※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。情報技術の分野では、ISO と IEC は共同技術委員会 ISO/IEC JTC 1 を設立しました。
国際規格は、ISO/IEC 指令Part 2 部に規定されている規則に従って草案されています。
合同技術委員会の主な任務は、国際規格を作成することです。合同技術委員会によって採択された国際規格草案は、投票のために各国機関に配布されます。国際規格として発行するには、投票を行っている国家機関の少なくとも 75% による承認が必要です。
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
ISO/IEC 29192-1 は、合同技術委員会 ISO/IEC JTC 1, 情報技術、分科会 SC 27, IT セキュリティ技術によって作成されました。
ISO/IEC 29192 は、 「情報技術 - セキュリティ技術 - 軽量暗号化」という一般タイトルのもと、次の部分で構成されています。
- Part 1: 一般
- Part 2: ブロック暗号
- Part 3: ストリーム暗号
- Part 4: 非対称技術を使用したメカニズム
さらに別の部分が続く場合があります。
導入
ISO/IEC 29192 は、データの機密性、認証、識別、否認防止、およびキー交換を目的とした軽量暗号化を規定する複数の部分からなる国際標準です。軽量暗号化は、特に制約のある環境に適しています。通常発生する制約は次のいずれかです。
- チップ領域。
- エネルギー消費。
- プログラムコードのサイズとRAMのサイズ。
- 通信帯域幅。
- 実行時間。
ISO/IEC 29192 の目的は、無線周波数識別 (RFID) タグ、スマート カード (非接触アプリケーションなど)、安全なバッテリー、ヘルスケア システム (ボディ エリア ネットワークなど)、センサー ネットワークなどを含む軽量暗号アプリケーションに適した標準化されたメカニズムを指定することです。
ISO/IEC 29192 のこの部分では、ISO/IEC 29192 の後続の部分に含めることが提案されているメカニズムのセキュリティ要件、分類要件、および実装要件を設定します。
軽量暗号化は、意図されたコンテキストで適切なセキュリティを提供します。 ISO/IEC 29192 で標準化された暗号化メカニズムは、指定されたメカニズムの制限内で使用される場合、そのセキュリティ強度を最大限に発揮します。
例
ブロック サイズが n ビット、キー サイズが k ビットのブロック暗号の場合、ブロック暗号の使用を、たとえばカウンター モードで単一のキーで 2n/2 ブロック以下の平文を暗号化するように制限すると、k ビットのセキュリティが提供されます。 2n/2 ブロックを超えるとセキュリティが低下します。
ISO/IEC 29192 と、ISO/IEC 18033, ISO/IEC 9798, ISO/IEC 11770 などの既存の標準との間には、一部のセキュリティ技術が重複しています。特定のメカニズムの除外は、これらのメカニズムが軽量暗号化に適していないことを意味するものではありません。 ISO/IEC 29192 の後続の部分で指定される暗号化メカニズムを選択するために使用される基準は、付録 A に説明されています。
1 スコープ
ISO/IEC 29192 のこの部分では、ISO/IEC 29192 の後続の部分に適用される用語と定義を提供します。 ISO/IEC 29192 のこの部分では、ISO/IEC 29192 の後続の部分に含めることが提案されているメカニズムのセキュリティ要件、分類要件、および実装要件を設定します。
2 用語と定義
この文書の目的上、次の用語と定義が適用されます。
2.1
チップエリア
半導体回路が占める面積
2.2
通信帯域幅
指定された通信チャネル上で送信できる 1 秒あたりのビット数
2.3
エネルギー消費
一定期間の電力消費量
注記 1: ISO/IEC 29192 では、暗号化プロセス中のエネルギー消費が評価されます。 RFID やセンサーなど、一部の制約のあるデバイスでは、暗号化操作の実行に必要な総エネルギーが重要になります。
2.4
ゲート相当
デジタル電子回路の複雑さを指定できる測定単位で、一般的には 2 入力駆動強度 1 NAND ゲートのシリコン面積です。
2.5
レイテンシー
リアルタイム通信システムの暗号化メカニズムによってもたらされる遅延
2.6
軽量暗号化
制約のある環境での実装に合わせて調整された暗号化
注記 1: 制約には、チップ面積、エネルギー消費、メモリサイズ、通信帯域幅などの側面が考えられます。
2.7
プログラムコードのサイズ
暗号化メカニズムのコードのサイズ (バイト単位)
2.8
RAMサイズ
暗号化メカニズムがプロセッサ内のレジスタを含むランダム アクセス メモリに必要とする一時記憶領域のサイズ
2.9
セキュリティ強度
暗号化アルゴリズムまたはシステムを破るのに必要な作業量 (つまり、操作の数) に関連付けられた数値
注記 1:セキュリティー強度 n は、暗号システムを破るのに必要な作業負荷が暗号システムの 2n 回の実行に相当することを意味します。
注記 2: ISO/IEC 29192 では、セキュリティ強度はビット単位で指定されます (例: 80, 112, 128, 192, および 256)
2.10
短い入力性能
ショートメッセージ処理時の暗号プリミティブのパフォーマンス
2.11
サイドチャネル攻撃
ブルートフォースや基礎となるアルゴリズムの理論上の弱点ではなく、暗号システムの物理的な実装から得られる情報に基づく攻撃
