摘要

隨著信息技術(shù)在汽車行業(yè)的迅速發(fā)展，對(duì)車輛架構(gòu)中安全功能的需求不斷增加。通常通過在電子中央單元（ECU）中添加硬件安全模塊（HSM）來實(shí)現(xiàn)這一目標(biāo)。因此，可以通過在HSM中使用嵌入式硬件加速器進(jìn)行秘密密碼計(jì)算來加強(qiáng)安全通信。然而，目前還沒有通用的標(biāo)準(zhǔn)來設(shè)計(jì)汽車HSM的架構(gòu)。汽車行業(yè)期望未來能夠設(shè)計(jì)出一種通用的汽車HSM，不僅能夠滿足不斷增長的性能需求，還能夠進(jìn)一步抵御攻擊者利用大規(guī)模量子計(jì)算機(jī)進(jìn)行的攻擊。未來量子計(jì)算機(jī)的到來促使人們研究后量子密碼學(xué)（PQC），以確保未來的HSM的安全性。我們對(duì)NIST的PQC標(biāo)準(zhǔn)化過程中的候選方案進(jìn)行了分析，并提出了用于下一代汽車HSM的新硬件加速器集。我們的評(píng)估結(jié)果表明，構(gòu)建一個(gè)后量子安全的汽車HSM是可行的，并且能夠滿足現(xiàn)代車輛ECU所施加的嚴(yán)格要求。

引言

汽車工業(yè)中信息技術(shù)的發(fā)展推動(dòng)了車輛的日益互聯(lián)，無論是不同車輛之間的通信，還是車輛內(nèi)不同嵌入式子系統(tǒng)之間的通信。在車輛中，基于電子控制單元（ECU）部署了一個(gè)大型的交互式嵌入式系統(tǒng)網(wǎng)絡(luò)，每個(gè)系統(tǒng)都維護(hù)著一組特定的功能。然而，車載架構(gòu)中連接服務(wù)的集成不僅增加了用戶的便利性，也為汽車世界中的惡意攻擊者提供了越來越多的攻擊面。如今，集成硬件安全模塊（HSM），即在ECU內(nèi)封裝安全導(dǎo)向功能的可信執(zhí)行環(huán)境，是幫助保護(hù)車輛免受惡意攻擊者侵害的基本組件。

幾家領(lǐng)先的芯片制造商已經(jīng)提供了一些具有汽車級(jí)架構(gòu)的HSM解決方案，這些方案通常包括微控制器處理器、不同用途的內(nèi)存塊（如RAM、ROM、閃存）、用于哈希函數(shù)、對(duì)稱和不對(duì)稱密碼操作的硬件加速器，以及HSM與ECU內(nèi)的主機(jī)處理器之間的安全接口。在ECU內(nèi)，通常使用HSM中的硬件加速器進(jìn)行依賴于密鑰的密碼操作。HSM不僅將秘密信息（如密鑰）保存在一個(gè)可信的硬件環(huán)境中，而且還通過專用硬件加速為密碼操作提供良好的加速效果。? ?

然而，汽車行業(yè)中還沒有關(guān)于HSM架構(gòu)或功能的官方標(biāo)準(zhǔn)。因此，為了構(gòu)建未來的HSM，需要更多了解現(xiàn)代汽車行業(yè)的當(dāng)前趨勢以及對(duì)未來挑戰(zhàn)的探索。一方面，隨著現(xiàn)代車輛性能要求的提高，需要更強(qiáng)大的HSM。另一方面，考慮到“量子時(shí)代”的到來，可能需要對(duì)HSM的設(shè)計(jì)架構(gòu)進(jìn)行更激進(jìn)的改變。常用的非對(duì)稱密碼算法，如RSA和ECC，容易受到使用量子計(jì)算機(jī)的攻擊：Shor的算法能夠在多項(xiàng)式時(shí)間內(nèi)解決RSA和ECC的基本問題。Grover的算法可以為暴力搜索提供二次速度提升，因此現(xiàn)代HSM中的對(duì)稱密碼加速器和哈希函數(shù)（即AES核心）在未來仍然可以使用，只需將密鑰大小加倍；然而，HSM內(nèi)的非對(duì)稱密碼加速器將被完全破解。鑒于量子計(jì)算機(jī)建設(shè)的快速進(jìn)展，過去十年已經(jīng)發(fā)展了后量子密碼學(xué)（PQC）這一新領(lǐng)域，提出了被認(rèn)為能夠抵御使用量子計(jì)算機(jī)攻擊的密碼算法。

