2024年4月18日、アメリカ国家安全保障局NSAはCNSA 2.0(Commercial National Security Algorithm Suite 2.0)アドバイザリのアップデートを発表しました。
PQCフォーラムにFAQ形式でドキュメントが公開されています。
私たちが興味深いと感じた質問とその回答を、コメントを添えて数回に分けて投稿します。今回は第3回目です。
内容に入る前に、関連する用語について簡単にご説明いたします。
- NSS:米国国家安全保障システム
- NIST SP 800-208:米国国立標準技術研究所 特別刊行物 800-208 “Recommendation for Stateful Hash-Based Signature Schemes”
- LMS:Leighton-Micali Signature。ステートフルなハッシュベースの署名方式。
- HSS:Hierachical Signature Scheme。LMSの上位にあるハイパーツリーアルゴリズム。
- XMSS:eXtended Merkle Signature Scheme。ステートフルなハッシュベースの署名方式。
- XMSS^MT:eXtended Merkle Signature Scheme – Multi-Tree。XMSSの上位にあるハイパーツリーアルゴリズム。
Q. NIST SP 800-208のHSSまたはXMSS^MTを使用できますか?
A. NIST SP 800-208に基づき、NSAはNSSでの使用にLMSとXMSSのみを承認しています。HSSとXMSS^MTは許可されていません。
この回答は、NSSでの使用が承認されているのは実際のステートフルハッシュベースの署名スキームのみであることを意味します。NIST SP 800-208で指定されているハイパーツリー(ツリーオブツリーとも)コンポーネントは承認されていません。
私たちの実装では、実際のステートフルハッシュベースの署名スキームを備えたハイパーツリーコンポーネントをサポートします。
具体的には、HSS/LMS及びXMSS/XMSS^MTです。
LMS公開鍵の前に4バイト分の0を加えることで、HSS/LMS公開鍵として使用することができます。これは、署名においても同様に機能します。
ハイパーツリーコンポーネントに加えて、APIで次の仕様をサポートすることでXMSSも使用可能となります。
- XMSS-SHA2_10_256
- XMSS-SHA2_16_256
- XMSS-SHA2_20_256
MTは付加しないことにご注意ください。
wolfSSLは、耐量子アルゴリズムの将来に大きな期待を抱いています。
ベアメタル環境やリソースの制限された環境で実行できる高パフォーマンスなLMSやXMSSが必要でしたら、ぜひ info@wolfssl.jp までお問い合わせください。
原文:https://www.wolfssl.com/cnsa-2-0-update-part-3-lms-and-xmss