米国 NIST NIST SP 800-232(初期公開ドラフト) 制約されたデバイスのためのAsconベースの軽量暗号標準: 認証された暗号化、ハッシュ、拡張可能な出力機能
こんにちは、丸山満彦です。
2023年2月にIoTなどでの利用を想定した軽量暗号アルゴリズムの標準として、Asconベースの暗号をNISTは採用し、その選定過程を説明するIR 8454を2023年6月に公表しましたが、標準のドラフトとしてSP 800-232の初期公開ドラフトを今回発表したというところですね...
● NIST - ITL
・2024.11.08 NIST SP 800-232 (Initial Public Draft) Ascon-Based Lightweight Cryptography Standards for Constrained Devices: Authenticated Encryption, Hash, and Extendable Output Functions
NIST SP 800-232 (Initial Public Draft) Ascon-Based Lightweight Cryptography Standards for Constrained Devices: Authenticated Encryption, Hash, and Extendable Output Functions | NIST SP 800-232(初期公開ドラフト) 制約されたデバイスのためのAsconベースの軽量暗号標準: 認証された暗号化、ハッシュ、拡張可能な出力機能 |
Announcement | 発表 |
This draft standard introduces a new Ascon-based family of symmetric-key cryptographic primitives that provides robust security, efficiency, and flexibility. With its compact state and range of cryptographic functions, it is ideal for resource-constrained environments, such as Internet of Things (IoT) devices, embedded systems, and low-power sensors. This standard includes multiple algorithms to meet a wide range of symmetric cryptographic needs, including the Authenticated Encryption with Associated Data (AEAD) scheme Ascon-AEAD128, the hash function Ascon-Hash256, and the Extendable Output Functions (XOFs) Ascon-XOF128 and Ascon-CXOF128. | この標準ドラフトは、強固なセキュリティ、効率性、柔軟性を提供する新しいAsconベースの共通鍵暗号プリミティブ・ファミリーを導入する。コンパクトな状態と幅広い暗号機能により、IoTデバイス、組み込みシステム、低消費電力センサーなど、リソースに制約のある環境に最適である。この標準には、AEAD(Authenticated Encryption with Associated Data)方式Ascon-AEAD128、ハッシュ関数Ascon-Hash256、拡張可能出力機能(XOF)Ascon-XOF128およびAscon-CXOF128など、対称暗号の幅広いニーズに対応する複数のアルゴリズムが含まれている。 |
Abstract | 概要 |
In 2023, the National Institute of Standards and Technology (NIST) announced the selection of the Ascon family of algorithms designed by Dobraunig, Eichlseder, Mendel, and Schläffer to provide efficient cryptography solutions for resource-constrained devices. This decision emerged from a rigorous, multi-round lightweight cryptography standardization process. This standard introduces a new Ascon-based family of symmetric-key cryptographic primitives designed to deliver Authenticated Encryption with Associated Data (AEAD), hash, and Extendable Output Function (XOF) capabilities, namely Ascon-AEAD128, Ascon-Hash256, Ascon-XOF128, and Ascon-CXOF128. The Ascon family is characterized by lightweight permutation-based primitives and provides robust security, efficiency, and flexibility, making it ideal for resource-constrained environments, such as Internet of Things (IoT) devices, embedded systems, and low-power sensors. The family is developed to offer a viable alternative when the Advanced Encryption Standard (AES) may not perform optimally. This draft standard outlines the technical specifications of Ascon-AEAD128, Ascon-Hash256, Ascon-XOF128, and Ascon-CXOF128, and provides their security properties. | 2023年、国立標準技術研究所(NIST)は、Dobraunig、Eichlseder、Mendel、Schläfferによって設計されたアルゴリズムのAsconファミリーを、リソースに制約のあるデバイスに効率的な暗号ソリューションを提供するために選択することを発表した。この決定は、複数ラウンドにわたる厳格な軽量暗号の標準化プロセスから生まれた。この標準は、Ascon-AEAD128、Ascon-Hash256、Ascon-XOF128、およびAscon-CXOF128という、AEAD(Authenticated Encryption with Associated Data)、ハッシュ、およびXOF(Extendable Output Function)機能を提供するように設計された、新しいAsconベースの共通鍵暗号プリミティブ・ファミリを導入している。Asconファミリーは、軽量な並べ替えベースのプリミティブを特徴とし、強固なセキュリティ、効率性、柔軟性を提供するため、モノのインターネット(IoT)デバイス、組み込みシステム、低消費電力センサーなど、リソースに制約のある環境に最適である。このファミリーは、AES(Advanced Encryption Standard)が最適な性能を発揮できない場合に、実行可能な代替手段を提供するために開発された。このドラフト標準は、Ascon-AEAD128、Ascon-Hash256、Ascon-XOF128、および Ascon-CXOF128 の技術仕様の概要を示し、それらのセキュリティ特性を提供する。 |
・[PDF] SP.800-232.ipd
目次...
