耐量子暗号

ポスト量子暗号PQC )は、量子耐性量子安全量子耐性とも呼ばれ、量子コンピュータによる暗号解読攻撃に対して安全であると現在考えられている暗号アルゴリズム(通常は公開鍵アルゴリズム)の開発である。[ 1 ]最も広く使用されている公開鍵アルゴリズムは、整数因数分解問題、離散対数問題、楕円曲線離散対数問題という3つの数学的問題のいずれかの難しさに依存しているこれら問題すべて、ショアのアルゴリズム[ 2 ] [ 3 ]または代替アルゴリズムを実行する十分に強力な量子コンピュータで簡単に解くことができる。[ 4 ] [ 5 ]

2026年時点では、量子コンピュータは広く使用されている暗号アルゴリズムを解読できる処理能力を欠いています。 [ 6 ]しかし、耐量子暗号への移行には長い時間がかかることから、暗号学者たちは既にY2Q(Q-Day)と呼ばれる、現在のアルゴリズムが量子コンピューティング攻撃に対して脆弱になる日に備えて、新しいアルゴリズムを設計しています。モスカの定理は、組織が移行をどの程度迅速に開始する必要があるかを判断するのに役立つリスク分析フレームワークを提供します。

彼らの研究は、2006年以来開催されているPQCryptoカンファレンスシリーズ、欧州電気通信標準化機構(ETSI)が主催する量子耐暗号に関するワークショップ、量子コンピューティング研究所を通じて、学界や産業界から注目を集めている。[ 7 ] [ 8 ] [ 9 ] 「今すぐ収集して後で解読する」プログラムが広く普及しているという噂も、現在記録されたデータが今後何年も機密情報として残る可能性があるため、ポスト量子アルゴリズムの早期導入の動機とみなされている。[ 10 ] [ 11 ] [ 12 ]

量子コンピューティングが現在の公開鍵アルゴリズムにもたらす脅威とは対照的に、現在のほとんどの対称暗号アルゴリズムハッシュ関数は、量子コンピュータによる攻撃に対して比較的安全であると考えられています。[ 3 ] [ 13 ]量子グローバーアルゴリズムは対称暗号に対する攻撃を高速化しますが、キーサイズを2倍にすることでこれらの攻撃に効果的に対抗できます。[ 14 ]そのため、量子耐性対称暗号は、現在の対称暗号と大きく異なる必要はありません。

2024年、米国国立標準技術研究所(NIST)は、最初の3つの耐量子暗号規格の最終版をリリースしました。[ 15 ]

準備

デジタルインフラには強固なサイバーセキュリティが求められる。データの機密性と真正性を守るためには暗号システムが不可欠である。量子コンピューティングは、これらの保護目的の達成に用いられる多くの古典的暗号アルゴリズムにとって脅威となる。これらのアルゴリズムは古典的コンピュータに対してのみ安全である。現在、量子耐性がなく、保存時または伝送時に長期間機密性を保持する必要があるデータは、将来、量子コンピュータによって侵害される可能性がある(「今すぐ収集、後で復号する」攻撃)。さらに、真正性も量子コンピュータによって危険にさらされる。量子コンピューティングがサイバーセキュリティに及ぼす脅威は、タイムリーで包括的かつ協調的なポスト量子暗号(PQC)への移行によって対抗できる。[ 16 ] [ 17 ]

アルゴリズム

量子暗号研究は主に6つの異なるアプローチに焦点を当てています。[ 3 ] [ 8 ]

格子ベースの暗号

このアプローチには、エラー付き学習エラー付きリング学習リングLWE[ 18 ] [ 19 ] [ 20 ]エラー付きリング学習鍵交換およびエラー付きリング学習署名、古いNTRUまたはGGH暗号化方式、新しいNTRU署名およびBLISS署名などの暗号化システムが含まれます。[ 21 ] NTRU暗号化などの一部の方式は長年にわたって研究されてきましたが、実行可能な攻撃は見つかっていません。リングLWEアルゴリズムなどの他の方式では、セキュリティが最悪のケースの問題にまで低下することが証明されています。[ 22 ]欧州委員会が後援する量子耐性暗号研究グループは、標準化のためにNTRUアルゴリズムではなく、NTRUのStehle-Steinfeldバリアントを研究することを提案しました。[ 23 ] [ 24 ]当時、NTRUはまだ特許を取得していました。研究によると、NTRUは他の格子ベースのアルゴリズムよりも安全な特性を持つ可能性があります。[ 25 ] 2つの格子ベースのアルゴリズム、CRYSTALS-KyberとCRYSTALS-Dilithiumは、NISTによって標準化された最初の量子耐性アルゴリズムの1つでした。[ 26 ]

多変数暗号

これには、多変数方程式系の解の難しさに基づくRainbow(Unbalanced Oil and Vinegar )方式などの暗号システムが含まれます。安全な多変数方程式暗号化方式を構築しようとする様々な試みは失敗に終わりました。しかし、Rainbowのような多変数署名方式は、量子セキュアデジタル署名の基盤となる可能性があります。 [ 27 ] Rainbow署名方式は特許取得済みです(特許は2029年8月に失効します)。

ハッシュベースの暗号化

これには、ランポート署名マークル署名方式、XMSS、[ 28 ] SPHINCS、[ 29 ] WOTS、SPINCS +方式などの暗号化システムが含まれます。ハッシュベースのデジタル署名は、1970年代後半にラルフ・マークルによって発明され、それ以来、RSAやDSAなどの数論的デジタル署名の興味深い代替として研究されてきました。その主な欠点は、ハッシュベースの公開鍵では、対応する秘密鍵セットを使用して署名できる署名の数に制限があることです。この事実によりこれらの署名への関心は低下しましたが、量子コンピュータによる攻撃に耐える暗号化への要望により、関心が再燃しました。マークル署名方式には特許がないようであり、これらの方式で使用できる特許取得されていないハッシュ関数が多数存在します。ヨハネス・ブッフマンの指導の下、研究者チームによって開発されたステートフルハッシュベースの署名方式XMSSは、RFC 8391で説明されている。[ 30 ]

上記の方式はすべて、ワンタイム署名または有限時間署名であることに注意してください。モニ・ナオルモティ・ヤングは1989年にUOWHFハッシュを発明し、ハッシュに基づく署名(ナオル・ヤング方式)[ 31 ]を設計しました。これは無制限に使用できます(トラップドア特性を必要としない最初の署名です)。

コードベースの暗号化

これには、 McElieceおよびNiederreiter暗号化アルゴリズムや、関連するCourtois、Finiasz、Sendrier署名方式などの誤り訂正符号に依存する暗号化システムが含まれます。ランダムゴッパ符号を使用したオリジナルのMcEliece署名は、40年以上の精査に耐えてきました。しかし、キーのサイズを削減するために使用するコードにさらに構造を導入しようとするMcEliece方式の多くの変種は、安全ではないことが示されています。[ 32 ]欧州委員会が後援する耐量子暗号研究グループは、McEliece公開鍵暗号化システムを、量子コンピュータによる攻撃に対する長期的な保護の候補として推奨しています。[ 23 ] 2025年に、NISTはコードベースのHQC暗号化アルゴリズムを標準化する計画を発表しました。[ 33 ]

アイソジェニーベースの暗号

これらの暗号システムは、有限体上の楕円曲線(および高次元アーベル多様体)の同値グラフ、特に超特異同値グラフの性質を利用して暗号システムを構築している。この分野の代表的なものとしては、ディフィー・ヘルマン型鍵交換CSIDHがある。これは、現在広く使用されているディフィー・ヘルマン鍵交換法や楕円曲線ディフィー・ヘルマン鍵交換法の量子耐性を持つ直接的な代替手段となる。 [ 34 ]また、署名方式SQIsignは、超特異楕円曲線と特定の種類の四元数代数における最大順序との間のカテゴリカル同値性に基づいている。[ 35 ]もう一つの広く注目された構成であるSIDH/SIKEは、2022年に見事に破られました。[ 36 ]しかし、この攻撃はSIDH/SIKEファミリーのスキームに特有のものであり、他のアイソジェニーベースの構成には一般化されません。[ 37 ]

対称鍵量子耐性

十分に大きな鍵サイズを使用することで、 AESSNOW 3Gのような対称鍵暗号システムは、既に量子コンピュータによる攻撃に対して耐性を持っています。[ 38 ]さらに、 Kerberos3GPPモバイルネットワーク認証構造のような公開鍵暗号ではなく、対称鍵暗号を使用する鍵管理システムやプロトコルも、量子コンピュータによる攻撃に対して本質的に安全です。Kerberosは世界中で広く導入されているため、一部の研究者は、Kerberosのような対称鍵管理の拡大利用を、今日の耐量子暗号を実現するための効率的な方法として推奨しています。[ 39 ]

セキュリティの削減

暗号研究において、暗号アルゴリズムと既知の難解な数学問題との等価性を証明することが望ましいとされています。これらの証明はしばしば「セキュリティ縮減」と呼ばれ、暗号アルゴリズムの解読の困難さを示すために用いられます。言い換えれば、与えられた暗号アルゴリズムのセキュリティは、既知の難解な問題のセキュリティに縮減されるということです。研究者たちは、耐量子暗号の将来性を見据え、セキュリティ縮減を積極的に模索しています。最新の成果は以下の通りです。

格子ベース暗号 – リングLWE署名

リングLWEのいくつかのバージョンでは、セキュリティの下限として、格子内の最短ベクトル問題(SVP)へのセキュリティ縮小が存在する。SVPはNP困難であることが知られている。[ 22 ]証明可能なセキュリティ縮小を持つ具体的なリングLWEシステムには、Güneysu、Lyubashevsky、Pöppelmannの論文で定義されたLyubashevskyのリングLWE署名の変種が含まれる。[ 19 ] GLYPH署名方式は、 2012年にGLP署名が発表された後に得られた研究成果を考慮に入れたGüneysu、Lyubashevsky、Pöppelmann(GLP)署名の変種である。別のリングLWE署名はRing-TESLAである。[ 40 ] LWEの「非ランダム化版」である「Learning with Rounding(LWR)」も存在し、これは「(確定的な誤差を持つガウス分布のような分布からの小さな誤差のサンプリングを排除することで)速度と帯域幅が改善された」という。[ 41 ] LWEは小さな誤差を追加することで下位ビットを隠すのに対し、LWRは同じ目的で丸めを使用している。

格子ベース暗号 – NTRU、BLISS

NTRU暗号方式とBLISS [ 21 ]署名の安全性は、格子内の最近接ベクトル問題(CVP)と関連していると考えられていますが、証明可能な形では還元できません。CVPはNP困難であることが知られています。欧州委員会が後援する耐量子暗号研究グループは、安全性の低減が可能なNTRUのStehle-Steinfeld変種を、元のNTRUアルゴリズムの代わりに長期使用に向けて研究することを提案しまし[ 23 ]

多変量暗号 – 不均衡な油と酢

アンバランスオイルアンドビネガー署名方式は、有限体上の多変数多項式に基づく非対称暗号プリミティブです。Bulygin Petzoldt Buchmann一般的な多変数二次UOVシステムをNP困難な多変数二次方程式を解く問題に縮減することを示しました。[ 42 ]F{\displaystyle \mathbb {F} }

ハッシュベース暗号 - マークル署名方式

2005年、ルイス・ガルシアは、マークルハッシュツリー署名の安全性は、その基礎となるハッシュ関数の安全性に還元されることを証明しました。ガルシアは論文の中で、計算的に一方向性のあるハッシュ関数が存在する場合、マークルハッシュツリー署名は証明可能に安全であることを示しました。[ 43 ]

したがって、既知の困難な問題に対するセキュリティの証明可能な削減を伴うハッシュ関数の使用は、その既知の困難な問題に対するマークル木署名の証明可能なセキュリティ削減をもたらすであろう。[ 44 ]

欧州委員会が後援する耐量子暗号研究グループは、量子コンピュータに対する長期的なセキュリティ保護のためにマークル署名方式の使用を推奨している。[ 23 ]

コードベースの暗号化 – McEliece

McEliece暗号システムは、シンドローム復号問題(SDP)のセキュリティ縮約機能を持つ。SDPはNP困難であることが知られている。[ 45 ]欧州委員会が後援する耐量子暗号研究グループは、量子コンピュータによる攻撃に対する長期的な防御策として、この暗号技術の使用を推奨している。[ 23 ]

コードベース暗号化 – RLCE

2016年、WangはMcEliece方式に基づくランダム線形符号暗号化方式RLCE [ 46 ]を提案した。RLCE方式は、リード・ソロモン符号などの任意の線形符号を用いて、その線形符号生成行列にランダムな列を挿入することで構築できる。

超特異楕円曲線同型暗号

安全性は、点の数が同じ2つの超特異曲線の間に同種性を構成する問題に関連しています。デルフスとガルブレイスによるこの問題の難しさに関する最新の研究によると、この問題は鍵交換の発明者が示唆するほど困難であることが示されています。[ 47 ]既知のNP困難問題には、安全性を還元する手段はありません。

比較

多くの耐量子暗号アルゴリズムに共通する特徴の一つは、一般的に使用されている「量子化前」公開鍵アルゴリズムよりも大きな鍵サイズを必要とすることです。鍵サイズ、計算効率、暗号文または署名のサイズの間でトレードオフが生じることがよくあります。以下の表は、128ビットの耐量子セキュリティレベルにおける様々な方式の値を示しています。

アルゴリズムタイプ公開鍵秘密鍵サイン
ML-DSA [ 48 ]格子 1,312 B 2,560 B 2,420 B
NTRU暗号化[ 49 ]格子766.25842.875
合理化されたNTRUプライム格子154 B
レインボー[ 50 ]多変量124 KB95 KB
スフィンクス[ 29 ]ハッシュ署名1 KB1 KB41 KB
スフィンクス+ [ 51 ]ハッシュ署名32 B64 B8 KB
ブリス-II格子7 KB2 KB5 KB
GLPバリアントGLYPHシグネチャ[ 19 ] [ 52 ]リング-LWE2 KB0.4 KB1.8 KB
ニューホープ[ 53 ]リング-LWE2 KB2 KB
ゴッパを拠点とするマケリース[ 23 ]コードベース1MB11.5 KB
ランダム線形コードベースの暗号化[ 54 ]RLCE115 KB3 KB
準巡回MDPCベースのMcEliece [ 55 ]コードベース1,232 B2,464
シッド[ 56 ]同質性564 B48 B
SIDH(圧縮キー)[ 57 ]同質性330 B48 B
3072ビット離散対数PQCではない384 B32 B96 B
256ビット楕円曲線PQCではない32 B32 B65 B

