Diseño de tres arquitecturas para un módulo

criptográfico AES
Paola Ceminari ∗†1 , Ariel Arelovich∗2 y Martı́n Di Federico∗3
† Departamento de Ingenierı́a Eléctrica y de Computadoras, Universidad Nacional del Sur
Av. Alem 1253, Bahı́a Blanca, Argentina
∗ Centro de Micro y Nanoelectrónica del Bicentenario, Instituto Nacional de Tecnologı́a Industrial
Drago 45, Bahı́a Blanca, Argentina
1
pceminari@inti.gob.ar
2
ariela@inti.gob.ar
3
martind@inti.gob.ar

Abstract—The Advanced Encryption Standard (AES) block
cipher is currently used in many applications such as smart
cards, e-mail and Wi-Fi. The algorithm’s purpose in any case
is to provide confidentiality in the communication. However,
each of the applications imposes different constraints over
the cipher. The aim of this work is the design of three
architectures for AES, oriented to different applications. One
of them maximizes the performance through the use of pipeline
structures, other minimizes the area through resource sharing,
and the third one represents a trade-off between area and
throughput.
Resumen— El cifrado en bloques AES (Advanced Encryp-
tion Standard) es actualmente utilizado en diversas aplicaciones
como tarjetas inteligentes, correo electrónico y Wi-Fi. La
finalidad de este algoritmo, en todos los casos, es proveer
confidencialidad en la comunicación. Sin embargo, cada una de
estas aplicaciones impone distintos requisitos sobre el módulo
de cifrado. El objetivo de este trabajo es el diseño de tres
arquitecturas para un módulo de cifrado en bloques AES,
orientadas a distintos tipos de aplicaciones. Una de ellas
maximiza el desempeño mediante el uso de estructuras pipeline,
otra minimiza el área mediante uso compartido de recursos
y una tercera representa una relación de compromiso entre
desempeño y área.
I. I NTRODUCCI ÓN
Advanced Encryption Standard (AES) es un estándar que
establece un algoritmo de cifrado simétrico en bloques,
resultado de una iniciativa llevada a cabo por el Instituto Na-
cional de Estándares y Tecnologı́a de Estados Unidos (NIST)
en el año 2000 [1]. El algoritmo ganador fue Rijndael [2],
que consiste en una red sustitución-permutación.
Originalmente, AES fue destinado a la protección de
información sensible en instituciones gubernamentales de
Estados Unidos, pero con el paso del tiempo se convirtió
en un estándar de facto global. Una de las ventajas que
presenta este algoritmo es la posibilidad de ser implemen-
tado en forma eficiente sobre distintas plataformas, tanto de
hardware como software [3] [4] [5].
Cada una de las aplicaciones en las que se utiliza este tipo
de cifrado impone distintos requisitos en su implementación.
Por ejemplo, en algunos casos se requiere que el módulo
de cifrado consuma la menor cantidad de área y potencia
En este trabajo se presentan tres módulos de cifrado en
bloques AES, orientados a distintos tipos de aplicaciones.
En primer lugar se describe el algoritmo de cifrado AES,
considerando cada una de las transformaciones que lo com-
ponen, el proceso de expansión de llave utilizado, los modos
de operación más usados y el proceso de descifrado. A
continuación, se plantean las estrategias de diseño utilizadas
en cada una de las arquitecturas y se detallan los resultados
de simulación y sı́ntesis obtenidos para las tres arquitecturas
propuestas.
II. D ESCRIPCI ÓN DEL ALGORITMO AES
AES opera sobre bloques de texto plano y cifrado de
128 bits; mientras que la llave secreta puede ser de 128,
192 o 256 bits. Como se observa en la Fig. 1, el cifrado de
un mensaje se lleva a cabo mediante la aplicación reiterada
de transformaciones invertibles, denominadas rondas.
En primer lugar se aplica una ronda inicial, seguida de
Nr − 1 iteraciones de una ronda general, y una iteración de
una ronda final. La cantidad de iteraciones de ronda, Nr ,
depende de la longitud de la llave: Nr = 10 para una llave
de 128 bits, Nr = 12 para una llave de 192 bits y Nr = 14
para una llave de 256 bits. Cada una de las rondas requiere
una sub-llave, que es generada a partir de la llave secreta
mediante un algoritmo de expansión.
La ronda inicial consta de una operación XOR entre el
bloque de texto plano y la llave de ronda, mientras que
las rondas generales están compuestas por cuatro etapas
denominadas SubBytes (SB), ShiftRows (SR), MixColumns
(MC) y AddRoundKey (ARK). La ronda final es similar a
las rondas generales, excepto que no cuenta con la transfor-
mación MixColumns. Tanto los bloques de datos de entrada
y salida, como los resultados intermedios durante el cifrado
pueden ser visualizados como una matriz de 4 × 4 bytes,
denominada matriz de estados. La estructura de esta matriz
se muestra en la Ecuación 1.
BF BE BD BC BB BA B9 B8 B7 B6 B5 B4 B3 B2 B1 B0
m (1)
S0,0 S0,1 S0,2 S0,3 BF BB B7 B3
   

