米国国立標準技術研究所(NIST)は今週、将来の量子コンピュータからの攻撃に耐えられるとされる、当初提出された69の耐量子暗号アルゴリズムの中から26を選定したと発表しました。量子コンピュータは現在、RSA、ECC、DH、さらにはAESなど、通信のセキュリティ確保に使用されている既存の暗号化アルゴリズムのほとんどを解読すると予測されています。
2016年、NISTは耐量子暗号アルゴリズムの標準化コンペティションを開始しました。合計69のアルゴリズムが提出され、NISTは現在、標準化の第2ラウンドに進む26のアルゴリズムを選定しています。
NISTが他の類似のコンペティションと比較して異例なほど多くの候補アルゴリズムを選定した理由は主に2つあります。1つは、量子暗号がこれまで私たちが慣れ親しんできた暗号技術とは根本的に異なることです。
2 つ目は、実際にどれがどの程度うまく機能するかがわからないこと、また、提出された候補の大部分がすでに脆弱性を示していることから、NIST はプロセスの早い段階であまり選り好みする余裕がないことです。
NIST はまた、いずれかのセキュリティが向上する可能性がある場合、類似したアルゴリズムを統合することを参加者に推奨しています。
セキュリティよりもパフォーマンスを重視
NIST は、次のラウンドが始まるまでの 12 ~ 18 か月間、参加者にアルゴリズムのパフォーマンスに重点を置くよう奨励しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
モノのインターネット(IoT)の台頭を受け、NISTは最近、「軽量暗号」、つまり「弱い暗号」に注目しています。IoTデバイスは処理能力が不足しており、各デバイスに暗号プロセッサを追加するのはコストがかかりすぎるという考え方です。
そのため、NIST は、デバイス メーカーに対し、PC やスマートフォンで使用されるタイプの暗号化に比べて、IoT デバイス上でパフォーマンスが優れている、より弱い暗号化アルゴリズムを実装することを望んでいます。
NSAは最近、Googleも低性能のAndroidデバイスに実装しようとしていた2つの軽量アルゴリズムを標準化しようと物議を醸しました。しかし、Androidコミュニティからの激しい抗議を受け、Googleは、NSAが推進する軽量アルゴリズムと同等、あるいはそれ以上の性能を持つ一般的な暗号アルゴリズムを開発できることを知りました。
NIST 自体も、スノーデンの暴露後、論争を巻き起こしている。この暴露では、当時 NSA も推進していた明らかにバックドアのあるアルゴリズムを NIST が標準化していたことが発覚した。
NISTは、耐量子アルゴリズムの申請者に対し、セキュリティがより高い可能性のあるアルゴリズムよりも軽量なアルゴリズムに重点を置くよう求めています。今回の議論は、全てではないにせよほとんどの耐量子アルゴリズムが、高い処理能力を必要とし、数メガバイトの鍵サイズで高帯域幅のシステムを必要とするなど、全く根拠がないわけではありません。
量子暗号の導入における最大の障害は、おそらく高い処理能力の要件となるでしょう。
候補者のアルゴリズム
26の候補のほとんどは、格子暗号、コードベース暗号、多変数暗号の3つの異なる暗号ファミリーに分類できます。NISTは、使用目的に基づいて、公開鍵暗号化アルゴリズムと鍵確立アルゴリズム、そしてデジタル署名アルゴリズムの2種類のアルゴリズムを募集しています。
耐量子暗号標準化競争の第 2 ラウンドに参加した 17 個の公開鍵暗号化および鍵確立アルゴリズムは次のとおりです。
- 自転車
- クラシック・マケリース
- クリスタル-カイバー
- フロドKEM
- 本社
- LAC
- LEDAcrypt (LEDAkem/LEDApkc の合併)
- ニューホープ
- NTRU (NTRUEncrypt/NTRU-HRSS-KEM の合併)
- NTRUプライム
- NTS-KEM
- ROLLO(LAKE/LOCKER/Ouroboros-Rの合併)
- Round5(Hila5/Round2の統合)
- RQC
- サーベル
- サイク
- 三匹のクマ
耐量子デジタル署名の候補は次のとおりです。
- 結晶-二リチウム
- ファルコン
- ゲムス
- ルオフ
- MQDSS
- ピクニック
- qテスラ
- 虹
- スフィンクス+
