[要約] RFC 9021は、CBORオブジェクト署名と暗号化(COSE)でWalnutデジタル署名アルゴリズムを使用する方法について説明しています。この文書の目的は、IoTデバイスなどのリソースが限られた環境での安全な通信を強化することです。利用場面には、データの認証、メッセージの完全性の保証、および非否認性の提供が含まれます。

Independent Submission                                         D. Atkins
Request for Comments: 9021                             Veridify Security
Category: Informational                                         May 2021
ISSN: 2070-1721
        

Use of the Walnut Digital Signature Algorithm with CBOR Object Signing and Encryption (COSE)

CBORオブジェクト署名と暗号化(COSE)を用いたクルミデジタル署名アルゴリズムの使用

Abstract

概要

This document specifies the conventions for using the Walnut Digital Signature Algorithm (WalnutDSA) for digital signatures with the CBOR Object Signing and Encryption (COSE) syntax. WalnutDSA is a lightweight, quantum-resistant signature scheme based on Group Theoretic Cryptography with implementation and computational efficiency of signature verification in constrained environments, even on 8- and 16-bit platforms.

このドキュメントは、CBORオブジェクトの署名と暗号化(COSE)の構文を持つデジタル署名のために、クルミのデジタル署名アルゴリズム(Walnutdsa)を使用するための規則を指定します。Walnutdsaは、8ビットおよび16ビットのプラットフォームでさえも、制約環境における署名検証の実装と計算効率を備えたグループ理論的暗号化に基づく軽量の量子抵抗のシグネチャスキームです。

The goal of this publication is to document a way to use the lightweight, quantum-resistant WalnutDSA signature algorithm in COSE in a way that would allow multiple developers to build compatible implementations. As of this publication, the security properties of WalnutDSA have not been evaluated by the IETF and its use has not been endorsed by the IETF.

この出版物の目的は、複数の開発者が互換性のある実装を構築できるようにする方法で、軽量の量子抵抗性のWalnutdsa署名アルゴリズムをコゼで使用する方法を文書化することです。この出版物の時点で、Walnutdsaのセキュリティ特性はIETFによって評価されておらず、その使用はIETFによって承認されていません。

WalnutDSA and the Walnut Digital Signature Algorithm are trademarks of Veridify Security Inc.

Walnutdsaとクルミのデジタル署名アルゴリズムは、Veridify Security Inc.の商標です。

Status of This Memo

本文書の位置付け

This document is not an Internet Standards Track specification; it is published for informational purposes.

この文書はインターネット標準のトラック仕様ではありません。情報提供のために公開されています。

This is a contribution to the RFC Series, independently of any other RFC stream. The RFC Editor has chosen to publish this document at its discretion and makes no statement about its value for implementation or deployment. Documents approved for publication by the RFC Editor are not candidates for any level of Internet Standard; see Section 2 of RFC 7841.

これは、他のRFCストリームとは無関係にRFCシリーズへの貢献です。RFCエディタは、この文書を裁量で公開することを選択し、実装または展開のためのその値についてのステートメントを作成しません。RFCエディタによる出版の承認済みの文書は、インターネット規格のレベルレベルの候補者ではありません。RFC 7841のセクション2を参照してください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9021.

この文書の現在のステータス、任意のエラータ、およびフィードバックを提供する方法は、https://www.rfc-editor.org/info/rfc9021で入手できます。

Copyright Notice

著作権表示

Copyright (c) 2021 IETF Trust and the persons identified as the document authors. All rights reserved.

著作権(C)2021 IETF信頼と文書著者として識別された人。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document.

この文書は、この文書の公開日に有効なIETF文書(https://truste.ietf.org/License-info)に関するBCP 78とIETF信頼の法的規定を受けています。この文書に関してあなたの権利と制限を説明するので、これらの文書を慎重に見直してください。

Table of Contents

目次

   1.  Introduction
     1.1.  Motivation
     1.2.  Trademark Notice
   2.  Terminology
   3.  WalnutDSA Algorithm Overview
   4.  WalnutDSA Algorithm Identifiers
   5.  Security Considerations
     5.1.  Implementation Security Considerations
     5.2.  Method Security Considerations
   6.  IANA Considerations
     6.1.  COSE Algorithms Registry Entry
     6.2.  COSE Key Types Registry Entry
     6.3.  COSE Key Type Parameters Registry Entries
       6.3.1.  WalnutDSA Parameter: N
       6.3.2.  WalnutDSA Parameter: q
       6.3.3.  WalnutDSA Parameter: t-values
       6.3.4.  WalnutDSA Parameter: matrix 1
       6.3.5.  WalnutDSA Parameter: permutation 1
       6.3.6.  WalnutDSA Parameter: matrix 2
   7.  References
     7.1.  Normative References
     7.2.  Informative References
   Acknowledgments
   Author's Address
        
1. Introduction
1. はじめに

This document specifies the conventions for using the Walnut Digital Signature Algorithm (WalnutDSA) [WALNUTDSA] for digital signatures with the CBOR Object Signing and Encryption (COSE) syntax [RFC8152]. WalnutDSA is a Group Theoretic signature scheme [GTC] where signature validation is both computationally and space efficient, even on very small processors. Unlike many hash-based signatures, there is no state required and no limit on the number of signatures that can be made. WalnutDSA private and public keys are relatively small; however, the signatures are larger than RSA and Elliptic Curve Cryptography (ECC), but still smaller than most all other quantum-resistant schemes (including all hash-based schemes).

