สถาบันมาตรฐานและเทคโนโลยีแห่งชาติ ( NIST ) ได้จัดทำมาตรฐานการเข้ารหัสลับแบบเบาขึ้นจากตระกูลอัลกอริทึม Ascon แต่การประกาศดังกล่าวได้จุดประกายการถอดถอนอย่างรุนแรงในชุมชนการเข้ารหัสลับเกี่ยวกับว่าเบากว่าจำเป็นต้องหมายถึงอ่อนแอกว่าเมื่อพูดถึงความปลอดภัยหรือไม่
มาตรฐานใหม่ที่เผยแพร่อย่างเป็นทางการในชื่อ NIST Special Publication 800-232 มีเป้าหมายเพื่อปกป้องอุปกรณ์ขนาดเล็กเช่นแท็ก RFID อุปกรณ์ฝังในร่างกาย และเซ็นเซอร์ IoT ที่ขาดพลังการประมวลผลสำหรับวิธีการเข้ารหัสแบบดั้งเดิมเช่น AES อย่างไรก็ตาม ความคิดเห็นที่ยั่วยุจากนักเข้ารหัสลับ Matthew Green ที่ตั้งคำถามว่าการเข้ารหัสลับแบบเบาสมควรที่จะเรียกว่าการเข้ารหัสลับเลยหรือไม่ได้จุดประกายการอธิบายอย่างกว้างขวางเกี่ยวกับการแลกเปลี่ยนพื้นฐานที่เกี่ยวข้อง
อุปกรณ์เป้าหมายและกรณีการใช้งาน:
- แท็ก RFID (ราคาต่ำสุดเพียง 0.03 ดอลลาร์สหรัฐต่อชิ้น)
- อุปกรณ์ทางการแพทย์ที่ฝังในร่างกาย
- เครื่องส่งสัญญาณลงทะเบียนค่าผ่านทางที่ติดตั้งในรถยนต์
- อุปกรณ์เครื่องใช้ไฟฟ้าอัจฉริยะในบ้าน
- เซ็นเซอร์ไร้สาย
- ไมโครคอนโทรลเลอร์ในระบบยานยนต์และหุ่นยนต์
การถอดถอนเรื่องประสิทธิภาพเทียบกับความปลอดภัย
การอธิบายของชุมชนเผยให้เห็นความเข้าใจที่ละเอียดลึกซึ้งว่าทำไมมาตรฐานการเข้ารหัสลับที่แยกต่างหากจึงมีอยู่สำหรับแพลตฟอร์มฮาร์ดแวร์ที่แตกต่างกัน ประเด็นหลักไม่ใช่ว่าอัลกอริทึมแบบเบามีความอ่อนแอโดยธรรมชาติ แต่เป็นการที่พวกมันได้รับการปรับให้เหมาะสมสำหรับสภาพแวดล้อมที่แตกต่างกันโดยสิ้นเชิง โปรเซสเซอร์เดสก์ท็อปและสมาร์ทโฟนสมัยใหม่รวมถึงการเร่งฮาร์ดแวร์ AES เฉพาะ ทำให้การเข้ารหัสแบบดั้งเดิมเร็วอย่างน่าทึ่ง อย่างไรก็ตาม ไมโครคอนโทรลเลอร์ขนาดเล็กที่มีราคาเพียงไม่กี่เซ็นต์ขาดซิลิคอนเฉพาะนี้และทำงานภายใต้ข้อจำกัดด้านพลังงานและหน่วยความจำที่รุนแรง
ตระกูล Ascon แก้ไขข้อจำกัดเหล่านี้โดยต้องการทรัพยากรการประมวลผลน้อยลงในขณะที่รักษาระดับความปลอดภัย 128 บิตที่เทียบเคียงได้กับ AES-128 นี่ไม่ใช่เรื่องการยอมรับความปลอดภัยที่อ่อนแอกว่า - แต่เป็นเรื่องการทำให้ความปลอดภัยที่แข็งแกร่งเป็นไปได้ในที่ที่มันไม่สามารถทำได้ก่อนหน้านี้
ไมโครคอนโทรลเลอร์: ชิปคอมพิวเตอร์ขนาดเล็กที่ใช้พลังงานต่ำที่ออกแบบมาสำหรับงานเฉพาะในระบบฝังตัว ความปลอดภัย 128 บิต: การวัดความแข็งแกร่งของการเข้ารหัสลับ ตัวเลขที่สูงกว่าบ่งชี้การป้องกันที่แข็งแกร่งกว่า
บริบทการเปรียบเทียบประสิทธิภาพ:
- Meta รายงานการใช้จ่าย ~0.05% ของรอบ CPU ในการแลกเปลี่ยนคีย์ X25519
- Ascon มีรายงานว่าเร็วกว่า ChaCha20 ประมาณ 1.5-3 เท่าบนฮาร์ดแวร์ที่มีทรัพยากรจำกัด
- AES ต้องการการเร่งความเร็วของฮาร์ดแวร์เฉพาะเพื่อประสิทธิภาพที่เหมาะสม
