Ascon
Создатель	Кристоф Добрауниг, Мария Айхелзидер, Флориан Мендел, Мартин Шлаффер
Создан	2016
Опубликован	2016
Тип	Блочный шифр

Ascon — семейство блочных шифров, используемых для аутентифицированного шифрования с присоединёнными данными и хеширования. Набор шифров был разработан Кристофом Добраунигом, Марией Айхелзидер, Флорианом Менделем и Мартином Шлаффером. Шифры Ascon-128 и Ascon-128a стали победителями соревнования CAESAR в категории применения в приложениях с ограниченными ресурсами^[1].

Семейство шифров Ascon, используемое для аутентифицированного шифрования с присоединёнными данными и хеширования, было разработано Кристофом Добраунигом, Марией Айхелзидер, Флорианом Менделем и Мартином Шлаффером^[2].

Шифры Ascon-128 и Ascon-128a были участниками соревнования CAESAR (2014 - 2019) и стали победителями в категории применения в приложениях с ограниченными ресурсами^[1].

В августе 2019 года шифры семейства Ascon прошли во второй раунд процесса стандартизации Национального института стандартов и технологий в категории легковесной криптографии (англ. Lightweight Cryptography).^[3]

Параметры в алгоритмах семейства Ascon, используемых для аутентифицированного шифрования^[4]:

• Размер ключа ${\displaystyle k}$ (${\displaystyle k}$ ≤ 160 бит)
• Размер блока данных ${\displaystyle r}$
• Число ${\displaystyle a}$, количество раундов перестановок на начальной и завершающей стадиях
• Число ${\displaystyle b}$, количество раундов перестановок на промежуточных стадиях

Рекомендованы к использованию следующие конфигурации, соответствующие шифрам Ascon-128 и Ascon-128a ^[5].

Рекомендуемые алгоритмы

Название	Значения параметров
	k	r	a	b
Ascon-128	128 бит	64 бита	12	6
Ascon-128a	128 бит	128 бит	12	8

Каждая непосредственная реализация алгоритма, заданная параметрами ${\displaystyle k}$, ${\displaystyle r}$, ${\displaystyle a}$, ${\displaystyle b}$ определяет алгоритмы шифрования E(a, b, k, r) и дешифрования-верификации D(a, b, k, r).

Входными данными для алгоритма шифрования являются^[6]:

• исходный текст P
• присоединённые данные A
• секретный ключ K размером k бит
• публичный номер сообщения N

Выходные данные для алгоритма шифрования^[6]:

• Аутентифицированный шифротекст C (такой же длины, как и P)
• Тег аутентификации T

${\displaystyle E_{(a,b,k,r)}\left(K,N,A,P\right)=\left(C,T\right)}$

Входными данными для алгоритма дешифрования-верификации являются^[6]:

• ключ K
• одноразовый код N (Nonce)
• шифротекст C
• тег T

Выходными данными являются исходный текст P, если проверка тега была успешной, или ${\displaystyle \perp }$ (индикатор неуспешности верификации) в случае неуспеха^[6].

${\displaystyle D_{(a,b,k,r)}\left(K,N,A,C,T\right)\in \{P,\perp \}}$

В алгоритмы шифрования и дешифрования входят следующие стадии^[7]:

• Инициализация
• Обработка присоединённых данных
• Обработка исходного текста / шифротекста
• Завершающая стадия

Внутреннее состояние в алгоритмах семейства Ascon задаётся 320-битным числом S^[8]. На стадии инициализации оно формируется из секретного ключа K из k бит, одноразового кода N из 128 бит, и числа IV, характеризующего алгоритм и формируемого из параметров ${\displaystyle k}$, ${\displaystyle r}$, ${\displaystyle a}$, ${\displaystyle b}$, записанных 8-битными целыми числами^[9]:

${\displaystyle {\begin{array}{lcr}{IV}_{\,k,\,r,\,a,\,b}=k\,||\,r\,||\,a\,||\,b\,||\,0^{160-k}={\begin{cases}80400c0600000000\quad {\text{(Ascon-128)}}\\80800c0800000000\quad {\text{(Ascon-128a)}}\end{cases}}\\S={IV}_{\,k,\,r,\,a,\,b}\,||\,K\,||\,N\end{array}}}$

