沙特国王大学学报一种用于物联网安全的轻量级密码替代盒V. 潘查米a,马希玛·玛丽·马修斯baCSE-印度信息技术研究所网络安全,印度bCSE,印度信息技术研究所,印度阿提奇莱因福奥文章历史记录:2022年12月23日收到2023年3月2日修订2023年3月7日接受2023年3月16日网上发售关键词:轻量级密码物联网替代盒差分密码分析非线性微分增量均匀性代数免疫微分功率分析透明阶数混淆系数A B S T R A C T物联网是一种资源受限的设备,需要轻量级的加密解决方案来实现高性能和最佳安全性。在轻量级密码中,替换盒(S盒)起着重要的作用,因为它使混淆属性。然而,这是成本较高的行动之一。物联网(IoT)设备的这种S盒的设计和构造至关重要。因此,我们提出了一个4位的,高度非线性的,双射的,平衡的S-盒,称为羽毛S-盒,使混乱的轻量级密码。从面积代价和关键路径延迟代价两个方面分析了Feather S-Box的硬件性能。在面积延迟积和功率延迟积方面,它比PRESENT密码低23%和19%,比GIFT和KATAN密码低12%从非线性、双射、平衡、全局雪崩特性、抗代数攻击、边信道攻击、差分和线性密码分析等方面对S-Box进行了安全性分析Feather S盒还具有良好的密码学特性,如非线性和对代数攻击的免疫性。此外,它提供了良好的抵抗边信道攻击,差分和线性密码分析。我们还观察到,羽毛S盒具有最高的免疫力,对差分和线性密码分析,除了SKINNY密码。由Elsevier B.V.代表沙特国王大学出版。这是CC BY下的开放获取文章-NC-ND许可证(http://creativecommons.org/licenses/by-nc-nd/4.0/)。1. 介绍普适计算的发展导致物联网(IoT)在无线环境中相互通信的繁荣。在普适计算中,微控制器、RFID标签、传感器节点、智能电表、智能卡等轻量级设备这些设备是灵活的,并且具有提供无处不在的基础设施的规定,为数据提供安全性以避免入侵和篡改的需求在很大程度上增加。安全性中存在不同类型的问题,如数据机密性,数据完整性,数据可用性,身份验证和问责制,需要单独处理。上面讨论的这些问题的关键问题之一是数据保密性。*通讯作者。电子邮件地址:panchamam036@iiitkottayam.ac.in(V. Panchami)。沙特国王大学负责同行审查数据机密性意味着只有授权用户才能读取数据。通信数据应受到保护,免受入侵者的攻击。物联网普及的安全性是通过应用轻量级密码算法来实现的这些IoT设备是资源受限的。它们的内存、处理能力和电池等资源是有限的。当我们设计任何安全算法或协议时(Singh等人,2017年),对于轻量级设备,应该考虑某些限制,如效率,内存,CPU利用率,低计算能力和有限的电池。许多传统的密码学密码,如高级加密标准(AES)(Pereira等人, 2017)不能在这些资源受限的设备中实现,因为在安全性、性能和资源要求之间存在折衷。当它们被执行时,它们的性能没有达到标准。这个问题将导致在物联网环境中提供安全性的环境非常轻量级密码技术的重要意义在于解决资源受限设备的安全问题.混淆和扩散(Shannon,1949)是设计现代或轻量级对称分组密码的两个主要概念。混淆的概念可以通过S盒在密码算法中实现,S盒是非线性变换。混淆(Shannon,1949)属性使密钥和密码之间的关系尽可能复杂https://doi.org/10.1016/j.jksuci.2023.03.0041319-1578/由Elsevier B. V.代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章(http://creativecommons.org/licenses/by-nc-nd/4.0/)。制作和主办:Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页:www.sciencedirect.com诉Panchami和M.M.马修斯沙特国王大学学报76¼· ·····ð Þ2×ðð ÞÞ¼ðð ÞÞ¼þð······Þ ð Þ ð Þð Þð Þð Þð Þ222N-WHT最大值2222Cx;CY222222S盒是散列函数和分组密码中不可缺少的部分.这些非线性S盒能够抵抗差分和线性密码分析。为物联网设备设计一个密码学上强大的轻量级S盒是一个重大挑战。