2024年8月12日～2024年8月18日に読んだ中で気になったニュースとメモ書きです。社内勉強会TLSらじお第169回分。

• [NIST PQ Standards: FIPS 203, 204, 205]
• [その他のニュース]
  • ▼Static Certificate Transparency API
  • ▼MetaにおけるTLSのポスト量子対応
  • ▼PQ Hybrid ECDHE-MLKEMドラフト
  • ▼安全な楕円曲線
  • ▼CA市場シェア（2024.08）
• [おわりに]

[NIST PQ Standards: FIPS 203, 204, 205]

こちらのツイートから。

The very first post-quantum standards from NIST are out: ML-KEM, ML-DSA, and SLH-DSA aka FIPS 203, 204, 205.https://t.co/zMdAPPbg6Rhttps://t.co/j1Yx4y4Rp4https://t.co/JwNQd854nO

Spotted by Matthias Kannwischer. https://t.co/DpxsvsEbwg

— Bas Westerbaan (@bwesterb) 2024年8月13日

リンク先はこちら。

https://nvlpubs.nist.gov/nistpubs/fips/nist.fips.203.pdf

https://nvlpubs.nist.gov/nistpubs/fips/nist.fips.204.pdf

https://nvlpubs.nist.gov/nistpubs/fips/nist.fips.205.pdf

 

Yahooニュースにもなっていた。

量子計算機でも破れぬ暗号　米、標準3方式普及図る(共同通信)#Yahooニュースhttps://t.co/bbUZyQEAAQ

— Yuichiro Minato (@MinatoYuichiro) 2024年8月14日

news.yahoo.co.jp

現在の一般的な暗号技術は、大きな数になると既存のコンピューターでは現実的な時間で解けない素因数分解を利用している。

楕円曲線暗号とはなんだったのか🤔

英語のニュースだとちゃんと離散対数問題の話も出てきてる。

米国米国国立標準技術研究所(NIST)がポスト量子暗号の標準を正式策定。事前予想通りML-KEM (KYBER)、ML-DSA (Dilithium)、SLH-DSA (Sphincs+)の3種。FN-DSA (Falcon)は将来の標準化に向け継続検討。ML-KEMとML-DSAの開発にはIBM社が関与。SLH-DSAの開発者1名もIBM移籍済み。 https://t.co/FHJv65Dl49

— kokumօtօ (@__kokumoto) 2024年8月13日

www.securityweek.com

ホワイトハウスも話題にしてる！

米国 耐量子暗号の標準化が発表されたことは、ホワイトハウスのONCD、OSTP、OMBからもプレスされていました...

- まるちゃんの情報セキュリティ気まぐれ日記 https://t.co/g2Nv8dLZCq

— Mitsuhiko Maruyama (@maruchan_MM) 2024年8月15日

maruyama-mitsuhiko.cocolog-nifty.com

www.whitehouse.gov

改めて解説動画とかも出始めている（Dilithiumはスペルだけ見てディリチウムって読んでたけど、英語の発音的にはダイリシアムの方が近そう。）

A nice introduction to Kyber and Dilithium by Alfred Menezes.
The lectures are intended to be introductory,
aimed at students, developers, and security practitioners, who wish to get an in-depth understanding of how Kyber and Dilithium work.https://t.co/dBkPi0vusd

— Francisco RH (@FRHENR) 2024年8月16日

www.youtube.com

[その他のニュース]

▼Static Certificate Transparency API

こちらのツイートから。

Nice post from Chrome on the future of CT https://t.co/aMibm9FOqR

— Ryan Hurst (@rmhrisk) 2024年8月16日

リンク先はこちら。

groups.google.com

RFC6962で定められている方式のCTログ以外に、より安価で耐久性のあるstatic-ct-api方式というのを取り入れていく方針らしい。将来的にRFC6962方式の廃止もあり得るとか。

マークルツリーへのマージを早くできるようになるため、現在24時間程度とされているマージ遅延が数秒になるとか。アジリティがすごく上がりそうだけど、これを実装・運用する認証局側が大変そう...。

github.com

▼MetaにおけるTLSのポスト量子対応

こちらのツイートから。

『Meta における TLS のポスト量子対応』
Hybrid key exchange in TLS 1.3 やってる話しhttps://t.co/uwKpUidJeR

— ゆき (@flano_yuki) 2024年8月13日

リンク先はこちら。

engineering.fb.com

Metaがハイブリッド鍵交換を利用している話が書かれている。デフォルトはKyber768だが、ClientHelloが大きくなりすぎるためTCPのラウンドトリップが増えてしまう問題がある。そのため、社内通信などパフォーマンスを優先する場合はKyber512を利用するらしい。

FizzというC++のTLS1.3ライブラリが公開されている。0-RTTを積極的に使って、レイテンシやCPU使用率を削減しているらしい。これにliboqsの耐量子暗号アルゴリズムを加えて、ハイブリッド鍵交換を実装しているとのこと。

engineering.fb.com

github.com

▼PQ Hybrid ECDHE-MLKEMドラフト

こちらのツイートから。

Post-quantum hybrid ECDHE-MLKEM Key Agreement for TLSv1.3
> TLS 1.3 プロトコルで使用するハイブリッド耐量子鍵合意https://t.co/QjptrYdYOP#yuki_id

— ゆき (@flano_yuki) 2024年8月16日

リンク先はこちら。

www.ietf.org

ML-KEMが標準化されたので、それを参照する形でインターネットドラフトが出ている。ただ、Chromeなどで利用されているX25519を利用したものではなく、NISTのsecp256r1曲線を利用する方式の模様。 

▼安全な楕円曲線

こちらのツイートから。D. J. Bernstein氏の新作。

[New] Safe curves for elliptic-curve cryptography (Daniel J. Bernstein and Tanja Lange) https://t.co/vYOdUcBqPc

— IACR ePrint Updates (@Lhree) 2024年8月12日

リンク先はこちら。

eprint.iacr.org

60ページ以上あって全部は読んでいないが...以下のサイトの内容を改めてまとめた感じっぽい。「NISTの楕円曲線はだめ、（俺の作った）X25519は安全！」といういつものBernstein節は変わらず。

safecurves.cr.yp.to

▼CA市場シェア（2024.08）

こちらのツイートから。

The top 7 CAs are responsible for 99% of all certificate issuance. Those CAs are automation first, for the most part those with smaller market share are manual first. pic.twitter.com/wjyflse3zm

— Ryan Hurst (@rmhrisk) 2024年8月13日

相変わらずLet's Encryptの割合がすごい。4月より若干落ちてるけど。

WebPKI CAs market share as of today April 4th. pic.twitter.com/LAyZYyHmlV

— Ryan Hurst (@rmhrisk) 2024年4月4日

[おわりに]

耐量子暗号移行、まじめに取り組み始めないとな...。