このドキュメントは、CBORオブジェクト署名と暗号化(COSE)構文[RFC8152]を使用して、デジタル署名のためのクルミのデジタル署名アルゴリズム(Walnutdsa)[Walnutdsa]を使用するための規則を指定します。Walnutdsaは、署名検証が非常に小さいプロセッサでさえも、署名検証が計算上およびスペース効率の両方であるグループ理論署名方式です。多くのハッシュベースのシグネチャとは異なり、必要な状態は必要ありません、そして行うことができる署名の数に制限はありません。Walnutdsa PrivateおよびPublic Keysは比較的小さいです。しかしながら、署名はRSAおよび楕円曲線暗号(ECC)よりも大きいが、それでもなお他のすべての量子抵抗スキーム(すべてのハッシュベースのスキームを含む)よりも小さい。

COSE provides a lightweight method to encode structured data. WalnutDSA is a lightweight, quantum-resistant digital signature algorithm. The goal of this specification is to document a method to leverage WalnutDSA in COSE in a way that would allow multiple developers to build compatible implementations.

COSEは構造化データを符号化するための軽量の方法を提供します。Walnutdsaは軽量の量子抵抗のデジタル署名アルゴリズムです。この仕様書の目的は、複数の開発者が互換性のある実装を構築できるように、WalnutDSAをコゼロで活用する方法を文書化することです。

As with all cryptosystems, the initial versions of WalnutDSA underwent significant cryptanalysis, and, in some cases, identified potential issues. For more discussion on this topic, a summary of all published cryptanalysis can be found in Section 5.2. Validated issues were addressed by reparameterization in updated versions of WalnutDSA. Although the IETF has neither evaluated the security properties of WalnutDSA nor endorsed WalnutDSA as of this publication, this document provides a method to use WalnutDSA in conjunction with IETF protocols. As always, users of any security algorithm are advised to research the security properties of the algorithm and make their own judgment about the risks involved.

すべての暗号システムと同様に、WalnutDSAの初期バージョンはかなりの暗号解析を受け、場合によっては潜在的な問題を特定しました。このトピックに関する詳細については、公開されているすべての暗号化の概要をセクション5.2に見出すことができます。検証された問題は、Walnutdsaの更新されたバージョンの再配合によって対処されました。IETFはWalnutdsaのセキュリティ特性を評価したり、Walnutdsaを承認していませんが、この資料はIETFプロトコルと組み合わせてWalnutDSAを使用する方法を提供しています。いつものように、どのセキュリティアルゴリズムのユーザーはアルゴリズムのセキュリティ特性を調査し、関係するリスクについて独自の判断を下すことをお勧めします。

1.1. Motivation
1.1. 動機

Recent advances in cryptanalysis [BH2013] and progress in the development of quantum computers [NAS2019] pose a threat to widely deployed digital signature algorithms. As a result, there is a need to prepare for a day that cryptosystems such as RSA and DSA, which depend on discrete logarithm and factoring, cannot be depended upon.

Cryptanalysisの最近の進歩と量子コンピュータの開発における進歩[NAS2019]は、広く展開されたデジタル署名アルゴリズムに脅威を及ぼします。その結果、離散対数と因数分解に依存するRSAやDSAなどの暗号システムが依存することができない日に準備する必要がある。

If large-scale quantum computers are ever built, these computers will be able to break many of the public key cryptosystems currently in use. A post-quantum cryptosystem [PQC] is a system that is secure against quantum computers that have more than a trivial number of quantum bits (qubits). It is open to conjecture when it will be feasible to build such computers; however, RSA, DSA, the Elliptic Curve Digital Signature Algorithm (ECDSA), and the Edwards-Curve Digital Signature Algorithm (EdDSA) are all vulnerable if large-scale quantum computers come to pass.

大規模な量子コンピュータがこれまでに構築された場合、これらのコンピュータは現在使用されている公開鍵暗号システムの多くを壊すことができます。Quantum Cryptosystem [PQC]は、些細な数の量子ビット(QUBITS)を持つ量子コンピュータに対して安全なシステムです。そのようなコンピュータを構築するのが実行可能になると推測するのは推測できます。しかしながら、RSA、DSA、楕円曲線デジタル署名アルゴリズム(ECDSA)、およびエドワーダ曲線デジタル署名アルゴリズム(EDDSA)は、大規模な量子コンピュータが通過するようになるとすべて脆弱です。

WalnutDSA does not depend on the difficulty of discrete logarithms or factoring. As a result, this algorithm is considered to be resistant to post-quantum attacks.

