Ⅰ. 서론

AES (Advanced Encryption Standard) 블록암호 알고리즘[1]은 지난 2001년 미국 NIST (National Institute of Standards and Technology, 국립 표준 기술원)에 의해 FIPS PUB 197 표준으로 채택되었으며, 기존의 DES (Data Encryption Standard) 알고리즘을 대체할 차세대 128비트 블록암호 알고리즘으로 각광받고 있다. 또한 ARIA 블록암호 알고리즘[2]은 지난 2004년 한국 산업 규격 (KS, Korean Standard) 표준으로 제정되었다. ARIA 알고리즘은 AES 알고리즘과 유사하게 128비트 SPN (Substitution Permutation Network) 구조를 특징으로 하며, 구현 속도나 알고리즘 안전성 측면에서 AES와 비견될 만한 성능을 자랑한다[3]. 이러한 AES와 ARIA, 두 국내외 표준 블록암호 알고리즘은 스마트카드, 전자여권, 서버급 암호장비 등 기밀성이 요구되는 다양한 정보보호 분야에서 사용되고 있다. 아울러, 현재 가장 널리 사용되고 있는 표준 보안 서비스 API (Application Program Interface) 중 하나인 RSA사의 PKCS (Public Key Cryptography Standard) #11은 AES 뿐만 아니라 ARIA 알고리즘에 대한 보안 매커니즘도 지원하고 있다[4].

AES와 ARIA 알고리즘은 SPN 구조를 가지는 128비트 블록암호 알고리즘이라는 점에서 유사한 구현 특징을 가진다. 두 알고리즘에서 사용하는 S-box를 정의하는 유한체는 동일하며, ARIA 알고리즘에서 사용하는두 종류의 S-box 중 하나는 AES 알고리즘에서 사용하는 S-box와 동일하다. 한편 AES의 확산 계층은 암호화와 복호화에 따라 각기 다른 두 종류의 4 × 4 행렬 곱셈을 사용하며, 여기에는 유한체 GF(2⁸) 상의 곱셈이 적용된다. 반면에 ARIA의 확산 계층은 암호화와 복호화시, 동일하게 하나의 이진 행렬 곱셈을 사용한다.

본 논문에서는 하드웨어 자원 공유 기법을 사용하여, AES와 ARIA 알고리즘을 모두 지원하는 통합 하드웨어 연산기를 제안하고, 0.25um CMOS 스탠다드 셀 공정을 이용하여 구현한 결과를 제시한다. 본 논문에서 연산기는 AES와 ARIA를 개별 소형 연산기로 구현하는 방식에 비해 32% 감소된 19,056 게이트 카운트의 작은 크기를 가진다. 따라서, 제안하는 연산기는 AES와 ARIA 알고리즘을 모두 지원하면서도, 하드웨어 자원이 한정된 저가의 스마트카드나 암호모듈의 개발에 매우 적합하다.

본 논문은 다음과 같이 구성된다. 2장에서는 AES와 ARIA 알고리즘의 개요를 서술하고, 3장과 4장에서는 두 알고리즘의 치환 계층과 확산 계층을 각각 하드웨어 자원 공유 기법을 이용하여 설계하는 방법을 설명한다. 또한 5장에서는 AES와 ARIA 통한 연산기의 하드웨어 구조와 설계에 대해 설명하고, 6장에서는 설계한 연산기의 구현 결과를 제시한다. 마지막으로 7장에서는 결론을 맺는다.

Ⅱ. AES와 ARIA 알고리즘의 개요

1. AES 알고리즘

AES 알고리즘은 128비트 평문에 대해 128비트 암호문을 출력하는 블록암호이며, 128/192/256 비트의 키 크기를 사용할 수 있다. 128비트 키 길이인 경우, AES 암호화는 [그림 1]과 같이 총 10 라운드의 연산과정으로 이루어지며, 각각의 라운드는 AddRoundKey, SubByte, ShiftRows, MixColumns의 4가지 원시 함수로 이루어진다. 각 원시 함수를 간략히 설명하면 다음과 같다.

