コンテンツにスキップ

英文维基 | 中文维基 | 日文维基 | 草榴社区

利用者:うぃき野郎/下書き

暗号学において、ポスト量子暗号(PQC)(quantum-proof、quantum-safe、quantum-resistantと呼ばれることもある)とは、量子コンピュータによる暗号解読攻撃に対して安全であると考えられる暗号アルゴリズム(通常は公開鍵アルゴリズム)を指す。現在普及しているアルゴリズムの問題点は、その安全性が3つの難解な数学的問題、素因数分解問題、離散対数問題、楕円曲線離散対数問題のいずれかに依存していることである。これらの問題はすべて、ショールのアルゴリズムを実行する十分に強力な量子コンピューターで簡単に解くことができる。[1][2]

現在の量子コンピュータには、実際の暗号アルゴリズムを破る処理能力がないにもかかわらず[3]、多くの暗号技術者は、量子コンピュータが脅威となる時代に備えて、新しいアルゴリズムを設計している。この研究は、2006年以降のPQCryptoカンファレンスシリーズや、最近では欧州電気通信標準化機構(ETSI)と量子コンピューティング研究所が主催する量子安全暗号に関する複数のワークショップを通じて、学術界や産業界から大きな注目を集めている[4][5][6]。また、現在記録されているデータが何年も先の未来にも機密性を保持したままである可能性があるため、「今収穫し、後で解読する」プログラムが広く普及しているという噂も、ポスト量子アルゴリズムを早期に導入する動機と考えられている[7][8]

量子コンピュータが現在の公開鍵アルゴリズムに脅威を与えているのとは対照的に、現在の対称暗号アルゴリズムやハッシュ関数のほとんどは、量子コンピュータによる攻撃に対して比較的安全であると考えられている[2][9]。量子グローバーのアルゴリズムは対称暗号に対する攻撃を高速化するが、鍵サイズを2倍にすることでこれらの攻撃を効果的にブロックすることができる[10]。したがって、ポスト量子対称暗号は、現在の対称暗号と大きく異なる必要はない。

アルゴリズム

[編集]

現在、ポスト量子暗号の研究は、主に以下の6つのアプローチに集中している[2][5]

格子ベースの暗号

[編集]

このアプローチには、誤りあり学習、誤りありリング学習(ring-LWE)[11][12][13]、誤りありリング学習鍵交換、誤りありリング学習署名、古いNTRU暗号化方式やGGH暗号化方式、新しいNTRU署名やBLISS署名などの暗号方式が含まれる [14]。NTRU暗号のようなこれらのスキームのいくつかは、誰も実現可能な攻撃を見つけることなく長年研究されてきた。[15] 欧州委員会主催のポスト量子暗号研究グループは、NTRUアルゴリズムではなく、NTRUのStehle-Steinfeld変種を標準化のために研究することを提案した。 [16][17]当時、NTRUはまだ特許を取得していた。研究では、NTRUは他の格子ベースのアルゴリズムよりも安全な特性を持つ可能性が指摘されている。[18]

多変量暗号

[編集]

これには、多変数方程式の連立方程式を解くことの難しさを利用したRainbow(en:Unbalanced Oil and Vinegar)スキームなどの暗号システムも含まれる。安全な多変数方程式の暗号化方式を構築する様々な試みは失敗している。[19]レインボー署名方式には特許がある。

ハッシュベース暗号

[編集]

これにはLamport署名Merkle署名、XMSS [20]、SPHINCS[21]、WOTSスキームなどの暗号システムが含まれる。ハッシュベースの電子署名は1970年代後半にRalph Merkleによって開発され、それ以来RSAやDSAのような数論的な電子署名に代わるものとして研究されてきた。 その主な欠点は、どのようなハッシュベースの公開鍵に対しても、対応する秘密鍵のセットを使って署名できる署名の数に制限があることである。 この事実により、量子コンピュータによる攻撃に耐性のある暗号が求められるようになるまで、これらの署名への関心は低下していた。 Merkle署名スキームに関する特許は存在しないようであり[要出典]、これらのスキームで使用できる非特許のハッシュ関数が多数存在する。Johannes Buchmannの指導の下、研究者チームによって開発されたステートフルハッシュベースの署名スキームXMSSはRFC 8391に記述されている[22]。 上記のスキームはすべてワンタイムまたは時間に紐付けられた署名であることに注意が必要である。Moni NaorMoti Yungは1989年にUOWHFハッシュを発明し、ハッシュに基づく署名(Naor-Yung方式)を設計した[23] これは時間無制限で使用することができる(トラップドア・プロパティを必要としない最初の署名)。

コードベース暗号

[編集]

これには、McEliece暗号アルゴリズムNiederreiter暗号アルゴリズム、関連するCourtois, Finiasz and Sendrier署名スキームなど、誤り訂正符号に依存する暗号システムが含まれる。ランダムなGoppaコードを使ったオリジナルのMcEliece署名は、40年以上にわたって精査に耐えてきた[24]。欧州委員会が主催するポスト量子暗号研究グループは、量子コンピュータによる攻撃に対する長期的な防御の候補としてMcEliece公開鍵暗号システムを推奨している。

同種写像暗号

[編集]

これらの暗号システムは、有限体上の楕円曲線(および高次元のabelian varieties)の同質性グラフ、特に超特異同質性グラフの性質を利用して暗号システムを構築している。この分野の代表的なものとしてDiffie-Hellmanに似た鍵交換CSIDHがよく知られているが、これは今日広く使われているDiffie-Hellman鍵交換や楕円曲線Diffie-Hellman鍵交換の量子的耐性に優れた置き換えとして機能し、 [25]と署名スキームSQISignは超特異楕円曲線と特定の型の四元代数における最大次数との間の範疇的等価性に基づいている。 [26]もう1つの広く注目された構築、[[Supersingular isogeny key exchange|SIDH/SIKE]は2022年に見事に破られた。 [27]しかし、この攻撃はSIDH/SIKEファミリーのスキームに特有であり、他の同質性に基づく構成には一般化しない[28][29]

対称鍵の抗量子性

[編集]

十分に大きな鍵サイズを使用するのであれば、AESSNOW 3Gのような共通鍵暗号システムは、量子コンピュータによる攻撃に対してすでに耐性がある[30]。さらに、Kerberos3GPP Mobile Network Authentication Structure のような公開鍵暗号の代わりに共通鍵暗号を使用する鍵管理システムやプロトコルも、量子コンピュータによる攻撃に対して本質的に安全である。 また、Kerberos3GPPモバイルネットワーク認証構造のようなKerberos3GPPモバイルネットワーク認証構造のようなKerberos3GPPモバイルネットワーク認証構造のようなKerberos3GPPモバイルネットワーク認証構造のような3GPPモバイルネットワーク認証構造は、量子コンピュータによる攻撃に対して本質的に安全である。

セキュリティの低減

[編集]

暗号研究において、暗号化アルゴリズムと既知の難解な数学問題の等価性を証明することが望まれる。このような証明はしばしば「セキュリティの低減」と呼ばれ、暗号化アルゴリズムをクラックすることの困難性を示すために使用される。換言すれば、与えられた暗号化アルゴリズムの安全性は、既知の難問の安全性に還元される。研究者たちは、ポスト量子暗号の実現に向けて、セキュリティの低減を積極的に模索している。現在の成果を以下に示す:

格子ベース暗号 - Ring-LWE署名

[編集]

Ring-LWEのいくつかのバージョンでは、セキュリティの低減として格子における最短ベクトル問題(SVP)がある。SVPはNP困難であることが知られている[32]。証明可能なセキュリティの低減を持つ特定のRing-LWEシステムには、Güneysu、Lyubashevsky、Pöppelmannによる論文で定義されたLyubashevskyのRing-LWE署名の変形が含まれる[13]。GLYPH署名スキームは、2012年のGLP署名の発表後に生まれた研究成果を考慮したGüneysu、Lyubashevsky、Pöppelmann(GLP)署名の変形である。もう一つのRing-LWE署名はRing-TESLAである[33]。また、LWR(Learning with Rounding)と呼ばれるLWEの「非ランダム化された変種」も存在し、これは「(決定論的誤差を持つガウス分布のような分布から小さな誤差をサンプリングすることを排除することによって)速度向上と帯域幅の改善」をもたらす[34]。

ラティスベースの暗号化–NTRU、BLISS

[編集]

NTRU暗号方式とBLISS[14] 署名の安全性は、格子における最近接ベクトル問題 (CVP) に関連していると考えられるが,証明可能ではない。CVPはNPハードであることが知られている。欧州委員会が後援するポスト量子暗号研究グループは、オリジナルのNTRUアルゴリズムの代わりに、セキュリティが低下するNTRUのStehle–Steinfeldバリアントを長期的に使用するために研究することを提案した。[16]

Multivariate cryptography – Unbalanced Oil and Vinegar

[編集]

Unbalanced Oil and Vinegar signature schemes are asymmetric cryptographic primitives based on multivariate polynomials over a finite field . Bulygin, Petzoldt and Buchmann have shown a reduction of generic multivariate quadratic UOV systems to the NP-Hard Multivariate Quadratic Equation Solving problem.[31]

Hash-based cryptography – Merkle signature scheme

[編集]

In 2005, Luis Garcia proved that there was a security reduction of Merkle Hash Tree signatures to the security of the underlying hash function. Garcia showed in his paper that if computationally one-way hash functions exist then the Merkle Hash Tree signature is provably secure.[32]

Therefore, if one used a hash function with a provable reduction of security to a known hard problem one would have a provable security reduction of the Merkle tree signature to that known hard problem.[33]

The Post Quantum Cryptography Study Group sponsored by the European Commission has recommended use of Merkle signature scheme for long term security protection against quantum computers.[16]

Code-based cryptography – McEliece

[編集]

The McEliece Encryption System has a security reduction to the Syndrome Decoding Problem (SDP). The SDP is known to be NP-hard[34] The Post Quantum Cryptography Study Group sponsored by the European Commission has recommended the use of this cryptography for long term protection against attack by a quantum computer.[16]

Code-based cryptography – RLCE

[編集]

In 2016, Wang proposed a random linear code encryption scheme RLCE[35] which is based on McEliece schemes. RLCE scheme can be constructed using any linear code such as Reed-Solomon code by inserting random columns in the underlying linear code generator matrix.

