Comparative Performance Analysis of NIST PQC Standards: From STM32 Software Limitations to FPGA-SoC Acceleration

Este artículo demuestra que mientras los esquemas de firma post-cuántica estandarizados por el NIST, como SPHINCS+ y Dilithium, son impracticables para microcontroladores ARM Cortex-M4 con recursos limitados debido a severas limitaciones de rendimiento y memoria, un enfoque de codiseño de hardware-software que utiliza un núcleo NTT acelerado por FPGA en un SoC Zynq-7000 permite una ejecución eficiente a nivel de milisegundos adecuada para sistemas embebidos resistentes a la computación cuántica.

Lo esencial

Imagina el mundo de la seguridad digital como una enorme bóveda. Durante décadas, las cerraduras de esta bóveda (como RSA y ECC) han sido increíblemente fuertes, pero un nuevo tipo de ladrón está emergiendo: el Computador Cuántico. Este ladrón tiene una llave maestra que puede forzar las viejas cerraduras en segundos. Para detenerlos, los científicos del NIST (el organismo de estandarización de EE. UU.) han diseñado nuevas cerraduras supercomplejas llamadas Criptografía Post-Cuántica (PQC).

Este documento es un informe de calificaciones sobre el intento de instalar estas nuevas y pesadas cerraduras en dos tipos de "marcos de puerta" muy diferentes: un microcontrolador pequeño y económico (como el cerebro dentro de un termostato inteligente) y un chip informático potente y de alta tecnología (como el cerebro dentro de un servidor moderno o un dron avanzado).

Aquí está el desgón de su experimento usando analogías simples:

1. Las Dos Nuevas Cerraduras

Los investigadores probaron dos tipos específicos de nuevas cerraduras:

• Dilithium (El Rompecabezas Matemático): Esta cerradura se basa en matemáticas de retículos complejas. Es como intentar resolver un rompecabezas multidimensional masivo donde las piezas son polinomios enormes. Requiere mucho espacio de trabajo (memoria) para sostener todas las piezas mientras las resuelves.
• SPHINCS+ (El Árbol de Hash): Esta cerradura se basa en el hashing (el cifrado de datos). Es como construir un árbol masivo donde cada rama es una firma diminuta. Para firmar un mensaje, tienes que subir y bajar por este árbol miles de veces, haciendo mucho trabajo pesado (hashing) en cada paso.

2. El Primer Intento: El "Taller Pequeño" (Microcontrolador STM32)

Los investigadores primero intentaron instalar estas cerraduras en un chip estándar y de bajo costo llamado STM32. Piensa en este chip como un pequeño taller de una sola habitación con un banco de trabajo muy pequeño (192 KB de memoria) y un único trabajador lento.

• El Fallo de Dilithium: Cuando intentaron traer el "Rompecabezas Matemático" a este pequeño taller, las piezas del rompecabezas eran simplemente demasiado grandes. El trabajador intentó extenderlas sobre el banco de trabajo, pero el banco era demasiado pequeño. La cabeza del trabajador golpeó el techo y todo el sistema colapsó. En términos técnicos, el chip se quedó sin memoria (desbordamiento de pila o stack overflow) inmediatamente.
• El Fallo de SPHINCS+: El "Árbol de Hash" no hizo colapsar el taller, pero fue agonizantemente lento. Debido a que el trabajador tenía que subir y bajar por el árbol miles de veces sin ninguna ayuda, tardó unos 10 minutos en firmar un solo mensaje. Para cuando intentaron verificar la firma, el sistema se dio por vencido por completo. Era demasiado lento para ser útil en la vida real.

La Lección: Intentar ejecutar estas nuevas cerraduras de seguridad cuántica pesadas en un microcontrolador estándar y pequeño es como intentar construir un rascacielos en un cobertizo de jardín. Simplemente no tiene el espacio ni la velocidad.

