Entwurf NISTIR 8114, Bericht über Leichtbau Cryptography

Report on Lightweight Cryptography Bericht über Leichtbau Cryptography

Computer Security Division Computer - Sicherheitsabteilung

Information Technology Laboratory Laboratorium für Informationstechnologie

US Department of Commerce US Department of Commerce

Penny Pritzker, Secretary Penny Pritzker, Sekretär

National Institute of Standards and Technology Nationales Institut für Standards und Technologie

Willie May, Under Secretary of Commerce for Standards and Technology and Director Willie May, Under Secretary of Commerce für Standards und Technologie und Direktor

National Institute of Standards and Technology Internal Report 8114 National Institute of Standards and Technology Interner Bericht 8114

Certain commercial entities, equipment, or materials may be identified in this document in order to describe an Bestimmte kommerzielle Einrichtungen, Geräte oder Materialien können in diesem Dokument , um identifiziert werden , um eine zu beschreiben

experimental procedure or concept adequately. experimentelle Verfahren oder angemessen Konzept. Such identification is not intended to imply recommendation or Eine solche Identifizierung wird Empfehlung implizieren nicht beabsichtigt oder

endorsement by NIST, nor is it intended to imply that the entities, materials, or equipment are necessarily the best Billigung durch NIST, noch ist es , dass die Einrichtungen, Materialien implizieren, oder Geräte sind unbedingt die beste

There may be references in this publication to other publications currently under development by NIST in Es kann derzeit von NIST unter Entwicklung zu anderen Publikationen Verweise in dieser Veröffentlichung sind in

accordance with its assigned statutory responsibilities. Übereinstimmung mit dem zugewiesenen gesetzlichen Aufgaben. The information in this publication, including concepts and Die Informationen in dieser Veröffentlichung, einschließlich Konzepte und

methodologies, may be used by federal agencies even before the completion of such companion publications. Methoden können von Bundesbehörden noch vor dem Abschluss solcher Begleiter Publikationen verwendet werden. Thus, So,

until each publication is completed, current requirements, guidelines, and procedures, where they exist, remain bis jeder Veröffentlichung abgeschlossen ist, aktuelle Anforderungen, Richtlinien und Verfahren, in denen sie existieren, bleiben

operative. wirksam. For planning and transition purposes, federal agencies may wish to closely follow the development of Für die Planung und den Übergang Zwecke kann Bundesbehörden wollen eng die Entwicklung folgen

these new publications by NIST. diese neuen Veröffentlichungen von NIST.

Organizations are encouraged to review all draft publications during public comment periods and provide feedback Organisationen werden ermutigt , alle Entwürfe Publikationen bei öffentlichen Kommentierung Fristen überprüfen und Feedback

to NIST. NIST. Many NIST cybersecurity publications, other than the ones noted above, are available at Viele NIST Cyber - Publikationen, andere als die , die oben erwähnt wurde , sind verfügbar unter

Public comment period: August 11, 2016 through October 31, 2016 Öffentliche Kommentierungsfrist: 11. August 2016 bis zum 31. Oktober 2016

National Institute of Standards and Technology Nationales Institut für Standards und Technologie

Attn: Computer Security Division, Information Technology Laboratory Attn: Computersicherheitsabteilung, Laboratorium für Informationstechnologie

100 Bureau Drive (Mail Stop 8930) Gaithersburg, MD 20899-8930 100 Büro - Laufwerk (Poststelle 8930) Gaithersburg, MD 20899-8930

All comments are subject to release under the Freedom of Information Act (FOIA). Alle Kommentare unterliegen im Rahmen des Freedom of Information Act (FOIA) zu lösen.

Reports on Computer Systems Technology Berichte über Computer - Systemtechnik

The Information Technology Laboratory (ITL) at the National Institute of Standards and Die Information Technology Laboratory (ITL) am National Institute of Standards und

Technology (NIST) promotes the US economy and public welfare by providing technical Technologie (NIST) fördert die US - Wirtschaft und der öffentlichen Wohlfahrt durch technische Bereitstellung

leadership for the Nation's measurement and standards infrastructure. Führung für die Messung und Standards Infrastruktur der Nation. ITL develops tests, test ITL entwickelt Tests, Test

methods, reference data, proof of concept implementations, and technical analyses to advance Methoden, Referenzdaten, Proof of Concept Implementierungen und technische Analysen voranzutreiben

the development and productive use of information technology. die Entwicklung und den produktiven Einsatz der Informationstechnologie. ITL's responsibilities include the ITL verantwortet unter anderem die

development of management, administrative, technical, and physical standards and guidelines for Entwicklung von Management, administrative, technische und physische Standards und Richtlinien für

the cost-effective security and privacy of other than national security-related information in die kostengünstige Sicherheit und Privatsphäre anderer als nationale sicherheitsrelevanten Informationen in

federal information systems. Bundes-Informationssysteme.

NIST-approved cryptographic standards were designed to perform well using general-purpose NIST genehmigte Verschlüsselungsstandards wurden entwickelt und für allgemeine Zwecke verwenden auszuführen

computers. Computer. In recent years, there has been increased deployment of small computing devices that In den letzten Jahren wurde es den Einsatz von kleinen Rechenvorrichtungen erhöht , dass

have limited resources with which to implement cryptography. haben begrenzte Ressourcen , mit denen Kryptographie zu implementieren. When current NIST-approved Wenn der Strom von NIST genehmigte

algorithms can be engineered to fit into the limited resources of constrained environments, their Algorithmen können so konstruiert werden , in die begrenzten Ressourcen der stark eingeschränkten Umgebungen zu passen, ihre

performance may not be acceptable. Leistung kann nicht akzeptabel sein. For these reasons, NIST started a lightweight cryptography Aus diesen Gründen gestartet NIST eine leichte Kryptografie

project that was tasked with learning more about the issues and developing a strategy for the Projekt , das mit dem Lernen mehr über die Themen und die Entwicklung einer Strategie für die beauftragt wurde

standardization of lightweight cryptographic algorithms. Standardisierung von leichten Verschlüsselungsalgorithmen. This report provides an overview of the Dieser Bericht gibt einen Überblick über die

lightweight cryptography project at NIST, and describes plans for the standardization of leichte Kryptographie Projekt am NIST und beschreibt Pläne für die Standardisierung von

lightweight cryptographic algorithms. leichte Verschlüsselungsalgorithmen.

Constrained devices; Constrained - Geräte; lightweight cryptography; leichte Kryptographie; standardization Standardisierung

The authors would like to thank their NIST colleagues for providing valuable feedback during Die Autoren möchten ihre NIST Kollegen für die Bereitstellung wertvolles Feedback während danken

the development of this publication. die Entwicklung dieser Publikation.

There are several emerging areas in which highly constrained devices are interconnected, Es gibt einige neue Bereiche , in denen stark eingeschränkt Geräte miteinander verbunden sind,

working in concert to accomplish some task. im Konzert arbeiten einige Aufgabe zu erfüllen. Examples of these areas include: automotive Beispiele für diese Bereiche sind: Automobil

systems, sensor networks, healthcare, distributed control systems, the Internet of Things (IoT), Systeme, Sensornetze, Gesundheitswesen, verteilte Steuerungssysteme, das Internet der Dinge (IoT),

cyber-physical systems, and the smart grid. Cyber-Physical Systems, und das Smart Grid. Security and privacy can be very important in all of Sicherheit und Datenschutz kann sehr wichtig sein in allen

these areas. Diese Gebiete. Because the majority of modern cryptographic algorithms were designed for Da die Mehrheit der modernen kryptographischer Algorithmen wurden entwickelt für

desktop/server environments, many of these algorithms cannot be implemented in the Desktop / Server - Umgebungen, viele dieser Algorithmen können nicht in die umgesetzt werden

constrained devices used by these applications. gelegten Vorrichtungen durch diese Anwendungen eingesetzt. When current NIST-approved algorithms can be Wenn der Strom von NIST genehmigte Algorithmen können sein

engineered to fit into the limited resources of constrained environments, their performance may engineered in die begrenzten Ressourcen der stark eingeschränkten Umgebungen zu passen, kann ihre Leistung

not be acceptable. nicht akzeptabel. For these reasons, NIST started a lightweight cryptography project that was Aus diesen Gründen hatte die NIST ein Projekt leichte Kryptographie , die war

tasked with learning more about the issues and developing a strategy for the standardization of damit beauftragt, mehr über die Themen Lernen und eine Strategie für die Standardisierung der Entwicklungs

lightweight cryptographic algorithms. leichte Verschlüsselungsalgorithmen.

This report provides an overview of lightweight cryptography, summarizes the findings of the Dieser Bericht gibt einen Überblick über leichte Kryptographie, fasst die Ergebnisse der

NIST's lightweight cryptography project, and outlines NIST's plans for the standardization of NIST leichte Kryptographie Projekt und umreißt NIST Pläne für die Standardisierung von

lightweight primitives. leichte Primitiven. In particular, NIST has decided to create a portfolio of lightweight Insbesondere hat NIST entschieden , ein Portfolio von leichten zu schaffen

primitives through an open process similar to the selection of block cipher modes of operation. Primitive durch eine offene ähnliches Verfahren wie die Auswahl der Blockchiffre Betriebsarten.

Algorithms will be recommended for use only in the context of profiles, which describe physical, Algorithmen werden nur im Rahmen von Profilen für die Verwendung empfohlen werden, die physikalische beschreiben,

performance, and security characteristics. Leistung und Sicherheit Eigenschaften. These profiles are intended to capture cryptographic Diese Profile sollen Krypto zu erfassen

algorithm requirements imposed by devices and applications where lightweight cryptography is Algorithmus Anforderungen von Geräten und Anwendungen eingeführt , wo leichte Kryptographie

needed. erforderlich. NIST will develop profiles based on community responses to questions, included in this NIST werden Profile in diese basierend auf Community Antworten auf die Fragen, enthalten entwickeln

report, about application and device requirements for lightweight cryptography. berichten, über Anwendungs- und Geräteanforderungen für leichte Kryptographie.

The deployment of small computing devices such as RFID tags, industrial controllers, sensor Der Einsatz von kleinen EDV - Geräte wie RFID - Tags, Industriesteuerungen, Sensor

nodes and smart cards is becoming much more common. Knoten und Smartcards ist viel mehr üblich. The shift from desktop computers to Die Verlagerung von Desktop - Computern

small devices brings a wide range of new security and privacy concerns. kleine Geräte bringt eine breite Palette an neuen Sicherheits- und Datenschutzbedenken. It is challenging to Es ist eine Herausforderung an

apply conventional standards to small devices. herkömmliche Standards für kleine Geräte. In many conventional cryptographic standards, In vielen herkömmlichen Verschlüsselungsstandards,

the tradeoff between security, performance and resource requirements was optimized for desktop der Kompromiss zwischen Sicherheit, Leistung und Ressourcenbedarf wurde für Desktop - optimiert

and server environments, and this makes them difficult or impossible to implement in resource- und Server - Umgebungen, und das macht sie schwer oder gar nicht zu realisieren in ressourcen-

constrained devices. erzwungener Geräte. When they can be implemented, their performance may not be acceptable. Wenn sie umgesetzt werden können, können ihre Leistung nicht akzeptabel.

Lightweight cryptography is a subfield of cryptography that aims to provide solutions tailored Leichte Kryptographie ist ein Teilgebiet der Kryptographie , die Lösungen bieten soll zugeschnitten

for resource-constrained devices. für ressourcenbeschränkte Geräte. There has been a significant amount of work done by the Es hat getan , eine erhebliche Menge an Arbeit durch den

academic community related to lightweight cryptography; akademischen Gemeinschaft zu leichten Kryptographie im Zusammenhang; this includes efficient Dazu gehören effiziente

implementations of conventional cryptography standards, and the design and analysis of new Implementierungen von herkömmlichen Verschlüsselungsstandards, und das Design und die Analyse neuer

lightweight primitives and protocols. leichte Primitiven und Protokolle.

