NIST宣布Ascon最终当选轻量级密码学标准算法

当地时间2月7日，美国国家标准与技术研究院 (NIST) 的轻量级密码学团队宣布了他们密码算法遴选计划的胜利者-ASCON，因为它具有灵活性，包括七个系列、节能、在弱硬件上速度快，并且短消息开销低等特点，可以满足大多数需要轻量级密码学的用例的需求。Ascon密码算法将于2023年晚些时候作为NIST的轻量级密码标准发布。

小型物联网设备正变得越来越流行和无处不在，用于可穿戴技术、“智能家居”应用等。但是，它们仍然用于存储和处理敏感的个人信息，例如健康数据、财务详细信息等。所选算法旨在保护物联网 (IoT) 创建和传输的信息，包括其无数的微型传感器和执行器。它们还专为其他微型技术而设计，例如植入式医疗设备、道路和桥梁内的压力检测器以及车辆的无钥匙进入系统。像这样的设备需要“轻量级密码学”——使用它们拥有的有限数量的电子资源进行保护。根据NIST计算机科学家Kerry McKay的说法，新选择的算法应该适用于大多数形式的微型技术。 

为了确定最强大、最高效的轻量级算法，NIST举办了一项耗时数年的算法遴选计划计划，该计划旨在寻找最佳算法来保护硬件资源有限的小型 IoT（物联网）设备。NIST轻量级密码学研究团队首先与行业和其他组织沟通以了解他们的需求，然后在2018年向世界密码学社区征求潜在的解决方案。在收到57份提交后，McKay和数学家Meltem Sönmez Turan管理了一个多轮公开审查过程，密码学家在这个过程中检查并试图找出候选人的弱点，最终在10名决赛算法中选出了最终获胜者。

十个入围算法的名单（NIST最后于2023年2月7日更新）

Kerry McKay表示，研究团队认为许多标准很重要。提供安全性的能力至关重要，但他们还必须考虑候选算法在速度、大小和能源使用方面的性能和灵活性等因素。最后综合做出了这样一个很好的全能选择。

Ascon于2014年由来自格拉茨科技大学、英飞凌科技、拉马尔安全研究中心和拉德堡德大学的密码学家团队开发。McKay说，它于2019年被选为CAESAR竞赛最终产品组合中轻量级认证加密的首选，这表明Ascon经受住了密码学家多年的检验——NIST团队也很看重这一特征。  

Ascon家族目前有七个成员，其中一些或全部可能成为NIST发布的轻量级密码学标准的一部分。作为一个系列，这些变体提供了一系列功能，可为设计人员提供针对不同任务的选择。McKay说，其中两项任务是轻量级密码学中最重要的任务之一：使用关联数据进行身份验证的加密 (AEAD)和散列。 

AEAD保护消息的机密性，但它也允许在不加密的情况下包含额外的信息，例如消息的标头或设备的IP地址。该算法确保所有受保护的数据都是真实的，并且在传输过程中没有改变。AEAD可用于车对车通信，还有助于防止与射频识别(RFID)标签交换的消息被伪造，射频识别(RFID)标签通常有助于跟踪仓库中的包裹。

ASCON 的加密和解密操作模式 (NIST)

散列创建消息的短数字指纹，允许收件人确定消息是否已更改。在轻量级密码学中，散列法可用于检查软件更新是否合适或是否已正确下载。 

散列运算 (NIST)

目前，经NIST批准的最有效的AEAD技术是高级加密标准（在FIPS 197中定义）与伽罗瓦/计数器模式 ( SP 800-38D ) 一起使用，对于散列，SHA-256（在FIPS 180-4中定义） ) 被广泛使用。McKay说这些标准对一般用途仍然有效。 

“这个项目的目标不是取代AES或我们的哈希标准，”她说。“NIST仍然建议在没有这些新算法解决的资源限制的设备上使用它们。许多处理器中都有原生指令，支持快速、高吞吐量的实现。此外，这些算法包含在许多协议中，应该继续支持互操作性目的。”

新算法也不打算用于后量子加密，这是密码学界当前关注的另一个问题，NIST正在努力通过对潜在算法使用类似的公共审查流程来解决这个问题。  

“其中一个Ascon变体提供了一种抵抗强大量子计算机可能发起的攻击的措施。然而，这不是这里的主要目标，”McKay说。“后量子加密对于需要保护多年的长期秘密来说非常重要。一般来说，轻量级密码学对于更短暂的秘密很重要。” 

Ascon的规范包括多个变体，最终确定的标准可能不会包括所有变体。

NIST团队下一步计划发布NIST IR8454，其中描述了选择和评估过程的细节；与Ascon设计师合作起草新的轻量级密码学标准以征求公众意见，最终确定标准化的细节；举办虚拟公共研讨会，进一步解释选择过程并讨论标准化的各个方面（例如，其他变体、功能和参数选择）以及轻量级密码项目范围的可能扩展。研讨会的暂定日期为2023年6月21日至22日。