例:
タイミング情報、電力消費、または電磁放射は追加の情報源を提供する可能性があり、システムを攻撃するために悪用される可能性があります。
参考文献
| 1 | ISO/IEC 1177, 情報技術 - セキュリティ技術 - キー管理 |
| 2 | ISO/IEC 1803, 情報技術 - セキュリティ技術 - 暗号化アルゴリズム |
| 3 | ISO/IEC 9797-1, 情報技術 — セキュリティ技術 — メッセージ認証コード (MAC) — Part 1: ブロック暗号を使用するメカニズム |
| 4 | ISO/IEC 979, 情報技術 - セキュリティ技術 - エンティティ認証 |
| 5 | ISO/IEC 10118-2, 情報技術 - セキュリティ技術 - ハッシュ関数 - Part 2: n ビット ブロック暗号を使用したハッシュ関数 |
| 6 | ECRYPT2 アルゴリズムと鍵サイズに関する年次報告書 (2009-2010) 、D.SPA.13, 2010 年 3 月 |
| 7 | S. Devadas および S. Malik, 低電力 VLSI 回路を対象とした最適化技術の調査、 ACM/IEEE Conference on Design Automation, 242 ~ 247 ページ、1995 年 |
| 8 | K. Finkenzeller, 「RFID ハンドブック: 非接触型スマート カードと識別の基礎と応用」 、John Wiley and Sons, 2003 年 |
| 9 | T. Good および M. Benaissa, 『New Stream Cipher Designs』 、LNCS volume 4986, ASIC Hardware Performance の章、267 ~ 293 ページ、Springer-Verlag, 2008 年 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of the joint technical committee is to prepare International Standards. Draft International Standards adopted by the joint technical committee are circulated to national bodies for voting. Publication as an International Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 29192-1 was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.
ISO/IEC 29192 consists of the following parts, under the general title Information technology — Security techniques — Lightweight cryptography:
- Part 1: General
- Part 2: Block ciphers
- Part 3: Stream ciphers
- Part 4: Mechanisms using asymmetric techniques
Further parts may follow.
Introduction
ISO/IEC 29192 is a multi-part International Standard that specifies lightweight cryptography for the purposes of data confidentiality, authentication, identification, non-repudiation, and key exchange. Lightweight cryptography is suitable in particular for constrained environments. The constraints normally encountered can be any of the following:
- chip area;
- energy consumption;
- program code size and RAM size;
- communication bandwidth;
- execution time.
The purpose of ISO/IEC 29192 is to specify standardized mechanisms which are suitable for lightweight cryptographic applications, including radiofrequency identification (RFID) tags, smart cards (e.g. contactless applications), secure batteries, health-care systems (e.g. Body Area Networks), sensor networks, etc.
This part of ISO/IEC 29192 sets the security requirements, classification requirements and implementation requirements of mechanisms that are proposed for inclusion in subsequent parts of ISO/IEC 29192.
