Jak policzyć gate equivalent algorytmu?

Czytam publikację "Pandaka: A Lightweight Cipher for RFID Systems" (jest dostępna na sci-hub) i oni tam szacują logic gate equivalence różnych algorytmów. Przykładowo koszt AES ze 128-bitowym kluczem wyszedł im 3400 GEs. Podają też tabelkę "COST ESTIMATIONS FOR TYPICAL CRYPTOGRAPHIC HARDWARE":

Functional Block Cost (GEs)
2 input NAND gate 1
2 input XOR gate 2.5
2 input AND gate 2.5
FF (Flip Flop) 12
n-byte RAM n × 12

Ja potrzebuję oszacować np. koszt następujących operacji, powiedzmy na liczbach 128-bitowych:

• dodawanie a+b (mod 2^128),
• dodawanie a+1 (mod 2^128),
• bit shifts a << 1 or a >> 1,
• not and bitwise and -(a & 1) or ~-(a & 1) ,
• bitwise or a | b,
• a xor b.

Jak to właściwie zrobić? Czy każda taka operacja ma stały koszt i należy je zsumować, czy może jeszcze jakoś przeskalować przez wielkość liczby w bitach? Jaki jest koszt przesunięcia bitowego? Do tego oni wliczają samo przechowywanie liczb jako koszt:

In addition, we need N × L bits RAM to store the base keys, which requires N ×L×1.5 GEs.

A zmienne też mam tam doliczyć? Jeśli cały stan algorytmu to 256-bitów, to mam doliczyć 256 GEs?

Zakładasz określoną konstrukcję dla elementów i śmigasz. Jak chcesz inaczej? Masz ty jakieś zielone pojęcie o konstrukcji takich układów? Po tym co napisałeś i spojrzeniu jak wyglądają wykonane z NANDów elementy jak widzę autor zakłada budowanie tych rzeczy z bramek NAND i pod ich katem zakłada kolejne wartości dla bardziej złożonych elementów.

Po dość barokowych wartościachdla flip flopów wnioskuję, że to jakieś grubsze wygłupy bardziej złożonych przerzutników o budowie składającej się z wielu bramek (spokojnie idzie znaleźć schematy z 8 i więcej elementów).

Do tego sam autor jak po pobierznym przejechaniu okiem i Ctrl+F tekstu widzę nie wgłębia się w uzasadnienie czemu przyjął takie wartości i jakie konkretnie zakłada konstrukcje, tylko wspomina wprost, że wartości będą rożne w zależności od przyjetych założeń co do implementacji.

Podejdź do tematu ze zdrowym rozsądkiem i zastanów się z czego budujesz układ realizujący dany algorytm. Przykładowo jak technologia wykonania to CMOS - gdzie za minimalną cegiełkę przyjmiesz 1 tranzystor a za wzorzec zbudowaną z N (tu wstaw odpowiednią liczbę zalezną od zakładanej budowy bramki) tranzystorów bramkę logiczną (powiedzmy NAND) oraz wiesz, że możesz zbudować inną bramkę z 2,5 razy takiej ilości tranzystorów to znaczy, że idzie na nią dwa i pół razy tyle tranzystorów co na NAND. Więc NAND będzie miało wartość 1, a ta inna bramka wartość 2,5 bramki NAND.

Więc co do reszty pytań, to już musisz poczynić założenia co do konstrukcji. Przy CMOS te same elementy bywają realizowane na różne sposoby zależnie od tego ile typów tranzystorów wykorzystujesz i ewentualnych innych założeń.

Tak to osobiście widzę.

Jak chcesz to przenieść na pole FPGA to już musisz sobie to racjonalnie przetłumaczyć na realia FPGA.