Post-Quantum Entropy as a Service for Embedded Systems

该论文提出了一种面向嵌入式系统的后量子熵即服务（QEaaS）架构，通过将量子随机数生成器与 ESP32 设备经由后量子安全通道连接，并集成 ML-KEM 与 ML-DSA 等算法，实现了在资源受限设备上比传统经典方案更高效的熵注入与密钥交换。

要点

这篇论文讲述了一个非常酷的故事：如何给那些“脑子小、力气小”的微型设备（比如智能传感器、物联网设备）提供世界上最安全的随机数，而且是用一种**未来-proof（防量子计算机攻击）**的方式。

为了让你轻松理解，我们可以把这篇论文想象成在讲一个"给小精灵送超级魔法粉末"的故事。

1. 背景：小精灵的烦恼

想象一下，你的家里有很多小精灵（这就是我们的嵌入式设备，比如 ESP32 芯片）。它们负责做很多工作，比如开灯、测温。

• 它们需要“魔法粉末”（随机数/熵）： 为了安全，小精灵每次要干活时，都需要一点完全随机的“魔法粉末”来生成钥匙。如果粉末不够随机，坏人就能轻易猜出钥匙，偷走东西。
• 它们很穷： 这些小精灵身体很小，没有足够的空间去制造高质量的粉末（硬件随机数生成器往往不可靠），也没有力气去处理复杂的“魔法仪式”（加密协议）。
• 未来的威胁： 现在有一种传说中的大怪兽叫“量子计算机”，它未来能轻易破解现在的魔法。所以，小精灵们需要一种连大怪兽都破解不了的新魔法。

2. 解决方案：QEaaS（量子粉末即服务）

作者们建立了一个系统，叫 QEaaS (Quantum Entropy as a Service)。

• 中央魔法塔（服务器）： 他们造了一个强大的服务器，里面装了一个真正的量子随机数生成器（QRNG）。这就像是从宇宙最底层的量子波动中直接提取“魔法粉末”，这是自然界最纯净、最不可预测的随机数。
• 送货方式（传输通道）： 以前送货是用普通的马车（HTTP/HTTPS），但为了防大怪兽，他们换成了防量子装甲卡车。这辆车使用了一种叫 PQC（后量子密码学） 的新魔法，确保粉末在运输途中，就算大怪兽来了也偷不走、改不了。
• 送货协议（CoAP）： 因为小精灵力气小，走不了大路，所以卡车走了一条专门为小精灵修的小径，叫 CoAP 协议。

3. 核心创新：如何把粉末送进小精灵的口袋？

这是论文最精彩的部分。小精灵不能直接吃粉末，它们需要一个本地的小仓库来混合和储存。

• 以前的做法： 小精灵自己瞎凑合，或者只信一个来源。
• 作者的做法：
  1. 双通道接收： 服务器端有两种送法，一种是直接送纯净粉末，一种是把粉末混进系统的大池子里再送。
  2. 本地混合池（BLAKE2s）： 小精灵的口袋里装了一个特制的**“魔法搅拌碗”**。
     • 当粉末从卡车运到小精灵这里时，小精灵先把粉末倒进碗里。
     • 然后，小精灵把自己口袋里原本有一点点的本地粉末（虽然少，但也是有的）也倒进去。
     • 用一种叫 BLAKE2s 的超级搅拌机把它们搅匀。
     • 结果： 无论外面的粉末多纯净，或者本地粉末多少，搅出来的都是完美混合、绝对安全的魔法粉末。

4. 惊人的发现：新魔法比旧魔法更快！

通常我们认为，为了安全，新魔法肯定比旧魔法慢、更费力气。但作者在小精灵身上做实验，发现了一个反直觉的惊喜：

• 旧魔法（经典加密）： 就像让一个瘦小的孩子去搬一块巨大的石头（椭圆曲线加密 ECDHE），虽然熟练，但很慢，而且还要花很多时间检查石头是不是真的（证书验证）。
• 新魔法（后量子加密 ML-KEM/ML-DSA）： 就像让同一个孩子去搬一堆整齐排列的积木（格密码）。
  • 结果： 搬积木（新算法）竟然比搬石头（旧算法）快得多！
  • 数据说话：
    • 用新魔法建立连接（握手），平均只需要 225 毫秒。
    • 用旧魔法，需要 668 毫秒。
    • 新魔法比旧魔法快了 63%！
  • 为什么？ 因为小精灵（ESP32 芯片）的处理器结构特别适合处理“积木”（矩阵运算），而不擅长处理“石头”（复杂的曲线乘法）。

5. 总结：这对我们意味着什么？

这篇论文告诉我们三件事：

1. 安全可以很轻便： 即使是很小的设备，也能通过“云端送粉”的方式，获得顶级的量子安全。
2. 未来已来，而且很快： 我们一直担心防量子攻击的算法会让设备变慢，但在这个特定的场景下，新算法反而更快。
3. 混合是王道： 不要只依赖单一来源。把天上的“量子雨”（服务器送的）和地上的“露水”（本地生成的）混合在一起，才是最安全的。

一句话总结：
作者们给弱小的物联网设备建了一条防量子的高速公路，不仅安全地送去了宇宙级的随机数，还意外发现，走这条新路竟然比走老路更省时间、更省力。这为未来所有智能设备的安全升级铺平了道路。

技术摘要

论文技术总结：面向嵌入式系统的后量子熵即服务 (QEaaS)

1. 研究背景与问题 (Problem)

嵌入式设备的安全性高度依赖于熵（随机性）的质量，但小型设备面临两大挑战：

1. 熵源匮乏且不可信：许多物联网（IoT）设备缺乏高质量的硬件随机数生成器（HRNG），或者其从物理噪声到软件 API 的路径不透明，厂商的后处理可能掩盖了原始生成器的行为。
2. 协议负担重：嵌入式设备通常无法承受重量级的安全协议，且现有的远程熵服务（EaaS）多基于 HTTP/HTTPS，不适合资源受限的设备。

此外，随着量子计算的发展，传统的加密传输通道面临被破解的风险。如何在资源受限的嵌入式设备上，通过抗量子（Post-Quantum, PQC）的安全通道，获取来自量子随机数生成器（QRNG）的高质量熵，是一个尚未完全解决的交叉领域问题。

2. 方法论与系统架构 (Methodology & Architecture)

作者提出并实现了一个量子熵即服务 (QEaaS) 系统，旨在将 QRNG 生成的熵安全地分发给嵌入式客户端。

2.1 系统架构

系统分为服务器端和客户端两部分，通过 CoAP 协议和 DTLS 1.3 安全通道连接：

• 服务器端：
  • 熵源：使用 Quantis QRNG PCIe-240M 硬件生成原始量子熵。
  • 双路径分发：
    1. 直接路径：通过自定义的 OpenSSL Provider 直接提供量子熵（供 HTTPS 客户端使用）。
    2. 混合路径：通过 rng-tools 将量子熵混入 Linux 系统熵池，供标准接口调用。
  • 代理机制：使用 Nginx 处理 HTTPS，使用 CoAP-HTTP 代理（基于 libcoap 和 wolfSSL）将受限客户端的 CoAP 请求转发至 HTTP 后端。
• 客户端 (ESP32)：
  • 操作系统：基于 Zephyr RTOS。
  • 协议栈：扩展了 libcoap 对 Zephyr 的支持，集成基于 wolfSSL 的 DTLS 1.3 后端，支持 NIST 标准化的后量子算法（ML-KEM 和 ML-DSA）。
  • 本地熵池：实现了基于 BLAKE2s 的本地熵池，替代了 Zephyr 默认的简单 TRNG 驱动。该池支持外部熵注入（来自 QEaaS 服务器）和本地硬件熵（ESP32 TRNG）的混合，同时保留了标准的 entropy_get_entropy() 接口供应用程序使用。

