Режим работы шифра Ascon, см. список условных обозначений на схеме

В феврале 2023 года Национальный институт стандартов и технологий (NIST) выбрал стандарт легковесной криптографии для RFID, датчиков, Интернета вещей и других устройств с ограниченными аппаратными ресурсами. Победителем конкурса стало семейство шифров Ascon (файл zip, спецификации, changelog).

В наше время для множества задач начинают использоваться миниатюрные устройства и сенсоры, от зондирования и идентификации до управления машинами. Это различные миниатюрные приложения, в том числе:

• имплантируемые медицинские устройства;
  
• датчики давления на дорогах и мостах;
  
• брелоки для автомобилей.

Там по определению неосуществимы стандартные криптографические операции с блоками данных большого размера. В то же время информацию с таких сенсоров критически важно защитить от подделки. Для таких применений NIST и придумал легковесную криптографию. Для определения стандарта в 2018 году был объявлен конкурс.

Получив 57 заявок, организация провела многоступенчатую процедуру отсева кандидатов, пытаясь найти слабые места каждого алгоритма. На каком-то этапе эксперты NIST приняли решение исключить из конкурса очень сильные шифры Simon и Speck от АНБ по причине отсутствия доверия. В 2013 году стало известно о закладке АНБ в генераторе псевдослучайных чисел Dual_EC_DRBG, что подмочило репутацию этой организации в глазах криптографического сообщества.

В конце концов список сократили до десяти финалистов. У каждого семейства алгоритмов свои достоинства и недостатки. Как указано в отчёте по итогам второго раунда, практически все предложенные шифры для работы используют комбинацию простых в исполнении операций подстановки (substitution) и перестановки (permutation).



Главным критерием была безопасность, но конкурсное жюри оценивало также производительность и гибкость алгоритма с точки зрения скорости, размера и энергопотребления. В итоге победителем стал Ascon.

Семейство Ascon

Семейство Ascon разработано в 2014 году группой криптографов из Технологического университета Граца (Австрия), компаний Infineon Technologies, Lamarr Security Research и Radboud University.


Мария Эйхлседер, один из разработчиков Ascon

Этот алгоритм уже можно назвать проверенным. В 2019 году он был выбран основным вариантом легковесного шифрования в финале конкурса CAESAR, то есть выдержал проверку временем и оценку криптографическим сообществом.

В настоящее время семейство Ascon включает семь шифров. Некоторые из них или все могут стать частью официального стандарта NIST (он будет опубликован позже). Варианты предоставляют широкий спектр функциональных возможностей, которые предложат разработчикам варианты для решения различных задач.

Две самые важные задачи в легковесной криптографии:

• аутентифицированное шифрование со связанными данными (AEAD);
  
• хэширование.

Шифры Ascon успешно решают эти задачи.


Параметры рекомендованных схем аутентифицированного шифрования Ascon


Параметры рекомендованных алгоритмов хэширования Ascon

AEAD шифрует сообщение, но также позволяет включать в открытом виде дополнительную информацию (например, заголовок сообщения или IP-адрес устройства). Алгоритм гарантирует, что все защищённые данные являются подлинными и не изменились при передаче. AEAD можно использовать для связи между автомобилями, а гарантии аутентичности сообщений от радиометок RFID, которые часто используются для отслеживания посылок.

Хеширование создаёт короткий цифровой отпечаток сообщения, его сферы применения всем хорошо известны.

В настоящее время наиболее эффективным и официально одобренным методом AEAD является AES (FIPS 197) в режиме Galois/Counter Mode (SP 800-38D), а для хэширования широко используется SHA-256 (FIPS 180-4). Эти стандарты остаются в силе для общего использования.

Цель принятия новых стандартов вовсе не в том, чтобы заменить AES или SHA-256. Они по-прежнему остаются стойкими и рекомендованными NIST алгоритмами. И их всё так же рекомендуется использовать на устройствах, у которых нет ограничений на вычислительные ресурсы. Во многих процессорах есть встроенные инструкции для аппаратного ускорения таких операций. Кроме того, эти алгоритмы включены во многие протоколы и должны продолжать поддерживаться в целях совместимости.

В то же время для работы Ascon достаточно минимального микроконтроллера и всего двенадцать регистров (десять регистров состояния и два временных). В таблице указана производительность Ascon-128 в количестве циклов CPU на байт шифротекста (источник):



Официальный стандарт NIST для легковесной криптографии будет опубликован позднее в 2023 году.

---