TW200845689A

TW200845689A - Flexible architecture and instruction for advanced encryption standard (AES)

Info

Publication number: TW200845689A
Application number: TW97111091A
Authority: TW
Inventors: Shay Gueron; Wajdi Feghali; Vinodh Gopal; Makaram Raghunandan; Martin Dixon; Srinivas Chennupaty; Michael E Kounavis
Original assignee: Intel Corp
Priority date: 2007-03-28
Filing date: 2008-03-27
Publication date: 2008-11-16
Also published as: JP2015096976A; US20160197720A1; US10164769B2; US9634828B2; US10581590B2; US20150169474A1; US9654281B2; US20150100797A1; EP3361668A1; US9647831B2; US20160119123A1; US20080240426A1; US20160119124A1; EP2132899B1; US10158478B2; ES2805125T3; EP2852088B1; US20160196219A1; CN112532376B; EP3145113A1

Description

200845689 九、發明說明【發明所屬之技術領域】本發明是有關於一種加密演算法，且特別是一種先進力口密標準(advanced encryption standard，AES)演算法。【先前技術】加密技術是一種依靠演算法及用來保護資訊之金鑰的工具。演算法是一種複雜的數學演算法’金鑰則是一位元串列。有兩種主要的加密系統：密鑰系統（secret key system)及公鑰系統（public key system)。密綸系統也被稱爲對稱系統，具有一單一金鑰（密鑰），由雙方或更多方所共用。單一金鑰用以加密及解密資訊。先進力口密標準(advanced encryption standard，AES ) ，由美國國家標準及技術局（National Institute of Standards and Technology，NIST)所公布，稱爲聯邦資訊

處理標準（Federal Information Processing Standard，FIPS )197的密鑰系統。AES是可以加密及解密資訊的對稱區塊密碼。加密（譯碼）使用密鑰（譯碼金鑰）執行一連串轉換，將稱爲「一般文件」的可理解的資料轉換爲「譯碼文件」的不可理解之形式。密碼的轉換包含：（1 )加入一回合金錄（從譯碼金鑰得到的値）到狀態（位元組的二維陣列），使用的是互斥OR操作；（2 )使用非線性位元替換表（S-box )處理該狀態（3 )以不同的位移量循環移位 -5- 200845689 該狀態的最後三列；以及（4 )將該狀態所有的欄混合# 資料（各自獨立）以產生新的欄。解密（反譯碼）使用該譯碼金鑰執行一連串轉換’將「譯碼文件」區塊，轉換爲相同大小的「一般文件」區塊。反譯碼轉換是將譯碼的轉換反相進行。

Rijindael演算法在AES標準中專門處理128位元資料區塊，使用長度爲128、192及256位元的譯碼金鑰。不同的金鑰長度被稱爲AES-128、AES-192及AES-256。 AES演算法在10、12或14連續回合內轉換一般文件爲譯碼文件，或將譯碼文件轉換爲一般文件，回合數與金鑰長度有關。【發明內容】提供用於一般用途處理器之一彈性先進加密標準（ aes )指令集。該指令集包含執行用於先進加密標準加密或解密之多個「一回合」通過之指令，以及也包含執行金鑰產生之多個指令。一中間値可用以指示1 28/1 92/256位元金鑰之金鑰產生的回合數及金鑰大小。因爲不需要追蹤內部暫存器，該彈性先進加密標準指令集能夠完全使用管芽泉(pipelining )會g 力。【實施方式】先進加密標準（AES )演算法係爲電腦強化演算法，一般係執行於軟體或特殊目的處理器當中。因此，加密一 -6- 200845689 般僅用於加密儲存在電腦中之資訊的一子集合’例如列爲「最高機密」的資訊。然而，有需要加密更多儲存在電腦內的資訊。例如，假設儲存在行動電腦上的資訊係被加密，當行動電腦被偷時資訊可以受到保護。 AES是以128、192或256位元尺寸之金鑰’操作於 1 2 8位元區塊之區塊譯碼器。操作序列根據金鑰尺寸進行迭代數回合（10、12或14)。每一回合的金鑰產生可以即時（on the fly)(也就是在每一回合前）進行，其係使用內含128位元暫存器儲存回合金鑰。然而，使用內含暫存器，因需要前面指令的結果，可能減少x86暫存架構處理器的效能。已經有應用出現，例如，處理網路封包之應用，封包在每一流量中具有不同金鑰使用即時金鑰產生較爲有利。可能有其他應用需要使用單一金鑰產生較佳效能，例如，使用單一金鑰加密/解密磁碟中的內容。因此，對於彈性產生金鑰的需求增加了。本發明之實施例提供一種彈性結構及指令，用以在一般用途處理器中執行AES加密及解密。第1圖繪示在一般用途處理器中根據本發明之規則之彈性架構及執行AE S加密及解密的指令之實施例的系統 1 〇〇的方塊圖。系統1 ο 〇包含處理器1 ο 1、記憶體控制集線器（Memory Controller Hub，MCB)或圖形記憶體控制集線器（Graphics Memory Controller Hub，GMCH) 102，及輸入/輸出（I/O)控制集線器（Input/Output Controller 200845689

Hub，ICH ) 104。MCH 102包含記憶體控制器 106，其控制在處理器1 〇 1及記憶體1 08之間的通訊。處理器1 0 1及 MCH 102經由系統匯流排1 16通訊。處理器1 〇 1可以是複數個處理器中的任一個，例如單核心 Intel® Pentium IV®處理器，單核心 Intel Celeron 處理器，Intel® XScale處理器，或多核心處理器，例如 Intel® Pentium D，Intel® Xeon® 處理器，或 Intel® Core® Duo處理器或其他種類的處理器。記體體108可以是動態隨機存取記憶體（DRAM)、靜態隨機存取記憶體（SRAM )、同步動態隨機存取記憶體（SDRAM )，雙資料速率2 ( DDR2 )隨機存取記憶體或Rambus動態隨機存取記憶體（RDRAM )或其他種類的記憶體。 ICH 104可以使用晶片間互連1 14連接MSH 102，例如直接媒體介面（Direct Media Interface，DMI) ，DMI 支援2G位元/秒雙通道同步傳輸。 IC Η 104可以包含儲存I/O控制器1 10，用以控制與 IC Η 104連接之至少一儲存裝置1 12。儲存裝置例如可以是硬碟、數位影碟（Digital Video Disk，DVD )、光碟（ Compact Disk，CD)、重複磁碟陣歹[J ( Redundant Array of Independent Disk, RAID)、磁帶機或其他儲存裝置。ICH 1 04可以經由儲存協定互連1 1 8和儲存裝置1 1 2通訊，可使用多種儲存協定例如序列連接小型電腦系統介面（ Serial Attached Small Computer System Interface，S A S ) 200845689 或序列高技術配置（Serial Advanced Technology Attachment，SATA) o 處理器1 0 1包括一 AE S函數1 0 3，執行先進加密標準加密及解密操作。AES函數1 03可用以加密或解密儲存在記憶體1 〇 8及/或儲存裝置1 1 2中的資訊。第2圖係爲第1圖之處理器101之實施例的方塊圖。處理器1〇1包括一取得及解碼單元206，用以將從一階（ L 1 )指令快取2 0 2接收的處理指令解碼。用以執fT該指令的資料可以儲存在暫存檔208。在一實施例中暫存檔208 包含複數個128位元暫存器，用以在一先進加密標準指令中儲存先進加密標準指令使用的資料。在一實施例中，暫存檔是一群1 2 8位元暫存器，類似於具有串流單一指令多重資料延伸指令集（Streaming ( Single Instruction Multiple Data?SIMD) Extention ( SSE )Instruction Set)之 Intel Pentium MMX 處理器。在一 SIMD處理器中，資料在128位元區塊內處理，且一次載入一個128位元區塊。取得及解碼單元202從L1指令快取202取得巨集指令（macroinstruction)，將巨集指令解碼並拆開爲稱爲微操作（μ〇Ρ s )的簡單操作，微操作可以儲存在微碼唯讀記憶體（Read Only Memory, ROM) 214。執行單元 210 排程並執行微操作。在所示實施例中，在執行單元2 1 0中的先進加密標準函數1 3 0包括用於一先進加密標準指令集中的微操作。退休單元（retirement unit) 212將指令執 -9 - 200845689 行結果寫到暫存器或記憶體中。先進加密標準指令所使用的回合金鑰2 1 4可以儲存在L1資料快取2 〇 4並位於執行單元2 1 0中，執行單元係在微操作中執行先進加密標準指令集中的先進加密標準指令。儲存回合金鑰2 1 4於資料快取2 0 4可以避免側面通道攻擊，例如，意圖取得回合金鑰以存取儲存於系統1 0 0中的加密資訊。第3圖係爲包含第2圖中根據本發明之規則用以執行 A E S加密及解密之執行單元的方塊圖。第3圖與第2圖一倂描述。在先進加密標準指令被取得及解碼單元2 0 6解碼後，執行單元2 1 0執行的先進加密標準指令包含執行微操作及儲存於微碼R Ο Μ 2 1 4中的先進加密標準指令。根據本發明之一實施例的彈性A E S指令使得程式設計師在效能及處理資料數量、記憶體頻寬及容量上取得妥協。部分應用可以連續使用相同金鑰。在效能重要的應用中，可以預計算該金鑰的金鑰排程（也就是各回合的回合金鏡）一次並儲存在記憶體中來取得妥協。其他應用可能要將用以儲存金鑰排程的記憶體數量最小化，而在多區塊操作中仍可達到好的效能。對這樣的操作，金鑰排程可以在多重區塊被處理前預先計算。記憶體覆蓋區可以經由僅儲存譯碼金鏡或反相譯碼金_進一步減小，然後犧牲部分效能以導出其他必要的先進加密標準。