[그림 1] AES 알고리즘의 암호화 과정 (128비트 키 길이)

먼저 AddRoundKey는 128비트의 중간 연산 결과값인 state와 라운드 키의 비트별 XOR 연산이며, SubBytes는 128비트 state의 각 16개 바이트에 대해 비선형 특성을 가지는 치환 연산을 수행한다. 이때 사용되는 S-box는 유한체 GF(2⁸)상의 역원을 구하고, 아핀 변환을 취하는 구조를 가진다. 유한체 GF(2⁸) 를 정의하기 위한 기약 다항식 (irreducible polynomial) m(x)는 다음과 같다.

m(x) = x⁸ + x⁴ + x³ + x + 1       (1)

ShiftRows에서는 128비트 state를 바이트 단위로 환형 쉬프트 (cyclic shift) 시킨다. 이때 4 바이트의 각 행 (row)에 따라 쉬프트시키는 오프셋 (offset)을 달리한다. 마지막으로 MixColumns에서는 128비트 state를 4 바이트의 각 열 (column)에 다항식 곱셈 연산을 수행한다.

AES 알고리즘의 복호화 과정은 암호화 과정의 역순으로 진행된다. 또한 이때의 원시함수는 암호화 과정에서 사용된 각 원시함수의 역함수들인 AddRound Key, InvSubByte, InvShiftRows, InvMixColumns를 사용한다. 매 라운드에 사용되는 라운드 키는 초기 라운드 키로부터 확장된다. 암호화 시에는 각 라운드 함수를 수행하는 동시에, 해당 라운드 키를 계산하는 ‘on-the-fly'방식의 키 확장이 가능하다. 반면에 복호화 시에는 암호화 과정과 역순으로 라운키가 사용되므로, 복호화 라운드 함수를 시작하기 전에 초기 라운드 키로부터 마지막 라운드 키를 계산한 다음, 복호화 과정을 수행하면서, 각 라운드 키를 역순으로 ‘on-the-fly' 키 확정을 수행할 수 있다.

2. ARIA 알고리즘

ARIA[3] 알고리즘은 AES와 동일하게 128비트의 데이터 블록을 처리하는 블록암호 알고리즘으로서 128/196/256 비트 길이의 키를 사용하며, AES와 유사한 정도의 암호학적 안전성을 가진다고 알려져 있다. ARIA 알고리즘은 Involutional SPN 구조를 가지며 128비트 키 길이인 경우, ARIA 암호화는 [그림 2]와 같이 총 12 라운드를 수행하며, 13개의 128비트 라운드 키를 사용한다. ARIA 알고리즘은 그림과 같이 홀수와 짝수 라운드에 각기 다른 치환 계층을 사용하며, 최종 라운드에서는 확산 계층 대신 라운드 키 덧셈 (round key addition)이 사용된다.

[그림 2] ARIA 알고리즘의 암호화 과정 (128비트 키 길이)

ARIA 알고리즘은 round key addition, sub stitution, diffusion의 3가지 원시 함수를 사용한다. 먼저 round key addition은 AES의 AddRoundKey와 동일한 비트별 XOR 연산이며, substitution에서는 AES의 SubBytes와 유사하게 128비트 데이터를 바이트 단위로 비선형 치환 연산을 수행한다. 이때 사용하는 S-box는 S₁과 S₂두 가지가 있으며, 이 중 S₁은 AES에서 사용하는 S-box 와 동일하지만, S₂는 S1과 동일한 유한체 GF(2⁸) 를 사용하지만, x²⁴⁷에 아핀변환을 취하는 형태로 정의된다. Diffusion은 16 × 16 이진 행렬을 이용한 바이트 간의 확산 함수를 사용하며, 이때 사용되는 행렬은 involution 행렬이므로, 암호화와 복호화 과정에서 동일한 연산이 사용되는 특징을 가진다.

ARIA의 키 스케줄링은 키 초기화와 키 확장의 두 단계로 이루어진다. 먼저 키 초기화 단계에서는 두 개의 128비트 입력 키 KL 과 KR (128비트 키 길이인 경우는 0)로부터 3 라운드의 256비트 Feistel 구조를 거쳐서, 네개의 128비트 키 W₀, W₁, W₂, W₃을 계산한다. 키 확장 단계에서는 초기화 단계에서 생성된 W_i(i = 0,...,3)을 입력받아 환형 쉬프트와 XOR 연산을 이용하는 간단한 방식으로, 각 라운드에 필요한 라운드 키를 생성한다. 따라서 ARIA의 키 스케줄링 방식도 AES처럼 ‘on-the-fly'키 확장이 가능하다.

Ⅲ. 통합 치환 계층

치환 계층을 구성하는 S-box 연산은 일반적으로 룩업- 테이블 (LUT, LookUp-Table) 방식으로 구현된다. 하지만 이러한 방식으로 두 종류의 S-box 기능을 구현하는 경우, 두 배의 하드웨어 자원이 필요하므로, AES와 ARIA에서 공통으로 사용할 수 있는 S-box를 구현하는 데에는 적합하지 않다. 최근에는 이 보다 소형의 면적으로 S-box를 구현하기 위해 조합 논리 (combinational logic)를 이용하여 구현하는 기법들이 발표되어 왔다.[5-7] A. Satoh와 D. Canright 등은 유한체 GF(2⁸) 상의 8비트 원소를 복합체 GF(((2²)²)²) 상의 원소로 매핑하여 역원 계산을 수행함으로써, S-box 구현을 효율적으로 경량화하는 방법을 제안하였다[6-7].

앞서 설명한 것처럼, AES와 ARIA의 S-box는 동일한 유한체 GF(2⁸) 을 사용하며, AES의 S-box S₁은 8×8 이진 정칙 행렬 A와 벡터 b를 사용하여 다음 수식과 같이 표현될 수 있다.

#

#

ARIA에서 사용하는 또 하나의 S-box S₂는 x²⁴⁷(=x^-8)를 사용하는데, 유한체 GF(2⁸) 상의 임의의 원소 x에 대해 x²ⁱ(i는 임의의 정수)는 8 x 8 이진 행렬 M_i를 사용하여, M_i⋅x로 표현될 수 있으므로, x²⁴⁷ = M₃⋅x^-1로 정리될 수 있다[9]. 따라서 S-box S₂는 8 x 8 이진 정칙 행렬 C, E, F와 벡터 d를 사용하여 다음 수식과 같이 표현될 수 있다.

#

#

결과적으로 두 종류의 S-box S₁와 S₂는 유한체 GF(2⁸) 상의 역원 연산과 아핀 변환으로 표현될 수 있다. 따라서, 본 논문에서는 유한체 GF(2⁸) 상의 역원 연산 기능을 공유하면서, 각 S-box에서 사용하는 아핀 연산을 선택적으로 수행할 수 있도록 [그림 3]과 같은 두 종류의 공통 S-box, S_A와 S_U를 설계한다.

[그림 3] 공통 S-box S_A 와 S_U 의 내부 구조

그림에서 S_A는 S₁과 S₁^-1 기능을 선택적으로 수행할 수 있으며, SU는 S₁, S₁^-1, S₂, S₂^-1의 네 가지 기능을 선택적으로 수행한다. 또한 δ_A와 δ_U는 GF(2⁸)상의 8비트 입력을 GF(((2²)²)²) 상의 원소로 매핑시키는 동형(isomorphism) 함수이고, AF₁과 AF₂은 각각 S₁과 S₂ S-box의 아핀 변환을 나타낸다.

경량 구현을 위해 복합체 GF(((2²)²)²) 상의 역원 연산을 사용하였으며, AF₁^-1⋅δ_A 와 같이 동형 함수와 아핀 변환 함수를 하나로 복합 (combined) 시킨 함수를 사용하였다. S-box의 하드웨어 면적을 최소화하기 위해, S_A의 구현는 현재까지 알려진 가장 작은 하드웨어 면적 결과를 보이는 D. Canright의 방식을 사용하였다. 또한 S_U에 대해서는 모든 가능한 동형 함수 δ_U를 조사하여, δ_U, δ_U^-1, AF₁^-1⋅δ_U , AF₂^-1⋅δ_U, δ_U^-1⋅AF₁, δ_U^-1⋅AF₂ 의 6개 함수가 가장 작은 ‘1’의 개수를 가지도록 구현하였다.

#

#

#

#

#

#

Synopsys Design Compiler툴[17]과 0.25um CMOS 공정을 이용하여 공통 S-box를 구현한 결과를 [그림 5]와 [그림 6]에 나타내었고, [표 1]에 정리하였다.S_U는 4가지 종류의 S-box 기능을 수행할 수 있는데도 불구하고, S_A에 비해 면적은 37%, 지연 시간은 7% 증가된 373 게이트 카운트와 6.63ns의 결과를 가진다.

[그림 4] 공통 S-box S_A 의 합성 결과

[그림 5] 공통 S-box S_U 의 합성 결과

[표 1] S_A 와 S_U 의 하드웨어 복잡도 및 지연 시간

[그림 6] 제안하는 통합 치환 계층의 내부 구조

본 논문에서는 이러한 공통 S-box S_A와 S_U를 이용하여, (S_A, S_U, S_A, S_U)로 구성되는 통합 변환 (Unified Transformation, UT) 블록을 구성하고, 최종적으로 AES와 ARIA 알고리즘용 통합 치환 계층을 [그림 6]과 같이 설계하였다. [그림 3]의 공통 S-box 블록들의 다중 화기의 (MUX) 입력 선택 신호를 변경하여, 통합 변환 (UT) 블록은 ARIA의 경우는 (S₁, S₂, S₁^-1, S₂^-1)나 (S₁^-1, S₂^-1, S₁, S₂)로 동작하며, AES의 경우는 네 개의 S₁이나 S₁^-1로 동작하게 된다.

Ⅳ. 통합 확산 계층

AES의 확산 계층에서는 MixColumns와 InvMix Columns 연산을 암호화와 복호화 시에 각각 수행한다. 각 연산은 GF(2⁸) 상의 덧셈과 곱셈을 수반하며, 4 ×4 행렬 곱셈으로 표현될 수 있다[2]. 또한 InvMix Columns 연산의 행렬은 MixColumns의 행렬을 포함하도록 정리가 가능하므로, MixColumns와 InvMix Columns 연산은 하드웨어 자원을 공유하여 효율적으로 구현될 수 있다[6]. 반면에, ARIA의 확산 계층 함수는 16 × 16 involutional 이진 행렬을 사용한다. 이러한 이진 행렬의 각 행 (row)은 7 개의 ‘1’을 가지므로, 일반적인 방법으로 ARIA의 확산 함수를 구현하기 위해서는 총 768개 (6×16×8)의 2 입력 XOR 게이트가 필요하다.[2]

AES와 ARIA의 통합 확산 계층을 효율적으로 설계하기 위해, AES의 MixColumns와 InvMixColumns, 그리고 ARIA의 확산 행렬이 공통으로 사용하는 2 입력 XOR 항을 조사하여 공유하는 방법을 사용한다. 16 바이트 입력 (x₀,x₁,...,x₁₄,x₁₅)에 대해, 다음과 같은 1 바이트 공유항 α_i와 β_j를 찾을 수 있다.

α₀ = x₀⊕x₁, α₁ = x₁⊕x₂,

α₂ = x₂⊕x₃, α₃ = x₃⊕x₀,

α₄ = x₄⊕x₅, α₅ = x₅⊕x₆,

α₆ = x₆⊕x₇, α₇ = x₇⊕x₄,

α₈ = x₈⊕x₉, α₉ = x₉⊕x₁₀,

α₁₀ = x₁₀⊕x₁₁, α₁₁ = x₁₁⊕x₈,

α₁₂ = x₁₂⊕x₁₃, α₁₃ = x₁₃⊕x₁₄,

α₁₄ = x₁₄⊕x₁₅, α₁₅ = x₁₅⊕x₁₂,

β₀ = x₀⊕x₂, β₁ = x₁⊕x₃,

β₂ = x₄⊕x₆, β₃ = x₅⊕x₇,

β₄ = x₈⊕x₁₀, β₅ = x₉⊕x₁₁,

β₆ = x₁₂⊕x₁₄, β₇ = x₁₃⊕x₁₅.

MixColumns 연산의 출력 (y₀,y₁,...,y₁₄,y₁₅)는 공유항 α_i를 이용하여 다음과 같이 정리될 수 있다.

u₀ = 2α₀⊕α₂⊕x₁, u₁ = 2α₁⊕α₃⊕x₂,

u₂ = 2α₂⊕α₀⊕x₃, u₃ = 2α₃⊕α₁⊕x₀,

u₄ = 2α₄⊕α₆⊕x₅, u₅ = 2α₅⊕α₇⊕x₆,

u₆ = 2α₆⊕α₄⊕x₇, u₇ = 2α₇⊕α₅⊕x₄,

u₈ = 2α₈⊕α₁₀⊕x₉, u₉ = 2α₉⊕α₁₁⊕x₁₀,

u₁₀ = 2α₁₀⊕α₈⊕x₁₁, u₁₁ = 2α₁₁⊕α₉⊕x₈,

u₁₂ = 2α₁₂⊕α₁₄⊕x₁₃, u₁₃ = 2α₁₃⊕α₁₅⊕x₁₄,

u₁₄ = 2α₁₄⊕α₁₂⊕x₁₅, u₁₅ = 2α₁₅⊕α₁₃⊕x₁₂.

또한 InvMixColumns 연산의 출력 (u₀,u₁,..., u₁₄,u₁₅)는 u_k와 공유항 β_j를 사용하여 다음과 같이 정리될 수 있다.

v₀ = 12β₀⊕8β₁⊕u₀, v₁ = 12β₁⊕8β₀⊕u1,

v₂ = 12β₀⊕8β₁⊕u₂, v₃ = 12β₁⊕8β₀⊕u₃,

v₄ = 12β₂⊕8β₃⊕u₄, v₅ = 12β₃⊕8β₂⊕u₅,

v₆ = 12β₂⊕8β₃⊕u₆, v₇ = 12β₃⊕8β₂⊕u₇,

v₈ = 12β₄⊕8β₅⊕u₈, v₉ = 12β₅⊕8β₄⊕u₉,

v₁₀ = 12β₄⊕8β₅⊕u₁₀, v₁₁ = 12β₄⊕8β₅⊕u₁₁,

v₁₂ = 12β₆⊕8β₇⊕u₁₂, v₁₃ = 12β₇⊕8β₆⊕u₁₃,

v₁₄ = 12β₆⊕8β₇⊕u₁₄, v₁₅ = 12β₇⊕8β₆⊕u₁₅.

