KEM - standard

鍵カプセル化メカニズム（KEM）は、特定の条件下で二者間が公開チャネル上で安全に共有秘密鍵を確立するために使用できるアルゴリズムのセットです。KEMを用いて確立された共有秘密鍵は、対称鍵暗号アルゴリズムと組み合わせて、暗号化や認証といった安全な通信に不可欠なタスクを実行するために使用できます。この文書では、KEMの基本的な定義、特性、および用途について説明します。また、KEMを安全に実装および使用するための推奨事項も示します。

キーワード

暗号化、暗号化、鍵カプセル化メカニズム、鍵確立、公開鍵暗号

cryptography; encryption; key-encapsulation mechanism; key establishment; public-key cryptography

1. はじめに

1.1. 背景

鍵確立スキームとは、2者以上の当事者間で共有秘密鍵を安全に確立するために使用できるアルゴリズムのセットです。このような共有秘密鍵は、効率的な機密通信など、対称鍵暗号に適したタスクを実行するために使用できます。

NIST Special Publication (SP) 800-56A 1 および SP 800-56B 2 で規定されているものを含む、広く導入されている多くの鍵確立スキームは、大規模で暗号解析的に重要な量子コンピュータを利用した暗号攻撃に対して脆弱です。2016年、NISTは耐量子鍵確立スキーム（すなわち、暗号解析的に重要な量子コンピュータによる攻撃に対しても脆弱ではない鍵確立スキーム）を選定し、標準化するためのプロセスを開始しました。これに対し、NISTは暗号コミュニティから、標準化と広範な展開に最も適した耐量子鍵確立方式は鍵カプセル化メカニズム（KEM）であるというフィードバックを受けました。このNIST耐量子暗号（PQC）標準化プロセスから生まれた最初のKEM標準は、連邦情報処理標準（FIPS）出版物203 3で規定されているML-KEMです。

ML-KEMの標準化当時、NISTはKEMの基本的な定義、特性、および用途に関する詳細なガイドラインを提供していませんでした。本勧告は、これらのガイドラインを提供し、KEMの現在および将来の標準化を補完し、KEMを安全に実装および使用するための推奨事項を提供することを目的としています。

1.2. 適用範囲と目的

本勧告は、KEMの基本的な定義、特性、および用途に関するガイドラインを提供し、KEMの現在および将来の標準化を補足し、FIPS 140認証済み暗号モジュールにおけるKEMの実装および使用に関する要件と推奨事項を示す。また、本勧告は、承認された耐量子暗号方式で生成された鍵材料と、他の（潜在的に量子暗号に脆弱な）方式で生成された鍵材料を安全に組み合わせたいと考えているベンダー向けのガイドラインも提供する。

本勧告は、量子暗号に脆弱な鍵確立手順から耐量子暗号KEM（4参照）への移行方法や時期については議論せず、特定のKEMの仕様も提供しない。そのような仕様は、FIPS 203 3におけるML-KEMの仕様のように、FIPSまたはSPで提供される。

本勧告には、KEMの一般的な理解を助けるための説明資料および教育資料が含まれている。 SPには通常、承認内容に関連する内容のみが含まれますが、本SPではKEMを全般的に、また承認内容に関して説明します。

具体的な要件は、「shall（しなければならない）」および「must（しなければならない）」という文言で明確に示されます。

1.3. 要件

承認されたKEMの適合実装は、以下のすべての要件を満たす必要があります。暗号モジュール検証プログラム（CMVP）検証ラボでテスト可能な要件には「RS」の接頭辞が付き、検証ラボでテストできない要件には「RM」の接頭辞が付きます。各要件は、対応する参照セクションから直接引用されています。要件RS6、RS7、RS8、RS10、およびRS11は、推奨される鍵確認（セクション4.4）に関係しますが、必須ではありません。