2.2 关键实现细节

• 内存优化：针对 ESP32 内存限制（仅约 22kB 可用堆），将 wolfSSL 的内存分配重定向至 Zephyr 的 105kB 系统堆，并限制静态缓冲区大小。
• 分片处理：由于 ML-KEM-512 的密钥共享大小超过 DTLS MTU，系统利用标准的 HelloRetryRequest 机制（RFC 9147）处理分片，避免了服务器端代码依赖，增加了约 18ms 的往返时间但保持了安全性。
• 算法选择：测试了三种密钥交换算法（ECDHE P-256, X25519, ML-KEM-512）和两种签名方案（ECDSA, ML-DSA-44）的组合。

3. 主要贡献 (Key Contributions)

1. 端到端 QEaaS 架构：首次构建了从专用 QRNG 硬件到嵌入式微控制器（ESP32）的完整后量子安全熵分发链路。
2. 嵌入式 PQC 协议栈集成：成功在资源受限的 ESP32 上集成了支持 ML-KEM (FIPS 203) 和 ML-DSA (FIPS 204) 的 DTLS 1.3 协议栈，并解决了内存和分片等工程难题。
3. 混合熵池设计：设计并实现了基于 BLAKE2s 的 Zephyr 熵池驱动，支持外部熵注入，解决了嵌入式设备本地熵源不足的问题。
4. 性能基准测试：提供了在真实硬件上关于后量子密钥交换、签名验证及熵分发延迟的详细基准数据。

4. 实验结果 (Results)

实验在 ESP32-DevKitC V4 上进行，对比了经典算法与后量子算法的性能。

4.1 本地熵池性能

• BLAKE2s 熵池的操作延迟极低。注入和提取 32 字节熵的总成本仅为 51 µs，相对于网络延迟可忽略不计。

4.2 握手与通信延迟 (DTLS 1.3)

• ML-KEM-512 表现优异：
  • 在不进行证书验证的情况下，ML-KEM-512 完成 DTLS 1.3 握手平均耗时 313 ms，比经典 ECDHE P-256 (479 ms) 快 35%。
  • 当与 ML-DSA-44 配对时，平均耗时进一步降至 225 ms。
• 证书验证开销：
  • 开启证书验证后，ECDSA 增加了约 194 ms 的开销，而 ML-DSA-44 仅增加 17 ms。
  • 关键发现：即使开启完整的证书验证，全后量子配置 (ML-KEM-512 + ML-DSA-44) 的总握手时间 (249 ms) 仍比经典配置 (ECDHE P-256 + ECDSA, 668 ms) 快 63%。
• 会话建立后：一旦会话建立，CoAP 请求的往返时间 (RTT) 稳定在 24 ms 左右，与算法选择无关。

4.3 资源占用

• 全后量子配置 (ML-KEM-512 + ML-DSA-44) 相比经典基线，Flash 增加约 30 kB，峰值堆内存增加约 31 kB，但在 ESP32 的 105 kB 可用堆中仍有 8 kB 余量。

5. 意义与结论 (Significance & Conclusion)

1. 可行性验证：证明了在资源受限的嵌入式设备（如 ESP32）上运行后量子密码学不仅是可行的，而且在特定配置下（ML-KEM-512 + ML-DSA-44）比经典算法更快。这打破了"PQC 必然带来巨大性能开销”的刻板印象。
2. 架构创新：提出的 QEaaS 架构为物联网设备提供了一种获取高可信量子熵的实用方案，解决了本地熵源不可靠的问题。
3. 工程指导：论文详细记录了在 Zephyr 和 wolfSSL 上实现 PQC 的内存优化策略（如堆重定向、MTU 分片处理），为后续在嵌入式领域部署 PQC 提供了宝贵的工程经验。
4. 未来方向：研究建议将熵注入集成到 Zephyr 的 OS 级工作队列中，并在 ESP32-S3 等更高性能芯片上测试更高安全级别的 PQC 变体，同时增加能耗分析。

总结：该论文展示了一个完整的、经过优化的后量子熵分发系统，表明在嵌入式 IoT 领域，利用后量子算法构建安全且高效的通信与熵源获取机制已经成熟，甚至在性能上优于传统方案。