにちなんだ名前をつけるところがアメリカっぽいのかもしれません。暗号領域は日本も得意としていたところだったので、これからも頑張ってほしいとは思います。。。
はじめにプレス...
● NIST
・2022.07.05 (news) NIST Announces First Four Quantum-Resistant Cryptographic Algorithms
| NIST Announces First Four Quantum-Resistant Cryptographic Algorithms | NIST、量子耐性を持つ暗号アルゴリズムの最初の4つを発表 |
| Federal agency reveals the first group of winners from its six-year competition. | 米連邦政府機関、6年間のコンペティションの最初の勝者グループを発表 |
| The first four algorithms NIST has announced for post-quantum cryptography are based on structured lattices and hash functions, two families of math problems that could resist a quantum computer's assault. | NISTが発表した耐量子暗号の最初の4つのアルゴリズムは、構造格子とハッシュ関数に基づいており、量子コンピュータの攻撃に対抗できる2つの数学問題群です。 |
| GAITHERSBURG, Md. — The U.S. Department of Commerce’s National Institute of Standards and Technology (NIST) has chosen the first group of encryption tools that are designed to withstand the assault of a future quantum computer, which could potentially crack the security used to protect privacy in the digital systems we rely on every day — such as online banking and email software. The four selected encryption algorithms will become part of NIST’s post-quantum cryptographic standard, expected to be finalized in about two years. | 米国商務省の国立標準技術研究所(NIST)は、将来の量子コンピュータの攻撃に耐えられるように設計された暗号化ツールの最初のグループを選択しました。この量子コンピュータは、オンラインバンキングや電子メールソフトウェアなど、私たちが日常的に利用しているデジタルシステムのプライバシー保護に用いられているセキュリティを解読する可能性があります。今回選ばれた4つの暗号化アルゴリズムは、NISTの耐量子暗号標準の一部となり、約2年後に最終決定される予定です。 |
| “Today’s announcement is an important milestone in securing our sensitive data against the possibility of future cyberattacks from quantum computers,” said Secretary of Commerce Gina M. Raimondo. “Thanks to NIST’s expertise and commitment to cutting-edge technology, we are able to take the necessary steps to secure electronic information so U.S. businesses can continue innovating while maintaining the trust and confidence of their customers.” | ライモンド商務長官は、次のように述べました。「本日の発表は、量子コンピュータによる将来のサイバー攻撃の可能性から私たちの機密データを保護するための重要なマイルストーンです。NISTの専門知識と最先端技術への取り組みのおかげで、電子情報の保護に必要な措置を講じることができ、米国企業は顧客の信頼と信用を維持しながら技術革新を続けることができるのです。」 |
| The announcement follows a six-year effort managed by NIST, which in 2016 called upon the world’s cryptographers to devise and then vet encryption methods that could resist an attack from a future quantum computer that is more powerful than the comparatively limited machines available today. The selection constitutes the beginning of the finale of the agency’s post-quantum cryptography standardization project. | 今回の発表は、NISTが管理する6年間の取り組みを受けたもので、2016年に世界の暗号技術者に呼びかけ、現在利用できる比較的限られた機械よりも強力な未来の量子コンピュータからの攻撃に対抗できる暗号化方式を考案し、その後審査したものです。今回の選定は、同機関の耐量子暗号標準化プロジェクトのフィナーレの始まりを構成するものです。 |
| “NIST constantly looks to the future to anticipate the needs of U.S. industry and society as a whole, and when they are built, quantum computers powerful enough to break present-day encryption will pose a serious threat to our information systems,” said Under Secretary of Commerce for Standards and Technology and NIST Director Laurie E. Locascio. “Our post-quantum cryptography program has leveraged the top minds in cryptography — worldwide — to produce this first group of quantum-resistant algorithms that will lead to a standard and significantly increase the security of our digital information.” | 標準技術担当商務次官兼NIST長官のローリー・E・ロカシオ氏は次のように述べています。「NISTは常に将来を見据え、米国産業界や社会全体のニーズを先取りしています。現在の暗号を解読できるほど強力な量子コンピュータが実現すれば、我々の情報システムにとって深刻な脅威となります。NISTの耐量子暗号プログラムは、世界中の暗号技術のトップレベルの頭脳を活用し、量子耐性アルゴリズムの最初のグループを作成しました。」 |
