欧州 ETSI 電子署名と信頼基盤(ESI);属性の電子認証に適用される選択的開示とゼロ知識証明の分析
こんにちは、丸山満彦です。
ETSIの電子署名と信頼基盤(ESI);属性の電子認証に適用される選択的開示とゼロ知識証明の分析...
● ETSI
エグゼクティブサマリー...
| Executive summary | エグゼクティブサマリー |
| The eIDAS2 regulation and the Architecture and Reference Framework (ARF) define regulatory requirements on selective disclosure and unlinkability for the EUDI Wallet. The present document provides a general yet comprehensive analysis of signature schemes, formats and protocols that cater for selective disclosure, unlinkability and predicates. More specifically, the present document includes an analysis of how certain selective disclosure techniques can be applied on eIDAS2 and the EUDI Wallet. | eIDAS2 規制およびアーキテクチャと参照フレームワーク(ARF)は、EUDI ウォレットの選択的 開示とリンク不能に関する規制要件を定義している。本文書は、選択的開示、非リンク性、述語に対応する署名スキーム、フォーマット、プロトコルの一般的かつ包括的な分析を提供する。より具体的には、本文書はeIDAS2とEUDIウォレット上でどのように特定の選択的開示技術を適用できるかについての分析を含む。 |
| The term selective disclosure means that a user should be capable of presenting a subset of attributes from at least one, but potentially multiple, (Qualified) Electronic Attestations of Attributes ((Q)EAAs). For example, a user should be able to only present their birth date. | 選択的開示という用語は、ユーザーが少なくとも1つ、しかし潜在的には複数の(Qualified)Electronic Attestations of Attributes((Q)EAAs)から属性のサブセットを提示できるべきであることを意味する。例えば、利用者は生年月日のみを提示できるべきである。 |
| The term unlinkability means that different parties should not be able to connect the user's selectively disclosed attributes beyond what is disclosed. There are different categories and degrees of unlinkability, and the present report focuses both on verifier unlinkability and full unlinkability. Verifier unlinkable means that one or more verifiers cannot collude to determine if the selectively disclosed attributes describe the same identity subject, whilst fully unlinkable means that no party can collude to determine if the selectively disclosed attributes describe the same identity subject. | 非連結性(unlinkability)という用語は、異なる当事者が、開示されたものを超えて、選択的に開示されたユーザの属性を結びつけることができないようにすべきであることを意味する。非連結性にはさまざまなカテゴリーと程度があり、本報告書では検証者非連結性と完全非連結性の両方に焦点を当てている。検証者非連結性とは、選択的に開示された属性が同じ ID 対象を記述しているかどうかを判断するために、1 人以上の検証者が結託できないことを意味し、完全非連結性とは、選択的に開示された属性が同じ ID 対象を記述しているかどうかを判断するために、いかなる当事者も結託できないことを意味する。 |
| Predicate proofs are verifiable Boolean assertions (true or false) about attributes in a (Q)EAA without disclosing the attribute value itself. For example, a user could derive a proof that they are above the age of 20 from their birthdate and show only the proof as opposed to the birthdate itself. Predicate proofs are often employed in Zero-Knowledge Proof (ZKP) systems aimed at limiting information disclosure. | 述語証明は、属性値自体を開示することなく、(Q)EAA の属性に関する検証可能なブーリアン主張 (真または偽)である。たとえば、ユーザは生年月日から 20 歳以上であることの証明を導き出すことができ、生年月日自体ではなく証明のみを示すことができる。述語証明は、情報公開を制限することを目的としたゼロ知識証明(ZKP)システムでよく採用される。 |
| The selective disclosure signature schemes described in the present report are divided in the following categories: | 本報告書で説明する選択的開示署名方式は、以下のカテゴリーに分類される: |