posible; mientras que otras aplicaciones requieren un mayor S1,0 S1,1 S1,2 S1,3  BE BA B6 B2 
S  = B B B B  .
2,0 S2,1 S2,2 S2,3 D 9 5 1
desempeño, independientemente del área y consumo que S3,0 S3,1 S3,2 S3,3 BC B8 B4 B0
esto implica.
  0 0 0 0
  
S0,0 S0,1 S0,2 S0,3 S0,0 S0,1 S0,2 S0,3
0
S1,0 0 0 0 
S1,1 S1,2 S1,3 S1,1 S1,2 S1,3 S1,0 
0 = (2)
 0 0 0
  
S2,0 S2,1 S2,2 S2,3 S2,2 S2,3 S2,0 S2,1 
0 0 0 0 S3,3 S3,0 S3,1 S3,2
S3,0 S3,1 S3,2 S3,3
C. MixColumns
Consiste en una operación lineal que se aplica sobre cada
una de las columnas que conforman la matriz de estado.
Matemáticamente corresponde a la multiplicación entre poli-
nomios sobre el campo finito GF {28 }. Cada columna se
considera como un polinomio cuyos coeficientes pertenecen
al campo GF {28 } y se multiplica, módulo el polinomio
irreducible x4 + 1, con un polinomio constante definido en
el estándar como 03x3 + 01x2 + 01x + 02. En la Ecuación 3
se observa esta operación en forma matricial para una de
las columnas de la matriz de estado.
 0     
S0,j 02 03 01 01 S0,j
0 
S1,j
 0  = 01 02 03 01 × S1,j 
   
S2,j  01 01 02 03 S2,j  (3)
0 03 01 01 02 S3,j
S3,j
D. Expansión de llave
Con el fin de obtener las sub-llaves utilizadas en cada
ronda del proceso de cifrado, se utiliza un algoritmo recur-
Fig. 1. Diagrama de actividades que representa el cifrado en AES. sivo que depende de la longitud de la llave secreta.
Para el caso de una llave de 128 bits, la primer sub-llave
de ronda coincide con la llave secreta. A continuación, se
A continuación se presenta la descripción de cada una computa cada word de las sub-llaves restantes siguiendo el
de las transformaciones utilizadas durante el cifrado. Cada algoritmo mostrado en la Ecuación 4. La función g() es no
elemento de la matriz de estado se identifica como Si,j , lineal; consiste en un desplazamiento de los cuatro bytes
donde i y j corresponden a su fila y columna. Además, que componen el word, seguido de una sustitución (usando
se utiliza el superı́ndice 0 para representar el valor de los la misma S-BOX que en el proceso de cifrado) y la XOR
elementos de la matriz de estados luego de aplicar una entre el byte más significativo y una constante de ocho bits,
transformación. denominada RC, cuyo valor es distinto en cada iteración.

