[ 背景 ]

近期Google宣布了其全新的量子計(jì)算芯片Willow。這款芯片在不到5分鐘完成一項(xiàng)標(biāo)準(zhǔn)計(jì)算，而如今最快的超級(jí)計(jì)算機(jī)完成同樣的任務(wù)，足足要花費(fèi)超過102? 年的時(shí)間。Willow不僅擁有105個(gè)量子比特，還在量子糾錯(cuò)和隨機(jī)電路采樣方面表現(xiàn)出色，進(jìn)一步展示了量子計(jì)算的巨大潛力。

隨著量子計(jì)算的發(fā)展，RSA 和 ECC 等傳統(tǒng)加密算法的安全性越來越受到威脅。雖然能夠破解這些算法的量子計(jì)算機(jī)尚未成為現(xiàn)實(shí)，但未來量子攻擊的可能性已促成了抗量子加密(也稱為后量子加密 (PQC，Post-Quantum Cryptography))的發(fā)展。各國(guó)政府和領(lǐng)先的科技公司已經(jīng)開始將 PQC 集成到他們的系統(tǒng)中，用來抵御當(dāng)前和未來的安全威脅。

去年3月蘋果公司宣布將后量子加密技術(shù)整合到iMessage中，這凸顯了采用抗量子計(jì)算加密方法的緊迫性和重要性。我們正在進(jìn)入一個(gè)量子計(jì)算威脅到當(dāng)前加密協(xié)議安全性的時(shí)代，特別是圍繞“現(xiàn)在獲取，以后解密”(HNDL，harvest now, decrypt later)的攻擊：使用當(dāng)前存儲(chǔ)通信數(shù)據(jù)的能力獲取盡可能多的密文，一旦將來有了功能齊全的量子計(jì)算機(jī)就能實(shí)現(xiàn)破解。對(duì)于可以被物理攻擊的嵌入式系統(tǒng)，我們甚至需要更進(jìn)一步：抗硬件攻擊的PQC。蘋果的這一聲明為討論實(shí)現(xiàn)后量子加密算法的挑戰(zhàn)提供了機(jī)會(huì)。

有趣的是，側(cè)信道或故障注入攻擊并沒有在聲明中提到。對(duì)于消息傳遞應(yīng)用程序來說，這是有道理的，因?yàn)橛布羰潜镜鼗模O(shè)備本地攻擊不會(huì)針對(duì)通信協(xié)議。然而，還有其他與本地攻擊相關(guān)的目標(biāo)。

[ 嵌入式系統(tǒng)中PQC的需求與挑戰(zhàn) ]

以普通的嵌入式SoC為例。它帶有信任根，通常在運(yùn)行系統(tǒng)代碼之前使用橢圓曲線加密算法(ECC)對(duì)其進(jìn)行身份驗(yàn)證。使用量子計(jì)算機(jī)，只要知道公鑰，就可以破解ECC私鑰。這會(huì)導(dǎo)致繞過代碼身份驗(yàn)證，允許攻擊者在系統(tǒng)上運(yùn)行任意代碼，并繞過任何本地安全控制。

現(xiàn)在假設(shè)我們將在5-10年內(nèi)擁有量子計(jì)算。嵌入式系統(tǒng)，作為從汽車到物聯(lián)網(wǎng)設(shè)備的無數(shù)應(yīng)用中不可或缺的一部分，由于其使用壽命長(zhǎng)(例如汽車行業(yè)長(zhǎng)達(dá)20年)并且容易受到物理攻擊，因此將面臨相關(guān)風(fēng)險(xiǎn)。

在嵌入式系統(tǒng)中實(shí)現(xiàn)PQC帶來了新的挑戰(zhàn)。這些系統(tǒng)通常在有限的處理能力、內(nèi)存和功耗下運(yùn)行，這些限制在ASIC芯片和軟件實(shí)現(xiàn)中都被放大了。此外，潛在的側(cè)信道和故障注入攻擊要求PQC在設(shè)計(jì)時(shí)就要考慮到這些漏洞。

[ 嵌入式系統(tǒng)中PQC的現(xiàn)狀 ]

許多嵌入式系統(tǒng)的不可更新特性，例如實(shí)現(xiàn)信任根的不可修改ROM代碼，突出了今天納入PQC考量的緊迫性。然而，PQC作為相對(duì)新的算法(去年SIKE算法被破解就說明了這一點(diǎn))，需要格外謹(jǐn)慎對(duì)待。將ECC和PQC結(jié)合在一起的“皮帶和吊帶”方法，就像在蘋果的iMessage協(xié)議中呈現(xiàn)的那樣，成為一種實(shí)用的臨時(shí)解決方案。這并非沒有風(fēng)險(xiǎn)：我們從經(jīng)驗(yàn)中知道，代碼越多意味著越多的FI故障注入攻擊機(jī)會(huì)，如果ECC被QC量子計(jì)算破壞，我們?nèi)匀恍枰狿QC可以抵抗本地攻擊。

