量子コンピューティング分野の最新の発展により、多くの人々が古典暗号の将来性を懸念しているが、12月4日、中国の科学者らは、76個の光子(量子ビット)を備えた量子コンピューティングのプロトタイプを構築した光量子コンピュータ「Jiuzhang」の検証に成功した。これは、古典的な暗号を破るのに必要な数千の利用可能な量子ビットからそれほど遠くありません。 (速度の点では、数学的アルゴリズムであるガウス ボーズ サンプリングを解くのにわずか 200 秒しかかかりませんが、現在のスーパーコンピューターでは 6 億年かかります。一般に、量子コンピューターが従来のものを超えると期待されることを証明するための重要な閾値は 50 量子ビットであると考えられていますコンピュータ)。
将来、量子コンピューティングが画期的な進歩を遂げた場合、一部の人の試算によると、2031年までにRSAおよびECC(楕円暗号)アルゴリズムが解読される確率は約50%となり、ビットコインやイーサリアムなどのブロックチェーンは古典的なものに加えて、ビットコインは二重の SHA256 アルゴリズムを使用しているため、銀行や Alipay が使用するセキュリティ システムと比較して追加の防御線となっていますが、依然としてさまざまな攻撃ベクトルを持っています。 . モクレスの剣、これから世界はどうなってしまうのでしょうか?量子コンピューターはブロックチェーンの秘密を手に入れるのか?実際、量子セキュリティ技術も急成長していることは言うまでもなく、量子コンピュータを使用しても、多くの古典的なセキュリティ アルゴリズムは引き続き有効です。ブロックチェーン業界の一部の研究者も、関連する耐量子暗号アルゴリズムを継続的に研究しており、NIST は 2017 年には耐量子暗号の標準化プロセスを開始し、2022 年までに耐量子暗号 (耐量子暗号) を準備したいと考えていました。合計 69 の候補アルゴリズムが、最低限の受け入れ基準と提出要件の両方を満たしました。厳格な評価基準と選考プロセスのため、第 3 ラウンドの最終候補者リストと候補者は 2020 年 7 月 22 日まで発表されませんでした。誰もが最も楽観的に考えているデジタル署名は、スイスの ABCMint 数学アルゴリズムによって推進されている反量子署名です。 Foundation.スキームは、ポスト量子暗号化財団によってサポートされている反量子アルゴリズムの 1 つであり、署名長が最も短い署名反量子署名スキームであるレインボー署名 Rainbow は、間違いなく NIST デジタル署名リストの第 3 ラウンドに入りました。
米国国立標準技術研究所 (National Institute of Standards and Technology、NIST) は、国際的に高い評価を得ています。NIST には、物理学における功績によりノーベル賞を受賞した研究者が 4 名います: ウィリアム ダニエル フィリップス (1997 年)、エリック コーネル (2001 年) 、John Hall (2005) と David Vineland (2012) は、米国政府の研究所からの最多受賞者です。このうち、Rainbow は最小の署名長を持つ署名であり、Falcon と Dilithium の署名長は非常に長く、選択された 3 つの Dilithium は解読される可能性が最も高くなります。Falcon は NTRU アーキテクチャであり、NTRU は NTRU アーキテクチャに似ています。ポットに漏れがあります。パッチは当てられていますが、常に問題があります。ファルコンは、最も多くの人が研究し、解決しようとしているものです。 Rainbow の最大の利点は、最も長い歴史を持ち、それを解読する方法がないとほぼ認識されており、署名が最も短いことです。 Rainbow は NP-Hard 問題であり、抜け穴を見つけるのが困難です。したがって、レインボーは、将来的にデジタル通貨が採用できる唯一の耐量子署名となるはずです。
図: 3 つのアルゴリズムの公開鍵と署名のサイズの比較
Rainbow は、多変量署名スキームであり、その層構造は Unbalance Oil-Gooseberry (UOV) 署名スキームに基づいています。 Rainbow 層によって課された追加の構造により、スキームはより暗号解読技術にさらされますが、スキームの効率は向上します。 Rainbow は、高速な署名と検証、および非常に短い署名を提供しますが、非常に大きな公開キーを使用します。Rainbow は、多変量署名スキームであり、その層構造は Unbalance Oil-Gooseberry (UOV) 署名スキームに基づいています。 Rainbow 層によって課された追加の構造により、スキームはより暗号解読技術にさらされますが、スキームの効率は向上します。 Rainbow は、高速な署名と検証、および非常に短い署名を提供しますが、非常に大きな公開キーを使用します。Rainbow を選択すると、最終候補に挙げられた署名スキームの多様性が高まりますが、鍵のサイズが非常に大きいため、Rainbow は、現在 FIPS 186-4 に記載されているアルゴリズムを置き換える汎用署名アルゴリズムとしては適していません。特に、公開キーが大きいと、証明書チェーンが非常に大きくなります。ただし、アプリケーションによっては、キーを頻繁に送信する必要がないものもあります。このようなアプリケーションに対して、Rainbow は小さくて高速な署名を提供します。同様のパフォーマンス特性を持つ唯一の高度な署名候補である GeMSS は、キーがはるかに大きく、非常にローエンドのデバイスに実装するのは難しいようです。これらの理由により、Rainbow がファイナリストに選ばれました。NIST の研究者は、Rainbow スキームに関連する一部の攻撃ベクトルのパフォーマンスと理論的な複雑さの間にギャップがあることに注目しました。第 2 ラウンドでは、これらの有名な攻撃のより詳細な理論的分析が (新しいアルゴリズムとともに) 公開されました。特に、宣言された安全性レベルを達成するには、すべてのパラメータ セットのパラメータ調整が必要です。ただし、より保守的なパラメーターを選択すれば、最小限のパフォーマンス コストで宣言された安全レベルを達成できるはずです。Rainbow を標準化する準備が整う前に、そのパラメータを調整して、規定されたセキュリティ目標を確実に満たすようにする必要があります。さらに、NIST は、広範な採用を促進するためにロイヤリティフリーのライセンスを持つアルゴリズムを優先しています。
# CRYSTALS-DILITHIUM #
DILITHIUM のセキュリティは、MLWE の硬度とモジュラー短整数解問題 (MSIS) に依存しており、Fiat-Shamir およびアボート手法に従います。 DILITHIUM は、均一な分布を介してすべてのパラメータ セットとサンプルに同じモジュラスとリングを使用するため、主な競合製品である FALCON よりも実装が簡単になります。全体として、DILITHIUM は、鍵と署名のサイズ、および鍵生成、署名、および検証アルゴリズムの効率において、強力でバランスの取れたパフォーマンスを備えています。ダイリチウムは実際の実験で優れた性能を発揮しました。2 番目のラウンドでは、DILITHIUM は非決定論的に署名を生成するオプションを追加し、ハードウェア命令の将来の利点を示すために SHAKE の代わりに AES の使用に基づく実装を追加しました。さらに、DILITHIUM に適用できる QROM のセキュリティに関する新しい研究が発表されました。NIST は、DILITHIUM チームに 5 カテゴリのパラメーター セットを追加するよう奨励しました。 DILITHIUM の CoreSVP セキュリティ強度パラメータ セットは、現在進行中のすべてのグリッド スキームの中で最も低いため、特定のセキュリティを理解するにはさらなる研究が必要です。 NIST は DILITHIUM を最終候補として選択し、第 3 ラウンドの終了までに DILITHIUM または FALCON のいずれかが主要なポスト量子署名方式として標準化されることを期待しています。
# FALCON #
FALCON は、グリッドベースの署名スキームです。"ハッシュと署名"パラダイム。安全性はNTRUグリッド上のSIS(短整数解)問題の難易度に基づいており、ランダムオリンピアドモデル(ROM)とQROMの両方で安全性証明を与え、厳密な削減を行っています。 FALCON の実装は DILITHIUM よりも複雑で、ツリー状のデータ構造、多くの浮動小数点演算、およびいくつかの離散ガウス分布からのランダム サンプリングが必要です。FALCON の利点の 1 つは、すべての第 2 ラウンドのデジタル署名スキームの中で最小の帯域幅 (公開キー サイズと署名サイズ) を提供することです。 FALCON は署名と検証においても効率的ですが、鍵の生成は遅くなります。 FALCON は既存のプロトコルやアプリケーションに簡単に組み込むことができ、全体的に非常に優れたパフォーマンスを提供します。第 2 ラウンドの開始時に、FALCON はカテゴリ 3 パラメータ セットを削除しました。これにより、異なるモジュラスとリングの選択が使用されるため、仕様と実装が簡素化されました。第 2 ラウンドにおけるもう 1 つの主要なアップデートは、NIST の第 2 回 PQC 標準化会議の直後にリリースされた定数実装でした。第 3 ラウンドでは、NIST は、浮動小数点演算の使用が他のスキームよりも実装エラーが発生しやすいかどうか、またはサイドチャネル攻撃への道を提供するかどうかを判断するために、FALCON 実装をさらに精査することを奨励しました。また、サンプラーのテスト ベクトルが利用可能な場合は、ランダム シードを決定論的にテストできる可能性があるため、既知の応答テスト (KAT) を使用して実装を検証できます。他のいくつかの候補と同様に、FALCON のカテゴリ 1 パラメータの CoreSVP セキュリティ強度は比較的低いため、さらなる研究が必要です。
付録: Rainbow Signature 第 3 ラウンドのファイナリストリンク: https://groups.google.com/a/list.nist.gov/forum/m/#!topic/pqc-forum/0ieuPB-b8egレインボー署名の第 3 ラウンドの原文のスクリーンショット:
