Die US-Behörde NIST hat den neuen Kryptographie Standard „Ascon“ definiert, der die Sicherheit kleiner IoT-Geräte verbessern soll und unter anderem an der Technischen Universität Graz entwickelt wurde. |
US authority NIST has defined the new cryptography standard „Ascon“, which is intended to improve the security of small IoT devices and was developed at the Graz University of Technology, among others. |
---|---|
Sicherheitsexperten des National Institute of Standards and Technology (NIST) haben einen Sieger in ihrem Programm zur Suche nach einem würdigen Verteidiger der von kleinen Geräten erzeugten Daten bekannt gegeben. Der Gewinner, eine Gruppe von kryptografischen Algorithmen namens Ascon, wird später im Jahr 2023 als NIST-Standard für leichtgewichtige Kryptografie veröffentlicht werden.
Ascon wurde 2014 von einem Team aus Kryptographen der Technischen Universität Graz, Infineon Technologies, Lamarr Security Research und der Radboud Universität entwickelt. Es wurde 2019 als erste Wahl für leichtgewichtige authentifizierte Verschlüsselung im endgültigen Portfolio des CAESAR-Wettbewerbs ausgewählt, ein Zeichen dafür, dass Ascon jahrelangen Prüfungen durch Kryptographen standgehalten hat – eine Eigenschaft, die auch das NIST-Team schätzte, so McKay. Die ausgewählten Algorithmen sollen Informationen schützen, die vom Internet der Dinge (IoT), einschließlich seiner unzähligen winzigen Sensoren und Aktoren, erzeugt und übertragen werden. Sie sind auch für andere Miniaturtechnologien wie implantierte medizinische Geräte, Stressdetektoren in Straßen und Brücken und schlüssellose Zugangskontrollsysteme für Fahrzeuge gedacht. Geräte wie diese benötigen eine „leichtgewichtige Kryptografie“ – einen Schutz, der die begrenzte Menge an elektronischen Ressourcen nutzt, die sie besitzen. Nach Ansicht des NIST-Informatikers Kerry McKay sollten die neu ausgewählten Algorithmen für die meisten Formen winziger Technik geeignet sein. „Da diese kleinen Geräte nur über begrenzte Ressourcen verfügen, brauchen sie eine Sicherheit, die kompakt implementiert ist“, sagte sie. „Diese Algorithmen sollten die meisten Geräte abdecken, die diese Art von Ressourcenbeschränkungen haben“. „Kleine Geräte haben nur begrenzte Ressourcen und brauchen Sicherheit, die kompakt implementiert ist. Diese Algorithmen sollten die meisten Geräte abdecken, die diese Art von Ressourcenbeschränkungen haben.“ Kerry McKay, NIST-Informatiker „Wir haben eine Reihe von Kriterien als wichtig erachtet“, sagte McKay. „Die Fähigkeit, Sicherheit zu bieten, stand an erster Stelle, aber wir mussten auch Faktoren wie die Leistung und Flexibilität eines Kandidatenalgorithmus in Bezug auf Geschwindigkeit, Größe und Energieverbrauch berücksichtigen. Am Ende haben wir eine Auswahl getroffen, die rundum eine gute Wahl war.“ Derzeit gibt es sieben Mitglieder der Ascon-Familie, von denen einige oder alle Teil des vom NIST veröffentlichten Standards für leichtgewichtige Kryptographie werden könnten. Als Familie bieten die Varianten eine Reihe von Funktionen, die den Entwicklern Optionen für verschiedene Aufgaben bieten. Zwei dieser Aufgaben, so McKay, gehören zu den wichtigsten in der leichtgewichtigen Kryptographie: authentifizierte Verschlüsselung mit zugehörigen Daten (AEAD) und Hashing. AEAD schützt die Vertraulichkeit einer Nachricht, ermöglicht es aber auch, zusätzliche Informationen – wie den Header einer Nachricht oder die IP-Adresse eines Geräts – aufzunehmen, ohne sie zu verschlüsseln. Der Algorithmus stellt sicher, dass alle geschützten Daten authentisch sind und während der Übertragung nicht verändert wurden. AEAD kann in der Fahrzeug-zu-Fahrzeug-Kommunikation eingesetzt werden und auch dazu beitragen, die Fälschung von Nachrichten zu verhindern, die mit RFID-Etiketten (Radio Frequency Identification) ausgetauscht werden, mit denen sich Pakete in Lagern oft verfolgen lassen. Beim Hashing wird ein kurzer digitaler Fingerabdruck einer Nachricht erstellt, anhand dessen ein Empfänger feststellen kann, ob sich die Nachricht geändert hat. In der leichtgewichtigen Kryptografie kann Hashing verwendet werden, um zu prüfen, ob ein Software-Update angemessen ist oder korrekt heruntergeladen wurde. Derzeit ist die effizienteste vom NIST zugelassene Technik für AEAD der Advanced Encryption Standard (definiert in FIPS 197), der mit dem Galois/Counter Mode (SP 800-38D) verwendet wird, und für Hashing ist SHA-256 (definiert in FIPS 180-4) weit verbreitet. McKay sagte, dass diese Standards für den allgemeinen Gebrauch in Kraft bleiben. „Das Ziel dieses Projekts ist es nicht, AES oder unsere Hash-Standards zu ersetzen“, sagte sie. „Das NIST empfiehlt nach wie vor deren Verwendung auf Geräten, die nicht die Ressourcenbeschränkungen haben, die diese neuen Algorithmen berücksichtigen. In vielen Prozessoren gibt es native Befehle, die schnelle Implementierungen mit hohem Durchsatz unterstützen. Darüber hinaus sind diese Algorithmen in vielen Protokollen enthalten und sollten aus Gründen der Interoperabilität weiterhin unterstützt werden. Die neuen Algorithmen sind auch nicht für die Post-Quantum-Verschlüsselung gedacht, ein weiteres aktuelles Anliegen der Kryptographie-Gemeinschaft, das das NIST mit einem ähnlichen öffentlichen Prüfverfahren für potenzielle Algorithmen angehen will. „Eine der Ascon-Varianten bietet ein gewisses Maß an Widerstand gegen die Art von Angriffen, die ein leistungsstarker Quantencomputer durchführen könnte. Aber das ist hier nicht das Hauptziel“, sagte McKay. „Post-Quantum-Verschlüsselung ist vor allem für langfristige Geheimnisse wichtig, die über Jahre hinweg geschützt werden müssen. Generell ist leichtgewichtige Kryptografie für eher flüchtige Geheimnisse wichtig.“ Die Spezifikation von Ascon umfasst mehrere Varianten, und der endgültige Standard wird möglicherweise nicht alle davon enthalten. Das NIST-Team plant, mit den Entwicklern von Ascon und der Kryptographie-Gemeinschaft zusammenzuarbeiten, um die Details der Standardisierung abzuschließen. Weitere Informationen finden Sie auf der Projekt-Website des NIST. |
Security experts at the National Institute of Standards and Technology (NIST) have announced a victor in their program to find a worthy defender of data generated by small devices. The winner, a group of cryptographic algorithms called Ascon, will be published as NIST’s lightweight cryptography standard later in 2023.