Walnutdsaは、離散的な対数または因数分解の難しさに依存しません。結果として、このアルゴリズムは、後量子攻撃に対して耐性があると考えられる。

Today, RSA and ECDSA are often used to digitally sign software updates. Unfortunately, implementations of RSA and ECDSA can be relatively large, and verification can take a significant amount of time on some very small processors. Therefore, we desire a digital signature scheme that verifies faster with less code. Moreover, in preparation for a day when RSA, DSA, and ECDSA cannot be depended upon, a digital signature algorithm is needed that will remain secure even if there are significant cryptanalytic advances or a large-scale quantum computer is invented. WalnutDSA, specified in [WALNUTSPEC], is a quantum-resistant algorithm that addresses these requirements.

今日、RSAとECDSAはソフトウェアアップデートをデジタルサインするためによく使用されます。残念ながら、RSAとECDSAの実装は比較的大きくなる可能性があり、検証はいくつかの非常に小さなプロセッサでかなりの時間をかけることができます。したがって、コードが少ないコードでより速く検証するデジタル署名方式を望みます。さらに、RSA、DSA、およびECDSAが依存できない日に慣れるため、著しい暗号分析の進歩がある場合でも安全なままであるデジタル署名アルゴリズムが必要とされているか、または大規模な量子コンピュータが発明される。[WalnutSpec]で指定されているWalnutdsaは、これらの要件に対処する量子抵抗アルゴリズムです。

1.2. Trademark Notice
1.2. 商標通知

WalnutDSA and the Walnut Digital Signature Algorithm are trademarks of Veridify Security Inc.

Walnutdsaとクルミのデジタル署名アルゴリズムは、Veridify Security Inc.の商標です。

2. Terminology
2. 用語

The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in BCP 14 [RFC2119] [RFC8174] when, and only when, they appear in all capitals, as shown here.

この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はBCP 14 [RFC2119] [RFC8174]で説明されているように、すべて大文字の場合にのみ解釈されます。

3. WalnutDSA Algorithm Overview
3. Walnutdsaアルゴリズムの概要

This specification makes use of WalnutDSA signatures as described in [WALNUTDSA] and more concretely specified in [WALNUTSPEC]. WalnutDSA is a Group Theoretic cryptographic signature scheme that leverages infinite group theory as the basis of its security and maps that to a one-way evaluation of a series of matrices over small finite fields with permuted multiplicants based on the group input. WalnutDSA leverages the SHA2-256 and SHA2-512 one-way hash algorithms [SHA2] in a hash-then-sign process.

この仕様は、[Walnutdsa]で説明されているようにWalnutdsaシグネチャを利用し、[WalnutSpec]で具体的に指定されています。Walnutdsaは、無限グループ理論をそのセキュリティの基礎として活用し、グループ入力に基づく透過率を備えた小さな有限範囲で一連の行列の一方向評価にマッピングするグループ理論的暗号化シグネチャスキームです。Walnutdsaは、SHA2-256とSHA2-512のハッシュ次の標識プロセスでの一方向ハッシュアルゴリズム[SHA2]を活用しています。

WalnutDSA is based on a one-way function, E-multiplication, which is an action on the infinite group. A single E-multiplication step takes as input a matrix and permutation, a generator in the group, and a set of T-values (entries in the finite field) and outputs a new matrix and permutation. To process a long string of generators (like a WalnutDSA signature), E-multiplication is iterated over each generator. Due to its structure, E-multiplication is extremely easy to implement.

Walnutdsaは、無限グループに対するアクションである一方向機能の電子乗算に基づいています。単一の電子増倍ステップは、行列および置換を入力し、グループ内のジェネレータ、および一連のT値(有限フィールド内のエントリ)を取り、新しい行列と置換を出力する。(Walnutdsaシグネチャのような)長い文字列を処理するには、各ジェネレータの上に電子増倍が繰り返されます。その構造のために、電子乗算は非常に実装が容易です。

In addition to being quantum resistant, the two main benefits of using WalnutDSA are that the verification implementation is very small and WalnutDSA signature verification is extremely fast, even on very small processors (including 16- and even 8-bit microcontrollers). This lends it well to use in constrained and/or time-sensitive environments.

量子抵抗性であることに加えて、Walnutdsaを使用する2つの主な利点は、検証実装が非常に小さく、Walnutdsa署名検証は非常に速い、非常に小さいプロセッサ(16ビットおよび8ビットのマイクロコントローラを含む)でも非常に速いことです。これは、制約環境および/または時間機密環境で使用することをうまくいきます。

WalnutDSA has several parameters required to process a signature. The main parameters are N and q. The parameter N defines the size of the group by defining the number of strands in use and implies working in an NxN matrix. The parameter q defines the number of elements in the finite field. Signature verification also requires a set of T-values, which is an ordered list of N entries in the finite field F_q.

Walnutdsaには、署名を処理するために必要ないくつかのパラメータがあります。メインパラメータはnとqです。パラメータNは、使用中のストランドの数を定義し、NXN行列で作業することを意味することによってグループのサイズを定義します。パラメータQは、有限フィールド内の要素数を定義します。署名検証には、有限フィールドF_Q内のNエントリの順序付けられたリストであるT値のセットも必要です。

A WalnutDSA signature is just a string of generators in the infinite group, packed into a byte string.

Walnutdsaシグネチャは、バイト文字列に詰め込まれた、Infiniteグループ内のジェネレータの文字列です。

4. WalnutDSA Algorithm Identifiers
4. Walnutdsaアルゴリズム識別子

The CBOR Object Signing and Encryption (COSE) syntax [RFC8152] supports two signature algorithm schemes. This specification makes use of the signature with appendix scheme for WalnutDSA signatures.

CBORオブジェクト署名と暗号化(COSE)構文[RFC8152]は、2つの署名アルゴリズム方式をサポートしています。この仕様は、WalnutDSAシグネチャの付録スキームを持つシグネチャを利用しています。

The signature value is a large byte string. The byte string is designed for easy parsing, and it includes a length (number of generators) and type codes that indirectly provide all of the information that is needed to parse the byte string during signature validation.

署名値は大きいバイト文字列です。バイト文字列は簡単に解析するように設計されており、署名検証中にバイト文字列を解析するために必要なすべての情報を間接的に提供する長さ(数のジェネレータ)とタイプコードを含みます。

When using a COSE key for this algorithm, the following checks are made:

このアルゴリズムにコードキーを使用する場合は、次のチェックが行われます。

* The "kty" field MUST be present, and it MUST be "WalnutDSA".

* 「KTY」フィールドが存在している必要があり、それは「Walnutdsa」でなければなりません。

* If the "alg" field is present, it MUST be "WalnutDSA".

* 「ALG」フィールドが存在する場合は、「Walnutdsa」でなければなりません。

* If the "key_ops" field is present, it MUST include "sign" when creating a WalnutDSA signature.

* 「key_ops」フィールドが存在する場合は、Walnutdsa署名を作成するときに「署名」を含める必要があります。

* If the "key_ops" field is present, it MUST include "verify" when verifying a WalnutDSA signature.

* "key_ops"フィールドが存在する場合は、Walnutdsa署名を検証するときに「検証」を含める必要があります。

* If the "kid" field is present, it MAY be used to identify the WalnutDSA Key.

* 「キッド」フィールドが存在する場合は、WalnutDSAキーを識別するために使用されることがあります。

5. Security Considerations
5. セキュリティに関する考慮事項
5.1. Implementation Security Considerations
5.1. 実装セキュリティの考慮事項

Implementations MUST protect the private keys. Use of a hardware security module (HSM) is one way to protect the private keys. Compromising the private keys may result in the ability to forge signatures. As a result, when a private key is stored on non-volatile media or stored in a virtual machine environment, care must be taken to preserve confidentiality and integrity.

実装は秘密鍵を保護する必要があります。ハードウェアセキュリティモジュール(HSM)の使用は、秘密鍵を保護する1つの方法です。秘密鍵を犠牲にすると、署名を偽造することができます。その結果、秘密鍵が不揮発性媒体に格納されるか、または仮想マシン環境に保存されている場合、機密性と整合性を維持するために注意する必要があります。

The generation of private keys relies on random numbers. The use of inadequate pseudorandom number generators (PRNGs) to generate these values can result in little or no security. An attacker may find it much easier to reproduce the PRNG environment that produced the keys, searching the resulting small set of possibilities, rather than brute force searching the whole key space. The generation of quality random numbers is difficult, and [RFC4086] offers important guidance in this area.

秘密鍵の生成は乱数に依存しています。これらの値を生成するための不適切な疑似乱数ジェネレータ(PRNG)の使用は、セキュリティがほとんどまたはまったくないことになる可能性があります。攻撃者は、キースペース全体を検索するブルートフォースではなく、その結果の小さな可能性を検索し、その結果の小さな可能性を検索するPRNG環境を再現する方がはるかに簡単になります。品質の乱数の生成は困難であり、[RFC4086]はこの分野で重要なガイダンスを提供します。

The generation of WalnutDSA signatures also depends on random numbers. While the consequences of an inadequate PRNG to generate these values are much less severe than the generation of private keys, the guidance in [RFC4086] remains important.

