Comparative Performance Analysis of NIST PQC Standards: From STM32 Software Limitations to FPGA-SoC Acceleration

本論文は、SPHINCS+やDilithiumのようなNIST標準の耐量子署名スキームが、深刻な性能およびメモリの制限によりリソース制約のあるARM Cortex-M4マイクロコントローラには不向きである一方で、Zynq-7000 SoC上のFPGA加速されたNTTコアを利用したハードウェア・ソフトウェア協調設計アプローチが、量子耐性を備えた組み込みシステムに適したミリ秒レベルの効率的な実行を可能にすることを実証している。

要約

デジタルセキュリティの世界を、巨大な金庫に例えて想像してみてください。何十年もの間、この金庫の鍵（RSAやECCなど）は非常に強力でしたが、今、新しい種類の泥棒が現れようとしています。それが量子コンピュータです。この泥棒は、古い鍵を数秒で開けてしまうマスターキーを持っています。この泥棒を阻止するために、NIST（米国標準機関）の科学者たちは、**耐量子計算機暗号（PQC）**と呼ばれる、新しい超複雑な鍵を設計しました。

この論文は、これら新しい、非常に頑丈な鍵を、2つの全く異なるタイプの「ドア枠」に取り付けようとする試みの成績表です。一つは、非常に安価で小規模なマイクロコントローラ（スマートサーモスタットの中にある脳のようなもの）、もう一つは、高性能でハイテクなコンピュータチップ（現代のサーバーや高度なドローンの中にある脳のようなもの）です。

以下が、簡単な比喩を用いた実験の解説です：

1. 二つの新しい鍵

研究者たちは、2種類の特定の新しい鍵をテストしました：

• Dilithium（数学パズル）: この鍵は、複雑な格子数学に基づいています。これは、巨大な多項式という非常に大きなピースを持つ、多次元の巨大なジグソーパズルを解こうとするようなものです。パズルを解いている間、すべてのピースを保持するために、多くの作業スペース（メモリ）を必要とします。
• SPHINCS+（ハッシュツリー）: この鍵は、ハッシング（データの撹拌）に基づいています。これは、すべての枝が小さな署名である巨大な木を構築するようなものです。メッセージに署名するには、この木を何千回も登り降りして、各ステップで激しい重労働（ハッシング）を行う必要があります。

2. 最初の試み：「小さな作業場」（STM32 マイクロコントローラ）

研究者たちはまず、STM32と呼ばれる標準的で低コストなチップに、これらの鍵を設置しようと試みました。このチップを、非常に小さな作業台（192 KBのメモリ）と、たった一人の遅い作業員しかいない、小さな一間だけの作業場と考えてください。

• Dilithiumの失敗: 「数学パズル」をこの小さな作業場に持ち込もうとしたところ、パズルのピースがあまりにも大きすぎました。作業員はピースを作業台の上に広げようとしましたが、作業台が小さすぎました。作業員の頭が天井にぶつかり、システム全体がクラッシュしました。技術的な言葉で言えば、チップがすぐにメモリ不足（スタックオーバーフロー）を起こしたのです。
• SPHINCS+の失敗: 「ハッシュツリー」は作業場をクラッシュさせることはありませんでしたが、驚くほど動作が遅かったのです。作業員は助けなしに木を何千回も登り降りしなければならなかったため、たった一つのメッセージに署名するだけで約10分かかりました。署名を検証しようとした時には、システムは完全に諦めてしまいました。実生活で使うにはあまりにも遅すぎたのです。

教訓: 標準的な小型マイクロコントローラでこれらの新しい耐量子鍵を実行しようとするのは、庭の物置の中に超高層ビルを建てようとするようなものです。スペースもスピードも足りません。

3. 二番目の試み：「スーパー工場」（FPGA-SoC）

小さな作業場ではこの仕事に対応できないと悟った研究者たちは、Zynq-7000 SoCへと場所を移しました。これは、2つの異なる部分が連携して動く、大規模でハイテクな工場と考えてください：

• マネージャー（プロセッサ・システム）: 書類仕事を処理し、メッセージを整理し、作業員に指示を出す標準的なコンピュータの脳です。
• 専用ロボット（FPGA ファブリック）: 特定の仕事のために専用の機械を構築できる、カスタムメイドのエリアです。

解決策：ハードウェア・ソフトウェア協調設計
マネージャーに重労働をさせる代わりに、彼らは工場の中に、難しい数学を処理するための専用のロボット（アクセラレータ）を構築しました：

• 「数学パズル」（NTT）を瞬時に回転させるための、専用のロボットを構築しました。
• データを猛スピードで撹拌するための、もう一つの「ハッシュツリー」（Keccak）用のロボットを構築しました。

結果：

• マネージャーは単にデータをロボットに渡すだけでした。
• ロボットは並列処理（同時に一斉に）で重労働を行いました。
• 結果は、分単位ではなく、ミリ秒単位で返ってきました。
  • 鍵生成：約1ミリ秒。
  • 署名：約6ミリ秒。

結論

この論文は、「小さな作業場」（標準的なマイクロコントローラ）は単純なタスクには優れていますが、将来の量子耐性セキュリティに必要な重厚な数学には全く準備ができていないと結論付けています。

これらの新しい鍵を現実世界で機能させるためには、単にソフトウェアに頼るだけでは不十分です。ハードウェア・ソフトウェア協調設計が必要です。標準的なコンピュータの脳がプロセスを管理し、専用のハードウェア・ロボット（FPGA）が重労働を行う、そのようなシステムが必要なのです。これらの専用ロボットがなければ、新しい鍵は日常的なデバイスで使用するには遅すぎるか、あるいは大きすぎるのです。

