后量子加密算法的硬件实现综述

现有的密码体制大多基于RSA、ECC等公钥密码体制,在信息安全系统中实现密钥交换、数字签名和身份认证等,有其独特的优势,其安全性分别依赖于解决整数分解问题和离散对数问题的难度。近年来,随着量子计算机的快速发展,破解上述数学问题的时间大幅减少,这将严重损害数字通信的安全性、保密性和完整性。与此同时,一个新的密码学领域,即后量子密码学应运而生,基于它的加密算法可以对抗量子计算机的攻击,因此成为近年来的热点研究方向。2016年以来,NIST向世界各地的研究者征集候选抗量子密码学方案,并对全部方案进行安全性、成本和性能的评估,最终通过评估的候选方案将被标准化。本文比较了NIST后量子密码学算法征集(第2轮、第3轮)的各个方案,概述目前后量子加密算法的主要实现方法:基于哈希、基于编码、基于格和基于多变量,分析了各自的安全性,签名参数及计算量的特点以及后期的优化方向。PQC算法在硬件实现上的挑战其一是算法规范的数学复杂性,这些规范通常是由密码学家编写的,关注的重点是其安全性而非实现的效率,其二需要存储大型公钥、私钥和内部状态,这可能会导致不能实现真正的轻量级,从而降低硬件实现的效率。本文重点介绍了目前后量子加密算法的硬件实现方式,包括PQC硬件应用程序编程接口的开发,基于HLS的抽象实现和基于FPGA/ASIC平台的硬件实现。PQC方案的硬件化过程中不仅需要算法的高效实现,同时需要抵抗针对硬件结构的侧信道攻击。侧信道攻击可以通过来自目标设备泄露的相关信息来提取密码设备的密钥。本文讨论了后量子加密算法在具体实现和应用中受到侧信道攻击类别和防御对策。     

FPGA上SHA-1算法的流水线结构实现

哈希算法SHA-1算法广泛地应用于电子商务、商用加密软件等信息安全领域。通过对SHA-1算法的深入分析,提出了流水线结构的硬件实现方案。通过缩短关键路径,使用片内RAM代替LE寄存器实现流水线中间变量的数据传递,有效地提高了工作频率和单位SHA-1算法的计算速度。这种硬件结构在Altera系列芯片上的实现性能是Altcra商用SHA-1算法IP核的3倍以上。     

基于LUT的高速低硬件开销SHA-3算法设计

通过对SHA-3算法和查找表(Look-Up-Table,LUT)方法的研究,提出一种高速低硬件开销SHA-3算法设计方案。首先,该方案利用状态机实现SHA-3算法核心置换函数的轮运算,并结合LUT方法处理每轮运算的数据交换和数据存储;然后,采用硬件模块并行处理和存储单元共用的方式,提高SHA-3算法的速度、降低硬件开销。最后,在SMIC 65nm CMOS工艺下设计SHA-3算法,DC综合后电路面积为65 833μm~2,在1.2V电压下最高工作频率可达到150MHz,功耗为2.5mW。     

无线网络化传感器中的AES VLSI设计

提出了一种高性价比的先进密码算法（AES）加／解密系统超大规模集成电路〈VLSI）实现方案。为了减少硬件开销,采用模块复用技术对AES的2个核心运算部件（字节代换和列混合）进行了硬件可逆设计;为了提高加／解密速度,采用了轮间和轮内相结合的流水线结构;设计了一种轮密钥扩展结构,解决高速加／解时轮密钥分配的同步问题。实验结果表明：该设计不仅能够正确实现高速的AES加／解密运算,而且,与其他同类设计相比,具有更高的性价比。     

迈向量子安全：后量子密码迁移研究与思考

量子科技的飞速发展使得大规模量子计算机的实现只是时间问题,一些量子算法的提出(如Shor、Grover、Simon)使得对现代密码体制(公钥密码和对称密码)实施量子计算攻击成为可能,从而严重威胁经典密码的安全。为提升密码系统抵抗量子计算攻击的能力,以格密码为代表的后量子密码(PQC)算法得到广泛关注和研究。从经典密码算法到PQC的迁移是密码系统实现量子安全的有效路径。首先,该文调研了NIST,ETSI及其他组织和学者提出的PQC迁移路线,总结起来,就是以NIST为代表的替换方案、以ETSI为代表的二次加密方案以及其他混合加密方案三种迁移路线;其次,针对PQC迁移过程,从迁移目标、迁移准备、迁移实施三个环节介绍了迁移策略;此外,为了促进PQC迁移的顺利高效实施,提出了需要考虑的迁移评估要素,包括资源投入、时间成本、业务风险、维护成本、用户体验、商业影响六个方面;最后,提出PQC迁移下一步研究方向。总之,文中工作将为PQC迁移的方案设计和高效实施提供有益参考。     

Skein算法的流水线结构设计与实现

硬件实现的速度和性能是SHA-3算法甄选的重要指标。针对SHA-3末轮5个候选算法之一的Skein算法,结合其4轮迭代结构的关键路径较短而8轮迭代结构实现所用的选择器较少的优点,采用FPGA实现了一个两级流水线结构的Skein算法IP核。仿真验证结果表明,该算法在Xilinx Virtex-5上数据吞吐量达到6. 4Gbps,比之前的非流水线结构速度性能提高了82%以上,硬件资源利用率提高了2100,特别适用于Hash树计算。     

基于MLWE的格密码高效硬件实现

后量子密码的发展已经引起各界的广泛关注,硬件实现效率是后量子密码最终标准的重要衡量指标之一。其中基于模误差学习问题(Module Learning With Errors,MLWE)的CRYSTALS-Kyber格密码是NIST第三轮后量子密码标准中最有希望的一种加密方案,可变的公钥矩阵维度参数k将基于MLWE的公钥加密方案的安全性扩展到不同级别,相较于其他格密码方案更具灵活性和安全性。本文首先分析了基于NIST第三轮最新参数q=3329的MLWE的格密码公钥加密方案的算法理论,并针对其中的核心模块—多项式乘法模块提出了两种不同的硬件实现方式。两种多项式乘法硬件实现方式都是采用基于频率抽取的数论变换(Number Theoretic Transform,NTT)算法,使用NTT算法实现多项式乘法降低了传统算法实现的线性复杂度,在硬件结构上能够面对不同应用场景进行优化,因此本文针对NTT算法中循环计算的核心模块提出了两种不同的优化硬件结构。一是面积和执行时间折中的迭代型NTT硬件结构,二是高性能低时延的多路延时转接(Multi-path Delay Commutator)的流水型NTT硬件结构;并且针对于面积时间均衡的迭代型NTT模块设计了一种整体MLWE硬件实现结构。与已有的先进设计相比,本文的流水型NTT结构具备更好的速度性能,在速度上相较于之前的设计分别提升11.64%和59.43%。而对于使用迭代型NTT的MLWE整体实现方案,本文的设计使用了最少的周期和最小的面积时间乘积(Area-Time-Product,ATP),其效率比最新发表的工作的硬件效率实现高2倍左右。     

RFID系统中低功耗JH算法的设计与实现

针对资源占用少,功耗要求低的RFID的应用时,低功耗成为哈希算法的一个重要指标.JH算法是SHA-3最后一轮候选算法之一;本文通过改进JH算法中轮函数Rd的算法结构,设计了数据单元为16 bit的JH算法的硬件实现体系结构,提出了一种适应于RFID系统的低功耗JH算法的硬件实现方案.本文以JH-256和JH-512算法为例进行低功耗硬件实现;在Xilinx Virtex-5FPGA平台上,本文的设计分别占用了956 slices和1020 slices,在Altera StratixⅢFPGA平台上分别占用了1480 ALUTs和1660ALUTs;在ASIC0.18μm CMOS库上,当工作频率为100 kHz时,本文的设计分别占用了24797门和26386门,功耗分别为27.8859μW和29.8197 μW.实验结果表明,本文JH-256、JH-512算法的硬件实现性能满足RFID系统的应用需求.     

超低成本的AES算法VLSI实现

提出一种超低成本的先进密码算法（AES）的VLSI实现方案.为了尽量减小硬件开销,将每轮128位的加解密运算分成4次32位运算,以两级流水线结构实现,同时通过模块复用和优化运算次序,特别是提出了一种低成本的密钥扩展结构,以很小的硬件代价获得很高的性能.本设计采用HHNEC 0.25um标准CMOS工艺,单元面积仅约12k等效门;在100MHz工作频率下,128位加密的数据吞吐率达到256Mbps.     

基于NTRU格的异构签密

异构签密是为了解决不同的密码体制之间的安全通信。然而目前构造的异构签密方案的安全性都是基于传统数论困难问题。由于近些年来量子计算机技术的大力发展,使得传统密码体制的安全性受到巨大威胁。为了抵抗量子计算攻击,基于NTRU格设计是从传统PKI公钥密码体制到身份公钥密码体制(TPKI-to-IDPKC)的异构签密方案,而且在随机预言机模式下证明了方案的安全性。该方案与现有的格上异构签密方案相比密钥更小,效率更高。     

High-Speed FPGA Implementation of Secure Hash Algorithm for IPSec and VPN Applications

Hash functions are special cryptographic algorithms, which are applied wherever message integrity and authentication are critical. Implementations of these functions are cryptographic primitives widely used in common cryptographic schemes and security protocols such as Internet Protocol Security (IPSec) and Virtual Private Network (VPN). In this paper, a novel FPGA implementation of the Secure Hash Algorithm 1 (SHA-1) is proposed. The proposed architecture exploits the benefits of pipeline and re-timing of execution through pre-computation of intermediate temporal values. Pipeline allows division of the calculation of the hash value in four discreet stages, corresponding to the four required rounds of the algorithm. Re-timing is based on the decomposition of the SHA-1 expression to separate information dependencies and independencies. This allows pre-computation of intermediate temporal values in parallel to the calculation of other independent values. Exploiting the information dependencies, the fundamental operational block of SHA-1 is modified so that maximum operation frequency is increased by 30% approximately with negligible area penalty compared to other academic and commercial implementations. The proposed SHA-1 hash function was prototyped and verified using a XILINX FPGA device. The implementation’s characteristics are compared to alternative implementations proposed by the academia and the industry, which are available in the international IP market. The proposed implementation achieved a throughput that exceeded 2,5 Gbps, which is the highest among all similar IP cores for the targeted XILINX technology.     

一种高吞吐率低成本的AES协处理器设计*

设计了一种高吞吐率低成本的AES协处理器。在加解密过程中采用共享技术,S盒采用复合域算法,减少了面积的需求;在轮内设计四级流水结构,有效地缩短关键路径,从而提高了处理器的数据吞吐率;同时在密钥扩展模块内插入寄存器,保证了轮密钥与轮循环的同步。基于Virtex II Pro FPGA 芯片（90 nm工艺技术）实现该结构,消耗面积仅约2 118 slices;在最高工作频率189 MHz下,128位加密的数据吞吐率达到1.8 Gbps。与同类设计相比,该处理器吞吐率/资源消耗比值较高。     

Reliable advanced encryption standard hardware implementation: 32- bit and 64-bit data-paths

Cryptographic primitives are extensively used in today's applications to provide the desired security. Malicious or accidental faults that occur in the hardware implementations of cryptographic primitives, specifically in this paper the Advanced Encryption Standard (AES), can result in an erroneous output of encryption/decryption process and reduce the reliability of the cryptographic hardware. The use of a suitable fault-tolerant scheme for AES, to recover it from failures or attacks and bring it back to an operational state, is crucial for reliability, and consequently for security purposes. In this paper, two novel online fault-tolerant schemes are proposed for AES. In the proposed fault-tolerant architecture, the round path is modified and divided it into two pipeline stages. The proposed fault-tolerant schemes are based on a combination of hardware and time redundancies, where a new hardware redundancy is proposed for the AES round function and a time redundancy for the hardware of the AES key expansion unit. The presented fault-tolerant schemes are valid for all versions of AES and are independent of its S-box implementation manner. Both ASIC and FPGA implementations of the original and the proposed fault-tolerant AES along with Full TMR (Triple Modular Redundancy) and Full TTR (Triple Time Redundancy) structures are reported as traditional fault-tolerant schemes. It is shown that the first proposed fault-tolerant architecture, named TMRrp&TTRke32, outperforms these approaches and the previous report in the literature in terms of area overhead and therefore power consumption. Also, the other approach, named TMRrp&TTRke64, is better than the other approaches in achieving a trade-off between area overhead and throughput overhead.     

Implementation of the SHA-2 Hash Family Standard Using FPGAs

The continued growth of both wired and wireless communications has triggered the revolution for the generation of new cryptographic algorithms. SHA-2 hash family is a new standard in the widely used hash functions category. An architecture and the VLSI implementation of this standard are proposed in this work. The proposed architecture supports a multi-mode operation in the sense that it performs all the three hash functions (256, 384 and 512) of the SHA-2 standard. The proposed system is compared with the implementation of each hash function in a separate FPGA device. Comparing with previous designs, the introduced system can work in higher operation frequency and needs less silicon area resources. The achieved performance in the term of throughput of the proposed system/architecture is much higher (in a range from 277 to 417%) than the other hardware implementations. The introduced architecture also performs much better than the implementations of the existing standard SHA-1, and also offers a higher security level strength. The proposed system could be used for the implementation of integrity units, and in many other sensitive cryptographic applications, such as, digital signatures, message authentication codes and random number generators.     

Rijndael加密算法在低成本FPGA上的实现

论文介绍了Rijndael加密算法的不同硬件实现方式。为了兼顾硬件资源和电路性能两个方面,根据XilinxFPGA内在的结构特点,设计采用了inner-round流水线结构,利用了FPGA的内置RAM和丰富的寄存器资源,在消耗很少资源的情况下获得了极高的加密速度。     

优化的JPEG2000算术编码器结构

各种并行位平面编码算法极大提高了上下文/符号数据对的产生速度,与此同时,算术编码算法的串行本质却严重限制了这些数据对的编码速度。因此,算术编码器(AE)已经成为JPEG2000系统的瓶颈问题。本文分析了现存各种算术编码器结构的缺陷,并提出了一种优化的单输入三级流水线结构。FPGA实现结果表明,本文结构以最小的硬件代价(1100 ALUTs和365 registers)获得了最优的实际数据吞吐率((133N)/(N+2))。