Lightweight cryptography delivers adequate security in the context for which it is intended. The cryptographic mechanisms standardized in ISO/IEC 29192 provide their full security strength if they are used within the limitations of the mechanisms as specified.
EXAMPLE
For a block cipher with a block size of n bits and a key size of k bits, when limiting the use of the block cipher to encrypting no more than 2n/2 blocks of plaintext under a single key in say counter mode, it will provide k-bit security. The security degrades with more than 2n/2 blocks.
There are overlaps in some security techniques between ISO/IEC 29192 and existing standards such as ISO/IEC 18033, ISO/IEC 9798, and ISO/IEC 11770. The exclusion of particular mechanisms does not imply that these mechanisms are not suitable for lightweight cryptography. The criteria used to select the cryptographic mechanisms specified in subsequent parts of ISO/IEC 29192 are described in Annex A.
1 Scope
This part of ISO/IEC 29192 provides terms and definitions that apply in subsequent parts of ISO/IEC 29192. This part of ISO/IEC 29192 sets the security requirements, classification requirements and implementation requirements for mechanisms that are proposed for inclusion in subsequent parts of ISO/IEC 29192.
2 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
2.1
chip area
area occupied by a semiconductor circuit
2.2
communication bandwidth
number of bits per second that can be transmitted over a specified communication channel
2.3
energy consumption
power consumption over a certain time period
Note 1 to entry: In ISO/IEC 29192, energy consumption during the cryptographic process is evaluated. In some constrained devices the total energy required to perform the cryptographic operation is important, for instance, in RFID and sensors.
2.4
gate equivalent
unit of measure which allows for the specification of the complexity of digital electronic circuits, commonly the silicon area of a two-input drive-strength-one NAND gate
2.5
latency
delay introduced by the cryptographic mechanism in real-time communication systems
2.6
lightweight cryptography
cryptography tailored for implementation in constrained environments
Note 1 to entry: The constraints can be aspects such as chip area, energy consumption, memory size, or communication bandwidth.
2.7
program code size
size of a cryptographic mechanism code in bytes
2.8
RAM size
size of temporary storage space a cryptographic mechanism requires in random access memory including the registers in the processor
2.9
security strength
number associated with the amount of work (i.e. the number of operations) that is required to break a cryptographic algorithm or system
Note 1 to entry: A security strength of n implies that the required workload of breaking the cryptosystem is equivalent to 2n executions of the cryptosystem.
Note 2 to entry: In ISO/IEC 29192, security strength is specified in bits, e.g. 80, 112, 128, 192, and 256.
2.10
short input performance
performance of the cryptographic primitive when processing short messages
2.11
side-channel attack
attack based on information gained from the physical implementation of a cryptosystem, rather than on brute force or theoretical weaknesses in the underlying algorithms
EXAMPLE:
Timing information, power consumption, or electromagnetic emissions can provide extra sources of information and can be exploited to attack the system.
Bibliography
| 1 | ISO/IEC 11770 (all parts), Information technology — Security techniques — Key management |
| 2 | ISO/IEC 18033 (all parts), Information technology — Security techniques — Encryption algorithms |
| 3 | ISO/IEC 9797-1, Information technology — Security techniques — Message Authentication Codes (MACs) — Part 1: Mechanisms using a block cipher |
| 4 | ISO/IEC 9798 (all parts), Information technology — Security techniques — Entity authentication |
| 5 | ISO/IEC 10118-2, Information technology — Security techniques — Hash-functions — Part 2: Hash-functions using an n-bit block cipher |
| 6 | ECRYPT2 Yearly Report on Algorithms and Keysizes (2009-2010), D.SPA.13, March 2010 |
| 7 | S. Devadas and S. Malik, A survey of optimization techniques targeting low power VLSI circuit, ACM/IEEE Conference on Design Automation, pages 242-247,1995 |
| 8 | K. Finkenzeller, RFID Handbook: Fundamentals and Applications in Contactless Smart Cards and Identification, John Wiley and Sons, 2003 |
| 9 | T. Good and M. Benaissa, New Stream Cipher Designs, LNCS volume 4986, chapter ASIC Hardware Performance, pages 267-293, Springer-Verlag, 2008 |