| Four additional algorithms are under consideration for inclusion in the standard, and NIST plans to announce the finalists from that round at a future date. NIST is announcing its choices in two stages because of the need for a robust variety of defense tools. As cryptographers have recognized from the beginning of NIST’s effort, there are different systems and tasks that use encryption, and a useful standard would offer solutions designed for different situations, use varied approaches for encryption, and offer more than one algorithm for each use case in the event one proves vulnerable. | さらに4つのアルゴリズムが標準化に向けて検討されており、NISTは後日、このラウンドの最終候補を発表する予定です。NISTが2段階に分けて候補を発表しているのは、強固で多様な防御ツールが必要なためです。NISTの取り組みが始まった当初から暗号技術者が認識していたように、暗号を使用するシステムやタスクはさまざまであり、有用な標準は、さまざまな状況に合わせて設計されたソリューションを提供し、暗号化にはさまざまなアプローチを使用し、1つが脆弱であることが判明した場合に備えて各使用例に対して複数のアルゴリズムを提供するものです。 |
| “Our post-quantum cryptography program has leveraged the top minds in cryptography — worldwide — to produce this first group of quantum-resistant algorithms that will lead to a standard and significantly increase the security of our digital information.” —NIST Director Laurie E. Locascio | 「私たちの耐量子暗号プログラムは、世界中の暗号技術のトップレベルの頭脳を活用し、この最初の量子抵抗性アルゴリズムのグループを作成し、標準に導き、私たちのデジタル情報のセキュリティを大幅に向上させました。」 -NISTディレクター ローリー・E・ロカシオ氏 |
| Encryption uses math to protect sensitive electronic information, including the secure websites we surf and the emails we send. Widely used public-key encryption systems, which rely on math problems that even the fastest conventional computers find intractable, ensure these websites and messages are inaccessible to unwelcome third parties. | 暗号化は、私たちが閲覧する安全なウェブサイトや送信する電子メールなど、機密性の高い電子情報を保護するために数学を使用しています。広く使われている公開鍵暗号化システムは、従来の最速のコンピュータでさえ解くことが難しい数学の問題に依存しており、これらのウェブサイトやメッセージは、好ましくない第三者にはアクセスできないようになっています。 |
| However, a sufficiently capable quantum computer, which would be based on different technology than the conventional computers we have today, could solve these math problems quickly, defeating encryption systems. To counter this threat, the four quantum-resistant algorithms rely on math problems that both conventional and quantum computers should have difficulty solving, thereby defending privacy both now and down the road. | しかし、十分な能力を持つ量子コンピュータは、従来のコンピュータとは異なる技術に基づいているため、これらの数学的問題を素早く解くことができ、暗号化システムを破ることができるのです。この脅威に対抗するため、4つの量子耐性アルゴリズムは、従来のコンピュータと量子コンピュータの両方が解くことが困難な数学的問題に依存しており、それによって現在と将来の両方でプライバシーを保護することができます。 |
| The algorithms are designed for two main tasks for which encryption is typically used: general encryption, used to protect information exchanged across a public network; and digital signatures, used for identity authentication. All four of the algorithms were created by experts collaborating from multiple countries and institutions. | これらのアルゴリズムは、一般的に暗号化が使用される2つの主要なタスクのために設計されています。一般的な暗号化は、公共ネットワーク上で交換される情報を保護するために使用され、デジタル署名は、ID認証に使用されます。4つのアルゴリズムは、いずれも複数の国や機関の専門家が協力して作成したものです。 |
