硬件AES:我们可以只有一个解密实现吗？

Question

我想知道，仅仅实现AES解密是否可以降低硬件成本？有谁有关于硬件AES实现的成本(速度、大小)的例子吗？

Answer 1

实际上，AES加密大多使用CTR模式或某些认证加密，而在这些加密中，分组密码本身仅用于加密。因此，通常不需要在硬件中实现AES解密。

我们总是可以从硬件电路中删除功能。只实现AES加密可以大大降低硬件成本(与实现解密相比)，但仅实现解密节省的成本要少得多(特别是对于优化成本的设计，而不是速度优化的设计)，因为：

• 解密需要(和加密一样)向前计算圆形密钥，并且(特定于解密)要么存储它们，要么向后行走。因此，在省略加密时，省略所述存储或向后行走的能力可用于圆形密钥计算的相对较大的节省不等效。
• 用于加密的S盒和用于解密的(逆)加密是不同的，省略解密可以节省相当大的开销。然而，两者并不是同时需要的；在两者之间共享一些门是可行的；即使在速度优化的实现中，在没有做到这一点的情况下，仍然有可能将不活动的S盒的功耗(和相关成本)降低到几乎为零。
• 用于解密的MixColumns步骤比加密步骤要复杂得多，而且在两者之间共享大量的门是可行的，因此省略加密功能不一定会节省很多。

Answer 2

如果你说的是FPGA，这里有两篇文章；

1. 一种高效的高级加密标准(AES)算法的硬件设计与实现
2. AES Rijndael加解密算法的硬件实现

正如1或原始文档中所指出的，解密器和加密器有一些不同。但你不需要两种不同的算法。