Tiêu chuẩn quốc gia TCVN 12854-1:2020 về Công nghệ thông tin - Mật mã hạng nhẹ - Phần 1: Tổng quan

TIÊU CHUẨN QUỐC GIA

TCVN 12854-1:2020
ISO/IEC 29192-1:2012

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - MẬT MÃ HẠNG NHẸ - PHẦN 1: TỔNG QUAN

Information technology - Security techniques - Lightweight cryptography - Part 1: General

Lời nói đầu

TCVN 12854-1 : 2020 hoàn toàn tương đương với ISO/IEC 29192-1:2012.

TCVN 12854-1 : 2020 do Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã biên soạn, Ban Cơ yếu Chính phủ đề nghị, Tổng cục Tiêu chuẩn Đo lường Chất lượng thẩm định, Bộ Khoa học và Công nghệ công bố.

Bộ tiêu chuẩn TCVN 12854 (ISO/IEC 29192) Công nghệ thông tin - Các kỹ thuật an toàn - Mật mã hạng nhẹ gồm các tiêu chuẩn sau:

...

...

...

- TCVN 12854-2 : 2020 (ISO/IEC 29192-2:2012) Phần 2: Mã khối

- TCVN 12854-3 : 2020 (ISO/IEC 29192-3:2012) Phần 3: Mã dòng

- TCVN 12854-4 : 2020 (ISO/IEC 29192-4:2013) Phần 4: Các cơ chế sử dụng kỹ thuật phi đối xứng.

CÔNG NGHỆ THÔNG TIN - CÁC KỸ THUẬT AN TOÀN - MẬT MÃ HẠNG NHẸ - PHẦN 1: TỔNG QUAN

Information technology - Security techniques - Lightweight cryptography - Part 1: General

1  Phạm vi áp dụng

Tiêu chuẩn này cung cấp các thuật ngữ và định nghĩa được áp dụng trong các phần tiếp theo của bộ tiêu chuẩn này. Tiêu chuẩn này thiết lập các yêu cầu an toàn, yêu cầu phân loại và yêu cầu thực thi cho các cơ chế được đưa ra trong các phần tiếp theo của bộ tiêu chuẩn này.

2  Thuật ngữ và định nghĩa

...

...

...

2.1

Tiết diện chip (chip area)

Vùng bị chiếm bởi một mạch bán dẫn.

2.2

Băng thông liên lạc/ Băng thông trao đổi thông tin (communication bandwidth)

Số bit mỗi giây có thể được truyền qua một kênh liên lạc cụ thể.

2.3

Năng lượng tiêu thụ (energy consumption)

Năng lượng tiêu thụ trong một khoảng thời gian nhất định.

...

...

...

2.4

Cổng tương đương (gate equivalent)

Đơn vị đo lường cho phép xác định sự phức tạp của các mạch điện tử số, thường là diện tích silicon của hai đầu vào cùng mức của một cổng NAND.

2.5

Độ trễ (Latency)

Độ trễ sinh ra bởi các cơ chế mã hóa trong thời gian thực của các hệ thống liên lạc.

2.6

Mật mã hạng nhẹ (lightweight cryptography)

Mật mã được thiết kế riêng cho việc triển khai trong một số môi trường hạn chế.

...

...

...

2.7

Kích cỡ mã chương trình (program code size)

Kích cỡ tiêu chuẩn của một cơ chế mật mã tính theo byte.

2.8

Kích cỡ RAM (RAM size)

Kích cỡ của không gian lưu trữ tạm thời một cơ chế mật mã, yêu cầu trong bộ nhớ truy cập ngẫu nhiên bao gồm các thanh ghi trong bộ vi xử lý.

2.9

Độ an toàn (security strength)

Số được liên kết với số lượng công việc (ví dụ số các phép toán) được yêu cầu để phá vỡ một thuật toán mật mã hoặc hệ thống mật mã.

...

...

...

CHÚ THÍCH 2 Độ an toàn được đặc tả theo bit, như 80, 112, 128, 192, và 256 trong bộ tiêu chuẩn này.

2.10

Hiệu năng đầu vào ngắn (short input performance)

Hiệu suất của mật mã nguyên thủy khi xử lý thông điệp ngắn.

2.11

Tấn công kênh kề (side-channel attack)

Tấn công dựa trên thông tin thu được từ thực thi vật lý của hệ thống mật mã, thay vì tấn công “vét cạn” hoặc điểm yếu lý thuyết trong các thuật toán cơ bản.

VÍ DỤ Thông tin thời gian, năng lượng tiêu thụ, phát xạ điện từ trường đều có thể cung cấp thêm thông tin mã nguồn và có thể khai thác để tấn công hệ thống.

3  Phân loại ràng buộc cho mật mã hạng nhẹ

...

...

...

Nơi mà các cơ chế mật mã được thực thi trên phần cứng, tiết diện chip thực tế mà cơ chế mật mã yêu cầu có thể bị hạn chế trong một số ứng dụng (như thẻ RFID). Với mục đích của tiêu chuẩn này, tiết diện chip sẽ được đo trên các cổng tương đương.