Walnutdsaシグネチャの生成も乱数に依存します。これらの値を生成するための不適切なPRNGの結果は、秘密鍵の世代よりもはるかに深刻ではありませんが、[RFC4086]のガイダンスは重要です。

5.2. Method Security Considerations
5.2. メソッドセキュリティの考慮事項

The Walnut Digital Signature Algorithm has undergone significant cryptanalysis since it was first introduced, and several weaknesses were found in early versions of the method, resulting in the description of several attacks with exponential computational complexity. A full writeup of all the analysis can be found in [WalnutDSAAnalysis]. In summary, the original suggested parameters (N=8, q=32) were too small, leading to many of these exponential-growth attacks being practical. However, current parameters render these attacks impractical. The following paragraphs summarize the analysis and how the current parameters defeat all the previous attacks.

クルミのデジタル署名アルゴリズムは、最初に導入されたため、著しい暗号解析を受けており、その方法の初期バージョンでいくつかの弱点が見られ、指数関数的計算複雑度を持ついくつかの攻撃の説明が得られました。すべての分析の完全な書き込みは[WalnutDSaAnalysis]にあります。要約すると、元の推奨されるパラメータ(n = 8、q = 32)は小さすぎ、これらの指数関数的成長攻撃の多くは実用的である。ただし、現在のパラメータはこれらの攻撃を実用的ではありません。次の段落では、分析と現在のパラメータが以前の攻撃をすべて敗北させる方法を要約しています。

First, the team of Hart et al. found a universal forgery attack based on a group-factoring problem that runs in O(q^((N-1)/2)) with a memory complexity of log_2(q) N^2 q^((N-1)/2). With parameters N=10 and q=M31 (the Mersenne prime 2^31 - 1), the runtime is 2^139 and memory complexity is 2^151. W. Beullens found a modification of this attack but its runtime is even longer.

まず、Hart et alのチーム。log_2(q)n ^ 2 q ^((n-1)/のメモリ複雑度でO(q ^((n-1)/ 2))で動作するグループファクタの問題に基づくユニバーサル偽造攻撃を見つけました。2)。パラメータn = 10およびQ = M31(Mersenne Prime 2 ^ 31-1-1)では、ランタイムは2 ^ 139であり、メモリの複雑さは2 ^ 151です。W. Theulensはこの攻撃の変更を見つけましたが、そのランタイムはさらに長いです。

Next, Beullens and Blackburn found several issues with the original method and parameters. First, they used a Pollard-Rho attack and discovered the original public key space was too small. Specifically, they require that q^(N(N-1)-1) > 2^(2*Security Level). One can clearly see that (N=10, q=M31) provides 128-bit security and (N=10, q=M61) provides 256-bit security.

次に、TheullensとBlackBurnは、元の方法とパラメータに関するいくつかの問題を見つけました。まず、彼らはPollard-Rho攻撃を使用し、元の公開鍵スペースが小さすぎたことを発見しました。具体的には、Q ^(n(n-1)-1)> 2 ^(2 *セキュリティレベル)を必要とします。(n = 10、q = m31)は128ビットのセキュリティを提供し、(n = 10、q = m61)は256ビットのセキュリティを提供することを明確に見ることができる。

Beullens and Blackburn also found two issues with the original message encoder of WalnutDSA. First, the original encoder was non-injective, which reduced the available signature space. This was repaired in an update. Second, they pointed out that the dimension of the vector space generated by the encoder was too small. Specifically, they require that q^dimension > 2^(2*Security Level). With N=10, the current encoder produces a dimension of 66, which clearly provides sufficient security with q=M31 or q=M61.

TheullensとBlackburnはまた、Walnutdsaの元のメッセージエンコーダに関する2つの問題を見つけました。まず、元のエンコーダは非注ジェクティブで、利用可能な署名スペースを削減しました。これはアップデートで修復されました。第二に、それらは、エンコーダによって生成されたベクトル空間の寸法が小さすぎたことを指摘した。具体的には、Q ^次元> 2 ^(2 *セキュリティレベル)を必要とします。n = 10では、現在のエンコーダは66の寸法を生成し、これは明らかにq = m31またはq = m61で十分なセキュリティを提供する。

The final issue discovered by Beullens and Blackburn was a process to theoretically "reverse" E-multiplication. First, their process requires knowing the initial matrix and permutation (which are known for WalnutDSA). But more importantly, their process runs at O(q^((N-1)/2)), which for (N=10, q=M31) is greater than 2^128.

