图 | 论文一作张能同学在作报告(来源:受访者)
CHES 成立至今已有 22 年,由国际密码学研究协会(IACR)主理,据刘雷波先容,这篇论文是中国大陆首次以第一作者身份在该会议上揭橥的后量子密码芯片方向文章。
报告人张能是论文第一作者,目前正在清华大学微电子所攻读博士学位,论文通讯作者是清华大学微电子与纳电子学系/微电子学研究所教授刘雷波,紧张互助者还有杨博翰、陈晨、尹首一。
DeepTech 就该论文和刘雷波进行了深入互换。他表示,该论文先容了一种低打算繁芜度数论变换与逆变换方法,并提出一种实现后量子密码算法的硬件架构。
当前,公钥密码已经广为利用,无论去线下银行、还是在网上银行办业务,都要证明个人身份以避免被人冒用,访问电商网站或利用手机支付时,其数据也需加密。
除民用用场之外,公钥密码算法在海陆空通信方面也有着特定用场,设备间的通信都须要数据加密和身份验证。比如,对面过来一架飞机,远处看到一艘船,每每须要判断对方到底是友是敌,这时也须要用公钥密码算法来保护传输数据。
随着量子打算能力的提高,目前已经从数学上证明,经典公钥密码算法肯定会被量子打算机所攻破。当前,全体互联网系统安全和网络安全,都会用到密码技能,而目前最不可被取代的正是公钥密码模块。
公钥密码算法一旦被量子打算机攻破,全体互联网将“轰然倒塌”,那时我们将没法去银行,也没法用电,乃至没法坐飞机和高铁。全体互联网系统会由于失落去安全而瘫痪,各种网络攻击事宜将不断涌现。
可以说,全人类都面临着量子攻击的风险。因此,学术界正在研究能更换经典公钥密码算法的算法,即后量子密码算法,以有效应对量子打算机技能进步带来的严厉寻衅。
能有效抵御量子打算机攻击的密码算法,统称为后量子密码 (Post-Quantum Cryptography) 或抗量子攻击密码 (Quantum-Resistant Cryptography)。后量子 ,紧张是指针对量子打算机时期的安全威胁,所发展出的密码算法体系。
后量子密码算法分五大类:第一类是基于格的,第二类是基于编码的,第三类是基于多变量的,第四类是基于哈希的,第五类是基于超奇异同源的。
个中,第一类基于格的后量子密码算法由于其打算的相对高效性和通用性,成为最主流的候选算法种类。
后量子密码算法的设计是一个数学问题,数学家们已经证明它是可以抵御量子打算攻击的算法,但算法如何被运用到电子设备和系统中去,仍需进一步研究。
算法的终极载体是芯片,魏少军、刘雷波团队在本次研究中,把后量子密码算法高效地实现在 FPGA 芯片上。之以是开展这样的研究事情,是由于如果要做到用能抵御量子打算机攻击的后量子密码算法来替代经典公钥密码算法、以及实现广泛运用,就必须研究后量子密码算法如何在芯片上进行高效实现的方法。
业界的一些家当巨子已经在后量子密码算法的运用方面进行了一些探索。谷歌于 2016 年在其实验版浏览器中实现了后量子密钥交流算法 NewHope,虽然可以证明其对量子攻击防护的一定有效性,但其实行效率限定了其进一步推广运用。
微软研究院已推出后量子密码算法 Picnic 算法和后量子 VPN 算法,亚马逊公司目前也在其 AWS 密钥管理系统中的传输层安全(Transport layer security, TLS)网络加密协议中供应后量子密钥交流支持。
后量子密码算法的运用难题在于,一方面需从数学上证明它能够抵御量子攻击中的 Shor 和 Grover 算法;另一方面,需证明后量子密码算法能否在芯片上运行。
如果无法在上芯片运行、或者运行非常慢,那就无法投入实际运用。例如,当访问网络时,须要很永劫光才能算出结果,那就没有任何意义。因此,后量子密码算法需同时知足在数学和芯片层面均可行。
目前,环球尚未就后量子密码算法形成统一的标准。美国国家标准与技能研究院(National Institute of Standards and Technology,下称 NIST)正在开展后量子密码算法的标准化事情,目前已经推进到第三轮。
对付征集到的每个候选算法,NIST 及密码领域的研究职员都会对其进行安全评估、数学评估、以及实现性能评估(包括软件实现和硬件实现)。终极通过评估的算法,将会成为 NIST 的推举标准。
除 NIST 以外,欧盟的欧洲电信标准化协会、美国 IEEE 和中国的干系机构也在征集算法。但 NIST 的后量子标准化是影响力最大,同时进展最快的,其从第一轮征集到的 69 个候选算法,到目前第三轮仅剩下 15 个算法,估量至 2021 年底还会淘汰大半,仅选出不到五个算法,直到末了沉淀出的算法成为 NIST 推举的国际标准。
由于后量子密码算法要抵抗未来的量子攻击和当前的经典打算攻击,因此需考虑未来数年打算机的发展。更主要的是,后量子密码算法的布局一定要先于量子打算机进入运用。
同时,公钥密码的运用广泛,不计其数的软硬件主体和企业都在利用公钥密码,更换它们将是一个超大系统工程,需提前三至五年布局。
算法站得住,芯片也须要站得住刘雷波表示,后量子密码算法能否用起来,至少取决于两个成分:第一,算法站得住,即算法本身能否抵御后量子攻击和经典性攻击;第二,芯片站得住,有了算法还得有物质载体来高效运行和快速实行这些算法。
刘雷波的专业背景是微纳电子学与数字集成电路设计,其研究事情紧张是针对算法中的打算、存储等瓶颈问题进行改进,进一步实现算法和硬件的协同设计,并终极完成相应的芯片实现。
当前后量子密码算法尚未站住。美国 NIST 第三轮候选算法中,还包括不同种类的 7 个算法须要进行进一步的安全、打算效率及硬件性能评估。
后量子密码芯片设计的现状是在低开销、高性能等设计目标驱动下,完成相应算法的打算架构设计,并在 FPGA(Field Programmable Gate Array)平台上完成功能验证和性能评估。
FPGA 实现的优点在于可以在避免高昂芯片流片本钱的条件下,完成特定芯片的功能验证和运用评估。在家当需求成熟及算法终极收敛时,可以实现相应芯片的快速家当化。
那么,是否能直接采取现有芯片(如 CPU、FPGA 及 DSP 等)实现后量子密码算法呢?现有芯片在实行后量子算法时效率非常低,远不能知足运用需求。因此,只有针对后量子密码算法完成领域定制的专用芯片,才能最大化地知足运用需求。
在很多特定场合中,如物联网终端须要面积特殊小、功耗特殊低的芯片。此时就更须要专门为算法去定制专用芯片,从而实现高性能、低开销和低功耗的设计目标。
比同类研究均匀速率快 2.5 倍旁边在算法的硬件设计过程中,仍旧须要在算法及打算架构层面,办理一系列的硬件问题,如若何存储中间数据、怎么有效降落打算繁芜度、若何降落功耗等。
为办理上述问题,魏少军、刘雷波团队提出一种低打算繁芜度的快速数论转换与逆变换方法,并首先在算法的软件实现 (C 措辞)上进行改进并显著降落了算法的运算量,该方法的好处是独立于特定的芯片架构设计,具有普适的通用性。
基于该方法,高效实行的硬件架构可以进一步挖掘和发挥方法的有效性。研究团队设计了一款后量子密码硬件架构,进一步降落了基于格的后量子密码算法打算繁芜度的同时,显著减少了硬件资源开销。
刘雷波坦言,由于目前尚无国际标准,因此厂商不愿投资芯片流片,不过业界对后量子密码算法的标准化事情保持着持续关注。
几年前,阿里云已有在云打算上支配后量子密码算法的意向,虽然距终极支配仍有一段间隔,但已有企业开始重点关注这个方向并开始有所布局。
按照国际老例,在后量子密码算法标准出台后的一年之内,芯片可完成研发并进行支配。现在,该团队正从两方面动手,一方面是跟国际顶尖算法团队开展互助。在算法开拓及评估阶段就参与到算法硬件实现性能评估事情中,并致力于共同创造与办理芯片实现过程中的瓶颈问题。
另一方面,该团队跟国家密码管理局保持着密切联系,国家密码管理局也在征集后量子密码算法,且就此和中国科学院信息工程技能研究所开展互助。届时,该团队也将卖力对此过程中后量子密码算法的硬件评估.