耐量子暗号アルゴリズムの選択における実際的な考慮事項は、インターネット経由で公開鍵を送信するのに必要な労力です。この点から見ると、Ring-LWE、NTRU、SIDHアルゴリズムは鍵サイズが1KB未満と非常に小さく、ハッシュ署名公開鍵は5KB未満、MDPCベースのMcElieceは約1KBです。一方、Rainbow方式は約125KB、GoppaベースのMcElieceは約1MBの鍵サイズを必要とします。

格子ベース暗号 – LWE鍵交換とリングLWE鍵交換

LWEとリングLWEを鍵交換に用いる基本的なアイデアは、2011年にシンシナティ大学でJintai Dingによって提案され、出願されました。基本的なアイデアは行列乗算の結合性に由来し、誤差を用いてセキュリティを確保しています。この論文[ 58 ]は、 2012年に仮特許出願が行われた後、2012年に発表されました。

2014年、Peikert [ 59 ]はDingの基本的なアイデアに基づいた鍵転送方式を提示しました。この方式では、Dingの構成において丸めのために1ビットの信号を追加するという新しいアイデアも採用されています。128ビットよりやや高いセキュリティを実現するために、SinghはPeikertの方式で6956ビットの公開鍵を持つパラメータセットを提示しました。[ 60 ]対応する秘密鍵は約14,000ビットになります。

2015年には、Dingの基本的な考え方に基づいた、証明可能な前方安全性を備えた認証鍵交換がEurocrypt 2015で発表されました[ 61 ] 。これはCrypto2005のHMQV [ 62 ]構築の拡張です。この論文では、80ビットから350ビットまでの異なるセキュリティレベルのパラメータと、それに対応する鍵サイズが示されています[ 61 ] 。

格子ベース暗号 – NTRU暗号化

NTRUにおける128ビットのセキュリティを実現するために、ヒルシュホーン、ホフシュタイン、ハウグレイブ=グラハム、そしてワイトは、係数⁠ ⁠モッド210{\displaystyle {\bmod {\left(2^{10}\right)}}}を持つ613次多項式で表される公開鍵の使用を推奨している。これにより、公開鍵は6130ビットとなる。対応する秘密鍵は6743ビットとなる。[ 49 ]

多変数暗号 - レインボー署名

ペッツォルト、ブリギン、ブッフマンは、128ビットのセキュリティとレインボー多変数二次方程式署名方式における最小の署名サイズを実現するために、公開鍵サイズが991,000ビット強、秘密鍵が740,000ビット強、デジタル署名の長さが424ビットのGF(31)の方程式を使用することを推奨している。[ 50 ]

ハッシュベース暗号 - マークル署名方式

ナオル・シェンハブとウールのフラクタルマークルツリー法を使用して100万件のメッセージに署名し、ハッシュベースの署名で128ビットのセキュリティを確保するには、公開鍵と秘密鍵のサイズはおよそ36,000ビットの長さになります。[ 63 ]

コードベースの暗号化 – McEliece

McEliece方式で128ビットのセキュリティを実現するために、欧州委員会の量子耐性暗号研究グループは、長さn = 6960以上、次元k = 5413以上で、 t = 119個の誤りを訂正可能なバイナリゴッパ符号の使用を推奨している。これらのパラメータを用いると、McEliece方式の公開鍵は、非恒等部分がk × ( nk ) = 8373911ビットとなる体系的生成行列となる。対応する秘密鍵は、 GF(2 13 )からn = 6960個の要素を持つ符号サポートと、GF(2 13 )からt = 119個の係数を持つ生成多項式から構成され、長さは92,027ビットとなる。[ 23 ]

同研究グループは、長さが少なくともn = 2 16 + 6 = 65542、次元が少なくともk = 2 15 + 3 = 32771で、 t = 264 個の誤りを訂正可能な準巡回MDPC符号の使用についても調査している。これらのパラメータを用いると、McElieceシステムの公開鍵は、非恒等部分がk = 32771ビットである体系的生成行列の1行目となる。秘密鍵は、1列にd = 274個の非ゼロ要素(行にはその2倍)を持つ準巡回パリティ検査行列であり、 1行目の非ゼロ要素の座標として表すと 、 d × 16 = 4384ビット以下となる。

Barretoらは、長さn = 3307以上、次元k = 2515以上で、 t = 66個の誤りを訂正できるバイナリゴッパ符号の使用を推奨している。これらのパラメータを用いると、McElieceシステムの公開鍵は、非恒等部分がk × ( nk ) = 1991880ビットとなる体系的生成行列となる。[ 64 ]対応する秘密鍵は、 GF(212 )からのn = 3307個の要素を持つ符号サポートと、 GF( 212 )からのt = 66個の係数を持つ生成多項式で構成され、長さは40,476ビットとなる。

超特異楕円曲線同型暗号

超特異等値ディフィー・ヘルマン(SIDH)方式で 128 ビットのセキュリティを実現するために、De Feo、Jao、Plut は 768 ビット素数を法とする超特異曲線を使用することを推奨している。楕円曲線の点圧縮を使用する場合、公開鍵の長さは 8x768 つまり 6144 ビット以下でなければならない。[ 65 ] 2016 年 3 月の Azarderakhsh、Jao、Kalach、Koziel、Leonardi らの論文では、送信されるビット数を半分に削減する方法が示され、この論文は Costello、Jao、Longa、Naehrig、Renes、Urbanik らによってさらに改良され、公開鍵のサイズが 2640 ビットしかない SIDH プロトコルの圧縮鍵バージョンが生まれた。[ 57 ]これにより、送信されるビット数は、同じ古典的なセキュリティ レベルで、量子に対して安全でない RSA およびディフィー・ヘルマンとほぼ同等になる。[ 66 ]

対称鍵暗号

一般的な規則として、対称鍵ベースのシステムで128ビットのセキュリティを実現するには、256ビットの鍵サイズを安全に使用できます。任意の対称鍵システムに対する最良の量子攻撃は、グローバーのアルゴリズムの適用であり、鍵空間のサイズの平方根に比例する作業量を必要とします。暗号化された鍵を、その鍵を復号するために必要な対称鍵を持つデバイスに送信するには、約256ビットの作業量が必要です。対称鍵システムは、耐量子暗号において最も小さな鍵サイズを提供することは明らかです。

前方秘匿性

公開鍵システムは、鍵共有のためにセッションごとにランダムな公開鍵を生成する際に、完全な前方秘匿性(perfect forward secrecy)と呼ばれる特性を示す。これは、1つのメッセージの漏洩が他のメッセージの漏洩につながることはなく、また、複数のメッセージの漏洩につながるような単一の秘密値は存在しないことを意味する。セキュリティ専門家は、前方秘匿性をサポートする暗号アルゴリズムを、サポートしない暗号アルゴリズムよりも推奨している。[ 67 ]その理由は、前方秘匿性によって、公開鍵と秘密鍵のペアに関連付けられた長期的な秘密鍵の漏洩を防ぐことができるためである。これは、諜報機関による大規模監視を防ぐ手段と考えられている。

