李老师：您好

由于这周花了时间在进行参赛文档的处理，查阅资料写klein算法优化文档，但时间紧，没有完成klein算法优化文档。我写了一篇读后感。

 读《一种适用于PFID标签的安全化Piccolo密码算法实现》后感

 射频识别（PFID）标签的应用日益广泛，为了保障此类安全敏感设备的数据安全，通常在其中嵌入密码算法。一个低成本PFID标签芯片的面积通常在1000个等效门（GE）到10000GE之间，此时留给密码算法部分的空间通常只在200GE到2000GE之间。在此情况下，占用资源少，功耗低的轻量级分组密码算法成为一个比较热门的话题。本文作者提到PRESENT和Piccolo两种算法，认为这两种是最典型的轻型密码算法。但让我联想到klein算法的优点：klein算法与传统分组密码相比具有执行效率更高，计算资源消耗少，适用资源环境（如物联网）等优点，同其他轻量级密码算法相比，klein算法的软件执行效率较高，适应环境能力强是轻量级密码中的佼佼者。另外klein发表文献中谈到klein的用于PFID标签的方向的趋势。

 虽然轻量级密码算法在提出时均保证了其本身的安全性，但密码算法的实现安安全性全性却受到差分功耗分析攻击的严峻挑战。我想主流芯片实现安全性不受到线性与其他攻击吗？是不是考虑不全面？在这里说为了充分保障密码芯片的安全，在设计密码芯片之时加入DPA防护措施，但让我想到真正没有一种算法假如在设计密码芯片时不加DPA防护措施，这样的话，可以降低芯片面积和功耗，也可以减少相关不必的技术，是不是更适用于资源受限的PFID标签芯片中。

 作者将Threshold技术实现串行化PRESENT密码算法，在其最紧凑实现中仅仅要求2300GE即可实现抵抗DPA攻击的加密算法。鉴于Feistel结构型密码算法的优势，本文则尝试将Threshold技术与Feistel结构型密码算法的Piccolo相结合，提出了Piccolo密码算法S-Box与逆S-Box的优化Threshold技术实现

（因为抗差分攻击重点在非线性S-Box），给出了一种可用于PFID标签芯片的安全化密码算法的可能实现技术并评价了该实现的安全性。因为作者该方案的测试数据的资源消耗控制在2059GE，是大于2000GE，还是存在各种问题的。所以我在想目前谁创造一个或者优化一个安全性高，资源消耗少的算法来做PFID标签芯片开发肯定是一个关注点。

 Threshold型掩码方案，传统掩码是一种（2,2）秘密分享方案技术，随机掩码能够随机化密码算法运算期间的真值使密码设备的能量消耗独立于加密过程的真值扰乱了功耗信息的泄露，从而使DPA攻击者的难度加大，但有关文献指出通过使用n个掩码可以抵抗n阶DPA攻击防护。对于n取值要合理。

 Threshold实现的难点和重点在于密码算法非线性S-Box的实现。

 对于一个布尔函数式F，要想实现其TI（3,3）分享并保证满足以上三条性质，1.不完全性2.正确性3.均匀性，另外需保证原函数F为二次布尔函数式。对于Piccolo密码算法的S-Box是三次的S-Box，所以必须进行重要一步为S-Box的二次分解（在作者进行二次分解这一部分，我发现错误。）在进行TI（3,3）分享实现S-Box，TI（3,3）分享实现S-Box是满足上述三条性质，输出分享是不会改变的，特别是第二条性质更能体现。

 对于一两个讨论的地方的理解：（1）基于轮的实现方式可以得到较高的吞吐量。我的理解，轮实现方式是每轮所有数据进行加密处理，是增加算法面积来处理数据，所以加密速度快，效率高。（就相当我们实现速度优先方案）是可以得到较高的吞吐量。

（2）基于四位数据通路的串行化实现方式达到较少的实现面积。我根据明文部分的数据通路图与串行化实现相对DPA攻击方面安全性可以从两个方面进行分析，一方面：串行化实现时，较低的密码电路功耗会降低所采功耗信息的信噪比，因为加密面积减少，相应功耗会减少。另一方面：串行化实现的数据通路宽度较低，（可以看出串行化实现相当于面积优先方案，把数据分开若干部分，分别有序的重复进行运行，是没有扩展面积的。）