汽車HSM將需要使用后量子安全的算法來確保其在“量子時(shí)代”的安全性。這些PQC算法通常比今天的密碼算法具有更大的密鑰大小，并且進(jìn)行密鑰操作需要更多的時(shí)間。此外，PQC算法所需的算術(shù)與當(dāng)今使用的底層密碼算法不同。因此，需要為未來的HSM設(shè)計(jì)新的硬件架構(gòu)。

雖然存在幾種通用的軟件-硬件協(xié)同設(shè)計(jì)用于PQC方案，但這些設(shè)計(jì)都專注于一種特定的PQC方案家族，沒有一個(gè)針對(duì)汽車HSM的使用案例和需求。本文分析了最近進(jìn)入美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）PQC標(biāo)準(zhǔn)化過程第三輪的不同PQC候選方案在汽車ECU架構(gòu)中的適用性。基于分析結(jié)果，提出用于加速推薦PQC算法的硬件加速器的后量子安全汽車HSM架構(gòu)。? ?

預(yù)備知識(shí)

A. 后量子密碼學(xué)

PQC算法有五種流行的類別：基于哈希的、基于代碼的、基于格的、多元的和基于同構(gòu)的密碼學(xué)。每一種類別都基于不同的數(shù)學(xué)問題，這些問題對(duì)于現(xiàn)代計(jì)算機(jī)和量子計(jì)算機(jī)來說都是難以解決的。這些方案在密鑰和消息的大小、效率以及對(duì)其安全性分析的信任等方面存在差異。? ?

1、基于代碼的密碼學(xué)：大多數(shù)基于代碼的加密方案都基于McEliece密碼系統(tǒng)，該系統(tǒng)最早于1978年提出，其使用二進(jìn)制Goppa碼的實(shí)例至今仍保持安全。然而，McEliece密碼系統(tǒng)的一個(gè)主要問題是公鑰的大小過大。即使是其雙變量版本，Niederreiter密碼系統(tǒng)引入了一種壓縮公鑰的技巧，但在針對(duì)128位后量子安全級(jí)別時(shí)，公鑰的大小仍然超過1MB。一些研究工作已經(jīng)集中在通過將結(jié)構(gòu)納入代碼來減小密鑰的大小，例如使用準(zhǔn)循環(huán)碼。兩種基于結(jié)構(gòu)化代碼的方案，即BIKE 和HQC ，已經(jīng)進(jìn)入了NIST PQC標(biāo)準(zhǔn)化過程的第3輪。

2、基于哈希的密碼學(xué)：基于哈希的簽名方案被認(rèn)為是非常成熟的，因?yàn)樗陌踩酝耆蕾囉诘讓庸：瘮?shù)的性質(zhì)，而哈希函數(shù)的性質(zhì)是眾所周知的。XMSS 和LMS 是兩種流行的有狀態(tài)的基于哈希的簽名方案，它們正在被NIST考慮作為后量子密碼學(xué)發(fā)展早期的一部分進(jìn)行標(biāo)準(zhǔn)化。因此，基于哈希的簽名方案是有希望成為后量子安全的簽名方案。

3、基于格的密碼學(xué)：基于格的密碼學(xué)可以說是PQC家族中最流行的一種。它的安全基于高維格上定義的不同類型難題，例如“帶錯(cuò)誤的學(xué)習(xí)（LWE）”、“最短向量問題（SVP）”等。與基于代碼的方案類似，基于通用格的方案通常更令人信服，而基于理想（結(jié)構(gòu)化）格的方案具有更小的密鑰和更好的性能。然而，選擇基于格的方案的安全參數(shù)一直是一個(gè)挑戰(zhàn)，因?yàn)槟壳斑€不完全了解它們對(duì)抗量子計(jì)算機(jī)攻擊的安全性。

4、多元密碼學(xué)：多元密碼學(xué)是基于解決有限域上的多元二次方程組的難題，這是一個(gè)NP難問題。盡管多元密碼系統(tǒng)的安全性得到了很好的分析，但要構(gòu)建這樣一個(gè)既安全又高效的方案并不容易。在過去的十年里，許多方案已被證明是不安全的。其中少數(shù)專注于簽名方案的方案至今仍保持安全。? ?