在x86處理器中，可用在AES回合金鑰操作及AES -10- 200845689 排程操作的執行埠的面積及數量包含AES指令的效能。在每一區塊加密需要金鑰擴充的系統中，可以藉由置放 AES排程操作及AES回合金鑰操作在分開的執行埠中來改善效能。然而，在x86處理器中可能要具備分開的執行埠及額外控制分開執行埠的區域。在一實施例中，提供包含分開的執行加密回合的先進加密標準指令、加密回合、解密回合、加密最後回合、解密最後回合及計算加密回合金鑰或解密回合金鑰之先進加密標準指令集。在一實施例中有六個先進加密標準指令在先進加密標準指令集當中。各個先進加密標準回合指令具有獨特的操作碼（opcode )。在一實施例中用於固定寬度回合金鑰（例如1 28位元）中的先進加密標準指令集中的先進加密標準回合指令如表1所示。 -11 - 200845689 AESENCRYPTRound xmmsrcdst xmm 輸入：資料（=目的地），回合金鑰輸出：經由使用回合金鑰之AES回合轉換後的資料 AESENCRYPTLastRound xmmsrcdst xmm 輸入：資料（=目的地），回合金鑰輸出：經由使用回合金鑰之AES最後回合轉換後的資料 AESDECRYPTRound xmmsrcdst xmm 輸入：資料（=目的地），回合金鑰輸出：經由使用回合金鑰之A E S回合轉換後的資料 AESDECR YPTLastRound xmmsrcdst xmm 輸入：資料（=目的地），回合金錄輸出：經由使用回合金鑰之AES最後回合轉換後的資料 AESNextRound Key xmmsrcl.2 xmm dst (立即）輸入：低128位元金鑰、高128位元金鑰，回合數指標輸出：從輸入導出之下一回合金鑰 AESPreviousRound Key xmmsrcl.2 xmm dst (立即）輸入：低128位元金鑰、高128位元金鑰，回合數指標輸出：從輸入導出之前一回合金鑰表1 先進加密標準指令集包含四個先進加密標準回合指令 (加密、解密、加密最後回合、解密最後回合）及兩個先進加密標準金鑰指令（下一回合金鑰及前一回合金鑰）。先進加密標準指令集中的先進加密標準回合指令包含執行除了最後回合外，所有回合使用的加密及解密回合操作之 -12- 200845689 單一回合指令。例如，在表i中的AESENCRYPTRound中的單一回合指令，輸入資料儲存在一 128位元暫存器（ xmmsrcdst)而回合金鑛儲存在另一 128位元暫存器（ xmm)。這個指令根據儲存在128位元xmmsrcdst暫存器中的輸入資料執行一先進加密標準回合操作，並以回合操作的執行結果覆寫儲存在128位元xmmsrcdst暫存器中的輸入資料。因此xmmsrcdst首先儲存輸入資料並接著儲存先進加密標準回合操作的結果。先進加密標準指令集也包含用在最後解密回合的解密指令及用在最後加密回合中的先進加密標準加密指令。例如，在表 1中的AESENCRYPTLLastRound單一回合指令中，輸入資料儲存在128位元暫存器（xmmsrcdst)中，而回合金鑰儲存在128位元暫存器（xmm )中。這指令根據儲存在xmmsrcdst上的暫存器的輸入資料（資料來源）執行一先進加密標準回合操作並以回合操作的執行結果覆寫儲存在 xmmsrcdst 暫存器上的輸入資料。因此 xmmsrcdst首先儲存輸入資料並接著儲存回合操作的結果。xmm暫存器儲存用於回合操作的回合金鑰。在另一實施例中，該回合及最後回合指令，例如 AESDECRYPTRound 及 A E S D E C R Y P T L a s t Ro u n d 可以採用從記憶體（m/1 2 8 )而非暫存檔3 04取得資料，例如，先進力D密標準回合指令可以是 AESDECRYPTRound xmmsrcdst m/128 〇其他兩個位於先進加密標準指令集中的先進加密標準 -13- 200845689 指令產生一回合金鑰，用於與金鑰大小相關的先進加密標準回合，也就是128位元、192位元或256位元。其中一個先進加密標準回合金鑰指令產生一用於加密操作回合金鑰，而其他先進加密標準回合金鑰指令產生用於解密作業的回合金鑰。在 AESNextRoundKey 及 AESPreviousRoundKey 指令中的立即欄位具體描述金鑰的尺寸{128,192,256}。在另一實施例中，不使用立即欄位，不同金鑰尺寸可以爲分開的指令，各指令具有獨特的操作碼。在此一實施例中，先進加密標準回合金鑰指令數包含這些用在各回合金鑰操作的分開的指令，例如，AESNextRoundKey_128、 AESNextRoundKey l 92 及 AESNextRoundKey_256，且對於 AESPreviousRoundKey也會有類似一組的三個指令。在此一實施例中，指令集中的指令總數量是1 〇而不是前述實施例中的6。暫存檔304具有複數個可以被先進加密標準指令集中的先進加密標準指令使用的1 2 8位元暫存器。1 2 8位元暫存器可以儲存來源運算元、回合金鑰及先進加密標準指令的結果。對第一回合來說，先進加密標準指令接收一來源運算元，該來源運算元可以是要加密的1 2 8位元一般文件或是要解密的1 2 8位元譯碼文件。產生用於1 2 8位元、 1 92位元或2 5 6位元金鑰的金鑰排程的金鑰可以儲存在任何一個暫存檔中的1 2 8位元暫存器3 0 8當中。所有指令使用暫存檔中的暫存器，並且也從先前討論的記憶體中直接採用輸入値。 -14- 200845689 使用表1所示的先進加密標準指令集中的一實施例的原始碼的例子如下表2所示。在本例子中，效能在應用中最佳化以執行使用相同金鑰於多個區塊中的加密。這樣的應用使用單一金鑰加密光碟中的內容，相同的金鑰也用以加密儲存進入光碟前的所有資料。在本例子中，係執行 A E S -1 2 8 力口密。金鑰的尺寸可以是128位元、192位元或256位元。執行的回合數可以是1、1 0、1 2或14，視各回合金鑰固定的尺寸（128位元）決定。隨著回合數爲10、12、14, 先進加密標準微操作可以對應金鑰尺寸爲128位元、192 位元或2 5 6位元執行標準先進加密標準加密及解密。當相同金鑰使用於多個區塊時，各回合（金鑰排程）的回合金鑰可以預先計算並儲存在記憶體（例如一階資料快取204 )，致使相同金鑰排程不必在各區塊上的一個加密/解密作業操作前預先計算。 RK[0] = Input Key

For 1 = 1..10 RK[i] = AESNextRoundKey(RK[i-l])

END STATE = Input Block STATE = STATE xor RK[0]

For i=1..9 STATE = AESNCRYPTRound(STATE，RK[i])

END STATE = AESENCRYPTLastRound(STATE，RK[10]) 表2 -15- 200845689 一具有十個元素的陣列（RK )用於儲存金鑰的金鑰排程。用於AES-128加密的輸入金鑰儲存在rk[0]，而9 回合金鑰RK[0]-RK[1]係經由先進加密標準指令集呼叫的 AESNextRoundKey 預先計算。AESNextRoundKey 指令根據這一回合的金鑰計算下一回合。用於金鑰排程的預先計算回合金鑰可以儲存在一階資料快取204內的回合金鑰 214 ° 在這個例子中，當部分金鑰排程（擴張金鑰）（亦即用於該回合的回合金鑰）被直接從暫存檔3 04輸入時，一互斥OR (XOR)操作係在進入執行該先進加密標準回合的迴圏之前執行於該狀態及金鑰。對於1到9的各回合，來自先進加密標準指令集的AESENCRYPTRound指令被呼叫來執行一回合的先進加密標準回合操作。對最後回合（回合 10 )來說，呼叫來自先進加密標準指令集的 AESENCRYPTLastRound指令，以執行最後回合的先進加密標準回合操作。經由先進加密標準指令被加密或解密的資訊’在核發第一先進加密標準指令開始加密或解密操作之前，被載入於一來源/目的位於暫存檔3 04內的暫存器3 06。用於加密 /解密位於來源暫存器3 0 6上的資訊的金鑰，係儲存在一或更多其他位於暫存檔304內的暫存器308上。在128位元金鑰的情況下，整個金鑰的1 2 8位元被儲存在其他任何一個暫存檔304內的128位元暫存器上。對於尺寸超過 1 2 8位元的金鑰，最高有效位元（超過1 2 8位元）被儲存 -16- 200845689 在另一個128位元暫存器上。在表2的範例中，各回合的回合金鑰也可以儲存在一或更多位於暫存檔304內的暫存器上’或可以儲存在一階資料快取204內的回合金錄214上。 AES具有固定128位元的區塊大小，以及128、192 或2 5 6位元的金鑰尺寸，以及操作於4 X 4的位元組陣列（也就是16位元組（128位元固定區塊尺寸））’這些被稱爲「狀態」。AE S演算法轉換1 2 8位元一般文件區塊爲一 1 2 8位元譯碼文件（加密）區塊，或將1 2 8位元譯碼文件區塊轉換爲一般文件（解密）的1 2 8位元區塊於1 0、 12或14連續回合內，回合數與金鑰尺寸（128、192或 2 5 6位元）有關。在執行各回合加密或解密操作之前，執行單元2 1 0取回儲存在暫存檔3 04內的狀態及金鑰。各加密/解密回合操作使用儲存在唯讀記憶體（ROM) 2 14上的金鑰排程器 3 0 2內，用於先進加密標準指令的微操作來執行。在所示實施例中，狀態（128位元區塊狀態）儲存於暫存器306 內，且金鑰儲存在一或更多其他暫存檔3 04內的暫存器 3 08上。在先進加密標準指令執行完成後，結果狀態儲存在暫存檔3 04內的暫存器3 06上。狀態可以是下一先進加密標準回合或AES加密或解密操作的最後結果使用的中間回合日期。在所示實施例中，金鑰排程器產生用於一先進加密標準回合的回合金鑰。金鑰排程器302可以建構爲一微碼操 -17- 200845689 作，而且可以包括執行一序列操作，以產生

FlPSPublication 197 定義的 128 位元、192 位元及 25 6 位元的回合金鑰的微碼操作。在另一實施例中，金鑰排程器可以在執行單元2 1 〇內建構爲一硬體狀態機序列。在再一個實施例當中，部分金鑰排程器可以建構爲儲存於微碼R0M 214內的微碼操作，且金錄排程器其餘部分可以建構爲執行單兀210內的硬體狀態機序列。金鑰排程器3 0 2擴張一金鑰的η位元組爲一擴張金鑛 (金鑰排程）的b位元組，擴張金鑰的第一 η位元組作爲初始金鑰。例如，對一 1 2 8位元金鑰，1 2 8位元金鑰擴張爲1 7 6位元組擴張金鑰，也就是說’ 1 1 χ 1 6位元組（1 2 8 位元），第一 1 6位元組作爲初始1 2 8位元金鑰，因此回合數爲10。一 192位元金鑰的24位元組擴張爲208位兀組（1 3 X 1 6位元組）提供各1 2回合1 2個「回合金鑰」’ 且一 2 5 6位元金鑰的3 2位元組擴張爲2 4 0位元組（1 5 X 1 6 位元組），已提供各1 4回合1 4個「回合金鑰」。將一先進加密標準指令內的操作碼（0 P c 0 d e )解碼之後，多個用以控制一先進加密標準回合的先進加密標準指令流程的參數儲存於控制邏輯3 22內。參數包括操作類型 (加密或解密），且不論是否爲最後回合。先進加密標準回合邏輯3 2 4可以包括微操作，用於下列階段：區塊狀態314、S-盒/反相S-盒316、移位列318 及混合反相、混合欄或空（係指「混合攔」）3 2 0及增加 -18- 200845689 回合金鑰326。在區塊狀態3 1 4，至先進加密標準回合邏輯3 24之 128位元輸入（狀態）係使用按位元（bitwise ) XOR而增加一金鑰（與該回合相關的擴張金鑰的1 2 8位元部分），以產生一 128位元中間値（狀態）。在S-盒/反相S-盒3 16中，此128位元中間値的各位元組係以可能儲存於查詢表並從查詢表中接收的另一位元組値替換，查詢表也稱爲替換區塊或「s -盒」。s -盒採用某輸入位元數m，並將之轉換爲某輸出位元數η，而建構出一查詢表。固定的查詢表係經常被使用。此操作經由透過伽羅瓦代數體（Galois Field) (GF) (28)的反函數提供非線性。例如，η位元輸出可以使用輸入的m位元的外面兩位元，經由在查詢表選擇一列找到，並使用輸入的 m位元的內部位元選擇一欄。在移位列318中，來自S-盒/反相S-盒316的結果通過一位元位元轉換，將4 X 4陣列（1 2 8位元（1 6位元組）狀態）中接收自次位元組階段（S u b B y t e s s t a g e )的各列循環移位到左側。對於4x4陣列的各列，各位元組的空間數係有不同的移位。在混合欄3 20中，來自移位列3 20的結果通過位元線性轉換，其中4 X 4陣列（狀態）的各欄係以二元伽羅瓦代數體（Galois Field) ( GF ) (28)上的多項式處理，並接著將x4+l的模數（modulo)乘上固定多項式c(x) = 3x3 + x2 + x + 2。一最後先進加密標準回合與其他先進加密 -19- 200845689 標準回合不同之處在於其省略混合欄320。在混合欄階段3 20執行一互斥OR函數於來自擴張金鑰及對於該先進加密標準回合之移位列318或混合欄320 的結果的回合金鑰後，增加回合金鑰324。例如，下列先進加密標準指令可以核發以執行先進加密標準解碼的一個回合： A E S D E C R Y P T R 〇 un d xmmsrcdst xmm 這例子，以一具有表示爲{RK[1]，RK[2]，...RK[10]}的擴張金鑰的回合金鑰，執行一 128位元AES加密回合操作。回合金鑰可以在核發AESDECRYPTRound指令前，經由核發一 AESPreiousRoundKey xmmsrcl，2 xmm dst (立即 )指令來產生。該回合金鑰可以從Level資料快取204直接載入一區塊狀態3 1 4，或一開始儲存在暫存檔案3 04內的暫存器（xmm)而接著從暫存器載入區塊狀態314。當不同金鑰使用於加密/解密各區塊，例如，在網路介面控制器（network interface controller, NIC)的情況 (其係加密/解密資料封包），回合金鑰可以在執行各回合加密/解密之前即時計算，如表3的虛擬碼所示，用於 AES-128 力口密： •20- 200845689 RK[0] = Input Key STATE = Input Block STATE = STATE xor RK[0]