In 2013, NIST initiated a lightweight cryptography project to study the performance of the Im Jahr 2013 initiierte NIST eine leichte Kryptographie Projekt die Leistungsfähigkeit der Studie

current NIST-approved cryptographic standards on constrained devices and to understand the aktuelle NIST genehmigte Verschlüsselungsstandards auf begrenzten Geräten und zu verstehen , die

need for dedicated lightweight cryptography standards, and if the need is identified, to design a müssen für leichte Kryptographiestandards gewidmet und wenn der Bedarf festgestellt wird, zu entwerfen ein

transparent process for standardization. transparentes Verfahren für die Standardisierung. In 2015, NIST held the first Lightweight Cryptography Im Jahr 2015 hielt NIST die erste Leicht Cryptography

Workshop in Gaithersburg, MD, to get public feedback on the constraints and limitations of the Workshop in Gaithersburg, MD, öffentliche Feedback zu den Einschränkungen und Grenzen des zu bekommen

target devices, and requirements and characteristics of real-world applications of lightweight Zielgeräte und Anforderungen und Eigenschaften von realen Anwendungen von leichten

Recently, NIST has decided to create a portfolio of lightweight primitives through an open Vor kurzem hat NIST entschieden , ein Portfolio von leichten Primitiven durch eine offene erstellen

process similar to the selection of modes of operation of block ciphers [ Verfahren ähnlich der Auswahl der Betriebsmodi des Blockchiffren [ 48 ] . 48 ] . In this report, we In diesem Bericht haben wir

aim to summarize the finding of the lightweight cryptography project and outline NIST's plans Ziel ist die Feststellung des leichten Kryptographie Projekt zusammenzufassen und NIST Pläne umreißen

for the standardization of lightweight primitives. für die Standardisierung von leichten Primitiven. This report also includes a list of questions to Dieser Bericht enthält auch eine Liste von Fragen zu

the stakeholders of lightweight cryptography that will serve as the basis for determining die Akteure von leichten Kryptographie, die als Grundlage dienen für die Bestimmung

requirements. Anforderungen. Responses to the questions should be sent to lightweight-crypto@nist.gov with the Die Antworten auf die Fragen sollten geschickt werden mit der zu lightweight-crypto@nist.gov~~V

subject line “Responses to questions on lightweight crypto requirements” before October 1, Betreffzeile "Antworten auf Fragen zu leichten Krypto - Anforderungen" vor dem 1. Oktober

The remainder of this report is organized as follows. Der Rest dieses Berichts ist wie folgt aufgebaut . Sectio n 2 provides an overview of Sectio n 2 gibt einen Überblick über

lightweight cryptography, including metrics and developments. leichte Kryptographie, einschließlich Metriken und Entwicklungen. Section 3 provides information Abschnitt 3 liefert Informationen

about NIST's lightweight cryptography project, including the proposed path for the über leichte Kryptographieprojekt NIST, einschließlich der vorgeschlagenen Weg für die

standardization of lightweight algorithms, design considerations, and a profile template that will Standardisierung von leichten Algorithmen, Design - Überlegungen und eine Profilvorlage das wird

be used in the evaluation process. im Auswertungsverfahren verwendet werden.

Overview of Lightweight Cryptography Überblick über Leichtbau Cryptography

This section introduces various aspects of lightweight cryptography, including target devices, In diesem Abschnitt werden verschiedene Aspekte der leichten Kryptographie, einschließlich Zielgeräten,

performance metrics, applications and dedicated designs. Performance - Metriken, Anwendungen und spezielle Designs.

Lightweight cryptography targets a wide variety of devices that can be implemented on a broad Leichtbau Kryptografie zielt auf eine Vielzahl von Geräten , die auf einem breiten implementiert werden kann

spectrum of hardware and software. Spektrum von Hardware und Software. On the high end of the device spectrum are servers and Am oberen Ende der Vorrichtung Spektrums Server und

desktop computers followed by tablets and smartphones. Desktop - Computer von Tablets und Smartphones gefolgt. Conventional cryptographic algorithms Herkömmliche Verschlüsselungsalgorithmen

may perform well in these devices; gut in diesen Geräten können; therefore, these platforms may not require lightweight Daher können diese Plattformen nicht leichte erfordern

algorithms. Algorithmen. Finally, on the lower end of the spectrum are devices such as embedded systems, Schließlich, am unteren Ende des Spektrums sind Vorrichtungen , wie beispielsweise eingebettete Systeme,

RFID devices and sensor networks. RFID - Geräte und Sensornetzwerke. Lightweight cryptography is primarily focused on the highly Leichte Kryptographie ist in erster Linie konzentrierte sich auf die hoch

constrained devices that can be found in the lower end of this spectrum. gelegten Vorrichtungen , die in dem unteren Ende des Spektrums zu finden sind.

Microcontrollers are available with a wide array of performance attributes. Mikrocontroller sind mit einer Vielzahl von Leistungsmerkmalen zur Verfügung. Although 8-bit, 16-bit Obwohl 8-bit, 16-bit

and 32-bit microcontrollers are the most common, there are significant sales of 4-bit und 32-Bit - Mikrocontroller sind die häufigsten, gibt es erhebliche Umsatz von 4-Bit

microcontrollers for certain ultra-low cost applications. Mikrocontroller für bestimmte Ultra-Low - Cost - Anwendungen. A wide variety of instruction sets exist, Eine Vielzahl von Befehlssätzen vorhanden ist ,

typically only simple instructions are supported, and the number of instructions is often very typischerweise nur einfache Befehle unterstützt werden , und die Anzahl der Befehle ist oft sehr

limited. begrenzt. This may result in a high number of cycles to execute common cryptographic Dies kann in einer hohen Anzahl von Zyklen führen gemeinsame Verschlüsselungs auszuführen

algorithms, which may make them too slow or energy-consuming for the intended application. Algorithmen, die sie zu langsam oder energieaufwendig für die beabsichtigte Anwendung machen kann.

This is particularly a problem when it is necessary to satisfy real-time constraints using a limited Dies ist insbesondere dann ein Problem , wenn es notwendig ist , Echtzeitbedingungen zu erfüllen unter Verwendung eines begrenzten

For some microcontrollers, the amount of RAM and ROM can be extremely limited. Für einige Mikrocontroller, kann die Menge an RAM und ROM extrem begrenzt. For Für

example, the TI COP912C [ Beispiel der TI COP912C [ 62 62 ] has 64 bytes of RAM, and the NXP RS08 [ 52 ] can have as little ] Hat 64 Bytes RAM und der NXP RS08 [ 52 ] kann so wenig haben

as 63 bytes of RAM. als 63 Byte RAM. The Microchip PIC10/12/16 microcontrollers [ Der Microchip PIC10 / 12/16 - Mikrocontroller [ 45 45 ] exist in many variants ] Gibt es in vielen Varianten

with 64 bytes of RAM and less, going down to as little as 16 bytes of RAM. mit 64 Byte RAM und weniger, gehen so wenig wie 16 Byte RAM nach unten.

On the bottom of the spectrum there are RFID and sensor networks, which are often realized in Auf der Unterseite des Spektrums gibt es RFID und Sensornetzwerke, die in oft realisiert

hardware (ASIC) in order to satisfy some of the most stringent implementation constraints. Hardware (ASIC), um einige der strengsten Umsetzung Einschränkungen zu erfüllen. Of Von

particular interest are UHF RFID tags, for example using the widely deployed EPCGlobal Gen2 Besonders interessant sind UHF - RFID - Tags, zum Beispiel die weit verbreitete EPCGlobal Gen2 mit

[ [ 22 22 ] and ISO/IEC 18000-63 [ 39 ] Und ISO / IEC 18.000 bis 63 [ 39 ] standards. ] Standards.

For RFID tags that are not battery-powered, only a limited amount of power is available from the Für RFID - Tags , die nicht batteriebetrieben sind, wird nur eine begrenzte Menge an Energie von der zur Verfügung

environment. Umwelt. Such devices require cryptographic algorithms that are not only implemented with Solche Vorrichtungen erfordern Kryptographiealgorithmen , die nicht nur durchgeführt werden

a very small amount of gate equivalents (GEs), but must meet stringent timing and power eine sehr kleine Menge von Gate - Äquivalenten (GES), aber müssen strenge Timing und Leistung erfüllen

Figure 1 Device Spectrum Abbildung 1 Gerätespektrum

requirements as well. Wünsche. A study of the constraints of such devices for cryptographic applications Eine Studie der Einschränkungen solcher Vorrichtungen für kryptographische Anwendungen

was performed in [ in wurde durchgeführt [ 57 ] . 57 ] .

Lightweight algorithms may be subject to various other constraints, a topic that will be explored Leichte Algorithmen können auf verschiedene andere Beschränkungen unterliegen, ein Thema , das untersucht werden

during the first phase of the standardization effort. während der ersten Phase des Standardisierungsbemühungen. The aforementioned examples are therefore Die vorgenannten Beispiele sind deswegen

not intended to be exhaustive list, but to illustrate settings where conventional algorithms cannot nicht abschließende Aufzählung zu verstehen sein, aber die Einstellungen zu veranschaulichen , wo herkömmliche Algorithmen können nicht

be implemented, in order to understand the need for lightweight alternatives. umgesetzt werden, um die Notwendigkeit für leichte Alternativen zu verstehen.

In cryptographic algorithm design, there is a tradeoff between the performance and the resources In Kryptografiealgorithmus Design, gibt es einen Kompromiss zwischen der Leistung und den Ressourcen

required for a given security level. für eine bestimmte Sicherheitsstufe erforderlich. Performance can be expressed in terms such as power and Die Leistung kann in Begriffen wie Macht ausgedrückt werden und

energy consumption, latency, and throughput. Energieverbrauch, Latenzzeit und Durchsatz. The resources required for a hardware Die Mittel für eine Hardware erforderlich

implementation are usually summarized in gate area, gate equivalents, or slices. Implementierung werden in der Regel in Gate - Bereich, Gatteräquivalenten oder Scheiben zusammengefasst. In software this In der Software dieser

is reflected in register, RAM and ROM usage. wird im Register, RAM und ROM Nutzung wider. Resource requirements are sometimes referred to Ressourcenbedarf werden manchmal bezeichnet

as costs, as adding more gates or memory tends to increase the production cost of a device. die Kosten, da mehr Tore oder Hinzufügen von Speicher dazu neigt , die Herstellungskosten der Vorrichtung zu erhöhen.

Power and energy consumption are relevant metrics due to the nature of many constrained Strom- und Energieverbrauch relevant Metriken aufgrund der Natur vieler eingeschränkt

devices. Geräte. Power may be of particular importance in devices that harvest power from their Leistung kann in Vorrichtungen von besonderer Bedeutung sein , die Energie aus ihrer Ernte

surroundings. Umgebung. An example would be an RFID chip that uses the electromagnetic field transmitted Ein Beispiel dafür wäre ein RFID - Chip sein, der das elektromagnetische Feld verwendet übertragen

by a reader to power its internal circuit. von einem Lesegerät seine interne Schaltung zu versorgen. Energy consumption (ie, power consumption over a Energieverbrauch (dh Energieverbrauch über eine

certain time period) is especially important in battery-operated devices that have a fixed amount bestimmten Zeitraum) ist besonders wichtig bei batteriebetriebenen Geräten , die einen festen Betrag haben

of stored energy. der gespeicherten Energie. The batteries in some devices may be difficult or impossible to recharge or Die Batterien in einigen Geräten kann es schwierig oder unmöglich sein , zu laden oder

replace once deployed. ersetzen einmal im Einsatz. It should also be noted that power consumption depends on many factors, Es sollte auch angemerkt werden , dass der Energieverbrauch von vielen Faktoren abhängt,

such as the threshold voltage, the clock frequency and the technology used for implementation. die Taktfrequenz und die Technologie für die Implementierung wie die Schwellenspannung ist , verwendet.