5、基于同構(gòu)的密碼學(xué)：在所有PQC候選者中，基于同構(gòu)的密碼學(xué)是最年輕的一種，最初是在2006年提出的加密方案?；谕瑯?gòu)的方案的構(gòu)造是基于找到兩個(gè)橢圓曲線之間的高階超奇異同構(gòu)的難度。這使得基于同構(gòu)的方案可以部分繼承經(jīng)典ECC方案的算術(shù)。然而，特別是與結(jié)構(gòu)化格基方案相比，基于同構(gòu)的候選者的有效性并不十分具有競爭力。此外，由于同構(gòu)性問題的新特性，對(duì)這些方案的信心還不夠充分。

B. 關(guān)于SOTA的案例研究

Software-over-the-air（SOTA）更新是一種讓汽車制造商通過下載遠(yuǎn)程軟件更新來維護(hù)和改進(jìn)車輛的技術(shù)。它也是ECU級(jí)別各種基本安全用例交互的絕佳示例?？梢允褂肧OTA來確定HSM所需的安全功能。

一個(gè)完整的SOTA更新包括了HSM的大部分用例，即安全引導(dǎo)、安全軟件更新和安全診斷。唯一未直接包含在此SOTA更新中的用例是通常依賴于對(duì)稱加密（例如AES）以保持低延遲的安全車載通信（SecOC）。因此，SOTA是分析汽車HSM所需功能的良好案例研究。

SOTA更新場景對(duì)運(yùn)行時(shí)和內(nèi)存存儲(chǔ)有一定的要求：真實(shí)性驗(yàn)證和完整性驗(yàn)證過程預(yù)計(jì)在1秒內(nèi)完成，公共驗(yàn)證密鑰、用于檢查真實(shí)性的簽名和用于檢查完整性的令牌都應(yīng)小于4kB。此外，考慮到SecOC和SOTA可以同時(shí)發(fā)生。由于AUTOSAR標(biāo)準(zhǔn)，SecOC利用AESCMAC進(jìn)行消息認(rèn)證。? ?

SOTA更新和SecOC都是依賴于安全性的服務(wù)，它們在HSM內(nèi)部執(zhí)行。因此，HSM需要使用以下原語：數(shù)字簽名、哈希函數(shù)和對(duì)稱加密。現(xiàn)代HSM通常沒有針對(duì)ECU級(jí)別的公鑰加密或密鑰封裝（KEM）的專用用例。然而，未來一代的HSM可能需要支持KEM方案，例如在車輛級(jí)別運(yùn)行時(shí)支持可能的ECU之間密鑰交換。因此，在設(shè)計(jì)未來的HSM時(shí)也考慮了KEM方案。

汽車高安全級(jí)別消息認(rèn)證碼（HSMS）的PQC選擇

A. 推薦的PQC方案

自2020年7月起，15個(gè)候選方案已進(jìn)入美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）PQC標(biāo)準(zhǔn)化過程的第三輪。在這15個(gè)候選方案中，選擇了三個(gè)針對(duì)NIST安全級(jí)別3（中等）和5（高等）的PQC方案，以在汽車應(yīng)用中實(shí)現(xiàn)性能和安全性之間的平衡。除了這三個(gè)候選方案，還選擇了NIST PQC競賽之外的一個(gè)被廣泛理解的數(shù)字簽名方案。所有四個(gè)選定的方案都符合第二節(jié)-B中對(duì)運(yùn)行時(shí)和內(nèi)存存儲(chǔ)的嚴(yán)格要求。除了密鑰（消息）大小和性能指標(biāo)外，指導(dǎo)我們選擇這四個(gè)PQC方案的另一個(gè)重要標(biāo)準(zhǔn)是確保這些方案背后的數(shù)學(xué)難題的多樣性。

本文為汽車HSMs提出的建議中包括了一個(gè)基于代碼的方案，兩個(gè)基于格的方案，以及一個(gè)基于哈希的方案。此外，軟件和硬件實(shí)現(xiàn)的簡單性也是選擇的重要指標(biāo)。