For i=1..9 RK[i] = AESNextRoundKey(RK[i-l]) STATE = AESENCRYPTRound(STATE，RK[i])

END RK[10] = AESNextRoundKey(RK[9]) STATE = AESENCRYPTLastRound(STATE? RK[10]) 表3 在此例子中，用於該回合的回合金鑰，係於使用於金鑰排程（擴張金鑰）中的各1 0回合的回合金鑰進行加密前產生。也就是說，回合1-9及回合10(最後回合）。先進加密標準指令集包括單一先進加密標準回合指令及單一先進加密標準回合金鑰產生指令，可以使AES的變數具有不同回合數及金鑰排程，也就是說， FIPS Publication 197沒有定義的變數。因此，在先進加密標準指令集中的單一回合先進加密標準指令提供執行先進加密標準加密及解密的彈性。當先進加密標準指令集所能執行的回合數不被固定，則任思回口數都可以執行（若有必要）。例如，假設引入雜湊（hash )或針對MAc攻擊，或對AES的攻擊的新標準’回合數可以改變以支持未來加密/解密標準。 -21 - 200845689 第4圖繪示經由第3圖繪示之執行單元2 1 〇之先進加密標準加密最後回合指令之流程的流程圖。在方塊400中，執行單元210等待一先進加密標準加密回合指令。假設一 AE S加密回合指令已經被取得及解碼單元203解碼，則進行方塊402。假若不是，繼續處理方塊400，等待一先進加密標準加密回合指令。在方塊402中，在取得及解碼單元206解碼指令期間，執行加密的指標儲存在控制邏輯3 22中，且用於執行加密回合的回合金鑰及1 2 8位元區塊狀態（來源）係從暫存檔3 04載入執行單元210。繼續處理方塊404。在方塊404中，執行一替換操作於128區塊狀態，也就是來自區塊4 0 6或4 1 8的結果。1 2 8位元區塊狀態的各位元組係以另一可以儲存於查詢表並取回的位元組値替換，也稱爲一替換區塊或「S-盒」。S-盒取得某輸入位元數 m，並將之轉換爲某輸出位元數η，且係經常被建構爲一查詢表。該結果被儲存爲一 1 2 8位元區塊狀態。繼續處理方塊4 0 6。在方塊406中，128位元區塊狀態（4x4陣列）通過一位元線性轉換將該4 χ.4陣列中各列的位元組循環移位到左側。各位元組移位的空間數對4 X 4陣列的各列都不同。繼續處理方塊4 0 8。在方塊408中，該128位元區塊狀態（4x4陣列）通過一位元線性轉換將4 X 4陣列（狀態）的各欄透過GF ( 2 8 )作爲多項式處理，接著將將X 4 + 1的模數（m 〇 d u 1 〇 ) -22- 200845689 乘上固定多項式c(x)=3x3 + x2 + x + 2。繼續處理方塊410 〇在方塊410中，一互斥〇R函數係執行於一來自擴充金鑰及對於該先進加密標準回合之移位列318或混合攔 3 20的結果的回合金鑰。繼續處理方塊4 1 2。在方塊412中，用於該回合（I28位兀區塊狀態）的加密操作結果係儲存於暫存檔3 0 4上的來源/目的暫存器 3 02。先進加密標準加密指令的處理完成。下列表4顯示在表3顯示的虛擬碼執行後’使用一 128位元金鑰於一 128位元區塊輸入上執行AES-128加密的結果。 128 位元輸入：001 12233445566778899aabbccddeeff ( 16 進位） 128 位元金鑰：000102030405060708090a0b0c0d0e0f ( 16 進位） 128 位元結果：69c4e0d86a7b0430d8cdb78070b4c55a ( 16 進位）表4 第5圖繪示經由第3圖繪示之執行單元2 1 0之先進加您標準加密最後回合指令之流程的流程圖。在方塊5 0 0中，執行等待一先進加密標準加密最後回合指令。假設一 AES加密最後回合指令已經被取得及解碼單元206解碼，則繼續處理方塊5 02。假設不是，處理仍停留在方塊5 00等待一先進加密標準指令。在方塊502中，一 s -盒在最後回合中係以與於方塊 -23- 200845689 4 〇 4 (第4圖）一倂討論的S -盒查詢的類似方式執仃查δ旬。繼續處理方塊504 ° 在方塊504中’以與於方塊406(第4圖）一倂討論的其他回合的類似方式執行查詢執行一最後回合的移位列操作。繼續處理方塊506。在方塊506中’ 一互斥〇R函數於最後回合執行於來自擴充金鑰及對於該先進加密標準回合之移位列3 1 8或混合欄3 2 0的結果的回合金鑰。繼續處理方塊5 0 8。在方塊5 0 8中，最後回合操作的加密結果儲存在暫存檔304內的來源/目的暫存器306上。先進加密標準指令處理完成。第6圖繪示經由第3圖繪示之執行單元2 1 0之先進加密標準解密回合指令之流程的流程圖。在方塊6 0 0中，執行等待一先進加密標準解密回合指令。假設一 AE S解密回合指令已經被取得及解碼單元2 〇 6 解碼，則繼續處理方塊602。假設不是，則處理停留在方塊6 00等待一先進加密標準解密回合指令。