ENISA ポスト量子暗号 - 統合研究
こんにちは、丸山満彦です。
ENISAが、「ポスト量子暗号 - 統合研究」という報告書を公表していますね。。。耐量子暗号への移行をどうしていくのかは、重要な課題ですね。。。
● ENISA
・2022.10.18 (news) Post-Quantum Cryptography: Anticipating Threats and Preparing the Future
| Post-Quantum Cryptography: Anticipating Threats and Preparing the Future | ポスト量子暗号:脅威の予測と将来への備え |
| The new report published by the European Union Agency for Cybersecurity (ENISA) explores the necessity to design new cryptographic protocols and integrate post-quantum systems into existing protocols. | 欧州連合サイバーセキュリティ機関(ENISA)が発表した新しい報告書では、新しい暗号プロトコルを設計し、ポスト量子システムを既存のプロトコルに統合する必要性を探っている。 |
| Can we integrate post-quantum algorithms to existing protocols? Can new protocols be designed around post-quantum systems? What's the role of double encryption and double signatures? What changes will new post-quantum algorithms impose to existing protocols? These are some of the questions the report published today intends to answer. | ポスト量子アルゴリズムを既存のプロトコルに統合することは可能か?ポスト量子システムに対応した新しいプロトコルを設計することは可能か?二重暗号や二重署名はどのような役割を果たすのか?新しいポスト量子アルゴリズムは、既存のプロトコルにどのような変化をもたらすのか?これらは、本日発表された報告書が答えようとしている疑問の一部である。 |
| The transition to post-quantum cryptography (PQC) does not end with the selection and standardisation of post-quantum algorithms. Integration with existing systems and protocols is also required. The report focuses on the necessity to resort to future-proofing and for the acquisition of knowledge not limited to external standards. | ポスト量子暗号(ポスト量子暗号)への移行は、ポスト量子アルゴリズムの選択と標準化で終わるわけではない。既存のシステムやプロトコルと統合することも必要である。本報告書では、将来を見据えた対策と、外部標準にとらわれない知識習得の必要性に着目している。 |
| The report expands on the initial aspects of those post-quantum cryptography challenges addressed in the study published last year by ENISA: Post-Quantum Cryptography: Current state and quantum mitigation. | 本報告書は、ENISAが昨年発表した研究、「ポスト量子暗号:現状と量子緩和」、で取り上げたポスト量子暗号の課題について、初期の側面を発展させたものである。 |
| Why do we need to anticipate the rise of quantum technology? | なぜ量子技術の台頭を予見する必要があるのか? |
| Scientists commonly agree that quantum computers will be able to break widely used public-key cryptographic schemes, when they come into being. Because, in reality, systems using this new technology do not widely exist yet. | 科学者の間では、量子コンピュータが実現すれば、広く使われている公開鍵暗号方式を破ることができるようになるというのが共通の認識である。なぜなら、現実には、この新しい技術を使ったシステムはまだ広く存在していないからだ。 |
| The transition to new quantum resistant cryptographic algorithms is expected to take years due to the complex processes and financial costs. This is why we still need to anticipate this and be prepared to deal with all possible consequences. | 新しい量子耐性のある暗号アルゴリズムへの移行は、複雑なプロセスと金銭的なコストがかかるため、何年もかかると予想される。そのため、やはりこれを予見し、あらゆる可能性のある結果に対処できるように準備しておく必要がある。 |
| The report answers the difficult questions raised by post-quantum cryptography in order to make sure we will avoid jeopardising today's public key cryptosystems, e-commerce, digital signatures, electronic identities, etc. This will be critical, even if rolling out new cryptographic systems might prove impossible for a number of systems with restricted accessibility such as satellites. | 本報告書は、今日の公開鍵暗号システム、電子商取引、電子署名、電子IDなどを危険にさらすことがないよう、ポスト量子暗号が提起する難問に答えている。人工衛星のようなアクセス制限のあるシステムでは、新しい暗号システムの導入が不可能になる可能性があるとしても、これは非常に重要なことである。 |
| If quantum technology is sought after, it is because it can provide efficient solutions to the technical challenges we face today. Unfortunately though, this new technology also comes along with novel threats to the security of our equipment and systems because quantum computing will make most currently used cryptographic solutions insecure and will end up changing the existing threat models radically. We will therefore need to quickly adapt before this happens to avoid threats that might compromise our infrastructures. | 量子技術が注目されるのは、私たちが現在直面している技術的な課題を効率的に解決することができるからである。しかし、残念ながら、この新しい技術は、私たちの機器やシステムのセキュリティに対する新しい脅威を伴っている。なぜなら、量子コンピューティングは、現在使用されているほとんどの暗号ソリューションを安全でなくし、既存の脅威モデルを根本的に変えることになるからである。そのため、私たちのインフラを危険にさらすような脅威を回避するために、そうなる前に迅速に対応する必要がある。 |
| So what can we do today? | では、私たちが今できることは何でしょうか。 |
| The report includes a number of technical recommendations such as: | 本報告書には、以下のような技術的な提言が含まれている。 |
| ・Developing guidelines for major use cases to assess the different trade-offs and systems best matching application scenarios; | ・アプリケーションシナリオに最適なトレードオフとシステムを評価するための主要なユースケースのガイドラインを作成する。 |
| ・New protocols or major changes in existing protocols should be PQC aware, taking into account the integration needs of PQC systems; | ・新しいプロトコルや既存のプロトコルの大きな変更は、ポスト量子暗号システムの統合ニーズを考慮し、ポスト量子暗号を意識したものにすべきである。 |
| ・The use of a hybrid systems which could translate into a post-quantum cryptography added as an extra layer to pre-quantum cryptography. | ・ポスト量子暗号をプレ量子暗号に追加するハイブリッドシステムの使用。 |
| Background | 背景 |
| ENISA's Work Programme foresees activities to support Knowledge Building in Cryptographic algorithms. The Agency engages with expert groups to address emerging challenges and promote good practices with the cooperation of the European Commission, Member States and other EU bodies. | ENISAの作業部会では、暗号アルゴリズムに関する知識の蓄積を支援する活動を予定している。ENISAは、欧州委員会、加盟国、その他のEU組織の協力を得て、新たな課題に取り組み、グッドプラクティスを推進するために、専門家グループと連携している。 |
| Because quantum computing cryptanalytics capabilities are likely to give rise to new emerging risks, there is a need to transition to quantum safe encryption as a counter measure. The work of ENISA in the area is meant to support the EU in advancing its strategic digital autonomy. | 量子コンピュータの暗号解析能力は、新たな緊急的なリスクを生む可能性が高いため、その対策として量子安全暗号への移行が必要である。この分野におけるENISAの活動は、EUの戦略的デジタル自治の推進を支援することを意図している。 |
| Further information | 関連情報 |
| ・ENISA report – Post-Quantum Cryptography: Integration Study | ・ENISA報告書 - ポスト量子暗号:統合研究 |
| ・ENISA report (2021) - Post-Quantum Cryptography: Current state and quantum mitigation | ・ENISA報告書 (2021) - ポスト量子暗号:現状と量子緩和 |
| ・ENISA report (2021) - Crypto Assets: Introduction to Digital Currencies and Distributed Ledger Technologies | ・ENISA報告書 (2021) - 暗号資産:デジタル通貨と分散型台帳技術の序文 |
| ・EU Cybersecurity Strategy for the Digital Decade | ・デジタルの10年に向けたEUサイバーセキュリティ戦略 |
・2022.10.18 Post-Quantum Cryptography - Integration study
| Post-Quantum Cryptography - Integration study | ポスト量子暗号 - 統合研究 |
| With this report ENISA seeks to give insight on post-standardisation challenges. As a follow-up to ENISA’s 2021 Post-Quantum Cryptography: Current state and quantum mitigation study, the new report explores the necessity to design new cryptographic protocols and integrate post-quantum systems into existing protocols. | 本報告書で、ENISAは標準化後の課題についての知見を得ようとしている。ENISAの2021年版ポスト量子暗号のフォローアップとして。現状と量子緩和に関する研究として、新しい報告書では、新しい暗号プロトコルを設計し、ポスト量子システムを既存のプロトコルに統合する必要性を探っている。 |
・[PDF]
目次...