마지막으로, ARIA 확산 함수의 출력 (w₀,w₁,..., w₁₄,w₁₅)는 공유항 α_i 와 β_j를 이용하여 다음과 같이 정리된다.

w₀ = x₃⊕β₂⊕α₈⊕α₁₃, w₁ = x₂⊕β₃⊕α₈⊕α₁₅,

w₂ = x₁⊕β₂⊕α₁₀⊕α₁₅, w₃ = x₀⊕β₃⊕α₁₀⊕α₁₃,

w₄ = x₅⊕β₀⊕α₁₁⊕α₁₄, w₅ = x₄⊕β₁⊕α₉⊕α₁₄,

w₆ = x₇⊕β₀⊕α₉⊕α₁₂, w₇ = x₆⊕β₁⊕α₁₁⊕α₁₂,

w₈ = x₁₀⊕β₇⊕α₀⊕α₇, w₉ = x₁₁⊕β₆⊕α₀⊕α₅,

w₁₀ = x₈⊕β₇⊕α₂⊕α₅, w₁₁ = x₉⊕β₆⊕α₂⊕α₇,

w₁₂ = x₁₂⊕β₅⊕α₁⊕α₆, w₁₃ = x₁₃⊕β₄⊕α₃⊕α₆,

w₁₄ = x₁₄⊕β₅⊕α₃⊕α₄, w₁₅ = x₁₅⊕β₄⊕α₁⊕α_4.

위 식에서 각 w_k는 세 개의 공유항 (하나의 β_j와 두 개의 서로 다른 α_i)를 사용하므로, 자원 공유 기법을 이용하여 총 384개의 (3 공유항 × 16 행 × 8 비트) 2 입력 XOR 게이트를 절약할 수 있다. [그림 7]에는 공통항을 이용하여, AES의 MixCloumns와 Inv MixColumns, 그리고 ARIA의 확산 함수를 선택적으로 수행하는 통합 확산 계층의 구조를 개념적으로 나타내었다.

[그림 7] 제안하는 통합 확산 계층의 구조

공통항을 이용하여 통합 확산 계층을 설계하고 0.25um CMOS 공정으로 합성한 결과를 그림 7과 8에 나타내었고, [표 2]에 정리하였다. AES의 확산 함수인 MixColumns와 InvMixColumns 기능에 공통항을 사용하여 ARIA 확산 함수를 추가적으로 구현한 경우, 하드웨어 자원이 49% 증가하게 된다. 반면에 InvMix Columns 함수의 출력 v_k 가 최대 지연 경로 (critical path)를 발생시키므로 전체적인 확산 함수의 지연 시간은 증가하지 않는다.

[그림 8] MixCol.+InvMixCol. 로직의 합성 결과

[그림 9] MixCol.+InvMixCol.+ARIA Diff. 로직의 합성 결과

[표 2] 공통항을 이용한 통합 확산 계층의 하드웨어 성능

Ⅴ. AES-ARIA 통합 연산기의 하드웨어 설계

본 논문에서 최종 제안하는 AES-ARIA 통합 하드웨어 연산기의 구조를 [그림 10]에 나타내었다. 제안하는 연산기는 크게 라운드 함수 블록과 키 스케줄러 블록으로 구성된다. 라운드 함수 블록은 앞서 설명한 통합 치환 계층과 통합 확산 계층을 중심으로, 128비트 데이터 저장용 레지스터, 데이터 경로 선택을 위한 다중화기 등으로 구성된다. 한편 AES와 ARIA의 키 스케줄링 과정은 상이하므로, 그림과 같이 라운드 키 저장용 128비트 레지스터를 공유하는 방식으로 설계한다. 즉, ARIA 키 스케줄링에서 사용하는 네 개의 128비트 초기키 값 중 하나인 W₀를 저장하는 레지스터와 AES의 128비트 라운드 키를 저장하는 레지스터를 공유하여 사용한다.