BeulensとBlackBurnによって発見された最終的な問題は理論的には「逆」電子散布へのプロセスでした。第1に、それらのプロセスは、初期マトリックスおよび置換(これはWalnutdsaで知られている)を知ることを必要とする。しかし、より重要なことに、それらのプロセスはO(Q ^((N-1)/ 2))で実行され、それは(n = 10、q = m31)のために2 ^ 128より大きい。

A team at Steven's Institute leveraged a length-shortening attack that enabled them to remove the cloaking elements and then solve a conjugacy search problem to derive the private keys. Their attack requires both knowledge of the permutation being cloaked and also that the cloaking elements themselves are conjugates. By adding additional concealed cloaking elements, the attack requires an N! search for each cloaking element. By inserting k concealed cloaking elements, this requires the attacker to perform (N!)^k work. This allows k to be set to meet the desired security level.

StevenのInstituteのチームは、彼らがクローキング要素を削除し、次に秘密鍵を導き出すためにそれらがそれらをそれらに除去することを可能にした長さ短縮攻撃を活用しました。彼らの攻撃には、並べ替えられている順列に関する知識が両方とも、また、クローキング要素自体が共役していることを必要とします。追加の隠蔽されたクローキング要素を追加することによって、攻撃にはNが必要です。各クローキング要素を検索します。kを隠したクローキング要素を挿入することによって、これは攻撃者が実行すること(n!)^ kの作業を必要とする。これにより、kが望ましいセキュリティレベルを満たすように設定することができます。

Finally, Merz and Petit discovered that using a Garside Normal Form of a WalnutDSA signature enabled them to find commonalities with the Garside Normal Form of the encoded message. Using those commonalities, they were able to splice into a signature and create forgeries. Increasing the number of cloaking elements, specifically within the encoded message, sufficiently obscures the commonalities and blocks this attack.

最後に、MerzとPetitは、Walnutdsaの署名のGarsideの通常の形を使用して、それらが符号化されたメッセージのGarsideの通常の形式で共通点を見つけることを可能にしました。それらの共通点を使用して、それらは署名に移行して偽造者を作成することができました。符号化されたメッセージ内のクローキング要素の数を増やすと、共通点を十分に曖昧にしてこの攻撃をブロックします。

In summary, most of these attacks are exponential in runtime and it can be shown that current parameters put the runtime beyond the desired security level. The final two attacks are also sufficiently blocked to the desired security level.

要約すると、これらの攻撃のほとんどは実行時には指数関数的であり、現在のパラメータがランタイムを目的のセキュリティレベルを超えて置くことがわかります。最後の2つの攻撃はまた、所望のセキュリティレベルに十分にブロックされている。

6. IANA Considerations
6. IANAの考慮事項

IANA has added entries for WalnutDSA signatures in the "COSE Algorithms" registry and WalnutDSA public keys in the "COSE Key Types" and "COSE Key Type Parameters" registries.

IANAは、「COSE ALGRITHMS」レジストリとWalnutDSAの公開鍵と「COSE KEY Type Parameters」レジストリにWalnutDSAシグネチャのエントリを追加しました。

6.1. COSE Algorithms Registry Entry
6.1. COSEアルゴリズムレジストリエントリ

The following new entry has been registered in the "COSE Algorithms" registry:

次の新規エントリは、「COSE Algorithms」レジストリに登録されています。

Name: WalnutDSA

名前:ウォルナッツァ

Value: -260

値:-260

Description: WalnutDSA signature

説明:Walnutdsa Signature.

Reference: RFC 9021

参照:RFC 9021

Recommended: No

おすすめ:いいえ

6.2. COSE Key Types Registry Entry
6.2. COSEキータイプレジストリエントリ

The following new entry has been registered in the "COSE Key Types" registry:

次の新規エントリは、「COSE KEY Types」レジストリに登録されています。

Name: WalnutDSA

名前:ウォルナッツァ

Value: 6

値:6

Description: WalnutDSA public key

説明:Walnutdsa公開鍵

Reference: RFC 9021

参照:RFC 9021

6.3. COSE Key Type Parameters Registry Entries
6.3. COSEキータイプパラメータレジストリエントリ

The following sections detail the additions to the "COSE Key Type Parameters" registry.

次のセクションでは、「COSEキータイプパラメータ」レジストリへの追加について詳しく説明します。

6.3.1. WalnutDSA Parameter: N
6.3.1. Walnutdsaパラメータ:N.

The new entry, N, has been registered in the "COSE Key Type Parameters" registry as follows:

新しいエントリNは、次のように「COSE鍵タイプのパラメータ」レジストリに登録されています。

Key Type: 6

キータイプ:6

Name: N

名前:N.

Label: -1

ラベル:-1

CBOR Type: uint

CBORタイプ:UINT.

Description: Group and Matrix (NxN) size

説明:グループと行列(NXN)サイズ

Reference: RFC 9021

参照:RFC 9021

6.3.2. WalnutDSA Parameter: q
6.3.2. Walnutdsaパラメータ:Q.

The new entry, q, has been registered in the "COSE Key Type Parameters" registry as follows:

次のように、新しいエントリ、Qは「COSE鍵タイプパラメータ」レジストリに登録されています。

Key Type: 6

キータイプ:6

Name: q

名前:Q.

