米国 耐量子暗号連合 (PQCC) 国際的なPQC要件 (2025.07.15)
こんにちは、丸山満彦です。
MITREの 耐量子暗号連合 (PQCC) が、各国のPQC要件を紹介していますね...
韓国と中国が米国とは異なる独自のアルゴリズムを標準化しているようですね...
中国はわかるが...
2030年までは重要インフラ...というのが現実的...
しかし、日本も移行方針を早く示して(今のタイミングでは米国、英国などと同じスピード感でよいのでは...)、暗号を利用している製品やサービスを提供している企業に移行計画を示してもらうということを早めにすることが、まずもって良いのではないかなぁと思ったり...
紹介しそこねた、CRYPTOREC 2024の報告書も下に紹介しておきますね...
● Post-Quantum Cryptography Coalition(PQCC)
・2025.07.15 International PQC Requirements
| International PQC Requirements | 国際的な PQC 要件 |
| This document analyzes international post-quantum cryptography (PQC) requirements. | 本ドキュメントは、国際的な耐量子暗号(PQC)要件について分析したものである。 |
| International government regulatory bodies are defining the quantum-resistance requirements to be followed by technology vendors used in national or government security systems. This document analyzes international post-quantum cryptography (PQC) requirements. It aims to identify alignment and misalignment areas which could pose challenges for international vendor compliance and interoperability. | 国際的な政府規制団体は、国家や政府のセキュリティシステムで使用される技術ベンダーが従うべき量子耐性の要件を定義している。本文書は、国際的なポスト量子暗号(PQC)要件を分析するものである。その目的は、国際的なベンダーのコンプライアンスと相互運用性に課題をもたらす可能性のある、整合性と不整合領域を特定することである。 |
| We surveyed PQC requirements laid out in various country cryptographic requirement documents in order to assess if they align or if their potential misalignments could pose challenges for international vendors that would need to comply with them. The country requirements we surveyed as of May 2025 were ones that had added PQC algorithms in their documents and included CNSA 2.0 (USA), NIST (USA), NCSC (UK), CCCS (Canada), BSI (Germany), NLNCSA (Netherlands), ANSSI (France), EU Commission, ASD (Australia), Norway, New Zealand, Japan, South Korea, UAE, Saudi Arabia, Singapore, and China. Some countries had defined transition plans and recommended quantum-resistant algorithms. Other countries were tracking the new algorithms without prescriptive recommendations. Others, like South Korea and China, had standardized their own algorithms which are not the same algorithms as US NIST’s. Korea’s second round competition resulted in selections of NTRU+ and SMAUG-T as KEMs and ALMer and HAETAE as signatures. China held its competition in 2019-2020 and in February 2025 ICCS called for proposals for commercial application. |
様々な国の暗号要件文書に記載されている PQC 要件を調査し、それらの要件が整合しているかどうか、またそれらの要件に準拠する必要がある国際的なベンダーにとって、潜在的な不整合が課題をもたらす可能性があるかどうかを評価した。2025年5月時点で調査した国別要件は、文書にPQCアルゴリズムを追加しているもので、CNSA 2.0(米国)、NIST(米国)、NCSC(英国)、CCCS(カナダ)、BSI(ドイツ)、NLNCSA(オランダ)、ANSSI(フランス)、EU委員会、ASD(オーストラリア)、ノルウェー、ニュージーランド、日本、韓国、UAE、サウジアラビア、シンガポール、中国が含まれる。移行計画を定め、量子抵抗性アルゴリズムを推奨している国もあった。また、明確な推奨なしに新しいアルゴリズムを追跡している国もあった。韓国や中国のように、米国NISTのアルゴリズムとは異なる独自のアルゴリズムを標準化している国もあった。韓国の第2ラウンドでは、KEMとしてNTRU+とSMAUG-T、署名としてALMerとHAETAEが選ばれた。中国は2019-2020年にコンペを開催し、2025年2月にICCSは商用アプリケーションの提案を募集した。 |