| • Atomic (Q)EAA schemes. An atomic electronic attribute attestation is a (Q)EAA with a single attribute claim, which can be issued by a (Q)TSP upon request or as part of a batch to an EUDI Wallet. The atomic (Q)EAAs can be selected by the user and be included in a verifiable presentation that is presented to a verifier. | ・アトミック(Q)EAAスキーム。アトミック電子属性証明は、単一の属性主張を持つ(Q)EAAであり、(Q)TSPが要求に応じて、またはEUDIウォレットへのバッチの一部として発行することができる。アトミック(Q)EAAは、利用者が選択し、検証者に提示する検証可能なプレゼンテーションに含めることができる。 |
| • Multi-message signature schemes. The category of multi-message signature schemes has the capability of proving knowledge of a signature while selectively disclosing any subset of the signed messages. The following schemes in this category are described: BBS/BBS+, Camenisch-Lysyanskaya (CL) signatures, Mercurial signatures, and Pointcheval-Sanders Multi-Signatures (PS-MS). ISO/IEC have standardized parts of BBS and PS-MS in ISO/IEC 20008 [i.143], and have taken the initiative to standardize BBS+ and PS-MS in ISO/IEC PWI 24843 [i.144] and ISO/IEC CD 27565 [i.150]. Furthermore, there are cryptographic research projects, such as MoniPoly, where undisclosed attributes have no impact on the proof size. | ・マルチメッセージ署名スキーム。マルチメッセージ署名スキームのカテゴリーは、署名されたメッセージの任意のサブセットを選択的に開示しながら、署名の知識を証明する機能を持つ。このカテゴリーには以下のスキームがある: BBS/BBS+、Camenisch-Lysyanskaya(CL)署名、Mercurial署名、 Pointcheval-Sandersマルチ署名(PS-MS)である。ISO/IECはISO/IEC 20008 [i.143]でBBSとPS-MSの一部を標準化し、ISO/IEC PWI 24843 [i.144]とISO/IEC CD 27565 [i.150]でBBS+とPS-MSの標準化を主導している。さらに、MoniPolyのような、非公開属性が証明サイズに影響を与えない 暗号研究プロジェクトもある。 |
| • Salted attribute hashes. The general concept of this category is to combine each attribute with a salt, hash the combined values, and insert the resulting salted attribute hashes in a list that is signed. The user presents a selection of attributes to the verifier, which can validate them against the list of salted attribute hashes. The following schemes, based on salted attribute hashes, are described: HashWires, Authentic Chained Data Containers (ACDC), and Gordian Envelopes. | ・ソルティッド属性ハッシュ。このカテゴリの一般的なコンセプトは,各属性をソルトと組み合わせ,組み合わされた値をハッシュ化し,得られたソルト化された属性ハッシュを署名されたリストに挿入することである。ユーザーは検証者に属性の選択を提示し,検証者は塩付けされた属性ハッシュのリストに対して属性を検証することができる。ソルティッド属性ハッシュに基づく以下のスキームについて説明する: HashWires,Authentic Chained Data Containers (ACDC),Gordian Envelopesである。 |
| • Proofs for arithmetic circuits (programmable ZKPs). This category of ZKP protocols enable the user to prove to the verifier that a certain statement is true, without revealing any additional information beyond the truth of the statement itself. The discussion of proofs for arithmetic circuits is focused on zk-SNARKs. | ・算術回路の証明(プログラマブルZKP)。このカテゴリのZKPプロトコルは、あるステートメントが真であることを検証者に証明することを可能にする。算術回路に対する証明の議論は、zk-SNARKに焦点を当てている。 |
| The present document also includes descriptions of (Q)EAA formats that can be used with selective disclosure. The (Q)EAA formats are divided in the following categories: | 本文書には、選択的開示で使用可能な(Q)EAA形式の記述も含まれている。(Q)EAAフォーマットは以下のカテゴリーに分類される: |