Label: -2

ラベル:-2.

CBOR Type: uint

CBORタイプ:UINT.

Description: Finite field F_q

説明:有限フィールドF_Q

Reference: RFC 9021

参照:RFC 9021

6.3.3. WalnutDSA Parameter: t-values
6.3.3. Walnutdsaパラメータ:t値

The new entry, t-values, has been registered in the "COSE Key Type Parameters" registry as follows:

新しいエントリt値は、次のように「COSEキータイプパラメータ」レジストリに登録されています。

Key Type: 6

キータイプ:6

Name: t-values

名前:t値

Label: -3

レーベル:-3

CBOR Type: array (of uint)

CBORタイプ:配列(UINT)

Description: List of T-values, entries in F_q

説明:T値のリスト、F_Qのエントリ

Reference: RFC 9021

参照:RFC 9021

6.3.4. WalnutDSA Parameter: matrix 1
6.3.4. Walnutdsaパラメータ:マトリックス1

The new entry, matrix 1, has been registered in the "COSE Key Type Parameters" registry as follows:

新しいエントリMatrix 1は、次のように「COSE鍵タイプのパラメータ」レジストリに登録されています。

Key Type: 6

キータイプ:6

Name: matrix 1

名前:行列1

Label: -4

レーベル:-4

CBOR Type: array (of array of uint)

CBORタイプ:配列(UINTの配列)

Description: NxN Matrix of entries in F_q in column-major form

説明:列メジャーフォームのF_Q内のエントリのNXN行列

Reference: RFC 9021

参照:RFC 9021

6.3.5. WalnutDSA Parameter: permutation 1
6.3.5. Walnutdsaパラメータ:置換1

The new entry, permutation 1, has been registered in the "COSE Key Type Parameters" registry as follows:

次のように、「COSE鍵タイプのパラメーター」レジストリに「COSE鍵タイプのパラメーター」レジストリに登録されています。

Key Type: 6

キータイプ:6

Name: permutation 1

名前:置換1

Label: -5

レーベル:-5

CBOR Type: array (of uint)

CBORタイプ:配列(UINT)

Description: Permutation associated with matrix 1

説明:行列1に関連する置換

Reference: RFC 9021

参照:RFC 9021

6.3.6. WalnutDSA Parameter: matrix 2
6.3.6. Walnutdsaパラメータ:マトリックス2

The new entry, matrix 2, has been registered in the "COSE Key Type Parameters" registry as follows:

新しいエントリMatrix 2は、次のように「COSE鍵タイプのパラメータ」レジストリに登録されています。

Key Type: 6

キータイプ:6

Name: matrix 2

名前:行列2

Label: -6

レーベル:-6

CBOR Type: array (of array of uint)

CBORタイプ:配列(UINTの配列)

Description: NxN Matrix of entries in F_q in column-major form

説明:列メジャーフォームのF_Q内のエントリのNXN行列

Reference: RFC 9021

参照:RFC 9021

7. References
7. 参考文献
7.1. Normative References
7.1. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, DOI 10.17487/RFC2119, March 1997, <https://www.rfc-editor.org/info/rfc2119>.

[RFC2119] BRADNER、S、「RFCSで使用するためのキーワード」、BCP 14、RFC 2119、DOI 10.17487 / RFC2119、1997年3月、<https://www.rfc-editor.org/info/RFC2119>。

[RFC8152] Schaad, J., "CBOR Object Signing and Encryption (COSE)", RFC 8152, DOI 10.17487/RFC8152, July 2017, <https://www.rfc-editor.org/info/rfc8152>.

[RFC8152] Schaad、J.、 "CBORオブジェクトの署名と暗号化(CORE)"、RFC 8152、DOI 10.17487 / RFC8152、2017年7月、<https://www.rfc-editor.org/info/rfc8152>。

[RFC8174] Leiba, B., "Ambiguity of Uppercase vs Lowercase in RFC 2119 Key Words", BCP 14, RFC 8174, DOI 10.17487/RFC8174, May 2017, <https://www.rfc-editor.org/info/rfc8174>.

[RFC8174] Leiba、B、「RFC 2119キーワードの大文字の曖昧さ」、BCP 14、RFC 8174、DOI 10.17487 / RFC8174、2017年5月、<https://www.rfc-editor.org/info/RFC8174>。

[SHA2] National Institute of Standards and Technology (NIST), "Secure Hash Standard (SHS)", DOI 10.6028/NIST.FIPS.180-4, August 2015, <https://doi.org/10.6028/NIST.FIPS.180-4>.