| Recently, there also have been some updates regarding migration timelines. NIST came up with their initial algorithm transition document draft which sets the deprecation of classical asymmetric algorithms in 2030 and disallows them after 2035. NCSC set the year for transitioning important use-cases as 2031 and 2035 for the others. Australia’s ASD set the transition year as 2030. EU member states, on the other hand, came up with their own roadmap which requires a transition for important use-cases before 2030 and as many as possible before 2035. | 最近も、移行スケジュールに関するアップデートがあった。NISTは、古典的な非対称アルゴリズムを2030年に非推奨とし、2035年以降は非推奨とする最初のアルゴリズム移行文書ドラフトを発表した。NCSCは、重要なユースケースの移行時期を2031年とし、その他は2035年としている。オーストラリアのASDは2030年を移行年としている。一方、EU加盟国は独自のロードマップを策定し、重要なユースケースについては2030年以前、可能な限り多くのユースケースについては2035年以前に移行することを求めている。 |
| In more detail, there were misalignments regarding approved quantum-resistant KEMs by various national requirements. NIST standardized ML-KEM and has announced they will standardize HQC from Round 4. CNSA 2.0 recommends ML-KEM’s Level 5 variant only (ML-KEM-1024) for use in US National Security Systems (NSS). NCSC UK recommends ML-KEM-768 (Level 3). BSI Germany recommends FrodoKEM-976 and FrodoKEM-1344, mceliece460896, mceliece6688128 and mceliece8192128. BSI also announced they will include ML-KEM-768 and ML-KEM-1024 in their recommendations after ML-KEM is standardized by NIST. ANSSI France recommends ML-KEM-768 or ML-KEM-1024 and FrodoKEM as a conservative option. NLNCSA Netherlands recommends ML-KEM-1024 and considers ML-KEM-768, and accepts Classic McEliece and FrodoKEM. Norway recommends ML-KEM-1024 and ML-KEM-768. Spain recommends ML-KEM and FrodoKEM. The Czech Republic recommends ML-KEM-1024 and ML-KEM-768, FrodoKEM, and Classic McEliece. Australia recommends ML-KEM-1024 (ML-KEM-768 is acceptable until 2030). | より詳細には、承認された耐量子KEMに関して、様々な国家要件による不整合があった。NIST は ML-KEM を標準化し、ラウンド 4 から HQC を標準化すると発表した。CNSA 2.0 は、ML-KEM のレベル 5 バリアント(ML-KEM-1024)のみを米国国家安全保障シス テム(NSS)での使用に推奨している。NCSC UK は ML-KEM-768 (レベル 3)を推奨している。BSIドイツは、FrodoKEM-976、FrodoKEM-1344、mceliece460896、mceliece6688128、mceliece8192128を推奨している。BSIはまた、ML-KEMがNISTによって標準化された後、ML-KEM-768とML-KEM-1024を推奨に含めると発表した。ANSSI France は、ML-KEM-768 または ML-KEM-1024 と FrodoKEM を保守的な選択肢として推奨している。NLNCSA オランダは、ML-KEM-1024 を推奨し、ML-KEM-768 を考慮、Classic McEliece と FrodoKEM を受け入れる。ノルウェーはML-KEM-1024とML-KEM-768を推奨する。 スペインはML-KEMとFrodoKEMを推奨する。チェコ共和国は、ML-KEM-1024とML-KEM-768、FrodoKEM、Classic McElieceを推奨している。オーストラリアはML-KEM-1024を推奨する(2030年まではML-KEM-768も可)。 |
| In summary, as of May 2025, some country PQC requirements endorse FrodoKEM and Classical McEliece whereas most endorse a parameter of ML-KEM. Requiring vendors to support and certify implementations of three or four KEMs to comply with certain requirements would introduce overhead for implementers. Fortunately, all surveyed country PQC requirements which align with NIST algorithms generally recommend some variant of ML-KEM which means that vendors have one KEM to implement as a common denominator. Note that a limited set of countries like China or South Korea ran their own PQC projects, which means they ended up requiring completely different KEMs. | まとめると、2025年5月現在、一部の国のPQC要件はFrodoKEMとClassical McElieceを推奨しているが、ほとんどの国はML-KEMのパラメータを推奨している。特定の要件に準拠するために、ベンダーに3つまたは4つのKEMの実装をサポートし認証することを要求することは、実装者にとってオーバーヘッドとなる。幸いなことに、NIST のアルゴリズムと整合する調査対象国の PQC 要件はすべて、一般的に ML-KEM の一種を推奨している。中国や韓国のような限られた国々は、独自の PQC プロジェクトを実施した。 |
