Comparative Performance Analysis of NIST PQC Standards: From STM32 Software Limitations to FPGA-SoC Acceleration

Dit artikel으로oogst dat hoewel door NIST gestandaardiseerde post-quantum ondertekeningsschema's zoals SPHINCS+ en Dilithium onpraktisch zijn voor resource-beperkte ARM Cortex-M4 microcontrollers vanwege ernstige prestatie- en geheugenbeperkingen, een hardware-software co-design aanpak die gebruikmaakt van een FPGA-versnelde NTT-kern op een Zynq-7000 SoC efficiënte uitvoering op milliseconde-niveau mogelijk maakt die geschikt is voor kwantumresistente embedded systemen.

De kern

Stel je de wereld van digitale beveiliging voor als een gigantische kluis. Decennialang waren de sloten op deze kluis (zoals RSA en ECC) ongelooflijk sterk, maar er komt een nieuw soort dief aan: de Quantumcomputer. Deze dief heeft een meestersleutel waarmee hij de oude sloten binnen enkele seconden kan kraken. Om dit te stoppen, hebben wetenschappers bij NIST (het Amerikaanse standaardisatieinstituut) nieuwe, supercomplexe sloten ontworpen, genaamd Post-Quantum Cryptography (PQC).

Dit artikel is een rapportcijfer over het proberen te installeren van deze nieuwe, zware sloten op twee zeer verschillende soorten "deurkozijnen": een kleine, budgetvriendelijke microcontroller (zoals het brein in een slimme thermostaat) en een krachtige, high-tech computerchip (zoals het brein in een moderne server of een geavanceerde drone).

Hier is de uitsplitsing van hun experiment met behulp van eenvoudige analogieën:

1. De Twee Nieuwe Sloten

De onderzoekers testten twee specifieke soorten nieuwe sloten:

• Dilithium (De Wiskundige Puzzel): Dit slot is gebaseerd op complexe roosterwiskunde (lattice math). Het is alsof je een enorme, meerdimensionale legpuzzel probeert op te lossen waarbij de stukjes enorme polynomen zijn. Het vereist veel werkruimte (geheugen) om alle stukjes vast te houden terwijl je de puzzel oplost.
• SPHINCS+ (De Hash-boom): Dit slot is gebaseerd op hashing (het versleutelen van gegevens). Het is alsof je een enorme boom bouwt waarbij elke tak een kleine handtekening is. Om een bericht te ondertekenen, moet je duizenden keren omhoog en omlaag klimmen in deze boom, waarbij je bij elke stap veel zwaar werk (hashing) verricht.

2. De Eerste Poging: De "Kleine Werkplaats" (STM32 Microcontroller)

De onderzoekers probeerden eerst deze sloten te installeren op een standaard, goedkope chip genaamd de STM32. Zie deze chip als een kleine, eenkamerige werkplaats met een zeer kleine werkbank (192 KB geheugen) en één enkele, trage arbeider.

• Het Falen van Dilithium: Toen ze de "Wiskundige Puzzel" in deze kleine werkplaats wilden brengen, waren de puzzelstukjes simpelweg te groot. De arbeider probeerde de stukjes op de werkbank te leggen, maar de bank was te klein. De kop van de arbeider stootte tegen het plafond en het hele systeem craste. In technische termen: de chip kwam direct in een tekort aan geheugen (stack overflow).
• Het Falen van SPHINCS+: De "Hash-boom" deed de werkplaats niet crashen, maar het was vreselijk traag. Omdat de arbeider duizenden keren zonder hulp de boom in en uit moest klimmen, duurde het ongeveer 10 minuten om slechts één enkel bericht te ondertekenen. Tegen de tijd dat ze de handtekening wilden verifiëren, gaf het systeem het volledig op. Het was te traag om in het echte leven bruikbaar te zijn.

De Les: Het proberen te draaien van deze nieuwe, quantum-bestendige sloten op een standaard, kleine microcontroller is als het proberen te bouwen van een wolkenkrabber in een tuinshed. Het heeft simpelweg niet de ruimte of de snelheid.

