利用者:うぃき野郎/下書き

暗号学において、ポスト量子暗号（PQC）（quantum-proof、quantum-safe、quantum-resistantと呼ばれることもある）とは、量子コンピュータによる暗号解読攻撃に対して安全であると考えられる暗号アルゴリズム（通常は公開鍵アルゴリズム）を指す。現在普及しているアルゴリズムの問題点は、その安全性が3つの難解な数学的問題、素因数分解問題、離散対数問題、楕円曲線離散対数問題のいずれかに依存していることである。これらの問題はすべて、ショールのアルゴリズムを実行する十分に強力な量子コンピューターで簡単に解くことができる。^[1][2]

現在の量子コンピュータには、実際の暗号アルゴリズムを破る処理能力がないにもかかわらず^[3]、多くの暗号技術者は、量子コンピュータが脅威となる時代に備えて、新しいアルゴリズムを設計している。この研究は、2006年以降のPQCryptoカンファレンスシリーズや、最近では欧州電気通信標準化機構（ETSI）と量子コンピューティング研究所が主催する量子安全暗号に関する複数のワークショップを通じて、学術界や産業界から大きな注目を集めている^[4][5][6]。また、現在記録されているデータが何年も先の未来にも機密性を保持したままである可能性があるため、「今収穫し、後で解読する」プログラムが広く普及しているという噂も、ポスト量子アルゴリズムを早期に導入する動機と考えられている^[7][8]。

量子コンピュータが現在の公開鍵アルゴリズムに脅威を与えているのとは対照的に、現在の対称暗号アルゴリズムやハッシュ関数のほとんどは、量子コンピュータによる攻撃に対して比較的安全であると考えられている^[2][9]。量子グローバーのアルゴリズムは対称暗号に対する攻撃を高速化するが、鍵サイズを2倍にすることでこれらの攻撃を効果的にブロックすることができる^[10]。したがって、ポスト量子対称暗号は、現在の対称暗号と大きく異なる必要はない。

アルゴリズム[編集]

現在、ポスト量子暗号の研究は、主に以下の6つのアプローチに集中している^[2][5]。

格子ベースの暗号[編集]

このアプローチには、誤りあり学習、誤りありリング学習（ring-LWE）^[11][12][13]、誤りありリング学習鍵交換、誤りありリング学習署名、古いNTRU暗号化方式やGGH暗号化方式、新しいNTRU署名やBLISS署名などの暗号方式が含まれる ^[14]。NTRU暗号のようなこれらのスキームのいくつかは、誰も実現可能な攻撃を見つけることなく長年研究されてきた。^[15] 欧州委員会主催のポスト量子暗号研究グループは、NTRUアルゴリズムではなく、NTRUのStehle-Steinfeld変種を標準化のために研究することを提案した。 ^[16][17]当時、NTRUはまだ特許を取得していた。研究では、NTRUは他の格子ベースのアルゴリズムよりも安全な特性を持つ可能性が指摘されている。^[18]

多変量暗号[編集]

これには、多変数方程式の連立方程式を解くことの難しさを利用したRainbow（en:Unbalanced Oil and Vinegar）スキームなどの暗号システムも含まれる。安全な多変数方程式の暗号化方式を構築する様々な試みは失敗している。^[19]レインボー署名方式には特許がある。

ハッシュベース暗号[編集]

これにはLamport署名、Merkle署名、XMSS ^[20]、SPHINCS^[21]、WOTSスキームなどの暗号システムが含まれる。ハッシュベースの電子署名は1970年代後半にRalph Merkleによって開発され、それ以来RSAやDSAのような数論的な電子署名に代わるものとして研究されてきた。 その主な欠点は、どのようなハッシュベースの公開鍵に対しても、対応する秘密鍵のセットを使って署名できる署名の数に制限があることである。 この事実により、量子コンピュータによる攻撃に耐性のある暗号が求められるようになるまで、これらの署名への関心は低下していた。 Merkle署名スキームに関する特許は存在しないようであり^[要出典]、これらのスキームで使用できる非特許のハッシュ関数が多数存在する。Johannes Buchmannの指導の下、研究者チームによって開発されたステートフルハッシュベースの署名スキームXMSSはRFC 8391に記述されている^[22]。 上記のスキームはすべてワンタイムまたは時間に紐付けられた署名であることに注意が必要である。Moni NaorとMoti Yungは1989年にUOWHFハッシュを発明し、ハッシュに基づく署名（Naor-Yung方式）を設計した^[23] これは時間無制限で使用することができる（トラップドア・プロパティを必要としない最初の署名）。

コードベース暗号[編集]

これには、McEliece暗号アルゴリズムやNiederreiter暗号アルゴリズム、関連するCourtois, Finiasz and Sendrier署名スキームなど、誤り訂正符号に依存する暗号システムが含まれる。ランダムなGoppaコードを使ったオリジナルのMcEliece署名は、40年以上にわたって精査に耐えてきた^[24]。欧州委員会が主催するポスト量子暗号研究グループは、量子コンピュータによる攻撃に対する長期的な防御の候補としてMcEliece公開鍵暗号システムを推奨している。

同種写像暗号[編集]

これらの暗号システムは、有限体上の楕円曲線（および高次元のabelian varieties）の同質性グラフ、特に超特異同質性グラフの性質を利用して暗号システムを構築している。この分野の代表的なものとしてDiffie-Hellmanに似た鍵交換CSIDHがよく知られているが、これは今日広く使われているDiffie-Hellman鍵交換や楕円曲線Diffie-Hellman鍵交換の量子的耐性に優れた置き換えとして機能し、 ^[25]と署名スキームSQISignは超特異楕円曲線と特定の型の四元代数における最大次数との間の範疇的等価性に基づいている。 ^[26]もう1つの広く注目された構築、[[Supersingular isogeny key exchange|SIDH/SIKE]は2022年に見事に破られた。 ^[27]しかし、この攻撃はSIDH/SIKEファミリーのスキームに特有であり、他の同質性に基づく構成には一般化しない^[28][29]。

対称鍵の抗量子性[編集]

十分に大きな鍵サイズを使用するのであれば、AES やSNOW 3Gのような共通鍵暗号システムは、量子コンピュータによる攻撃に対してすでに耐性がある^[30]。さらに、Kerberos や3GPP Mobile Network Authentication Structure のような公開鍵暗号の代わりに共通鍵暗号を使用する鍵管理システムやプロトコルも、量子コンピュータによる攻撃に対して本質的に安全である。 また、Kerberosや3GPPモバイルネットワーク認証構造のようなKerberosや3GPPモバイルネットワーク認証構造のようなKerberosや3GPPモバイルネットワーク認証構造のようなKerberosや3GPPモバイルネットワーク認証構造のような3GPPモバイルネットワーク認証構造は、量子コンピュータによる攻撃に対して本質的に安全である。

セキュリティの低減[編集]

暗号研究において、暗号化アルゴリズムと既知の難解な数学問題の等価性を証明することが望まれる。このような証明はしばしば「セキュリティの低減」と呼ばれ、暗号化アルゴリズムをクラックすることの困難性を示すために使用される。換言すれば、与えられた暗号化アルゴリズムの安全性は、既知の難問の安全性に還元される。研究者たちは、ポスト量子暗号の実現に向けて、セキュリティの低減を積極的に模索している。現在の成果を以下に示す：

格子ベース暗号 - Ring-LWE署名[編集]

Ring-LWEのいくつかのバージョンでは、セキュリティの低減として格子における最短ベクトル問題（SVP）がある。SVPはNP困難であることが知られている[32]。証明可能なセキュリティの低減を持つ特定のRing-LWEシステムには、Güneysu、Lyubashevsky、Pöppelmannによる論文で定義されたLyubashevskyのRing-LWE署名の変形が含まれる[13]。GLYPH署名スキームは、2012年のGLP署名の発表後に生まれた研究成果を考慮したGüneysu、Lyubashevsky、Pöppelmann（GLP）署名の変形である。もう一つのRing-LWE署名はRing-TESLAである[33]。また、LWR（Learning with Rounding）と呼ばれるLWEの「非ランダム化された変種」も存在し、これは「（決定論的誤差を持つガウス分布のような分布から小さな誤差をサンプリングすることを排除することによって）速度向上と帯域幅の改善」をもたらす[34]。

ラティスベースの暗号化–NTRU、BLISS[編集]

NTRU暗号方式とBLISS^[14] 署名の安全性は、格子における最近接ベクトル問題 (CVP) に関連していると考えられるが,証明可能ではない。CVPはNPハードであることが知られている。欧州委員会が後援するポスト量子暗号研究グループは、オリジナルのNTRUアルゴリズムの代わりに、セキュリティが低下するNTRUのStehle–Steinfeldバリアントを長期的に使用するために研究することを提案した。^[16]

Multivariate cryptography – Unbalanced Oil and Vinegar[編集]

Unbalanced Oil and Vinegar signature schemes are asymmetric cryptographic primitives based on multivariate polynomials over a finite field ${\displaystyle \mathbb {F} }$. Bulygin, Petzoldt and Buchmann have shown a reduction of generic multivariate quadratic UOV systems to the NP-Hard Multivariate Quadratic Equation Solving problem.^[31]