Latency is especially relevant for certain real-time applications, for example automotive Latenz ist besonders relevant für bestimmte Echtzeit - Anwendungen, beispielsweise Automobil

applications where very fast response times for components such as steering, airbags or brakes Anwendungen , bei denen sehr schnelle Reaktionszeiten für Komponenten wie Lenkung, Bremsen oder Airbags

are required. sind erforderlich. It can be defined as the measure of time between initial request of an operation and Es kann als das Maß der Zeit zwischen dem anfänglichen Anforderung einer Operation definiert werden und

producing the output. Herstellung des Ausgangs. For example, the latency of an encryption operation is the time between Zum Beispiel ist die Latenz einer Verschlüsselungsoperation die Zeit zwischen

the initial request for encryption of a plaintext and the reply that returns the corresponding die ursprüngliche Anforderung für die Verschlüsselung eines Klar- und die Antwort, die die entsprechenden zurückgibt

Throughput is the rate at which new outputs (eg, authentication tags or ciphertext) are Der Durchsatz ist die Geschwindigkeit , mit der neue Ausgaben (zB Authentifizierung Tags oder Chiffretext) sind

produced. hergestellt. Unlike conventional primitives, high throughput may not be a design goal in Im Gegensatz zu herkömmlichen Primitiven werden, darf nicht mit hohem Durchsatz Ziel ein Design - in

lightweight designs. Leichtbau. However, moderate throughput is still required in most applications. Allerdings wird mit einem moderaten Durchsatz noch in den meisten Anwendungen erforderlich ist .

Hardware-Specific Metrics Hardwarespezifische Metrics

Resource requirements for hardware platforms are typically described in terms of gate area. Ressourcenanforderungen für Hardware - Plattformen werden typischerweise in Bezug auf die Gate - Bereich beschrieben. The Das

area of an implementation depends on the technology and the standard cell library, and is Bereich einer Implementierung hängt von der Technologie und der Standardzellenbibliothek und ist

. . Area can be stated in terms of slices for FPGAs, or by gate equivalents (GEs) Die Umgebung kann in Form von Scheiben für FPGAs angegeben werden oder durch Gatteräquivalenten (GES)

for ASIC implementation. für ASIC - Implementierung.

On FPGAs, a slice is the basic reconfigurable unit, that contains a number of look-up tables Auf FPGAs, ist ein Stück der Grund rekonfigurierbare Einheit, die eine Reihe von Look-up - Tabellen enthält

(LUTs), flip-flops and multiplexers. (LUTs), Flip-Flops und Multiplexer. Slices are implemented differently on different FPGAs. Scheiben sind unterschiedlich auf verschiedene FPGAs implementiert. The Das

number of LUTs, flip-flops and multiplexers depends on the FPGA family, as well as the number Anzahl von LUTs, Flip-Flops und Multiplexer hängt von der FPGA - Familie, sowie der Zahl

of input and output bits of the LUTs. der Eingangs- und Ausgangsbits des LUTs.

For ASICs, one GE is equivalent to the area that is required by the two-input NAND gate. Für ASICs, ist eine GE auf den Bereich äquivalent, der von den zwei Eingängen NAND - Gatter erforderlich. The Das

area in GE is obtained by dividing the area in µm Bereich in GE wird durch Teilen der Fläche in & mgr; m erhalten

by the area of the NAND gate. durch die Fläche des NAND - Gatters. The number of Die Anzahl der

GEs of a hardware implementation is therefore very specific to a particular technology, so that it GEs einer Hardware - Implementierung ist daher sehr spezifisch für eine bestimmte Technologie, so dass es

is not possible to directly compare the number of GEs of implementations across different nicht möglich ist , direkt die Anzahl der GEs von Implementierungen in unterschiedlichen vergleichen ,

A low-cost RFID tag may have a total gate count of 1,000-10,000 gates, out of which only 200- Eine kostengünstige RFID - Tag kann eine Gesamtgatterzahl von 1.000-10.000 Tore, von denen nur 200-

2,000 may be used for security purposes [ 2000 kann für Sicherheitszwecke verwendet werden [ 41 41 ]. ]. Area requirements and power consumption can be Flächenbedarf und Stromverbrauch kann

correlated, in which case minimizing area also tends to reduce the power consumption. korreliert, wobei in diesem Fall die Minimierung Bereich neigt auch dazu , den Stromverbrauch zu reduzieren.

Software-Specific Metrics Software-spezifische Metriken

For software applications, resource requirements can be measured by the number of registers, as Für Softwareanwendungen können Ressourcenanforderungen durch die Anzahl der Register gemessen werden, wie

well as the number of bytes of RAM and ROM that are required. und die Anzahl von Bytes von RAM und ROM , die erforderlich sind. Functions that use a small Funktionen , die eine kleine verwenden

number of registers have a lower calling overhead, as fewer variables must be placed on the Anzahl der Register haben eine niedrigere Overhead - Aufruf, wie müssen weniger Variablen auf die gesetzt werden

stack before the registers can be overwritten. stapeln , bevor die Register überschrieben werden. ROM is used to store the program code, and can ROM wird verwendet , um den Programmcode zu speichern und können

include fixed data, such as S-boxes or hardcoded round keys, while RAM is used to store sind feste Daten, wie zum Beispiel S-Boxen oder hartcodierte runden Tasten, während RAM zu speichern , verwendet wird ,

intermediate values that can be used in computations. Zwischenwerte , die in Berechnungen verwendet werden können. This can lead to additional tradeoffs Dies kann zu weiteren Kompromissen führen

between calculating values on the fly versus looking up values in a table. zwischen den Werten on the fly im Vergleich zu der oben schaut Werte in einer Tabelle zu berechnen.

Lightweight Cryptographic Primitives Leichte Cryptographic Primitives

Over the last decade, a number of lightweight crypto primitives (including block ciphers, hash Im letzten Jahrzehnt eine Reihe von leichten Krypto - Primitiven (einschließlich Blockchiffren, Hash

functions, message authentication codes and stream ciphers) have been proposed to bring Funktionen, Nachrichtenauthentifizierungscodes und Stromchiffren) wurden zu bringen vorgeschlagen

performance advantages over conventional cryptographic standards. Leistungsvorteile gegenüber herkömmlichen Verschlüsselungsstandards. These primitives differ from Diese unterscheiden sich von Primitiven

conventional algorithms with the assumptions that lightweight primitives are not intended for a herkömmliche Algorithmen mit den Annahmen , dass leichte Primitive sind nicht für eine beabsichtigte

wide range of applications, and may impose limits on the power of the attacker. breite Palette von Anwendungen, und verhängen können Grenzen für die Kraft des Angreifers. For example, the Beispielsweise die

amount of data available to the attacker under a single key may be limited. Menge der verfügbaren Daten an den Angreifer unter einer einzigen Taste kann begrenzt werden. However, it should be Jedoch sollte es sein ,

noted that this does not mean that the lightweight algorithms are weak – rather the idea is to use stellte fest , dass dies nicht bedeutet , dass die leichten Algorithmen schwach sind - eher die Idee zu verwenden ,

advancements to result in designs with a better balance between security, performance, and Fortschritte in der Ausführung mit einem besseren Gleichgewicht zu führen zwischen Sicherheit, Leistung und

resource requirements for specific resource-constrained environments. Ressourcenanforderungen für spezifische ressourcenbeschränkte Umgebungen.

Lightweight Block Ciphers Leichte Blockchiffren

A number of lightweight block ciphers have been proposed to achieve performance advantages Eine Reihe von leichten Blockchiffren wurden zu erreichen Leistungsvorteile vorgeschlagen

over NIST's Advanced Encryption Standard (AES)[ über NIST Advanced Encryption Standard (AES) [ 63 63 ], particularly AES-128. ], Insbesondere AES-128. Some of these Einige davon

ciphers were designed by simplifying conventional, well-analyzed block ciphers to improve their Chiffren wurden durch die Vereinfachung der herkömmlichen entworfen, gut analysiert Blockchiffren ihre zu verbessern

efficiency. Effizienz. As an example, DESL [ Als Beispiel DESL [ 42 42 ] is a variant of DES, where the round function uses a ] Ist eine Variante des DES, wo die Rundungsfunktion eine nutzt

single S-box instead of eight and omits the initial and final permutations to improve the size of einzelne S-Box anstelle von acht und lässt die erste und letzte Permutationen die Größe zu verbessern

the hardware implementation. die Hardware - Implementierung. Alternatively, some of the algorithms are dedicated block ciphers Alternativ sind einige der Algorithmen dedizierten Blockchiffren

that were designed from scratch. dass wurden von Grund auf neu gestaltet. PRESENT [ GESCHENK [ 8 8 ] is one of the first lightweight block cipher ] Ist einer der ersten, leichten Blockchiffre

designs that was proposed for constrained hardware environments. Entwürfe , die für eingeschränkte Hardware vorgeschlagen Umgebungen wurde. SIMON and SPECK [ SIMON und SPECK [ 6 ] are 6 ] sind

families of lightweight block ciphers that were designed to be simple, flexible, and perform well Familien aus leichtem Blockchiffren, die als gut einfach, flexibel und durchführen entworfen wurden

in hardware and software. in Hard- und Software. There are also algorithms from 1990s such as RC5 [ Es gibt Algorithmen auch aus der 1990er Jahre wie RC5 [ 56 56 ], TEA [ 68 ] and ], TEA [ 68 ] und

XTEA [ XTEA [ 51 51 ], which consist of simple round structures that make them suitable for constrained ], Die aus einfachen runden Strukturen bestehen, die sie geeignet für eingeschränkte machen

software environments. Software - Umgebungen. A non-exhaustive list of lightweight block ciphers is provided in [ 67 ] . Eine nicht erschöpfende Liste von leichten Blockchiffren in bereitgestellt [ 67 ] .

The performance benefits of lightweight block ciphers over conventional block ciphers are Die Performance - Vorteile von leichten Blockchiffren gegenüber herkömmlichen Blockchiffren sind

achieved using lightweight design choices, such as: mit leichten Design - Entscheidungen erreicht, wie zum Beispiel:

- Smaller block sizes: To save memory, lightweight block ciphers may use smaller block - Kleinere Blockgrößen: Um Speicherplatz zu sparen, leichte Blockchiffren verwenden kleinere Block

sizes than AES (eg, 64 or 80 bits, rather than 128). Größen als AES (zB 64 oder 80 Bits, statt 128). It should also be noted that using Es sollte auch , dass die Verwendung zu beachten ,

small block sizes reduces limits on the length of the plaintexts to be encrypted. kleinen Blockgrößen reduziert Grenzen für die Länge der Klartexte verschlüsselt werden. For Für

example, outputs of a 64-bit block cipher can be distinguished from a random sequence Beispiel Ausgänge eines 64-Bit - Blockchiffre aus einer Zufallssequenz unterschieden werden

blocks for some of the approved modes of operations. Blöcke für einige der zugelassenen Betriebsarten. Depending on the Abhängig von

algorithm, this may lead to plaintext recovery, key recovery or authentication tag Algorithmus, kann dies zu Klartextrückgewinnung, die Schlüsselwiederherstellung oder Authentifizierung Tag führen

forgeries with non-negligible probabilities. Fälschungen mit nicht zu vernachlässigenden Wahrscheinlichkeiten.

- Smaller key sizes: Some lightweight block ciphers use small key sizes (less than 96 bits) - Kleinere Schlüsselgrößen: Einige leichte Blockchiffren verwenden kleine Schlüsselgrößen (weniger als 96 Bit)

for efficiency (eg, 80-bit PRESENT). Effizienz (zB 80-Bit vorhanden ist ). At the time of this writing, the minimum key size Zum Zeitpunkt des Schreibens dieses Artikels, die Mindestschlüsselgröße

required by NIST is 112 bits [ erforderlich durch NIST ist 112 Bits [ 4 ] . 4 ] .