リングLWE鍵交換と超特異同体Diffie-Hellman(SIDH)鍵交換はどちらも、相手との1回の交換で前方秘匿性(forward secrecy)をサポートできます。リングLWEとSIDHはどちらも、Diffie-Hellmanの古典的なElGamal暗号化の変種を作成することで、前方秘匿性なしで使用することもできます。

この記事で紹介した他のアルゴリズム (NTRU など) は、そのままでは前方秘匿性をサポートしていません。

認証された公開鍵暗号システムであれば、前方秘匿性を備えた鍵交換を構築するために使用することができます。[ 68 ]

オープン量子安全プロジェクト

Open Quantum Safe ( OQS )プロジェクトは2016年後半に開始され、量子耐性暗号の開発と試作を目的としています。[ 69 ] [ 70 ]このプロジェクトは、現在の耐量子暗号方式を1つのライブラリであるliboqsに統合することを目指しています。[ 71 ] liboqsは、耐量子暗号アルゴリズム用のオープンソースのCライブラリです。当初は鍵交換アルゴリズムに重点を置いていましたが、現在ではいくつかの署名方式も含まれています。耐量子鍵交換アルゴリズムに適した共通のアプリケーションプログラミングインターフェース (API) を提供し、さまざまな実装を収集します。liboqsには、耐量子実装のパフォーマンスを比較するためのテストハーネスとベンチマークルーチンも含まれます。さらに、OQSはliboqsをOpenSSLに統合する機能も提供しています。[ 72 ]

2023年3月現在、以下の鍵交換アルゴリズムがサポートされている。[ 69 ]

2024年8月現在、NISTは以下の3つのアルゴリズムをFIPS標準として公開しており、4つ目は年末近くに公開される予定です。[ 73 ]

アルゴリズムタイプ
バイク[ 74 ]コード
クラシック・マケリースゴッパコード
FIPS-203:クリスタル-KyberML-KEM: [ 75 ]エラー付きモジュール学習
FIPS-204: 結晶-二リチウム[ 76 ] [ 77 ]ML-DSA: [ 78 ]モジュール短整数解
FIPS-205: SPHINCS+SLH-DSA: [ 79 ]ハッシュベース
FIPS-206:ファルコンFN-DSA: [ 80 ]短整数解
フロド[ 81 ] [ 82 ]間違いから学ぶ
本社[ 83 ] [ 84 ]コード
NTRU [ 85 ]格子ベースの暗号

NIST ポスト量子暗号標準化プロジェクト の進行により削除された、サポート対象の古いバージョンは次のとおりです。

アルゴリズムタイプ
BCNS15 [ 86 ]エラー鍵交換を伴うリング学習
マクビッツ[ 87 ]誤り訂正符号
ニューホープ[ 88 ] [ 53 ]エラー鍵交換を伴うリング学習
シッド[ 89 ] [ 90 ]超特異同型鍵交換

実装

耐量子暗号における課題は、潜在的に量子耐性のあるアルゴリズムを既存のシステムに実装することです。例えば、Microsoft Researchはハードウェアセキュリティモジュールを用いてPKIにPICNICを実装するテストを実施しています。[ 91 ] GoogleのNewHopeアルゴリズムのテスト実装もHSMベンダーによって行われています。2023年8月、GoogleはETHチューリッヒと提携して、ECC /Dilithiumハイブリッド署名スキームのFIDO2セキュリティキー実装をリリースしました。[ 92 ]

シグナルプロトコルは2023年からポスト量子拡張ディフィー・ヘルマン(PQXDH)を使用しています。 [ 93 ] [ 94 ]

2024年2月21日、AppleはiMessageプロトコルを「PQ3」と呼ばれる新しいPQCプロトコルにアップグレードすると発表した。このプロトコルは継続的鍵生成を使用する。 [ 95 ] [ 96 ] [ 97 ] Appleは、高性能な量子コンピュータはまだ存在しないものの、将来の量子コンピュータやいわゆる「今すぐ収集、後で復号」攻撃シナリオによるリスクを軽減したいと述べた。Appleは、PQ3実装は継続的鍵生成を使用しているため、「広く導入されている他のすべてのメッセージングアプリの保護を上回る」保護を提供すると考えていると述べた。 Appleは、2024年末までに、サポートされているすべての会話内の既存のiMessageプロトコルをPQ3に置き換えることを計画していました。Appleはまた、メッセージングアプリのセキュリティ特性を比較しやすくするために、0から3のレベルで表されるスケールを定義しました。0はデフォルトでエンドツーエンドなし、1はデフォルトで量子コンピュータ以前のエンドツーエンド、2はPQCキーの確立のみ(例:PQXDH)、3はPQCキーの確立継続的なキー再生成(PQ3)です。[ 95 ]

インターネットエンジニアリングタスクフォースは、メッセージング層セキュリティ(MLS)でPQCアルゴリズムを使用するインターネットドラフトを準備しました。[ 98 ] MLSは、 Googleメッセージメッセージ(Apple)のRCSテキストメッセージングで使用されます。

その他の注目すべき実装は次のとおりです。

物理層の補完

耐量子アルゴリズムはデータコンテンツを将来の復号から保護しますが、暗号化された暗号文自体の傍受と保存を防ぐことはできません(「今すぐ収集、後で復号」として知られる脅威モデル)。このリスクを軽減するために、一部のネットワークアーキテクチャでは、PQCに加えて物理層セキュリティ(PLS)または光カオスを組み込んでいます。[ 101 ]

これらの物理的対策は、スペクトル位相符号化を用いて光信号をノイズフロア(負のOSNR)内に埋め込むことで、伝送を記録不可能にすることを目的としています。これは「多層防御」戦略を実現します。物理的な難読化によって暗号文の収集を完全に阻止し、将来の量子復号に利用されるデータが存在しないことを保証し、PQCアルゴリズムによってエンドポイントに保存されたデータに必要な保護を提供します。[ 102 ]

ハイブリッド暗号化

X25519MLKEM768 を使用したFirefox 135.0 を示すCloudflare のポスト量子鍵合意テストページのスクリーンショット

Googleは、耐量子暗号技術の使用において「ハイブリッド暗号化」の採用を維持している。比較的新しい耐量子暗号方式を使用する場合は、より実績のある非PQ方式と組み合わせる。これは、比較的新しいPQアルゴリズムがY2Q以前に非量子攻撃に対して脆弱であることが判明した場合でも、データが侵害されないことを保証するためである。このタイプの方式は、2016年と2019年の耐量子TLSテスト[ 103 ] 、および2023年のFIDO2鍵[ 92 ]で使用されている。2019年のテストで使用されたアルゴリズムの1つであるSIKEは2022年に破られたが、非PQ X25519層(TLSで既に広く使用されている)によって依然としてデータが保護された。[ 103 ] AppleのPQ3とSignalのPQXDHもハイブリッドである。[ 95 ]

