CRYPTREC 暗号技術ガイドライン（耐量子計算機暗号）2024年度版、耐量子計算機暗号の研究動向調査報告書 (2025.04.02): まるちゃんの情報セキュリティ気まぐれ日記

May 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
				1	2	3
4	5	6	7	8	9	10
11	12	13	14	15	16	17
18	19	20	21	22	23	24
25	26	27	28	29	30	31

2025.04.03

CRYPTREC 暗号技術ガイドライン（耐量子計算機暗号）2024年度版、耐量子計算機暗号の研究動向調査報告書 (2025.04.02)

こんにちは、丸山満彦です。

国立研究開発法人情報通信研究機構 (略称NICT) と独立行政法人情報処理推進機構 (略称IPA) が共同で運営する「暗号技術評価委員会」の2024年度の活動成果として、「CRYPTREC 暗号技術ガイドライン（耐量子計算機暗号）2024年度版」及び「耐量子計算機暗号の研究動向調査報告書」を作成しましたので、公開いたします。

とのことです...

・[PDF] CRYPTREC 暗号技術ガイドライン（耐量子計算機暗号）2024年度版

第1章はじめに
1.1 暗号の安全性に影響のある量子コンピュータの開発状況
1.1.1 量子コンピュータの分類
1.1.2 ハードウェアの進展とロードマップ
1.2 耐量子計算機暗号（PQC）の必要性について
1.2.1 量子コンピュータの影響による現代暗号の危殆化予測
1.2.2 量子コンピュータによる素因数分解・離散対数問題計算の現状
1.3 PQC の研究及び標準化等に関する動向
1.3.1 米国 NIST における標準化の動向
1.3.2 米国以外での動向
1.4 本調査で対象とした PQC の種類
1.5 耐量子計算機暗号調査報告書執筆者リスト

第2章 PQCの活用方法
2.1 公開鍵暗号の利用形態
2.1.1 署名用途での公開鍵暗号の利用
2.1.2 守秘用途での公開鍵暗号の利用
2.1.3 鍵共有用途での公開鍵暗号の利用
2.2 PQC の導入における課題
2.2.1 署名用途での課題
2.2.2 守秘用途での課題
2.2.3 鍵共有用途での課題
2.3 PQC 導入へのアプローチ
2.3.1 プライオリティ設定の重要性
2.3.2 クリプトグラフィック・アジリティの重要性
2.3.3 既存暗号方式とのハイブリッド構成
2.3.4 署名用途固有の対策
2.3.5 守秘及び鍵共有用途固有の対策
2.4 PQC の活用にむけて

第3章格子に基づく暗号技術
3.1 格子に基づく暗号技術の安全性の根拠となる問題
3.1.1 LWE 問題の紹介
3.1.2 NTRU 問題の紹介
3.1.3 格子問題の公開チャレンジの求解状況
3.2 格子に基づく代表的な暗号方式
3.2.1 Hash-and-Sign に基づく署名方式の格子問題への拡張
3.2.2 Fiat-Shamir 署名方式の格子問題への拡張
3.3 格子に基づく主要な暗号方式
3.3.1 FIPS 203：Module-Lattice-Based Key-Encapsulation Mechanism Standard (ML-KEM)
3.3.1.1 ML-KEM における数論変換
3.3.1.2 ML-KEM の基本構成と処理概要
3.3.1.3 暗号パラメータ
3.3.2 FIPS 204: Module-Lattice-Based Digital Signature Standard（ML-DSA）
3.3.2.1 ML-DSA における数論変換
3.3.2.2 ML-DSA の構成と処理概要
3.3.2.3 暗号パラメータ
3.3.2.4 CRYSTALS-Dilithium との違い
3.3.3 FALCON
3.4 格子に基づく暗号技術に関するまとめ

第4章符号に基づく暗号技術
4.1 符号に基づく暗号技術の安全性の根拠となる問題
4.1.1 SD問題
4.1.2 SD問題に対する評価
4.1.3 LPN問題
4.1.4 LPN問題に対する評価
4.2 符号に基づく代表的な暗号方式
4.2.1 McEliece 公開鍵暗号方式
4.2.2 Niederreiter 公開鍵暗号方式
4.3 符号に基づく主要な暗号方式
4.3.1 Classic McEliece
4.3.2 BIKE
4.3.3 HQC
4.4 符号に基づく暗号技術に関するまとめ

