商用国家安全保障アルゴリズムスイート

商用国家安全保障アルゴリズムスイート（CNSA ）は、国家安全保障局（NSA）がNSAスイートB暗号アルゴリズムの代替として公表した暗号アルゴリズムのセットです。これは、最高機密レベルまでの米国国家安全保障システムの情報を保護するための暗号基盤として機能します。CNSAには、2015年の量子耐性バージョン1.0と、2022年の量子耐性バージョン2.0の2つのバージョンが存在します。 ^[¹^]^[²^]^[³^]^[⁴^]^[⁵^]^[⁶^]

コンテンツ

CNSA 1.0

TOP SECRET レベルまでの保護のために、特異なパラメータ長が提供されます。

CNSA 1.0のコンポーネント
目的	アルゴリズム	標準	パラメータの長さ	セキュリティのビット	注記
対称暗号化	AES	FIPS 197	256	256
デジタル署名	楕円曲線デジタル署名アルゴリズム（ECDSA）	FIPS 186-4	384	192	曲線P-384のみを使用してください。
デジタル署名	RSA	FIPS 186-4	3072	128	最小モジュールサイズ。これより大きくても構いません。
鍵合意	楕円曲線ディフィー・ヘルマン（ECDH）	NIST SP 800-56Ar3	384	192	曲線P-384のみを使用してください。
	ディフィー・ヘルマン鍵交換	RFC 3526	3072	128	最小モジュールサイズ。これより大きくても構いません。
	RSA	FIPS SP 800-56Br2	3072	128	最小モジュールサイズ。これより大きくても構いません。
メッセージダイジェスト	SHA-2	FIPS 180-4	384	192	SHA-384 を正確に使用します。

CNSA 1.0への移行は、Suite BでRSAが一時的なレガシーステータスからサポート対象ステータスに移行したことで注目に値します。また、デジタル署名アルゴリズムは含まれていませんでした。この点、そして量子耐性標準が存在しない中での発表の全体的な実施とタイミングから、NSAが楕円曲線アルゴリズムなどの脆弱性を発見したのか、それとも技術的な理由以外でECCへの専念から距離を置こうとしているのかについて、多くの憶測が飛び交いました。^{[ 7 ]}^{[ 8 ]}^{[ 9 ]}

CNSA 1.0 とインターネットプロトコルの統合を説明するドキュメントには次のものがあります。

RFC 9151 TLS および DTLS 1.2 および 1.3 向け商用国家安全保障アルゴリズム (CNSA) スイートプロファイル
RFC 9206 商用国家安全保障アルゴリズム (CNSA) スイートインターネットプロトコルの暗号化
RFC 9212 商用国家安全保障アルゴリズム (CNSA) スイートセキュアシェル (SSH) の暗号化
RFC 8755 商用国家安全保障アルゴリズムスイートアルゴリズムを安全/多目的に使用する
RFC 8756 商用国家安全保障アルゴリズム (CNSA) スイート CMS 上の証明書管理のプロファイル
RFC 8603 商用国家安全保障アルゴリズム (CNSA) スイート証明書および証明書失効リスト (CRL) プロファイル

CNSA 2.0

2022年9月、NSAはCNSA 2.0を発表しました。これには、耐量子暗号アルゴリズムに関する最初の推奨事項が含まれています。ここでも、すべてのパラメータはTOP SECRETレベルに提供されています。^{[ 10 ]}

CNSA 2.0の構成要素^{[ 11 ]}
目的	アルゴリズム	標準	パラメータの長さ	セキュリティのビット	注記
対称暗号化	AES	FIPS 197-upd1	256	256
鍵合意	ML-KEM	FIPS 203	ML-KEM-1024	256
デジタル署名	ML-DSA	FIPS 204	ML-DSA-87	256
データのメッセージダイジェスト	SHA-2	FIPS 180-4	384または512	192または256
ファームウェアとソフトウェアのデジタル署名	レイトン・ミカリ	NIST SP 800-208	192または256	192または256	すべての標準パラメータセットが承認されており、最小値は SHA256/192 です。推奨される選択肢は SHA256/192 です。
ファームウェアとソフトウェアのデジタル署名	拡張マークル	NIST SP 800-208	192または256	192または256	すべての標準パラメータセットが承認されており、最小値は SHA256/192 です。
ハードウェア整合性チェックのメッセージダイジェスト
ハードウェア整合性チェックのメッセージダイジェスト	SHA-3	FIPS 202	384または512	192または256	内部ハードウェア機能のみ許可（例：起動時の整合性チェック）

CNSA 1.0、CNSA 2.0 と比較すると、次の点に注意してください。

ソフトウェア/ファームウェア署名用の別個のポスト量子アルゴリズム（XMSS/LMS）を直ちに使用することを提案します。
SHA-512を許可する
CRYSTALS-KyberとCRYSTALS-Dilithiumの選択を早期に発表しました。これらの暗号は、最終標準とFIPS検証済みの実装がリリースされた時点でのみ必須となる予定です。RSA、Diffie-Hellman、楕円曲線暗号は、その時点で非推奨となります。

CNSA 2.0 とインターネットプロトコルの統合を説明するドキュメントには次のものがあります。

draft-becker-cnsa2-smime-profile-01 セキュア/多目的インターネットメール拡張 (S/MIME) 向け商用国家安全保障アルゴリズム (CNSA) スイートプロファイル
draft-becker-cnsa2-ssh-profile-02 SSH 用商用国家安全保障アルゴリズム (CNSA) スイートプロファイル
draft-becker-cnsa2-tls-profile-02 TLS 1.3 向け商用国家安全保障アルゴリズム (CNSA) スイートプロファイル
draft-guthrie-cnsa2-ipsec-profile-01 IPsec 向け商用国家安全保障アルゴリズム (CNSA) スイート 2.0 プロファイル
draft-jenkins-cnsa2-cmc-profile-01 CMS 上の証明書管理の商用国家安全保障アルゴリズム (CNSA) スイートプロファイル
draft-jenkins-cnsa2-pkix-profile-03 商用国家安全保障アルゴリズムスイート証明書および証明書失効リストプロファイル

参考文献

^ Cook, John (2019年5月23日). 「NSAの推奨事項｜PQCまで使用するアルゴリズム」 . www.johndcook.com . 2020年2月28日閲覧。
^ 「商用国家安全保障アルゴリズムスイート2.0の発表」（PDF） .米国国防総省. 2022年9月7日 . 2022年9月8日時点のオリジナル（PDF）からアーカイブ。 2024年6月10日閲覧。
^ 「CNSA Suiteと量子コンピューティングに関するFAQ」（PDF） . cryptome.org . 2016年1月. 2023年7月24日閲覧。
^ 「国家安全保障システム間の安全な情報共有のための公開標準の利用、諮問覚書02-15 CNSS 情報保証諮問覚書02-15」。国家安全保障システム委員会。2015年7月31日。 2020年2月28日時点のオリジナルよりアーカイブ。 2020年2月28日閲覧。
^ 「Commercial National Security Algorithm Suite」 . apps.nsa.gov . 2015年8月19日. 2022年2月18日時点のオリジナルよりアーカイブ。 2020年2月28日閲覧。
^ Housley, Russ; Zieglar, Lydia (2018年7月). 「RFC 8423 - Suite B文書の歴史的ステータスへの再分類」 . tools.ietf.org . 2020年2月28日閲覧。
^ 「NSAのFAQはSuite Bの終焉を解明するが、重要な詳細の一つであるPomcorの説明には失敗している」 2016年2月9日。 2020年2月28日閲覧。
^ 「曲線で包まれた謎」。暗号工学に関するいくつかの考察。2015年10月22日。 2020年2月28日閲覧。
^コブリッツ、ニール、メネゼス、アルフレッド・J. (2018年5月19日). 「謎に包まれた謎」 .暗号学eプリントアーカイブ.
^ 「ポスト量子サイバーセキュリティリソース」 www.nsa.gov . 2023年3月3日閲覧。
^ 「Announcing the Commercial National Security Algorithm Suite 2.0, U/OO/194427-22, PP-22-1338, Ver. 1.0」(PDF)。米国国防総省国家安全保障局。2022年9月。表IV: CNSA 2.0アルゴリズム、p. 9。表V: CNSA 1.0アルゴリズム、p. 10。2022年9月8日時点のオリジナル(PDF)からアーカイブ。 2024年4月14日閲覧。

この暗号関連の記事はスタブです。不足している情報を追加してWikipediaに貢献してください。

[1] Cook, John (2019年5月23日). 「NSAの推奨事項｜PQCまで使用するアルゴリズム」 . www.johndcook.com . 2020年2月28日閲覧。

[:0-2] 「商用国家安全保障アルゴリズムスイート2.0の発表」（PDF） .米国国防総省. 2022年9月7日 . 2022年9月8日時点のオリジナル（PDF）からアーカイブ。 2024年6月10日閲覧。

[3] 「CNSA Suiteと量子コンピューティングに関するFAQ」（PDF） . cryptome.org . 2016年1月. 2023年7月24日閲覧。

[4] 「国家安全保障システム間の安全な情報共有のための公開標準の利用、諮問覚書02-15 CNSS 情報保証諮問覚書02-15」。国家安全保障システム委員会。2015年7月31日。 2020年2月28日時点のオリジナルよりアーカイブ。 2020年2月28日閲覧。

[5] 「Commercial National Security Algorithm Suite」 . apps.nsa.gov . 2015年8月19日. 2022年2月18日時点のオリジナルよりアーカイブ。 2020年2月28日閲覧。

[6] Housley, Russ; Zieglar, Lydia (2018年7月). 「RFC 8423 - Suite B文書の歴史的ステータスへの再分類」 . tools.ietf.org . 2020年2月28日閲覧。

[7] 「NSAのFAQはSuite Bの終焉を解明するが、重要な詳細の一つであるPomcorの説明には失敗している」 2016年2月9日。 2020年2月28日閲覧。

[8] 「曲線で包まれた謎」。暗号工学に関するいくつかの考察。2015年10月22日。 2020年2月28日閲覧。

[9] コブリッツ、ニール、メネゼス、アルフレッド・J. (2018年5月19日). 「謎に包まれた謎」 .暗号学eプリントアーカイブ.

[10] 「ポスト量子サイバーセキュリティリソース」 www.nsa.gov . 2023年3月3日閲覧。

[nsaCNSA-11] 「Announcing the Commercial National Security Algorithm Suite 2.0, U/OO/194427-22, PP-22-1338, Ver. 1.0」(PDF)。米国国防総省国家安全保障局。2022年9月。表IV: CNSA 2.0アルゴリズム、p. 9。表V: CNSA 1.0アルゴリズム、p. 10。2022年9月8日時点のオリジナル(PDF)からアーカイブ。 2024年4月14日閲覧。

[

[

[

3

[

[

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]