Comparative Performance Analysis of NIST PQC Standards: From STM32 Software Limitations to FPGA-SoC Acceleration

Questo articolo dimostra che, mentre gli schemi di firma post-quantistica standardizzati dal NIST come SPHINCS+ e Dilithium sono impraticabili per microcontrollori ARM Cortex-M4 con risorse limitate a causa di severe limitazioni di prestazioni e memoria, un approccio di co-design hardware-software che utilizza un core NTT accelerato da FPGA su un SoC Zynq-7000 consente un'esecuzione efficiente, a livello di millisecondi, adatta a sistemi embedded resistenti al quantum.

L'essenziale

Immaginate il mondo della sicurezza digitale come una gigantesca cassaforte. Per decenni, le serrature di questa cassaforte (come RSA ed ECC) sono state incredibilmente resistenti, ma un nuovo tipo di ladro sta emergendo: il Computer Quantistico. Questo ladro possiede una chiave universale in grado di scassinare le vecchie serrature in pochi secondi. Per fermarlo, gli scienziati del NIST (l'ente statunitense per la standardizzazione) hanno progettato nuove serrature super complesse chiamate Crittografia Post-Quantistica (PQC).

Questo documento è una pagella che prova a installare queste nuove serrature ultra-resistenti su due tipi di "infissi" molto diversi: un microcontrollore piccolo e low-cost (come il cervello all'interno di un termostato intelligente) e un chip ad alta tecnologia e potente (come il cervello all'interno di un server moderno o di un drone avanzato).

Ecco la suddivisione del loro esperimento utilizzando semplici analogie:

1. Le Due Nuove Serrature

I ricercatori hanno testato due tipi specifici di nuove serrature:

• Dilithium (Il Puzzle Matematico): Questa serratura si basa sulla complessa matematica dei reticoli (lattice). È come cercare di risolvere un enorme puzzle multidimensionale dove i pezzi sono grandi polinomi. Richiede molto spazio di lavoro (memoria) per contenere tutti i pezzi mentre li si risolve.
• SPHINCS+ (L'Albero Hash): Questa serratura si basa sull'hashing (la cifratura dei dati). È come costruire un enorme albero dove ogni ramo è una piccola firma. Per firmare un messaggio, devi salire e scendere da questo albero migliaia di volte, facendo molto sforzo fisico (hashing) ad ogni passaggio.

2. Il Primo Tentativo: Il "Piccolo Laboratorio" (Microcontrollore STM32)

I ricercatori hanno prima provato a installare queste serrature su un chip standard e a basso costo chiamato STM32. Pensate a questo chip come a un piccolo laboratorio di una sola stanza con un banco da lavoro molto piccolo (192 KB di memoria) e un singolo lavoratore lento.

• Il Fallimento di Dilithium: Quando hanno cercato di portare il "Puzzle Matematico" in questo piccolo laboratorio, i pezzi del puzzle erano semplicemente troppo grandi. Il lavoratore ha cercato di disporli sul banco da lavoro, ma il banco era troppo piccolo. La testa del lavoratore ha colpito il soffitto e l'intero sistema è andato in crash. In termini tecnici, il chip è rimasto senza memoria (stack overflow) immediatamente.
• Il Fallimento di SPHINCS+: L' "Albero Hash" non ha fatto crashare il laboratorio, ma è stato agonizzanteamente lento. Poiché il lavoratore doveva salire e scendere dall'albero migliaia di volte senza alcun aiuto, ci sono voluti circa 10 minuti solo per firmare un singolo messaggio. Nel momento in cui hanno cercato di verificare la firma, il sistema si è arreso del tutto. Era troppo lento per essere utile nella vita reale.

La Lezione: Cercare di eseguire queste nuove serrature a prova di quantum su un normale microcontrollore piccolo è come cercare di costruire un grattacielo in un capanno da giardino. Non ha né lo spazio né la velocità necessari.