| For general encryption, used when we access secure websites, NIST has selected the CRYSTALS-Kyber algorithm. Among its advantages are comparatively small encryption keys that two parties can exchange easily, as well as its speed of operation. | NISTは、安全なウェブサイトにアクセスする際に使用される一般的な暗号化には、CRYSTALS-Kyberアルゴリズムを選択しました。暗号鍵が比較的小さく、二者間で容易に交換できることや、動作が高速であることなどがその理由です。 |
| For digital signatures, often used when we need to verify identities during a digital transaction or to sign a document remotely, NIST has selected the three algorithms CRYSTALS-Dilithium, FALCON and SPHINCS+ (read as “Sphincs plus”). Reviewers noted the high efficiency of the first two, and NIST recommends CRYSTALS-Dilithium as the primary algorithm, with FALCON for applications that need smaller signatures than Dilithium can provide. The third, SPHINCS+, is somewhat larger and slower than the other two, but it is valuable as a backup for one chief reason: It is based on a different math approach than all three of NIST’s other selections. | デジタル取引で本人確認を行う場合や、遠隔地から文書に署名を行う場合によく使われる電子署名については、NISTはCRYSTALS-Dilithium、FALCON、SPHINCS+(読み方は「スフィンクス・プラス」)の3つのアルゴリズムを選定しました。レビュアーは、最初の2つのアルゴリズムの効率の高さを指摘し、NISTはCRYSTALS-Dilithiumを主要アルゴリズムとして推奨し、FALCONはDilithiumが提供できるよりも小さな署名が必要なアプリケーションに使用するとしています。3番目のSPHINCS+は、他の2つのアルゴリズムと比べると、やや大きく、速度も遅いのですが、バックアップとして価値がある主な理由は、NISTが選択した他の3つすべてとは異なる数学的アプローチに基づいていることです。 |
| Three of the selected algorithms are based on a family of math problems called structured lattices, while SPHINCS+ uses hash functions. The additional four algorithms still under consideration are designed for general encryption and do not use structured lattices or hash functions in their approaches. | SPHINCS+はハッシュ関数を使用していますが、3つのアルゴリズムは構造格子と呼ばれる数学問題の一群に基づいています。さらに検討中の4つのアルゴリズムは、一般的な暗号化用に設計されており、そのアプローチには構造格子やハッシュ関数は使用されていません。 |
| While the standard is in development, NIST encourages security experts to explore the new algorithms and consider how their applications will use them, but not to bake them into their systems yet, as the algorithms could change slightly before the standard is finalized. | NISTは、規格が策定されている間、セキュリティ専門家に対して、新しいアルゴリズムを検討し、アプリケーションがそれらをどのように使用するかを検討することを推奨しています。 |
| To prepare, users can inventory their systems for applications that use public-key cryptography, which will need to be replaced before cryptographically relevant quantum computers appear. They can also alert their IT departments and vendors about the upcoming change. To get involved in developing guidance for migrating to post-quantum cryptography, see NIST’s National Cybersecurity Center of Excellence project page. | 準備として、ユーザーは公開鍵暗号を使用するアプリケーションのシステム構成を確認することができる。これは、暗号学的に適切な量子コンピュータが登場する前に、置き換えられる必要がある。また、IT部門やベンダーに対して、今後の変化について注意を促すこともできる。耐量子暗号への移行に関するガイダンスの作成に参加するには、NISTのNational Cybersecurity Center of Excellenceのプロジェクトページを参照してください。 |
| All of the algorithms are available on the NIST website. | すべてのアルゴリズムは、NISTのウェブサイトから入手可能です。 |