Supersingular elliptic curve isogeny cryptography

[編集]

Security is related to the problem of constructing an isogeny between two supersingular curves with the same number of points. The most recent investigation of the difficulty of this problem is by Delfs and Galbraith indicates that this problem is as hard as the inventors of the key exchange suggest that it is.[36] There is no security reduction to a known NP-hard problem.

Comparison

[編集]

One common characteristic of many post-quantum cryptography algorithms is that they require larger key sizes than commonly used "pre-quantum" public key algorithms. There are often tradeoffs to be made in key size, computational efficiency and ciphertext or signature size. The table lists some values for different schemes at a 128 bit post-quantum security level.

Algorithm Type Public Key Private Key Signature
NTRU Encrypt[37] Lattice 766.25 B 842.875 B
Streamlined NTRU Prime[要出典] Lattice 154 B
Rainbow[38] Multivariate

124 KB|| 95 KB||

SPHINCS[21] Hash Signature

1 KB|| 1 KB|| 41 KB

SPHINCS+[39] Hash Signature 32 B 64 B

8 KB

BLISS-II Lattice

7 KB|| 2 KB|| 5 KB

GLP-Variant GLYPH Signature[12][40] Ring-LWE

2 KB|| 0.4 KB|| 1.8 KB

NewHope[41] Ring-LWE

2 KB|| 2 KB||

Goppa-based McEliece[16] Code-based

1 MB|| 11.5 KB||

Random Linear Code based encryption[42] RLCE

115 KB|| 3 KB||

Quasi-cyclic MDPC-based McEliece[43] Code-based 1,232 B 2,464 B
SIDH[44] Isogeny 564 B 48 B
SIDH (compressed keys)[45] Isogeny 330 B 48 B
3072-bit Discrete Log not PQC 384 B 32 B 96 B
256-bit Elliptic Curve not PQC 32 B 32 B 65 B

A practical consideration on a choice among post-quantum cryptographic algorithms is the effort required to send public keys over the internet. From this point of view, the Ring-LWE, NTRU, and SIDH algorithms provide key sizes conveniently under 1KB, hash-signature public keys come in under 5KB, and MDPC-based McEliece takes about 1KB. On the other hand, Rainbow schemes require about 125KB and Goppa-based McEliece requires a nearly 1MB key.

Lattice-based cryptography – LWE key exchange and Ring-LWE key exchange

[編集]

The fundamental idea of using LWE and Ring LWE for key exchange was proposed and filed at the University of Cincinnati in 2011 by Jintai Ding. The basic idea comes from the associativity of matrix multiplications, and the errors are used to provide the security. The paper[46] appeared in 2012 after a provisional patent application was filed in 2012.

In 2014, Peikert[47] presented a key transport scheme following the same basic idea of Ding's, where the new idea of sending additional 1 bit signal for rounding in Ding's construction is also utilized. For somewhat greater than 128 bits of security, Singh presents a set of parameters which have 6956-bit public keys for the Peikert's scheme.[48] The corresponding private key would be roughly 14,000 bits.

In 2015, an authenticated key exchange with provable forward security following the same basic idea of Ding's was presented at Eurocrypt 2015,[49] which is an extension of the HMQV[50] construction in Crypto2005. The parameters for different security levels from 80 bits to 350 bits, along with the corresponding key sizes are provided in the paper.[49]

Lattice-based cryptography – NTRU encryption

[編集]

For 128 bits of security in NTRU, Hirschhorn, Hoffstein, Howgrave-Graham and Whyte, recommend using a public key represented as a degree 613 polynomial with coefficients . This results in a public key of 6130 bits. The corresponding private key would be 6743 bits.[37]

Multivariate cryptography – Rainbow signature

[編集]

For 128 bits of security and the smallest signature size in a Rainbow multivariate quadratic equation signature scheme, Petzoldt, Bulygin and Buchmann, recommend using equations in with a public key size of just over 991,000 bits, a private key of just over 740,000 bits and digital signatures which are 424 bits in length.[38]

Hash-based cryptography – Merkle signature scheme

[編集]

In order to get 128 bits of security for hash based signatures to sign 1 million messages using the fractal Merkle tree method of Naor Shenhav and Wool the public and private key sizes are roughly 36,000 bits in length.[51]

Code-based cryptography – McEliece

[編集]

For 128 bits of security in a McEliece scheme, The European Commissions Post Quantum Cryptography Study group recommends using a binary Goppa code of length at least and dimension at least , and capable of correcting errors. With these parameters the public key for the McEliece system will be a systematic generator matrix whose non-identity part takes bits. The corresponding private key, which consists of the code support with elements from and a generator polynomial of with coefficients from , will be 92,027 bits in length[16]

The group is also investigating the use of Quasi-cyclic MDPC codes of length at least and dimension at least , and capable of correcting errors. With these parameters the public key for the McEliece system will be the first row of a systematic generator matrix whose non-identity part takes bits. The private key, a quasi-cyclic parity-check matrix with nonzero entries on a column (or twice as much on a row), takes no more than bits when represented as the coordinates of the nonzero entries on the first row.

Barreto et al. recommend using a binary Goppa code of length at least and dimension at least , and capable of correcting errors. With these parameters the public key for the McEliece system will be a systematic generator matrix whose non-identity part takes bits.[52] The corresponding private key, which consists of the code support with elements from and a generator polynomial of with coefficients from , will be 40,476 bits in length.

Supersingular elliptic curve isogeny cryptography

[編集]

For 128 bits of security in the supersingular isogeny Diffie-Hellman (SIDH) method, De Feo, Jao and Plut recommend using a supersingular curve modulo a 768-bit prime. If one uses elliptic curve point compression the public key will need to be no more than 8x768 or 6144 bits in length.[53] A March 2016 paper by authors Azarderakhsh, Jao, Kalach, Koziel, and Leonardi showed how to cut the number of bits transmitted in half, which was further improved by authors Costello, Jao, Longa, Naehrig, Renes and Urbanik resulting in a compressed-key version of the SIDH protocol with public keys only 2640 bits in size.[45] This makes the number of bits transmitted roughly equivalent to the non-quantum secure RSA and Diffie-Hellman at the same classical security level.[54]

Symmetric–key-based cryptography

[編集]

As a general rule, for 128 bits of security in a symmetric-key-based system, one can safely use key sizes of 256 bits. The best quantum attack against generic symmetric-key systems is an application of Grover's algorithm, which requires work proportional to the square root of the size of the key space. To transmit an encrypted key to a device that possesses the symmetric key necessary to decrypt that key requires roughly 256 bits as well. It is clear that symmetric-key systems offer the smallest key sizes for post-quantum cryptography.

Forward secrecy

[編集]

A public-key system demonstrates a property referred to as perfect forward secrecy when it generates random public keys per session for the purposes of key agreement. This means that the compromise of one message cannot lead to the compromise of others, and also that there is not a single secret value which can lead to the compromise of multiple messages. Security experts recommend using cryptographic algorithms that support forward secrecy over those that do not.[55] The reason for this is that forward secrecy can protect against the compromise of long term private keys associated with public/private key pairs. This is viewed as a means of preventing mass surveillance by intelligence agencies.

Both the Ring-LWE key exchange and supersingular isogeny Diffie-Hellman (SIDH) key exchange can support forward secrecy in one exchange with the other party. Both the Ring-LWE and SIDH can also be used without forward secrecy by creating a variant of the classic ElGamal encryption variant of Diffie-Hellman.

The other algorithms in this article, such as NTRU, do not support forward secrecy as is.

Any authenticated public key encryption system can be used to build a key exchange with forward secrecy.[56]

Open Quantum Safe project

[編集]

Open Quantum Safe (OQS) project was started in late 2016 and has the goal of developing and prototyping quantum-resistant cryptography.[57][58] It aims to integrate current post-quantum schemes in one library: liboqs.[59] liboqs is an open source C library for quantum-resistant cryptographic algorithms. It initially focuses on key exchange algorithms but by now includes several signature schemes. It provides a common API suitable for post-quantum key exchange algorithms, and will collect together various implementations. liboqs will also include a test harness and benchmarking routines to compare performance of post-quantum implementations. Furthermore, OQS also provides integration of liboqs into OpenSSL.[60]

As of March 2023, the following key exchange algorithms are supported:[57]

Algorithm Type
CRYSTALS-Kyber Module Learning With Error
Classic McEliece goppa codes
BIKE codes
HQC codes
Frodo[61] Learning with errors
NTRU[62] Lattice-based cryptography
CRYSTALS-Dilithium[63][64] Shortest Integer Solution
Falcon Shortest Integer Solution
SPHINCS+ hash based

Older supported versions that have been removed because of the progression of the NIST Post-Quantum Cryptography Standardization Project are:

Algorithm Type
BCNS15[65] Ring learning with errors key exchange
NewHope[66][41] Ring learning with errors key exchange
SIDH[67][68] Supersingular isogeny key exchange
McBits[69] Error-correcting codes

Implementation

[編集]

One of the main challenges in post-quantum cryptography is considered to be the implementation of potentially quantum safe algorithms into existing systems. There are tests done, for example by Microsoft Research implementing PICNIC in a PKI using Hardware security modules.[70] Test implementations for Google's NewHope algorithm have also been done by HSM vendors. In August 2023, Google released a FIDO2 security key implementation of an ECC/Dilithium hybrid signature schema which was done in partnership with ETH Zürich.[71]

Other notable implementations include:

See also

[編集]

References

[編集]
  1. ^ Peter W. Shor (1997). “Polynomial-Time Algorithms for Prime Factorization and Discrete Logarithms on a Quantum Computer”. SIAM Journal on Computing 26 (5): 1484–1509. arXiv:quant-ph/9508027. Bibcode1995quant.ph..8027S. doi:10.1137/S0097539795293172. 
  2. ^ a b c Daniel J. Bernstein (2009). “Introduction to post-quantum cryptography”. Post-Quantum Cryptography. http://www.pqcrypto.org/www.springer.com/cda/content/document/cda_downloaddocument/9783540887010-c1.pdf 
  3. ^ New qubit control bodes well for future of quantum computing”. phys.org. Template:Cite webの呼び出しエラー:引数 accessdate は必須です。
  4. ^ “Cryptographers Take On Quantum Computers”. IEEE Spectrum. (2009-01-01). https://spectrum.ieee.org/computing/software/cryptographers-take-on-quantum-computers. 
  5. ^ a b “Q&A With Post-Quantum Computing Cryptography Researcher Jintai Ding”. IEEE Spectrum. (2008-11-01). https://spectrum.ieee.org/computing/networks/qa-with-postquantum-computing-cryptography-researcher-jintai-ding. 
  6. ^ ETSI Quantum Safe Cryptography Workshop”. ETSI Quantum Safe Cryptography Workshop. ETSI (October 2014). 17 August 2016時点のオリジナルよりアーカイブ。24 February 2015閲覧。
  7. ^ Townsend, Kevin (2022年2月16日). “Solving the Quantum Decryption 'Harvest Now, Decrypt Later' Problem” (英語). SecurityWeek. 2023年4月9日閲覧。
  8. ^ Quantum-Safe Secure Communications”. UK National Quantum Technologies Programme (October 2021). 2023年4月9日閲覧。
  9. ^ Daniel J. Bernstein (2009-05-17). Cost analysis of hash collisions: Will quantum computers make SHARCS obsolete?. http://cr.yp.to/hash/collisioncost-20090823.pdf. 
  10. ^ Daniel J. Bernstein (2010-03-03). Grover vs. McEliece. http://cr.yp.to/codes/grovercode-20100303.pdf. 
  11. ^ Peikert, Chris (2014年). “archive.org/web/20140512214902/http://eprint.iacr.org/2014/070.pdf Lattice Cryptography for the Internet”. IACR. 12 May 2014時点のオリジナルよりアーカイブ。10 May 2014閲覧。
  12. ^ a b Practical Lattice-Based Cryptography: A Signature Scheme for Embedded Systems”. INRIA (2012年). 12 May 2014閲覧。
  13. ^ {cite web|last1=Zhang|first1=jiang|title=Authenticated Key Exchange from Ideal Lattices|url=http://eprint. iacr.org/2014/589.pdf|website=iacr.org|publisher=IACR|access-date=7 September 2014|archive-url=https://web.archive.org/web/20140907212538/http://eprint.iacr.org/2014/589. pdf|archive-date=7 September 2014|year=2014|url-status=bot: unknown}}
  14. ^ a b Ducas, Léo; Durmus, Alain; Lepoint, Tancrède; Lyubashevsky, Vadim (2013). Lattice Signatures and Bimodal Gaussians. http://eprint.iacr.org/2013/383 2015年4月18日閲覧。. 
  15. ^ {cite web|last=Lyubashevsky|first=Vadim|title=On Ideal Lattices and Learning with Errors Over Rings|url=http://eprint.iacr.org/2012/230.pdf%7Cpublisher=IACR%7Caccess-date=14 May 2013|author2=Peikert|author3=Regev|archive-url=https://web. archive.org/web/20140131051244/http://eprint.iacr.org/2012/230.pdf%7Carchive-date=31 January 2014|year=2013|url-status=bot: unknown}}
  16. ^ a b c d e f Augot, Daniel (7 September 2015). “Initial recommendations of long-term secure post-quantum systems”. PQCRYPTO. 13 September 2015閲覧。
  17. ^ Stehlé, Damien; Steinfeld, Ron (2013-01-01). iacr.org/2013/004 “Making NTRUEncrypt and NTRUSign as Secure as Standard Worst-Case Problems over Ideal Lattices”. Cryptology ePrint Archive. http://eprint. iacr.org/2013/004. 
  18. ^ Easttom, Chuck (2019-02-01). “An Analysis of Leading Lattice-Based Asymmetric Cryptographic Primitives”. 2019 IEEE 9th Annual Computing and Communication Workshop and Conference (CCWC). pp. 0811-0818. doi:10.1109/CCWC.2019 .8666459. ISBN 978-1-7281-0554-3 
  19. ^ {cite本|last=Ding|first=Jintai|author2=Schmidt|contribution=Rainbow, a New Multivariable Polynomial Signature Scheme|title=Third International Conference, ACNS 2005, New York, NY, USA, June 7-10, 2005. Proceedings|date=7 June 2005|volume=3531|series=Lecture Notes in Computer Science|pages=64-175|doi=10.1007/11496137_12|editor1-first=John|editor1-last=Ioannidis|isbn=978-3-540-26223-7|s2cid=6571152 }}
  20. ^ Buchmann, Johannes; Dahmen, Erik; Hülsing, Andreas (2011). "XMSS - A Practical Forward Secure Signature Scheme Based on Minimal Security Assumptions". Post-Quantum Cryptography. PQCrypto 2011. Lecture Notes in Computer Science. Vol. 7071. pp. 117–129. CiteSeerX 10.1.1.400.6086. doi:10.1007/978-3-642-25405-5_8. ISSN 0302-9743
  21. ^ a b Bernstein, Daniel J.、Hopwood, Daira、Hülsing, Andreas、Lange, Tanja、Niederhagen, Ruben、Papachristodoulou, Louiza、Schneider, Michael、Schwabe, Peter ほか 著、オズワルド, エリザベス 編『SPHINCS: year=2015』 9056巻、Advances in Cryptology - EUROCRYPT 2015、シュプリンガー・ベルリン・ハイデルベルク〈レクチャー・ノート・イン・コンピュータ・サイエンス〉、368-397頁。doi:10. 1007/978-3-662-46800-5_15ISBN 9783662467992 
  22. ^ {citeジャーナル|title=RFC 8391 - XMSS: eXtended Merkle Signature Scheme|url=https://tools.ietf.org/html/rfc8391%7Cwebsite=tools.ietf.org%7Cyear=2018 |doi=10.17487/RFC8391 |language=ja|last1=Huelsing |first1=A. |last2=Butin |first2=D. |last3=Gazdag |first3=S. |last4=ライネフェルト|first4=J. |last5=モハイセン|first5=A. }}
  23. ^  
  24. ^ Overbeck, Raphael; Sendrier (2009). Bernstein, Daniel. ed. コードベース暗号. 95-145. doi:10. 1007/978-3-540-88702-7_4. ISBN 978-3-540-88701-0 
  25. ^ Castryck, Wouter; Lange, Tanja; Martindale, Chloe; Panny, Lorenz; Renes, Joost (2018). .handle.net/handle/1854/LU-8619033|series=コンピュータサイエンス講義録|volume=11274|language=ja|location=Cham|publisher=シュプリンガーインターナショナル出版|pages=395-427|doi=10. 1007/978-3-030-03332-3_15|hdl=1854/LU-8619033|isbn=978-3-030-03332-3 “CSIDH: An Efficient Post-Quantum Commutative Group Action”. In Peyrin, Thomas; Galbraith, Steven. Advances in Cryptology - ASIACRYPT 2018. https://hdl. .handle.net/handle/1854/LU-8619033|series=コンピュータサイエンス講義録|volume=11274|language=ja|location=Cham|publisher=シュプリンガーインターナショナル出版|pages=395-427|doi=10. 1007/978-3-030-03332-3_15|hdl=1854/LU-8619033|isbn=978-3-030-03332-3 
  26. ^ De Feo, Luca、Kohel, David、Leroux, Antonin、Petit, Christophe、Wesolowski, Benjamin「SQISign: date=2020|editor-last=Moriai|editor-first=Shiho|editor2-last=Wang|editor2-first=Huaxiong|chapter-url=https://hal. archives-ouvertes.fr/hal-03038004/file/2020-1240.pdf」『Advances in Cryptology - ASIACRYPT 2020』 12491巻、Springer International Publishing、Cham〈Lecture Notes in Computer Science〉、64-93頁。doi:10. 1007/978-3-030-64837-4_3ISBN 978-3-030-64837-4 
  27. ^ CastryckWouter 著、HazayCarmit 編「1007/978-3-031-30589-4_15 An Efficient Key Recovery Attack on SIDH」『Advances in Cryptology - EUROCRYPT 2023』第14008巻、Springer Nature Switzerland、Cham、423-447頁、2023年。doi:10. 1007/978-3-031-30589-4_15|isbn=978-3-031-30588-7|last2=Decru|first2=Thomas|s2cid=258240788|editor2-last=Stam|editor2-first=Martijnhttps://link.springer.com/10. 1007/978-3-031-30589-4_152023年6月21日閲覧 
  28. ^ Castryck, Wouter; Decru, Thomas (2023), Hazay, Carmit; Stam, Martijn, eds., “An Efficient Key Recovery Attack on SIDH” (英語), Advances in Cryptology – EUROCRYPT 2023 (Cham: Springer Nature Switzerland) 14008: pp. 423–447, doi:10.1007/978-3-031-30589-4_15, ISBN 978-3-031-30588-7, https://link.springer.com/10.1007/978-3-031-30589-4_15 2023年6月21日閲覧。 
  29. ^ Is SIKE broken yet?”. 2023年6月23日閲覧。
  30. ^ Template:Citeジャーナル
  31. ^ Bulygin, Stanislav; Petzoldt; Buchmann (2010). “Towards Provable Security of the Unbalanced Oil and Vinegar Signature Scheme under Direct Attacks”. Progress in Cryptology – INDOCRYPT 2010. Lecture Notes in Computer Science. 6498. pp. 17–32. doi:10.1007/978-3-642-17401-8_3. ISBN 978-3-642-17400-1 
  32. ^ Pereira, Geovandro; Puodzius, Cassius; Barreto, Paulo (2016). “Shorter hash-based signatures”. Journal of Systems and Software 116: 95–100. doi:10.1016/j.jss.2015.07.007. 
  33. ^ On the security and the efficiency of the Merkle signature scheme”. Cryptology ePrint Archive. IACR. 19 June 2013閲覧。
  34. ^ Blaum, Mario; Farrell; Tilborg (31 May 2002). Information, Coding and Mathematics. Springer. ISBN 978-1-4757-3585-7 
  35. ^ Wang, Yongge (2016). “Quantum resistant random linear code based public key encryption scheme RLCE”. Proceedings of Information Theory (ISIT). IEEE ISIT: 2519–2523. arXiv:1512.08454. Bibcode2015arXiv151208454W. 
  36. ^ Delfs, Christina; Galbraith (2013). "Computing isogenies between supersingular elliptic curves over F_p". arXiv:1310.7789 [math.NT]。
  37. ^ a b Hirschborrn, P. “Choosing NTRUEncrypt Parameters in Light of Combined Lattice Reduction and MITM Approaches”. NTRU. 30 January 2013時点のオリジナルよりアーカイブ。12 May 2014閲覧。
  38. ^ a b Petzoldt, Albrecht (2010年). “Selecting Parameters for the Rainbow Signature Scheme – Extended Version -”. 4 March 2016時点のオリジナルよりアーカイブ。12 May 2014閲覧。
  39. ^ SPHINCS+: Submission to the NIST post-quantum project”. Template:Cite webの呼び出しエラー:引数 accessdate は必須です。
  40. ^ Chopra, Arjun (2017). “GLYPH: A New Insantiation of the GLP Digital Signature Scheme”. Cryptology ePrint Archive. https://eprint.iacr.org/2017/766. 
  41. ^ a b Post-quantum key exchange - a new hope”. Cryptology ePrint Archive, Report 2015/1092 (2015年). 1 September 2017閲覧。
  42. ^ Wang, Yongge (2017). “Revised Quantum Resistant Public Key Encryption Scheme RLCE and IND-CCA2 Security for McEliece Schemes”. Cryptology ePrint Archive. https://eprint.iacr.org/2017/206. 
  43. ^ Misoczki, R.; Tillich, J. P.; Sendrier, N.; Barreto, P. S. L. M. (2013). “MDPC-McEliece: New McEliece variants from Moderate Density Parity-Check codes”. 2013 IEEE International Symposium on Information Theory. pp. 2069–2073. doi:10.1109/ISIT.2013.6620590. ISBN 978-1-4799-0446-4 
  44. ^ Costello, Craig; Longa, Patrick; Naehrig, Michael (2016). “Efficient Algorithms for Supersingular Isogeny Diffie-Hellman”. Advances in Cryptology – CRYPTO 2016. Lecture Notes in Computer Science. 9814. pp. 572–601. doi:10.1007/978-3-662-53018-4_21. ISBN 978-3-662-53017-7. http://eprint.iacr.org/2016/413.pdf 
  45. ^ a b Costello, Craig. “Efficient Compression of SIDH public keys”. 8 October 2016閲覧。
  46. ^ Lin, Jintai Ding, Xiang Xie, Xiaodong (2012-01-01). “A Simple Provably Secure Key Exchange Scheme Based on the Learning with Errors Problem”. Cryptology ePrint Archive. http://eprint.iacr.org/2012/688. 
  47. ^ Peikert, Chris (2014-01-01). “Lattice Cryptography for the Internet”. Cryptology ePrint Archive. http://eprint.iacr.org/2014/070. 
  48. ^ Singh, Vikram (2015). A Practical Key Exchange for the Internet using Lattice Cryptography. http://eprint.iacr.org/2015/138 2015年4月18日閲覧。. 
  49. ^ a b Zhang, Jiang; Zhang, Zhenfeng; Ding, Jintai; Snook, Michael; Dagdelen, Özgür (2015-04-26). “Authenticated Key Exchange from Ideal Lattices”. In Oswald, Elisabeth. Advances in Cryptology - EUROCRYPT 2015. Lecture Notes in Computer Science. Springer Berlin Heidelberg. pp. 719–751. doi:10.1007/978-3-662-46803-6_24. ISBN 978-3-662-46802-9 