| There were less misalignments regarding general quantum-resistant signature algorithms, but there are more options. The IETF has already standardized Stateful Hash-Based Signatures (HBS) LMS and XMSS. NIST standardized ML-DSA, FN-DSA and SLH-DSA and will probably standardize one more signature after Round 4. CNSA 2.0 recommends the Level 5 parameter of ML-DSA, ML-DSA-87 as a general signature, and single-tree LMS/XMSS for firmware signing. It is not planning to recommend SLH-DSA. NCSC UK recommends ML-DSA-65, SLH-DSA and LMS/XMSS. BSI Germany recommends SLH-DSA or ML-DSA Levels 3 and 5 and LMS/XMSS in their multi-tree variants for long-term signatures. ANSSI France recommends ML-DSA, FN-DSA Level 3 and 5, SLH-DSA and LMS/XMSS. NLNCSA Netherlands recommends ML-DSA-87 (ML-DSA-65 is acceptable), SLH-DSA as well as LMS/XMSS and HSS. Norway recommends ML-DSA-65, ML-DSA-87, SLH-DSA as well as LMS/XMSS. Spain recommends ML-DSA and SLH-DSA, and XMSS. The Czech Republic approves the usage of ML-DSA-87, FN-DSA and SLH-DSA as well as LMS/XMSS. Australia recommends, ML-DSA-87 (ML-DSA-65 is acceptable until 2030). | 一般的な量子耐性署名アルゴリズムに関しては、不整合は少なかったが、選択肢は多い。IETFはすでにステートフルハッシュベース署名(HBS)のLMSとXMSSを標準化している。NISTはML-DSA、FN-DSA、SLH-DSAを標準化し、ラウンド4の後にもう1つ標準化する予定である。CNSA 2.0は、ML-DSAのレベル5パラメータ、一般的な署名としてのML-DSA-87、ファームウェア署名用のシング ルツリーLMS/XMSSを推奨している。SLH-DSA を推奨する予定はない。NCSC UK は、ML-DSA-65、SLH-DSA、LMS/XMSS を推奨している。BSIドイツは、長期署名用にSLH-DSA、MLH-DSAレベル3および5、LMS/XMSSのマルチツリーを推奨している。ANSSIフランスは、MLH-DSA、FN-DSAレベル3および5、SLH-DSA、LMS/XMSSを推奨する。NLNCSA オランダはML-DSA-87(ML-DSA-65も可)、SLH-DSA、LMS/XMSS、HSSを推奨する。ノルウェーはML-DSA-65、ML-DSA-87、SLH-DSA、LMS/XMSSを推奨する。スペインはML-DSA、SLH-DSA、XMSSを推奨している。 チェコ共和国は、LMS/XMSSと同様に、ML-DSA-87、FN-DSA、SLH-DSAの使用を承認している。オーストラリアはML-DSA-87を推奨している(ML-DSA-65は2030年まで許容)。 |
| In summary, international recommendations include some parameter of the NIST signatures and Stateful HBS. CNSA 2.0 and NCSC consider HBS signatures more appropriate for firmware/software signing; CNSA 2.0 recommends LMS/XMSS for software/firmware signing, but other international recommendations do not distinguish between firmware and general signing. ML-DSA, SLH-DSA and/or LMS/XMSS (single or multi-tree) are the common denominator from these recommendations (except for CNSA 2.0 not recommending SLH-DSA). Given that the options are three, endorsing all these schemes introduces flexibility and complexity for vendors who still need to converge on signature algorithms with their pros and cons for their use-cases and compliance requirements. For example, vendors compelled to support LMS/XMSS for CNSA 2.0 will have to deal with state management concerns of Stateful Signatures. As another