Comparative Performance Analysis of NIST PQC Standards: From STM32 Software Limitations to FPGA-SoC Acceleration

Cet article démontre que, bien que les schémas de signature post-quantique normalisés par le NIST tels que SPHINCS+ et Dilithium soient impraticables pour les microcontrôleurs ARM Cortex-M4 à ressources limitées en raison de sévères limitations de performance et de mémoire, une approche de co-conception matériel-logiciel utilisant un cœur NTT accéléré par FPGA sur un SoC Zynq-7000 permet une exécution efficace, de l'ordre de la milliseconde, adaptée aux systèmes embarqués résistants au quantique.

L'essentiel

Imaginez le monde de la sécurité numérique comme un immense coffre-fort. Pendant des décennies, les verrous de ce coffre (comme RSA et ECC) ont été incroyablement solides, mais un nouveau genre de voleur émerge : l'Ordinateur Quantique. Ce voleur possède une clé maîtresse capable de crocheter ces vieux verrous en quelques secondes. Pour arrêter ces voleurs, les scientifiques du NIST (l'organisme de normalisation américain) ont conçu de nouveaux verrous super complexes appelés Cryptographie Post-Quantique (PQC).

Ce document est un bulletin de notes sur la tentative d'installation de ces nouveaux verrous très robustes sur deux types de « cadres de portes » très différents : un microcontrôleur de petite taille et à petit budget (comme le cerveau à l'intérieur d'un thermostat intelligent) et une puce informatique puissante et de haute technologie (comme le cerveau à l'intérieur d'un serveur moderne ou d'un drone avancé).

Voici la décomposition de leur expérience en utilisant des analogies simples :

1. Les deux nouveaux verrous

Les chercheurs ont testé deux types spécifiques de nouveaux verrous :

• Dilithium (Le casse-tête mathématique) : Ce verrou est basé sur des mathématiques de réseaux complexes. C'est comme essayer de résoudre un puzzle multidimensionnel massif où les pièces sont de grands polynômes. Cela nécessite beaucoup d'espace de travail (mémoire) pour maintenir toutes les pièces pendant que vous le résolvez.
• SPHINCS+ (L'arbre de hachage) : Ce verrou est basé sur le hachage (le brassage de données). C'est comme construire un arbre massif où chaque branche est une minuscule signature. Pour signer un message, vous devez monter et descendre cet arbre des milliers de fois, en faisant beaucoup de gros travaux (hachage) à chaque étape.

2. La première tentative : Le « Petit Atelier » (Microcontrôleur STM32)

Les chercheurs ont d'abord essayé d'installer ces verrous sur une puce standard et peu coûteuse appelée l'STM32. Considérez cette puce comme un petit atelier d'une seule pièce avec un établi très étroit (192 Ko de mémoire) et un seul ouvrier lent.

• L'échec de Dilithium : Lorsqu'ils ont essayé d'apporter le « Casse-tête mathématique » dans ce petit atelier, les pièces du puzzle étaient tout simplement trop grandes. L'ouvrier a essayé de les disposer sur l'établi, mais l'établi était trop petit. La tête de l'ouvrier a heurté le plafond, et tout le système a planté. En termes techniques, la puce est tombée en panne de mémoire (dépassement de pile ou stack overflow) immédiatement.
• L'échec de SPHINCS+ : L'« Arbre de hachage » n'a pas fait planter l'atelier, mais il était incroyablement lent. Parce que l'ouvrier devait grimper l'arbre des milliers de fois sans aucune aide, il a fallu environ 10 minutes pour signer un seul message. Au moment où ils ont essayé de vérifier la signature, le système a totalement abandonné. C'était trop lent pour être utile dans la vie réelle.

La leçon : Essayer de faire fonctionner ces nouveaux verrous résistants au quantique sur un microcontrôleur standard et petit, c'est comme essayer de construire un gratte-ciel dans un cabanon de jardin. Il n'a ni l'espace ni la vitesse nécessaires.

