Comparative Performance Analysis of NIST PQC Standards: From STM32 Software Limitations to FPGA-SoC Acceleration

Diese Arbeit zeigt auf, dass während NIST-standardisierte Post-Quanten-Signaturverfahren wie SPHINCS+ und Dilithium aufgrund schwerwiegender Leistungs- und Speicherbeschränkungen für ressourcenbeschränkte ARM Cortex-M4-Mikrocontroller unpraktikabel sind, ein Hardware-Software-Co-Design-Ansatz unter Verwendung eines FPGA-beschleunigten NTT-Kerns auf einem Zynq-7000-SoC eine effiziente Ausführung im Millisekundenbereich ermöglicht, die für quantenresistente eingebettete Systeme geeignet ist.

Das Wesentliche

Stellen Sie sich die Welt der digitalen Sicherheit als einen riesigen Tresor vor. Seit Jahrzehnten sind die Schlösser an diesem Tresor (wie RSA und ECC) unglaublich stark, aber eine neue Art von Dieb taucht auf: der Quantencomputer. Dieser Dieb besitzt einen Generalschlüssel, mit dem er diese alten Schlösser in Sekundenschnelle knacken kann. Um dies zu verhindern, haben Wissenschaftler beim NIST (der US-Standardisierungsstelle) neue, superkomplexe Schlösser namens Post-Quantum-Kryptographie (PQC) entwickelt.

Dieses Papier ist ein Zeugnis darüber, wie versucht wurde, diese neuen, hochfesten Schlösser an zwei sehr unterschiedlichen „Türrahmen“ zu installieren: einem kleinen, budgetfreundlichen Mikrocontroller (wie dem Gehirn in einem smarten Thermostat) und einem leistungsstarken, hochtechnologischen Computerchip (wie dem Gehirn in einem modernen Server oder einer fortschrittlichen Drohne).

Hier ist die Aufschlüsselung ihres Experiments unter Verwendung einfacher Analogien:

1. Die zwei neuen Schlösser

Die Forscher testeten zwei spezifische Arten von neuen Schlössern:

• Dilithium (Das mathematische Rätsel): Dieses Schloss basiert auf komplexer Gittermathematik. Es ist wie der Versuch, ein riesiges, mehrdimensionales Puzzle zu lösen, bei dem die Teile riesige Polynome sind. Es benötigt viel Arbeitsraum (Speicher), um alle Teile festzuhalten, während man sie löst.
• SPHINCS+ (Der Hash-Baum): Dieses Schloss basiert auf Hashing (Datenverschlüsselung). Es ist wie der Bau eines massiven Baumes, bei dem jeder Ast eine winzige Signatur ist. Um eine Nachricht zu signieren, muss man tausende Male diesen Baum hoch- und runterklettern und dabei bei jedem Schritt schwere Arbeit (Hashing) leisten.

2. Der erste Versuch: Die „kleine Werkstatt“ (STM32 Mikrocontroller)

Die Forscher versuchten zuerst, diese Schlösser auf einem Standard-Chip namens STM32 zu installieren. Betrachten Sie diesen Chip als eine kleine, einräumige Werkstatt mit einer sehr kleinen Werkbank (192 KB Speicher) und einem einzigen, langsamen Arbeiter.

• Das Scheitern von Dilithium: Als sie versuchten, das „mathematische Rätsel“ in diese winzige Werkstatt zu bringen, waren die Puzzleteile einfach zu groß. Der Arbeiter versuchte, sie auf der Werkbank auszulegen, aber die Bank war zu klein. Der Kopf des Arbeiters stieß gegen die Decke und das gesamte System stürzte ab. In technischen Begriffen lief dem Chip der Speicher aus (Stack Overflow) sofort aus.
• Das Scheitern von SPHINCS+: Der „Hash-Baum“ brachte die Werkstatt zwar nicht zum Absturz, aber er war quälend langsam. Da der Arbeiter den Baum tausende Male ohne Hilfe hoch- und runterklettern musste, dauerte es etwa 10 Minuten, um nur eine einzige Nachricht zu signieren. Bis sie versuchten, die Signatur zu verifizieren, gab das System bereits ganz auf. Es war zu langsam, um im echten Leben nützlich zu sein.

Die Lektion: Diese neuen quantensicheren Schlösser auf einem Standard-Mikrocontroller auszuführen, ist so, als würde man versuchen, einen Wolkenkratzer in einem Gartenschuppen zu bauen. Er hat einfach weder den Platz noch die Geschwindigkeit.

