Internet Engineering Task Force (IETF) F. Driscoll
Request for Comments: 9794 M. Parsons
Category: Informational UK National Cyber Security Centre
ISSN: 2070-1721 B. Hale
Naval Postgraduate School
June 2025
One aspect of the transition to post-quantum algorithms in cryptographic protocols is the development of hybrid schemes that incorporate both post-quantum and traditional asymmetric algorithms. This document defines terminology for such schemes. It is intended to be used as a reference and, hopefully, to ensure consistency and clarity across different protocols, standards, and organisations.
暗号プロトコルにおけるポスト量子アルゴリズムへの移行の一側面は、ポスト量子アルゴリズムと従来型の非対称アルゴリズムの両方を組み込んだハイブリッド方式の開発です。この文書では、そのような方式の用語を定義します。この文書は、さまざまなプロトコル、標準、組織の間で一貫性と明確性を確保するための参照として使用されることを目的としています。
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントは、インターネット標準の追跡仕様ではありません。情報目的で公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are candidates for any level of Internet Standard; see Section 2 of RFC 7841.
この文書は、インターネット技術特別調査委員会(IETF)の成果物です。これはIETFコミュニティのコンセンサスを表します。公開レビューを受け、インターネット技術運営グループ(IESG)による公開が承認されています。IESGによって承認されたすべての文書が、あらゆるレベルのインターネット標準の候補になるわけではありません。RFC 7841のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9794.
この文書の現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、https://www.rfc-editor.org/info/rfc9794で入手できます。
Copyright (c) 2025 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright (c) 2025 IETF Trustおよび文書の著者として特定された個人。すべての権利は留保されています。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Revised BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Revised BSD License.
この文書は、この文書の発行日に有効なBCP 78およびIETF文書に関するIETFトラストの法的規定(https://trustee.ietf.org/license-info)の対象となります。これらの文書には、この文書に関するお客様の権利と制限が記載されていますので、注意深くお読みください。この文書から抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eで説明されている改訂BSDライセンステキストが含まれている必要があり、改訂BSDライセンスで説明されているように保証なしで提供されます。
1. Introduction
2. Primitives
3. Cryptographic Elements
4. Protocols
5. Properties
6. Certificates
7. Security Considerations
8. IANA Considerations
9. Informative References
Acknowledgments
Authors' Addresses
The mathematical problems of integer factorisation and discrete logarithms over finite fields or elliptic curves underpin most of the asymmetric algorithms used for key establishment and digital signatures on the Internet. These problems, and hence the algorithms based on them, will be vulnerable to attacks using Shor's Algorithm on a sufficiently large general-purpose quantum computer, known as a Cryptographically Relevant Quantum Computer (CRQC). Current predictions vary on when, or if, such a device will exist. However, it is necessary to anticipate and prepare to defend against such a development. Data encrypted today (in 2025) with an algorithm vulnerable to a quantum computer can be stored for decryption by a future attacker with a CRQC. Signing algorithms in products that are expected to be in use for many years, and that cannot be updated or replaced, are also at risk if a CRQC is developed during the operational lifetime of that product.
有限体または楕円曲線上の整数因数分解および離散対数の数学的問題は、インターネット上の鍵確立およびデジタル署名に使用されるほとんどの非対称アルゴリズムの基礎となっています。これらの問題、ひいてはそれらに基づくアルゴリズムは、暗号解読に関連する量子コンピュータ(CRQC)として知られる、十分に大きな汎用量子コンピュータ上でShorのアルゴリズムを使用した攻撃に対して脆弱になります。現在の予測では、そのようなデバイスがいつ、あるいは存在するのかについては様々です。しかし、そのような開発を予測し、防御する準備をする必要があります。量子コンピュータに対して脆弱なアルゴリズムを使用して本日(2025年)暗号化されたデータは、CRQCを持つ将来の攻撃者による復号化のために保存される可能性があります。長年にわたって使用されると予想され、更新または交換できない製品の署名アルゴリズムも、その製品の運用寿命中にCRQCが開発された場合、リスクにさらされます。
Ongoing responses to the potential development of a CRQC include modifying established (or standardised) protocols to use asymmetric algorithms that are designed to be secure against quantum computers as well as today's classical computers. These algorithms are called "post-quantum", while algorithms based on integer factorisation, finite-field discrete logarithms, or elliptic-curve discrete logarithms are called "traditional cryptographic algorithms". In this document, "traditional algorithm" is also used to refer to this class of algorithms.
CRQCの潜在的な開発に対する継続的な対応には、量子コンピュータや今日の古典コンピュータに対して安全であるように設計された非対称アルゴリズムを使用するために、確立された(または標準化された)プロトコルを変更することが含まれます。これらのアルゴリズムは「ポスト量子」と呼ばれ、整数因数分解、有限体上の離散対数、または楕円曲線離散対数に基づくアルゴリズムは「従来型暗号アルゴリズム」と呼ばれます。この文書では、「従来型アルゴリズム」という用語もこのクラスのアルゴリズムを指すために使用されます。
At the time of publication, the term "post-quantum" is generally used to describe cryptographic algorithms that are designed to be secure against an adversary with access to a CRQC. Post-quantum algorithms can also be referred to as "quantum-resistant" or "quantum-safe" algorithms. There are merits to the different terms. For example, some prefer to use the terms quantum-resistant or quantum-safe to explicitly indicate that these algorithms are designed to be secure against quantum computers. Others disagree and prefer to use the term post-quantum, in case of compromises against such algorithms that could make the terms quantum-resistant or quantum-safe misleading. Similarly, some prefer to refer specifically to Shor's Algorithm or to the mathematical problem that is being used to prevent attacks. Post-Quantum Cryptography (PQC) is commonly used amongst the cryptography community, and so it will be used throughout this document. Similarly, the term "traditional algorithm" will be used throughout the document as, at the time of publication, it is widely used in the community, though other terms, including classical, pre-quantum, or quantum-vulnerable, are preferred by some.
発行時点では、「ポスト量子」という用語は、一般に、CRQCにアクセスできる敵に対して安全であるように設計された暗号アルゴリズムを説明するために使用されます。ポスト量子アルゴリズムは、「耐量子性」または「量子安全」アルゴリズムとも呼ばれます。さまざまな用語にはメリットがあります。例えば、一部の人々は、これらのアルゴリズムが量子コンピュータに対して安全であるように設計されていることを明示的に示すために、耐量子性または量子安全という用語を使用することを好みます。他の人々は、そのようなアルゴリズムが危殆化した場合に耐量子性や量子安全という用語が誤解を招く可能性があるため、同意せずにポスト量子という用語を使用することを好みます。同様に、一部の人々は、攻撃を防ぐために使用されているShorのアルゴリズムまたは数学的問題を具体的に参照することを好みます。ポスト量子暗号(PQC)は暗号コミュニティで一般的に使用されているため、この文書全体で使用されます。同様に、「従来型アルゴリズム」という用語は、発行時点ではコミュニティで広く使用されているため、この文書全体で使用されますが、古典的、プレ量子、または量子脆弱性のある、といった他の用語が一部で好まれています。
To mitigate risks, there may be a requirement for protocols that use both algorithm types, either during the transition from traditional to post-quantum algorithms or as a general solution. When the risk of deploying new algorithms is above the accepted threshold for their use case, a designer may combine a post-quantum algorithm with a traditional algorithm, with the goal of adding protection against an attacker with a CRQC to the security properties provided by the traditional algorithm. They may also implement a post-quantum algorithm alongside a traditional algorithm for ease of migration from an ecosystem where only traditional algorithms are implemented and used, to one that only uses post-quantum algorithms. Examples of solutions that could use both types of algorithm include, but are not limited to, [RFC9370], [HYBRID-TLS], [COMPOSITE-KEM], and [RFC9763].