- ChaCha20 ทำความเร็วได้ ~1 Mbps บนไมโครคอนโทรลเลอร์ทั่วไป เทียบกับ AES ที่ ~400 kbps
ความท้าทายในการใช้งานจริง
ชุมชนเน้นช่องว่างที่สำคัญระหว่างทฤษฎีการเข้ารหัสลับและการปรับใช้ในทางปฏิบัติ อุปกรณ์ IoT จำนวนมากในปัจจุบันไม่ใช้การเข้ารหัสเลยเพราะผู้ผลิตให้ความสำคัญกับการประหยัดต้นทุนมากกว่าความปลอดภัย สำหรับอุปกรณ์ที่ทางเลือกคือการป้องกันศูนย์ การเข้ารหัสลับแบบเบาแสดงถึงการปรับปรุงความปลอดภัยที่สำคัญมากกว่าการประนีประนอม
อย่างไรก็ตาม ผู้ที่ไม่เชื่อชี้ให้เห็นว่าความท้าทายที่ใหญ่ที่สุดในความปลอดภัย IoT ไม่ใช่อัลกอริทึมการเข้ารหัสเอง แต่เป็นการจัดการคีย์ - วิธีที่อุปกรณ์ได้รับและจัดเก็บคีย์ลับที่จำเป็นสำหรับการเข้ารหัสอย่างปลอดภัย แม้แต่อัลกอริทึมที่มีประสิทธิภาพที่สุดก็ไร้ประโยชน์หากไม่มีวิธีที่ปลอดภัยในการแจกจ่ายคีย์ไปยังอุปกรณ์ที่ปรับใช้หลายล้านเครื่อง
ตัวแปรของอัลกอริทึม Ascon :
- ASCON-128 AEAD: การเข้ารหัสแบบยืนยันตัวตนพร้อมข้อมูลที่เกี่ยวข้องสำหรับแท็ก RFID อุปกรณ์ฝังในร่างกาย และเครื่องส่งสัญญาณเก็บค่าผ่านทาง
- ASCON-Hash 256: สร้าง "ลายนิ้วมือ" ขนาดสั้นของข้อมูลเพื่อการตรวจสอบความสมบูรณ์และการป้องกันรหัสผ่าน
- ASCON-XOF 128: ฟังก์ชันแฮชความยาวแปรผันที่ช่วยให้สามารถปรับแต่งขนาดแฮชได้เพื่อประสิทธิภาพด้านพลังงาน
- ASCON-CXOF 128: คล้ายกับ XOF แต่เพิ่มป้ายกำกับที่ปรับแต่งได้เพื่อป้องกันการชนกันของแฮช
ความกังวลเรื่องการยอมรับของอุตสาหกรรม
การถอดถอนยังสัมผัสกับคำถามที่กว้างขึ้นเกี่ยวกับการยอมรับมาตรฐานการเข้ารหัสลับ สมาชิกชุมชนบางคนกังวลว่าการแนะนำตัวแปรแบบเบาอาจสร้างความสับสนหรือให้ความคุ้มครองสำหรับผู้ผลิตในการใช้ความปลอดภัยที่อ่อนแออย่างแท้จริงภายใต้ข้ออ้างของการปรับให้เหมาะสม คนอื่นๆ โต้แย้งว่ากระบวนการมาตรฐาน NIST ที่เข้มงวด ซึ่งเกี่ยวข้องกับการทบทวนสาธารณะและการวิเคราะห์การเข้ารหัสลับหลายปี ให้ความมั่นใจเพียงพอของความปลอดภัยของอัลกอริทึม
เวลานี้มีความเกี่ยวข้องเป็นพิเศษเมื่ออุตสาหกรรมต่อสู้กับการเตรียมการเข้ารหัสลับหลังควอนตัม ซึ่งน่าจะเพิ่มความต้องการการประมวลผลสำหรับการดำเนินงานความปลอดภัยจำนวนมาก การมีทางเลือกที่มีประสิทธิภาพสำหรับอุปกรณ์ที่มีข้อจำกัดด้านทรัพยากรจึงมีความสำคัญมากขึ้นในบริบทนี้
ฉันทามติของชุมชนแสดงให้เห็นว่าในขณะที่การเข้ารหัสลับแบบเบาตอบสนองความต้องการที่ถูกต้อง ความสำเร็จของมันจะขึ้นอยู่กับการใช้งานและการปรับใช้ที่เหมาะสมมากกว่าประสิทธิภาพของอัลกอริทึมเพียงอย่างเดียว สำหรับอุปกรณ์ขนาดเล็กหลายพันล้านเครื่องที่ประกอบขึ้นเป็นอินเทอร์เน็ตของสรรพสิ่ง การป้องกันบางอย่างดีกว่าไม่มีเลย - แต่เฉพาะเมื่อการป้องกันนั้นได้รับการใช้งานอย่างถูกต้องเท่านั้น
อ้างอิง: NIST Finalizes 'Lightweight Cryptography' Standard to Protect Small Devices