在方塊602中，在取得及解碼單元2〇6解碼指令期間，執行解密回合的指標儲存在控制邏輯3 22上，且用以執行解密回合的回合金鑰及來源（1 2 8位元區塊狀態）係從暫存檔304載入執行單元210。繼續處理方塊6〇4。在方塊6 0 4中，要執行的操作是解密。經由執行— AES標準定義的反相S-盒查詢，執行一替換操作於ι28 位元區塊狀態。繼續處理方塊606。 -24- 200845689 在方塊606中，執行一 FIPS Publication 1 97定義的反相移位列操作。繼續處理方塊6 0 8。在方塊60 8中，執行一 FIPS Publication 197定義的反相混合欄操作。繼續處理方塊6 1 0。在方塊610中，執行一互斥OR函數於來自擴充金鑰及對於該先進加密標準回合之移位列3 1 8或混合欄320的結果的回合金鑰。繼續處理方塊6 1 2。在方塊61 2中，用於該回合（12 8位元區塊狀態）解密操作的結果儲存於暫存檔3 04內的來源/目的暫存器302 上。解密回合指令的處理完成。第7圖繪示經由第3圖繪示之執行單元2 1 0之先進加密標準解密最後回合指令之流程的流程圖。在方塊700中，執行單元210等待一先進加密標準解密最後回合指令。假設一 AES解密最後回合指令已經被取得及解碼單元206解碼，則繼續處理方塊702。假設不是，則處理停留在區塊700等待一先進加密標準解密最後回合指令。在方塊702中，經由執行一 FIPS Publication 197定義的反相S -盒查詢，以執行一替換操作於用於最後回合的1 2 8位元區塊狀態。繼續處理方塊7〇4。在方塊7〇4中，執行一 FIP SPublication 197定義的反相移位列操作於最後回合。繼續處理方塊706。在方塊706中，執行一互斥OR函數於來自擴充金鑰及對於該先進加密標準回合之移位列3 1 8或混合欄3 20的 -25- 200845689 結果的回合金鑰。繼續處理方塊7 0 8。在方塊7 0 8中，解密最後回合操作的結果儲存在來源 /目的暫存檔3 04內的暫存器3 06中。先進加密標準解密最後回合指令的處理完成。在一實施例中，第4 - 7圖的流程圖中的方塊可以建構爲執行單元2 1 0內的硬體狀態機序列。在另一實施例中部分方塊可以建構爲微程式，可以儲存在唯讀記憶體（R0M )2 1 4內。方塊建構爲硬體狀態機序列的實施例可以提供更高的效能。第8圖繪示一具有立即位元組之先進加密標準回合指令的實施例，可用以產生回合金鑰並執行加密及解密。取代表1所示的先進加密標準指令集，一單一回合指令係被提供以執行該先進加密標準指令集的功能。欲經由單一先進加密標準指令執行的特定功能在立即位元組（ key_select_modifier )中以位元編碼。立即位元組可以將先進加密標準回合指令擴充來增加新特徵，而非建立多個個別具有獨特的操作碼的新指令。先進加密標準回合指令可以符號定義如下： dest: = aes_key_round(source2? source 1), key —select一modifier 該aes_key_round指令根據埠數來核發給特定執行單元2 1 0，以執行一 A E S加密或解密操作。如實施例所示， 4號執行埠是AE S回合指令指定的特定執行埠。執行單元 -26- 200845689 210分割爲δ午多平f了璋（超純量（super-scalar))。然而 ’並非所有執行埠的數量相同。部分執行埠係爲特定資源例如大型整數乘法器，或是浮點乘法器或除法器。較簡單或較普通的指令例如加法、減法及互斥〇 R係爲多重執行埠所支援以達最大效能。因此對各指令或微操作而言，核發控制邏輯決定核發微操作/指令的執行埠。在本實施例中，先進加密標準指令一直會核發給4號執行埠。然而，其他實施例可以使用其他編號的執行埠。請參照第8圖’ dest儲存回合N的擴充金鑰的128 位元，source2儲存回合N-1的擴充金鑰的128位元， sourcel儲存回合 N-2的擴充金鑰的128位元。 Key_select_modifier是一 8位元立即値，用以提供目前回合數（N )、操作方向（加密/解密）以及AES金鑰尺寸。對AES-128而言，不需要sourcel而加以忽略。執行單元是AES單元且不使用旗標（整數或浮點）。在一實施例中，立即値的最後四個最低有效位元的位元編碼表示回合數。例如，AES-128的回合數 1-1〇， AES-192的回合數1-12及AES-256的回合數2-14。對於 AES-128及192，回合數0因爲第一回合使用沒有修改的輸入金鑰而不使用。對AES-256而言，回合數〇及i因爲未修改的2 5 6位元輸入金鑰使用於最初2個1 2 8位元回合而不使用。立即位元組的位元4表示操作方向（加密或解密），例如，一實施例中〇 =加密，1二解密’而在另一實施例 -27- 200845689 中1二加密，〇二解密。立即位元組的位元5及6表示 AES金鑰尺寸。在一實施例中 AES金鑰尺寸如下列表5 所定義：金鑰尺寸 128 192 256 保留位元[6:5] 00 01 10 11

在其他實施例中，具有値爲11的位元[6:5]也是128 位元金鑰尺寸的指標。在此實施例中，所有位元[6: 5]的値可以使用且可被剖析（parsed )。對熟習此技藝者本發明中的實施例的方法確實可以包括電腦可使用媒體的電腦程式產品來實施。例如，電腦可使用媒體可包含唯讀記憶裝置，例如於其中儲存有電腦可讀取程式碼之 CD ROM ( Compact Disk Read Only Memory )光碟或傳統ROM裝置，或是電腦磁碟。本發明上述實施例已經參照其實施例具體描繪及敘述，熟悉此技藝者必須暸解，在不偏離申請專利範圍所涵蓋之本發明的所有實施例的範圍下，可以從事各種形式及細節的改變。【圖式簡單說明】 -28- 200845689 所要求保護的標的之實施例特徵經由詳細的描述並參照圖式可以明確瞭解，相同標號表示相同元件。第1圖繪示在一般用途處理器中根據本發明之規則之彈性架構及執行AES加密及解密的指令之實施例的系統方塊圖；第2圖繪示第1圖中處理器之實施例的方塊圖；第3圖繪示包含第2圖中根據本發明之規則用以執行 A E S加密及解密之執行單元的方塊圖；第4圖繪示經由第3圖繪示之執行單元之先進加密標準加密最後回合指令之流程的流程圖；第5圖繪示經由第3圖繪示之執行單元之先進加密標準加密最後回合指令之流程的流程圖；第6圖繪示經由第3圖繪示之執行單元之先進加密標準解密回合指令之流程的流程圖；第7圖繪示經由第3圖繪示之執行單元之先進加密標準解密最後回合指令之流程的流程圖；以及第8圖繪示具有能夠產生回合金鑰並執行加密及解密的立即位元組之先進加密標準回合指令之實施例。【主要元件符號說明】 1 〇〇 :系統 1 〇 1 ··處理器 102 :記憶體控制集線器 103 : AES加密’/解密操作 -29 - 200845689 104 : I/O控制集線器 106 :記憶體控制器 1 〇 8 :記憶體 1 10 :儲存I/O控制器 1 1 2 :儲存裝置 1 1 4 :晶片間互連 1 1 6 :系統匯流排 1 1 8 :儲存協定互連 2 0 0 :匯流排介面單元 202 : —階指令快取 204 : —階資料快取 206 :取得及解碼單元 208 :暫存檔

2 1 0 :執行單元 2 1 2 :退休單元 214 :微碼 ROM 2 1 4 :回合金鑰 3 02 :金鑰排程器 3 04 :暫存檔 3 06 :暫存器 3 0 8 :暫存器 3 1 4 :區塊狀態 316 : S-盒/反相S-盒 3 1 8 :移位列 -30- 200845689 3 20 :混合反相、混合欄或空 3 22 :控制邏輯 3 24 :先進加密標準回合邏輯 326 :增加回合金鑰 -31 -