3. El Segundo Intento: La "Súper-Fábrica" (FPGA-SoC)

Al darse cuenta de que el pequeño taller no podía manejar el trabajo, los investigadores se trasladaron a un Zynq-7000 SoC. Piensa en esto como una masiva y de alta tecnología fábrica que tiene dos partes distintas trabajando juntas:

• El Gerente (Sistema de Procesador): Un cerebro de computadora estándar que maneja el papeleo, organiza los mensajes y les dice a los trabajadores qué hacer.
• Los Robots Especializados (Tejido FPGA): Un área construida a medida donde pueden construir máquinas especializadas específicamente diseñadas para el trabajo.

La Solución: Co-diseño de Hardware y Software
En lugar de pedirle al Gerente que haga el trabajo pesado, construyeron robots personalizados (aceleradores) dentro de la fábrica para hacer las matemáticas difíciles:

• Construyeron un Robot específicamente para el "Rompecabezas Matemático" (NTT) para hacer girar los polinomios instantáneamente.
• Construyeron otro Robot específicamente para el "Árbol de Hash" (Keccak) para cifrar datos a la velocidad del rayo.

El Resultado:

• El Gerente solo entregaba los datos a los Robots.
• Los Robots hacían el trabajo pesado en paralelo (todos a la vez).
• Los resultados regresaban en milisegundos en lugar de minutos.
  • Generación de llaves: ~1 milisegundo.
  • Firma: ~6 milisegundos.

La Conclusión Final

El documento concluye que, si bien el "Taller Pequeño" (microcontroladores estándar) es excelente para tareas simples, está completamente despreparado para las matemáticas pesadas requeridas por la futura seguridad de resistencia cuántica.

Para que estas nuevas cerraduras funcionen en el mundo real, no puedes confiar solo en el software; necesitas un Co-diseño de Hardware y Software. Necesitas un sistema donde un cerebro de computadora estándar gestione el proceso, pero robots de hardware especializados (FPGAs) realicen el trabajo pesado. Sin estos robots especializados, las nuevas cerraduras son demasiado lentas o demasiado grandes para usarse en dispositivos cotidianos.

Resumen técnico

Resumen Técnico: Análisis Comparativo de Rendimiento de los Estándares NIST PQC en Hardware Embebido

Declaración del Problema
El advenimiento de la computación cuántica a gran escala amenaza la infraestructura actual de criptografía de clave pública, específicamente RSA y ECC, que son vulnerables al algoritmo de Shor. Esto requiere una transición hacia la Criptografía Post-Cuántica (PQC), liderada por los esfuerzos de estandarización del NIST. Sin embargo, existe una brecha significativa entre la complejidad matemática de estos nuevos estándares y las capacidades de los sistemas embebidos con recursos limitados. Este documento investiga la viabilidad de implementar dos esquemas de firma estandarizados por el NIST —CRYSTALS-Dilithium (basado en retículos) y SPHINCS+ (basado en hash)— en microcontroladores estándar. El estudio destaca que las multiplicaciones polinómicas de alto grado requeridas por Dilithium y las estructuras de hypertree de SPHINCS+ crean cuellos de botella computacionales y de memoria que exceden los límites de los microcontroladores de propósito general como el ARM Cortex-M4.

Metodología
La investigación empleó un enfoque experimental de dos fases para evaluar el rendimiento a través de diferentes arquitecturas de hardware:

1. Línea Base Solo Software (STM32F407G):

   • Plataforma: Placa STM32F407G-DISC1 con un núcleo ARM Cortex-M4 de 32 bits (168 MHz) con 192 KB de SRAM y 1 MB de Flash.
   • Enfoque: Las implementaciones de referencia de CRYSTALS-Dilithium y SPHINCS+ se portaron al entorno bare-metal sin optimizaciones de hardware específicas ni simplificaciones algorítmicas.
   • Objetivo: Establecer una línea base conforme al estándar e identificar puntos de falla específicos (desbordamiento de memoria, restricciones de tiempo).