第5章多変数多項式に基づく暗号技術
5.1 多変数多項式に基づく暗号技術の安全性の根拠となる問題
5.1.1 MP 問題（MQ 問題）
5.1.2 MinRank 問題
5.1.3 IP 問題，EIP 問題
5.2 多変数多項式に基づく代表的な暗号方式
5.2.1 双極型システム
5.2.2 署名方式 UOV
5.2.2.1 UOV の概要
5.2.2.2 UOV の公開鍵長の削減
5.2.3 MPC-in-the-Head による署名方式の構成
5.2.3.1 秘匿マルチパーティ計算
5.2.3.2 ゼロ知識証明への変換
5.3 多変数多項式に基づく主要な暗号方式
5.3.1 署名方式 UOV
5.3.1.1 UOV の概要
5.3.1.2 UOV のパラメータ選択
5.3.2 署名方式 QR-UOV
5.3.2.1 QR-UOV の概要
5.3.2.2 QR-UOV のパラメータ選択
5.3.3 署名方式 MAYO
5.3.3.1 MAYO の概要
5.3.3.2 MAYO のパラメータ選択
5.3.4 署名方式 MQOM
5.3.4.1 MQOM の概要
5.3.4.2 MQOM のパラメータ選択
5.3.5 署名方式 MiRitH
5.3.5.1 MiRitH の概要
5.3.5.2 MiRitH のパラメータ選択
5.4 多変数多項式に基づく暗号技術に関するまとめ

第6章同種写像に基づく暗号技術
6.1 同種写像に基づく暗号技術の安全性の根拠となる問題
6.1.1 同種写像問題の一般形
6.1.2 自己準同型環計算問題と SQIsign 署名方式の安全性に関する計算問題
6.1.2.1 自己準同型環計算問題
6.1.2.2 SQIsign 署名方式の安全性に関する計算問題
6.2 同種写像に基づく代表的な暗号方式
6.2.1 GPS 署名方式
6.3 同種写像に基づく主要な暗号方式
6.3.1 SQIsign 署名方式
6.3.1.1 KLPT アルゴリズムに基づく SQIsign 署名方式
6.3.1.2 SQIsign2D 署名方式
6.4 同種写像に基づく暗号技術に関するまとめ

第7章ハッシュ関数に基づく署名技術
7.1 ハッシュ関数に基づく署名技術の安全性の根拠となる問題
7.2 ハッシュ関数に基づく代表的な署名方式
7.2.1 Winternitz One-Time Signature
7.2.2 マークル木を用いた署名方式
7.2.3 マークル木の階層構造による署名方式
7.2.4 プレフィクスとビットマスク
7.3 ハッシュ関数に基づく主要な署名方式
7.3.1 XMSS: eXtended Merkle Signature Scheme
7.3.1.1 WOTS+
7.3.1.2 XMSS
7.3.1.3 XMSSMT
7.3.1.4 パラメータの設定と安全性
7.3.2 SLH-DSA
7.3.2.1 WOTS+
7.3.2.2 XMSS
7.3.2.3 Hypertree
7.3.2.4 FORS
7.3.2.5 SLH-DSA
7.3.2.6 パラメータの設定と安全性
7.3.2.7 ハッシュ関数の実現法
7.4 ハッシュ関数に基づく署名技術に関するまとめ

・[PDF] 耐量子計算機暗号の研究動向調査報告書

第1章はじめに
1.1 暗号の安全性に影響のある量子コンピュータの開発状況
1.1.1 量子コンピュータの分類
1.1.2 ハードウェアの進展とロードマップ
1.2 耐量子計算機暗号（PQC）の必要性について
1.2.1 量子コンピュータの影響による現代暗号の危殆化予測
1.2.2 量子コンピュータによる素因数分解・離散対数問題計算の現状
1.3 PQC の研究及び標準化等に関する動向
1.3.1 米国 NIST における標準化の動向
1.3.2 米国以外での動向
1.4 本調査で対象とした PQC の種類
1.5 耐量子計算機暗号調査報告書執筆者リスト

第2章 PQCの活用方法
2.1 公開鍵暗号の利用形態
2.1.1 署名用途での公開鍵暗号の利用
2.1.2 守秘用途での公開鍵暗号の利用
2.1.3 鍵共有用途での公開鍵暗号の利用
2.2 PQC の導入における課題
2.2.1 署名用途での課題
2.2.2 守秘用途での課題
2.2.3 鍵共有用途での課題
2.3 PQC 導入へのアプローチ
2.3.1 プライオリティ設定の重要性
2.3.2 クリプトグラフィック・アジリティの重要性
2.3.3 既存暗号方式とのハイブリッド構成
2.3.4 署名用途固有の対策
2.3.5 守秘及び鍵共有用途固有の対策
2.4 PQC の活用にむけて

第3章格子に基づく暗号技術
3.1 格子に基づく暗号技術の安全性の根拠となる問題
3.1.1 LWE 問題と代表的な求解法
3.1.1.1 LWE 問題の紹介
3.1.1.2 格子の基本事項とq-ary 格子の紹介
3.1.1.3 LWE 問題の代表的な求解法
3.1.2 NTRU 問題と代表的な求解法
3.1.3 格子問題を解くアルゴリズムとその計算量について
3.1.3.1 代表的な格子基底簡約アルゴリズムの紹介
3.1.3.2 BKZ 基底簡約アルゴリズムの出力基底と計算量
3.1.3.3 格子問題の公開チャレンジの求解状況
3.2 格子に基づく代表的な暗号方式
3.2.1 LWE に基づく Regev による公開鍵暗号方式
3.2.2 LWE に基づく Lindner, Peikert らによる公開鍵暗号方式
3.2.3 Ring-LWE に基づく Brakerski らによる公開鍵暗号方式
3.2.4 NTRU 問題に基づく Hoffstein らによる公開鍵暗号方式
3.2.5 Hash-and-Sign に基づく署名方式の格子問題への拡張
3.2.6 Fiat-Shamir 署名方式の格子問題への拡張
3.3 格子に基づく主要な暗号方式
3.3.1 FIPS 203：Module-Lattice-Based Key-Encapsulation Mechanism Standard (ML-KEM)
3.3.1.1 ML-KEM における数論変換
3.3.1.2 ML-KEM の基本構成と処理概要
3.3.1.3 暗号パラメータ
3.3.1.4 CRYSTALS-Kyber との違い
3.3.2 FIPS 204: Module-Lattice-Based Digital Signature Standard（ML-DSA）
3.3.2.1 ML-DSA における数論変換
3.3.2.2 ML-DSA の構成と処理概要
3.3.2.3 暗号パラメータ
3.3.2.4 CRYSTALS-Dilithium との違い
3.3.3 CRYSTALS-Kyber
3.3.4 CRYSTALS-Dilithium
3.3.5 FALCON
3.3.6 FrodoKEM
3.3.6.1 NIST PQC 第 3 ラウンド版
3.3.6.2 ISO 標準への予備提案版
3.3.7 NewHope
3.3.8 NTRU
3.3.9 SABER
3.4 格子に基づく暗号技術に関するまとめ

第4章符号に基づく暗号技術
4.1 符号に基づく暗号技術の安全性の根拠となる問題
4.1.1 SD問題とその拡張
4.1.1.1 SD問題
4.1.1.2 SD問題の拡張
4.1.2 SD問題に対する評価
4.1.2.1 Information Set Decoding
4.1.3 LPN問題とその拡張
4.1.3.1 LPN問題
4.1.3.2 LPN問題の拡張
4.1.4 LPN問題に対する評価
4.1.4.1 ガウスの消去法に基づく手法
4.1.4.2 Information Set Decoding に基づく手法
4.1.4.3 BKW アルゴリズムに基づく手法
4.1.4.4 Arora–Ge アルゴリズム
4.1.4.5 Information Set Decoding と BKW を組み合わせたハイブリッド法
4.1.4.6 量子アルゴリズム
4.2 符号に基づく代表的な暗号方式
4.2.1 McEliece 公開鍵暗号方式
4.2.2 Niederreiter 公開鍵暗号方式
4.2.3 符号版 Lyubashevsky-Peikert-Regev（LPR）公開鍵暗号方式
4.2.4 CFS 署名方式
4.3 符号に基づく主要な暗号方式
4.3.1 Classic McEliece
4.3.2 BIKE
4.3.3 HQC
4.4 符号に基づく暗号技術に関するまとめ