  50. ^ Krawczyk, Hugo (2005-08-14). “HMQV: A High-Performance Secure Diffie-Hellman Protocol”. In Shoup, Victor. Advances in Cryptology – CRYPTO 2005. Lecture Notes in Computer Science. 3621. Springer. pp. 546–566. doi:10.1007/11535218_33. ISBN 978-3-540-28114-6 
  51. ^ Naor, Dalit (2006年). “One-Time Signatures Revisited: Practical Fast Signatures Using Fractal Merkle Tree Traversal”. IEEE. 13 May 2014閲覧。
  52. ^ Barreto, Paulo S. L. M.; Biasi, Felipe Piazza; Dahab, Ricardo; López-Hernández, Julio César; Morais, Eduardo M. de; Oliveira, Ana D. Salina de; Pereira, Geovandro C. C. F.; Ricardini, Jefferson E. (2014). Koç, Çetin Kaya. ed. A Panorama of Post-quantum Cryptography. Springer International Publishing. pp. 387–439. doi:10.1007/978-3-319-10683-0_16. ISBN 978-3-319-10682-3 
  53. ^ De Feo, Luca (2011年). “Towards Quantum-Resistant Cryptosystems From Supersingular Elliptic Curve Isogenies”. 11 February 2014時点のオリジナルよりアーカイブ。12 May 2014閲覧。
  54. ^ Cryptology ePrint Archive: Report 2016/229”. eprint.iacr.org. 2016年3月2日閲覧。
  55. ^ Deploying Forward Secrecy”. SSL Labs (2013年6月25日). 14 June 2014閲覧。
  56. ^ Does NTRU provide Perfect Forward Secrecy?”. crypto.stackexchange.com. Template:Cite webの呼び出しエラー:引数 accessdate は必須です。
  57. ^ a b Open Quantum Safe”. openquantumsafe.org. Template:Cite webの呼び出しエラー:引数 accessdate は必須です。
  58. ^ Post-Quantum Key Exchange for the Internet and the Open Quantum Safe Project”. Cryptology ePrint Archive, Report 2016/1017, 2016. 9 April 2017閲覧。
  59. ^ liboqs: C library for quantum-resistant cryptographic algorithms” (26 November 2017). Template:Cite webの呼び出しエラー:引数 accessdate は必須です。
  60. ^ openssl: Fork of OpenSSL that includes quantum-resistant algorithms and ciphersuites based on liboqs” (9 November 2017). Template:Cite webの呼び出しエラー:引数 accessdate は必須です。
  61. ^ Bos, Joppe; Costello, Craig; Ducas, Léo; Mironov, Ilya; Naehrig, Michael; Nikolaenko, Valeria; Raghunathan, Ananth; Stebila, Douglas (2016-01-01). “Frodo: Take off the ring! Practical, Quantum-Secure Key Exchange from LWE”. Cryptology ePrint Archive. http://eprint.iacr.org/2016/659. 
  62. ^ NTRUOpenSourceProject/NTRUEncrypt” (英語). GitHub. 2017年4月10日閲覧。
  63. ^ Schwabe, Peter. “Dilithium”. pq-crystals.org. 2023年8月19日閲覧。
  64. ^ Cryptographic Suite for Algebraic Lattices, Digital Signature: Dilithium”. Template:Cite webの呼び出しエラー:引数 accessdate は必須です。
  65. ^ liboqs nist-branch algorithm datasheet: kem_newhopenist”. GitHub (26 Mar 2018). 27 September 2018閲覧。
  66. ^ Lattice Cryptography Library”. Microsoft Research (19 Apr 2016). 27 September 2018閲覧。
  67. ^ “SIDH Library - Microsoft Research” (英語). Microsoft Research. https://www.microsoft.com/en-us/research/project/sidh-library/ 2017年4月10日閲覧。 
  68. ^ Feo, Luca De; Jao, David; Plût, Jérôme (2011-01-01). Towards quantum-resistant cryptosystems from supersingular elliptic curve isogenies. オリジナルの2014-05-03時点におけるアーカイブ。. https://web.archive.org/web/20140503190338/http://eprint.iacr.org/2011/506. 
  69. ^ Bernstein, Daniel J.; Chou, Tung; Schwabe, Peter (2015-01-01). “McBits: fast constant-time code-based cryptography”. Cryptology ePrint Archive. https://eprint.iacr.org/2015/610. 
  70. ^ Microsoft/Picnic” (英語). GitHub. 2018年6月27日閲覧。
  71. ^ Toward Quantum Resilient Security Keys” (英語). Google Online Security Blog. 2023年8月19日閲覧。
  72. ^ Bouncy Castle Betas”. Template:Cite webの呼び出しエラー:引数 accessdate は必須です。
  73. ^ Open Quantum Safe”. Template:Cite webの呼び出しエラー:引数 accessdate は必須です。

Further reading

[編集]
[編集]

Template:Quantum mechanics topics Template:Quantum information