

# Αναλυτική Περιγραφή του CLEFIA Block Cipher

Detailed Analysis of CLEFIA VHDL Implementation

Hardware Cryptography Analysis

January 17, 2026

## Contents

|                                                      |           |
|------------------------------------------------------|-----------|
| <b>1 Εισαγωγή (Introduction)</b>                     | <b>3</b>  |
| <b>2 Βασικά Χαρακτηριστικά της Υλοποίησης</b>        | <b>3</b>  |
| 2.1 Αρχιτεκτονική Επισκόπηση . . . . .               | 3         |
| 2.2 Κύριες Καταστάσεις (Main States) . . . . .       | 3         |
| <b>3 Δομές Δεδομένων (Data Structures)</b>           | <b>4</b>  |
| 3.1 S-Boxes . . . . .                                | 4         |
| 3.2 Diffusion Matrices . . . . .                     | 4         |
| <b>4 Key Scheduling - Αναλυτική Περιγραφή</b>        | <b>4</b>  |
| 4.1 Φάση 1: Παραγωγή Ενδιάμεσου Κλειδιού L . . . . . | 4         |
| 4.1.1 Κύκλος 0 - Αρχικοποίηση . . . . .              | 4         |
| 4.1.2 Κύκλοι 1-12: GFN4,12 Transformation . . . . .  | 5         |
| 4.2 Φάση 2: Key Expansion . . . . .                  | 7         |
| 4.2.1 Κύκλος 0 - Αρχικοποίηση . . . . .              | 8         |
| 4.2.2 Κύκλοι 1-9: Παραγωγή Round Keys . . . . .      | 8         |
| 4.2.3 Πίνακας Key Expansion . . . . .                | 9         |
| 4.3 Παράδειγμα Υπολογισμού . . . . .                 | 9         |
| <b>5 Data Processing - Αναλυτική Περιγραφή</b>       | <b>10</b> |
| 5.1 Initial Whitening ( $INIT_{WHITE}$ ) . . . . .   | 10        |
| 5.2 Round Processing (ROUNDS) . . . . .              | 10        |
| 5.2.1 Φάση 0: Υπολογισμός F-Functions . . . . .      | 10        |
| 5.2.2 Φάση 1: Ενημέρωση State . . . . .              | 11        |
| 5.3 Final Whitening ( $FINAL_{WHITE}$ ) . . . . .    | 11        |
| 5.4 Output (OUTPUT) . . . . .                        | 11        |
| <b>6 Παράδειγμα Πλήρους Εκτέλεσης</b>                | <b>11</b> |
| 6.1 Key Schedule Results . . . . .                   | 11        |
| 6.2 Round 1 Execution . . . . .                      | 12        |

|                                         |           |
|-----------------------------------------|-----------|
| <b>7 Συμπεράσματα</b>                   | <b>12</b> |
| 7.1 Κρίσιμα Σημεία Υλοποίησης . . . . . | 12        |
| 7.2 Χρονική Ανάλυση . . . . .           | 13        |
| 7.3 Πλεονεκτήματα Υλοποίησης . . . . .  | 13        |
| 7.4 Πιθανές Βελτιστοποιήσεις . . . . .  | 13        |

# 1 Εισαγωγή (Introduction)

Ο CLEFIA είναι ένας 128-bit block cipher που αναπτύχθηκε από τη Sony Corporation το 2007. Υποστηρίζει κλειδιά μεγέθους 128, 192, και 256 bits και είναι συμβατός με το πρότυπο AES. Η αρχιτεκτονική του βασίζεται σε μια γενικευμένη δομή Feistel με τέσσερις γραμμές δεδομένων (4-branch generalized Feistel network).

The CLEFIA cipher consists of two main components:

- **Data Processing Part:** Εκτελεί την κρυπτογράφηση/αποκρυπτογράφηση
- **Key Scheduling Part:** Παράγει τα whitening keys και round keys

## 2 Βασικά Χαρακτηριστικά της Υλοποίησης

### 2.1 Αρχιτεκτονική Επισκόπηση

Η υλοποίηση σε VHDL ακολουθεί μια πλήρως σύγχρονη (fully synchronous) αρχιτεκτονική με τα εξής χαρακτηριστικά:

1. **Pipeline Architecture:** Χρησιμοποιεί δύο στάδια για τις F-functions
2. **Register-based Design:** Όλες οι είσοδοι και έξοδοι καταχωρούνται
3. **State Machine Control:** Finite State Machine (FSM) για έλεγχο ροής
4. **Inline Matrix Operations:** Οι πολλαπλασιασμοί πινάκων γίνονται inline

### 2.2 Κύριες Καταστάσεις (Main States)

Η μηχανή καταστάσεων έχει 7 κύριες καταστάσεις:

```
1 type state_type is (IDLE, KEY_GFN, KEY_EXPAND,
2                         INIT_WHITE, ROUNDS, FINAL_WHITE, OUTPUT);
```

- **IDLE:** Αναμονή για σήμα εκκίνησης (start signal)
- **KEY\_GFN:** Εκτέλεση του GFN4,12 για παραγωγή του ενδιάμεσου κλειδιού L
- **KEY\_EXPAND:** Επέκταση κλειδιών για παραγωγή WK και RK
- **INIT\_WHITE:** Αρχικό whitening με WK0 και WK1
- **ROUNDS:** Εκτέλεση των 18 γύρων κρυπτογράφησης
- **FINAL\_WHITE:** Τελικό whitening με WK2 και WK3
- **OUTPUT:** Έξοδος αποτελέσματος

### 3 Δομές Δεδομένων (Data Structures)

#### 3.1 S-Boxes

Οι πίνακες αντικατάστασης (S-boxes) αποτελούν κρίσιμο στοιχείο του CLEFIA. Υπάρχουν δύο S-boxes: S0 και S1.

**S0 Structure:** Ο S0 κατασκευάζεται από τέσσερις 4-bit S-boxes (SS0, SS1, SS2, SS3):

$$S0(x) : \{0, 1\}^8 \rightarrow \{0, 1\}^8 \quad (1)$$

$$x = x_0|x_1, \quad x_i \in \{0, 1\}^4 \quad (2)$$

$$t_0 \leftarrow SS0(x_0), \quad t_1 \leftarrow SS1(x_1) \quad (3)$$

$$u_0 \leftarrow t_0 \oplus 2 \cdot t_1, \quad u_1 \leftarrow 2 \cdot t_0 \oplus t_1 \quad (4)$$

$$y_0 \leftarrow SS2(u_0), \quad y_1 \leftarrow SS3(u_1) \quad (5)$$

$$y = y_0|y_1 \quad (6)$$

**S1 Structure:** Ο S1 βασίζεται σε αντίστροφη συνάρτηση στο  $GF(2^8)$ :

$$S1(x) = \begin{cases} g(f(x)^{-1}) & \text{if } f(x) \neq 0 \\ g(0) & \text{if } f(x) = 0 \end{cases} \quad (7)$$

όπου οι  $f$  και  $g$  είναι affine transformations στο  $GF(2)$ .

#### 3.2 Diffusion Matrices

Δύο  $4 \times 4$  πίνακες χρησιμοποιούνται για διάχυση (diffusion):

$$M_0 = \begin{bmatrix} 0x01 & 0x02 & 0x04 & 0x06 \\ 0x02 & 0x01 & 0x06 & 0x04 \\ 0x04 & 0x06 & 0x01 & 0x02 \\ 0x06 & 0x04 & 0x02 & 0x01 \end{bmatrix}, \quad M_1 = \begin{bmatrix} 0x01 & 0x08 & 0x02 & 0x0a \\ 0x08 & 0x01 & 0x0a & 0x02 \\ 0x02 & 0x0a & 0x01 & 0x08 \\ 0x0a & 0x02 & 0x08 & 0x01 \end{bmatrix} \quad (8)$$

Οι πολλαπλασιασμοί εκτελούνται στο  $GF(2^8)$  με primitive polynomial  $z^8 + z^4 + z^3 + z^2 + 1$ .

### 4 Key Scheduling - Αναλυτική Περιγραφή

Το Key Scheduling είναι η πιο κρίσιμη διαδικασία του CLEFIA. Για κλειδί 128-bit, η διαδικασία έχει δύο στάδια:

#### 4.1 Φάση 1: Παραγωγή Ενδιάμεσου Κλειδιού L

Αυτό το στάδιο εκτελείται στην κατάσταση KEY\_GFN και διαρκεί 12 κύκλους ( $gfn\_cnt = 0$  έως 12).

##### 4.1.1 Κύκλος 0 - Αρχικοποίηση

```
1 if gfn_cnt = 0 then
2   L_reg <= reg_key;
```

To αρχικό κλειδί  $K = K_0|K_1|K_2|K_3$  φορτώνεται στο καταχωρητή L\_reg όπου:

$$K_0 = \text{reg\_key}[127 : 96] \quad (32 \text{ bits}) \quad (9)$$

$$K_1 = \text{reg\_key}[95 : 64] \quad (10)$$

$$K_2 = \text{reg\_key}[63 : 32] \quad (11)$$

$$K_3 = \text{reg\_key}[31 : 0] \quad (12)$$

#### 4.1.2 Κύκλοι 1-12: GFN4,12 Transformation

Σε κάθε κύκλο  $i$  (όπου  $i \in [1, 12]$ ), εκτελούνται τα εξής βήματα:

##### Βήμα 1: Υπολογισμός F0 Function

H F0 function λαμβάνει ως είσοδο το πιο σημαντικό 32-bit τμήμα του L\_reg:

```

1 v_in_data := L_reg(127 downto 96); -- 32 bits
2 v_in_rk   := CON_128((gfn_cnt-1)*2); -- CON

```

Ο υπολογισμός της F0 περιλαμβάνει:

- a) **XOR με Round Key:**

$$v_{tmp} = v_{in\_data} \oplus v_{in\_rk} \quad (13)$$

- b) **Διαχωρισμός σε 4 bytes:**

$$b_0 = v_{tmp}[31 : 24] \quad (14)$$

$$b_1 = v_{tmp}[23 : 16] \quad (15)$$

$$b_2 = v_{tmp}[15 : 8] \quad (16)$$

$$b_3 = v_{tmp}[7 : 0] \quad (17)$$

- c) **S-Box Substitution (S0, S1, S0, S1):**

```

1 r := to_integer(unsigned(b0(7 downto 4))); --
2 c := to_integer(unsigned(b0(3 downto 0))); --
3 f0_pipe(31 downto 24) <= S0(r,c);
4
5 r := to_integer(unsigned(b1(7 downto 4)));
6 c := to_integer(unsigned(b1(3 downto 0)));
7 f0_pipe(23 downto 16) <= S1(r,c);
8
9 r := to_integer(unsigned(b2(7 downto 4)));
10 c := to_integer(unsigned(b2(3 downto 0)));
11 f0_pipe(15 downto 8) <= S0(r,c);
12
13 r := to_integer(unsigned(b3(7 downto 4)));
14 c := to_integer(unsigned(b3(3 downto 0)));
15 f0_pipe(7 downto 0) <= S1(r,c);
16

```

Κάθε byte μετατρέπεται σε δύο nibbles (4-bit): το ανώτερο nibble δίνει τη γραμμή του S-box, το κατώτερο τη στήλη.

- d) **Matrix Multiplication M0:**

Ο πολλαπλασιασμός με τον πίνακα  $M_0$  εκτελείται inline στο Process 6:

```

1      --          4 bytes           S-box
2 b(0) := f0_pipe(31 downto 24);
3 b(1) := f0_pipe(23 downto 16);
4 b(2) := f0_pipe(15 downto 8);
5 b(3) := f0_pipe(7 downto 0);

6
7  --
8  (2^8)
9 for i in 0 to 3 loop
10   --
11   tmp_byte := b(i)(6 downto 0) & '0'; -- Shift left
12   if b(i)(7) = '1' then
13     tmp_byte := tmp_byte xor x"1d"; -- Reduction
14   end if;
15   b_x2(i) := tmp_byte;

16   --
17   tmp_byte := b_x2(i)(6 downto 0) & '0';
18   if b_x2(i)(7) = '1' then
19     tmp_byte := tmp_byte xor x"1d";
20   end if;
21   b_x4(i) := tmp_byte;

22   --
23   b_x6(i) := b_x4(i) xor b_x2(i);
24 end loop;
25
26

```

Οι πολλαπλασιασμοί στο  $GF(2^8)$  γίνονται με shift και XOR. Για πολλαπλασιασμό επί 2:

$$2 \cdot b = \begin{cases} b \ll 1 & \text{if } \text{MSB}(b) = 0 \\ (b \ll 1) \oplus 0x1d & \text{if } \text{MSB}(b) = 1 \end{cases} \quad (18)$$

Το αποτέλεσμα του πίνακα  $M_0$  υπολογίζεται:

```

1 res0(0) := b(0) xor b_x2(1) xor b_x4(2) xor b_x6(3);
2 res0(1) := b_x2(0) xor b(1) xor b_x6(2) xor b_x4(3);
3 res0(2) := b_x4(0) xor b_x6(1) xor b(2) xor b_x2(3);
4 res0(3) := b_x6(0) xor b_x4(1) xor b_x2(2) xor b(3);
5 f0_result := res0(0) & res0(1) & res0(2) & res0(3);
6

```

Αυτό αντιστοιχεί στον πολλαπλασιασμό:

$$\begin{bmatrix} res_0(0) \\ res_0(1) \\ res_0(2) \\ res_0(3) \end{bmatrix} = M_0 \cdot \begin{bmatrix} b(0) \\ b(1) \\ b(2) \\ b(3) \end{bmatrix} \quad (19)$$

## Βήμα 2: Υπολογισμός F1 Function

Παρόμοια με την F0, η F1 λαμβάνει το δεύτερο 32-bit τμήμα:

```

1 v_in_data := L_reg(63 downto 32); -- Bits [63:32]
2 v_in_rk   := CON_128((gfn_cnt-1)*2 + 1); --

```

Η διαφορά με την F0 είναι στη σειρά των S-boxes (S1, S0, S1, S0) και στη χρήση του πίνακα  $M_1$ :

```

1  -- S-box substitution
2  f1_pipe(31 downto 24) <= S1(r,c);   -- S1           S0
3  f1_pipe(23 downto 16) <= S0(r,c);   -- S0           S1
4  f1_pipe(15 downto 8)  <= S1(r,c);
5  f1_pipe(7  downto 0)   <= S0(r,c);

```

Ο πίνακας  $M_1$  υπολογίζεται με επιπλέον πολλαπλασιασμούς:

```

1  --
2      x8, x10 (xA)
3  for i in 0 to 3 loop
4      tmp_byte := b(i)(6 downto 0) & '0';
5      if b(i)(7) = '1' then tmp_byte := tmp_byte xor x"1d"; end if;
6      b_x2(i) := tmp_byte;
7
8      tmp_byte := b_x2(i)(6 downto 0) & '0';
9      if b_x2(i)(7) = '1' then tmp_byte := tmp_byte xor x"1d"; end if;
10     b_x4(i) := tmp_byte;
11
12     tmp_byte := b_x4(i)(6 downto 0) & '0';
13     if b_x4(i)(7) = '1' then tmp_byte := tmp_byte xor x"1d"; end if;
14     b_x8(i) := tmp_byte;
15
16     b_xA(i) := b_x8(i) xor b_x2(i); -- x10 = x8 XOR x2
17 end loop;
18
19 res1(0) := b(0) xor b_x8(1) xor b_x2(2) xor b_xA(3);
20 res1(1) := b_x8(0) xor b(1) xor b_xA(2) xor b_x2(3);
21 res1(2) := b_x2(0) xor b_xA(1) xor b(2) xor b_x8(3);
22 res1(3) := b_xA(0) xor b_x2(1) xor b_x8(2) xor b(3);
f1_result := res1(0) & res1(1) & res1(2) & res1(3);

```

### Βήμα 3: Ενημέρωση του L\_reg (GFN Structure)

Μετά τον υπολογισμό των F0 και F1, το L\_reg ενημερώνεται σύμφωνα με τη δομή GFN4:

```

1 L0 := L_reg(127 downto 96); --
2 L1 := L_reg(95  downto 64);  --
3 L2 := L_reg(63  downto 32);  --
4 L3 := L_reg(31  downto 0);   --
5
6 -- GFN transformation
7 L_reg <= (L1 xor f0_result) & L2 & (L3 xor f1_result) & L0;

```

Αυτό αντιστοιχεί στο μαθηματικό μοντέλο:

$$T'_1 \leftarrow T_1 \oplus F_0(RK_{2i}, T_0) \quad (20)$$

$$T'_3 \leftarrow T_3 \oplus F_1(RK_{2i+1}, T_2) \quad (21)$$

$$(T_0, T_1, T_2, T_3) \leftarrow (T'_1, T_2, T'_3, T_0) \quad (22)$$

Η περιστροφή (rotation) είναι εμφανής:  $L_0 \rightarrow L_3$  position,  $L_1 \rightarrow L_0$ , κ.ο.κ.

## 4.2 Φάση 2: Key Expansion

Μετά την ολοκλήρωση του GFN4,12, η κατάσταση αλλάζει σε KEY\_EXPAND. Αυτή η φάση διαρκεί 10 κύκλους (exp\_cnt = 0 έως 9, συν 1 για τον έλεγχο ολοκλήρωσης).

#### 4.2.1 Κύκλος 0 - Αρχικοποίηση

```

1 if exp_cnt = 0 then
2   --
3     WK0 <= reg_key(127 downto 96);
4     WK1 <= reg_key(95 downto 64);
5     WK2 <= reg_key(63 downto 32);
6     WK3 <= reg_key(31 downto 0);
7
8   --
9     L_reg <= L_reg(31 downto 0) & L_reg(127 downto 96) &
10    L_reg(95 downto 64) & L_reg(63 downto 32);

```

Τα Whitening Keys είναι απλά το αρχικό κλειδί  $K$ :

$$(WK_0, WK_1, WK_2, WK_3) = (K_0, K_1, K_2, K_3) \quad (23)$$

Το  $L$  περιστρέφεται μία θέση δεξιά (στην ουσία, μετακινείται το  $L_3$  στη θέση του  $L_0$ ).

#### 4.2.2 Κύκλοι 1-9: Παραγωγή Round Keys

Για κάθε κύκλο  $j \in [1, 9]$ :

**Βήμα 1:** Υπολογισμός Temporary Keys με XOR

```

1 idx := (exp_cnt-1)*4; -- RK array
2
3 -- XOR      L           CON
4 T0_k := L_reg(127 downto 96) xor CON_128(24 + idx);
5 T1_k := L_reg(95  downto 64) xor CON_128(24 + idx + 1);
6 T2_k := L_reg(63  downto 32) xor CON_128(24 + idx + 2);
7 T3_k := L_reg(31  downto 0)  xor CON_128(24 + idx + 3);

```

Για παράδειγμα, στον πρώτο κύκλο ( $exp\_cnt = 1$ ):

$$idx = 0 \quad (24)$$

$$T_{0k} = L_0 \oplus CON_{128}[24] \quad (25)$$

$$T_{1k} = L_1 \oplus CON_{128}[25] \quad (26)$$

$$T_{2k} = L_2 \oplus CON_{128}[26] \quad (27)$$

$$T_{3k} = L_3 \oplus CON_{128}[27] \quad (28)$$

**Βήμα 2:** DoubleSwap Function  $\Sigma$

Το  $L$  μετασχηματίζεται με τη συνάρτηση DoubleSwap:

```

1 Swap_In := L_reg;
2 Swap_Out := Swap_In(120 downto 64) & Swap_In(6  downto 0) &
3           Swap_In(127 downto 121) & Swap_In(63 downto 7);
4 L_reg <= Swap_Out;

```

H DoubleSwap  $\Sigma$  ορίζεται ως:

$$Y = X[7 : 63] | X[121 : 127] | X[0 : 6] | X[64 : 120] \quad (29)$$

όπου  $X[a : b]$  σημαίνει bits από τη θέση  $a$  έως  $b$ .

Αναλυτικά:

- Παίρνει bits [120:64] (57 bits)

- Συνενώνει με bits [6:0] (7 bits)
- Συνενώνει με bits [127:121] (7 bits)
- Συνενώνει με bits [63:7] (57 bits)

Το αποτέλεσμα:  $7 + 57 + 7 + 57 = 128$  bits με διαφορετική διάταξη.

### Βήμα 3: Conditional XOR με το Key

Σε περιττούς κύκλους ( $\text{exp\_cnt} = 2, 4, 6, 8$ ), τα temporary keys κάνουν XOR με το αρχικό κλειδί:

```

1 if (exp_cnt -1) mod 2 = 1 then -- expansion
2   T0_k := T0_k xor reg_key(127 downto 96);
3   T1_k := T1_k xor reg_key(95 downto 64);
4   T2_k := T2_k xor reg_key(63 downto 32);
5   T3_k := T3_k xor reg_key(31 downto 0);
6 end if;

```

Δηλαδή:

$$\text{Για περιττό } i : \quad RK_i \leftarrow (L \oplus CON) \oplus K \quad (30)$$

$$\text{Για άρτιο } i : \quad RK_i \leftarrow L \oplus CON \quad (31)$$

### Βήμα 4: Αποθήκευση Round Keys

```

1 RK(idx) <= T0_k;
2 RK(idx+1) <= T1_k;
3 RK(idx+2) <= T2_k;
4 RK(idx+3) <= T3_k;

```

Κάθε κύκλος παράγει 4 round keys (128 bits συνολικά). Μετά από 9 κύκλους, έχουμε:

$$9 \times 4 = 36 \text{ round keys (RK}_0 \text{ έως RK}_{35}\text{)} \quad (32)$$

#### 4.2.3 Πίνακας Key Expansion

Ο πλήρης πίνακας για 128-bit key (από το specification):

$$RK_0 | RK_1 | RK_2 | RK_3 \leftarrow L \oplus (CON_{24} | CON_{25} | CON_{26} | CON_{27}) \quad (33)$$

$$RK_4 | RK_5 | RK_6 | RK_7 \leftarrow \Sigma(L) \oplus K \oplus (CON_{28} | CON_{29} | CON_{30} | CON_{31}) \quad (34)$$

$$RK_8 | RK_9 | RK_{10} | RK_{11} \leftarrow \Sigma^2(L) \oplus (CON_{32} | CON_{33} | CON_{34} | CON_{35}) \quad (35)$$

$$\vdots \quad (36)$$

$$RK_{32} | RK_{33} | RK_{34} | RK_{35} \leftarrow \Sigma^8(L) \oplus (CON_{56} | CON_{57} | CON_{58} | CON_{59}) \quad (37)$$

## 4.3 Παράδειγμα Υπολογισμού

Εστω το test vector από το specification:

$$\text{key} = \text{ffeeddcc bbbaa9988 77665544 33221100 } L = 8f89a61b 9db9d0f3 93e65627 da0d027e \quad (38)$$

**Κύκλος 1 ( $\text{exp}_\text{cnt} = 1, \text{idx} = 0$ )** : Ανταποθηκεούται:  $(RK_0, RK_1, RK_2, RK_3) = (\text{f3e6cef9}, \text{8df75e38}, \text{41c06256}, \text{640ac51b})$  (39) Το  $L$  μετασχηματίζεται με DoubleSwap και η διαδικασία συνεχίζεται.

## 5 Data Processing - Αναλυτική Περιγραφή

Το Data Processing εκτελείται μετά την ολοκλήρωση του Key Scheduling και περιλαμβάνει τρία στάδια:

### 5.1 Initial Whitening (INIT<sub>WHITE</sub>)

To plaintext υφίσταται XOR με τα whitening keys:

```

1 if reg_mode = '0' then --
2 T0 <= reg_plaintext(127 downto 96);           -- P0
3 T1 <= reg_plaintext(95 downto 64) xor WK0;     -- P1 XOR WK0
4 T2 <= reg_plaintext(63 downto 32);           -- P2
5 T3 <= reg_plaintext(31 downto 0) xor WK1;       -- P3 XOR WK1

```

Για κρυπτογράφηση (encrypt mode):

$$T_0 \leftarrow P_0 \quad T_1 \leftarrow P_1 \oplus WK_0 \quad T_2 \leftarrow P_2 \quad T_3 \leftarrow P_3 \oplus WK_1 \quad (40)$$

Για αποκρυπτογράφηση (decrypt mode), χρησιμοποιούνται τα WK2 και WK3:

```

1 else --
2 T0 <= reg_plaintext(95 downto 64) xor WK2;      -- C1 XOR WK2
3 T1 <= reg_plaintext(63 downto 32);           -- C2
4 T2 <= reg_plaintext(31 downto 0) xor WK3;       -- C3 XOR WK3
5 T3 <= reg_plaintext(127 downto 96);           -- C0

```

### 5.2 Round Processing (ROUNDS)

Η κατάσταση ROUNDS εκτελεί 18 γύρους (round<sub>cnt</sub> = 0ως17). Κθεγρος λειτουργεσεδοφσεις λγωτουρηπο

#### 5.2.1 Φάση 0: Υπολογισμός F-Functions

Όταν phase = '0', οι F0 και F1 υπολογίζονται στους καταχωρητές pipeline (Processes 4 και 5). **Για Κρυπτογράφηση (mode = '0'):**

```

1 -- F0 input
2 v_in_data := T0;
3 v_in_rk   := RK(round_cnt*2);
4 -- F1 input
5 v_in_data := T2;
6 v_in_rk   := RK(round_cnt*2 + 1);

```

Οι είσοδοι για τον γύρο ii i είναι:

$$F_0 : \quad T_0, \quad RK_{2i} \quad (41)$$

$$F_1 : \quad T_2, \quad RK_{2i+1} \quad (42)$$

**Για Αποκρυπτογράφηση (mode = '1'):** Τα round keys χρησιμοποιούνται σε αντίστροφη σειρά:

```

1 v_in_data := T3;    -- T0
2 rk_idx   := (18 - 1 - round_cnt) * 2;
3 v_in_rk   := RK(rk_idx);

```

Για παράδειγμα, στον πρώτο γύρο αποκρυπτογράφησης (round<sub>cnt</sub> = 0) : rk<sub>i</sub>dx = (17 - 0) × 2 = 34 ⇒ RK<sub>34</sub>(43)

### 5.2.2 Φάση 1: Ενημέρωση State

Όταν  $\text{phase} = '1'$  και  $\text{step\_n} = '1'$ , τα αποτελέσματα των  $F$ -functions ( $f0_{pipe}$ ,  $f1_{pipe}$ ) χρησιμοποιούνται για Κρυπτογράφηση:

## 5.3 Final Whitening ( $\text{FINAL}_W HITE$ )

Μετά τον τελευταίο γύρο, εφαρμόζεται το τελικό whitening:

```

1 if reg_mode = '0' then --
2 T0 <= T3;           -- Swap
3 T1 <= T0 xor WK2;   -- XOR      WK2
4 T2 <= T1;           -- Pass through
5 T3 <= T2 xor WK3;   -- XOR      WK3

```

Για κρυπτογράφηση:

$$C_0 \leftarrow T_3 \ C_1 \quad \leftarrow T_0 \oplus WK_2 \quad C_2 \leftarrow T_1 \ C_3 \quad \leftarrow T_2 \oplus WK_3 \quad (44)$$

Για αποχρυπτογράφηση, χρησιμοποιούνται  $WK_0$  και  $WK_1$ :

```

1 else --
2 T0 <= T0;           -- swap
3 T1 <= T1 xor WK0;   -- XOR      WK0
4 T2 <= T2;
5 T3 <= T3 xor WK1;   -- XOR      WK1

```

## 5.4 Output (OUTPUT)

Στην κατάσταση OUTPUT, το αποτέλεσμα καταχωρείται στην έξοδο:

```

1 if state = OUTPUT then
2 reg_ciphertext <= T0 & T1 & T2 & T3;
3 reg_done       <= '1';
4 reg_valid      <= '1';

```

To ciphertext είναι η συνένωση των τεσσάρων 32-bit τμημάτων:

$$C = T_0 | T_1 | T_2 | T_3 \quad (128 \text{ bits}) \quad (45)$$

## 6 Παράδειγμα Πλήρους Εκτέλεσης

Ας εξετάσουμε το test vector:

```

key:      ffeeddcc bbaa9988 77665544 33221100
plaintext: 00010203 04050607 08090a0b 0c0d0e0f
ciphertext: de2bf2fd 9b74aacd f1298555 459494fd

```

### 6.1 Key Schedule Results

Από το specification, το L παράγεται ως:

$$L = 8f89a61b 9db9d0f3 93e65627 da0d027e \quad (46)$$

Whitening keys:

$$WK_0 = \text{ffeeddcc} \quad WK_1 = \text{bbaa9988} \quad WK_2 = \text{77665544} \quad WK_3 = \text{33221100} \quad (47)$$

To πρώτα round keys:

$$RK_0 = \text{f3e6cef9} \quad RK_1 = \text{8df75e38} \quad RK_2 = \text{41c06256} \quad RK_3 = \text{640ac51b} \quad (48)$$

## 6.2 Round 1 Execution

**Initial State (μετά Initial Whitening):**

$$T_0 = 00010203 \quad T_1 = 04050607 \oplus \text{ffeeddcc} = \text{fbebdbcb} \quad T_2 = 08090a0b \quad T_3 = 0c0d0e0f \oplus \text{bbaa9988} \quad (49)$$

**F0 Calculation:**

$$\text{Input} = T_0 = 00010203 \quad \text{RK} = RK_0 = \text{f3e6cef9} \quad \text{After XOR} = \text{f3e7ccfa} \quad (50)$$

Bytes: f3, e7, cc, fa S-box outputs (από Table 1):

$$S_0(\text{f3}) = 29 \quad S_1(\text{e7}) = 02 \quad S_0(\text{cc}) = 46 \quad S_1(\text{fa}) = \text{e1} \quad (51)$$

Μετά το Matrix M0M0M0 : 547a3193

**F1 Calculation:**

$$\text{Input} = T_2 = 08090a0b \quad \text{RK} = RK_1 = \text{8df75e38} \quad \text{After XOR} = \text{85fe5433} \quad (52)$$

Μετά S-boxes και M1M1M1 : abf12070

**State Update:**

$$T'_1 = T_1 \oplus F_0 = \text{fbebdbcb} \oplus 547a3193 = \text{af91ea58} \quad T'_3 = T_3 \oplus F_1 = \text{b7a79787} \oplus \text{abf12070} = \text{1c56b7ff} \quad (53)$$

**After Rotation:**

$$T_0 \leftarrow T'_1 = \text{af91ea58} \quad T_1 \leftarrow T_2 = 08090a0b \quad T_2 \leftarrow T'_3 = \text{1c56b7ff} \quad T_3 \leftarrow T_0 = 00010203 \quad (54)$$

Αυτό συμφωνεί με το intermediate value στο specification (Round 2 input).

## 7 Συμπεράσματα

### 7.1 Κρίσιμα Σημεία Υλοποίησης

1. **Πλήρης Σύγχρονη Λογική:** Όλα τα signals ενημερώνονται σε rising<sub>edge</sub>(clk)Pipeline για F-Δοξεχωριστοprocesses(4και5)υπολογζουνF0καιF1παρλληλα
- 2.
3. **Inline Matrix Operations:** Οι πολλαπλασιασμοί  $M_0$  και  $M_1$  δεν είναι functions αλλά inline code για ταχύτητα
4. **Two-Phase Round Execution:** Κάθε γύρος χρειάζεται 2 cycles (phase 0 και 1)
5. **Mode-Dependent Logic:** Διαφορετική λογική για encrypt/decrypt modes

| Φάση                                         | Clock Cycles     |
|----------------------------------------------|------------------|
| KEY_GFN (12 rounds $\times \times 2phases$ ) | 24               |
| KEY_EXPAND (10 iterations)                   | 10               |
| INIT_WHITE                                   | 1                |
| ROUNDS (18 rounds $\times \times 2phases$ )  | 36               |
| FINAL_WHITE                                  | 1                |
| OUTPUT                                       | 1                |
| <b>Σύνολο</b>                                | <b>73 cycles</b> |

Table 1: Χρονική ανάλυση CLEFIA-128

## 7.2 Χρονική Ανάλυση

Συνολικός χρόνος για μία κρυπτογράφηση (128-bit key):

Για συχνότητα λειτουργίας  $f=100f = 100$  f=100 MHz:

$$\text{Latency} = \frac{73}{100 \times 10^6} = 730 \text{ ns} \quad (55)$$

$$\text{Throughput} = \frac{128 \text{ bits}}{730 \text{ ns}} \approx 175.3 \text{ Mbps} \quad (56)$$

## 7.3 Πλεονεκτήματα Υλοποίησης

- Πλήρως σύγχρονη σχεδίαση - εύκολη για timing closure
- Χαμηλή κατανάλωση λόγω register-based design
- Επεκτάσιμη για 192/256-bit keys (χρειάζονται μόνο αλλαγές στο key scheduling)
- Μικρό footprint - inline operations αντί για functions

## 7.4 Πιθανές Βελτιστοποιήσεις

1. **Loop Unrolling:** Υπολογισμός πολλών rounds παράλληλα
2. **Pipelining:** Επεξεργασία πολλών blocks ταυτόχρονα
3. **LUT-based S-boxes:** Χρήση Block RAM για γρηγορότερη πρόσβαση
4. **Separate Key Schedule Unit:** Παράλληλη εκτέλεση key schedule και data processing