【SHA2】国立標準技術研究所(NIST)、「Secure Hash Standard(SHS)」、DOI 10.6028 / NIST.FIPS.180-4、<https://doi.org/10.6028/nist.fips.180-4>。

[WALNUTDSA] Anshel, I., Atkins, D., Goldfeld, D., and P. Gunnells, "WalnutDSA(TM): A group theoretic digital signature algorithm", DOI 10.1080/23799927.2020.1831613, November 2020, <https://doi.org/10.1080/23799927.2020.1831613>.

[Walnutdsa] Anshel、I.、Atkins、D.、Goldfeld、D.、およびP. Gunnells、 "Walnutdsa(TM):グループ理論デジタル署名アルゴリズム"、DOI 10.1080 / 23799927.2020.1831613、2020年11月、<https://doi.org/10.1080/23799927.2020.1831613>。

7.2. Informative References
7.2. 参考引用

[BH2013] Ptacek, T., Ritter, J., Samuel, J., and A. Stamos, "The Factoring Dead: Preparing for the Cryptopocalypse", August 2013, <https://www.slideshare.net/astamos/bh-slides>.

[BH2013] Ptacek、T.、Ritter、J.、Samuel、J.、およびA. Stamos、 "Finctoring Dead:Cryptopocalypseの準備" 2013年8月、<https://www.slideshare.net/astamos/BHスライド>。

[GTC] Vasco, M. and R. Steinwandt, "Group Theoretic Cryptography", ISBN 9781584888369, April 2015, <https://www.crcpress.com/Group-Theoretic-Cryptography/ Vasco-Steinwandt/p/book/9781584888369>.

[GTC] VASCO、M.およびR.Steinwandt、「グループ理論的暗号化」、ISBN 978158488369、2015年4月、<https://www.crcpress.com/group-theoretic-cryptography / Vasco-SteinWandt / P / Book / 978158488369>。

[NAS2019] National Academies of Sciences, Engineering, and Medicine, "Quantum Computing: Progress and Prospects", DOI 10.17226/25196, 2019, <https://doi.org/10.17226/25196>.

[NAS2019]科学技術、工学、医学の国内学術、「量子計算:進捗と見通し」、DOI 10.17226 / 25196,2019、<https://doi.org/10.17226/25196>。

[PQC] Bernstein, D., "Introduction to post-quantum cryptography", DOI 10.1007/978-3-540-88702-7, 2009, <https://doi.org/10.1007/978-3-540-88702-7>.

[PQC] Bernstein、D.、「後量子暗号の紹介」、DOI 10.1007 / 978-3-540-88702-7,2009、<https://doi.org/10.1007/978-3-540-88702-7>。

[RFC4086] Eastlake 3rd, D., Schiller, J., and S. Crocker, "Randomness Requirements for Security", BCP 106, RFC 4086, DOI 10.17487/RFC4086, June 2005, <https://www.rfc-editor.org/info/rfc4086>.

[RFC4086]イーストレイク3RD、D.、Schiller、J.、S. Crocker、「セキュリティのためのランダム性要件」、BCP 106、RFC 4086、DOI 10.17487 / RFC4086、2005年6月、<https://www.rfc-編集者.org / info / rfc4086>。

[WalnutDSAAnalysis] Anshel, I., Atkins, D., Goldfeld, D., and P. Gunnells, "Defeating the Hart et al, Beullens-Blackburn, Kotov-Menshov-Ushakov, and Merz-Petit Attacks on WalnutDSA(TM)", May 2019, <https://eprint.iacr.org/2019/472>.

[WalnutdsaAnalysis] Anshel、I.、Atkins、D.、Goldfeld、D.、およびP. Gunnells、 "Hart et al、Theullens-Blackburn、Kotov-Menshov-ushakov、およびMerz-Petit AttacksがWalnutdsa(TM)「2019年5月、<https://eprint.iacr.org/2019/472>。

[WALNUTSPEC] Anshel, I., Atkins, D., Goldfeld, D., and P. Gunnells, "The Walnut Digital Signature Algorithm Specification", Post-Quantum Cryptography, November 2018, <https://csrc.nist.gov/projects/post-quantum-cryptography/ round-1-submissions>.

[WalnutSpec] Anshel、I.、Atkins、D.、Goldfeld、D.、およびP。Gunnells、「クルミのデジタル署名アルゴリズム仕様」、Quantum of 2018、2018年11月、<https://csrc.nist.gov/プロジェクト/ Quantum-Cryptography / Round-1-Submissions>。

Acknowledgments

謝辞

A big thank you to Russ Housley for his input on the concepts and text of this document.

この文書の概念とテキストに関する彼の入力のためのRuss Houseの大部分を大きくありがとうございました。

Author's Address

著者の住所

Derek Atkins Veridify Security 100 Beard Sawmill Rd, Suite 350 Shelton, CT 06484 United States of America

Derek Atkins Veridify Security 100 Beyd Sawmill RD、スイート350シェルトン、CT 06484アメリカ合衆国

   Phone: +1 617 623 3745
   Email: datkins@veridify.com