example, a vendor wanting to avoid the state management risk could choose SLH-DSA, but then it would not be able to comply with CNSA 2.0. Another challenge is how regulating bodies are expecting to verify that the signer is not reusing state in stateful HBS. NIST SP 800-208 introduces requirements for ensuring these signatures are properly used but creates further challenges for signers that want to comply. Hardware Security Module vendors have brought up the issue with NIST in various fora. NIST is currently considering options, but generally managing state and providing flexibility for compliance is not trivial. | まとめると、国際的な勧告には、NIST署名とステートフルHBSのいくつかのパラメータが含まれている。CNSA 2.0とNCSCは、HBS署名がファームウェア/ソフトウェア署名に適していると考えている。CNSA 2.0は、ソフトウェア/ファームウェア署名にLMS/XMSSを推奨しているが、他の国際勧告はファームウェア署名と一般的な署名を区別していない。ML-DSA、SLH-DSAおよび/またはLMS/XMSS(シングルまたはマルチツリー)が、これら の勧告に共通するものである(CNSA 2.0がSLH-DSAを推奨していないことを除く)。選択肢が3つであることを考えると、これらすべての方式を推奨することは、ベンダーに柔軟性と複雑性をもたらす。ベンダーは、それぞれのユースケースとコンプライアンス要件に対して、長所と短所を備えた署名アルゴリズムに収束する必要がある。例えば、CNSA 2.0のためにLMS/XMSSをサポートせざるを得ないベンダーは、ステートフル署名の状態管理に関する懸念に対処しなければならない。別の例として、ステートマネジメントのリスクを回避したいベンダーはSLH-DSAを選択できるが、そうするとCNSA 2.0に準拠できなくなる。もう一つの課題は、ステートフルHBSで署名者がステートを再利用していないことを、 規制団体がどのように検証することを期待しているかということである。NIST SP 800-208は、これらの署名が適切に使用されていることを保証するための要件を導入しているが、準拠を望む署名者にとってはさらなる課題が生じる。ハードウェア・セキュリティ・モジュールのベンダーは、さまざまな場でこの問題をNISTに提 起した。NISTは現在、選択肢を検討しているが、一般的に状態を管理し、コンプライアンスに柔軟性を持たせることは容易ではない。 |
| When it comes to PQ hybrid key exchange, there was mostly alignment in the surveyed country requirements. NIST approves it for FIPS in SP 800-56C (Section 2), with possible updates/clarifications coming with the finalization of NIST SP 800-227. CNSA 2.0 tolerates hybrid only for cases where the standard cannot support pure PQ. NCSC UK accepts PQ hybrids as an “interim measure” but recommends pure. BSI Germany and ANSSI France recommend hybrid key exchange as well. NLNCSA Netherlands also makes recommendations for hybrids. Similarly, for the European commission documentation. In summary, deploying hybrid key exchange is acceptable with requirements with the exception of CNSA 2.0. | PQハイブリッド鍵交換に関しては、調査対象国の要件はほぼ一致している。NISTは、SP 800-56C(セクション2)において、FIPS向けにこれを承認しているが、 NIST SP 800-227の最終化により、更新や明確化が行われる可能性がある。CNSA 2.0は、標準が純粋なPQをサポートできない場合に限り、ハイブリッドを容認する。NCSC UKはPQハイブリッドを 「暫定措置 」として容認しているが、純粋なものを推奨している。BSIドイツとANSSIフランスも同様にハイブリッド鍵交換を推奨している。オランダのNLNCSAもハイブリッドを推奨している。欧州委員会の文書も同様である。まとめると、ハイブリッド鍵交換の展開は、CNSA 2.0を除く要件で許容される。 |
| Requirements did not fully align regarding PQ hybrid signatures. US NIST will standardized three PQ signatures and will standardize one more after Round 4, but has not recommended or rejected hybrid signatures. CNSA 2.0 recommends only pure PQ signing. NCSC UK “prefers” pure PQ signatures over an interim hybrid PQ approach and recommends a flexible transition if hybrid is chosen. BSI Germany requires hybrid signatures unless they are HBS which can be used on their own. The same applies to ANSSI France recommendations. NLNCSA Netherlands recommends hybridization in general. EU Commission recognizes there “may” be a need for hybridization. Thus, some countries (mostly in Europe) require hybrid signatures except for HBS, whereas NCSC and NSA recommend against hybrid signatures. They recognize that hybrid signatures would mean two PKI migrations which is not trivial. | PQハイブリッド署名に関しては、要件が完全に一致していない。