因此,本文的动机是设计一个安全的S盒,具有抵抗主要攻击的最小成本和良好的性能,特别是对资源受限的设备。该文件的主要贡献是:我们比较了现有的轻量级密码中使用的各种4位S盒。设计了物联网4位Feather S盒的算法和电路图。● 我们分析了Feather S-box的硬件性能,作为面积,关键路径延迟成本,面积延迟产品(ADP)和功率延迟产品(PDP)。x:一个x1a1x2 a2xnan22. 非线性布尔函数f的非线性(Prathiba和Bhaaskaran,2018)表示为Nf,可以定义为布尔函数f与所有仿射函数集之间的最小汉明距离。Nf¼ming2Andf;gg3哪里An 是的设置的所有仿射功能overen;df;g^2n-1-1g;e>;g是布尔函数f的序列,e是布尔函数f的序列表示2个序列g的标量积和e.非线性方程(3)可以改写为,1 .一、Σ2我们评估了羽毛S盒与现有的轻量级4位S盒的非线性,双射,平衡,全局雪崩特性,抗代数攻击,侧信道攻击,差分密码分析。其 中 WHT 是 N-N Walsh-Hadamard 变 换 ( Ghoshal 等 人 ,2018),被用作工具来表示所有可能的仿射函数在en;f是一个布尔函数的n个变量和沃尔什Hadamard变换的函数f是定义为:a!efuRxFn-1fxa:x;a2Fn和本文的主要工作是完成了羽毛S盒的软、硬件实现a222值efua称为f的沃尔什系数,a;ua 是线性的,加法在Fn上;WHTmax表示Feather S-box本质上是高度非线性的,可以解决物联网中的安全问题顾名思义,它是一个4位S盒,轻如羽毛. Feather和现有的S-e的最大值3. 双射2我也是。通过使用SET工具(Picek等人,2014年)。Feather S盒是一种非线性函数和线性函数的组合,可以抵抗代数攻击、边信道攻击、差分和线性密码分析。在第2节中,我们总结了构建安全S盒时的各种设计标准分析了不同轻量级一个4 × 4的S-box S:F4! F4被称为双射(Prathiba和Bhaaskaran,2018),如果所有输出向量对于每个输入向量只出现一次。也就是说,9Sa其中a2Fn和a02Fn。加密S盒第三节提出了一种轻量级的S盒,称为Feather S盒。第四节讨论了Feather S盒与其他轻量级S盒的硬件性能分析和安全性分析。最后,在第5节中,提出了上述调查的结论性意见。2. 文献调查2.1. 4位S-box和8位S-box4位S盒消耗更少的能量和更低的信号延迟(Wang等人,2015;Shirai等人,2007年,8位S-box。8位S盒提供更高的非线性和更低的差分概率和线性概率值(Shirai等人,2007年,与4位S盒相比。为了获得更高的安全性,对于这种使用4位S盒的设计,rity应该实现更多4. 位独立准则或相关免疫设f是满足第t个相关免疫性的n个变量的布尔函数(Braeken等人,2006; Wang等人, 2009),则输出比特应该彼此统计独立。和f1a和f2a是t阶相关免疫函数,使得Pr f1aPrf2ag,则m的函数f1个变量是也相关性免疫的秩序t和Prf1ag,其定义为:fa;am1am1f1aam11f2a6对于沃尔什频谱,它认为,对于16重量份的氧化铝,其中LP#max. #fxjx:Cx¼nSxCyg-1。.舍入函数的数量(Wang等人,2015; Shirai等人, 2007年),在密码。2.2. S盒的密码学性质以下是设计S盒时的设计准则1. 平衡一个4位布尔函数f是平衡的,如果它的真值表包含相等数量的0和1(Prathiba和Bhaaskaran,2018)。设f是一个布尔函数(Websterand Tavares,1985)f<$F n!Fn;x2Fn;a2Fn与Walsh5. 传播特性设fa是满足传播特性的布尔函数(Webster和Tavares,1985;Braeken等人, 2006)的度t,表示为PCk,则fa将以一半的概率变化,如果所有的相对于向量a的导数比特i= 16 i 6 ti被补,其中16i6 t i。用 PC1 表 示 的 1 次 传 播 特 性 等 价 于 严 格 雪 崩 准 则 , 用 PfectNonlinear表示的k次传播特性;因此,很明显,传播特性是严格雪崩Cri的推广,完全非线性判据。a处的f系数定义为:6. 全局雪崩特性(GAC)。WfaRx2F4-1fxx:að1Þ设f是F n上的函数,则它满足全局雪崩特性(GAC)(Braekenet al.,(2006)其中x:a表示x和a的点积,作为●●●Nf¼ð4Þ诉Panchami和M.M.马修斯沙特国王大学学报77R&D公司8楼2楼222ð Þ2b22fjg你好-你好- ð Þþ ð þÞ所有可能输入的输入向量2.2222222、、、ðÞðÞ由两个指标决定。 它们是平方和WfaRxFn-1fxx:a132指示剂rf 以及绝对指示符Df。2之和平方指标定义为:2n2透明度顺序表示为TO,定义为如下所示:.1Σb我n至最大值njn-2 Hcj-RnωjR-1其中,D是f在F2上的自相关a;a2F n,D a的值为0,当且仅当fxfxab2F222n- 2na2F2j1i2n14是平衡的,j是d,当且仅当f是d,fx A是A其中H c是c c的汉明重量Fn 一一是常数绝对指标定义为:---2二、f定义为:Df¼maxa2Fn;arf和Df的值越低,全局雪崩特性越好(Zhang和Zheng,1996)。绝对-如:Af aR2x Fn-1fxfxa15鲁特指示符用于定义布尔函数f和具有线性结构的函数集合之间的距离df(Braeken等人,2006)通过利用定义为的关系,df2n-1-1a 1012. 混淆系数相关功率分析是攻击者成功进行侧信道攻击的主要手段。相关功率分析的动机(Braeken等人,2006)是检索密钥kω,以便攻击者进行假设预测并猜测密钥k。令n表示密钥比特,对于每个密钥假设k2Fn,则7. 差分近似概率给定S盒的微分近似概率(Wang等人,2015; Wang等人,2009)是差分均匀性的度量,定义为:#nx 2 XSx DxDyo攻击者有:[2019 -04 - 26] 2019年12月16日令X1,·····;XQ表示对应于明文P1,;PQ的泄漏,使得对于所有可能的密钥Hff_rep,DP D x!DySx2Nð11Þ当攻击者重新发送汉明权重时,泄漏测量和假设的其中Dx和Dy是所有可能输入2n的输入和输出微分。8. 线性近似概率线性近似概率(Prathiba和Bhaaskaran,2018)是事件的最大不相似量根据Matsui模型,Y k.最后,攻击者找到具有最大相关性的密钥kk<$argmaxq<$X;Y<$k17其中q是Pearson相关系数。考虑到EQ。(9)这种关系依赖于S盒的选择,则该性质称为混淆系数。LP¼ma x. #fx=x:Cx¼Sx:Cyg-1。ð12Þ2.3. 现有的轻量级密码及其S盒.2n2。其中Cx是输入掩码,Cy是输出掩码,x是n在文献中,我们只考虑了4位输入和4位输出的S盒,S:F4!F4. 4位S盒更紧凑,9. 代数免疫度设f是次数> n,e的n元布尔函数,它是2个布尔函数x,y与x:y的乘积. 代数免疫(AI)(Braeken等人,2006)定义为函数y从域Fn到F2的最小次数,其中x:y<$0或x1 <$:y<$0。函数y,其中x:y^0被称为f的零化子,表示为An_f_e,表示为y i degy i6e;y i- 0,其中1 6 i 6 T e。10. 差分Delta均匀性设函数f称为微分d-均匀(Braeken等人,2006; Wang等人,2009),如果对于每个非零a2Fn和每个y2Fm,存在最多d个解,其中对于DaFx F x F x a,也称为F的导数。11. 透明度令。n;m-函数的透明阶(Webster andTavares,1985)是对差分功率分析(DPA)的抵抗力。透明阶数越低,S盒对透明功率分析的阻力越大透明度顺序取决于S盒的代数属性。它还取决于微控制器的寄存器所保持的固定初始值b。Fn上fx的沃尔什变换定义为:在硬件上比8位S盒更好,因此4位S盒(Wang例如,2015)在轻量级块和流密码以及散列函数中实现。轻量级块密码(Hatzivasilis等人,2018年),在文献中被认为是存在的(Bogdanov等人,2007)、CLEFIA(Shirai等人, 2007)、KLEIN(Gong等人,2011)、LED(Guo等人,2011)、TWINE(Suzaki等人,2011)、HUMMING BIRD-2(Engels等人, 2011),王子( Borghoff 等 人 , 2012 ) 、 PRIDE ( Dai 和 Chen , 2017 ) 、RECTAGLE(Zhang等人,2015)、MIDORI(Banik等人,2015年),SIT(乌斯曼例如, 