A. SubBytes W [4i] = W [4(i − 1)] + g(W [4i − 1]) (4)

Esta transformación corresponde a la capa de sustitución
del algoritmo y es la única operación no lineal en el estándar
AES. Se basa en la aplicación de una misma transformación
(denominada S-BOX) a cada uno de los bytes de la matriz de
estados. Matemáticamente, la S-BOX utilizada corresponde
a una inversión en el campo finito GF {28 } , usando el
polinomio irreducible x8 + x4 + x3 + x + 1, seguida de un
mapeo afı́n. Este último no tiene impacto en las propiedades
de no linealidad, pero incrementa la complejidad de la
expresión y evita la presencia de puntos fijos y opuestos
en la transformación. Es decir, ningún byte es mapeado a sı́
mismo o a su valor negado.
Las S-BOX pueden ser implementadas mediante opera-
ciones aritméticas en campos finitos [6] [7], o mediante el
uso de lookup tables (LUTs).
B. ShiftRows
Esta operación consiste en el desplazamiento de las filas
de la matriz de estado. Como se observa en la Ecuación 2,
la primer fila no es desplazada, la segunda es desplazada en
forma circular un byte a la izquierda, la tercera es desplazada
en forma circular dos bytes a la izquierda, y la última tres
bytes a la izquierda.
W [4i + j] = W [4i + j − 1] + W [4(i − 1) + j] (5)
Independientemente del algoritmo de expansión, existen
básicamente dos formas de manejar las llaves de ronda. En
la primera, denominada precómputo, se generan todas las
llaves de ronda antes de comenzar con el proceso de cifrado.
Por otro lado, el enfoque on-the-fly consiste en generar las
sub-llaves a medida que se las requiere.
E. Descifrado
El descifrado de un mensaje se ilustra en la Fig.2.
El mismo consiste en la aplicación reiterada de rondas
generales que están compuestas por transformaciones in-
versas (InvShiftRows, InvSubBytes, AddRoundKey e InvMix-
Columns. Cada una de estas transformaciones inversas es
análoga a las utilizadas durante el cifrado, la diferencia entre
ellas generalmente son los polinomios usados en las opera-
ciones matemáticas o el sentido de los desplazamientos.
Las sub-llaves son requeridas en un orden inverso al
cifrado. Por este motivo, en caso de ser generadas on-the-fly,
se requiere la totalidad de las llaves antes de llevar a cabo la
ronda inicial , insumiendo un tiempo adicional al compararse
con el proceso de cifrado. Si la llaves son pre-calculadas,
esta demora extra no se presenta en el descifrado.