NSAとGCHQは、ハイブリッド暗号化は実装と移行を複雑化すると主張し、反対している。ハイブリッド暗号化を支持するダニエル・J・バーンスタインは、これらの主張は根拠がないと主張している。[ 103 ]

参照

参考文献

  1. ^ 「ポスト量子暗号:ポスト量子時代の新たなセキュリティパラダイム」Penta Security Inc. 2025年6月5日. 2025年7月10日閲覧
  2. ^ Shor, Peter W. (1997). 「量子コンピュータにおける素因数分解と離散対数のための多項式時間アルゴリズム」. SIAM Journal on Computing . 26 (5): 1484–1509 . arXiv : quant-ph/9508027 . Bibcode : 1995quant.ph..8027S . doi : 10.1137/S0097539795293172 . S2CID 2337707 . 
  3. ^ a b c Bernstein, Daniel J. (2009). 「耐量子暗号入門」(PDF) .耐量子暗号.
  4. ^クレイマー、アンナ(2023年)「驚きと超クールさ」。量子アルゴリズムがインターネット暗号をより速くハッキングする方法を提供。Science。381 ( 6664 ) : 1270. doi : 10.1126/ science.adk9443。PMID 37733849。S2CID  262084525 
  5. ^ Regev, Oded (2025-02-28). 「効率的な量子因数分解アルゴリズム」 . Journal of the ACM . 72 (1): 1– 13. arXiv : 2308.06572 . doi : 10.1145/3708471 . ISSN 0004-5411 . 
  6. ^ Gershon, Eric (2013-01-14). 「新しい量子ビット制御は量子コンピューティングの未来に明るい兆し」 . phys.org .
  7. ^ Heger, Monica (2009年1月1日). 「暗号学者が量子コンピュータに挑戦」 IEEE Spectrum .
  8. ^ a b「ポスト量子コンピューティング暗号研究者Jintai Ding氏とのQ&A」 IEEE Spectrum 2008年11月1日。
  9. ^ 「ETSI Quantum Safe Cryptography Workshop」 . ETSI Quantum Safe Cryptography Workshop . ETSI. 2014年10月. 2016年8月17日時点のオリジナルよりアーカイブ2015年2月24日閲覧。
  10. ^ Gasser, Linus (2023), Mulder, Valentin; Mermoud, Alain; Lenders, Vincent; Tellenbach, Bernhard (編)、「ポスト量子暗号」、Trends in Data Protection and Encryption Technologies、Cham: Springer Nature Switzerland、pp.  47– 52、doi : 10.1007/978-3-031-33386-6_10ISBN 978-3-031-33386-6{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  11. ^タウンゼント、ケビン (2022年2月16日). 「量子暗号における『今すぐ収集、後で復号』問題の解決」 SecurityWeek . 2023年4月9日閲覧
  12. ^ 「量子耐性のある安全な通信」(PDF) .英国国家量子技術プログラム. 2021年10月. 2023年4月9日閲覧
  13. ^ Daniel J. Bernstein (2009-05-17). 「ハッシュ衝突のコスト分析:量子コンピュータはSHARCSを時代遅れにするのか?」(PDF) .
  14. ^ Daniel J. Bernstein (2010年3月3日). 「グローバー対マケリース」(PDF) .
  15. ^ NIST、最終決定された最初の3つの量子暗号標準を発表、NIST、2024年8月13日
  16. ^ 「ポスト量子暗号への移行に向けた協調的実施ロードマップ」欧州連合、2025年6月23日。
  17. ^ 「PQC移民ハンドブック」総合情報安全保障局。2024年12月1日。
  18. ^ Peikert, Chris (2014), Mosca, Michele (ed.), "Lattice Cryptography for the Internet" (PDF) , Post-Quantum Cryptography , Lecture Notes in Computer Science, vol. 8772, Cham: Springer International Publishing, pp.  197– 219, doi : 10.1007/978-3-319-11659-4_12 , ISBN 978-3-319-11658-7、 2025年7月24日閲覧{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  19. ^ a b c Güneysu, Tim; Lyubashevsky, Vadim; Pöppelmann, Thomas (2012), Prouff, Emmanuel; Schaumont, Patrick (eds.), "Practical Lattice-Based Cryptography: A Signature Scheme for Embedded Systems" (PDF) , Cryptographic Hardware and Embedded Systems – CHES 2012 , vol. 7428, Berlin, Germany; Heidelberg, Germany: Springer Berlin Heidelberg, pp.  530– 547, doi : 10.1007/978-3-642-33027-8_31 , ISBN 978-3-642-33026-1、 2025年7月24日閲覧{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  20. ^張 江; 張 振鋒; 丁 金泰; スヌーク マイケル; ダグデレン オズギュル (2015), オズワルド エリザベス; フィッシュリン マルク (編)、「理想格子からの認証鍵交換」(PDF)Advances in Cryptology – EUROCRYPT 2015、第9057巻、ベルリン、ドイツ; ハイデルベルク、ドイツ: Springer Berlin Heidelberg、pp.  719– 751、doi : 10.1007/978-3-662-46803-6_24ISBN 978-3-662-46802-9、 2025年7月24日閲覧{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  21. ^ a b Ducas, Léo; Durmus, Alain; Lepoint, Tancrède; Lyubashevsky, Vadim (2013), Canetti, Ran; Garay, Juan A. (eds.), "Lattice Signatures and Bimodal Gaussians" (PDF) , Advances in Cryptology – CRYPTO 2013 , vol. 8042, ベルリン, ドイツ; ハイデルベルク, ドイツ: Springer Berlin Heidelberg, pp.  40– 56, doi : 10.1007/978-3-642-40041-4_3 , ISBN 978-3-642-40040-7、 2025年7月24日閲覧{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  22. ^ a b Lyubashevsky, Vadim; Peikert, Chris; Regev, Oded (2010), Gilbert, Henri (ed.), "On Ideal Lattices and Learning with Errors over Rings" (PDF) , Advances in Cryptology – EUROCRYPT 2010 , vol. 6110, Berlin, Germany; Heidelberg, Germany: Springer Berlin Heidelberg, pp.  1– 23, doi : 10.1007/978-3-642-13190-5_1 , ISBN 978-3-642-13189-9、 2025年7月24日閲覧{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  23. ^ a b c d e f gオーゴ、ダニエル;バティナ、レイラ。ダニエル・J・バーンスタイン;ボス、ジョッペ。ヨハネス・ブックマン;カストリック、ワウター。Dunkelman, オア州;グネイス、ティム。ゲロン、シェイ。ヒュルシング、アンドレアス。Lange, タンハ;モハメド、モハメド・サイード・エマーム。レヒベルガー、クリスチャン。シュワーベ、ピーター。センドリエ、ニコラス。フェルコーテレン、フレデリック。ヤン、ボイン(2015年9月7日)。「長期的に安全なポスト量子システムの初期推奨事項」(PDF)PQCRYPTO 2015 年9 月 13 日に取得