3.2  Năng lượng tiêu thụ

Năng lượng tiêu thụ có thể bị ràng buộc trong các ứng dụng mật mã hạng nhẹ. Năng lượng tiêu thụ liên quan tới các yếu tố khác nhau bao gồm thời gian xử lý, tiết diện chip (khi thực thi trên phần cứng), tần số hoạt động và số các bit được truyền giữa các thực thể (đặc biệt là truyền qua mạng không dây). Để giảm thiểu năng lượng tiêu thụ, tất cả các yếu tố liên quan đều phải được xem xét.

3.3  Kích cỡ chương trình và kích cỡ RAM

Kích cỡ mã chương trình (có liên quan đến bộ nhớ ROM) và kích cỡ RAM có thể bị ràng buộc như các bộ vi xử lý cấp thấp. Các bộ vi xử lý có các tập lệnh đơn giản và không gian có hạn để lưu mã chương trình cũng như giới hạn dung lượng RAM cho việc tính toán (như bộ vi xử lý nhúng) khi so sánh với bộ vi xử lý máy tính thông thường.

3.4  Băng thông liên lạc

Băng thông liên lạc bị giới hạn trong một sô trường hợp nhất định đối với số lượng bít tối đa có thể được truyền trong một phiên liên lạc (ví dụ các thẻ RFID). Do đó các cơ chế thuộc lại này được thiết kế để tiết kiệm hơn số lượng các bít cần được truyền qua kênh liên lạc khi so sánh với các cơ chế mật mã thông thường.

3.5  Thời gian thực thi

Với một số ứng dụng như thẻ không tiếp xúc và RFID, để cho hoạt động chính xác thời gian thực thi bị ràng buộc bởi việc thực thi (thời gian xuất hiện của thẻ/token trong trường điện từ). Chú ý điều này thường xuất hiện trong các ứng dụng nơi mà các ràng buộc đã được xử lý trong các phần trước đó.

...

...

...

4.1  Các yêu cầu an toàn

Trong TCVN 12854, độ an toàn của các cơ chế mật mã được đo đạc như định nghĩa trong 2.9. Khái niệm này có thể được sử dụng cho các cơ chế mật mã khác nhau. Hai cơ chế được xem là tương đương nếu lượng công việc cần thiết để phá hủy các cơ chế hoặc việc xác định các khóa là xấp xỉ bằng nhau bằng cách sử dụng tài nguyên cho trước.

Trong TCVN 12854, an toàn 80-bit được xem là mức an toàn thấp nhất cho mật mã hạng nhẹ.

Việc chống lại tấn công kênh kề có thể là quan trọng trong một số ứng dụng của mật mã hạng nhẹ. Biện pháp chống phân tích kênh kề thường yêu cầu thêm tiết diện chip (với thuật toán được cứng hóa) hoặc thêm mã chương trình (thuật toán mật mã được thực thi bằng phần mềm). Các biện pháp chống lại tấn công kênh kề khác nhau phụ thuộc vào kỹ thuật, và phương thức tấn công kênh kề cụ thể áp dụng cho một thực thi cụ thể. Việc kháng kênh kề nằm ngoài phạm vi của  tiêu chuẩn này.

CHÚ THÍCH Sau 2010, nhiều tổ chức khuyến khích sử dụng các cơ chế mật mã với độ an toàn nhiều hơn 80 bit. Tuy nhiên, có thể một số ứng dụng của mật mã hạng nhẹ có thể được sử dụng đối với các yêu cầu có mức an toàn thấp, nghĩa là không phải tấn công nào cũng nguy hiểm. Trong trường hợp khóa 80 bit được sử dụng, điều này ngụ ý chỉ một lượng dữ liệu ít hơn có thể được mã hóa an toàn với một khóa đơn trước khi yêu cầu làm mới khóa. Điều quan trọng là người thiết kế hệ thống an toàn mật mã đảm bảo rằng giới hạn hoạt động an toàn của các cơ chế mật mã hạng nhẹ không vượt quá một khóa đơn. Báo cáo hàng năm của ECRYPT2 2009-2010 [6] khuyến cáo an toàn 80 bit chì bảo vệ rất ngắn hạn chống lại cơ quan tinh báo với ngân sách 300 triệu đô la hoặc bảo vệ dài hạn chống lại các tổ chức nhỏ với ngân sách 10 nghìn đô la. Để có thêm tài liệu và các thông tn liên quan đến việc lựa chọn độ dài khóa, xem Tài liệu 12 của ISO/IEC JTC 1/SC 27 tại địa chỉ http://www.jtc1sc27.din.de/sbe/SD12.