・2022.07.05 NISTIR 8413 Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process
| NISTIR 8413 Status Report on the Third Round of the NIST Post-Quantum Cryptography Standardization Process | NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告 |
| Abstract | 概要 |
| The National Institute of Standards and Technology is in the process of selecting publickey cryptographic algorithms through a public, competition-like process. The new publickey cryptography standards will specify additional digital signature, public-key encryption, and key-establishment algorithms to augment Federal Information Processing Standard (FIPS) 186-4, Digital Signature Standard (DSS), as well as NIST Special Publication (SP) 800-56A Revision 3, Recommendation for Pair-Wise Key-Establishment Schemes Using Discrete Logarithm Cryptography, and SP 800-56B Revision 2, Recommendation for Pair-Wise Key Establishment Using Integer Factorization Cryptography. It is intended that these algorithms will be capable of protecting sensitive information well into the foreseeable future, including after the advent of quantum computers. | 米国標準技術研究所(NIST)は、公開コンペのようなプロセスを通じて公開鍵暗号アルゴリズムを選定しているところです。新しい公開鍵暗号標準は、連邦情報処理標準(FIPS)186-4、デジタル署名標準(DSS)、NIST特別刊行物(SP)800-56A改訂3、離散対数暗号を用いたペアワイズ鍵確立方式の勧告、SP800-56B改訂2、整数因子暗号を用いたペアワイズ鍵確立の勧告を補うために、デジタル署名、公開鍵暗号、鍵確立アルゴリズムを追加指定する予定です。これらのアルゴリズムは、量子コンピュータの出現後を含め、予見可能な将来にわたって機密情報を保護することが可能であることが意図されています。 |
| This report describes the evaluation and selection process of the NIST Post-Quantum Cryptography Standardization process third-round candidates based on public feedback and internal review. The report summarizes each of the 15 third-round candidate algorithms and identifies those selected for standardization, as well as those that will continue to be evaluated in a fourth round of analysis. The public-key encryption and key-establishment algorithm that will be standardized is CRYSTALS–KYBER. The digital signatures that will be standardized are CRYSTALS–Dilithium, FALCON, and SPHINCS+. While there are multiple signature algorithms selected, NIST recommends CRYSTALS–Dilithium as the primary algorithm to be implemented. In addition, four of the alternate key-establishment candidate algorithms will advance to a fourth round of evaluation: BIKE, Classic McEliece, HQC, and SIKE. These candidates are still being considered for future standardization. NIST will also issue a new Call for Proposals for public-key digital signature algorithms to augment and diversify its signature portfolio. | 本報告書は、NISTの耐量子暗号標準化プロセス第3ラウンド目の候補について、一般からのフィードバックと内部レビューに基づく評価と選定過程を記述したものです。本報告書では、第3ラウンド目の候補となった15のアルゴリズムそれぞれを要約し、標準化に選定されたものと、第4ラウンド目の分析で評価を継続するものを特定しています。標準化される公開鍵暗号化および鍵確立アルゴリズムは、CRYSTALS-KYBERです。電子署名はCRYSTALS-Dilithium、FALCON、SPHINCS+が標準化される予定です。複数の署名アルゴリズムが選択されていますが、NISTはCRYSTALS-Dilithiumを実装すべき主要なアルゴリズムとして推奨しています。さらに、代替鍵確立候補アルゴリズムのうち4つが第4ラウンドの評価に進むことになりました。BIKE、Classic McEliece、HQC、およびSIKEです。これらの候補は、将来の標準化に向けてまだ検討されています。また、NISTは署名のポートフォリオを増強し多様化するために、公開鍵電子署名アルゴリズムの新たな提案募集を行う予定です。 |
Supplemental Material:
・ PQC Standardization Project (other)
Related NIST Publications:
第2ラウンド目
第1ラウンド目
・[PDF] NISTIR 8413
目次...
