После десяти лет обсуждений и тестирования десятков алгоритмов Национальный институт стандартов и технологий (NIST) утвердил окончательный стандарт «облегчённой криптографии» (lightweight cryptography) для микроконтроллеров, встроенных CPU, слабых FPGA и других устройств с ограниченными аппаратными возможностями, то есть минимальным количеством памяти и вычислительными ресурсами.
Принятие стандартов даёт надежду, что современная криптография — идентификаторы, цифровые подписи, шифрование, защита от кибератак — будет поддерживаться на миллиардах устройств Интернета вещей и другой малой электронике, такой как RFID-метки и медицинские имплантаты.
Итоговый 52-страничный документ опубликован в августе 2025 года под названием «Стандарты облегчённой криптографии на основе Ascon для устройств с ограниченными ресурсами» — NIST SP 800-232.
Облегчённая или легковесная криптография рекомендуется к использованию везде, где ограничения ресурсов раньше препятствовали внедрению обычной криптографии: от умной домашней электроники и автомобильных счётчиков для платных дорог до медицинских имплантатов. Общим для этой электроники является жёсткие ограничения на количество энергии, времени и пространства, которые выделяются для криптографии. Этот стандарт соответствует возможностям таких устройств.
Стандарт построен на группе криптографических алгоритмов семейства Ascon, которые NIST выбрал в 2023 году после многоэтапного процесса публичного рассмотрения.
Семейство шифров Ascon разработано в 2014 году командой криптографов из Технологического университета Граца (Австрия), Infineon Technologies, Lamarr Security Research и Университета Неймегена (Нидерланды). В 2019 году он победил в конкурсе CAESAR среди легковесных шифров. Таким образом, к настоящему моменту алгоритмы уже прошли многолетнюю проверку со стороны криптографического сообщества.
В стандарте представлены четыре варианта ASCON для разных сценариев использования. Варианты ориентированы на две основные задачи облегчённой криптографии: аутентифицированное шифрование с сопутствующими данными (AEAD) и хэширование.
ASCON-128 AEAD
ASCON-128 AEAD разработан для шифрования данных и проверки их подлинности. Общим недостатком небольших устройств является их уязвимость к «атакам по побочным каналам», при которых злоумышленник может извлечь конфиденциальную информацию, наблюдая за физическими характеристиками, такими как энергопотребление или время выполнения операций.
Хотя ни один криптографический алгоритм не является по своей сути устойчивым к таким атакам, ASCON разработан таким образом, чтобы упростить разработку более устойчивых реализаций.
Ascon-Hash256
Ascon-Hash256 берёт все шифруемые данные и использует их для создания короткого хэша длиной в несколько символов, который функционирует как «отпечаток» данных. Даже небольшое изменение исходных данных целиком изменяет хэш. Таким образом, этот алгоритм полезен для обеспечения целостности данных — например, обновлений программного обеспечения, чтобы защитить его от внедрения постороннего кода. Другие области применения — защита паролей и цифровых подписей.
Это облегчённая альтернатива семейству хэш-алгоритмов SHA-3 от NIST, которое широко используется для тех же целей.
ASCON-XOF 128 и ASCON-CXOF 128
Это хэш-функции с особенностью: оба алгоритма позволяют изменять размер хэша. Такой вариант может быть полезен для небольших устройств, поскольку более короткие хэши экономят энергию и количество вычислительных циклов в процедуре шифрования.
Вариант ASCON-CXOF 128 добавляет возможность прикрепить к хэшу настраиваемую «метку» длиной в несколько символов. Если множество небольших устройств выполняют одну и ту же операцию шифрования, существует небольшая вероятность коллизии. Добавление настраиваемых меток позволит пользователям обойти эту потенциальную проблему.
NIST заявил, что принятые стандарты уже сейчас пригодны для использования. Институт также обеспечит их расширяемость для удовлетворения будущих потребностей. Возможно, в будущем будут добавлены дополнительные функции, о которых просили пользователи, например, выделенный код аутентификации сообщений.
