谷歌全新量子计算芯片Willow带来的挑战

[ 背景 ]

近期Google宣布了其全新的量子计算芯片Willow。这款芯片在不到5分钟完成一项标准计算，而如今最快的超级计算机完成同样的任务，足足要花费超过10²⁵ 年的时间。Willow不仅拥有105个量子比特，还在量子纠错和随机电路采样方面表现出色，进一步展示了量子计算的巨大潜力。

随着量子计算的发展，RSA 和 ECC 等传统加密算法的安全性越来越受到威胁。虽然能够破解这些算法的量子计算机尚未成为现实，但未来量子攻击的可能性已促成了抗量子加密(也称为后量子加密 (PQC，Post-Quantum Cryptography))的发展。各国政府和领先的科技公司已经开始将 PQC 集成到他们的系统中，用来抵御当前和未来的安全威胁。

去年3月苹果公司宣布将后量子加密技术整合到iMessage中，这凸显了采用抗量子计算加密方法的紧迫性和重要性。我们正在进入一个量子计算威胁到当前加密协议安全性的时代，特别是围绕“现在获取，以后解密”(HNDL，harvest now, decrypt later)的攻击：使用当前存储通信数据的能力获取尽可能多的密文，一旦将来有了功能齐全的量子计算机就能实现破解。对于可以被物理攻击的嵌入式系统，我们甚至需要更进一步：抗硬件攻击的PQC。苹果的这一声明为讨论实现后量子加密算法的挑战提供了机会。

有趣的是，侧信道或故障注入攻击并没有在声明中提到。对于消息传递应用程序来说，这是有道理的，因为硬件攻击是本地化的，而设备本地攻击不会针对通信协议。然而，还有其他与本地攻击相关的目标。

[ 嵌入式系统中PQC的需求与挑战 ]

以普通的嵌入式SoC为例。它带有信任根，通常在运行系统代码之前使用椭圆曲线加密算法(ECC)对其进行身份验证。使用量子计算机，只要知道公钥，就可以破解ECC私钥。这会导致绕过代码身份验证，允许攻击者在系统上运行任意代码，并绕过任何本地安全控制。

现在假设我们将在5-10年内拥有量子计算。嵌入式系统，作为从汽车到物联网设备的无数应用中不可或缺的一部分，由于其使用寿命长(例如汽车行业长达20年)并且容易受到物理攻击，因此将面临相关风险。

在嵌入式系统中实现PQC带来了新的挑战。这些系统通常在有限的处理能力、内存和功耗下运行，这些限制在ASIC芯片和软件实现中都被放大了。此外，潜在的侧信道和故障注入攻击要求PQC在设计时就要考虑到这些漏洞。

[ 嵌入式系统中PQC的现状 ]

许多嵌入式系统的不可更新特性，例如实现信任根的不可修改ROM代码，突出了今天纳入PQC考量的紧迫性。然而，PQC作为相对新的算法(去年SIKE算法被破解就说明了这一点)，需要格外谨慎对待。将ECC和PQC结合在一起的“皮带和吊带”方法，就像在苹果的iMessage协议中呈现的那样，成为一种实用的临时解决方案。这并非没有风险：我们从经验中知道，代码越多意味着越多的FI故障注入攻击机会，如果ECC被QC量子计算破坏，我们仍然需要PQC可以抵抗本地攻击。

然而，由于嵌入式设备的功能和性能限制，组合多种算法可能并不总是可行的。随着该领域的发展，验证PQC实现中的SCA和FI抵御能力的需求在客户中越来越普遍，特别是当他们寻求安全性和性能之间的平衡时。

[ 最佳实践 ]

随着PQC的不断发展，坚持最新的对策研究，避免盲目地采用没有SCA和FI保护的开源“vanilla”是至关重要的。未来发展的方向包括为某些PQC算法可能被破坏做好准备，这需要一种加密灵活性策略，以迁移到加密算法的替代解决方案或减轻被破坏的嵌入式系统的影响。随着认证方案的发展，逐步淘汰过时或被破解的算法，这种方法将成为不可缺的一部分。

[ 结论 ]

嵌入式系统中集成抗侧信道攻击和抗故障注入的后量子密码算法不仅是技术上的需要，更是防御量子计算和物理攻击双重威胁的战略需要。Keysight Riscure已经并且将持续开发分析模块，以确保PQC实现在硅前模拟和硅后测试中的韧性。研究人员和工程师需要共同努力，建立(和打破)对策，平衡安全性和可用性，以应对安全挑战并确保嵌入式系统的未来。

Keysight Riscure推出的Inspector 2023.3 版本率先采用 Crystals-Dilithium 进行后量子密码学研究，集成了模拟、piñata实现和一阶 CPA 攻击等突破性组件。它使设备和芯片供应商能够在设计周期中识别和修复硬件漏洞。Keysight Riscure 是您在后量子加密转型中的合作伙伴。

在本白皮书中，我们探讨了嵌入式设备和物联网中采用 PQC 的挑战，研究了 PQC 标准化的最新发展，并根据性能和资源要求比较了各种算法，强调了安全实现对于防范潜在漏洞的重要性。

关于Riscure

自2001年成立以来，Riscure一直是全球硬件安全的先驱和技术领导者。我们拥有超过20年的行业经验，客户遍及科技企业、政府部门、科研院所、高校、汽车、航空航天等领域。Riscure为国内外客户提供专业的侧信道、故障注入、硅前(RTL)安全仿真测试等工具、培训和安全认证、测评及咨询服务。 2024年3月， Keysight收购Riscure。Keysight将和Riscure一起，基于丰富的安全产品和应用，为业界提供更有效的测试解决方案。

关于是德科技

是德科技(NYSE：KEYS)启迪并赋能创新者，助力他们将改变世界的技术带入生活。作为一家标准普尔 500 指数公司，我们提供先进的设计、仿真和测试解决方案，旨在帮助工程师在整个产品生命周期中更快地完成开发和部署，同时控制好风险。我们的客户遍及全球通信、工业自动化、航空航天与国防、汽车、半导体和通用电子等市场。我们与客户携手，加速创新，创造一个安全互联的世界。