1、中等安全級(jí)別的方案：對(duì)于需要中等安全級(jí)別的應(yīng)用，本文選擇基于理想格的簽名方案CRYSTALS-Dilithium和基于代碼的密鑰交換（KEM）方案BIKE，因?yàn)樗鼈兊男屎兔荑€尺寸較小。 Dilithium 基于一個(gè)經(jīng)過充分研究的MLWE問題的一個(gè)變體。除了良好的性能外，在軟件和硬件中實(shí)現(xiàn)Dilithium的操作都相當(dāng)容易。BIKE 是一個(gè)基于QC-MDPC（準(zhǔn)循環(huán)中等密度奇偶校驗(yàn)）代碼的基于代碼的KEM。由于其平衡的性能，它是通用使用的有希望的候選者。

BIKE被NIST視為“最有希望的基于代碼的候選者”。與其他在第3輪中的結(jié)構(gòu)化基于代碼的候選者HQC 相比，BIKE的公鑰和密文尺寸要小得多，而BIKE的帶寬指標(biāo)要好得多。這些指標(biāo)使BIKE在密鑰尺寸和效率方面更適合汽車用例。因此，Dilithium和BIKE可以結(jié)合使用，適用于對(duì)性能和密鑰尺寸都有嚴(yán)格要求，但不需要非常高的安全要求的應(yīng)用場景。? ?

2、高安全級(jí)別的方案：具有高安全級(jí)別的狀態(tài)哈希簽名方案XMSS和基于理想格的KEM方案CRYSTALS-Kyber都被選中，因?yàn)樗鼈儽澈笥薪?jīng)過充分研究的數(shù)學(xué)問題。XMSS已被IETF 標(biāo)準(zhǔn)化，目前是NIST正在考慮作為早期標(biāo)準(zhǔn)化的兩個(gè)狀態(tài)哈希簽名方案之一。

XMSS的安全性完全依賴于底層哈希函數(shù)，即使在存在大型量子計(jì)算機(jī)的情況下也可以有效地構(gòu)建。Kyber的安全性依賴于與Dilithium相同的問題，因此它的安全也得到了充分的研究。此外，XMSS和Kyber都具有相對(duì)較小的密鑰，它們的密鑰操作可以通過使用專用硬件加速器得到很好的加速。因此，考慮到它們令人信服的安全性分析，XMSS和Kyber可以結(jié)合使用，用于針對(duì)高安全級(jí)別的應(yīng)用場景。

B.軟件性能分析結(jié)果

為了設(shè)計(jì)一種后量子安全的HSM，首先需要識(shí)別一套新的硬件加速器，因?yàn)榛跒榱嗽O(shè)計(jì)一種后量子安全的HSM，我們需要首先識(shí)別一套新的硬件加速器，因?yàn)榛赑QC方案的數(shù)學(xué)問題通常與現(xiàn)代密碼學(xué)有著根本性的不同。作為軟件硬件協(xié)同設(shè)計(jì)的一部分，HSM中的硬件加速器旨在加速最密集計(jì)算操作。為了了解推薦方案中最密集的計(jì)算操作是什么，本文使用性能分析工具Gprof對(duì)提交到NIST PQC競賽第三輪的參考軟件實(shí)現(xiàn)進(jìn)行了性能分析。? ?

對(duì)于XMSS和Dilithium簽名方案，性能分析結(jié)果僅包括簽名驗(yàn)證操作，而對(duì)于KEM方案BIKE和Kyber,所有操作(例如密鑰生成、密鑰封裝和密鑰解封裝)都包含在內(nèi)。以下是結(jié)果：

1、XMSS：在XMSS中，驗(yàn)證操作大部分時(shí)間消耗在底層哈希函數(shù)上。根據(jù)XMSS IETF規(guī)范,對(duì)于高安全性級(jí)別，可以使用SHA2-512或SHAKE-256作為哈希函數(shù)。

2、BIKE：BIKE中使用的準(zhǔn)循環(huán)碼允許將所有矩陣操作視為多項(xiàng)式運(yùn)算。根據(jù)性能分析結(jié)果，多項(xiàng)式乘法是BIKE中最昂貴的計(jì)算操作之一。此外，BIKE的構(gòu)建涉及AES-256實(shí)例化和哈希函數(shù)SHA-384的實(shí)例化，這兩個(gè)函數(shù)在軟件實(shí)現(xiàn)中經(jīng)常被使用。

3、Dilithium和Kyber：對(duì)于Dilithium和Kyber,性能分析結(jié)果非常相似，因?yàn)檫@兩種協(xié)議的構(gòu)建都是基于相同的構(gòu)建塊。兩者都有兩個(gè)實(shí)現(xiàn)變體：一個(gè)使用SHAKE來抽樣隨機(jī)數(shù)并擴(kuò)展隨機(jī)性，另一個(gè)則使用AES-256代替。對(duì)于這兩個(gè)實(shí)現(xiàn)，SHAKE/AES計(jì)算占用了大部分時(shí)間，其次是基于NTT的多項(xiàng)式乘法。

PQC HSM的硬件架構(gòu)

圖1描繪了一個(gè)典型的EVITA類HSM的架構(gòu)。由于EVITA中等和EVITA輕量級(jí)是EVITA全功能HSM的子集，因此可以類似地對(duì)這些較小的HSM進(jìn)行分析?？梢詫袳VITA全功能HSM稱為現(xiàn)代HSM。? ?

圖1 EVITA HSM架構(gòu) - 面向EVITA級(jí)別的全面架構(gòu)?

A. 現(xiàn)代HSM

一個(gè)典型的現(xiàn)代全功能HSM通常包括以下密碼學(xué)構(gòu)建模塊，如表1所示。

表1 對(duì)比現(xiàn)代HSMs和后量子安全HSMs所需的密碼塊（分別對(duì)應(yīng)中高安全級(jí)別）；SL=安全級(jí)別

●?SHA2-256，用作通用哈希函數(shù)，作為最初提出的WHIRLPOOL的替代品。 ●?(AES-128, all)，用于對(duì)稱密碼操作，包括密鑰生成、加密和解密，如第二節(jié)B所述，此模塊對(duì)于SecOC是必需的。 ●?TRNG，用作真隨機(jī)數(shù)生成器（TRNG）。數(shù)字熵從硬件的方差中收集，例如在基于環(huán)形振蕩器的TRNG中，數(shù)字環(huán)形振蕩器之間的抖動(dòng)被收集。 ●?(AES-128, enc)，用作偽隨機(jī)數(shù)生成器（PRNG）。此PRNG通常由TRNG進(jìn)行種子填充，并通過使用僅支持加密操作的AES引擎來擴(kuò)展隨機(jī)性。

●? ECC-256，用于非對(duì)稱密碼系統(tǒng)中的256位橢圓曲線算法。

一旦大型量子計(jì)算機(jī)可用，這樣的HSM就不再安全：由于Shor算法，ECC-256的安全性完全受到威脅，而SHA2-256、(AES-128, all)和(AES-128, enc)的安全性則因Grover算法而減半。為確保汽車HSM即使面對(duì)量子計(jì)算機(jī)也能保持安全，應(yīng)使用后量子安全的非對(duì)稱原語來替換ECC-256，同時(shí)使用安全性加倍的對(duì)稱原語和哈希函數(shù)。? ??

B. PQC HSMs

在后量子安全的HSM（PQC HSM）中，哈希函數(shù)和對(duì)稱密碼原語的選擇都旨在保持128位的安全性，以抵御量子計(jì)算機(jī)對(duì)中高安全級(jí)別的攻擊，從而更加保守。對(duì)于非對(duì)稱密碼原語，需要更激進(jìn)的變化：與現(xiàn)代HSM相比，構(gòu)建PQC HSM需要完全不同的加密塊。表1和圖2分別總結(jié)了針對(duì)中高安全級(jí)別提出的HSM解決方案。

圖2 PQC HSM架構(gòu) - 安全特定的加速器：藍(lán)色代表中等安全級(jí)別，紅色代表高安全級(jí)別。

以下是推薦用于PQC HSM的密碼塊：

●?SHA3-512，用作通用哈希函數(shù)。SHA3-512是NIST于2015年發(fā)布的SHA-3標(biāo)準(zhǔn)的一部分，其內(nèi)部結(jié)構(gòu)與SHA-2標(biāo)準(zhǔn)不同。SHA-3是更廣泛的密碼原語家族Keccak的子集，在其內(nèi)部結(jié)構(gòu)中使用了海綿構(gòu)造，而SHA-2則基于類似MD5的結(jié)構(gòu)。 ●?(AES-256, all)，用于對(duì)稱密碼通信。它與(AES-128, all)具有相同的目的，但安全性提高了一倍。

