この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令第 2 Part の編集規則に従って起草されました ( www.iso.org/directives or www.iec.ch/members_experts/refdocs を参照)
ISO および IEC は、この文書の実装に特許の使用が含まれる可能性があることに注意を促しています。 ISO および IEC は、請求された特許権の証拠、有効性、または適用性に関していかなる立場もとりません。この文書の発行日の時点で、ISO および IEC は、この文書の実装に必要となる可能性のある特許の通知を受け取っていません。ただし、実装者は、これが www.iso.org/patents および https://patents.iec.ch で入手可能な特許データベースから取得できる最新情報を表していない可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易の技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、 www を 参照してください。 .iso.org/iso/foreword.html IEC については、 www.iec.ch/ Understanding-standards を参照してください。
この文書は、ISO/IEC JTC 1 合同技術委員会、情報技術、分科会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
ISO/IEC 14888 シリーズのすべての部品のリストは、ISO および IEC の Web サイトでご覧いただけます。
導入
付録付きのデジタル署名は、完全性、認証、否認防止を提供するように設計されています。 ISO/IEC 14888-2 は、整数因数分解の難易度に基づいてセキュリティを確立するデジタル署名メカニズムのクラスを指定します。 ISO/IEC 14888-3 は、離散対数の計算に基づくセキュリティのクラスを指定します。残念ながら、大規模な汎用量子コンピューターが利用可能になった場合、これらの技術はすべて、実用的な鍵サイズでは安全ではなくなります。 [ 1]
この文書は、そのセキュリティが基礎となるハッシュ関数のセキュリティのみに依存するデジタル署名のクラスを指定します。この文書の発行時点では、標準化されたハッシュ関数は、大規模な量子コンピューターを使用した攻撃に対しても安全であると考えられています。したがって、この文書で指定されたスキームは、ISO/IEC 14888-2 および ISO/IEC 14888-3 で指定されたスキームと同じ問題に悩まされることはありません。
この文書で指定されているハッシュベース署名 (HBS) スキームはステートフル スキームであり、秘密キーはスキームの状態の一部です。これは、署名が生成されるたびに、署名者が保持する状態情報を更新する必要があり、更新しないとスキームのセキュリティが損なわれることを意味します。したがって、この文書で指定されているスキームのいずれかを展開する場合は、状態情報が正しく更新されることを保証するために、堅牢な状態管理プラクティスが実装されることが期待されます。
1 スコープ
この文書では、付録ここで, 基礎となるハッシュ関数のセキュリティ プロパティによって決定されます。
この文書では、この文書で説明されているステートフル スキームを安全に展開するために必要な、基本的な状態管理を実装するための要件も提供します。
2 規範的参照
この文書には規範的な参照はありません。
3 用語と定義
この文書の目的上、次の用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
認証パス
特定のノードが マークルツリーに属していることを示すハッシュ値のリスト (3.5)
3.2
バランスの取れた二分木
各ノードが直接従属する他のノードを 2 つだけ持つ順序付きツリー
3.3
二分木
各ノードが直接従属する他のノードを最大 2 つ持つ順序付きツリー
[出典:ISO/IEC-2382:2015, 2121636, 修正済み — エントリへの注記は削除されました。]
3.4
Lツリー
Winternitz+ One-Time Signature Scheme (WOTS+) 公開鍵を eXtended Merkle Signature Scheme (XMSS) に圧縮するために使用されるアンバランス バイナリ ツリー (3.3)
3.5
マークルツリー
バランスバイナリツリー (3.2) ここで, ツリーの各ノードは子ノードのラベルのハッシュに対応します
3.6
ワンタイム署名
セキュリティが特定のキー ペアの単一メッセージの署名に限定where れるデジタル署名スキーム
3.7
州
状態情報
eXtended Merkle Signature Scheme (XMSS) または Leighton-Micali Signature Scheme (LMS) 秘密鍵とともに保存される鍵の使用法に関する情報
3.8
状態管理
各署名で 状態 (3.7) が更新されるプロセス
注記 1:間違った状態情報は署名の偽造につながる可能性があるため、これはステートフルなハッシュベースの署名の重要な部分です。
3.9
ウィンターニッツのパラメータ
Winternitz ワンタイム署名 (3.6) スキームのパラメーター。これにより、署名のサイズと計算時間の間のトレードオフが可能になります。
参考文献
| 1 | Shor PW, 量子計算のアルゴリズム: 離散対数と因数分解」。コンピュータ サイエンスの基礎に関する第 35 回年次シンポジウム議事録。IEEE Comput. Soc. Presdoi:10.1109/sfcs.1994.36570ISBN 0818665807: ページ 124-13199 |
| 2 | Hülsing Andreas, Butin Denis, Gazdag Stefan, Rijneveld Joost, Mohaisen Aziz, XMSS: 拡張マークル署名スキーム。」インターネット調査タスクフォース (IRTF)、RFC 8391 (2018) |
| 3 | McGrew David, Curcio Michael, Fluhrer Scott, Leighton-Micali Hash-Based Signatures.」インターネット調査タスクフォース (IRTF))、IRTF のコメント要求 (RFC) 8554 (2019) |
| 4 | ISO/IEC 14888-1:2008, 情報技術 — セキュリティ技術 — 付録付きデジタル署名 — Part 1: 一般 |
| 5 | ISO/IEC 14888-2:2008, 情報技術 — セキュリティ技術 — 付録付きデジタル署名 — Part 2: 整数因数分解ベースのメカニズム |
| 6 | ISO/IEC 14888-3:2018, IT セキュリティ技術 — 付録付きデジタル署名 — Part 3: 離散対数ベースのメカニズム |