然而，由于嵌入式設(shè)備的功能和性能限制，組合多種算法可能并不總是可行的。隨著該領(lǐng)域的發(fā)展，驗(yàn)證PQC實(shí)現(xiàn)中的SCA和FI抵御能力的需求在客戶中越來越普遍，特別是當(dāng)他們尋求安全性和性能之間的平衡時(shí)。

[ 最佳實(shí)踐 ]

隨著PQC的不斷發(fā)展，堅(jiān)持最新的對(duì)策研究，避免盲目地采用沒有SCA和FI保護(hù)的開源“vanilla”是至關(guān)重要的。未來發(fā)展的方向包括為某些PQC算法可能被破壞做好準(zhǔn)備，這需要一種加密靈活性策略，以遷移到加密算法的替代解決方案或減輕被破壞的嵌入式系統(tǒng)的影響。隨著認(rèn)證方案的發(fā)展，逐步淘汰過時(shí)或被破解的算法，這種方法將成為不可缺的一部分。

[ 結(jié)論 ]

嵌入式系統(tǒng)中集成抗側(cè)信道攻擊和抗故障注入的后量子密碼算法不僅是技術(shù)上的需要，更是防御量子計(jì)算和物理攻擊雙重威脅的戰(zhàn)略需要。Keysight Riscure已經(jīng)并且將持續(xù)開發(fā)分析模塊，以確保PQC實(shí)現(xiàn)在硅前模擬和硅后測(cè)試中的韌性。研究人員和工程師需要共同努力，建立(和打破)對(duì)策，平衡安全性和可用性，以應(yīng)對(duì)安全挑戰(zhàn)并確保嵌入式系統(tǒng)的未來。

Keysight Riscure推出的Inspector 2023.3 版本率先采用 Crystals-Dilithium 進(jìn)行后量子密碼學(xué)研究，集成了模擬、pi?ata實(shí)現(xiàn)和一階 CPA 攻擊等突破性組件。它使設(shè)備和芯片供應(yīng)商能夠在設(shè)計(jì)周期中識(shí)別和修復(fù)硬件漏洞。Keysight Riscure 是您在后量子加密轉(zhuǎn)型中的合作伙伴。

在本白皮書中，我們探討了嵌入式設(shè)備和物聯(lián)網(wǎng)中采用 PQC 的挑戰(zhàn)，研究了 PQC 標(biāo)準(zhǔn)化的最新發(fā)展，并根據(jù)性能和資源要求比較了各種算法，強(qiáng)調(diào)了安全實(shí)現(xiàn)對(duì)于防范潛在漏洞的重要性。

關(guān)于Riscure

自2001年成立以來，Riscure一直是全球硬件安全的先驅(qū)和技術(shù)領(lǐng)導(dǎo)者。我們擁有超過20年的行業(yè)經(jīng)驗(yàn)，客戶遍及科技企業(yè)、政府部門、科研院所、高校、汽車、航空航天等領(lǐng)域。Riscure為國(guó)內(nèi)外客戶提供專業(yè)的側(cè)信道、故障注入、硅前(RTL)安全仿真測(cè)試等工具、培訓(xùn)和安全認(rèn)證、測(cè)評(píng)及咨詢服務(wù)。 2024年3月， Keysight收購(gòu)Riscure。Keysight將和Riscure一起，基于豐富的安全產(chǎn)品和應(yīng)用，為業(yè)界提供更有效的測(cè)試解決方案。

關(guān)于是德科技

是德科技(NYSE：KEYS)啟迪并賦能創(chuàng)新者，助力他們將改變世界的技術(shù)帶入生活。作為一家標(biāo)準(zhǔn)普爾 500 指數(shù)公司，我們提供先進(jìn)的設(shè)計(jì)、仿真和測(cè)試解決方案，旨在幫助工程師在整個(gè)產(chǎn)品生命周期中更快地完成開發(fā)和部署，同時(shí)控制好風(fēng)險(xiǎn)。我們的客戶遍及全球通信、工業(yè)自動(dòng)化、航空航天與國(guó)防、汽車、半導(dǎo)體和通用電子等市場(chǎng)。我們與客戶攜手，加速創(chuàng)新，創(chuàng)造一個(gè)安全互聯(lián)的世界。