- Simpler rounds: The components and operations used in lightweight block ciphers are - Einfachere Runden: Die Komponenten und Vorgänge im Leichtbau Blockchiffren verwendet werden ,

typically simpler than those of conventional block ciphers. typischerweise einfacher als jene von herkömmlichen Blockchiffren. In lightweight designs using In Leichtbauweise mit

S-boxes, 4-bit S-boxes are preferred over 8-bit S-boxes. S-Boxen, 4-Bit - S-Boxen sind bevorzugt über 8-Bit - S-Boxen. This reduction in size results in Diese Verringerung der Größe führt zu

significant area savings. erhebliche Flächeneinsparung. For example, the 4-bit S-box used in PRESENT required 28GEs, Zum Beispiel benötigt der 4-Bit - S-Box in der Gegenwart verwendet 28GEs,

whereas AES S-box required 395 GEs in [ während AES S-Box erforderlich 395 GEs in [ 20 20 ]. ]. For hardware-oriented designs, bit Für Hardware-orientierten Designs, Bit

permutations (such as those used in PRESENT), or recursive MDS matrices (as in Permutationen (wie sie in derzeit verwendeten) oder rekursive MDS - Matrizen (wie in

PHOTON [ PHOTON [ 23 23 ] and LED [ 24 ] Und LED [ 24 ]) may be preferred over complex linear layers. ]) Können über komplexe lineare Schichten bevorzugt werden. When rounds Wenn Runden

are simpler, they may need to be iterated more times to achieve security. sind einfacher, können sie brauchen , um mehrmals wiederholt werden , um Sicherheit zu erreichen.

- Simpler key schedules: Complex key schedules increase the memory, latency and the - Einfachere Schlüsselpläne: Komplexe Schlüsselpläne erhöhen die Speicher - Latenz und die

power consumption of implementations; Stromverbrauch von Implementierungen; therefore, most of the lightweight block ciphers Daher werden die meisten der leichten Blockchiffren

use simple key schedules that can generate sub-keys on the fly. verwenden einfache Schlüssel Pläne , die Unterschlüssel on the fly generieren können. This may enable attacks Dies kann Angriffe ermöglichen

using related keys, weak keys, known keys or even chosen keys. mit bezogene Schlüssel, schwache Schlüssel, bekannt Tasten oder sogar gewählte Schlüssel. When this is the case, it Wenn dies der Fall ist , es

is necessary to ensure that all keys are generated independently using a secure key um sicherzustellen , ist erforderlich , dass alle werden einen sicheren Schlüssel unabhängig Schlüssel erzeugt mit

derivation function (KDF) [ Ableitungsfunktion (KDF) [ 10 , 11 , 14 , 60 ] . 10 , 11 , 14 , 60 ] .

Lightweight Hash Functions Leichte Hash - Funktionen

Conventional hash functions may not be suitable for constrained environments, mainly due to Herkömmliche Hash - Funktionen können nicht für Umgebungen mit beschränktem geeignet sein, vor allem wegen

their large internal state sizes and high power consumption requirements. ihrer großen inneren Zustand Größen und hohe Stromverbrauchsanforderungen. This has led to the Dies hat zu der LED

development of lightweight hash functions, such as PHOTON [ Entwicklung leichter Hash - Funktionen, wie beispielsweise PHOTON [ 23 23 ], Quark [ 2 ], Quark [ 2 ] SPONGENT [ 7 ] , ] SPONGENT [ 7 ] ,

and Lesamnta-LW [ und Lesamnta-LW [ 26 26 ]. ]. The expected usage of conventional and lightweight hash functions Die erwartete Nutzung von konventionellen und leichten Hash-Funktionen

differs in various aspects such as [ unterscheidet sich in verschiedenen Aspekten , wie beispielsweise [ 54 ] : 54 ] :

- Smaller internal state and output sizes: Large output sizes are important for applications - Kleinere interne Zustand und Ausgangsgrößen: Große Ausgabegrößen sind wichtig für Anwendungen

that require collision resistance of hash functions. die erfordern Kollisionsresistenz von Hash - Funktionen. For applications that do not require Für Anwendungen , die erfordern keine

collision resistance, smaller internal and output sizes might be used. Kollision Widerstand, kleinere interne und Ausgangsgrößen verwendet werden könnten. When a collision- Wenn ein kollisions

resistant hash function is required, it may be acceptable that this hash function has the beständige Hashfunktion erforderlich ist, kann es akzeptabel sein , dass diese Hash - Funktion hat die

same security against preimage, second-preimage and collision attacks. gleiche Sicherheit gegen Urbild, Second-Urbild und Kollisionsangriffe. This may reduce Dies kann zu reduzieren

the size of the internal state. die Größe des internen Zustands.

- Smaller message size: Conventional hash functions are expected to support inputs with - Kleinere Nachrichtengröße: Herkömmliche Hash - Funktionen werden voraussichtlich Eingänge unterstützen mit

very large sizes (around 2 sehr große Größen (etwa 2

bits). Bits). In most of the target protocols for lightweight hash In den meisten der Ziel Protokolle für leichte hash

functions, typical input sizes are much smaller (eg, at most 256 bits). Funktionen sind typische Eingangsgrößen viel kleiner (beispielsweise höchstens 256 Bits). Hash functions Hash - Funktionen

that are optimized for short messages may therefore be more suitable for lightweight dass deshalb kann für kurze Nachrichten optimiert sind besser geeignet für den Leichtbau

Lightweight Message Authentication Codes Leichte Message Authentication Codes

A message authentication code (MAC) generates a tag from a message and a secret key, which is Ein Message Authentication Code (MAC) ein Tag aus einer Nachricht und einem geheimen Schlüssel, das ist

used to verify the authenticity of the message. verwendet , um die Authentizität der Nachricht zu überprüfen. Tag sizes are recommended to be at least 64 bits Tag Größen werden empfohlen , mindestens 64 Bit zu sein

for typical applications. für typische Anwendungen. For certain applications such as VoIP (Voice over IP), occasionally Für bestimmte Anwendungen wie VoIP (Voice over IP), gelegentlich

accepting an inauthentic message may have limited impact on the security of the application, so kann nur begrenzte Auswirkungen eine unecht Nachricht akzeptieren auf die Sicherheit der Anwendung, so

that shorter tags can be used after careful consideration. dass kürzere Tags können nach sorgfältiger Abwägung eingesetzt werden. Chaskey [ Chaskey [ 47 47 ], TuLP [ 21 ], Tulp [ 21 ], and ], und

LightMAC [ LightMAC [ 43 43 ] are some of the examples of lightweight MAC algorithms. ] Sind einige der Beispiele für Leichtbau MAC-Algorithmen.

Lightweight Stream ciphers Leichte Stromchiffren

Stream ciphers are also promising primitives for constrained environments. Stromchiffren sind ebenfalls vielversprechende Primitiven für Umgebungen mit beschränktem. The eSTREAM Die eSTREAM

competition [ Wettbewerb [ 19 19 ], organized by the European Network of Excellence for Cryptology, aimed to ], Die von der Europäischen Exzellenznetzwerk für Kryptologie organisiert, richtet zu

identify new stream ciphers that might be suitable for widespread adoption. Identifizierung neuer Stromchiffren , die für die weit verbreitete Annahme geeignet sein könnten. The finalists of the Die Finalisten des

competition were announced in 2008 and included three stream ciphers for hardware applications Wettbewerb wurden im Jahr 2008 und umfasste drei Stromchiffren für Hardware - Anwendungen angekündigt

with restricted resources: mit eingeschränkten Ressourcen:

- Grain [ 25 ] is widely analyzed and provides implementation flexibility, and also has a - Getreide [ 25 ] wird allgemein analysiert und liefert die Umsetzung Flexibilität, und hat auch eine

version that supports authentication. Version , die Authentifizierung unterstützt.

- Trivium [ 15 ] is a widely analyzed, elegant and flexible design; - Trivium [ 15 ] ist eine weit analysiert, elegant und flexibles Design; however, it only supports jedoch nur unterstützt

- Mickey [ 3 ] is less analyzed compared to Grain and Trivium, and its security mostly - Mickey [ 3 ] ist weniger analysiert im Vergleich zu Getreide und Trivium, und seine Sicherheit meist

depends on the hardness of analysis. ist abhängig von der Härte der Analyse. It provides less implementation flexibility and Es bietet weniger Flexibilität und Implementierung

susceptible to timing and power analysis, due to irregular clocking. anfällig für Timing und Power - Analyse, aufgrund unregelmäßiger Taktung.

NIST-Approved Cryptographic Primitives in Constrained Environments NIST genehmigte kryptographischer Primitive in Umgebungen mit beschränktem

This section discusses the performance of NIST-approved cryptographic standards in resource- In diesem Abschnitt wird die Leistung von NIST genehmigte Verschlüsselungsstandards in ressourcen-

constrained environments. Umgebungen mit beschränktem.

- Block ciphers: There are two NIST-approved block cipher algorithms; - Blockchiffren: Es gibt zwei NIST genehmigte Blockverschlüsselungsalgorithmen; AES and Triple AES und Triple

The AES family of block ciphers includes three variants AES-128, Die AES - Familie von Blockchiffren umfasst drei Varianten AES-128,

AES-192, and AES-256 that support key sizes of 128, 192 and 256 bits, respectively. AES-192 und AES-256 , die Schlüsselgrößen von 128, 192 und 256 Bit unterstützen, beziehungsweise. All Alle

AES variants operate have a block size of 128 bits. AES - Varianten arbeiten mit einer Blockgröße von 128 Bit aufweisen. For lightweight cryptography Für leichte Kryptographie

purposes, the most suitable variant of the family is AES-128, due to the number of rounds das am besten geeignete Variante der Familie Zwecke ist AES-128, durch die Anzahl der Runden

and size of the key schedule. und die Größe des Schlüsselplan. Existing compact implementations of AES-128 require Bestehende kompakte Implementierungen von AES-128 erfordern

2090 GEs [ 2090 GEs [ 44 44 ] to 2400 GEs [ 46 ] Bis 2400 GEs [ 46 ]. ]. AES is mainly designed for software applications. AES ist vor allem für Software-Anwendungen.

Using 8-bit AVR microcontrollers, encryption has been achieved in cycles per byte 124.6 Bei Verwendung von 8-Bit - AVR - Mikrocontroller, Verschlüsselung ist in Zyklen pro Byte 124,6 erreicht

and decryption in 181.3 cycles per byte, with a code size less than 2 Kbyte [ und Entschlüsselung in 181,3 Zyklen pro Byte, mit einer Codegröße von weniger als 2 Kbyte [ 53 53 ]. ]. AES AES

performs very well on certain 8-bit microcontrollers, making it a good choice for those führt sehr gut auf bestimmte 8-Bit - Mikrocontroller, hat es eine gute Wahl für diejenigen,

platforms. Plattformen. Both encryption and decryption operations in block ciphers such as AES and Beide Ver- und Entschlüsselungsvorgänge in Blockchiffren wie AES und

Triple-DES cannot be implemented on a Renesas RL78 16-bit microcontroller [ Triple-DES kann nicht auf einem Renesas RL78 16-Bit - Mikrocontroller [implementiert werden 55 55 ] when ] wann

the amount of ROM is limited to 512 bytes and RAM is limited to 128 bytes [ die Menge des ROM ist auf 512 Bytes beschränkt und RAM ist auf 128 Bytes begrenzt [ 13 13 ]. ]. For Für

applications where the performance of AES is acceptable, AES should be used for wo Anwendungen die Leistung von AES akzeptabel ist, sollte AES verwendet werden für

- Hash functions: NIST-approved hash functions are specified in two FIPS standards: - Hash - Funktionen: NIST genehmigte Hash - Funktionen sind in zwei FIPS - Standards festgelegt:

FIPS 180-4 [ 65 FIPS 180-4 [ 65 ] specifies SHA-1, ] Gibt SHA-1,

the SHA-2 family (namely, SHA-224, SHA-256, der SHA-2 - Familie (nämlich, SHA-224, SHA-256,

SHA-384, SHA-512, SHA-512-224 and SHA-512/256) and FIPS 202 [ SHA-384, SHA-512, SHA-512-224 und SHA-512/256) und FIPS 202 [ 66 66 ] specifies the ] Gibt die

permutation-based SHA-3 family (namely, SHA3-224, SHA3-256, SHA3-384, and Permutation-basierte SHA-3 - Familie (nämlich SHA3-224, SHA3-256, SHA3-384 und

SHA3-512). SHA3-512). None of these approved hash functions are suitable for use in very Keine dieser zugelassenen Hash - Funktionen sind für den Einsatz in sehr

constrained environments, mainly due their large internal-state size requirements. Umgebungen mit , vor allem wegen ihrer großen inneren Zustandsgröße Anforderungen.