4.2  Yêu cầu phân loại

Với một cơ chế mật mã được xếp loại nhẹ, nó phải được điều chỉnh cho phù hợp với tổ hợp các loại đã được định nghĩa trong Điều 3 (bởi định nghĩa của bộ tiêu chuẩn này). Với mỗi cơ chế mật mã hạng nhẹ được điều chỉnh theo hướng dẫn về điều chỉnh và bằng chứng được cung cấp chứng minh rằng cơ chế mật mã hạng nhẹ là phù hợp với các yêu cầu cho từng loại (ví dụ tiết diện chip, năng lượng tiêu thụ,...) Chú ý rằng cơ chế mật mã được thiết kế riêng cho thời gian thực thi không phải lúc nào cũng được coi là hạng nhẹ.

Tất cả bằng chứng về sự phù hợp cho một loại cụ thể phải được dựa trên bằng chứng về lý thuyết, có thể được chứng minh thêm bằng các thực thi thực tế. Tất cả các yêu cầu về bằng chứng thực thi thực tế phải được lập tài liệu đầy đủ và có thể kiểm chứng.

CHÚ THÍCH Cơ chế A yêu cầu thiết kế phù hợp cho hệ thống liên lạc tiêu thụ năng lượng thấp. Yêu cầu này có thể chứng minh về lý thuyết bằng cách so sánh kết quả số lượng bít được truyền từ việc sử dụng cơ chế A, so sánh với cơ chế thông thường khác mà không được coi là cơ chế hạng nhẹ. Yêu cầu này có thể được chứng minh bằng cách tham chiếu với các thực thi thực tế, trong đó, năng lượng tiêu thụ được đo thử nghiệm, và so sánh nó với các thực thi thực tế khác trong cùng một phép đo.

...

...

...

4.3.1  Các yêu cầu thực thi phần cứng

Hai yếu tố sau đều là các đặc trưng vật lý quan trọng của mật mã hạng nhẹ trong thực thi phần cứng:

- Tiết diện chip

- Năng lượng tiêu thụ

Với mục tiêu của TCVN XXX, tiết diện chip được đo qua các cổng tương đương (GE). Điều này cho phép chuẩn hóa việc so sánh giữa các cơ chế mật mã khi triển khai bằng phần cứng. Không có số liệu cụ thể nào cho kích cỡ mục tiêu phù hợp cho các thực thi bởi vì nó phụ thuộc vào thực tế của ứng dụng, cơ chế mật mã được xem xét và triển khai. Trong một số ứng dụng mật mã hạng nhẹ, các biện pháp chống lại tấn công kênh kề là cần thiết và đòi hỏi thêm chi phí. Tất cả các thuật toán mật mã dành cho việc triển khai phần cứng được xuất bản trong TCVN 12854 bao gồm cả kích cỡ dự kiến trong GE.

Việc so sánh năng lượng tiêu thụ giữa các cơ chế mật mã là khó bởi lưu vì nó phụ thuộc vào công nghệ riêng mà các cơ chế thực thi. Một vài cơ chế mật mã có thể được thực thi trên phần cứng với mức năng lượng tiêu thụ thấp nhưng tiết diện chip lớn, tuy nhiên trong TCVN 12854 năng lượng tiêu thụ được đánh giá bằng cách thực thi sử dụng phần cứng với tiết diện chip nhỏ.

Năng lượng tiêu thụ thực tế được đo qua thực nghiệm, mặc dù phụ thuộc vào công nghệ và thực thi nó vẫn là một con số hữu ích cho độc giả trong TCVN 12854, và nó được cung cấp sẵn sàng. Khi phép đo thực nghiệm được cung cấp, phương pháp đo thực nghiệm này sử dụng là các dữ liệu chính xác như các chi tiết liên quan đến công nghệ mà cơ chế mã hóa được thực thi.

Thực tế, tất cả các mã khối và mã dòng cho mục đích thực thi trên phần cứng cung cấp tóm tắt các thông tin dưới đây hỗ trợ người sử dụng lựa chọn một cơ chế phù hợp nhất với ứng dụng của họ trong TCVN 12854 (Phụ lục B cung cấp các thông tin cơ sở, phụ lục C cung cấp các yêu cầu chi tiết):

a) Tiết diện chip

...

...

...

c) Số bit/Chu kỳ

d) Công suất

e) Năng lượng

f) Năng lượng trên mỗi bit

g) Công nghệ: Thư viện cụ thể và số phiên bản đã sử dụng để thu được kết quả đó.

4.3.2  Các yêu cầu thực thi phần mềm

Trong một số ứng dụng của mật mã hạng nhẹ thực thi phần mềm được ưu tiên hơn các thực thi phần cứng. Các khía cạnh dưới đây có thể rất quan trọng trong thực thi phần mềm trong các môi trường hạn chế:

- Kích cỡ chương trình

- Kích cỡ RAM

...

...

...

