米国国立標準技術研究所(NIST)は、量子コンピューティング技術に基づく将来のサイバー攻撃に対抗するために設計された最初の3つの暗号化標準を発表した。
米国国立標準技術研究所(NIST)は、システム管理者に対し、できるだけ早く新しいアルゴリズムへの移行を開始するよう促している。”harvest now, decrypt later “とも呼ばれる遡及的復号化戦略で攻撃者から機密情報を守るためには、タイムリーな導入が最も重要だからだ。
背景
量子コンピューティングは、重ね合わせ、干渉、もつれなどの量子力学の原理に基づいており、情報の基本単位として量子ビット(量子ビット)を使用します。
一度に1つの状態(1か0)にしか存在できない2進ビットとは異なり、量子ビットは2つの状態の重ね合わせで存在できる2状態システムであり、同時に両方の状態にあるのと同じである。
量子コンピューティングは、量子ビットのエラー率が高いため、まだ初期の開発段階にある。それでも、スーパーコンピューターが数千年で完了するような計算を、量子プロセッサーが200秒で実行することが実験で示された。
現在の公開鍵暗号は、暗号鍵と復号鍵を生成するために、大きな数の因数分解や離散対数の解法など、特定の数学的問題の難易度に依存している。
既存のコンピューターでは暗号解読に必要な計算を処理できないが、量子コンピューターなら数分で解読できる。
そのため、米国は2022年以降、耐量子暗号の導入に備えるよう各組織に促している[1,2]。
最初のNIST量子標準
NISTは、ほぼ10年前にポスト量子暗号システムのテストと標準化に着手し、量子コンピューティング攻撃に対する耐性について82のアルゴリズムを評価した。
最終的に策定された標準は、以下の3つのアルゴリズムに基づいている:ML-KEM(一般的な暗号化)、ML-DSA(電子署名)、SLH-DSA(バックアップ電子署名)である。
3つの規格の概要は以下の通り:
- FIPS 203
- Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM、以前は “CRYSTALS-Kyber”)、2つの当事者が公開チャネル上で安全に共有秘密鍵を確立できる鍵カプセル化メカニズム。
- MLWE(Module Learning with Errors)問題に基づいており、量子攻撃に対する強力な耐性を備えている。この規格には、セキュリティ強度と性能のバランスをとるための3つのパラメータ・セット(ML-KEM-512、ML-KEM-768、ML-KEM-1024)が含まれており、ポスト量子時代における米国政府の機密通信システムの保護を保証している。
- FIPS 204
- Module-Lattice-Based Digital Signature Algorithm (ML-DSA、旧 “CRYSTALS-Dilithium”)は、MLWE問題に基づき、IDを認証し、メッセージの完全性を保証するために設計されたデジタル署名アルゴリズムです。
- 量子的な脅威に対する安全性を提供し、電子文書や安全な通信などのアプリケーションに適しています。
- FIPS 205
- ステートレスハッシュベースデジタル署名アルゴリズム(SLH-DSA、旧 “Sphincs+”) ステートレスハッシュベースデジタル署名アルゴリズムの指定に使用され、ML-DSA が脆弱であることが判明した場合に ML-DSA の代替となる。
- SLH-DSAは、ハッシュベースのアプローチにより、量子攻撃に対する安全性を確保し、ステートレス運用が望ましいシナリオに最適です。
NISTはシステム管理者に対し、移行には時間がかかるため、これらの新しい暗号化方式の統合を直ちに開始するよう奨励している。
すでに、Google、Signal、Apple、Tuta、Zoomなどの技術リーダーやプライバシー重視の製品ベンダーは、転送中のデータを保護するために、Kyber鍵カプセル化アルゴリズムのようなNISTが承認したポスト量子暗号化標準を実装している。
これらの最終化された標準に加え、NISTは将来バックアップ標準として使用される可能性のある他のアルゴリズムの評価を続けている。
現在選択されているアルゴリズムに対する信頼性は絶対的なものではありません。というのも、本格的な量子コンピューティング・システムがないため、その耐性を調べる実験が実質的に制限されているからです。
Comments