Ideguchi et al. Ideguchi et al. [ [ 27 27 ] studied the RAM requirements of SHA-256, SHA-512 and various ] Untersuchten die RAM-Anforderungen von SHA-256, SHA-512 und verschiedene

SHA-3 candidates on low-cost 8-bit microcontrollers, and found that none of the NIST- SHA-3 - Kandidaten auf Low-Cost - 8-Bit - Mikrocontroller, und stellte fest , dass keine der NIST

approved hash functions could be implemented within 64 bytes of RAM. zugelassenen Hash - Funktionen innerhalb 64 Byte RAM implementiert werden. The internal Die interne

state size for the SHA-3 family is mainly determined by the width of the underlying Zustandsgröße für die Familie SHA-3 wird hauptsächlich durch die Breite des zugrunde liegenden bestimmt

1600-bit permutation. 1600-Bit - Permutation. FIPS 202 additionally defines smaller-sized permutations with FIPS 202 definiert zusätzlich kleinere Permutationen mit

sizes 25, 50, 100, 200, 400, and 800; Größen 25, 50, 100, 200, 400 und 800; some of these variants may later be used to define einige dieser Varianten später verwendet werden können , zu definieren ,

lightweight variants of SHA-3, however currently these smaller variants are not approved leichte Varianten von SHA-3, aber derzeit diese kleineren Varianten sind nicht zugelassen

for use in hash functions. für den Einsatz in Hash - Funktionen.

- Authenticated Encryption and MACs: Authenticated encryption provides performance - Authentifizierte Verschlüsselung und MACs: authentifizierte Verschlüsselung bietet Leistung

and resource requirement advantages, because it simultaneously provides confidentiality und Vorteile Ressourcenbedarf, denn es bietet gleichzeitig Vertraulichkeit

and integrity protection of messages. und Schutz der Integrität von Nachrichten. NIST approves the CCM [ NIST genehmigt den CCM [ 16 16 ] and GCM [ 18 ] Und GCM [ 18 ] block ] Block

cipher modes that provide authentication and encryption simultaneously. Chiffre - Modi , die gleichzeitig die Authentifizierung und Verschlüsselung zur Verfügung stellen. NIST also NIST auch

approves standalone MACs, CMAC [ genehmigt Standalone - MACs, CMAC [ 17 17 ], GMAC [ 18 ], GMAC [ 18 ], and HMAC [ 64 ] Und HMAC [ 64 ], to be used for ], Um verwendet werden für

generating and verifying message authentication. Erzeugen und Nachrichtenauthentifizierung zu überprüfen.

Lightweight Cryptography Standards Leichte Cryptography Standards

ISO/IEC 29192, Lightweight Cryptography , is a six-part standard that specifies lightweight ISO / IEC 29192, leicht Cryptography, ist ein sechsteilige Standard, der leicht spezifiziert

A third block cipher, Skipjack, is only approved for legacy-use decryption. Ein dritter Block - Chiffre, Bonito, ist nur für Legacy-Anwendung Entschlüsselung genehmigt. See [SP800-131A] for more information. Siehe [SP800-131A] für weitere Informationen.

SHA-1 is not approved for all common uses of a hash function. SHA-1 ist nicht für alle gängigen Anwendungen einer Hash - Funktion freigegeben. See [4] for further details. [4] Siehe für weitere Details.

cryptographic algorithms for confidentiality, authentication, identification, non-repudiation, and Verschlüsselungsalgorithmen für die Vertraulichkeit, Authentifizierung, Identifizierung, Nachweisbarkeit und

key exchange. Schlüsselaustausch. Part 1 [ Teil 1 [ 28 ] includes general information such as security, classification and 28 ] enthält allgemeine Informationen wie Sicherheit, Klassifizierung und Bewertung

implementation requirements. Anforderungen für die Umsetzung. Part 2 specifies the block ciphers PRESENT and CLEFIA [ Teil 2 gibt den Blockchiffren PRESENT und CLEFIA [ 29 ] . 29 ] .

Part 3 specifies the stream ciphers Enocoro and Trivium [ISO29192-3]. Teil 3 gibt die Stromchiffren Enocoro und Trivium [ISO29192-3]. Part 4 specifies three Teil 4 gibt drei

asymmetric techniques namely ( i ) identification scheme cryptoGPS, ( ii ) authentication and key nämlich asymmetrische Techniken (i) Identifikationsschema cryptoGPS, (ii) die Authentifizierung und Schlüssel

exchange mechanism ALIKE, and ( iii ) ID-based signature scheme IBS [ Austauschmechanismus ALIKE, und (iii) ID-basierten Signaturschema IBS [ 30 30 ]. ]. Part 5 specifies Teil 5 legt fest,

three hash functions: PHOTON, SPONGENT, and Lesamnta-LW [ drei Hash - Funktionen: PHOTON, SPONGENT und Lesamnta-LW [ 40 40 ]. ]. Part 6 is dedicated to Teil 6 widmet sich der

MACs and is currently under development. MACs und befindet sich derzeit in der Entwicklung.

ISO/IEC 29167, Automatic Identification and Data Capture Techniques , provides security ISO / IEC 29167, Automatische Identifikation und Datenerfassungsverfahren, bietet Sicherheit

services for RFID air interface communications. Services für RFID - Luftschnittstellenkommunikation. Part 1 [ Teil 1 [ 31 ] describes the architecture, security 31 ] beschreibt die Architektur, Sicherheit

features, and requirements for security services for RFID devices. Merkmale und Anforderungen für die Sicherheitsdienste für RFID - Geräte. Crypto suites are defined in Crypto Suiten sind definiert in

additional parts. zusätzliche Teile. Currently, seven suites are published in [ Derzeit sind sieben Suiten veröffentlicht in [ 32-38 32-38 ]. ]. Additional documents are Weitere Dokumente sind

Cryptography Research and Evaluation Committees (CRYPTREC) is a project to evaluate and Cryptography Research and Evaluation Committees (Cryptrec) ist ein Projekt zu bewerten und

monitor security of cryptographic techniques used in Japanese e-Government systems [ Sicherheit kryptographischer Techniken überwachen in der japanischen E-Government - Systemen verwendet [ 12 ] . 12 ] .

CRYPTREC publishes three types of cipher lists: e-Government Recommended Ciphers List, Cryptrec veröffentlicht drei Arten von Chiffre Listen: E-Government Empfohlen Chiffren List,

Candidate Recommended Ciphers List and Monitored Ciphers List. Candidate Empfohlen Chiffren Liste und Wachte Chiffren Liste. The Lightweight Der Leichtbau

Cryptography working group of CRYPTREC, established in 2013, aims to study and support Cryptography Arbeitsgruppe von Cryptrec, im Jahr 2013 gegründet, zielt darauf ab , zu studieren und zu unterstützen

appropriate lightweight cryptography solutions for e-government systems and any applications geeignete leichte Kryptografie - Lösungen für E-Government - Systeme und alle Anwendungen

where lightweight solutions are needed. wo Leichtbaulösungen benötigt werden . The working group surveys research on state of the art in Die Arbeitsgruppe Durchführung einer Marktforschung über Stand der Technik in

lightweight cryptography and its applications, and performs implementation evaluations, and leichte Kryptographie und deren Anwendungen und führt die Umsetzung Auswertungen und

published a report (in Japanese) [ einen Bericht (auf Japanisch) veröffentlicht [ 13 13 ] as a deliverable in 2015. The target algorithms for ] Als lieferbar im Jahr 2015. Die Ziel Algorithmen für

implementation in the report were AES, Camellia [ Umsetzung im Bericht waren AES, Camellia [ 1 1 ], CLEFIA [ 59 ], CLEFIA [ 59 ], PRESENT [ 8 ], PRESENT [ 8 ], LED [ 24 ] , ], LED [ 24 ] ,

Piccolo [ Piccolo [ 58 58 ], TWINE [ 61 ], TWINE [ 61 ], and PRINCE [ 9 ] . ] Und PRINCE [ 9 ] .

NIST's Lightweight Cryptography Project NIST Leichte Cryptography Projekt

NIST develops standards using several different approaches, as described in [ NIST - Standards entwickelt verschiedene Ansätze verwendet, wie beschrieben in [ 50 50 ]. ]. NIST has held NIST hat entschieden

competitions to select the AES block cipher and the SHA-3 hash functions. Wettbewerbe mit dem AES - Blockchiffre und die SHA-3 - Hash - Funktionen auszuwählen. These competitions Diese Wettbewerbe

were significant efforts that took place over many years. erhebliche Anstrengungen waren, die sich über viele Jahre in Anspruch nahm. For example, the SHA-3 competition Zum Beispiel Wettbewerb der SHA-3

was announced in 2007, the winner was announced in 2012, and the standardization process was im Jahr 2007 bekannt gegeben wurde, wurde der Sieger im Jahr 2012 angekündigt, und der Normungsprozess war

concluded in 2015. Another approach is to adapt standards of other accredited standards abgeschlossen im Jahr 2015 ist ein weiterer Ansatz Standards anderer anerkannten Standards anzupassen

development organizations, as was done with HMAC and RSA standards. Entwicklungsorganisationen, wie es mit HMAC und RSA - Standards durchgeführt. NIST researchers also NIST - Forscher auch

develop standards and guidelines in collaboration with experts in academia, industry and Entwicklung von Standards und Richtlinien in Zusammenarbeit mit Experten aus Wissenschaft, Industrie und

government, if no suitable standard exists. Regierung, wenn kein passender Standard existiert.

The landscape for lightweight cryptography is moving so quickly that a standard produced using Die Landschaft für leichte Kryptographie bewegt sich so schnell , dass ein Standard unter Verwendung hergestellt

the competition model is likely to be outdated prior to standardization. das Wettbewerbsmodell ist wahrscheinlich vor der Standardisierung überholt zu sein. Therefore, the most Daher ist die am meisten

suitable approach for lightweight cryptography, in terms of timeline and project goals, is to geeigneter Ansatz für leichte Kryptographie, in Bezug auf die Timeline und Projektziele, ist zu

develop new recommendations using an open call for proposals to standardize algorithms. neue Empfehlungen entwickeln eine offene Aufforderung zur Einreichung von Vorschlägen unter Verwendung von Algorithmen zu standardisieren.

NIST is planning to develop and maintain a portfolio of lightweight primitives and modes that NIST plant ein Portfolio von leichten Primitiven und Modi zu entwickeln und zu pflegen , dass

are approved for limited use. sind für den begrenzten Einsatz zugelassen. Each algorithm in the portfolio will be tied to one or more profiles , Jeder Algorithmus im Portfolio wird auf ein oder mehrere Profile gebunden werden,

which consist of algorithm goals and acceptable ranges for metrics. die aus Algorithmus Ziele und akzeptablen Bereiche für Metriken. This is in contrast to other Dies steht im Gegensatz zu anderen

primitives and modes that are approved for general use. Primitiven und Modi , die für den allgemeinen Gebrauch zugelassen sind. Jede Einschränkung der Anwendung werden ebenfalls behandelt werden

in der Empfehlung oder Standard, in dem die Primitiven und Modi des Portfolios angegeben sind.