●?(AES-256, enc)，用于構(gòu)建偽隨機(jī)數(shù)生成器（PRNG）。

1、中等安全級(jí)別的PQC HSM：對(duì)于中等安全級(jí)別的PQC HSM，建議使用Dilithium作為簽名方案替代ECC-256，此外，還建議使用BIKE來支持可能需要在未來汽車HSM中使用的密鑰交換操作（KEM）。隨機(jī)性擴(kuò)展和多項(xiàng)式乘法是Dilithium中最計(jì)算密集的操作之一。因此，建議使用以下密碼塊來加速Dilithium： ●?Dilithium-Poly-Mul，一個(gè)基于數(shù)論變換（NTT）的多項(xiàng)式乘法器，支持Dilithium的安全參數(shù)，用于支持Dilithium中的多項(xiàng)式乘法操作。

●?(AES-256, enc)，需要一個(gè)支持加密功能的AES-256模塊，用于在基于AES的Dilithium實(shí)現(xiàn)中擴(kuò)展隨機(jī)性。在這種情況下，Dilithium和PRNG可以共享相同的(AES-256, enc)核心。

對(duì)于BIKE，由于多項(xiàng)式乘法是最昂貴的操作，設(shè)計(jì)了以下模塊：

●?BIKE-Poly-Mul，一個(gè)可用于加速BIKE中密集和稀疏多項(xiàng)式操作的多項(xiàng)式乘法器。

2、高安全級(jí)別的PQC HSM：高安全級(jí)別的PQC HSM，建議使用XMSS作為替換ECC-256的簽名方案，并推薦使用Kyber作為KEM方案。此外，還需要以下密碼核心： ●?Kyber-Poly-Mul，類似于Dilithium，需要一個(gè)專用的基于NTT的多項(xiàng)式乘法器來加速Kyber。需要注意的是，由于Kyber的安全參數(shù)與為Dilithium定義的安全參數(shù)不同，因此這兩種方案需要分別使用兩組不同的多項(xiàng)式乘法器。

●?SHAKE-256，選擇SHAKE-256作為構(gòu)建具有高安全級(jí)別的XMSS和Kyber的目標(biāo)。這也能夠在HSM中實(shí)現(xiàn)簽名和KEM方案之間的資源共享。??

評(píng)估和比較

下面詳細(xì)討論兩種推薦的具有中等和高安全級(jí)別的PQC HSM的性能和綜合結(jié)果。這些設(shè)計(jì)是針對(duì)Artix-7 FPGA平臺(tái)（型號(hào)XC7A200TFFG1156-3）進(jìn)行綜合的。另外還將提供PQC HSM的綜合結(jié)果與典型的現(xiàn)代HSM設(shè)計(jì)之間的比較。

A. 評(píng)估

在所有硬件加速器中，對(duì)標(biāo)準(zhǔn)塊的分析，即AES-128/256、ECC-256、SHA2-256、SHA3-512和TRNG，都是基于開源設(shè)計(jì)的，并且選擇的目標(biāo)是資源受限的嵌入式系統(tǒng)，同時(shí)保持相對(duì)良好的性能。例如，AES-128/256、SHA2-256都是基于分塊迭代計(jì)算的。所選的TRNG根據(jù)多個(gè)數(shù)字環(huán)形振蕩器之間的抖動(dòng)收集其數(shù)字熵源。這種真隨機(jī)性可以進(jìn)一步輸入到PRNG中以擴(kuò)展隨機(jī)性。Murus SoC被用作HSM內(nèi)部CPU的代表。它是一種基于RISC-V的開源處理器，資源使用非常小，但保持與ARM Coretex-M3處理器相當(dāng)?shù)男阅?。所有這些核心的選擇目標(biāo)是實(shí)現(xiàn)良好的時(shí)間-面積效率。

SHAKE-256是一種參數(shù)化設(shè)計(jì)，被提出作為基于格的方案的基礎(chǔ)構(gòu)建塊。該設(shè)計(jì)基于在中提出的面積高效的SHAKE模塊。在SHAKE核心中，可以在綜合時(shí)靈活選擇并行切片的數(shù)量，以實(shí)現(xiàn)面積和性能之間的權(quán)衡。在我們的工作中，總共使用了16個(gè)并行切片。

BIKE-Poly-Mul是一個(gè)參數(shù)化和常數(shù)時(shí)間的多項(xiàng)式乘法器，作為BIKE最先進(jìn)的硬件實(shí)現(xiàn)中的一個(gè)構(gòu)建塊呈現(xiàn)。根據(jù)用戶的應(yīng)用需求，計(jì)算數(shù)據(jù)塊的大小可以通過在綜合時(shí)使用性能參數(shù)來調(diào)整，以實(shí)現(xiàn)時(shí)間和面積之間的權(quán)衡。在我們的分析中，如表2所示，我們選擇數(shù)據(jù)塊大小為32。? ?