3. La deuxième tentative : La « Super-Usine » (FPGA-SoC)

Réalisant que le petit atelier ne pouvait pas faire le travail, les chercheurs se sont tournés vers un Zynq-7000 SoC. Considérez cela comme une immense usine de haute technologie qui possède deux parties distinctes travaillant ensemble :

• Le Manager (Système de processeur) : Un cerveau informatique standard qui gère la paperasse, organise les messages et dit aux ouvriers quoi faire.
• Les Robots Spécialisés (Matrice FPGA) : Une zone sur mesure où l'on peut construire des machines spécialisées spécifiquement conçues pour la tâche.

La Solution : La Co-conception Matériel-Logiciel
Au lieu de demander au Manager de faire le gros du travail, ils ont construit des robots personnalisés (accélérateurs) à l'intérieur de l'usine pour effectuer les mathématiques difficiles :

• Ils ont construit un Robot spécifiquement pour le « Casse-tête mathématique » (NTT) pour faire tourner les polynômes instantanément.
• Ils ont construit un autre Robot spécifiquement pour l'« Arbre de hachage » (Keccak) pour brasser les données à une vitesse fulgurante.

Le Résultat :

• Le Manager se contente de donner les données aux Robots.
• Les Robots font le gros du travail en parallèle (tous en même temps).
• Les résultats reviennent en millisecondes au lieu de minutes.
  • Génération de clé : ~1 milliseconde.
  • Signature : ~6 millisecondes.

Le mot de la fin

Le document conclut que bien que le « Petit Atelier » (microcontrôleurs standards) soit excellent pour des tâches simples, il est totalement inapte à gérer les mathématiques lourdes requises par la future sécurité post-quantique.

Pour faire fonctionner ces nouveaux verres dans le monde réel, vous ne pouvez pas simplement compter sur le logiciel ; vous avez besoin d'une Co-conception Matériel-Logiciel. Vous avez besoin d'un système où un cerveau informatique standard gère le processus, mais où des robots matériels spécialisés (FPGA) effectuent le gros du travail. Sans ces robots spécialisés, les nouveaux verrous sont trop lents ou trop volumineux pour être utilisés sur les appareils du quotidien.

Résumé technique

Résumé Technique : Analyse Comparative des Performances des Standards NIST PQC sur Matériel Embarqué

Énoncé du Problème
L'avènement de l'informatique quantique à grande échelle menace les infrastructures de cryptographie à clé publique actuelles, spécifiquement RSA et ECC, qui sont vulnérables à l'algorithme de Shor. Cela nécessite une transition vers la cryptographie post-quantique (PQC), menée par les efforts de normalisation du NIST. Cependant, un écart important existe entre la complexité mathématique de ces nouveaux standards et les capacités des systèmes embarqués à ressources contraintes. Cet article étudie la faisabilité de l'implémentation de deux schémas de signature normalisés par le NIST — CRYSTALS-Dilithium (basé sur les réseaux euclidiens) et SPHINCS+ (basé sur les fonctions de hachage) — sur des microcontrôleurs standards. L'étude souligne que les multiplications polynomiales de degré élevé requises par Dilithium et les structures d'hypertree de SPHINCS+ créent des goulots d'étranglement computationnels et de mémoire qui dépassent les limites des microcontrôleurs à usage général comme l'ARM Cortex-M4.

Méthodologie
La recherche a employé une approche expérimentale en deux phases pour évaluer les performances à travers différentes architectures matérielles :

1. Base de Référence Logicielle Uniquement (STM32F407G) :

   • Plateforme : Carte STM32F407G-DISC1 dotée d'un cœur ARM Cortex-M4 32 bits (168 MHz) avec 192 Ko de SRAM et 1 Mo de Flash.
   • Approche : Les implémentations de référence de CRYSTALS-Dilithium et SPHINCS+ ont été portées vers l'environnement bare-metal sans optimisations matérielles spécifiques ni simplifications algorithmiques.
   • Objectif : Établir une base de référence conforme aux standards et identifier les points de défaillance spécifiques (dépassement de mémoire, contraintes de temps).

