AES-GCM

定義

AES-GCM は NIST SP 800-38D で標準化された AEAD 構成。AES-128 / 192 / 256 のいずれかをカウンタモードで動かして暗号化と同時に Galois Field 上の MAC を生成する。出力は ciphertext と認証タグ (通常 128bit) の組。

設計上の特長は並列化可能性とハードウェア加速。Intel AES-NI、ARMv8 Crypto Extensions などのハードウェア命令により、ソフトウェア実装より一桁以上速く動く。TLS 1.3、SSH、IPsec、Signal、QUIC でデフォルトの一つ。

機密性 (ciphertext から平文を逆算不可) と完全性 (タグ検証により改竄を検出) を単一の構成で達成する点が、AES-CBC + HMAC のような複合構成より安全かつ高速。ただし IV (ノンス) の一意性は厳格に守る必要がある。

Lemma Oracle での実装

Lemma は機微データ (顧客属性・AI 入力・判断ログ) を保管・転送する経路で AES-GCM を用いる。鍵管理は HSM/KMS と連携し、ノンス管理はカウンタ + コンテキスト識別子で一意性を担保する。

ZK 証明側に渡るのは docHash のみで、平文は AES-GCM 下で保管される。検証可能性 (ZK) と機密性 (AES-GCM) を二層構造で分離することが、Lemma の暗号設計の基本パターン。

選択的開示 で属性証明を返す場合も、原文書は AES-GCM で暗号化された状態のまま動かない。属性のコミットメントと証明だけが回路に乗る。