  24. ^ Stehlé, Damien; Steinfeld, Ron (2013-01-01). 「NTRUEncryptとNTRUSignを理想格子上の標準的な最悪ケース問題と同等の安全性にする」 Cryptology ePrint Archive .
  25. ^ Easttom, Chuck (2019-02-01). 「主要な格子ベース非対称暗号プリミティブの分析」. 2019 IEEE 第9回年次コンピューティング・コミュニケーション・ワークショップ・カンファレンス (CCWC) . pp.  811– 818. doi : 10.1109/CCWC.2019.8666459 . ISBN 978-1-7281-0554-3. S2CID  77376310 .
  26. ^ 「NIST、最終決定された最初の3つのポスト量子暗号標準を発表」アメリカ国立標準技術研究所。2024年8月13日。
  27. ^ Ding, Jintai; Schmidt, Dieter (2005年6月7日). 「Rainbow:新しい多変数多項式署名方式」. Ioannidis, John (編). 『応用暗号とネットワークセキュリティ』. コンピュータサイエンス講義ノート. 第3531巻. pp.  64– 175. doi : 10.1007/11496137_12 . ISBN 978-3-540-26223-7. S2CID  6571152 .
  28. ^ Buchmann, Johannes; Dahmen, Erik; Hülsing, Andreas (2011). 「XMSS – 最小限のセキュリティ仮定に基づく実用的な前方秘匿署名方式」. 耐量子暗号. PQCrypto 2011.コンピュータサイエンス講義ノート. 第7071巻. pp.  117– 129. CiteSeerX 10.1.1.400.6086 . doi : 10.1007/978-3-642-25405-5_8 . ISBN  978-3-642-25404-8. ISSN  0302-9743 .
  29. ^ a bバーンスタイン、ダニエル J.;ホップウッド、ダイラ。ヒュルシング、アンドレアス。Lange, タンハ;ニーダーハーゲン、ルーベン。パパクリストドゥロウ、ルイザ。シュナイダー、マイケル。シュワーベ、ピーター。ウィルコックス=オハーン、ズーコ(2015)。 「SPHINCS: 実用的なステートレス ハッシュベースの署名」。オズワルド、エリザベス;マーク・フィシュリン(編)。暗号学の進歩 – EUROCRYPT 2015。コンピューターサイエンスの講義ノート。 Vol. 9056.シュプリンガー・ベルリン・ハイデルベルク。ページ 368 ~ 397。CiteSeerX 10.1.1.690.6403土井: 10.1007/978-3-662-46800-5_15ISBN  9783662467992
  30. ^ヒュールシング、A.;ブティン、D.ガスダグ、S.ライネフェルト、J.モハイセン、A. (2018)。「RFC 8391 – XMSS: 拡張マークル署名スキーム」tools.ietf.org土井: 10.17487/RFC8391
  31. ^ Naor, M.; Yung, M. (1989).ユニバーサル一方向ハッシュ関数とその暗号応用. ACM Press. pp.  33– 43. doi : 10.1145/73007.73011 . ISBN 978-0-89791-307-2
  32. ^ Overbeck, Raphael; Sendrier (2009). 「コードベース暗号」. Bernstein, Daniel (編).耐量子暗号. pp.  95– 145. doi : 10.1007/978-3-540-88702-7_4 . ISBN 978-3-540-88701-0
  33. ^ 「NIST、量子暗号対応の5番目のアルゴリズムとしてHQCを選択」アメリカ国立標準技術研究所( NIST)2025年3月11日。
  34. ^ Castryck, Wouter; Lange, Tanja; Martindale, Chloe; Panny, Lorenz; Renes, Joost (2018). 「CSIDH: 効率的なポスト量子可換群作用」 . Peyrin, Thomas; Galbraith, Steven (編). Advances in Cryptology – ASIACRYPT 2018 . Lecture Notes in Computer Science. Vol. 11274. Cham: Springer International Publishing. pp.  395– 427. doi : 10.1007/978-3-030-03332-3_15 . hdl : 1854/LU-8619033 . ISBN 978-3-030-03332-3. S2CID  44165584 .
  35. ^ De Feo, Luca; Kohel, David; Leroux, Antonin; Petit, Christophe; Wesolowski, Benjamin (2020). 「SQISign: クォータニオンとアイソジェニからのコンパクトなポスト量子署名」 . Moriai, Shiho; Wang, Huaxiong (編). Advances in Cryptology – ASIACRYPT 2020 . Lecture Notes in Computer Science. Vol. 12491. Cham: Springer International Publishing. pp.  64– 93. doi : 10.1007/978-3-030-64837-4_3 . hdl : 2013/ULB-DIPOT:oai:dipot.ulb.ac.be:2013/318983 . ISBN 978-3-030-64837-4. ISSN  0302-9743 . S2CID  222265162 .
  36. ^ Castryck, Wouter; Decru, Thomas (2023), Hazay, Carmit; Stam, Martijn (編)、「SIDHに対する効率的な鍵回復攻撃」Advances in Cryptology – EUROCRYPT 2023、vol. 14008、Cham: Springer Nature Switzerland、pp.  423– 447、doi : 10.1007/978-3-031-30589-4_15ISBN 978-3-031-30588-7, S2CID  258240788 , 2023年6月21日取得{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  37. ^ 「SIKEはすでに壊れているのか?」2023年6月23日閲覧
  38. ^ Perlner, Ray A.; Cooper, David A. (2009-04-14).量子耐性公開鍵暗号:概説. ACM. pp.  85– 93. doi : 10.1145/1527017.1527028 . ISBN 978-1-60558-474-4
  39. ^カンパーニャ、マット;トーマス・ハードジョノ。ピンツォフ、レオン。ロマンスキー、ブライアン。ユウ、テイラー (2013)。「Kerberos の量子安全認証の再考」(PDF)。 ETSI。
  40. ^ Akleylek, Sedat; Bindel, Nina; Buchmann, Johannes; Krämer, Juliane; Marson, Giorgia Azzurra (2016), Pointcheval, David; Nitaj, Abderrahmane; Rachidi, Tajjeeddine (eds.), "An Efficient Lattice-Based Signature Scheme with Provably Secure Instantiation" , Progress in Cryptology – AFRICACRYPT 2016 , vol. 9646, Cham: Springer International Publishing, pp.  44– 60, doi : 10.1007/978-3-319-31517-1_3 , ISBN 978-3-319-31516-4、 2025年7月27日閲覧{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  41. ^ Nejatollahi, Hamid; Dutt, Nikil; Ray, Sandip; Regazzoni, Francesco; Banerjee, Indranil; Cammarota, Rosario (2019-02-27). 「ポスト量子格子ベース暗号実装:概説」 . ACM Computing Surveys . 51 (6): 1– 41. doi : 10.1145/3292548 . ISSN 0360-0300 . S2CID 59337649 .  