Fig. 2. Diagrama de actividades que representa el descifrado en AES.
F. Modos de operación
Los modos de operación definen la forma en la que se
envı́a al módulo de cifrado un texto plano cuya longitud es
mayor a la del bloque. Los modos de operación más utiliza-
dos corresponden a recomendaciones emitidas por NIST [8].
Los modos modos básicos son Electronic Codebook (ECB),
Cipher Block Chaining (CBC), Cipher Feedback (CFB),
Output Feedback (OFB) y Counter (CTR).
III. D ISE ÑO
Durante el desarrollo de este trabajo los tres bloques
fueron diseñados para FPGA, ya que este tipo de plataforma
es rápida, admite paralelismo e implica un ciclo de diseño
flexible y de menor duración en comparación con ASICs.
Desde el punto de vista de la implementación de un bloque
de cifrado, los FPGA tienen como ventaja, además, la
disponibilidad de bloques de memoria RAM y la posi-
bilidad de ajustar fácilmente las operaciones lógicas que
conforman los algoritmos (principalmente desplazamientos,
sustituciones y operaciones XOR) a la estructura de sus
CLBs. Para el desarrollo de este trabajo se utilizó el FPGA
Spartan 6 XC6SLX45.
Las arquitecturas propuestas en este trabajo se denominan
básica, pipeline y área mı́nima. Las tres cuentan con una
estructura modular que consta de un bloque dedicado a
la expansión de llave, un bloque de cifrado y un bloque
de control. El bloque de expansión genera once llaves de
ronda a partir de la llave secreta, siguiendo el algoritmo
de expansión descripto en el estándar. Por otra parte, el
bloque de control maneja la comunicación entre los bloques
de expansión y cifrado, evitando errores y asegurando que
el cifrado de un dato comience una vez finalizado el proceso
de expansión de llave. El bloque de control también maneja
la interfaz con el entorno, mediante señales que indican si
el módulo está en condiciones de recibir un nuevo bloque
de texto plano, y si el texto cifrado a la salida es válido. La
diferencia entre las tres arquitecturas radica en la manera en
la que se implementan estos bloques, principalmente el de
cifrado.
Independientemente de las diferencias en cuanto a la
estructura utilizada al implementar el cifrado, las tres ar-
quitecturas presentan caracterı́sticas en común:
• Longitud de llave de 128 bits. Las llaves de esta
longitud continuarán siendo seguras para el cifrado
simétrico hasta el año 2030 [9] [10] [11] [12].
• Expansión de llave precalculada. El hecho de
calcular todas las llaves de ronda en forma previa al
cifrado permite paralelizar el diseño sin necesidad de
paralelizar el proceso de expansión. Además, facilita
el descifrado, en el cual las llaves son requeridas en
orden inverso al cifrado.
• Modo de operación ECB. En el modo de operación
ECB se divide el texto plano en segmentos cuya
longitud corresponde a la longitud de bloque. A
continuación, cada uno de estos segmentos es cifrado
en forma independiente. Desde el punto de vista
criptográfico, este modo de operación es débil, ya que
preserva las caracterı́sticas estadı́sticas del texto plano.
Sin embargo, se decidió implementarlo porque es la
base para los demás modos de operación y admite
el cifrado de múltiples bloques en forma simultánea
(paralelismo).
• Implementación de SubBytes. Debido a que
las tres arquitecturas se orientaron a FPGA, esta
transformación se implementa mediante LUTs, ya que
este tipo de plataforma cuenta con bloques de memoria
que pueden ser fácilmente utilizados con este propósito.
• Implementación de MixColumns. Al agrupar las ex-
presiones que conforman esta transformación de ronda
se obtiene la implementación que se ilustra mediante
las Ecuaciones 6, 7, 8 y 9. La misma requiere un total
de 144 compuertas XOR para realizar la transformación
de una columna y su camino crı́tico es el retardo de
tres compuertas XOR, siendo este último menor al
compararlo con el retardo de otras implementaciones
de estra transformación [13].
0
S0,j = {02}(S0,j ⊕ S1,j ) ⊕ S1,j ⊕ S2,j ⊕ S3,j (6)
0
S1,j = S0,j ⊕ {02}(S1,j ⊕ S2,j ) ⊕ S2,j ⊕ S3,j (7)
0
S2,j = S0,j ⊕ S1,j ⊕ {02}(S2,j ⊕ S3,j ) ⊕ S3,j (8)
0
S3,j = S0,j ⊕ S1,j ⊕ S2,j ⊕ {02}(S3,j ⊕ S0,j ) (9)
A. Arquitectura básica
En esta arquitectura, todos los buses de datos en el cifrado
son de 128 bits y se ejecuta una ronda por cada ciclo de