| 1. INTRODUCTION | 1. 序文 |
| 2. INTEGRATING POST-QUANTUM SYSTEMS INTO EXISTING PROTOCOLS | 2. ポスト量子システムの既存プロトコルへの統合 |
| 2.1 SIZE AND SPEED OF POST-QUANTUM CANDIDATES | 2.1 ポスト量子候補のサイズと速度 |
| 2.2 SIZE LIMITATIONS IN TYPICAL INTERNET PROTOCOLS | 2.2 一般的なインターネットプロトコルにおけるサイズの制限 |
| 2.3 PROTOCOLS ADAPTED TO POST-QUANTUM CRYPTOGRAPHY AND PERFORMANCE STUDIES | 2.3 ポスト量子暗号に対応したプロトコルと性能研究 |
| 2.4 SUMMARY | 2.4 要約 |
| 3. NEW PROTOCOLS DESIGNED AROUND POST-QUANTUM SYSTEMS | 3. ポスト量子システムに対応した新プロトコル |
| 3.1 USING KEMS IN PLACE OF SIGNATURES | 3.1 署名に代わる鍵の利用 |
| 3.2 NEW DESIGNS TO DEAL WITH KEY SIZE | 3.2 鍵のサイズに対応した新しい設計 |
| 3.3 NEW DESIGNS ADDRESSING DIFFERENT LAYERS | 3.3 異なるレイヤーに対応する新しいデザイン |
| 3.4 SUMMARY | 3.4 要約 |
| 4. DOUBLE ENCRYPTION AND DOUBLE SIGNATURES | 4. 二重暗号と二重署名 |
| 4.1 REVIEWING DOUBLE CRYPTOSYSTEMS | 4.1 二重暗号の復習 |
| 4.2 DETAILS OF DOUBLE ENCRYPTION | 4.2 二重暗号の詳細 |
| 4.3 DETAILS OF DOUBLE SIGNING | 4.3 二重署名の詳細 |
| 4.4 PERFORMANCE | 4.4 パフォーマンス |
| 4.5 LONG-TERM PERSPECTIVE | 4.5 長期的展望 |
| 4.6 SUMMARY | 4.6 要約 |
| 5. SECURITY PROOFS IN THE PRESENCE OF QUANTUM ATTACKERS | 5. 量子攻撃者が存在する場合の安全性証明 |
| 5.1 QUANTUM ACCESS | 5.1 量子アクセス |
| 5.2 NEW MODELS | 5.2 新しいモデル |
| 5.3 REVISITING PROOFS | 5.3 証明の再検討 |
| 5.4 SUMMARY | 5.4 要約 |
| 6. STANDARDISATION EFFORTS FOR PROTOCOLS | 6. プロトコルの標準化活動 |
| 6.1 SUMMARY | 6.1 要約 |
| 7. CONCLUSIONS | 7. 結論 |
| BIBLIOGRAPHY | 参考文献 |
エグゼクティブサマリー...