3. De Tweede Poging: De "Superfabriek" (FPGA-SoC)

Omdat ze beseften dat de kleine werkplaats de klus niet kon klaren, verplaatsten de onderzoekers naar een Zynq-7000 SoC. Zie dit als een enorme, high-tech fabriek die twee verschillende onderdelen heeft die samenwerken:

• De Manager (Processor System): Een standaard computerbrein dat de papierwinkel afhandelt, de berichten organiseert en de arbeiders vertelt wat ze moeten doen.
• De Gespecialiseerde Robots (FPGA Fabric): Een aangepast gebied waar je specifieke machines kunt bouwen die precies ontworpen zijn voor de taak.

De Oplossing: Hardware-Software Co-Design
In plaats van de Manager het zware werk te laten doen, bouwden ze custom robots (accelerators) in de fabriek die specifelijk ontworpen zijn om het zware rekenwerk te doen:

• Ze bouwden een Robot specifiek voor de "Wiskundige Puzzel" (NTT) om de polynomen direct te laten draaien.
• Ze bouwden een andere Robot specifiek voor de "Hash-boom" (Keccak) om gegevens met lichtsnelheid te versleutelen.

Het Resultaat:

• De Manager gaf de gegevens gewoon door aan de Robots.
• De Robots deden het zware werk parallel (tegelijkertijd).
• De resultaten kwamen binnen milliseconden terug in plaats van minuten.
  • Sleutelgeneratie: ~1 milliseconde.
  • Ondertekenen: ~6 milliseconden.

De Kern van het Verhaal

Het artikel concludeert dat hoewel de "Kleine Werkplaats" (standaard microcontrollers) geweldig is voor eenvoudige taken, het totaal niet voorbereid is op het zware rekenwerk dat nodig is voor toekomstige quantum-bestendige beveiliging.

Om deze nieuwe sloten in de echte wereld te laten werken, kun je niet alleen vertrouwen op software; je hebt Hardware-Software Co-Design nodig. Je hebt een systeem nodig waarbij een standaard computerbrein het proces beheert, maar gespecialiseerde hardware-robots (FPGA's) het zware werk verrichten. Zonder deze gespecialiseerde robots zijn de nieuwe sloten te traag of te groot om te gebruiken op alledaagse apparaten.

Technische samenvatting

Technische Samenvatting: Vergelijkende Prestatieanalyse van NIST PQC-standaarden op Embedded Hardware

Probleemstelling
De komst van grootschalige quantumcomputers vormt een bedreiging voor de huidige publieke-sleutel cryptografische infrastructuur, specifiek RSA en ECC, die kwetsbaar zijn voor het algoritme van Shor. Dit noodzaakt een overgang naar Post-Quantum Cryptography (PQC), geleid door de standaardisatie-inspanningen van NIST. Er bestaat echter een aanzienlijke kloof tussen de wiskundige complexiteit van deze nieuwe standaarden en de capaciteiten van hulpbron-beperkte embedded systemen. Dit artikel onderzoekt de haalbaarheid van het implementeren van twee door NIST gestandaardiseerde signatuur-schema's—CRYSTALS-Dilithium (lattice-gebaseerd) en SPHINCS+ (hash-gebaseerd)—op standaard microcontrollers. De studie benadrukt dat de hoogwaardige polynoomvermenigvuldigingen die vereist zijn voor Dilithium en de hypertree-structuren van SPHINCS+ computationele en geheugenbottlenecks creëren die de limieten van algemene microcontrollers zoals de ARM Cortex-M4 overschrijden.

Methodologie
Het onderzoek maakte gebruik van een tweefasige experimentele aanpak om de prestaties over verschillende hardware-architecturen te evalueren:

1. Software-only Baseline (STM32F407G):

   • Platform: STM32F407G-DISC1 board met een 32-bit ARM Cortex-M4 kern (168 MHz) met 192 KB SRAM en 1 MB Flash.
   • Aanpak: Referentie-implementaties van CRYSTALS-Dilithium en SPHINCS+ werden geport naar de bare-metal omgeving zonder hardware-specifieke optimalisaties of algoritmische vereenvoudigingen.
   • Doel: Om een standaard-conforme baseline vast te stellen en specifieke faalpunten (geheugenoverloop, tijdconstraints) in een typische embedded setting te identificeren.