リスクを軽減するために、従来型アルゴリズムからポスト量子アルゴリズムへの移行中、または一般的な解決策として、両方のアルゴリズムタイプを使用するプロトコルの要件が存在する場合があります。新しいアルゴリズムを展開するリスクがユースケースで許容されるしきい値を超える場合、設計者は、従来型アルゴリズムによって提供されるセキュリティ特性にCRQCを持つ攻撃者に対する保護を追加することを目的として、ポスト量子アルゴリズムと従来型アルゴリズムを組み合わせることがあります。また、従来型アルゴリズムのみが実装および使用されているエコシステムから、ポスト量子アルゴリズムのみを使用するエコシステムへの移行を容易にするために、従来型アルゴリズムと並行してポスト量子アルゴリズムを実装することもあります。両方のタイプのアルゴリズムを使用できるソリューションの例には、[RFC9370]、[HYBRID-TLS]、[COMPOSITE-KEM]、および[RFC9763]が含まれますが、これらに限定されません。
Schemes that combine post-quantum and traditional algorithms for key establishment or digital signatures are often called "hybrids". For example:
鍵確立またはデジタル署名のためにポスト量子アルゴリズムと従来型アルゴリズムを組み合わせた方式は、しばしば「ハイブリッド」と呼ばれます。例えば:
* The National Institute of Standards and Technology (NIST) defines hybrid key establishment to be a "scheme that is a combination of two or more components that are themselves cryptographic key-establishment schemes" [NIST_PQC_FAQ].
* 米国国立標準技術研究所(NIST)は、ハイブリッド鍵確立を「それ自体が暗号鍵確立方式である2つ以上のコンポーネントの組み合わせである方式」と定義しています[NIST_PQC_FAQ]。
* The European Telecommunications Standards Institute (ETSI) defines hybrid key exchanges to be "constructions that combine a traditional key exchange ... with a post-quantum key exchange ... into a single key exchange" [ETSI_TS103774].
* 欧州電気通信標準化機構(ETSI)は、ハイブリッド鍵交換を「従来型の鍵交換...とポスト量子鍵交換...を単一の鍵交換に組み合わせた構成」と定義しています[ETSI_TS103774]。
The word "hybrid" is also used in cryptography to describe encryption schemes that combine asymmetric and symmetric algorithms [RFC9180], so using it in the post-quantum context overloads it and risks misunderstandings. However, this terminology is well-established amongst the Post-Quantum Cryptography (PQC) community. Therefore, an attempt to move away from its use for PQC could lead to multiple definitions for the same concept, resulting in confusion and lack of clarity. At the time of publication, hybrid is generally used for schemes that combine post-quantum and traditional algorithms; it will be so used throughout this document, though some have alternative preferences such as double-algorithm or multi-algorithm.
「ハイブリッド」という単語は、非対称アルゴリズムと対称アルゴリズムを組み合わせた暗号化方式を説明するために暗号分野でも使用されているため[RFC9180]、ポスト量子の文脈でそれを使用すると意味が多重定義され、誤解を招くリスクがあります。しかし、この用語はポスト量子暗号(PQC)コミュニティの間で定着しています。したがって、PQCでの使用から離れようとすると、同じ概念に対して複数の定義が生まれる可能性があり、その結果、混乱と明確性の欠如が生じます。発行時点では、ハイブリッドは一般にポスト量子アルゴリズムと従来型アルゴリズムを組み合わせた方式に使用されます。この文書全体でそのように使用しますが、ダブルアルゴリズムやマルチアルゴリズムといった代替案を好む人もいます。
This document provides language for constructions that combine traditional and post-quantum algorithms. Specific solutions for enabling the use of multiple asymmetric algorithms in cryptographic schemes may be more general than this, allowing the use of solely traditional or solely post-quantum algorithms. However, where relevant, we focus on post-quantum traditional combinations as these are the motivation for the wider work in the IETF. This document is intended as a reference terminology guide for other documents, in order to add clarity and consistency across different protocols, standards, and organisations. Additionally, this document aims to reduce misunderstandings about the use of the word "hybrid" and to define a shared language for different types of post-quantum and traditional hybrid constructions.
この文書は、従来型アルゴリズムとポスト量子アルゴリズムを組み合わせた構成のための用語を提供します。暗号方式で複数の非対称アルゴリズムの使用を可能にするための特定の解決策は、これよりも一般的である可能性があり、従来型アルゴリズムのみ、またはポスト量子アルゴリズムのみの使用を許容します。しかし、関連する場合、これらはIETFでのより広範な作業の動機であるため、ポスト量子と従来型の組み合わせに焦点を当てます。この文書は、さまざまなプロトコル、標準、組織の間で明確さと一貫性をもたらすために、他の文書のための参照用語ガイドとして意図されています。さらに、この文書は、「ハイブリッド」という単語の使用に関する誤解を減らし、さまざまな種類のポスト量子および従来型ハイブリッド構成のための共通言語を定義することを目的としています。
In this document, a "cryptographic algorithm" is defined, as in [NIST_SP_800-152], to be a "well-defined computational procedure that takes variable inputs, often including a cryptographic key, and produces an output". Examples include RSA, Elliptic Curve Diffie-Hellman (ECDH), Module-Lattice-Based Key-Encapsulation Mechanism (ML-KEM) (formerly known as Kyber), and Module-Lattice-Based Digital Signature Algorithm (ML-DSA) (formerly known as Dilithium). The expression "cryptographic scheme" is used to refer to a construction that uses a cryptographic algorithm or a group of cryptographic algorithms to achieve a particular cryptographic outcome, e.g., key agreement. A cryptographic scheme may be made up of a number of functions. For example, a Key Encapsulation Mechanism (KEM) is a cryptographic scheme consisting of three functions: Key Generation, Encapsulation, and Decapsulation. A cryptographic protocol incorporates one or more cryptographic schemes. For example, TLS [RFC8446] is a cryptographic protocol that includes schemes for key agreement, record layer encryption, and server authentication.
この文書では、「暗号アルゴリズム」は、[NIST_SP_800-152]にあるように、「多くの場合、暗号鍵を含む可変入力を受け取り、出力を生成する、明確に定義された計算手順」と定義されます。例として、RSA、楕円曲線Diffie-Hellman(ECDH)、モジュール格子ベースの鍵カプセル化メカニズム(ML-KEM)(以前はKyberとして知られていました)、およびモジュール格子ベースのデジタル署名アルゴリズム(ML-DSA)(以前はDilithiumとして知られていました)が挙げられます。「暗号方式」という表現は、暗号アルゴリズムまたは暗号アルゴリズムのグループを使用して、特定の暗号化の結果、例えば鍵合意を達成する構成を指すために使用されます。暗号方式は、多数の関数で構成される場合があります。例えば、鍵カプセル化メカニズム(KEM)は、鍵生成、カプセル化、カプセル化解除の3つの関数で構成される暗号方式です。暗号プロトコルには、1つ以上の暗号方式が組み込まれています。例えば、TLS [RFC8446]は、鍵合意、レコード層暗号化、およびサーバー認証の方式を含む暗号プロトコルです。
This section introduces terminology related to cryptographic algorithms and to hybrid constructions for cryptographic schemes.
このセクションでは、暗号アルゴリズムと暗号方式のハイブリッド構成に関連する用語を紹介します。
Traditional asymmetric cryptographic algorithm:
従来の非対称暗号化アルゴリズム:
An asymmetric cryptographic algorithm based on integer factorisation, finite field discrete logarithms, elliptic curve discrete logarithms, or related mathematical problems.
整数因数分解、有限体上の離散対数、楕円曲線離散対数、または関連する数学的問題に基づく非対称暗号アルゴリズム。
A related mathematical problem is one that can be solved by solving the integer factorisation, finite field discrete logarithm, or elliptic curve discrete logarithm problem.
関連する数学的問題とは、整数因数分解、有限体上の離散対数、または楕円曲線離散対数問題を解くことによって解決できる問題です。
Where there is little risk of confusion, traditional asymmetric cryptographic algorithms can also be referred to as "traditional algorithms" for brevity. Traditional algorithms can also be called "classical" or "conventional" algorithms.
混乱のリスクがほとんどない場合、従来型非対称暗号アルゴリズムは、簡潔にするために「従来型アルゴリズム」と呼ぶこともできます。従来型アルゴリズムは、「古典的」または「慣習的」アルゴリズムとも呼ばれます。
Post-quantum asymmetric cryptographic algorithm:
ポスト量子非対称暗号化アルゴリズム:
An asymmetric cryptographic algorithm that is intended to be secure against attacks using quantum computers as well as classical computers.
量子コンピュータと古典コンピュータの両方を使用した攻撃に対して安全であることが意図されている非対称暗号アルゴリズム。
Where there is little risk of confusion, post-quantum asymmetric cryptographic algorithms can also be referred to as "post-quantum algorithms" for brevity. Post-quantum algorithms can also be called "quantum-resistant" or "quantum-safe" algorithms.