3. Il Secondo Tentamento: La "Super-Fabbrica" (FPGA-SoC)

Rendendosi conto che il piccolo laboratorio non poteva gestire il lavoro, i ricercatori si sono spostati su uno Zynq-7000 SoC. Pensate a questo come a una grande fabbrica hi-tech che ha due parti distinte che lavorano insieme:

• Il Manager (Sistema di Elaborazione): Un cervello informatico standard che gestisce la burocrazia, organizza i messaggi e dice ai lavoratori cosa fare.
• I Robot Specializzati (Tessuto FPGA): Un'area personalizzata dove è possibile costruire macchine specializzate appositamente progettate per il compito.

La Soluzione: Co-progettazione Hardware-Software
Invece di chiedere al Manager di fare il lavoro pesante, hanno costruito dei robot personalizzati (acceleratori) all'interno della fabbrica per eseguire la matematica difficile:

• Hanno costruito un Robot specifico per il "Puzzle Matematico" (NTT) per far ruotare i polinomi istantaneamente.
• Hanno costruito un altro Robot specifico per l' "Albero Hash" (Keccak) per cifrare i dati a una velocità fulminea.

Il Risultato:

• Il Manager ha semplicemente consegnato i dati ai Robot.
• I Robot hanno svolto il lavoro pesante in parallelo (tutti insieme).
• I risultati sono tornati in millisecondi invece che in minuti.
  • Generazione della chiave: ~1 millisecondo.
  • Firma: ~6 millisecondi.

La Conclusione

Il documento conclude che, sebbene il "Piccolo Laboratorio" (microcontrollori standard) sia ottimo per compiti semplici, è completamente impreparato per la matematica pesante richiesta dalla futura sicurezza post-quantum.

Per far funzionare queste nuove serrature nel mondo reale, non puoi fare affidamento solo sul software; hai bisogno di una Co-progettazione Hardware-Software. Hai bisogno di un sistema in cui un cervello informatico standard gestisce il processo, ma hardware specializzato e robot (FPGA) eseguono il lavoro pesante. Senza questi robot specializzati, le nuove serrature sarebbero troppo lente o troppo grandi per essere utilizzate sui dispositivi di uso quotidiano.

Sommario tecnico

Sintesi Tecnica: Analisi Comparativa delle Prestazioni degli Standard NIST PQC su Hardware Embedded

Problematica
L'avvento del calcolo quantistico su larga scala minaccia l'attuale infrastruttura crittografica a chiave pubblica, specificamente RSA ed ECC, che sono vulnerabili all'algoritmo di Shor. Ciò rende necessaria una transizione verso la Crittografia Post-Quantistica (PQC), guidata dagli sforzi di standardizzazione del NIST. Tuttavia, esiste un divario significativo tra la complessità matematica di questi nuovi standard e le capacità dei sistemi embedded con risorse limitate. Questo articolo investiga la fattibilità dell'implementazione di due schemi di firma standardizzati dal NIST — CRYSTALS-Dilithium (basato su reticoli) e SPHINCS+ (basato su hash) — su microcontrollori standard. Lo studio evidenzia come le moltiplicazioni polinomiali ad alto grado richieste da Dilithium e le strutture hypertree di SPHINCS+ creino colli di bottiglia computazionali e di memoria che superano i limiti di microcontrollori general-purpose come l'ARM Cortex-M4.

Metodologia
La ricerca ha impiegato un approccio sperimentale a due fasi per valutare le prestazioni su diverse architetture hardware:

1. Baseline Solo Software (STM32F407G):

   • Piattaforma: Scheda STM32F407G-DISC1 dotata di un core ARM Cortex-M4 a 32 bit (168 MHz) con 192 KB di SRAM e 1 MB di Flash.
   • Approccio: Le implementazioni di riferimento di CRYSTALS-Dilithium e SPHINCS+ sono state portate nell'ambiente bare-metal senza ottimizzazioni hardware-specifiche o semplificazioni algoritmiche.
   • Obiettivo: Stabilire una baseline conforme agli standard e identificare i punti di fallimento specifici (overflow di memoria, vincoli temporali) in un tipico contesto embedded.