Hash-based cryptography – Merkle signature scheme[編集]

In 2005, Luis Garcia proved that there was a security reduction of Merkle Hash Tree signatures to the security of the underlying hash function. Garcia showed in his paper that if computationally one-way hash functions exist then the Merkle Hash Tree signature is provably secure.^[32]

Therefore, if one used a hash function with a provable reduction of security to a known hard problem one would have a provable security reduction of the Merkle tree signature to that known hard problem.^[33]

The Post Quantum Cryptography Study Group sponsored by the European Commission has recommended use of Merkle signature scheme for long term security protection against quantum computers.^[16]

Code-based cryptography – McEliece[編集]

The McEliece Encryption System has a security reduction to the Syndrome Decoding Problem (SDP). The SDP is known to be NP-hard^[34] The Post Quantum Cryptography Study Group sponsored by the European Commission has recommended the use of this cryptography for long term protection against attack by a quantum computer.^[16]

Code-based cryptography – RLCE[編集]

In 2016, Wang proposed a random linear code encryption scheme RLCE^[35] which is based on McEliece schemes. RLCE scheme can be constructed using any linear code such as Reed-Solomon code by inserting random columns in the underlying linear code generator matrix.

Supersingular elliptic curve isogeny cryptography[編集]

Security is related to the problem of constructing an isogeny between two supersingular curves with the same number of points. The most recent investigation of the difficulty of this problem is by Delfs and Galbraith indicates that this problem is as hard as the inventors of the key exchange suggest that it is.^[36] There is no security reduction to a known NP-hard problem.

Comparison[編集]

One common characteristic of many post-quantum cryptography algorithms is that they require larger key sizes than commonly used "pre-quantum" public key algorithms. There are often tradeoffs to be made in key size, computational efficiency and ciphertext or signature size. The table lists some values for different schemes at a 128 bit post-quantum security level.

Algorithm	Type	Public Key	Private Key	Signature
NTRU Encrypt[37]	Lattice	7002766250000000000♠766.25 B	7002842875000000000♠842.875 B
Streamlined NTRU Prime[要出典]	Lattice	7002154000000000000♠154 B
Rainbow[38]	Multivariate	7005124000000000000♠ 124 KB||7004950000000000000♠ 95 KB||
SPHINCS[21]	Hash Signature	7003100000000000000♠ 1 KB||7003100000000000000♠ 1 KB||7004410000000000000♠ 41 KB
SPHINCS+[39]	Hash Signature	7001320000000000000♠32 B	7001640000000000000♠64 B	7003800000000000000♠ 8 KB
BLISS-II	Lattice	7003700000000000000♠ 7 KB||7003200000000000000♠ 2 KB||7003500000000000000♠ 5 KB
GLP-Variant GLYPH Signature[12][40]	Ring-LWE	7003200000000000000♠ 2 KB||7002400000000000000♠ 0.4 KB||7003180000000000000♠ 1.8 KB
NewHope[41]	Ring-LWE	7003200000000000000♠ 2 KB||7003200000000000000♠ 2 KB||
Goppa-based McEliece[16]	Code-based	7006100000000000000♠ 1 MB||7004115000000000000♠ 11.5 KB||
Random Linear Code based encryption[42]	RLCE	7005115000000000000♠ 115 KB||7003300000000000000♠ 3 KB||
Quasi-cyclic MDPC-based McEliece[43]	Code-based	7003123200000000000♠1,232 B	7003246400000000000♠2,464 B
SIDH[44]	Isogeny	7002564000000000000♠564 B	7001480000000000000♠48 B
SIDH (compressed keys)[45]	Isogeny	7002330000000000000♠330 B	7001480000000000000♠48 B
3072-bit Discrete Log	not PQC	7002384000000000000♠384 B	7001320000000000000♠32 B	7001960000000000000♠96 B
256-bit Elliptic Curve	not PQC	7001320000000000000♠32 B	7001320000000000000♠32 B	7001650000000000000♠65 B

A practical consideration on a choice among post-quantum cryptographic algorithms is the effort required to send public keys over the internet. From this point of view, the Ring-LWE, NTRU, and SIDH algorithms provide key sizes conveniently under 1KB, hash-signature public keys come in under 5KB, and MDPC-based McEliece takes about 1KB. On the other hand, Rainbow schemes require about 125KB and Goppa-based McEliece requires a nearly 1MB key.

