Skip to main content

耐量子コンピューター暗号(PQC)のサポート

将来の量子コンピューティングの影響に備えるため、デジサートは耐量子コンピューター暗号(PQC)署名アルゴリズムをサポートしています。

サポートされる耐量子コンピューター暗号(PQC)署名アルゴリズム

デジサートのプライベート CA 環境では、以下の PQC アルゴリズムをサポートしています。デジサートのパブリック CA では、PQC はサポートされていません。

  • ML-DSA (旧称: CRYSTALS-Dilithium および Dilithium

    デジサートでは、このアルゴリズムについて米国商務省標準化技術研究所(NIST)で標準化されたバージョンを採用しています。すべての ML-DSA 鍵タイプがサポートされています。

    • MLDSA-44

    • MLDSA-65

    • MLDSA-87

  • SLH-DSA(旧称: SPHINCS+

    デジサートでは、このアルゴリズムについて、NIST 初期公開ドラフトで定義されたバージョンを採用しています。近日中に最終版に合わせて更新する予定です。すべての SLH-DSA 鍵タイプがサポートされています。

    • SLHDSA-128

    • SLHDSA-192

    • SLHDSA-256

注記

これらの PQC アルゴリズムを使用する際、以下の点については現在部分的または制限付きのサポートに留まるため、注意してください。

  • ルートと鍵の保管 -PQC 由来のルートは、現在 SoftHSM での保管が必要です。ハードウェアサポートは現在開発中で、近日中に提供開始予定です。

  • CRL サポート -ML-DSA 証明書および SLH-DSA 証明書は、CRL(証明書失効リスト)による失効確認に完全対応しています。

  • OCSP サポート -ML-DSA 証明書および SLH-DSA 証明書は、OCSP (オンライン証明書ステータスプロトコル)による確認はまだ対応していません。OCSPの完全対応は現在開発中です。

PQC 署名アルゴリズムの統合

PQC 署名アルゴリズムの適用方法は、デジサートの各ポータルや関連するタスクによって異なります。一般的には、アルゴリズムの PQC サポートを特定するテンプレートまたはプロファイルを選択します。その後、必要に応じてアルゴリズム種別、鍵サイズ、その他の設定を指定します。

たとえば、CA サービスで PQC 署名付きルート CA を生成するには、以下の手順を実行します。

  1. [ルート]へ移動します。

  2. [ルート CA の作成]を選択します。

  3. [テンプレート]で、使用する PQC アルゴリズムに対応したテンプレート名を選択します。

  4. 必要に応じてその他の設定を指定し、新しいルート CA を作成します。

  5. そのルート CA と選択した PQC アルゴリズムによって署名された中間 CA 証明書やエンドエンティティ証明書を発行します。

新しい PQC 署名アルゴリズム

デジサートの PQC Labs にアクセスすると、Composite ML-KEM (CRYSTALS-Kyber) および FN-DSA (Falcon)を含むその他の PQC アルゴリズムについて調査および評価できます。

Supported PQC hardware security modules (HSM)

To use PQC algorithms for your CAs and certificates, you must configure an HSM that supports PQC key generation and signing operations.

DigiCert Private CA supports the following HSMs for PQC use:

  • Crypto4A: Supports PQC and operates as a FIPS 140-validated cryptographic module. Supported in both DigiCert-hosted and customer-hosted environments..

  • Thales SafeNet Luna: Supports PQC starting with firmware version 7.9. Supported in both DigiCert-hosted and customer-hosted environments.

    重要

    • Luna firmware versions up to 7.8 operate under existing FIPS 140 validation but do not support PQC.

    • Firmware version 7.9 introduces PQC support. The cryptographic module configuration that includes this firmware is still undergoing FIPS validation.

    • DigiCert Private CA does not check the firmware version when you select the HSM for a CA. So, always confirm that your firmware is 7.9, or later, before using PQC.

DigiCert continues to evaluate and add support for additional HSMs that enable PQC usage under FIPS 140 validation.

このセクションの内容: