Giới thiệu

Trong bối cảnh phát triển nhanh chóng của các thiết bị IoT, thiết bị di động và hệ thống có tài nguyên tính toán hạn chế, yêu cầu về các thuật toán mật mã vừa an toàn vừa nhẹ đang trở nên cấp thiết. Trong đó, S-box đóng vai trò là thành phần phi tuyến chính, ảnh hưởng lớn đến khả năng chống các tấn công tuyến tính, vi sai và tấn công kênh kề.

Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) đã khởi động cuộc thi chuẩn hóa mật mã hạng nhẹ từ 2019, trong đó nhiều ứng viên đã đưa ra thiết kế S-box để đạt hiệu suất và an toàn cao. Bài viết này sẽ tổng hợp các tiêu chỉ đánh giá S-box, khảo sát các thiết kế hiện có trong các ứng viên của chuẩn NIST và trình bày xu hướng nghiên cứu thiết kế hiện nay.

Các tiêu chí đánh giá S-box

Để đánh giá chất lượng và mức độ an toàn của một S-box trong các hệ mật mã, đặc biệt là trong môi trường hạn chế tài nguyên như LWC, các nhà nghiên cứu đã đề xuất một tập hợp các tiêu chí mật mã học tiêu chuẩn. Các tiêu chí này không chỉ đánh giá khả năng chống lại các loại tấn công phổ biến mà còn phản ánh khả năng lan truyền thông tin, tính ngẫu nhiên và mức độ phức tạp toán học của S-box.

Nonlinearity (NL): Khoảng cách tối thiểu giữa S-box và tất cả các hàm tuyến tính hoặc affine tương ứng. Tính phi tuyến càng cao thì S-box càng khó bị suy đoán thông qua tấn công tuyến tính. Giá trị lý tưởng càng gần giá trị tối đa (với S-box 4x4 là 6, 8x8 là 120) thì càng tốt.

Differential Uniformity (DU): Đo lường khả năng chống lại tấn công vi sai (differential cryptanalysis). DU là số lần xuất hiện tối đa của sự khác biệt đầu ra khi một cặp đầu vào có cùng độ sai khác được đưa vào S-box. Mức tối ưu là DU = 2 (gọi là Almost Perfect Nonlinear - APN), nhưng trong thực tế, các S-box đạt DU = 4 hoặc 8 vẫn được chấp nhận trong LWC vì chi phí thiết kế.

Boomerang Uniformity (BU): Mở rộng khái niệm DU, BU đo lường khả năng chống lại tấn công boomerang - một dạng tấn công vi sai nâng cao. BU thấp giúp ngăn chặn kẻ tấn công lợi dụng cấu trúc vi sai kép.

Algebraic Degree (AD): Bậc đại số cao nhất của bất kỳ biểu diễn đa thức Boolean nào của các bit đầu ra theo đầu vào. AD càng cao thì S-box càng kháng tốt với các tấn công đại số (algebraic attacks). Mức tối đa của S-box n-bit là n.

Strict Avalanche Criterion (SAC) và Bit Independence Criterion (BIC): SAC yêu cầu rằng nếu thay đổi một bit đầu vào thì mỗi bit đầu ra có xác suất thay đổi là 50%. BIC yêu cầu các bit đầu ra thay đổi một cách độc lập khi một bit đầu vào thay đổi. Hai tiêu chí này thể hiện khả năng khuếch tán của S-box, giúp chống lại tấn công thống kê.

Transparency Order (TO) và DPA SNR: TO đo khả năng chống lại tấn công kênh kề, đặc biệt là tấn công phân tích công suất (DPA). Giá trị TO càng thấp thì khả năng rò rỉ thông tin qua công suất tiêu thụ càng nhỏ. DPA SNR (Signal-to-Noise Ratio) là chỉ số định lượng khả năng phân biệt tín hiệu từ nhiễu của S-box dưới tấn công kênh kề.

Tùy vào mục tiêu thiết kế (nhẹ, nhanh, chống SCA, khối nhỏ,…), nhà nghiên cứu sẽ chọn tiêu chí ưu tiên khác nhau. Tuy nhiên, trong môi trường IoT, việc cân bằng giữa tính phi tuyến, khả năng khuếch tán và chi phí phần cứng là bắt buộc.

Khảo sát các S-box trong ứng viên NIST LWC

Cuộc thi chuẩn hóa mật mã hạng nhẹ do NIST tổ chức đã chọn ra nhiều ứng viên sử dụng S-box với kích thước và đặc tính khác nhau. Dưới đây là bảng tổng hợp các thông số kỹ thuật quan trọng của S-box được sử dụng trong các ứng viên nổi bật:

Bảng 1. Các thông số của S-box trong các hệ mật [1]

Tất cả các S-box đều đảm bảo tính cân bằng và phi tuyến tối thiểu. ASCON và ISAP sử dụng cùng một S-box có độ phức tạp thấp, giúp tiết kiệm chi phí tính toán nhưng bị giới hạn bởi độ phi tuyến và AD thấp. GIFT-COFB, Elephant và Photon-Beetle sử dụng S-box 4x4, phù hợp với phần cứng nhỏ nhưng không đạt SAC hoặc BU tối ưu. Romulus sử dụng S-box 8x8 với độ phi tuyến và DU cao nhưng chi phí phần cứng cũng lớn hơn.

Sự khác biệt trong thiết kế S-box thể hiện sự đánh đổi giữa tính bảo mật, hiệu năng tính toán và khả năng triển khai trong môi trường tài nguyên giới hạn.

Phân tích xu hướng thiết kế S-box

Hiện nay, trong bối cảnh yêu cầu về hiệu năng cao và mức tiêu hao tài nguyên thấp, nhiều hướng nghiên cứu hiện đại đã được đề xuất nhằm thiết kế S-box phù hợp cho mật mã hạng nhẹ. Dưới đây là tổng hợp và đánh giá sơ lược các hướng tiếp cận nổi bật:

S-box dựa trên ánh xạ hỗn loạn: Dựa vào đặc tính hỗn loạn, phi tuyến mạnh, nhạy cảm với điều kiện khởi tạo để tạo ra các giá trị thay thế khó đoán. Có thể tạo S-box động, entropy cao, độ phi tuyến mạnh. Tuy nhiên thiết kế phần cứng phức tạp, không ổn định khi triển khai trên vi điều khiển hạn chế. Các ánh xạ tiêu biểu sử dụng: Logistic, Tent, Henon hoặc mô hình Hindmarsh-Rose 3D [3].

Cellular Automata (CA) kết hợp Feistel: Tận dụng khả năng sinh mẫu ngẫu nhiên và tính cục bộ của CA, kết hợp với cấu trúc Feistel để đảm bảo tính đảo ngược. Thiết kế đơn giản, dễ tích hợp, mở rộng lên S-box lớn hơn (ví dụ 10-bit). Tuy nhiên khó tối ưu đồng thời tất cả tiêu chí bảo mật (DU, BU, SAC,...). Tiêu biểu: Prevost & Martin - Tạo S-box 10-bit từ CA và Feistel [2].

Dựa trên tích chập và mạng nơ-ron: Sử dụng mạng nơ-ron hoặc thuật toán tiến hóa (GA, PSO) để tìm ra S-box tối ưu hóa theo hàm chi phí đa tiêu chí. Có thể đạt độ phi tuyến và BIC cao, thích hợp với tối ưu hóa tự động. Tuy nhiên tốn tài nguyên tính toán và khó đảm bảo tính đảo ngược nếu không kiểm soát tốt [5] [6].

S-box dựa trên Quantum Random Walk: Mô phỏng hành vi lượng tử để sinh S-box với tính ngẫu nhiên khó dự đoán. Sinh S-box động theo thời gian, kháng tốt tấn công thống kê. Tuy nhiên khó triển khai trong thực tế, phần lớn vẫn ở mức lý thuyết hoặc mô phỏng [7].

S-box động hoặc phụ thuộc khóa: S-box thay đổi theo từng phiên, theo khóa bí mật hoặc theo vòng lặp trong thuật toán giúp tăng tính ngẫu nhiên, giảm xác suất thành công của các tấn công dự đoán S-box cố định. Tuy nhiên cần cơ chế đồng bộ khóa, chi phí phần cứng tăng nhẹ [4].

Nhìn chung, mỗi hướng thiết kế này đều có thế mạnh riêng. Việc lựa chọn phù hợp tùy thuộc vào mục tiêu hệ thống: độ bảo mật cao (Quantum, Chaos), tối ưu chi phí phần cứng (CA, Feistel) hoặc cân bằng (dynamic/key-dependent). Sự kết hợp các kỹ thuật, chẳng hạn như chaotic và AI, hoặc CA và cơ chế heuristic, là xu hướng mới đang được quan tâm nghiên cứu.

Trong tương lai, cùng với sự phát triển các thuật toán mật mã hạng nhẹ, S-box tiếp tục giữ vai trò then chốt trong việc đảm bảo tính bảo mật và hiệu năng của hệ thống. Qua việc phân tích tiêu chí đánh giá, khảo sát thực tiễn từ các ứng viên chuẩn NIST và tổng hợp các hướng thiết kế hiện đại, có thể rút ra một số xu hướng và định hướng đáng chú ý trong nghiên cứu tạo S-box như sau:

Tăng tính linh hoạt và thích ứng: Các hệ thống IoT và nhúng có cấu hình rất đa dạng, do đó S-box động hoặc phụ thuộc khóa sẽ là giải pháp giúp tăng tính tùy biến và khó đoán, nâng cao bảo mật mà không làm tăng nhiều chi phí.

Tích hợp khả năng chống tấn công kênh kề: Trong thực tế triển khai, các tấn công kênh kề như DPA có thể làm lộ khóa nếu S-box có chỉ số TO và DPA SNR không tốt. Thiết kế S-box có TO thấp đang là ưu tiên quan trọng.

Tối ưu đa tiêu chí bằng AI/heuristic: Do S-box cần thoả mãn đồng thời nhiều tiêu chí bảo mật (NL, DU, BU, SAC, TO,…), việc tối ưu hóa bằng các thuật toán tiến hóa (GA, PSO), học sâu là lựa chọn tiềm năng để tìm ra hàm S-box tối ưu hơn con người thiết kế thủ công.

Tương thích hậu lượng tử: Dù S-box không trực tiếp quyết định khả năng kháng máy tính lượng tử, nhưng việc sinh S-box bằng các cơ chế mô phỏng lượng tử như Quantum walk sẽ là hướng đi giúp nâng cao tính ngẫu nhiên và không cấu trúc, giảm nguy cơ bị giải mã bằng công cụ lượng tử.

Thiết kế thân thiện với phần cứng siêu nhẹ: Các thiết kế như S-box 4x4, CA-based hoặc S-box sinh từ logic đơn giản vẫn được ưa chuộng trong môi trường cực kỳ giới hạn tài nguyên (sensor, RFID,...). Do đó, tính khả thi về mặt phần cứng vẫn là điều kiện tiên quyết.

Nhìn chung hướng nghiên cứu tương lai sẽ ưu tiên thiết kế S-box động, chống tấn công kênh kề, tối ưu bằng AI và phù hợp cho thiết bị IoT giới hạn tài nguyên. Việc kết hợp nhiều kỹ thuật tiên tiến là con đường tiềm năng để đạt được cả bảo mật và hiệu năng trong các hệ thống mật mã hiện đại. Các thiết kế ngày nay đã tiến xa hơn nhờ các mô hình phi truyền thống như chaotic, CA hay AI. Tuy nhiên, bài toán cân bằng giữa bảo mật, hiệu năng và chi phí tính toán vẫn đặt ra nhiều thách thức.

Kết luận

S-box là thành phần trọng yếu ảnh hưởng trực tiếp đến mức độ an toàn và khả năng triển khai của các thuật toán mật mã hạng nhẹ. Qua việc phân tích các tiêu chí đánh giá, khảo sát thực nghiệm từ chuẩn NIST và tổng hợp các hướng tiếp cận hiện đại, có thể thấy rằng thiết kế S-box cho LWC không chỉ đòi hỏi sự cân bằng kỹ thuật mà còn cần sự đổi mới tư duy (chẳng hạn như ứng dụng mô hình hỗn loạn, thuật toán tiến hóa, hay các cơ chế sinh động lực học mới,…). Việc lựa chọn S-box hiệu quả sẽ tiếp tục là chủ đề nghiên cứu quan trọng trong hành trình xây dựng các hệ mật mã nhẹ, an toàn và khả thi trong thực tế.