  42. ^ Bulygin, Stanislav; Petzoldt; Buchmann (2010). 「直接攻撃に対する不均衡な油と酢の署名方式の証明可能安全性に向けて」. Progress in Cryptology – INDOCRYPT 2010. Lecture Notes in Computer Science. Vol. 6498. pp.  17– 32. CiteSeerX 10.1.1.294.3105 . doi : 10.1007/978-3-642-17401-8_3 . ISBN  978-3-642-17400-1
  43. ^ペレイラ、ジェヴァンドロ;プオジウス、カシアス。パウロ、バレット (2016)。 「より短いハッシュベースの署名」。システムとソフトウェアのジャーナル116 : 95–100 .土井: 10.1016/j.jss.2015.07.007
  44. ^ Garcia, Luis. 「Merkle署名方式の安全性と効率性について」(PDF) . Cryptology ePrint Archive . IACR . 2013年6月19日閲覧
  45. ^ Blaum, Mario; Farrell; Tilborg (2002年5月31日).情報・符号化・数学. Springer. doi : 10.1007/978-1-4757-3585-7 . ISBN 978-1-4757-3585-7
  46. ^ Wang, Yongge (2016). 「量子耐性ランダム線形符号に基づく公開鍵暗号化方式RLCE」. 2016 IEEE International Symposium on Information Theory (ISIT) . pp.  2519– 2523. arXiv : 1512.08454 . Bibcode : 2015arXiv151208454W . doi : 10.1109/ISIT.2016.7541753 . ISBN 978-1-5090-1806-2
  47. ^ Delfs, Christina; Galbraith, Steven D. (2016年2月). 「F_p上の超特異楕円曲線間の同種性計算」 . Designs, Codes and Cryptography . 78 (2): 425– 440. arXiv : 1310.7789 . doi : 10.1007/s10623-014-0010-1 . ISSN 0925-1022 . 
  48. ^米国国立標準技術研究所 (2024年8月13日).モジュールラティスベースデジタル署名標準(PDF) (レポート). メリーランド州ゲイサーズバーグ: 米国国立標準技術研究所. doi : 10.6028/nist.fips.204 .
  49. ^ a b Hirschhorn, Philip S.; Hoffstein, Jeffrey; Howgrave-Graham, Nick; Whyte, William (2009), Abdalla, Michel; Pointcheval, David; Fouque, Pierre-Alain; Vergnaud, Damien (eds.), "Choosing NTRUEncrypt Parameters in Light of Combined Lattice Reduction and MITM Approaches" , Applied Cryptography and Network Security , vol. 5536, Berlin, Heidelberg: Springer Berlin Heidelberg, pp.  437– 455, doi : 10.1007/978-3-642-01957-9_27 , ISBN 978-3-642-01956-2、 2025年8月7日閲覧{{citation}}: CS1 maint: ISBNによる作業パラメータ(リンク
  50. ^ a b Petzoldt, Albrecht; Bulygin; Buchmann (2010). 「Rainbow Signature Scheme のパラメータ選択 - 拡張版 -」(PDF) . 2016年3月4日時点のオリジナルよりアーカイブ(PDF) . 2014年5月12日閲覧
  51. ^バーンスタイン、ダニエル・J.ドブラウニグ、クリストフ。アイヒルゼーダー、マリア。フララー、スコット。ガスダグ、ステファン=ルーカス。ヒュルシング、アンドレアス。カンパナキス、パノス島。ケルブル、ステファン。Lange, タンハ;ラウリドセン、マーティン M.メンデル、フロリアン。ニーダーハーゲン、ルーベン。レヒベルガー、クリスチャン。ライネフェルト、ジュースト。シュワベ、ピーター(2017年11月30日)。「SPHINCS+: NIST ポスト量子プロジェクトへの提出」(PDF)
  52. ^ Chopra, Arjun (2017). 「GLYPH: GLPデジタル署名方式の新たな概念」 Cryptology ePrint Archive .
  53. ^ a b Alkim, Erdem; Ducas, Léo; Pöppelmann, Thomas; Schwabe, Peter (2015). 「ポスト量子鍵交換 ― 新たな希望」 (PDF). Cryptology ePrint Archive, Report 2015/1092 . 2017年9月1日閲覧
  54. ^ Wang, Yongge (2017). 「McEliece方式における改訂版量子耐性公開鍵暗号方式RLCEとIND-CCA2セキュリティ」Cryptology ePrint Archive .
  55. ^ Misoczki, R.; Tillich, JP; Sendrier, N.; Barreto, PSLM (2013). 「MDPC-McEliece: 中密度パリティチェック符号からの新たなMcEliece変種」. 2013 IEEE International Symposium on Information Theory . pp.  2069– 2073. CiteSeerX 10.1.1.259.9109 . doi : 10.1109/ISIT.2013.6620590 . ISBN  978-1-4799-0446-4. S2CID  9485532 .
  56. ^コステロ、クレイグ、ロンガ、パトリック、ネイリッグ、マイケル (2016). 「超特異性同型ディフィー・ヘルマン暗号の効率的なアルゴリズム」(PDF) .暗号学の進歩 – CRYPTO 2016.コンピュータサイエンス講義ノート. 第9814巻. pp.  572– 601. doi : 10.1007/978-3-662-53018-4_21 . ISBN 978-3-662-53017-7
  57. ^ a b Costello, Craig; Jao; Longa; Naehrig; Renes; Urbanik. 「SIDH公開鍵の効率的な圧縮」2016年10月8日閲覧
  58. ^ Ding, Jintai; Xie, Xiang; Lin, Xiaodong (2012-01-01). 「誤り学習問題に基づく、シンプルで証明可能な安全な鍵交換方式」 . Cryptology ePrint Archive .
  59. ^ Peikert, Chris (2014年1月1日). 「インターネットのための格子暗号」 . Cryptology ePrint Archive .
  60. ^ Singh, Vikram (2015). 「格子暗号を用いたインターネット向け実用鍵交換」 . Cryptology ePrint Archive . 2015年4月18日閲覧。
  61. ^ a b Zhang, Jiang; Zhang, Zhenfeng; Ding, Jintai; Snook, Michael; Dagdelen, Özgür (2015-04-26). 「理想格子による認証鍵交換」. Oswald, Elisabeth; Fischlin, Marc (編). Advances in Cryptology – EUROCRYPT 2015 . Lecture Notes in Computer Science. Vol. 9057. Springer Berlin Heidelberg. pp.  719– 751. CiteSeerX 10.1.1.649.1864 . doi : 10.1007/978-3-662-46803-6_24 . ISBN  978-3-662-46802-9
  62. ^ Krawczyk, Hugo (2005-08-14). 「HMQV: 高性能で安全なDiffie-Hellmanプロトコル」. Shoup, Victor (編). Advances in Cryptology – CRYPTO 2005 . Lecture Notes in Computer Science. Vol. 3621. Springer. pp.  546– 566. doi : 10.1007/11535218_33 . ISBN 978-3-540-28114-6