2017),颗粒(Bansod等人,2018)、CRAFT(Beierle等人, 2019)、SKINNY(Beierle等人,2016)、GIFT-64(Banik等人,2017)、BORON(Bansod等人,2017)、LOONG-64(Liu等人,2019),12(Yeoh等人,2020),PRIDE(Dai和Chen,2017; Albrecht等人, 2014)、PICCOLO(Shibutani等人,2011)、HIGHT(Hong等人, 2006)、KATAN(De Canniere等人,2009)、SIMON(Beaulieu等人, 2015)、SPECK(Beaulieu等人,2015)、SLIM(Aboushosha等人,2020年)。 表1显示了文献调查中列出的不同轻量化S盒的比较。PRESENT密码(Bogdanov等人, 2007),块大小是64,并且我们为实验考虑的密钥大小是80比特。PRESENT使用单个4位到4位S盒。S盒也用于密钥调度。PRESENT S-box(Bogdanov等人,2007)非常适合硬件实现。活动S盒的存在使得PRESENT密码能够抵抗差分和线性密码分析。然而,目前nB表1不同轻量化S-box的比较。轻型S-Box尺寸优点缺点目前(Bogdanov等人, 2007年)、12(Yeoh等, 2020年)它使用相同的S盒16次,而不是有16个不同的S盒。这有助于使设计系列化。抵抗差分和线性攻击。这是硬件效率。代数攻击是目前的威胁。最小非线性仅为2.5CLEFIA(Shirai等人,它使用2个 S盒,每个S盒是4个子盒的组合。这些子盒是使用伽罗瓦域乘法器组合。每个子盒用代数范式表示KLEIN(Gong等人,S-box是一个4 × 4对合置换。相同的S盒用于SubNibbles步骤,它允许一个系列化的设计一个非常小的足迹。此外,我们只需要为S盒提供一个单一的侧通道保护。LED(Guo等人, 2011年)4位LED密码重用目前的S盒。LED的任何差分路径将包含至少25个激活的S盒S盒在4LED的有效轮次的上限为2-2: 25 = 2-50。对于替换层,4位S盒被实现16次以将操作应用于满状态。TWINE(Suzaki等人, 2011年)4位它是一个64位分组密码的基础上平衡Feistel,其轮函数由8个4位S盒组成,后面是4位逐块排列。TWINE由一个使用4位S盒的非线性层和一个置换16个块的扩散层组成。PRINCE(Borghoff等人,替换盒(S-box)和替换盒的逆(S-box-1)块是PRINCE密码中最复杂的块这些模块通过具有低关键路径延迟的有效结构来设计。CLEFIA消耗大量内存(2个8位盒和2个MDS矩阵),它不能使用512字节(ROM)或64字节(RAM)实现。最小非线性仅为1.5由于SubNibbles步骤是唯一的非线性层,因此自然要求对线性和差分密码分析具有最佳抵抗力任何LED版本的16轮差分路径将包含至少50个有源S盒。LED-64有32轮,而LED-128(或任何64x 1/4 128的LED-x有48轮。<它表现出低非线性有一些标准的要满足,以成为S盒王子。只有直到仿射等价,只有8个S盒满足这些标准PRIDE(Dai和Chen,2017;Albrecht等人, 2014年度)它有16个相同的4 × 4 S盒并行。每两轮都有S盒一轮有非活动S盒,另一轮有2个S盒。易受18、19、20轮差分攻击矩形(Zhang等人,它的替换层由16个相同的4 × 4 S盒并行组成。这个S-box可以仅用12个基本逻辑指令来实现。S盒可以使用12个基本逻辑指令易受19轮密钥差分攻击。“MIDORI(Banik等人,2015)、CRAFT(Beierle等人, 2019年度)4位,8位8位S盒,由两个并行处理的4位S盒组成,以最小化基于轮的实现中的路径延迟。最佳细胞排列大大提高了每轮中差分/线性活动S盒的最小数量针对S盒中计算的依赖性,提出了一种轻量级、小延迟的S盒。S盒构造方法使得差分分支数和线性分支数都至少为3,并且该属性与比特置换相结合,增强了安全性。S盒满足全扩散性质当且仅当S盒的任何输入非线性地影响所有输出。高信号延迟SIT(TesaR.,2010)4bits它是一种轻量级分组密码,其块大小和密钥长度为64bits。它使用基于Feistel和置换置换网络(SPN)组合的混合算法。这种密码只需要5轮就可以达到所需的安全级别。