Cụ thể, mục tiêu tất cả các mã khối và mã dòng cho thực thi trên phần mềm trong TCVN 12854 cung cấp tóm tắt các thông tin sau hỗ trợ người dùng lựa chọn cơ chế tốt nhất cho ứng dụng:

a) Kích cỡ chương trình

b) Kích cỡ RAM

c) Tốc độ

4.3.3  Các đặc tính tối ưu khác

4.3.3.1  Hiệu suất đầu vào ngắn

Trong một số ứng dụng mật mã hạng nhẹ thông điệp/ bản rõ/ bản mã ngắn được xử lý bởi các cơ chế mật mã. Khi có nhiều thông điệp ngắn/ bản rõ/ bản mã ngắn được xử lý độc lập, hiệu suất đầu vào ngắn đầu vào trở thành một yếu tố quan trọng được xem xét, và áp dụng cho tất cả các loại mật mã hạng nhẹ. Thậm chí nó có thể là mật mã hạng nhẹ nguyên thủy được thiết kế để có một hiệu suất đầu vào ngắn tốt và trong trường hợp này, thực tế được chỉ ra bởi cơ chế này.

Các yếu tố ảnh hưởng đến hiệu suất đầu vào ngắn là tỉ lệ của kích cỡ xử lý (số bit khóa, kích cỡ khối của bản mã, hoặc kích cỡ khối của đầu vào hàm băm nén) so với kích cỡ thông điệp cũng như thời gian thiết lập ban đầu cho mỗi tiến trình của mỗi thông điệp đơn.

4.3.3.2  Độ trễ

...

...

...

VÍ DỤ Khi mã hóa các gói tin thời gian thực trên đường truyền thoại, tiến trình mã hóa sinh ra trễ. Nếu độ trễ quá lớn (so với chi phí của một cơ chế hạng nhẹ như việc triển khai tuần tự với kích cỡ nhỏ), người dùng điện thoại sẽ gặp phải sự chậm trễ và không thoải mái trong cuộc trao đổi hai chiều.

5  Các cơ chế mật mã hạng nhẹ

5.1  Mã khối

Mục đích đơn giản của mã khối là bảo vệ bảo mật dữ liệu lưu trữ hoặc dữ liệu trên đường truyền. Định nghĩa của mã khối được đưa ra trong TCVN 11367-1. Mã khối trong TCVN 11367-3 được lựa chọn dựa trên các tiêu chí trong phụ lục A của TCVN 11367-1. Mặt khác, mã khối trong TCVN 12854 được đánh giá dựa trên lựa chọn các tiêu chí được mô tả trong Phụ lục A tiêu chuẩn này xem xét tính phù hợp cho các môi trường bị hạn chế.

Các mã khối có thể được sử dụng để bảo mật tính toàn vẹn và nguồn gốc dữ liệu. Nó có thể tạo mã xác thực thông điệp (MAC) hạng nhẹ từ các mã khối trong TCVN 12854 sử dụng thuật toán MAC được đặc tả trong TCVN 11495. Nó có thể tạo ra một hàm băm hạng nhẹ từ mã khối trong TCVN 12854 sử dụng việc xây dựng hàm băm được đặc tả trong TCVN 11816-2.

Độ an toàn của hầu hết các chế độ hoạt động của mã khối (bao gồm MAC và việc xây dựng hàm băm) suy giảm tại q²/2ⁿ, với n là kích cỡ khối tính theo bít và q là số lượng khối được mã hóa. Ví dụ, khi n=64, mã hóa của 232 khối là đủ lộ khối mã để tấn công. Vì vậy, phải cẩn thận với kích cỡ mã khối ngắn có nghĩa là dữ liệu ngắn có thể được mã hóa bằng một khóa đơn.

CHÚ THÍCH Chi tiết về mối quan hệ giữa kích cỡ khối mã và làm mới khóa được tham khảo tại địa chỉ http://www.jtc1sc27.din.de/sbe/SD12.

5.2  Mã dòng

Mã dòng cũng được sử dụng để bảo vệ bảo mật của dữ liệu lưu trữ hoặc dữ liệu trên đường truyền. Định nghĩa của mã dòng được đưa ra trong TCVN 11367-1. Mã dòng trong TCVN 11367-4 được lựa chọn dựa trên các tiêu chí lựa chọn trong Phụ lục A của TCVN 11367-1. Mặt khác, mã dòng trong TCVN 12854-3 được đánh giá dựa trên các tiêu chí được mô tả trong phụ lục A tiêu chuẩn này có xem xét tính phù hợp cho các môi trường bị ràng buộc.

...

...

...

Lợi ích đáng chú ý nhất của các cơ chế sử dụng kỹ thuật phi đối xứng là tránh được việc quản lý các khóa bí mật. Hơn nữa, các cơ chế trong TCVN 12854-4 đầy đủ các yêu cầu thực thi của 4.3. Ba loại lược đồ phi đối xứng hạng nhẹ được tham chiếu:

- Lược đồ xác thực và trao đổi khóa với hạn chế về thời gian. Cách tiếp cận này hiệu quả hơn khi so sánh với các giải pháp phi đối xứng thông thường.

- Lược đồ ký số dựa trên định danh. Nó cho phép ký với chi phí tính toán rất ít (với sự tham gia của bên thứ ba tin cậy) và cho phép tiến trình kiểm tra hoạt động mà không cần sự tương tác giữa người ký và người kiểm tra, trực tiếp hoặc thông qua proxy.