技術概要

技術要約：組み込みハードウェアにおけるNIST PQC標準の比較性能分析

問題提起
大規模な量子コンピューティングの到来は、RSAやECCといった現在の公開鍵暗号基盤を脅かしています。これらはショアのアルゴリズムに対して脆弱であるため、NIST（米国国立標準技術研究所）による標準化の取り組みが進められているポスト量子暗号（PQC）への移行が不可欠となっています。しかし、これら新しい標準の数学的な複雑さと、リソース制約のある組み込みシステムの能力との間には、大きな隔たりが存在します。本論文では、NISTによって標準化された2つの署名方式、CRYSTALS-Dilithium（格子ベース）およびSPHINCS+（ハッシュベース）を、標準的なマイクロコントローラ上で実装することの実現可能性を調査しています。研究の結果、Dilithiumに求められる高次多項式乗算や、SPHINCS+のハイパートリー構造が、ARM Cortex-M4のような汎用マイクロコントローラの限界を超える計算およびメモリのボトルネックを生み出すことが明らかになりました。

手法
本研究では、異なるハードウェア・アーキテクチャにおける性能を評価するために、二段階の実験的アプローチを採用しました。

1. ソフトウェアのみのベースライン (STM32F407G):

   • プラットフォーム: 32ビットARM Cortex-M4コア（168 MHz）、192 KB SRAM、1 MB Flashを搭載したSTM32F407G-DISC1ボード。
   • アプローチ: CRYSTALS-DilithiumおよびSPHINCS+のリファレンス実装を、ハードウェア固有の最適化やアルゴリズムの簡略化を行わずに、ベアメタル環境に移植しました。
   • 目的: 標準に準拠したベースラインを確立し、典型的な組み込み環境における具体的な失敗点（メモリオーバーフロー、タイミング制約）を特定すること。

2. ハードウェア・ソフトウェア協調設計 (Xilinx Zynq-7000 SoC):

   • プラットフォーム: デュアルコアARM Cortex-A9 プロセッシングシステム（PS）とArtix-7 FPGA プログラマブルロジック（PL）ファブリックを備えたZedBoard (XC7Z020)。
   • アプローチ: CityUHK-CALASアーキテクチャを利用し、計算負荷の高いプリミティブをFPGAにオフロードしました。
   • 実装の詳細:
     • オフロード: 数論変換（NTT）、逆NTT（INTT）、およびKeccakベースのハッシュ関数（SHA-3）を、専用のハードウェアアクセラレータとしてPL内に実装しました。
     • 制御: PSは、高レベルのプロトコルロジック、メッセージフォーマット、およびステートマシンを管理しました。
     • 通信: 制御信号にはAXI4-Liteを使用し、バルクデータ転送（鍵、メッセージ、署名）には、ボトルネックを防ぐためにDMAを伴うAXI4-Streamインターフェースを使用して処理しました。

主な貢献

• 限界の実証的検証: 本研究は、修正されていないPQCのリファレンス実装が、深刻なメモリおよびタイミングの制約により、標準的な32ビットマイクロコントローラでは実用的に使用不可能であることを具体的に示しました。
• アーキテクチャによる解決策: 暗号化ワークロードをプロセッサとFPGAファブリックに分割するヘテロジニアスSoCアプローチを用いた、成功した移行戦略を実証しました。
• 性能ベンチマーク: MCU上の純粋なソフトウェア実装と、SoC上のハードウェア加速実装との間の実行時間の直接的な比較分析を提供しました。

結果
実験結果は、2つのプラットフォーム間における極端な性能差を明らかにしました。

• STM32F407G (ソフトウェアのみ):

  • CRYSTALS-Dilithium: 実行に失敗しました。多項式の係数に必要な中間バッファが192 KBのSRAM制限を超えたため、アルゴリズムがスタックオーバーフローを引き起こしました。
  • SPHINCS+: 実行はされましたが、許容できないレイテンシが発生しました。鍵生成および署名生成にはそれぞれ約10分を要しました。数千回のハッシュ評価を必要とする検証プロセスは、ハードウェアによるハッシュ加速が欠如していたため、システムの崩壊を招きました。

• Zynq-7000 SoC (HW-SW 協調設計):

  • NTTおよびKeccak演算をFPGAにオフロードすることで、システムはミリ秒レベルの性能で正常な実行を実現しました。
  • 鍵生成: 約1.109 ms
  • 署名生成: 約5.94 ms
  • 検証: 約1.17 ms

意義と主張
本論文は、リアルタイムの組み込みアプリケーションにおいて、ハードウェア加速は単なる最適化ではなく、機能的な必要条件であると結論付けています。研究結果は以下のことを示唆しています。

1. 標準的なマイクロコントローラにおけるPQCの純粋なソフトウェア実装は、メモリオーバーフローや過度なレイテンシのため、次世代のセキュリティ要件を満たすには不十分である。
2. 数学的プリミティブ（NTT、Keccak）に対してFPGA加速を活用するハードウェア・ソフトウェア協調設計アプローチは、これらのボトルネックを効果的に緩和できる。
3. ヘテロジニアスなコンピューティングアーキテクチャは、組み込みシステムにおけるポスト量子暗号アルゴリズムの効率的かつ安全な展開に不可欠である。

著者らは、PQCへの移行が極めて重要である一方で、これらの複雑なアルゴリズムをサポートするためには、基礎となるハードウェアインフラを汎用マイクロコントローラから、特殊化された加速型SoCプラットフォームへと進化させる必要があると位置付けています。