[ 背景 ]

近期Google宣布了其全新的量子計算芯片Willow。這款芯片在不到5分鐘完成一項標準計算，而如今最快的超級計算機完成同樣的任務(wù)，足足要花費超過102? 年的時間。Willow不僅擁有105個量子比特，還在量子糾錯和隨機電路采樣方面表現(xiàn)出色，進一步展示了量子計算的巨大潛力。

隨著量子計算的發(fā)展，RSA 和 ECC 等傳統(tǒng)加密算法的安全性越來越受到威脅。雖然能夠破解這些算法的量子計算機尚未成為現(xiàn)實，但未來量子攻擊的可能性已促成了抗量子加密(也稱為后量子加密 (PQC，Post-Quantum Cryptography))的發(fā)展。各國政府和領(lǐng)先的科技公司已經(jīng)開始將 PQC 集成到他們的系統(tǒng)中，用來抵御當前和未來的安全威脅。

去年3月蘋果公司宣布將后量子加密技術(shù)整合到iMessage中，這凸顯了采用抗量子計算加密方法的緊迫性和重要性。我們正在進入一個量子計算威脅到當前加密協(xié)議安全性的時代，特別是圍繞“現(xiàn)在獲取，以后解密”(HNDL，harvest now, decrypt later)的攻擊：使用當前存儲通信數(shù)據(jù)的能力獲取盡可能多的密文，一旦將來有了功能齊全的量子計算機就能實現(xiàn)破解。對于可以被物理攻擊的嵌入式系統(tǒng)，我們甚至需要更進一步：抗硬件攻擊的PQC。蘋果的這一聲明為討論實現(xiàn)后量子加密算法的挑戰(zhàn)提供了機會。

有趣的是，側(cè)信道或故障注入攻擊并沒有在聲明中提到。對于消息傳遞應(yīng)用程序來說，這是有道理的，因為硬件攻擊是本地化的，而設(shè)備本地攻擊不會針對通信協(xié)議。然而，還有其他與本地攻擊相關(guān)的目標。

[ 嵌入式系統(tǒng)中PQC的需求與挑戰(zhàn) ]

以普通的嵌入式SoC為例。它帶有信任根，通常在運行系統(tǒng)代碼之前使用橢圓曲線加密算法(ECC)對其進行身份驗證。使用量子計算機，只要知道公鑰，就可以破解ECC私鑰。這會導(dǎo)致繞過代碼身份驗證，允許攻擊者在系統(tǒng)上運行任意代碼，并繞過任何本地安全控制。

現(xiàn)在假設(shè)我們將在5-10年內(nèi)擁有量子計算。嵌入式系統(tǒng)，作為從汽車到物聯(lián)網(wǎng)設(shè)備的無數(shù)應(yīng)用中不可或缺的一部分，由于其使用壽命長(例如汽車行業(yè)長達20年)并且容易受到物理攻擊，因此將面臨相關(guān)風險。

在嵌入式系統(tǒng)中實現(xiàn)PQC帶來了新的挑戰(zhàn)。這些系統(tǒng)通常在有限的處理能力、內(nèi)存和功耗下運行，這些限制在ASIC芯片和軟件實現(xiàn)中都被放大了。此外，潛在的側(cè)信道和故障注入攻擊要求PQC在設(shè)計時就要考慮到這些漏洞。

[ 嵌入式系統(tǒng)中PQC的現(xiàn)狀 ]

許多嵌入式系統(tǒng)的不可更新特性，例如實現(xiàn)信任根的不可修改ROM代碼，突出了今天納入PQC考量的緊迫性。然而，PQC作為相對新的算法(去年SIKE算法被破解就說明了這一點)，需要格外謹慎對待。將ECC和PQC結(jié)合在一起的“皮帶和吊帶”方法，就像在蘋果的iMessage協(xié)議中呈現(xiàn)的那樣，成為一種實用的臨時解決方案。這并非沒有風險：我們從經(jīng)驗中知道，代碼越多意味著越多的FI故障注入攻擊機會，如果ECC被QC量子計算破壞，我們?nèi)匀恍枰狿QC可以抵抗本地攻擊。