Algorithmus Übergänge und deprecation Leitlinien werden als Algorithmen im Portfolio zur Verfügung gestellt werden

auslaufen. Das leichte Portfolio ist nicht alternative Algorithmen zu bieten, die für

Der Umfang der NIST leichte Kryptographie Projekt umfasst alle kryptographischer Primitive und

Modi, die in Umgebungen mit beschränktem benötigt werden. Der anfängliche Schwerpunkt des Projekts ist jedoch

auf Blockchiffren, Hash-Funktionen und Nachrichtenauthentifizierungscodes. Wenn langfristige Sicherheit ist

benötigt wird, sollte diese Algorithmen entweder Ziel für Post-Quantum Sicherheit [ 49 ] , oder die Anwendung

sollte es ihnen ermöglichen, durch Algorithmen mit Post-Quantum Sicherheit leicht austauschbar zu sein.

Während Kryptographie mit öffentlichem Schlüssel wird in der Ausgangsfokus enthalten, ist es im Rahmen dieser

project. Projekt. Es sollte jedoch, dass Public-Key-Systeme werden nur dann berücksichtigt werden, zu beachten, für

Aufnahme in das Portfolio unter zwei Bedingungen: 1) sie robust gegenüber Quanten Angriffe sind, oder 2)

verwenden eine Kombination aus allgemeinen öffentlichen Schlüssel Verschlüsselungssysteme mit leichten Primitive (zB

leichte Hash-Funktion). Protokoll-Design ist auch ein wichtiger Teil der gewünschte erreichen

Maß an Sicherheit, während Anforderungen einer eingeschränkten Umgebung zu erfüllen, ist aber nicht innerhalb der

Während spezifische Anforderungen durch Anwendung variieren, gibt es mehrere allgemein gewünschten Eigenschaften

- Sicherheit Stärke : Jeder Algorithmus für das Portfolio ausgewählt werden, müssen eine ausreichende Sicherheit bieten.

Genauer gesagt, sollte die Sicherheitsstärke mindestens 112 Bit betragen.

- Flexibilität : Effiziente Implementierungen eines Algorithmus sollte möglich sein , über eine

Sortiment von Plattformen. Algorithmen sollte auch eine Vielzahl von Implementierungen auf ein erlauben

Plattform. Tunable-Algorithmen, die Parameter verwenden, um Eigenschaften wie Zustand

Größe und die Schlüsselgröße, sind wünschenswert, da sie Implementierungen mit mehreren Optionen erlauben mit

weniger Ressourcen als mehrere Algorithmen, die Logik nicht teilen und unterstützt damit eine breitere

- Geringer Aufwand für mehrere Funktionen : Mehrere Funktionen (wie zB Verschlüsselung und

Entschlüsselung), die den gleichen Kern teilen werden über Funktionen bevorzugt, die vollständig haben

andere Logik. Zum Beispiel wird eine Blockchiffre wobei die Verschlüsselungs- und Entschlüsselungsoperationen

verwenden ähnliche Rundenfunktionen können über ein vorzuziehen sein, die unterschiedliche Runde Funktionen für

Verschlüsselung und Entschlüsselung. Verschiedene Primitive, wie beispielsweise eine Hash-Funktion und die Blockchiffre,

kann auch eine Logik teilen, wodurch die Ressourcen zu reduzieren benötigt mehrere Algorithmen zu implementieren, in

- Ciphertext Expansion : Die Größe der verschlüsselten Text hat einen Einfluss auf die Speicherung und Übertragung

costs. Kosten. Algorithmen und Modi, die nicht wesentlich die Menge der Daten erhöhe sind

- Seitenkanal und Fehlerangriffe : Implementationen können sensible Informationen auslaufen, insbesondere

Informationen über den Schlüssel oder Klartext, in einer Vielzahl von Möglichkeiten. Seitenkanalangriffe nutzen

Eigenschaften der Umsetzung während der Ausführung der kryptografischen Operationen, wie beispiels

Timing, Stromverbrauch und elektromagnetische Emissionen, diese empfindlich zu entdecken

information. Information. Fehlerangriffe erholen diese sensiblen Informationen durch Fehler in der Einführung

Berechnung. Im Falle der allgegenwärtigen Geräte ist dies besonders bemerkenswert, da Angreifer kann

haben physischen Zugriff auf die Geräte und Gegenmaßnahmen für solche Angriffe nicht vorhanden sein kann

aufgrund eingeschränkten Ressourcen. Algorithmen, die gegen Seitenkanal leicht zu schützen sind und

- Begrenzung der Anzahl von Klartext-Chiffretext - Paaren : Es ist für Algorithmus zulässig sein kann ,

Designer eine obere von der Anzahl der Klartext / Chiffretext-Paaren, da diese Grenze gebunden zu übernehmen

kann für einige Anwendungen durch die Beschränkungen der Vorrichtungen (zB Beschränkungen gerechtfertigt werden

die Datenmenge, die durch den gleichen Schlüssel verarbeitet werden) oder Nachrichtenformate definiert durch

Protokolle. Es muß jedoch erkannt werden, dass ein Angreifer Angriffe montieren kann unter Verwendung von Klartext

dass unter mehreren unabhängigen Schlüsseln verschlüsselt (Multi-Key-Attacken), die relevant sind

selbst wenn die Menge der Daten unter einem einzelnen Schlüssel verschlüsselt ist begrenzt.

- Ähnliche schlüssel Angriffe : Diese Angriffe erlauben ein Widersacher Informationen über einen Schlüssel zu entdecken

von Operationen mit mehreren Tasten, die, obwohl unbekannt, haben eine bekannte Durchführung

Beziehung. Dies ist vor allem eine Bedrohung in Protokolle, bei denen die Schlüssel nicht gewählt unabhängig und

zufällig. Die Schlüssel können permanent in die Hardware von erzwungener Geräte verbrannt werden, mit

keineswegs von Ersatz. Wenn dies der Fall ist, dann im Zusammenhang mit Schlüssel Angriffe sind nur ein praktisches

Bedrohung, wenn ein Gegner mehrere Geräte erhalten, die Schlüssel mit einer bekannten Beziehung haben. This Dies

Angriff Modell bleibt immer noch sehr relevant für Geräte, bei denen die Fähigkeit, den Schlüssel zu aktualisieren,

besteht. Die Algorithmen werden erwartet, einen gewissen Widerstand gegenüber nahe stehenden Schlüssel Angriffe zu bieten (zB

Angriffe erfordern große Anzahl verwandter Tasten).

Es kann nicht möglich sein, alle Eigenschaften zu erfüllen, insbesondere wenn diese die Ressourcen erhöht

jenseits dessen, was für eine gegebene Anwendung zur Verfügung steht. Noch für das Portfolio jeder Algorithmus ausgewählt

eine angemessene Sicherheit muss. Insbesondere sollte die Sicherheit gegen Schlüssel Recovery-Attacken

NIST werden Algorithmen auf Basis von Profilen zu bewerten und empfehlen, die aus einer Reihe von Design bestehen

Ziele, die physikalischen Eigenschaften von Zielgeräten, Leistungseigenschaften durch die auferlegte

Cryptographic Primitive kann mit einer Vielzahl von Zielen konzipiert werden. Die Entscheidungen in

die Designziele können die verschiedenen Merkmale beeinflussen. Zunächst wird dieses Projekt auf Block konzentrieren

Chiffren, authentifizierte Verschlüsselungsverfahren, Hash-Funktionen und Nachrichtenauthentifizierungscodes.

Profile sollten auf Zielklassen von Geräten und Anwendungen entwickelt werden - nicht unbedingt

spezifische Anwendungen. Profile sollten in einer Vielzahl von Anwendungen nützlich sein. The Das

Eigenschaften, die in den Profilen identifiziert wurden, zu richten sind:

Physical characteristics Physikalische Eigenschaften

Die Eignung eines Algorithmus hängt von den physikalischen Einschränkungen der Vorrichtung und die

Ziele Performance und Sicherheit durch die Anwendung auferlegt.

Wenn Profile für leichte Kryptographie Gebäude, die Zahlen, die die physische Ausdruck bringen,

Merkmale Leistung und Sicherheit, die einem bestimmten eingeschränkten Umgebung anwenden können

allein nicht aussagekräftig. Die Argumentation hinter ihnen muss auch verstanden werden.

Fragen zur Anwendungs- und Geräteanforderungen

Für die Entwicklung Profile, fragt NIST eine Reihe von Fragen an die Beteiligten von leichten

Kryptographie, um relevante Profile für eine Vielzahl von Anwendungen aufzubauen. Dies kann dazu beitragen,

erhalten ein umfassendes Verständnis für eine bestimmte Anwendung und die Engpässe zu identifizieren, oder sogar

zusätzliche Beschränkungen zu identifizieren, die nicht sofort sichtbar sind. Antworten auf die Fragen

sollte mit der Betreffzeile "Antworten auf Fragen geschickt auf lightweight-crypto@nist.gov~~V

Die Liste der Fragen ist wie folgt. Für eine Anwendungsumgebung gegeben, nicht alle Fragen können

2. Welche Arten von Funktionen sind durch die Anwendung erforderlich ist (beispielsweise Verschlüsselung,

3. Sind alle Verschlüsselungsalgorithmen derzeit von der Anwendung verwendet? Wenn ja, welche

Algorithmen? Was die Wahl für diese Algorithmen motiviert? Wenn nicht, warum wurden bestimmte

4. Sind die Algorithmen in erster Linie lokal (zB die direkte Kommunikation zwischen einem Tag verwendet und

5. die Anwendung gegeben, wie schwierig es ist, einen Verschlüsselungsalgorithmus zu ersetzen?

6. Ist die Anwendung in erster Linie Hardware oder Software-Implementierung Ziel oder beide

7. Wenn Software-Implementierungen sind relevant, welche Plattformen betrachtet werden (Server, Desktop,

Laptop, Smartphone, eingebettet, etc.)? Welche spezifischen Arten von Prozessoren (Anbieter und

8. Wenn Hardware-Implementierungen relevant sind, welche Arten von Hardware betrachtet werden

(FPGA, ASIC, etc.)? Welche spezifischen Plattformen sind unter Berücksichtigung (Anbieter,

Architektur, Technologie, Standard-Zellenbibliothek, etc.)?

9. Für Software-Implementierungen, die Ressourcen für die Verschlüsselungs verfügbar sind

Berechnung? Gibt es auf der Menge von Registern, RAM und ROM begrenzt, die

available? erhältlich? Wenn ja, welche technischen oder praktischen Erwägungen können diese Grenzen zu erklären?

10. Bei Hardware-Implementierungen gibt es auf die Menge an Scheiben oder GEs begrenzt, die

für die Umsetzung zur Verfügung? Wenn ja, welche technischen oder praktischen Erwägungen

11. Ist die Plattform eine von Natur aus Serien ein oder können die Daten parallel verarbeitet werden?

12. Ist eine integrierte Unterstützung für Verschlüsselungsoperationen auf der Plattform zur Verfügung? (Hardware

Sicherheitsmodule, kryptographischer Anweisungen, kryptografisch sicheren Zufalls oder pseudo-

13. In dem Fall von Software-Implementierungen ist es notwendig, die Umsetzung zu verschleiern?

14. ist Widerstand gegen Seitenkanal oder Fehlerangriffe erforderlich? Wenn nein, warum nicht?

