NIST宣布Ascon最終當選輕量級密碼學標準算法

當地時間2月7日，美國國家標準與技術研究院 (NIST) 的輕量級密碼學團隊宣布了他們密碼算法遴選計劃的勝利者-ASCON，因為它具有靈活性，包括七個系列、節能、在弱硬件上速度快，并且短消息開銷低等特點，可以滿足大多數需要輕量級密碼學的用例的需求。Ascon密碼算法將于2023年晚些時候作為NIST的輕量級密碼標準發布。

小型物聯網設備正變得越來越流行和無處不在，用于可穿戴技術、“智能家居”應用等。但是，它們仍然用于存儲和處理敏感的個人信息，例如健康數據、財務詳細信息等。所選算法旨在保護物聯網 (IoT) 創建和傳輸的信息，包括其無數的微型傳感器和執行器。它們還專為其他微型技術而設計，例如植入式醫療設備、道路和橋梁內的壓力檢測器以及車輛的無鑰匙進入系統。像這樣的設備需要“輕量級密碼學”——使用它們擁有的有限數量的電子資源進行保護。根據NIST計算機科學家Kerry McKay的說法，新選擇的算法應該適用于大多數形式的微型技術。 

為了確定最強大、最高效的輕量級算法，NIST舉辦了一項耗時數年的算法遴選計劃計劃，該計劃旨在尋找最佳算法來保護硬件資源有限的小型 IoT（物聯網）設備。NIST輕量級密碼學研究團隊首先與行業和其他組織溝通以了解他們的需求，然后在2018年向世界密碼學社區征求潛在的解決方案。在收到57份提交后，McKay和數學家Meltem S?nmez Turan管理了一個多輪公開審查過程，密碼學家在這個過程中檢查并試圖找出候選人的弱點，最終在10名決賽算法中選出了最終獲勝者。

十個入圍算法的名單（NIST最后于2023年2月7日更新）

Kerry McKay表示，研究團隊認為許多標準很重要。提供安全性的能力至關重要，但他們還必須考慮候選算法在速度、大小和能源使用方面的性能和靈活性等因素。最后綜合做出了這樣一個很好的全能選擇。

Ascon于2014年由來自格拉茨科技大學、英飛凌科技、拉馬爾安全研究中心和拉德堡德大學的密碼學家團隊開發。McKay說，它于2019年被選為CAESAR競賽最終產品組合中輕量級認證加密的首選，這表明Ascon經受住了密碼學家多年的檢驗——NIST團隊也很看重這一特征。  

Ascon家族目前有七個成員，其中一些或全部可能成為NIST發布的輕量級密碼學標準的一部分。作為一個系列，這些變體提供了一系列功能，可為設計人員提供針對不同任務的選擇。McKay說，其中兩項任務是輕量級密碼學中最重要的任務之一：使用關聯數據進行身份驗證的加密 (AEAD)和散列。 

AEAD保護消息的機密性，但它也允許在不加密的情況下包含額外的信息，例如消息的標頭或設備的IP地址。該算法確保所有受保護的數據都是真實的，并且在傳輸過程中沒有改變。AEAD可用于車對車通信，還有助于防止與射頻識別(RFID)標簽交換的消息被偽造，射頻識別(RFID)標簽通常有助于跟蹤倉庫中的包裹。

ASCON 的加密和解密操作模式 (NIST)

散列創建消息的短數字指紋，允許收件人確定消息是否已更改。在輕量級密碼學中，散列法可用于檢查軟件更新是否合適或是否已正確下載。 

散列運算 (NIST)

目前，經NIST批準的最有效的AEAD技術是高級加密標準（在FIPS 197中定義）與伽羅瓦/計數器模式 ( SP 800-38D ) 一起使用，對于散列，SHA-256（在FIPS 180-4中定義） ) 被廣泛使用。McKay說這些標準對一般用途仍然有效。 

“這個項目的目標不是取代AES或我們的哈希標準，”她說。“NIST仍然建議在沒有這些新算法解決的資源限制的設備上使用它們。許多處理器中都有原生指令，支持快速、高吞吐量的實現。此外，這些算法包含在許多協議中，應該繼續支持互操作性目的。”

新算法也不打算用于后量子加密，這是密碼學界當前關注的另一個問題，NIST正在努力通過對潛在算法使用類似的公共審查流程來解決這個問題。  

“其中一個Ascon變體提供了一種抵抗強大量子計算機可能發起的攻擊的措施。然而，這不是這里的主要目標，”McKay說。“后量子加密對于需要保護多年的長期秘密來說非常重要。一般來說，輕量級密碼學對于更短暫的秘密很重要。” 

Ascon的規范包括多個變體，最終確定的標準可能不會包括所有變體。

NIST團隊下一步計劃發布NIST IR8454，其中描述了選擇和評估過程的細節；與Ascon設計師合作起草新的輕量級密碼學標準以征求公眾意見，最終確定標準化的細節；舉辦虛擬公共研討會，進一步解釋選擇過程并討論標準化的各個方面（例如，其他變體、功能和參數選擇）以及輕量級密碼項目范圍的可能擴展。研討會的暫定日期為2023年6月21日至22日。