Claims

200845689 十、申請專利範圍 1.一種裝置，包含：一金鑰排程器，該金鑰排程器根據一接收金鑰產生用於一先進加密標準（aes)回合的一回合金綸（round key )，該先進加密標準回合與一先進加密標準回合金鑰操作相關連；以及先進加密標準回合邏輯，用以執行複數個先進加密標準回合操作其中之一，以針對該先進加密標準回合及用於該先進加密標準回合之該回合金鑰之輸入計算一先進加密標準操作的一結果，以提供一下個輸入給一下個先進加密標準回合，或該先進加密標準操作之該結果。 2 .如申請專利範圍第1項之裝置，其中該回合金鑰儲存於一資料快取中。 3 .如申請專利範圍第2項之裝置，其中該金鑰排程器預先計算用於該先進加密標準操作之所有回合金鑰，並在開始該先進加密標準操作之前將所有回合金鑰儲存於該資料快取中，且該先進加密標準回合邏輯使用儲存於該資料快取中之該預先計算的回合金鑰，執行各先進加密標準回合操作。 4 .如申請專利範圍第2項之裝置，其中一先進加密標準回合操作致使執行單元：針對該先進加密標準回合及用於該先進加密標準回合之該回合金鑰之輸入執行一互斥OR (X0R)操作，以產生一中間値； -32- 200845689 根據儲存於一查詢表中的値，對該中間値中之各位元組執行一替換操作；及經由移位該中間値之數列之一位元線性轉換，傳遞該替換操作之結果。 5 ·如申請專利範圍第1項之裝置，其中用於先進加密標準回合數-1之一先進加密標準回合操作致使執行單元針對該先進加密標準回合及用於該先進加密標準回合之該回合金鑰之輸入執行一互斥OR(XOR)操作，以產生一中間値；根據儲存於一查詢表中的値，對該中間値中之各位元組執行一替換操作；經由移位該中間値之數列之一位元線性轉換，傳遞該替換操作之結果；以及經由混合該中間値之數欄之一位元線性轉換，傳遞該替換操作之結果。 6·如申請專利範圍第5項之裝置，其中用於一最後回合之一先進加密標準回合操作致使執行單元：針對該先進加密標準回合及用於該先進加密標準回合之該回合金鑰之輸入執行一互斥OR(XOR)操作，以產生一中間値；根據儲存於一查詢表中的値，對該中間値中之各位元組執行一替換操作；以及經由移位該中間値之數列之一位元線性轉換，傳遞該 -33- 200845689 替換操作之結果。 7 .如申請專利範圍第1項之裝置，其中該結果係爲一加密値。 8 ·如申請專利範圍第1項之裝置，其中該結果係爲一解密値。 9 ·如申請專利範圍第1項之裝置，其中該金鑰及用於第一先進加密標準回合之輸入儲存於一暫存檔。 10.如申請專利範圍第9項之裝置，其中該暫存檔包括複數個1 2 8位元暫存器。 1 1 · 一種方法，包含：根據一接收金鑰產生用於一先進加密標準回合的一回合金鑰，該先進加密標準回合與一先進加密標準回合金鑰操作相關連；以及針對該先進加密標準回合及用於該先進加密標準回合之該回合金鑰之輸入執行該先進加密標準回合操作，以提供一下個輸入給一下個先進加密標準回合，或該先進加密標準操作之結果。 1 2 ·如申請專利範圍第1 1項之方法，更包含：儲存該產生之回合金鑰於一資料快取中。 1 3 .如申請專利範圍第1 1項之方法，其中產生該回合金鑰更包含：預先計算用於該先進加密標準操作之所有回合金鑰；在開始該先進加密標準操作之前，儲存所有回合金鑰於該資料快取中；以及 -34- 200845689 使用儲存於該資料快取中之該等預先計算的回合金鑰，執行各先進加密標準回合操作。 1 4 ·如申請專利範圍第1 3項之方法，其中執行該先進加密標準回合金鑰操作包含：針對該先進加密標準回合及用於該先進加密標準回合之該回合金鑛之輸入執f了一^互斥〇R(X〇R)操作，以產生一中間値；根據儲存於一查詢表中的値，對該中間値中之各位元組執行一替換操作；以及經由移位該中間値之數列之一位元線性轉換，傳遞該替換操作之結果。 1 5 ·如申請專利範圍第1 1項之方法，其中執行用於先進加密標準回合數-1之該先進加密標準回合操作包含：針對該先進加密標準回合及用於該先進加密標準回合之該回合金鑰之輸入執行一互斥OR(XOR)操作，以產生一中間値；根據儲存於一查詢表中的値，對該中間値中之各位元組執行一替換操作；經由移位該中間値之數列之一位元線性轉換，傳遞該替換操作之結果；以及經由混合該中間値之數欄之一位元線性轉換，傳遞該替換操作之結果。 1 6 ·如申請專利範圍第1 4項之方法，其中執行用於一最後先進加密標準回合之該先進加密標準回合操作包含： -35- 200845689 針對該先進加密標準回合及用於該先進加密標準回合之該回合金鑰之輸入執行一互斥0R( x〇R)操作，以產生一中間値；根據儲存於一查詢表中的値’對該中間値中之各位元組執行一替換操作；以及經由移位該中間値之數列之一位元線性轉換，傳遞該替換操作之結果。 17.如申請專利範圍第11項之方法，其中該結果係爲一加密値。 1 8.如申請專利範圍第1 1項之方法，其中該結果係爲一解密値。 1 9.如申請專利範圍第1 1項之方法，其中該金鑰及用於第一先進加密標準回合之輸入儲存於一暫存檔。 20.如申請專利範圍第19項之方法，其中該暫存檔包含複數個128位元暫存器。 2 1 . —種物品，包括具有相關資訊之一機器可存取媒體，其中當存取該資訊時，致使該機器執行：根據一接收金鑰產生用於一先進加密標準回合的一回合金鑰，該先進加密標準回合與一先進加密標準回合金鑰操作相關連；以及針對該先進加密標準回合及用於該先進加密標準回合之該回合金鑰之輸入執行該先進加密標準回合操作，以提供一下個輸入給一下個先進加密標準回合，或該先進加密標準操作之結果。 -36- 200845689 2 2.如申請專利範圍第21項之物品，更包含：儲存該產生之回合金鑰於一資料快取中。 2 3.如申請專利範圍第21項之物品，其中若該先進加密標準回合數等於1，在執行先進加密標準回合操作之序列前，根據該金鑰載入用於該先進加密標準回合之一預先計算的回合金鑰。 2 4 . —種系統，包含：一動態隨機存取記憶體，用以儲存資料及指令；以及耦接至該記憶體的一處理器，用以執行該等指令，該處理器包含：一金鑰排程器，該金鑰排程器根據一接收金鑰產生用於一先進加密標準回合的一回合金鑰，該先進加密標準回合與一先進加密標準回合金鑰操作相關連；以及先進加密標準回合邏輯，用以執行複數個先進加密標準回合操作其中之一，以針對該先進加密標準回合及用於該先進加密標準回合之該回合金鑰之輸入計算一先進加密標準操作的一結果，以提供一下個輸入給一下個先進加密標準回合，或該先進加密標準操作之該結果。 2 5 .如申請專利範圍第2 4項之系統，其中該回合金鑰儲存於一資料快取中。 2 6.如申請專利範圍第24項之系統，其中該金鑰排程器預先計算用於該先進加密標準操作之所有回合金鑰，並在開始該先進加密標準操作之前將所有回合金鑰儲存於該資料快取中，且該先進加密標準回合邏輯使用儲存於該資 -37- 200845689 料快取中之該預先計算的回合金鑰，執行各先進加密標準回合操作。