颗粒(Bansod等人,2018年)GRANULE中使用的S盒是一个4位到4位的S盒。此处4x 4 S-box为硬件高效,并且它还应该提供鲁棒的安全设计。Skinny(Beierle等人,Sbox可以仅用4个NOR门和4个XOR门来实现,其余的是只有位布线(基本上是免费的硬件)。8-位S盒以与4位S盒类似的方式构建,搜索空间太宽。GIFT-64(Banik等人, 2017年)4位有16个4位S盒。对于差分和线性病例,至少评分4那里存在BOGI单位置换的微分和线性的情况。当次优差分转换发生时,在前一轮和下一轮硼(Bansod等人,BORON密码设计中使用的S盒是一个4位到4位的S盒。当前状态输出被分成16个4位块。每个数据块被送入4位S盒,输出半字节提供更新值。LOONG-64(Liu等人, 2019)4 bits具有4 bit的S盒是对合的。64位状态的数据需要分成16个4-位半字节状态。S-box具有低延迟和小的门面积。低非线性S盒结构很复杂。”最大绝对线性偏差为2-2。这里代数次数是3它表现出低非线性高硬件(门级实现)要求。PICCOLO(Shibutani等人,(2011年)F函数由两个S盒层组成,由扩散矩阵分开,这里的非平衡Feistel网络具有伸缩轮函数;诉Panchami和M.M.马修斯沙特国王大学学报78诉Panchami和M.M.马修斯沙特国王大学学报79易受边信道攻击和截断差分攻击(Hatzivasilis等人, 2018年)。CLEFIA密码使用两种8位S盒(Shirai等人,2007),其中一个是由不同的4位S盒组成的。另一种是基于一个反函数。在本文中,由于我们集中和分析了四个不同的4位S盒。在CLEFIA密码(Shirai等人,2007),块大小是128,密钥大小也是128,具有18轮。CLEFIA对差分攻击是安全的,但是当轮数减少时,它将导致差分密码破译和穷举搜索(Hatzivasilis等人,2018年)。主动S盒方法(Picek等人,2017)被用来评估线性攻击,并证明了CLEFIA(Shirai et al.,2007年)是足够安全的线性密码分析。在KLEIN密码(Gong等人,2011),块大小为64,密钥大小为80,具 有 96 轮, 并且 它使 用4位 S 盒。KLEIN 密码 的S 盒提 供比PRESENT更好的雪崩效应(Gong等人,2011年)。它对差分和线性密码分析有抵抗力,但比PRESENT小 根据KLEIN密码的S盒分析,选择明文密钥恢复攻击在多达8轮KLEIN-64中是成功的(Gong等人,2011年)。他们已经利用了从4位S盒和混合列操作的组合导出的高概率存在的微分(Hatzivasilis等人, 2018年)。在LED密码(Guo等人,2011),块大小为64,密钥大小为128,并且它重用PRESENT的相同4位S盒。在LED密码中,减少轮次使其易受二分簇密码分析的影响(Hatzivasilis等人,2018年)。此外,在LED密码中,超级S盒技术导致差分故障分析。因此,它导致成功的故障攻击(Guo等人, 2011年)。在TWINE密码(Suzaki等人, 2011),块大小为64,密钥大小为80,具有36轮,并且它使用单个4位S盒。TWINE S盒最多有2个微分和线性概率。并且提供布尔度3(Suzaki等人, 2011年)。在TWINE密码,简化的密钥调度导致中间人攻击(Hatzivasilis等人,2018年)。HUMMING BIRD-2(HB-2)(Engels等人,2011)使用四种不同类型的4位S盒,而在HUMMING BIRD-1(HB-1)中,它使用5个S盒,这有助于HB-2提高其加密速度。HUMMING BIRD-2(HB-2)是具 有 128 位 密 钥 大 小 的 流 密 码 。 HB-2 容 易 受 到 相 关 密 钥 攻 击(Hatzivasilis等人,2018; Engels等人, 2011年)。在PRINCE密码(Borghoff等人,2012),块大小为64,密钥大小为128,具有12轮,并且它使用8个4位S盒。我们选择了8个S盒中的一个进行分析,该S盒提供了0.25的最大差分概率。在约简的PRINCE(Hatzivasilis等人,2018; Borghoff等人,2012),该算法在第7轮时容易受到密钥恢复攻击。在PRIDE密码中(Dai和Chen,2017; Albrecht等人,2014),块大小为64,密钥大小为128,具有20轮,并且它使用单个4位S盒。