Lattice-based cryptography – LWE key exchange and Ring-LWE key exchange[編集]

The fundamental idea of using LWE and Ring LWE for key exchange was proposed and filed at the University of Cincinnati in 2011 by Jintai Ding. The basic idea comes from the associativity of matrix multiplications, and the errors are used to provide the security. The paper^[46] appeared in 2012 after a provisional patent application was filed in 2012.

In 2014, Peikert^[47] presented a key transport scheme following the same basic idea of Ding's, where the new idea of sending additional 1 bit signal for rounding in Ding's construction is also utilized. For somewhat greater than 128 bits of security, Singh presents a set of parameters which have 6956-bit public keys for the Peikert's scheme.^[48] The corresponding private key would be roughly 14,000 bits.

In 2015, an authenticated key exchange with provable forward security following the same basic idea of Ding's was presented at Eurocrypt 2015,^[49] which is an extension of the HMQV^[50] construction in Crypto2005. The parameters for different security levels from 80 bits to 350 bits, along with the corresponding key sizes are provided in the paper.^[49]

Lattice-based cryptography – NTRU encryption[編集]

For 128 bits of security in NTRU, Hirschhorn, Hoffstein, Howgrave-Graham and Whyte, recommend using a public key represented as a degree 613 polynomial with coefficients ${\displaystyle {\bmod {\left(2^{10}\right)}}}$. This results in a public key of 6130 bits. The corresponding private key would be 6743 bits.^[37]

Multivariate cryptography – Rainbow signature[編集]

For 128 bits of security and the smallest signature size in a Rainbow multivariate quadratic equation signature scheme, Petzoldt, Bulygin and Buchmann, recommend using equations in ${\displaystyle \mathbb {F} _{31}}$ with a public key size of just over 991,000 bits, a private key of just over 740,000 bits and digital signatures which are 424 bits in length.^[38]

Hash-based cryptography – Merkle signature scheme[編集]

In order to get 128 bits of security for hash based signatures to sign 1 million messages using the fractal Merkle tree method of Naor Shenhav and Wool the public and private key sizes are roughly 36,000 bits in length.^[51]

Code-based cryptography – McEliece[編集]

For 128 bits of security in a McEliece scheme, The European Commissions Post Quantum Cryptography Study group recommends using a binary Goppa code of length at least ${\displaystyle n=6960}$ and dimension at least ${\displaystyle k=5413}$, and capable of correcting ${\displaystyle t=119}$ errors. With these parameters the public key for the McEliece system will be a systematic generator matrix whose non-identity part takes ${\displaystyle k\times (n-k)=8373911}$ bits. The corresponding private key, which consists of the code support with ${\displaystyle n=6960}$ elements from ${\displaystyle GF(2^{13})}$ and a generator polynomial of with ${\displaystyle t=119}$ coefficients from ${\displaystyle GF(2^{13})}$, will be 92,027 bits in length^[16]

The group is also investigating the use of Quasi-cyclic MDPC codes of length at least ${\displaystyle n=2^{16}+6=65542}$ and dimension at least ${\displaystyle k=2^{15}+3=32771}$, and capable of correcting ${\displaystyle t=264}$ errors. With these parameters the public key for the McEliece system will be the first row of a systematic generator matrix whose non-identity part takes ${\displaystyle k=32771}$ bits. The private key, a quasi-cyclic parity-check matrix with ${\displaystyle d=274}$ nonzero entries on a column (or twice as much on a row), takes no more than ${\displaystyle d\times 16=4384}$ bits when represented as the coordinates of the nonzero entries on the first row.

Barreto et al. recommend using a binary Goppa code of length at least ${\displaystyle n=3307}$ and dimension at least ${\displaystyle k=2515}$, and capable of correcting ${\displaystyle t=66}$ errors. With these parameters the public key for the McEliece system will be a systematic generator matrix whose non-identity part takes ${\displaystyle k\times (n-k)=1991880}$ bits.^[52] The corresponding private key, which consists of the code support with ${\displaystyle n=3307}$ elements from ${\displaystyle GF(2^{12})}$ and a generator polynomial of with ${\displaystyle t=66}$ coefficients from ${\displaystyle GF(2^{12})}$, will be 40,476 bits in length.