| • Atomic (Q)EAA formats. These (Q)EAA formats are based on the category of atomic (Q)EAA formats. The following (Q)EAA formats in this category are described: PKIX X.509 attribute certificate with atomic attribute and W3C Verifiable Credential with atomic attribute. | ・アトミックな(Q)EAAフォーマット。これらの(Q)EAA形式は、アトミック(atomic)EAA形式のカテゴリーに基づいている。このカテゴリーには以下の(Q)EAA形式が含まれる: アトミック属性を持つ PKIX X.509 属性証明書およびアトミック属性を持つ W3C 検証可能クレデンシャル。 |
| • Multi-message signature (Q)EAA formats. This category of (Q)EAA formats is based on the multi-message signature schemes. Mainly W3C and Hyperledger have specified such formats to be used for privacy preserving features. The following (Q)EAA formats in this category are described: W3C VC Data Model with ZKP, W3C VC Data Integrity with BBS Cryptosuite, W3C Data Integrity ECDSA Cryptosuites v1.0, and Hyperledger AnonCreds (format). | ・マルチメッセージ署名(Q)EAA フォーマット。このカテゴリの(Q)EAA形式は、マルチメッセージ署名スキームに基づいている。主に W3C と Hyperledger が、プライバシー保護機能に使用されるこのようなフォーマットを規定している。このカテゴリーでは、以下の(Q)EAAフォーマットについて説明する: W3C VC Data Model with ZKP、W3C VC Data Integrity with BBS Cryptosuite、W3C Data Integrity ECDSA Cryptosuites v1.0、Hyperledger AnonCreds(フォーマット)である。 |
| • (Q)EAAs with salted attribute hashes. This category of (Q)EAA formats is based on the concept of salted attribute hashes. These (Q)EAA formats specify in detail how the attributes are combined with the random salts and hashed, inserted in a list, which is signed. The following (Q)EAA formats of this category are described: IETF SD-JWT and ISO/IEC 18013-5 [i.140] Mobile Security Object (MSO). | ・ソルティッド属性ハッシュを持つ(Q)EAA。このカテゴリーの(Q)EAA形式は、ソルティッド属性ハッシュの概念に基づいている。これらの(Q)EAAフォーマットは、属性がどのようにランダムな塩と組み合わされてハッシュ化され、署名されたリストに挿入されるかを詳細に規定している。このカテゴリの以下の(Q)EAAフォーマットについて説明する: IETF SD-JWTおよびISO/IEC 18013-5 [i.140] モバイル・セキュリティ・オブジェクト(MSO)。 |
| • JSON container formats. This category of generic JSON container formats allows for combining and presenting a mix of selective disclosure signature schemes. The following JSON container formats are described: IETF JSON WebProof (JWP) and W3C JSON Web Proofs For Binary Merkle Trees. | ・JSONコンテナ形式。このカテゴリの汎用JSONコンテナ形式は、選択的開示署名スキームを組み合わせて提示することを可能にする。以下のJSONコンテナ形式について説明する: IETF JSON WebProof (JWP)とW3C JSON Web Proofs For Binary Merkle Treesである。 |
| Furthermore, the present document describes systems and protocols with selective disclosure capabilities. The systems and protocols are divided in the following categories: | さらに、本文書では、選択的開示機能を持つシステムとプロトコルについても記述する。システムおよびプロトコルは、以下のカテゴリーに分類される: |
| • Atomic attribute (Q)EAA presentation protocols. This category of protocols is designed to present the atomic attribute (Q)EAA formats. The atomic attribute (Q)EAAs may be issued on demand to the user, upon request by a verifier. The following protocols in this category are described: PKIX X.509 attribute certificates with single attributes and VC-FIDO for atomic (Q)EAAs. | ・アトミック属性(Q)EAA提示プロトコル。このカテゴリのプロトコルは、アトミック属性(Q)EAA形式を提示するように設計されている。アトミック属性(Q)EAAは、検証者の要求に応じて、ユーザーにオンデマンドで発行することができる。このカテゴリーには以下のプロトコルが含まれる: 単一属性のPKIX X.509属性証明書と、アトミック属性(Q)EAA用のVC-FIDOである。 |