实施PRIDE(Hatzivasilis等人,2018年,软件?相关密钥差分密码分析在PRIDE的第2轮和第18轮中是可能的(Dai和Chen,2017)。矩形密码(Zhang等人,2015)使用16个4位S盒。它被实现为一系列逻辑指令。REC-TANGLE密码(Zhang等人,2015)是64位分组密码;密钥大小为80位并且基于位片技术,这导致高效的软件实现和低成本的硬件实现(Zhang等人, 2015年)。MIDORI密码被设计为消耗较少的能量(Hatzivasilis等人,2018;Banik等人,2015年)。MIDORI- 64和MIDORI-128是MIDORI密码的两个变体。在本文中,我们考虑了MIDORI-64的文献。MIDORI-64是一个64位分组密码,密钥大小为128,有16轮。Midori大小表1(续)轻型S-Box记过交替Feistel网络,其中轮在收缩和扩展步骤之间交替;嵌套Feistel网络,其中轮函数本身就是Feistel网络Merit关键补充F函数中的S盒具有4轮迭代结构,并且非常轻。每个S盒仅由四个NOR门、三个XOR门和一个XNOR门组成。最大差分概率(MDP)和S盒的最大线性概率(MLP)为2-2,这是最优的,并且它没有不动点。所有操作都是简单的计算。它使用128位密钥和64位块通过32轮。这是一个面向硬件的轻量级分组密码,它在硬件上非常高效,同时具有相当高的安全性和极低的门数。SIMON使用XOR和两次旋转。它在软件和硬件方面都提供了出色的性能SPECK在软件和硬件方面都提供了出色的性能。它使用ARX操作HIHT(Hong等人,( 2006年)-它使用一个紧凑的圆形函数,而不使用S盒。KATAN(Bogdanov等人,(2007年)大量的回合。S-box不存在。它适用于低端设备。它提供80位的算法安全级别,即使密钥被烧入设备。-SIMON(Beaulieu等人,( 2015年)-S-box不存在。西蒙是调优的最佳性能在硬件而不是在软件没有S盒。它在软件而不是硬件方面表现出最佳性能。SPECK(Beaulieu等人,(2015年)-SLIM(Aboushosha等人, 2020年)它使用四个4× 4 S盒作为密码的非线性组件,4比特低非线性对针对RFID的16位字执行非线性运算。诉Panchami和M.M.马修斯沙特国王大学学报80. Σ. Σþ þ þ þ22表2羽毛S盒。X0123456789一BCDEFS(X)9671C0F583DE2B一4使用两个4位S盒。本文分析了MIDORI的第一个S盒. MIDORI Cipher的相同S盒(Banik等人, 2015)被CRAFT(Beierle等人, 2019)cipher.SIT密码是64位分组密码,并且密钥大小也是64位,具有20轮(Usman等人, 2017年)。 SIT S盒易受侧信道攻击(Hatzivasilis等人,2018; Usman等人,2017年)。由于存在替换层,SIT密码以及置换层对插值和SQUARE攻击的抵抗(Usman等人,2017年,很辛苦。在GRANULE S盒中,通过单个4位S盒实现非线性(Hatzivasilis等人,2018; Bansod等人,2018年)。由于强S盒的存在,GRAN-ULE密码对线性和差分攻击具有很好的抵抗能力SKINNY密码是一种64位分组密码;密钥大小为128位,有32轮。SKINNY密码使用4位S盒,S盒是XOR和NOR门的组合(Beierle等人,2016年)。SKINNY S盒容易受到线性密码分析的攻击,因为它提供了最小的非线性(Hatzivasilis等人, 2018年)。GIFT密码(Banik等人,2017)是我们在本文中考虑的64位分组密码,密钥大小为128位,29轮。与PRESENT相比,GIFT-64提供了轻质且更便宜的S盒以实现扩散(Suzaki等人,2011; Banik等人, 2017年)。BORON密码是64位置换置换(SPN)(Bansod等人,2017)密码,密钥大小为80位。它使用具有大量活动S盒的4位S盒(Picek等人,2017),这有助于抵抗线性和差分攻击(Bansod et al.,2017年)。它具有高吞吐量和低功耗比LED密码。密钥恢复攻击在减少的回合上是可能的(Hatzivasilis等人,2018年)在BORON密码中。