混乱のリスクがほとんどない場合、ポスト量子非対称暗号アルゴリズムは、簡潔にするために「ポスト量子アルゴリズム」と呼ぶこともできます。ポスト量子アルゴリズムは、「耐量子性」または「量子安全」アルゴリズムとも呼ばれます。
As with all cryptography, it always remains the case that attacks, either quantum or classical, may be found against post-quantum algorithms. Therefore, it should not be assumed that an algorithm will not be compromised just because it is designed to provide post-quantum cryptography. Should an attack be found against a post-quantum algorithm, it is commonly still referred to as a "post-quantum algorithm", as they were designed to protect against an adversary with access to a CRQC, and the labels are referring to the designed or desired properties.
すべての暗号技術と同様に、量子攻撃または古典攻撃のいずれかが、ポスト量子アルゴリズムに対して見つかる可能性は常に残ります。したがって、ポスト量子暗号を提供するように設計されているという理由だけで、アルゴリズムが危殆化されないと想定すべきではありません。ポスト量子アルゴリズムに対して攻撃が見つかった場合でも、それらはCRQCにアクセスできる敵対者から保護するように設計されており、ラベルは設計された、または望ましい特性を指しているため、一般的には依然として「ポスト量子アルゴリズム」と呼ばれます。
There may be asymmetric cryptographic constructions that are neither post-quantum nor asymmetric traditional algorithms according to the definitions above. These are out of scope of this document.
上記の定義によれば、ポスト量子でも従来型の非対称アルゴリズムでもない非対称暗号構成が存在する可能性があります。これらはこの文書の範囲外です。
Component asymmetric algorithm:
コンポーネントの非対称アルゴリズム:
Each cryptographic algorithm that forms part of a cryptographic scheme.
暗号方式の一部を形成する各暗号アルゴリズム。
An asymmetric component algorithm operates on the input of the cryptographic operation and produces a cryptographic output that can be used by itself or jointly to complete the operation. Where there is little risk of confusion, component asymmetric algorithms can also be referred to as "component algorithms" for brevity, as is done in the following definitions.
非対称コンポーネントアルゴリズムは、暗号操作の入力に対して動作し、操作を完了するために単独で、または共同で使用できる暗号出力を生成します。混乱のリスクがほとんどない場合、コンポーネント非対称アルゴリズムは、以下の定義で行われているように、簡潔にするために「コンポーネントアルゴリズム」と呼ぶこともできます。
Single-algorithm scheme:
単一アルゴリズムスキーム:
A cryptographic scheme with one component algorithm.
1つのコンポーネントアルゴリズムを持つ暗号方式。
A single-algorithm scheme could use either a traditional algorithm or a post-quantum algorithm.
単一アルゴリズム方式では、従来型アルゴリズムまたはポスト量子アルゴリズムのいずれかを使用できます。
Multi-algorithm scheme:
マルチアルゴリズムスキーム:
A cryptographic scheme that incorporates more than one component algorithm, where the component algorithms have the same cryptographic purpose as each other and as the multi-algorithm scheme.
コンポーネントアルゴリズムが互いに、そしてマルチアルゴリズム方式と同じ暗号目的を持つ、複数のコンポーネントアルゴリズムを組み込んだ暗号方式。
For example, a multi-algorithm signature scheme may include multiple signature algorithms, or a multi-algorithm Public Key Encryption (PKE) scheme may include multiple PKE algorithms. Component algorithms could be all traditional, all post-quantum, or a mixture of the two.
例えば、マルチアルゴリズム署名方式には複数の署名アルゴリズムが含まれる場合があり、マルチアルゴリズム公開鍵暗号(PKE)方式には複数のPKEアルゴリズムが含まれる場合があります。コンポーネントアルゴリズムは、すべて従来型、すべてポスト量子、またはその2つの混合である可能性があります。
Post-Quantum Traditional (PQ/T) hybrid scheme:
ポスト量子/従来型(PQ/T)ハイブリッドスキーム:
A multi-algorithm scheme where at least one component algorithm is a post-quantum algorithm and at least one is a traditional algorithm.
少なくとも1つのコンポーネントアルゴリズムがポスト量子アルゴリズムであり、少なくとも1つが従来型アルゴリズムであるマルチアルゴリズム方式。
Components of a PQ/T hybrid scheme operate on the same input message and their output is used together to complete the cryptographic operation either serially or in parallel. PQ/T hybrid scheme design is aimed at requiring successful breaking of all component algorithms to break the PQ/T hybrid scheme's security properties.
PQ/Tハイブリッド方式のコンポーネントは同じ入力メッセージで動作し、その出力は直列または並列のいずれかで暗号操作を完了するために一緒に使用されます。PQ/Tハイブリッド方式の設計は、PQ/Tハイブリッド方式のセキュリティ特性を破るために、すべてのコンポーネントアルゴリズムの解読に成功することを要求することを目的としています。
PQ/T hybrid Key Encapsulation Mechanism (KEM):
PQ/Tハイブリッドキーカプセル化メカニズム(KEM):
A multi-algorithm KEM made up of two or more component algorithms where at least one is a post-quantum algorithm and at least one is a traditional algorithm. The component algorithms could be KEMs or other key establishment algorithms.
少なくとも1つがポスト量子アルゴリズムであり、少なくとも1つが従来型アルゴリズムである2つ以上のコンポーネントアルゴリズムで構成されるマルチアルゴリズムKEM。コンポーネントアルゴリズムは、KEMまたは他の鍵確立アルゴリズムである可能性があります。
PQ/T hybrid Public Key Encryption (PKE):
PQ/Tハイブリッド公開キー暗号化(PKE):
A multi-algorithm PKE scheme made up of two or more component algorithms where at least one is a post-quantum algorithm and at least one is a traditional algorithm. The component algorithms could be PKE algorithms or other key establishment algorithms.
少なくとも1つがポスト量子アルゴリズムであり、少なくとも1つが従来型アルゴリズムである2つ以上のコンポーネントアルゴリズムで構成されるマルチアルゴリズムPKE方式。コンポーネントアルゴリズムは、PKEアルゴリズムまたは他の鍵確立アルゴリズムである可能性があります。
The standard security property for a PKE scheme is indistinguishability under chosen-plaintext attack (IND-CPA) [BDPR]. IND-CPA security is not sufficient for secure communication in the presence of an active attacker. Therefore, in general, PKE schemes are not appropriate for use on the Internet, and KEMs, which provide indistinguishability under chosen-ciphertext attack (IND-CCA) [BDPR], are required.
PKE方式の標準的なセキュリティ特性は、選択平文攻撃(IND-CPA)下での識別不可能性です[BDPR]。IND-CPAセキュリティは、アクティブな攻撃者の存在下での安全な通信には十分ではありません。したがって、一般に、PKE方式はインターネット上での使用には適しておらず、選択暗号文攻撃(IND-CCA)下での識別不可能性を提供するKEMが必要です[BDPR]。
PQ/T hybrid digital signature:
PQ/Tハイブリッドデジタル署名:
A multi-algorithm digital signature scheme made up of two or more component digital signature algorithms where at least one is a post-quantum algorithm and at least one is a traditional algorithm.
少なくとも1つがポスト量子アルゴリズムであり、少なくとも1つが従来型アルゴリズムである2つ以上のコンポーネントデジタル署名アルゴリズムで構成されるマルチアルゴリズムデジタル署名方式。
Note that there are many possible ways of constructing a PQ/T hybrid digital signature. Examples include parallel signatures, composite signatures, or nested signatures.
PQ/Tハイブリッドデジタル署名を構築するには多くの可能な方法があることに注意してください。例としては、並列署名、複合署名、またはネストされた署名が挙げられます。
PQ/T hybrid KEMs, PQ/T hybrid PKE, and PQ/T hybrid digital signatures are all examples of PQ/T hybrid schemes.
PQ/TハイブリッドKEM、PQ/TハイブリッドPKE、およびPQ/Tハイブリッドデジタル署名はすべて、PQ/Tハイブリッドスキームの例です。
Post-Quantum Traditional (PQ/T) hybrid composite scheme:
ポスト量子・従来型(PQ/T)ハイブリッド複合方式:
A multi-algorithm scheme where at least one component algorithm is a post-quantum algorithm and at least one is a traditional algorithm, and where the resulting composite scheme is exposed as a singular interface of the same type as the component algorithms.