| • Multi-message signature protocols and solutions. This category of protocols is based on the multi-message signature schemes, such as BBS+ and CL-signatures, and are used to present selected attributes of the | ・マルチメッセージ署名プロトコルとソリューション。このカテゴリのプロトコルは、BBS+ や CL 署名などのマルチメッセージ署名スキームに基づくものであり、(Q)EAA の選択された属性を提示するために使用される。 |
| (Q)EAAs. The following protocols and solutions in this category are described: Hyperledger AnonCreds (protocols) and Direct Anonymous Attestation (DAA) used with Trusted Platform Modules (TPMs); the TPMs have been deployed in personal computers at a large scale. | (Q)EAAsの選択された属性を提示するために使用される。このカテゴリーに属する以下のプロトコルとソリューションについて説明する: Hyperledger AnonCreds(プロトコル)と、Trusted Platform Modules(TPM)とともに使用されるDirect Anonymous Attestation(DAA)。 |
| • Salted attribute hashes protocols. These solutions and protocols are designed to present selectively disclosed attributes based on salted attribute hashes. The OpenAttestation solution of Singapore's Smart Nation is described in the present report. Furthermore, ISO mDL MSOs can be shared over the proximity protocols described in ISO/IEC 18013-5 [i.140] or over the Internet by using ISO/IEC 23220-4 [i.146]. The SD-JWTs can be presented with different protocols, such as OID4VP (OpenID for Verifiable Presentations), ISO 18013-7 [i.141] or ISO/IEC 23220-4 [i.146]. | ・ソルティッド属性ハッシュプロトコル。これらのソリューションやプロトコルは、ソルティッド属性ハッシュに基づいて、選択的に開示された属性を提示するように設計されている。シンガポールのSmart NationのOpenAttestationソリューションは、本報告書で紹介されている。さらに、ISO mDL MSOは、ISO/IEC 18013-5 [i.140]に記載されている近接プロトコルを使用するか、ISO/IEC 23220-4 [i.146]を使用してインターネット上で共有することができる。SD-JWTは、OID4VP(OpenID for Verifiable Presentations)、ISO 18013-7 [i.141]、ISO/IEC 23220-4 [i.146]など、さまざまなプロトコルで提示することができる。 |
| • Solutions based on proofs for arithmetic circuits (programmable ZKPs). The solutions that are based on proofs for arithmetic circuits intend to use ZKP schemes such as zk-SNARK to facilitate data-minimizing verifiable presentations based on existing digital identity infrastructures. In particular, they can provide selective disclosure, unlinkability, and predicates. The projects Cinderella (zk-SNARKs used with X.509 certificates) and zk-creds (zk-SNARKs used with ICAO passports) are described in the present document. | ・算術回路(プログラマブルZKP)の証明に基づくソリューション。算術回路の証明に基づくソリューションは、zk-SNARK などの ZKP スキームを使用して、既存のデジ タル ID インフラストラクチャに基づくデータ最小化検証可能提示を促進することを意図している。特に、選択的開示、非連結性、および述語を提供することができる。プロジェクト・シンデレラ(X.509 証明書とともに使用される zk-SNARK)および zk-creds(ICAOパスポートとともに使用される zk-SNARK)は、本文書に記載されている。 |