2. Co-Design Hardware-Software (Xilinx Zynq-7000 SoC):

   • Piattaforma: ZedBoard (XC7Z020) dotata di un sistema di elaborazione (PS) dual-core ARM Cortex-A9 e di un fabric logico programmabile (PL) Artix-7 FPGA.
   • Approccio: Utilizzando l'architettura CityUHK-CALAS, lo studio ha delegato le primitive computazionalmente intensive al modulo FPGA.
   • Dettagli di Implementazione:
     • Offloading: La Trasformata Numerica di Gauss (NTT), la Inverse NTT (INTT) e l'hashing basato su Keccak (SHA-3) sono stati implementati come acceleratori hardware dedicati nel PL.
     • Controllo: Il PS gestiva la logica del protocollo di alto livello, la formattazione dei messaggi e le macchine a stati.
     • Comunicazione: AXI4-Lite è stato utilizzato per i segnali di controllo, mentre le interfacce AXI4-Stream con accesso diretto alla memoria (DMA) hanno gestito il trasferimento massivo di dati (chiavi, messaggi, firme) per prevenire colli di bottiglia.

Contributi Chiave

• Validazione Empirica dei Limiti: Lo studio fornisce prove concrete del fatto che le implementazioni di riferimento PQC non modificate sono praticamente inutilizzabili su microcontrollori a 32 bit standard a causa di severi vincoli di memoria e temporali.
• Soluzione Architetturale: Dimostra una strategia di migrazione efficace utilizzando un approccio SoC eterogeneo, partizionando i carichi di lavoro crittografici tra il processore e il fabric FPGA.
• Benchmarking delle Prestazioni: L'articolo offre un'analisi comparativa diretta dei tempi di esecuzione tra un'implementazione puramente software su un MCU e un'implementazione accelerata via hardware su un SoC.

Risultati
I risultati sperimentali hanno rivelato un netto contrasto nelle prestazioni tra le due piattaforme:

• STM32F407G (Solo Software):

  • CRYSTALS-Dilithium: Non è riuscito affatto a eseguire l'operazione. L'algoritmo ha causato uno stack overflow durante la generazione di chiavi e firme perché i buffer intermedi richiesti per i coefficienti polinomiali superavano il limite di 192 KB della SRAM.
  • SPHINCS+: È stato eseguito ma con una latenza proibitiva. La generazione di chiavi e firme ha richiesto circa 10 minuti ciascuna. Il processo di verifica, che richiede migliaia di valutazioni di hash, ha causato il collasso del sistema a causa della mancanza di accelerazione hardware per l'hashing.

• Zynq-7000 SoC (Co-Design HW-SW):

  • Delegando le operazioni NTT e Keccak all'FPGA, il sistema ha ottenuto un'esecuzione con successo con prestazioni nell'ordine dei millisecondi.
  • Generazione Chiavi: ~1.109 ms
  • Generazione Firma: ~5.94 ms
  • Verifica: ~1.17 ms

Significato e Rivendicazioni
L'articolo conclude che, per le applicazioni embedded in tempo reale, l'accelerazione hardware non è meramente un'ottimizzazione, ma una necessità funzionale per il dispiegamento degli standard NIST PQC. Le conclusioni indicano che:

1. Le implementazioni puramente software di PQC su microcontrollori standard sono insufficienti per le esigenze di sicurezza della prossima generazione a causa di overflow di memoria e latenza eccessiva.
2. Un approccio di co-design hardware-software, sfruttando specificamente l'accelerazione FPGA per le primitive matematiche (NTT, Keccak), mitiga efficacementamente tali colli di bottiglia.
3. Le architetture di calcolo eterogenee sono essenziali per l'efficiente e sicuro dispiegamento di algoritmi crittografici post-quantistici nei sistemi embedded.

Gli autori pongono il loro lavoro come una dimostrazione del fatto che, sebbene la transizione alla PQC sia critica, l'infrastruttura hardware sottostante deve evolversi dai microcontrollori general-purpose verso piattaforme SoC specializzate e accelerate per supportare questi complessi algoritmi.