1. Introduction | 1. 序文 |
2. Preliminaries | 2. 予備知識 |
2.1. Auxiliary Functions | 2.1. 補助機能 |
3. Ascon Permutations | 3. Asconの順列 |
3.1. Internal State | 3.1. 内部状態 |
3.2. Constant-Addition Layer 𝑝𝐶 | 3.2. 定数加算レイヤー 𝑝𝐶 |
3.3. Substitution Layer 𝑝𝑆 | 3.3. 置換レイヤー 𝑝𝑆 |
3.4. Linear Diffusion Layer 𝑝𝐿 | 3.4. 線形拡散レイヤー 𝑝𝐿 |
4. Authenticated Encryption Scheme: Ascon-AEAD128 | 4. 認証暗号化スキーム: Ascon-AEAD128 |
4.1. Specification of Ascon-AEAD128 | 4.1. Ascon-AEAD128の仕様 |
4.1.1. Encryption | 4.1.1. 暗号化 |
4.1.2. Decryption | 4.1.2. 復号化 |
4.2. Implementation Options | 4.2. 実装オプション |
4.2.1. Truncation | 4.2.1. 切り捨て |
4.2.2. Nonce Masking | 4.2.2. ノンスマスキング |
4.3. AEAD Requirements | 4.3. AEAD要件 |
4.4. Security Properties | 4.4. セキュリティ特性 |
4.4.1. Single-Key Setting | 4.4.1. シングルキー設定 |
4.4.2. Multi-Key Setting | 4.4.2. マルチキー設定 |
4.4.3. Nonce-Misuse Setting | 4.4.3. 不正使用防止設定 |
5. Hash and Extendable Output Functions | 5. ハッシュと拡張可能な出力機能 |
5.1. Specification of Ascon-Hash256 | 5.1. Ascon-Hash256 の仕様 |
5.2. Specification of Ascon-XOF128 | 5.2. Ascon-XOF128の仕様 |
5.3. Specification of Ascon-CXOF128 | 5.3. Ascon-CXOF128の仕様 |
5.4. Security Strengths | 5.4. セキュリティ強度 |
Appendix A. Implementation Notes | 附属書A.実装上の注意事項 |
A.1. Conversion Functions | A.1. 変換機能 |
A.2. Implementing with Integers | A.2. 整数を使った実装 |
Appendix B. Determination of the Initial Values | 附属書B. 初期値の決定 |
序文...
1. Introduction | 1. 序文 |
This draft standard specifies the Ascon family of algorithms to provide Authenticated Encryption with Associated Data (AEAD), a hash function, and two eXtendable Output Functions (XOFs). The Ascon family is designed to be efficient in constrained environments. The algorithms specified in this standard are as follows: | 本標準ドラフトは、AEAD(Authenticated Encryption with Associated Data)、ハッシュ関数、および2つのXOF(eXtendable Output Function)を提供するアルゴリズムのAsconファミリーを規定する。Ascon ファミリーは、制約のある環境において効率的であるように設計されている。本標準で規定されるアルゴリズムは以下の通りである: |
1. Ascon-AEAD128 is a nonce-based authenticated encryption with associated data that provides 128-bit security strength in the single-key setting. | 1. Ascon-AEAD128はノンスベースの認証暗号であり、単一鍵設定で128ビットのセキュリティ強度を提供する。 |
2. Ascon-Hash256 is a cryptographic hash function that produces a 256-bit hash of the input messages, offering a security strength of 128 bits. | 2. Ascon-Hash256 は、入力メッセージの 256 ビットのハッシュを生成する暗号ハッシュ関数であり、128 ビットのセキュリティ強度を提供する。 |
3. Ascon-XOF128 is an XOF, where the output size of the hash of the message can be selected by the user, and the supported security strength is up to 128 bits. | 3. Ascon-XOF128 は XOF で、メッセージのハッシュの出力サイズをユーザが選択でき、サポートされるセキュリティ強度は最大 128 ビットである。 |
4. Ascon-CXOF128 is a customized XOF that allows users to specify a customization string and choose the output size of the message hash. It supports a security strength of up to 128 bits. | 4. Ascon-CXOF128 はカスタマイズされた XOF であり、ユーザがカスタマイズ文字列を指定し、メッセージハッシュの出力サイズを選択できる。最大128ビットのセキュリティ強度をサポートする。 |
Development of the Ascon family. Ascon (version v1) [1] was first submitted to the CAESAR (Competition for Authenticated Encryption: Security, Applicability, and Robustness) in 2014. The submission included two AEAD algorithms: a primary recommendation, Ascon128, with a 128-bit key and the secondary recommendation, Ascon-96, with a 96-bit key. Updated versions v1.1 [2] for Round 2 and v1.2 [3] for Round 3 included minor tweaks, such as reordering the round constants, and the secondary recommendation was updated to Ascon-128a. In 2019, Ascon-128 and Ascon-128a were selected as the first choice for the lightweight authenticated encryption use case in the final portfolio of the CAESAR competition. | Ascon・ファミリーの開発 Ascon(バージョンv1)[1]は、最初にCAESAR(認証暗号化のためのコンペティション)に提出された: Security, Applicability, and Robustness)に2014年に提出された。提出されたものには2つのAEADアルゴリズムが含まれていた。128ビットの鍵を持つ一次推奨のAscon128と、96ビットの鍵を持つ二次推奨のAscon-96である。ラウンド2の更新版v1.1 [2]とラウンド3の更新版v1.2 [3]では、ラウンド定数の並び替えなど細かな調整が行われ、二次勧告はAscon-128aに更新された。2019年、Ascon-128とAscon-128aは、CAESARコンペティションの最終ポートフォリオにおいて、軽量認証暗号のユースケースの第一候補に選ばれた。 |
NIST Lightweight Cryptography Standardization Process. In 2015, the National Institute of Standards and Technology (NIST) initiated the lightweight cryptography standardization process to develop cryptographic standards suitable for constrained environments in which conventional cryptographic standards (e.g., AES-GCM [4, 5] and the SHA-2 [6] and the SHA-3 [7] hash function families) may be resource-intensive. In February 2023, NIST announced the decision to standardize the Ascon family [8] for lightweight cryptography applications. (For more information, refer to NIST Internal Report (IR) 8268 [9], NIST IR 8369 [10], and NIST IR 8454 [11]). | NIST軽量暗号標準化プロセス。2015年、国立標準技術研究所(NIST)は、従来の暗号標準(例えば、AES-GCM [4、5]、SHA-2 [6]およびSHA-3 [7]ハッシュ関数ファミリー)ではリソースが集中する可能性がある制約環境に適した暗号標準を開発するため、軽量暗号標準化プロセスを開始した。2023年2月、NISTは軽量暗号アプリケーション向けにAsconファミリー[8]を標準化することを決定したと発表した。(詳細については、NIST Internal Report (IR) 8268 [9]、NIST IR 8369 [10]、NIST IR 8454 [11]を参照のこと)。 |
Differences from the Ascon submission v1.2. The technical differences between this draft standard and the Ascon submission [8] are provided below: | Ascon submission v1.2との相違点。本スタンダードドラフトとAscon提出文書[8]との技術的な相違点を以下に示す: |
1. Permutations. The Ascon submission defined three Ascon permutations having 6, 8, and 12 rounds. This standard specifies additional Ascon permutations by providing round constants for up to 16 rounds to accommodate potential functionality extensions in the future. | 1. 順列。Ascon 提出文書では、6、8、12 ラウンドの 3 つの Ascon 順列を定義していた。本標準は、将来の潜在的な機能拡張に対応するため、最大16ラウンドのラウンド定数をプロバイダに提供することで、追加のAscon順列を規定する。 |
2. AEAD variants. The Ascon submission package defined AEAD variants ASCON-128, ASCON-128a, and ASCON-80pq. This standard specifies the Ascon-AEAD128 algorithm, which is based on ASCON-128a. | 2. AEAD 変数。ASCONサブミッションパッケージでは、AEADバリエーションASCON-128、ASCON-128a、ASCON-80pqを定義した。本標準は、ASCON-128a に基づく Ascon-AEAD128 アルゴリズムを規定する。 |
3. Hash function variants. The Ascon submission defined ASCON-HASH and ASCON-HASHA. This standard specifies Ascon-Hash256, which is based on ASCON-HASH. | 3. ハッシュ機能の亜種。Ascon の提出文書では、ASCON-HASH と ASCON-HASHA が定義されている。本標準は、ASCON-HASH に基づく Ascon-Hash256 を規定する。 |
4. XOF variants. The Ascon submission defined two extendable output functions, ASCONXOF and ASCON-XOFA. This standard specifies Ascon-XOF128, which is based on ASCON-XOF, and a new customized XOF, Ascon-CXOF128. | 4. XOFのバリエーション。ASCON は 2 つの拡張出力機能 ASCONXOF と ASCON-XOFA を定義した。本標準は、ASCON-XOF をベースとした Ascon-XOF128 と、新しいカスタマイズ XOF である Ascon-CXOF128 を規定する。 |
5. Initial values. The initial values of the algorithms are updated to support a new format that accommodates potential functionality extensions. | 5. 初期値。アルゴリズムの初期値は、潜在的な機能拡張に対応する新しい形式をサポートするために更新される。 |
6. Endianness. The endianness has been switched from big endian to little endian to improve performance on little-endian microcontrollers. | 6. エンディアン。エンディアンがビッグエンディアンからリトルエンディアンに変更され、リトルエンディアンマイコンでのパフォーマンスが向上した。 |
7. Truncation and nonce-masking. The implementation options of Ascon-AEAD128 with truncation and nonce-masking have been added. | 7. トランケーションとノンスマスキング。Ascon-AEAD128の実装オプションにトランケーションとノンスマスクが追加された。 |
Main Features of Ascon. The main features of the Ascon family are: | Asconの主な特徴 Asconファミリーの主な特徴は以下の通りである: |
• Multiple functionalities. The same permutations are used to construct multiple functionalities, which allows an implementation of AEAD, hash, and XOF functionalities to share logic and, therefore, have a more compact implementation than functions that were developed independently. | ・多機能。AEAD,ハッシュ,XOFの各機能はロジックを共有するため,個別に開発された機能よりもコンパクトな実装が可能である。 |
• Online and single pass. Ascon-AEAD128 is online, meaning that the 𝑖-th ciphertext block is determined by the key, nonce, associated data, and the first 𝑖 plaintext blocks. Ascon family members require only a single pass over the data. | ・オンラインかつシングルパスである。Ascon-AEAD128はオンラインであり、𝑖番目の暗号文ブロックが鍵、Nonce、関連データ、最初の𝑖個の平文ブロックによって決定されることを意味する。Asconファミリーはデータに対してシングルパスしか必要としない。 |
• Inverse-free. Since all of the Ascon family members only use the underlying permutations in the forward direction, implementing the inverse permutations is not needed. This approach significantly reduces implementation costs compared to designs that require inverse operations for decryption. | ・インバースフリーである。Asconファミリーの全メンバーは順方向の順列のみを使用するため,逆方向の順列を実装する必要はない。このアプローチは,復号化のために逆演算を必要とする設計と比較して,実装コストを大幅に削減する。 |
Organization. Section 2 provides preliminaries, including the notation, basic operations, and auxiliary functions. Section 3 specifies the Ascon permutations for up to 16 rounds. Section 4 specifies the authenticated encryption scheme Ascon-AEAD128, provides some implementation options for truncation and nonce masking, lists the requirements for validation, and provides security properties. Section 5 specifies the hash function Ascon-Hash256 , the XOF function Ascon-XOF128, and the customized Ascon-CXOF128 and describes their security properties. Appendix A provides additional notes and conversion functions for implementations. Appendix B provides additional information regarding the construction of initial values. | 構成:セクション2では、表記法、基本演算、補助関数を含む前置詞を提供する。セクション3では、最大16ラウンドまでのAsconの順列について述べる。セクション4では、認証暗号化方式 Ascon-AEAD128を規定し、トランケーションとノンスマスキングの実装オプション、妥当性確認の要件、セキュリティ特性を示す。セクション5 では、ハッシュ関数 Ascon-Hash256、XOF 関数 Ascon-XOF128、およびカスタマイズされた Ascon-CXOF128 を規定し、それらのセキュリティ特性を記述する。附属書Aは、実装のための追加的な注意事項と変換機能を提供する。附属書Bは、初期値の構築に関する追加情報を提供する。 |
関連
● Ascon
・Ascon - Lightweight Authenticated Encryption & Hashing
IPAの軽量暗号に関する資料
● IPA
・2022.04.13 [PDF] 「CRYPTREC 暗号技術ガイドライン(軽量暗号)」 掲載の暗号方式に関する安全性評価の動向調査
・2017.03 [PDF] CRYPTREC 暗号技術ガイドライン (軽量暗号)
● まるちゃんの情報セキュリティ気まぐれ日記
Asconファミリー...
・2024.05.24 米国 NIST SP 800-229 2023会計年度サイバーセキュリティとプライバシー年次報告書
・2023.06.24 NIST NISTIR 8454 NIST 軽量暗号標準化プロセスの最終ラウンドに関する状況報告書
・2023.02.12 NIST 標準軽量暗号はAsconファミリーから... (2023.02.07)
« 米国 NIST CSWP 34(初公開ドラフト)テレヘルス・スマートホーム統合におけるサイバーセキュリティとプライバシーリスクの低減: ヘルスケア及び公衆衛生部門のリスクマネジメントのアプローチ | Main | 米国 CISA 重要インフラ向けサイバーインシデント報告法に関するウェブページ »
Comments