| • Anonymous attribute based credentials systems. These solutions are implementations of existing multimessage signature schemes such as CL-signatures or BBS+, with the purpose to present anonymous credentials ((Q)EAAs) to a verifier. The following solutions in this category are described: Idemix (Identity Mixer), U-Prove, ISO/IEC 18370 [i.142] (blind digital signatures), and Keyed-Verification Anonymous Credentials (KVAC). | ・匿名属性ベースのクレデンシャル・システム。これらのソリューションは、匿名クレデンシャル((Q)EAA)を検証者に提示する目的で、CL 署名や BBS+ などの既存のマルチメッセージ署名スキームを実装したものである。このカテゴリーには以下のソリューションがある: Idemix(Identity Mixer)、U-Prove、ISO/IEC 18370 [i.142](ブラインド電子署名)、およびKVAC(Keyed-Verification Anonymous Credentials)である。 |
| • ISO mobile driving license (ISO mDL). The ISO mDL standard specifies various flows for selective disclosure of attributes. In the present document, the following ISO mDL flows are described: ISO/IEC 18013-5 [i.140] (device retrieval flow), ISO/IEC 18013-5 [i.140] (server retrieval flows), ISO/IEC 18013-7 [i.141] (unattended flow) and ISO/IEC 23220-4 [i.146] (operational protocols). | ・ISO モバイル運転免許証(ISO mDL)。ISO mDL標準は、属性を選択的に開示するためのさまざまなフローを規定している。本文書では、以下の ISO mDL フローについて説明する: ISO/IEC 18013-5 [i.140] (デバイス検索フロー)、ISO/IEC 18013-5 [i.140] (サーバー検索フロー)、ISO/IEC 18013-7 [i.141] (無人フロー)、および ISO/IEC 23220-4 [i.146] (運用プロトコル)である。 |
| The ARF proposes two protection mechanisms for the PID, which support selective disclosure but not unlinkability (unless batch issued): | ARFは、PIDの2つの防御メカニズムを提案している。これらは、選択的な 開示をサポートするが、(バッチ発行でない限り)リンク不能をサポートしない: |
| • ISO/IEC 18013-5 [i.140] (ISO mDL). The ISO mDL mdoc contains all attributes of a user, whilst the ISO mDL MSO contains the corresponding hashed salted attributes. | ・ISO/IEC 18013-5 [i.140] (ISO mDL)。ISO mDL mdocにはユーザーのすべての属性が含まれ、ISO mDL MSOには対応するハッシュ化されたソルティッド属性が含まれる。 |
| • A JWT encoding of the W3C Verifiable Credentials Data Model v1.1 in conjunction with IETF SD-JWT. The JWT contains the user attributes, whilst the SD-JWT contains the corresponding hashed salted attributes. | ・IETF SD-JWT と連携する W3C 検証可能クレデンシャル・データ・モデル v1.1 の JWT エンコード。JWT にはユーザ属性が含まれ、SD-JWT には対応するハッシュされた塩付き属性が含まれる。 |
| The present document includes an extensive analysis of ISO mDL MSO and SD-JWT and how the formats comply with the eIDAS2 requirements on selective disclosure and unlinkability. | 本文書には、ISO mDL MSOとSD-JWTの広範な分析、および選択的開示とリンク不能に関するeIDAS2要件への準拠方法が含まれる。 |
| The ISO mDL MSO and the SD-JWT formats, and related presentation protocols, cater for selective disclosure based on the concept of salted attribute hashes. Furthermore, the MSO and SD-JWT formats support SOG-IS approved cryptographic algorithms and can also be used with quantum-safe cryptography for future use. The conclusion is thus that MSO and SD-JWT meet the eIDAS2 regulatory and technical requirements on selective disclosure. | ISO mDL MSOとSD-JWTフォーマット、および関連するプレゼンテーション プロトコルは、ソルティッド属性ハッシュの概念に基づく選択的開示に対応している。さらに、MSOとSD-JWTフォーマットは、SOG-ISが承認した暗号化アルゴリズムをサポートしており、将来的に量子安全暗号を使用することもできる。したがって、MSO と SD-JWT は、選択的開示に関する eIDAS2 の規制要件と技術要件を満たしている。 |