米国NISTは3つのPQ署名を標準化し、ラウンド4後にさらに1つ標準化する予定だが、 ハイブリッド署名を推奨も拒否もしていない。CNSA 2.0は純粋なPQ署名のみを推奨している。NCSC UKは、暫定的なハイブリッドPQ方式よりも純粋なPQ署名を「好み」、ハイブリッドが選択され た場合は柔軟な移行を推奨している。BSIドイツは、単独で使用できるHBSでない限り、ハイブリッド署名を要求している。ANSSIフランスの勧告も同様である。NLNCSA オランダは一般的にハイブリッド化を推奨している。EU委員会は、ハイブリッド化の必要性が「あるかもしれない」と認識している。したがって、一部の国(主にヨーロッパ)はHBSを除いてハイブリッド署名を要求しているが、NCSCとNSAはハイブリッド署名を推奨していない。彼らは、ハイブリッド署名は2つのPKI移行を意味し、それは些細なことではないと認識している。 |
| There were some misalignments regarding the quantum resistance of hash functions in the surveyed requirements. NIST still recommends SHA-256 or higher. CNSA 2.0 requires SHA-384 and SHA-512. ANSSI requires SHA-384. BSI Germany and NCSC UK consider SHA-256 secure. So, there is misalignment on the PQ security of hash functions. Some countries are more conservative than others. Generally, SHA-256 and SHA-384 are of the SHA2 family and are generally supported in implementations and standards. Thus, these requirements do not pose significant challenges for vendors that would need to comply except for some special use-cases. | 調査された要求事項の中で、ハッシュ関数の量子耐性に関していくつかの不整合があった。NIST は依然として SHA-256 以上を推奨している。CNSA 2.0 は SHA-384 および SHA-512 を要求している。ANSSIはSHA-384を要求している。ドイツBSIと英国NCSCはSHA-256を安全と考えている。つまり、ハッシュ関数のPQ安全性にはズレがある。一部の国は他の国よりも保守的である。一般的に、SHA-256とSHA-384はSHA2ファミリーに属し、実装や標準では一般的にサポートされている。したがって、これらの要件は、一部の特殊なユースケースを除けば、準拠する必要のあるベンダーにとって大きな課題とはならない。 |
| There were some misalignments regarding AES sizes as well. US NIST considers AES-128 secure for years to come even if a cryptanalytically-relevant quantum computer became a reality. CNSA 2.0 has been requiring AES-256 even before the quantum computing risk. NCSC UK considers AES-128 secure. BSI Germany recommends AES-128 as well. ANSSI France recommends AES-256. So, as in the previous cases, for AES some countries are more conservative than others. Although there is misalignment with requirements regarding symmetric encryption, AES-256 and AES-128 are available in almost all implementations and standards. Thus, these misalignments do not pose significant challenges for vendors that would need to comply except for some special use-cases. | AESのサイズに関しても、いくつかの不一致があった。米国NISTは、暗号解読に関連する量子コンピュータが現実のものとなったとしても、AES-128は今後数年間は安全であると考えている。CNSA 2.0は、量子コンピュータのリスク以前からAES-256を要求している。NCSC UKはAES-128を安全だと考えている。ドイツBSIもAES-128を推奨している。ANSSIフランスはAES-256を推奨している。つまり、これまでのケースと同様、AESに関しては、ある国の方が他の国よりも保守的なのである。対称暗号化に関する要件とのズレはあるが、AES-256とAES-128は、ほとんどすべての実装と標準において利用可能である。したがって、これらのズレは、一部の特殊なユースケースを除き、準拠する必要のあるベンダーにとって大きな課題とはならない。 |
・2025.07.22 CRYPTREC Report 2024の公開
・・[PDF] CRYPTREC Report 2024 暗号技術評価委員会報告
・・[PDF] CRYPTREC Report 2024 暗号技術活用委員会報告
耐量子暗号関係...
