LED轻量级分组密码设计的研究与改进探讨.docxVIP

中图分类号：TP309.7 文献标志码：A文章编号：2095-641X(2014)09-0015-05LED 轻量级分组密码设计的研究与改进探讨郭淳 1，徐兴坤 2（1. 中图分类号：TP309.7 文献标志码：A 文章编号：2095-641X(2014)09-0015-05 LED 轻量级分组密码设计的研究 与改进探讨 郭淳 1，徐兴坤 2 （1. 中国科学院 信息工程研究所，北京 100093；2. 中国电力科学研究院，北京 100192） 摘要：未来电力系统的安全体系需要高效率分组密码的支持。为探讨现有分组密码在此领 域应用的可能性，文章选取分组密码 LED 作为研究对象，讨论了其设计理念及改进的可能 性。LED 轻量级分组密码由 Jian Guo 等发表于 CHES 2011，利用一系列优化措施，LED 在安全性与软件实现性能方面均突出，硬件实现面积也十分紧凑，不足之处在于硬件实现的 延时，对此可能的改进方法为重排其加密过程，以便在不降低安全性的前提下减少总轮数。 关键词：LED；轻量级分组密码；分组密码设计与分析 技 术 研 究 与 应 用 对 LED 进行分析，归纳如下。 1）整 体 结 构 设 计：采 用 安 全 界 限 有 理 论 保 障 的 AES-like 结构。 2）各 部 件 的 设 计：① S 盒：采 用 了 Serpent 型 S 盒； ② 最 大 距 离 可 分 码（Maximal Distance Separable，MDS）矩 阵：采 用 了 基 于 线 性 反 馈 移 位 寄 存 器（Linear Feedback Shift Register，LFSR）的 MDS 矩 阵；③ 密 钥 编 排：直 接 运 用 主 密 钥，因 此“几 乎没有”密钥编排。 3）优点：安全性与软件实现性能均十分优异。 4）可 能 的 改 进 方 向：① 利 用 后 续 发 现 的 性 能 更 好的 S 盒、MDS 矩阵等，替换原设计中的部件，以求 得 更 优 异 的 整 体 性 能；② 对 其 安 全 界 限 进 行 更 精 细 的推算，藉此对加密过程进行重排，设法达到缩减轮 数的目的，以降低硬件实现的数据处理时延。 0 引言 轻 量 级 分 组 密 码 的 设 计 与 分 析 兴 起 于 2005 年 前后，此后世界各地的研究组陆续设计了 HIGHT[1]、 DESL[2]、PRESENT[3] 等 多 个 方 案，其 中 有 些 方 案 综 合 性 能 优 异，并 得 到 广 泛 认 可，如 PRESENT 方 案 凭 借 良 好 的 安 全 性 与 优 异 的 硬 件 实 现 面 积，已 被 采 纳 为国际标准 [4]。 通 常 认 为，低 计 算 能 力 应 用 场 景 要 求 方 案 的 硬 件 实 现 面 积 不 超 过 2 000 GE[5]，而 高 级 加 密 标 准 （Advanced Encryption Standard，AES）最 紧 凑 的 实 现仍需 2 400 GE[6]。为弥补这一缺失，较早提出的方 案 十 分 注 重 硬 件 实 现 规 模 的 控 制，相 对 忽 视 了 软 件 实现，致使软件实现性能不理想 [7]。 LED 轻 量 级 分 组 密 码 发 表 于 CHES 2011[8]，是 一 个 软 件 与 硬 件 性 能 兼 顾 的 尝 试。 综 合 地 看，LED 在 安 全 性 与 软 件 实 现 性 能 方 面 均 突 出，硬 件 实 现 方 面尽管数据处理时延较长，但也十分紧凑。 本文从设计理念、优缺点及可能的改进等方面， 1 LED 的设计要点 1.1 设计理念 LED 的设计目标是在设法取得紧凑硬件实现的 2014 年第 12 卷第 9 期 ELECTRIC POWER ICT 15 ........................................ELECTRIC POWER ICT同时，实现以下 3 个设计目标：1）探 讨 ........................................ELECTRIC POWER ICT 同时，实现以下 3 个设计目标： 1）探 讨 超 轻 量 级（甚 至 于 无）密 钥 编 排 过 程 的 效能； 2）考究对相关密钥攻击的抵抗性； 3）兼顾软件实现的性能。 LED 的设计者特别强调了对相关密钥攻击的抵 抗性，并证明了安全界限；设计者将密钥编排过程设 计为“几乎没有”的形式，起到了减少密钥差分对各 轮密钥的影响、简化安全界限推导的作用。 1.1.1 轮函数 LED 的 轮 函 数 采 用 AES-like 结 构，这 一 设 计 思 路有以下 3 点优势： 1）在 差 分