少なくとも1つのコンポーネントアルゴリズムがポスト量子アルゴリズムであり、少なくとも1つが従来型アルゴリズムであり、結果として得られる複合方式がコンポーネントアルゴリズムと同じタイプの単一のインターフェースとして公開されるマルチアルゴリズム方式。
A PQ/T hybrid composite can be referred to as a "PQ/T composite". An example of a PQ/T hybrid composite is a single KEM algorithm comprised of a PQ KEM component and a traditional KEM component, for which the result presents as a KEM output.
PQ/Tハイブリッド複合体は、「PQ/T複合体」と呼ぶことができます。PQ/Tハイブリッド複合体の例は、PQ KEMコンポーネントと従来型KEMコンポーネントで構成される単一のKEMアルゴリズムであり、その結果はKEM出力として提示されます。
PQ/T hybrid combiner:
PQ/Tハイブリッドコンバイナー:
A method that takes two or more component algorithms and combines them to form a PQ/T hybrid scheme.
2つ以上のコンポーネントアルゴリズムを取り、それらを組み合わせてPQ/Tハイブリッド方式を形成する方法。
PQ/PQ hybrid scheme:
PQ/PQハイブリッド方式:
A multi-algorithm scheme where all components are post-quantum algorithms.
すべてのコンポーネントがポスト量子アルゴリズムであるマルチアルゴリズム方式。
The definitions for types of PQ/T hybrid schemes can be adapted to define types of PQ/PQ hybrid schemes, which are multi-algorithm schemes where all component algorithms are post-quantum algorithms. These are designed to mitigate risks when the two post-quantum algorithms are based on different mathematical problems. Some prefer to refer to these as PQ/PQ multi-algorithm schemes, and reserve the term "hybrid" for PQ/T hybrids.
PQ/Tハイブリッドスキームの種類の定義は、すべてのコンポーネントアルゴリズムがポスト量子アルゴリズムであるマルチアルゴリズムスキームであるPQ/PQハイブリッドスキームのタイプを定義するために適合させることができます。これらは、2つのポスト量子アルゴリズムが異なる数学的問題に基づいている場合、リスクを軽減するように設計されています。これらをPQ/PQマルチアルゴリズムスキームと呼び、PQ/Tハイブリッドの「ハイブリッド」という用語を予約することを好む人もいます。
In cases where there is little chance of confusion between other types of hybrid cryptography (e.g., as defined in [RFC4949]) and where the component algorithms of a multi-algorithm scheme could be either post-quantum or traditional, it may be appropriate to use the phrase "hybrid scheme" without PQ/T or PQ/PQ preceding it.
他の種類のハイブリッド暗号(例えば、[RFC4949]で定義されている)との混同の可能性がほとんどなく、マルチアルゴリズム方式のコンポーネントアルゴリズムがポスト量子または従来型のいずれかである可能性がある場合、PQ/TまたはPQ/PQを前に付けずに「ハイブリッド方式」というフレーズを使用することが適切な場合があります。
Component scheme:
コンポーネント方式:
Each cryptographic scheme that makes up a PQ/T hybrid scheme or PQ/T hybrid protocol.
PQ/TハイブリッドスキームまたはPQ/Tハイブリッドプロトコルを構成する各暗号化スキーム。
This section introduces terminology related to cryptographic elements and their inclusion in hybrid schemes.
このセクションでは、暗号要素とハイブリッド方式へのそれらの包含に関する用語を紹介します。
Cryptographic element:
暗号化要素:
Any data type (private or public) that contains an input or output value for a cryptographic algorithm or for a function making up a cryptographic algorithm.
暗号アルゴリズムまたは暗号アルゴリズムを構成する関数の入力値または出力値を含むデータ型(プライベートまたはパブリック)。
Types of cryptographic elements include public keys, private keys, plaintexts, ciphertexts, shared secrets, and signature values.
暗号要素の種類には、公開鍵、秘密鍵、平文、暗号文、共有秘密、署名値が含まれます。
Component cryptographic element:
コンポーネント暗号化要素:
A cryptographic element of a component algorithm in a multi-algorithm scheme.
マルチアルゴリズム方式におけるコンポーネントアルゴリズムの暗号要素。
For example, in [HYBRID-TLS], the client's keyshare contains two component public keys: one for a post-quantum algorithm and one for a traditional algorithm.
例えば、[HYBRID-TLS]では、クライアントの鍵共有には2つのコンポーネント公開鍵が含まれています。1つはポスト量子アルゴリズム用、もう1つは従来型アルゴリズム用です。
Composite cryptographic element:
複合暗号化要素:
A cryptographic element that incorporates multiple component cryptographic elements of the same type for use in a multi-algorithm scheme, such that the resulting composite cryptographic element is exposed as a singular interface of the same type as the component cryptographic elements.
マルチアルゴリズム方式で使用するために同じタイプの複数のコンポーネント暗号要素を組み込んだ暗号要素であり、結果として得られる複合暗号要素がコンポーネント暗号要素と同じタイプの単一のインターフェースとして公開されるもの。
For example, a composite cryptographic public key is made up of two component public keys.
例えば、複合暗号公開鍵は2つのコンポーネント公開鍵で構成されています。
PQ/T hybrid composite cryptographic element:
PQ/Tハイブリッド複合暗号化要素:
A cryptographic element that incorporates multiple component cryptographic elements of the same type for use in a multi-algorithm scheme, such that the resulting composite cryptographic element is exposed as a singular interface of the same type as the component cryptographic elements, where at least one component cryptographic element is post-quantum and at least one is traditional.
マルチアルゴリズム方式で使用するために同じタイプの複数のコンポーネント暗号要素を組み込んだ暗号要素であり、結果として得られる複合暗号要素がコンポーネント暗号要素と同じタイプの単一のインターフェースとして公開され、少なくとも1つのコンポーネント暗号要素がポスト量子であり、少なくとも1つが従来型であるもの。
Cryptographic element combiner:
暗号化要素コンバイナー:
A method that takes two or more component cryptographic elements of the same type and combines them to form a composite cryptographic element.
同じタイプの2つ以上のコンポーネント暗号要素を取り、それらを組み合わせて複合暗号要素を形成する方法。
A cryptographic element combiner could be concatenation, such as where two component public keys are concatenated to form a composite public key as in [HYBRID-TLS], or something more involved such as the dualPRF defined in [BINDEL].
暗号要素コンバイナは、[HYBRID-TLS]のように2つのコンポーネント公開鍵が連結されて複合公開鍵を形成する連結である場合もあれば、[BINDEL]で定義されているdualPRFのように、より複雑なものである場合もあります。
This section introduces terminology related to the use of post-quantum and traditional algorithms together in protocols.
このセクションでは、プロトコルでポスト量子アルゴリズムと従来型アルゴリズムを一緒に使用することに関連する用語を紹介します。
PQ/T hybrid protocol:
PQ/Tハイブリッドプロトコル:
A protocol that uses two or more component algorithms providing the same cryptographic functionality, where at least one is a post-quantum algorithm and at least one is a traditional algorithm.
同じ暗号機能を提供する2つ以上のコンポーネントアルゴリズムを使用するプロトコルで、少なくとも1つはポスト量子アルゴリズムであり、少なくとも1つは従来型アルゴリズムです。
For example, a PQ/T hybrid protocol providing confidentiality could use a PQ/T hybrid KEM such as in [HYBRID-TLS], or it could combine the output of a post-quantum KEM and a traditional KEM at the protocol level to generate a single shared secret, such as in [RFC9370]. Similarly, a PQ/T hybrid protocol providing authentication could use a PQ/T hybrid digital signature scheme, or it could include both post-quantum and traditional single-algorithm digital signature schemes.
例えば、機密性を提供するPQ/Tハイブリッドプロトコルは、[HYBRID-TLS]のようなPQ/TハイブリッドKEMを使用することも、プロトコルレベルでポスト量子KEMと従来型KEMの出力を組み合わせて、[RFC9370]のように単一の共有秘密を生成することもできます。同様に、認証を提供するPQ/Tハイブリッドプロトコルは、PQ/Tハイブリッドデジタル署名方式を使用することも、ポスト量子と従来型の単一アルゴリズムデジタル署名方式の両方を含めることもできます。
A protocol that can negotiate the use of either a traditional algorithm or a post-quantum algorithm, but not the use of both types of algorithm, is not a PQ/T hybrid protocol. Protocols that use two or more component algorithms but with different cryptographic functionalities, for example, a post-quantum KEM and a Pre-Shared Key (PSK), are also not PQ/T hybrid protocols.
