NIST发布轻量级加密标准，数十亿物联网设备告别“裸奔”时代

美国国家标准与技术研究院（NIST）已最终确定四种轻量级加密算法，旨在保护物联网（IoT）及其他小型设备生成和传输的数据。

与大型计算机不同，许多联网设备——如智能家居系统、健身追踪器及其他 IoT 应用——由于计算能力和内存受限，无法运行传统加密方法。

NIST 最新发布的轻量级加密标准正是为了解决这一问题，它提供的算法对计算资源和时间的需求大幅降低，同时仍能有效防御网络攻击。

该标准经过多年公开评审以及与密码学设计社区的广泛合作而制定。其推广应用将确保即使资源受限的设备也能够安全保护敏感信息。

正如 NIST 所强调的：“小事情也至关重要。”有了这项新标准，即便是最小型的联网电子设备，也能获得强有力的网络安全防护。

该标准以《受限设备的 Ascon 系列轻量级加密标准》（NIST 特别出版物 800-232）形式发布，其中提供了一套工具，用于保护数十亿 IoT 设备及其他小型电子设备（如 RFID 标签和医疗植入设备）生成和传输的信息。

此类微型技术相比计算机或智能手机通常拥有更少的计算资源，但同样需要防护网络攻击。轻量级加密的设计正是为这些资源受限的设备提供防护。

NIST 计算机科学家 Kerry McKay 表示，她与同事 Meltem Sönmez Turan 共同领导了该项目：“我们鼓励在资源受限导致传统加密难以应用的场景中，使用这一轻量级加密标准。它将惠及从智能家电到车载收费设备再到医疗植入设备等各类产业。无论哪种设备，都需要在能量、时间和存储空间上对加密操作进行精细调控，而该标准正好满足这一需求。”

该标准基于 Ascon 系列算法开发。Ascon 由奥地利格拉茨工业大学、英飞凌技术公司和荷兰拉德堡大学的密码学团队于 2014 年开发，经过多年验证。

2019 年，Ascon 在 CAESAR 轻量级加密竞赛中成为首选算法，显示其已通过密码学专家的长期审查。

2023 年，美国国家标准与技术研究院（NIST）宣布选择由 Dobraunig、Eichlseder、Mendel 和 Schläffer 设计的 Ascon 算法家族，为资源受限设备提供高效的密码学解决方案。

Ascon 算法家族包含一系列密码学原语，提供带有附加数据的认证加密（AEAD）、哈希函数和可扩展输出函数（XOF）功能。Ascon 算法家族以轻量级、基于排列的原语为特征，提供强大的安全性、效率和灵活性，使其非常适合资源受限的环境，如物联网（IoT）设备、嵌入式系统和低功耗传感器。该家族旨在提供一种可行的替代方案，当高级加密标准（AES）可能无法达到最佳性能时。

标准中包含 Ascon 系列的四种算法变体，为设计者提供不同应用场景的选择。这些变体主要针对轻量级加密的两大核心任务：带关联数据的认证加密（AEAD）和哈希算法。

ASCON-128 AEAD 适用于设备需要加密数据、验证数据真实性或同时满足两者需求的场景。小型设备常面临“侧信道攻击”风险——攻击者通过观察功耗或时间等物理特征获取敏感信息。尽管没有加密算法能完全免疫此类攻击，ASCON 的设计使其比许多传统算法更易实现侧信道防护。适用设备包括 RFID 标签、植入医疗设备以及车载收费传感器等。

ASCON-Hash 256 将加密的数据生成一个短“哈希值”，类似数据指纹。即使原始数据发生微小变化，哈希值也会立即改变，从而可用于保证数据完整性，例如在软件更新中防止恶意篡改，也可用于保护密码或在线银行交易的数字签名。它是 NIST SHA-3 系列哈希算法的轻量级替代方案。

ASCON-XOF 128 和 ASCON-CXOF 128 是可变长度哈希算法。用户可调整哈希长度，节省设备在加密过程中消耗的时间和能量。CXOF 版本还允许在哈希中添加自定义“标签”，避免多个设备在执行相同加密操作时输出相同哈希，从而降低潜在攻击风险。

McKay 表示，NIST 团队希望该标准不仅能立即投入使用，还能具备可扩展性以满足未来需求。

“我们参考了社区反馈，力求提供一个易于遵循和实现的标准，同时也保持前瞻性，以便未来进行扩展。例如，社区曾提出增加专用消息认证码的功能，我们很快就会开始考虑这些可能性。”

声明：本文来自公钥密码开放社区，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。