この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。情報技術の分野では、ISO と IEC が合同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の作成に使用された手順と、今後の維持を意図した手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
適合性評価に関連する ISO 固有の用語と表現の意味に関する説明、および技術的貿易障壁 (TBT) における WTO 原則への ISO の準拠に関する情報については、次の URL を参照して ください 。
この文書を担当する委員会は、ISO/IEC JTC 1, 情報技術、SC 27, IT セキュリティ技術です。
ISO/IEC 29192 は、次の部分で構成されており、一般的なタイトルは「情報技術 - セキュリティ技術 - 軽量暗号化」です。
- Part 1: 一般
- Part 2: ブロック暗号
- Part 3: ストリーム暗号
- Part 4: 非対称技術を使用したメカニズム
- Part 5: ハッシュ関数
さらなる部分が続くかもしれません。
序章
ISO/IEC 29192 のこの部分では、制約のある環境での実装用に調整された軽量のハッシュ関数を指定しています。
ISO/IEC 29192-1 は、軽量暗号化の要件を指定しています。
ハッシュ関数は、任意のビット列を固定長のビット列にマップします。
国際標準化機構 (ISO) および国際電気標準会議 (IEC) は、ISO/IEC 29192 のこの部分への準拠には特許の使用が含まれる可能性があると主張されているという事実に注目しています。 ISO と IEC は、これらの特許権の証拠、有効性、および範囲に関していかなる立場も取りません。
これらの特許権の所有者は、ISO および IEC に対し、合理的かつ非差別的な条件の下で、世界中の申請者とライセンスを交渉する用意があることを保証しています。
この点で、これらの特許権の所有者の声明は ISO および IEC に登録されています。情報は以下から取得できます。
南洋工科大学 - NTUitive Pte Ltd
16 Nanyang Drive, #01-109, Innovation Center, Singapore 637722
このドキュメントの一部の要素が、上記以外の特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
ISO ( www.iso.org/patents ) と IEC ( http://patents.iec.ch ) は、それぞれの規格に関連する特許のオンライン データベースを維持しています。特許に関する最新情報については、データベースを参照することをお勧めします。
1 スコープ
ISO/IEC 29192 のこの部分では、軽量の暗号化実装を必要とするアプリケーションに適した 3 つのハッシュ関数を指定しています。
- PHOTON: 順列サイズが 100, 144, 196, 256, 288 ビットの軽量ハッシュ関数で、それぞれ長さ 80, 128, 160, 224, 256 ビットのハッシュ コードを計算します。
- SPONGENT: 順列サイズが 88, 136, 176, 240, 272 ビットの軽量ハッシュ関数で、それぞれ長さ 88, 128, 160, 224, 256 ビットのハッシュ コードを計算します。
- Lesamnta-LW: 長さ 256 ビットのハッシュ コードを計算する置換サイズ 384 ビットの軽量ハッシュ関数。
軽量暗号化の要件は、ISO/IEC 29192-1 に記載されています。
2 参考文献
以下のドキュメントの全体または一部は、このドキュメントで規範的に参照されており、その適用に不可欠です。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 29192-1, 情報技術 — セキュリティ技術 — 軽量暗号 — 1: 一般
3 用語と定義
このドキュメントでは、次の用語と定義が適用されます。
3.1
吸収期
スポンジ関数の入力フェーズ[ソース: [4]]
3.2
ビットレート
長さrビットのスポンジ関数の内部状態の一部 [出典: [4]]
3.3
容量
長さcビットのスポンジ関数の内部状態の一部 [出典: [4]]
3.4
耐衝突性
ハッシュ関数の同じ出力にマップされる任意の 2 つの異なる入力を見つけることは計算上不可能です
注記1:計算の実現可能性は、特定のセキュリティ要件と環境に依存します。
3.5
ハッシュコード
ハッシュ関数の出力であるビットの文字列
注記 1この主題に関する文献には、ハッシュコードと同じまたは類似の意味を持つさまざまな用語が含まれています。変更検出コード、改ざん検出コード、ダイジェスト、ハッシュ結果、ハッシュ値、インプリントなどがあります。
[出典: ISO/IEC 10118‑1: —1 , 2.3]
3.6
ハッシュ関数
次の 2 つのプロパティを満たす、ビットの文字列を固定長のビットの文字列にマップする関数: — 与えられた出力、この出力にマップされる入力を見つけることは、計算上実行不可能です。入力、同じ出力にマップされる 2 番目の入力
注記1:計算の実現可能性は、特定のセキュリティ要件と環境に依存します。
[出典: ISO/IEC 10118‑1:— 1) , 2.4]
3.7
初期値
ハッシュ関数の開始点を定義する際に使用される値
注記 1この主題に関する文献には、初期化値と同じまたは類似の意味を持つさまざまな用語が含まれています。初期化ベクトルと開始値は例です。
[出典: ISO/IEC 10118‑1:— 1) , 2.5]
3.8
プリイメージ耐性
ハッシュ関数の特定の出力、この出力にマップされる入力を見つけることは計算上不可能です
注記1:計算の実現可能性は、特定のセキュリティ要件と環境に依存します。
3.9
セカンドプライスイメージ抵抗
ハッシュ関数の特定の入力、同じ出力にマップされる 2 番目の入力を見つけることが計算上実行不可能
注記1:計算の実現可能性は、特定のセキュリティ要件と環境に依存します。
3.10
スポンジ機能
固定長順列 (または変換) とパディング規則に基づいた動作モード。可変長入力を可変長出力にマッピングする関数を構築します [SOURCE: [4]]
3.11
圧搾段階
スポンジ関数の出力フェーズ[ソース: [4]]
参考文献
| [1] | ISO/IEC 29192-2, 情報技術 — セキュリティ技術 — 軽量暗号 — 2: ブロック暗号 |
| [2] | ISO/IEC 18033-3, 情報技術 — セキュリティ技術 — 暗号化アルゴリズム — 3: ブロック暗号 |