従来型アルゴリズムまたはポスト量子アルゴリズムのいずれかの使用を交渉できるが、両方のタイプのアルゴリズムの使用は交渉できないプロトコルは、PQ/Tハイブリッドプロトコルではありません。2つ以上のコンポーネントアルゴリズムを使用するが、例えばポスト量子KEMや事前共有鍵(PSK)など、異なる暗号機能を持つプロトコルも、PQ/Tハイブリッドプロトコルではありません。
PQ/T hybrid protocol with composite key establishment:
複合鍵確立を備えたPQ/Tハイブリッドプロトコル:
A PQ/T hybrid protocol that incorporates a PQ/T hybrid composite scheme to achieve key establishment, in such a way that the protocol fields and message flow are the same as those in a version of the protocol that uses a single-algorithm scheme.
プロトコルフィールドとメッセージフローが単一アルゴリズム方式を使用するプロトコルのバージョンのものと同じになるように、鍵確立を達成するためにPQ/Tハイブリッド複合方式を組み込んだPQ/Tハイブリッドプロトコル。
For example, a PQ/T hybrid protocol with composite key establishment could include a single PQ/T hybrid KEM, such as in [HYBRID-TLS].
例えば、複合鍵確立を備えたPQ/Tハイブリッドプロトコルには、[HYBRID-TLS]のような単一のPQ/TハイブリッドKEMを含めることができます。
PQ/T hybrid protocol with composite data authentication:
複合データ認証を備えたPQ/Tハイブリッドプロトコル:
A PQ/T hybrid protocol that incorporates a PQ/T hybrid composite scheme to achieve data authentication, in such a way that the protocol fields and message flow are the same as those in a version of the protocol that uses a single-algorithm scheme.
プロトコルフィールドとメッセージフローが単一アルゴリズム方式を使用するプロトコルのバージョンのものと同じになるように、データ認証を達成するためにPQ/Tハイブリッド複合方式を組み込んだPQ/Tハイブリッドプロトコル。
For example, a PQ/T hybrid protocol with composite data authentication could include data authentication through the use of a PQ/T composite hybrid digital signature, exposed as a single interface for PQ signature and traditional signature components.
例えば、複合データ認証を備えたPQ/Tハイブリッドプロトコルには、PQ署名および従来型署名コンポーネントのための単一のインターフェースとして公開される、PQ/T複合ハイブリッドデジタル署名の使用によるデータ認証が含まれる場合があります。
PQ/T hybrid protocol with composite entity authentication:
複合エンティティ認証を使用したPQ/Tハイブリッドプロトコル:
A PQ/T hybrid protocol that incorporates a PQ/T hybrid composite scheme to achieve entity authentication, in such a way that the protocol fields and message flow are the same as those in a version of the protocol that uses a single-algorithm scheme.
プロトコルフィールドとメッセージフローが単一アルゴリズム方式を使用するプロトコルのバージョンのものと同じになるように、エンティティ認証を達成するためにPQ/Tハイブリッド複合方式を組み込んだPQ/Tハイブリッドプロトコル。
For example, a PQ/T hybrid protocol with composite entity authentication could include entity authentication through the use of PQ/T Composite Hybrid certificates.
例えば、複合エンティティ認証を備えたPQ/Tハイブリッドプロトコルには、PQ/T複合ハイブリッド証明書の使用によるエンティティ認証が含まれる場合があります。
In a PQ/T hybrid protocol with a composite construction, changes are primarily made to the formats of the cryptographic elements, while the protocol fields and message flow remain largely unchanged. In implementations, most changes are likely to be made to the cryptographic libraries, with minimal changes to the protocol libraries.
複合構造を備えたPQ/Tハイブリッドプロトコルでは、主に暗号化要素の形式に変更が加えられますが、プロトコルフィールドとメッセージの流れはほとんど変化しません。実装では、ほとんどの変更が暗号化ライブラリに行われる可能性が高く、プロトコルライブラリに最小限の変更があります。
PQ/T hybrid protocol with non-composite key establishment:
非複合鍵確立を備えたPQ/Tハイブリッドプロトコル:
A PQ/T hybrid protocol that incorporates multiple single-algorithm schemes to achieve key establishment, where at least one uses a post-quantum algorithm and at least one uses a traditional algorithm, in such a way that the formats of the component cryptographic elements are the same as when they are used as a part of a single-algorithm scheme.
複数の単一アルゴリズム方式を組み込んで鍵確立を達成するPQ/Tハイブリッドプロトコル。少なくとも1つはポスト量子アルゴリズムを使用し、少なくとも1つは従来型アルゴリズムを使用し、コンポーネント暗号要素の形式が単一アルゴリズム方式の一部として使用される場合と同じになるようにします。
For example, a PQ/T hybrid protocol with non-composite key establishment could include a traditional key exchange scheme and a post-quantum KEM. A construction like this for the Internet Key Exchange Protocol Version 2 (IKEv2) is enabled by [RFC9370].
たとえば、非複合鍵確立を備えたPQ/Tハイブリッドプロトコルには、従来のキー交換スキームとポスト量子KEMが含まれる場合があります。インターネットキーエクスチェンジプロトコルバージョン2(IKEv2)のこのような構造は、[RFC9370]によって有効になっています。
PQ/T hybrid protocol with non-composite authentication:
非複合認証を備えたPQ/Tハイブリッドプロトコル:
A PQ/T hybrid protocol that incorporates multiple single-algorithm schemes to achieve authentication, where at least one uses a post-quantum algorithm and at least one uses a traditional algorithm, in such a way that the formats of the component cryptographic elements are the same as when they are used as part of a single-algorithm scheme.
複数の単一アルゴリズム方式を組み込んで認証を達成するPQ/Tハイブリッドプロトコル。少なくとも1つはポスト量子アルゴリズムを使用し、少なくとも1つは従来型アルゴリズムを使用し、コンポーネント暗号要素の形式が単一アルゴリズム方式の一部として使用される場合と同じになるようにします。
For example, a PQ/T hybrid protocol with non-composite authentication could use a PQ/T parallel PKI with one traditional certificate chain and one post-quantum certificate chain.
たとえば、非複合認証を備えたPQ/Tハイブリッドプロトコルは、1つの従来の証明書チェーンと1つのポスト量子証明書チェーンを備えたPQ/T並列PKIを使用できます。
In a PQ/T hybrid protocol with a non-composite construction, changes are primarily made to the protocol fields, the message flow, or both, while changes to cryptographic elements are minimised. In implementations, most changes are likely to be made to the protocol libraries, with minimal changes to the cryptographic libraries.
非複合構成を持つPQ/Tハイブリッドプロトコルでは、主にプロトコルフィールド、メッセージフロー、またはその両方に変更が加えられますが、暗号要素への変更は最小限に抑えられます。実装では、ほとんどの変更はプロトコルライブラリに行われる可能性が高く、暗号ライブラリへの変更は最小限です。
It is possible for a PQ/T hybrid protocol to be designed with both composite and non-composite constructions. For example, a protocol that offers both confidentiality and authentication could have composite key agreement and non-composite authentication. Similarly, it is possible for a PQ/T hybrid protocol to achieve certain cryptographic outcomes in a non-hybrid manner. For example, [HYBRID-TLS] describes a PQ/T hybrid protocol with composite key agreement, but with single-algorithm authentication.
PQ/Tハイブリッドプロトコルを複合構造と非複合構造の両方で設計することが可能です。例えば、機密性と認証の両方を提供するプロトコルは、複合鍵合意と非複合認証を持つことができます。同様に、PQ/Tハイブリッドプロトコルが非ハイブリッドな方法で特定の暗号化結果を達成することも可能です。例えば、[HYBRID-TLS]は、複合鍵合意を備えたPQ/Tハイブリッドプロトコルを説明していますが、単一アルゴリズム認証を使用しています。
PQ/T hybrid protocols may not specify non-composite aspects, but can choose to do so for clarity, in particular, if including both composite and non-composite aspects.
PQ/Tハイブリッドプロトコルは、非複合的な側面を指定しない場合がありますが、特に複合的な側面と非複合的な側面の両方を含む場合、明確にするためにそうすることを選択できます。
PQ/T hybrid composite protocol:
PQ/Tハイブリッド複合プロトコル:
A PQ/T hybrid protocol that only uses composite constructions can be referred to as a "PQ/T hybrid composite protocol".