2. Co-Diseño de Hardware-Software (Xilinx Zynq-7000 SoC):

   • Plataforma: ZedBoard (XC7Z020) que cuenta con un sistema de procesamiento (PS) de doble núcleo ARM Cortex-A9 y una matriz de lógica programable (PL) Artix-7 FPGA.
   • Enfoque: Utilizando la arquitectura CityUHK-CALAS, el estudio delegó las primitivas computacionalmente intensivas a la FPGA.
   • Detalles de Implementación:
     • Delegación (Offloading): La Transformada de Número Teórico (NTT), la NTT Inversa (INTT) y el hashing basado en Keccak (SHA-3) se implementaron como aceleradores de hardware dedicados en la PL.
     • Control: El PS gestionó la lógica de alto nivel del protocolo, el formateo de mensajes y las máquinas de estado.
     • Comunicación: Se utilizó AXI4-Lite para las señales de control, mientras que las interfaces AXI4-Stream con Acceso Directo a Memoria (DMA) manejaron la transferencia de datos masivos (claves, mensajes, firmas) para evitar cuellos de botella.

Contribuciones Clave

• Validación Empírica de Limitaciones: El estudio proporciona evidencia concreta de que las implementaciones de referencia de PQC no modificadas son prácticamente inutilizables en microcontroladores de 32 bits estándar debido a severas restricciones de memoria y tiempo.
• Solución Arquitectónica: Demuestra una estrategia de migración exitosa utilizando un enfoque de SoC heterogéneo, particionando las cargas de trabajo criptográficas entre el procesador y la matriz FPGA.
• Benchmarking de Rendimiento: El documento ofrece un análisis comparativo directo de los tiempos de ejecución entre una implementación de puro software en un MCU y una implementación acelerada por hardware en un SoC.

Resultos
Los resultados experimentales revelaron un marcado contraste en el rendimiento entre las dos plataformas:

• STM32F407G (Solo Software):

  • CRYSTALS-Dilithium: No logró ejecutarse por completo. El algoritmo causó un desbordamiento de pila durante la generación de claves y firmas porque los búferes intermedios requeridos para los coeficientes polinómicos excedieron el límite de 192 KB de la SRAM.
  • SPHINCS+: Se ejecutó pero con una latencia prohibitiva. La generación de claves y firmas tomó aproximadamente 10 minutos cada una. El proceso de verificación, que requiere miles de evaluaciones de hash, causó el colapso del sistema debido a la falta de aceleración de hashing por hardware.

• Zynq-7000 SoC (Co-Diseño HW-SW):

  • Al delegar las operaciones de NTT y Keccak a la FPGA, el sistema logró una ejecución exitosa con rendimiento a nivel de milisegundos.
  • Generación de Claves: ~1.109 ms
  • Generación de Firma: ~5.94 ms
  • Verificación: ~1.17 ms

Significancia y Reivindicaciones
El documento concluye que para aplicaciones embebidas en tiempo real, la aceleración por hardware no es meramente una optimización, sino una necesidad funcional para desplegar los estándares NIST PQC. Los hallazgos indican que:

1. Las implementaciones puras de software de PQC en microcontroladores estándar son insuficientes para los requisitos de seguridad de próxima generación debido a desbordamientos de memoria y latencia excesiva.
2. Un enfoque de co-diseño de hardware-software, específicamente aprovechando la aceleración de la FPGA para las primitivas matemáticas (NTT, Keccak), mitiga eficazmente estos cuellos de botella.
3. Las arquitecturas de computación heterogéneas son esenciales para el despliegue eficiente y seguro de algoritmos criptográficos post-cuánticos en sistemas embebidos.

Los autores posicionan su trabajo como una demostración de que, si bien la transición a PQC es crítica, la infraestructura de hardware subyacente debe evolucionar de microcontroladores de propósito general a plataformas SoC especializadas y aceleradas para soportar estos complejos algoritmos.