2. Hardware-Software Co-Design (Xilinx Zynq-7000 SoC):

   • Platform: ZedBoard (XC7Z020) met een dual-core ARM Cortex-A9 Processing System (PS) en een Artix-7 FPGA Programmable Logic (PL) fabric.
   • Aanpak: Door gebruik te maken van de CityUHK-CALAS architectuur, heeft de studie de computationeel intensieve primitieven uitbesteed aan de FPGA.
   • Implementatiedetails:
     • Offloading: De Number Theoretic Transform (NTT), Inverse NTT (INTT) en Keccak-gebaseerde hashing (SHA-3) werden geïmplementeerd als toegewijde hardware-acceleratoren in de PL.
     • Controle: De PS beheerde de hoog-niveau protocol logica, berichtformattering en state machines.
     • Communicatie: AXI4-Lite werd gebruikt voor controlesignalen, terwijl AXI4-Stream interfaces met Direct Memory Access (DMA) de bulkgegevensoverdracht (sleutels, berichten, signaturen) afhandelden om bottlenecks te voorkomen.

Belangrijkste Bijdragen

• Empirische Validatie van Beperkingen: De studie levert concreet bewijs dat ongewijzigde PQC-referentie-implementaties in de praktijk onbruikbaar zijn op standaard 32-bit microcontrollers vanwege ernstige geheugen- en tijdconstraints.
• Architecturale Oplossing: Het demonstreert een succesvolle migratiestrategie met behulp van een heterogene SoC-aanpak, waarbij de cryptografische workloads worden verdeeld tussen de processor en de FPGA-fabric.
• Prestatie-benchmarking: Het artikel biedt een directe vergelijkende analyse van de executietijden tussen een pure software-implementatie op een MCU en een hardware-geaccelereerde implementatie op een SoC.

Resultaten
De experimentele resultaten toonden een scherp contrast in prestaties tussen de twee platforms:

• STM32F407G (Software-only):

  • CRYSTALS-Dilithium: Voltooide de uitvoering niet volledig. Het algoritme veroorzaakte een stack overflow tijdens de sleutel- en signatuurgeneratie omdat de vereiste tussenliggende buffers voor polynoomcoëfficiënten de 192 KB SRAM-limiet overschreden.
  • SPHINCS+: Voerde uit, maar met een onaanvaardbare latentie. Sleutel- en signatuurgeneratie duurde ongeveer 10 minuten elk. Het verificatieproces, dat duizenden hash-evaluaties vereist, deed het systeem instorten door het gebrek aan hardware hashing-acceleratie.

• Zynq-7000 SoC (HW-SW Co-Design):

  • Door NTT en Keccak-operaties naar de FPGA te offloaden, bereikte het systeem een succesvolle uitvoering met prestaties op milliseconde-niveau.
  • Sleutelgeneratie: ~1.109 ms
  • Signatuurgeneratie: ~5.94 ms
  • Verificatie: ~1.17 ms

Betekenis en Claims
Het artikel concludeert dat voor real-time embedded toepassingen hardware-acceleratie niet louter een optimalisatie is, maar een functionele noodzaak voor de implementatie van NIST PQC-standaarden. De bevindingen wijzen erop dat:

1. Pure software-implementaties van PQC op standaard microcontrollers onvoldoende zijn voor de volgende generatie beveiligingseisen vanwege geheugenoverlopen en excessieve latentie.
2. Een hardware-software co-design aanpak, specifiek door het gebruik van FPGA-acceleratie voor wiskundige primitieven (NTT, Keccak), de bottlenecks effectief mitigeert.
3. Heterogene computing-architecturen essentieel zijn voor de efficiënte en veilige implementatie van post-quantum cryptografische algoritmen in embedded systemen.

De auteurs positioneren hun werk als een demonstratie dat hoewel de transitie naar PQC cruciaal is, de onderliggende hardware-infrastructuur moet evolueren van algemene microcontrollers naar gespecialiseerde, versnelde SoC-platforms om deze complexe algoritmen te ondersteunen.