Supersingular elliptic curve isogeny cryptography[編集]

For 128 bits of security in the supersingular isogeny Diffie-Hellman (SIDH) method, De Feo, Jao and Plut recommend using a supersingular curve modulo a 768-bit prime. If one uses elliptic curve point compression the public key will need to be no more than 8x768 or 6144 bits in length.^[53] A March 2016 paper by authors Azarderakhsh, Jao, Kalach, Koziel, and Leonardi showed how to cut the number of bits transmitted in half, which was further improved by authors Costello, Jao, Longa, Naehrig, Renes and Urbanik resulting in a compressed-key version of the SIDH protocol with public keys only 2640 bits in size.^[45] This makes the number of bits transmitted roughly equivalent to the non-quantum secure RSA and Diffie-Hellman at the same classical security level.^[54]

Symmetric–key-based cryptography[編集]

As a general rule, for 128 bits of security in a symmetric-key-based system, one can safely use key sizes of 256 bits. The best quantum attack against generic symmetric-key systems is an application of Grover's algorithm, which requires work proportional to the square root of the size of the key space. To transmit an encrypted key to a device that possesses the symmetric key necessary to decrypt that key requires roughly 256 bits as well. It is clear that symmetric-key systems offer the smallest key sizes for post-quantum cryptography.

Forward secrecy[編集]

A public-key system demonstrates a property referred to as perfect forward secrecy when it generates random public keys per session for the purposes of key agreement. This means that the compromise of one message cannot lead to the compromise of others, and also that there is not a single secret value which can lead to the compromise of multiple messages. Security experts recommend using cryptographic algorithms that support forward secrecy over those that do not.^[55] The reason for this is that forward secrecy can protect against the compromise of long term private keys associated with public/private key pairs. This is viewed as a means of preventing mass surveillance by intelligence agencies.

Both the Ring-LWE key exchange and supersingular isogeny Diffie-Hellman (SIDH) key exchange can support forward secrecy in one exchange with the other party. Both the Ring-LWE and SIDH can also be used without forward secrecy by creating a variant of the classic ElGamal encryption variant of Diffie-Hellman.

The other algorithms in this article, such as NTRU, do not support forward secrecy as is.

Any authenticated public key encryption system can be used to build a key exchange with forward secrecy.^[56]

Open Quantum Safe project[編集]

Open Quantum Safe (OQS) project was started in late 2016 and has the goal of developing and prototyping quantum-resistant cryptography.^[57][58] It aims to integrate current post-quantum schemes in one library: liboqs.^[59] liboqs is an open source C library for quantum-resistant cryptographic algorithms. It initially focuses on key exchange algorithms but by now includes several signature schemes. It provides a common API suitable for post-quantum key exchange algorithms, and will collect together various implementations. liboqs will also include a test harness and benchmarking routines to compare performance of post-quantum implementations. Furthermore, OQS also provides integration of liboqs into OpenSSL.^[60]

As of March 2023, the following key exchange algorithms are supported:^[57]

Algorithm	Type
CRYSTALS-Kyber	Module Learning With Error
Classic McEliece	goppa codes
BIKE	codes
HQC	codes
Frodo[61]	Learning with errors
NTRU[62]	Lattice-based cryptography
CRYSTALS-Dilithium[63][64]	Shortest Integer Solution
Falcon	Shortest Integer Solution
SPHINCS+	hash based

Older supported versions that have been removed because of the progression of the NIST Post-Quantum Cryptography Standardization Project are:

Algorithm	Type
BCNS15[65]	Ring learning with errors key exchange
NewHope[66][41]	Ring learning with errors key exchange
SIDH[67][68]	Supersingular isogeny key exchange
McBits[69]	Error-correcting codes

Implementation[編集]

One of the main challenges in post-quantum cryptography is considered to be the implementation of potentially quantum safe algorithms into existing systems. There are tests done, for example by Microsoft Research implementing PICNIC in a PKI using Hardware security modules.^[70] Test implementations for Google's NewHope algorithm have also been done by HSM vendors. In August 2023, Google released a FIDO2 security key implementation of an ECC/Dilithium hybrid signature schema which was done in partnership with ETH Zürich.^[71]

Other notable implementations include:

• bouncycastle^[72]
• liboqs^[73]

See also[編集]

• NIST Post-Quantum Cryptography Standardization
• Quantum cryptography – cryptography based on quantum mechanics
• Crypto-shredding - Deleting encryption keys
• Harvest now, decrypt later

References[編集]

Further reading[編集]

• Post-Quantum Cryptography. Springer. (2008). pp. 245. ISBN 978-3-540-88701-0. https://www.springer.com/mathematics/numbers/book/978-3-540-88701-0 
• Isogenies in a Quantum World
• On Ideal Lattices and Learning With Errors Over Rings
• Kerberos Revisited: Quantum-Safe Authentication
• The picnic signature scheme

External links[編集]

• PQCrypto, the post-quantum cryptography conference
• ETSI Quantum Secure Standards Effort
• NIST's Post-Quantum crypto Project
• PQCrypto Usage & Deployment
• ISO 27001 Certification Cost

Template:Quantum mechanics topics Template:Quantum information