15. Gibt einige benutzerprogrammierbaren nichtflüchtigen Speicher zur Verfügung?

16. Wie werden die Schlüssel generiert? Wo sind sie gespeichert sind, und für wie lange?

17. Wie viele Daten werden unter dem gleichen Schlüssel verarbeitet? Gibt es inhärente Beschränkungen auf die

Datenmenge, die verarbeitet wird, beispielsweise aus dem Protokoll oder aus technischen

18. Sind die Geräte batteriebetriebenen, oder haben sie ihre Strom aus der Umgebung ziehen?

Welche Grenzen sind dem Energie auferlegt und / oder Leistung, die mit dem Gerät zur Verfügung steht?

19. Hat das Gerät innerhalb einer bestimmten Zeit zu reagieren? Ist das eine weiche Echtzeit (reduziert

Nutzen nach Ablauf der Frist) oder harte Echtzeit (Daten werden nach dem Stichtag nutzlos)

Anforderung? Wie übersetzen diese Anforderungen zu Einschränkungen auf jedem Verschlüsselungs

Algorithmen, die in der Anwendung verwendet werden?

20. Was sind die typischen Größen für einen Klartext, verschlüsselten Text, Nachricht, Authentifizierung Tag, usw.? What Was

technologische oder praktische Faktoren bestimmen ihre Größe? Würde Chiffre Expansion

21. Was sind die konkreten Anforderungen an die Sicherheit der Anwendung? Welche Arten von

Angriffe werden als für die jeweilige Anwendung relevant oder nicht relevant zu sein? Warum so?

22. Gibt es eine andere Informationen, die relevant sein können, die Anwendung von einem zu verstehen

Es wird nicht erwartet, dass ein Algorithmus notwendigerweise alle Merkmale Ziele zu erreichen

simultaneously. gleichzeitig. Als solches wird Profile entwickelt einen Satz von Eigenschaften und das Design zu unterstützen

goals. Ziele. Die vorgeschlagene Vorlage ist wie folgt:

Name des physikalischen Eigenschaft (en) und bieten akzeptablen Bereich (e)

Name des Leistungsmerkmal (e) und bieten akzeptablen Bereich (e)

Mindestsicherheits Stärke, relevante Angriffsmodelle, Seitenkanal

Die folgenden Beispielprofile werden beispielsweise nur zur Verfügung gestellt. Profile für die Aufnahme in

Das Portfolio wird mit der Gemeinschaft in einem offenen Prozess entwickelt werden. Beispielanwendungen sind

vorgesehen, aber ausgewählte Algorithmen sollten für eine Vielzahl von Anwendungen geeignet sein.

Die erste Probe-Profil ist für einen MAC-Algorithmus, um einen Low-Bereich Implementierung in Hardware mit,

Physical characteristics Physikalische Eigenschaften

128-Bit-Sicherheit, Beständigkeit gegenüber nahe stehenden Schlüssel-Attacken, Timing

Eine Beispielanwendung mit Profil Sample_1 würde ein RFID-Tag für Asset-Tracking sein.

Die zweite Probe Profil ist für einen authentifizierten Verschlüsselungsalgorithmus mit geringer Latenz. The Das

Implementierung in Hardware oder Software sein, sollte aber für die Entschlüsselung / Überprüfung ermöglichen.

Physical characteristics Physikalische Eigenschaften

128-Bit-Sicherheit, Beständigkeit gegenüber Leistungsanalyse

Ein Anwendungsbeispiel Profil Sample_2 Verwendung würde Befehl Validierung auf einem Controller Area sein

Die dritte Probe Profil ist für einen MAC-Algorithmus, die eine minimale Energie verbraucht.

Physical characteristics Physikalische Eigenschaften

128-Bit-Sicherheit, Widerstand gegen verwandte Schlüssel Angriffe, Strom

Ein Sensornetzwerkknoten ist ein Beispiel für eine Anwendung, die mit Profil kompatibel sind

Sample_3. Beachten Sie, dass der gleiche Algorithmus kann sowohl mit diesem Profil und das Profil in Verbindung gebracht werden

NIST eine Vorlage und Bewertung für besonders leichte Kryptoalgorithmen entwickeln

das ist ähnlich der Blockchiffre Modi Projekt [ 48 ] . Es wird eine offene Aufforderung zur Profile sein

und leichte Verschlüsselungsalgorithmen. Die Einreichung Anforderungen, Richtlinien und Sätze

Bewertungskriterien werden auf der Lightweight Cryptography Projektseite veröffentlicht

NIST werden Workshops in regelmäßigen Abständen halten leichte Algorithmen zu diskutieren, die unter sind

Gegenleistung für das Portfolio. Diese Workshops werden um Vorschläge von der Gemeinschaft auf

Kryptoanalyse, Implementierungen und Anwendungen der Vorschläge.

Die lwc-forum@nist.gov E-Mail-Liste wurde für den Dialog in Bezug auf NIST etabliert

Leichte Cryptography Projekt. an die NIST leichte Kryptographie Mailing zu abonnieren

Liste, eine E-Mail-Nachricht an lwc-forum-request@nist.gov~~V, mit einer Betreffzeile "subscribe".

- NIST erbittet Antworten auf der mitgelieferten Liste von Fragen zu den Anforderungen aus der

Gemeinschaft, die auf den gegenwärtigen und zukünftigen Anwendungen und Geräte benötigt. Antworten auf

Die Fragen sollten mit der Betreffzeile gesendet werden lightweight-crypto@nist.gov~~V

"Antworten auf Fragen zu leichten Krypto-Anforderungen" vor 1. Oktober 2016.

NIST werden Profile auf die Antworten basierend entwickeln sie empfängt, und diese Profile werden

bieten einen Ausgangspunkt für die Diskussion und fordern Primitiven.

- NIST wird die zweite Leicht Cryptography Workshop über 17-18, Oktober 2016 halten.

Das Ziel dieses Workshops wird dieses Dokument zu diskutieren, vorgeschlagen Profile,

Vergleich Werkzeuge und Methoden, und die jüngsten Arbeiten auf cryptanalysis und Implementierungen

- NIST wird eine Aufforderung zur Einreichung von leichten Primitiven Anfang 2017. Der Anruf veröffentlichen

wird darum ersuchen Beiträge, die gute Lösungen für die genannten Profile sind.

- Ende 2017, etwa sechs Monate nach der Telefonkonferenz , veröffentlicht wird, wird NIST beginnen

- NIST wird die dritte Leichte Cryptography Workshop Anfang 2018 halten zu diskutieren

Aoki, K., Ichikawa, T., Kanda, M., Matsui, M., Moriai, S., Nakajima, J., und Tokita, T.,

Camellia: Ein 128-Bit - Block Cipher Geeignet für mehrere Plattformen - Design - andAnalysis .Proc. Proc.

7. Annual International Workshop on Ausgewählte Bereiche in Cryptography (SAC 2000) Waterloo,

Ontario, Kanada, 14-15 August 2000, pp. 39-56, http://dx.doi.org/10.1007/3-540-44983-3_4

Aumasson, J.-P., Henzen, L., Meier, W., und Naya-Plasencia, M., Quark: Ein Leichtgewicht

Hash , Journal of Kryptologie, 2013, Vol. 26, (2), pp. 313-339, http://dx.doi.org/10.1007/s00145-

Babbage, S., und Dodd, M., Der MICKEY Stromchiffren : "Neue Stream - Cipher Designs

-. Die eSTREAM Finalisten (Springer, 2008), LNCS 4986, S. 191-209,

Barker, E., und Roginsky, A., Transitions: Empfehlung für die Überführung des Einsatzes von

Kryptoalgorithmen und Schlüssellängen , NIST Special Publica (SP) 800-131A Revision

1, National Institute of Standards and Technology, Gaithersburg, Maryland November 2015,

Barker, WC, und Barker, E., Empfehlung für den Triple Data Encryption Algorithm

(TDEA) Blockchiffre , NIST Special Publica (SP) 800-67 Revision 1, Nationales Institut für

Standards and Technology, Gaithersburg, Maryland, Januar 2012

Beaulieu, R., Schoren, D., Smith, J., Treatman-Clark, S., Wochen, B., und Wingers, L., The

SIMON und SPECK Familien von Leichtbau Blockchiffren , IACR Kryptologie ePrint - Archiv,

Bogdanov, A., Knežević, M., Leander, G., Toz, D., Varıcı, K., und Verbauwhede, I.,

SPONGENT: Ein leichtes Hash - Funktion .Proc. Proc. 13th International Workshop on 13. Internationaler Workshop über

Cryptographic Hardware und Embedded Systems (CHES 2011), Nara, Japan, den 28. September -

Bogdanov, A., Knudsen, LR, Leander, G., Paar, C., Poschmann, A., Robshaw, MJB,

Seurin, Y., und Vikkelsoe, C., PRESENT: ein ultraleichtes Blockchiffre .Proc. Proc. 9th 9.

International Workshop on Cryptographic Hardware und Embedded Systems (CHES 2007),

Wien, Österreich, September 10-13, 2007, LNCS 4727, S.. 450-466,

Borghoff, J., Canteaut, A., Güneysu, T., Kavun, EB, Knezevic, M., Knudsen, LR,

Leander, G., Nikov, V., Paar, C., Rechberger, C., Rombouts, P., Thomsen, SS, und Yalçın, T.,

PRINCE - Ein Low-Latency - Block Cipher für Pervasive Computing Applications .Proc. Proc. 18th 18.

Internationale Konferenz über die Theorie und Anwendung von Kryptologie und Informationssicherheit

(ASIACRYPT 2012), Beijing, China, im Dezember 2-6, 2012, pp. 208-225,

Chen, L., Empfehlung für die Schlüsselableitung Mit Pseudozufallsfunktionen

(Überarbeitet) , NIST Special Publica (SP) 800-108, National Institute of Standards und

Technologie, Gaithersburg, Maryland, im Oktober 2009, http://dx.doi.org/10.6028/NIST.SP.800-108

Chen, L., Empfehlung für die Schlüsselableitung durch Extraktion-then-Expansion , NIST

Sonderveröffentlichung (SP) 800-56C, National Institute of Standards and Technology, Gaithersburg,

Cryptographic Forschung und Bewertungsausschüsse, http://www.cryptrec.go.jp/english/

Cryptographic Forschung und Bewertungsausschüsse, Cryptrec Bericht 2014 , Bericht des

die Cryptographic Technology Evaluation Committee, 296 Seiten, März 2015

Dang, Q., Empfehlung für bestehende Anwendungsspezifische Schlüsselableitungsfunktionen ,

NIST Special Publica (SP) 800-135 Revision 1, National Institute of Standards und

Technologie, Gaithersburg, Maryland, Dezember 2011 http://dx.doi.org/10.6028/NIST.SP.800-

De Cannière, C., und Preneel, B., Trivium : 'New Stream - Cipher Designs - The

eSTREAM Finalisten (Springer, 2008), LNCS 4986, S.. 244-266, http://dx.doi.org/10.1007/978-

Dworkin, M., Empfehlung für Block Cipher Betriebsmodi: Der CCM - Modus

für die Authentifizierung und Vertraulichkeit , NIST Special Publica (SP) 800-38C, National

Institute of Standards and Technology, Gaithersburg, Maryland, im Mai 2004,

Dworkin, M., Empfehlung für Block Cipher Betriebsmodi: Der CMAC - Modus

für die Authentifizierung NIST Special Publica (SP) 800-38B, National Institute of Standards und

Technologie, Gaithersburg, Maryland, im Mai 2005, http://dx.doi.org/10.6028/NIST.SP.800-38B

Dworkin, M., Empfehlung für Block Cipher Betriebsmodi: Galois / Zähler

Mode (GCM) und GMAC , NIST Special Publica (SP) 800-38D, National Institute of

Standards and Technology, Gaithersburg, Maryland, im November 2007,

ECRYPT, eSTREAM: die ECRYPT Stream - Cipher - Projekt ,

Feldhofer, M., Dominikus, S., und Wolkerstorfer, J., starke Authentifizierung für RFID

Systeme können mit dem AES - Algorithmus .Proc. Proc. 6th International Workshop on Cryptographic Hardware 6. International Workshop on Cryptographic Hardware

und Embedded Systems (CHES 2004), Cambridge, MA, USA, August 11-13, 2004, S.. 357-

Gong, Z., Hartel, P., Nikova, S., Tang, S.-H., und Zhu, B., Tulp: Eine Familie von

Leichte Message Authentication Codes für Body Sensor Networks , Journal of Computer

Wissenschaft und Technik, 2014, Vol. 29, (1), pp. 53-68, http://dx.doi.org/10.1007/s11390-013-

GS1 EPCglobal Inc., EPC Hochfrequenz-Identitätsprotokolle der Generation 2 UHF-RFID,

Spezifikation für RFID Air Interface Protokoll für die Kommunikation bei 860 MHz - 960

Guo, J., Peyrin, T., und Poschmann, A., Die PHOTON Familie von Leicht Hash

Funktionen .Proc. Proc. 31st Annual International Cryptology Conference (CRYPTO 2011), Santa 31. Annual International Conference Kryptologie (CRYPTO 2011), Santa

Barbara, CA, USA, August 14-18, 2011, pp. 222-239, http://dx.doi.org/10.1007/978-3-642-

Guo, J., Peyrin, T., Poschmann, A., und Robshaw, M., Die LED - Block Cipher .Proc. Proc. 13th 13.