| EXECUTIVE SUMMARY | エグゼクティブサマリー |
| With this report ENISA seeks to give insight on post-standardisation challenges. As a follow-up to ENISA’s 2021 Post-Quantum Cryptography: Current state and quantum mitigation study[1], the new report elaborates on the topic to address the following points: | 本報告書により、ENISAは標準化後の課題についての洞察を得ようとしている。ENISAの2021年版ポスト量子暗号のフォローアップとして。現状と量子緩和の研究[1]、新報告書では、以下の点に対処するために、このテーマを詳しく説明している。 |
| • Integrating post-quantum systems into existing protocols | ・ポスト量子システムの既存プロトコルへの統合 |
| • New protocols designed around post-quantum systems | ・ポスト量子システムに対応した新しいプロトコルの開発 |
| • Double encryption and double signatures using post-quantum systems | ・ポスト量子システムを利用した二重暗号化・二重署名 |
| • Seccurity proofs in the presence of quantum attackers | ・量子攻撃者が存在する場合の安全性証明 |
| • Standardisation efforts for post-quantum enabled protocols | ・ポスト量子システムに対応したプロトコルの標準化活動 |
| The 2021 study provided an overview of the current state of play on the standardisation process of Post-Quantum Cryptography (PQC)[2]. It introduced a framework for analysing existing PQC proposals, presented the five (5) main families of PQC algorithms[3], and the NIST Round 3 finalists for encryption and signature schemes[4]. It also sketched two proposals that proactive system owners can implement right now – before a standard is published – in order to protect the confidentiality of their data against a quantum capable attacker[5]. | 2021年の研究では、ポスト量子暗号(ポスト量子暗号)の標準化プロセスに関する現状を概観しました[2]。既存のポスト量子暗号提案を分析するためのフレームワークを導入し、ポスト量子暗号アルゴリズムの5つの主要なファミリー[3]、暗号化および署名方式に関するNISTラウンド3ファイナリスト[4]を提示しました。また、量子的な能力を持つ攻撃者からデータの機密性を保護するために、標準が公開される前に、積極的なシステム所有者が今すぐ実行できる2つの提案も紹介している[5]。 |
| While agreeing on PQC cryptoalgorithms for encryption and signing is an important milestone [6], by itself it is not enough. Any new cryptoalgorithm will need to interplay with existing protocols or even require entirely new protocols to be designed and implemented. Furthermore, PQC proposals are a solution to a still unrealised vulnerability – there are currently no publicly known quantum computers, strong enough to break encryption, and not all scientists believe this will ever be the case[7]–. Whether we should implement protections against a threat that might not materialise would be a moot question if said implementations were cost free. However, PQC algorithms are often more costly, e.g. in terms of size and computations. In addition, changing to a new cryptographic paradigm might provide new opportunities for software bugs and our understanding of the security of the PQC algorithms is often less mature[8]. | 暗号化および署名のためのポスト量子暗号暗号アルゴリズムに合意したことは重要なマイルストーンですが[6]、それだけでは十分ではない。新しい暗号アルゴリズムは、既存のプロトコルと相互作用する必要があるし、まったく新しいプロトコルを設計し実装する必要がある場合もある。さらに、ポスト量子暗号の提案は、まだ実現されていない脆弱性に対する解決策である。現在、暗号を解読できるほど強力な量子コンピュータは公表されていないし、すべての科学者がそうなると考えているわけでもない[7]。実現しないかもしれない脅威に対する保護を実装すべきかどうかは、その実装にコストがかからないのであれば、無意味な質問でしょう。しかし、ポスト量子暗号アルゴリズムは、サイズや計算量など、よりコストがかかることが多い。さらに、新しい暗号パラダイムへの変更は、ソフトウェアのバグに新たな機会を与える可能性があり、ポスト量子暗号アルゴリズムのセキュリティに関する我々の理解は成熟していないことが多い[8]。 |
| For each of the above open issues an overview of current developments is provided, along with future directions and identified gaps. Chapter 2 Integrating post-quantum systems into existing protocols provides an overview of the work done to integrate PQC proposals with current systems. It comments on the size and speed characteristics of the proposals, based on the benchmarks of the eBACS: ECRYPT Benchmarking of Cryptographic Systems project[9][11], and how they interplay with the Internet Protocol (IP) and security protocols like TLS 1.3, VPN etc. As can be seen, not all use cases are created equal. For instance, in high-load cases, such as car2car communications, even apparently small differences between PQC proposals could have a significant impact by, for example, introducing latency or even incompatibility with existing communication protocols due to limits on message size. System designers will be required to understand the available options and make optimal choices for each use case, through calculated trade-offs. | 上記の各未解決の課題について、現在の開発の概要と、将来の方向性、および特定されたギャップを説明する。第2章 既存のプロトコルへのポスト量子システムの統合では、ポスト量子暗号の提案を現在のシステムに統合するために行われた作業の概要を説明する。また、eBACSのベンチマークに基づき、提案のサイズと速度特性についてコメントしている。ECRYPT Benchmarking of Cryptographic Systemsプロジェクト[9][11]のベンチマークに基づく提案のサイズと速度の特性、およびインターネットプロトコル(IP)やTLS 1.3、VPNなどのセキュリティプロトコルとの相互作用についてコメントしている。ご覧のように、すべてのユースケースが同じように作られているわけではない。例えば、車車間通信のような高負荷なケースでは、ポスト量子暗号提案間の一見小さな違いでも、例えば遅延の発生や、メッセージサイズの制限による既存の通信プロトコルとの非互換性によって、大きな影響を与える可能性がある。システム設計者は、利用可能なオプションを理解し、トレードオフを計算しながら、各ユースケースに最適な選択をする必要がある。 |
| A different approach would be to develop new protocols, taking into account the specifications of PQC systems from the design phase. The somewhat limited work done so far is mentioned in chapter 3 New protocols designed around post-quantum systems. The main outcome here is that existing work is promising but more research and deployment work is needed. | 別のアプローチとしては、設計段階からポスト量子暗号システムの仕様を考慮した新しいプロトコルを開発することが考えられる。これまでに行われたやや限定的な作業については、第3章ポスト量子システム向けに設計された新しいプロトコルで触れている。ここでの主な成果は、既存の研究は有望であるが、より多くの研究と展開作業が必要であるということである。 |
| Chapter 4 Double encryption and double signatures takes on the veridical paradox that by striving for quantum resistance using a PQC system we might be lowering security overall. Actually, there is no guarantee that the post-quantum cryptosystems that survive the standardisation process are secure. So far cryptanalysts could have missed an important attack, perhaps even one that runs sufficiently quick on today’s non-quantum computers. Furthermore, the complicated new ecosystem of post-quantum cryptographic software has a clear risk of introducing bugs. A solution to this might be to augment, instead of simply replacing, current modern cryptosystems with PQC systems. This can be done by adding an extra layer that also encrypts and/or signs using post-quantum cryptography, as already discussed in our 2021 study. Here we take a closer look at the details and caveats of such a construction. The take away is that if this is done properly, then any attack will require breaking the current cryptosystem (e.g. one based on ellipticcurves) and breaking the post-quantum system. So, even if there are vulnerabilities in the post-quantum cryptosystem or post-quantum software, there will be no damage to the security of the existing system. The perceptive reader will have guessed that once more further investigations are required, but standardisation bodies are already working on this, specifying suitable mechanisms. | 第4章 二重暗号と二重署名では、ポスト量子暗号システムを用いて量子耐性を追求すると、全体として安全性が低下するのではないかという真偽不明のパラドックスに挑んでいる。実際、標準化プロセスを経て生き残ったポスト量子暗号システムが安全である保証はない。これまでのところ、暗号解読者は重要な攻撃を見逃している可能性があり、おそらく現在の非量子コンピュータで十分に高速に動作する攻撃も見逃している可能性がある。さらに、ポスト量子暗号ソフトウェアの複雑な新しいエコシステムには、バグが発生するリスクがあることは明らかである。この問題を解決するには、現在の最新の暗号システムを単に置き換えるのではなく、ポスト量子暗号システムで補強することが考えられる。これは、2021年の研究で既に述べたように、ポスト量子暗号を用いた暗号化および/または署名も行う追加レイヤーを追加することで実現可能である。ここでは、そのような構成の詳細と注意点について詳しく見ていく。このような構成が適切に行われた場合、攻撃には現在の暗号システム(例えば楕円曲線に基づくもの)を破り、ポスト量子システムを破る必要があるということである。つまり、ポスト量子暗号システムやポスト量子ソフトウェアに脆弱性があったとしても、既存システムの安全性を損なうことはないのである。鋭い読者は、もう一度さらなる調査が必要であることを察知しているだろうが、標準化団体はすでにこれに取り組み、適切なメカニズムを明記している。 |