3. Der zweite Versuch: Die „Super-Fabrik“ (FPGA-SoC)

Als die Forscher erkannten, dass die winzige Werkstatt die Aufgabe nicht bewältigen konnte, wechselten sie zu einem Zynq-7000 SoC. Betrachten Sie dies als eine massive, hochtechnologische Fabrik, die aus zwei verschiedenen Teilen besteht, die zusammenarbeiten:

• Der Manager (Processor System): Ein Standard-Computergehirn, das die Papierarbeit erledigt, die Nachrichten organisiert und den Arbeitern sagt, was sie tun sollen.
• Die spezialisierten Roboter (FPGA Fabric): Ein kundenspezifischer Bereich, in dem man spezielle Maschinen bauen kann, die genau für diese Aufgabe konzipiert sind.

Die Lösung: Hardware-Software-Co-Design
Anstatt den Manager die schwere Arbeit verrichten zu lassen, bauten sie spezielle Roboter (Beschleuniger) in die Fabrik ein, um die schwere Mathematik zu erledigen:

• Sie bauten einen Roboter speziell für das „mathematische Rätsel“ (NTT), um die Polynome augenblicklich zu drehen.
• Sie bauten einen weiteren Roboter speziell für den „Hash-Baum“ (Keccak), um Daten mit blitzartiger Geschwindigkeit zu verschlüsseln.

Das Ergebnis:

• Der Manager übergab einfach die Daten an die Roboter.
• Die Roboter erledigten die schwere Arbeit parallel (alles gleichzeitig).
• Die Ergebnisse kamen in Millisekunden zurück statt in Minuten.
  • Schlüsselerzeugung: ~1 Millisekunde.
  • Signierung: ~6 Millisekunden.

Das Fazit

Das Papier kommt zu dem Schluss, dass die „kleine Werkstatt“ (Standard-Mikrocontroller) zwar gut für einfache Aufgaben ist, aber völlig unvorbereitet auf die schwere Mathematik ist, die für die zukünftige quantensichere Sicherheit erforderlich ist.

Um diese neuen Schlösser in der realen Welt zum Laufen zu bringen, können Sie sich nicht nur auf Software verlassen; Sie benötigen ein Hardware-Software-Co-Design. Sie benötigen ein System, in dem ein Standard-Computergehirn den Prozess verwaltet, aber spezialisierte Hardware-Roboter (FPGAs) die schwere Arbeit verrichten. Ohsten Sie nicht diese spezialisierten Roboter, sind die neuen Schlösser zu langsam oder zu groß, um auf Alltagsgeräten verwendet zu werden.

Technische Zusammenfassung

Technische Zusammenfassung: Vergleichende Leistungsanalyse von NIST PQC-Standards auf eingebetteter Hardware

Problemstellung
Das Aufkommen großskaliger Quantencomputer bedroht die aktuelle Infrastruktur der öffentlichen Schlüsselkryptografie, insbesondere RSA und ECC, die durch den Shor-Algorithmus anfällig sind. Dies macht einen Übergang zur Post-Quanten-Kryptografie (PQC) erforderlich, der von den NIST-Standardisierungsbemühungen geleitet wird. Es besteht jedoch eine signifikante Lücke zwischen der mathematischen Komplexität dieser neuen Standards und den Fähigkeiten ressourcenbeschränkter eingebetteter Systeme. Diese Arbeit untersucht die Machbarkeit der Implementierung zweier NIST-standardisierter Signaturverfahren – CRYSTALS-Dilithium (gitterbasiert) und SPHINCS+ (hashbasiert) – auf Standard-Mikrocontrollern. Die Studie hebt hervor, dass die hochgradigen Polynommultiplikationen, die für Dilithium erforderlich sind, sowie die Hypertree-Strukturen von SPHINCS+ Rechen- und Speicherengpässe erzeugen, welche die Kapazitäten allgemeiner Mikrocontroller wie den ARM Cortex-M4 überschreiten.

Methodik
Die Forschung verwendete einen dualen experimentellen Ansatz, um die Leistung über verschiedene Hardware-Architekturen hinweg zu bewerten:

1. Software-only-Baseline (STM32F407G):

   • Plattform: STM32F407G-DISC1 Board mit einem 32-Bit ARM Cortex-M4 Kern (168 MHz) mit 192 KB SRAM und 1 MB Flash.
   • Ansatz: Referenzimplementierungen von CRYSTALS-Dilithium und SPHINCS+ wurden in die Bare-Metal-Umgebung portiert, ohne hardware-spezifische Optimierungen oder algorithmische Vereinfachungen.
   • Ziel: Die Etablierung einer standardkonformen Baseline und die Identifizierung spezifischer Fehlerpunkte (Speicherüberlauf, Zeitbeschränkungen) in einer typischen eingebetteten Umgebung.