| [3] | ISO/IEC 10118-1: - 2情報技術 - セキュリティ技術 - ハッシュ関数 - 1: 一般 |
| [4] | ベルトーニ G, デーメン J, ピーターズ M, ヴァン アッシュ G.スポンジ機能。クリプト ハッシュ ワークショップ 2007, 2007 年 5 月 |
| [5] | G Jian, T Peyrin, A Poschmann, 軽量ハッシュ関数の PHOTON ファミリ。 Proceedings of Advances in Cryptology — CRYPTO 2011, LNCS volume 6841, pp. 222-239, Springer-Verlag, 2011 |
| [6] | A Bogdanov, M Knezevic, G Leander, D Toz, K Varici, I Verbauwhed SPONGENT: 軽量ハッシュ関数。 In: Preneel, B., Takagi, T. (eds.) CHES'11. LNCS ボリューム 6917, ページ 312-32スプリンガー出版社、2011 |
| [7] | Y Zheng, T Matsumoto, および H Imai, ブロック暗号の構築について、証明可能で安全であり、証明されていない仮説に依存していない. Proceedings of Advances in Cryptology - CRYPTO'89, LNCS volume 435, pp. 461-480, Springer-Verlag, 1989 年 |
| [8] | Hirose S, Ideguchi K, Kuwakado H, Owada T, Preneel B, および Yoshida H. 軽量アプリケーション用の AES ベースの 256 ビット ハッシュ関数: Lesamnta-L IEICE Transactions on Fundamentals of Fundamentals of Electronics, Communications and Computer Sciences E95-A(1), pp. 89-99, 2012 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the WTO principles in the Technical Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/IEC JTC 1, Information technology, SC 27, IT Security techniques.
ISO/IEC 29192 consists of the following parts, under the general title Information technology — Security techniques — Lightweight cryptography:
- Part 1: General
- Part 2: Block ciphers
- Part 3: Stream ciphers
- Part 4: Mechanisms using asymmetric techniques
- Part 5: Hash-functions
Further parts may follow.
Introduction
This part of ISO/IEC 29192 specifies lightweight hash-functions, which are tailored for implementation in constrained environments.
ISO/IEC 29192-1 specifies the requirements for lightweight cryptography.
A hash-function maps an arbitrary string of bits to a fixed-length string of bits.
The International Organization for Standardization (ISO) and International Electrotechnical Commission (IEC) draw attention to the fact that it is claimed that compliance with this part of ISO/IEC 29192 may involve the use of patents. The ISO and IEC take no position concerning the evidence, validity and scope of these patent rights.
The holders of these patent rights have assured the ISO and IEC that they are willing to negotiate licences under reasonable and non-discriminatory terms and conditions with applicants throughout the world.
In this respect, the statements of the holders of these patent rights are registered with the ISO and IEC. Information may be obtained from the following:
Nanyang Technological University - NTUitive Pte Ltd
16 Nanyang Drive, #01-109, Innovation Centre, Singapore 637722
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights other than those identified above. ISO and IEC shall not be held responsible for identifying any or all such patent rights.
ISO ( www.iso.org/patents ) and IEC ( http://patents.iec.ch ) maintain on-line databases of patents relevant to their standards. Users are encouraged to consult the databases for the most up to date information concerning patents.