| As stated, ISO mDL MSO and SD-JWT are not fully unlinkable, although they can provide verifier unlinkability with certain operational measures. In order to achieve verifier unlinkability, batches of ISO mDL MSOs or SD-JWTs need to be issued to each EUDI Wallet. The random salts in the ISO mDL MSO and SD-JWT should be unique, meaning that refreshed MSOs and SD-JWTs are presented to a relying party. Furthermore, the user public keys used for holder binding, if present, need to be unique too. | 前述のとおり、ISO mDLのMSOとSD-JWTは完全にはリンク不可能であるが、特定の運用対策 を講じることで、検証者のリンク不可能性を提供することができる。検証者のアンリンカビリティを実現するためには、各EUDIウォレットにISO mDL MSOまたはSD-JWTのバッチを発行する必要がある。ISO mDL MSO および SD-JWT のランダムな塩は一意でなければならず、これはリフレッシュされた MSO および SD-JWT が依拠当事者に提示されることを意味する。さらに、保有者のバインディングに使用されるユーザー公開鍵が存在する場合、 これも一意である必要がある。 |
| There are many similarities between the ISO mDL issuers and the eIDAS2 compliant PID Providers (PIDPs) or QTSPs. The PIDPs/QTSPs can issue PIDs/(Q)EAAs to EUDI Wallets as follows to cater for selective disclosure: | ISO mDL発行者とeIDAS2準拠のPIDプロバイダ(PIDP)またはQTSPの間には多くの類似点がある。PIDP/QTSPは選択的開示に対応するため、以下のようにEUDIウォレットにPID/(Q)EAAを発行することができる: |
| • The PIDP/QTSP issues ISO mDL mdoc and/or JWT as PID/(Q)EAAs to the EUDI Wallet. | ・PIDP/QTSPはEUDIウォレットにPID/(Q)EAAとしてISO mDL mdocおよび/またはJWTを発行する。 |
| • The PIDP/QTSP issues ISO mDL MSOs and/or SD-JWTs batchwise to the EUDI Wallet. The ISO mDL MSOs are associated with the ISO mDL mdoc, and the SD-JWTs with the JWT. Random salts are used for the hashed salted attributes in each MSO or SD-JWT. This will cater for verifier unlinkability when the MSOs or SD-JWTs are presented to and validated by a relying party. | ・PIDP/QTSPはISO mDL MSOおよび/またはSD-JWTをEUDIウォレットに一括発行する。ISO mDL MSOはISO mDL mdocと関連付けられ,SD-JWTはJWTと関連付けられる。各 MSO または SD-JWT のハッシュ化された塩属性には,ランダムな塩が使用される。これは,MSO または SD-JWT が依拠当事者に提示され,依拠当事者によって検証される際に,検証者がリンクできないようにするためである。 |
| • The EUDI Wallet selectively discloses certain attribute(s) of an ISO mDL mdoc or JWT. One ISO mDL MSO or SD-JWT is selected from the batch in the EUDI Wallet, and is associated with the disclosed attribute(s). | ・EUDIウォレットは,ISO mDL mdocまたはJWTの特定の属性を選択的に開示する。1つのISO mDL MSOまたはSD-JWTがEUDIウォレットのバッチから選択され,開示された属性に関連付けられる。 |
| • The relying party can use the eIDAS2 trust list (which is equivalent to an ISO mDL VICAL) to retrieve the QTSP/PIDP trust anchor (which is equivalent to the IACA trust anchor). The relying party validates the MSOs or SD-JWTs signatures by using the QTSP/PIDP trust anchor. The relying party also verifies that the presented selected attribute hash is present in the MSO or SD-JWT. | ・依拠当事者は、eIDAS2トラストリスト(これはISO mDL VICALに相当する)を使用してQTSP/PIDPトラストアンカー(これはIACAトラストアンカーに相当する)を取得することができる。依拠当事者は、QTSP/PIDPトラストアンカーを使用してMSOまたはSD-JWTの署名を検証する。また、 依拠当事者は、提示された選択属性ハッシュがMSOまたはSD-JWTに存在することを 検証する。 |
| These recommendations could be considered for the upcoming ETSI TS 119 471 [i.80] and ETSI TS 119 472-1 [i.81] that will standardize the issuance policies and profiles of (Q)EAAs. | これらの推奨事項は、(Q)EAAの発行ポリシーとプロファイルを標準化する予定の ETSI TS 119 471 [i.80]およびETSI TS 119 472-1 [i.81]で考慮される可能性がある。 |