为进一步评估研究成果的前辈性,魏少军、刘雷波团队跟麻省理工学院、德国慕尼黑工业大学、比利时鲁汶大学、纽约大学及英国布里斯托大学等团队的干系研究进行了比拟,结果表明打算速率上均匀快 2.5 倍以上,面积效率提高近 5 倍以上。
图 | 和天下其他高校干系研究的比拟
量子攻击迫不及待当前,环球都处于后量子密码算法标准未定、后量子密码芯片架构设计空缺的局势。如果某个算法通过 NIST 的完全评估并终极成为国际标准,将是一件能带来巨大学术名誉和学术影响力的事情。
刘雷波认为,在此情形下我国必须拥有自己的算法标准和相应的后量子密码芯片。这也是本篇论文的主要意义所在,为密码学领域作出学术创新贡献的同时,也能提高中国的学术影响力,更主要的是能办理中国的实际问题。
目前,该团队正在利用其在芯片打算架构方面多年的技能积累和学术成果,为国家的干系算法做性能测试,并为未来的技能推广提前做技能储备。以便在算法标准、测试方法和论证方法终极确定时快速相应,实现具有抗量子攻击能力的后量子公钥密码体系切换。
刘雷波表示,技能不用就即是 0,论文的研究成果也是为了促进国家后量子密码芯片体系的建立,只有这样才能办理家当发展的关键难题,当然这个中须要政府机构、学校和企业的多方联动。
他见告 DeepTech,量子攻击迫不及待,假设量子打算机十年后正式投入利用,即便从现在开始做算法开拓、芯片设计及家当造就,韶光都未必够用。
团队希望在这方面能够为我国在干系关键技能的打破做出一点贡献。在此过程中,产出了一篇在国际顶级会议 CHES 揭橥的论文。
虽然本次发布的仅仅是一篇论文,但实质是为实现对量子攻击有效防御的后量子密码芯片技能攻关,终极目的是让中国网络根本举动步伐在技能进步过程当中不至于崩溃。
该团队所做的后量子密码芯片设计,目前海内从事干系研究的高校、机构等不超过五家。四年前立项时,他之以是选择该方向,首先是由于潜在需求大,同时技能难度,海内研究力量不敷。海内科研院所和大型央企在后量子密码芯片方面的研究特殊少,但是不能等到别人来卡脖子时再做。
而该团队从四年前,就开始动手这方面研究。之以是有这样的前瞻性,是由于该团队不仅专注于密码芯片技能,同时还深入开展通信、人工智能等干系领域的芯片设计及核心打算架构研究。
该团队的学术研究方向选择遵照两大原则:第一是不做主流,但也不偏离主流。当前的中国安全技能主流之一是网络安全和软件安全,这已经有大批职员在做。同样做安全,该团队关注的是芯片安全,即从芯片层面办理问题。这虽然不是主流,但是主流的核心根本。
第二个学术原则是,在学生做课题设计时就要考虑长远。比如,一个直博生大概须要五、六年才能毕业,因此刘雷波在辅导博士生进行选题时在考虑学术代价、技能难度的同时,会努力让其研究在毕业后成为业界有竞争力的技能。
除后量子密码芯片之外,刘雷波也开展了其他密码芯片的研究和设计,并已经孵化出两家从事安全干系家当的创业公司。
个中一家注册在无锡的公司沐创集成电路设计有限公司,紧张致力于向业界供应支持经典密码算法的芯片及系统做事。在该方面的研究最早可追溯到 2012 年,目前估值达五亿元。
他认为,密码芯片家当化对付工业界来说门槛太高,小公司想的是今年研发,明年就要挣钱;中等企业想的是今年研发,三到四年就要挣钱;大公司想的是今年研发,五到六年旁边一定要挣钱。不挣钱就弗成,这便是中国度当的现状。
那么,八到十年、十到十五年才能挣钱的技能谁来做?举个例子,现在运用在英特尔可穿着芯片中的可重构打算技能(Reconfigurable Computing Technology),是其从十几年前就开始研发的。
刘雷波认为,企业本日不创新,来日诰日就会去世掉。谷歌等大公司的技能都是十多年前布局的。但在中国,包括华为在内的企业也达不到这一点,由于现在做的技能研发,五六年往后不挣钱企业就会去世掉。
而学校紧张做关键技能打破,并非以盈利为目的,为的是办理科学问题,因此能在国家项目支持下布局到十年往后。当工业界须要该技能时,公司就能实现盈利。以是,只有产学研结合起来,才能提前布局关键技能。
清华邓辰辰博士、朱文平博士对本文亦有贡献。
