Comparative Performance Analysis of NIST PQC Standards: From STM32 Software Limitations to FPGA-SoC Acceleration

Este artigo demonstra que, embora esquemas de assinatura pós-quânticos padronizados pelo NIST, como SPHINCS+ e Dilithium, sejam impraticáveis para microcontroladores ARM Cortex-M4 com recursos limitados devido a severas limitações de desempenho e memória, uma abordagem de codesign de hardware-software utilizando um núcleo NTT acelerado por FPGA em um SoC Zynq-7000 permite uma execução eficiente, em nível de milissegundos, adequada para sistemas embarcados resistentes ao quântico.

O essencial

Imagine o mundo da segurança digital como um cofre gigante. Durante décadas, as fechaduras deste cofre (como RSA e ECC) foram incrivelmente fortes, mas um novo tipo de ladrão está surgindo: o Computador Quântico. Este ladrão possui uma chave mestra que pode abrir essas fechaduras antigas em segundos. Para deter esse ladrão, cientistas do NIST (o órgão de padronização dos EUA) projetaram novas fechaduras supercomplexas chamadas Criptografia Pós-Quântica (PQC).

Este artigo é um boletim de notas sobre a tentativa de instalar essas novas fechaduras de alta resistência em dois tipos de "batentes" muito diferentes: um microcontrolador pequeno e econômico (como o cérebro dentro de um termostato inteligente) e um chip de computador potente e de alta tecnologia (como o cérebro dentro de um servidor moderno ou de um drone avançado).

Aqui está a divisão do experimento deles usando analogias simples:

1. As Duas Novas Fechaduras

Os pesquisadores testaram dois tipos específicos de novas fechaduras:

• Dilithium (O Quebra-Cabeça Matemático): Esta fechadura é baseada em matemática de reticulados complexos. É como tentar resolver um quebra-cabeça multidimensional massivo onde as peças são polinômios enormes. Requer muito espaço de trabalho (memória) para segurar todas as peças enquanto você as resolve.
• SPHINCS+ (A Árvore de Hash): Esta fechadura é baseada em hashing (embaralhamento de dados). É como construir uma árvore massiva onde cada ramo é uma assinatura minúscula. Para assinar uma mensagem, você tem que subir e descer essa árvore milhares de vezes, fazendo muito trabalho pesado (hashing) em cada etapa.

2. A Primeira Tentativa: A "Oficina Minúscula" (Microcontrolador STM32)

Os pesquisadores primeiro tentaram instalar essas fechaduras em um chip padrão e de baixo custo chamado STM32. Pense neste chip como uma oficina minúscula de um único cômodo com uma bancada de trabalho muito pequena (192 KB de memória) e um único trabalhador lento.

• A Falha do Dilithium: Quando tentaram trazer o "Quebra-Cabeça Matemático" para esta oficina minúscula, as peças do quebra-cabeça eram simplesmente grandes demais. O trabalhador tentou espalhá-las na bancada, mas a bancada era pequena demais. A cabeça do trabalhador bateu no teto e todo o sistema travou. Em termos técnicos, o chip ficou sem memória (estouro de pilha/stack overflow) imediatamente.
• A Falha do SPHINCS+: A "Árvore de Hash" não derrubou a oficina, mas foi agonizantemente lenta. Como o trabalhador tinha que subir a árvore milhares de vezes sem qualquer ajuda, levou cerca de 10 minutos para assinar uma única mensagem. No momento em que tentaram verificar a assinatura, o sistema desistiu completamente. Foi lento demais para ser útil na vida real.

A Lição: Tentar rodar essas novas fechaduras à prova de quantum em um microcontrolador padrão e pequeno é como tentar construir um arranha-céu em um depósito de jardim. Simplesmente não há espaço ou velocidade.

3. A Segunda Tentativa: A "Super-Fábrica" (FPGA-SoC)

Percebendo que a oficina minúscula não conseguiria dar conta do recado, os pesquisadores mudaram para um Zynq-7000 SoC. Pense nisso como uma fábrica massiva e de alta tecnologia que possui duas partes distintas trabalhando juntas:

• O Gerente (Sistema de Processador): Um cérebro de computador padrão que cuida da papelada, organiza as mensagens e diz aos trabalhadores o que fazer.
• Os Robôs Especializados (Tecido FPGA): Uma área customizada onde eles podem construir máquinas especializadas especificamente para o trabalho.

A Solução: Co-Design de Hardware-Software
Em vez de pedir ao Gerente para fazer o trabalho pesado, eles construíram robôs customizados (aceleradores) dentro da fábrica para fazer a matemática difícil:

• Eles construíram um Robô especificamente para o "Quebra-Cabeça Matemático" (NTT) para girar os polinômios instantaneamente.
• Eles construíram outro Robô especificamente para a "Árvore de Hash" (Keccak) para embaralhar dados em velocidade de relâmpago.

O Resultado:

• O Gerente apenas entregava os dados aos Robôs.
• Os Robôs faziam o trabalho pesado em paralelo (todos ao mesmo tempo).
• Os resultados voltavam em milissegundos em vez de minutos.
  • Geração de Chave: ~1 milissegundo.
  • Assinatura: ~6 milissegundos.

A Conclusão Final

O artigo conclui que, embora a "Oficina Minúscula" (microcontroladores padrão) seja ótima para tarefas simples, ela está completamente despreparada para a matemática pesada exigida pela segurança pós-quantum do futuro.

Para fazer essas novas fechaduras funcionarem no mundo real, você não pode depender apenas de software; você precisa de Co-Design de Hardware-Software. Você precisa de um sistema onde um cérebro de computador padrão gerencia o processo, mas robôs de hardware especializados (FPGAs) realizam o trabalho pesado. Sem esses robôs especializados, as novas fechaduras são lentas demais ou grandes demais para serem usadas em dispositivos cotidianos.