| 7 | Bruinderink LG, Hülsing A.、「おっと、またやってしまった」 – 2 メッセージ攻撃下でのワンタイム署名のセキュリティ。」暗号化の選択領域に関する国際会議、299 ~ 322 ページ。Springer, Cham, 2017 年。 |
| 8 | McGrew D.、Kampanakis P.、Fluhrer S.、Gazdag S.-L.、Butin D.、Buchmann J.、ハッシュベースの署名の状態管理。」セキュリティ標準化研究に関する国際会議、244 ~ 260 ページ。チャム・スプリンガー、2016年。 |
| 9 | Merkle Ralph Charles, 機密性、認証、および公開鍵システム。スタンフォード大学、1979 年。 |
| 10 | Grover LK, 「データベース検索のための高速量子力学アルゴリズム」、コンピューティング理論に関する第 28 回年次 ACM シンポジウムの議事録、212 ~ 219 ページ。1996 年。 |
| 11 | Buchmann Johannes, Dahmen Erik, Schneider Michael, Merkle ツリー トラバーサルを再訪します。 Johannes Buchmann と Jintai Ding, 編集者、Post-Quantum Cryptography, Lecture Notes in Computer Science の第 5299 巻、63 ~ 78 ページ。シュプリンガー ベルリン/ ハイデルベルク、2008 年。 |
| 12 | NIST SP 800-208:ステートフル ハッシュ ベースの署名スキームに関する推奨事項、2020 年。 |
| 13 | Hülsing Andreas, Rijneveld Joost, Song Fang, ハッシュベースの署名における複数ターゲット攻撃の軽減。公開鍵暗号化 - PKC, 387 ~ 416 ページ。スプリンガー、2016 年。 |
| 14 | Hülsing Andreas, Rausch Lea, Buchmann Johannes, XMSS mt の最適パラメータ。 Workshops CD-ARES, 『Lecture Notes in Computer Science』第 8128 巻、194 ~ 208 ページ。スプリンガー、2013 年。 |
| 15 | ISO/IEC 2382:2015, 情報技術 - 語彙 |
| 16 | ISO/IEC 10118-3:2018, IT セキュリティ技術 — ハッシュ関数 — Part 3: 専用ハッシュ関数 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not received notice of (a) patent(s) which may be required to implement this document. However, implementers are cautioned that this may not represent the latest information, which may be obtained from the patent database available at www.iso.org/patents and https://patents.iec.ch . ISO and IEC shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
A list of all parts in the ISO/IEC 14888 series can be found on the ISO and IEC websites.
Introduction
Digital signatures with appendix are designed to offer integrity, authentication and non-repudiation. ISO/IEC 14888-2 specifies the class of digital signature mechanisms in which the security is based on the difficulty of integer factorization. ISO/IEC 14888-3 specifies the class in which the security is based on computing discrete logarithms. Unfortunately, if and when a large-scale general purpose quantum computer becomes available, all of these techniques will no longer be secure for practical key sizes.[1]
This document specifies a class of digital signatures whose security depends only on the security of the underlying hash function. At the time of publication of this document, standardized hash functions are believed to be secure even against attacks using large scale quantum computers. Hence, the schemes specified in this document do not suffer from the same problems as the schemes specified in ISO/IEC 14888-2 and ISO/IEC 14888-3.
The hash-based signature (HBS) schemes specified in this document are stateful schemes, whereby the private key is part of the state of the scheme. This means that at every signature generation, state information held by the signer must be updated, as otherwise the security of the scheme is compromised. Therefore, when deploying any of the schemes specified in this document, it is expected that robust state-management practices are implemented to ensure that state information is correctly updated.