The chosen algorithms are designed to protect information created and transmitted by the Internet of Things (IoT), including its myriad tiny sensors and actuators. They are also designed for other miniature technologies such as implanted medical devices, stress detectors inside roads and bridges, and keyless entry fobs for vehicles. Devices like these need “lightweight cryptography” — protection that uses the limited amount of electronic resources they possess. According to NIST computer scientist Kerry McKay, the newly selected algorithms should be appropriate for most forms of tiny tech. “The world is moving toward using small devices for lots of tasks ranging from sensing to identification to machine control, and because these small devices have limited resources, they need security that has a compact implementation,” she said. “These algorithms should cover most devices that have these sorts of resource constraints.” To determine the strongest and most efficient lightweight algorithms, NIST held a development program that took several years, first communicating with industry and other organizations to understand their needs and then requesting potential solutions from the world’s cryptography community in 2018. After receiving 57 submissions, McKay and mathematician Meltem Sönmez Turan managed a multi-round public review process in which cryptographers examined and attempted to find weaknesses in the candidates, eventually whittling them down to 10 finalists before selecting the winner. “Small devices have limited resources, and they need security that has a compact implementation. These algorithms should cover most devices that have these sorts of resource constraints.” —Kerry McKay, NIST computer scientist “We considered a number of criteria to be important,” McKay said. “The ability to provide security was paramount, but we also had to consider factors such as a candidate algorithm’s performance and flexibility in terms of speed, size and energy use. In the end we made a selection that was a good all-around choice.” Ascon was developed in 2014 by a team of cryptographers from Graz University of Technology, Infineon Technologies, Lamarr Security Research and Radboud University. It was selected in 2019 as the primary choice for lightweight authenticated encryption in the final portfolio of the CAESAR competition, a sign that Ascon had withstood years of examination by cryptographers — a characteristic the NIST team also valued, McKay said. There are currently seven members of the Ascon family, some or all of which may become part of NIST’s published lightweight cryptography standard. As a family, the variants give a range of functionality that will offer designers options for different tasks. Two of these tasks, McKay said, are among the most important in lightweight cryptography: authenticated encryption with associated data (AEAD) and hashing. AEAD protects the confidentiality of a message, but it also allows extra information — such as the header of a message, or a device’s IP address — to be included without being encrypted. The algorithm ensures that all of the protected data is authentic and has not changed in transit. AEAD can be used in vehicle-to-vehicle communications, and it also can help prevent counterfeiting of messages exchanged with the radio frequency identification (RFID) tags that often help track packages in warehouses. Hashing creates a short digital fingerprint of a message that allows a recipient to determine whether the message has changed. In lightweight cryptography, hashing might be used to check whether a software update is appropriate or has downloaded correctly. Currently, the most efficient NIST-approved technique for AEAD is the Advanced Encryption Standard (defined in FIPS 197) used with the Galois/Counter Mode (SP 800-38D), and for hashing, SHA-256 (defined in FIPS 180-4) is widely used. McKay said that these standards remain in effect for general use. “The goal of this project is not to replace AES or our hash standards,” she said. “NIST still recommends their use on devices that don’t have the resource constraints that these new algorithms address. There are native instructions in many processors, which support fast, high-throughput implementations. In addition, these algorithms are included in many protocols and should continue to be supported for interoperability purposes.” Neither are the new algorithms intended to be used for post-quantum encryption, another current concern of the cryptography community that NIST is working to address using a similar public review process for potential algorithms. “One of the Ascon variants offers a measure of resistance to the sort of attack a powerful quantum computer might mount. However, that’s not the main goal here,” McKay said. “Post-quantum encryption is primarily important for long-term secrets that need to be protected for years. Generally, lightweight cryptography is important for more ephemeral secrets.” The specification of Ascon includes multiple variants, and the finalized standard may not include all of them. The NIST team plans to work with Ascon’s designers and the cryptography community to finalize the details of standardization. Additional information may be found on NIST’s project website. |
Dr. Jakob Jung ist Chefredakteur Security Storage und Channel Germany. Er ist seit mehr als 20 Jahren im IT-Journalismus tätig. Zu seinen beruflichen Stationen gehören Computer Reseller News, Heise Resale, Informationweek, Techtarget (Storage und Datacenter) sowie ChannelBiz. Darüber hinaus ist er für zahlreiche IT-Publikationen freiberuflich tätig, darunter Computerwoche, Channelpartner, IT-Business, Storage-Insider und ZDnet. Seine Themenschwerpunkte sind Channel, Storage, Security, Datacenter, ERP und CRM.
Dr. Jakob Jung is Editor-in-Chief of Security Storage and Channel Germany. He has been working in IT journalism for more than 20 years. His career includes Computer Reseller News, Heise Resale, Informationweek, Techtarget (storage and data center) and ChannelBiz. He also freelances for numerous IT publications, including Computerwoche, Channelpartner, IT-Business, Storage-Insider and ZDnet. His main topics are channel, storage, security, data center, ERP and CRM.
Kontakt – Contact via Mail: jakob.jung@security-storage-und-channel-germany.de