耐量子コンピューター暗号(PQC)のサポート
将来の量子コンピューティングの影響に備えるため、デジサートは耐量子コンピューター暗号(PQC)署名アルゴリズムをサポートしています。
サポートされる耐量子コンピューター暗号(PQC)署名アルゴリズム
デジサートのプライベート CA 環境では、以下の PQC アルゴリズムをサポートしています。デジサートのパブリック CA では、PQC はサポートされていません。
ML-DSA (旧称: CRYSTALS-Dilithium および Dilithium)
デジサートでは、このアルゴリズムについて米国商務省標準化技術研究所(NIST)で標準化されたバージョンを採用しています。すべての ML-DSA 鍵タイプがサポートされています。
MLDSA-44
MLDSA-65
MLDSA-87
SLH-DSA(旧称: SPHINCS+)
デジサートでは、このアルゴリズムについて、NIST 初期公開ドラフトで定義されたバージョンを採用しています。近日中に最終版に合わせて更新する予定です。すべての SLH-DSA 鍵タイプがサポートされています。
SLHDSA-128
SLHDSA-192
SLHDSA-256
注記
これらの PQC アルゴリズムを使用する際、以下の点については現在部分的または制限付きのサポートに留まるため、注意してください。
ルートと鍵の保管 -PQC 由来のルートは、現在 SoftHSM での保管が必要です。ハードウェアサポートは現在開発中で、近日中に提供開始予定です。
CRL サポート -ML-DSA 証明書および SLH-DSA 証明書は、CRL(証明書失効リスト)による失効確認に完全対応しています。
OCSP サポート -ML-DSA 証明書および SLH-DSA 証明書は、OCSP (オンライン証明書ステータスプロトコル)による確認はまだ対応していません。OCSPの完全対応は現在開発中です。
PQC 署名アルゴリズムの統合
PQC 署名アルゴリズムの適用方法は、デジサートの各ポータルや関連するタスクによって異なります。一般的には、アルゴリズムの PQC サポートを特定するテンプレートまたはプロファイルを選択します。その後、必要に応じてアルゴリズム種別、鍵サイズ、その他の設定を指定します。
たとえば、CA サービスで PQC 署名付きルート CA を生成するには、以下の手順を実行します。
[ルート]へ移動します。
[ルート CA の作成]を選択します。
[テンプレート]で、使用する PQC アルゴリズムに対応したテンプレート名を選択します。
必要に応じてその他の設定を指定し、新しいルート CA を作成します。
そのルート CA と選択した PQC アルゴリズムによって署名された中間 CA 証明書やエンドエンティティ証明書を発行します。
新しい PQC 署名アルゴリズム
デジサートの PQC Labs にアクセスすると、Composite ML-KEM (CRYSTALS-Kyber) および FN-DSA (Falcon)を含むその他の PQC アルゴリズムについて調査および評価できます。