對(duì)稱加密使用最廣泛的算法是AES，自2001年取代DES以來，它一直是NIST標(biāo)準(zhǔn)。但是，AES 是一種通用加密算法，有時(shí)難以滿足資源受限應(yīng)用程序的功耗和延遲要求。對(duì)于芯片設(shè)計(jì)人員來說，這個(gè)問題表現(xiàn)為需要保護(hù)與外部閃存的通信通道。

由于我們的目標(biāo)是小于 28nm 的工藝節(jié)點(diǎn)，設(shè)計(jì)人員不得不應(yīng)對(duì)由較小幾何形狀引起的復(fù)雜問題，從接近度、多邊形間距和其他布局相關(guān)效應(yīng)到確定合適的 FinFET 寬度。一個(gè)與安全相關(guān)的限制是難以構(gòu)建浮動(dòng)門以支持較小幾何形狀的嵌入式閃存。對(duì)于28nm以下的片上多次可編程（MTP）非易失性存儲(chǔ)器（NVM），沒有任何可行的選擇，設(shè)計(jì)正在過渡到外部閃存：

不幸的是，這允許對(duì)手觀察和修改存儲(chǔ)在外部閃存中的數(shù)據(jù)，并且還使發(fā)起更高級(jí)的側(cè)信道和故障注入攻擊變得更加容易。這不是一個(gè)微不足道的問題，因?yàn)槲覀冃枰粋€(gè)同時(shí)的解決方案：

保護(hù)存儲(chǔ)在外部閃存中的數(shù)據(jù)的機(jī)密性和完整性，

提供針對(duì)高級(jí)側(cè)信道和故障注入攻擊的保護(hù)，

能夠支持 QSPI 閃存 100MB/s 的讀/寫速度，最后

不會(huì)給產(chǎn)品帶來巨大的功率和面積開銷。

自然的首選方法是利用現(xiàn)有的AES引擎來保護(hù)數(shù)據(jù)。但是，僅加密并不能阻止對(duì)手修改數(shù)據(jù)。為此，我們需要在經(jīng)過身份驗(yàn)證的加密模式下使用密碼，例如 GCM 操作模式。不幸的是，AES-GCM難以滿足抗攻擊性的最終要求。AES最初設(shè)計(jì)為抵抗側(cè)信道或故障攻擊，對(duì)算法的修改將提供該級(jí)別的保護(hù)會(huì)導(dǎo)致相當(dāng)大的面積和功耗損失。

為了滿足我們所有期望特征的解決方案，我們需要關(guān)注新興的輕量級(jí)密碼學(xué)領(lǐng)域。

輕量級(jí)加密

需要資源受限設(shè)備的應(yīng)用在物聯(lián)網(wǎng) （IoT）、汽車和醫(yī)療傳感器等領(lǐng)域一直在迅速擴(kuò)展。為了在功耗和面積非常寶貴的情況下提供安全性，重點(diǎn)已從AES等通用加密算法轉(zhuǎn)移到明確的輕量級(jí)設(shè)計(jì)。

重要的是，輕量級(jí)加密算法不會(huì)犧牲安全性：密鑰長(zhǎng)度仍然要求至少為 128 位，與 AES-128 匹配。相反，輕量級(jí)加密算法旨在在嵌入式設(shè)備中常見的資源限制內(nèi)工作，例如，與通用對(duì)應(yīng)算法相比，需要更少的寄存器和RAM。重要的是，所有標(biāo)準(zhǔn)化的輕量級(jí)候選產(chǎn)品都旨在抵抗側(cè)信道和故障攻擊。

但是，與外部閃存通信的高吞吐量要求呢？盡管針對(duì)資源受限的設(shè)備，但輕量級(jí)算法通?？梢詣龠^ AES 等通用算法。作為NIST標(biāo)準(zhǔn)化一組輕量級(jí)算法的努力的一部分，它們對(duì)AES的性能在Cortex-M4F處理器上進(jìn)行了評(píng)估。許多候選的輕量級(jí)算法能夠勝過AES。

通過改變消息和相關(guān)數(shù)據(jù)長(zhǎng)度，針對(duì)AES評(píng)估每個(gè)候選的標(biāo)準(zhǔn)化輕量級(jí)算法。藍(lán)色方塊表示輕量級(jí)算法通過更快地處理數(shù)據(jù)而優(yōu)于 AES，而紅色方塊表示 AES 更快。

從下面的圖中，我們可以看到，許多考慮標(biāo)準(zhǔn)化的輕量級(jí)加密算法盡管是為資源受限的環(huán)境設(shè)計(jì)的，但能夠勝過 AES。

NIST輕量級(jí)密碼學(xué)標(biāo)準(zhǔn)化工作的決賽入圍者于2021年初公布，最終標(biāo)準(zhǔn)將于2022年某個(gè)時(shí)候發(fā)布。

對(duì)于資源受限的產(chǎn)品，與更傳統(tǒng)的通用算法（如 AES）相比，新型輕量級(jí)加密算法可顯著節(jié)省功耗和面積。盡管是為資源受限的環(huán)境而設(shè)計(jì)的，但許多輕量級(jí)加密算法比 AES 更快。由于我們的產(chǎn)品針對(duì)28nm以下的工藝節(jié)點(diǎn)，缺乏嵌入式多次可編程非易失性存儲(chǔ)器在芯片和外部閃存之間引入了攻擊面。輕量級(jí)加密算法是保護(hù)芯片和外部閃存之間數(shù)據(jù)的一種候選解決方案。

審核編輯：郭婷