Производительность шифров на разных CPU, циклов на бит:
Ascon-AEAD128 (NIST SP 800-232)
Длина сообщения в байтах |
1 |
8 |
16 |
32 |
64 |
1536 |
long |
|---|---|---|---|---|---|---|---|
AMD EPYC 7742* |
7,4 |
4,4 |
4,2 |
||||
AMD Ryzen 9 5950X* |
8,1 |
5,3 |
5,2 |
||||
Apple M1 (ARMv8)* |
9,4 |
6,3 |
6,3 |
||||
Cortex-A72 (ARMv8)* |
10,9 |
7,2 |
7,0 |
||||
Intel Xeon E5-2609 v4* |
11,3 |
7,4 |
7,2 |
||||
Intel Core i5-6300U |
365 |
47 |
31 |
19 |
13,5 |
8,0 |
7,8 |
Intel Core i5-4200U |
519 |
67 |
44 |
27 |
18,8 |
11,0 |
10,6 |
Cortex-A9 (ARMv7)* |
42,8 |
24,6 |
24,0 |
||||
Cortex-A7 (NEON) |
2204 |
226 |
132 |
82 |
55,9 |
31,7 |
30,7 |
Cortex-A7 (ARMv7)* |
55,5 |
38,2 |
37,5 |
||||
ARM1176JZF-S (ARMv6) |
1908 |
235 |
156 |
99 |
70,4 |
43,0 |
42,9 |
Ascon-Hash256 и Ascon-XOF128 (NIST SP 800-232)
Длина сообщения в байтах |
1 |
8 |
16 |
32 |
64 |
1536 |
long |
|---|---|---|---|---|---|---|---|
AMD EPYC 7742* |
21,1 |
13,3 |
12,4 |
||||
AMD Ryzen 9 5950X* |
24,1 |
16,1 |
15,8 |
||||
Apple M1 (ARMv8)* |
29,2 |
19,6 |
18,5 |
||||
Cortex-A72 (ARMv8)* |
30,5 |
20,5 |
20,0 |
||||
Intel Xeon E5-2609 v4* |
31,9 |
21,4 |
21,2 |
||||
Intel Core i5-6300U |
747 |
114 |
69 |
46 |
34,2 |
23,2 |
23,1 |
Intel Core i5-4200U |
998 |
153 |
92 |
61 |
45,5 |
30,9 |
30,7 |
Cortex-A9 (ARMv7)* |
95,8 |
55,5 |
53,9 |
||||
Cortex-A7 (ARMv7)* |
138,1 |
89,9 |
88,8 |
||||
ARM1176JZF-S (ARMv6) |
3051 |
462 |
277 |
184 |
137,3 |
92,6 |
92,2 |
Ascon-Mac и Ascon-Prf
Длина сообщения в байтах |
1 |
8 |
16 |
32 |
64 |
1536 |
long |
|---|---|---|---|---|---|---|---|
Intel Core i5-6300U |
369 |
46 |
24 |
18 |
11,7 |
6,4 |
6,3 |
Intel Core i5-4200U |
506 |
63 |
32 |
24 |
16,2 |
8,8 |
8,7 |
ARM1176JZF-S (ARMv6) |
1769 |
223 |
117 |
85 |
57,5 |
31,9 |
31,6 |
Ascon-PrfShort
Длина сообщения в байтах |
1 |
8 |
16 |
32 |
64 |
1536 |
long |
|---|---|---|---|---|---|---|---|
Intel Core i5-6300U |
185 |
23 |
12 |
- |
- |
- |
- |
Intel Core i5-4200U |
257 |
33 |
17 |
- |
- |
- |
- |
ARM1176JZF-S (ARMv6) |
1057 |
132 |
69 |
- |
- |
- |
- |
Звёздочкой отмечены результаты с бенчмарков eBACS для Ascon v1.2.
Дополнительная информация о шифрах — в разделе «Легковесная криптография» на сайте NIST. Например, там приведён календарь всех событий на конкурсе с первого семинара в июле 2015-го, а также результаты измерения производительности представленных шифров на недорогом железе с ограниченными аппаратными ресурсами (встроенные процессоры, микроконтроллеры, дешёвые FPGA).