NIST首次呼吁“轻量密码”保护小电子产品
密码学专家在美国国家标准与技术研究所(NIST)开始努力保护数据由无数细小的网络设备,如那些在“物联网(IOT),这将需要一个新的密码防御cyberattac类KS。
创建这些防御是NIST的轻量级密码倡议的目标,其目的是开发可以在简单电子设备的范围内工作的密码算法标准。很多的传感器、执行器和其他类,将功能作为眼睛,在物联网网络的耳朵和手会在缺乏电力和使用电路远远低于芯片发现即使是最简单的手机。类似的小型电子产品中存在的无钥匙进入钥匙到新车和射频识别(RFID)标签用来定位框在巨大的仓库。
所有这些小玩意都很便宜,几乎在任何地方都能安装,但常见的加密方法可能需要比它们拥有更多的电子资源。
今天,NIST正在努力创造一种有价值的解决方案来解决这种受限环境中的数据安全问题。作为一个初步的步骤,它寻求帮助开发这些解决方案的要求和指南。 ;草案提交要求和轻量级密码标准化进程 评价标准;是这一要求的第一稿,写心灵与软件开发社区,旨在确保正式请求被释放后弹簧NG将产生开发者同意的加密算法。
现在NIST网站(链接是外部的)的草稿文件是可用的。联邦注册通知将很快公布一个公众评论期,这样社区就可以对提交指导草案进行权衡。
最终的目标是开发有利于整个市场的轻量级加密标准。根据NIST的计算机科学家Kerry McKay,有效的标准必须带来一个明确的解决方案,适用于广泛的一类情况,请求的棘手的措辞。
“物联网是爆炸性的,但有没有安全设备吨,”McKay说。“有多种多样的设备和用例,很难把它们全部分解掉。有一些类型的攻击要考虑,很多变化。我们的想法必须是宽泛的。
许多制造这些小型设备的制造商说,建立有效标准的时间是正确的。
“作为行业采用的认证程序像流感疫苗注射器和婴儿配方奶粉,有安全措施的协议是很重要的,”Matt Robshaw说,在Impinj的技术研究员,这家公司开发 ;雨RFID(链接外部) ;用来保持TR技术这些类型的对象的ACK。“这是一个开始建立关于哪些技术最合适的指导的好时机。”
确保他们得到了正确的开始,McKay和团队成员与行业组织从巧实力电网专家汽车制造商花了四年的咨询。他们的建议促使团队规定提交的算法必须在以前公布,并由第三方进行分析(虽然不一定采用)。
“我们觉得这是一个公平的要求,因为人们已经工作了好几年的约束环境下密码吧,”McKay说。“我们希望看到世界已经看到的东西。”
这些解决方案通常使用对称和NBS-密码学,即资源较少的形式,其中发送者和接收者都具有可以加密和解密消息的数字密钥的提前拷贝。NIST的研究小组指定这些算法应该在对称加密的应用程序提供了一个有用的工具: ;认证加密相关的数据,或停滞,它允许收件人检查两者的加密和未加密的信息在信息的完整性。他们还规定,如果一个 ;散列函数 ;是用来创建一个数字指纹数据,功能应该分享资源与失效降低实施成本。
McKay说,而停滞和哈希工具应涵盖几乎所有开发者想要做的对称密码,她和团队期待从公众的意见对草案是否有足够的需求。
她说:“我们将依靠社区反馈来确定我们在酒吧的后续版本中应该包括哪些其他用例。”“我们希望整个轻量级密码标准开发过程公开透明,公众参与每一步。”
在联邦注册通知出现后,NIST将在征求意见稿上接受45天的评论,并在发布正式提交指导文件之前考虑这些意见。发布后,NIST预计6个月提交的轻量级密码算法窗口。