- Các lược đồ định danh thách thức - trả lời. Nó cung cấp mẫu xác thực thực thể mạnh. Các giải pháp cho lược đồ định danh thách thức-phản hồi phi đối xứng được cung cấp bởi lược đồ định danh tri thức không, được mô tả trong TCVN XXX (ISO/IEC 9798-5).

Phụ lục A

(tham khảo)

Các tiêu chí lựa chọn của các cơ chế trong tiêu chuẩn này

Các cơ chế trong các tiêu chuẩn của bộ tiêu chuẩn này được lựa chọn theo các tiêu chí sau, thứ tự của các tiêu chí không có ý nghĩa.

...

...

...

a) Độ an toàn của cơ chế mật mã. An toàn 80 bít được xem là mức an toàn tối thiểu của mật mã hạng nhẹ. Nó được khuyến cáo ít nhất là 112 bít để áp dụng cho hệ thống đòi hỏi bảo mật trong thời gian dài hơn (xem SD12 về mức độ an toàn, như thời gian bảo vệ được xác định bởi độ an toàn cũng như năng lực tính toán của đối thủ muốn phá vỡ thuật toán).

b) Các thuộc tính cho thực thi phần cứng (các cơ chế cho phần cứng). Tiết diện chip bị chiếm bởi cơ chế mã mật mã (giảm so với các tiêu chuẩn hiện có) và năng lượng tiêu thụ (tốt hơn các tiêu chuẩn hiện có, như TCVN 11367, TCVN 11817, TCVN 7817).

c) Các thuộc tính thực thi phần mềm (các cơ chế cho phần mềm). Đặc biệt, kích cỡ chương trình và kích cỡ RAM được yêu cầu (yêu cầu ít tài nguyên hơn so với các tiêu chuẩn hiện có trên cùng một nền tảng được coi như có tiềm năng cho các môi trường phần mềm).

d) Các vấn đề về bản quyền ảnh hưởng đến các cơ chế mật mã.

e) Sự phát triển của cơ chế mật mã

f) Tính tổng quát của các thuộc tính nhẹ được xác nhận cho các cơ chế mật mã có tính độc lập hơn nghĩa là nó có thể được sử dụng bởi các đối tượng rộng hơn là việc chỉ triển khai cho một công nghệ cụ thể.

Phụ lục B

(tham khảo)

...

...

...

B.1  Cơ sở

B.1.1  Thiết bị tích cực và thụ động

Thiết bị tích cực được sử dụng pin. Pin mà không cần sạc lại chỉ có thể giữ một lượng năng lượng giới hạn (tính bằng J hoặc Wh), vì vậy phép đo quan trọng cho loại thiết bị này là năng lượng tiêu thụ của cơ chế mật mã.

Các thiết bị thụ động không có nguồn năng lượng riêng. Năng lượng được yêu cầu cho thiết bị này đến từ từ trường hoặc điện từ trường được sinh ra bởi thiết bị [8], Cường độ tối đa của trường thường bị hạn chế bởi các quy định cụ thể về vị trí mà các thiết bị được sử dụng. Cường độ tại bất kỳ điểm nào sẽ bị giảm nếu khoảng cách giữa thiết bị nguồn và thiết bị thụ động tăng. Năng lượng để cung cấp cho chip được sử dụng từ thiết bị cung cấp. Nếu mức độ tiêu thụ năng lượng trung bình của chip lớn hơn mức năng lượng có thể cung cấp từ nguồn dự trữ, thiết bị thụ động không thể hoạt động một cách chính xác. Vì vậy, năng lượng tiêu thụ (tính bằng W) là phép đo quan trọng cho thiết bị thụ động.

B.1.2  Năng lượng tiêu thụ

Phương trình sau đây tóm tắt năng lượng tiêu hao P trong các thiết bị CMOS [7]:

,

với C ký hiệu điện dung, V_dd điện áp cung cấp, Q_SC điện áp ngắn mạch, f tần số hoạt động, N hoạt động chuyển mạch và I_Ieak dòng điện rò rỉ. Phần đầu tiên biểu diễn mức tiêu hao năng lượng động và thứ hai là mức tiêu hao năng lượng tĩnh. Ở tần số cao hơn, phần tiêu thụ năng lượng động là yếu tố chi phối của tổng năng lượng tiêu thụ.

Năng lượng tiêu thụ có thể được giảm tuyến tính bằng cách giảm tần số hoạt động f, điều này cũng làm giảm hoạt động chuyển mạch N, và giảm theo hàm mũ bằng cách giảm V_dd. Các phần còn lại của phần tiêu thụ động, C và Q_SC phụ thuộc vào công nghệ và không bị ảnh hưởng bởi thiết kế phần cứng.

...

...

...

Để giảm năng lượng tiêu thụ một cách độc lập của thuật toán và chiến lược triển khai kiến trúc, các ứng dụng hạng nhẹ thường được gắn ở tần số hoạt động thấp, như vài trăm KHz. Trong dải tần số này, công suất tiêu thụ tĩnh chiếm ưu thế và vì thế nó tỉ lệ thuận với số cổng. Do đó, số cổng trong GE được sử dụng như phép đo cho cả tiết diện chip và năng lượng tiêu thụ.

