商用国家安全保障アルゴリズム

商用国家安全保障アルゴリズム (英: Commercial National Security Algorithm、略称 CNSA) は、アメリカ国家安全保障局によって公布された暗号化アルゴリズムのセットである。従来のNSA Suite B Cryptography（英語版）に代わるものであり、ポスト量子暗号へ移行するまでの間、最高レベルを含む国家機密の保護に用いられる。^[1]^[2]^[3]^[4]^[5]^[6]

2015年7月に公布されたCSNAには以下が含まれる^[2]:

256ビット鍵のAdvanced Encryption Standard
P-384（鍵長384ビット）を用いた楕円曲線ディフィー・ヘルマン鍵共有および楕円曲線DSA
384ビット長のSHA-2、最低3072ビットのディフィー・ヘルマン鍵共有
最低3072ビットのRSA暗号

Suite BからCNSAへの移行で特筆すべき点は、RSA暗号を「サポートされた」状況から「レガシーな」状況へ変更したことである。Suite Bと同様、Digital Signature Algorithmは含まれていない。

2022年9月、ポスト量子暗号アルゴリズムの最初の推奨を含むCNSA 2.0が公布された^[7]。

CNSA 2.0には以下が含まれる^[2]:

256ビット鍵のAdvanced Encryption Standard
ML-KEM-1024 パラメーターを使用したModule-Lattice-Based Key-Encapsulation Mechanism Standard (ML-KEM aka CRYSTALS-Kyber)（英語版）
ML-DSA-87 パラメーターを使用したModule-Lattice-Based Digital Signature Standard (aka CRYSTALS-Dilithium)
384ビット長および512ビット長のSHA-2
すべてのパラメーターでのeXtended Merkle Signature Scheme (XMSS) および Leighton-Micali Signatures (LMS、SHA256/192を推奨)

CNSA 1.0と比較したとき、CNSA 2.0 は:

ポスト量子アルゴリズム (XMSS/LMS) をソフトウェアとファームウェアの署名に分離して使用することを提唱
SHA-512を認容
CRYSTALS-Kyber および CRYSTALS-Dilithium の採用（標準規格が完成しFIPSによって認定された実装がリリースされたのちに義務付けられる）
RSA暗号、ディフィー・ヘルマン鍵共有および楕円曲線暗号を廃止

CNSA 2.0 および 1.0 で採用されたアルゴリズムの詳細は以下のとおりである:^[8]

CNSA 2.0

さらに見る アルゴリズム, 機能 ...

アルゴリズム	機能	規格	パラメーター
Advanced Encryption Standard (AES)	ブロック暗号	FIPS PUB 197	256ビット長の鍵を使用
Module-Lattice-Based Key-Encapsulation Mechanism Standard (ML-KEM aka CRYSTALS-Kyber)（英語版）	鍵共有	FIPS PUB 203	ML-KEM-1024 パラメーターを使用
Module-Lattice-Based Digital Signature Standard (aka CRYSTALS-Dilithium)	デジタル署名	FIPS PUB 204	ML-DSA-87 パラメーターを使用
Secure Hash Algorithm (SHA)	ハッシュ関数	FIPS PUB 180-4	SHA-384 および SHA-512 を使用
Leighton-Micali Signature (LMS)	ファームウェアおよびソフトウェアへのデジタル署名	NIST SP 800-208	すべて、SHA256/192を推奨
Xtended Merkle Signature Scheme (XMSS)	ファームウェアおよびソフトウェアへのデジタル署名	NIST SP 800-208	すべて

CNSA 1.0

さらに見る アルゴリズム, 機能 ...

商用国家安全保障アルゴリズム

出典

Wikiwand - on