米国 NIST 第5の耐量子暗号化のアルゴリズムとしてHQCを選択 (2025.03.11)
こんにちは、丸山満彦です。
NISTが、FIPS203として標準規格化された格子暗号をベースにした耐量子暗号アルゴリズムであるML-KEM(Module-Lattice-Based Key-Encapsulation Mechanism)のバックアップとして、誤り訂正符号にもとづいたHQC(Hamming Quasi-Cyclic)を選択したと発表していますね...
⚫︎ NIST - ITL
・2025.03.11 NIST Selects HQC as Fifth Algorithm for Post-Quantum Encryption
| NIST Selects HQC as Fifth Algorithm for Post-Quantum Encryption | NIST、第5の耐量子暗号化のアルゴリズムとしてHQCを選択 |
| ・NIST has chosen a new algorithm for post-quantum encryption called HQC, which will serve as a backup for ML-KEM, the main algorithm for general encryption. | ・NISTは、一般暗号化の主要アルゴリズムであるML-KEMのバックアップとして、耐量子暗号化の新たなアルゴリズムとしてHQCを選択した。 |
| ・HQC is based on different math than ML-KEM, which could be important if a weakness were discovered in ML-KEM. | ・HQCはML-KEMとは異なる数学をベースとしているため、ML-KEMに脆弱性が発見された場合、重要な役割を果たす可能性がある。 |
| ・NIST plans to issue a draft standard incorporating the HQC algorithm in about a year, with a finalized standard expected in 2027. | ・NISTは、約1年後にHQCアルゴリズムを組み込んだ標準規格のドラフトを発行する予定であり、2027年には標準規格が最終決定される見込みである。 |
| Last year, NIST standardized a set of encryption algorithms that can keep data secure from a cyberattack by a future quantum computer. Now, NIST has selected a backup algorithm that can provide a second line of defense for the task of general encryption, which safeguards internet traffic and stored data alike . | 昨年、NISTは、将来の量子コンピュータによるサイバー攻撃からデータを保護できる暗号化アルゴリズムのセットを標準化した。そして今回、NISTは、インターネットトラフィックと保存データの両方を保護する一般的な暗号化のタスクに第二の防御ラインを提供できるバックアップアルゴリズムを選択した。 |
| Encryption protects sensitive electronic information, including internet traffic and medical and financial records, as well as corporate and national security secrets. But a sufficiently powerful quantum computer, if one is ever built, would be able to break that defense. NIST has been working for more than eight years on encryption algorithms that even a quantum computer cannot break. | 暗号化は、インターネットトラフィックや医療・財務記録、企業や国家の安全保障上の機密情報など、機密性の高い電子情報を防御する。しかし、もし十分な性能の量子コンピュータが開発された場合、その防御を破ることができる。NISTは8年以上にわたり、量子コンピュータでも破ることができない暗号化アルゴリズムの開発に取り組んできた。 |
| Last year, NIST published an encryption standard based on a quantum-resistant algorithm called ML-KEM. The new algorithm, called HQC, will serve as a backup defense in case quantum computers are someday able to crack ML-KEM. Both these algorithms are designed to protect stored information as well as data that travels across public networks. | 昨年、NISTは量子耐性アルゴリズムであるML-KEMに基づく暗号化標準を発表した。 HQCと呼ばれる新しいアルゴリズムは、万が一量子コンピュータがML-KEMを解読できるようになった場合のバックアップ防御策となる。 これらのアルゴリズムはいずれも、保存された情報だけでなく、公共ネットワーク上を移動するデータも防御できるように設計されている。 |
| What is post-quantum cryptography? Read an explainer. | 耐量子暗号化とは? 説明を読む。 |
| HQC is not intended to take the place of ML-KEM, which will remain the recommended choice for general encryption, said Dustin Moody, a mathematician who heads NIST’s Post-Quantum Cryptography project. | HQCは、一般的な暗号化の推奨選択肢であり続けるML-KEMに取って代わることを意図したものではないと、NISTの耐量子暗号化プロジェクトを率いる数学者のダスティン・ムーディ氏は述べた。 |
| “Organizations should continue to migrate their encryption systems to the standards we finalized in 2024,” he said. “We are announcing the selection of HQC because we want to have a backup standard that is based on a different math approach than ML-KEM. As we advance our understanding of future quantum computers and adapt to emerging cryptanalysis techniques, it’s essential to have a fallback in case ML-KEM proves to be vulnerable.” | 「組織は、2024年に我々が最終決定した標準に暗号化システムを移行し続けるべきである」と彼は述べた。「我々がHQCの選択を発表するのは、ML-KEMとは異なる数学的アプローチに基づくバックアップ標準を確保したいからだ。将来の量子コンピュータに対する理解が進み、新たな暗号解読技術が現れる中で、ML-KEMに脆弱性が認められた場合に備えて、代替策を用意しておくことが不可欠である」 |
