米国国立標準技術研究所(NIST)は、量子コンピュータに対して安全な暗号化の第二防衛線として、HQC(Hamming Quasi-Cyclic)アルゴリズムをバックアップ標準に選定した。HQCは昨年標準化された主要アルゴリズムML-KEMとは異なる数学的基盤を持ち、2026年のドラフト発表、2027年の最終標準化が予定されている。
NISTのポスト量子暗号標準化の新たな進展
NISTは2022年7月から第4ラウンドの評価プロセスを開始し、BIKE、Classic McEliece、HQC、SIKEの4つのアルゴリズムを検討していた。その後、SIKEについては安全性の問題が発見され除外された。2025年3月、NISTは残る3つのアルゴリズムの中からHQCを唯一の選定アルゴリズムとして公式に発表した。
ポスト量子暗号プロジェクトの責任者であるDustin Moody氏は「組織は2024年に最終化した標準への移行を継続すべきです」と述べた上で、「ML-KEMとは異なる数学的アプローチに基づくバックアップ標準を持つことが重要です。将来の量子コンピュータに関する理解が進み、新たな暗号解析技術に適応する中で、ML-KEMに脆弱性が見つかった場合のフォールバックを持つことが不可欠です」と選定の理由を説明している。
HQCの技術的特徴と選定理由
HQCの最大の特徴は、その数学的基盤にある。現在の主要標準であるML-KEMが「構造化格子」に基づいているのに対し、HQCは数十年にわたり安全な通信に使用されてきた「誤り訂正符号」という異なる数学的基盤を採用している。
NISTがHQCを選定した主な理由には以下が挙げられる:
- 安全性の多様化: ML-KEMとは異なる数学的アプローチを採用し、将来の量子攻撃に対する防御の多様性を確保
- 安定したDFR分析: 復号失敗率(DFR)の分析が標準化プロセス全体を通じて安定しており、IND-CCA2セキュリティ(適応型選択暗号文攻撃に対する安全性)の達成が確実
- 実用的なパフォーマンス: 公開鍵と暗号文のサイズはBIKEよりも大きいものの、鍵生成と復号化のコストが低く、一般的なアプリケーションに適した性能を提供
NISTの技術報告書(NIST IR 8545)によれば、HQCはML-KEMを置き換えるものではなく、一般的な暗号化のための補完的な選択肢として機能する。ML-KEMは依然として推奨される主要な暗号化アルゴリズムとしての地位を維持する。
今後のタイムラインと業界への影響
NISTのスケジュールによれば、HQCを組み込んだドラフト標準は2026年に公開されパブリックコメントを募集する予定だ。その後、90日間のレビュー期間を経て、フィードバックに基づいて標準を調整し、2027年に最終版が発表される見込みである。
HQCは以下のような既存のポスト量子暗号化標準に加わることになる:
- FIPS 203 (ML-KEM) – 鍵カプセル化と一般暗号化のための主要標準
- FIPS 204 (ML-DSA) – 格子暗号に基づくデジタル署名標準
- FIPS 205 (SLH-DSA) – 認証用のハッシュベースのデジタル署名標準
- FIPS 206 (FALCON、最終化待ち) – 代替暗号アプローチを提供する署名スキーム
実用的な量子コンピュータの実現タイムラインは依然として不確定だが、NISTの先見的なアプローチにより、将来にわたって暗号化の安全性が確保される。すでにNordVPN、ExpressVPN、Zoom、Tuta Mail、Signalなどのソフトウェア企業がNIST承認の量子耐性暗号化アルゴリズムを製品に採用している。
組織は引き続き2024年に決定された標準への移行を進めながら、将来のHQC実装に向けた準備も視野に入れるべきだろう。
Source
