Departamento de Computación

Two most important security services provided by cryptographic algorithms are privacy and authentication. Informally, an encryption scheme is said to provide privacy if no computationally bounded adversary can obtain any information regarding the plaintext from the ciphertext. The scheme is said to provide authentication if no computationally bounded adversary can create a valid ciphertext, i.e., if an adversary changes the ciphertext while it is in transit, such a change can be easily detected. Deterministic authenticated schemes (DAE) are a class of symmetric key encryption scheme which provides security both in terms of privacy and authentication. As the name suggest, they are deterministic in contrast to other authenticated encryption schemes which are either randomized or stateful. DAEs were first proposed as a solution to the key wrap problem, but can be useful for many other applications where both the services of privacy and authentication are simultaneously required. In this thesis we study deterministic authenticated encryption schemes. As a first contribution, we implement two existing DAE schemes namely HBS and BTM in re-configurable hardware. Both BTM and HBS are schemes which uses block-cipher along with a kind of polynomial hash. In our implementations we use the advanced encryption standard (AES) with 128 bit key as the block cipher and realize the polynomial hash using a field multiplier in GF(2**128). Our AES design utilizes ten pipelined stages, which gives us very good throughput. The field multiplier also uses a pipelined design of four stages. We also device ways to compute polynomials efficiently using pipelined multipliers. As our second contribution we propose a new construction of a DAE which uses stream ciphers with initialization vectors. The new scheme is called SCDAE. We prove that SCDAE is a secure DAE. Also we argue about the efficiency of SCDAE using operation counts.

Resumen

Los dos servicios más importantes en seguridad proveídos por la criptografía son la privacidad y la autenticación. Informalmente, un esquema de cifrado se dice que provee privacidad si no existe adversario alguno con límites computacionales que pueda obtener alguna información a partir del texto plano o del texto cifrado. Se dice que el esquema provee autenticación si ningún adversario computacionalmente restringido puede crear un texto cifrado válido, es decir, si un adversario cambia el texto cifrado mientras este transita, dicho cambio puede ser fácilmente detectado. Los esquemas de cifrado autenticado determinista (CAD) son una clase de esquema de cifrado de llave simétrica que provee seguridad tanto en el sentido de privacidad como en el de autenticación. Como el nombre sugiere, Estos deterministas en contraste a otros esquemas de cifrado autenticado que utilizan estados o necesitas de valores aleatorios. Los CAD fueron propuestos como una solución al problema de la envoltura de llave, pero pueden ser útiles para muchas otras aplicaciones donde ambos servicios de privacidad y autenticación son requeridos de manera simultánea. En esta tesis nosotros estudiamos los esquemas de cifrado determinista autenticado. Como primera contribución, nosotros implementamos dos de los esquemas CAD existentes, HBS y BTM, en hardware reconfigurable. Ambos, BTM y HBS, son esquemas que usan un cifrador por bloques junto con una especie de función picadillo polinomial. En nuestras implementaciones usamos el AES con una llave de 128 bits como cifrador de flujo y realizamos una función picadillo polinomial haciendo uso de un multiplicador de campo GF(2**128). Nuestro diseño no utiliza una implementación de AES en tubería con diez estados, la cual brinda buen rendimiento. El multiplicador de campo tiene un diseño en tubería de cuatro estados. También desarrollamos formas de computar los polinomios con el multiplicador en tubería de forma eficiente. Como una segunda contribución nosotros proponemos una nueva construcción de esquema CAD el cual hace uso de cifradores de flujo con vectores iniciales. El nuevo esquema es llamado SCDAE. Probamos que SCDAE es seguro en el sentido de un DAE. También discutimos sobre la eficiencia de SCDAE con respecto a sus operandos.