第5章多変数多項式に基づく暗号技術
5.1 多変数多項式に基づく暗号技術の安全性の根拠となる問題
5.1.1 MP 問題（MQ 問題）
5.1.2 MP 問題を解く計算の計算量
5.1.3 MinRank 問題
5.1.4 IP 問題，EIP 問題
5.2 多変数多項式に基づく代表的な暗号方式
5.2.1 双極型システム
5.2.2 双極型システムの modifier
5.2.2.1 マイナス手法 “ − ”
5.2.2.2 プラス手法 “ + ”
5.2.2.3 External Perturbation “v”
5.2.2.4 Internal Perturbation “I”
5.2.3 公開鍵暗号方式 HFE，署名方式 HFEv−
5.2.3.1 公開鍵暗号方式 HFE
5.2.3.2 署名方式 HFE−v
5.2.4 署名方式 UOV
5.2.4.1 UOV の概要
5.2.4.2 UOV の公開鍵長の削減
5.2.4.3 署名方式 Rainbow
5.2.5 MPC-in-the-Head による署名方式の構成
5.2.5.1 秘匿マルチパーティ計算
5.2.5.2 ゼロ知識証明への変換
5.3 多変数多項式に基づく主要な暗号方式
5.3.1 署名方式 UOV
5.3.1.1 UOV の概要
5.3.1.2 UOV のパラメータ選択
5.3.2 署名方式 QR-UOV
5.3.2.1 QR-UOV の概要
5.3.2.2 QR-UOV のパラメータ選択
5.3.3 署名方式 MAYO
5.3.3.1 MAYO の概要
5.3.3.2 MAYO のパラメータ選択
5.3.4 署名方式 MQOM
5.3.4.1 MQOM の概要
5.3.4.2 MQOM のパラメータ選択
5.3.5 署名方式 MiRitH
5.3.5.1 MiRitH の概要
5.3.5.2 MiRitH のパラメータ選択
5.4 多変数多項式に基づく暗号技術に関するまとめ

第6章同種写像に基づく暗号技術
6.1 同種写像に基づく暗号技術の安全性の根拠となる問題
6.1.1 同種写像問題の一般形
6.1.2 SIDH 同種写像問題とその解法
6.1.3 レベル構造付き同種写像問題
6.1.4 同種写像に基づく一方向性群作用（暗号学的群作用）に関する計算問題
6.1.4.1 2 種の一方向性群作用：REGA と EGA
6.1.4.2 CSIDH-(R)EGA 上の計算問題
6.1.4.3 イデアル類群作用に基づく量子マネーの安全性に関する計算問題
6.1.5 自己準同型環計算問題と SQIsign 署名方式の安全性に関する計算問題
6.1.5.1 自己準同型環計算問題
6.1.5.2 SQIsign 署名方式の安全性に関する計算問題
6.2 同種写像に基づく代表的な暗号方式
6.2.1 暗号学的群作用に基づく鍵共有方式
6.2.1.1 CSIDH 鍵共有
6.2.1.2 群作用に基づく CSIDH 以外の鍵共有方式
6.2.2 レベル構造付き同種写像問題に基づく鍵共有
6.2.2.1 M-SIDH 鍵共有と MD-SIDH 鍵共有
6.2.2.2 (Q)FESTA 鍵共有と binSIDH 鍵共有（terSIDH 鍵共有）
6.2.3 暗号学的群作用に基づく署名方式
6.2.3.1 SeaSign 署名方式
6.2.3.2 CSI-FiSh 署名方式
6.2.4 GPS 署名方式
6.3 同種写像に基づく主要な暗号方式
6.3.1 SQIsign 署名方式
6.3.1.1 KLPT アルゴリズムに基づく SQIsign 署名方式
6.3.1.2 SQIsign2D 署名方式
6.4 同種写像に基づく暗号技術に関するまとめ

第7章ハッシュ関数に基づく署名技術
7.1 ハッシュ関数に基づく署名技術の安全性の根拠となる問題
7.2 ハッシュ関数に基づく代表的な署名方式
7.2.1 Winternitz One-Time Signature
7.2.2 マークル木を用いた署名方式
7.2.3 マークル木の階層構造による署名方式
7.2.4 プレフィクスとビットマスク
7.3 ハッシュ関数に基づく主要な署名方式
7.3.1 Lighton-Micali Hash-Based Signatures
7.3.1.1 LM-OTS
7.3.1.2 LMS
7.3.1.3 HSS
7.3.1.4 パラメータの設定と安全性
7.3.2 XMSS: eXtended Merkle Signature Scheme
7.3.2.1 WOTS+
7.3.2.2 XMSS
7.3.2.3 XMSSMT
7.3.2.4 パラメータの設定と安全性
7.3.3 SLH-DSA
7.3.3.1 WOTS+
7.3.3.2 XMSS
7.3.3.3 Hypertree
7.3.3.4 FORS
7.3.3.5 SLH-DSA
7.3.3.6 パラメータの設定と安全性
7.3.3.7 ハッシュ関数の実現法
7.4 ハッシュ関数に基づく署名技術に関するまとめ