複合構造のみを使用するPQ/Tハイブリッドプロトコルは、「PQ/Tハイブリッド複合プロトコル」と呼ぶことができます。
An example of this is a protocol that only provides entity authentication, and achieves this using PQ/T hybrid composite entity authentication. Similarly, another example is a protocol that offers both key establishment and data authentication, and achieves this using both PQ/T hybrid composite key establishment and PQ/T hybrid composite data authentication.
この例は、エンティティ認証のみを提供するプロトコルであり、PQ/Tハイブリッド複合エンティティ認証を使用してこれを達成します。同様に、別の例は、鍵確立とデータ認証の両方を提供し、PQ/Tハイブリッド複合鍵確立とPQ/Tハイブリッド複合データ認証の両方を使用してこれを達成するプロトコルです。
PQ/T hybrid non-composite protocol:
PQ/Tハイブリッド非複合プロトコル:
A PQ/T hybrid protocol that does not use only composite constructions can be referred to as a "PQ/T hybrid non-composite protocol".
複合構造のみを使用しないPQ/Tハイブリッドプロトコルは、「PQ/Tハイブリッド非複合プロトコル」と呼ぶことができます。
For example, a PQ/T hybrid protocol that offers both confidentiality and authentication and uses composite key agreement and non-composite authentication would be referred to as a "PQ/T hybrid non-composite protocol".
例えば、機密性と認証の両方を提供し、複合鍵合意と非複合認証を使用するPQ/Tハイブリッドプロトコルは、「PQ/Tハイブリッド非複合プロトコル」と呼ばれます。
This section describes some properties that may be desired from or achieved by a PQ/T hybrid scheme or a PQ/T hybrid protocol. Properties of PQ/T hybrid schemes are still an active area of research and development, e.g., in [BINDELHALE]. This section does not attempt to be comprehensive, but rather covers a basic set of properties.
このセクションでは、PQ/Tハイブリッド方式またはPQ/Tハイブリッドプロトコルから望まれる、または達成される可能性のあるいくつかの特性について説明します。PQ/Tハイブリッド方式の特性は、例えば[BINDELHALE]において、依然として活発な研究開発分野です。このセクションは包括的であることを試みるものではなく、むしろ基本的な特性のセットを扱います。
It is not possible for one PQ/T hybrid scheme or PQ/T hybrid protocol to achieve all of the properties in this section. To understand what properties are required, a designer or implementer will think about why they are using a PQ/T hybrid scheme. For example, a scheme that is designed for implementation security will likely require PQ/T hybrid confidentiality or PQ/T hybrid authentication, while a scheme for interoperability will require PQ/T hybrid interoperability.
1つのPQ/TハイブリッドスキームまたはPQ/Tハイブリッドプロトコルがこのセクションのすべてのプロパティを実現することは不可能です。どのプロパティが必要かを理解するために、設計者または実装者は、なぜPQ/Tハイブリッドスキームを使用しているのかを考えます。たとえば、実装セキュリティのために設計されたスキームには、PQ/Tハイブリッド機密性またはPQ/Tハイブリッド認証が必要になる可能性がありますが、相互運用性のスキームにはPQ/Tハイブリッドの相互運用性が必要です。
PQ/T hybrid confidentiality:
PQ/Tハイブリッド機密性:
The property that confidentiality is achieved by a PQ/T hybrid scheme or a PQ/T hybrid protocol as long as at least one component algorithm that aims to provide this property remains secure.
この特性を提供することを目的とした少なくとも1つのコンポーネントアルゴリズムが安全なままである限り、PQ/Tハイブリッド方式またはPQ/Tハイブリッドプロトコルによって機密性が達成されるという特性。
PQ/T hybrid authentication:
PQ/Tハイブリッド認証:
The property that authentication is achieved by a PQ/T hybrid scheme or a PQ/T hybrid protocol as long as at least one component algorithm that aims to provide this property remains secure.
この特性を提供することを目的とした少なくとも1つのコンポーネントアルゴリズムが安全なままである限り、PQ/Tハイブリッド方式またはPQ/Tハイブリッドプロトコルによって認証が達成されるという特性。
The security properties of a PQ/T hybrid scheme or protocol depend on the security of its component algorithms, the choice of PQ/T hybrid combiner, and the capability of an attacker. Changes to the security of a component algorithm can impact the security properties of a PQ/T hybrid scheme providing hybrid confidentiality or hybrid authentication. For example, if the post-quantum component algorithm of a PQ/T hybrid scheme is broken, the scheme will remain secure against an attacker with a classical computer, but will be vulnerable to an attacker with a CRQC.
PQ/Tハイブリッド方式またはプロトコルのセキュリティ特性は、そのコンポーネントアルゴリズムのセキュリティ、PQ/Tハイブリッドコンバイナの選択、および攻撃者の能力に依存します。コンポーネントアルゴリズムのセキュリティの変更は、ハイブリッド機密性またはハイブリッド認証を提供するPQ/Tハイブリッド方式のセキュリティ特性に影響を与える可能性があります。例えば、PQ/Tハイブリッド方式のポスト量子コンポーネントアルゴリズムが破られた場合、その方式は古典コンピュータを持つ攻撃者に対しては安全なままですが、CRQCを持つ攻撃者に対しては脆弱になります。
PQ/T hybrid protocols that offer both confidentiality and authentication do not necessarily offer both hybrid confidentiality and hybrid authentication. For example, [HYBRID-TLS] provides hybrid confidentiality but does not address hybrid authentication. Therefore, if the design in [HYBRID-TLS] is used with single-algorithm X.509 certificates as defined in [RFC5280], only authentication with a single algorithm is achieved.
機密性と認証の両方を提供するPQ/Tハイブリッドプロトコルは、必ずしもハイブリッドの機密性とハイブリッド認証の両方を提供するものではありません。たとえば、[Hybrid-TLS]はハイブリッドの機密性を提供しますが、ハイブリッド認証には対応していません。したがって、[Hybrid-TLS]の設計が[RFC5280]で定義されている単一アルゴリズムX.509証明書で使用される場合、単一のアルゴリズムを使用した認証のみが達成されます。
PQ/T hybrid interoperability:
PQ/Tハイブリッド相互運用性:
The property that a PQ/T hybrid scheme or a PQ/T hybrid protocol can be completed successfully provided that both parties share support for at least one component algorithm.
PQ/Tハイブリッド方式またはPQ/Tハイブリッドプロトコルが、両当事者が少なくとも1つのコンポーネントアルゴリズムのサポートを共有していることを条件に、正常に完了できるという特性。
For example, a PQ/T hybrid digital signature might achieve hybrid interoperability if the signature can be verified by either verifying the traditional or the post-quantum component, such as the approach defined in Section 7.2.2 of [ITU-T-X509-2019]. In this example, a verifier that has migrated to support post-quantum algorithms is required to verify only the post-quantum signature, while a verifier that has not migrated will verify only the traditional signature.
たとえば、PQ/Tハイブリッドデジタル署名は、[ITU-T-X509-2019]のセクション7.2.2で定義されているアプローチなど、従来のコンポーネントまたはポスト量子コンポーネントのいずれかを検証することで署名を検証できる場合、ハイブリッドの相互運用性を実現する場合があります。この例では、ポスト量子アルゴリズムをサポートするために移行した検証者は、ポスト量子署名のみを検証する必要がありますが、移行していない検証者は従来の署名のみを確認します。
In the case of a protocol that aims to achieve both authentication and confidentiality, PQ/T hybrid interoperability requires that at least one component authentication algorithm and at least one component algorithm for confidentiality is supported by both parties.
認証と機密性の両方を達成することを目的とするプロトコルの場合、PQ/Tハイブリッド相互運用性は、少なくとも1つのコンポーネント認証アルゴリズムと、機密性のための少なくとも1つのコンポーネントアルゴリズムが両当事者によってサポートされていることを要求します。
It is not possible for a PQ/T hybrid scheme to achieve both PQ/T hybrid interoperability and PQ/T hybrid confidentiality without additional functionality at a protocol level. For PQ/T hybrid interoperability, a scheme needs to work whenever one component algorithm is supported by both parties, while to achieve PQ/T hybrid confidentiality, all component algorithms need to be used. However, both properties can be achieved in a PQ/T hybrid protocol by building in downgrade protection external to the cryptographic schemes. For example, in [HYBRID-TLS], the client uses the TLS supported groups extension to advertise support for a PQ/T hybrid scheme, and the server can select this group if it supports the scheme. This is protected using TLS's existing downgrade protection, so it achieves PQ/T hybrid confidentiality, but the connection can still be made if either the client or server does not support the PQ/T hybrid scheme, so PQ/T hybrid interoperability is achieved.