表2使用Vivado 2018.3為Arix-7 FPGA合成的硬件加速器的性能結(jié)果

Dilithium-Poly-Mul和Kyber-Poly-Mul都是基于參數(shù)化和流水線化的NTT（Number Theoretic Transform）多項(xiàng)式乘法器設(shè)計(jì)進(jìn)行分析的，該設(shè)計(jì)包含在文獻(xiàn)中，用于加速基于格的方案。在我們的工作中，我們分別使用Dilithium（中等）和Kyber（高）的安全參數(shù)對(duì)設(shè)計(jì)進(jìn)行了綜合。

B. 合成結(jié)果比較：現(xiàn)代HSM vs PQC HSMs

如表2所示，三種HSM配置的總區(qū)域使用情況：現(xiàn)代HSM、中等安全級(jí)別的PQC HSM和高安全級(jí)別的PQC HSM。與現(xiàn)代HSM相比，中等安全級(jí)別的PQC HSM實(shí)現(xiàn)了類似的區(qū)域利用率，而對(duì)于針對(duì)高安全級(jí)別的PQC HSM，在區(qū)域使用方面引入了較小的開銷，例如在LUT使用方面，有大約13%的開銷。從表中可以看出，在內(nèi)存和DSP利用率方面，兩種PQC HSM配置實(shí)際上都更輕量級(jí)，因?yàn)镋CC-256非對(duì)稱加密核心這種對(duì)內(nèi)存和DSP密集型的組件被從HSM架構(gòu)中移除了。

需要注意的是，分析沒有考慮通常存在于典型嵌入式系統(tǒng)中的額外區(qū)域開銷，例如接口通信邏輯、內(nèi)存控制器邏輯、頂級(jí)控制器邏輯等。此外，值得一提的是，由于這些密碼核心的區(qū)域度量是具體實(shí)現(xiàn)相關(guān)的，因此可以應(yīng)用不同的優(yōu)化方法來調(diào)整實(shí)際HSM實(shí)現(xiàn)的性能結(jié)果。

研究旨在探索設(shè)計(jì)一種適用于典型汽車用例的時(shí)間-區(qū)域高效HSM以抵御大規(guī)模量子計(jì)算機(jī)攻擊的可行性?；谝陨戏治?，可以得出結(jié)論，設(shè)計(jì)具有中等和高安全級(jí)別的PQC HSM的硬件架構(gòu)是可行的，而不會(huì)承受較大的區(qū)域開銷。? ?? ? ?? ?

結(jié)論

本文首次對(duì)設(shè)計(jì)用于汽車應(yīng)用場景的后量子安全HSM進(jìn)行了分析。首先分析了汽車HSM的典型應(yīng)用場景，然后根據(jù)這些應(yīng)用場景的內(nèi)存約束和性能要求，推薦了簽名和密鑰交換方案。進(jìn)一步對(duì)這些方案的參考軟件實(shí)現(xiàn)進(jìn)行了性能分析，并根據(jù)分析結(jié)果，分別針對(duì)中高安全級(jí)別推薦了新的硬件加速器集成到PQC HSM中。PQC HSM與現(xiàn)代HSM的評(píng)估結(jié)果顯示，通過使用后量子算法來確保安全性，而不需要過多的面積開銷來設(shè)計(jì)密碼硬件加速器，汽車HSM可以保持未來的可擴(kuò)展性。后量子安全HSM作為軟硬件協(xié)同設(shè)計(jì)的可行性，特別是在面積開銷方面。為了更好地理解后量子安全HSM的實(shí)際硬件實(shí)現(xiàn)，性能指標(biāo)的分析也非常重要。因此，有必要在真實(shí)硬件上構(gòu)建一個(gè)后量子安全HSM的原型，并進(jìn)一步分析這些HSM的性能和面積指標(biāo)。? ?

? ?編輯：黃飛

?