然而，由于嵌入式設(shè)備的功能和性能限制，組合多種算法可能并不總是可行的。隨著該領(lǐng)域的發(fā)展，驗證PQC實現(xiàn)中的SCA和FI抵御能力的需求在客戶中越來越普遍，特別是當他們尋求安全性和性能之間的平衡時。

[ 最佳實踐 ]

隨著PQC的不斷發(fā)展，堅持最新的對策研究，避免盲目地采用沒有SCA和FI保護的開源“vanilla”是至關(guān)重要的。未來發(fā)展的方向包括為某些PQC算法可能被破壞做好準備，這需要一種加密靈活性策略，以遷移到加密算法的替代解決方案或減輕被破壞的嵌入式系統(tǒng)的影響。隨著認證方案的發(fā)展，逐步淘汰過時或被破解的算法，這種方法將成為不可缺的一部分。

[ 結(jié)論 ]

嵌入式系統(tǒng)中集成抗側(cè)信道攻擊和抗故障注入的后量子密碼算法不僅是技術(shù)上的需要，更是防御量子計算和物理攻擊雙重威脅的戰(zhàn)略需要。Keysight Riscure已經(jīng)并且將持續(xù)開發(fā)分析模塊，以確保PQC實現(xiàn)在硅前模擬和硅后測試中的韌性。研究人員和工程師需要共同努力，建立(和打破)對策，平衡安全性和可用性，以應(yīng)對安全挑戰(zhàn)并確保嵌入式系統(tǒng)的未來。

Keysight Riscure推出的Inspector 2023.3 版本率先采用 Crystals-Dilithium 進行后量子密碼學(xué)研究，集成了模擬、pi?ata實現(xiàn)和一階 CPA 攻擊等突破性組件。它使設(shè)備和芯片供應(yīng)商能夠在設(shè)計周期中識別和修復(fù)硬件漏洞。Keysight Riscure 是您在后量子加密轉(zhuǎn)型中的合作伙伴。

在本白皮書中，我們探討了嵌入式設(shè)備和物聯(lián)網(wǎng)中采用 PQC 的挑戰(zhàn)，研究了 PQC 標準化的最新發(fā)展，并根據(jù)性能和資源要求比較了各種算法，強調(diào)了安全實現(xiàn)對于防范潛在漏洞的重要性。

關(guān)于Riscure

自2001年成立以來，Riscure一直是全球硬件安全的先驅(qū)和技術(shù)領(lǐng)導(dǎo)者。我們擁有超過20年的行業(yè)經(jīng)驗，客戶遍及科技企業(yè)、政府部門、科研院所、高校、汽車、航空航天等領(lǐng)域。Riscure為國內(nèi)外客戶提供專業(yè)的側(cè)信道、故障注入、硅前(RTL)安全仿真測試等工具、培訓(xùn)和安全認證、測評及咨詢服務(wù)。 2024年3月， Keysight收購Riscure。Keysight將和Riscure一起，基于豐富的安全產(chǎn)品和應(yīng)用，為業(yè)界提供更有效的測試解決方案。

關(guān)于是德科技

是德科技(NYSE：KEYS)啟迪并賦能創(chuàng)新者，助力他們將改變世界的技術(shù)帶入生活。作為一家標準普爾 500 指數(shù)公司，我們提供先進的設(shè)計、仿真和測試解決方案，旨在幫助工程師在整個產(chǎn)品生命周期中更快地完成開發(fā)和部署，同時控制好風險。我們的客戶遍及全球通信、工業(yè)自動化、航空航天與國防、汽車、半導(dǎo)體和通用電子等市場。我們與客戶攜手，加速創(chuàng)新，創(chuàng)造一個安全互聯(lián)的世界。