輕量級密碼學

輕量級密碼學（Lightweight Cryptography, LWC）是一類專為計算能力、記憶體和電力資源極度受限的設備（如物聯網感測器、RFID標籤、車用電子控制單元ECU）所設計的密碼演算法。傳統加密標準（如AES）對這些設備而言過於耗能。LWC的核心目標是在維持足夠安全強度的前提下，最大化運作效率並最小化資源佔用。國際標準組織已對此進行規範，其中最具代表性的是 **ISO/IEC 29192** 系列標準，它定義了輕量級分組密碼、雜湊函數等多種機制。此外，美國國家標準暨技術研究院（NIST）於2023年完成了其LWC標準化專案，最終選定 **ASCON** 演算法家族作為新標準。在車輛網宇安全風險管理體系 **ISO/SAE 21434** 中，LWC被視為一項關鍵的技術控制措施，用以保護車內網路（如CAN bus）和車對外通訊（V2X）的資料機密性與完整性，有效緩解中間人攻擊與資料竄改等風險。

在汽車產業的風險管理實務中，導入輕量級密碼學（LWC）需遵循嚴謹的流程，以符合 **ISO/SAE 21434** 的要求。第一步為 **威脅分析與風險評估（TARA）**：識別車輛中資源受限但關鍵的資產，例如煞車系統的ECU或電池管理系統（BMS），並分析其面臨的通訊竊聽、指令偽造等威脅。第二步是 **安全控制措施設計與導入**：針對評估出的高風險項目，選擇經 **NIST** 或 **ISO/IEC 29192** 標準化的LWC演算法（如ASCON），將其整合進ECU的韌體中，對關鍵控制訊號進行加密與訊息鑑別碼（MAC）驗證。例如，德國某汽車製造商在其無線胎壓偵測系統（TPMS）中採用LWC，防止駭客發送偽造的壓力數據。第三步為 **安全驗證與確認**：透過硬體滲透測試與旁通道攻擊分析，驗證LWC實施的穩健性。導入後，該製造商的TPMS相關風險事件報告 **減少了90%**，並使其產品 **100%通過** 歐盟新車安全法規UN R155的網宇安全審計。

台灣汽車零組件供應商在導入輕量級密碼學（LWC）時，主要面臨三大挑戰。**挑戰一：供應鏈標準碎片化**，不同國際車廠（OEM）客戶可能指定不同的LWC演算法（如ASCON, PRESENT等），導致Tier 1供應商需投入大量研發資源以維持多版本韌體，增加管理複雜度。**挑戰二：硬體安全整合人才短缺**，LWC的安全性高度依賴於其在晶片層級的正確實作，但台灣普遍缺乏兼具密碼學知識與硬體設計能力的跨領域專家。**挑戰三：缺乏旁通道攻擊（Side-Channel Attack）的驗證能力**，這類攻擊能從功耗、電磁輻射等物理洩漏中竊取金鑰，但建置相關檢測實驗室成本高昂，非一般中小企業所能負擔。**對策**：首先，應建立一個模組化的安全韌體架構，將密碼學函式庫設計為可抽換元件，**優先行動**為追蹤前三大客戶的技術路線圖，**預期6個月內** 完成架構設計。其次，與積穗科研等專業顧問合作，進行客製化人才培訓與導入輔導。最後，可利用工研院或第三方實驗室的服務進行旁通道攻擊驗證，或直接採購已通過 **FIPS 140-3** 認證的硬體IP，以符合國際客戶的合規要求。

積穗科研股份有限公司專注台灣企業lightweight cryptography相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact