Thiết kế vi mạch

IP core về mã hóa và xác thực

 

CENTIC cung cấp một loạt các giải pháp bảo mật để sử dụng trong ASIC hoặc FPGA với đặc tính kỹ thuật tài nguyên nhỏ, tốc độ cao, tiêu thụ năng lượng thấp. Có sẵn để sử dụng và tối ưu trong bất kỳ công nghệ nào, các sản phẩm của CENTIC cung cấp một giải pháp hợp lý và hỗ trợ tốt cho bất cứ yêu cầu nào.

Mã hóa

AES

AES-XTS

Xác thực và băm

 

SHA-1 & MD5

SHA-256, SHA-384, SHA-512

Kết hợp mã hóa và xác thực

AES-CCM

AES-GCM

Ứng dụng bảo mật

IPSec, SSL/TLS

 

1. Mã hóa

Đây là những thuật toán mã hóa thường được sử dụng để bảo vệ dữ liệu và là trung tâm của các giao thức bảo mật như là IPSec hay SSL, cung cấp thông lượng dữ liệu cao cho ứng dụng yêu cầu về tốc độ. Chúng được sử dụng với khóa bí mật ở mỗi đầu liên kết, và có thể cung cấp một mức độ cao về bảo mật khi triển khai một cách chính xác. Các khối thuật toán được phát triển bởi CENTIC đáp ứng tốt về tốc độ cũng như linh hoạt trong sử dụng.

1.1 AES

Tổng quan

Tháng 9 năm 1997, Viện tiêu chuẩn và Công nghệ Hoa Kỳ (National Institute of Standards and Technology – NIST) đã đệ trình một tiêu chuẩn mã hóa tiên tiến Advanced Encryption Standard – AES để thay thế cho tiêu chuẩn hiện có bấy giờ là Data Encryption Standard – DES. Tháng 10 năm 2000, một thuật toán gọi là Rijndael đã được lựa chọn cuối cùng cho AES.

AES là một thuật toán mã hóa khối 128-bits, hỗ trợ lựa chọn kích thước khóa 128, 192 và 256 bits tùy theo mức độ bảo một cần thiết.Nó là thuật toán nhanh và hiệu quả, được coi là đủ an toàn cho hầu hết các ứng dụng bảo mật dữ liệu hiện tại.

Từ khi là một tiêu chuẩn của NIST, AES được sử dụng rộng rãi trên toàn thế giới trong các ứng dụng bảo mật về mạng, lưu trữ dữ liệu,...

Giải pháp của CENTIC

CENTIC cung cấp AES IP core với các chế độ hoạt động cơ bản như CBC, CFB, OFB và CTR, đáp ứng một cách tốt nhất cho các ứng dụng mã hóa yêu cầu tốc độ cao có thể lên đến 10Gbps. Ngoài ra còn có chế độ hoạt động nâng cao kết hợp giữa mã hóa và xác thực (AES-CCM, AES-GCM) cũng như mã hóa thiết bị lưu trữ (AES-XTS).

Đặc tính kỹ thuật:

    • Thuật toán AES (Rijndael) dựa trên tiêu chuẩn mới nhất NIST FIPS PUB 197
    • Chế độ hoạt động với khóa 128-192-256 bits
    • Tốc độ tối đa có thể lên đến 10Gbps
    • Nhiều chế độ hoạt động CBC, OFB, CFB, CTR, CCM, GCM, XTS

 

1.2 AES-XTS

Tổng quan

Thuật toán AES-XTS được định nghĩa bởi tiêu chuẩn NIST SP800-38E  trong một lớp các thuật toán được gọi là mã hóa khối “Tweakable”, và được xác định bởi nhóm IEEE 1619 trong khuôn khổ tiêu chuẩn mã hóa thiết bị lưu trữ. AES-XTS được sử dụng để mã hóa dữ liệu ở mức độ “disk sector”, nơi mà nó giải quyết các vấn đề liên quan đến việc chống sao chép đĩa cũng như tấn công theo kiểu tra từ, trong khi cho phép tùy chọn xử lý song song để tăng cường hiệu suất. Khi được sử dụng để mã hóa thiết bị lưu trữ, AES- XTS mã hóa và giải mã các khối 16 - byte tại một thời điểm dưới sự kiểm soát của một khóa bí mật AES, và một giá trị tinh chỉnh bắt nguồn từ vị trí hợp lý của các khối trên thiết bị lưu trữ. Thuật toán này đáp ứng các yêu cầu cơ bản cho việc mã hóa thiết bị lưu trữ, trong đó các dữ liệu có thể được mã hóa một cách độc lập và giải mã ở cấp khu vực khi nó đến tùy ý, và quá trình mã hóa không thay đổi kích thước của dữ liệu. Ngoài ra, vị trí của dữ liệu trên thiết bị lưu trữ sẽ thay đổi kết quả mã hóa, do đó dữ liệu giống hệt nhau được lưu trữ tại các điểm khác nhau sẽ không giống nhau sau khi mã hóa.

Giải pháp của CENTIC

CENTIC cung cấp một bộ các giải pháp AES- XTS cho phép người dùng lựa chọn một mức độ tăng tốc phần cứng mà phù hợp với yêu cầu của họ, giảm thiểu số lượng các nguồn tài nguyên logic cần thiết. Các giải pháp có sẵn bao gồm tất cả các cấp tốc độ dữ liệu từ ít hơn 1Gbps, đến vượt quá 64Gbps, trong bất kỳ công nghệ đích hỗ trợ nào.
Tất cả các AES-XTS IP core được hỗ trợ kích thước khóa 128 hoặc 256-bits, cũng như tùy chọn mã Ciphertext Stealing, điều này cho phép các sector mà không phải bội số của 16-bytes được hỗ trợ. Cũng như hỗ trợ hoạt động ở các chế độ AES-ECB hoặc AES-CBC.

Đặc tính kỹ thuật:

    • Mode hoạt động AES-XTS được chỉ định bởi tiêu chuẩn IEEE 1619
    • Hỗ trợ mode hoạt đông AES-CBC cho ứng dụng lưu trữ
    • Tự động thực hiên tinh chỉnh tính toán và ciphertext stealing
    • XTS mode hỗ trợ cả kích thước khóa 256 và 512-bits
    • CBC mode hỗ trợ kích thước khóa 128, 192 và 256-bits

 

AES XTS/CBC IP core

2. Xác thực và hàm băm

Tổng quan    

Có nhiều thuật toán xác thực (Hashing and Message Authentication Code – HMAC) thường được sử dụng để cung cấp tính toàn vẹn dữ liệu và các chức năng kiểm tra xác thực dữ liệu dùng trong các giao thức bảo mật như IPsec, TLS/SSL, và các tiêu chuẩn chữ ký số như FIPS 186-3. CENTIC cung cấp các IP core thực hiện thuật toán băm và xác thực được dùng phổ biến hiện nay như SHA-1 & MD5, SHA-224, SHA-256, SHA-384, SHA-512.

SHA-1

Thuật toán băm an toàn 32-bits với độ dài băm trả về 160-bits (FIIPS 180-1)

SHA-2 Family (SHA-224, SHA-256, SHA-384, SHA-512)

Thuật toán băm an toàn 32-bits và 64-bits với độ dài băm trả về lên đến 512-bits (FIIPS 180-3)

MD5

Thuật toán băm an toàn trả về giá trị băm 128-bits (RFC 1321)

       

Các thuật toán băm an toàn SHA-1, SHA-2 Family và MD5 thường được sử dụng như hàm một chiều với đầu vào là một file hoặc bản tin có chiều dài bất kỳ và trả về ở đầu ra là giá trị băm có kích thước cố định. Giá trị băm là duy nhất và không thể dùng nó để tính ngược được giá trị vào ban đầu, bất kỳ sự thay đổi nào của bản tin đầu vào dù là 1 bit cũng sẽ làm thay đổi giá trị băm đầu ra.
SHA (Secure Hash Algorithms - thuật toán băm an toàn) là các thuật toán được phát triển bởi NIST và được định nghĩa trong FIPS 180-4. Chúng được sử dụng trong các ứng dụng như chữ ký số, xác thực thông điệp và tập tin. Khi được sử dụng với tiêu chuẩn xác thực, HMAC cùng với khóa bí mật sẽ cung cấp xác thực nguồn gốc và tính toàn vẹn dữ liệu trong các giao thức bảo mật như IPsec và TLS/SSL.

Giải pháp của CENTIC

CENTIC cung cấp các IP core xác thực (HMAC) và hàm băm SHA tương ứng với các thuật toán SHA-1, SHA-2 Family, MD5. Hoạt động với tốc độ nhanh lên đến 4Gbps, dễ dàng sử dụng cũng như tiếu tốn ít tài nguyên và năng lượng.

Đặc tính kỹ thuật:

    • Thực hiện một hoặc nhiều hơn các thuật toán SHA-1, SHA-2 và MD5
    • Tốc độ cao - mỗi clock cho một vòng băm
    • Tự động tính toán và chèn padding
    • Tùy chọn vector IVs cho HMAC

 Hash IP core

 

3. Kết hợp mã hóa và xác thực

Đây là những giải pháp cung cấp cả tính bảo mật và xác thực trong một thuật toán duy nhất, được sử dụng trong nhiều tiêu chuẩn không dây, lưu trữ và mạng gần đây. Các IP core được phát triển bởi CENTIC đáp ứng tốt về tốc độ và hiệu suất làm việc.

AES-CCM IP core

AES- CCM là một thuật toán mã hóa chứng thực được thiết kế để cung cấp cho cả mã hóa và xác thực. Được sử dụng trong nhiều tiêu chuẩn gần đây như 802.11, 802.15 và 802.16 cho mạng không dây, cộng với tiêu chuẩn IEEE 1619-1 cho lưu trữ băng từ, nó là một sự lựa chọn tốt cho nhiều ứng dụng.

AES-GCM IP core

AES- GCM là một thuật toán mã hóa chứng thực được thiết kế để cung cấp cho cả mã hóa và xác thực, và có khả năng hỗ trợ tốc độ dữ liệu rất cao. Được sử dụng trong nhiều tiêu chuẩn gần đây như IEEE 802.1AE ( MACSec), cộng với các tiêu chuẩn IEEE 1619-1 cho lưu trữ băng từ, nó là một sự lựa chọn rất mạnh mẽ cho nhiều ứng dụng.

 

3.1 AES-CCM

Giới thiệu  

AES-CCM là một thuật toán mã hóa xác thực được thiết kế để cung cấp cho cả hai chức năng mã hóa và xác thực. CCM kết hợp dựa trên hai mã hóa khối cơ bản là Counter Mode (đối với mã hóa) và CBC- MAC (đối với xác thực). AES- CCM được sử dụng trong nhiều tiêu chuẩn thông dụng như chuẩn Wireless 802.11, 802.15 và 802.16, G.9961/G.hn Home Network. Chuẩn IEEE 1619.1 trong lưu trữ đĩa từ.

Giải pháp của CENTIC

CENTIC cung cấp nhiều giải pháp liên quan đến bảo mật, xác thực AES-CCM, phù hợp với các yêu cầu ứng dụng của bạn, bao gồm yêu cầu tốc độ xử lý thông tin cao để đáp ứng thời gian thực, tối ưu hóa công suất tiêu thụ phù hợp các thiết bị cầm tay hoặc tối ưu hóa tài nguyên để giảm giá thành sản phẩm. AES-CCM IP core tương thích với các hãng FPGA nổi tiếng trên thế giới như Altera hoặc Xilinx

 

IP Core AES-CCM được thiết kế cho các ứng dụng đặc biệt như trong mạng viễn thông, mạng truyền số liệu tốc độ cao. Với kiến trúc pipeline, AES sẽ thực hiện quá trình mã hóa/giải mã trong vòng 12/14/16 chu kỳ clock tương đương với khóa 128/192/256 bit và băng thông xử lý đạt đến 4Gbps.
Với hướng thiết kế mở có độ tương thích cao, AES-CCM IP Core phù hợp mức ASIC hoặc tích hợp trong hệ thống nhúng với các chuẩn AXI-ARM, PLB-PowerPC, …

Bảng đánh giá tài nguyên và băng thông IP Core AES

Đặc tính kỹ thuật:

    • Thực hiện Counter với mode xác thực mã hóa theo NIST 800-38C
    • Hỗ trợ khóa AES với các độ dài 128, 192 và 256-bits
    • Thực hiện tất cả CCM như quản lý Counter, block chaining, block masking, tag appending và     checking
    • Phù hợp cho các ứng dụng wireless 802.11, 802.15 và 802.16

3.2 AES-GCM

Giới thiệu

AES-GCM là một thuật toán mã hóa xác thực được thiết kế để cung cấp cho cả ứng dụng mã hóa và xác thực. Thuật toán này sử dụng băm phổ quát trên trường nhị phân Galois để cung cấp mã xác thực.
Với kiến trúc pipeline và kỹ thuật xử lý song song, GCM được ứng dụng trong các ứng dụng đòi hỏi tốc độ xử lý mã hóa, giải mã rất cao. Điều này cho phép mã hóa chứng thực ngay cả khi tốc độ lên đến hàng chục Gbps, cho phép mã hóa cao cấp và xác thực trên hệ thống mà trước đây không thể được bảo vệ đầy đủ . Gần đây GCM được quy định để sử dụng trong các ứng dụng tốc độ thấp hơn do dễ sử dụng và khả năng mở rộng.
AES-GCM được ấn định sử dụng trong một số tiêu chuẩn gần đây, như nó được lựa chọn theo quy định của IEEE-1619 để bảo vệ dữ liệu ở dạng băng từ, sử dụng trong MACSec ( 802.1AE ), và trong giao thức bảo mật Fiber Channel Security Protocols (FC-SP).

Giải pháp của CENTIC

CENTIC cung cấp một lựa chọn rộng các giải pháp AES- GCM, bao gồm tất cả các yêu cầu thông lượng từ thấp cho đến 40Gbps trong bất kỳ công nghệ đích chúng tôi hỗ trợ. Điều này cho phép người sử dụng có một giải pháp rất tốt phù hợp, mà không cần phải quan tâm nhiều về tài nguyên hoặc hiệu suất hoạt động.

Đặc tính kỹ thuật:  

    • Thực hiện mode xác thực mã hóa Galois/Counter (GCM) theo NIST 800-38D
    • Hỗ trợ khóa AES với các độ dài 128, 192 và 256-bits
    • Hỗ trợ 96-bits Nonce/IV
    • Thực hiện thuật toán AES và GHASH cần thiết cho GCM
    •  

4. Ứng dụng bảo mật

CENTIC có thể cung cấp IP cores cho việc thực hiện các giải pháp bảo mật mở rộng từ lớp liên kết (data link layer) đến lớp vận chuyển (transport layer) cho một số ứng dụng kết nối mạng. Những giải pháp này bao gồm tăng tốc thuật toán mã hóa và xác thực cho các giao thức IPsec và SSL/TLS, thường được dùng để đảm bảo truyền dữ liệu qua Internet.

IPSec

IPsec là một giao thức an toàn được sử dụng trong một loạt các ứng dụng dữ liệu nhạy cảm phải đi qua các mạng không an toàn, chẳng hạn như Internet. CENTIC cung cấp IPSec IP core có khả năng tăng tốc phần cứng cho thuật toán mã hóa và xác thực, xử lý gói và đóng gói tại trung tâm của giao thức IPsec là ESP.

SSL/TLS

Secure Sockets Layer ( SSL) và Transport Layer Security (TLS) là giao thức thường được sử dụng để đảm bảo an toàn các giao dịch Internet giữa máy khách và máy chủ. CENTIC cung cấp SSL/TLS IP core có khả năng tăng tốc phần cứng của thuật toán mã hóa là hình thành cơ sở của quá trình xử lý SSL/TLS.

 

4.1 Internet Protocol Security – IPSec

Tổng quan

IPsec  bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP). Bao gồm xác thực và/hoặc mã hoá cho mỗi gói IP (IP packet) trong quá trình truyền thông tin. Giao thức IPsec làm việc tại tầng Network Layer – layer 3 của mô hình OSI. Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, thực hiện từ tầng transport layer trở lên. Điều này tạo ra tính linh động cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này. Có hai giao thức chính trong IPSec là AH - Authentication Header cung cấp tính xác thực và ESP - Encapsulating Security Payload cung cấp cả xác thực lẫn mã hóa.

Giải pháp của CENTIC

CENTIC cung cấp ESP IP core thực hiện giao thức ESP trong IPSec bằng phần cứng để tăng tốc tối đa cho quá trình mã hóa và xác thực cũng như đóng gói gói tin IP, với tài nguyên và tiêu thụ năng lượng thấp nhất. Ngoài việc tăng tốc thì việc thực hiện ESP bằng phần cứng còn giúp hệ thống CPU kiểm soát các tác vụ IPSec phức tạp tốt hơn so với dùng phần mềm.
Kiến trúc ESP IP core của CENTIC hỗ trợ cho bất kỳ thuật toán mã hóa và xác thực được quy đinh trong các tài liệu RFC 4303, RFC 4835 và các RFC khác.

 Đặc tính kỹ thuật:

    • Thực hiện giao thức ESP IPSec bằng phần cứng theo tiêu chuẩn RFC 4303
    • Hỗ trợ cấu hình đầy đủ các giao thức bảo mật, xác thực bắt buộc và đề xuất trong ESP-v3
    • Phù hợp với mạng IPv4, IPv6 và mode hoạt động IPSec transport cũng như Tunnel
    • Thực hiện Extended (64-bits) Sequence Number cho giao thức quản lý khóa IKEv2
    • Hỗ trợ đầy đủ các dịch vụ bảo mật của ESP
    • Hỗ trợ Traffic Flow Confidentiality (TFC)
    • Thực hiện tự động padding và kiểm tra

 


4.2 SSL & TLS

Tổng quan

Secure Sockets Layer ( SSL) và người kế nhiệm của nó là Transport Layer Security (TLS) cả hai giao thức được sử dụng để tạo ra một kết nối an toàn giữa máy khách và máy chủ trên Internet. SSL đã được phát triển bởi Netscape và các phiên bản mới nhất (3.0) đã được phát hành vào năm 1996.
Internet Engineering Task Force ( IETF ) sau này xây dựng trên SSL phiên bản 3.0 để xác định giao thức cho phiên bản mới nhất của TLS (1.2) được định nghĩa trong RFC 5246. Các giao thức SSL và TLS cung cấp để trao đổi khóa và sử dụng mật mã khóa công khai, chứng thực dựa trên chứng chỉ, cũng như mã hóa lưu lượng truy cập dữ liệu và tin nhắn xác thực.

Giải pháp của CENTIC

Phù hợp với bản chất của các giao thức SSL và TLS, cung cấp cả khả năng mở rộng và tính tương thích ngược, CENTIC có thể cung cấp một giải pháp tăng tốc phần cứng hiệu quả cho tất cả các thuật toán mã hóa cần thiết để thực hiện các yếu cầu định nghĩa trong RFC 5246. RSA và Diffie-Hellman cho trao đổi khóa; AES cho thuật toán mã hóa dữ liệu; thuật toán băm MD5, SHA-1 và SHA-256  và HMAC cho xác thực thông điệp (MAC).
Theo yêu cầu ứng dụng SSL / TLS cụ thể, CENTIC có thể cung cấp một giải pháp tăng tốc phần cứng phù hợp để tối ưu đáp ứng các yêu cầu hệ thống cho một loạt các ứng dụng trong một loạt các ASIC và công nghệ FPGA.

 

 

 

Đối tác