輕量級加密解決方案

對稱加密使用最廣泛的算法是AES，自2001年取代DES以來，它一直是NIST標(biāo)準(zhǔn)。但是，AES 是一種通用加密算法，有時難以滿足資源受限應(yīng)用程序的功耗和延遲要求。對于芯片設(shè)計人員來說，這個問題表現(xiàn)為需要保護(hù)與外部閃存的通信通道。

由于我們的目標(biāo)是小于 28nm 的工藝節(jié)點(diǎn)，設(shè)計人員不得不應(yīng)對由較小幾何形狀引起的復(fù)雜問題，從接近度、多邊形間距和其他布局相關(guān)效應(yīng)到確定合適的 FinFET 寬度。一個與安全相關(guān)的限制是難以構(gòu)建浮動門以支持較小幾何形狀的嵌入式閃存。對于28nm以下的片上多次可編程（MTP）非易失性存儲器（NVM），沒有任何可行的選擇，設(shè)計正在過渡到外部閃存：

不幸的是，這允許對手觀察和修改存儲在外部閃存中的數(shù)據(jù)，并且還使發(fā)起更高級的側(cè)信道和故障注入攻擊變得更加容易。這不是一個微不足道的問題，因為我們需要一個同時的解決方案：

保護(hù)存儲在外部閃存中的數(shù)據(jù)的機(jī)密性和完整性，

提供針對高級側(cè)信道和故障注入攻擊的保護(hù)，

能夠支持 QSPI 閃存 100MB/s 的讀/寫速度，最后

不會給產(chǎn)品帶來巨大的功率和面積開銷。

自然的首選方法是利用現(xiàn)有的AES引擎來保護(hù)數(shù)據(jù)。但是，僅加密并不能阻止對手修改數(shù)據(jù)。為此，我們需要在經(jīng)過身份驗證的加密模式下使用密碼，例如 GCM 操作模式。不幸的是，AES-GCM難以滿足抗攻擊性的最終要求。AES最初設(shè)計為抵抗側(cè)信道或故障攻擊，對算法的修改將提供該級別的保護(hù)會導(dǎo)致相當(dāng)大的面積和功耗損失。

為了滿足我們所有期望特征的解決方案，我們需要關(guān)注新興的輕量級密碼學(xué)領(lǐng)域。

輕量級加密

需要資源受限設(shè)備的應(yīng)用在物聯(lián)網(wǎng) （IoT）、汽車和醫(yī)療傳感器等領(lǐng)域一直在迅速擴(kuò)展。為了在功耗和面積非常寶貴的情況下提供安全性，重點(diǎn)已從AES等通用加密算法轉(zhuǎn)移到明確的輕量級設(shè)計。

重要的是，輕量級加密算法不會犧牲安全性：密鑰長度仍然要求至少為 128 位，與 AES-128 匹配。相反，輕量級加密算法旨在在嵌入式設(shè)備中常見的資源限制內(nèi)工作，例如，與通用對應(yīng)算法相比，需要更少的寄存器和RAM。重要的是，所有標(biāo)準(zhǔn)化的輕量級候選產(chǎn)品都旨在抵抗側(cè)信道和故障攻擊。

但是，與外部閃存通信的高吞吐量要求呢？盡管針對資源受限的設(shè)備，但輕量級算法通?？梢詣龠^ AES 等通用算法。作為NIST標(biāo)準(zhǔn)化一組輕量級算法的努力的一部分，它們對AES的性能在Cortex-M4F處理器上進(jìn)行了評估。許多候選的輕量級算法能夠勝過AES。

通過改變消息和相關(guān)數(shù)據(jù)長度，針對AES評估每個候選的標(biāo)準(zhǔn)化輕量級算法。藍(lán)色方塊表示輕量級算法通過更快地處理數(shù)據(jù)而優(yōu)于 AES，而紅色方塊表示 AES 更快。

從下面的圖中，我們可以看到，許多考慮標(biāo)準(zhǔn)化的輕量級加密算法盡管是為資源受限的環(huán)境設(shè)計的，但能夠勝過 AES。

NIST輕量級密碼學(xué)標(biāo)準(zhǔn)化工作的決賽入圍者于2021年初公布，最終標(biāo)準(zhǔn)將于2022年某個時候發(fā)布。

對于資源受限的產(chǎn)品，與更傳統(tǒng)的通用算法（如 AES）相比，新型輕量級加密算法可顯著節(jié)省功耗和面積。盡管是為資源受限的環(huán)境而設(shè)計的，但許多輕量級加密算法比 AES 更快。由于我們的產(chǎn)品針對28nm以下的工藝節(jié)點(diǎn)，缺乏嵌入式多次可編程非易失性存儲器在芯片和外部閃存之間引入了攻擊面。輕量級加密算法是保護(hù)芯片和外部閃存之間數(shù)據(jù)的一種候選解決方案。

審核編輯：郭婷