  63. ^ Naor, Dalit; Shenhav, Amir; Wool, Avishai (2006年11月). 「ワンタイム署名の再考:フラクタル・マークル木トラバーサルを用いた実用的な高速署名」. 2006 IEEE 24th Convention of Electrical & Electronics Engineers in Israel . IEEE. pp.  255– 259. doi : 10.1109/EEEI.2006.321066 . ISBN 978-1-4244-0229-8
  64. ^バレット、パウロ SLM;ビアシ、フェリペ広場。ダハブ、リカルド。ロペス・エルナンデス、フリオ・セザール。モライス、エドゥアルド M. デ;オリベイラ、アナ D. サリナ デ;ペレイラ、ジェヴァンドロ CCF。リカルディーニ、ジェファーソン E. (2014)。コチ、チェティン・カヤ (編)。ポスト量子暗号のパノラマ。シュプリンガー・インターナショナル・パブリッシング。 pp.  387–439 ​​。土井: 10.1007/978-3-319-10683-0_16ISBN 978-3-319-10682-3
  65. ^ De Feo, Luca; Jao; Plut (2011). 「超特異楕円曲線アイソジェニからの量子耐性暗号システムに向けて」(PDF) . 2014年2月11日時点のオリジナルよりアーカイブ(PDF) . 2014年5月12日閲覧
  66. ^ Azarderakhsh, Reza; Jao, David; Kalach, Kassem; Koziel, Brian; Leonardi, Christopher. 「アイソジェニーベース暗号システムの鍵圧縮」 eprint.iacr.org . 2016年3月2日閲覧
  67. ^ Ristic, Ivan (2013年6月25日). 「Deploying Forward Secrecy」 . SSL Labs . 2014年6月14日閲覧
  68. ^ 「NTRU は Perfect Forward Secrecy を提供しますか?crypto.stackexchange.com
  69. ^ a b「Open Quantum Safe」 . openquantumsafe.org .
  70. ^ Stebila, Douglas; Mosca, Michele. 「インターネットにおけるポスト量子鍵交換とOpen Quantum Safeプロジェクト」 . Cryptology ePrint Archive, Report 2016/1017, 2016. 2017年4月9日閲覧
  71. ^ 「liboqs: 量子耐性暗号アルゴリズムのCライブラリ」 2017年11月26日 – GitHub経由。
  72. ^ "oqsprovider: OpenSSL (3.x) 用の Open Quantum Safe プロバイダー" 2024年8月12日 – GitHub経由。
  73. ^ 「NIST、最終決定された最初の3つのポスト量子暗号標準を発表」 NIST 2024年8月13日。
  74. ^ 「BIKE – ビットフリッピングキーのカプセル化」 bikesuite.org . 2023年8月21日閲覧
  75. ^ 「モジュールラティスベースのキーカプセル化メカニズム標準」 2024年。doi 10.6028 /NIST.FIPS.203
  76. ^シュワーベ、ピーター。「ダイリチウム」pq-crystals.org 2023-08-19に取得
  77. ^ 「代数格子の暗号化スイート、デジタル署名: Dilithium」(PDF)
  78. ^ 「モジュールラティスベースのデジタル署名標準」 2024年。doi 10.6028 /NIST.FIPS.204
  79. ^ 「ステートレスハッシュベースデジタル署名標準」 2024年。doi : 10.6028 /NIST.FIPS.205
  80. ^ 「NIST、最終決定された最初の3つのポスト量子暗号標準を発表」 NIST 2024年8月13日。
  81. ^ボス、ジョッペ;クレイグ・コステロ。デュカス、レオ。ミロノフ、イリヤ。ネーリッグ、マイケル。ニコラエンコ、ヴァレリア。ラグナタン、アナント。ステビラ、ダグラス (2016-01-01)。「フロド: 指輪を外してください! LWE の実用的で量子的に安全な鍵交換」暗号学 ePrint アーカイブ
  82. ^ "FrodoKEM" . frodokem.org . 2023年8月21日閲覧
  83. ^ "HQC" . pqc-hqc.org . 2023年8月21日閲覧
  84. ^ 「HQC の高速かつ効率的なハードウェア実装」(PDF)
  85. ^ "NTRUOpenSourceProject/NTRUEncrypt" . GitHub . 2017年4月10日閲覧
  86. ^ダグラス、ステビラ (2018 年 3 月 26 日)。「liboqs nist ブランチ アルゴリズム データシート: kem_newhopenist」GitHub 2018 年9 月 27 日に取得
  87. ^ Bernstein, Daniel J.; Chou, Tung; Schwabe, Peter (2015-01-01). 「McBits: 高速な定数時間コードベース暗号」 . Cryptology ePrint Archive .
  88. ^ 「Lattice Cryptography Library」 . Microsoft Research . 2016年4月19日. 2018年9月27日閲覧
  89. ^ 「SIDHライブラリ – Microsoft Research」。Microsoft Research 。 2017年4月10日閲覧
  90. ^ Feo, Luca De; Jao, David; Plût, Jérôme (2011年1月1日). 「超特異楕円曲線同型性に基づく量子耐性暗号システムに向けて」 . Cryptology ePrint Archive . PQCrypto 2011. 2014年5月3日時点のオリジナルよりアーカイブ
  91. ^ "Microsoft/Picnic" (PDF) . GitHub . 2018年6月27日閲覧
  92. ^ a b「量子耐性セキュリティキーに向けて」。Googleオンラインセキュリティブログ。 2023年8月19日閲覧
  93. ^フィードラー、ルネ、ジャンソン、クリスチャン (2024). 「Signalの初期ハンドシェイクPQXDHの否認可能性分析」 .プライバシー強化技術に関する議事録. 2024 (4): 907– 928. doi : 10.56553/popets-2024-0051 . ISSN 2299-0984 . 
  94. ^ Ehren Kret、Rolfe Schmidt (2023年9月19日). 「量子抵抗とシグナルプロトコル」 . Signal Foundation .
  95. ^ a b c Apple Security Engineering and Architecture (SEAR) (2024年2月21日). 「PQ3搭載iMessage:大規模量子セキュアメッセージングの最新技術」 . Apple Security Research . Apple Inc. 2024年2月22日閲覧.侵害耐性の高い暗号化と、高度な量子攻撃にも耐える広範な防御機能を備えたPQ3は、レベル3セキュリティに到達した初のメッセージングプロトコルであり、広く導入されている他のすべてのメッセージングアプリのセキュリティを上回るプロトコル保護を提供します。
  96. ^ Rossignoi, Joe (2024年2月21日). 「Apple、iMessage向けの画期的な新セキュリティプロトコルを発表」 . MacRumors . 2024年2月22日閲覧
  97. ^ Potuck, Michael (2024年2月21日). 「Apple、iOS 17.4でiMessage向けの量子コンピューター保護を発表、その意味は?」 9to5Mac . 2024年2月22日閲覧
  98. ^ Mahy, Rohan; Barnes, Richard (2025-03-03).メッセージング層セキュリティのためのML-KEMとハイブリッド暗号スイート(レポート). インターネット技術タスクフォース.
  99. ^ 「Bouncy Castle ベータ版」
  100. ^ 「Open Quantum Safe」
  101. ^ Sadot, Dan (2025). 「高速光通信におけるフォトニック層セキュリティ」 . Journal of Lightwave Technology . 43 (4). IEEE: 1671– 1677. doi : 10.1109/JLT.2024.3522110 .
  102. ^ 「モードロックレーザーの位相マスキングとマルチホモダインコヒーレント検波に基づく実用的な光層セキュリティの暗号解析」光波技術ジャーナル42 (19) 。IEEE 6712–6730。2024年。
  103. ^ a b cバーンスタイン、ダニエル・J. (2024年1月2日). 「二重暗号化:NSA/GCHQによるハイブリッドに対する反論の分析。#nsa #定量化 #リスク #複雑性 #コスト」 .

さらに読む

「 https://en.wikipedia.org/w/index.php?title=ポスト量子暗号&oldid =1334672695」より取得