reloj. Como se muestra en la Fig. 3, el bloque de cifrado
consta de la implementación de una ronda general, cuya
salida es realimentada a la entrada mediante un registro.
La ronda general implementada se muestra en la Fig. 4,
la misma consta de dieciséis instancias de la LUT que
conforma la transformación SubBytes (una por cada byte);
cuatro instancias de la transformación MixColumns (una por
cada word), y dieciséis XORs de 8 bits para implementar
AddRoundKey. La transformación ShiftRows se lleva a cabo
mediante el direccionamiento adecuado entre las salidas de
SubBytes y las entradas a MixColumns. La diferenciación
entre una ronda general y la ronda final se realiza mediante
un multiplexor.
Fig. 3. Implementación del bloque de cifrado en la arquitectura básica.
Fig. 4. Implementación de la ronda general en la arquitectura básica.
Debido a que la expansión de llave es precalculada, no hay
restricciones fuertes en cuanto al tiempo que demora este
proceso. Con el fin de obtener una relación de compromiso
entre el uso de recursos y el retardo, el bloque de expansión
calcula una llave de ronda por cada ciclo de reloj, resultando
en la arquitectura que se muestra en la Fig. 5. En la
misma se observa, además, la implementación de la ronda
de expansión. A medida que este bloque calcula las llaves
de ronda, las envı́a al bloque de cifrado junto con una señal
de habilitación y una dirección que es usada en este último
para almacenar las llaves de ronda en un arreglo denominado
key table.
B. Arquitectura pipeline
El objetivo de esta arquitectura es obtener un mayor de-
sempeño en comparación con la arquitectura básica. Esto se
logra llevando a cabo múltiples rondas de cifrado en forma
simultánea. En el bloque de cifrado se instancian nueve
rondas generales y una ronda final, tal como se ilustra en
la Fig. 6. Al igual que en la arquitectura básica, cada ronda
general consta de dieciséis instancias de las trasformaciones
SubBytes y AddRoundKey, además de cuatro instancias de
Fig. 5. Implementación de la expansión de llaves para la arquitectura
básica.
MixColumns (Fig. 4). Las diez rondas se conectan entre
sı́ mediante registros, admitiendo el procesamiento de diez
bloques de texto plano en forma simultánea (estructura fully-
pipelined). El desempeño de esta arquitectura es máximo
una vez que su estructura interna está completa, ya que en
este caso se obtiene a su salida un bloque de texto cifrado
por cada ciclo de reloj. La implementación del bloque de
expansión de llave en este caso es idéntica a la presentada
para la arquitectura básica.
Fig. 6. Implementación del bloque de cifrado en la arquitectura pipeline.
Al compararlo con básica, esta arquitectura presenta un
desempeño diez veces mayor, a expensas de un incremento
de igual magnitud en el área.
C. Arquitectura área mı́nima
El objetivo de esta arquitectura es reducir la cantidad
de recursos de hardware utilizados para realizar el cifrado.
Sus buses de datos son de 32 bits. La llave secreta y
cada bloque de texto plano ingresan al módulo AES de
a 32 bits, en forma consecutiva y en sincronismo con el
reloj, comenzando por el word más significativo. A medida
que ingresan al módulo de cifrado, cada bloque de datos
de entrada se almacena en cuatro bloques RAM (uno por
cada fila de la matriz de estados) [14]. El bloque de
cifrado cuenta además con cuatro instancias de SubBytes,
una instancia de MixColumns, y cuatro instancias de Ad-
dRoundKey, ilustradas en la Fig. 7. Las memorias de entrada
y salida corresponden a dos bancos de una misma memoria.
El cifrado se lleva a cabo mediante la lectura de uno de
los bancos (memoria de entrada), direccionando en forma
adecuada para llevar a cabo la transformaciones ShiftRows.
Los 8 bits leı́dos en cada memoria (32 bits en total) ingresan
a la lógica combinatoria que implementa una ronda y, en el
próximo ciclo de reloj, se almacena el resultado en el banco
de memoria de salida. Cada vez que finaliza una ronda, los
bancos de memoria intercambian sus roles, con el fin de
calcular la ronda siguiente.
En esta arquitectura, el bloque de expansión también
cuenta con un bus de datos de 32 bits. La Fig. 8 ilustra
este proceso, en el que se calcula un word de sub-llave
por cada ciclo de reloj [14]. Cada word calculado se envı́a

Fig. 7. Estructura del bloque de cifrado para la arquitectura área mı́nima.
hacia el bloque de cifrado, donde se almacenan en cuatro
bloques RAM (uno por cada fila de la matriz de estado de
llave). Esta memoria RAM es accedida al llevar a cabo las
trasnsformaciones AddRoundKey.
Fig. 8. Expansión de llave en la arquitectura área mı́nima.
IV. R ESULTADOS DE SIMULACI ÓN
Las tres arquitecturas fueron simuladas utilizando ISim
14.6 de Xilinx. El banco de prueba o test bench actúa
como maestro del bloque de cifrado y tiene acceso a
dos archivos de texto, uno que contiene 1000 bloques de
texto plano y otro que contiene los 1000 bloques de texto
cifrado correspondientes, obtenidos a partir de un modelo de
referencia desarrollado en C. En primer instancia, el maestro
envı́a la llave secreta al módulo AES y, una vez finalizado
el proceso de expansión, envı́a bloques de texto plano en
los momentos en los que el módulo está en condiciones de
recibirlos. Cuando finaliza el proceso de cifrado para cada
bloque, el banco de prueba compara el valor devuelto por
el módulo AES con el texto cifrado obtenido del archivo
correspondiente. En caso de encontrar una diferencia, la
notifica mediante una advertencia en consola.
Para cada arquitectura se documentaron los valores de
desempeño máximo y latencia, parámetros generalmente
usados al evaluar y caracterizar bloques digitales. El de-
sempeño corresponde a la cantidad de bits procesados por
unidad de tiempo, mientras que la latencia es el tiempo
requerido para procesar un bloque de datos. Los resultados
se presentan en la Tabla I.
TABLA I
R ESULTADOS DE SIMULACI ÓN
Arquitectura Latencia Desempeño
Básica 11 × Tclk 128bits/(12 × Tclk )
Pipeline 12 × Tclk 128bits/(Tclk )
Área mı́nima 51 × Tclk 128bits/(55 × Tclk )
El incremento en la latencia para la arquitectura pipeline,
al compararla con básica, se debe a que la primera cuenta
con un registro entre la ronda inicial y la primera ronda
general; mientras que en la arquitectura básica se ejecutan
estas dos rondas en un mismo ciclo de reloj. Además, se
observa que los valores de latencia no coinciden con el
número de rondas, debido al retardo adicional que insume
la lógica de control al asegurar una correcta comunicación
entre el bloque de cifrado y su maestro.
El valor de latencia para área mı́nima es aproximadamente
cinco veces mayor al de las demás arquitecturas. Esto se
debe al procesamiento de 32 bits en cada ciclo de reloj, y
a la necesidad de esperar un ciclo extra entre la escritura y
lectura de una misma dirección de memoria RAM.
V. R ESULTADOS DE S ÍNTESIS
La sı́ntesis lógica para las tres arquitecturas fue orientada
a FPGA y se realizó utilizando la herramienta ISE de
Xilinx. La Tabla II muestra los resultados de velocidad y
área obtenidos. El perı́odo de reloj mostrado es el mı́nimo
admisible para cada arquitectura, cuyo valor depende princi-
palmente del retardo de la lógica combinatoria que compone
las rondas generales de cifrado y expansión de llave.
TABLA II
R ESULTADOS DE S ÍNTESIS
Arquitectura Tclk Slices LUTs Registros Bloques
RAM
Básica 7.974 ns 920 1823 2072 0
Pipeline 5.243 ns 2663 8646 3244 0
Área mı́nima 8.654 ns 98 262 12 9
Pipe int ext 5.280 ns 1783 4595 3905 58
Con el fin de optimizar el uso de los recursos que ofrece
el FPGA, se realizó también la sı́ntesis de una nueva versión
para la arquitectura pipeline. En la misma se realiza la
transformación SubBytes en forma sincrónica, agregando
un nuevo registro dentro de la implementación de ronda
general, de manera que la herramienta de sı́ntesis infiera
un bloque de memoria RAM al implementar las S-BOX.
Esta arquitectura se identifica como pipe int ext en la tabla,
ya que cuenta con dos niveles de paralelismo, uno entre
rondas y uno dentro de cada ronda. Al comparar ambas
implementaciones de la arquitectura pipeline, se observa
que la utilización de los bloques RAM que ofrece el FPGA
disminuye notablemente la cantidad de recursos necesarios,
pero también disminuye levemente la frecuencia máxima de
operación.
Con el fin de minimizar el área en la arquitectura área
mı́nima, la descripción HDL se realizó de manera que la
herramienta de sı́ntesis infiera bloques RAM para el alma-
cenamiento de sub-llaves y datos intermedios en el proceso
de cifrado. Este enfoque presenta una notable disminución
en el uso de recursos al compararlo con la implementación
de este bloque sin bloques RAM, debido a la gran cantidad
de multiplexores necesarios para seleccionar los words de
datos y llave correspondientes en cada ciclo de reloj. Al
usar bloques RAM, esta selección se realiza de una manera
más eficiente, mediante su direccionamiento.
Al comparar los resultados se observa que pipeline no
insume 10 veces más recursos de básica, como se esperaba.
Esto se debe a que, además de las estructuras de cifrado
presentada en las Figs 3 y 6, ambos módulos también
cuentan con la tabla de llaves de ronda key table. Esta tabla
es igual en ambas arquitecturas, representando un porcentaje
importante de la lógica que requieren.
 Al combinar los resultados de simulación y sı́ntesis se
obtiene para cada arquitectura los valores de desempeño y
latencia que se muestran en la Tabla III
TABLA III
R ESULTADOS FINALES
[13] X. Zhang and K. K. Parhi, “Implementation approaches for the
advanced encryption standard algorithm,” Circuits and Systems Mag-
azine, vol. 2, no. 4, pp. 24–46, 2002.
[14] P. Chodowiec and K. Gaj, “Very Compact FPGA Implementation
of the AES Algorithm,” in Cryptographic Hardware and Embedded
Systems-CHES 2003, 2003, pp. 319–333.