| Contents | 目次 |
| 1 Introduction | 1 はじめに |
| 1.1 Purpose and Organization of this Document | 1.1 本文書の目的及び構成 |
| 2 Evaluation Criteria and the Selection Process | 2 評価基準及び選定プロセス |
| 2.1 Acceptance of the Third-Round Candidates | 2.1 第3ラウンド候補の受入について |
| 2.2 Evaluation Criteria | 2.2 評価基準 |
| 2.2.1 Security | 2.2.1 セキュリティ |
| 2.2.2 Cost and Performance | 2.2.2 コストと性能 |
| 2.2.3 Algorithm and Implementation Characteristics | 2.2.3 アルゴリズムと実装の特徴 |
| 2.3 Selection of the Candidates for Standardization and Fourth Round | 2.3 標準化・第4ラウンド選考候補の選定 |
| 3 Preliminary Information | 3 予備情報 |
| 3.1 Computational Models | 3.1 計算モデル |
| 3.2 Underlying Security Problems | 3.2 基本的なセキュリティ問題 |
| 3.2.1 Code-based | 3.2.1 コードベース |
| 3.2.2 Multivariate-based | 3.2.2 多変量解析ベース |
| 3.2.3 Lattice-based | 3.2.3 格子ベース |
| 3.3 Security Models and Definitions | 3.3 セキュリティモデルと定義 |
| 3.3.1 IND-CPA, IND-CCA2, and EUF-CMA Security | 3.3.1 IND-CPA、IND-CCA2、およびEUF-CMAのセキュリティ |
| 3.3.2 Idealized Security Models | 3.3.2 理想的なセキュリティモデル |
| 4 Summary of Third-Round Candidates | 4 第3ラウンド候補の概要 |
| 4.1 KEM Selected for Standardization | 4.1 標準化に選ばれたKEM |
| 4.1.1 CRYSTALS-Kyber | 4.1.1 CRYSTALS-Kyber |
| 4.2 KEMs Advancing to the 4th Round | 4.2 第4ラウンドに進出するKEM |
| 4.2.1 BIKE | 4.2.1 BIKE |
| 4.2.2 Classic McEliece | 4.2.2 Classic McEliece |
| 4.2.3 HQC | 4.2.3 HQC |
| 4.2.4 SIKE | 4.2.4 SIKE |
| 4.3 KEMs no longer being considered | 4.3 考慮されなくなったKEM |
| 4.3.1 FrodoKEM | 4.3.1 FrodoKEM |
| 4.3.2 NTRU | 4.3.2 NTRU |
| 4.3.3 NTRU Prime | 4.3.3 NTRU Prime |
| 4.3.4 Saber | 4.3.4 Saber |
| 4.4 Signatures Selected for Standardization | 4.4 標準化のために選択された署名 |
| 4.4.1 CRYSTALS-Dilithium | 4.4.1 CRYSTALS-Dilithium |
| 4.4.2 Falcon | 4.4.2 Falcon |
| 4.4.3 SPHINCS+ | 4.4.3 SPHINCS+ |
| 4.5 Signatures no longer being considered | 4.5 考慮されなくなった署名 |
| 4.5.1 GeMSS | 4.5.1 GeMSS |
| 4.5.2 Picnic | 4.5.2 Picnic |
| 4.5.3 Rainbow | 4.5.3 Rainbow |
| 5 Conclusion | 5 結論 |
| References | 参考文献 |
| A Acronyms | A 頭字語 |
| B Cost Models | B コストモデル |
| C On the Concrete Intractability of Finding Short Lattice Vectors | C 短い格子ベクトルを求めることの具体的な困難さについて |
| D Figures and Tables | D 図表 |
● まるちゃんの情報セキュリティ気まぐれ日記
post-quantum cryptographic関係
・2022.05.05 米国 国家量子推進諮問委員会の強化に関する大統領令
・2022.03.05 NATO サイバーセキュリティセンター 量子コンピュータの攻撃に耐えられるセキュアネットワークの実験に成功
・2021.12.20 ドイツ BSI 量子セキュア暗号の現状に関するガイドライン
・2021.10.26 Cloud Security Alliance 量子後の世界への実践的な備え at 2021.10.19
・2021.10.06 米国 DHS CISA 量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンス
・2021.05.21 NIST White Paper ドラフト データ格付の実践:データ中心のセキュリティ管理の促進
・2021.04.29 NIST White Paper ポスト量子暗号への備え:ポスト量子暗号アルゴリズムの採用と使用に関連する課題の調査
・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」
・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019
« NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29) | Main | バーゼル銀行監督委員会:(パブコメ)銀行の暗号資産エクスポージャーのプルデンシャルな取り扱いに関する第2回協議文書を公表 (2022.06.30) »
Comments