B.1.3  Kiến trúc chiến lược

Các thuật toán mật mã như mã khối, mã dòng và hàm băm biến đổi một đầu vào cho ra một đầu ra sử dụng lặp đi lặp lại nhiều lần một hàm vòng. Trong khi các thực thi phần mềm phải xử lý các hoạt động đơn lẻ một cách tuần tự thì thực thi phần cứng mang lại sự mềm dẻo hơn trong các xử lý song song và tuần tự. Có ba kiến trúc chiến lược cho thực thi thuật toán mật mã đó là song song, dựa trên vòng và tuần tự.

Việc thực thi song song hoặc tháo gỡ vòng lặp các thuật toán mật mã để thực thi một vài vòng lặp của quá trình băm/ mã hóa/ giải mã trong một chu kỳ xung nhịp. Việc thực thi dưới dạng đường ống thường được dùng cho việc thực thi song song, nghĩa là các thanh ghi được chèn vào trong đường ống để tăng tối đa tần số xung nhịp. Trong khi việc thực thi song song có tốc độ thông lượng cao, điều này hiếm khi được tập trung cho các ứng dụng hạng nhẹ. Hơn nữa, tiết diện chip cao và yêu cầu tiêu thụ năng lượng trung bình nên việc triển khai song song các thuật toán mật mã hiếm khi phù hợp cho các ứng dụng hạng nhẹ. Vì vậy, nó được bỏ qua trong phạm vi của phụ lục này.

Trong thực thi theo vòng, một hàm vòng của thuật toán mật mã được xử lý trong một chu kỳ đồng hồ xung nhịp. Thông lượng giảm đi từ việc giảm tiết diện chip và năng lượng tiêu thụ.

Để giảm năng lượng tiêu thụ và các yêu cầu tiết diện chip, các thực thi có thể nối tiếp; ở đây, chỉ một phần của một vòng được xử lý trong một chu kỳ xung nhịp. Đến một điểm xác định, chiến lược này có thể làm giảm tiết diện chip và năng lượng tiêu thụ một cách đáng kể. Tuy nhiên, không phải lúc nào nó cũng là một chiến lược thực thi phù hợp vì đôi khi việc tiết kiệm có thể bị hủy bỏ bởi tổn hao cho các điều khiển logic. Tuy nhiên, từ sự cân đối giữa năng lượng thấp và tiết diện chip nhỏ, các thực thi nối tiếp là phù hợp nhất với các thực thi hạng nhẹ. Tuy nhiên, năng lượng tiêu thụ của các thực thi nối tiếp thường là kém hơn việc thết kế dựa trên vòng.

B.1.4  Tổn hao I/O

Việc lựa chọn giao diện I/O thích hợp là ứng dụng cụ thể, trong cùng một khoảng thời gian nó có thể ảnh hưởng lớn đến tiết diện chip, năng lượng, và thời gian. Hơn nữa, một cơ chế mật mã chiếm phần lớn của mạch tích hợp hơn là một giải pháp độc lập. Do đó, tiêu chuẩn này không chú ý đến tổn hao I/O, cho phép so sánh một cách công bằng hơn các thuộc tính của cơ chế hơn là so sánh với các thuộc tính thực thi.

B.2  Các phép đo phần cứng thông thường

...

...

...

Để đánh giá hiệu suất của việc thực thi phần cứng, các phép đo dưới đây được sử dụng;

CHÚ THÍCH 1 Với mục tiêu của tài liệu này, chỉ các phép đo phần cứng được liệt kê trong 4.3.1 được sử dụng do yêu cầu tính toán của Phụ lục C. Các phép đo được tính toán trong phụ lục C cung cấp một so sánh công bằng của các thực thi phần cứng của các thuật toán mật mã, và các phép đo phần cứng được liệt kê ở trên chỉ là thông tin.

Tiết diện chip: Các yêu cầu tiết diện chip thường được đo bằng μm², nhưng giá trị này phụ thuộc vào công nghệ chế tạo và thư viện tiêu chuẩn. Để so sánh các yêu cầu về diện tích của chip một cách độc lập, nó tương đương với việc đánh giá các cổng GE. Một GE là một tiết diện chip mà được yêu cổng NAND hai đầu vào với cường độ điều khiển thấp nhất của công nghệ thích hợp. Tiết diện chip trong GE được chia diện tích theo μm² cho một cổng NAND hai đầu vào. Phép đo này có thể dễ dàng thực hiện bằng cách sử dụng tổ hợp các công cụ thiết kế điện tử tự động. Nó thường được sử dụng và được chấp nhận rộng rãi như một phép đo công bằng cho việc so sánh các yêu cầu tiết diện chip.

Kích cỡ từ: Số bit được xử lý trong một lần chạy của thuật toán mật mã. Ví dụ như mã khối là kích cỡ khối, mã dòng là kích cỡ đầu ra của việc thực hiện mã dòng và với các hàm băm là kích cỡ khối đầu vào.