International Workshop on Cryptographic Hardware und Embedded Systems (CHES 2011),

Nara, Japan, den 28. September -. 1. Oktober 2011, S. 326-341, http://dx.doi.org/10.1007/978-3-

Hölle, M., Johansson, T., und Meier, W., Korn: Ein Stromchiffre für Constrained

Umwelt , International Journal of Wireless - und Mobile Computing (IJWMC), 2007, Vol.2, 2,

Hirose, S., Ideguchi, K., Kuwakado, H., Owada, T., Preneel, B., und Yoshida, H., A

Leichte 256-Bit - Hash - Funktion für Hardware und Low-End - Geräte: Lesamnta-LW .Proc. Proc.

13. Internationale Konferenz für Informationssicherheit und Kryptologie (ICISC 2010), Seoul,

Korea, Dezember 01-3 2010, LNCS 6829, pp. 151-168, http://dx.doi.org/10.1007/978-3-642-

Ideguchi, K., Owada, T., und Yoshida, H., eine Studie über die RAM - Anforderungen der verschiedenen

SHA-3 - Kandidaten auf Low-Cost - 8-Bit - CPUs , IACR Kryptologie ePrint - Archiv 2009

ISO, ISO / IEC 29192-1: 2012, Informationstechnologie - Sicherheitsverfahren -

ISO, ISO / IEC 29192-2: 2012, Informationstechnologie - Sicherheitsverfahren -

Leichte Cryptography - Teil 2: Blockchiffren , 2012,

ISO, ISO / IEC 29192-4: 2013, Informationstechnologie - Sicherheitsverfahren -

Leichte Cryptography - Teil 4: Mechanismen der asymmetrischen Techniken , 2013

ISO, ISO / IEC 29167-1: 2014, Information Technology - Automatische Identifikation und

Datenerfassungsverfahren - Teil 1: Sicherheitsdienste für die RFID - Luftschnittstellen , 2014,

ISO, ISO / IEC 29167-11: 2014, Information Technology - Automatische Identifikation und

Datenerfassungsverfahren - Teil 11: Crypto Suite PRESENT-80 Security Services für Air

ISO, ISO / IEC 29167-10: 2015, Information Technology - Automatische Identifikation und

Datenerfassungsverfahren - Teil 10: Crypto Suite AES-128 Security Services für Air Interface

ISO, ISO / IEC 29167-12: 2015, Information Technology - Automatische Identifikation und

Datenerfassungsverfahren - Teil 12: Crypto Suite ECC-DH Security Services für Air Interface

ISO, ISO / IEC 29167-13: 2015, Information Technology - Automatische Identifikation und

Datenerfassungsverfahren - Teil 13: Crypto Suite Grain-128A Sicherheitsdienste für Air Interface

ISO, ISO / IEC 29167-14: 2015, Information Technology - Automatische Identifikation und

Datenerfassungsverfahren - Teil 14: Crypto Suite AES OFB Security Services für Air Interface

ISO, ISO / IEC 29167-16: 2015, Information Technology - Automatische Identifikation und

Datenerfassungsverfahren - Teil 16: Crypto Suite ECDSA-ECDH Security Services für Air

ISO, ISO / IEC 29167-17: 2015, Information Technology - Automatische Identifikation und

Datenerfassungsverfahren - Teil 17: Crypto Suite CryptoGPS Security Services für Air Interface

ISO, ISO / IEC 18000-63: 2015, Informationstechnologie - Radio Frequency Identification

für das Management - Teil 63: Parameter für die Kommunikation auf der 860 MHz bis 960

ISO, ISO / IEC 29192-5: 2016, Informationstechnologie - Sicherheitsverfahren -

Leichte Cryptography - Teil 5: Hash-Funktionen , 2016,

Juels, A., und Weis, SA, Authentifizieren von Pervasive Devices mit Menschen Protokolle .Proc. Proc.

25. Annual International Conference Kryptologie (CRYPTO 2005), Santa Barbara, Kalifornien,

USA, August 14-18, 2005, LNCS 3621, S.. 293-308, http://dx.doi.org/10.1007/11535218_18

Leander, G., Paar, C., Poschmann, A., und Schramm, K., New Leichtbau DES Varianten .

Proc. Proc. 14. Internationaler Workshop über schnelle Software Encryption (FSE 2007), Luxemburg,

Luykx, A., Preneel, B., Tischhauser, E., und Yasuda, K., MAC - Modus für den Leichtbau

Blockchiffren .Proc. Proc. 23rd International Conference on Fast Software Encryption (FSE 2016), 23. Internationale Konferenz für schnelle Software Encryption (FSE 2016),

Bochum, Deutschland, März 20-23, 2016, LNCS 9783, pp. 43-59, http://dx.doi.org/10.1007/978-3-

Mathew, S., Satpathy, S., Suresh, V., Anders, M., Kaul, H., Agarwal, A., Hsu, S., Chen,

G. und Krishnamurthy, R., 340 mV-1,1 V, 289 Gbps / W, 2090-Tor NanoAES Hardware

Beschleuniger mit flächenoptimierten Verschlüsseln / Entschlüsseln GF (2

CMOS , IEEE Journal of Solid-State Circuits, 2015, Vol. 50, (4), pp. 1048-1058,

Microchip Technology Inc., New / Beliebte 8-Bit - Mikrocontroller Produkte ,

Moradi, A., Poschmann, A., Ling, S., Paar, C., und Wang, H., sind die Grenzen: A Very

Kompakt und eine Schwelle Implementierung von AES .Proc. Proc. 30th Annual International Conference 30. Annual International Conference

auf der Theorie und Anwendungen von Kryptotechniken (EUROCRYPT 2011), Tallinn,

Estland, 15-19 Mai 2011, LNCS 6632, pp. 69-88, http://dx.doi.org/10.1007/978-3-642-20465-

Mouha, N., Mennink, B., Van Herreweghe, A., Watanabe, D., Preneel, B., und

Verbauwhede, I., Chaskey: Eine effiziente MAC Algorithmus für die 32-Bit - Mikrocontroller .Proc. Proc. 21st 21.

Internationale Konferenz über Ausgewählte Bereiche in Cryptography (SAC 2014), Montreal, QC,

National Institute of Standards and Technology, Block - Cipher - Modi ,

National Institute of Standards and Technology, Post-Quantum Crypto - Projekt ,

National Institute of Standards and Technology, NIST Cryptographic Standards und

Leitlinien - Entwicklungsprozess , NISTIR 7977, im März 2016

Needham, RM, und Wheeler, DJ, Tea - Erweiterungen , Technischer Bericht, Computer

Laboratory, University of Cambridge, Oktober 1997 http://www.cix.co.uk/klockstone/xtea.pdf

Osvik, DA, Bos, JW, Stefan, D., und Canright, D., Verschlüsselung Schnelle Software AES .

Proc. Proc. 17. Internationaler Workshop über schnelle Software Encryption (FSE 2010), Seoul, Korea,

Poschmann, AY: Leichte Cryptography: Cryptographic Engineering für eine

Pervasive Welt .Ph.D. Ph.D. Thesis, Ruhr University Bochum, 2009, Thesis, Ruhr-Universität Bochum, 2009, http://d-nb.info/996578153

Renesas Electronics Corporation, RL78 Familie , https://www.renesas.com/en-

Rivest, RL, Der RC5 Verschlüsselungsalgorithmus .Proc. Proc. Second International Workshop on Zweiter Internationaler Workshop zu

Schnelle Software Encryption (FSE 1994), Leuven, Belgien, von 14 bis 16 Dezember, 1994, LNCS 1008,

Saarinen, M.-JO, und Engels, DW, ein Do-It-All-Cipher für RFID: Design - Anforderungen

(Extended Abstract) , IACR Kryptologie ePrint - Archiv 2012, http://eprint.iacr.org/2012/317

Shibutani, K., Isobe, T., Hiwatari, H., Mitsuda, A., Akishita, T., und Shirai, T., Piccolo:

Ein extrem leichter Blockverschlüsselung .Proc. Proc. 13th International Workshop on Cryptographic 13. Internationaler Workshop über Cryptographic

Hardware und Embedded Systems (CHES 2011), Nara, Japan, den 28. September - 1. Oktober 2011

Shirai, T., Shibutani, K., Akishita, T., Moriai, S., und Iwata, T., The 128-Bit Blockverschlüsselung

CLEFIA (Extended Abstract) .Proc. Proc. 14th International Workshop on Fast Software Encryption 14. Internationaler Workshop über schnelle Software-Verschlüsselung

(FSE 2007), Luxemburg, Luxemburg, 26-28 März, 2007, S.. 181-195,

Sönmez Turan, M., Barker, E., Burr, W., und Chen, L., Empfehlung für die Passwort-

Basierend Key Ableitung: Teil 1: Speicheranwendungen , NIST Special Publica (SP) 800-132,

National Institute of Standards and Technology, Gaithersburg, Maryland, Dezember 2010

Suzaki, T., Minematsu, K., Morioka, S., und Kobayashi, E., TWINE: Ein Leichtbau - Block

Cipher für mehrere Plattformen .Proc. Proc. 19th International Conference on Selected Areas in 19. Internationale Konferenz über Ausgewählte Bereiche

Cryptography (SAC 2012), Windsor, ON, Kanada, August 15-16 2012, S.. 339-354,

Texas Instruments, COP912C 8-Bit - Mikrocontroller ,

US Department of Commerce, Advanced Encryption Standard (AES) , Bundes

Information Processing Standards (FIPS) Veröffentlichung 197, November 2001

US Department of Commerce, der Keyed-Hash Message Authentication Code (HMAC) ,

Federal Information Processing Standards (FIPS) 198-1 Veröffentlichung Juli 2008,

US Department of Commerce, Secure Hash Standard (SHS) Federal Information

Processing Standards (FIPS) 180-4 Veröffentlichung August 2015

US Department of Commerce, SHA-3 Standard: Permutation-basierte Hash und

Ausziehbare-Ausgabefunktionen , Federal Information Processing Standards (FIPS) Publication 202,

Université du Luxemburg, Leichte Blockchiffren ,

Wheeler, DJ, und Needham, RM, TEA, A Tiny Encryption Algorithm .Proc. Proc. Second Zweite

Internationaler Workshop über schnelle Software Encryption (FSE 1994), Leuven, Belgien, Dezember

Originaltext