30、BL - AREA：并行加密与完整性检查技术解析

BL - AREA：并行加密与完整性检查技术解析

1. 相关工作

在内存加密和认证领域，有不少已有的研究成果。AEGIS、XOM 和 SP 架构旨在为可信处理器架构设计提供内存认证和加密功能，同时具备抵御板级攻击的对策。不过，它们采用的通用组合方案（先加密后 MAC）存在一些不足，比如无法并行处理，且在硬件资源利用上不够优化。

这些架构通过对数据块和地址进行标签计算（地址 - MAC），来防范欺骗和拼接攻击，能确保只读（RO）数据的认证，但读写（RW）数据仍易受重放攻击影响。例如，XOM 将 RW 数据当作 RO 数据处理，未能有效防止重放攻击。虽然在片上存储 RW 数据块的哈希值可作为重放攻击的对策，但会带来较大的片上内存开销。

为减少片上内存开销，树技术（如 Merkle 树、可并行认证树（PAT）、防篡改计数器树（TEC - 树））被提出，可将开销降低到仅一个哈希值。不过，这些树方案需要对认证原语进行递归调用，并多次访问片外存储的元数据，对于一些不具备预取引擎、大缓存或乱序执行机制的低成本嵌入式系统来说，这些操作成本极高。

Vaslin 等人提出了一种针对嵌入式系统的解决方案，使用一次性密码本（OTP）加密数据，并通过在可信片上区域存储明文块的 CRC 校验和来认证数据。该方案性能较好，但由于 CRC 不具备抗碰撞性，安全性有所牺牲。

2. 块级 AREA 技术

块级 AREA（BL - AREA）技术基于 Shannon 提出的块密码扩散特性。理论上，块密码应与具有等概率输出的随机排列无法区分，即明文块 p 的统计冗余应在密文块 c 的统计信息中消散。

在该技术中，明文块 p 由两部分组成