CHÚ THÍCH 2 Tại một thời điểm mã dòng luôn luôn cho đầu ra là các bit khóa dòng, một byte hoặc một số các byte với mỗi lần thực hiện đều cập nhật trạng thái trong. Các hàm băm xử lý các thông điệp có độ dài tùy ý, nhưng lặp đi lặp lại. Kích cỡ khối đầu vào và một lần thực hiện hàm băm chỉ đề cập đến việc xử lý một khối bit thông điệp của nó cho một lần lặp.

Chu kỳ: Số chu kỳ xung nhịp [CLK] cho một lần thực hiện của thuật toán để tạo đầu ra. Phép đo này phụ thuộc vào chiến lược thực thi kiến trúc và có thể dễ dàng thu được bởi giấy và bút.

CHÚ THÍCH 3 Với mỗi hàm băm, một lần thực hiện của thuật toán là sự lặp lại của thuật toán băm cho một khối thông điệp tại đầu vào bên trong của nó.

Thời gian: Khoảng thời gian yêu cầu cho một hoạt động nào đó có thể được tính toán bằng cách chia số lượng chu kỳ cho tần số hoạt động t=CLK/freq.

Các thuật toán khác nhau có thể xử lý lượng bit khác nhau tại cùng một thời điểm, nên phép đo này chỉ quan trọng trong các ứng dụng cần yêu cầu về thời gian và có thể dẫn đến sự so sánh không công bằng. Hơn nữa nó phụ thuộc vào tần số hoạt động được sử dụng, đặc biệt là các ứng dụng có tần số cao.

...

...

...

Công suất: Năng lượng tiêu thụ thường được ước tính ở mức cổng bằng một công cụ điện tử thiết kế tự động hóa. Trong các kịch bản hạng nhẹ nó thường được dùng là micro Watt [μW]. Chú ý rằng công suất ước tính dựa trên cấp độ bán dẫn là chính xác hơn nhưng nó cũng đòi hỏi thêm các yêu cầu thiết kế, ví dụ như vị trí đặt, các tuyến mạch. Thông thường việc ước công suất phụ thuộc nhiều vào công nghệ được sử dụng và độ chính xác của công cụ thiết kế điện tử tự động hóa. Vì thế nó không dễ dàng để so sánh công suất tiêu thụ và do đó nó không phù hợp với mục đích của tiêu chuẩn này.

Dòng: Công suất tiêu thụ chia cho điện áp chuẩn. Phép đo này phụ thuộc nhiều vào công nghệ.

Năng lượng: Năng lượng tiêu thụ biểu thị công suất tiêu thụ trong một khoảng thời gian nhất định. Nó có thể được tính toán bằng cách nhân công suất tiêu thụ với thời gian được yêu cầu của hoạt động. Để có hiệu quả của thuật toán mật mã (đặc biệt với các thiết bị chủ động), cần chú ý đến năng lượng tiêu thụ mỗi bit đầu ra. Năng lượng tiêu thụ được tính bằng [μJ].

Năng lượng mỗi bit: Tương tự như phép đo thời gian, nó có thể dẫn đến so sánh không công bằng nếu chỉ so sánh toàn bộ năng lượng tiêu thụ mà không xem xét đến lượng bit được xử lý. Như vậy, bằng cách chia năng lượng tiêu thụ cho số lượng bit được xử lý ta thu được phép đo công bằng có thể được biểu diễn bằng Joule trên bit [μJ/bit].

Hiệu năng phần cứng: Tỷ lệ thông lượng với tiết diện chip được sử dụng như một phép đo hiệu suất phần cứng. Hiệu suất phần cứng được tính toán bằng cách chia tiết diện chip yêu cầu cho thông lượng nghĩa là eff = tiết diện chip/thông lượng, và được thể hiện bằng các cổng tương đương bit/giây [GE/bps]. Phép đo này phụ thuộc vào tần số hoạt động được sử dụng. Để có thêm các phép đo và các thảo luận trong bối cảnh cụ thể xem trong [9].

Phụ lục C

(quy định)

Các tiêu chí cho mã khối và mã dòng phần cứng

...

...

...

Các giả định sau được tạo ra cho các cơ chế mật mã trong các ứng dụng phần cứng hạng nhẹ:

a) Ràng buộc tiết diện chip, công suất (trong trường hợp thiết bị thụ động), và/hoặc năng lượng (đối với thiết bị chủ động),

b) Xung nhịp ở tần số thấp vài trăm KHz.

c) Lõi mật mã chiếm phần lớn trong mạch tích hợp.

Giả định đầu tiên là loại trừ của các thực thi phần cứng song song. Thay vào đó là kiến trúc tuần tự và kiến trúc dựa trên vòng. Giả định thứ hai là năng lượng tiêu thụ chiếm ưu thế bởi phần tĩnh, trong khi đó phần động có thể bỏ qua. Điều này cho phép ước lượng năng lượng tiêu thụ với cùng một phép đo giống như đối với tiết diện chip, như GE. Cuối cùng, giả định thứ ba cho phép bỏ qua các tổn hao I/O. Nó cho phép tập trung vào các thuộc tính của cơ chế mật mã chứ không phải trên một thuộc tính thực thi ứng dụng cụ thể.

