一种非常紧凑的掩码 AES 的硬件设计与实现

• Published in: Journal of Cryptologic Research Vol. 11; no. 3; p. 662
• Main Authors: Qian, SUI, Jia-Yun, ZHOU, Yi-Hao, ZHU, Yang, SU, Sen, XU, Wei-Jia, WANG, 隋谦, 周佳运, 祝一豪, 苏杨, 许森, 王伟嘉
• Format: Journal Article
• Language: Chinese
• Published: Beijing Chinese Association for Cryptologic Research, Journal of Cryptologic Research 19.07.2024
• Subjects: Affine transformations; Algorithms; Cryptography; Delta function; Lower bounds; Masking; Random numbers; Security
• ISSN: 2097-4116
• DOI: 10.13868/j.cnki.jcr.000701

差分能量分析作为一种强大的侧信道攻击手段, 已经严重威胁到密码算法硬件实现的安全性, 目前防护此类攻击最有效的方法就是对密码算法进行掩码处理. 在 AES 算法中只有 S 盒是非线性的, 因此如何安全高效地实现 S 盒一直是密码学领域的研究热点之一. 本文在 De Meyer 等人研究工作的基础上, 提出了一种具有已知最小面积的掩码 S 盒的串行化实现方案. 先将用于零值处理的 Kronecker Delta 函数串行化, 接着通过共享一个 8 位乘法器模块用于求逆以及布尔掩码和乘法掩码之间的转换, 最后加上仿射变换以最小的面积代价实现了 S 盒. 本文将 S 盒应用于 AES 算法, 并且提供了掩码 AES 的串行化实现方案, 同时给出了该方案的面积下限, 在此基础上, 对 S 盒及 AES 算法的部分结构进行调整, 为未来的工作提供了一系列权衡面积和延迟的手段. 实验表明, 在可比的随机数成本下, 本文 S 盒的一阶掩码和二阶掩码实现以一定延迟为代价将面积分别降低了 48% 和 70%, AES 算法的一阶掩码和二阶掩码实现分别降低 10%和 21%, 并且随着安全阶数的增大, 本文实现方案对面积的优化幅度会进一步提高. 最后, 在实验中通过对从 SAKURA-G 板上获取的轨迹执行固定与随机的 Welch T 测试来验证实现的安全性, 对于AES算法的一阶掩码和二阶掩码实现分别采集了多达 50 万条曲线, 没有发现泄漏点.