1 Scope
This part of ISO/IEC 29192 specifies three hash-functions suitable for applications requiring lightweight cryptographic implementations.
- PHOTON: a lightweight hash-function with permutation sizes of 100, 144, 196, 256 and 288 bits computing hash-codes of length 80, 128, 160, 224, and 256 bits, respectively.
- SPONGENT: a lightweight hash-function with permutation sizes of 88, 136, 176, 240 and 272 bits computing hash-codes of length 88, 128, 160, 224, and 256 bits, respectively.
- Lesamnta-LW: a lightweight hash-function with permutation size 384 bits computing a hash-code of length 256 bits.
The requirements for lightweight cryptography are given in ISO/IEC 29192-1.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 29192-1, Information technology — Security techniques — Lightweight cryptography — 1: General
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
absorbing phase
input phase of a sponge function[SOURCE: [4]]
3.2
bitrate
part of the internal state of a sponge function of length r bits[SOURCE: [4]]
3.3
capacity
part of the internal state of a sponge function of length c bits[SOURCE: [4]]
3.4
collision resistance
computationally infeasible to find any two distinct inputs which map to the same output of a hash-function
Note 1 to entry: Computational feasibility depends on the specific security requirements and environment.
3.5
hash-code
string of bits which is the output of a hash-function
Note 1 to entry: The literature on this subject contains a variety of terms that have the same or similar meaning as hash-code. Modification Detection Code, Manipulation Detection Code, digest, hash-result, hash-value and imprint are some examples.
[SOURCE: ISO/IEC 10118‑1:— 1 , 2.3]
3.6
hash-function
function which maps strings of bits to fixed-length strings of bits, satisfying the following two properties:— it is computationally infeasible to find for a given output, an input which maps to this output;— it is computationally infeasible to find for a given input, a second input which maps to the same output
Note 1 to entry: Computational feasibility depends on the specific security requirements and environment.
[SOURCE: ISO/IEC 10118‑1:—1), 2.4]
3.7
initializing value
value used in defining the starting point of a hash-function
Note 1 to entry: The literature on this subject contains a variety of terms that have the same or similar meaning as initializing value. Initialization vector and starting value are examples.
[SOURCE: ISO/IEC 10118‑1:—1), 2.5]
3.8
preimage resistance
computationally infeasible to find for a given output of a hash-function, an input which maps to this output
Note 1 to entry: Computational feasibility depends on the specific security requirements and environment.
3.9
second preimage resistance
computationally infeasible to find for a given input of a hash-function, a second input which maps to the same output
Note 1 to entry: Computational feasibility depends on the specific security requirements and environment.
3.10
sponge function
mode of operation, based on a fixed-length permutation (or transformation) and a padding rule, which builds a function mapping variable-length input to variable-length output[SOURCE: [4]]
3.11
squeezing phase
output phase of a sponge function[SOURCE: [4]]
Bibliography
| [1] | ISO/IEC 29192-2, Information technology — Security techniques — Lightweight cryptography — 2: Block Ciphers |
| [2] | ISO/IEC 18033-3, Information technology — Security techniques — Encryption algorithms — 3: Block ciphers |
| [3] | ISO/IEC 10118-1:— 2Information technology — Security techniques — Hash-functions — 1: General |
| [4] | G. Bertoni, J. Daemen, M. Peeters, G. Van Assche. Sponge functions. Ecrypt Hash Workshop 2007, May 2007 |
| [5] | G. Jian, T. Peyrin, A. Poschmann, The PHOTON Family of Lightweight Hash-functions. In Proceedings of Advances in Cryptology — CRYPTO 2011, LNCS volume 6841, pp. 222-239, Springer-Verlag, 2011 |
| [6] | A. Bogdanov, M. Knezevic, G. Leander, D. Toz, K. Varici, I. Verbauwhede. SPONGENT: A Lightweight Hash Function. In: Preneel, B., Takagi, T. (eds.) CHES’11. LNCS volume 6917, pp. 312–325. Springer-Verlag, 2011 |
| [7] | Y. Zheng, T. Matsumoto, and H. Imai, On the construction of block ciphers provably secure and not relying on any unproved hypotheses. In Proceedings of Advances in Cryptology — CRYPTO’89, LNCS volume 435, pp. 461–480, Springer-Verlag, 1989 |
| [8] | S. Hirose, K. Ideguchi, H. Kuwakado, T. Owada, B. Preneel, and H. Yoshida, An AES Based 256-bit Hash Function for Lightweight Applications: Lesamnta-LW. IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences E95-A(1), pp. 89-99, 2012 |