Each language version is independently generated for its own context, not a direct translation.

量子コンピュータ時代のための「秘密の合言葉」：新しいデジタル署名の仕組み

この論文は、**「FIPS 204」という新しいデジタル署名の規格（ML-DSA）を、「複数の人が協力して」**安全に行えるようにする画期的な技術を紹介しています。

まるで、銀行の金庫を開けるために「複数の役員が同時に鍵を回さないと開かない」仕組みを作ったようなものです。しかし、これまでの技術には大きな壁があり、この論文はその壁を乗り越える新しい方法（Shamir ノンス DKG）を提案しています。

以下に、専門用語を避け、日常の例えを使って解説します。

1. なぜこれが必要なの？（背景）

「量子コンピュータの脅威」
現在使われている暗号は、高性能な量子コンピュータが現れると簡単に解読されてしまいます。そこで、アメリカの NIST（国立標準技術研究所）は、量子コンピュータにも耐えられる新しい署名方式「ML-DSA」を標準化しました。

「分散署名の難しさ」
この新しい署名を、1 人ではなく「複数の人（例えば、会社の役員 5 人中 3 人）」で共同で行いたいケースは多いです。

目的: 1 人の不正で金庫が開かないようにする。
課題: 従来の方法では、人数が増えると「署名のサイズが巨大化」したり、「成功率が極端に低下」したりして、実用できませんでした。まるで、大人数で協力して絵を描こうとしたら、画用紙が足りなくなったり、全員が同じタイミングで筆を動かすのが難しすぎたりする状態です。

2. この論文のすごいところ（核心）

この研究は、**「任意の人数（3 人でも 32 人でも）」で、「標準的な大きさの署名」を、「高い成功率」**で生成できる世界初の仕組みを作りました。

その鍵となるのが、**「シャミアのノンス DKG（分散鍵生成）」**という技術です。

比喩：「秘密の合言葉」を分ける方法

通常、秘密の合言葉（署名の鍵）を分けるには「シャミアの秘密分散法」を使います。これは、合言葉を「多項式（複雑な曲線）」の形にして、その曲線上の点を各自に配るようなものです。

これまでの問題点:
署名をする際、各人が「自分の点」を足し合わせて合言葉を復元しようとすると、「係数（掛け算の数字）」が巨大になりすぎて、計算が破綻したり、署名のサイズが膨大になったりしました。
この論文の解決策（Shamir ノンス DKG）:
彼らは、**「署名の鍵（秘密）」と同じ構造を持つ「一時的な合言葉（ノンス）」**を、最初から「多項式」の形で作ってしまいました。
- イメージ:
  1. 全員が「秘密の鍵」を分けるために、それぞれ「曲線」を持っています。
  2. 署名のたびに、全員が「新しい一時的な合言葉（ノンス）」を作るために、「同じ曲線の形」で新しい点を生成します。
  3. 各人は、自分の「鍵の点」と「ノンスの点」を足し合わせて答えを出します。
  4. 最後に、その答えを足し合わせると、「掛け算の係数」が自然に消え去り、正しい署名が完成します。
これにより、「巨大な数字を扱う必要がなくなり」、署名のサイズは標準のまま（3.3KB）で済みます。まるで、大人数で料理をする際、それぞれが「自分の分だけ」を調理し、最後に混ぜるだけで、全体が完璧に調和する魔法のレシピのようなものです。

3. 3 つの「運用パターン」

この技術は、状況に合わせて 3 つの使い方ができます。

P1（信頼できる管理者あり）:
- 仕組み: 信頼できる「管理者（TEE/HSM）」が、各人の答えを集めて処理します。
- メリット: 最も高速（5.8 ミリ秒）。
- 例: 銀行の金庫で、セキュリティ担当者が管理している場合。
P2（完全分散・信頼不要）:
- 仕組み: 管理者はいません。全員が MPC（安全な多者計算）という技術を使って、お互いに情報を隠しながら計算します。
- メリット: 誰を信頼する必要もありません。
- デメリット: 少し時間がかかります（21.5 ミリ秒）。
- 例: 複数の異なる企業が、互いに信頼せずとも共同で署名したい場合。
P3+（半非同期・人間中心）:
- 仕組み: 署名の準備（計算）を事前に「オフライン」で行っておき、実際の署名の瞬間だけ「短時間」で反応します。
- メリット: 人間がボタンを押すようなタイミングでもスムーズに動作します。
- 例: 役員会議で、その場で承認ボタンを押すようなシナリオ。

4. 安全性とパフォーマンス

安全性:
- プライバシー: 各人の「ノンス（一時的な合言葉）」の情報は、統計的な性質によって守られています。計算能力がいくら高くても、他の人の秘密を盗むことはできません。
- 成功率: 従来の方法だと、人数が増えると「失敗する確率」が急増していましたが、この方法では**「1 人でも 32 人でも、成功率はほぼ一定（約 20〜45%）」**を維持します。これは、量子コンピュータ時代でも実用できる重要な成果です。
パフォーマンス:
- 最新の Rust プログラムで実装され、非常に高速です。
- 3 人中 2 人の場合、わずか数ミリ秒で署名が完了します。

5. まとめ：なぜこれが重要なのか？

この論文は、**「量子コンピュータ時代」において、「複数の組織や個人が協力して」安全にデジタル署名を行うための「欠落していたピース」**を埋めました。

以前の課題: 人数が増えると、署名が巨大化したり、失敗したりして使えなかった。
今回の解決: 「シャミアのノンス DKG」という新しい魔法のレシピで、人数に関係なく、標準的な大きさで、高速に署名できる。

これは、将来の暗号通貨、政府のデジタル ID、企業のセキュリティシステムなどが、量子コンピュータの脅威に耐えながら、分散型の信頼を築くための**「基盤技術」**となるでしょう。

一言で言えば：
「大人数で秘密の合言葉を共有して、量子コンピュータにも負けないデジタル署名を、誰の邪魔も受けずに、瞬時に行えるようにした画期的な技術」です。

Each language version is independently generated for its own context, not a direct translation.

論文要約：FIPS 204 準拠の閾値 ML-DSA 方式（シャミア・ノンセ DKG による）

著者: Leo Kao (Codebat Technologies Inc.)
対象規格: FIPS 204 (ML-DSA: Module-Lattice-Based Digital Signature Algorithm)

1. 背景と課題 (Problem)

量子コンピュータの出現により、現在の公開鍵暗号は存亡の危機に瀕しています。これに対し、NIST は FIPS 204 として ML-DSA（CRYSTALS-Dilithium に基づく）をポスト量子暗号の標準として策定しました。しかし、組織が ML-DSA へ移行する際、秘密鍵を分散管理し、複数当事者による閾値署名（Threshold Signatures）を実現する技術には大きなギャップがありました。

既存の閾値署名プロトコル（ECDSA や Schnorr 用）は効率的ですが、格子ベースの ML-DSA には特有の課題があります：

拒否サンプリングの複雑さ: ML-DSA は「Fiat-Shamir with Aborts」パラダイムを採用しており、署名が有効になるためには応答ベクトル $z = y + cs_1$ が特定のノルム制約（ $\|z\|_\infty < \gamma_1 - \beta$ ）を満たす必要があります。
既存方式の限界:
- 短係数 LSSS 方式: 署名サイズは標準的ですが、実用的な閾値（ $T \le 6$ ）に制限されます。 $T$ が大きくなるとラグランジュ係数が巨大化し、FIPS 204 の署名サイズ制約を満たせなくなります。
- ノイズフロッディング: 任意の閾値を扱えますが、署名サイズが標準の約 5 倍（約 17KB）に膨張し、FIPS 204 互換性を失います。
- 既存の閾値 ML-DSA 研究: 署名サイズが標準でない、または特定の閾値（ $T \le 6$ ）に限定されるなど、実用的な「任意の閾値 $T$ 」かつ「標準署名サイズ」かつ「FIPS 204 互換」を満たす方式は存在しませんでした。

2. 手法と技術的概要 (Methodology)

本論文は、**「シャミア・ノンセ DKG（Shamir Nonce DKG）」と「ペアワイズ・キャンセリング・マスク（Pairwise-Canceling Masks）」**という 2 つの主要な技術を用いて、上記の課題を解決します。

2.1 シャミア・ノンセ DKG (主要技術)

従来の閾値署名では、署名に使用する「ノンセ（乱数）」を単純に足し合わせるか、ノイズで隠す必要がありましたが、本方式では以下のように設計しています。

構造の一致: 長期秘密鍵 $s_1$ と同様に、署名ノンセ $y$ も $(T-1)$ 次のシャミア多項式として分散生成します。
部分応答の計算: 各当事者はラグランジュ係数を掛けない状態で部分応答 $z_i = y_i + c \cdot s_{1,i}$ を計算します。
集約: 結合器（Combiner）がラグランジュ係数 $\lambda_i$ を適用して $z = \sum \lambda_i z_i = y + c s_1$ を復元します。
プライバシー保証: 攻撃者が $T-1$ 個の当事者を制御しても、残りの 1 つの自由度（多項式の最高次係数）が「ワンタイムパッド」として機能します。これにより、計算仮定を一切必要とせず、条件付きミニエントロピー（秘密鍵エントロピーの 5 倍以上）を保証します。
2 人の誠実な当事者要件の撤廃: 従来のペアワイズマスク方式では $|S| \ge T+1$ が必要でしたが、本方式ではコーディネータベースのプロファイル（P1, P3+）において $|S| \ge T$ で十分なプライバシーを達成します。