| Encryption Based on Two Math Problems | 2つの数学問題に基づく暗号化 |
| Encryption systems rely on complex math problems that conventional computers find difficult or impossible to solve. A sufficiently capable quantum computer, though, would be able to sift through a vast number of potential solutions to these problems very quickly, thereby defeating current encryption. | 暗号化システムは、従来のコンピュータでは解くのが困難または不可能な複雑な数学問題に依存している。しかし、十分な能力を持つ量子コンピュータであれば、これらの問題の膨大な数の潜在的な解決策を非常に迅速に洗い出すことができ、それによって現在の暗号化を破ることができる。 |
| While the ML-KEM algorithm is built around a mathematical idea called structured lattices, the HQC algorithm is built around another concept called error-correcting codes, which have been used in information security for decades. Moody said that HQC is a lengthier algorithm than ML-KEM and therefore demands more computing resources. However its clean and secure operation convinced reviewers that it would make a worthy backup choice . |
ML-KEMアルゴリズムは「構造格子」と呼ばれる数学的アイデアに基づいて構築されているが、HQCアルゴリズムは「エラー訂正コード」と呼ばれる別の概念に基づいて構築されている。エラー訂正コードは、情報セキュリティ分野で数十年にわたって使用されてきた。ムーディ氏は、HQCはML-KEMよりもアルゴリズムが長く、そのためより多くのコンピューティングリソースを必要とすると述べた。しかし、そのクリーンで安全な動作により、HQCは有力な選択肢であると審査員を納得させた。 |
| “Organizations should continue to migrate their encryption systems to the standards NIST finalized in 2024. We are announcing the selection of HQC because we want to have a backup standard that is based on a different math approach than ML-KEM.” —Dustin Moody, NIST mathematician and project head | 「組織は、2024年にNISTが最終決定した標準規格に暗号化システムを移行し続けるべきである。我々は、ML-KEMとは異なる数学的アプローチに基づくバックアップ標準規格を確保したいと考え、HQCの採用を発表する。」—NISTの数学者でありプロジェクト責任者のダスティン・ムーディ氏 |
| Present and Future Standards | 現在および将来の標準規格 |
| HQC is the latest algorithm chosen by NIST’s Post-Quantum Cryptography project, which has overseen efforts since 2016 to head off potential threats from quantum computers. HQC will take its place alongside the four algorithms NIST selected previously. Three of those algorithms have been incorporated into finished standards, including ML-KEM, which forms the core of the standard called FIPS 203. | HQCは、量子コンピュータによる潜在的な脅威を回避するための取り組みを2016年から監督してきたNISTの耐量子暗号化プロジェクトが選定した最新のアルゴリズムである。HQCは、NISTが以前に選定した4つのアルゴリズムと並んで採用されることになる。そのうちの3つのアルゴリズムは、完成した標準規格に組み込まれており、その中にはFIPS 203と呼ばれる標準規格の中核をなすML-KEMも含まれる。 |
| The other two finished standards, FIPS 204 and FIPS 205, contain digital signature algorithms, a kind of “electronic fingerprint” that authenticates the identity of a sender, such as when remotely signing documents. The three finished standards are ready for use, and organizations have already started integrating them into their information systems to future-proof them. | 他の2つの完成した標準規格であるFIPS 204とFIPS 205には、デジタル署名アルゴリズムが含まれている。これは、遠隔地から文書に署名する際に送信者の身元を認証する「電子指紋」のようなものである。 これら3つの完成した標準規格はすでに利用可能となっており、企業はすでに自社の情報システムにそれらを統合し、将来に備え始めている。 |
| A draft of the fourth standard, built around the FALCON algorithm, also concerns digital signatures and will be released shortly as FIPS 206. | FALCONアルゴリズムを基盤とする第4の標準のドラフトもデジタル署名に関するもので、FIPS 206としてまもなく発表される予定である。 |
| HQC is the only algorithm to be standardized from NIST's fourth round of candidates, which initially included four algorithms meriting further study. NIST has released a report summarizing each of these four candidate algorithms and detailing why HQC was selected . |
HQCは、当初はさらなる研究に値する4つのアルゴリズムが含まれていたNISTの第4候補から標準化された唯一のアルゴリズムである。NISTは、これら4つの候補アルゴリズムのそれぞれを要約し、なぜHQCが選ばれたかを詳細に説明する報告書を公表している。 |
| NIST plans to release a draft standard built around HQC for public comment in about a year. Following a 90-day comment period, NIST will address the comments and finalize the standard for release in 2027. | NISTは、HQCを基盤とした標準規格の草案を約1年後に公開し、一般からの意見を募る予定である。90日間の意見募集期間を経て、NISTは寄せられた意見に対応し、2027年に標準規格を最終決定する。 |
| Draft Guidance for KEM Algorithms | KEMアルゴリズムのドラフトガイダンス |
| One thing HQC has in common with ML-KEM is that they are both what experts call “key encapsulation mechanisms,” or KEMs. A KEM is used over a public network as a sort of first handshake between two parties that want to exchange confidential information. | HQCとML-KEMの共通点は、両者とも専門家が「キーカプセル化メカニズム(KEM)」と呼ぶものであるということだ。 KEMは、機密情報を交換したい2つの当事者間の最初の握手のようなものとして、公開ネットワーク上で使用される。 |
| NIST has recently published draft guidance for implementing KEM algorithms. This guidance, Recommendations for Key Encapsulation Mechanisms (NIST Special Publication 800-227), describes the basic definitions, properties and applications of KEMs. It also provides recommendations for implementing and using KEMs in a secure manner. NIST hosted a virtual Workshop on Guidance for KEMs in February, and the draft was open for public comment until March 7, 2025. | NISTは最近、KEMアルゴリズムの実装に関するドラフトガイダンスを公表した。このガイダンス「キーカプセル化メカニズムの推奨(NIST特別刊行物800-227)」では、KEMの基本的な定義、特性、用途について説明している。また、KEMを安全に実装および使用するための推奨事項も提供している。NISTは2月にKEMのガイダンスに関する仮想ワークショップを開催し、ドラフトは2025年3月7日まで一般からの意見を受け付けていた。 |
ちなみにすでに標準化されているものは、
| 2024.08.13 | FIPS | 203 | Module-Lattice-Based Key-Encapsulation Mechanism Standard | モジュール-格子ベースの鍵カプセル化メカニズム標準 | 鍵交換 |
| 2024.08.13 | FIPS | 204 | Module-Lattice-Based Digital Signature Standard | モジュール-格子ベースのデジタル署名標準 | デジタル署名 |
| 2024.08.13 | FIPS | 205 | Stateless Hash-Based Digital Signature Standard | ステートレスハッシュベースのデジタル署名標準 | デジタル署名 |
これから
| 2025? | FIPS | 206? | Fast Fourier Lattice-based Compact Signatures over NTRU | NTRUベース高速フーリエ格子ベースコンパクト署名 | デジタル署名 |
| 2027? | FIPS | 207? | HQC(Hamming Quasi-Cyclic) | ハミング準巡回的 | 鍵交換 |
というかんじですかね...
⚫︎ まるちゃんの情報セキュリティ気まぐれ日記
NISTの耐量子暗号
・2025.03.14 米国 NIST 第5の耐量子暗号化のアルゴリズムとしてHQCを選択 (2025.03.11)
・2025.03.14 米国 NIST IR 8545 NISTの耐量子暗号標準化プロセスの第4ラウンドに関する現状報告書
・2025.03.11 米国 NIST CSWP 39(初期公開ドラフト) 暗号化の機敏性を実現するための考慮事項:戦略と実践
・2025.01.10 米国 NIST SP 800-227(初期公開ドラフト) キーカプセル化メカニズムに関する推奨事項
・2024.11.16 米国 NIST IR 8547(初期公開ドラフト) 耐量子暗号標準への移行について
・2024.11.03 米国 NIST IR 8528 耐量子暗号標準化プロセスにおける追加デジタル署名スキームの第一ラウンドに関する状況報告書
・2024.08.14 米国 NIST 耐量子暗号化標準の最初の3つ (FIPS 203, 204, 205) を確定
・2023.12.22 NIST SP 1800-38(初期ドラフト)耐量子暗号への移行: 量子安全暗号の実装と採用を検討するための準備
・2023.08.22 米国 CISA NSA NIST 量子対応:耐量子暗号への移行
・2022.10.02 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告(参考文献の追加)
・2022.07.07 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告
ENISA
・2022.10.21 ENISA ポスト量子暗号 - 統合研究
日本...
・2024.10.25 政府認証基盤 (GPKI) 政府認証基盤相互運用性仕様書(移行期間編)と移行完了編) (2024.10.11)
・2024.09.16 金融庁 「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」(第1回)議事要旨 (会議は2024.07.18)
・2023.09.29 日本銀行金融研究所 量子コンピュータが暗号に及ぼす影響にどう対処するか:海外における取組み
« 米国 NIST IR 8545 NISTの耐量子暗号標準化プロセスの第4ラウンドに関する現状報告書 | Main | 米国 司法省 中国の捜査当局、情報機関はフリーランスのハッカーや情報セキュリティ会社を活用し、世界中のコンピュータ・ネットワークを侵害している (2025.03.05) »
Comments