Затем к начальному состоянию S применяется ${\displaystyle a}$ раундов перестановок с последующим XOR со значением секретного ключа K^[9]:

${\displaystyle S\longleftarrow p^{a}(S)\oplus \left(0^{320-k}\,||\,K\right)}$

При шифровании и дешифровании Ascon обрабатывает присоединённые данные A блоками по ${\displaystyle r}$ бит. К присоединённым данным A приписывается единица и минимальное число нулей, необходимое для получения числа с размером кратным ${\displaystyle r}$ бит. Далее получившееся число делится на ${\displaystyle s}$ блоков по ${\displaystyle r}$ бит в каждом. В случае, когда присоединённые данные отсутствуют, данные операции опускаются^[10].

${\displaystyle A_{1},\,A_{2},\,\dots ,\,A_{s}\longleftarrow {\begin{cases}{\text{r - битные блоки}}\,A\,||\,1\,||\,0^{r-1-\left(|A|\mod r\right)}\quad |A|>0\\\varnothing \quad |A|=0\end{cases}}}$

Далее к каждому блоку ${\displaystyle A_{i},\,1\leq i\leq s}$ применяется операция XOR c первыми ${\displaystyle r}$ битами состояния S. Затем выполняется ${\displaystyle b}$ раундов перестановок над числом S^[10]:

${\displaystyle S\longleftarrow p^{b}\left(\left(S_{r}\oplus A_{i}\right)\,||\,S_{320-r}\right)\quad 1\leq i\leq s}$

В конце производится операция XOR c однобитной константой разделения^[10]:

${\displaystyle S\longleftarrow S\oplus \left(0^{319}\,||\,1\right)}$

Ascon обрабатывает исходный текст P блоками по ${\displaystyle r}$ бит. К исходному тексту P приписывается единица и минимальное число нулей, необходимое для получения числа с размером кратным ${\displaystyle r}$ бит. Далее получившееся число делится на ${\displaystyle t}$ блоков по ${\displaystyle r}$ бит в каждом^[11]:

${\displaystyle P_{1},\,P_{2},\,\dots ,\,P_{t}\longleftarrow {\text{r - битные блоки}}\,P\,||\,1\,||\,0^{\left(|P|\mod r\right)}}$

Из каждого блока ${\displaystyle P_{i},\,1\leq i\leq t}$, используя XOR c первыми ${\displaystyle r}$ битами состояния S, получается блок шифротекста ${\displaystyle C_{i}}$. При этом при выделении каждого из блоков ${\displaystyle C_{i}}$ кроме последнего над состоянием S производится ${\displaystyle b}$ раундов перестановок^[11]:

${\displaystyle {\begin{array}{lcl}C_{i}&\longleftarrow &S_{r}\oplus P_{i}\\S&\longleftarrow &{\begin{cases}p^{b}\,\left(C_{i}\,||\,S_{320-r}\right)&\,&1\leq i<t\\C_{i}\,||\,S_{320-r}&\,&i=t\end{cases}}\end{array}}}$

При выделении последнего блока ${\displaystyle C_{t}}$ его размер преобразуется так, чтобы размер полученнего шифротекста совпадал с размером исходного текста^[10]:

${\displaystyle {\tilde {C_{t}}}\longleftarrow {\left\lfloor C_{t}\right\rfloor }_{|P|\mod r}}$

Для каждого из блоков шифротекста ${\displaystyle C_{i}}$ кроме последнего блок исходного текста ${\displaystyle P_{i}}$ получается за счёт применения XOR к первым ${\displaystyle r}$ битам состояния S. При этом эти ${\displaystyle r}$ бит замещаются соответствующим ${\displaystyle C_{i}}$. Кроме того, для всех блоков ${\displaystyle C_{i}}$ кроме последнего при выделении ${\displaystyle P_{i}}$ состояние S преобразуется за счёт ${\displaystyle b}$ раундов перестановок^[11]:

${\displaystyle {\begin{array}{lcr}P_{i}\longleftarrow S_{r}\oplus C_{i}\\S\longleftarrow p^{b}\left(C_{i}\,||\,S_{320-r}\right)\quad 1\leq i<t\end{array}}}$