1 Scope
This document specifies stateful digital signature mechanisms with appendix ここで, the level of security is determined by the security properties of the underlying hash function.
This document also provides requirements for implementing basic state management, which is needed for the secure deployment of the stateful schemes described in this document.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
authentication path
list of hash values that show that a specific node belongs to a Merkle tree (3.5)
3.2
balanced binary tree
ordered tree in which each node has exactly two other nodes that are directly subordinate
3.3
binary tree
ordered tree in which each node has at most two other nodes that are directly subordinate
[SOURCE:ISO/IEC-2382:2015, 2121636, modified — notes to entry have been removed.]
3.4
L-tree
unbalanced binary tree (3.3) used to compress the Winternitz+ One-Time Signature Scheme (WOTS+) public keys in the eXtended Merkle Signature Scheme (XMSS)
3.5
Merkle tree
balanced binary tree (3.2) ここで, each node of the tree corresponds to the hash of the labels of the child nodes
3.6
one-time signature
digital signature scheme where the security is limited to signing a single message for a given key pair
3.7
state
state information
information regarding key usage stored with an eXtended Merkle Signature Scheme (XMSS) or Leighton-Micali signature scheme (LMS) private key
3.8
state management
processes by which the state (3.7) is updated with each signature
Note 1 to entry: This is a crucial part of any stateful hash-based signature, as incorrect state information can lead to signature forgeries.
3.9
Winternitz parameter
parameter in the Winternitz one-time signature (3.6) scheme, which allows a trade-off between signature size and computation time
Bibliography
| 1 | Shor P.W., Algorithms for quantum computation: discrete logarithms and factoring". Proceedings 35th Annual Symposium on Foundations of Computer Science. IEEE Comput. Soc. Press. doi:10.1109/sfcs.1994.365700. ISBN 0818665807: pages 124-134. 1994. |
| 2 | Hülsing Andreas, Butin Denis, Gazdag Stefan, Rijneveld Joost, Mohaisen Aziz, XMSS: eXtended Merkle Signature Scheme." Internet Research Task Force (IRTF), RFC 8391 (2018). |
| 3 | McGrew David, Curcio Michael, Fluhrer Scott, Leighton-Micali Hash-Based Signatures." Internet Research Task Force (IRTF)), IRTF Request for Comments (RFC) 8554 (2019). |
| 4 | ISO/IEC 14888-1:2008, Information technology — Security techniques — Digital signatures with appendix — Part 1: General |
| 5 | ISO/IEC 14888-2:2008, Information technology — Security techniques — Digital signatures with appendix — Part 2: Integer factorization based mechanisms |
| 6 | ISO/IEC 14888-3:2018, IT Security techniques — Digital signatures with appendix — Part 3: Discrete logarithm based mechanisms |
| 7 | Bruinderink L.G., Hülsing A., “Oops, I did it again”–Security of One-Time Signatures under Two-Message Attacks." In International Conference on Selected Areas in Cryptography, pages 299-322. Springer, Cham, 2017. |
| 8 | McGrew D., Kampanakis P., Fluhrer S., Gazdag S.-L., Butin D., Buchmann J., State management for hash-based signatures." In International Conference on Research in Security Standardisation, pages 244-260. Springer, Cham, 2016. |
| 9 | Merkle Ralph Charles, Secrecy, authentication, and public key systems. Stanford university, 1979. |
| 10 | Grover L.K., A fast quantum mechanical algorithm for database search." In Proceedings of the twenty-eighth annual ACM symposium on Theory of computing, pages 212-219. 1996. |
| 11 | Buchmann Johannes, Dahmen Erik, Schneider Michael, Merkle tree traversal revisited. In Johannes Buchmann and Jintai Ding, editors, Post-Quantum Cryptography, volume 5299 of Lecture Notes in Computer Science, pages 63–78. Springer Berlin/ Heidelberg, 2008. |
| 12 | NIST SP 800-208: Recommendation for Stateful Hash-Based Signature Schemes, 2020. |
| 13 | Hülsing Andreas, Rijneveld Joost, Song Fang, Mitigating Multi-target Attacks in Hash-Based Signatures. In Public-Key Cryptography - PKC, pages 387-416. Springer, 2016. |
| 14 | Hülsing Andreas, Rausch Lea, Buchmann Johannes, Optimal Parameters for XMSSmt. In Workshops CD-ARES, volume 8128 of Lecture Notes in Computer Science, pages 194–208. Springer, 2013. |
| 15 | ISO/IEC 2382:2015, Information technology — Vocabulary |
| 16 | ISO/IEC 10118-3:2018, IT Security techniques — Hash-functions — Part 3: Dedicated hash-functions |