Arquitectura Latencia Desempeño

Básica 87.71 ns 1.33 Gbps
Pipeline 62.91 ns 24.42 Gbps
Área mı́nima 441.32 ns 268.92 Mbps

VI. C ONCLUSIONES
En este trabajo se presentaron tres arquitecturas para
la implementación de un módulo de cifrado en bloques
AES en FPGA. Los resultados obtenidos muestran que
la arquitectura pipeline presenta un aumento notable en
el desempeño del módulo siempre y cuando su estructura
interna esté completa. Por lo tanto, presenta beneficios en
las aplicaciones en las que se cifran grandes volúmenes de
datos en forma consecutiva, utilizando modos no realimen-
tados y una misma llave secreta. La arquitectura de área
mı́nima presenta una disminución en la cantidad de recur-
sos, siempre y cuando se utilicen memorias RAM para el
almacenamiento de llaves y datos intermedios, permitiendo
la selección adecuada de los words en cada ciclo de reloj
mediante su direccionamiento. En caso de no usar bloques
RAM, esta arquitectura no presenta disminución de recursos
al compararla con básica, debido a la gran cantidad de
multiplexores necesarios para la selección. Por último, la
arquitectura básica presenta una relación de compromiso
media entre velocidad y área, y admite su utilización en
modos realimentados.
R EFERENCIAS
[1] NIST, “Federal Information Processing Standards (FIPS) Publi-
cation 197: Advanced Encryption Standard (AES),” Available:
http://csrc.nist.gov/publications/fips/fips197/fips-197.pdf, Nov. 2001.
[2] J. Daemen and V. Rijmen, “AES Proposal: Rijndael,” Aug. 1998.
[3] P. Chodowiec, “Comparison of the Hardware Performance of the AES
Candidates Using Reconfigurable Hardware,” Master’s thesis, George
Mason University, 2002.
[4] A. J. Elbirt, W. Yip, and C. Paar, “An FPGA Implementation and
Performance Evaluation of the AES Block Cipher Candidate Algo-
rithm Finalists,” IEEE Transactions on Very Large Scale Integration
(VLSI) Systems, vol. 9, no. 4, pp. 545–557, Aug. 2001.
[5] T. Ichikawa, T. Kasuya, and M. Matsui, “Hardware Evaluation of
the AES Finalists ,” in The Third Advanced Encryption Standard
Candidate Conference, 2000, pp. 279–285.
[6] A. Satoh, M. Kohji, K. Takano, and S. Munetoh, “A Compact Rijndael
Hardware Architecture with S-Box Optimization,” In Advances in
Cryptology - ASIACRYPT 2001, pp. 239–254, 2001.
[7] D. Canright, “A Very Compact Rijndael S-box ,” Naval Postgraduate
School Monterey, Tech. Rep., 2005.
[8] NIST, “Special Publication 800-38A: Recommendation
for Block Cipher Modes of Operation ,” Available from:
http://csrc.nist.gov/publications/nistpubs/800-38a/sp800-38a.pdf,
2001.
[9] NSA, “National Security Agency Suit B Cryptography,” Available:
https://www.nsa.gov/ia/programs/suiteb cryptography/index.shtml,
2009.
[10] ANSII, “Référentiel Général de Sécurité - Annexe B1,” Available:
http://www.ssi.gouv.fr/uploads/2015/01/RGS v-2-0 B1.pdf, 2014.
[11] NIST, “Special Publication 800-57: Recommendation
for Key Management - Part 1: General,” Available:
http://csrc.nist.gov/publications/nistpubs/800-57/sp800-
57 part1 rev3 general.pdf, 2012.
[12] ECRYPT, “ Yearly Report on Algo-
rithms and Keysizes (2011-2012),” Available:
http://www.ecrypt.eu.org/ecrypt2/documents/D.SPA.20.pdf, 2012.