在本文中,我们考虑了LOONG密码(Liu等人,2019)具有64位明文、128位密钥。龙-64 S-box(Liu等人,2019)容易受到侧信道攻击,因为其SNR和混淆系数方差很高(Hatzivasilis例如, 2018年)。l2密码(Yeoh等人,2020)是64位分组密码,80位密钥长度,15轮。l2轻量级密码(Yeoh等人, 2020)使用与PRESENT相同的S盒(Bogdanov等人,2007)用于密钥生成和加密。它具有良好的非线性特性、代数免疫性和微分特性。PICCOLO密码(Shibutani等人,2011)是64位分组密码,密钥大小为96位。在PICCOLO密码(Shibutani等人,2011),S盒层由四个4位双 射 S盒组 成, 后面是 一个 单独 的扩散 层。 PICCOLO的S 盒(Shibutani等人,2011)由3个XOR门、4个NOR门和1个XNOR门组成。HIGHT密码(Hong等人, 2006)非常适合RFIDS和传感器设备。在HIGH中不使用S盒然而,混淆是通过在HIGH HT密码中使用的轮函数KATAN密码(De Canniere等人,2009)在具有64位分组密码和80位密钥大小的硬件实现中是非常有效的。在本文中,我们考虑了SIMON 密码(Beaulieu等人, 2015年),这是一个64位的块密码,有128个密钥大小。SPECK密码(Beaulieu等人, 2015)是64位分组密码,密钥大小为96,29轮。SIMON和SPECK密码是为物联网设计在这两个轻量级密码中都没有S盒。SLIM密码(Aboushosha等人,2020)是具有32位明文和80位密钥大小的分组密码。SLIM密码是为健康物联网设计的,使用4位S盒来提供非线性。它具有良好的抵抗线性和差分密码分析。3. 拟议系统Feather S-box是一个4-bit到4-bit的S-box。S:F4! F4.图图1显示了Feather S盒的设计。它利用有限域、布尔函数和仿射函数的概念在羽毛S盒的设计中,我们取了一个域GF24(Wang等人, 2015)使用不可约的原始多项式。一个不可约多项式是一个不能再分解的多项式,否则,系数所提出的S盒使用一个不可约的4次本原多项式,它被用来生成所有16个元素。 有三个4次不可约多项式,它们是:x4<$x1,x4<$x3<$1和x4x3x2x1.在提出的S盒设计中,我们考虑了次数为4的最小多项式(Prathiba和Bhaaskaran,2018)最小多项式是最低次的Fig. 1. 羽毛S盒的框图。诉Panchami和M.M.马修斯沙特国王大学学报81. Σ. Σ. Σ. Σ. Σ. ΣðÞ. Σ←. Σ半]. Σ[2019 -04-21][美国][2019 -04 -21]. Σ. ΣJJJJJ第2层:计算域上的乘法逆JJJJJ第4层:域GF24上的仿射函数ð Þ不可约多项式,其中a是根,并且其中系数都在GF2n中。在提出的S盒中使用的最小多项式如下:fxx4x118首先,这16个元素通过域GF中的线性层经历 24使用布尔函数。线性层由用异或门、非门和异或非门构造布尔函数。这些布尔函数(Jakobsen和Knudsen,1997)具有抵抗代数攻击的能力。布尔函数是用于实现最优代数免疫,dne,n2在域GF24上的反演(Canright,2005)是该S盒的设计中因此,为了降低成本我们构造了一个复合域GF。2 22Σ使用以下不可约多项式:G F.22:x2x1;G F. .222:x2xk;wherek粤ICP备16018888号-1计算乘法逆元的一般方程变量(Satoh等人, 200 1)在复合域GF中。. 2分钟定义为:算法1. 羽毛S盒生成a-1. ab-1·ab-1,其中b1/4.2nm- 1μmMð20Þ1/4。2- 1分钟这里n的1/2和m的1/2,所以方程。(20)可以写成:输入:GF24中的不可约多项式:x4<$x<$1MDS矩阵:m,常数c输出:羽化S盒值1开始a-1¼ 一个5-1·a4英寸21英寸图2示出了由复合域2 读GF中的不可约多项式。24Σ女朋友222:x2xk;式中k/f10g3 Initialize:Initialize:b194 forj in range 0; 16 do5 端6 将x j转换为4位二进制值7x3←。x0x1x2x3JJJJJ:x4x1;女朋友22 21 1 1 2 2 1 1 1 2 2 2 3 3 3 4 5 5 6 6 7 7 8 8 9 9 910 11 12 12 13 14 15 16 17 18 19 1919 反相电路是一个实施Eq.