近日，華中科技大學(xué)集成電路學(xué)院劉冬生教授團(tuán)隊(duì)在后量子密碼芯片領(lǐng)域的最新研究成果以“A 40nm 1.26μJ/Op Energy-Efficient CRYSTALS-KYBER Post-Quantum Crypto-Processor with Comprehensive Side Channel Security Analysis and Countermeasures”為題，發(fā)表在于美國(guó)科羅拉多州丹佛舉行的集成電路設(shè)計(jì)頂會(huì)之一IEEE定制集成電路大會(huì)（CICC 2024）。集成電路學(xué)院劉冬生教授為論文通訊作者，集成電路學(xué)院博士生李?yuàn)W博為論文第一作者，華中科技大學(xué)集成電路學(xué)院為論文第一完成單位。

后量子密碼學(xué)（Post-Quantum Cryptography, PQC）全球遷移正在加速，隨著2023年P(guān)QC FIPS信息處理標(biāo)準(zhǔn)的三個(gè)草案的發(fā)布，其中Kyber是唯一正式選定的關(guān)鍵密鑰封裝機(jī)制（KEM）。然而，從傳統(tǒng)密碼學(xué)到PQC的遷移仍面臨以下三個(gè)挑戰(zhàn)：

1) 密鑰大小和加解密延遲的顯著增加導(dǎo)致現(xiàn)有信息設(shè)備的性能下降和資源開(kāi)銷(xiāo)增大。此外，未經(jīng)授權(quán)的訪(fǎng)問(wèn)也引發(fā)了隱私問(wèn)題；

2) 更復(fù)雜的計(jì)算和調(diào)度，以及潛在的效率問(wèn)題；

3) 側(cè)信道攻擊（SCA）的風(fēng)險(xiǎn)以及PQC硬件面臨的保護(hù)要求提升。

本文提出了一種高能效Kyber后量子密碼處理器芯片，該芯片架構(gòu)包括控制和交互頂層模塊、多數(shù)據(jù)生成器、多項(xiàng)式算術(shù)矩陣和兩個(gè)物理隔離的存儲(chǔ)器?？刂破饔糜谔幚硇酒瑑?nèi)外的指令和數(shù)據(jù)交互。它統(tǒng)一調(diào)度數(shù)據(jù)生成和多項(xiàng)式計(jì)算。所有Kyber的加密過(guò)程均由控制器安排。自定義指令增強(qiáng)了靈活性，并為Kyber的不同安全級(jí)別操作提供了更好的重用性。兩級(jí)級(jí)聯(lián)的Keccak核心和兩個(gè)采樣器構(gòu)成數(shù)據(jù)生成的關(guān)鍵電路。循環(huán)連接和內(nèi)部狀態(tài)寄存器的復(fù)用帶來(lái)了較低的開(kāi)銷(xiāo)。并行的二項(xiàng)式采樣器和拒絕采樣器能夠從連續(xù)的隨機(jī)比特流中產(chǎn)生特定的系數(shù)分布。四個(gè)哈希函數(shù)結(jié)合狀態(tài)跳轉(zhuǎn)和截?cái)?，將產(chǎn)生摘要和HMAC。使用八個(gè)可重配置算術(shù)單元（RAU）加速Kyber中多項(xiàng)式的計(jì)算，包括數(shù)論變換（NTT）和逆NTT（INTT）、點(diǎn)乘、壓縮和解壓。兩個(gè)獨(dú)立的SRAM分別是安全RAM（6KB）和公共RAM（3KB）。所有數(shù)據(jù)只能通過(guò)總線(xiàn)交換，保證數(shù)據(jù)安全性。

40nm工藝下處理器面積僅0.43mm2，工作電壓范圍為0.65V@10MHz至1.2V@180MHz，支持Kyber的三種安全級(jí)別的密鑰生成、封裝和解封。該芯片消耗總共302k等效門(mén)數(shù)，使用9KB內(nèi)存。單個(gè)完整的Kyber方案只需1.26μJ/Op，這是當(dāng)前最先進(jìn)的后量子密碼芯片中效率最高指標(biāo)。