Resumo técnico

Resumo Técnico: Análise Comparativa de Desempenho de Padrões NIST PQC em Hardware Embarcado

Definição do Problema
O advento da computação quântica em larga escala ameaça a atual infraestrutura de criptografia de chave pública, especificamente o RSA e o ECC, que são vulneráveis ao algoritmo de Shor. Isso exige uma transição para a Criptografia Pós-Quântica (PQC), liderada pelos esforços de padronização do NIST. No entanto, existe uma lacuna significativa entre a complexidade matemática desses novos padrões e as capacidades de sistemas embarcados com recursos limitados. Este artigo investiga a viabilidade de implementar dois esquemas de assinatura padronizados pelo NIST — CRYSTALS-Dilithium (baseado em reticulados/lattice-based) e SPHINCS+ (baseado em hash) — em microcontroladores padrão. O estudo destaca que as multiplicações polinomiais de alto grau exigidas pelo Dilithium e as estruturas de hypertree do SPHINCS+ criam gargalos computacionais e de memória que excedem os limites de microcontroladores de propósito geral como o ARM Cortex-M4.

Metodologia
A pesquisa empregou uma abordagem experimental de duas fases para avaliar o desempenho em diferentes arquiteturas de hardware:

1. Linha de Base Apenas Software (STM32F407G):

   • Plataforma: Placa STM32F407G-DISC1 apresentando um núcleo ARM Cortex-M4 de 32 bits (168 MHz) com 192 KB de SRAM e 1 MB de Flash.
   • Abordagem: Implementações de referência do CRYSTALS-Dilithium e SPHINCS+ foram portadas para o ambiente bare-metal sem otimizações específicas de hardware ou simplificações algorítmicas.
   • Objetivo: Estabelecer uma linha de base em conformidade com o padrão e identificar pontos de falha específicos (estouro de memória, restrições de tempo).

2. Co-Design de Hardware-Software (Xilinx Zynq-7000 SoC):

   • Plataforma: ZedBoard (XC7Z020) apresentando um Sistema de Processamento (PS) dual-core ARM Cortex-A9 e um tecido de Lógica Programável (PL) Artix-7 FPGA.
   • Abordagem: Utilizando a arquitetura CityUHK-CALAS, o estudo delegou primitivas computacionalmente intensivas para o FPGA.
   • Detalhes de Implementação:
     • Offloading: A Transformada de Número Teórico (NTT), a NTT Inversa (INTT) e o hashing baseado em Keccak (SHA-3) foram implementados como aceleradores de hardware dedicados no PL.
     • Controle: O PS gerenciou a lógica de alto nível do protocolo, formatação de mensagens e máquinas de estado.
     • Comunicação: O AXI4-Lite foi usado para sinais de controle, enquanto interfaces AXI4-Stream com Direct Memory Access (DMA) lidaram com a transferência de dados em massa (chaves, mensagens, assinaturas) para evitar gargalos.

Principais Contribuições

• Validação Empírica de Limitações: O estudo fornece evidências concretas de que implementações de referência PQC não modificadas são praticamente inutilizáveis em microcontroladores de 32 bits padrão devido a severas restrições de memória e tempo.
• Solução Arquitetural: Demonstra uma estratégia de migração bem-sucedida usando uma abordagem de SoC heterogêneo, particionando as cargas de trabalho criptográficas entre o processador e o tecido FPGA.
• Benchmarking de Desempenho: O artigo oferece uma análise comparativa direta dos tempos de execução entre uma implementação puramente de software em um MCU e uma implementação acelerada por hardware em um SoC.

Resultos
Os resultados experimentais revelaram um contraste acentuado de desempenho entre as duas plataformas:

• STM32F407G (Apenas Software):

  • CRYSTALS-Dilithium: Falhou em executar inteiramente. O algoritmo causou um estouro de pilha (stack overflow) durante a geração de chaves e assinaturas porque os buffers intermediários necessários para os coeficientes polinomiais excederam o limite de 192 KB de SRAM.
  • SPHINCS+: Executou, mas com latência proibitiva. A geração de chaves e assinaturas levou aproximadamente 10 minutos cada. O processo de verificação, que requer milhares de avaliações de hash, causou o colapso do sistema devido à falta de aceleração de hashing por hardware.

• Zynq-7000 SoC (Co-Design HW-SW):

  • Ao delegar as operações de NTT e Keccak para o FPGA, o sistema alcançou execução bem-sucedida com desempenho de nível de milissegundos.
  • Geração de Chave: ~1,109 ms
  • Geração de Assinatura: ~5,94 ms
  • Verificação: ~1,17 ms

Significância e Alegações
O artigo conclui que, para aplicações embarcadas em tempo real, a aceleração de hardware não é meramente uma otimização, mas uma necessidade funcional para implantar os padrões NIST PQC. Os achados indicam que:

1. Implementações puramente de software de PQC em microcontroladores padrão são insuficientes para os requisitos de segurança da próxima geração devido a estouros de memória e latência excessiva.
2. Uma abordagem de co-design de hardware-software, especificamente aproveitando a aceleração de FPGA para primitivas matemáticas (NTT, Keccak), mitiga efetivamente esses gargalos.
3. Arquiteturas de computação heterogênea são essenciais para a implantação eficiente e segura de algoritmos criptográficos pós-quânticos em sistemas embarcados.

Os autores posicionam seu trabalho como uma demonstração de que, embora a transição para PQC seja crítica, a infraestrutura de hardware subjacente deve evoluir de microcontroladores de propósito geral para plataformas SoC especializadas e aceleradas para suportar esses algoritmos complexos.