C.2  Các tiêu chí bắt buộc phần cứng

Để đánh giá hiệu suất của các thực thi phần cứng hạng nhẹ, các phép đo dưới đây cung cấp cho tất cả các loại ãm khối và mã dòng phần cứng:

a) Tiết diện chip: trong [GE], thu được bởi công cụ thiết kế điện tử tự động. Được sử dụng để so sánh cho cả tiết diện chip và công suất.

b) Chu kỳ: trong chu kỳ xung nhịp [CLK], thu được bởi kiến trúc của thực thi phần cứng.

...

...

...

d) Công suất: được ước tính trong [GE], xem tiết diện chip.

e) Năng lượng: được tính trong [GE.CLK], thu được bằng phép nhân giữa công suất và chu kỳ trong [GE].

f) Năng lượng mỗi bít: Được tính trong [(GE.CLK)/bit], thu được bằng cách chia năng lượng cho kích cỡ từ hoặc công suất chia cho số bit trên một chu kỳ.

CHÚ THÍCH Tất cả các phép đo có thể thu được một cách dễ dàng và nó độc lập nhất có thể từ đặc trưng cụ thể của ứng dụng như tần số, I/O, điện áp cung cấp.

Phụ lục D

(tham khảo)

Các cổng tương đương

Các cổng tương đương được viết tắt GE là phép đo phổ biến nhất được sử dụng để biểu diễn yêu cầu tiết diện chip của bản mạch khi thực thi thiết bị các ASIC. Để có được cổng tương đương cho các cổng khác nhau, chia diện tích của từng cổng cụ thể cho diện tích cổng hai đầu vào NAND theo công nghệ thích hợp.

...

...

...

Bất kỳ cơ chế mật mã hạng nhẹ nào được tiêu chuẩn hóa trong này có thể được thực thi với số cổng tương đương ít hơn số cổng đã đưa ra trong tiêu chuẩn này. Ví dụ, một thuật toán có thể được tuần tự hóa để tiết kiệm số cổng với tổn hao tốc độ. Vì có nhiều tối ưu hóa có thể xảy ra, tùy thuộc vào sự cân bằng của các ứng dụng khác nhau, bộ tiêu chuẩn này không thể cung cấp thực thi tối ưu hóa nhất GE của mỗi cơ chế.

Thư mục tài liệu tham khảo

[1] TCVN 7817 (tất cả các phần), Công nghệ thông tin - Các kỹ thuật an ninh - Quản lý khóa.

[2] TCVN 11367 (tất cả các phần), Công nghệ thông tin - Các kỹ thuật an toàn - Thuật toán mật mã.

[3] TCVN 11816-2, Công nghệ thông tin - Các kỹ thuật an toàn - Hàm băm - Phần 2: Hàm băm sử dụng mã khối n-bit.

[4] TCVN 11495-1, Công nghệ thông tin - Các kỹ thuật an toàn - Mã xác thực thông điệp - Phần 1: Cơ chế sử dụng mã khối.

[5] ISO/IEC 9798 (all parts), Information technology - Security techniques - Entity authentication

[6] ECRYPT2 Yearly Report on Algorithms and Keysizes (2009-2010), D.SPA.13, March 2010

...

...

...

[8] K. Finkenzeller, RFID Handbook: Fundamentals and Applications in Contactless Smart Cards and Identification, John Wiley and Sons, 2003

[9] T. Good and M. Benaissa, New stream Cipher Designs, LNCS volume 4986, chapter ASIC Hardware Performance, pages 267-293, Springer-Verlag, 2008

Mục lục

Lời nói đầu.

1  Phạm vi áp dụng

2  Thuật ngữ và định nghĩa

3  Phân loại ràng buộc cho mật mã hạng nhẹ.

3.1  Tiết diện chip

...

...

...

3.3  Kích cỡ chương trình và kích cỡ RAM.

3.4  Băng thông liên lạc

3.5  Thời gian thực thi

4  Các yêu cầu

4.1  Các yêu cầu an toàn

4.2  Yêu cầu phân loại

4.3  Các yêu cầu thực thi

5  Các cơ chế mật mã hạng nhẹ

5.1  Mã khối

...

...

...

5.3  Các cơ chế sử dụng kỹ thuật phi đối xứng

Phụ lục A (tham khảo) Các tiêu chí lựa chọn của các cơ chế trong tiêu chuẩn này

Phụ lục B (tham khảo) Duy trì các chuẩn đo cho việc so sánh để triển khai phần cứng

Phụ lục C (quy định) Các tiêu chí cho mã khối và mã dòng phần cứng

Phụ lục D (tham khảo) Các cổng tương đương

Thư mục tài liệu tham khảo