2. Co-conception Matériel-Logiciel (SoC Xilinx Zynq-7000) :

   • Plateforme : ZedBoard (XC7Z020) comprenant un système de traitement (PS) ARM Cortex-A9 double cœur et une matrice logique programmable (PL) Artix-7 FPGA.
   • Approche : En utilisant l'architecture CityUHK-CALAS, l'étude a déchargé les primitives de calcul intensif vers le FPGA.
   • Détails de l'Implémentation :
     • Déchargement (Offloading) : La Transformée Numérique de Number Theoretic (NTT), l'INTT (Inverse NTT) et le hachage basé sur Keccak (SHA-3) ont été implémentés sous forme d'accélérateurs matériels dédiés dans la PL.
     • Contrôle : Le PS gère la logique de protocole de haut niveau, le formatage des messages et les machines à états.
     • Communication : L'interface AXI4-Lite a été utilisée pour les signaux de contrôle, tandis que les interfaces AXI4-Stream avec accès direct à la mémoire (DMA) ont géré le transfert massif de données (clés, messages, signatures) pour éviter les goulots d'étranglement.

Contributions Clés

• Validation Empirique des Limitations : L'étude fournit des preuves concrètes que les implémentations de référence PQC non modifiées sont pratiquement inutilisables sur des microcontrôleurs 32 bits standards en raison de sévères contraintes de mémoire et de temps.
• Solution Architecturale : Elle démontre une stratégie de migration réussie utilisant une approche SoC hétérogène, partitionnant les charges de travail cryptographiques entre le processeur et la matrice FPGA.
• Benchmarking de Performance : L'article propose une analyse comparative directe des temps d'exécution entre une implémentation logicielle pure sur un MCU et une implémentation accélérée par matériel sur un SoC.

Résultats
Les résultats expérimentaux ont révélé un contraste frappant de performance entre les deux plateformes :

• STM32F407G (Logiciel Uniquement) :

  • CRYSTALS-Dilithium : N'a pas pu s'exécuter entièrement. L'algorithme a provoqué un dépassement de pile (stack overflow) lors de la génération de clés et de signatures car les buffers intermédiaires requis pour les coefficients polynomiaux excédaient la limite de 192 Ko de la SRAM.
  • SPHINCS+ : S'est exécuté mais avec une latence prohibitive. La génération de clés et de signatures a pris environ 10 minutes chacune. Le processus de vérification, nécessitant des milliers d'évaluations de hachage, a provoqué l'effondrement du système en raison de l'absence d'accélération matérielle du hachage.

• SoC Zynq-7000 (Co-conception HW-SW) :

  • En déchargeant les opérations NTT et Keccak vers le FPGA, le système a atteint une exécution réussie avec des performances de l'ordre de la milliseconde.
  • Génération de Clé : ~1,109 ms
  • Génération de Signature : ~5,94 ms
  • Vérification : ~1,17 ms

Signification et Revendications
L'article conclut que pour les applications embarquées en temps réel, l'accélération matérielle n'est pas seulement une optimisation, mais une nécessité fonctionnelle pour le déploiement des standards NIST PQC. Les conclusions indiquent que :

1. Les implémentations logicielles pures de PQC sur des microcontrôleurs standards sont insuffisantes pour les exigences de sécurité de la prochaine génération en raison des dépassements de mémoire et de la latence excessive.
2. Une approche de co-conception matériel-logiciel, exploitant spécifiquement l'accélération FPGA pour les primitives mathématiques (NTT, Keccak), atténue efficacement ces goulots d'étranglement.
3. Les architectures de calcul hétérogènes sont essentielles pour le déploiement efficace et sécurisé des algorithmes cryptographiques post-quantiques dans les systèmes embarqués.

Les auteurs positionnent leur travail comme une démonstration que, bien que la transition vers la PQC soit critique, l'infrastructure matérielle sous-jacente doit évoluer des microcontrôleurs à usage général vers des plateformes SoC spécialisées et accélérées pour supporter ces algorithmes complexes.