[그림 10] 제안하는 AES-ARIA 통합 연산기의 구조

한편 AES 키 스케줄링 과정에는 4개의 S₁ S-box 연산이 필요한데, 이를 라운드 함수 내부의 S-box를 이용하여 수행하는 경우는 매 라운드마다 별도의 클록 사이클이 소요된다. 또한 전체 연산기의 크기에 비해 4개의 S₁S-box가 차지하는 면적은 5% 미만이므로 본 연산기는 [그림 8]과 같이 별도의 S₁ S-box들을 사용하였다. 따라서, 본 연산기의 모든 동작은 128비트 단위로 이루어지며, 동시에 라운드 키 확장은 ‘on-the-fly' 방식으로 수행된다. 결과적으로 제안하는 연산기는 128비트 한 블록에 대한 AES 암호화는 11 클록 사이클을 소모하며, 복호화 시에는 초기 라운드 키로부터 마지막 라운드 키를 계산하는 데 10 클록 사이클이 필요하므로 총 21 클록 사이클이 소모된다. 한편, ARIA 암호화 및 복호화 시에는 라운드 키 초기화 과정에 3 클록 사이클이 사용되고 13 라운드를 수행하므로, 총 16 클록 사이클이 128비트 한 블록을 처리하는 데 소모된다.

Ⅵ. 구현 결과 및 성능

제안하는 AES-ARIA 통합 연산기는 Verilog HDL (Hardware Description Language)를 이용하여 구현하였으며, Synopsys 사의 Design Compiler와 0.25um CMOS 스탠다드 라이브러리를 이용하여 합성하고, 그 결과를 [그림 11]에 나타내었다. 제안하는 연산기는 19,056 게이트 카운트의 비교적 소형 크기를 가지고, 최대 90MHz 클록 속도로 동작할 수 있다.

[그림 11] 제안하는 AES-ARIA연산기의 합성 결과

기존 블록암호 연산기들과의 성능 비교 결과를 [표 3]에 나타내었다. 제안하는 연산기는 128비트 구조를 가지며 AES와 ARIA 블록암호의 암호화 및 복호화가 가능하면서도, 현재까지 알려진 가장 소형의 128비트 구조 AES 연산기[4]에 비해 53%만 증가된 크기를 나타낸다. 또한, 비교를 위해 별도로 구현한 소형 ARIA 연산기에 비해 23% 증가된 크기를 가진다. 한편, Satoh[9] 등은 AES 와 Camellia 블록암호를 수행할 수 있는 통합 연산기를 제안하였고, 이 연산기는 제안하는 연산기에 비해 22%감소된 크기를 가진다. 하지만, 이 연산기는 64비트 구조를 가지므로, 본 논문에서 제안하는 연산기에 비해 두 배 이상의 클록 사이클을 소모하게 된다. 결과적으로 제안하는 AES-ARIA 통합 연산기는 개별 구현 결과에 비해 하드웨어 자원 측면에서 32% 정도 절약되고, AES와 ARIA 암호화에 대해 각각 1,047Mbps와 720Mbps의 우수한 성능을 가진다.

[표 3] 기존 블록암호 연산기들과의 성능 비교

Ⅶ. 결론

본 논문에서는 AES와 ARIA 블록암호의 통합 하드웨어 연산기를 효율적으로 설계하는 방법을 제안하고, 그 구현 결과를 제시하였다. 복합체 GF (((2²)²)²) 상의 역원 연산을 이용하여 자원 효율적인 공통 S-box를 설계하였고, 두 알고리즘의 확산 함수 행렬의 공통항을 축출하여 하나의 통합 확산 계층을 설계하였으며, 이를 이용하여 자원 효율적인 128비트 구조의 AES-ARIA 통합 연산기를 설계하였다. 제안하는 연산기는 AES와 ARIA 블록암호를 모두 수행하는 최초의 연산기이며, 0.25um CMOS 공정을 기준으로, 개별 연산기 구현 방법보다 32% 감소된 19,056 게이트 카운트의 크기를 가진다. 또한 최대 90MHz 클록 속도를 기준으로 AES와 ARIA 암호화를 각각 1,047 Mbps와 720Mbps의 속도로 수행할 수 있다.