2.2 ペアワイズ・キャンセリング・マスク (副次技術)

ECDSA からの技術を格子設定に適用し、以下の 3 つの課題を解決します。

コミットメントの結合: 各当事者のコミットメント値 $W_i$ を隠蔽。
r0 チェックの秘匿: $cs_2$ の部分値 $V_i$ を隠蔽（ $cs_2$ が漏洩すると秘密鍵が復元されるため重要）。
応答の集約: 署名の正当性を保ちつつ、個々の寄与を隠す。
これらは、セッション固有の PRF（擬似乱数関数）を用いたペアワイズなマスクを適用することで実現され、和をとる際にマスクが相殺されるように設計されています。

2.3 ノンセ分布とセキュリティ

集約されたノンセ $y$ は一様分布ではなく、Irwin-Hall 分布（一様分布の和）に従います。これにより拒否サンプリングの成功率が向上する一方、セキュリティ損失が生じます。

直接シフト不変性解析: 従来の保守的な Raccoon 型の解析（ $T$ が大きいと証明が破綻する）ではなく、Irwin-Hall 分布のシフト不変性を直接解析することで、署名セッション数 $q_s$ に対するセキュリティ損失が極めて小さい（ $|S| \le 17$ でセッションあたり 0.007 ビット未満）ことを証明しました。これにより、スケーラビリティの問題を解消しています。

3. 主要な貢献 (Key Contributions)

FIPS 204 準拠の閾値 ML-DSA の初実装:
- 任意の閾値 $T$ をサポート。
- 標準的な署名サイズ（ML-DSA-65 で約 3.3KB）を維持し、修正なしの FIPS 204 検証器で検証可能。
- ノンセ共有のプライバシーを計算仮定なし（統計的保証）で実現。
3 つのデプロイメントプロファイルの提案と UC 証明:
- Profile P1 (TEE 支援): 信頼された実行環境（TEE/HSM）をコーディネータとして使用。3 ラウンド、低遅延（3-of-5 で 5.8ms）。
- Profile P2 (完全分散): 信頼されたハードウェアなしで、MPC（SPDZ, edaBits）を用いて実装。5 ラウンド、不正多数派耐性あり（21.5ms）。
- Profile P3+ (半非同期 2PC): 人間による承認を想定。署名者はオフラインでノンセを事前計算し、時間窓内で応答。2 論理ラウンド、低遅延（22.1ms）。
実用的なパフォーマンス:
- Rust 実装により、2-of-3 から 32-of-45 までの閾値でサブ 100ms の遅延を実現。
- 署名成功率は約 21-45%（単一署名者の 20-25% と同等かそれ以上）。

4. 結果とベンチマーク (Results)

パフォーマンス:
- P1 (TEE): 3-of-5 で 5.8ms、32-of-45 で 60.2ms。
- P2 (MPC): 3-of-5 で 21.5ms、32-of-45 で 129.3ms（試行回数の変動による）。
- P3+: 3-of-5 で 22.1ms、32-of-45 で 93.5ms。
セキュリティ:
- 不正耐性（EUF-CMA）は Module-SIS 問題に帰着され、単一署名者 ML-DSA と同等のセキュリティレベルを維持。
- Irwin-Hall 分布によるセキュリティ損失は、 $|S| \le 17$ でセッションあたり 0.007 ビット未満、 $|S| \le 33$ で 0.013 ビット未満と極めて小さく、実用上は無視できるレベル。
- ノンセ共有のプライバシーは、 $|S| \le 17$ で秘密鍵エントロピーの 5 倍以上の条件付きミニエントロピーを統計的に保証。

5. 意義と影響 (Significance)

本論文は、ポスト量子暗号の移行期において、**「任意の閾値」「標準署名サイズ」「FIPS 204 互換性」「高いセキュリティ」**を同時に満たす初の閾値署名方式を提供しました。

実用性の向上: 従来の方式では不可能だった大規模な閾値（例：16-of-32）での分散署名を、標準的なインフラで利用可能にしました。
柔軟なデプロイ: TEE を利用した高速な構成から、完全な暗号学的分散構成まで、組織の信頼モデルに合わせて選択可能です。
理論的貢献: シャミア多項式の構造をノンセ生成に適用することで、計算仮定なしのプライバシー保証を実現し、格子ベースの閾値署名の理論的限界を突破しました。

この技術は、暗号資産の保管、分散型認証局（CA）、企業鍵管理、政府アプリケーションなど、高いセキュリティと可用性が求められる分野での ML-DSA 導入を可能にする基盤となります。

FIPS 204-Compatible Threshold ML-DSA via Shamir Nonce DKG