PQ/Tハイブリッド方式が、プロトコルレベルでの追加機能なしにPQ/Tハイブリッド相互運用性とPQ/Tハイブリッド機密性の両方を達成することは不可能です。PQ/Tハイブリッド相互運用性のためには、1つのコンポーネントアルゴリズムが両当事者によってサポートされている場合はいつでも方式が機能する必要がありますが、PQ/Tハイブリッド機密性を達成するためには、すべてのコンポーネントアルゴリズムを使用する必要があります。しかし、暗号方式の外部にダウングレード保護を組み込むことにより、両方の特性をPQ/Tハイブリッドプロトコルで達成できます。例えば、[HYBRID-TLS]では、クライアントはTLSのsupported_groups拡張を使用してPQ/Tハイブリッド方式のサポートを広告し、サーバーがその方式をサポートしている場合はこのグループを選択できます。これはTLSの既存のダウングレード保護を使用して保護されているため、PQ/Tハイブリッド機密性を達成しますが、クライアントまたはサーバーのいずれかがPQ/Tハイブリッド方式をサポートしていない場合でも接続を確立できるため、PQ/Tハイブリッド相互運用性が達成されます。
The same is true for PQ/T hybrid interoperability and PQ/T hybrid authentication. It is not possible to achieve both with a PQ/T hybrid scheme alone, but it is possible with a PQ/T hybrid protocol that has appropriate downgrade protection.
PQ/Tハイブリッドの相互運用性とPQ/Tハイブリッド認証にも同じことが言えます。PQ/Tハイブリッドスキームのみで両方を達成することはできませんが、適切なダウングレード保護を備えたPQ/Tハイブリッドプロトコルでは可能です。
PQ/T hybrid backwards compatibility:
PQ/Tハイブリッド後方互換性:
The property that a PQ/T hybrid scheme or a PQ/T hybrid protocol can be completed successfully provided that both parties support the traditional component algorithm, while also using both algorithms if both are supported by both parties.
PQ/Tハイブリッド方式またはPQ/Tハイブリッドプロトコルが、両当事者が従来型コンポーネントアルゴリズムをサポートしていることを条件に正常に完了でき、両当事者が両方のアルゴリズムをサポートしている場合は両方のアルゴリズムも使用するという特性。
PQ/T hybrid forwards compatibility:
PQ/Tハイブリッド前方互換性:
The property that a PQ/T hybrid scheme or a PQ/T hybrid protocol can be completed successfully using a post-quantum component algorithm provided that both parties support it, while also having the option to use both post-quantum and traditional algorithms if both are supported by both parties.
両当事者がサポートしていればポスト量子コンポーネントアルゴリズムを使用してPQ/Tハイブリッド方式またはPQ/Tハイブリッドプロトコルを正常に完了でき、両当事者が両方をサポートしている場合はポスト量子アルゴリズムと従来型アルゴリズムの両方を使用するオプションもあるという特性。
Note that PQ/T hybrid forwards compatibility is a protocol or scheme property only.
PQ/Tハイブリッド前方互換性はプロトコルまたは方式の特性のみであることに注意してください。
This section introduces terminology related to the use of certificates in hybrid schemes.
このセクションでは、ハイブリッド方式での証明書の使用に関する用語を紹介します。
PQ/T hybrid certificate:
PQ/Tハイブリッド証明書:
A digital certificate that contains public keys for two or more component algorithms where at least one is a traditional algorithm and at least one is a post-quantum algorithm.
少なくとも1つが従来型アルゴリズムであり、少なくとも1つがポスト量子アルゴリズムである2つ以上のコンポーネントアルゴリズムの公開鍵を含むデジタル証明書。
A PQ/T hybrid certificate could be used to facilitate a PQ/T hybrid authentication protocol. However, a PQ/T hybrid authentication protocol does not need to use a PQ/T hybrid certificate; separate certificates could be used for individual component algorithms.
PQ/Tハイブリッド証明書を使用して、PQ/Tハイブリッド認証プロトコルを容易にすることができます。ただし、PQ/Tハイブリッド認証プロトコルはPQ/Tハイブリッド証明書を使用する必要はありません。個々のコンポーネントアルゴリズムには別々の証明書を使用できます。
The component public keys in a PQ/T hybrid certificate could be included as a composite public key or as individual component public keys.
PQ/Tハイブリッド証明書のコンポーネント公開鍵は、複合公開鍵として、または個々のコンポーネント公開鍵として含めることができます。
The use of a PQ/T hybrid certificate does not necessarily achieve hybrid authentication of the identity of the sender; this is determined by properties of the chain of trust. For example, an end-entity certificate that contains a composite public key, but which is signed using a single-algorithm digital signature scheme, could be used to provide hybrid authentication of the source of a message, but would not achieve hybrid authentication of the identity of the sender.
PQ/Tハイブリッド証明書の使用は、必ずしも送信者のIDのハイブリッド認証を達成するわけではありません。これは、信頼のチェーンのプロパティによって決定されます。たとえば、複合公開キーを含むが、単一アルゴリズムのデジタル署名スキームを使用して署名されたエンドエンティティ証明書は、メッセージのソースのハイブリッド認証を提供するために使用できますが、送信者のIDのハイブリッド認証は実現できません。
Post-quantum certificate:
ポスト量子証明書:
A digital certificate that contains a single public key for a post-quantum digital signature algorithm.
ポスト量子デジタル署名アルゴリズムのための単一の公開鍵を含むデジタル証明書。
Traditional certificate:
従来の証明書:
A digital certificate that contains a single public key for a traditional digital signature algorithm.
従来型デジタル署名アルゴリズムのための単一の公開鍵を含むデジタル証明書。
X.509 certificates as defined in [RFC5280] could be either traditional or post-quantum certificates depending on the algorithm in the Subject Public Key Info. For example, a certificate containing a ML-DSA public key, as defined in [ML-DSA], would be a post-quantum certificate.
[RFC5280]で定義されているX.509証明書は、Subject Public Key Infoのアルゴリズムに応じて、従来型またはポスト量子証明書のいずれかになります。例えば、[ML-DSA]で定義されているように、ML-DSA公開鍵を含む証明書はポスト量子証明書になります。
Post-quantum certificate chain:
ポスト量子証明書チェーン:
A certificate chain where all certificates include a public key for a post-quantum algorithm and are signed using a post-quantum digital signature scheme.
すべての証明書がポスト量子アルゴリズムの公開鍵を含み、ポスト量子デジタル署名方式を使用して署名される証明書チェーン。
Traditional certificate chain:
従来型証明書チェーン:
A certificate chain where all certificates include a public key for a traditional algorithm and are signed using a traditional digital signature scheme.
すべての証明書が従来のアルゴリズムの公開キーを含み、従来のデジタル署名スキームを使用して署名される証明書チェーン。
PQ/T hybrid certificate chain:
PQ/Tハイブリッド証明書チェーン:
A certificate chain where all certificates are PQ/T hybrid certificates and each certificate is signed with two or more component algorithms with at least one being a traditional algorithm and at least one being a post-quantum algorithm.
すべての証明書がPQ/Tハイブリッド証明書であり、各証明書が少なくとも1つは従来型アルゴリズムであり、少なくとも1つはポスト量子アルゴリズムである2つ以上のコンポーネントアルゴリズムで署名されている証明書チェーン。
A PQ/T hybrid certificate chain is one way of achieving hybrid authentication of the identity of a sender in a protocol, but it is not the only way. An alternative is to use a PQ/T parallel PKI as defined below.
PQ/Tハイブリッド証明書チェーンは、プロトコルで送信者のIDのハイブリッド認証を達成する1つの方法ですが、それが唯一の方法ではありません。別の方法は、以下に定義するようにPQ/T並列PKIを使用することです。
PQ/T mixed certificate chain:
PQ/T混合証明書チェーン:
A certificate chain containing at least two of the three certificate types defined in this document (PQ/T hybrid certificates, post-quantum certificates, and traditional certificates).
この文書で定義されている3つの証明書タイプのうち少なくとも2つを含む証明書チェーン(PQ/Tハイブリッド証明書、ポスト量子証明書、および従来型証明書)。
For example, a traditional end-entity certificate could be signed by a post-quantum intermediate certificate, which in turn could be signed by a post-quantum root certificate. This may be desirable due to the lifetimes of the certificates, the relative difficulty of rotating keys, or for efficiency reasons. The security properties of a certificate chain that mixes post-quantum and traditional algorithms would need to be analysed on a case-by-case basis.
たとえば、従来のエンティティ証明書は、ポスト量子中間証明書によって署名される可能性があります。これは、証明書の寿命、キーの回転の相対的な難しさ、または効率的な理由により、望ましい場合があります。ポスト量子と従来のアルゴリズムを混合する証明書チェーンのセキュリティプロパティは、ケースバイケースで分析する必要があります。
PQ/T parallel PKI:
PQ/T並列PKI:
Two certificate chains, one that is a post-quantum certificate chain and one that is a traditional certificate chain, and that are used together in a protocol.
2つの証明書チェーン。1つはポスト量子証明書チェーン、もう1つは従来型証明書チェーンであり、プロトコルで一緒に使用されます。
A PQ/T parallel PKI might be used to achieve hybrid authentication or hybrid interoperability depending on the protocol implementation.
PQ/T並列PKIを使用して、プロトコルの実装に応じてハイブリッド認証またはハイブリッドの相互運用性を実現することができます。
Multi-certificate authentication:
複数証明書認証:
Authentication that uses two or more end-entity certificates.
2つ以上のエンドエンティティ証明書を使用する認証。
For example, multi-certificate authentication may be achieved using a PQ/T parallel PKI.
たとえば、PQ/T並列PKIを使用して、複数証明書認証が達成される場合があります。
This document defines security-relevant terminology to be used in documents specifying PQ/T hybrid protocols and schemes. However, the document itself does not have a security impact on Internet protocols. The security considerations for each PQ/T hybrid protocol are specific to that protocol and should be discussed in the relevant specification documents. More general guidance about the security considerations, timelines, and benefits and drawbacks of the use of PQ/T hybrids is also out of scope of this document.
この文書は、PQ/Tハイブリッドプロトコルと方式を指定する文書で使用されるセキュリティ関連の用語を定義します。しかし、文書自体はインターネットプロトコルにセキュリティ上の影響を与えません。各PQ/Tハイブリッドプロトコルのセキュリティに関する考慮事項は、そのプロトコルに固有であり、関連する仕様文書で議論されるべきです。PQ/Tハイブリッドの使用に関するセキュリティ上の考慮事項、タイムライン、および利点と欠点に関するより一般的なガイダンスも、この文書の範囲外です。
This document has no IANA actions.
この文書にはIANAへのアクションはありません。
[BDPR] Bellare, M., Desai, A., Pointcheval, D., and P. Rogaway,
"Relations Among Notions of Security for Public-Key
Encryption Schemes", June 2001,
<https://www.cs.ucdavis.edu/~rogaway/papers/
relations.pdf>.
[BINDEL] Bindel, N., Brendel, J., Fischlin, M., Goncalves, B., and
D. Stebila, "Hybrid Key Encapsulation Mechanisms and
Authenticated Key Exchange", Post-Quantum Cryptography,
PQCrypto 2019, Lecture Notes in Computer Science, vol.
11505, pp. 206-226, DOI 10.1007/978-3-030-25510-7_12, July
2019, <https://doi.org/10.1007/978-3-030-25510-7_12>.
[BINDELHALE]
Bindel, N. and B. Hale, "A Note on Hybrid Signature
Schemes", Cryptology ePrint Archive, Paper 2023/423, 23
July 2023, <https://eprint.iacr.org/2023/423.pdf>.
[COMPOSITE-KEM]
Ounsworth, M., Gray, J., Pala, M., Klaussner, J., and S.
Fluhrer, "Composite ML-KEM for use in X.509 Public Key
Infrastructure and CMS", Work in Progress, Internet-Draft,
draft-ietf-lamps-pq-composite-kem-06, 18 March 2025,
<https://datatracker.ietf.org/doc/html/draft-ietf-lamps-
pq-composite-kem-06>.
[ETSI_TS103774]
European Telecommunications Standards Institute (ETSI),
"CYBER; Quantum-safe Hybrid Key Exchanges", ETSI TS 103
744 v1.1.1, December 2020, <https://www.etsi.org/deliver/
etsi_ts/103700_103799/103744/01.01.01_60/
ts_103744v010101p.pdf>.
[HYBRID-TLS]
Stebila, D., Fluhrer, S., and S. Gueron, "Hybrid key
exchange in TLS 1.3", Work in Progress, Internet-Draft,
draft-ietf-tls-hybrid-design-12, 14 January 2025,
<https://datatracker.ietf.org/doc/html/draft-ietf-tls-
hybrid-design-12>.
[ITU-T-X509-2019]
ITU-T, "Information Technology - Open Systems
Interconnection - The Directory: Public-key and attribute
certificate frameworks", ITU-T Recommendation X.509,
October 2019,
<https://www.itu.int/rec/T-REC-X.509-201910-I>.
[ML-DSA] Massimo, J., Kampanakis, P., Turner, S., and B. E.
Westerbaan, "Internet X.509 Public Key Infrastructure -
Algorithm Identifiers for Module-Lattice-Based Digital
Signature Algorithm (ML-DSA)", Work in Progress, Internet-
Draft, draft-ietf-lamps-dilithium-certificates-11, 22 May
2025, <https://datatracker.ietf.org/doc/html/draft-ietf-
lamps-dilithium-certificates-11>.
[NIST_PQC_FAQ]
NIST, "Post-Quantum Cryptography (PQC) FAQs", 31 January
2025, <https://csrc.nist.gov/Projects/post-quantum-
cryptography/faqs>.
[NIST_SP_800-152]
Barker, E., Smid, M., and D. Branstad, "A Profile for U.
S. Federal Cryptographic Key Management Systems", NIST
SP 800-152, DOI 10.6028/NIST.SP.800-15, October 2015,
<https://doi.org/10.6028/NIST.SP.800-152>.
[RFC4949] Shirey, R., "Internet Security Glossary, Version 2",
FYI 36, RFC 4949, DOI 10.17487/RFC4949, August 2007,
<https://www.rfc-editor.org/info/rfc4949>.
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S.,
Housley, R., and W. Polk, "Internet X.509 Public Key
Infrastructure Certificate and Certificate Revocation List
(CRL) Profile", RFC 5280, DOI 10.17487/RFC5280, May 2008,
<https://www.rfc-editor.org/info/rfc5280>.
[RFC8446] Rescorla, E., "The Transport Layer Security (TLS) Protocol
Version 1.3", RFC 8446, DOI 10.17487/RFC8446, August 2018,
<https://www.rfc-editor.org/info/rfc8446>.
[RFC9180] Barnes, R., Bhargavan, K., Lipp, B., and C. Wood, "Hybrid
Public Key Encryption", RFC 9180, DOI 10.17487/RFC9180,
February 2022, <https://www.rfc-editor.org/info/rfc9180>.
[RFC9370] Tjhai, CJ., Tomlinson, M., Bartlett, G., Fluhrer, S., Van
Geest, D., Garcia-Morchon, O., and V. Smyslov, "Multiple
Key Exchanges in the Internet Key Exchange Protocol
Version 2 (IKEv2)", RFC 9370, DOI 10.17487/RFC9370, May
2023, <https://www.rfc-editor.org/info/rfc9370>.
[RFC9763] Becker, A., Guthrie, R., and M. Jenkins, "Related
Certificates for Use in Multiple Authentications within a
Protocol", RFC 9763, DOI 10.17487/RFC9763, June 2025,
<https://www.rfc-editor.org/info/rfc9763>.
This document is the product of numerous fruitful discussions in the IETF PQUIP group. Thank you in particular to Mike Ounsworth, John Gray, Tim Hollebeek, Wang Guilin, Rebecca Guthrie, Stephen Farrell, Paul Hoffman, and Sofía Celi for their contributions. This document is inspired by many others from the IETF and elsewhere.
この文書は、IETF PQUIPグループでの数多くの実りある議論の成果物です。特に、Mike Ounsworth、John Gray、Tim Hollebeek、Wang Guilin、Rebecca Guthrie、Stephen Farrell、Paul Hoffman、Sofía Celiの貢献に感謝します。この文書は、IETF内外の多くの人々から着想を得ています。
Florence Driscoll
UK National Cyber Security Centre
Email: florence.d@ncsc.gov.uk
Michael Parsons
UK National Cyber Security Centre
Email: michael.p1@ncsc.gov.uk
Britta Hale
Naval Postgraduate School
Email: britta.hale@nps.edu