(21). 复合域GF上的乘法反函数。2 22层可以分为三层,呃。他们来了层1:域GF中所有元素的映射。24到a. .2Σ2Σ8 x2←.x0的 X1 x2x3mm9x1←.x0x1x2x3JJJJJG F. .22尺2寸。10x0←x0x1x2x3第3层:复合字段中元素的重新映射11 [x ½j]←Appen d.x3;x2;x1;x0. .2Σ2Σ.4ΣJJJJ12 x½j]←x ½j]-1modbGF2到GF2使用逆同构函数13 ifx½absx½j]-1]>0,则14x½absx½j]-1]¼-x½absx½j]-1]15如果x j>0,则16返回(j +1)17端18将absx½j]与j1置换19追加下一个值J1到x j20 其他21返回abs x j22 端23 计算y½j]←x½j]×g24 打印y½j]25停止a-1.最后,来自逆同构函数a-1的每个4位输出是仿射变换函数的输入。仿射函数具有抵抗插值攻击的特性(Picek等人,2014年),而不会干扰线性和差分密码分析的阻力。仿射变换函数的4位输出是Feather S盒值。表2显示了Feather S盒的输出值。S盒的输入是4位的,因此将有16种元素组合,是一种非线性排列方式。该算法的计算复杂度为O n..Σ.其次,利用同构函数a,域GF。24转换为GF。222度。接下来,我们构建了一个非线性层通过应用域GF中的乘法模逆结构。222用扩展的欧几里德算法(Satoh等人,2001年)。乘法模逆函数表现出良好的密码学性质以抵抗线性和差分密码分析(Wang等人, 2015年)。乘性2复合域GF2使用同构函数a。诉Panchami和M.M.马修斯沙特国王大学学报82Feather S盒中使用的仿射函数如下:y¼a-1×g22其中a-1是逆同构映射,g是常数4. 羽毛S盒分析4.1. 羽毛S盒实验装置及硬件性能分析为了分析FEATHER S盒的硬件性能,在FEATHER架构中实现FEATHER S盒(Panchami等人,2023),其中块长度为64位,密钥长度为128位。诉Panchami和M.M.马修斯沙特国王大学学报83þþ¼ð ð ÞÞ图二.羽毛S盒电路图。该电路设计是实现在VERSALGHDL使用台积电0.18lm标准单元库。使用Cadence® nclaunch模拟器进行功能模拟Cadence®工具的输出用于分析轻量级密码的硬件性能。所有S盒考虑的硬件性能度量是关键路径延迟(CPD)、面积、功率、面积延迟乘积(ADP)和功率延迟乘积(PDP)。面积-延迟乘积(ADP)计算为面积和延迟的乘积。功率延迟积(PDP)计算为前-后-前-后-后-前-后-动力和延迟的管道。表5和图3显示了轻量级密码的硬件性能分析。观察到FEATHER的面积延迟积(ADP)和功率延迟积(PDP)分别比PRESENT 小 23% 和 19% 。 FEATHER 的 ADP 和 PDP 比 GIFT 、GRANULE 和 KATAN 低 12% , 而 PRINCE 和 PICCOLO 具 有 与FEATHER相同的值。4.1.1. 羽毛S盒羽毛S盒的面积成本从S盒电路图计算图2。Feather S盒的电路图由2输入XOR门和2输入AND门组成,如从表4. 总面积成本计算为各个层功能(Layer1、Layer2、Layer3和Layer4)中的门面积之和硬件性能效率来自总面积成本和关键路径延迟成 本 ( Prathiba 和 Bhaaskaran , 2019 ) 。 门 等 效 性 ( GE )(Prathiba 和Bhaaskaran, 2019; Prathiba 和Bhaaskaran,2018;Dinu等人,2019; Jenny等人,2021)面积被枚举为具有最小扇出的两输入与门的面积所引起的总面积。羽毛S盒的总面积为16AXOR9AAND-20AAND-3 ,小于 PRESENT 、 GIFT 、 RECTANGLE 、 SIMON 、 SPECK 、KLEIN、CLEFIA、TWINE、CRAFT、LOONG和BORON。4.1.2. 关键路径延迟(CPD)Feather S 盒 电 路 图 是 图 2 所 示 的 XOR 和 AND 门 的 顺 序 链 。FEATHER S盒结构的关键路径延迟(CPD)成本
我的内容管理
展开