| Multi-message signature schemes such as BBS+, Camenisch-Lysyanskaya (CL) signatures, Mercurial signatures, and Pointcheval-Sanders Multi-Signatures (PS-MS) cater for full unlinkability, although they are not yet fully standardized. Hence, ISO/IEC PWI 24843 intends to standardize BBS+ and PS-MS with blinded signatures, which may allow for a future standard that could be used in compliance with the EUDI Wallet requirements on selective disclosure and unlinkability in eIDAS2. | BBS+、Camenisch-Lysyanskaya(CL)署名、Mercurial署名、Pointcheval-Sanders Multi-Signatures (PS-MS)などのマルチメッセージ署名方式は、まだ完全には標準化されていないが、完全なリンク不能性に対応している。したがって、ISO/IEC PWI 24843は、BBS+とPS-MSをブラインド署名で標準化することを意図している。これは、eIDAS2における選択的開示とリンク不能に関するEUDIウォレットの要件に準拠して使用できる将来の標準を可能にするかもしれない。 |
| There are also systems based on programmable ZKPs in the form of zk-SNARKs, such as Cinderella and zk-creds, that can achieve both selective disclosure and unlinkability with existing digital identity infrastructures such as X.509 certificates or ICAO passports. Such systems can generate pseudo-certificates that share selected attributes from the (Q)EAAs and attest holder binding and non-revocation without exposing linkable cryptographic identifiers. In contrast to multi-signature schemes, anonymous credentials based on programmable ZKPs can be made compatible with deployed secure hardware and are easily extendable. However, these projects are still in the research phase. Still, they may be considered for the EUDI Wallet and eIDAS2 relying parties. | また、シンデレラや zk-creds などの zk-SNARKs 形式のプログラマブル ZKP に基づくシステムもあり、X.509 証明書や ICAO パスポートな どの既存のデジタル ID インフラを使用して、選択的開示と非連結性の両方を実現できる。このようなシステムは、リンク可能な暗号識別子を公開することなく、(Q)EAA から選択された属性を共有する擬似証 明書を生成し、所有者のバインディングおよび非取消を証明することができる。マルチシグネチャ方式とは対照的に、プログラマブル ZKP に基づく匿名クレデンシャルは、配備されたセキュアなハードウェアと互換性を持たせることができ、拡張も容易である。しかし、これらのプロジェクトはまだ研究段階である。それでも、EUDI ウォレットと eIDAS2 の依拠当事者には考慮されるかもしれない。 |
| Furthermore, there are recommendations on how to store such (Q)EAA formats in the EUDI Wallet, and how to present selectively disclosed attributes to eIDAS2 relying parties. These recommendations can be considered for the upcoming ETSI TS 119 462 [i.79] on EUDI Wallet interfaces. | さらに、そのような(Q)EAAフォーマットをEUDIウォレットに格納する方法や、選択的に開示された属性をeIDAS2依拠当事者に提示する方法についての推奨がある。これらの勧告は、EUDIウォレットインターフェースに関する今後のETSI TS 119 462 [i.79]のために考慮することができる。 |
| The present document also analyses the privacy aspects of revocation schemes and validity status checks. In order to achieve privacy preserving features for revocation and validity status checks it is recommended to use OCSP in | 本文書はまた、失効スキームと有効性ステータスチェックのプライバシーの側面を分析する。失効と有効性ステータスチェックのためのプライバシー保護機能を実現するために、以下の方法でOCSPを使用することが推奨される。 |
| Must-Staple mode, implement Revocation Lists or validity Status Lists with additional privacy techniques such as Private Information Retrieval or Private Set Intersection, and use cryptographic accumulators where possible given the associated complexity. If programmable ZKP schemes (such as zk-SNARKs) are combined with existing credentials (such as X.509), the status validity checks are performed at the EUDI Wallet, and only the relevant information (revocation state) without any linkable cryptographic identifiers is disclosed with the verifier. | Must-StapleモードでOCSPを使用し、Private Information RetrievalやPrivate Set Intersectionのような付加的なプライバシー技術を使用して失効リストや有効性ステータスリストを実装し、関連する複雑さを考慮して可能であれば暗号アキュムレータを使用することを推奨する。プログラム可能なZKPスキーム(zk-SNARKなど)が既存のクレデンシャル(X.509など)と組み合わされる場合、ステータスの有効性チェックはEUDIウォレットで実行され、リンク可能な暗号識別子を含まない関連情報(失効状態)のみが検証者に開示される。 |
| The present document also includes an analysis of post-quantum computing attacks on cryptographic schemes with selective disclosure capabilities. More specifically, the hashed salted attributes formats, such as ISO mDL MSO and SD-JWT, can be signed with post-quantum safe cryptographic algorithms. Also the atomic (Q)EAA formats can be secured with post-quantum safe signatures. The multi-message signature schemes, such as BBS+ and CL-signatures, have the following characteristics in a post-quantum world: an attacker can use a quantum computer to reveal the signer's private key from the public key and thereafter forge proofs and signatures, but an attacker will not be able to break data confidentiality, meaning that undisclosed messages are safe in a post-quantum world, as are undisclosed signature values. As regards to the programmable ZKP schemes, it depends on the design of the arithmetic circuit proof if it is post-quantum safe or not, meaning that there are zk-SNARKs that are post-quantum safe whilst others are not. | 本文書には、選択的開示機能を持つ暗号方式に対するポスト量子コンピューティング攻撃の分析も含まれている。具体的には、ISO mDL MSOやSD-JWTのようなハッシュ化された塩属性形式は、ポスト量子安全暗号 アルゴリズムで署名することができる。また、アトミック(Q)EAAフォーマットもポスト量子安全署名で保護できる。BBS+やCL署名のようなマルチメッセージ署名方式は、ポスト量子世界において次のような特徴を持つ。攻撃者は、量子コンピュータを使って公開鍵から署名者の秘密鍵を明らかにし、証明や署名を偽造することができるが、攻撃者はデータの機密性を破ることはできない。つまり、ポスト量子世界では、非公開のメッセージも、非公開の署名値も安全である。プログラム可能なZKPスキームに関しては、ポスト量子安全かどうかは演算回路証明の設計に依存する。 |
| Finally, there is an annex with research projects about innovative ZKP schemes. One such approach is to design cryptographic ZKP schemes based on quantum physics. Quantum Key Distribution (QKD), quantum physics applied to the graph 3-colouring ZKP scheme, and ZKP using the quantum Internet (based on Schnorr's algorithm) are described in the annex. The ZKP schemes based on quantum physics are still in the research phase, but may be considered for the future. There are also cryptographic research initiatives on post-quantum safe (lattice-based) anonymous credentials, which cater for privacy-preserving signature schemes. The most recent research in this field is related to efficient anonymous credentials that are post-quantum safe, yet with small signature sizes. | 最後に、革新的なZKPスキームに関する研究プロジェクトをまとめた附属書がある。そのようなアプローチの1つは、量子物理学に基づいて暗号ZKP方式を設計することである。量子鍵配送(QKD)、グラフ3色ZKP方式への量子物理学の応用、量子インターネットを利用したZKP(Schnorrのアルゴリズムに基づく)などが附属書に記載されている。量子物理学に基づくZKP方式はまだ研究段階であるが、将来的には検討される可能性がある。また、ポスト量子安全(格子ベース)匿名クレデンシャルに関する暗号研究イニシアチブもあり、プライバシーを保持する署名方式に対応している。この分野の最新の研究は、ポスト量子安全でありながら署名サイズが小さい、効率的な匿名認証情報に関するものである。 |
Comments