● まるちゃんの情報セキュリティ気まぐれ日記
日本...
・2025.04.08 日本銀行 金融高度化センター設立20周年記念ワークショップ「デジタル化とわが国の金融の未来」 (2025.02.13)
株式会社みずほフィナンシャルグループ グループ執行役員 (CISO)の寺井さんが、「耐量子計算機暗号(PQC)と金融機関の対応について」を発表しています...
・2025.04.03 CRYPTREC 暗号技術ガイドライン(耐量子計算機暗号)2024年度版、耐量子計算機暗号の研究動向調査報告書 (2025.04.02)
・2024.11.30 金融庁 預金取扱金融機関の耐量子計算機暗号への対応に関する検討会報告書 (2024.11.26)
・2024.10.25 政府認証基盤 (GPKI) 政府認証基盤相互運用性仕様書(移行期間編)と移行完了編) (2024.10.11)
・2024.09.16 金融庁 「預金取扱金融機関の耐量子計算機暗号への対応に関する検討会」(第1回)議事要旨 (会議は2024.07.18)
・2023.09.29 日本銀行金融研究所 量子コンピュータが暗号に及ぼす影響にどう対処するか:海外における取組み
米国 NIST他
・2025.05.26 米国 耐量子暗号連合 (PQCC) 耐量子暗号への移行についてのロードマップ (2025.05.16)
・2025.03.14 米国 NIST 第5の耐量子暗号化のアルゴリズムとしてHQCを選択 (2025.03.11)
・2025.03.14 米国 NIST IR 8545 NISTの耐量子暗号標準化プロセスの第4ラウンドに関する現状報告書
・2025.03.11 米国 NIST CSWP 39(初期公開ドラフト) 暗号化の機敏性を実現するための考慮事項:戦略と実践
・2025.01.10 米国 NIST SP 800-227(初期公開ドラフト) キーカプセル化メカニズムに関する推奨事項
・2024.11.16 米国 NIST IR 8547(初期公開ドラフト) 耐量子暗号標準への移行について
・2024.11.03 米国 NIST IR 8528 耐量子暗号標準化プロセスにおける追加デジタル署名スキームの第一ラウンドに関する状況報告書
・2024.08.14 米国 NIST 耐量子暗号化標準の最初の3つ (FIPS 203, 204, 205) を確定
・2023.12.22 NIST SP 1800-38(初期ドラフト)耐量子暗号への移行: 量子安全暗号の実装と採用を検討するための準備
・2023.08.22 米国 CISA NSA NIST 量子対応:耐量子暗号への移行
・2022.10.02 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告(参考文献の追加)
・2022.07.07 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告
英国
・2025.03.21 英国 NSCS 耐量子暗号への移行スケジュールを発表 (2025.03.20)
ENISA
・2022.10.21 ENISA ポスト量子暗号 - 統合研究
Recent Comments