米国 NIST SP 800-227 鍵カプセル化メカニズムに関する推奨事項 (2025.09.18)

こんにちは、丸山満彦です。

NISTが、SP 800-227 鍵カプセル化メカニズムに関する推奨事項を公表していますね...

NIST SP 800-227は、公開チャネル上で安全に共有鍵を確立するための鍵カプセル化機構（KEM）に関する推奨事項をまとめた文書ですね...

次のようなことが推奨事項ですかね...

・NISTの耐量子暗号標準化プロセスで選定された鍵カプセル化メカニズム（KEM）を使用
・中間者攻撃を防ぐため、認証を組み込んだKEM（AKEM）の使用
・セキュアな鍵導出関数（KDF）を使った最終的な鍵の生成
・耐量子KEMを組み合わせる「ハイブリッドモード」を導入

● NIST - ITL

・2025.09.18 NIST SP 800-227 Recommendations for Key-Encapsulation Mechanisms

NIST SP 800-227 Recommendations for Key-Encapsulation Mechanisms	NIST SP 800-227 鍵カプセル化メカニズムに関する推奨事項
Abstract	要約
A key-encapsulation mechanism (KEM) is a set of algorithms that can be used by two parties under certain conditions to securely establish a shared secret key over a public channel. A shared secret key that is established using a KEM can then be used with symmetric-key cryptographic algorithms to perform essential tasks in secure communications, such as encryption and authentication. This document describes the basic definitions, properties, and applications of KEMs. It also provides recommendations for implementing and using KEMs in a secure manner.	鍵カプセル化メカニズム（KEM）とは、特定の条件下で二者が公開チャネルを介して共有秘密鍵を安全に確立するために使用できるアルゴリズムの集合である。KEMを用いて確立された共有秘密鍵は、対称鍵暗号アルゴリズムと共に使用され、暗号化や認証といった安全な通信における重要なタスクを実行するために用いられる。本文書は、KEMの基本的な定義、特性、および応用について記述する。また、安全な方法でKEMを実装し使用するための推奨事項を提供する。

 

・[PDF] NIST.SP.800-227

 

目次、図表...

1. Introduction	1. はじめに
1.1. Background	1.1. 背景
1.2. Scope and Purpose	1.2. 適用範囲と目的
1.3. Requirements	1.3. 要求事項
2. Overview of Key-Encapsulation Mechanisms	2. 鍵カプセル化メカニズムの概要
2.1. Overview and Motivation	2.1. 概要と動機
2.2. Basic Definitions and Examples	2.2. 基本定義と例
2.3. Theoretical Security of KEMs	2.3. KEMの理論的安全性
3. Requirements for Secure KEM Implementations	3. 安全なKEM実装の要件
3.1. Compliance With NIST Standards and Validation	3.1. NIST標準への準拠と検証
3.2. Managing Cryptographic Data	3.2. 暗号データの管理
3.3. Additional Requirements	3.3. 追加要件
4. Using KEMs Securely in Applications	4. アプリケーションにおけるKEMの安全な使用
4.1. How to Establish a Key With a KEM	4.1. KEMによる鍵の確立方法
4.2. Conditions for Using KEMs Securely	4.2. KEMを安全に使用するための条件
4.3. Post Processing of the Shared Secret Key	4.3. 共有秘密鍵の後処理
4.4. Key Confirmation	4.4. 鍵確認
4.4.1. Creating the MAC Data	4.4.1. MACデータの生成
4.4.2. Obtaining the Key-Confirmation Key	4.4.2. 鍵確認鍵の取得
4.4.3. Key-Confirmation Example	4.4.3. 鍵確認の例
4.5. Proof of Possession for KEM Keys	4.5. KEM鍵の所持証明
4.6. Multi-Algorithm KEMs and PQ/T Hybrids	4.6. 複数アルゴリズムKEMとPQ/Tハイブリッド
4.6.1. Constructing a Composite KEM	4.6.1. 複合KEMの構築
4.6.2. Approved Key Combiners	4.6.2. 承認済み鍵コンバイナ
4.6.3. Security Considerations for Composite Schemes	4.6.3. 複合スキームのセキュリティ上の考慮事項
5. Examples	5. 例
5.1. Examples of KEMs	5.1. KEMの例
5.1.1. A KEM From Diffie-Hellman	5.1.1. Diffie-Hellmanに基づくKEM
5.1.2. A KEM From RSA Secret-Value Encapsulation	5.1.2. RSA秘密値カプセル化に基づくKEM
5.1.3. ML-KEM	5.1.3. ML-KEM
5.2. Examples of KEM Applications	5.2. KEMアプリケーションの例
5.2.1. KEM-DEM Public-Key Encryption	5.2.1. KEM-DEM公開鍵暗号
5.2.2. Unilateral Authenticated Key Establishment Using a KEM	5.2.2. KEMを用いた一方的認証鍵確立
5.2.3. Ephemeral Authenticated Key Establishment	5.2.3. 一時的認証鍵確立
5.2.4. Static-Ephemeral Unilateral Authenticated Key Establishment UsingKEMs	5.2.4. KEMを用いた静的・一時的両用一方的認証鍵確立
5.2.5. Authenticated Key Establishment Using KEMs	5.2.5. KEMを用いた認証鍵確立
References	参考文献
Appendix A. List of Acronyms	附属書A. 略語一覧
Appendix B. Glossary	附属書B. 用語集
Appendix C. Cryptographic Components	附属書C. 暗号コンポーネント
C.1. Message Authentication Codes (MACs)	C.1. メッセージ認証コード（MAC）
C.2. Nonces	C.2. ノンス
Appendix D. Changes From Draft SP 800-227	附属書D. ドラフトSP 800-227からの変更点
List of Tables	表一覧
Table 1. Approved MAC algorithms for key confirmation	表1. 鍵確認用に承認されたMACアルゴリズム
List of Figures	図一覧
Fig. 1.Outline of key establishment using a KEM	図1. KEMを用いた鍵確立の概要
Fig. 2.The IND-CPA security experiment for a KEM Π	図2. KEM Π に対する IND-CPA セキュリティ実験
Fig. 3.The IND-CCA security experiment for a KEM Π	図3. KEM Π に対する IND-CCA セキュリティ実験
Fig. 4.Simple key establishment using a KEM	図4. KEM を使用した簡易鍵確立
Fig. 5.Key-confirmation example with an ephemeral key pair	図5. 一時鍵ペアを用いた鍵確認の例
Fig. 6.KEM PoP between a key-pair owner and CA	図6. 鍵ペア所有者と認証局（CA）間の KEM PoP
Fig. 7.Sending a message using the KEM-DEM paradigm	図7. KEM-DEMパラダイムを用いたメッセージ送信
Fig. 8.Unilateral authenticated key establishment using a KEM	図8. KEMを用いた一方的認証付き鍵確立
Fig. 9.Using a KEM for key establishment with unilateral authentication	図9. 一方的認証付き鍵確立におけるKEMの利用
Fig. 10. Static-ephemeral unilateral authenticated key establishment using KEMs	図10. KEMを用いた静的-一時的鍵を用いた一方的認証付き鍵確立
Fig. 11. Authenticated key establishment using KEMs	図11. KEMを用いた認証付き鍵確立

 

 

 

---

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2025.01.10 米国 NIST SP 800-227（初期公開ドラフト） キーカプセル化メカニズムに関する推奨事項