2. Hardware-Software-Co-Design (Xilinx Zynq-7000 SoC):

   • Plattform: ZedBoard (XC7Z020) mit einem Dual-Core ARM Cortex-A9 Processing System (PS) und einem Artix-7 FPGA Programmable Logic (PL) Fabric.
   • Ansatz: Unter Verwendung der CityUHK-CALAS Architektur wurde die rechenintensive Primärlogik auf den FPGA ausgelagert.
   • Implementierungsdetails:
     • Auslagerung (Offloading): Die Number Theoretic Transform (NTT), die Inverse NTT (INTT) und das Keccak-basierte Hashing (SHA-3) wurden als dedizierte Hardware-Beschleuniger in der PL implementiert.
     • Steuerung: Der PS verwaltet die High-Level-Protokoll-Logik, die Nachrichtenformatierung und die Zustandsautomaten.
     • Kommunikation: AXI4-Lite wurde für Steuersignale verwendet, während AXI4-Stream-Schnittstellen mit Direct Memory Access (DMA) den Massendatentransfer (Schlüssel, Nachrichten, Signaturen) handhabten, um Engpässe zu vermeiden.

Wesentliche Beiträge

• Empirische Validierung von Limitationen: Die Studie liefert konkrete Belege dafür, dass unveränderte PQC-Referenzimplementierungen auf Standard-32-Bit-Mikrocontrollern aufgrund schwerer Speicher- und Zeitbeschränkungen praktisch unbrauchbar sind.
• Architektonische Lösung: Sie demonstriert eine erfolgreiche Migrationsstrategie unter Verwendung eines heterogenen SoC-Ansatzes, bei dem die kryptografischen Arbeitslasten zwischen dem Prozessor und dem FPGA-Fabric aufgeteilt werden.
• Leistungs-Benchmarking: Die Arbeit bietet eine direkte vergleichende Analyse der Ausführungszeiten zwischen einer reinen Software-Implementierung auf einem MCU und einer hardwarebeschleunigten Implementierung auf einem SoC.

Ergebnisse
Die experimentellen Ergebnisse zeigten einen drastischen Kontrast in der Leistung zwischen den beiden Plattformen:

• STM32F407G (Software-only):

  • CRYSTALS-Dilithium: Führte die Ausführung gar nicht erst aus. Der Algorithmus verursachte einen Stack-Overflow während der Schlüssel- und Signaturgenerierung, da die erforderlichen Zwischenbuffer für die Polynomkoeffizienten das 192 KB SRAM-Limit überschritten.
  • SPHINCS+: Wurde ausgeführt, jedoch mit prohibitiver Latenz. Die Schlüssel- und Signaturgenerierung dauerte jeweils etwa 10 Minuten. Der Verifizierungsprozess, der tausende Hash-Evaluierungen erfordert, führte zum Zusammenbruch des Systems aufgrund des Fehlens einer Hardware-Hashing-Beschleunigung.

• Zynq-7000 SoC (HW-SW Co-Design):

  • Durch die Auslagerung von NTT- und Keccak-Operationen auf den FPGA erreichte das System eine erfolgreiche Ausführung mit Millisekunden-Leistung.
  • Schlüsselerzeugung: ~1,109 ms
  • Signaturgenerierung: ~5,94 ms
  • Verifizierung: ~1,17 ms

Bedeutung und Ansprüche
Die Arbeit kommt zu dem Schluss, dass Hardware-Beschleunigung für Echtzeit-Anwendungen in eingebetteten Systemen nicht bloß eine Optimierung, sondern eine funktionale Notwendigkeit für die Bereitstellung von NIST PQC-Standards ist. Die Ergebnisse deuten darauf hin, dass:

1. Reine Software-Implementierungen von PQC auf Standard-Mikrocontrollern aufgrund von Speicherüberläufen und übermäßiger Latenz für die Sicherheitsanforderungen der nächsten Generation unzureichend sind.
2. Ein Hardware-Software-Co-Design-Ansatz, der gezielt die FPGA-Beschleunigung für mathematische Primärfunktionen (NTT, Keccak) nutzt, diese Engpässe effektiv mildert.
3. Heterogene Computing-Architekturen essenziell für die effiziente und sichere Bereitstellung von Post-Quanten-Kryptografie-Algorithmen in eingebetteten Systemen sind.

Die Autoren positionieren ihre Arbeit als Demonstration dafür, dass während der Übergang zu PQC kritisch ist, die zugrunde liegende Hardware-Infrastruktur von allgemeinen Mikrocontrollern zu spezialisierten, beschleunigten SoC-Plattformen evolvieren muss, um diese komplexen Algorithmen zu unterstützen.