IoT(物聯網)設備係網絡犯罪集團特別關注嘅攻擊對象,而為咗提升呢啲設備嘅安全性,唔少國家例如美國、英國及澳洲等都研究緊點樣立法管制生產商,令佢哋加強設備嘅安全功能。美國 The National Institute of Standards and Technology(NIST)喺 2019 年就推出輕量版加密演算法比賽,希望業界專家能提供適用於低運算能力嘅 IoT 設備上嘅加密演算法,而結果已經出爐,就係由專門研究加密演算技術嘅 ASCON 勝出。評審話成個比賽歷時約 4 年,經過多次討論後,最後十強嘅技術都好出色好難揀,ASCON 最終憑住加密演算法方案嘅靈活性、節能、較高速等優勢,成功取得冠軍,恭喜恭喜!
今時今日,IoT 設備嘅應用程度非常普及,例如大部分人都有用嘅智能手錶、監控鏡頭、Wi-Fi router、智能家電等等,統統都屬於 IoT 產品之一。由於呢啲設備始終會儲存用戶部分私隱訊息,特別係智能手錶有可能儲存用戶嘅電子支付資料,因此網絡保安能力就變得好重要。可惜嘅係,唔少生產商由於唔係相關專家,純粹識得生產電子產品,因此喺設計時或售後都唔會提供安全功能,最常見嘅例子係售後唔再提供安全更新、使用簡單嘅預設出廠密碼,部分產品喺傳送或儲存數據時更會用明文(plain-text),只要攔截到數據就可以睇到內容。之不過,雖然部分生產商都想為產品加入加密數據技術,但奈何呢類設備只配備低運算能力嘅處理器,因此無辦法使用高強度嘅加密技術,有見及此,美國 NIST 就係 2019 年舉辦呢次比賽,希望有能者可以提供一套輕量版而又有效嘅加密演算方案。
比賽一共接獲 57 個參加方案,ASCON 嘅輕量化加密方案除咗本身已經攞咗多次獎項,揀選佢哋嘅原因,NIST 專家話主要有兩方面。首次係 ASCON 自家嘅 AEAD 關聯數據認證加密技術,佢結合咗對稱加密及 MAC 驗證兩項功能,可以防止未經授權嘅訪問及數據篡改,阻止數據外洩。另一個優點係佢哋嘅 hashing 哈希運算技術,可以確保數據傳輸嘅雙方唔會被偽冒身分。雖然 NIST 話 ASCON 嘅加密演算法係屬於輕量版,但某程度上可抵抗量子電腦嘅運算攻擊,可見得獎者嘅加密技術有非常高嘅保安能力。有咗今次比賽結果,NIST 希望可為 IoT 生產商提供一個參考,但最終採唔採用,都要視乎生產商嘅意願同計唔計得掂條數。