| Chapter 5 Security proofs in the presence of quantum attackers, deals with formal models and proofs an important part of the analysis of modern cryptographic systems. While we have known for decades Shor’s and Grover’s algorithms – the former breaking RSA and ECC public key cryptography and the latter reducing the security level of symmetric cryptography – ongoing research on quantum computing might yet reveal more attacks against schemes and protocols. This is why cryptologists are not only working on proofs for the new PQC systems and protocols, but are also revisiting existing proofs for widely used systems and protocols. When we aim for post-quantum security, i.e. security against adversaries making use of a quantum computer, we have to model the adversaries also as quantum algorithms. This requires changing models and deciding about the specific abilities of quantum adversaries. New proofs have to be written that take quantum adversaries into account. This process has been started and is progressing well for basic building blocks, especially those considered in the NIST competition. However, in many other areas, especially in the analysis of protocols, the process has not even begun. | 第5章 量子攻撃者の存在下での安全性証明では、現代の暗号システムの解析で重要な形式モデルと証明について扱っている。前者はRSA暗号やECC暗号を、後者は共通鍵暗号の安全性を低下させるというもので、何十年も前から知られていたが、量子コンピュータの研究が進めば、暗号方式やプロトコルに対するさらなる攻撃が明らかになるかもしれない。そのため、暗号研究者は新しいポスト量子暗号システムやプロトコルの証明に取り組むだけでなく、広く使われているシステムやプロトコルの既存の証明も見直しているのである。ポスト量子セキュリティ、つまり量子コンピュータを利用する敵対者に対するセキュリティを目指す場合、敵対者を量子アルゴリズムとしてモデル化する必要がある。そのため、敵対者のモデルを変更し、量子敵対者の具体的な能力を決定する必要がある。また、量子敵対者を考慮した新たな証明の作成が必要である。このプロセスは、基本的なビルディングブロック、特にNISTのコンペティションで検討されたものについては開始され、順調に進んでいる。しかし、他の多くの分野、特にプロトコルの解析では、このプロセスはまだ始まってさえいない。 |
| Finally, chapter 6 Standardisation efforts for protocols briefly discusses the work done by standardisation bodies, going beyond NIST’s seminal work, including ETSI, IETF and ISO, as well as recent reports by other European agencies, namely ANSSI and BSI. It is of interest to note that standardisation bodies continue to standardise protocols built using pre-quantum systems that will not withstand quantum attacks. In cases where significant developing investment has already been spent, one should consider applying the discussed concepts of double encryption, double signatures, etc. Otherwise the sensible thing is to consider post-quantum integration from the beginning when developing new standards. | 最後に、第6章プロトコルの標準化活動では、ETSI、IETF、ISO、NISTの代表的な活動以外にも、ANSSIやBSIといった欧州の他の機関による最近の報告も含めて、標準化団体による活動を簡潔に説明している。興味深いのは、標準化団体が、量子攻撃に耐えられないような量子以前のシステムを用いて構築されたプロトコルを標準化し続けていることである。すでに多大な開発投資が行われている場合には、二重暗号化、二重署名など、議論されている概念の適用を検討する必要がある。そうでなければ、新しい標準を開発する際に、最初からポスト量子統合を考慮することが賢明である。 |
[1] https://www.enisa.europa.eu/publications/post-quantum-cryptography-current-state-and-quantum-mitigation, (accessed October 17, 2022).
[2] e.g. NIST’s https://csrc.nist.gov/Projects/post-quantum-cryptography, (accessed October 17, 2022).
[3] code-based, isogeny-based, hash-based, lattice-based and multivariate-based
[4] https://csrc.nist.gov/Projects/post-quantum-cryptography/round-3-submissions, (accessed October 17, 2022).
[6] While this report was being typeset and proofread NIST announced (July 2022) it had identified the four candidate algorithms for standardisation https://csrc.nist.gov/News/2022/ pqc-candidates-to-be-standardized-and-round-4 and https://csrc.nist.gov/publications/detail/nistir/ 8413/final, (accessed October 17, 2022).
[7] See for example https://www.scientificamerican.com/article/ will-quantum-computing-ever-live-up-to-its-hype/ and https://spectrum.ieee.org/ the-case-against-quantum-computing, (accessed October 17, 2022).
(SIDH) protocol – one by Wouter Castryck and Thomas Decru of KU Leuven and the other by Luciano Maino and Chloe Martindale of the University of Bristol. SIDH is at the core of the Post-Quantum key encapsulation mechanism SIKE (Supersingular Isogeny Key Encapsulation), which was selected to continue to round four of the NIST Post-Quantum Project for consideration of standardisation. https://eprint.iacr.org/2022/975, https://eprint.iacr.org/2022/1026 (accessed October 17, 2022).
[9] https://bench.cr.yp.to/, (accessed October 17, 2022).
Comments