Преобразование для последнего преобразованного блока ${\displaystyle {\tilde {C_{t}}}}$^[11]:

${\displaystyle {\begin{array}{lcr}{\tilde {P_{t}}}\longleftarrow {\left\lfloor S_{r}\right\rfloor }_{l}\oplus {\tilde {C_{t}}}\\S\longleftarrow \left(S_{r}\oplus \left({\tilde {P_{t}}}\,||\,1\,||\,0^{r-1-l}\right)\right)\,||\,S_{320-r}\end{array}}}$

В завершающей стадии применяется операция XOR к секретному ключу и состоянию S. Затем к состоянию S применяются ${\displaystyle a}$ раундов перестановок. Тег T получается за счёт применения операции XOR к последним 128 битам состояния S (наименее значимым) и к последним 128 битам ключа K^[11]:

${\displaystyle {\begin{array}{lcr}S\longleftarrow p^{a}\left(S\oplus \left(0^{r}\,||\,K\,||\,0^{320-r-k}\right)\right)\\T\longleftarrow {\left\lceil S\right\rceil }^{128}\oplus {\left\lceil K\right\rceil }^{128}\end{array}}}$

Алгоритм шифрования возвращает тег T вместе с шифротекстом ${\displaystyle C_{1}\,||\,C_{2}\,||\,\dots ||\,{\tilde {C_{t}}}}$.

Алгоритм дешифрования-верификации возвращает исходный текст ${\displaystyle P_{1}\,||\,P_{2}\,||\,\dots ||\,{\tilde {P_{t}}}}$ в случае, если сгенерированный тег совпадает с тегом, переданным как параметр.

Главные процессы в шифрах Ascon это перестановки ${\displaystyle p^{a}}$ и ${\displaystyle p^{b}}$. Они осуществляются над внутренним состоянием S, которое делится на 5 слов по 64 бит каждое ${\displaystyle x_{0},\,x_{1},\,x_{2},\,x_{3},\,x_{4}}$. В алгоритме перестановок последовательно применяется преобразование, которое основывается на SP-сети. Данное преобразование составляют 3 основных стадии^[12]:

1. Стадия прибавления констант
2. Стадия замещения с 5-битным блоком замещения (англ. Substitution Box или S-box)
3. Стадия линейной диффузии с 64-битными диффузионными функциями

На данной стадии к слову ${\displaystyle x_{2}}$ в раунде перестановки ${\displaystyle i}$ добавляется константа ${\displaystyle c_{m}}$, где ${\displaystyle m=i}$ для перестановок ${\displaystyle p^{a}}$ и ${\displaystyle m=i+a-b}$ для перестановок ${\displaystyle p^{b}}$^[12]:

${\displaystyle x_{2}\longleftarrow x_{2}\oplus c_{m}}$

Значения констант задаются следующей таблицей^[12]:

Константы ${\displaystyle c_{m}}$ для раундов ${\displaystyle i}$ в ${\displaystyle p^{a}}$ и ${\displaystyle p^{b}}$

${\displaystyle p^{12}}$	${\displaystyle p^{8}}$	${\displaystyle p^{6}}$	Константа ${\displaystyle c_{m}}$	${\displaystyle p^{12}}$	${\displaystyle p^{8}}$	${\displaystyle p^{6}}$	Константа ${\displaystyle c_{m}}$
0			000000000000000000f0	6	2	0	00000000000000000096
1			000000000000000000e1	7	3	1	00000000000000000087
2			000000000000000000d2	8	4	2	00000000000000000078
3			000000000000000000c3	9	5	3	00000000000000000069
4	0		000000000000000000b4	10	6	4	0000000000000000005a
5	1		000000000000000000a5	11	7	5	0000000000000000004b

На стадии замещения параллельно применяется 5-битный блок замещения (S-блок) ${\displaystyle S(x)}$ к каждому соответствующему битовому массиву из слов ${\displaystyle x_{0},\,x_{1},\,x_{2},\,x_{3},\,x_{4}}$. Представленный в виде таблицы поиска S-блок для семейства шифров Ascon^[13]:

5-битный блок замещения в виде таблицы поиска

x	0	1	2	3	4	5	6	7	8	9	a	b	c	d	e	f	10	11	12	13	14	15	16	17	18	19	1a	1b	1c	1d	1e	1f
S(x)	4	b	1f	14	1a	15	9	2	1b	5	8	12	1d	3	6	1c	1e	13	7	e	0	d	11	18	10	c	1	19	16	a	f	17

На стадии линейной диффузии делается преобразование диффузии в каждом 64-битном слове ${\displaystyle x_{0},\,x_{1},\,x_{2},\,x_{3},\,x_{4}}$ за счёт применения линейных функций к каждому слову ${\displaystyle x_{i}}$^[13]:

${\displaystyle x_{i}\longleftarrow \sum _{i}\left(x_{i}\right)\quad 0\leq i\leq 4}$

Для семейства Ascon линейные диффузионные функции реализованы как^[13]:

${\displaystyle {\begin{array}{l}x_{0}&\longleftarrow \sum _{0}\left(x_{0}\right)=x_{0}\oplus \left(x_{0}\ggg 19\right)\oplus \left(x_{0}\ggg 28\right)\\x_{1}&\longleftarrow \sum _{1}\left(x_{1}\right)=x_{1}\oplus \left(x_{1}\ggg 61\right)\oplus \left(x_{1}\ggg 39\right)\\x_{2}&\longleftarrow \sum _{2}\left(x_{2}\right)=x_{2}\oplus \left(x_{2}\ggg 1\right)\oplus \left(x_{2}\ggg 6\right)\\x_{3}&\longleftarrow \sum _{3}\left(x_{3}\right)=x_{3}\oplus \left(x_{3}\ggg 10\right)\oplus \left(x_{3}\ggg 17\right)\\x_{4}&\longleftarrow \sum _{4}\left(x_{4}\right)=x_{4}\oplus \left(x_{4}\ggg 7\right)\oplus \left(x_{4}\ggg 41\right)\\\end{array}}}$

Шифры Ascon-128 и Ascon-128a стали победителями соревнования CAESAR в категории применения в приложениях с ограниченными ресурсами^[1]. На данный момент с учётом продолжительного публичного исследования и криптоанализа предложенных шифров не было выявлено недостатков в надёжности шифров^[14].

Алгоритмы Ascon работают с 64-битными словами и используют лишь простые побитовые операции. Это существенно упрощает реализацию алгоритмов семейства на новых платформах^[14].

Алгоритмы семейства Ascon могут быть использованы в интерактивном режиме, т.е. в условиях, когда входные данные и их длина ещё не известны полностью. Кроме того, для работы алгоритмов шифрования и дешифрования достаточно лишь одного прохода по данным^[14].

1. ↑ ^{1 2 3} Ascon v1.2. Submission to NIST, 2019, p. 4.
2. ↑ Cryptanalysis of Ascon, 2015, p. 1.
3. ↑ Lightweight Cryptography (LWC) Standardization: Round 2 Candidates Announced (англ.). NIST (30 августа 2019). Дата обращения: 24 декабря 2019. Архивировано 24 декабря 2019 года.
4. ↑ Ascon v1.2. Submission to NIST, 2019, p. 5.
5. ↑ Ascon v1.2. Submission to NIST, 2019, p. 6.
6. ↑ ^{1 2 3 4} Ascon v1.2. Submission to the CAESAR Competition, 2016, p. 2.
7. ↑ Ascon v1.2. Submission to the CAESAR Competition, 2016, pp. 2 – 6.
8. ↑ Cryptanalysis of Ascon, 2015, p. 2.
9. ↑ ^{1 2} Ascon v1.2. Submission to NIST, 2019, p. 8.
10. ↑ ^{1 2 3 4} Ascon v1.2. Submission to NIST, 2019, p. 9.
11. ↑ ^{1 2 3 4 5} Ascon v1.2. Submission to NIST, 2019, p. 10.
12. ↑ ^{1 2 3} Ascon v1.2. Submission to NIST, 2019, p. 13.
13. ↑ ^{1 2 3} Ascon v1.2. Submission to NIST, 2019, p. 14.
14. ↑ ^{1 2 3} Ascon v1.2. Submission to NIST, 2019, p. 17.

• CAESAR submissions . CAESAR submissions.