博士Review | 博士创『芯』说第十八期—朱益宏：可重构后量子密码芯片设计

原创跨学科交叉融合的未来芯片技术高精尖创新中心 2022-05-06 17:11

ISSCC 2022特别篇第四场

4月29日上午，博士创『芯』说第十八期——【ISSCC 2022 特别篇】的第四场在线上与大家见面。清华大学集成电路学院朱益宏博士受邀作题为“可重构后量子密码芯片设计”的报告。报告由腾讯会议与蔻享学术平台同时直播。在问答环节，主讲嘉宾与线上的老师同学们针对“硬件可重构加密算法切换”、“芯片能量效率提高”等问题进行了热烈地讨论。

为丰富学习渠道，扩展学习深度与维度，朱益宏博士应邀为本期报告作文字版详细评述，并于文末附上精彩问答集锦、博士推荐阅读与报告视频回放。让我们通过文字与视频，与朱益宏博士一起重温第十八期的精彩报告吧！

报告脉络导图

背景介绍与主要内容

随着量子计算机和量子算法的不断发展，以大数分解和离散对数等数学难题为基础的传统公钥密码机制RSA、ECC的安全性受到挑战。在此背景下，后量子密码的概念被提出用于取代传统的公钥密码。然而，后量子密码具有数学困难问题多种多样、计算复杂度高、密钥尺寸大等特点，给硬件加速实现带来了挑战。特别是以不同数学困难问题为基础的多种后量子算法可能共存以应对潜在攻击。针对以上问题，我们提出了分层的执行框架，将目标算法拆解成不同层次的计算任务。本报告将通过我们发表在ISSCC2022的首款支持不同数学困难问题后量子算法的芯片RePQC，分享我们对可重构后量子密码芯片的思考与展望。

为应对量子计算时代的到来，美国国家标准与技术研究院NIST、中国密码学会都启动了后量子密码的竞赛，开启了后量子密码标准化的进程。常见的后量子算法目前包含格基、纠错码、多变量、哈希、超奇异同源等不同类型数学困难问题。目前NIST的后量子竞赛已经进展到第三轮，并有望近期进入下一轮，进一步接近标准化。

本工作以“A 28nm 48KOPS 3.4µJ/Op Agile Crypto-Processor for Post-Quantum Cryptography on Multi-Mathematical Problems“为题发表在ISSCC‘2022[1]上。后量子密码硬件的设计近期成为学术界的一个热点，学术界中已经存在了面向不同后量子算法的密码硬件。然而，目前的后量子密码硬件都只局限在一种或一类后量子算法上，固定的架构设计限制了应用的灵活性，无法适应未来多种后量子算法共存的实际情况。针对以上问题，我们提出了分层的执行框架，将多种不同类型的后量子算法拆解成算法、任务和基本算子多层计算，充分提高硬件的利用率，并对常见的密码任务进行优化，兼顾吞吐、能效灵活性，设计出了首款支持不同数学困难问题的芯片RePQC。该芯片支持基于格基、纠错码、多变量等数学困难问题的后量子算法，以期满足未来的密码任务需求。如图中所示，RePQC芯片在TSMC 28nm工艺上成功流片，对于Kyber-512算法可实现48KOPS的吞吐和3.4uJ的能效。

博士推荐阅读

参考文献及相关阅读材料

[1] Y. Zhu et al., "A 28nm 48KOPS 3.4µJ/Op Agile Crypto-Processor for Post-Quantum Cryptography on Multi-Mathematical Problems," 2022 IEEE International Solid-State Circuits Conference (ISSCC), 2022, pp. 514-516,doi: 10.1109/ISSCC42614.2022.9731783.

[2] Y. Zhu et al., "LWRpro: An Energy-Efficient Configurable Crypto-Processor for Module-LWR," in IEEE Transactions on Circuits and Systems I: Regular Papers, vol. 68, no. 3, pp. 1146-1159, March 2021, doi: 10.1109/TCSI.2020.3048395.

[3] U. Banerjee, A. Pathak and A. P. Chandrakasan, "2.3 An Energy-Efficient Configurable Lattice Cryptography Processor for the Quantum-Secure Internet of Things," 2019 IEEE International Solid-State Circuits Conference - (ISSCC), 2019, pp. 46-48, doi: 10.1109/ISSCC.2019.8662528.

精彩问答集锦

Q1. PQC在22年、23年就要标准化了，在已经快要标准化的情况下，科研方面还有什么可以做的？

A1. 首先我们可以发现标准化过程在不断往后延迟，比如原计划到今年3月底公布的第四轮标准化的结果到现在也没公布，所以我觉得标准化还有一定的路程要走。另外，不同后量子密码算法面向不同场景应用的硬件实现及抗侧信道攻击研究都是可以值得去更多思考的方向；另外同时兼容经典公钥密码与后量子密码的密码的敏捷性要求是密码硬件很重要的属性，因此在芯片架构及电路设计优化上需要取得一定的突破。

Q2. 您提到的硬件可重构指的是它可以在不同加密算法之间切换，请问具体它是如何实现切换的？是由类似软件指令的方式去控制它吗？

A2. 是的，我们现在做的工作中就有一部分来负责这个工作，它可以被称为指令或者配置信息，可以实现对加密算法的映射。如果要在不同加密算法之间切换的话，我们就需要重新去下载一次这个配置信息，把原来的配置信息覆盖掉，从而切换到新的加密算法上，所以我们目前还不支持运行时直接切换。

Q3. 这里的运算都是整型的吗？有没有浮点运算？

A3. 是的，我们的工作支持的6种加密算法都是基于整型的。实际上，大部分PQC算法都是基于整型的，当然，学术上也有过一些工作讨论了基于浮点型的PQC，但这些基于浮点型的PQC比较小众，在实际的部署中可能会遇到一些问题，标准化的时候可能会考虑这一点。

Q4. 请问具体应该如何提高芯片能量效率的？

A4. 一个是采取了一些向量化的并行措施，把很多原来由CPU进行的标量运算拿出来，从而提高一部分能量效率；再者就是我们刚才讲到的关于任务算子的优化，这样是可以减少一些不必要的操作的，也可以提高一部分能量效率。

报告

视频回放